1. <form id='Nv6Fzy'></form>
        <bdo id='Nv6Fzy'><sup id='Nv6Fzy'><div id='Nv6Fzy'><bdo id='Nv6Fzy'></bdo></div></sup></bdo>

          • 当前位置:首页 >> IT/计算机 >>

            ME60配置BRAS接入


            Quidway ME60 高端路由器 BRAS 业务配置指南

            目 录

            目 录
            第 5 章 配置 BRAS 接入 ..........................................................................................................5-1
            5.1 接入协议简介 ..................................................................................................................... 5-1 5.1.1 接入协议概念........................................................................................................... 5-2 5.1.2 接入协议分类........................................................................................................... 5-2 5.2 认证方法简介 ..................................................................................................................... 5-3 5.2.1 Web 认证和快速认证............................................................................................... 5-3 5.2.2 绑定认证 .................................................................................................................. 5-5 5.2.3 PPP 认证 ................................................................................................................. 5-5 5.2.4 802.1X 认证 ............................................................................................................. 5-6 5.2.5 参考信息 .................................................................................................................. 5-7 5.3 配置 Web 认证 ................................................................................................................... 5-7 5.3.1 建立配置任务........................................................................................................... 5-7 5.3.2 配置 Web 认证服务器 .............................................................................................. 5-8 5.3.3 配置 Portal 协议....................................................................................................... 5-9 5.3.4 配置 BAS 接口下的认证前缺省域 ............................................................................ 5-9 5.3.5 配置强制 Web 认证................................................................................................ 5-10 5.4 配置 802.1X 模板 ............................................................................................................. 5-10 5.4.1 建立配置任务......................................................................................................... 5-10 5.4.2 创建 802.1X 模板................................................................................................... 5-11 5.4.3 配置认证响应报文的超时时间 ............................................................................... 5-11 5.4.4 配置 Request 报文的超时时间和重传次数............................................................. 5-12 5.4.5 配置 Keepalive 报文的超时时间和重传次数 .......................................................... 5-12 5.4.6 配置重认证的时间间隔 .......................................................................................... 5-13 5.4.7 配置是否终结 EAP 报文......................................................................................... 5-13 5.4.8 配置是否传送 EAP-SIM 认证的参数 ...................................................................... 5-13 5.5 配置用户侧 VLAN............................................................................................................. 5-14 5.5.1 建立配置任务......................................................................................................... 5-14 5.5.2 创建用户侧 VLAN .................................................................................................. 5-14 5.6 配置 BAS 接口.................................................................................................................. 5-15 5.6.1 建立配置任务......................................................................................................... 5-15 5.6.2 创建 BAS 接口 ....................................................................................................... 5-16 5.6.3 配置用户接入类型.................................................................................................. 5-16 5.6.4 配置用户认证方法.................................................................................................. 5-17 5.6.5 设置用户数限制 ..................................................................................................... 5-17 5.6.6 指定域.................................................................................................................... 5-18 5.6.7 配置 BAS 接口附加功能......................................................................................... 5-19

            i

            Quidway ME60 高端路由器 BRAS 业务配置指南

            目 录

            5.6.8 设置其他参数......................................................................................................... 5-20 5.6.9 设置 BAS 接口的阻塞状态 ..................................................................................... 5-22 5.7 配置 IPoX 接入 ................................................................................................................. 5-22 5.7.1 建立配置任务......................................................................................................... 5-22 5.8 配置 PPPoX 接入 ............................................................................................................. 5-25 5.8.1 建立配置任务......................................................................................................... 5-25 5.9 配置 802.1X 接入 ............................................................................................................. 5-27 5.9.1 建立配置任务......................................................................................................... 5-27 5.10 配置专线接入 ................................................................................................................. 5-28 5.10.1 建立配置任务....................................................................................................... 5-28 5.11 配置 ND 接入.................................................................................................................. 5-30 5.11.1 建立配置任务....................................................................................................... 5-30 5.12 管理在线用户 ................................................................................................................. 5-32 5.12.1 建立配置任务....................................................................................................... 5-32 5.12.2 显示在线用户....................................................................................................... 5-33 5.12.3 切断在线用户的连接............................................................................................ 5-33 5.13 维护 BRAS 接入 ............................................................................................................. 5-33 5.13.1 显示 BRAS 接入运行信息 .................................................................................... 5-34 5.13.2 调试 BRAS 接入 .................................................................................................. 5-34 5.14 配置举例......................................................................................................................... 5-34 5.14.1 配置 IPoE 接入 .................................................................................................... 5-35 5.14.2 配置 IPoEoVLAN 接入 ......................................................................................... 5-39 5.14.3 配置 PPPoE 接入................................................................................................. 5-42 5.14.4 配置 PPPoEoVLAN 接入 ..................................................................................... 5-45 5.14.5 配置 802.1X 接入................................................................................................. 5-48 5.14.6 配置以太网二层专线接入..................................................................................... 5-51 5.14.7 配置以太网三层专线接入..................................................................................... 5-54 5.14.8 配置 ND 接入 ....................................................................................................... 5-56

            ii

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            第5章 配置 BRAS 接入
            ME60 作为 BRAS 设备,能够支持多种形式的用户接入。下表列出了本章所包含的 内容。
            如果您需要…… 了解用户接入协议的概念和分类 了解用户接入的方法 使用 Web 认证方法对接入用户进行认证 使用 802.1X 认证方法对接入用户进行认证 使用子接口的 VLAN 接入用户 使用某个接口进行宽带用户接入 使用 IPoX 方式接入用户 请阅读…… 接入协议简介 认证方法简介 配置任务: 配置 Web 认证 配置任务:配置 802.1X 模板 配置任务:配置用户侧 VLAN 配置任务:配置 BAS 接口 配置任务:配置 IPoX 接入 配置举例 1:配置 IPoE 接入 配置举例 2:配置 IPoEoVLAN 接入 使用 PPPoX 方式接入用户 配置任务:配置 PPPoX 接入 配置举例 1:配置 PPPoE 接入 配置举例 2:配置 PPPoEoVLAN 接入 使用 802.1X 方式接入用户 配置任务:配置 802.1X 接入 配置举例:配置 802.1X 接入 使用专线(Leased Line)方式接入用户 配置任务:配置专线接入 配置举例 1:配置以太网二层专线接入 配置举例 2:配置以太网三层专线接入 为 IPv6 用户提供接入、认证、计费等服务 配置任务:配置 ND 接入 配置举例:配置 ND 接入 在 ME60 上对在线用户进行查看、切断连接等管 理 维护 BRAS 接入 配置任务:管理在线用户 维护 BRAS 接入

            5.1 接入协议简介
            本节介绍接入分类,具体内容包括: 接入协议概念 接入协议分类

            5-1

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            5.1.1 接入协议概念
            如“第1章 BRAS业务概述”所述,用户物理接入方式的差异通常在接入设备上被 屏蔽, ME60也无需关心终端用户的接入方式。 ME60上可见的用户报文的封装格式, 并依据报文的协议栈来区分用户。 一个典型的例子,如果用户通过LAN Switch连接ME60(LAN Switch加上VLAN标识 用户),然后用户通过PPPoE拨号向ME60发起接入请求,那么其协议栈结构如图 5-1所示。在这种方式下,用户的IP报文经过了PPP封装、PPPoE封装、Ethernet 封装并打上了VLAN标记,因此这种接入协议被称为PPPoEoVLAN。
            PC
            TCP/UDP IP PPP PPPoE ETH network cable ethernet frame PPPoE Connection PPPoE ETH Q optical fiber ethernet frame ETH Q PPP Connection

            LAN Switch

            ME60
            TCP/UDP IP Forward PPP

            VLAN Tag based 802.1Q

            图5-1 PPPoEoVLAN 协议栈结构

            对于 PPPoEoVLAN 的报文,ME60 必须具备 VLAN 标记识别能力、以太网帧解析 能力、PPPoE 报文解析能力和 PPP 报文解析能力,才能获得 IP 报文。因此必须在 ME60 上的配置就要满足以下条件: 在以太网子接口下配置,具备 VLAN 识别和以太网帧解析能力。 在以太网子接口下绑定虚模板,使之具备 PPP 和 PPPoE 处理能力。

            5.1.2 接入协议分类
            在 ME60 中,接入协议包括如下几种: IPoX(IPoE、IPoEoVLAN) PPPoX(PPPoE、PPPoEoVLAN) 802.1X 专线(二层专线、三层专线) ND 接入 各种接入协议的协议栈如图 5-2所示(此处只描述了在 ME60 上的协议栈,在用户 侧和接入设备侧的协议栈省略)。

            5-2

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            TCP/UDP IP ETH

            TCP/UDP IP ETH Q

            TCP/UDP IP PPP PPPoE ETH

            TCP/UDP IP PPP PPPoE ETH Q

            TCP/UDP IP EAP EAPoL

            IPoE

            IPoEoVLAN

            PPPoE

            PPPoEoVLAN

            802.1X

            图5-2 BRAS 接入的协议栈结构

            说明: 有关 802.1X 的详细说明请参见“5.2.4 802.1X 认证”。 专线的协议栈结构和 IPoE 或 IPoEoVLAN 相同,请参见“5.10 配置专线接入”。 ND 接入用于 IPv6 用户的接入,请参见“5.11 配置 ND 接入”。

            5.2 认证方法简介
            认证方法是指用户终端和 ME60 之间进行认证交互、提交用户名和密码的方法。本 节介绍的认证方法包括: Web 认证和快速认证 绑定认证 PPP 认证 802.1X 认证

            5.2.1 Web 认证和快速认证
            1. 基本概念 Web 认证 Web 认证是指用户通过访问 Web 认证服务器的认证页面,交互输入用户名和密码 进行身份认证的一种认证方法。 快速认证 Web 认证还有一种简化的方法,称为快速认证,是指用户访问 Web 页面,但是无 需输入用户名和密码,直接提交认证,由 ME60 根据用户接入的 BAS(Broadband Access Server)接口信息自动生成用户名和密码(vlan)进行认证。

            5-3

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            强制 Web 认证 强制 Web 认证是指当需要 Web 认证或快速认证的用户,在未认证前试图访问其无 权访问的地址时,ME60 将其访问请求强制重定向到强制 Web 认证服务器,让用户 进行认证。 说明: 强制 Web 认证和强制 Portal 不同, 前者用于对用户认证前的越权访问进行重定向控 制,后者用于对用户认证后的首次访问进行重定向控制。

            Portal 协议 Portal 协议由华为公司开发,主要用于 Web 服务器和其他设备之间的信息交互。 Portal 协议基于客户端/服务器结构,采用 UDP 作为传输协议,分为 V1/V2 版本。 在 Web 认证中,Web 认证服务器和 ME60 之间的通信使用 Portal 协议, ME60 为 客户端。Web 认证服务器从认证页面中将用户输入的用户名和密码提取后,通过 Portal 协议传送给 ME60。 2. Web 认证组网 Web 认证典型的组网模型如图 5-3所示。用户接入 ME60 后,需要通过访问 Web 认证服务器进行身份认证。认证通过之后才能正常访问 Internet。
            Web server

            subscriber

            Access network

            ME60
            subscriber RADIUS server

            图5-3 Web 认证的典型组网模型

            3. Web 认证流程
            阶段 1 描述 用户访问 Web 认证服务器, 可以是直接访问, 也可以通过强制 Web 认证方法, ME60 由 将用户访问其他地址的请求强制重定向到强制 Web 认证服务器进行访问, 并下载一个 用于心跳检测的客户端软件。 Web 认证方法下,用户在 Web 认证服务器提供的认证页面上输入用户名和密码后提 交给 Web 认证服务器;快速认证方法下,用户无需输入用户名和密码直接提交。 Web 认证服务器提取用户名和密码,或者使用配置的快速认证的用户名和密码,通过 Portal 协议发送给 ME60。

