单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/8/9 Sunday,#,2024/11/20,ME60培训资料,一、ME60产品简介,1、ME60功能概述,2、ME60产品类型,3、ME60结构及槽位,4、ME60主要单板,Page 2,1、ME60功能概述,IP 网络正处于向有机地集成在一起,克服了传统防火墙等设备无法适应电信级运营需求的缺陷,实现智能化的电信级IP 承载网转型的过程中,核心网边缘设备的智能化是实现网络转型的关键。核心网边缘设备必须从简单的IP转发设备转型为智能化的多业务控制网关,,以支持3G、NGN 和IPTV 等电信业务的开展。,HUAWEI ME60 正是为满足这一转型需求而开发的智能化多业务 控制网关设备,可充分保证各项电信业务的安全性、可靠性和QoS。基于ME60 及相应的解决方案,运营商可以构建智能化的电信级IP 承载网,实现IP 网络的转型,将传统电信业务向新网络迁移。ME60 将用户管理、安全控制、业务控制等各种功能了用户级的管理和控制,可大幅降低运营成本,为电信业务运营提供基础平台。ME60 通过业务层与承载层的关联,实现对各类业务的用户鉴别、呼叫控制、策略控制、QoS 保障、安全保障等功能。,Page 3,ME60 包括五款产品类型:ME60-X16、ME60-X8、ME60-X3、ME60-16 和ME60-8。,ME60-X16,ME60-X8,2、ME60产品类型,系统容量:交换容量640Gbps、接口容量320Gbps。,转发性能:400Mpps,端口密度:16x10Gbps,系统结构:双主控热备份;网板1+3冗余备份;电源、风扇1+1热备份,ME60-16设备参数,备注:ME60-8相关参数均为ME60-16的1/2。,Page 4,3、ME60结构及槽位,MPU(主控板):槽位17、18。主备冗余,SFU(交换网板):槽位19-22。1+3冗余,LPU(业务板):槽位1-16。,LPU可以是BSU、ESU、TSU或SSU。,Page 5,单板,含义,MPU,ME60-16主控板,完成系统的管理和控制平面的多数功能,SRU,ME60-8主控板,与MPU基本相同,但增加交换网,SFU,交换网(ME60-16四块,ME60-8两块,另外两块在两个SRU上),分SFUA和SFUB两种,BKPA,系统无源背板,为各系统单元提供数据和控制通道的互连,BSU,宽带业务单元,提供用户接入和各种VPN业务,目前提供1*10GE、10*GE和24*GE接口,ESU,企业业务单元,提供路由和各类VPN业务,提供10*GE、1*10GE、10G POS、4*2.5G POS接口,具体光模块请参见配置手册,TSU,隧道业务单元,提供GRE和LNS/LTS隧道相关的业务,SSU,安全业务单元,提供状态防火墙和NAT/ALG功能,SBC,会话控制单元,提供SBC功能,低速接口单板,通过兼容Rainier单板实现各类低速接口,如FE、ATM、E1/E3等,4、ME60主要单板,Page 6,5、ME60物理架构,Page 7,5、ME60逻辑架构,Page 8,5、ME60交换网结构,Page 9,二、ME60产品特性,1、ME60以太网接口特性,2、接入业务特性,3、典型组网应用,Page 10,用户按域管理,域可以理解为具有某种共同业务属性的用户群或者某种业务终端,用户认证时,选择相应的域,按所选择的域来控制其业务,按域实施控制策略,认证计费策略:是否需要认证、计费,计费服务器故障后的计费策略,带宽控制参数,访问权限,用户优先级、DSCP/802.1p等QoS参数,路由策略,用户业务流分流,按域部署/分配网络资源,按域部署 DHCP Server、Radius Server、地址资源,用户管理:管理用户的策略,域可以用来对用户分群、业务终端分类,用户管理:标识并定位用户的方法PUPV,PUPV:,Per User Per VLAN,离用户最近的L2 或 DSLAM 为用户标记 VLAN ID,用户标识:,帐号接入位置(BAS设备槽位端口VLAN)用户终端标识(IP、MAC地址,用户安全性,:,通过VLAN 隔离,防DHCP、ARP、PPPoE欺骗,防IP 地址盗用,私接用户防止:,一个物理位置接入用户数限制,帐号安全性:,用户帐号和指定端口绑定,网络攻击定位:,每个用户的接入位置唯一,对网络的恶意攻击不可抵赖,ME60,LanSwitch,VLAN1,VLAN2,PVC1,PVC2,PORT1,PORT2,PORT1,+VLAN1,PORT1,+VLAN2,PORT2,+VLAN1,PORT2,+VLAN2,ME60,DSLAM,分配静态地址,分配静态地址,在指定端口接入,分配动态地址,PPP用户从AAA 或本地地址池分配地址,PPP用户,从外部 DHCP Server统一分配地址,支持DHCP Relay,支持内置DHCP Server,地址的安全性,用户地址被绑定,防地址仿冒,用户关机后由MA5200G 释放已申请的地址,对VLAN下接入用户数限制,防止恶意申请地址,DHCP,Server,Internet,伪造MAC地址不断申请IP地址,关机不释放IP地址,长时间占用地址资源,盗用其它用户地址,ME60,Radius,Server,用户管理:地址分配,用户管理:接入认证,PPP拨号认证,PPPoE、PPPoEoA拨号,本地地址池、Radius Server、DHCP Server分配地址,强推Portal 门户,802.1x认证,支持WLAN用户的EAP-MD5认证和EAP-SIM认证,Web认证,强制WEB认证,强推Portal门户,认证后二次地址分配,端口绑定认证,用户开机,无须输入用户名和密码,费用计入该端口对应的帐号,快速WEB认证,端口绑定认证和 