东莞移动ME60培训资料.ppt

东莞移动ME60培训交流 Page1 第1章ME60设备介绍篇第2章ME60设备业务配置篇第3章ME60设备故障处理篇 内容介绍 Page2 ME60 MPLS用于商业IP MPLSL2 L3VPN用于企业网MPLSVPLS用于MetroEthernetMPLSTE用于运营级业务和网络资源管理PWE3用于ATM FR网络迁移 流量管理 基于策略的DPI业务感知的策略控制 安全 防止各种攻击和资源滥用终端 网络和业务的安全ASPF Application SpecificPacketFilter 宽带IP业务 为终端和用户接入认证和授权动态业务选择 DSS DynamicServiceSelection 业务计费 VoIP业务 SBC SessionBorderController信令和媒体代理阻止对NGN网络的攻击和滥用 多业务引擎 ME60MSCG 现有网络中用户管理 安全控制和业务控制的功能分布在不同设备上 非常不利于运营级的管理 通过集成如上功能模块到单个设备中 ME60实现了统一的管理和控制 这是基于用户和业务的 通过为运营级业务如3G NGN等提供基础平台 减少了CAPEX和OPEX Page3 ME60系列 ME60 16和ME60 8 ME60 16 ME60 8 交换容量 640Gbps 640Gbps接口容量 320Gbps 160Gbps业务槽位 16 8端口 每槽位 10 GE24 GE1 10GE1 10GPOS4 2 5GPOS冗余 交换网1 3控制单元1 1电源1 1风扇系统2 2板卡兼容 主控板和交换网不可混用业务板可混用 无槽位限制 Page4 ME60MSCG VRPinside IPv6Ready 备注 ME60 8的业务槽位 接口容量均为ME60 16的1 2 ME60系列 ME60 16和ME60 8 Page5 ME60结构及槽位 LCD显示 插槽机框 风扇框 电源框 LPU板 最多16块 MPU板 2块 主备冗余 SFU板 4块 1 3冗余 16个业务槽位 每槽位具有1或4 10G的接口容量4块交换网板 1 3冗余 每网板提供160G交换容量 加速比超过2 保证任何情况下的无阻塞交换LPU可以是BSU ESU TSU SBC或SSU Page6 ME60系统架构 通过如下保证高性能和高可靠性 分布式架构 多平面设计 信令处理和数据转发分离 业务可扩展 比如防火墙和DPI通过负荷分担分布到多个业务处理单板上 1 Page7 ME60产品硬件体系结构 Page8 ME60关键特点 增强的业务控制平面 极为灵活的用户管理和业务管理能力 比如DSS Firewall SBC DPI等 分布式DPI 层次化的DPI部署方案 SSU和外置专用DPI设备配合 平衡功能和性能 解决了外置DPI设备转发性能的不足 采用业界领先的网络处理器和分布式处理架构 获得持续的业务升级能力和突出的处理性能 可以根据需要对各功能模块进行灵活的组合和扩展 采用2 56T背板 交换容量达到640G 接口容量达到320G 可扩展性强 高性能的业务处理板 BSU和SSU均采用10G平台 Page9 ME60主要业务特性 1 IPIPv4 IPv6双栈 IPv4地址转换和IPv6过渡方案路由协议 Static RIP RIPng OSPFv2 v3 IS IS BGP BGP MP BGP路由表 2M 2G内存MPU 512K 1G内存MPU MPLSLDP CR LDP RSVPMPLSOAMMPLSTEDiff ServawareTEMulticast协议 IGMP PIM DM SM MBGP MSDP组播方案 PPPoE组播 MVLAN 接口 可控组播性能 8K S G 槽位 8K份 S G 最大复制32K份 槽位组播路由 8KVPN三层VPN BGP MPLSVPN 1KVRF二层VPN VPWS 支持Martini和Kompella草案 VPLS BGP或LDP信令 H VPLS 4KVSI Page10 ME60业务特性 2 宽带接入用户接入 xDSL Ethernet WLAN HFC IPv4andIPv4 IPv6双栈接入接入和认证 PPP DHCPOption WEB AAA授权 bandwidth ACL Priority RoutingPolicy DSS动态业务选择安全 通过VLAN和VPN隔离用户 绑定检查用户 会话 12k 槽位 整机96kVLAN 整机512k 64k 槽位 4kvlan 端口 64kQinQ 端口PVC 整机512k 128k 槽位 64kpvc 端口专线 4k基于物理端口的专线 vlan pvc或PPP拨号ISP 用户域 1kVPN 接入用户可映射到MPLSL3VPN 用于多ISP业务批发VPDN功能 LAC LNS LTSLAC 整机16K隧道 96K会话 每板12K会话LNS 每TSU单板16K隧道 32K会话 整机按板数累加 Page11 ME60业务特性 3 业务特性DSS 动态业务选择 与Portal 策略服务器一起为提供灵活 多样的定制业务每用户支持8个增值业务 8条业务流每单板支持32K增值业务 32K业务流整机支持256K增值业务 256K业务流SIG 与SIG配合 实现网络的安全控制IPTN IP电信网 通过COPS下发开放策略安全NAT NATALGNAT地址池 128个地址池 地址空间 128地址池 255个地址 状态防火墙 VPN感知 可基于用户域决定是否做防火墙会话 2M会话 两个方向计算 会话建立速度 150Kpps 业界领先 安全区 128 Page12 ME60业务特性 4 IPTV支持各种用户标识方式 包括VBAS DHCPOption82 PPPoE 等组播 基于PPP会话 VLAN 