ME60多业务控制网关产品简介.pptx

《ME60多业务控制网关产品简介.pptx》由会员分享，可在线阅读，更多相关《ME60多业务控制网关产品简介.pptx（58页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国铁通ME60 多业务控制网关产品简介Page 0一、ME60产品简介1、ME60功能概述功能概述2、ME60产品类型产品类型3、ME60结构及槽位结构及槽位4、ME60主要单板主要单板Page 11、ME60功能概述功能概述IP 网络正处于向有机地集成在一起，克服了传统防火墙等设备无法适应电信级运营需求的缺陷，实现智能化的电信级IP 承载网转型的过程中，核心网边缘设备的智能化是实现网络转型的关键。核心网边缘设备必须从简单的IP转发设备转型为智能化的多业务控制网关，以支持3G、NGN 和IPTV 等电信业务的开展。HUAWEI ME60 正是为满足这一转型需求而开发的智能化多业务 控制网关设

2、备，可充分保证各项电信业务的安全性、可靠性和QoS。基于ME60 及相应的解决方案，运营商可以构建智能化的电信级IP 承载网，实现IP 网络的转型，将传统电信业务向新网络迁移。ME60 将用户管理、安全控制、业务控制等各种功能了用户级的管理和控制，可大幅降低运营成本，为电信业务运营提供基础平台。ME60 通过业务层与承载层的关联，实现对各类业务的用户鉴别、呼叫控制、策略控制、QoS 保障、安全保障等功能。Page 2ME60 包括五款产品类型：ME60-X16、ME60-X8、ME60-X3、ME60-16 和ME60-8。ME60-X16ME60-X82、ME60产品类型产品类型系统容量：交

3、换容量640Gbps、接口容量320Gbps。转发性能：400Mpps端口密度：16x10Gbps系统结构：双主控热备份；网板1+3冗余备份；电源、风扇1+1热备份ME60-16设备参数备注：ME60-8相关参数均为ME60-16的1/2。Page 33、ME60结构及槽位结构及槽位uMPU（主控板）：槽位17、18。主备冗余uSFU（交换网板）：槽位19-22。1+3冗余uLPU（业务板）：槽位1-16。LPU可以是BSU、ESU、TSU或SSU。Page 44、ME60主要单板主要单板uMPUMPU：ME60-16ME60-16主控板，完成系统的管理和控制平面的多数功能。主控板，完成系统的

4、管理和控制平面的多数功能。uSFUSFU：交换网，分：交换网，分SFUASFUA和和SFUBSFUB两种。两种。uBSUBSU：宽带业务单元，提供用户接入和各种：宽带业务单元，提供用户接入和各种VPNVPN业务。提供业务。提供10GE10GE接口。接口。uESUESU：企业业务单元，提供路由和各类：企业业务单元，提供路由和各类VPNVPN业务。提供业务。提供10GE10GE，10G 10G POS,4*2.5G POSPOS,4*2.5G POS接口。接口。uTSUTSU：隧道业务单元，提供：隧道业务单元，提供GREGRE和和LNS/LTSLNS/LTS隧道相关业务。隧道相关业务。uSSUSS

5、U：安全业务单元，提供状态防火墙和：安全业务单元，提供状态防火墙和NAT/ALGNAT/ALG功能。功能。Page 55、ME60逻辑架构逻辑架构Page 6二、ME60产品特性1、ME60以太网接口特性以太网接口特性2、宽带接入业务特性、宽带接入业务特性3、典型组网应用、典型组网应用Page 71、ME60以太网接口特性以太网接口特性uGEGE接口支持流量控制和速率自协商。接口支持流量控制和速率自协商。u最多可捆绑最多可捆绑1616个物理以太网端口，捆绑后的个物理以太网端口，捆绑后的ETH-TRUNKETH-TRUNK功能与普通口一致。功能与普通口一致。u支持不同单板的端口捆绑到同一个支持不

