最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。

接入服务器设备(MA5200F)配置与维护

IT圈 admin 59浏览 0评论

2024年4月26日发(作者:衅沈然)

《中国有线电视}2011(01) 

CHINA DIGITAL CABLE TV 

⑥ ・维护与维修・ 

接入服务器设备(M A5 200 F) 

配置与维护 

口蒋岱 ,王晗 

(1.锦州万程有线电视信息网络有限公司,辽宁锦外l 121000;2.辽宁网通锦州分公司,辽宁锦州.121000) 

1 MA5200F设备介绍 

MA5200F基于华为公司先进的第五代路由器体 

系架构,采用高性能网络处理器和大容量ASIC(Appli— 

cation Speciifc Integrated Circuit)芯片,兼有强大的转 

发性能和灵活的业务处理能力,外形小巧,安装方便。 

适用于以太网、xDSL(X Digital Subscriber Line)、HFC 

(Hybrid Fiber Coaxia1)、WLAN(Wireless Local Area 

配置地址池卜l配置认证策略卜.1配置计费策略卜'{配置RADIU 

配置域(引用认证和计费策略,RADIUS) 

路由配置 

Network)等接人类型的网络,提供用户管理、计费控 

制、地址管理、业务控制、安全管理等功能。其强大的 

端口VLAN配置 

功能在广电,电信运营网络都大量使用,各运营商可以 

依据自己的网络结构和业务灵活配置,是网络必要的 

设备之一。 

图1 MA5200配置流程图 

section 0 10.10.0.2 10.10.3.255/ 将地址池分 

为两个段第一个是0 / 

section 1 10.10.4.0 10.10.7.254/ 将地址池分 

为两个段 / 

dns—server 219.150.32.132/%配置地址池的主 

DNS服务器的地址%/ 

dns—server 202.96.223.5 secondary/{配置备 

DNS服务器的地址 / 

(2)配置认证方案 

Aaa/:l:进人aaa模式;l:/ 

authentication—scheme authl/ 建立一个叫 

通用的宽带城域网主要提供用户接入服务和增值 

业务,一般为三层网络结构,包括核心层、汇聚层和接 

入层。根据城域网的规模不同,MA5200F主要可应用 

于大型城域网的区域接入层、小型城域网的边缘汇聚 

层,设备可以安放在小区的中心机房或者局端,提供用 

户接人认证、计费、流量限制、访问控制、网络资源安全 

保障、业务支撑等功能,可以为运营商开展个人用户接 

入、宽带智能化小区、智能商务写字楼、中小企业专线 

接入、VPN(Virtual Private Network)等业务提供支撑, 

特别对中小规模园区网络和校园规模网络来说, 

MA5200是帮助网络管理和维护的最佳设备。在很多 

高级物业小区也有应用。 

2 M ,2OOF设备基本配置 

配置流程图如图1所示。 

(1)配置地址池 

ip pool pooll local/ 建立一个名字叫“pool1”的 

地址池¥/ 

authl”的认证方案:I:/ 

authentication—mode radius/ 设置authl的认证 

模式是radius模式;I=/ 

(3)配置计费方案 

aaa/:l=进入aaa模式:l:/ 

accounting—scheme acctl/ 建立一个叫“acctl” 

的计费方案 / 

gateway 10.10.0.1 255.255.248.0/¥地址池的 

网关和掩码:t:/ 

accounting—mode radius/ 设置acctl方案的认 

证模式是radius模式 / 

(4)Radius配置 

《中国有线电视))2011年第O1期 

radius—server group catv/ 建立一个叫“catv”的 

radius服务器:Ic/ 

radius—server authentieati0n 192.168.:I:.:l:1812 

蒋岱等:接人服务器设备(MA5200F)配置与维护 

ip address 192.168.0.1 255.255.255.252/ 配 

置VLAN子接口IP地址;l:/ 

ip route—static 0.0.0.0 0 192.168.0.2/:l=配置 

/:I;设置认证服务器的ip地址为192.168. 

认证端口为1812:l=/ 

radius—server accounting 192.168. . 

. 默认路由 / 

路由配置结束后ping对端端口应该可以ping通。 

1813 

这样一个ma5200设备就完成了基本配置任务。 

3业务配置 

/ 设置计费服务器的ip地址为192.168. 