组播VLAN或接口的组播基于用户和位置的组播权限列表控制组播流的优先级调度和整形TriplePlay支持DHCPOption82和Option60支持终端的隔离和绑定检查支持不同业务的优先级调度 Page13 ME60业务特性 5 QoS能力强大的简单流分类能力灵活的复杂流分类 支持接口ACL和用户ACLRemarkMeterCAR功能强大的WRED层次化调度每板256K流队列 5级调度业界第一的TM调度能力基于SP WRR WFQ RR的调度 提供严格的资源保证和灵活的业务模式基于用户的业务流调度调度采用专用TMASIC完成 不影响转发性能 Page14 ME60业务特性 6 HA关键部件冗余主控板 交换网 风扇 电源等关键部件提供冗余备份能力 无单点故障GracefulRestart和NSF支持各类路由协议和VPN应用的GracefulRestart 主备倒换不需要重新学习路由FRR和LSP支持快速重路由和LSP的备份 为链路失效和节点失效提供保护OAM BFD支持MPLSOAM和BFD 在数据平面快速检测和倒换 保证业务不中断VRRP ASSP通过VRRP和ASSP 为双归入接入和上行提供很好的保护能力Trunk通过以太网Trunk和IPTrunk 增加带宽并提高可靠性环网接入支持STP和RRPP协议透传功能 为环网接入提供了保证 有效提高业务可靠性 Page15 ME60主要单板 Page16 ME60主要单板 MPU板 OFL按钮单板插拔按钮 在做单板拔出前按下OFL按钮 提出拔板申请 大约需要连续按钮6秒钟 直至OFL指示灯点亮时 单板才可安全拔出 OFL指示灯 红色 红灯亮 表示单板可安全拔出 RUN运行灯 绿色 绿灯慢闪 0 5Hz 表示系统处于正常运行状态 绿灯快闪 2Hz 表示系统处于告警状态 ALM告警灯 红色 红灯常亮 表示告警 红灯灭 表示正常 ACT主备灯 绿色 绿灯常亮 表示主用 绿灯灭 表示备用 Page17 ME60主要单板 SFU板 OFL按钮单板插拔按钮 在做单板拔出前按下OFL按钮 提出拔板申请 大约需要连续按钮6秒钟 直至OFL指示灯点亮时 单板才可安全拔出 OFL指示灯 红色 红灯亮 表示单板可安全拔出 RUN运行灯 绿色 绿灯慢闪 0 5Hz 表示系统处于正常运行状态 绿灯快闪 2Hz 表示系统处于告警状态 ACT主备灯 绿色 绿灯常亮 表示主用 绿灯灭 表示备用 Page18 ME60主要单板 LPU板 根据业务种类的不同 LPU可分为ESU BSU SSU和TSU 如下表所示 BSU GE光接口 ESU GE光接口 10GELAN光接口 10GEWAN光接口 OC 48c STM 16cPOS光接口 OC 192c STM 64cPOS光接口 Page19 ME60主要单板 GE光接口BSU OFL按钮单板插拔按钮 在做单板拔出前按下OFL按钮 提出拔板申请 大约需要连续按钮6秒钟 直至OFL指示灯点亮时 单板才可安全拔出 OFL指示灯 红色 红灯亮 表示单板可安全拔出 RUN运行灯 绿色 绿灯慢闪 0 5Hz 表示系统处于正常运行状态 绿灯快闪 2Hz 表示系统处于告警状态 LINK ACT 绿色 绿灯灭 表示链路没有连通 绿灯常亮 表示链路已经连通 绿灯闪烁 表示有数据收发 光接口连接器类型LC PC Page20 ME60主要单板 GE光接口ESU OFL按钮单板插拔按钮 在做单板拔出前按下OFL按钮 提出拔板申请 大约需要连续按钮6秒钟 直至OFL指示灯点亮时 单板才可安全拔出 OFL指示灯 红色 红灯亮 表示单板可安全拔出 RUN运行灯 绿色 绿灯慢闪 0 5Hz 表示系统处于正常运行状态 绿灯快闪 2Hz 表示系统处于告警状态 LINK ACT 绿色 绿灯灭 表示链路没有连通 绿灯常亮 表示链路已经连通 绿灯闪烁 表示有数据收发 光接口连接器类型LC PC Page21 ME60主要单板 10GELAN WAN光接口ESU OFL按钮单板插拔按钮 在做单板拔出前按下OFL按钮 提出拔板申请 大约需要连续按钮6秒钟 直至OFL指示灯点亮时 单板才可安全拔出 OFL指示灯 红色 红灯亮 表示单板可安全拔出 RUN运行灯 绿色 绿灯慢闪 0 5Hz 表示系统处于正常运行状态 绿灯快闪 2Hz 表示系统处于告警状态 LINK ACT 绿色 绿灯灭 表示链路没有连通 绿灯常亮 表示链路已经连通 绿灯闪烁 表示有数据收发 光接口连接器类型LC PC Page22 ME60主要单板 OC 48c STM 16cPOS光接口ESU OFL按钮单板插拔按钮 在做单板拔出前按下OFL按钮 提出拔板申请 大约需要连续按钮6秒钟 直至OFL指示灯点亮时 单板才可安全拔出 OFL指示灯 红色 红灯亮 表示单板可安全拔出 RUN运行灯 绿色 绿灯慢闪 0 5Hz 表示系统处于正常运行状态 绿灯快闪 2Hz 表示系统处于告警状态 LINK ACT 绿色 绿灯灭 表示链路没有连通 绿灯常亮 表示链路已经连通 绿灯闪烁 表示有数据收发 光接口连接器类型LC PC Page23 ME60主要单板 OC 192c STM 64cPOS光接口ESU OFL按钮单板插拔按钮 在做单板拔出前按下OFL按钮 提出拔板申请 大约需要连续按钮6秒钟 直至OFL指示灯点亮时 单板才可安全拔出 OFL指示灯 红色 红灯亮 表示单板可安全拔出 RUN运行灯 绿色 绿灯慢闪 0 5Hz 表示系统处于正常运行状态 绿灯快闪 2Hz 表示系统处于告警状态 LINK ACT 绿色 绿灯灭 表示链路没有连通 绿灯常亮 表示链路已经连通 绿灯闪烁 表示有数据收发 光接口连接器类型LC PC Page24 ME60主要单板 隧道业务板TSU OFL按钮单板插拔按钮 在做单板拔出前按下OFL按钮 提出拔板申请 大约需要连续按钮6秒钟 直至OFL指示灯点亮时 单板才可安全拔出 OFL指示灯 红色 红灯亮 表示单板可安全拔出 RUN运行灯 绿色 绿灯慢闪 0 5Hz 表示系统处于正常运行状态 绿灯快闪 