BRAS设备介绍与配置.ppt

《BRAS设备介绍与配置.ppt》由会员分享，可在线阅读，更多相关《BRAS设备介绍与配置.ppt（38页珍藏版）》请在三一办公上搜索。

1、BRAS设备介绍与配置,孙志勇 2010/4/13,Juniper BRAS设备介绍华为BRAS设备介绍华为MA5200G开局简介,Juniper BRAS设备介绍,Juniper网络公司E-系列边缘路由器设计用来满足网络边缘的不同要求，提供统一的JUNOse软件、特性以及可编程ASIC技术，实现可预测的性能和业务灵活性。ERX的创新设计将路由处理器移出了转发路径，并在每个端口上维护完整的路由表，为IP业务提供了一条快速路径。E-系列路由器采用某种特殊的方法接入拥有IP、ATM、帧中继支持技术，为IP业务部署提供了高度可靠、可扩展的灵活路由平台。E-系列平台提供了端口多样性、性能和灵活IP业务

2、功能，来满足服务供应商不断提高的要求。,Juniper BRAS设备优势,从5Gbps到40Gbps的汇聚吞吐速率实现业界领先的性能。所有端口均可提供全部特性和业务，而不会牺牲性能。可通过单一E-系列平台部署多种基于IP的业务，最大限度利用投资。可进行扩展，支持复杂的大型转发表。可与其他厂商的设备互操作，易于集成到现有网络中。,Juniper BRAS设备性能,Quidway MSCG多业务控制网关设备介绍,MA5200G是华为公司针对宽带城域网向多业务承载网方向的发展趋势，专门研发的大容量、高性能的宽带业务控制网关。MA5200G部署在城域网的边缘汇聚层，采用先进的分布式硬件体系结构和大容量

3、无阻塞硬件转发技术，提供大容量、高密度端口、电信级可靠性、线速转发性能、完整的QoS机制、丰富的业务处理能力，可作为多业务承载网的终端接入认证网关、业务控制网关、安全控制网关，和专线PE，为网络运营商提供统一完整的宽带数据接入和业务运营方案。MA5200G是一个系列化产品，包括MA5200G-2、MA5200G-4、MA5200G-8三款型号，三款产品在业务板数量、接入用户数和交换容量等性能规格上不同，可以适应不同网络规模的组网要求。,Quidway MSCG多业务控制网关设备介绍,ME60是具有大容量、高性能、强业务融合和业务智能处理与控制能力的多业务控制网关（MSCG：Multi-Serv

4、ice Control Gateway），定位于NGN/3G承载网的核心层边缘，是IP网络从承载单一的 Internet 业务向承载数据、语音、视频、3G、NGN等业务的关键设备。ME60部署在多业务城域网的边缘，接入各种接入网，提供各种业务的统一接入和传输。ME60提供强大的业务隔离手段、安全控制功能、QoS保障能力、高可靠性保证，为多业务承载提供保证，并同时大幅降低网络的建设成本和运维成本。ME60系列产品包括ME60-8和ME60-16两款，可以适应不同规模网络的组网需求。,Quidway MA5200G多业务控制网关产品特点,MA5200G-2/MA5200G-4/MA5200G-8的

5、背板容量分别为64Gbps/256Gbps/256Gbps，系统交换容量分别为16Gbps/64Gbps/64Gbps，提供2/4/8个业务槽位，每板最大提供4 GE/32 FE/16 ATM 155M/4 ATM 622M/4 POS 155M/2 POS 622M/1 POS 2.5G，支持1.2万/2.4万/4.8万并发在线用户，大容量的接入能力、丰富的接口种类、高密度的端口可以适应“大容量、少局所、扁平化”的电信级城域网组网需求。MA5200G采用业界主流的网络处理器技术，实现GE接口在内的所有接口的IP、MPLS、PPPoE、组播报文的线速转发，单板支持双向3Mpps转发能力，MA5

6、200G-2/MA5200G-4/MA5200G-8整机转发性能达到6Mpps/12Mpps/24Mpps。,Quidway MA5200G多业务控制网关产品特点,路由器能力强，支持丰富的路由协议，包括静态路由、RIP1/2、OSPF、BGP、IS-IS单播路由协议和PIM-SM、PIM-DM、MBGP、IGMP V1/V2等组播路由协议，单播路由表可以达到512K条的路由，组播路由表可以达到 8K 条组播路由。支持L2TP、GRE、LSP等隧道协议，支持 MPLS 标签交换和 MPLS L3 VPN、MPLS L2 VPLS 业务，能够同时对接入用户和IP专线用户提供MPLS VPN业务。M

