2024年4月26日发(作者:衅沈然)
《中国有线电视}2011(01)
CHINA DIGITAL CABLE TV
⑥ ・维护与维修・
接入服务器设备(M A5 200 F)
配置与维护
口蒋岱 ,王晗
(1.锦州万程有线电视信息网络有限公司,辽宁锦外l 121000;2.辽宁网通锦州分公司,辽宁锦州.121000)
1 MA5200F设备介绍
MA5200F基于华为公司先进的第五代路由器体
系架构,采用高性能网络处理器和大容量ASIC(Appli—
cation Speciifc Integrated Circuit)芯片,兼有强大的转
发性能和灵活的业务处理能力,外形小巧,安装方便。
适用于以太网、xDSL(X Digital Subscriber Line)、HFC
(Hybrid Fiber Coaxia1)、WLAN(Wireless Local Area
配置地址池卜l配置认证策略卜.1配置计费策略卜'{配置RADIU
配置域(引用认证和计费策略,RADIUS)
路由配置
Network)等接人类型的网络,提供用户管理、计费控
制、地址管理、业务控制、安全管理等功能。其强大的
端口VLAN配置
功能在广电,电信运营网络都大量使用,各运营商可以
依据自己的网络结构和业务灵活配置,是网络必要的
设备之一。
图1 MA5200配置流程图
section 0 10.10.0.2 10.10.3.255/ 将地址池分
为两个段第一个是0 /
section 1 10.10.4.0 10.10.7.254/ 将地址池分
为两个段 /
dns—server 219.150.32.132/%配置地址池的主
DNS服务器的地址%/
dns—server 202.96.223.5 secondary/{配置备
DNS服务器的地址 /
(2)配置认证方案
Aaa/:l:进人aaa模式;l:/
authentication—scheme authl/ 建立一个叫
“
通用的宽带城域网主要提供用户接入服务和增值
业务,一般为三层网络结构,包括核心层、汇聚层和接
入层。根据城域网的规模不同,MA5200F主要可应用
于大型城域网的区域接入层、小型城域网的边缘汇聚
层,设备可以安放在小区的中心机房或者局端,提供用
户接人认证、计费、流量限制、访问控制、网络资源安全
保障、业务支撑等功能,可以为运营商开展个人用户接
入、宽带智能化小区、智能商务写字楼、中小企业专线
接入、VPN(Virtual Private Network)等业务提供支撑,
特别对中小规模园区网络和校园规模网络来说,
MA5200是帮助网络管理和维护的最佳设备。在很多
高级物业小区也有应用。
2 M ,2OOF设备基本配置
配置流程图如图1所示。
(1)配置地址池
ip pool pooll local/ 建立一个名字叫“pool1”的
地址池¥/
authl”的认证方案:I:/
authentication—mode radius/ 设置authl的认证
模式是radius模式;I=/
(3)配置计费方案
aaa/:l=进入aaa模式:l:/
accounting—scheme acctl/ 建立一个叫“acctl”
的计费方案 /
gateway 10.10.0.1 255.255.248.0/¥地址池的
网关和掩码:t:/
accounting—mode radius/ 设置acctl方案的认
证模式是radius模式 /
(4)Radius配置
《中国有线电视))2011年第O1期
radius—server group catv/ 建立一个叫“catv”的
radius服务器:Ic/
radius—server authentieati0n 192.168.:I:.:l:1812
蒋岱等:接人服务器设备(MA5200F)配置与维护
ip address 192.168.0.1 255.255.255.252/ 配
置VLAN子接口IP地址;l:/
ip route—static 0.0.0.0 0 192.168.0.2/:l=配置
/:I;设置认证服务器的ip地址为192.168.
认证端口为1812:l=/
radius—server accounting 192.168. .
. 默认路由 /
路由配置结束后ping对端端口应该可以ping通。
1813
这样一个ma5200设备就完成了基本配置任务。
3业务配置
/ 设置计费服务器的ip地址为192.168.