            2

            3

            5-4

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            阶段 4

            描述 ME60 将用户名和密码发送给 RADIUS 或者 TACACS 服务器对用户进行认证, 认证通 过后,给用户开放相关权限,并通过 Portal 协议通知 Web 认证服务器给用户发送认证 成功页面。 用户可以正常上网,ME60 开始计费。 客户端软件通过发送心跳报文保持在线状态, 如果一段时间内 Web 认证服务器没有接 收到心跳报文,则认为用户异常离线,则通知 ME60 拆除相应的用户连接并停止计费。 上网过程中, 用户可以通过客户端软件主动通知 Web 认证服务器断开连接, 此时 Web 认证服务器将通知 ME60 立即删除用户的连接信息,停止计费。

            5 6

            7

            5.2.2 绑定认证
            绑定认证是指 ME60 根据用户接入的位置信息自动生成用户名和密码进行认证。 在绑定认证中, 用户计算机发送 IP 报文在 ME60 上触发认证过程 (或者 ME60 通过 ARP 探测得知用户上线而触发认证过程),ME60 根据用户的位置信息(槽号、卡 号、端口号、VLAN 号)生成用户名和密码,并送到 RADIUS 服务器进行认证。

            5.2.3 PPP 认证
            1. PPP 概述 PPP 是在点到点链路上承载网络层数据包的一种链路层协议,由于它能够提供用户 认证,易于扩充,并且支持同异步通信,因而获得广泛应用。 PPP 定义了一整套协议,包括链路控制协议 LCP(Link Control Protocol)、网络 层控制协议 NCP(Network Control Protocol)和认证协议 PAP/CHAP。 LCP:用来协商链路的一些参数,负责创建并维护链路。 NCP:用来协商网络层协议的参数。 PAP/CHAP/MSCHAP:用于对用户身份进行认证。 2. PPP 认证协议 ME60 支 持 PAP ( Password Authentication Protocol ) 、 CHAP ( Challenge Handshake Authentication Protocol)、MSCHAP 认证协议,如表 5-1所示。
            表5-1 PPP 认证协议 协议 描述 PAP 认证为两次握手认证,密码为明文,PAP 认证的过程如下。 PAP (1) 被认证方发送用户名和密码到认证方。 (2) 认证方根据用户配置查看是否有此用户以及密码是否正确,然后返回不同的 响应(Acknowledge or Not Acknowledge)。

            5-5

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            协议

            描述 CHAP 认证为三次握手认证,密码为密文(密钥),CHAP 认证过程如下。 (1) 认证方向被认证方发送一些随机产生的报文(Challenge)。 (2) 被认证方用自己的密码和 MD5 算法对该随机报文进行加密,将生成的密文发 回认证方(Response)。 (3) 认证方用自己保存的被认证方密码和 MD5 算法对原随机报文加密,比较二者 的密文, 根据比较结果返回不同的响应 (Acknowledge or Not Acknowledge) 。 MSCHAP 是 Microsoft 对 CHAP 协议进行扩展后的认证协议,MSCHAP 协议集成 了加密算法(Encryption)和散列算法(Hashing algorithm),适用于局域网用户。 MSCHAP 分为 V1 和 V2 两个版本。

            CHAP

            MSCHAP

            5.2.4 802.1X 认证
            1. 802.1X 协议概述 802.1X 协议(IEEE Std 802.1X-2001)起源于无线局域网 WLAN 的 802.11 协议, 主要用于控制无线用户的链路层接入和身份认证。 经过扩展后,802.1X 可以使用以太网帧作为承载报文,从而可适用于以太网以及其 他的有线接入方式。在 ME60 中,802.1X 协议可以同时适用于 WLAN 用户以及其 他普通的有线用户。 802.1X 中使用 EAP (Extensible Authentication Protocol) 作为认证协议, EAPoL 用 (EAP over LAN)作为链路层协议。 2. EAP EAP(RFC 3748)是在 PPP 基础上扩展的认证协议。和 PPP 认证流程不同,EAP 在 LCP 阶段不协商特定的认证方法,而是在认证阶段根据具体情况进行选择。EAP 可以在 LCP 阶段交换更多的信息,便于决定在认证阶段使用何种认证机制。 EAP 的报文封装在 PPP 帧的 Information 区域,协议值为 0xc227。 3. EAPoL 802.1X 协议规定, 在以太网中, 使用类型为 0x888e 的以太网帧作为 EAP 报文的链 路层承载报文,也称为 EAPoL。 EAPoL 只对 EAP 控制报文有效,用户的数据报文使用普通的以太网帧承载。 4. 802.1X 认证流程
            阶段 1 2 3 描述 用户通过 802.1X 拨号器输入用户名和密码后,进行 802.1X 拨号。 拨号器将认证请求封装为 EAPoL 报文,发送给 ME60(中间可能经过 VLAN 标记)。 ME60 通过 EAP 与用户进行交互,获取用户名和密码,并进行认证(本地或远端)。

            5-6

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            阶段 4 5

            描述 认证通过后,ME60 通过 DHCP 为用户分配 IP 地址,用户可以正常上网。 ME60 和 802.1X 拨号器定期通过握手报文进行交互,确认用户的在线状态。

            5.2.5 参考信息
            如果想了解更多有关 PPP、PPPoE、EAP 和 802.1X 的信息,请参考以下资源。
            文档编号 RFC 1332 RFC 1570 RFC 1661 RFC 1662 RFC 1877 RFC 2153 RFC 2484 RFC 2516 RFC 3748 IEEE Std 802.1X-2001 描述 The PPP Internet Protocol Control Protocol (IPCP) (May 1992) PPP LCP Extensions (January 1994) The Point-to-Point Protocol (PPP) (July 1994) PPP in HDLC-like Framing (July 1994) PPP Internet Protocol Control Protocol Extensions for Name Server Addresses (December 1995) PPP Vendor Extensions (May 1997) PPP LCP Internationalization Configuration Option (January 1999) A Method for Transmitting PPP Over Ethernet (PPPoE) (February 1999) Extensible Authentication Protocol (EAP) (June 2004) IEEE Standard for Local and metropolitan area networks--Port-Based Network Access Control

            5.3 配置 Web 认证
            5.3.1 建立配置任务
            1. 应用环境 当有用户使用 Web 认证时,需要对 Web 认证服务器等进行相关的设置。 2. 前置任务 在配置 Web 认证之前,需要完成以下任务。 配置域,作为 Web 认证用户的认证前缺省域,请参见“第 4 章 管理用户” 配置地址池,作为认证前缺省域使用的地址池,请参见“第 3 章 管理地址” 配置 ACL(Access Control List),对认证前缺省域的用户权限进行控制,除 了允许用户访问 Web 认证服务器以及必要的 DNS 等服务器之外, 不允许访问

            5-7

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            其他任何地址,请参见《Quidway ME60 高端路由器 操作手册 IP 业务分册》 “第 7 章 配置 ACL” 3. 数据准备 在配置 Web 认证之前,请根据网络规划,准备好以下数据。
            序号 1 2 3 4 5 数据 Web 认证服务器的 IP 地址、端口号、所属的 VPN 实例、共享密钥 Portal 协议版本号、ME60 的侦听端口号、源接口 是否透传 RADIUS 认证结果消息给 Web 认证服务器 BAS 接口下 Web 认证用户的认证前缺省域 是否使用强制 Web 认证(可选)

            4. 配置步骤
            序号 1 2 3 4 过程 配置 Web 认证服务器 配置 Portal 协议(可选) 配置 BAS 接口下的认证前缺省域 配置强制 Web 认证(可选)

            5.3.2 配置 Web 认证服务器
            步骤 1 2 操作 进入系统视图 配置 Web 认证服务器 命令 system-view web-auth-server ip-address [ vpn-instance instance-name ] [ port port-number ] [ key key-string ] [ nas-ip-address ]

            配置 Web 认证服务器包括以下参数: 服务器的 IP 地址以及所属的 VPN 实例; 服务器的端口号; 服务器的共享密钥; ME60 是否向服务器上报自己的 IP 地址。 缺省情况下,ME60 中未配置 Web 认证服务器。配置 Web 认证服务器后,缺省的 端口号为 50100、共享密钥为空、ME60 不向 Web 认证服务器上报 IP 地址。

            5-8

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            5.3.3 配置 Portal 协议
            步骤 1 2 操作 进入系统视图 设置 Portal 版本号 或配置 ME60 的侦听端口号 或配置 ME60 发送报文的源接口 或配置透传 RADIUS 消息 命令 system-view web-auth-server version v2 [ v1 ] web-auth-server listening-port port web-auth-server source interface interface-type interface-number web-auth-server reply-message

            配置 Portal 协议包括以下内容,这些配置对所有 Web 认证服务器生效。 1. Portal 版本号 Portal 协议有 V1 和 V2 两个版本。在 ME60 中,可以选择只支持 V2 版本或者同时 支持 V1、V2 版本。缺省情况下,ME60 同时支持 V1 和 V2 版本。 2. 侦听端口号 侦听端口号是指 ME60 侦听 Web 认证服务器消息的端口号。缺省情况下,ME60 使 用端口 2000 侦听 Web 认证服务器的消息。 3. 发送报文的源接口 发送报文的源接口是指 ME60 发送 Portal 报文时, 使用该接口的 IP 地址作为 Portal 报文的源 IP 地址。通常源接口可设为 ME60 中某个管理接口或者环回接口。缺省情 况下,ME60 中未配置发送 Portal 报文的源接口,即直接使用报文出接口的 IP 地址 作为源 IP 地址。 4. 透传 RADIUS 消息 透传 RADIUS 消息是在 RADIUS 服务器完成对用户的认证后,ME60 不对 RADIUS 的认证结果消息做任何处理,直接转发给 Web 认证服务器。 缺省情况下,ME60 透传 RADIUS 消息给 Web 认证服务器。

            5.3.4 配置 BAS 接口下的认证前缺省域
            步骤 1 2 3 4 操作 进入系统视图 进入接口视图 进入 BAS 接口视图 设置用户接入类型为二层用户 命令 system-view interface interface-type interface-number bas access-type layer2-subscriber

            5-9

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            步骤 5

            操作 指定认证前缺省域

            命令 default-domain pre-authentication domain-name

            由于 Web 认证用户在未认证前属于非法用户,无法获取 IP 地址,也没有权限访问 Web 认证服务器,因而也无法进行 Web 认证。 为了解决这个矛盾, ME60 中, 在 所有未认证的 Web 认证用户都被归到某个缺省域 (基于接口配置),称为认证前缺省域。未认证用户可以从认证前缺省域中获取 IP 地址,并通过认证前缺省域赋予的权限访问 Web 服务器,完成 Web 认证。

            5.3.5 配置强制 Web 认证
            步骤 1 2 3 4 操作 进入系统视图 进入 AAA 视图 进入域视图(认证前缺省域) 配置强制 Web 认证服务器 命令 system-view aaa domain domain-name web-server { url url | ip-address | mode { get | post } }

            设置强制 Web 认证需要指定强制重定向的 URL,形如“http://www.isp.com/ index.htm”。

            5.4 配置 802.1X 模板
            5.4.1 建立配置任务
            1. 应用环境 当有用户使用 802.1X 认证方法进行认证时,需要在 ME60 上配置 802.1X 模板。 802.1X 模板规定了 ME60 和 802.1X 客户端之间的 802.1X 协商参数。 配置了 802.1X 模板之后, 可以在域下引用。 此时域下用户使用 802.1X 方法认证时, 使用模板中定义的参数进行 802.1X 协商。参见“第 4 章 管理用户”。 2. 前置任务 无 3. 数据准备 在配置 802.1X 模板之前,请根据网络规划,准备好以下数据。