7、A5200G提供电信级可靠性，采用分布式硬件转发，各关键部件包括路由处理系统、业务处理系统、交换网系统、时钟系统、电源、系统内部管理总线、风扇全部为冗余热备份，各部件在主备倒换时，用户的业务不中断。灵活的的接入认证方式。丰富的计费方案。,Quidway MA5200G多业务控制网关产品特点,有效的地址管理功能。强大的业务管理能力和QoS控制。提供丰富的业务功能，支持强大的单播、组播业务，可以大规模开展IPTV业务。提供完善的安全机制，通过身份认证、ACL、防攻击等技术手段，提供身份鉴别、防地址仿冒、攻击防护等完善的安全功能。运营级的管理维护,Quidway ME60多业务控制网关产品特点,ME

8、60是基于华为公司的Terabit级平台，提供640Gbps/2.56Tbps超大交换容量，240M/480Mpps转发性能，10Gbps高性能业务处理单板和业务接口。ME60设备单板支持12K并发用户，整机支持最大96K并发用户。ME60特别加强了系统可靠性设计，实现业务的零损失和倒换。ME60提供强大的业务接入能力和控制能力，能够无差异的向通过任意方式接入的企业用户和个人提供各类增值业务。ME60内置了强大的5级层次化调度器，单板提供256K队列，能够提供层次化的优先级调度，拥塞避免，流量监管和整形等功能。通过层次化调度器，ME60能够保证接入网络的QoS，从而提高用户的业务体验。持续的升

9、级能力,Quidway MA5200G/ME60开局介绍,系统配置PPPoE配置,Quidway MA5200G/ME60开局介绍,系统配置,Quidway MA5200G/ME60开局介绍,操作用户的管理,（1）在本地AAA服务器视图下增加本地操作用户：user注意：在增加操作用户的时候最少要设置一个操作用户的属性才能创建成功。（2）在AAA服务器视图下设置操作用户的属性：user username block设置操作用户的状态；user username authentication-type设置接入操作用户类型；user username password设置操作用户密码；user us

10、ername level设置操作用户等级；user username ftp-directory设置允许FTP用户访问的路径；user username idle-cut设置允许切断闲置的操作用户。,Quidway MA5200G/ME60开局介绍,虚拟用户终端接口设置,在进行telnet远程维护的时候需要配置虚拟用户终端接口。（1）使用user-interface vty进入VTY视图（2）设置虚拟用户的管理属性：idle-timeout设置终端用户超时时间；user privilege设置用户终端的优先级；authentication-mode设置用户终端的认证方式；set authent

11、ication password设置用户认证密码。注意：如果通过维护配置网口和维护终端直连，二者必须配置同一网段下的IP地址。,Quidway MA5200G/ME60开局介绍,文件系统的日常操作,MA5200G所管理的文件主要有BootROM的程序文件、主机软件的程序文件、系统配置文件、系统信息文件（如调试信息、日志信息、告警信息）和话单文件等。Mkdir 创建目录；Rmdir 删除目录；Pwd 显示当前的工作目录；Dir 显示目录或文件信息；Cd 改变当前目录。delete/unreserved 删除文件；Undelete 恢复删除文件；reset recycle-bin 彻底删除回收站中

12、的文件；Rename 重新命名文件；,Quidway MA5200G/ME60开局介绍,常用维护命令,显示版本信息 display version切换操作语言 language-mode查看设备信息 display device复位系统 reboot whole router复位单板 reset slot查看配置信息 display current-configuration查看告警信息 display trapbuffer,Quidway MA5200G/ME60开局介绍,PPPoE配置,Quidway MA5200G/ME60开局介绍,PPPoE业务的基本流程,PPPOE的报文封装是直接在

13、以太网上进行PPP报文的封装，因此其基本的组网形态就是一台计算机直接接在MA5200G的以太网接口上面进行PPP拨号。如下图：,Quidway MA5200G/ME60开局介绍,PPPoE配置的基本流程,用来给用户分配IP地址,设定用户是采用radius认证还是不认证,设定用户是采用radius计费还是不计费,设置所采用的radius服务器的参数,设定用户所使用的域，以及域下的参数,使能用户接口的BAS功能并进行设置,Quidway MA5200G/ME60开局介绍,配置地址池,无论是动态获取IP的用户还是采用静态IP地址接入的用户都需要配置地址池。地址池的作用主要是给用户分配地址、分配DNS

