1. <form id='Nv6Fzy'></form>
        <bdo id='Nv6Fzy'><sup id='Nv6Fzy'><div id='Nv6Fzy'><bdo id='Nv6Fzy'></bdo></div></sup></bdo>

          • 当前位置:首页 >> 计算机硬件及网络 >>

            MA5200G 配置指南-BRAS业务(V300R003C02)


            Quidway MA5200G 宽带接入服务器 V300R003C02

            配置指南-BRAS 业务

            文档版本 发布日期

            01 2010-05-31

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            华为技术有限公司为客户提供全方位的技术支持,用户可与就近的华为办事处联系,也可直接与公司总部联 系。

            华为技术有限公司
            地址: 网址: 客户服务电话: 客户服务传真: 客户服务邮箱: 深圳市龙岗区坂田华为总部办公楼 http://www.huawei.com 0755-28560000 4008302118 0755-28560111 Support@huawei.com 邮编:518129

            版权所有 ? 华为技术有限公司 2010。 保留一切权利。
            非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式 传播。

            商标声明
            和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。

            注意
            您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服 务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或 默示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导, 本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            Quidway MA5200G 配置指南-BRAS 业务

            目 录






            言..................................................................................................................................................1

            1 BRAS 业务概述 ...........................................................................................................................1-1
            1.1 BRAS 业务定义..........................................................................................................................................1-2 1.2 BRAS 业务特征..........................................................................................................................................1-2 1.2.1 接入识别..........................................................................................................................................1-3 1.2.2 认证、计费和授权..........................................................................................................................1-3 1.2.3 管理 IP 地址 ....................................................................................................................................1-3 1.2.4 管理用户..........................................................................................................................................1-3 1.2.5 业务控制..........................................................................................................................................1-3

            2 配置 AAA ....................................................................................................................................2-1
            2.1 AAA 简介 ...................................................................................................................................................2-2 2.1.1 认证功能..........................................................................................................................................2-2 2.1.2 授权功能..........................................................................................................................................2-2 2.1.3 计费功能..........................................................................................................................................2-3 2.1.4 RADIUS 协议 ...................................................................................................................................2-5 2.1.5 HWTACACS 协议............................................................................................................................2-7 2.1.6 RADIUS 下发 ACL ..........................................................................................................................2-7 2.1.7 参考信息........................................................................................................................................2-12 2.2 配置 AAA 方案 .......................................................................................................................................2-12 2.2.1 建立配置任务................................................................................................................................2-12 2.2.2 配置认证方案................................................................................................................................2-13 2.2.3 配置计费方案................................................................................................................................2-14 2.2.4 (可选)配置授权方案 ................................................................................................................2-15 2.2.5 (可选)配置记录方案 ................................................................................................................2-17 2.2.6 (可选)配置动态重授权 ............................................................................................................2-17 2.3 配置 RADIUS 服务器 .............................................................................................................................2-17 2.3.1 建立配置任务................................................................................................................................2-17 2.3.2 创建 RADIUS 服务器组 ...............................................................................................................2-19 2.3.3 配置 RADIUS 认证/计费服务器 ..................................................................................................2-19 2.3.4 (可选)配置 RADIUS 服务器的选择算法 ...............................................................................2-20 文档版本 01 (2010-05-31) 华为专有和保密信息 版权所有 ? 华为技术有限公司 i





            Quidway MA5200G 配置指南-BRAS 业务 2.3.5 (可选)配置 RADIUS 服务器的协商参数 ...............................................................................2-20 2.3.6 (可选)配置 RADIUS 属性禁用 ...............................................................................................2-22 2.3.7 (可选)配置 RADIUS 属性转换功能 .......................................................................................2-22 2.3.8 (可选)配置使用 Class 属性携带 CAR 值 ...............................................................................2-22 2.3.9 (可选)配置 RADIUS 服务器源接口 .......................................................................................2-23 2.3.10 (可选)配置 NAS-IP-Address 属性值.....................................................................................2-23 2.3.11 (可选)配置 RADIUS 授权服务器 .........................................................................................2-24 2.3.12 (可选)配置 RADIUS 服务器状态参数 .................................................................................2-24 2.4 配置 HWTACACS 服务器 ......................................................................................................................2-25 2.4.1 建立配置任务................................................................................................................................2-25 2.4.2 创建 HWTACACS 服务器模板 ....................................................................................................2-26 2.4.3 配置 HWTACACS 认证/计费/授权服务器..................................................................................2-27 2.4.4 配置 HWTACACS 服务器的源 IP 地址.......................................................................................2-27 2.4.5 配置 HWTACACS 服务器的协商参数 ........................................................................................2-27 2.4.6 配置 HWTACACS 服务器的定时器 ............................................................................................2-28 2.4.7 配置计费结束报文的重传功能 ....................................................................................................2-29 2.5 配置话单本地保存 ..................................................................................................................................2-29 2.5.1 建立配置任务................................................................................................................................2-29 2.5.2 配置话单服务器............................................................................................................................2-30 2.5.3 配置话单告警阈值........................................................................................................................2-30 2.5.4 配置缓存的话单备份模式 ............................................................................................................2-31 2.5.5 配置话单自动备份的时间间隔 ....................................................................................................2-31 2.5.6 手动备份话单................................................................................................................................2-31 2.6 维护 AAA ................................................................................................................................................2-32 2.6.1 显示 AAA 运行信息 .....................................................................................................................2-32 2.6.2 调试 AAA ......................................................................................................................................2-33 2.6.3 清除 AAA 运行信息 .....................................................................................................................2-33 2.7 配置举例..................................................................................................................................................2-34 2.7.1 采用 RADIUS 认证和计费配置示例 ...........................................................................................2-34 2.7.2 采用 HWTACACS 认证、计费和授权配置示例 ........................................................................2-38 2.7.3 RADIUS 下发 ACL 配置示例 .......................................................................................................2-42