认证端口为1813¥/ 

.:l: 

(1)普通账号业务配置 

radius—server key ¥/ 设置与服务器间通信 这是最广泛的配置,在每台MA5200的各个接入 

的密钥为“ ” / 

radius—server type portal/:l:设置服务器的类型为 

portal:l:/ 

undo radius——server user——name domain—.included 

/ 用户不带域名 / 

(5)域配置 

web—auth—server 192.168. . port 50100 key 

huawei/:l:设置WEBSERVER服务器的ip地址.端口 

号和密钥 / 

web—auth—server vemion v2/:l:设版本号为 

v2%/ 

web—auth—server listening—port 2000/{设置监 

听端口为2000;I:/ 

domain isp/:l:建立一个叫“isp”的域:l:/ 

ip—pool pooll/:f:将前面建立的地址池pooll绑 

定到这个域 / 

authentication—scheme authl/:l:将认证方案 

authl绑定到这个域:l:/ 

accounting—scheme acctl/:I:将计费方案acctl绑 

定到这个域 / 

radius—server group cams/ 将前面建立的cams 

服务器绑定到这个域 / 

web—server 192.168. .:l:/ 将前面建立的 

WEBSERVER服务器的ip地址绑定到这个域 / 

domain default/:l:进人defauhO这个认证前域 / 

ip—pool pooll/:l=将前面建立的地址池poolle绑 

定到这个域 / 

web—server 192.168. .:l:/ 将WEB服务器地 

址绑定到这个域 / 

(6)路由配置 

配置到上层设备(¥8016)的互联地址和路由。 

portvlan g 26 vlan 0/ 仓0建26口vlan为0 / 

access—type interface/:l:配置端口VLAN的接人 

类型为非管理类型 / 

interface Ethemet 26.0/ 创建ⅥAN子接口26.0 / 

端口上配置该业务。其接人用户是普通的靠帐号和密 

码接入网络的包月用户。下面以一台设备的一个端口 

为例: 

portvlan themet 1 vlan 101 80/ MA5200的第一 

口vlan从101开始连续80个 / 

access—type layer2一subscriber/ 端口VLAN接 

人类型为2层用户类型 / 

default—domain pre—authentication defaultO/ 这 

80个vlan认证前域是default0 / 

default—domain authentication isp/:l:这80个vlan 

的认证域是isp木/ 

authentication—method web/ 认证方法是web认 

证(因为我们的用户采用portal认证方式) / 

(2)网吧业务配置 

例如:在MA5200的26口下安装一个网吧或者一 

个固定地址的用户其地址为XX.XX.XX.XX,它的带 

宽为2 M。其配置如下: 

portvlan gigabitethernet 26 vlan 1 8 1 1 

access——type layer2—・subscriber 

default—domain authentication 2m/¥这个2m是 

前面创建过的2 M域的域名 / 

authentication—method bind/¥认证方式为绑 

定 / 

static—user XX.XX.XX.XX detect/¥自动检测 

这个地址的上线 / 

(3)集团用户业务配置 

集团用户的数据主要部分配置在¥8016上,其配 

置方法与配置一个端口相同,这里不介绍了,在 

MA5200上只要配置透传即可。配置内容如下: 

portvlan gigabitethernet 26 vlan 4084 1 

access——type relay——leased——line outport gigabiteth・- 

ernet 25 4084 

4维护经验 

(1)按照不同的信息查找在线用户 

命令如图2,可以按照域、主机报文异常、IP地址、 

89 

蒋岱等:接人服务器设备(MA5200F)配置与维护 《中国有线电视>2ol1年第01期 

Hn52日BF>dis a矗a offline-- ̄ecoPd 

端口、用户ID、用户名、VLAN ID查找,如果不输入条 

件,将输出在线用户的统计信息。图3是按照IP地址 

:n冉52的F—i.i la.一16—16Blejt王日n 

查看的结果,显示了这个在线用户的详细信息。 

图2按条件查询用户状态图 

图3按IP地址查询用户显示结果 

(2)可以查看用户下线的原因 

使用的命令和查看结果如图4所示(这个用户是 

正常下线的)。 

(3)利用访问控制列表实现实用功能 

用户使用的是web+pota]认证方式,用户开机即 

在前域里获得合法IP地址,当用户访问任何地址或网 

络应用时,自动强制到potal认证页面实现认证(不同于 

PPPoE认证方式)。所以可以通过一些ACL技巧实现 

些很有用的功能,下面介绍一些业务的实现。 

90 

:日8e日一4cl9一b35e 

:nOMq,al ufan 

:日 

:Ethernet 

:16 

:1681 

:1日.2日.口.172 

:629 

:nuth6rled 

:AcctIdle 

:nuthorldle 

l D :nnS2嘲F1秘B51岫3545969ca47a8 

:2日10/9S/lB 03:S4=59 

:2日1日/日5/1日日8:S2:29 

:冉RP detect fai1 

t 

你要继续显示相关信息吗'( /n)【y】:

。 

 

~ 

图4查询用户下线原因显示结果 

第一,实现用户欠费断网后通过网银缴费自助开 

通业务,其命令如下: 

a acl number 3001 match—order auto 

rule 4 net—user permi‘t ip source 219.150.32.132 

0 destination l 

rule 5 net—user permi。t ip source 219. .:l:.}0 

destination l 

rule 3 user—net permi’t ip source 1 destination 219. 

150.32.132 0 

rule 1 user—net permi’t ip source 1 destination 172. 

:}=. . 0 

urle 6 user—net permi’t ip source 1 destination 219. 

:l:.:l:.:I:0 

rule 2 user—net deny l‘p source 1 

IP地址219.150.32.132是DNS服务器地址, 

219. . . 是某银行网银网站地址,172. .¥.% 

是内部计费服务器地址。通过这个设置,用户获得地 

址后访问前两个地址是不需要强制到计费系统上认证 

的,但访问其他网站则需要通过认证。 

第二,开通数字电视互动业务,使用原理同上。 

很多网络公司在最初建设双向网络时,为了降低 

成本,在用户接入端没有大量采用支持VLAN的交换 

机,而是普通二层隔离交换机。这种交换机端口不支 

持VLAN,在开通双向数字电视时无法做业务区分。 

如果更换所有交换机,将带来很大的浪费和成本压力, 

为了能实现机顶盒上线点播(因为机顶盒是不能输入 

账号密码通过认证的),我们可以开放点播服务器地 

址,即将点播地址加人上面的控制列表中,使机顶盒上 

线后自动获取合法地址,访问点播服务器,不强制认 

证。当然,这种解决方法可能会存在一些后续问题,但 

在技术上是可实现的。 

[收稿日期:2010-06-081 

2024年4月26日发(作者:衅沈然)

《中国有线电视}2011(01) 

CHINA DIGITAL CABLE TV 

⑥ ・维护与维修・ 

接入服务器设备(M A5 200 F) 

配置与维护 

口蒋岱 ,王晗 

(1.锦州万程有线电视信息网络有限公司,辽宁锦外l 121000;2.辽宁网通锦州分公司,辽宁锦州.121000) 

1 MA5200F设备介绍 

MA5200F基于华为公司先进的第五代路由器体 

系架构,采用高性能网络处理器和大容量ASIC(Appli— 

cation Speciifc Integrated Circuit)芯片,兼有强大的转 

发性能和灵活的业务处理能力,外形小巧,安装方便。 

适用于以太网、xDSL(X Digital Subscriber Line)、HFC 

(Hybrid Fiber Coaxia1)、WLAN(Wireless Local Area 

配置地址池卜l配置认证策略卜.1配置计费策略卜'{配置RADIU 

配置域(引用认证和计费策略,RADIUS) 