            5-10

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            序号 1 2 3 4 5 6 7

            数据 802.1X 模板编号 认证响应报文的超时时间 Request 报文的超时时间和重传次数 Keepalive 报文的超时时间和重传次数 重认证的时间间隔 是否对 EAP 报文进行终结 是否传送 EAP-SIM 认证的参数

            4. 配置步骤
            序号 1 2 3 4 5 6 7 过程 创建 802.1X 模板 配置认证响应报文的超时时间(可选) 配置 Request 报文的超时时间和重传次数(可选) 配置 Keepalive 报文的超时时间和重传次数(可选) 配置重认证的时间间隔(可选) 配置是否终结 EAP 报文(可选) 配置是否传送 EAP-SIM 认证的参数(可选)

            5.4.2 创建 802.1X 模板
            步骤 1 2 操作 进入系统视图 创建 802.1X 模板 命令 system-view dot1x-template dot1x-template-number

            802.1X 模板以编号进行标识。系统中固定存在编号为 1 的 802.1X 模板,只能修改, 不能删除。除此之外,系统中还可创建 255 个 802.1X 模板。

            5.4.3 配置认证响应报文的超时时间
            步骤 1 2 3 操作 进入系统视图 进入 802.1X 模板视图 配置认证响应报文的超时时间 命令 system-view dot1x-template dot1x-template-number authentication timeout time

            5-11

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            认证响应报文的超时时间是指 ME60 向认证服务器发送认证报文后,等待响应的超 时时间。 缺省情况下,认证响应报文的超时时间为 30 秒。

            5.4.4 配置 Request 报文的超时时间和重传次数
            步骤 1 2 3 操作 进入系统视图 进入 802.1X 模板视图 配置 Request 报文的超时时间和 重传次数 命令 system-view dot1x-template dot1x-template-number request { interval time | retransmit times } *

            Request 报文(EAP-Request)用于 ME60 向 802.1X 客户端索取用户信息。 ME60 发送了 Request 报文后,如果在指定的超时时间内未收到客户端的响应报文 (EAP-Response),则重传 Request 报文。如果在重传了指定的次数之后,依然 收不到客户端的响应,则 ME60 放弃该次连接。 缺省情况下,Request 报文的超时时间为 30 秒,重传次数为 2。

            5.4.5 配置 Keepalive 报文的超时时间和重传次数
            步骤 1 2 3 操作 进入系统视图 进入 802.1X 模板视图 配置 Keepalive 报文的超时时间 和重传次数 命令 system-view dot1x-template dot1x-template-number keepalive { interval time | retransmit times } *

            802.1X 协议规定,客户端下线时只需发送一次下线报文(EAPoL-Logoff)即可,不 需要服务器进行回应。如果该报文在网络传输中丢失,会导致服务器无法及时获知 用户的下线信息,而导致计费异常。 ME60 可通过定时向 802.1X 客户端发送 Keepalive 报文(EAP-Request/Identity) 并接收响应报文(EAP-Response/Identity),实现和客户端的握手机制,来确认客 户端是否在线。 当 ME60 发送了 Keepalive 报文后, 如果在指定的超时时间内未收到客户端的响应, 则重传 Keepalive 报文。如果在重传了指定的次数之后,依然收不到客户端的响应, 则 ME60 认为用户已经下线,删除相关的连接资源。 缺省情况下,Keepalive 报文的超时时间为 20 秒,重传次数为 0,表示不和客户端 进行握手。

            5-12

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            5.4.6 配置重认证的时间间隔
            步骤 1 2 3 操作 进入系统视图 进入 802.1X 模板视图 配置重认证的时间间隔 命令 system-view dot1x-template dot1x-template-number reauthentication interval time

            重认证是指 ME60 可以定时向 802.1X 客户端发送认证请求(EAP-Request),重 新触发认证的机制。重认证用于确认用户的合法性,防止其他用户利用非法手段通 过已认证的 802.1X 逻辑端口上线。但频繁重认证会影响系统性能。 缺省情况下,重认证的时间间隔为 3600 秒(1 小时)。

            5.4.7 配置是否终结 EAP 报文
            步骤 1 2 3 操作 进入系统视图 进入 802.1X 模板视图 配置终结 EAP 报文 命令 system-view dot1x-template dot1x-template-number eap-end [ chap | pap ]

            RFC 3748 中建议,网络设备对于 EAP 报文有两种处理方式: 终结 EAP 报文,由网络设备自己和客户端完成 PAP/CHAP 协商,获取用户信 息后,再将用户信息发送到认证服务器进行认证。 作为透传代理(passthrough agent),直接将 EAP 报文透传给远端服务器, 由服务器和客户端直接完成认证。 缺省情况下,ME60 不终结 EAP 报文,而是将 EAP 报文透传给 RADIUS 服务器。 说明: 目前大多数的 802.1X 拨号器不支持 PAP 认证方式。 对于 WLAN 用户,ME60 一般不对 EAP 报文进行终结。

            5.4.8 配置是否传送 EAP-SIM 认证的参数
            步骤 1 2 3 操作 进入系统视图 进入 802.1X 模板视图 配置传送 EAP-SIM 认证的参数 命令 system-view dot1x-template dot1x-template-number eap-sim-parameter

            5-13

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            EAP-SIM 认证适用于采用 SIM (Subscriber Identify Module) 卡上网的 WLAN 用户, EAP-SIM 认证的流程和普通的 EAP 认证略有区别。 ME60 支持 EAP-SIM 认证,认证过程中是否需要将部分参数(如用户的 IP 地址、 设备的 IP、设备的 AC Name)传送给认证服务器需要作开关设置。 缺省情况下,ME60 不将参数传送给认证服务器。

            5.5 配置用户侧 VLAN
            5.5.1 建立配置任务
            1. 应用环境 当使用子接口接入用户时,可以在子接口下绑定用户侧 VLAN,以标识该子接口下 哪些 VLAN 的用户可以接入。 2. 前置任务 无 3. 数据准备 在配置用户侧 VLAN 之前,请根据网络规划,准备好以下数据。
            序号 1 2 3 数据 子接口的编号 用户侧 VLAN 号 QinQ VLAN 的编号(可选)

            4. 配置步骤
            序号 1 过程 创建用户侧 VLAN

            5.5.2 创建用户侧 VLAN
            步骤 1 2 3 操作 进入系统视图 进入子接口视图 创建用户侧 VLAN 命令 system-view interface interface-type sub-interface-number uservlan start-vlan [ end-vlan ] [ qinq qinq-vlan ]

            5-14

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            创建用户侧 VLAN 后,CLI 将进入 VLAN 视图。

            5.6 配置 BAS 接口
            5.6.1 建立配置任务
            1. 应用环境 当某个接口用于接入宽带用户时,需要将该接口配置为 BAS 接口,并配置用户的接 入类型和其他相关属性。 2. 前置任务 在配置 BAS 接口之前,需要完成以下任务。 配置域, 作为 BAS 接口下用户的缺省域和漫游域, 请参见 “第 4 章 管理用户” 如果使用计费报文抄送功能,配置 RADIUS 服务器组,请参见“第 1 章 管理 AAA” 3. 数据准备 在配置 BAS 接口之前,请根据网络规划,准备好以下数据。
            序号 1 2 3 4 5 6 数据 接口的编号 用户的接入类型 用户的认证方法 BAS 接口接入的最大用户数、指定 VLAN 接入的最大用户数(可选) BAS 接口的缺省域、漫游域和允许用户接入的域(可选) 是否启用 ARP 代理功能、ND 代理功能、DHCP 广播功能、计费报文抄送功能、IP 报 文触发上线功能、按用户复制组播报文功能、802.1X 认证触发功能(可选) 是否信任客户端上报的 DHCP Option82 信息、 用户探测参数、 PPP 用户所属的 VPN 非 实例、是否支持 WLAN 的组网方式、BAS 接口名字、接入设备的类型(可选)

            7

            4. 配置步骤
            序号 1 2 3 4 过程 创建 BAS 接口 配置用户接入类型 配置用户认证方法 设置用户数限制(可选)

            5-15

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            序号 5 6 7 8

            过程 指定域(可选) 配置 BAS 接口附加功能(可选) 设置其他参数(可选) 设置 BAS 接口的阻塞状态(可选)

            5.6.2 创建 BAS 接口
            步骤 1 2 3 操作 进入系统视图 进入接口视图 创建 BAS 接口 命令 system-view interface interface-type interface-number bas

            当在一个接口视图下执行 bas 命令时,可以将该接口设置为 BAS 接口。可以设置 为 BAS 接口的接口类型包括 FE 接口、GE 接口、Eth-Trunk 接口以及这些接口的子 接口。

            5.6.3 配置用户接入类型
            步骤 1 2 3 4 操作 进入系统视图 进入接口视图 进入 BAS 接口视图 配置二层用户接入类型 命令 system-view interface interface-type interface-number bas access-type layer2-subscriber [ bas-interface-name name | default-domain { pre-authentication domain-name | authentication [ force | replace ] domain-name } * | accounting-copy radius-server radius-name ] * access-type layer2-leased-line user-name username password [ bas-interface-name name | default-domain authentication domain-name | accounting-copy radius-server radius-name | nas-port-type type ] * access-type layer3-leased-line user-name username password [ bas-interface-name name | default-domain authentication domain-name | accounting-copy radius-server radius-name | nas-port-type type ] *

            或配置二层专线用户接入类型

            或配置三层专线用户接入类型

            5-16

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            在设置 BAS 接口的用户接入类型时, 还可以一起设置和该种用户类型相关的业务属 性,这些属性也可以在后续的配置中逐项配置。 对于已经被 Eth-Trunk 接口包含的以太网接口,不能配置其用户接入类型,而只能 配置相应的 Eth-Trunk 接口。 有用户在线时,只有当用户类型是专线用户时,可以在线修改 BAS 接口的用户接入 类型,其他情况不能修改。 当用户类型配置为专线用户后,ME60 立即对该专线用户进行认证。 说明: 当接口下配置有 IP 地址时,只能将用户接入类型设置为三层专线用户。 如果 BAS 接口为 GE 或 Eth-Trunk 子接口, 当需要将用户接入类型设置为三层专 线用户时,首先必须在子接口下配置一个用户侧 VLAN(且只能配置一个)。

            5.6.4 配置用户认证方法
            步骤 1 2 3 4 操作 进入系统视图 进入接口视图 进入 BAS 接口视图 配置用户认证方法 命令 system-view interface interface-type interface-number bas authentication-method { { ppp | dot1x | { web | fast } } * | bind }

            只有接入用户类型为二层用户的 BAS 接口可以设置其认证方法。 各种认证方法可以 组合使用,但有以下的约束关系: Web 认证和快速认证互斥; 绑定认证和其他认证方式都互斥。 缺省情况下,BAS 接口的认证方法为 PPP。

            5.6.5 设置用户数限制
            步骤 1 2 3 4 操作 进入系统视图 进入接口视图 进入 BAS 接口视图 设置接口级用户数限制 或设置 VLAN 级用户数限制 命令 system-view interface interface-type interface-number bas port access-limit number access-limit user-number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinq qinq-vlan ] ]

            5-17

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            BAS 接口的用户数限制是指限制该接口下接入的用户数量,包括物理接口级和 VLAN 级两级限制。其中物理接口级只能用于主接口;VLAN 级如果指定 VLAN,则 只能在子接口的 BAS 接口上执行。 缺省情况下,BAS 接口未设置用户数限制。

