华为ME60-BRAS设备配置规范
BRAS配置详解
BRAS ME60配置详解,请下载学习,谢谢!1.系统基本配置1.1设备名称配置⏹配置内容:配置设备名称⏹规范要求:设备名称要求符合配置有关命名规范;⏹配置示例:✓sysname shdong_yt_ME60_XX1.2系统时间配置⏹配置内容:配置系统时间;⏹规范要求:系统时间要求采用标准北京时间;⏹配置示例:✓clock datetimeHH:MM:SS YYYY/MM/DD,设置UTC标准时间。
✓clock timezone time-zone-name { add | minus } offset,设置所在的时区。
1.3NTP配置⏹配置内容:✓配置NTP工作模式✓配置主备NTP服务器✓配置NTP身份验证功能✓配置NTP验证密钥✓配置NTP源接口✓设置NTP主时钟✓允许/禁用接收NTP消息✓使用访问控制,控制NTP⏹规范要求:✓城域网BRAS的NTP SERVER指向专用NTP服务器⏹配置示例✓在ME60A配置NTP主时钟并启动验证功能# 在ME60A上指定使用自己的本地时钟作为参考时钟,层数为2。
<ME60A> system-view[ME60A] ntp-service refclock-master 2✓# 在ME60A上使能NTP验证功能、配置验证密钥并声明该密钥可信。
[ME60A] ntp-service authentication enable[ME60A] ntp-service authentication-keyid 42 authentication-mode md5Hello[ME60A] ntp-service reliable authentication-keyid 42✓注意服务器端与客户端必须配置相同的验证密钥。
在ME60B指定NTP服务器并启动验证功能# 在ME60B上使能NTP验证功能、配置验证密钥并声明该密钥可信。
<ME60B> system-view[ME60B] ntp-service authentication enable[ME60B] ntp-service authentication-keyid 42 authentication-mode md5Hello[ME60B] ntp-service reliable authentication-keyid 42✓# ME60B指定ME60A为NTP服务器,并使用已配置的验证密钥。
华为ME60BRAS设备配置规范.doc
河南网通城域网华为ME60 BRAS设备配置规范华为技术有限公司二00八年6月1、系统简介 (4)1.1 河南网通宽带城域网建设概况 (4)1.2 河南网通华为ME60系统组网方式 (4)1.2.1 网络概述 (4)1.2.1 组网方式 (5)1.3 VLAN规划原则 (6)1.4 IP地址规划原则 (7)2、BAS配置规范(ME60) (7)2.1 设备基本配置 (7)2.1.1 设置主机名 (7)2.1.2 时区和时钟校准 (8)2.1.3 配置管理员及其密码 (8)2.1.4 启用服务 (8)2.1.5 对管理员地址范围进行限定 (9)2.1.6 timeout 时间设置 (9)2.1.7 ACL 配置范例 (9)2.1.8 用户域基本配置 (12)2.1.9 安全基本配置 (13)2.1.10 设备配置保存 (14)2.2 设备接口配置 (14)2.2.1 网络侧接口配置 (14)2.2.2 loopback接口配置及描述 (16)2.2.3 地址池的配置 (21)2.2.4 VLAN及QINQ接口配置 (21)2.3 路由协议配置 (23)2.3.1 OSPF协议配置 (23)2.4 RADIUS配置 (29)2.4.1 本次项目中RADIUS配置参数 (31)2.4.2 RADIUS配置范例及注释 (31)2.4.3 RADIUS状态查看 (33)2.4.4 RADIUS故障排除方法 (37)2.5 QOS带宽管理 (37)2.5.1 两类QOS配置 (37)2.5.2 配置设备接收RADIUS服务器策略配置 (38)2.5.3 ME60本机QOS策略配置 (38)2.6 PPPOE配置 (40)2.6.1 概述 (40)2.6.2 PPPOE相关配置 (41)2.7 用户认证域选择 (43)2.8 反向路由检测 (43)ME60所支持的URPF (43)2.9 DHCP RELAY配置 (44)2.10 IP综合网管设备配置要求 (46)2.