            3 管理地址.......................................................................................................................................3-1
            3.1 地址管理简介 ............................................................................................................................................3-2 3.1.1 IPv4 地址管理 ..................................................................................................................................3-2 3.2 配置 DHCP 服务器 ...................................................................................................................................3-4 3.2.1 建立配置任务..................................................................................................................................3-4 3.2.2 创建 DHCP 服务器组 .....................................................................................................................3-5 3.2.3 配置 DHCP 服务器 .........................................................................................................................3-5 3.2.4 配置 DHCP Release 代理功能 ........................................................................................................3-5

            ii

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            目 录

            3.2.5 配置 DHCP 全局参数 .....................................................................................................................3-5 3.3 配置 IPv4 地址池 ......................................................................................................................................3-6 3.3.1 建立配置任务..................................................................................................................................3-6 3.3.2 创建地址池......................................................................................................................................3-7 3.3.3 配置地址池属性..............................................................................................................................3-8 3.3.4 配置地址段......................................................................................................................................3-8 3.3.5 设置地址池租期..............................................................................................................................3-8 3.3.6 设置地址池保护..............................................................................................................................3-9 3.3.7 配置 DHCP 选项 ...........................................................................................................................3-10 3.3.8 关联 DHCP 服务器组 ...................................................................................................................3-10 3.4 维护地址..................................................................................................................................................3-10 3.4.1 显示地址管理信息........................................................................................................................3-10 3.4.2 调试 DHCP .................................................................................................................................... 3-11 3.5 配置举例.................................................................................................................................................. 3-11 3.5.1 使用本地地址池为用户分配地址配置示例 ................................................................................ 3-11 3.5.2 使用远端地址池为用户分配地址配置示例 ................................................................................3-13

            4 管理用户.......................................................................................................................................4-1
            4.1 用户管理简介 ............................................................................................................................................4-2 4.1.1 域简介..............................................................................................................................................4-2 4.1.2 用户名和密码..................................................................................................................................4-3 4.1.3 设备用户和设备域..........................................................................................................................4-4 4.1.4 静态用户..........................................................................................................................................4-4 4.2 配置域........................................................................................................................................................4-4 4.2.1 建立配置任务..................................................................................................................................4-4 4.2.2 创建域..............................................................................................................................................4-6 4.2.3 指定域的 AAA 方案 .......................................................................................................................4-6 4.2.4 指定域的服务器..............................................................................................................................4-7 4.2.5 指定域的 IPv4 地址池 ....................................................................................................................4-7 4.2.6 配置域的最大接入用户数 ..............................................................................................................4-7 4.2.7 配置用户的四层连接限制数 ..........................................................................................................4-8 4.2.8 配置帐号允许的最大 Session 数目................................................................................................4-8 4.2.9 配置域用户的优先级 ......................................................................................................................4-9 4.2.10 指定域所属的分组 ........................................................................................................................4-9 4.2.11 指定域的模板和策略 ..................................................................................................................4-10 4.2.12 指定域下用户为 STB 用户......................................................................................................... 4-11 4.2.13 配置预留带宽..............................................................................................................................4-12 4.2.14 配置域的附加功能 ......................................................................................................................4-12 4.2.15 激活域..........................................................................................................................................4-14 4.2.16 查看配置结果..............................................................................................................................4-15

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            iii





            Quidway MA5200G 配置指南-BRAS 业务 4.3 配置用户名解析 ......................................................................................................................................4-15 4.3.1 建立配置任务................................................................................................................................4-15 4.3.2 配置域名分隔符............................................................................................................................4-16 4.3.3 设置域名位置................................................................................................................................4-16 4.3.4 设置域名解析方向........................................................................................................................4-17 4.3.5 配置 realm 分隔符.........................................................................................................................4-17 4.3.6 设置 realm 解析顺序.....................................................................................................................4-17 4.3.7 查看配置结果................................................................................................................................4-18 4.4 配置 IPoX 用户名生成方式和密码........................................................................................................4-18 4.4.1 建立配置任务................................................................................................................................4-18 4.4.2 设置 IPoX 用户名组装方式..........................................................................................................4-19 4.4.3 配置 IPoX 用户的密码..................................................................................................................4-20 4.4.4 查看配置结果................................................................................................................................4-21 4.5 配置设备用户 ..........................................................................................................................................4-21 4.5.1 建立配置任务................................................................................................................................4-21 4.5.2 配置设备域....................................................................................................................................4-22 4.5.3 配置设备用户................................................................................................................................4-22 4.6 配置静态用户 ..........................................................................................................................................4-23 4.6.1 建立配置任务................................................................................................................................4-23 4.6.2 创建静态用户................................................................................................................................4-23 4.6.3 配置用户名格式............................................................................................................................4-24 4.6.4 配置本地帐号................................................................................................................................4-24 4.7 维护用户..................................................................................................................................................4-25 4.8 配置举例..................................................................................................................................................4-25 4.8.1 配置远端认证静态用户示例 ........................................................................................................4-25 4.8.2 配置本地认证静态用户示例 ........................................................................................................4-30