            5.6.6 指定域
            步骤 1 2 3 4 操作 进入系统视图 进入接口视图 进入 BAS 接口视图 指定认证前缺省域 或指定认证缺省域 或指定漫游域 或指定允许接入的域 命令 system-view interface interface-type interface-number bas default-domain pre-authentication domain-name default-domain authentication [ force | replace ] domain-name roam-domain domain-name permit-domain domain-name &<1-4>

            1. 认证前缺省域 认证前缺省域对采用 Web 认证、 快速认证的用户有效。 用户在未认证时, 由于 ME60 无法得知用户的归属域,因此 ME60 默认该用户属于认证前缺省域。 缺省情况下,BAS 接口的认证前缺省域为 default0。 2. 认证缺省域 认证缺省域只对专线用户和绑定认证的二层用户有效, 如果用户认证时未输入域名, ME60 默认其属于认证缺省域。设置认证缺省域可指定 force 和 replace 参数。 force 参数表示不管用户认证时所带域名是什么,都强制转换到所设置的认证 缺省域,使用该域的策略进行认证和授权,但用户名中的域名不发生改变。 replace 参数表示强制转换到所设置的认证缺省域,同时用户名中的域名也发 生变化,强制替换成设置的认证缺省域名。 说明: 对于采用其他用户而言,如果认证时不输入域名,则采用 default1 域作为用户的域。

            缺省情况下,BAS 接口的认证缺省域为 default1。

            5-18

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            3. 漫游域 漫游域用于输入了无法识别的域名的用户。如果用户认证时输入了无法识别的域名 时,则 ME60 将该用户归入漫游域进行认证。 缺省情况下,BAS 接口的漫游域为 default1。 4. 允许接入的域 允许接入的域是指该 BAS 接口下,用户可以使用指定的域进行接入,使用其他的域 接入时,ME60 将拒绝接入请求。一个 BAS 接口下最多可设置 4 个允许接入的域。 缺省情况下,BAS 接口的未设置允许接入的域,所有的域都可以接入。

            5.6.7 配置 BAS 接口附加功能
            步骤 1 2 3 4 操作 进入系统视图 进入接口视图 进入 BAS 接口视图 启用 ARP 代理功能 或启用 ND 代理功能 或启用 DHCP 广播功能 或启用计费报文抄送功能 或启用 IP 报文触发上线功能 或启用按用户复制组播报文功能 或启用 802.1X 认证触发功能 命令 system-view interface interface-type interface-number bas arp-proxy nd-proxy dhcp-broadcast accounting-copy radius-server radius-name ip-trigger multicast copy by-session dot1x authentication trigger

            1. ARP 代理功能 ARP 代理功能用于同一 BAS 接口下的用户互访,因为在 ME60 同一接口下的用户 按 VLAN 严格隔离,要实现用户互访必须打开 BAS 接口的 ARP 代理开关。 只有在 BAS 接口的接入用户类型设置为二层用户和二层专线用户的情况下, 才可以 配置 BAS 接口的 ARP 代理功能。 ARP 代理的开关只对相同 BAS 接口的 ARP 报文进行控制,其他的情况 ARP 代理 的开关都是打开的,无法关闭。 缺省情况下,BAS 接口的 ARP 代理功能关闭。 2. ND 代理功能 ND 代理和 ARP 代理类似,但 ND 功能用于为 IPv6 用户代理其互访请求。

            5-19

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            缺省情况下,BAS 接口的 ND 代理功能关闭。 3. DHCP 广播功能 通常情况下,BAS 接口的 DHCP 报文是采用单播方式向用户进行发送的,但是在某 些特殊情况下可能需要对 DHCP 报文进行广播,此时需要打开 BAS 接口的 DHCP 广播开关。 缺省情况下,BAS 接口的 DHCP 广播功能关闭。 4. 计费报文抄送功能 计费报文抄送是指在计费过程中,将计费信息同步发送给两台 RADIUS 服务器,并 分别等待回应的功能。 计费报文抄送功能主要在需要多处保存原始计费信息的场合使用(如多运营商共同 组网)。在这种情况下,计费报文需要同步发送给两台 RADIUS 服务器,在后续的 结算中作为原始计费信息。 缺省情况下,BAS 接口的计费报文抄送功能关闭。 5. IP 报文触发上线功能 IP 报文触发上线功能是指静态用户通过发送 IP 报文触发认证过程的功能。 缺省情况下,BAS 接口的 IP 报文触发上线功能关闭。 6. 按用户复制组播报文功能 通常情况下,ME60 收到某个组播组的组播报文后,只会向每个物理端口复制一份 组播报文,二层设备再将组播报文复制给该组播组的每个用户。 如果二层设备不具备 IGMP Snooping 功能,无法识别组播组用户,则需要在 ME60 的接口上启用按用户进行组播复制的功能,由 ME60 直接将组播报文复制给用户。 缺省情况下,BAS 接口的按用户复制组播报文功能关闭。 7. 802.1X 认证触发功能 802.1X 认证触发功能是指 ME60 探测到 802.1X 用户上线后,主动向用户发起认证 请求的功能。 缺省情况下,缺省情况下,BAS 接口的 802.1X 认证触发功能关闭。

            5.6.8 设置其他参数
            步骤 1 2 3 操作 进入系统视图 进入接口视图 进入 BAS 接口视图 命令 system-view interface interface-type interface-number bas

            5-20

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            步骤 4

            操作 信任客户端 DHCP Option82 信息 或设置用户探测参数 或设置非 PPP 用户所属 VPN 实例 或设置是否支持 WLAN 方式 或设置 BAS 接口名字 或配置接入设备类型

            命令 client-option82 user detect retransmit number interval time vpn-instance instance-name wlan sim { as-authorization | no-as-authorization } bas-interface-name name nas-port-type { async | sync | isdn-sync | isdn-async-v120 | isdn-async-v110 | virtual | piafs | hdlc | x.25 | x.75 | g.3-fax | sdsl | adsl-cap | adsl-dmt | idsl | ethernet | xdsl | cable | wireless-other | 802.11 }

            1. 客户端 DHCP Option82 信息 DHCP Option82 是 DHCP 报文中的一个选项字段, 用于标识用户的物理位置。 ME60 对该字段有两种处理方式。 信任 此时 ME60 认为客户端上报的 DHCP 报文中携带的 Option82 真实有效,ME60 向 DHCP 服务器发送 DHCP 报文时, Option82 保持不变。 ME60 也使用 DHCP Option82 中的信息,向 RADIUS 服务器上报用户的物理位置。 如果客户端上报的 DHCP 报文中未携带 Option82,则 ME60 根据 VLAN 等信息确 定用户的物理位置,构造向 DHCP 服务器发送 DHCP 报文的 Option82 字段。 不信任 此时即使客户端上报的 DHCP 报文中携带 Option82,ME60 也不信任该信息,而是 根据 VLAN 等信息确定用户的物理位置,重新构造 DHCP 报文的 Option82 字段。 缺省情况下,ME60 不信任客户端上报的 Option82 信息。 2. 用户探测 ME60 通过定期进行 ARP 探测来得知对 BAS 接口下的用户是否在线。用户探测包 含探测次数和时间间隔两个参数。 缺省情况下,用户探测的次数为 5,时间间隔为 30 秒。 3. 非 PPP 用户所属 VPN 实例 通常 PPP 用户所属的 VPN 实例是通过 RADIUS 服务器下发的,而非 PPP 用户所 属的 VPN 实例可在此处配置。 缺省情况下,BAS 接口下的非 PPP 用户属于 VPN 实例 public。

            5-21

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            4. WLAN 方式 可以配置 BAS 接口是否支持 WLAN 的组网方式,如果支持 WLAN 方式需要指定是 否接受 AS 的授权信息。 缺省情况下,BAS 不支持 WLAN 方式。 5. BAS 接口名 BAS 接口的名字用于记忆和管理。 缺省情况下,BAS 接口未设置名字。 6. 接入设备类型 对于接入用户类型为专线用户的 BAS 接口, 需要根据实际情况配置该接口下的接入 设备类型,该信息在 ME60 向 RADIUS 服务器传送认证请求时使用。 缺省情况下,BAS 接口接入的设备类型为 Ethernet。

            5.6.9 设置 BAS 接口的阻塞状态
            步骤 1 2 3 4 操作 进入系统视图 进入接口视图 进入 BAS 接口视图 设置 BAS 接口的阻塞状态 命令 system-view interface interface-type interface-number bas block [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinq qinq-vlan ] ]

            在主接口下,block 命令没有参数,表示将整个接口设置为阻塞状态。在子接口下, 可以把接口下的某些或全部 VLAN 设置为阻塞状态,此时指定的 VLAN 不允许再接 入用户。

            5.7 配置 IPoX 接入
            5.7.1 建立配置任务
            1. 应用环境 IPoX 接入是一种接入认证业务。在 IPoX 接入中,用户指通过以太网、ADSL 等方 式接入,通过配置固定 IP 地址或者 DHCP 方式动态获取 IP 地址,通过 Web 认证、 快速认证或绑定认证方法进行身份验证。 根据组网方式的不同,IPoX 接入可以分为 IPoE、IPoEoVLAN。

            5-22

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            IPoE 对于 IPoE 接入, 报文在经过用户计算机以太网口的以太网封装后, IP 一直到 ME60, 中间没有经过任何的其他封装和改变。 IPoE 业务的基本组网模型就是一台计算机直接接入 ME60 的以太网接口下,如图 5-4所示。或者中间可能通过二层设备(HUB、LAN Switch 等)进行连接,但是二 层设备不对 IPoE 报文进行任何封装和改变。
            Eth IP Data

            subscriber

            ME60

            图5-4 IPoE 基本组网模型

            IPoEoVLAN 对于 IPoEoVLAN 业务,IP 报文在经过用户计算机的以太网口的以太网封装后形成 IPoE 报文。IPoE 报文经过 LAN Switch 之后被加上 VLAN 标记(tag),形成 IPoEoVLAN 报文。IPoEoVLAN 报文最终被送到 ME60。 IPoEoVLAN 业务的基本组网模型就是一台计算机通过一台支持 802.1Q 的交换机之 后再连在 ME60 的以太网接口下,如图 5-5所示。
            Eth IP Data Q Eth IP Data

            subscriber

            LAN Switch

            ME60

            图5-5 IPoEoVLAN 基本组网模型

            2. 前置任务 在配置 IPoX 接入之前,需要完成以下任务。 配置认证方案和计费方案,请参见“第 2 章 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板, 请参见 “第 2 章 配置 AAA” 配置 IPv4 地址池,请参见“第 3 章 管理地址” 配置域,请参见“第 4 章 管理用户” 如果用户使用 Web 认证,配置 Web 认证,请参见“5.4 配置 Web 认证” 如果用户使用 Web 认证,配置 ACL,请参见《Quidway ME60 高端路由器 操 作手册 IP 业务分册》“第 7 章 配置 ACL” 配置 BAS 接口,请参见“5.6 配置 BAS 接口”

            5-23

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            3. 数据准备 在配置 IPoX 接入之前,请根据网络规划,准备好以下数据。
            序号 1 2 3 4 5 6 数据 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv4 地址池名称 用户所在域 Web 认证服务器的相关参数(可选) BAS 接口的相关参数

            4. 配置步骤
            序号 1 2 3 4 5 6 7 8 9 过程 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 配置 IPv4 地址池 配置域 配置 Web 认证(只在使用 Web 认证时需要) 配置 ACL(只在使用 Web 认证时需要) 子接口绑定 VLAN(只对 IPoEoVLAN 接入有效) 配置 BAS 接口