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址) (46)2.10.2 TELNET用户名和密码 (46)2.10.3 SNMP配置 (46)2.10.4 SYSLOG配置 (47)3、ME60承载业务及配置规范 (48)3.1 承载业务类型 (48)3.2 普通PPPOE 上网业务 (48)3.2.1 业务概述 (48)3.2.2 ME60 配置规范 (48)3.2.3 帐号管理规范 (53)3.3 校园网卡类业务 (54)3.3.1 业务概述 (54)3.3.2 配置规范 (54)3.3.3 账号管理说明 (54)3.4 VPDN 业务 (55)3.4.1 业务概述 (55)3.4.2 ME60 配置规范 (55)3.4.3 账号管理说明 (56)3.4.4 VPDN业务介绍 (56)3.5 机顶盒业务配置 (59)3.5.1 业务概述 (59)3.5.2 延用DHCP 方式 (60)3.5.3 采用PPPOE 方式 (60)3.6 专线用户配置 (64)3.6.1 通过subscriber方式定义静态IP用户 (64)3.6.2 通过leased line方式定义静态IP用户 (65)3.7 BGP/MPLS VPN 配置范例 (65)3.7.1 概述 (65)3.7.2 MPLS VPN 业务命名规范 (66)3.7.3 PE (ME60)配置范例 (67)3.8 VPLS 业务配置 (71)3.8.1 VPLS简介 (71)3.8.2 VPLS配置范例 (74)1、系统简介1.1 河南网通宽带城域网建设概况本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不变的基础上,持续提升宽带接入能力,继续推进二层网络扁平化,提升网络可靠性,以此逐步向功能完善、结构合理、性能优良的目标网演进。
联通城域网设备配置规范范本
内部资料注意保密城域网设备配置规范—华为ME60中国联合网络通信有限公司河南省分公司二零一六年目录1. 基本配置 (3)1.1 设备名称 (3)1.2 系统时间配置 (4)1.3 NTP配置 (4)1.4 文件管理 (5)1.5 Banner配置 (5)2.网管配置 (6)2.1 登陆AAA (6)2.2 SNMP (7)2.3 用户 (8)2.4 SYSLOG (9)2.5 TELNET (9)3.端口配置规范 (10)3.1 端口命名格式描述 (10)3.2 loopback (11)3.3 GE/TG (12)3.4 端口捆绑 (12)3.5 POS (12)4. 路由配置 (13)4.1 静态路由配置 (13)4.2 OSPF配置 (13)4.3 BGP配置 (14)4.4 MPLS配置 (17)4.5 BFD配置 (18)5.安全配置 (21)5.1 ACL (21)5.2服务管理 (23)5.3 引擎防护 (23)6. 业务实现 (24)6.1 PPPOE业务 (24)6.2 专线业务 (26)6.3 VPDN业务 (27)6.4 WLAN业务 (29)6.5 MPLS VPN 业务 (34)6.6 VPLS业务 (35)6.8 NAT444业务 (37)6.9 预欠费提醒和欠费提醒业务 (45)6.10 HGU业务 (48)6.11 IPTV业务 (50)1. 基本配置1.1 设备名称【配置描述】: 配置设备名称【规范要求】:1.1.1 格式:网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号说明:⏹原则上字母全部大写,两端和中间没有任何空格,采用定长命名。
⏹网络层次描述:2个字母。
✓省网核心层:PB✓省网接入层(地市核心层):PA✓城域网业务控制层(BRAS和SR设备):MS✓城域网汇聚层:MC✓城域网接入层:MA⏹市名缩写:2至3个字母。
原则取用其城市名称前两个汉字拼音首字母,个别城市名长于两个拼音字母的按照实际情况编写,但最长不应超过四个字母。
ME60配置手册
根据项目经验整理数据需要学习请下载第一章设备相关配置 (3)第1节系统基本配置 (3)1.1 设备名称配置 (3)1.2 系统时间配置 (3)1.3 NTP配置 (3)1.4 主备卡切换配置 (4)1.5 接口配置 (4)第2节网管配置 (5)2.1 远程登录SSH配置 (5)2.2 SNMP配置 (6)2.3 SYSLOG配置 (7)2.4 登录AAA (8)第3节路由配置 (9)3.1 路由优先级/管理距离 (9)3.3 黑洞路由配置 (9)3.4 OSPF (10)3.5 ISIS (10)3.6 BGP (11)第二章业务相关配置 (14)第1节 Radius配置 (14)1.1 计费认证 (14)第2节域配置 (15)第3节 PPPoE (16)3.1 速率模板配置 (16)3.2 IP Pool (17)3.3 虚模板配置 (17)3.4 业务子接口 (18)3.5 基于Web的主动控制和管理-踢用户下线配置 (18)第4节 IPoE (19)4.1 静态 (19)4.2 DHCP (20)4.3 静态用户限速 (20)4.4 WLAN (21)第5节二层VPN (22)5.1 L2TP (22)第6节 MPLS VPN (23)第三章安全加固配置 (26)第1节数据层面安全加固 (26)1.1 关闭IP选项 (26)1.2 关闭IP 直接广播 (27)1.3 典型垃圾流量过滤 (27)第2节控制层面安全加固 (29)2.1 IGP 安全防护 (29)2.2 关闭控制平面未使用的服务 (29)2.3 控制引擎防护 (30)第3节管理层面安全加固 (30)3.1 禁用未使用的管理平面服务 (30)第四章 QOS (30)第1节QOS标记、队列规划 (30)第2节队列调度、带宽预留和拥塞避免 (32)第一章设备相关配置第1节系统基本配置1.1 设备名称配置■配置内容:配置设备名称;■规范要求:端口命名按附录1:设备和端口命名规范要求配置;1.2 系统时间配置■配置内容:设置BRAS 的系统日期及时间;■规范要求:采用标准北京时间(时区为东八区);■配置示例:1.3 NTP配置■配置内容:配置NTP服务器;■规范要求:1、采用NTP Version 3版本且启用MD5认证;2、采用loopback0地址作为时间同步的源地址;3、以本城域网CR1作为主用NTP Server,以CR2作为备用NTP Server;4、NTP服务器时钟为格林威治0时区,要求在设备上以此为基准调整为北京时区东8区。