14、地址，以及给接入用户提供一个三层接口（gateway）。MA5200G的地址池分为两种：一种是本地地址池，这是MA5200G内置DHCP的一种方式；一种是外置地址池，这是采用外置的DHCP服务器来给用户分配地址的一种方式。,Quidway MA5200G/ME60开局介绍,配置地址池,配置本地地址池：（1）创建一个名为huawei的本地地址池MA5200Gip pool huawei local（2）设置地址池缺省网关（3）创建一个地址段（4）配置DNS服务器,Quidway MA5200G/ME60开局介绍,配置地址池,配置远端地址池：在外置DHCP的情况下也需要进行地址池的配置，这里配置地

15、址池的主要作用是指定一个gateway用户用户的三层接口地址。（1）配置名为remotedhcp的DHCP服务器组MA5200Gdhcp-server group remotedhcp（2）指定DHCP服务器地址（3）创建远端地址池MA5200Gip pool huaweiremote remote（3）配置远端地址池（指定gateway和绑定DHCP服务器组）MA5200G-ip-pool-huaweiremotedhcp-server group remotedhcp,Quidway MA5200G/ME60开局介绍,配置认证方案,在这里首先是要配置一个认证方案，然后再为这个认证方案设置相

16、应的认证方法。（1）添加一个新的认证方案Auth1MA5200G-aaaauthentication-scheme Auth1（2）配置此认证方案的认证方法为radius认证MA5200G-aaa-authen-auth1authentication-mode radius,配置认证方案,在这里首先是要配置一个计费方案，然后再为这个计费方案设置相应的计费方法。（1）添加一个新的计费方案Acct1MA5200G-aaa accounting-scheme Acct1（2）配置此计费方案的计费方法为radius计费MA5200G-aaa-authen-acct1 accounting-mode r

17、adius,注意：如果只建立了认证方案或者计费方案，而没有配置相应的方法的话，默认是radius认证radius计费,Quidway MA5200G/ME60开局介绍,配置Radius组,用户在进行认证的时候需要配置radius服务器组，在组里面主要指定radius服务器的地址，以及认证和计费的端口，密钥等等参数。（1）建立一个名为radius1的radius服务器组MA5200Gradius-server group radius1（2）配置主用radius认证服务器的地址和端口号MA5200G-radius-radius1radius-server authentication 202.1

18、0.1.2 1812（3）配置备用radius认证服务器的地址和端口号MA5200G-radius-radius1radius-server authentication 218.18.1.18 1812 secondary（4）配置主用radius计费服务器的地址和端口号MA5200G-radius-radius1radius-server accounting 202.10.1.2 1813（5）配置备用radius计费服务器的地址和端口号MA5200G-radius-radius1radius-server accounting 218.18.1.18 1813 secondary,Qu

19、idway MA5200G/ME60开局介绍,配置域,总共有两种域，一种是认证前的域，一种是认证域。对于WEB认证的用户来说，认证前的域主要是用来获取IP地址的。我们需要明确，做WEB认证的用户必须首先获取IP地址，只有一个合法的用户才能获取到IP地址，因此，在用户进行WEB认证之前我们需要先让这个用户“合法化”，使之获取一个IP地址。这样我们首先给用户指定一个“认证前”的域，在这个域里面指定用户所使用的地址池，以及认证策略，同时利用UCL将这个域里面的用户的权限进行限制，使域里面的用户只能访问WEB服务器等资源。然后用户就会到这个指定的WEB服务器上进行认证，认证通过之后的用户将属于另外一个

20、域，我们只需要在这个域里面将用户全部的上网权限打开就可以了。,Quidway MA5200G/ME60开局介绍,配置域,有两个默认的域default0和default1，这两个域只能修改不能删除。其中default0的默认策略是不认证不计费，default1的默认策略是radius认证radius计费。（1）配置认证前的域由于认证前的域主要是用来给用户分配IP地址的，因此我们在这里可以使用默认的default0这个域MA5200G-aaadomain default0（2）配置域内地址池 MA5200G-aaa-domain-default0ip-pool huawei（3）配置用户所属的UC

21、L-GROUPMA5200G-aaa-domain-default0ucl-group 1（4）配置强制WEB的地址MA5200G-aaa-domain-default0web-server url,Quidway MA5200G/ME60开局介绍,配置域,配置认证域，认证域是用户认证通过之后属于的域，所以在认证域里面主要要配置相应的认证策略，计费策略以及radius服务器等等。（1）配置认证域MA5200G-aaadomain isp（2）指定认证域内的认证方案和计费方案 MA5200G-aaa-domain-ispauthentication-scheme Auth1MA5200G-aaa