路由配置 

Network)等接人类型的网络,提供用户管理、计费控 

制、地址管理、业务控制、安全管理等功能。其强大的 

端口VLAN配置 

功能在广电,电信运营网络都大量使用,各运营商可以 

依据自己的网络结构和业务灵活配置,是网络必要的 

设备之一。 

图1 MA5200配置流程图 

section 0 10.10.0.2 10.10.3.255/ 将地址池分 

为两个段第一个是0 / 

section 1 10.10.4.0 10.10.7.254/ 将地址池分 

为两个段 / 

dns—server 219.150.32.132/%配置地址池的主 

DNS服务器的地址%/ 

dns—server 202.96.223.5 secondary/{配置备 

DNS服务器的地址 / 

(2)配置认证方案 

Aaa/:l:进人aaa模式;l:/ 

authentication—scheme authl/ 建立一个叫 

通用的宽带城域网主要提供用户接入服务和增值 

业务,一般为三层网络结构,包括核心层、汇聚层和接 

入层。根据城域网的规模不同,MA5200F主要可应用 

于大型城域网的区域接入层、小型城域网的边缘汇聚 

层,设备可以安放在小区的中心机房或者局端,提供用 

户接人认证、计费、流量限制、访问控制、网络资源安全 

保障、业务支撑等功能,可以为运营商开展个人用户接 

入、宽带智能化小区、智能商务写字楼、中小企业专线 

接入、VPN(Virtual Private Network)等业务提供支撑, 

特别对中小规模园区网络和校园规模网络来说, 

MA5200是帮助网络管理和维护的最佳设备。在很多 

高级物业小区也有应用。 

2 M ,2OOF设备基本配置 

配置流程图如图1所示。 

(1)配置地址池 

ip pool pooll local/ 建立一个名字叫“pool1”的 

地址池¥/ 

authl”的认证方案:I:/ 

authentication—mode radius/ 设置authl的认证 

模式是radius模式;I=/ 

(3)配置计费方案 

aaa/:l=进入aaa模式:l:/ 

accounting—scheme acctl/ 建立一个叫“acctl” 

的计费方案 / 

gateway 10.10.0.1 255.255.248.0/¥地址池的 

网关和掩码:t:/ 

accounting—mode radius/ 设置acctl方案的认 

证模式是radius模式 / 

(4)Radius配置 

《中国有线电视))2011年第O1期 

radius—server group catv/ 建立一个叫“catv”的 

radius服务器:Ic/ 

radius—server authentieati0n 192.168.:I:.:l:1812 

蒋岱等:接人服务器设备(MA5200F)配置与维护 

ip address 192.168.0.1 255.255.255.252/ 配 

置VLAN子接口IP地址;l:/ 

ip route—static 0.0.0.0 0 192.168.0.2/:l=配置 

/:I;设置认证服务器的ip地址为192.168. 

认证端口为1812:l=/ 

radius—server accounting 192.168. . 

. 默认路由 / 

路由配置结束后ping对端端口应该可以ping通。 

1813 

这样一个ma5200设备就完成了基本配置任务。 

3业务配置 

/ 设置计费服务器的ip地址为192.168. 

认证端口为1813¥/ 

.:l: 

(1)普通账号业务配置 

radius—server key ¥/ 设置与服务器间通信 这是最广泛的配置,在每台MA5200的各个接入 

的密钥为“ ” / 

radius—server type portal/:l:设置服务器的类型为 

portal:l:/ 

undo radius——server user——name domain—.included 

/ 用户不带域名 / 

(5)域配置 

web—auth—server 192.168. . port 50100 key 

huawei/:l:设置WEBSERVER服务器的ip地址.端口 

号和密钥 / 

web—auth—server vemion v2/:l:设版本号为 

v2%/ 

web—auth—server listening—port 2000/{设置监 

听端口为2000;I:/ 

domain isp/:l:建立一个叫“isp”的域:l:/ 

ip—pool pooll/:f:将前面建立的地址池pooll绑 

定到这个域 / 

authentication—scheme authl/:l:将认证方案 

authl绑定到这个域:l:/ 

accounting—scheme acctl/:I:将计费方案acctl绑 

定到这个域 / 

radius—server group cams/ 将前面建立的cams 

服务器绑定到这个域 / 

web—server 192.168. .:l:/ 将前面建立的 

WEBSERVER服务器的ip地址绑定到这个域 / 

domain default/:l:进人defauhO这个认证前域 / 

ip—pool pooll/:l=将前面建立的地址池poolle绑 

定到这个域 / 

web—server 192.168. .:l:/ 将WEB服务器地 

址绑定到这个域 / 

(6)路由配置 

配置到上层设备(¥8016)的互联地址和路由。 

portvlan g 26 vlan 0/ 仓0建26口vlan为0 / 

access—type interface/:l:配置端口VLAN的接人 

类型为非管理类型 / 

interface Ethemet 26.0/ 创建ⅥAN子接口26.0 / 

端口上配置该业务。其接人用户是普通的靠帐号和密 

码接入网络的包月用户。下面以一台设备的一个端口 

为例: 

portvlan themet 1 vlan 101 80/ MA5200的第一 

口vlan从101开始连续80个 / 

access—type layer2一subscriber/ 端口VLAN接 

人类型为2层用户类型 / 

default—domain pre—authentication defaultO/ 这 

80个vlan认证前域是default0 / 

default—domain authentication isp/:l:这80个vlan 

的认证域是isp木/ 

authentication—method web/ 认证方法是web认 

证(因为我们的用户采用portal认证方式) / 

(2)网吧业务配置 

例如:在MA5200的26口下安装一个网吧或者一 

个固定地址的用户其地址为XX.XX.XX.XX,它的带 

宽为2 M。其配置如下: 