华为ME60BRAS设备配置规范
河南网通城域网华为ME60 BRAS设备配置规范华为技术有限公司1、系统简介 (4)1.1 河南网通宽带城域网建设概况 (4)1.2 河南网通华为ME60系统组网方式 (4)1.2.1 网络概述 (4)1.2.1 组网方式 (5)1.3 VLAN规划原则 (6)1.4 IP地址规划原则 (7)2、BAS配置规范(ME60) (7)2.1 设备基本配置 (7)2.1.1 设置主机名 (7)2.1.2 时区和时钟校准 (8)2.1.3 配置管理员及其密码 (8)2.1.4 启用服务 (8)2.1.5 对管理员地址范围进行限定 (9)2.1.6 timeout 时间设置 (9)2.1.7 ACL 配置范例 (9)2.1.8 用户域基本配置 (12)2.1.9 安全基本配置 (13)2.1.10 设备配置保存 (14)2.2 设备接口配置 (14)2.2.1 网络侧接口配置 (14)2.2.2 loopback接口配置及描述 (16)2.2.3 地址池的配置 (21)2.2.4 VLAN及QINQ接口配置 (21)2.3 路由协议配置 (23)2.3.1 OSPF协议配置 (23)2.4 RADIUS配置 (29)2.4.1 本次项目中RADIUS配置参数 (31)2.4.2 RADIUS配置范例及注释 (31)2.4.3 RADIUS状态查看 (33)2.4.4 RADIUS故障排除方法 (37)2.5 QOS带宽管理 (37)2.5.1 两类QOS配置 (37)2.5.2 配置设备接收RADIUS服务器策略配置 (38)2.5.3 ME60本机QOS策略配置 (38)2.6 PPPOE配置 (40)2.6.1 概述 (40)2.6.2 PPPOE相关配置 (41)2.7 用户认证域选择 (43)2.8 反向路由检测 (43)ME60所支持的URPF (43)2.9 DHCP RELAY配置 (44)2.10 IP综合网管设备配置要求 (46)2.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址) (46)2.10.2 TELNET用户名和密码 (46)2.10.3 SNMP配置 (46)2.10.4 SYSLOG配置 (47)3、ME60承载业务及配置规范 (48)3.1 承载业务类型 (48)3.2 普通PPPOE 上网业务 (48)3.2.1 业务概述 (48)3.2.2 ME60 配置规范 (48)3.2.3 帐号管理规范 (53)3.3 校园网卡类业务 (54)3.3.1 业务概述 (54)3.3.2 配置规范 (54)3.3.3 账号管理说明 (54)3.4 VPDN 业务 (55)3.4.1 业务概述 (55)3.4.2 ME60 配置规范 (55)3.4.3 账号管理说明 (56)3.4.4 VPDN业务介绍 (56)3.5 机顶盒业务配置 (59)3.5.1 业务概述 (59)3.5.2 延用DHCP 方式 (60)3.5.3 采用PPPOE 方式 (60)3.6 专线用户配置 (64)3.6.1 通过subscriber方式定义静态IP用户 (64)3.6.2 通过leased line方式定义静态IP用户 (65)3.7 BGP/MPLS VPN 配置范例 (65)3.7.1 概述 (65)3.7.2 MPLS VPN 业务命名规范 (66)3.7.3 PE (ME60)配置范例 (67)3.8 VPLS 业务配置 (71)3.8.1 VPLS简介 (71)3.8.2 VPLS配置范例 (74)1、系统简介1.1 河南网通宽带城域网建设概况本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不变的基础上,持续提升宽带接入能力,继续推进二层网络扁平化,提升网络可靠性,以此逐步向功能完善、结构合理、性能优良的目标网演进。
华为BRAS产品介绍
22
常见用户上线失败原因
显示用户上线失败原因