            5 配置 BRAS 接入 .........................................................................................................................5-1
            5.1 接入协议简介 ............................................................................................................................................5-3 5.1.1 接入协议概念..................................................................................................................................5-3 5.1.2 接入协议分类..................................................................................................................................5-3 5.2 认证方法简介 ............................................................................................................................................5-4 5.2.1 Web 认证和快速认证.......................................................................................................................5-5 5.2.2 绑定认证..........................................................................................................................................5-6 5.2.3 PPP 认证 ...........................................................................................................................................5-6 5.2.4 802.1X 认证 ......................................................................................................................................5-7 5.2.5 参考信息..........................................................................................................................................5-8 5.3 配置 Web 认证...........................................................................................................................................5-9 5.3.1 建立配置任务..................................................................................................................................5-9 5.3.2 配置 Web 认证服务器...................................................................................................................5-10

            iv

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            目 录

            5.3.3 配置 Portal 协议 ............................................................................................................................5-10 5.3.4 配置 Web 认证服务器状态检测控制开关 ................................................................................... 5-11 5.3.5 配置 BAS 接口下的认证前缺省域 .............................................................................................. 5-11 5.3.6 配置强制 Web 认证.......................................................................................................................5-12 5.4 配置 802.1X 模板 ....................................................................................................................................5-12 5.4.1 建立配置任务................................................................................................................................5-12 5.4.2 创建 802.1X 模板 ..........................................................................................................................5-13 5.4.3 配置认证响应报文的超时时间 ....................................................................................................5-14 5.4.4 配置 Request 报文的超时时间和重传次数 .................................................................................5-14 5.4.5 配置 Keepalive 报文的超时时间和重传次数 ..............................................................................5-14 5.4.6 配置重认证的时间间隔 ................................................................................................................5-15 5.4.7 配置是否终结 EAP 报文 ..............................................................................................................5-15 5.4.8 配置是否传送 EAP-SIM 认证的参数 ..........................................................................................5-16 5.5 配置用户侧 VLAN ..................................................................................................................................5-16 5.5.1 建立配置任务................................................................................................................................5-16 5.5.2 创建用户侧 VLAN........................................................................................................................5-17 5.6 配置 BAS 接口 ........................................................................................................................................5-18 5.6.1 建立配置任务................................................................................................................................5-18 5.6.2 创建 BAS 接口 ..............................................................................................................................5-19 5.6.3 配置用户接入类型........................................................................................................................5-19 5.6.4 配置用户认证方法........................................................................................................................5-20 5.6.5 (可选)设置用户数限制 ............................................................................................................5-21 5.6.6 (可选)指定域............................................................................................................................5-21 5.6.7 (可选)指定允许/拒绝接入域列表 ...........................................................................................5-22 5.6.8 (可选)设置主机 CAR 级别......................................................................................................5-22 5.6.9 (可选)配置端口 Down 用户策略 ............................................................................................5-23 5.6.10 (可选)配置 BAS 接口的逻辑端口 ........................................................................................5-23 5.6.11 (可选)配置 BAS 接口附加功能 ............................................................................................5-24 5.6.12 (可选)设置其他参数 ..............................................................................................................5-25 5.6.13 (可选)设置 BAS 接口的阻塞状态 ........................................................................................5-27 5.7 配置接入响应延时策略 ..........................................................................................................................5-27 5.7.1 建立配置任务................................................................................................................................5-27 5.7.2 配置全局用户接入延时策略 ........................................................................................................5-28 5.7.3 (可选)配置 BAS 接口接入响应延时参数 ..............................................................................5-29 5.7.4 查看配置结果................................................................................................................................5-30 5.8 配置普通 IPoX 接入................................................................................................................................5-30 5.8.1 建立配置任务................................................................................................................................5-30 5.9 配置普通 PPPoX 接入.............................................................................................................................5-33 5.9.1 建立配置任务................................................................................................................................5-33