            说明: IPoX 接入是一个组合配置任务,每一步的配置在本手册的前面章节都已经介绍,本 处不再重复。

            5-24

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            5.8 配置 PPPoX 接入
            5.8.1 建立配置任务
            1. 应用环境 PPPoX 接入是一种接入认证业务。 PPPoX 接入中, 在 用户通过 PPP 拨号接入 ME60 获取地址并进行身份验证。 根据组网方式的不同,PPPoX 业务可以分为 PPPoE、PPPoEoVLAN。 PPPoE 对于 PPPoE 接入,PPP 报文在经过用户计算机以太网口的以太网封装后,一直到 ME60,中间没有经过任何的其他封装和改变。 PPPoE 业务的基本组网模型就是一台计算机直接接入 ME60 的以太网接口下, 如图 5-6所示。或者中间可能通过二层设备(HUB、LAN Switch 等)进行连接,但是二 层设备不对 PPPoE 报文进行任何封装和改变。
            Eth PPP IP Data

            subscriber

            ME60

            图5-6 PPPoE 基本组网模型

            PPPoEoVLAN 对于 PPPoEoVLAN 业务,PPP 报文在经过用户计算机的以太网口的以太网封装后 形成 PPPoE 报文。PPPoE 报文经过 LAN Switch 之后被加上 VLAN 标记(tag), 形成 PPPoEoVLAN 报文。PPPoEoVLAN 报文最终被送到 ME60。 PPPoEoVLAN 业务的基本组网模型就是一台计算机通过一台支持 802.1Q 的交换机 之后再连在 ME60 的以太网接口下,如图 5-7所示。
            Eth PPP IP Data Q Eth PPP IP Data

            subscriber

            LAN Switch

            ME60

            图5-7 PPPoEoVLAN 基本组网模型

            2. 前置任务 在配置 PPPoX 接入之前,需要完成以下任务。 配置虚模板接口,请参见《Quidway ME60 高端路由器 操作手册 接入分册》

            5-25

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            配置认证方案和计费方案,请参见“第 2 章 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板, 请参见 “第 2 章 配置 AAA” 配置 IPv4 地址池,请参见“第 3 章 管理地址” 配置域,请参见“第 4 章 管理用户” 配置 BAS 接口,请参见“5.6 配置 BAS 接口” 3. 数据准备 在配置 PPPoX 接入之前,请根据网络规划,准备好以下数据。
            序号 1 2 3 4 5 6 数据 使用的虚模板接口编号 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv4 地址池名称 用户所在域 BAS 接口的相关参数

            4. 配置步骤
            序号 1 2 3 4 5 6 7 8 9 过程 配置虚模板接口 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 配置 IPv4 地址池 配置域 为接口指定虚模板接口 子接口绑定 VLAN(只对 PPPoEoVLAN 接入有效) 配置 BAS 接口

            说明: PPPoX 接入是一个组合配置任务,每一步的配置在本手册的前面章节都已经介绍, 本处不再重复。

            5-26

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            5.9 配置 802.1X 接入
            5.9.1 建立配置任务
            802.1X 业务的组网方式和 IPoE、IPoEoVLAN 的组网方式相同。其 EAP 的认证报 文从用户计算机的以太网口出来后形成 EAPoL 报文,EAPoL 报文可以直接到达 ME60,也可以通过 LAN Switch 进行 VLAN 标识到达 ME60。 1. 前置任务 在配置 802.1X 接入之前,需要完成以下任务。 配置 802.1X 模板,请参见“5.4 配置 802.1X 模板” 配置认证方案和计费方案,请参见“第 2 章 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板, 请参见 “第 2 章 配置 AAA” 配置 IPv4 地址池,请参见“第 3 章 管理地址” 配置域,请参见“第 4 章 管理用户” 配置 BAS 接口,请参见“5.6 配置 BAS 接口” 2. 数据准备 在配置 802.1X 接入之前,请根据网络规划,准备好以下数据。
            序号 1 2 3 4 5 6 数据 使用的 802.1X 模板编号 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv4 地址池名称 用户所在域 BAS 接口的相关参数

            3. 配置步骤
            序号 1 2 3 4 5 过程 配置 802.1X 模板 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 配置 IPv4 地址池

            5-27

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            序号 6 7 8

            过程 配置域并绑定 802.1X 模板 子接口绑定 VLAN(只对通过子接口接入有效) 配置 BAS 接口

            说明: 802.1X 接入是一个组合配置任务,每一步的配置在本手册的前面章节都已经介绍, 本处不再重复。

            5.10 配置专线接入
            5.10.1 建立配置任务
            1. 应用环境 专线(Leased Line)业务是指将 ME60 的某个以太网接口或者接口下的某些 VLAN 整体出租给一组用户使用的业务。一条专线下可以接入多台计算机,但是在 ME60 上只表现为一个用户,ME60 对专线进行统一的认证计费、带宽控制、访问权限控 制以及 QoS 控制。 根据专线接入的组网方式以及业务的处理方式,专线可以分为二层专线、三层专线、 PPP 专线。 二层专线 二层专线用户通过二层 LAN Switch 等设备接入 ME60 的某个接口或者接口的 VLAN 下, 专线用户可以配置静态 IP 地址, 也可以通过 DHCP 从 ME60 动态获取 IP 地址。 ME60 对二层专线用户提供 BRAS 功能。 三层专线 三层专线用户通过路由器等三层设备接入到 ME60 的某个接口或者接口的 VLAN, 专线内用户的地址分配等工作由接入的路由器负责。在三层专线中,ME60 只作为 转发路由器使用,但是对用户的源 IP 地址进行基于接口绑定的合法性检查,同时也 进行带宽控制。 在配置三层专线时,需要在 ME60 上配置静态路由,使目的地址为三层专线用户网 段的报文能够被路由到三层专线的出口路由器上。

            5-28

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            PPP 专线 PPP 专线也是通过路由器等三层设备接入到 ME60。在 PPP 专线方式下,三层设备 通过 PPP 拨号成为 ME60 的一个二层个人用户, 因此在 ME60 上只能看到一个二层 个人用户的存在,而看不到三层设备下的真实用户的存在。 对于报文上行的情况,三层设备下接入的所有用户的报文均通过该 PPP 链路 上送 ME60,并被认为是同一个个人用户的报文进行转发; 对于报文下行的情况,ME60 根据 RADIUS 下发的 Framed-Route 消息,生成 到三层设备下网络的路由,目的地址为 PPP 专线用户网段的报文可以通过 PPP 链路下发到 PPP 专线的出口路由器上。 说明: 对于 ME60 而言,PPP 专线只相当于一个二层个人用户,因此 PPP 专线的配置和 普通 PPP 业务没有区别,本部分不再介绍,请参见“5.8 配置 PPPoX 接入”。

            2. 前置任务 在配置专线接入之前,需要完成以下任务。 配置认证方案和计费方案,请参见“第 2 章 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板, 请参见 “第 2 章 配置 AAA” 配置 IPv4 地址池,请参见“第 3 章 管理地址” 配置域,请参见“第 4 章 管理用户” 配置 BAS 接口,请参见“5.6 配置 BAS 接口” 3. 数据准备 在配置专线接入之前,请根据网络规划,准备好以下数据。
            序号 1 2 3 4 5 6 7 数据 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv4 地址池名称(只对二层专线需要) 用户所在域 BAS 接口的相关参数 专线的用户名和密码 用户网段地址(只对三层专线需要)

            5-29

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            4. 配置步骤
            序号 1 2 3 4 5 6 7 过程 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 配置 IPv4 地址池(只对二层专线有效) 配置域 子接口绑定 VLAN(只对通过子接口接入有效) 配置 BAS 接口

            说明: 专线接入是一个组合配置任务,每一步的配置在本手册的前面章节都已经介绍,本 处不再重复。

            5.11 配置 ND 接入
            5.11.1 建立配置任务
            1. 应用环境 ND 接入用于为 IPv6 用户提供接入、认证、计费等服务。用户可以使用 PPP 认证、 Web/快速认证、绑定认证等方法进行认证。 2. 前置任务 在配置 ND 接入之前,需要完成以下任务。 如果用户使用 PPP 拨号,配置虚模板接口,请参见《Quidway ME60 高端路 由器 操作手册 接入分册》 配置认证方案和计费方案,请参见“第 2 章 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板, 请参见 “第 2 章 配置 AAA” 配置 IPv6 地址前缀,请参见“第 3 章 管理地址” 配置域,请参见“第 4 章 管理用户” 如果用户使用 Web 认证,配置 Web 认证,请参见“5.3 配置 Web 认证”。 如果用户使用 Web 认证,配置 ACL,请参见《Quidway ME60 高端路由器 操 作手册 IP 业务分册》 配置 BAS 接口,请参见“5.6 配置 BAS 接口”
            5-30

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            3. 数据准备 在配置 ND 接入之前,请根据网络规划,准备好以下数据。
            序号 1 2 3 4 5 6 7 数据 使用的虚模板接口编号(只对 PPP 认证有效) 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv6 地址前缀名称 用户所在域 Web 认证服务器的相关参数(只对 Web 认证有效) BAS 接口的相关参数

            4. 配置步骤
            序号 1 2 3 4 5 6 7 8 9 10 11 过程 配置虚模板接口(只在使用 PPP 认证时需要) 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 IPv6 地址前缀 配置域并指定 IPv6 地址前缀 配置 Web 认证(只在使用 Web 认证时需要) 配置 ACL(只在使用 Web 认证时需要) 为接口指定虚模板接口(只在使用 PPP 认证时需要) 子接口绑定 VLAN(只在使用子接口接入时需要) 配置 BAS 接口

            说明: ND 接入是一个组合配置任务, 每一步的配置在本手册的前面章节都已经介绍, 本处 不再重复。

            5-31

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            5.12 管理在线用户
            5.12.1 建立配置任务
            1. 应用环境 当用户已经在线时,操作员可以在 ME60 上对在线用户进行管理,包括查看在线用 户和切断用户连接。 2. 前置任务 在管理在线用户之前,需要完成以下任务。 配置 BAS 接口的接入方式和认证方法 3. 数据准备 在管理在线用户之前,请根据网络规划,准备好以下数据(以下数据可以只准备一 个,也可以准备多个组合使用)。
            序号 1 2 3 4 5 6 7 8 数据 在线用户的用户名 在线用户的域名 在线用户接入的接口名或接口类型/接口编号、VLAN 号 在线用户的 IP 地址、所属的 VPN 实例 在线用户的 MAC 地址 在线用户的 IP 地址所在的地址池 在线用户的用户 ID 在线用户所在的槽号

            4. 配置步骤
            序号 1 2 过程 显示在线用户 切断在线用户的连接

            5-32

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            5.12.2 显示在线用户
            步骤 1 操作 按用户名显示在线用户 或按域名显示在线用户 或按 MAC 地址显示在线用户 或按 IP 地址显示在线用户 或按接口显示在线用户 或按用户 ID 显示在线用户 或按槽号显示在线用户 或按 IPv6 地址显示在线用户 命令 display access-user username username display access-user domain domain-name display access-user mac-address H-H-H display access-user ip-address ip-address [ vpn-instance instance-name ] display access-user interface { interface-name | interface-type interface-number } display access-user user-id user-id display access-user slot slot display access-user ipv6-address ipv6-address