[Quidway]display aaa online-fail-record -----------------------------------------------------------------User name : huawei@isp User MAC : 0050-04b4-604c User access type : PPPoE User access interface : Ethernet2/0/0.1 User access Vlan : 10 User IP address : 255.255.255.255 User ID : 13 User authen state : Authened User acct state : AcctIdle User author state : AuthorIdle Radius认证 User acct sessionID: 服务器通讯 Quidway0200000000001078658200013 故障 User login time : 2005/11/18 15:29:13 User online fail reason: Radius authentication send fail -----------------------------------------------------------------23
xDSL
11
接入方式—— PPP认证方式 接入方式—— PPP认证方式
PPP方式是基于帐号、密码的 方式是基于帐号、 方式是基于帐号 认证方式, 认证方式,接入形式可以为 PPPoE、PPPoA、PPPoEoA。 、 、 。 MA5200G每单板可以支持 每单板可以支持 8K个PPPoE并发 并发session 个 并发
华为ME60-BRAS设备配置规范标准
河南网通城域网华为ME60 BRAS设备配置规范华为技术有限公司二00八年6月1、系统简介 (4)1.1 河南网通宽带城域网建设概况 (4)1.2 河南网通华为ME60系统组网方式 (4)1.2.1 网络概述 (4)1.2.1 组网方式 (5)1.3 VLAN规划原则 (6)1.4 IP地址规划原则 (7)2、BAS配置规范(ME60) (7)2.1 设备基本配置 (7)2.1.1 设置主机名 (7)2.1.2 时区和时钟校准 (8)2.1.3 配置管理员及其密码 (8)2.1.4 启用服务 (8)2.1.5 对管理员地址范围进行限定 (9)2.1.6 timeout 时间设置 (9)2.1.7 ACL 配置范例 (9)2.1.8 用户域基本配置 (12)2.1.9 安全基本配置 (13)2.1.10 设备配置保存 (14)2.2 设备接口配置 (14)2.2.1 网络侧接口配置 (14)2.2.2 loopback接口配置及描述 (15)2.2.3 地址池的配置 (20)2.2.4 VLAN及QINQ接口配置 (21)2.3 路由协议配置 (22)2.3.1 OSPF协议配置 (22)2.4 RADIUS配置 (29)2.4.1 本次项目中RADIUS配置参数 (30)2.4.2 RADIUS配置范例及注释 (30)2.4.3 RADIUS状态查看 (32)2.4.4 RADIUS故障排除方法 (36)2.5 QOS带宽管理 (36)2.5.1 两类QOS配置 (36)2.5.2 配置设备接收RADIUS服务器策略配置 (37)2.5.3 ME60本机QOS策略配置 (37)2.6 PPPOE配置 (39)2.6.1 概述 (39)2.6.2 PPPOE相关配置 (40)2.7 用户认证域选择 (41)2.8 反向路由检测 (42)ME60所支持的URPF (42)2.9 DHCP RELAY配置 (43)2.10 IP综合网管设备配置要求 (44)2.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址) (44)2.10.2 TELNET用户名和密码 (45)2.10.3 SNMP配置 (45)2.10.4 SYSLOG配置 (45)3、ME60承载业务及配置规范 (47)3.1 承载业务类型 (47)3.2 普通PPPOE 上网业务 (47)3.2.1 业务概述 (47)3.2.2 ME60 配置规范 (47)3.2.3 帐号管理规范 (52)3.3 校园网卡类业务 (53)3.3.1 业务概述 (53)3.3.2 配置规范 (53)3.3.3 账号管理说明 (53)3.4 VPDN 业务 (54)3.4.1 业务概述 (54)3.4.2 ME60 配置规范 (54)3.4.3 账号管理说明 (54)3.4.4 VPDN业务介绍 (55)3.5 机顶盒业务配置 (58)3.5.1 业务概述 (58)3.5.2 延用DHCP 方式 (58)3.5.3 采用PPPOE 方式 (58)3.6 专线用户配置 (62)3.6.1 通过subscriber方式定义静态IP用户 (62)3.6.2 通过leased line方式定义静态IP用户 (63)3.7 BGP/MPLS VPN 配置范例 (64)3.7.1 概述 (64)3.7.2 MPLS VPN 业务命名规范 (64)3.7.3 PE (ME60)配置范例 (65)3.8 VPLS 业务配置 (69)3.8.1 VPLS简介 (69)3.8.2 VPLS配置范例 (71)1、系统简介1.1 河南网通宽带城域网建设概况本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不变的基础上,持续提升宽带接入能力,继续推进二层网络扁平化,提升网络可靠性,以此逐步向功能完善、结构合理、性能优良的目标网演进。
浅谈BRAS(ME60)双机热备份实现方案
浅谈BRAS(ME60)双机热备份实现方案随着计算机技术和通信技术的发展,信息传输的手段发生了极大的变化。