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            v





            Quidway MA5200G 配置指南-BRAS 业务 5.10 配置 802.1X 接入 ..................................................................................................................................5-37 5.10.1 建立配置任务..............................................................................................................................5-37 5.11 配置专线接入 ........................................................................................................................................5-38 5.11.1 建立配置任务 ..............................................................................................................................5-38 5.12 配置在线用户数阈值 ............................................................................................................................5-40 5.12.1 建立配置任务..............................................................................................................................5-40 5.12.2 配置在线用户数阈值 ..................................................................................................................5-41 5.12.3 显示在线用户数阈值 ..................................................................................................................5-41 5.13 管理在线用户 ........................................................................................................................................5-41 5.13.1 建立配置任务..............................................................................................................................5-41 5.13.2 显示在线用户..............................................................................................................................5-42 5.13.3 切断在线用户的连接 ..................................................................................................................5-43 5.14 维护 BRAS 接入....................................................................................................................................5-43 5.14.1 显示 BRAS 接入运行信息..........................................................................................................5-44 5.14.2 清除 BRAS 接入运行信息..........................................................................................................5-45 5.14.3 调试 BRAS 接入 .........................................................................................................................5-45 5.15 配置举例 ................................................................................................................................................5-46 5.15.1 配置普通 IPoE 接入 VPN 示例 ..................................................................................................5-46 5.15.2 配置普通 IPoEoVLAN 接入示例 ...............................................................................................5-50 5.15.3 配置普通 IPoEoQ 接入示例 .......................................................................................................5-52 5.15.4 配置普通 IPoEoA 接入示例 .......................................................................................................5-55 5.15.5 配置普通 PPPoE 接入示例.........................................................................................................5-58 5.15.6 配置普通 PPPoEoVLAN 接入示例............................................................................................5-60 5.15.7 配置普通 PPPoEoQ 接入示例 ....................................................................................................5-63 5.15.8 配置普通 PPPoA 接入 VPN 示例...............................................................................................5-66 5.15.9 配置普通 PPPoEoA 接入示例 ....................................................................................................5-69 5.15.10 配置 802.1X 接入示例 ..............................................................................................................5-72 5.15.11 配置以太网二层专线接入示例 ................................................................................................5-74 5.15.12 配置 ATM 二层专线接入示例..................................................................................................5-76 5.15.13 配置以太网三层专线接入示例 ................................................................................................5-79 5.15.14 配置 ATM 三层专线接入示例..................................................................................................5-81 5.15.15 配置三层 Web 认证用户接入示例...........................................................................................5-84

            6 配置增值业务...............................................................................................................................6-1
            6.1 业务简介....................................................................................................................................................6-2 6.1.1 业务概述..........................................................................................................................................6-2 6.1.2 DSG 简介..........................................................................................................................................6-2 6.1.3 DAA 简介 .........................................................................................................................................6-4 6.1.4 CIPN 简介.........................................................................................................................................6-6 6.1.5 SIG 简介 ...........................................................................................................................................6-7

            vi

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            目 录

            6.1.6 COPS 简介........................................................................................................................................6-8 6.1.7 COPS 在增值业务中的应用 ..........................................................................................................6-10 6.1.8 参考信息........................................................................................................................................6-10 6.2 配置 COPS 服务器 ..................................................................................................................................6-10 6.2.1 建立配置任务................................................................................................................................6-10 6.2.2 配置 COPS 全局参数 .................................................................................................................... 6-11 6.2.3 创建 COPS 服务器组 ....................................................................................................................6-12 6.2.4 配置 COPS 服务器........................................................................................................................6-12 6.2.5 配置 COPS 客户端标识 ................................................................................................................6-13 6.2.6 配置 COPS 服务器的流保持时间 ................................................................................................6-13 6.2.7 配置 COPS 服务器的密钥 ............................................................................................................6-13 6.2.8 设置携带 Option82 信息功能.......................................................................................................6-14 6.2.9 激活 COPS 服务器........................................................................................................................6-14 6.2.10 查看配置结果..............................................................................................................................6-14 6.3 配置业务策略 ..........................................................................................................................................6-15 6.3.1 建立配置任务................................................................................................................................6-15 6.3.2 使能增值业务功能........................................................................................................................6-16 6.3.3 创建业务策略................................................................................................................................6-16 6.3.4 指定计费方案................................................................................................................................6-16 6.3.5 指定流量策略................................................................................................................................6-17 6.3.6 配置闲置切断................................................................................................................................6-17 6.3.7 配置业务策略的全局参数 ............................................................................................................6-17 6.3.8 指定域使用的业务策略 ................................................................................................................6-17 6.3.9 配置增值业务计费策略 ................................................................................................................6-18 6.3.10 查看配置结果..............................................................................................................................6-18 6.4 配置 DSG.................................................................................................................................................6-19 6.4.1 建立配置任务................................................................................................................................6-19 6.5 配置 DAA ................................................................................................................................................6-20 6.5.1 建立配置任务................................................................................................................................6-20 6.5.2 配置用户组....................................................................................................................................6-21 6.5.3 配置基于用户的 ACL ...................................................................................................................6-21 6.5.4 定义流分类及类的匹配规则 ........................................................................................................6-21 6.5.5 配置 DAA 流动作 .........................................................................................................................6-22 6.5.6 配置 DAA 流策略 .........................................................................................................................6-22 6.5.7 全局应用 DAA 流策略 .................................................................................................................6-23 6.5.8 配置 QoS 调度...............................................................................................................................6-23 6.5.9 配置 DAA 业务策略模板.............................................................................................................6-23 6.5.10 域下引用 DAA 业务策略模板(可选).........................................................................................6-23 6.5.11 全局使能增值业务 ......................................................................................................................6-24