2Hz 表示系统处于告警状态 ACT指示灯 绿色 绿灯常亮 表示工作正常 绿灯灭 表示有故障 TSU用于GRE GenericRoutingEncapsulation L2TP LayerTwoTunnelingProtocol 的LNS L2TPNetworkServer 或LTS L2TPTunnelSwitch 等隧道业务的处理 不出任何物理接口 可以插在任何LPU槽位 Page25 ME60主要单板 安全业务板SSU OFL按钮单板插拔按钮 在做单板拔出前按下OFL按钮 提出拔板申请 大约需要连续按钮6秒钟 直至OFL指示灯点亮时 单板才可安全拔出 OFL指示灯 红色 红灯亮 表示单板可安全拔出 RUN运行灯 绿色 绿灯慢闪 0 5Hz 表示系统处于正常运行状态 绿灯快闪 2Hz 表示系统处于告警状态 ACT指示灯 绿色 绿灯常亮 表示工作正常 绿灯灭 表示有故障 SSU用于可感知终端的多实例防火墙 NAT NetworkAddressTranslation 等业务的处理 不出接口 可以根据实际应用的需要在系统中插一块或者多块SSU SSU可以插在任何LPU槽位 Page26 第1章ME60设备介绍篇第2章ME60设备业务配置篇第3章ME60设备故障处理篇 内容介绍 Page27 业务概述 ME60中的业务可以分为接入业务和增值业务两类 1 接入业务 ME60作为BRAS设备 负责将用户接入到运营商网络 接入业务的业务策略由RADIUS服务器下发给ME60 2 增值业务 ME60可作为BRAS SSG ServiceSelectGateway 设备 负责将用户接入具体的业务服务器 并针对具体的业务流进行业务控制 Page28 接入业务 在接入业务中 ME60作为BRAS设备 也可叫BRAS BroadbandRemoteAccessServer 业务 他是是运行在ME60上的功能组件 用于为宽带用户提供接入服务 接入业务特征 1 接入的识别和感知2 AAA3 地址管理4 用户管理5 业务的策略控制 Page29 接入业务 接入方式 IPoE IPoverEthernet IPoEoVLAN IPoverEthernetoverVLAN PPPoE Point to PointProtocoloverEthernet PPPoEoVLAN PPPoEoverVLAN 802 1X专线ND NeighborDiscovery Page30 接入业务 认证 计费和授权 认证 不认证 本地认证 RADIUS认证和HWTACACS认证计费 不计费 RADIUS计费和HWTACACS计费授权 直接授权 本地授权 RADIUS认证成功后授权和HWTACACS授权Web认证 快速认证 绑定认证 PPP认证和802 1X认证 Page31 接入业务 地址管理 IPv4地址池 本地地址池 远端地址池DHCP功能 DHCPServer DHCPRelay DHCPClientDHCPOption Option60和Option82地址重叠 Page32 接入业务 用户管理 ME60基于域来管理接入用户1 域和用户帐号不认证 本地认证以及不计费外 所有的用户帐号都配置在AAA服务上在AAA服务器上用户帐号的所有归属域都必须在ME60上进行对应的配置 Page33 接入业务 用户管理 2 缺省域 Page34 接入业务 用户管理 设备用户和设备域设备用户 设备用户是指通过ME60管理的其他网络设备 通过IP地址 MAC地址 接入ME60的接口等属性标识 设备域 ME60中特殊的域 用于管理设备用户 设备域的一部分业务属性是固定的 不可进行配置 包括不认证 不计费 不作闲置切断 不作接入限制 设备域对普通用户无效 同样普通域也对设备用户无效 Page35 接入业务配置实例 ME60中 接入协议包括 IPoX IPoE IPoEoVLAN PPPoX PPPoE PPPoEoVLAN 802 1X 专线 二层专线 三层专线 ND接入 Page36 接入业务配置实例 配置PPPoEoVLAN接入 以下图为例 用户归属于isp1域 从ME60的GE8 0 1 1接口下以PPPoEoVLAN方式接入 LANSwitch使用VLAN1和VLAN2对用户报文进行标记 采用RADIUS认证和RADIUS计费 RADIUS服务器地址为192 168 7 249 认证和计费端口分别是1645和1646 采用RADIUS 1 1协议 密钥为itellin DNS服务器地址为192 168 7 252 Page37 接入业务配置实例 配置虚模板接口 Quidway interfaceVirtual Template1 Quidway Virtual Template1 pppauthentication modechap Quidway Virtual Template1 quit 配置认证方案 Quidway aaa Quidway aaa authentication schemeauth1 Quidway aaa authen auth1 authentication moderadius Quidway aaa authen auth1 quit 配置计费方案 Quidway aaa accounting schemeacct1 Quidway aaa accounting acct1 accounting moderadius Quidway aaa accounting acct1 quit Quidway aaa quit Page38 接入业务配置实例 配置RADIUS服务器组 Quidway radius servergrouprd1 Quidway radius rd1 radius serverauthentication192 168 7 2491645 Quidway radius rd1 radius