认证端口为1813¥/
.:l:
(1)普通账号业务配置
radius—server key ¥/ 设置与服务器间通信 这是最广泛的配置,在每台MA5200的各个接入
的密钥为“ ” /
radius—server type portal/:l:设置服务器的类型为
portal:l:/
undo radius——server user——name domain—.included
/ 用户不带域名 /
(5)域配置
web—auth—server 192.168. . port 50100 key
huawei/:l:设置WEBSERVER服务器的ip地址.端口
号和密钥 /
web—auth—server vemion v2/:l:设版本号为
v2%/
web—auth—server listening—port 2000/{设置监
听端口为2000;I:/
domain isp/:l:建立一个叫“isp”的域:l:/
ip—pool pooll/:f:将前面建立的地址池pooll绑
定到这个域 /
authentication—scheme authl/:l:将认证方案
authl绑定到这个域:l:/
accounting—scheme acctl/:I:将计费方案acctl绑
定到这个域 /
radius—server group cams/ 将前面建立的cams
服务器绑定到这个域 /
web—server 192.168. .:l:/ 将前面建立的
WEBSERVER服务器的ip地址绑定到这个域 /
domain default/:l:进人defauhO这个认证前域 /
ip—pool pooll/:l=将前面建立的地址池poolle绑
定到这个域 /
web—server 192.168. .:l:/ 将WEB服务器地
址绑定到这个域 /
(6)路由配置
配置到上层设备(¥8016)的互联地址和路由。
portvlan g 26 vlan 0/ 仓0建26口vlan为0 /
access—type interface/:l:配置端口VLAN的接人
类型为非管理类型 /
interface Ethemet 26.0/ 创建ⅥAN子接口26.0 /
端口上配置该业务。其接人用户是普通的靠帐号和密
码接入网络的包月用户。下面以一台设备的一个端口
为例:
portvlan themet 1 vlan 101 80/ MA5200的第一
口vlan从101开始连续80个 /
access—type layer2一subscriber/ 端口VLAN接
人类型为2层用户类型 /
default—domain pre—authentication defaultO/ 这
80个vlan认证前域是default0 /
default—domain authentication isp/:l:这80个vlan
的认证域是isp木/
authentication—method web/ 认证方法是web认
证(因为我们的用户采用portal认证方式) /
(2)网吧业务配置
例如:在MA5200的26口下安装一个网吧或者一
个固定地址的用户其地址为XX.XX.XX.XX,它的带
宽为2 M。其配置如下:
portvlan gigabitethernet 26 vlan 1 8 1 1
access——type layer2—・subscriber
default—domain authentication 2m/¥这个2m是
前面创建过的2 M域的域名 /
authentication—method bind/¥认证方式为绑
定 /
static—user XX.XX.XX.XX detect/¥自动检测
这个地址的上线 /
(3)集团用户业务配置
集团用户的数据主要部分配置在¥8016上,其配
置方法与配置一个端口相同,这里不介绍了,在
MA5200上只要配置透传即可。配置内容如下:
portvlan gigabitethernet 26 vlan 4084 1
access——type relay——leased——line outport gigabiteth・-
ernet 25 4084
4维护经验
(1)按照不同的信息查找在线用户
命令如图2,可以按照域、主机报文异常、IP地址、
89
蒋岱等:接人服务器设备(MA5200F)配置与维护 《中国有线电视>2ol1年第01期
Hn52日BF>dis a矗a offline-- ̄ecoPd
端口、用户ID、用户名、VLAN ID查找,如果不输入条
件,将输出在线用户的统计信息。图3是按照IP地址
:n冉52的F—i.i la.一16—16Blejt王日n
查看的结果,显示了这个在线用户的详细信息。
图2按条件查询用户状态图
图3按IP地址查询用户显示结果
(2)可以查看用户下线的原因
使用的命令和查看结果如图4所示(这个用户是
正常下线的)。
(3)利用访问控制列表实现实用功能
用户使用的是web+pota]认证方式,用户开机即
在前域里获得合法IP地址,当用户访问任何地址或网
络应用时,自动强制到potal认证页面实现认证(不同于
PPPoE认证方式)。所以可以通过一些ACL技巧实现
一
些很有用的功能,下面介绍一些业务的实现。
90
:日8e日一4cl9一b35e
:nOMq,al ufan
:日
:Ethernet
:16
:1681
:1日.2日.口.172
:629
:nuth6rled
:AcctIdle
:nuthorldle
l D :nnS2嘲F1秘B51岫3545969ca47a8
:2日10/9S/lB 03:S4=59
:2日1日/日5/1日日8:S2:29
:冉RP detect fai1
t
你要继续显示相关信息吗'( /n)【y】:
。
~
图4查询用户下线原因显示结果
第一,实现用户欠费断网后通过网银缴费自助开
通业务,其命令如下:
a acl number 3001 match—order auto
rule 4 net—user permi‘t ip source 219.150.32.132
0 destination l
rule 5 net—user permi。t ip source 219. .:l:.}0
destination l
rule 3 user—net permi’t ip source 1 destination 219.