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            vii





            Quidway MA5200G 配置指南-BRAS 业务 6.5.12 查看配置结果..............................................................................................................................6-24 6.6 配置 CIPN................................................................................................................................................6-24 6.6.1 建立配置任务................................................................................................................................6-24 6.7 配置 SIG ..................................................................................................................................................6-25 6.7.1 建立配置任务................................................................................................................................6-25 6.8 维护增值业务 ..........................................................................................................................................6-26 6.8.1 显示增值业务运行信息 ................................................................................................................6-27 6.8.2 调试增值业务................................................................................................................................6-27 6.9 配置举例..................................................................................................................................................6-28 6.9.1 配置 DSG 示例..............................................................................................................................6-28 6.9.2 配置 DAA 示例 .............................................................................................................................6-33 6.9.3 配置 CIPN 示例.............................................................................................................................6-41

            7 配置 ANCP..................................................................................................................................7-1
            7.1 ANCP 简介 .................................................................................................................................................7-2 7.1.1 ANCP 协议简介 ...............................................................................................................................7-2 7.1.2 ANCP 功能应用 ...............................................................................................................................7-3 7.1.3 参考信息..........................................................................................................................................7-4 7.2 配置 ANCP 功能 .......................................................................................................................................7-5 7.2.1 建立配置任务..................................................................................................................................7-5 7.2.2 使能 ANCP 功能 .............................................................................................................................7-6 7.2.3 配置 ANCP 连接建立的源端口 .....................................................................................................7-6 7.2.4 (可选)配置 ANCP 会话参数 .....................................................................................................7-7 7.2.5 (可选)配置 ANCP 邻居模板 .....................................................................................................7-7 7.2.6 (可选)命令行触发 ANCP 接入线路配置..................................................................................7-9 7.2.7 (可选)命令行触发 ANCP OAM 探测 .......................................................................................7-9 7.2.8 启动自动调整用户下行带宽功能 ..................................................................................................7-9 7.2.9 查看配置结果................................................................................................................................7-10 7.3 维护 ANCP ..............................................................................................................................................7-10 7.3.1 显示 ANCP 运行信息 ...................................................................................................................7-10 7.3.2 清除 ANCP 运行信息 ................................................................................................................... 7-11 7.3.3 调试 ANCP .................................................................................................................................... 7-11 7.4 配置举例.................................................................................................................................................. 7-11 7.4.1 配置 ANCP 功能示例 ...................................................................................................................7-12

            8 配置多机备份...............................................................................................................................8-1
            8.1 简介............................................................................................................................................................8-2 8.1.1 多机备份概述..................................................................................................................................8-2 8.1.2 MA5200G 支持的多机备份特性.....................................................................................................8-2 8.2 建立多机备份平台 ....................................................................................................................................8-4 8.2.1 建立配置任务..................................................................................................................................8-5 viii 华为专有和保密信息 版权所有 ? 华为技术有限公司 文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            目 录

            8.2.2 配置 VRRP ......................................................................................................................................8-5 8.2.3 配置远端备份服务..........................................................................................................................8-6 8.2.4 配置远端备份策略..........................................................................................................................8-7 8.2.5 检查配置结果..................................................................................................................................8-7 8.3 配置 BRAS 用户信息多机备份................................................................................................................8-8 8.3.1 建立配置任务..................................................................................................................................8-8 8.3.2 配置 NAS 参数................................................................................................................................8-9 8.3.3 配置流量备份时间间隔或流量阈值 ..............................................................................................8-9 8.3.4 配置独享地址池方式下的用户信息备份 ....................................................................................8-10 8.3.5 配置共享地址池方式下的用户信息备份 ....................................................................................8-10 8.3.6 将远端备份策略绑定到用户上线的接口下 ................................................................................ 8-11 8.3.7 检查配置结果................................................................................................................................8-12 8.4 维护..........................................................................................................................................................8-13 8.4.1 显示备份信息................................................................................................................................8-13 8.4.2 清除备份信息................................................................................................................................8-13 8.5 配置举例..................................................................................................................................................8-14 8.5.1 配置独享地址池方式下的用户信息备份示例 ............................................................................8-14 8.5.2 配置 IP 重定向保护方式下的用户信息备份示例.......................................................................8-20 8.5.3 配置 Tunnel 隧道保护方式下的用户信息备份示例 ...................................................................8-26 8.5.4 配置直连可达的 LSP 保护方式下的用户信息备份示例 ...........................................................8-33 8.5.5 配置 VPN 用户隧道保护方式下的用户信息备份示例 ..............................................................8-40 8.5.6 配置直连可达的 VPN 用户隧道保护方式下的用户信息备份示例...........................................8-46

            A RADIUS 属性 ........................................................................................................................... A-1
            A.1 标准 RADIUS 属性 .................................................................................................................................A-1 A.2 华为 RADIUS 属性 .................................................................................................................................A-6 A.3 微软 RADIUS 属性 ...............................................................................................................................A-13 A.4 DSL 论坛定义的 RADIUS 属性............................................................................................................A-14