6、同单板的端口捆绑到同一个ETH-TRUNKETH-TRUNK。u支持主备工作模式，能够根据接口链路状态自动进行主备切换。支持主备工作模式，能够根据接口链路状态自动进行主备切换。u支持跨设备的支持跨设备的E-TRUNKE-TRUNK。u支持支持LACP,LACP,聚合条件发生改变时，自动调整或解散聚合。聚合条件发生改变时，自动调整或解散聚合。u支持支持IPV4IPV4、IPV6IPV6和和MPLSMPLS的的MTUMTU配置。配置。Page 82、ME60宽带接入业务特性宽带接入业务特性u用户接入：用户接入：xDSLxDSL，Ethernet,WLANEthernet,WLAN，HFC,ipv4

7、HFC,ipv4，ipv4/ipv6ipv4/ipv6双栈接入双栈接入u接入和认证：接入和认证：PPPPPP、DHCPDHCP、WEBWEB、AAAAAAu授权授权:bandwidth,ACL,Priority,Routing Policy,DSS:bandwidth,ACL,Priority,Routing Policy,DSS动态业务选择动态业务选择u安全安全:通过通过VLANVLAN和和VPNVPN隔离用户隔离用户,绑定检查绑定检查uVLAN:4k VLANVLAN:4k VLAN端口端口;64k QinQ;64k QinQ端口端口.uPVC:64K pvcPVC:64K pvc端口端口

8、.uISP/ISP/用户域用户域:1K.:1K.Page 93、ME60典型典型组网应用组网应用1.1.用户管理用户管理:用户按域管理。认证时，通过域的配置进行控制。包括认证计费用户按域管理。认证时，通过域的配置进行控制。包括认证计费 策略，带宽控制参数，访问权限，优先级。策略，带宽控制参数，访问权限，优先级。3.PUPV:3.PUPV:标示并定位用户。标示并定位用户。2.2.接入认证：接入认证：PPPPPP拨号认证、拨号认证、802.1802.1认证、认证、webweb认证、端口绑定认证、快速认证、端口绑定认证、快速 web web认证。认证。Page 10三、RADIUS特性与实现1、RA

9、DIUS特性概述特性概述2、ME60 RADIUS特性实现特性实现3、ME60 RADIUS特性规格特性规格Page 111.1 RADIUS特性概述特性概述RADIUS:Remote Authentication Dail In User ServiceRADIUS:Remote Authentication Dail In User Serviceu定义了定义了NASNAS与服务器的交互报文格式和交互过程，实现用户上线过程中的认证、与服务器的交互报文格式和交互过程，实现用户上线过程中的认证、计费、授权功能。计费、授权功能。u采用采用C/SC/S模型，模型，NASNAS作为作为RADIUSR

10、ADIUS服务器的客户端，发起用户的认证、计费请服务器的客户端，发起用户的认证、计费请求。求。uRADIUSRADIUS采用采用MD5MD5算法对用户口令加密及验证数字签名。算法对用户口令加密及验证数字签名。uRADIUSRADIUS报文采用报文采用TLVTLV格式，有较好的灵活扩展性。格式，有较好的灵活扩展性。Page 121.2 RADIUS特性功能特性功能RADIUSRADIUS实现了以下功能实现了以下功能:u用户上线过程中的认证功能。用户上线过程中的认证功能。u用户上线过程中的计费功能，以及用户在线时的实时计费功能。用户上线过程中的计费功能，以及用户在线时的实时计费功能。u用户上线过程

11、中直接对用户进行授权用户上线过程中直接对用户进行授权u用户在线过程中的动态授权。用户在线过程中的动态授权。u使指定用户下线的功能，即使指定用户下线的功能，即DMDM（Disconnect MessageDisconnect Message）。）。Page 131.3 RADIUS协议交互流程协议交互流程用户输入用户名密码用户输入用户名密码认证请求包认证请求包 Access-request Access-request认证接受包认证接受包Access-accept(Access-accept(可同时授权可同时授权)计费开始请求包计费开始请求包 Accting-request Accting-re