            5.12.3 切断在线用户的连接
            步骤 1 2 3 操作 进入系统视图 进入 AAA 视图 按用户名切断在线用户 或按域名切断在线用户 或按 MAC 地址切断在线用户 或按 IP 地址切断在线用户 或按接口切断在线用户 命令 system-view aaa cut access-user username name { local | radius | none | all } cut access-user domain domain-name cut access-user mac-address mac-address cut access-user ip-address ip-address [ vpn-instance instance-name ] cut access-user interface { interface-name | interface-type interface-number } [ vlan-id vlan-id ] cut access-user user-id start-no [ end-no ] cut access-user ip-pool pool-name cut access-user prefix prefix-name cut access-user ipv6-address ipv6-address

            或按用户 ID 切断在线用户 或按 IP 地址池切断在线用户 或按 IPv6 地址前缀切断在线用户 或按 IPv6 地址切断在线用户

            5.13 维护 BRAS 接入
            维护 BRAS 接入包括以下内容。

            5-33

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            显示 BRAS 接入运行信息 调试 BRAS 接入

            5.13.1 显示 BRAS 接入运行信息
            在完成上述配置后,在任一视图下执行下面的 display 命令,查看 BRAS 接入的运 行信息,检查配置的效果。运行信息的详细解释请参考《Quidway ME60 高端路由 器 命令参考》。
            操作 显示 Web 认证服务器配置信息 显示 802.1X 模板配置信息 显示 BAS 接口的配置信息 显示接口接入用户数 命令 display web-auth-server configuration display dot1x-template [ number ] display bas-interface [ interface-name [ vlan vlan-id [ qinq qinq-vlan ] ] display port access-limit interface interface-type interface-number

            5.13.2 调试 BRAS 接入
            注意: 打开调试开关将影响系统的性能。调试完毕后,应及时执行 undo debugging all 命令关闭调试开关。

            在出现 BRAS 接入运行故障时,请在用户视图下执行下面的 debugging 命令对 BRAS 接入进行调试,查看调试信息,并定位故障的原因。输出调试信息的操作步 骤请参考《Quidway ME60 高端路由器 系统配置指南》。
            操作 调试 Web 认证服务器报文 命令 debugging web packet

            5.14 配置举例
            BRAS 接入配置举例包括以下例子。 配置 IPoE 接入 配置 IPoEoVLAN 接入 配置 PPPoE 接入 配置 PPPoEoVLAN 接入
            5-34

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            配置 802.1X 接入 配置以太网二层专线接入 配置以太网三层专线接入 配置 ND 接入

            5.14.1 配置 IPoE 接入
            1. 组网需求 以图 5-8为例,用户归属于 isp2 域,从 ME60 的 GE8/0/2 接口下以 IPoE 方式 接入。 用户采用 Web 认证,并采用 RADIUS 认证模式和 RADIUS 计费模式。 RADIUS 服务器地址为 192.168.8.249, 认证和计费端口分别是 1812 和 1813, 采用标准 RADIUS 协议,密钥为 hello。 DNS 服务器地址为 192.168.8.252。 Web 认证服务器地址为 192.168.8.251,密钥为 webvlan。 2. 组网图
            DNS server 192.168.8.252 Web server RADIUS server 192.168.8.251 192.168.8.249

            Access Network subscriber@isp2

            GE8/0/2 ME60

            GE7/0/2 192.168.8.1

            图5-8 IPoE 配置举例组网图

            3. 配置步骤 # 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth2 [Quidway-aaa-authen-auth2] authentication-mode radius [Quidway-aaa-authen-auth2] quit

            # 配置计费方案。
            [Quidway-aaa] accounting-scheme acct2 [Quidway-aaa-accounting-acct2] accounting-mode radius [Quidway-aaa-accounting-acct2] quit [Quidway-aaa] quit

            5-35

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            # 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd2 [Quidway-radius-rd2] radius-server authentication 192.168.8.249 1812 [Quidway-radius-rd2] radius-server accounting 192.168.8.249 1813 [Quidway-radius-rd2] radius-server type standard [Quidway-radius-rd2] radius-server shared-key hello [Quidway-radius-rd2] quit

            # 配置地址池。
            [Quidway] ip pool pool2 local [Quidway-ip-pool-pool2] gateway 172.82.1.1 255.255.255.0 [Quidway-ip-pool-pool2] section 0 172.82.1.2 172.82.1.200 [Quidway-ip-pool-pool2] dns-server 192.168.8.252 [Quidway-ip-pool-pool2] quit

            # 配置 default0 域。
            [Quidway] user-group huawei [Quidway] aaa [Quidway-aaa] domain default0 [Quidway-aaa-domain-default0] ip-pool pool2 [Quidway-aaa-domain-default0] user-group huawei [Quidway-aaa-domain-default0] web-server url 192.168.8.251 [Quidway-aaa-domain-default0] quit

            # 配置 isp2 域。
            [Quidway-aaa] domain isp2 [Quidway-aaa-domain-isp2] authentication-scheme auth2 [Quidway-aaa-domain-isp2] accounting-scheme acct2 [Quidway-aaa-domain-isp2] radius-server group rd2 [Quidway-aaa-domain-isp2] quit [Quidway-aaa] quit

            # 配置 Web 认证服务器。
            [Quidway] web-auth-server 192.168.8.251 key webvlan

            # 配置 ACL。
            [Quidway] acl number 6000 [Quidway-acl-ucl-6000] rule deny ip source user-group huawei [Quidway-acl-ucl-6000] acl number 6001 [Quidway-acl-ucl-6001] rule permit ip source user-group huawei destination ip-address 192.168.8.251 0.0.0.0 [Quidway-acl-ucl-6001] rule permit ip source user-group huawei destination ip-address 192.168.8.252 0.0.0.0 [Quidway-acl-ucl-6001] quit

            5-36

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            # 配置流量管理策略。
            [Quidway] traffic classifier c1 [Quidway-classifier-c1] if-match acl 6000 [Quidway-classifier-c1] traffic classifier c2 [Quidway-classifier-c2] if-match acl 6001 [Quidway-classifier-c2] quit [Quidway] traffic behavior deny1 [Quidway-behavior-deny1] deny [Quidway-behavior-deny1] traffic behavior perm1 [Quidway-behavior-perm1] permit [Quidway-behavior-perm1] quit [Quidway] traffic policy action1 [Quidway-policy-action1] classifier c2 behavior perm1 [Quidway-policy-action1] classifier c1 behavior deny1 [Quidway-policy-action1] quit

            # 在以太网接口 8/0/2 下应用策略。
            [Quidway] interface GigabitEthernet 8/0/2 [Quidway-GigabitEthernet8/0/2] traffic-policy action1 inbound [Quidway-GigabitEthernet8/0/2] traffic-policy action1 outbound

            # 配置 BAS 接口。
            [Quidway-GigabitEthernet8/0/2] undo shutdown [Quidway-GigabitEthernet8/0/2] BAS [Quidway-GigabitEthernet8/0/2-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/2-bas] authentication-method web [Quidway-GigabitEthernet8/0/2-bas] default0 default-domain pre-authentication

            注意: 对于 Web 认证来说,接口下的用户认证前缺省域是必须的,系统默认的认证前缺省 域为 default0。

            [Quidway-GigabitEthernet8/0/2-bas] quit [Quidway-GigabitEthernet8/0/2] quit

            # 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/2 [Quidway-GigabitEthernet7/0/2] undo shutdown [Quidway-GigabitEthernet7/0/2] ip address 192.168.8.1 255.255.255.0

            5-37

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            4. 配置文件
            # sysname Quidway # web-auth-server 192.168.8.251 port 50100 key webvlan # user-group huawei # radius-server group rd2 radius-server authentication 192.168.8.249 1812 weight 0 radius-server accounting 192.168.8.249 1813 weight 0 radius-server shared-key hello # # acl number 6000 rule 5 deny ip source user-group huawei acl number 6001 rule 5 permit ip source user-group huawei destination ip-address

            192.168.8.251 0 rule 10 permit ip source user-group huawei destination ip-address

            192.168.8.252 0 # traffic classifier c2 operator and if-match acl 6001 traffic classifier class1 operator and if-match acl 6001 traffic classifier c1 operator and if-match acl 6000 # traffic behavior perm1 traffic behavior deny1 deny # traffic policy action1 classifier c2 behavior perm1 classifier c1 behavior deny1 # interface GigabitEthernet8/0/2 traffic-policy action1 inbound traffic-policy action1 outbound bas access-type layer2-subscriber

            5-38

            Quidway ME60 高端路由器 BRAS 业务配置指南
            authentication-method # interface GigabitEthernet7/0/2 ip address 192.168.8.1 255.255.255.0 # ip pool pool2 local gateway 172.82.1.1 255.255.255.0 section 0 172.82.1.2 172.82.1.200 dns-server # aaa authentication-scheme accounting-scheme domain default0 huawei auth2 192.168.8.252 web

            第 5 章 配置 BRAS 接入

            acct2

            user-group ip-pool domain

            pool2

            isp2 auth2

            authentication-scheme accounting-scheme radius-server group # return

            acct2 rd2

            5.14.2 配置 IPoEoVLAN 接入
            1. 组网需求 以图 5-9为例, 用户归属于 isp3 域, ME60 的 GE8/0/2.1 接口下以 IPoEoVLAN 从 方式接入,LAN Switch 使用 VLAN 1 和 VLAN 2 对用户报文进行标记。 用户采用绑定认证,并采用 RADIUS 认证模式和 RADIUS 计费模式。 RADIUS 服务器地址为 192.168.8.249, 认证和计费端口分别是 1812 和 1813, 采用标准 RADIUS 协议,密钥为 hello。 DNS 服务器地址为 192.168.8.252。

            5-39

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            2. 组网图
            DNS server RADIUS server 192.168.8.252 192.168.8.249

            VLAN1 subscriber1@isp3 GE8/0/2.1 ME60 GE7/0/2 192.168.8.1

            VLAN2 subscriber2@isp3

            图5-9 IPoEoVLAN 配置举例组网图

            3. 配置步骤 # 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth3 [Quidway-aaa-authen-auth3] authentication-mode radius [Quidway-aaa-authen-auth3] quit

            # 配置计费方案。
            [Quidway-aaa] accounting-scheme acct3 [Quidway-aaa-accounting-acct3] accounting-mode radius [Quidway-aaa-accounting-acct3] quit [Quidway-aaa] quit

            # 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd3 [Quidway-radius-rd3] radius-server authentication 192.168.8.249 1812 [Quidway-radius-rd3] radius-server accounting 192.168.8.249 1813 [Quidway-radius-rd3] radius-server type standard [Quidway-radius-rd3] radius-server shared-key hello [Quidway-radius-rd3] quit

            # 配置地址池。
            [Quidway] ip pool pool3 local [Quidway-ip-pool-pool3] gateway 172.82.2.1 255.255.255.0 [Quidway-ip-pool-pool3] section 0 172.82.2.2 172.82.2.200 [Quidway-ip-pool-pool3] dns-server 192.168.8.252 [Quidway-ip-pool-pool3] quit

            5-40

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            说明: 本处配置的地址池用于用户认证后的域, 由于绑定认证在用户上线时自动进行认证, 因此无需配置认证前缺省域。

            # 配置 isp3 域。
            [Quidway] aaa [Quidway-aaa] domain isp3 [Quidway-aaa-domain-isp3] authentication-scheme auth3 [Quidway-aaa-domain-isp3] accounting-scheme acct3 [Quidway-aaa-domain-isp3] radius-server group rd3 [Quidway-aaa-domain-isp3] ip-pool pool3 [Quidway-aaa-domain-isp3] quit [Quidway-aaa] quit