            B HWTACACS 属性 ....................................................................................................................B-1 C 术语.............................................................................................................................................C-1 D 缩略语 ....................................................................................................................................... D-1

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            ix

            Quidway MA5200G 配置指南-BRAS 业务

            插图目录

            插图目录
            图 1-1 宽带接入的组网模型...........................................................................................................................1-2 图 2-1 RADIUS 消息流程................................................................................................................................2-6 图 2-2 RADIUS 消息结构................................................................................................................................2-6 图 2-3 采用 RADIUS 认证和计费配置举例组网图 ....................................................................................2-35 图 2-4 采用 HWTACACS 认证、计费和授权配置举例组网图 .................................................................2-39 图 2-5 RADIUS 下发 ACL 配置示例图 ........................................................................................................2-43 图 3-1 本地地址池分配基本组网图.............................................................................................................3-12 图 3-2 远端地址池分配基本组网图.............................................................................................................3-13 图 4-1 域示意图...............................................................................................................................................4-2 图 4-2 远端认证静态用户配置组网图.........................................................................................................4-26 图 4-3 本地认证静态用户配置组网图.........................................................................................................4-30 图 5-1 PPPoEoVLAN 协议栈结构...................................................................................................................5-3 图 5-2 BRAS 接入的协议栈结构 ....................................................................................................................5-4 图 5-3 Web 认证的典型组网模型....................................................................................................................5-5 图 5-4 IPoE 基本组网模型.............................................................................................................................5-30 图 5-5 IPoEoVLAN 基本组网模型................................................................................................................5-31 图 5-6 IPoEoQ 基本组网模型........................................................................................................................5-31 图 5-7 IPoEoA 基本组网模型........................................................................................................................5-32 图 5-8 PPPoE 基本组网模型..........................................................................................................................5-34 图 5-9 PPPoEoVLAN 基本组网模型.............................................................................................................5-34 图 5-10 PPPoEoQ 基本组网模型...................................................................................................................5-34 图 5-11 PPPoA 基本组网模型 .......................................................................................................................5-35 图 5-12 PPPoEoA 基本组网模型...................................................................................................................5-35 图 5-13 IPoE 配置举例组网图.......................................................................................................................5-46 图 5-14 IPoEoVLAN 配置举例组网图..........................................................................................................5-50

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            xi

            插图目录

            Quidway MA5200G 配置指南-BRAS 业务

            图 5-15 普通 IPoEoQ 接入配置组网图 ........................................................................................................5-53 图 5-16 IPoEoA 配置举例组网图 ..................................................................................................................5-55 图 5-17 PPPoE 配置举例组网图....................................................................................................................5-58 图 5-18 PPPoEoVLAN 配置举例组网图.......................................................................................................5-61 图 5-19 PPPoEoQ 接入配置组网图...............................................................................................................5-63 图 5-20 PPPoA 配置举例组网图 ...................................................................................................................5-66 图 5-21 PPPoEoA 配置举例组网图...............................................................................................................5-69 图 5-22 802.1X 配置举例组网图 ...................................................................................................................5-72 图 5-23 以太网二层专线配置举例组网图 ...................................................................................................5-75 图 5-24 ATM 二层专线配置组网图...............................................................................................................5-77 图 5-25 以太网三层专线配置举例组网图 ...................................................................................................5-79 图 5-26 ATM 三层专线配置组网图...............................................................................................................5-81 图 5-27 以太网三层 Web 认证用户配置举例组网图..................................................................................5-84 图 6-1 DSG 基本组网模型...............................................................................................................................6-3 图 6-2 DSG 消息流程.......................................................................................................................................6-3 图 6-3 DAA 基本组网模型 ..............................................................................................................................6-5 图 6-4 CIPN 基本组网模型..............................................................................................................................6-7 图 6-5 SIG 基本组网模型 ................................................................................................................................6-8 图 6-6 COPS 消息结构.....................................................................................................................................6-9 图 6-7 COPS 对象结构...................................................................................................................................6-10 图 6-8 DSG 业务配置组网图.........................................................................................................................6-29 图 6-9 DAA 业务配置组网图 ........................................................................................................................6-33 图 6-10 CIPN 业务配置组网图......................................................................................................................6-42 图 7-1 ANCP 典型组网模型 ............................................................................................................................7-3 图 7-2 配置 ANCP 功能组网图 ....................................................................................................................7-12 图 8-1 多机备份环形以太网接入示意网 .......................................................................................................8-4 图 8-2 多机备份树形以太网接入示意网 .......................................................................................................8-4 图 8-3 独享地址池方式下的用户信息备份配置示例图 .............................................................................8-15 图 8-4 IP 重定向保护方式下的用户信息备份配置示例图..........................................................................8-21 图 8-5 Tunnel 隧道保护方式下的用户信息备份配置示例图 ......................................................................8-27 图 8-6 直连可达的 LSP 保护方式下的用户信息备份配置示例图 ............................................................8-34 图 8-7 VPN 用户隧道保护方式下的用户信息备份配置示例图 .................................................................8-41

            xii

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            插图目录

            图 8-8 直连可达的 VPN 用户隧道保护方式下的用户信息备份配置示例图 ...........................................8-47