人们对各种业务的需求也越来越提高,要求业务的种类越来越多样化,如语音、数据、圖像等各种业务,使得宽带网络安全稳定需求迅速上升。
为了满足上述业务迅速上升的需求,这就要求网络建设向宽带化、智能化方向发展。
使得宽带网络成为适应上述业务需求急待加快建设的一种网络。
现就对宽带网络设备热备份有关1 BRAS(宽带接入服务器)组网分析1.1 组网案例分析目前业务都承载在一台ME60-8和一台ME60-X8的BRAS设备上,每台BRAS通过N条GE链路上链到城域网核心上,链路通过OSPF 负载均衡;下行的汇聚层交换机根据承载业务量通过两条ETH-Trunk上行到对应的BRAS设备上,通过板卡以太网链路聚合,异板卡奇偶MAC延迟响应,以保护业务。
1.2 双机热备后组网分析将ME60-8与现有的ME60-X8进行热备部署,实现上行业务的热备份,新增下行链路,实现交换双上行到两台ME60上的链路结构,新增两台BRAS之间互联链路实现备份隧道的建立。
2 BRAS热备数据规划2.1 当前业务案例分析目前现网业务主要有:(1)PPPoE:大部分业务均为PPPoE(大部分的个人宽带及小部分的校园网用户(不同的域))。
(2)静态IP专线:小部分党员远程教育网的用户。
(3)DHCP用户:家庭网管管理IP是由BRAS做的DHCP relay。
(4)WLAN web认证用户:WLAN 用户在BRAS上做portal认证。
现网版本:ME60-X8:V600R002C02SPC700 补丁SPC017,ME60-8:V100R005C02B01B 补丁SPC55。
2.2 热备数据规划根据现网情况,本次热备规划使用目前成熟的共享地址池+互联隧道方案进行部署,针对现网的静态、PPPoE用户、DHCP用户、WLAN业务实现热备。
规划ME60-8作为S7800汇聚层交换机的主用设备,同时作为S9300的备份设备,ME60-X8作为S9300汇聚层交换机的主用设备,同时作为S7800的备份设备,后续扩容的其他交换机可以继续通过主备方式双归到两台ME60上实现业务热备,建立远程备份服务(Remote Backup Service,下面简称RBS),实现用户信息备份;通过RBP建立远程备份模版(Remote Backup Profile,下面简称RBP)联动VRRP配合选举出主备链路,实现障检测和主备切换;通过VRRP track Peer bfd和链路捆绑运行LACP协议,保证故障检测时间,避免单纤故障;通过升为主用的端口发布免费ARP,刷新下挂交换机的MAC表项,和路由策略控制实现业务上下行流量引导。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
河南网通城域网华为ME60 BRAS设备配置规范华为技术有限公司二00八年6月1、系统简介 (4)1.1 河南网通宽带城域网建设概况 (4)1.2 河南网通华为ME60系统组网方式 (4)1.2.1 网络概述 (4)1.2.1 组网方式 (5)1.3 VLAN规划原则 (6)1.4 IP地址规划原则 (7)2、BAS配置规范(ME60) (7)2.1 设备基本配置 (7)2.1.1 设置主机名 (7)2.1.2 时区和时钟校准 (8)2.1.3 配置管理员及其密码 (8)2.1.4 启用服务 (8)2.1.5 对管理员地址范围进行限定 (9)2.1.6 timeout 时间设置 (9)2.1.7 ACL 配置范例 (9)2.1.8 用户域基本配置 (12)2.1.9 安全基本配置 (13)2.1.10 设备配置保存 (14)2.2 设备接口配置 (14)2.2.1 网络侧接口配置 (14)2.2.2 loopback接口配置及描述 (15)2.2.3 地址池的配置 (20)2.2.4 VLAN及QINQ接口配置 (21)2.3 路由协议配置 (22)2.3.1 OSPF协议配置 (22)2.4 RADIUS配置 (29)2.4.1 本次项目中RADIUS配置参数 (30)2.4.2 RADIUS配置范例及注释 (30)2.4.3 RADIUS状态查看 (32)2.4.4 RADIUS故障排除方法 (36)2.5 QOS带宽管理 (36)2.5.1 两类QOS配置 (36)2.5.2 配置设备接收RADIUS服务器策略配置 (37)2.5.3 ME60本机QOS策略配置 (37)2.6 PPPOE配置 (39)2.6.1 概述 (39)2.6.2 PPPOE相关配置 (40)2.7 用户认证域选择 (41)2.8 反向路由检测 (42)ME60所支持的URPF (42)2.9 DHCP RELAY配置 (43)2.10 IP综合网管设备配置要求 (44)2.