serveraccounting192 168 7 2491646 Quidway radius rd1 radius servertypeplus11 Quidway radius rd1 radius servershared keyitellin Quidway radius rd1 quit 配置地址池 Quidway ippoolpool1local Quidway ip pool pool1 gateway172 82 0 1255 255 0 0 Quidway ip pool pool1 section0172 82 0 2172 82 0 200 Quidway ip pool pool1 dns server192 168 7 252 Quidway ip pool pool1 quit Page39 接入业务配置实例 配置isp1域 Quidway aaa Quidway aaa domainisp1 Quidway aaa domain isp1 authentication schemeauth1 Quidway aaa domain isp1 accounting schemeacct1 Quidway aaa domain isp1 radius servergrouprd1 Quidway aaa domain isp1 ip poolpool1 Quidway aaa domain isp1 quit Quidway aaa quit Page40 接入业务配置实例 为子接口指定虚模板接口 Quidway interfaceGigabitEthernet8 0 1 Quidway GigabitEthernet8 0 1 undoshutdown Quidway GigabitEthernet8 0 1 interfaceGigabitEthernet8 0 1 1 Quidway GigabitEthernet8 0 1 1 uservlan12 Quidway GigabitEthernet8 0 1 1 vlan 1 2 quit Quidway GigabitEthernet8 0 1 1 pppoe serverbindvirtual template1 Page41 接入业务配置实例 配置BAS接口 Quidway interfaceGigabitEthernet8 0 2 1 Quidway GigabitEthernet8 0 2 1 uservlan12 Quidway GigabitEthernet8 0 2 1 vlan 1 2 quit Quidway GigabitEthernet8 0 2 1 bas Quidway GigabitEthernet8 0 2 1 bas access typelayer2 subscriber Quidway GigabitEthernet8 0 2 1 bas authentication methodbind Quidway GigabitEthernet8 0 2 1 bas default domainauthenticationisp3 Quidway GigabitEthernet8 0 2 1 bas quit Quidway GigabitEthernet8 0 2 1 quit Page42 接入业务配置实例 配置BAS接口 Quidway GigabitEthernet8 0 1 1 bas Quidway GigabitEthernet8 0 1 1 bas access typelayer2 subscriber Quidway GigabitEthernet8 0 1 1 bas authentication methodppp Quidway GigabitEthernet8 0 1 1 bas quit Quidway GigabitEthernet8 0 1 1 quit 配置上行接口 Quidway interfaceGigabitEthernet7 0 1 Quidway GigabitEthernet7 0 1 undoshutdown Quidway GigabitEthernet7 0 1 ipaddress192 168 7 1255 255 255 0 Page43 接入业务配置实例 配置总结 配置虚模板接口 配置认证方案 配置计费方案 配置RADIUS服务器组 配置地址池 配置域 为子接口指定虚模板接口 配置BAS接口 配置上行接口 不同接入方式的认证 计费 radius 地址池和域配置都是相同的 只是不同的接入方式 bas接口配置不同 Page44 第1章业务概述第2章接入业务第3章增值业务 内容介绍 Page45 增值业务 业务概述增值业务 例如VoD Gaming TriplePlay等 是用户访问运营商的Portal服务器所选择的业务 可为运营商提供持续增值盈利的能力 当用户使用增值业务时 运营商可针对具体业务 按流量或时长进行差异化计费 增值业务的业务策略一般基于具体的业务进行配置 在增值业务中 ME60可作为BRAS SSG ServiceSelectGateway 设备 负责将用户接入具体的业务服务器 并针对具体的业务流进行业务控制 增值业务的开展基于接入业务 当用户接入时 RADIUS服务器已经针对该用户下发了接入业务的业务策略 当用户使用增值业务时 需要动态修改业务策略 一般情况下 COPS CommonOpenPolicyService 服务器向ME60下发增值业务的业务策略 如果RADIUS服务器支持CoA ChangeofAuthorization 消息 也可由RADIUS服务器下发CoA消息动态修改增值业务的业务策略 Page46 增值业务 多业务选择用户可根据需要在Portal服务器定制具体的增值业务 ME60根据COPS服务器下发的业务策略对业务流进行计费 