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            xiii

            Quidway MA5200G 配置指南-BRAS 业务

            表格目录

            表格目录
            表 2-1 MA5200G 的认证模式 .........................................................................................................................2-2 表 2-2 MA5200G 的授权模式 .........................................................................................................................2-3 表 2-3 MA5200G 的计费模式 .........................................................................................................................2-3 表 2-4 本地话单参数描述...............................................................................................................................2-4 表 2-5 HWTACACS 协议与 RADIUS 协议的比较 ........................................................................................2-7 表 2-6 RADIUS 下发分类器字段说明 ............................................................................................................2-8 表 2-7 RADIUS 下发的动作字段说明 ..........................................................................................................2-10 表 3-1 MA5200G 的 IPv4 地址池 ....................................................................................................................3-2 表 3-2 MA5200G 的 DHCP 功能.....................................................................................................................3-3 表 3-3 MA5200G 中的 DHCP Option 用途 .....................................................................................................3-3 表 3-4 地址池保护方法...................................................................................................................................3-9 表 4-1 MA5200G 的缺省域 .............................................................................................................................4-3 表 5-1 PPP 认证协议 ........................................................................................................................................5-7

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            xv

            Quidway MA5200G 配置指南-BRAS 业务










            言..................................................................................................................................................1

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            i

            Quidway MA5200G 配置指南-BRAS 业务






            概述



            本手册针对 BRAS 业务,从基本原理、配置过程、配置方法几个方面介绍了 BRAS 的 AAA、管理地址、管理用户、BRAS 接入、增值业务、ANCP 等特性。 本手册提供 BRAS 业务各功能特性的基本概念、配置过程、配置方法及典型配置实例。

            产品版本
            与本文档相对应的产品版本如下所示。 产品名称 MA5200G 产品版本 V300R003C02

            读者对象
            本文档主要适用于以下人员: 网络工程师 网络管理员

            内容简介
            本文档包括 7 个章节和 4 个附录。 章节 1 2 BRAS 业务概述 配置 AAA 管理地址 管理用户 内容 简要介绍了 BRAS 业务的基本概念及特性。 介绍了 AAA 的基本概念及原理、 AAA 的配置方法与步骤 以及 AAA 的配置实例。 介绍了地址管理的基本概念及原理、地址管理功能的配置 方法、配置过程及典型配置实例。 介绍了用户管理的基本概念及原理、域管理功能的配置过 程、典型配置举例。

            3

            4

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            1





            Quidway MA5200G 配置指南-BRAS 业务

            章节 5 配置 BRAS 接入

            内容 介绍 BRAS 接入的基本概念与原理,以及 IPoX 接入、 PPPoX 接入、802.1X 接入、专线接入的配置过程、典型 配置实例。 介绍增值业务的基本概念与原理,以及 COPS 服务器、业 务策略、DSG 业务、DAA 业务、SIG 业务的配置过程、 典型配置实例。 介绍 ANCP 的基本概念、配置过程及典型配置实例。 介绍多机备份的基本概念、配置过程及典型配置实例。 介绍 MA5200G 支持的 RADIUS 属性。 介绍 MA5200G 支持的 HWTACACS 属性。 列出了本手册中使用的术语和缩略语,及对应的英文全称 和中文解释。

            6

            配置增值业务

            7 8

            配置 ANCP 配置多机备份

            附录 A RADIUS 属性 附录 B HWTACACS 属 性 附录 C 术语 & D 缩略 语

            约定
            符号约定
            在本文中可能出现下列标志,它们所代表的含义如下。 符号 说明 以本标志开始的文本表示有高度潜在危险, 如果不能避免, 会导致人员死亡或严重伤害。 以本标志开始的文本表示有中度或低度潜在危险,如果不 能避免,可能导致人员轻微或中等伤害。 以本标志开始的文本表示有潜在风险, 如果忽视这些文本, 可能导致设备损坏、数据丢失、设备性能降低或不可预知 的结果。 以本标志开始的文本能帮助您解决某个问题或节省您的时 间。 以本标志开始的文本是正文的附加信息,是对正文的强调 和补充。

            2

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务





            通用格式约定
            格式 宋体 黑体 楷体 说明 正文采用宋体表示。 一级、二级、三级标题、Block Label 采用黑体。 警告、提示等内容用楷体表示。

            “Terminal Display” “Terminal Display”格式表示屏幕输出信息。此外, 格式 屏幕输出信息中夹杂的用户从终端输入的信息采用加粗 字体表示。

            命令行格式约定
            格式 粗体 意义 命令行关键字(命令中保持不变、必须照输的部分)采用 加粗字体表示。 命令行参数(命令中必须由实际值进行替代的部分)采用 斜体表示。 表示用“[ ]”括起来的部分在命令配置时是可选的。 表示从两个或多个选项中选取一个。 表示从两个或多个选项中选取一个或者不选。 表示从两个或多个选项中选取多个,最少选取一个,最多 选取所有选项。 表示从两个或多个选项中选取多个或者不选。 表示符号&前面的参数可以重复 1~n 次。 由“#”开始的行表示为注释行。