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址) (44)2.10.2 TELNET用户名和密码 (45)2.10.3 SNMP配置 (45)2.10.4 SYSLOG配置 (45)3、ME60承载业务及配置规范 (47)3.1 承载业务类型 (47)3.2 普通PPPOE 上网业务 (47)3.2.1 业务概述 (47)3.2.2 ME60 配置规范 (47)3.2.3 帐号管理规范 (52)3.3 校园网卡类业务 (53)3.3.1 业务概述 (53)3.3.2 配置规范 (53)3.3.3 账号管理说明 (53)3.4 VPDN 业务 (54)3.4.1 业务概述 (54)3.4.2 ME60 配置规范 (54)3.4.3 账号管理说明 (54)3.4.4 VPDN业务介绍 (55)3.5 机顶盒业务配置 (58)3.5.1 业务概述 (58)3.5.2 延用DHCP 方式 (58)3.5.3 采用PPPOE 方式 (58)3.6 专线用户配置 (62)3.6.1 通过subscriber方式定义静态IP用户 (62)3.6.2 通过leased line方式定义静态IP用户 (63)3.7 BGP/MPLS VPN 配置范例 (64)3.7.1 概述 (64)3.7.2 MPLS VPN 业务命名规范 (64)3.7.3 PE (ME60)配置范例 (65)3.8 VPLS 业务配置 (69)3.8.1 VPLS简介 (69)3.8.2 VPLS配置范例 (71)1、系统简介1.1 河南网通宽带城域网建设概况本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不变的基础上,持续提升宽带接入能力,继续推进二层网络扁平化,提升网络可靠性,以此逐步向功能完善、结构合理、性能优良的目标网演进。
提升业务支持能力:根据各类IP 业务发展需求及流量流向特性,对城域网内的设备进行容量增加和端口扩容,提供充足的业务接入能力及中继链路端口。
二层网络扁平化举措:在进行扩容的同时在有条件的地市考虑继续缩减汇聚交换机的级联层数,进一步扁平化二层汇聚网络;同时具备条件的地市可根据业务发展需求结合设备性能考虑SR/BRAS 适度下移。
网络质量差异化:逐步部署MPLS 技术和Diffserv 机制,为不同用户和不同业务提供不同QOS 等级的服务。
在业务集中区域逐步设立轻载的大客户专用接入设备,减少普通客户流量对大客户业务质量的干扰。
管理控制集中化智能化:用宽带接入服务器(BRAS)、业务路由器(SR)构建独立清晰的IP 城域网接入层,实现业务集中调度、监测和控制;规范设备的网管接口要求,加强集中网管系统的建设,提高网络的可管理性,逐步实现对网络性能的实时监控管理,提供基于时间、流量、质量等指标的多样化组合计费能力。
1.2 河南网通华为ME60系统组网方式1.2.1 网络概述根据目前网络和业务开通方式等现状,本期工程在每个县局节点及部分市区节点放置一台ME60-8 BRAS设备,共计123台。
在市区,ME60双上行至地市2台GSR设备,同时与地市新建SR通过端口聚合进行连接,负责终结SR设备透传过来的二层报文。
在县局,网络通过布置大二层汇聚交换机来实现业务分流,ME60双上行至地市核心GSR 设备,下行方向连接县局大二层汇聚交换机,负责终结县局汇聚交换机透传上来的二层报文。
1.2.1 组网方式方式一、市区组网方式ME60采用双上行GE链路上行至地市GSR,启用OSPF以及BGP路由协议;同时与本局SR通过以太端口聚合聚合2个GE接口互连,该逻辑端口启用OSPF协议。
其中,与GSR的端口作为主用上行路由,到本局SR设备的端口作为备用上行链路,同时该GE 兼作本局用户业务的二层下联接口,终结用户VLAN 或灵活QinQ VLAN。
方式二、县局组网方式在县局,ME60双上行至地市核心GSR路由器,上行开启三层接口,启用OSPF以及BGP 协议;同时,与本局汇聚交换机通过GE口连接,该接口用来终结县级汇聚交换机透传上来的单层VLAN以及QINQ VLAN。
除了挂接用户业务以外,本期项目中党建、CDN等服务器业务也需要割接到新建BRAS 上。
1.3 VLAN规划原则1.遵循管理VLAN 与用户VLAN 分开、一用户一VLAN 的原则。
2.对于直连一级汇聚层交换机的市区接入设备,要求采用VLAN Stacking 模式,做到每个用户一个VLAN。
接入设备的外层VLAN 使用原汇聚层交换机中预留的VLAN。
3.对于下挂在和BAS 有直连链路的县局节点下的接入设备,也要求采用VLAN Stacking 模式。
4.对于下挂在二级汇聚交换机以下的接入设备(如支局),不建议采用VLAN Stacking 模式,可采用一个DSLAM 分配“一个用户VLAN+一个管理VLAN”的方式;对于LAN 方式,ZAN 和BAN 的管理VLAN 使用同一VLAN,每个BAN 采用不同用户VLAN;5.对于采用PPPOE 与DHCP+并行模式的接入层设备,不采用VLAN Stacking 模式,应遵循不同认证方式用户分配不同VLAN 的原则进行VLAN 规划。
通过相连的各级交换机将新增VLAN 透传至BAS。
设备管理VLAN 则延用原模式。
1.4 IP地址规划原则本着连续分配、节约资源、便于管理的原则进行规划。
1.普通拨号用户IP 地址规划PPPOE 拨号用户的IP 地址均直接由BAS 通过地址池动态分配,每台BAS 暂时分配4 个C 类地址。
2.专线用户IP 地址规划每个专线用户一个VLAN,每台BAS 分配一个C 类地址,用户地址可以连续分配。