业务控制的功能 Page47 增值业务 多业务选择流程 Page48 增值业务的配置 配置COPS服务器当使用COPS服务器下发增值业务的业务策略时 需要在ME60上配置COPS服务器 在ME60中 以COPS服务器组对COPS服务器进行管理 COPS服务器组是一组具有相同属性 IP地址 VPN实例 端口号和权重除外 采用负荷分担方式工作的COPS服务器的集合 配置COPS全局参数 创建COPS服务器组 Page49 增值业务的配置 配置COPS服务器 配置COPS客户端标识 配置COPS服务器的流保持时间 Page50 增值业务的配置 配置COPS服务器的密钥 激活COPS服务器 Page51 增值业务的配置 配置业务策略业务策略用于对增值业务进行控制 业务策略包括计费方案 流量策略 闲置切断等方面 配置业务策略以后 可以在域中引用 域使用的业务策略是对所有域用户都适用的缺省业务策略 当用户使用某个未指定业务策略的增值业务时 系统使用用户所在域的缺省业务策略 否则以该增值业务的业务策略为准 使能增值业务功能 创建业务策略 Page52 增值业务的配置 指定计费方案 指定流量策略 配置闲置切断 Page53 增值业务的配置 配置业务策略的全局参数 指定域使用的业务策略 Page54 增值业务的配置实例 组网需求 使用COPS服务器为用户下发增值业务的业务策略 COPS服务器的IP地址为10 10 10 1 端口号为3288 共享密钥为hello isp1域的用户使用基本增值业务的业务策略为 计费模式为RADIUS计费 闲置切断的时长为10分钟 闲置切断的流量为1k 业务的带宽为1M RADIUS计费服务器的IP地址为10 10 10 2 端口1813 其余采用默认值 Page55 增值业务的配置实例 配置COPS服务器组 Quidway cops servergroupgroup2client typessg Quidway cops group1 cops server10 10 10 13288 Quidway cops group1 cops serverpep id1 1 1 1 Quidway cops group1 cops servershared keyhello Quidway cops group1 active Quidway cops group1 quit 配置计费方案 Quidway aaa Quidway aaa accounting schemeacct1 Quidway aaa accounting acct1 accounting moderadius Quidway aaa accounting acct1 quit Quidway aaa quit 配置RADIUS服务器组 Quidway radius servergroupgroup1 Quidway radius group1 radius serveraccounting10 10 10 21813 Quidway radius group1 quit Page56 增值业务的配置实例 配置流量策略 Quidway user groupisp1 Quidway acl6001 Quidway acl ucl 6001 rulepermitipsourceuser groupisp1destinationany Quidway acl ucl 6001 quit Quidway trafficclassifierclass1 Quidway classifier class1 if matchacl6001 Quidway classifier class1 quit Quidway trafficbehaviorbehavior1 Quidway behavior behavior1 carcir1000pir5000cbs1000000pbs5000000 Quidway behavior behavior1 quit Quidway trafficpolicypolicy1 Quidway trafficpolicy policy1 classifierclass1behaviorbehavior1 Quidway trafficpolicy policy1 quit Page57 增值业务的配置实例 配置业务策略 Quidway value added serviceenable Quidway value added servicepolicypolicy1 Quidway vas policy policy1 accounting schemeacct1 Quidway vas policy policy1 idle cut101 Quidway vas policy policy1 traffic policypolicy1in policy Quidway vas policy policy1 traffic policypolicy1out policy Quidway vas policy policy1 quit 配置域 Quidway aaa Quidway aaa domainisp1 Quidway aaa domain isp1 accounting schemeacct1 Quidway aaa domain isp1 radius servergroupgroup1 Quidway aaa domain isp1 cops servergroupgroup1 Quidway aaa domain isp1 user groupisp1 Quidway aaa domain isp1 value added servicepolicypolicy1 Quidway aaa domain isp1 quit Quidway aaa quit Page58 