12、quest计费开始响应包计费开始响应包Accting-responseAccting-responseRADIUSRADIUS服务器服务器ME60ME60Page 141.3 RADIUS协议交互流程协议交互流程用户访问网络资源用户访问网络资源实时计费请求包实时计费请求包 Accting-request Accting-request实时计费请求响应包实时计费请求响应包 Accting-response Accting-response授权包授权包 Coa-request Coa-request授权回应包授权回应包 Coa-response Coa-responseRADIUSRADIUS服务

13、器服务器ME60ME60Page 151.3 RADIUS协议交互流程协议交互流程通知访问结束通知访问结束计费结束请求包计费结束请求包 Accting-request Accting-request（StopStop）计费结束请求响应包计费结束请求响应包Accting-responseAccting-responseRADIUSRADIUS服务器服务器ME60ME60Page 162.1 RADIUS典型应用场景典型应用场景PCPCAccess Access NetworkNetwork路由器路由器InternetInternetRADIUSRADIUS服务器（主）服务器（主）RADIUSRA

14、DIUS服务器（备）服务器（备）Page 172.2 2.2 山东铁通山东铁通RADIUSRADIUS部署架构图部署架构图Page 182.3 RADIUS服务器选择策略服务器选择策略u服务器状态控制策略。服务器状态控制策略。u主备方式下的服务器选择策略。主备方式下的服务器选择策略。u负载均衡方式下的服务器选择策略。（权重值）负载均衡方式下的服务器选择策略。（权重值）Page 192.4 RADIUS配置思路配置思路2 2、配置、配置RADIUSRADIUS服务器及选择算法。服务器及选择算法。4 4、配置域，域下引用认证、计费模板、配置域，域下引用认证、计费模板、RADIUSRADIUS服务器

15、。服务器。1 1、在路由器上配置认证模板和计费模板。、在路由器上配置认证模板和计费模板。3 3、配置、配置RADIUSRADIUS认证、计费服务器和端口。认证、计费服务器和端口。Page 202.4 RADIUS配置思路配置思路ME60aaaME60aaaME60-aaaauthentication-scheme auth1 ME60-aaaauthentication-scheme auth1 创建名为创建名为auth1auth1的认证方案的认证方案ME60-aaa-authen-auth1authentication-mode radius ME60-aaa-authen-auth1aut

16、hentication-mode radius 设置认证模式设置认证模式ME60-aaa-authen-auth1quitME60-aaa-authen-auth1quitME60-aaaaccounting-scheme acct1 ME60-aaaaccounting-scheme acct1 创建名为创建名为acct1acct1的计费方案的计费方案ME60-aaa-accounting-acct1accounting-mode radius ME60-aaa-accounting-acct1accounting-mode radius 设置计费模式设置计费模式ME60-aaa-accou

17、nting-acct1quitME60-aaa-accounting-acct1quitME60-aaaquitME60-aaaquit1 1、在路由器上配置认证模板和计费模板。、在路由器上配置认证模板和计费模板。1 1、在路由器上配置认证模板和计费模板。、在路由器上配置认证模板和计费模板。Page 212.4 RADIUS配置思路配置思路ME60radius-server group cttsd ME60radius-server group cttsd 创建创建radiusradius服务器组服务器组ME60-radius-cttsdradius-server algorithm mast

18、er-backup ME60-radius-cttsdradius-server algorithm master-backup 设置算法设置算法2 2、配置、配置RADIUSRADIUS服务器及选择算法。服务器及选择算法。3 3、配置、配置RADIUSRADIUS认证、计费服务器和端口。认证、计费服务器和端口。ME60-radius-cttsdradius-server authentication 129.7.66.66 1812ME60-radius-cttsdradius-server authentication 129.7.66.66 1812ME60-radius-cttsdra

19、dius-server accounting 129.7.66.66 1813ME60-radius-cttsdradius-server accounting 129.7.66.66 1813ME60-radius-cttsdradius-server authentication 129.7.66.66 1812ME60-radius-cttsdradius-server authentication 129.7.66.66 1812ME60-radius-cttsdradius-server accounting 129.7.66.66 1813ME60-radius-cttsdradi

