ME60数据配置

ME60配制

1.1 认证方式

1.1.1

绑定认证

大客户专线主要采用此认证方式。用户采取不认证不计费方式，ip、arp报文触发用户上线后即可访问网络。

1,设置认证计费方案：

aaa

authentication-scheme none authentication-mode none accounting-scheme none accounting-mode none

2,设置认证域：

domain zhuanxian authentication-scheme none accounting-scheme none service-type hsi ip-pool zhuanxian

3,设置用户固定IP地址：

ip pool zhuanxian local gateway X.X.X.X X.X.X.X section 0 X.X.X.X X.X.X.X

excluded-ip-address X.X.X.X X.X.X.X dns-server 211.137.96.205

dns-server 211.137.82.4 secondary

4,设置用户接入认证：

interface GigabitEthernetX/X/X.X user-vlan X bas

access-type layer2-subscriber default-domain authentication zhuanxian authentication-method bind #

static-user X.X.X.X X.X.X.X interface GigabitEthernetX/X/X.X vlan X detect domain-name zhuanxian

1.1.2

PPPOE认证

小区宽带等使用固定账号适合开展PPPOE拨号上网方式。认证成功后动态获取IP地址，采用radius认证计费上网。

1,设置radius

radius-server source interface LoopBack0 radius-server group radius

radius-server authentication 218.200.239.183 1812 weight 0 radius-server accounting 218.200.239.183 1813 weight 0 radius-server shared-key itellin

四川移动通信有限公司 华为技术服务有限公司

第1页 共11页

ME60配制

radius-server source interface LoopBack0 radius-server attribute translate

radius-attribute translate NAS-Identifier HW-Own-NAS-Identify-SIM send

2,设置虚模板（需与radius侧一致，也可不配置认证方式，VT0确认无认证）

interface Virtual-Template0

ppp chap password cipher CMNET!@#

3,设置认证计费方案：

aaa

authentication-scheme radius accounting-scheme radius

4,设备地址池

ip pool zhuanxian local gateway X.X.X.X X.X.X.X section 0 X.X.X.X X.X.X.X dns-server 211.137.96.205

dns-server 211.137.82.4 secondary

5,设置认证域：

domain pppoe

authentication-scheme radius accounting-scheme radius service-type hsi

radius-server group radius ip-pool pppoe1

6,设置用户接入认证：

interface GigabitEthernetX/X/X.X description To XXXX

pppoe-server bind virtual-template 0 user-vlan XXX XXX QinQ X bas

access-type layer2-subscriber default-domain authentication pppoe

1.1.3 二层web认证

WLAN校园网业务多数使用二层web认证方式。接入后进入认证前域获取IP地址，采取不认证不计费方式，限制其只能访问portal主页、web服务器和DNS；认证成功后进入认证后域，采用radius认证计费。

Web认证服务器IP：218.200.239.185

Web服务器url（每个学校使用不同的认证页面）：

如，宜宾学院：http://218.200.239.185:8080/portalserver/ybxy.jsp 1，设置访问控制策略：

user-group wlan-user #

acl number 6001

rule 5 permit ip source user-group wlan-user destination ip-address any #

acl number 6002

rule 0 permit ip source user-group wlan-user destination ip-address 218.200.239.185 0 rule 5 permit ip source user-group wlan-user destination ip-address 211.137.96.205 0

四川移动通信有限公司 华为技术服务有限公司

第2页 共11页

ME60配制

rule 10 permit ip source user-group wlan-user destination ip-address 218.200.239.183 0 rule 15 deny ip source user-group wlan-user #

traffic classifier deny operator or if-match acl 6001

traffic classifier permit operator or if-match acl 6002 #

traffic behavior permit traffic behavior deny deny #

traffic policy wlan-policy

classifier permit behavior permit classifier deny behavior deny traffic-policy wlan-policy inbound #

2，设置认证计费方案：

aaa

authentication-scheme radius authentication-scheme none authentication-mode none accounting-scheme radius accounting-scheme none accounting-mode none

3，设置认证前域/认证后域：

domain chinamobile

authentication-scheme radius accounting-scheme radius service-type hsi

radius-server group radius domain wlan_ybxy_before

authentication-scheme none accounting-scheme none service-type hsi

web-server 218.200.239.185

web-server url http://218.200.239.185:8080/portalserver/ybxy.jsp user-group wlan-user

ip-pool pppoe1 ip-pool pppoe2 ip-pool pppoe3

4，设置web认证服务器：

web-auth-server source interface LoopBack0 web-auth-server version v2

web-auth-server 218.200.239.185 port 2000 key itellin

5，设置用户接入认证：

interface GigabitEthernetX/X/X.1000 description To XXXX

user-vlan XXX XXX QinQ XXX bas

四川移动通信有限公司 华为技术服务有限公司

第3页 共11页

ME60配制

access-type layer2-subscriber default-domain pre-authentication wlan_ybxy_before authentication chinamobile