增值业务的配置实例 验证配置结果 查看COPS服务器组group1的配置 Quidway displaycops serverconfigurationgroupgroup1 查看计费方案acct1的配置 Quidway displayaccounting schemeacct1 查看RADIUS服务器组group1的配置 Quidway displayradius serverconfigurationgroupgroup1 查看流量策略policy1的配置 Quidway displaytrafficclassifieruser definedclass1 查看业务策略policy1的配置 Quidway displayvalue added servicepolicypolicy1 查看域isp1的配置 Quidway displaydomainnameisp1 Page59 第1章ME60设备介绍篇第2章ME60设备业务配置篇第3章ME60设备故障处理篇 内容介绍 Page60 ME60设备故障处理篇 PPPoX接入认证流程PPPoE PPPoEoV PPPoEoQ用户的接入流程1 用户客户端通过PPPoE拨号器拨号发起上线请求 2 ME60和客户端进行PPPoE协商 创建PPPoE控制块 为用户建立会话并分配SessionID 完成PPPoE链路的建立 3 ME60和客户端进行PPP协商 协商完成后客户端和ME60间以CHAP PAP或MSCHAP方式完成验证 4 ME60根据用户所在域的认证方案进行远端认证 并返回认证成功消息 5 认证成功后 ME60从用户所在域配置的地址池中为用户分配IP地址 或者通过DHCPProxy从远端的DHCP服务器为用户分配IP地址 6 用户可以正常上网并开始计费 7 ME60在用户上网过程中 将周期性的对用户进行握手探测 以确保用户连接信息的实时准确性 如果连续在配置的最大探测次数内没有收到用户的响应 并且用户无流量 ME60认为用户已经异常下线 断开用户连接并删除相关信息 停止计费 8 用户在线过程中 可以通过PPPoE拨号软件主动断开和ME60连接 此时ME60立即删除用户的连接信息 停止计费 注意 PPPoE和PPPoEoV基本是相同的 只是PPPoEoV报文送到ME60时增加了VLAN标记 目前常见的网络都是使用交换机构建的 所以PPPoEoV是目前最常见的形式 Page61 ME60设备故障处理篇 PPPoE接入流程图 Page62 ME60设备故障处理篇 ME60故障流程图 Page63 ME60设备故障处理篇 步骤1使用命令displayaaaonline fail record查看用户上线失败原因 displayaaaonline fail recordusernametest hauwei Username test huaweiUserMAC 0010 6059 6828Useraccesstype PPPoEUseraccessinterface Eth Trunk5QinqVlan UserVlan 0 0UserIPaddress 255 255 255 255UserID 2979Userauthenstate AuthenedUseracctstate AcctIdleUserlogintime 2007 02 1815 26 33Useronlinefailreason Radiusauthenticationsendfail Useronlinefailreason显示的是用户上线失败的原因 根据原因我们可以大概判断故障 为后面的具体定位提供指引 常见的PPPoX用户上线失败的原因下所示 Page64 ME60设备故障处理篇 PPPoX用户上线失败原因Useronlinefailreason解释PPPauthenticationfailPPP用户认证失败 IPaddressallocfailIP地址分配失败 IPaddressconflictIP地址冲突 macaddressconflictMAC地址冲突 Startaccountingfail开始计费失败 Domainoruseraccesslimit域或用户接入限制 Portaccesslimit端口接入限制 PPPnegotiatefailPPP协商失败 Sendauthenticationrequestfail发送认证请求失败 RadiusauthenticationrejectRADIUS认证拒绝 Radiusauthenticationsendfail发送认证RADIUS请求失败 Localauthenticationreject本地认证拒绝 Localauthenticationnouser找不到本地用户 LocalAuthenticationusertypenotmatch本地帐号类型不匹配 LocalAuthenticationuserblock本地帐号未激活 Page65 ME60设备故障处理篇 步骤2检查配置是否正确 从步骤1看到的用户认证失败原因中 有些是可以明确配置原因的 如Localauthenticationnouser Domainoruseraccesslimit对这类问题可以直接通过检查配置解决问题 有些上线失败的原因里无法看到记录 因为用户并没有上线 在下线记录中也没有用户的记录 这说明用户PPPoX的链路都没有建立 对于这种情况 可以通过业务跟踪来处理 步骤3查看业务跟踪的消息 打开用户的业务跟踪功能 进行用户上线测试 在用户上线过程结束后 查看业务跟踪的消息 1 discovery阶段完成消息 2007 4 1115 1 30 PPPOE 0006 5b6c aaf9 ProcessPADRpacketsuccessfully SessionID 4 2007 4 1115 1 30 PPPOE 0006 5b6c aaf9 