20、us-server accounting 129.7.66.66 1813*对于对于radiusradius的认证计费端口的认证计费端口,有两组端口有两组端口,一组为一组为18121812和和1813,1813,另一组是另一组是16451645和和1646.radius1646.radius的认证和计费服务器通常是在一组服务器上。的认证和计费服务器通常是在一组服务器上。Page 222.4 RADIUS配置思路配置思路4 4、配置域，域下引用认证、计费模板、配置域，域下引用认证、计费模板、RADIUSRADIUS服务器。服务器。ME60aaa ME60aaa ME60-aaadomain ab

21、cME60-aaadomain abcME60-aaa-domain-abc authentication-scheme auth1 ME60-aaa-domain-abc authentication-scheme auth1 域的认证方式域的认证方式关联关联ME60-aaa-domain-abc accounting-scheme acct1 ME60-aaa-domain-abc accounting-scheme acct1 域的计费方式域的计费方式关联关联ME60-aaa-domain-abc radius-server group cttsd ME60-aaa-domain-abc

22、 radius-server group cttsd 域与域与radiusradius组关联组关联ME60-aaa-domain-abc ip-pool pool1 ME60-aaa-domain-abc ip-pool pool1 域与地址池关联域与地址池关联ME60-aaa-domain-abc quitME60-aaa-domain-abc quitME60-aaa quitME60-aaa quitPage 232.4 RADIUS定位方法定位方法2 2、检查、检查ME60ME60和和RADIUSRADIUS服务器两端配置是否一致。服务器两端配置是否一致。4 4、检查、检查RADIUS

23、RADIUS服务器是否负荷过重，造成处理报文时间比较长。服务器是否负荷过重，造成处理报文时间比较长。可以使用可以使用display radius statistics packetdisplay radius statistics packet命令检查命令检查ME60ME60的收发报文计数，的收发报文计数，如果发送远大于接收的计数，那么可能是如果发送远大于接收的计数，那么可能是RADIUSRADIUS服务器负荷过大无响应。服务器负荷过大无响应。1 1、通过、通过PINGPING命令测试设备到命令测试设备到RADIUSRADIUS服务器是否可达。服务器是否可达。3 3、检查、检查RADIUSRA

24、DIUS服务器上是否添加了服务器上是否添加了ME60ME60的的NAS-IP-ADDRESSNAS-IP-ADDRESS。5 5、检查、检查ME60ME60到到RADIUSRADIUS链路质量是否较差，造成报文时延较大，对于这种情况，链路质量是否较差，造成报文时延较大，对于这种情况，需要优化网络质量。在紧急情况下，可以在需要优化网络质量。在紧急情况下，可以在ME60ME60上延长等待上延长等待RADIUSRADIUS服务器响应服务器响应的的 时间。如果步骤时间。如果步骤4 4中查出的报文计数差距基本一样，则可能是网络质量差，收中查出的报文计数差距基本一样，则可能是网络质量差，收到回应时已经超时

25、。到回应时已经超时。ME60-radius-cttsd radius-server timeout 10 ME60-radius-cttsd radius-server timeout 10Page 242.5 RADIUS定位常用命令定位常用命令1 1、display radius-server configurationdisplay radius-server configuration 使用该命令检查使用该命令检查radiusradius服务器的状态是服务器的状态是UPUP还是还是DOWNDOWN。2 2、display radius-attributedisplay radius-a

26、ttribute 查看设备支持的查看设备支持的radiusradius属性。属性。3 3、test-aaa user1abc 123 radius-group cttsdtest-aaa user1abc 123 radius-group cttsd 该命令可模拟用户上线，测试该命令可模拟用户上线，测试ME60ME60到到radiusradius服务器之间的服务器之间的radiusradius协议是否正协议是否正 常运行。常运行。4 4、tracetrace，可以根据五元组的组合进行，可以根据五元组的组合进行tracetrace，五元组包括，五元组包括CE VLANCE VLAN、PE VLA

27、NPE VLAN、接口、接口、IP IP 地址、地址、MACMAC地址。地址。例如：例如：trace access-user obeject 1 interface gigabitethernet trace access-user obeject 1 interface gigabitethernet 3/1/0.3/1/0.Page 25三、ME60业务配置1、ME60 PPP业务配置业务配置2、ME60 IP业务配置业务配置3、ME60 L2TP业务配置业务配置Page 263.1 PPP业务配置流程及业务流程业务配置流程及业务流程1.1.客户端向客户端向BRASBRAS发起发起PPPP