WEB认证结合,无需输入用户名和密码,只需点击“确认”按钮,认证方式灵活性,同时支持PPP、802.1X、WEB、端口绑定认证,每个端口可以指定某种或某几种认证方式,动态地址用户,静态地址用户,PPP拨号用户,802.1x拨号用户,用户管理:用户业务授权,带宽控制:,通过CAR实现基于用户帐号的带宽控制,访问权限:,支持基于用户分群的访问权限控制,UCL(User based ACL),,而不是传统路由器的基于地址段的ACL,互访权限:,支持基于用户分群的互访权限控制,QoS优先级:,区分用户服务,DSCP 和 802.1p,组播权限:,对用户组播权限控制,使组播业务可控,策略路由:,指定上行端口(下一跳)、VLAN、隧道,动态授权:,用户在接入过程中,根据业务需要修改用户权限,包括带宽、访问权限、QoS等,当某个属性没有下发时,将按用户所在域的属性执行,实时计费,提供时长、流量计费信息,两级计费,运营商和代理运营商结算对帐,按时长、流量计费,区分接入方式:Eth、ADSL、WLAN,区分带宽,基于以上元素的各种灵活的资费策略,多种支付手段,按月结算,可充值预付费卡,一次性预付费卡,用户管理:用户计费,IP骨干网,ME60,L2,L2,防用户流失,防资费流失、纠纷,用户管理:防止私接和资费流失,合法包月用户,计时用户,计时用户,AP,WLAN用户,DSLAM,防高成本建设,低资费收入,案例2:,三个同事申请一个包月帐号和两个计时帐号,共享包月帐号上网,案例3:,计时帐号被盗用后,发生资费纠纷,案例1:,以个人用户开通宽带,申请一个包月账号,通过 proxy 或带有NAT 的 RTU 经营网吧业务,案例4:,WLAN接入,用ADSL帐号认证付费,黑市网吧除了“转正”已别无选择!,限制 VLAN 下接入用户数,带宽 CAR,限制连接建立速度,监控统计每月的流量,三、RADIUS特性与实现,1、RADIUS特性概述,2、ME60 RADIUS特性实现,3、ME60 RADIUS特性规格,Page 18,1.1 RADIUS特性概述,RADIUS:Remote Authentication Dail In User Service,定义了NAS与服务器的交互报文格式和交互过程,实现用户上线过程中的认证、计费、授权功能。,采用C/S模型,NAS作为RADIUS服务器的客户端,发起用户的认证、计费请求。,RADIUS采用MD5算法对用户口令加密及验证数字签名。,RADIUS报文采用TLV格式,有较好的灵活扩展性。,Page 19,1.2 RADIUS特性功能,RADIUS实现了以下功能:,用户上线过程中的认证功能。,用户上线过程中的计费功能,以及用户在线时的实时计费功能。,用户上线过程中直接对用户进行授权,用户在线过程中的动态授权。,使指定用户下线的功能,即DM(Disconnect Message)。,Page 20,1.3 RADIUS协议交互流程,用户输入用户名密码,认证请求包 Access-request,认证接受包Access-accept(可同时授权),计费开始请求包 Accting-request,计费开始响应包Accting-response,RADIUS服务器,ME60,Page 21,1.3 RADIUS协议交互流程,用户访问网络资源,实时计费请求包 Accting-request,实时计费请求响应包 Accting-response,授权包 Coa-request,授权回应包 Coa-response,RADIUS服务器,ME60,Page 22,1.3 RADIUS协议交互流程,通知访问结束,计费结束请求包 Accting-request(Stop),计费结束请求响应包Accting-response,RADIUS服务器,ME60,Page 23,2.1 RADIUS典型应用场景,PC,Access Network,路由器,Internet,RADIUS服务器(主),RADIUS服务器(备),Page 24,2.3 RADIUS服务器选择策略,服务器状态控制策略。,主备方式下的服务器选择策略。,负载均衡方式下的服务器选择策略。(权重值),Page 25,2.4 RADIUS配置思路,2、配置RADIUS服务器及选择算法。,4、配置域,域下引用认证、计费模板、RADIUS服务器。,1、在路由器上配置认证模板和计费模板。,3、配置RADIUS认证、计费服务器和端口。,Page 26,2.4 RADIUS配置思路,ME60aaa,ME60-aaaauthentication-scheme jgj1 创建名为jgj1的认证方案,ME60-aaa-authen-jgj1authentication-mode radius 设置认证模式,ME60-aaa-authen-jgj1quit,ME60-aaaaccounting-scheme jgj2 创建名为jgj2的计费方案,ME60-aaa-accounting-jgj2accounting-mode radius 设置计费模式,ME60-aaa-accounting-jgj2quit,ME60-aaaquit,1、在路由器上配置认证模板和计费模板。,1、在路由器上配置认证模板和计费模板。,Page 27,2.4 RADIUS配置思路,ME60radius-server group jxjgj 创建radius服务器组,ME60-radius-jxjgjradius-server algorithm master-backup 设置算法,2、配置RADIUS服务器及选择算法。,3、配置RADIUS认证、计费服务器和端口。,ME60-radius-jxjgjradius-server authentication 129.7.66.66 1812,ME60-radius-jxjgjradius-server accounting 129.7.66.66 1813,ME60-radius-jxjgjradius-server auth