3.设备管理IP 地址规划每台BAS 下挂的接入层设备管理地址为一个C类地址,可进行连续分配。
4.BAS 设备管理(loopback 地址等)和互联地址由省公司统一规划分配。
5.每台BAS 目前预留两个C 类地址备用。
2、BAS配置规范(ME60)该部分所介绍的配置是现网设备配置的说明和解释,以及部分配置规范;具体命令的格式及说明请参考ME60 设备配置手册。
2.1 设备基本配置设备的基本配置包括主机名称、时钟、用户管理设置等。
2.1.1 设置主机名主机名命名规则:【示例】MC-ZZ-KFQ-C6509-001 郑州城域网汇聚层开发区思科6509设备MA-ZZ-XZ.BQ.LD-HW5100-001 新郑市八千乡刘店接入点华为5100设备对于华为本期项目上的NE40E及ME60,属于城域网业务控制层,按照规范描述网络层次为MS,例如,洛阳道北节点ME60命名如下:MS-LY-DB-HW60-0012.1.2 时区和时钟校准配置时钟命令如下:clock datetime HH:MM:SS YYYY-MM-DD配置时区命令如下:clock timezone time-zone-name { add | minus } offset例如,设置中国区时钟:clock timezone beijing add 82.1.3 配置管理员及其密码步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令local-aaa-server,进入本地AAA 视图。
步骤3 执行命令user username { password { simple simple-password | ciphercipher-password } |authentication-type type-mask | block | ftp-directory ftp-directory | level level |callback-nocheck | callback-number callback-number | idle-cut |qos-profile qos-profile-name } *,增加操作用户。
例如,增加一个名字为HUAWEI的用户,配置如下:local-aaa-serveruser HUAWEI password cipher Huawei level 3级别3为超级用户权限,可以根据需要将用户设置为0-3的任何级别。
2.1.4 启用服务ME60启用网络服务命令如下:ftp server enablessh server enable2.1.5 对管理员地址范围进行限定定义访问控制列表:Acl 2000rule 5 permit ip source 10.1.1.1 255.255.255.255rule 10 permit ip source 10.1.1.2 255.255.255.255rule 15 permit ip source 10.1.1.3 255.255.255.255进入USER-INTERFACEUser-interface vty 0 4Acl 2000 in2.1.6 timeout 时间设置空闲过时设置User-interface vty 0 4Idle-timeout 5当telnet 会话在5 分钟内没有输入时timeout 退出2.1.7 ACL 配置范例Acl 2000至2999为基本ACL,只能够定义源地址;3000-3999为扩展ACL,能够依照五元组进行定义1、配置管理ACL范例:Acl 3000rule 5 permit ip source 218.29.255.0 0.0.0.255 any //省网管;rule 10 permit ip source 123.234.255.126 0.0.0.0 destination any //BAS(SE800)网管服务器地址;rule 15 permit ip source host 221.13.223.140 destination any //RADIUS 服务器地址;rule 20 permit ip source 218.29.0.128 0.0.0.31 destination any //郑州分公司-1;rule 25 permit ip source 218.29.221.1 0.0.0.127 destination any //郑州分公司-2;rule 30 deny tcp source any destination any eq telnetrule 35 deny tcp source any destination any eq sshrule 40 deny tcp source any destination any eq ftprule 45 deny tcp source any destination any eq ftp-datarule 50 deny udp source any destination any eq tftprule 55 deny udp source any destination any eq snmprule 60 deny udp source any destination any eq snmptraprule 65 permit ip any any进入telnet 用户接口User-interface vty 0 4Acl 3000 in2、配置普通ACL并应用范例acl number 3001rule 5 permit ip#acl number 6000 match-order autorule 5 deny tcp destination-port eq 135rule 10 deny tcp destination-port eq 136rule 15 deny tcp destination-port eq 137rule 20 deny tcp destination-port eq 138rule 25 deny tcp destination-port eq 139rule 30 deny tcp destination-port eq 445rule 35 deny tcp destination-port eq 4444rule 40 deny udp destination-port eq 445rule 45 deny udp destination-port eq netbios-ssnrule 50 deny udp destination-port eq netbios-dgmrule 55 deny udp destination-port eq 135rule 60 deny udp destination-port eq netbios-nsrule 65 deny tcp destination-port eq 2745rule 70 deny tcp destination-port eq 3127rule 75 deny tcp destination-port eq 593rule 80 deny tcp destination-port eq 6129rule 85 deny udp destination-port eq 1434rule 90 deny ip source user-group help destination ip-address anyrule 95 deny ip source user-group iptv destination ip-address any[ACL6000是一个用户ACL,前面定义了防病毒部分,最后两条定义了HELP以及IPTV 里面的用户不能访问任何地址]#acl number 6001rule 5 permit ip source user-group iptv destination ip-address 202.102.249.0 0.0.0.255rule 10 permit ip source user-group iptv destination ip-address 61.168.222.0 0.0.1.255rule 15 permit ip source user-group iptv destination ip-address 61.168.224.0 0.0.3.255rule 20 permit ip source user-group iptv destination ip-address 61.168.228.0 0.0.1.255rule 25 permit ip source user-group iptv destination ip-address 61.158.216.0 0.0.1.255rule 30 permit ip source user-group iptv destination ip-address 61.158.218.0 0.0.0.255rule 35 permit ip source user-group iptv destination ip-address 202.102.224.68 0rule 40 permit ip source user-group iptv destination ip-address 202.102.227.68 0[定义了IPTV用户组里的用户可以访问的地址]#acl number 6002 match-order autorule 5 permit ip source user-group help destination ip-address 218.29.0.252 0 rule 10 permit ip source user-group help destination ip-address 202.102.224.68 0rule 15 permit ip source user-group help destination ip-address 202.102.227.68 0[定义了HELP用户组里的用户可以访问的地址]#traffic classifier limit operator orif-match acl 6000traffic classifier action operator orif-match acl 6002if-match acl 6001[定义了3个流量分类,分别匹配3个ACL,会和后面的流量动作配置组成策略。