28、PP会话请求。会话请求。2.BRAS2.BRAS收到请求后把用户名密码发给收到请求后把用户名密码发给radiusradius服务器进行认证。服务器进行认证。3.RADIUS3.RADIUS服务器把认证结果反馈给服务器把认证结果反馈给BRASBRAS。4.4.认证通过后认证通过后,BRAS,BRAS根据用户所在域的配置地根据用户所在域的配置地址池分配给用户址池分配给用户IPIP地址地址,并建立完成并建立完成PPPPPP会话会话.5.5.用户上线用户上线,可以访问可以访问internet,internet,同时同时BRASBRAS通知通知RADIUSRADIUS服务器进行计费服务器进行计费.Pag

29、e 27配置虚模板配置虚模板创建创建VTVT接口接口ME60interface virtual-Template 1ME60interface virtual-Template 1设置设置PPPPPP验证方式验证方式ME60-virtual-Template1ppp authentication-mode pppME60-virtual-Template1ppp authentication-mode ppp*1.VT*1.VT接口主要是用来对报文的接口主要是用来对报文的PPPPPP协议层来进行处理的协议层来进行处理的,使以太网接口可以使以太网接口可以接收接收PPPPPP帧帧.*2.*2.对于

30、对于PPPPPP的验证方式可以设置为的验证方式可以设置为PPP,PPP,也可以设置为也可以设置为CHAP.CHAP.Page 28配置地址池配置地址池创建名称为创建名称为pool1pool1的本地地址池的本地地址池ME60ip pool pool1 localME60ip pool pool1 local配置地址池网关配置地址池网关ME60-ip-pool-pool1gateway 172.15.1.1 24ME60-ip-pool-pool1gateway 172.15.1.1 24配置地址段配置地址段,一个地址池可支持一个地址池可支持255255个段个段ME60-ip-pool-pool1

31、section 0 172.15.1.2 172.15.1.200ME60-ip-pool-pool1section 0 172.15.1.2 172.15.1.200配置配置DNS,DNS,可以配置多个可以配置多个DNS.DNS.ME60-ip-pool-pool1dns-server 61.233.154.33ME60-ip-pool-pool1dns-server 61.233.154.33*1.*1.查看地址池配置查看地址池配置 display ip pool name pool1 display ip pool name pool1*2.*2.配置多个配置多个DNS dns-serv

32、er 61.233.154.33 secondaryDNS dns-server 61.233.154.33 secondary*3.*3.配置远端地址池则为配置远端地址池则为ip pool pool1 remotedhcp ip pool pool1 remotedhcp 并创建并创建DHCPDHCP服务器组服务器组,指定指定DHCP server.DHCP server.Page 29ME60域概念介绍域概念介绍认证前默认域认证前默认域(default-domain pre-authentication)(default-domain pre-authentication)认证默认域认证默

33、认域(default-domain authentication)(default-domain authentication)认证域认证域(authentication domain)(authentication domain)系统的三个默认域系统的三个默认域Default0 Default0 默认策略是不认证不计费默认策略是不认证不计费Default1 Default1 默认策略是默认策略是radiusradius认证认证radiusradius计费计费Default_admin Default_admin 默认策略是默认策略是radiusradius认证认证,不计费不计费Page 30

34、配置配置BRAS接口接口ME60interface gigabitethernet4/0/1ME60interface gigabitethernet4/0/1以太网无法终结以太网无法终结PPPOEPPPOE会话会话,所以要绑定虚模板终结所以要绑定虚模板终结PPPOEPPPOE会话会话.ME60-gigabitethernet4/0/1pppoe-server bind virtual-template 1ME60-gigabitethernet4/0/1pppoe-server bind virtual-template 1进入进入BRASBRAS接口视图接口视图ME60-gigabitet