authentication-method web

1.2 带宽限速

1.2.1

ME60限速

ME60可在域下或接口下进行用户限速 1、以接口下限速为例：

? 先设置qos car限速模板，以限速1M为例：

qos car XXX cir 1024 cbs 128000 pbs 320512

其中XXX为限速名称，建议按限速实际带宽命名，如1M、10M等；

Cir为实际限速带宽，单位为Kb，限速1M即为1024Kb。Cbs和pbs可不进行配置，采用系统默认设置，如自己手工更改，建议设置为125倍以上。

? 将car模板应用到接口下：

interface GigabitEthernetX/X/X.X qos car inbound XXX

应用后，即对此接口生效，应用时需区分inbound还是outbound方向，即对接口下用户的上下行流量进行限速。

2、以域下限速为例：

由于QOS只能绑定到域，因此如果静态用户的带宽要求不一样的话，那也必须使用不同的域。car为限制入方向流量，即上行流量，gts为限制出方向流量，即下行流量。

以限制上行流量1M，下行流量2M的方式配置举例如下： scheduler-profile XXX //配置调度模板

car cir 1024 pir 1024 cbs XXX upstream //CBS可不用配置，由系统缺省设置，如需更改，建议设置为CIR的125倍以上。

gts cir 2048 //队列深度建议不用配置，由系统自动生成。 #

qos-profile XXX //配置QOS策略 scheduler-profile XXX domain XXX

qos profile XXX //在域下引用

static-user X.X.X.X X.X.X.X interface GigabitEthernetX/X/X.X vlan XX detect domain-name XXX //若域下还有静态用户，需在静态用户下引用

1.3 二层web认证业务（校园网wlan，公网地址池）

#

sysname SCXXX-MC-CMNET-BAS01 //根据设备命名规则配置 #

super password level 3 cipher huaweipassword #

四川移动通信有限公司 华为技术服务有限公司

第4页 共11页

ME60配制

router id X.X.X.X //根据设备loopback地址分配规则 #

user-group wlan-user //设置user-group #

radius-server source interface LoopBack0

radius-server group radius //设置radius组 radius-server authentication 218.200.239.183 1812 weight 0 radius-server accounting 218.200.239.183 1813 weight 0 radius-server shared-key itellin #

acl number 6001 //设置认证后域的访问权限

rule 5 permit ip source user-group wlan-user destination ip-address any #

acl number 6002 //设置认证前域的访问权限

rule 0 permit ip source user-group wlan-user destination ip-address 218.200.239.185 0 rule 1 permit ip source user-group wlan-user destination ip-address 211.137.96.205 0 rule 2 permit ip source user-group wlan-user destination ip-address 218.200.239.183 0 rule 3 permit ip source user-group wlan-user destination ip-address 127.0.0.1 0 rule 10 deny ip source user-group wlan-user #

traffic classifier deny operator or if-match acl 6001

traffic classifier permit operator or if-match acl 6002 #

traffic behavior permit traffic behavior deny deny #

traffic policy wlan-policy

classifier permit behavior permit classifier deny behavior deny traffic-policy wlan-policy inbound #

diffserv domain default //系统缺省 #

isis 1 //创建isis进程1

is-level level-2 //设置level区域为level-2骨干区 cost-style wide //设置cost模式为宽模式 network-entity 47.0004.30ac.0028.2211.82XX.XXXX.00 //设置NET-ID，system-id为loopback地址

is-name SCXXX-MC-CMNET-BAS01 //启用ISIS动态域名交换，此处为sysname log-peer-change //记录isis邻居变化 #

interface Aux0/0/1 #

interface GigabitEthernet0/0/0

#

interface GigabitEthernet1/0/0 //ME60上行口

description To SCXXX-MB-CMNET-RT01 GEX/X/X 1G //进行端口描述 ip address X.X.X.X 255.255.255.252

isis enable 1 //接口下使能isis

isis circuit-level level-2 //链路区域设置为level-2骨干域 isis cost 20 level-2 //ME60上行口的cost值改为20

isis authentication-mode md5 huawei!@# //isis邻居MD5认证密钥为huawei!@# #

interface GigabitEthernetX/X/X

description To SCXXX-MC-CMNET-XX-SW01 GE1/0/0 1G //端口描述，下挂S9306 negotiation auto

mode user-termination

四川移动通信有限公司 华为技术服务有限公司

第5页 共11页

ME60配制

service-type hsi

radius-server group radius ip-pool pppoe1 #

local-aaa-server

user huawei password cipher huawei authentication-type T level 1 //设置telnet账号 # l2tp-group default-lac tunnel name Quidway #

l2tp-group default-lns tunnel name Quidway #

nqa-jitter tag-version 1 #

sbc appmode multi-domain #

sbc keepalive-packet empty #

user-interface con 0 idle-timeout 0 0 user-interface aux 0 user-interface vty 0 4 accounting-mode aaa #

return

四川移动通信有限公司 华为技术服务有限公司 第11页 共11页

本文来源：https://www.bwwdw.com/article/auf3.html