ME60旁挂核心部署实战：WLAN Portal认证与多运营商策略路由的融合设计

1. 项目背景与需求分析

这个项目源于一个典型的城域WLAN热点扩容需求。客户现网采用"AP-ONU-OLT-CORE-FW-ISP"的标准架构，核心板随AC部署。由于现场基站信号覆盖不足，急需增加城市热点区域的无缝覆盖能力。

项目核心需求可以归纳为三点：

1. Portal认证集成：用户通过Web页面输入账号密码完成认证
2. 多运营商选路：用户选择不同运营商后，RADIUS服务器需下发对应域名的用户组信息给BRAS
3. 旁挂部署要求：现有核心设备承载关键业务，不能直接改造

我接手这个项目时，客户已经决定采用华为ME60作为旁挂BRAS设备。这种架构最大的挑战在于：

• 核心设备（S12700）运行在统一模式，无法直接使用user-group选路
• 现有网络不能停机升级，必须保证业务连续性
• ME60单机部署存在单点故障风险

2. 网络架构设计与设备选型

2.1 拓扑结构设计

我们最终确定的拓扑结构如下：

code复制[无线终端] -> [AP] -> [ONU] -> [OLT] -> [核心交换机S12700]
                              -> [旁挂ME60] -> [防火墙] -> [多运营商出口]

这种设计的优势在于：

• 业务隔离：新增WLAN业务流量通过ME60处理，不影响核心设备原有业务
• 灵活扩展：后续可方便地增加其他增值业务
• 风险可控：核心设备配置改动最小化

2.2 关键设备配置要点

ME60基础配置：

bash复制system-view
telnet server enable
user-interface maximum-vty 21
user-interface vty 0 20
 authentication-mode password
 user privilege level 3
 set authentication password cipher *******
 idle-timeout 300 0

核心交换机配置：

• 新建业务VLAN 3000（二层隔离模式）
• 透传VLAN到OLT/ONU
• 配置测试用地址池（上线后需删除）

3. Portal认证全流程配置

3.1 RADIUS服务器对接

这是整个认证系统的核心，配置不当会导致"认证超时"或"系统繁忙"错误：

bash复制radius-server group radius-group
 radius-server authentication 192.168.8.249 1812
 radius-server accounting 192.168.8.249 1813
 radius-server type standard
 radius-server shared-key-cipher Root@1234

常见坑点：

1. 端口号必须与RADIUS服务器厂商确认（1812/1813是默认值）
2. 共享密钥需要在两端保持一致
3. 认证超时通常是因为路由不可达

3.2 认证域与策略配置

我们采用"前域不认证+后域认证"的双域模式：

bash复制# 认证前域配置（pre-web）
domain pre-web
 authentication-scheme nauth
 accounting-scheme nacc
 ip-pool vlan3000
 user-group web-before
 web-server 192.168.8.251
 web-server url http://192.168.8.251

# 认证后域配置（运营商域）
domain cmcc
 authentication-scheme auth
 accounting-scheme acct
 radius-server group radius-group
 user-group cmcc

domain telecom
 authentication-scheme auth
 accounting-scheme acct
 radius-server group radius-group 
 user-group telecom

3.3 Web重定向关键配置

这是Portal认证能否正常弹出的关键：

bash复制web-auth-server enable
web-auth-server source interface GigabitEthernet1/0/0.2010
web-auth-server 192.168.8.251 port 50100 key cipher webvlan

# ACL规则配置
acl number 6005
 rule 5 permit ip source user-group web-before destination ip-address 192.168.8.251 0
 rule 10 permit ip source ip-address 192.168.8.251 0 destination user-group web-before

实测经验：

• 如果Portal页面无法弹出，首先检查UNR路由
• "系统繁忙"错误通常是因为重定向URL参数不匹配
• 建议先用50100/50200端口测试

4. 多运营商策略路由实现

4.1 传统方案的问题

最初尝试在domain下配置policy-route，但实际测试发现该方案失效：

bash复制domain cmcc
 policy-route 1.1.1.1  # 无效配置

经过与华为400确认，这种场景下应该使用策略路由（Traffic Policy）实现。

4.2 最终生效方案

ME60侧配置：

bash复制# ACL定义用户组
acl number 6100
 rule permit ip source user-group cmcc
acl number 6101
 rule permit ip source user-group telecom

# 流量分类与行为
traffic classifier cmcc-class if-match acl 6100
traffic classifier telecom-class if-match acl 6101

traffic behavior cmcc-behavior redirect ip-nexthop 192.168.31.2
traffic behavior telecom-behavior redirect ip-nexthop 192.168.32.2

# 策略应用
traffic policy multi-isp
 classifier cmcc-class behavior cmcc-behavior
 classifier telecom-class behavior telecom-behavior

interface GigabitEthernet1/0/0.2033
 vlan-type dot1q 2033
 ip address 192.168.31.3 255.255.255.0
 traffic-policy multi-isp inbound

防火墙侧配置：

• 为不同运营商接口配置NAT
• 确保回程路由正确

4.3 实测验证方法

1. 用户选择"中国移动"登录后：

   • 执行tracert www.baidu.com应走移动出口
   • 查看ME60会话表应有对应下一跳

2. 常见故障排查：

   • 如果选路失败，首先检查display traffic-policy状态
   • 确认RADIUS服务器正确下发了user-group属性

5. 典型故障排查指南

5.1 Portal认证相关故障

现象1：认证页面无法弹出

• 检查UNR路由：display unr
• 验证DNS解析是否正常
• 抓包分析HTTP请求是否被正确重定向

现象2：提示"系统繁忙"

• 检查web-server url参数是否完整
• 确认RADIUS服务器与ME60时间同步
• 验证共享密钥一致性

5.2 策略路由失效处理

排查步骤：

1. 确认用户组属性已下发：

   bash复制display access-user user-group cmcc
   

2. 检查策略路由应用状态：

   bash复制display traffic-policy applied-record
   

3. 验证下一跳可达性：

   bash复制ping 192.168.31.2
   

5.3 其他实用排错命令

bash复制# 查看Portal服务器状态
display web-auth-server configuration

# 检查用户在线状态
display access-user

# 查看认证失败统计
display aaa statistics access-type-authenreq

6. 项目经验与优化建议

这个项目让我深刻体会到旁挂架构的价值。在核心设备不能改动的情况下，ME60的旁挂部署完美解决了业务扩展需求。有几点经验值得分享：

1. 测试环境先行：建议先用小规模测试验证所有功能点
2. 参数一致性检查：特别是RADIUS共享密钥、URL参数等
3. 路由规划要细致：UNR路由和策略路由都需要精确控制
4. 日志收集策略：提前配置好ME60的日志服务器对接

对于类似项目，我建议：

• 考虑ME60集群部署消除单点故障
• 与RADIUS厂商深度联调属性下发机制
• 准备完整的回退方案

最后提醒，ME60的部分配置需要commit才能生效，这个特点与华为其他设备不同，容易忽略导致配置"丢失"的假象。