            说明: 由于绑定认证是获取 IP 地址时自动进行认证,因此无需对认证前的用户进行 ACL 限制,配置 ACL 只需配置其认证后的网络权限即可,本处不作详述。

            # 配置 BAS 接口。
            [Quidway] interface GigabitEthernet 8/0/2.1 [Quidway-GigabitEthernet8/0/2.1] uservlan 1 2 [Quidway-GigabitEthernet8/0/2.1-vlan-1-2] quit [Quidway-GigabitEthernet8/0/2.1] bas [Quidway-GigabitEthernet8/0/2.1-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/2.1-bas] authentication-method bind [Quidway-GigabitEthernet8/0/2.1-bas] default-domain authentication isp3 [Quidway-GigabitEthernet8/0/2.1-bas] quit [Quidway-GigabitEthernet8/0/2.1] quit

            说明: 由于绑定认证的用户名是根据用户接入 ME60 的位置以及域名自动生成的, 因此 在 RADIUS 服务器上必须根据生成规则来配置用户名,密码为 vlan。 有关绑定认证的用户名生成格式请参见《Quidway ME60 高端路由器 命令手册》 中 vlanpvc-to-username 命令的描述。

            # 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/2 [Quidway-GigabitEthernet7/0/2] undo shutdown [Quidway-GigabitEthernet7/0/2] ip address 192.168.8.1 255.255.255.0

            5-41

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            4. 配置文件
            # # sysname Quidway # radius-server group rd3 radius-server authentication 192.168.8.249 1812 weight 0 radius-server accounting 192.168.8.249 1813 weight 0 radius-server shared-key hello # interface GigabitEthernet8/0/2.1 uservlan 1 2 bas access-type layer2-subscriber authentication-method bind

            default-domain authentication isp3 # interface GigabitEthernet7/0/2 ip address 192.168.8.1 255.255.255.0 # ip pool pool3 local gateway 172.82.2.1 255.255.255.0 section 0 172.82.2.2 172.82.2.200 dns-server # aaa authentication-scheme accounting-scheme domain isp3 auth3 auth3 192.168.8.252

            acct3

            authentication-scheme accounting-scheme radius-server group ip-pool # return pool3

            acct3 rd3

            5.14.3 配置 PPPoE 接入
            1. 组网需求 以图 5-10为例,用户归属于 isp1 域,从 ME60 的 GE8/0/1 接口下以 PPPoE 方式接入。

            5-42

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249, 认证和计费端口分别是 1645 和 1646, 采用 RADIUS+1.1 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。 2. 组网图
            DNS server RADIUS server 192.168.7.252 192.168.7.249

            Access Network subscriber@isp1

            GE8/0/1 ME60

            GE7/0/1 192.168.7.1

            图5-10 PPPoE 配置举例组网图

            3. 配置步骤 # 配置虚模板接口。
            [Quidway] interface Virtual-Template 1 [Quidway-Virtual-Template1] ppp authentication-mode chap [Quidway-Virtual-Template1] quit

            # 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            # 配置计费方案。
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            # 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1645 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1646 [Quidway-radius-rd1] radius-server type plus11 [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            5-43

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            # 配置地址池。
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.255.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] quit

            # 配置 isp1 域。
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa] quit

            # 为接口指定虚模板接口。
            [Quidway] interface GigabitEthernet 8/0/1 [Quidway-GigabitEthernet8/0/1] undo shutdown [Quidway-GigabitEthernet8/0/1] pppoe-server bind virtual-template 1

            # 配置 BAS 接口。
            [Quidway-GigabitEthernet8/0/1] bas [Quidway-GigabitEthernet8/0/1-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/1-bas] authentication-method ppp [Quidway-GigabitEthernet8/0/1-bas] quit [Quidway-GigabitEthernet8/0/1] quit

            # 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/1 [Quidway-GigabitEthernet7/0/1] undo shutdown [Quidway-GigabitEthernet7/0/1] ip address 192.168.7.1 255.255.255.0

            4. 配置文件
            # sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0 radius-server shared-key itellin radius-server type plus11 radius-server traffic-unit kbyte

            5-44

            Quidway ME60 高端路由器 BRAS 业务配置指南
            # interface Virtual-Template1 # interface GigabitEthernet8/0/1 pppoe-server bind Virtual-Template 1 bas access-type layer2-subscriber # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # ip pool pool1 local gateway 172.82.0.1 255.255.255.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 auth1 192.168.7.252

            第 5 章 配置 BRAS 接入

            acct1

            authentication-scheme accounting-scheme radius-server group ip-pool # pool1

            acct1 rd1

            5.14.4 配置 PPPoEoVLAN 接入
            1. 组网需求 以图 5-11为例,用户归属于 isp1 域,从 ME60 的 GE8/0/1.1 接口下以 PPPoEoVLAN 方式接入,LAN Switch 使用 VLAN 1 和 VLAN 2 对用户报文进 行标记。 采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249, 认证和计费端口分别是 1645 和 1646, 采用 RADIUS+1.1 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            5-45

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            2. 组网图
            DNS server RADIUS server 192.168.7.252 192.168.7.249

            VLAN1 subscriber1@isp1 GE8/0/1.1 ME60 GE7/0/1 192.168.7.1

            VLAN2 subscriber2@isp1

            图5-11 PPPoEoVLAN 配置举例组网图

            3. 配置步骤 # 配置虚模板接口。
            [Quidway] interface Virtual-Template 1 [Quidway-Virtual-Template1] ppp authentication-mode chap [Quidway-Virtual-Template1] quit

            # 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            # 配置计费方案。
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            # 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1645 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1646 [Quidway-radius-rd1] radius-server type plus11 [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            # 配置地址池。
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200

            5-46

            Quidway ME60 高端路由器 BRAS 业务配置指南
            [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] quit

            第 5 章 配置 BRAS 接入

            # 配置 isp1 域。
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa] quit

            # 为子接口指定虚模板接口。
            [Quidway] interface GigabitEthernet 8/0/1 [Quidway-GigabitEthernet8/0/1] undo shutdown [Quidway-GigabitEthernet8/0/1] interface GigabitEthernet 8/0/1.1 [Quidway-GigabitEthernet8/0/1.1] uservlan 1 2 [Quidway-GigabitEthernet8/0/1.1-vlan-1-2] quit [Quidway-GigabitEthernet8/0/1.1] pppoe-server bind virtual-template 1

            # 配置 BAS 接口。
            [Quidway-GigabitEthernet8/0/1.1] bas [Quidway-GigabitEthernet8/0/1.1-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/1.1-bas] authentication-method ppp [Quidway-GigabitEthernet8/0/1.1-bas] quit [Quidway-GigabitEthernet8/0/1.1] quit

            # 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/1 [Quidway-GigabitEthernet7/0/1] undo shutdown [Quidway-GigabitEthernet7/0/1] ip address 192.168.7.1 255.255.255.0

            4. 配置文件
            sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0 radius-server shared-key itellin radius-server type plus11 radius-server traffic-unit kbyte # interface Virtual-Template1

            5-47

            Quidway ME60 高端路由器 BRAS 业务配置指南
            # interface GigabitEthernet8/0/1 # interface GigabitEthernet8/0/1.1 pppoe-server bind Virtual-Template 1 uservlan 1 2 bas access-type layer2-subscriber # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # ip pool pool1 local gateway 172.82.0.1 255.255.255.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 auth1 192.168.7.252

            第 5 章 配置 BRAS 接入

            acct1

            authentication-scheme accounting-scheme radius-server group ip-pool # return pool1

            acct1 rd1

            5.14.5 配置 802.1X 接入
            1. 组网需求 以图 5-12为例, 用户归属于 isp4, ME60 的 GE1/0/2 接口下以 802.1X 方式 从 接入。 采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249, 认证和计费端口分别是 1645 和 1646, 采用 RADIUS+1.1 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            5-48

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            2. 组网图
            DNS server RADIUS server 192.168.7.252 192.168.7.249

            Access Network subscriber@isp4

            GE1/0/2 ME60

            GE2/0/1 192.168.7.1

            图5-12 802.1X 配置举例组网图

            3. 配置步骤 # 配置 802.1X 模板。
            [Quidway] dot1x-template 4 [Quidway-dot1x-template-4] authentication timeout 20 [Quidway-dot1x-template-4] request interval 20 retransmit 3 [Quidway-dot1x-template-4] reauthentication interval 1800 [Quidway-dot1x-template-4] keepalive interval 15 retransmit 2 [Quidway-dot1x-template-4] eap-end chap [Quidway-dot1x-template-4] quit

            # 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth4 [Quidway-aaa-authen-auth4] authentication-mode radius [Quidway-aaa-authen-auth4] quit

            # 配置计费方案。
            [Quidway-aaa] accounting-scheme acct4 [Quidway-aaa-accounting-acct4] accounting-mode radius [Quidway-aaa-accounting-acct4] quit [Quidway-aaa] quit

            # 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd4 [Quidway-radius-rd4] radius-server authentication 192.168.7.249 1645 [Quidway-radius-rd4] radius-server accounting 192.168.7.249 1646 [Quidway-radius-rd4] radius-server type plus11 [Quidway-radius-rd4] radius-server shared-key itellin [Quidway-radius-rd4] quit

            # 配置地址池。

            5-49

            Quidway ME60 高端路由器 BRAS 业务配置指南
            [Quidway] ip pool pool4 local

            第 5 章 配置 BRAS 接入

            [Quidway-ip-pool-pool4] gateway 172.82.1.1 255.255.255.0 [Quidway-ip-pool-pool4] section 0 172.82.1.2 172.82.1.200 [Quidway-ip-pool-pool4] dns-server 192.168.7.252 [Quidway-ip-pool-pool4] quit

            # 配置 isp4 域。
            [Quidway] aaa [Quidway-aaa] domain isp4 [Quidway-aaa-domain-isp4] authentication-scheme auth4 [Quidway-aaa-domain-isp4] accounting-scheme acct4 [Quidway-aaa-domain-isp4] radius-server group rd4 [Quidway-aaa-domain-isp4] ip-pool pool4 [Quidway-aaa-domain-isp4] dot1x-template 4 [Quidway-aaa-domain-isp4] quit [Quidway-aaa] quit

            # 配置 BAS 接口。
            [Quidway] interface GigabitEthernet 1/0/1 [Quidway-GigabitEthernet1/0/1] undo shutdown [Quidway-GigabitEthernet1/0/1] bas [Quidway-GigabitEthernet1/0/1-bas] access-type layer2-subscriber [Quidway-GigabitEthernet1/0/1-bas] authentication-method dot1x [Quidway-GigabitEthernet1/0/1-bas] quit [Quidway-GigabitEthernet1/0/1] quit

            # 配置上行接口。
            [Quidway] interface GigabitEthernet 2/0/1 [Quidway-GigabitEthernet2/0/1] undo shutdown [Quidway-GigabitEthernet2/0/1] ip address 192.168.7.1 255.255.255.0 [Quidway-GigabitEthernet2/0/1] quit

            4. 配置文件
            # sysname Quidway # # radius-server group rd4 radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0 radius-server shared-key itellin radius-server type plus11 radius-server traffic-unit kbyte #

            5-50

            Quidway ME60 高端路由器 BRAS 业务配置指南
            interface GigabitEthernet1/0/1 bas access-type layer2-subscriber authentication-method # interface GigabitEthernet2/0/1 ip address 192.168.7.1 255.255.255.0 # ip pool pool4 local gateway 172.82.1.1 255.255.255.0 section 0 172.82.1.2 172.82.1.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp4 auth4 auth4 192.168.7.252 dot1x

            第 5 章 配置 BRAS 接入

            acct4

            authentication-scheme accounting-scheme radius-server group dot1x-template ip-pool # dot1x-template 1 dot1x-template 4 pool4 4

            acct4 rd4

            authentication timeout 20 request retransmit 3 interval 20 reauthentication interval 1800 keepalive retransmit 2 interval 15 eap-end chap #

            5.14.6 配置以太网二层专线接入
            1. 组网需求 以图 5-13为例,以太网二层专线从 GE1/0/7.1 下接入。 专线的用户名为 layer2lease1@isp1,密码为 hello。 专线用户的 VLAN 为 1~100。 专线用户通过 DHCP 从 ME60 获取 IP 地址。
            5-51

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            2. 组网图
            VLAN1 VLAN2 ...... VLAN100

            GE1/0/7.1 ME60

            图5-13 以太网二层专线配置举例组网图

            3. 配置步骤 说明: 有关 AAA、 RADIUS、 地址池、 isp1 域、 上行接口的配置可参见 “5.14.3 配置 PPPoE 接入”,本节不再描述。.