35、hernet4/0/1basME60-gigabitethernet4/0/1bas配置用户接入方式为二层用户接入配置用户接入方式为二层用户接入ME60-gigabitethernet4/0/1-basaccess-type layer2-subscriberME60-gigabitethernet4/0/1-basaccess-type layer2-subscriber配置用户认证后的所属域配置用户认证后的所属域ME60-gigabitethernet4/0/1-basdefault-domain authentication abcME60-gigabitethernet4/0/1-ba

36、sdefault-domain authentication abc配置认证方式配置认证方式ME60-gigabitethernet4/0/1-basauthentication-method pppME60-gigabitethernet4/0/1-basauthentication-method ppp*查看具体查看具体BRASBRAS接口配置接口配置 display bas-interface gigabitethernet 4/0/1 display bas-interface gigabitethernet 4/0/1Page 31PPPOEofVlan特殊配置特殊配置创建子接口创建

37、子接口ME60interface gigabitethernet4/0/1.1ME60interface gigabitethernet4/0/1.1将用户所属将用户所属VLANVLAN绑定到子接口绑定到子接口ME60-gigabitethernet4/0/1.1 uservlan 2 3ME60-gigabitethernet4/0/1.1 uservlan 2 3把虚模板绑定到子接口把虚模板绑定到子接口ME60-gigabitethernet4/0/1.1pppoe-server bind virtual-template 1ME60-gigabitethernet4/0/1.1pppoe

38、-server bind virtual-template 1*1.*1.若需要配置若需要配置QINQQINQ，则在子接口下配置，则在子接口下配置VLANVLAN时，输入时，输入QINQ 100 VLAN 2 3QINQ 100 VLAN 2 3*2.PPPOEofVlan BRAS*2.PPPOEofVlan BRAS接口配置同样需要进入子接口配置。接口配置同样需要进入子接口配置。Page 323.2 IP业务配置流程图及业务流程业务配置流程图及业务流程1.1.客户端向客户端向DHCPDHCP服务器服务器IPIP地址获取请求。地址获取请求。2.DHCP2.DHCP收到请求后收到请求后,根据认

39、证前域分配给用户根据认证前域分配给用户IPIP。3.3.客户端访问客户端访问WEB SERVERWEB SERVER并输入用户名密码验证。并输入用户名密码验证。4.WEB4.WEB服务器把用户名和密码传送给服务器把用户名和密码传送给ME60ME60。5.ME605.ME60把用户和明码传送给把用户和明码传送给RADIUSRADIUS服务器认证。服务器认证。6.RADIUS6.RADIUS服务器把认证结果反馈给服务器把认证结果反馈给ME60ME60。7.7.认证通过后，客户端可以访问认证通过后，客户端可以访问internetinternet。Page 33IPOE接入配置流程接入配置流程1.1.

40、配置认证、计费策略。配置认证、计费策略。2.2.配置配置RADIUSRADIUS服务器组。服务器组。3.3.配置配置IPIP地址池。地址池。4.4.配置认证前域。配置认证前域。5.5.配置认证域。配置认证域。6.6.配置配置WEBWEB认证服务器。认证服务器。7.7.配置配置ACLACL。8.8.配置配置BRASBRAS接口。接口。Page 34配置配置WEB服务器服务器*web*web服务器建立服务器建立WEBWEB页面进行用户名密码。页面进行用户名密码。*配置源端口命令可选。配置源端口命令可选。配置配置WEBWEB认证服务认证服务,WEB,WEB服务器与服务器与ME60ME60之间采用之间

41、采用PORTALPORTAL协议协议.ME60web-auth-server X.X.X.X key webvlanME60web-auth-server X.X.X.X key webvlan配置配置PORTALPORTAL协议版本协议版本ME60 web-auth-server version V2ME60 web-auth-server version V2配置与配置与WEBWEB服务器交互的源端口服务器交互的源端口.ME60 web-auth-server source interface gigabitethernet 4/0/0ME60 web-auth-server source