SendPADSpacketsuccessfully notifyPPPup SessionID 4 看到这两个消息说明discovery阶段完成 如果没有此消息说明没有收到PADI或PADR报文 请检查二层网络是否可达 端口状态是否正常 接入类型是否是二层用户 认证方式是否包括PPP 接口下是否绑定了虚模板等 Page66 ME60设备故障处理篇 2 LCP协商成功并完成消息 2007 4 1115 1 30 PPP 0006 5b6c aaf9 LCPnegotiatesuccessfully startPAP CHAPnegotiate看到此消息说明LCP协商成功并完成 否则请检查LCP协商阶段是否成功 少量用户时可以使用debugging消息 建议在客户端抓包确认 3 用户发起认证请求 2007 4 1115 1 30 CM 0006 5b6c aaf9 ReceivePPP AUTH REQfromPPP userid 5 看到此消息说明用户发起认证请求 4 认证结果 2007 4 1115 1 30 AAA 0006 5b6c aaf9 SendauthenticationacktoUCMsuccessfully UserID 5 Result SRV AUTH PASS 此消息代表认证结果 如果成功显示为Result SRV AUTH PASS 如果失败显示为auth fail请检查认证过程 5 请求IP地址分配 2007 4 1115 1 30 CM 0006 5b6c aaf9 SendAM IP REQtoAM userid 5slot 0 看到此消息 说明认证通过开始请求分配IP地址 6 IP地址分配结果 2007 4 1115 1 30 AM 0006 5b6c aaf9 SendIPaddressreplytoCMsuccessfully IP 186 0 0 251 此消息说明IP地址分配的结果 如果分配失败请检查IP地址分配相关配置 Page67 ME60设备故障处理篇 7 NCP协商消息 2007 4 1115 1 30 PPP 0006 5b6c aaf9 Authenticatesuccessfuly startNCPnegotiate看到此消息说明NCP协商开始 8 确认消息 2007 4 1115 1 30 CM 0006 5b6c aaf9 SendFC SETtoTM userid 5slot 0 2007 4 1115 1 30 CM 0006 5b6c aaf9 ReceiveFC SET ACKfromTM userid 5slot 0 确认收到FC SET ACK消息 9 计费开始 2007 4 1115 1 30 AAA 0006 5b6c aaf9 SendstartaccountingrequesttoRADIUSsuccessfully UserID 5 看到此消息 说明计费开始 10 用户上线 2007 4 1115 1 30 VSM 0006 5b6c aaf9 User 5OnlineRequest看到此消息 用户上线 2007 4 1115 1 50 VSM 173 27 0 245 User11domainnotconfigurecopsgroup用户上线后如果不是增值业务用户 没有配置相应的COPS服务器都会打印此消息 不需要关心 Page68 ME60设备故障处理篇 说明 如果无法看到业务跟踪的消息 说明用户没有任何报文送到ME60 可能造成这种情况的可能原因有 用户接入类型错误 用户认证方法错误 物理端口没有绑定虚模板 VT 设备物理联接错误 二层设备的配置错误 步骤4数据配置检查 对于出现看不到用户任何业务跟踪消息情况时 请检查以下配置 确认设备物理联接均正常 确认ME60上相应的配置均正确无误 确认二层网络配置正确 确认报文正确可以到达ME60 只要保证这些的配置均是正确的 则正确的业务跟踪一定可以看到消息 至少可以看到 2007 4 1115 1 30 PPPOE 0006 5b6c aaf9 ProcessPADRpacketsuccessfully SessionID 4 如果确认用户上线失败原因是数据配置问题 请根据跟踪消息检查相应的本地配置 macaddressconflict可以使用displayaccess usermac address mac 来查看同一个MAC是否已经有用户在线 保证MAC没有冲突即可解决 Page69 ME60设备故障处理篇 Sendauthenticationrequestfail请检查认证方法的配置 RADIUS认证的用户是否正确配置是RADIUS服务器 是否在域下引用户以及RADIUS状态是否正常 Localauthenticationnouser LocalAuthenticationusertypenotmatch LocalAuthenticationuserblock则需要检查本地帐号的配置是否正确且没有接入数限制等 portaccesslimit需要使用命令displayportaccess limit检查当前接入的用户是否已经达到端口最大接入限制数 displayportaccess limit GigabitInterfaceAccess limitAccess numbermanager device number GigabitEthernet1 0 04915200步骤5判断LCP过程是否完成 这其中也包括PPPoE的Discovery阶段 收到以下消息说明LCP完成 2007 4 1115 1 30 PPP 0006 5b6c aaf9 LCPnegotiatesuccessfully startPAP CHAPnegotiate Page70 ME60设备故障处理篇 步骤6客户端抓包 如果判断为LCP过程没有成功 但是从ME60的调试信息看不出错误 