            # 配置接口。
            [Quidway] interface GigabitEthernet 1/0/7 [Quidway-GigabitEthernet1/0/7] undo shutdown [Quidway-GigabitEthernet1/0/7] interface GigabitEthernet 1/0/7.1

            # 配置 VLAN。
            [Quidway-GigabitEthernet1/0/7.1] undo shutdown [Quidway-GigabitEthernet1/0/7.1] uservlan 1 100

            注意: 如果接入接口为以太网子接口则必须要配置 VLAN,如果接入接口为以太网主接 口则不能配置 VLAN。 可以为在二层专线的接口下配置多个 VLAN。

            # 配置 BAS 接口。
            [Quidway-GigabitEthernet1/0/7.1] bas [Quidway-GigabitEthernet1/0/7.1-bas] access-type layer2-leased-line

            user-name layer2lease1 hello default-domain authentication isp1 [Quidway-GigabitEthernet1/0/7.1-bas] quit [Quidway-GigabitEthernet1/0/7.1] quit

            4. 配置文件
            # sysname Quidway

            5-52

            Quidway ME60 高端路由器 BRAS 业务配置指南
            # # radius-server group rd1

            第 5 章 配置 BRAS 接入

            radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0 radius-server shared-key itellin radius-server type plus11 radius-server traffic-unit kbyte # interface GigabitEthernet1/0/7 # interface GigabitEthernet1/0/7.1 uservlan 1 100 bas access-type layer2-leased-line user-name layer2lease1 hello default-domain authentication isp1 # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # # ip pool pool1 local gateway 172.82.0.1 255.255.255.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 auth1 192.168.7.252

            acct1

            authentication-scheme accounting-scheme radius-server group ip-pool # return pool1

            acct1 rd1

            5-53

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            5.14.7 配置以太网三层专线接入
            1. 组网需求 以图 5-14为例,以太网三层专线从 GE1/0/6.1 下接入。 专线的用户名为 layer3lease1@isp1。 三层专线的用户网段为 202.17.1.0/24。 2. 组网图
            GE1/0/6.1 192.168.1.1/24 Router Access Network ME60 192.168.1.2/24

            图5-14 以太网三层专线配置举例组网图

            3. 配置步骤 说明: 有关 AAA、 RADIUS、 isp1 域、 上行接口的配置可参见 “5.14.3 配置 PPPoE 接入” , 本节不再描述。.

            # 配置接口。
            [Quidway] interface GigabitEthernet 1/0/6 [Quidway-GigabitEthernet1/0/6] undo shutdown [Quidway-GigabitEthernet1/0/6] interface GigabitEthernet 1/0/6.1 [Quidway-GigabitEthernet1/0/6.1] ip address 192.168.1.1 255.255.255.0

            # 配置 VLAN。
            [Quidway-GigabitEthernet1/0/6.1] undo shutdown [Quidway-GigabitEthernet1/0/6.1] user-vlan 3

            注意: 如果接入接口为以太网子接口则必须要配置 VLAN,如果接入接口为以太网主接 口则不能配置 VLAN。 三层专线只能配置一个 VLAN。

            # 配置 BAS 接口。
            [Quidway-GigabitEthernet1/0/6.1] bas

            5-54

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            [Quidway-GigabitEthernet1/0/6.1-bas] access-type layer3-leased-line user-name layer3lease1 hello default-domain authentication isp1 [Quidway-GigabitEthernet1/0/6.1-bas] quit [Quidway-GigabitEthernet1/0/6.1] quit

            # 配置静态路由。
            [Quidway] ip route-static 202.17.1.0 255.255.255.0 192.168.1.2

            4. 配置文件
            # sysname Quidway # # radius-server group rd1 radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0 radius-server shared-key itellin radius-server type plus11 radius-server traffic-unit kbyte # interface GigabitEthernet1/0/6 # interface GigabitEthernet1/0/6.1 ip address 192.168.1.1 255.255.255.0 uservlan 3 bas access-type layer3-leased-line user-name layer3lease1 hello default-domain authentication isp1 # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 auth1

            acct1

            authentication-scheme accounting-scheme radius-server group #

            acct1 rd1

            5-55

            Quidway ME60 高端路由器 BRAS 业务配置指南
            ip route-static 202.17.1.0 255.255.255.0 192.168.1.2 # return

            第 5 章 配置 BRAS 接入

            5.14.8 配置 ND 接入
            1. 组网需求 以图 5-15为例,用户归属于 isp5 域,从 ME60 的 GE8/0/3 接口下以 ND 方式 接入,并采用 PPP 认证方法。 采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 3001:0410::1:1, 认证和计费端口分别是 1645 和 1646, 采用标准 RADIUS 协议,密钥为 hello。 DNS 服务器地址为 3001:0410::1:2。 2. 组网图
            DNS server 3001:0410::1:2 RADIUS server 3001:0410::1:1

            Access Network subscriber@isp5

            GE8/0/3 ME60

            GE7/0/3

            图5-15 ND 接入配置举例组网图

            3. 配置步骤 # 配置 DNS 服务器。
            [Quidway] dns server ipv6 3001:0410::1:2

            # 配置虚模板接口。
            [Quidway] interface Virtual-Template 5 [Quidway-Virtual-Template5] ppp authentication-mode pap [Quidway-Virtual-Template5] quit

            # 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth5 [Quidway-aaa-authen-auth5] authentication-mode radius [Quidway-aaa-authen-auth5] quit

            # 配置计费方案。
            5-56

            Quidway ME60 高端路由器 BRAS 业务配置指南
            [Quidway-aaa] accounting-scheme acct5 [Quidway-aaa-accounting-acct5] accounting-mode radius [Quidway-aaa-accounting-acct5] quit [Quidway-aaa] quit

            第 5 章 配置 BRAS 接入

            # 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd5 [Quidway-radius-rd5] radius-server authentication 3001:0410::1:1 1645 [Quidway-radius-rd5] radius-server accounting 3001:0410::1:1 1646 [Quidway-radius-rd5] radius-server type standard [Quidway-radius-rd5] radius-server shared-key hello [Quidway-radius-rd5] quit

            # 配置 IPv6 地址前缀。
            [Quidway] ipv6 user prefix prefix5 [Quidway-ipv6-user-prefix-prefix5] prefix 2001:0410::0:1/64 [Quidway-ipv6-user-prefix-prefix5] quit

            # 配置 isp5 域。
            [Quidway] aaa [Quidway-aaa] domain isp5 [Quidway-aaa-domain-isp5] authentication-scheme auth5 [Quidway-aaa-domain-isp5] accounting-scheme acct5 [Quidway-aaa-domain-isp5] radius-server group rd5 [Quidway-aaa-domain-isp5] prefix prefix5 [Quidway-aaa-domain-isp5] quit [Quidway-aaa] quit

            # 为接口指定虚模板接口。
            [Quidway] interface GigabitEthernet 8/0/3 [Quidway-GigabitEthernet8/0/3] undo shutdown [Quidway-GigabitEthernet8/0/3] pppoe-server bind virtual-template 5 [Quidway-GigabitEthernet8/0/3] ipv6 address auto link-local

            # 配置 BAS 接口。
            [Quidway-GigabitEthernet8/0/3] bas [Quidway-GigabitEthernet8/0/3-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/3-bas] authentication-method ppp [Quidway-GigabitEthernet8/0/3-bas] quit [Quidway-GigabitEthernet8/0/3] quit

            # 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/3 [Quidway-GigabitEthernet7/0/3] undo shutdown [Quidway-GigabitEthernet7/0/3] ipv6 address auto link-local

            5-57

            Quidway ME60 高端路由器 BRAS 业务配置指南

            第 5 章 配置 BRAS 接入

            [Quidway-GigabitEthernet7/0/3] ipv6 address 2001::/64 eui-64 [Quidway-GigabitEthernet7/0/3] ipv6 address 3001::1/64

            4. 配置文件
            # sysname Quidway # dns server ipv6 3001:410::1:2 # radius-server group rd5 radius-server authentication 3001:410::1:1 1646 weight 0 radius-server shared-key hello # interface Virtual-Template5 ppp authentication-mode pap # interface GigabitEthernet7/0/3 ipv6 address 2001::/64 eui-64 ipv6 address 3001::1/64 ipv6 address auto link-local # # interface GigabitEthernet8/0/3 pppoe-server bind Virtual-Template 5 ipv6 address auto link-local bas access-type layer2-subscriber # ipv6 user prefix prefix5 prefix 2001:410::1/64 # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp5 auth5 auth5

            acct5

            authentication-scheme accounting-scheme radius-server group prefix # prefix5

            acct5 rd5

            5-58

            Quidway ME60 高端路由器 BRAS 业务配置指南
            return

            第 5 章 配置 BRAS 接入

            5-59


            相关文章:
            广东移动IP城域网BRAS业务配置规范ME60分册V1.0(试行稿)
            广东移动IP城域网BRAS业务配置规范ME60分册V1.0(试行稿)_计算机硬件及网络_IT...(2)为用户提供互联网接入、集团客户接入、VPN 接入等业务。 骨干路由器 CMNet ...
            ME60业务配置
            ME60 业务配置一、 普通上网业务,即 163 业务:实现方式:用户接入类型方式为二...(BAS 上配置 DHCP,用户是绑定了 QINQ,BRAS 会把 用户的认证请求转发出去,由...
            浅谈BRAS(ME60)双机热备份实现方案
            浅谈BRAS(ME60)双机热备份实现方案_计算机硬件及网络...现就对宽带网络设备热备份有关 1 BRAS(宽带接入...同时配置网络侧流量回程的保护路径 remote-backup-...
            IP城域网BRAS设备IP地址池占用率数据采集方法
            以华为 MA5200G、ME60 两款 BRAS 为例,因 业务需要,BRAS 设备上通常会配置不同的 Domain,以支持不同的业务,如普通 ADSL 拨号业务、WLAN 业务、IPTV 业务 ...
            BRAS的双机热备实现
            BRAS 的双机热备实现谢海智 王华荣(中国铁通集团...通过在主备设备之间的 TCP 连接同步主备用户信息,...ME60 配置着相同的地址池, 这样启用备用 ME60 时,...
            BRAS热备与PTN和OLT结合应用方案
            BRAS热备与PTN和OLT结合应用方案 - 资料编码 使用对象 编写部门 内部工程师、合作单位 安捷信客户支持部 产品名称 产品版本 资料版本 ME60 适用于什么版本 BRAS热...
            单点登录BRAS
            <DZ-QX-YQL-BRAS-01.MAN.ME60>la <DZ-QX-YQL...5c63-bf81-0ff9 接入类型 : PPPoE 用户接入接口 ...BRAS配置及其维护 26页 免费 BRAS经验 31页 免费 ...
            华为BRAS-PPPOE配置模板
            华为BRAS-PPPOE配置模板 - # radius-server source interface LoopBack0 radius-server 交互时,本 ME60 使用的本地接口地址 ...
            更多相关标签: