ME60培训资料

ME60多业务控制网关---内部培训资料Page0建工局-zzlove2012-11Page1一、ME60产品简介1、ME60功能概述2、ME60产品类型3、ME60结构及槽位4、ME60主要单板Page21、ME60功能概述IP网络正处于向有机地集成在一起，克服了传统防火墙等设备无法适应电信级运营需求的缺陷，实现智能化的电信级IP承载网转型的过程中，核心网边缘设备的智能化是实现网络转型的关键。核心网边缘设备必须从简单的IP转发设备转型为智能化的多业务控制网关，以支持3G、NGN和IPTV等电信业务的开展。HUAWEIME60正是为满足这一转型需求而开发的智能化多业务控制网关设备，可充分保证各项电信业务的安全性、可靠性和QoS。基于ME60及相应的解决方案，运营商可以构建智能化的电信级IP承载网，实现IP网络的转型，将传统电信业务向新网络迁移。ME60将用户管理、安全控制、业务控制等各种功能了用户级的管理和控制，可大幅降低运营成本，为电信业务运营提供基础平台。ME60通过业务层与承载层的关联，实现对各类业务的用户鉴别、呼叫控制、策略控制、QoS保障、安全保障等功能。Page3ME60包括五款产品类型：ME60-X16、ME60-X8、ME60-X3、ME60-16和ME60-8。ME60-X16ME60-X82、ME60产品类型系统容量：交换容量640Gbps、接口容量320Gbps。转发性能：400Mpps端口密度：16x10Gbps系统结构：双主控热备份；网板1+3冗余备份；电源、风扇1+1热备份ME60-16设备参数备注：ME60-8相关参数均为ME60-16的1/2。Page43、ME60结构及槽位MPU（主控板）：槽位17、18。主备冗余SFU（交换网板）：槽位19-22。1+3冗余LPU（业务板）：槽位1-16。LPU可以是BSU、ESU、TSU或SSU。单板含义MPUME60-16主控板,完成系统的管理和控制平面的多数功能SRUME60-8主控板,与MPU基本相同,但增加交换网SFU交换网（ME60-16四块,ME60-8两块,另外两块在两个SRU上），分SFUA和SFUB两种BKPA系统无源背板,为各系统单元提供数据和控制通道的互连BSU宽带业务单元,提供用户接入和各种VPN业务目前提供1*10GE、10*GE和24*GE接口ESU企业业务单元,提供路由和各类VPN业务提供10*GE、1*10GE、10GPOS、4*2.5GPOS接口具体光模块请参见配置手册TSU隧道业务单元,提供GRE和LNS/LTS隧道相关的业务SSU安全业务单元,提供状态防火墙和NAT/ALG功能SBC会话控制单元,提供SBC功能低速接口单板通过兼容Rainier单板实现各类低速接口，如FE、ATM、E1/E3等Page54、ME60主要单板Page65、ME60物理架构Page75、ME60逻辑架构Page85、ME60交换网结构Page9二、ME60产品特性1、ME60以太网接口特性2、接入业务特性3、典型组网应用用户按域管理域可以理解为具有某种共同业务属性的用户群或者某种业务终端用户认证时，选择相应的域，按所选择的域来控制其业务按域实施控制策略认证计费策略：是否需要认证、计费，计费服务器故障后的计费策略带宽控制参数访问权限用户优先级、DSCP/802.1p等QoS参数路由策略，用户业务流分流按域部署/分配网络资源按域部署DHCPServer、RadiusServer、地址资源用户管理：管理用户的策略域可以用来对用户分群、业务终端分类用户管理：标识并定位用户的方法－PUPVPUPV：PerUserPerVLAN，离用户最近的L2或DSLAM为用户标记VLANID用户标识：帐号＋接入位置（BAS设备＋槽位＋端口＋VLAN）＋用户终端标识（IP、MAC地址用户安全性：通过VLAN隔离，防DHCP、ARP、PPPoE欺骗，防IP地址盗用私接用户防止：一个物理位置接入用户数限制帐号安全性：用户帐号和指定端口绑定网络攻击定位：每个用户的接入位置唯一，对网络的恶意攻击不可抵赖ME60LanSwitchVLAN1VLAN2PVC1PVC2PORT1PORT2PORT1+VLAN1PORT1+VLAN2PORT2+VLAN1PORT2+VLAN2ME60用户管理：接入认证PPP拨号认证PPPoE、PPPoEoA拨号本地地址池、RadiusServer、DHCPServer分配地址强推Portal门户802.1x认证支持WLAN用户的EAP-MD5认证和EAP-SIM认证Web认证强制WEB认证，强推Portal门户认证后二次地址分配端口绑定认证用户开机，无须输入用户名和密码费用计入该端口对应的帐号快速WEB认证端口绑定认证和WEB认证结合，无需输入用户名和密码，只需点击“确认”按钮认证方式灵活性同时支持PPP、802.1X、WEB、端口绑定认证，每个端口可以指定某种或某几种认证方式动态地址用户静态地址用户PPP拨号用户802.1x拨号用户用户管理：用户业务授权带宽控制：通过CAR实现基于用户帐号的带宽控制访问权限：支持基于用户分群的访问权限控制－－UCL（UserbasedACL），而不是传统路由器的基于地址段的ACL互访权限：支持基于用户分群的互访权限控制QoS优先级：区分用户服务，DSCP和802.1p组播权限：对用户组播权限控制，使组播业务可控策略路由：指定上行端口（下一跳）、VLAN、隧道动态授权：用户在接入过程中，根据业务需要修改用户权限，包括带宽、访问权限、QoS等当某个属性没有下发时，将按用户所在域的属性执行费用费用使用量（时间使用量（时间//流量流量//应用）应用）帐务周期结束点帐务周期结束点赠送使用量赠送使用量++计量制计量制计量制计量制跳档制跳档制计量制计量制++费用封顶费用封顶基本费基本费++计量制计量制基本费基本费++跳档制跳档制包月制包月制基本费基本费++免费使用量免费使用量++计量制计量制实时计费，提供时长、流量计费信息两级计费，运营商和代理运营商结算对帐按时长、流量计费区分接入方式：Eth、ADSL、WLAN区分带宽基于以上元素的各种灵活的资费策略多种支付手段按月结算可充值预付费卡一次性预付费卡用户管理：用户计费IP骨干网ME60L2L2防用户流失防资费流失、纠纷用户管理：防止私接和资费流失合法包月用户计时用户计时用户APWLAN用户DSLAM防高成本建设低资费收入案例2：三个同事申请一个包月帐号和两个计时帐号，共享包月帐号上网案例3：计时帐号被盗用后，发生资费纠纷案例1：以个人用户开通宽带，申请一个包月账号，通过proxy或带有NAT的RTU经营网吧业务案例4：WLAN接入，用ADSL帐号认证付费黑市网吧除了“转正”已别无选择！限制VLAN下接入用户数带宽CAR限制连接建立速度监控统计每月的流量Page17三、RADIUS特性与实现1、RADIUS特性概述2、ME60RADIUS特性实现3、ME60RADIUS特性规格Page181.1RADIUS特性概述RADIUS:RemoteAuthenticationDailInUserService定义了NAS与服务器的交互报文格式和交互过程，实现用户上线过程中的认证、计费、授权功能。采用C/S模型，NAS作为RADIUS服务器的客户端，发起用户的认证、计费请求。RADIUS采用MD5算法对用户口令加密及验证数字签名。RADIUS报文采用TLV格式，有较好的灵活扩展性。Page191.2RADIUS特性功能RADIUS实现了以下功能:用户上线过程中的认证功能。用户上线过程中的计费功能，以及用户在线时的实时计费功能。用户上线过程中直接对用户进行授权用户在线过程中的动态授权。使指定用户下线的功能，即DM（DisconnectMessage）。Page201.3RADIUS协议交互流程用户输入用户名密码认证请求包Access-request认证接受包Access-accept(可同时授权)计费开始请求包Accting-request计费开始响应包Accting-responseRADIUS服务器ME60Page211.3RADIUS协议交互流程用户访问网络资源实时计费请求包Accting-request实时计费请求响应包Accting-response授权包Coa-request授权回应包Coa-responseRADIUS服务器ME60Page221.3RADIUS协议交互流程通知访问结束计费结束请求包Accting-request（Stop）计费结束请求响应包Accting-responseRADIUS服务器ME60Page232.1RADIUS典型应用场景PCAccessNetwork路由器InternetRADIUS服务器（主）RADIUS服务器（备）Page242.3RADIUS服务器选择策略服务器状态控制策略。主备方式下的服务器选择策略。负载均衡方式下的服务器选择策略。（权重值）Page252.4RADIUS配置思路2、配置RADIUS服务器及选择算法。4、配置域，域下引用认证、计费模板、RADIUS服务器。1、在路由器上配置认证模板和计费模板。3、配置RADIUS认证、计费服务器和端口。Page262.4RADIUS配置思路[ME60]aaa[ME60-aaa]authentication-schemejgj1\\创建名为jgj1的认证方案[ME60-aaa-authen-jgj1]authentication-moderadius\\设置认证模式[ME60-aaa-authen-jgj1]quit[ME60-aaa]accounting-schemejgj2\\创建名为jgj2的计费方案[ME60-aaa-accounting-jgj2]accounting-moderadius\\设置计费模式[ME60-aaa-accounting-jgj2]quit[ME60-aaa]quit1、在路由器上配置认证模板和计费模板。1、在路由器上配置认证模板和计费模板。Page272.4RADIUS配置思路[ME60]radius-servergroupjxjgj\\创建radius服务器组[ME60-radius-jxjgj]radius-serveralgorithmmaster-backup\\设置算法2、配置RADIUS服务器及选择算法。3、配置RADIUS认证、计费服务器和端口。[ME60-radius-jxjgj]radius-serverauthentication129.7.66.661812[ME60-radius-jxjgj]radius-serveraccounting129.7.66.661813[ME60-radius-jxjgj]radius-serverauthentication129.7.66.661812[ME60-radius-jxjgj]radius-serveraccounting129.7.66.661813*对于radius的认证计费端口,有两组端口,一组为1812和1813,另一组是1645和1646.radius的认证和计费服务器通常是在一组服务器上。Page282.4RADIUS配置思路4、配置域，域下引用认证、计费模板、RADIUS服务器。[ME60]aaa[ME60-aaa]domainabc[ME60-aaa-domain-abc]authentication-schemejgj1\\域的认证方式关联[ME60-aaa-domain-abc]accounting-schemejgj2\\域的计费方式关联[ME60-aaa-domain-abc]radius-servergroupjxjgj\\域与radius组关联[ME60-aaa-domain-abc]ip-pool