150.32.132 0
rule 1 user—net permi’t ip source 1 destination 172.
:}=. . 0
urle 6 user—net permi’t ip source 1 destination 219.
:l:.:l:.:I:0
rule 2 user—net deny l‘p source 1
IP地址219.150.32.132是DNS服务器地址,
219. . . 是某银行网银网站地址,172. .¥.%
是内部计费服务器地址。通过这个设置,用户获得地
址后访问前两个地址是不需要强制到计费系统上认证
的,但访问其他网站则需要通过认证。
第二,开通数字电视互动业务,使用原理同上。
很多网络公司在最初建设双向网络时,为了降低
成本,在用户接入端没有大量采用支持VLAN的交换
机,而是普通二层隔离交换机。这种交换机端口不支
持VLAN,在开通双向数字电视时无法做业务区分。
如果更换所有交换机,将带来很大的浪费和成本压力,
为了能实现机顶盒上线点播(因为机顶盒是不能输入
账号密码通过认证的),我们可以开放点播服务器地
址,即将点播地址加人上面的控制列表中,使机顶盒上
线后自动获取合法地址,访问点播服务器,不强制认
证。当然,这种解决方法可能会存在一些后续问题,但
在技术上是可实现的。
[收稿日期:2010-06-081
2024年4月26日发(作者:衅沈然)
《中国有线电视}2011(01)
CHINA DIGITAL CABLE TV
⑥ ・维护与维修・
接入服务器设备(M A5 200 F)
配置与维护
口蒋岱 ,王晗
(1.锦州万程有线电视信息网络有限公司,辽宁锦外l 121000;2.辽宁网通锦州分公司,辽宁锦州.121000)
1 MA5200F设备介绍
MA5200F基于华为公司先进的第五代路由器体
系架构,采用高性能网络处理器和大容量ASIC(Appli—
cation Speciifc Integrated Circuit)芯片,兼有强大的转
发性能和灵活的业务处理能力,外形小巧,安装方便。
适用于以太网、xDSL(X Digital Subscriber Line)、HFC
(Hybrid Fiber Coaxia1)、WLAN(Wireless Local Area
配置地址池卜l配置认证策略卜.1配置计费策略卜'{配置RADIU
配置域(引用认证和计费策略,RADIUS)
路由配置
Network)等接人类型的网络,提供用户管理、计费控
制、地址管理、业务控制、安全管理等功能。其强大的
端口VLAN配置
功能在广电,电信运营网络都大量使用,各运营商可以
依据自己的网络结构和业务灵活配置,是网络必要的
设备之一。
图1 MA5200配置流程图
section 0 10.10.0.2 10.10.3.255/ 将地址池分
为两个段第一个是0 /
section 1 10.10.4.0 10.10.7.254/ 将地址池分
为两个段 /
dns—server 219.150.32.132/%配置地址池的主
DNS服务器的地址%/
dns—server 202.96.223.5 secondary/{配置备
DNS服务器的地址 /
(2)配置认证方案
Aaa/:l:进人aaa模式;l:/
authentication—scheme authl/ 建立一个叫
“
通用的宽带城域网主要提供用户接入服务和增值
业务,一般为三层网络结构,包括核心层、汇聚层和接
入层。根据城域网的规模不同,MA5200F主要可应用
于大型城域网的区域接入层、小型城域网的边缘汇聚
层,设备可以安放在小区的中心机房或者局端,提供用
户接人认证、计费、流量限制、访问控制、网络资源安全
保障、业务支撑等功能,可以为运营商开展个人用户接
入、宽带智能化小区、智能商务写字楼、中小企业专线
接入、VPN(Virtual Private Network)等业务提供支撑,
特别对中小规模园区网络和校园规模网络来说,
MA5200是帮助网络管理和维护的最佳设备。在很多
高级物业小区也有应用。
2 M ,2OOF设备基本配置
配置流程图如图1所示。
(1)配置地址池
ip pool pooll local/ 建立一个名字叫“pool1”的
地址池¥/
authl”的认证方案:I:/
authentication—mode radius/ 设置authl的认证
模式是radius模式;I=/
(3)配置计费方案
aaa/:l=进入aaa模式:l:/
