0.0.0.255
rule 10 permit ip source user-group iptv destination ip-address 61.168.222.0 0.0.1.255
rule 15 permit ip source user-group iptv destination ip-address 61.168.224.0 0.0.3.255
rule 20 permit ip source user-group iptv destination ip-address 61.168.228.0 0.0.1.255
rule 25 permit ip source user-group iptv destination ip-address 61.158.216.0 0.0.1.255
rule 30 permit ip source user-group iptv destination ip-address 61.158.218.0 0.0.0.255
rule 35 permit ip source user-group iptv destination ip-address 202.102.224.68 0
rule 40 permit ip source user-group iptv destination ip-address 202.102.227.68 0
[定义了IPTV用户组里的用户可以访问的地址]
#
acl number 6002 match-order auto
rule 5 permit ip source user-group help destination ip-address 218.29.0.252 0 rule 10 permit ip source user-group help destination ip-address 202.102.224.68 0
rule 15 permit ip source user-group help destination ip-address 202.102.227.68 0
[定义了HELP用户组里的用户可以访问的地址]
#
traffic classifier limit operator or if-match acl 6000
traffic classifier action operator or if-match acl 6002 if-match acl 6001
[定义了3个流量分类,分别匹配3个ACL,会和后面的流量动作配置组成策略。这部分与思科设备通过配置ROUTE-MAP定义策略路由很类似] #
traffic behavior limit deny
traffic behavior action
[定义流量动作,后面定义策略的时候与流量分类相关联]
#
traffic policy limit
classifier action behavior action classifier limit behavior limit
[定义流量策略,第一条名为ACTION的分类中匹配到的报文,执行名为ACTION的流量动作中所定义的动作,就是允许,第二条行为类似,但动作是拒绝。需要注意,两条策略的顺序不能反,否则所有流量都会被拒绝]
traffic-policy limit inbound traffic-policy limit outbound
[由于上述策略都是针对用户侧的用户定义的,所以需要在全局下下发]
如果流量策略需要在网络侧端口下发,只需要在相应端口下饮用traffic-policy即可。
2.1.8 用户域基本配置 1、定义用户域
domain dial
authentication-scheme radius
[该域用名称为RADIUS的SCHEME来进行认证]
accounting-scheme radius service-type hsi
[将该域的模式配置成HIS模式,PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组] ip-pool dial
[指定该域使用的地址池] qos profile 2m
[指定该域使用的QOS模板]
2、定义地址池 ip pool dial local
gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68
dns-server 202.102.227.68 secondary
[定义地址池,包括网关,可分配地址范围,不能被分配的地址以及DNS等参数,地址池会被后面的域所引用,以给用户分配地址]
一个用户域下可以定义多个地支持,当一个用完时系统可以选择分配另外一个地支持中的地址。
3、QOS模板定义 首先定义调度模板 scheduler-profile 2m
car cir 2048 pir 2050 cbs 256000 pbs 256250 upstream gts cir 2048 pir 2050 queue-length 65536 定义QOS模板,在其中引用调度模板 qos-profile 2m
scheduler-profile 2m 在用户域下引用QOS模板 domain dial qos profile 2m 2.1.9 安全基本配置 1、定义防病毒访问控制列表
acl number 6000 match-order auto
rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445
rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135
rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434 rule 90 permit any 2、定义流分类
traffic classifier limit operator or if-match acl 6000 3、定义流动作 traffic behavior limit deny 4、定义流策略
traffic policy limit
classifier limit behavior limit 5、全局下发针对用户侧的策略 traffic-policy limit inbound traffic-policy limit outbound
2.1.10 设备配置保存
执行SAVE命令,配置将缺省保存在设备CFCARD中。
2.2 设备接口配置 2.2.1 网络侧接口配置
1、ME60将没有直接挂接用户的三层称之为网络侧端口,典型的就是连接GSR设备的三层端口。该端口为普通的三层路由端口。对于这种类型的端口配置,与普通路由器三层端口相同。
对于网络侧端口的配置在系统模式下进行: interface GigabitEthernet1/0/0 mtu 1524 [配置端口MTU值]
description To-[LY-XiGong-GSR]G1/0/4 [对于该端口的描述 to-[对端设备型号]-端口号] ip address 125.45.253.178 255.255.255.252 [设置端口IP地址] mpls mpls ldp
[端口下启用MPLS]
通过使用display interface命令可以查看端口状态(UP、down),端口类型及端口报文计数等信息。
2、端口描述规范
互联中继命名规范:
字段名称本端设备名称字段类型字母\\符号序列()括号_TO_对端设备名称字母符字母\\符号序列号()括号:符号(冒号)电路类型数字\\字母标注该链路的型号。如:FE,155MATM,155MPOS,GE,10GE,2.5GPOS,10GPOS:电路条目符号数字(冒号)第几条电路括号内标符合设备命名规注本端电字段说明范的设备名称路接入端口括号内标符合设备命名规注对端电范的设备名称路接入端口【端口简写】括号内端口信息采用简写
F:FE
G:GE/10GE
A:ATM
P:POS
设备端口上描述建议采用 TO_ PC-ZZ-ZYL-CRS-001(G0/2):GE:1:电路代号
用户电路命名规范:
:电路带宽:电路类型:电路条目符号符号符号数字\\字母数字\\字母字段类型字母\\符号序列括号字母符号字母\\符号序列数字(冒号)(冒号)(冒号)标注该链路的型号。标注该用户如:符合设备命名括号内标注接入的实际第几条电FE,155MATM,155MP字段说明规范的设备名本端电路接用户名称全拼带宽。例路OS,1GE,10GE,2.5GP称入端口如:10MOS,10GPOS字段名称本端设备名称()_TO_用户名称【端口简写】括号内端口信息采用简写
F:FE
G:GE/10GE
A:ATM
P:POS
注:设备端口上描述建议采用 TO_ ZZGONGSHANGJU:10M:FE:1:电路代号
例如,洛阳西工NE40E连接西工NE80E的描述: Int g1/0/0
Des TO_ PC-LY-XG-NE80E-001(G0/2):GE:1
2.2.2 loopback接口配置及描述
Loopback接口的配置在系统模式下进行。按照本期规划,每台设备需要配置2个loopback地址,范例如下: interface LoopBack0
ip address 125.40.254.110 255.255.255.255 [这个地址用来和RR建立IPV4 BGP邻居] #