文档名称 文档密级:
★NAS-Initialized
由远程拨号用户发起,远程系统通过PSTN/ISDN 拨入LAC,由LAC 通过Internet向LNS 发起建立通道连接请求。拨号用户地址由LNS 分配;对远程拨号用户的验证与计费既可由LAC 侧的代理完成,也可在LNS 侧完成。
?Client-Initialized
直接由LAC 客户(指可在本地支持L2TP 协议的用户)发起。此时LAC 客户可直接向LNS 发起通道连接请求,无需再经过一个单独的LAC 设备。此时,LAC 客户地址的分配由LNS 来完成。
L2TP 根据通道建立的方式不同可分为静态或动态两种。
静态L2TP 由LAC 侧根据用户名@域名来指定隧道参数,隧道参数在ME60 指定,静态方式下用户只能拨入特定的LAC 侧,此方式适用于拨号地点相对固定的客户;
动态L2TP 方式时LAC 侧将拨号的用户名@域名发送至radius 服务器,由radius 服务器对用户进行认证并下发与用户关联的L2TP 隧道参数给LAC,再由LAC 来为用户建立隧道。
在本期项目中,ME60上的配置参数由RADIUS下发,即动态隧道建立模式。
3.4.4.1 L2TP配置介绍
使能L2TP 功能
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令l2tp enable,使能L2TP 功能。 ----结束
只有使能L2TP 功能后,L2TP 功能才能使用,否则即便配置了L2TP 的参数,ME60 也 不会提供相关功能。
缺省情况下,ME60 未使能L2TP 功能。
创建L2TP 组
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令l2tp-group group-name,创建L2TP 组并进入L2TP 组视图。
2020-3-1
华为机密,未经许可不得扩散
第57页, 共75页
文档名称 文档密级:
在ME60 上可以有1000 个L2TP 组,除去“default-lns”和“default-lac”,实际可以创建 998 个L2TP 组。
步骤 3 执行命令description text,配置L2TP 组的描述信息(可选)。
设置本端隧道名
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令l2tp-group group-name,进入L2TP 组视图。 步骤 3 执行命令tunnel name name,设置本端隧道名称。
配置LAC 侧的L2TP 连接
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令l2tp-group group-name,进入L2TP 组视图。
步骤 3 执行命令start l2tp [ ip ip-address [ weight weight ] ] &<1-8>,配置LAC 侧的L2TP 连接。
配置隧道源接口
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令l2tp-group group-name,进入L2TP 组视图。
步骤 3 执行命令tunnel source interface-type interface-number,配置隧道源接口。
指定域的L2TP 组
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA 视图。
步骤 3 执行命令domain domain-name,进入域视图。 步骤 4 执行命令l2tp-group group-name,指定域的L2TP 组。
指定域用户使用RADIUS 下发的L2TP 属性
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA 视图。
步骤 3 执行命令domain domain-name,进入域视图。
步骤 4 执行命令l2tp-user radius-force,指定域用户使用RADIUS 下发的L2TP 属性。 ----结束
2020-3-1
华为机密,未经许可不得扩散
第58页, 共75页
文档名称 文档密级:
L2TP 组名和隧道类型两个属性必须同时下发,由RADIUS 下发的L2TP 属性方可生效,L2TP 用 户的功能才可以实现。
3.4.4.2 配置范例
l2tp-group czt.ha mandatory-lcp start l2tp ip 10.19.66.82 //简化// tunnel source LoopBack0 //配置L2TP组//
domain czt.ha authentication-scheme radius accounting-scheme radius radius-server group czt.ha l2tp-group czt.ha l2tp-user radius-force //配置域参数//
3.5 机顶盒业务配置
3.5.1 业务概述
河南全省已开通大量机顶盒业务。威科姆视频服务器目前分布在一级或二级(县局核心)汇聚交换机旁侧。机顶盒上线后首先访问本地门户网站。门户网站根据机顶盒的MAC 地址返回该机顶盒最近边缘服务器(EMS,或LVS)IP 地址。机顶盒根据该地址直接访问EMS。但是如果该EMS 上没有用户需要看的节目则机顶盒会访问中心服务器(CMS);该节目将在闲时下发到EMS。
该类用户今后可以通过以下两种方式上网:
1) 通过PPPOE 方式,由商务宽带系统承载;这种方式机顶盒要采用PPPOE 模式,且采用户名加域名后缀拨号。由联创radius 系统进行账号认证。建议市区及县城内割接节点下 所有机顶盒用户全部采用PPPOE 方式。
2) 延用原来DHCP 方式,机顶盒用户仍通过原汇聚交换机采用DHCP 方式进行地址获取。建议县城以下割接用户采用该方式。
2020-3-1
华为机密,未经许可不得扩散
第59页, 共75页
文档名称 文档密级:
3.5.2 延用DHCP 方式
需要在汇聚交换机上将该类用户进行VLAN 分离;对于QinQ 方式下可以通过增加上联端口即可,使其仍然通过原有方式开通;其优点就是对于割接用户不用到用户家里修改机顶盒配置,减小割接工作量。
3.5.3 采用PPPOE 方式
3.5.3.1 业务概述
1) 机顶盒用户不采用强制客户端(机顶盒不支持); 2) ME60上创建iptv context 承载机顶盒用户;
3) 机顶盒需要采用PPPOE 方式,采用帐户加后缀域名方式。对于割接的机顶盒,需对每个用户上门服务把机顶盒修改为PPPOE 方式。
4) 割接过程中根据流量情况增加ME60到机顶盒服务器直联的汇聚交换机之间的带宽。割接完全后需要将机顶盒服务器直接下挂ME60旁侧;避免浪费ME60与交换机之间的带宽。
3.5.3.2 机顶盒业务配置范例
user-group iptv
[定义一个user-group,名称为IPTV,这个USER-GROUP在后面的配置中会和一个用户域相关联,这样在定义访问控制列表的时候就可以引用相应USER-GROUP,也就是代表了一个用户域中的所有用户,从而形成了用户访问控制列表,与普通访问控制列表不同的地方是,用户访问控制列表除了地址、端口号之外,还可以定义某一批用户为源或者目的。在ME60上,用户访问控制列表列表号是在6000以上。对于需要对用户侧下发的访问控制列表,都需要定义这个范围的控制列表,并在全局模式下下发。注意:在用户ACL中,是否定义USER-GROUP是可选项。]
acl number 3001 rule 5 permit ip #
acl number 6000 match-order auto
rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445
rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm
2020-3-1
华为机密,未经许可不得扩散
第60页, 共75页