则需要进行客户端抓包 这样可以很快地定位出LCP失败是BRAS的原因还是客户端的原因 或是设备间的配合问题 比较常见的故障现象 1 某些PPPoE客户端实现的不标准 发送了config request报文 ME60响应了config nak config reject报文 此时客户端应当修改 增减相应config request中的属性值或属性 但客户端可能一直不改变这些协商属性导致协商失败 2 ME60配置了CHAP验证 但客户端支持PAP验证 所以LCP协商一直不通过导致失败等 步骤7判断认证是否成功 一般业务跟踪中出现以下的信息 都可以基本判断为认证失败 2007 4 1115 1 30 AAA 0006 5b6c aaf9 SendauthenticationacktoUCMsuccessfully UserID 42 Result SRV AUTH FAIL 如果是本地认证失败 如本地帐号不存在 域未激活 帐号未激活 帐号类型不一致 接入限制 对于这种情况 在认证过程消息中可以看到明确的原因 2007 4 1115 1 30 AAA 0006 5b52 ca85 ReceiveauthenticationackfromLAMsuccessfully UserID 17 Result Failure Failreason Usernotexist 如果是RADIUS认证的 也可以基本根据消息判断故障原因 2007 4 1115 1 30 RADIUS 0006 5b6c aaf9 RDS Evt Sendamsg SendFail 2007 4 1115 1 30 AAA 0006 5b6c aaf9 ReceivenotifyofmessagesendfailfromRADIUSsuccessfully UserID 42 sorucemessage AAA Radiusauthenrequest Page71 ME60设备故障处理篇 2007 4 1115 1 30 AAA 0006 5b6c aaf9 FailtoauthenticationbecausefailtosendrequestpackettoRADIUSserver UserID 42 Code 1082 从这个消息中可以看出是认证报文发送失败 可能是认证报文没有响应 如果不能判断 请参见 6RADIUS故障处理 步骤8判断NCP是否成功 业务跟踪中出现以下消息 可以判断为NCP失败 NCP在PPPoE中一般只有地址的协商 所以NCP的失败也就是地址协商失败 如果上线原因中出现IPaddressallocfail 可以判断是地址分配不成功 2007 4 1115 1 30 AM 0006 5ba6 db53 FailedtoallocateIPaddressforCM步骤9检查地址分配 对于本地分配地址的情况请检查域下是否引用了相关的地址池 地址池中是否有空闲的IP地址 如果是RAIDUS指定地址池和section 则需要下发的属性 88 Framed Pool 正确 要求格式为 pool name section1 section2 如果只下发section则必须以 开始 需要保证指定的地址池在ME60上 对于RADIUS分配地址的情况请查看RADIUS认证响应报文中8号Framed IP Address属性是否还有正确的值 对于由ME60代理作为DHCP客户端向DHCP服务器申请地址的情况如果用户认证成功 但是业务跟踪消息中显示是IP地址分配失败 则应当打开DHCP的相关调试开关来查看ME60作为DHCP代理申请地址的过程是否正常 debuggingdhcprpacket通过这个调试命令看来的过程是一个标准的DHCP过程 最后应当能看到一个Messagetype为ACK的DHCP报文 Page72 ME60设备故障处理篇 步骤10计费处理 收到以下两条消息说明地址已经分配成功 2007 4 1115 1 30 CM 0006 5b6c aaf9 ReceiveFC SET ACKfromTM userid 5Slot 0 2007 4 1115 1 30 AAA 0006 5b6c aaf9 SendstartaccountingrequesttoRADIUSsuccessfully UserID 5 如果这时用户还无法上线 则说明是计费故障 最常见的是开始计费失败 导致用户上线失败 上线失败原因显示为 Startaccountingfail 计费失败会产生如下的告警信息 test huawei表示用户名 NormalAcct StartFail表示开始计费失败 如果是NormalAcct RealFail表示中间计费失败 Feb2507 52 052007ME60AAA 5 NormalAcct StartFail test huaweiNormalAcct StartFail Feb2507 52 052007ME60AAA 5 NormalAcct StartFail ME60010000000000036e74d900043NormalAcct StartFail计费失败的情况业务跟踪中一般会打印以下消息 这个例子是RADIUS计费服务器没有响应的 也是最常见的 如果是其它原因导致计费失败 跟踪消息会不同 2007 4 1115 1 30 RADIUS 0006 5b6c aaf9 RDS Evt Sendamsg SendFail 2007 4 1115 1 30 AAA 0006 5b6c aaf9 ReceivenotifyofmessagesendfailfromRADIUSsuccessfully UserID 43 sorucemessage AAA Radiusacctstartrequest 对ME60来说 不存在本地计费的情况 只有RADIUS HWTACAS和不计费三种 不计费的情况不会产生计费失败