42、 interface gigabitethernet 4/0/0Page 35配置认证前域配置认证前域ME60-aaadomain pre-isp1ME60-aaadomain pre-isp1ME60-aaa-domain-pre-isp1authentication-scheme default0ME60-aaa-domain-pre-isp1authentication-scheme default0ME60-aaa-domain-pre-isp1accounting-scheme default0ME60-aaa-domain-pre-isp1accounting-scheme def

43、ault0ME60-aaa-domain-pre-isp1ip-pool pool1ME60-aaa-domain-pre-isp1ip-pool pool1ME60-aaa-domain-pre-isp1quitME60-aaa-domain-pre-isp1quitME60-aaaquitME60-aaaquit*通过认证前域分配给用户通过认证前域分配给用户IPIP地址地址,访问访问webweb服务器服务器.Page 36配置配置ACL-用户组配置用户组配置创建创建ACL 6000,ACL 6000,用户的用户的ACLACL为为6000-99996000-9999ME60acl 6000M

44、E60acl 6000创建规则创建规则,禁止禁止user-group cttsduser-group cttsd访问任何地址访问任何地址ME60-acl-ucl-6000rule deny ip source user-group cttsdME60-acl-ucl-6000rule deny ip source user-group cttsd创建创建ACL 6001ACL 6001ME60acl 6001ME60acl 6001创建规则创建规则,只允许只允许cttsdcttsd访问访问WEBWEB服务器服务器ME60-acl-ucl-6001rule permit ip source us

45、er-group cttsd destination ME60-acl-ucl-6001rule permit ip source user-group cttsd destination ip address x.x.x.x 0ip address x.x.x.x 0创建规则创建规则,只允许只允许cttsdcttsd访问访问DNSDNS服务器服务器ME60-acl-ucl-6001rule permit ip source user-group cttsd destination ME60-acl-ucl-6001rule permit ip source user-group cttsd

46、destination ip address 61.233.154.33 0ip address 61.233.154.33 0Page 37配置配置ACL-流分配器配置流分配器配置创建流名称为创建流名称为C1C1的流分类器的流分类器ME60traffic classifier C1ME60traffic classifier C1配置此分类器的匹配条件配置此分类器的匹配条件ME60-classifier-C1if-match acl 6000ME60-classifier-C1if-match acl 6000配置配置C2C2流分类器流分类器ME60traffic classifier C2

47、ME60traffic classifier C2ME60-classifier-C2if-match acl 6001ME60-classifier-C2if-match acl 6001Page 38配置配置ACL-匹配流分类策略配置匹配流分类策略配置创建流分类动作创建流分类动作deny1deny1ME60traffic behavior deny1ME60traffic behavior deny1匹配的流行为为匹配的流行为为denydenyME60-behavior-deny1denyME60-behavior-deny1deny创建流分类动作创建流分类动作permit1permit1

48、ME60traffic behavior permit1ME60traffic behavior permit1匹配的流行为为匹配的流行为为permitpermitME60-behavior-permit1permitME60-behavior-permit1permitPage 39配置配置ACL-流控策略配置流控策略配置创建流量策略创建流量策略action1action1ME60traffic policy action1ME60traffic policy action1把策略和流分类器和流量行为绑定把策略和流分类器和流量行为绑定.一个策略只能包含一种行为一个策略只能包含一种行为.ME6

49、0-trafficpolicy-action1classifier C2 behavior permit1ME60-trafficpolicy-action1classifier C2 behavior permit1ME60-trafficpolicy-action1classifier C1 behavior deny1ME60-trafficpolicy-action1classifier C1 behavior deny1把策略在全局下发把策略在全局下发.ME60 traffic-policy action1 globalME60 traffic-policy action1 glob

50、al*在第二步中在第二步中,存在优先匹配顺序存在优先匹配顺序,即先即先C2C2后后C1C1Page 40配置配置BRAS接口接口ME60interface gigabitethernet4/0/1ME60interface gigabitethernet4/0/1进入进入BRASBRAS接口视图接口视图ME60-gigabitethernet4/0/1basME60-gigabitethernet4/0/1bas配置用户接入方式为二层用户接入配置用户接入方式为二层用户接入ME60-gigabitethernet4/0/1-basaccess-type layer2-subscriberME60