accounting—scheme acctl/ 建立一个叫“acctl”
的计费方案 /
gateway 10.10.0.1 255.255.248.0/¥地址池的
网关和掩码:t:/
accounting—mode radius/ 设置acctl方案的认
证模式是radius模式 /
(4)Radius配置
《中国有线电视))2011年第O1期
radius—server group catv/ 建立一个叫“catv”的
radius服务器:Ic/
radius—server authentieati0n 192.168.:I:.:l:1812
蒋岱等:接人服务器设备(MA5200F)配置与维护
ip address 192.168.0.1 255.255.255.252/ 配
置VLAN子接口IP地址;l:/
ip route—static 0.0.0.0 0 192.168.0.2/:l=配置
/:I;设置认证服务器的ip地址为192.168.
认证端口为1812:l=/
radius—server accounting 192.168. .
. 默认路由 /
路由配置结束后ping对端端口应该可以ping通。
1813
这样一个ma5200设备就完成了基本配置任务。
3业务配置
/ 设置计费服务器的ip地址为192.168.
认证端口为1813¥/
.:l:
(1)普通账号业务配置
radius—server key ¥/ 设置与服务器间通信 这是最广泛的配置,在每台MA5200的各个接入
的密钥为“ ” /
radius—server type portal/:l:设置服务器的类型为
portal:l:/
undo radius——server user——name domain—.included
/ 用户不带域名 /
(5)域配置
web—auth—server 192.168. . port 50100 key
huawei/:l:设置WEBSERVER服务器的ip地址.端口
号和密钥 /
web—auth—server vemion v2/:l:设版本号为
v2%/
web—auth—server listening—port 2000/{设置监
听端口为2000;I:/
domain isp/:l:建立一个叫“isp”的域:l:/
ip—pool pooll/:f:将前面建立的地址池pooll绑
定到这个域 /
authentication—scheme authl/:l:将认证方案
authl绑定到这个域:l:/
accounting—scheme acctl/:I:将计费方案acctl绑
定到这个域 /
radius—server group cams/ 将前面建立的cams
服务器绑定到这个域 /
web—server 192.168. .:l:/ 将前面建立的
WEBSERVER服务器的ip地址绑定到这个域 /
domain default/:l:进人defauhO这个认证前域 /
ip—pool pooll/:l=将前面建立的地址池poolle绑
定到这个域 /
web—server 192.168. .:l:/ 将WEB服务器地
址绑定到这个域 /
(6)路由配置
配置到上层设备(¥8016)的互联地址和路由。
portvlan g 26 vlan 0/ 仓0建26口vlan为0 /
access—type interface/:l:配置端口VLAN的接人
类型为非管理类型 /
interface Ethemet 26.0/ 创建ⅥAN子接口26.0 /
端口上配置该业务。其接人用户是普通的靠帐号和密
码接入网络的包月用户。下面以一台设备的一个端口
为例:
portvlan themet 1 vlan 101 80/ MA5200的第一
口vlan从101开始连续80个 /
access—type layer2一subscriber/ 端口VLAN接
人类型为2层用户类型 /
default—domain pre—authentication defaultO/ 这
80个vlan认证前域是default0 /
default—domain authentication isp/:l:这80个vlan
的认证域是isp木/
authentication—method web/ 认证方法是web认
证(因为我们的用户采用portal认证方式) /
(2)网吧业务配置
例如:在MA5200的26口下安装一个网吧或者一
个固定地址的用户其地址为XX.XX.XX.XX,它的带
宽为2 M。其配置如下:
portvlan gigabitethernet 26 vlan 1 8 1 1
access——type layer2—・subscriber
default—domain authentication 2m/¥这个2m是
前面创建过的2 M域的域名 /
authentication—method bind/¥认证方式为绑
定 /
static—user XX.XX.XX.XX detect/¥自动检测
这个地址的上线 /
(3)集团用户业务配置
集团用户的数据主要部分配置在¥8016上,其配
置方法与配置一个端口相同,这里不介绍了,在
MA5200上只要配置透传即可。配置内容如下:
portvlan gigabitethernet 26 vlan 4084 1
access——type relay——leased——line outport gigabiteth・-
ernet 25 4084
4维护经验
(1)按照不同的信息查找在线用户
命令如图2,可以按照域、主机报文异常、IP地址、
89
蒋岱等:接人服务器设备(MA5200F)配置与维护 《中国有线电视>2ol1年第01期
Hn52日BF>dis a矗a offline-- ̄ecoPd
端口、用户ID、用户名、VLAN ID查找,如果不输入条
件,将输出在线用户的统计信息。图3是按照IP地址
:n冉52的F—i.i la.一16—16Blejt王日n
查看的结果,显示了这个在线用户的详细信息。
图2按条件查询用户状态图
图3按IP地址查询用户显示结果
(2)可以查看用户下线的原因
使用的命令和查看结果如图4所示(这个用户是
正常下线的)。
(3)利用访问控制列表实现实用功能
用户使用的是web+pota]认证方式,用户开机即
在前域里获得合法IP地址,当用户访问任何地址或网
络应用时,自动强制到potal认证页面实现认证(不同于
PPPoE认证方式)。所以可以通过一些ACL技巧实现
一
些很有用的功能,下面介绍一些业务的实现。
90
:日8e日一4cl9一b35e
:nOMq,al ufan
:日
:Ethernet
:16
:1681
:1日.2日.口.172
:629
:nuth6rled
:AcctIdle
:nuthorldle
l D :nnS2嘲F1秘B51岫3545969ca47a8
:2日10/9S/lB 03:S4=59
:2日1日/日5/1日日8:S2:29
:冉RP detect fai1
t
你要继续显示相关信息吗'( /n)【y】:
。
~
图4查询用户下线原因显示结果
第一,实现用户欠费断网后通过网银缴费自助开
通业务,其命令如下:
a acl number 3001 match—order auto
rule 4 net—user permi‘t ip source 219.150.32.132
0 destination l
rule 5 net—user permi。t ip source 219. .:l:.}0
destination l
rule 3 user—net permi’t ip source 1 destination 219.
150.32.132 0
rule 1 user—net permi’t ip source 1 destination 172.
:}=. . 0
urle 6 user—net permi’t ip source 1 destination 219.
:l:.:l:.:I:0
rule 2 user—net deny l‘p source 1
IP地址219.150.32.132是DNS服务器地址,
219. . . 是某银行网银网站地址,172. .¥.%
是内部计费服务器地址。通过这个设置,用户获得地
址后访问前两个地址是不需要强制到计费系统上认证
的,但访问其他网站则需要通过认证。
第二,开通数字电视互动业务,使用原理同上。
很多网络公司在最初建设双向网络时,为了降低
成本,在用户接入端没有大量采用支持VLAN的交换
机,而是普通二层隔离交换机。这种交换机端口不支
持VLAN,在开通双向数字电视时无法做业务区分。
如果更换所有交换机,将带来很大的浪费和成本压力,
为了能实现机顶盒上线点播(因为机顶盒是不能输入
账号密码通过认证的),我们可以开放点播服务器地
址,即将点播地址加人上面的控制列表中,使机顶盒上
线后自动获取合法地址,访问点播服务器,不强制认
证。当然,这种解决方法可能会存在一些后续问题,但
在技术上是可实现的。
[收稿日期:2010-06-081