22、-domain-ispaccounting-scheme Acct1（3）指定该域使用的radius服务器MA5200G-aaa-domain-ispradius-server group radius1,注意：如果只建立了一个域，而没有指定认证计费策略的话，该域所采用的是radius认证radius计费的策略。,Quidway MA5200G/ME60开局介绍,配置WEB认证服务器,如果用户需要采用WEB认证方式的话，需要在这里配置WEB认证服务器的参数，参数主要包括IP地址和密钥。（1）配置WEB认证服务器，密钥为huaweiMA5200G-aaa web-auth-server 10.1

23、.1.1 key huawei 如果用户需要采用强制WEB认证方式的话可以配置以下内容：（2）在认证前的域内指定强制WEB的地址MA5200G-aaa-domain-default0web-server url,注意：WEB认证服务器是必须要配置的。强制WEB的配置视客户需要可以选择配置。,Quidway MA5200G/ME60开局介绍,配置ACL规则,这里配置ACL规则的主要目的是限制用户在认证前域获取了地址之后的上网权限。（1）首先配置一个rule-map MA5200Grule-map rule1 ip user-group 1 any这里就建立了一个rule，这个rule表示了use

24、r-group 1里面的用户和所有目的地址的关系。（2）配置一条EACL，禁止user-group 1对any的访问MA5200Geacl global rule1 deny（3）将配置号的EACL应用到所有接口MA5200Gaccess-group eacl global,Quidway MA5200G/ME60开局介绍,配置ACL规则,在做完上面的禁止访问的操作之后，在实际配置的时候我们还需要将一些目的地的权限放开，比如WEB认证服务器，DNS服务器等等。比如DNS服务器的地址是，那么我们可以通过如下的配置来将用户对DNS的访问权限放开。（1）首先配置一个rule-map MA5200Gr

25、ule-map rule1 ip这里就建立了一个rule，这个rule表示了user-group 1里面的用户和地址的关系。（2）配置一条EACL，允许user-group 1对的访问MA5200Geacl global rule1 permit（3）将配置号的EACL应用到所有接口MA5200Gaccess-group eacl global,Quidway MA5200G/ME60开局介绍,配置上行接口,（1）进入上行接口配置视图MA5200Ginterface Ethernet7/0/15（2）激活上行接口MA5200Gundo shutdown（3）配置IP地址,Quidway MA5

26、200G/ME60开局介绍,VT接口的创建,注：进行PPPOE配置的时候同样要配置地址池、认证计费方案、radius、域。但是这些配置都是和前面相同的，这里就不再描述了。这里主要描述PPPOE和其它配置所不同的地方。（1）创建VT接口VT接口主要是用来对报文的PPP协议层进行处理的，因此在配置PPP接入业务的时候我们首先要创建VT接口，并且在接口下面指定相应的PPP验证方式（是PAP还是CHAP）。MA5200Ginterface Virtual-Template 1（2）设置PPP的验证方式MA5200G-Virtual-Template1ppp authentication-mode pa

27、p,注意：1、对于PPP的验证方式可以设置为PAP，也可以设置为CHAP，具体要看对接的设备是采用什么样的方式来进行PPP验证的。,Quidway MA5200G/ME60开局介绍,将VT接口和实际物理端口绑定,（1）进入实际的物理以太网接口MA5200Ginterface ethernet 3/0/7（2）激活接口MA5200G-Ethernet3/0/7undo shutdown（3）绑定VT到接口MA5200G-Ethernet3/0/7pppoe-server bind virtual-template 1,注意：1、这里由于是采用的PPPOE的方式，没有vlan id，所以将VT绑定

28、到了主接口下面。,Quidway MA5200G/ME60开局介绍,BAS的相关配置,（1）进入BAS接口视图MA5200G-Ethernet3/0/7bas（3）设置端口下的用户为二层用户MA5200G-Ethernet3/0/7-BASaccess-type layer2-subscriber（5）设置用户的认证域MA5200G-Ethernet3/0/7-BAS default-domain authentication isp（6）设置端口下用户采用的认证方式MA5200G-Ethernet3/0/7-BASauthentication-method ppp,注意：1、PPPOE接入是没有vlan的，所以只能在主接口下进行配置。,Quidway MA5200G/ME60开局介绍,总结,在配置不同的业务的时候，地址池、域、radius、认证策略、计费策略的配置都是相同的。所不同的只是根据不同的业务类型进行不同的接口配置。然后在相应的接口下面进行BAS平面的配置。,Q&A,?,谢 谢！,