portvlan gigabitethernet 26 vlan 1 8 1 1 

access——type layer2—・subscriber 

default—domain authentication 2m/¥这个2m是 

前面创建过的2 M域的域名 / 

authentication—method bind/¥认证方式为绑 

定 / 

static—user XX.XX.XX.XX detect/¥自动检测 

这个地址的上线 / 

(3)集团用户业务配置 

集团用户的数据主要部分配置在¥8016上,其配 

置方法与配置一个端口相同,这里不介绍了,在 

MA5200上只要配置透传即可。配置内容如下: 

portvlan gigabitethernet 26 vlan 4084 1 

access——type relay——leased——line outport gigabiteth・- 

ernet 25 4084 

4维护经验 

(1)按照不同的信息查找在线用户 

命令如图2,可以按照域、主机报文异常、IP地址、 

89 

蒋岱等:接人服务器设备(MA5200F)配置与维护 《中国有线电视>2ol1年第01期 

Hn52日BF>dis a矗a offline-- ̄ecoPd 

端口、用户ID、用户名、VLAN ID查找,如果不输入条 

件,将输出在线用户的统计信息。图3是按照IP地址 

:n冉52的F—i.i la.一16—16Blejt王日n 

查看的结果,显示了这个在线用户的详细信息。 

图2按条件查询用户状态图 

图3按IP地址查询用户显示结果 

(2)可以查看用户下线的原因 

使用的命令和查看结果如图4所示(这个用户是 

正常下线的)。 

(3)利用访问控制列表实现实用功能 

用户使用的是web+pota]认证方式,用户开机即 

在前域里获得合法IP地址,当用户访问任何地址或网 

络应用时,自动强制到potal认证页面实现认证(不同于 

PPPoE认证方式)。所以可以通过一些ACL技巧实现 

些很有用的功能,下面介绍一些业务的实现。 

90 

:日8e日一4cl9一b35e 

:nOMq,al ufan 

:日 

:Ethernet 

:16 

:1681 

:1日.2日.口.172 

:629 

:nuth6rled 

:AcctIdle 

:nuthorldle 

l D :nnS2嘲F1秘B51岫3545969ca47a8 

:2日10/9S/lB 03:S4=59 

:2日1日/日5/1日日8:S2:29 

:冉RP detect fai1 

t 

你要继续显示相关信息吗'( /n)【y】:

。 

 

~ 

图4查询用户下线原因显示结果 

第一,实现用户欠费断网后通过网银缴费自助开 

通业务,其命令如下: 

a acl number 3001 match—order auto 

rule 4 net—user permi‘t ip source 219.150.32.132 

0 destination l 

rule 5 net—user permi。t ip source 219. .:l:.}0 

destination l 

rule 3 user—net permi’t ip source 1 destination 219. 

150.32.132 0 

rule 1 user—net permi’t ip source 1 destination 172. 

:}=. . 0 

urle 6 user—net permi’t ip source 1 destination 219. 

:l:.:l:.:I:0 

rule 2 user—net deny l‘p source 1 

IP地址219.150.32.132是DNS服务器地址, 

219. . . 是某银行网银网站地址,172. .¥.% 

是内部计费服务器地址。通过这个设置,用户获得地 

址后访问前两个地址是不需要强制到计费系统上认证 

的,但访问其他网站则需要通过认证。 

第二,开通数字电视互动业务,使用原理同上。 

很多网络公司在最初建设双向网络时,为了降低 

成本,在用户接入端没有大量采用支持VLAN的交换 

机,而是普通二层隔离交换机。这种交换机端口不支 

持VLAN,在开通双向数字电视时无法做业务区分。 

如果更换所有交换机,将带来很大的浪费和成本压力, 

为了能实现机顶盒上线点播(因为机顶盒是不能输入 

账号密码通过认证的),我们可以开放点播服务器地 

址,即将点播地址加人上面的控制列表中,使机顶盒上 

线后自动获取合法地址,访问点播服务器,不强制认 

证。当然,这种解决方法可能会存在一些后续问题,但 

在技术上是可实现的。 

[收稿日期:2010-06-081 

与本文相关的文章

发布评论

评论列表 (0)

  1. 暂无评论