            斜体
            [] { x | y | ... } [ x | y | ... ] { x | y | ... } *

            [ x | y | ... ] * &<1-n> #

            图形界面元素引用约定
            格式 “” 意义 带双引号“”的格式表示各类界面控件名称和数据表,如 单击“确定”。 多级菜单用 “>” 隔开。 如选择 “文件 > 新建 > 文件夹” , 表示选择“文件”菜单下的“新建”子菜单下的“文件夹” 菜单项。

            >

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            3





            Quidway MA5200G 配置指南-BRAS 业务

            键盘操作约定
            格式 加“”的字符 “键 1+键 2” “键 1,键 2” 意义 表示键名。如“Enter”、“Tab”、“Backspace”、“a” 等分别表示回车、制表、退格、小写字母 a。 表示在键盘上同时按下几个键。如“Ctrl+Alt+A”表示同 时按下“Ctrl”、“Alt”、“A”这三个键。 表示先按第一键,释放,再按第二键。如“Alt,F”表示 先按“Alt”键,释放后再按“F”键。

            鼠标操作约定
            格式 单击 双击 拖动 意义 快速按下并释放鼠标的一个按钮。 连续两次快速按下并释放鼠标的一个按钮。 按住鼠标的一个按钮不放,移动鼠标。

            修改记录
            修订记录累积了每次文档更新的说明。 最新版本的文档包含以前所有文档版本的更新内 容。

            文档版本 01 (2010-05-31)
            第一次正式发布。

            4

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            目 录





            1 BRAS 业务概述 ...........................................................................................................................1-1
            1.1 BRAS 业务定义 ...........................................................................................................................................1-2 1.2 BRAS 业务特征 ...........................................................................................................................................1-2 1.2.1 接入识别 ............................................................................................................................................1-3 1.2.2 认证、计费和授权.............................................................................................................................1-3 1.2.3 管理 IP 地址 .......................................................................................................................................1-3 1.2.4 管理用户 ............................................................................................................................................1-3 1.2.5 业务控制 ............................................................................................................................................1-3

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            i

            Quidway MA5200G 配置指南-BRAS 业务

            插图目录

            插图目录
            图 1-1 宽带接入的组网模型.............................................................................................................................1-2

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            iii

            Quidway MA5200G 配置指南-BRAS 业务

            1 BRAS 业务概述

            1
            关于本章
            本章描述内容如下表所示。 标题 1.1 BRAS 业务定义 1.2 BRAS 业务特征 内容

            BRAS 业务概述

            介绍 BRAS 业务的基本概念。 介绍 BRAS 业务的基本功能特性。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            1-1

            1 BRAS 业务概述

            Quidway MA5200G 配置指南-BRAS 业务

            1.1 BRAS 业务定义
            当 MA5200G 运行 BRAS 业务时,MA5200G 就被看作一个 BRAS 设备。 宽带接入是相对于传统的通过公共电话交换网 PSTN(Public Switched Telephone Network)进行 Modem 拨号上网的窄带接入而言的。 “宽”和“窄”指的是接入的带 宽,对用户而言,主要体现在使用网络资源的速度快慢。 宽带接入的基本组网模型如图 1-1 所示。 图1-1 宽带接入的组网模型

            RADIUS server NMS Portal server

            MA5200G

            DSLAM

            LAN Switch CMTS AP subscriber subscriber subscriber

            subscriber

            根据使用的介质,宽带接入通常包括使用电话线的 ADSL(Asymmetric Digital Subscriber Line)接入、使用五类双绞线的以太网接入、使用电视同轴电缆的 HFC 接 入、使用无线信号的 WLAN(Wireless Local Area Network)接入等,这些方式对用户 来说,在物理上直观可见。 通常终端用户并不直接接入 MA5200G 的端口,而是接入 DSLAM(Digital Subscriber Line Access Multiplexer) 、LAN Switch、CMTS(Cable Modem Terminal System) 、AP (Access Point)等接入设备的端口,接入设备再接入 MA5200G 的端口。因此用户物理 接入方式的差异通常在接入设备上被屏蔽,MA5200G 也无需关心终端用户的接入方 式。

            1.2 BRAS 业务特征
            对于一个 BRAS 设备,其关键的功能特性包括以下几项: 识别接入会话连接,即可以感知用户的接入请求。 对接入用户进行认证、计费和授权。 为接入用户分配 IP 地址。

            1-2

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            1 BRAS 业务概述

            对用户进行静态或动态的管理。 对用户使用的业务进行策略控制。

            1.2.1 接入识别
            MA5200G 支持用户通过 IPoE(IP over Ethernet) 、IPoEoVLAN(IP over Ethernet over VLAN) 、IPoEoQ(IP over Ethernet over QinQ) 、IPoA(IP over ATM) 、IPoEoA(IP over Ethernet over ATM) 、PPPoE(Point-to-Point Protocol over Ethernet) 、 PPPoEoVLAN(PPPoE over VLAN) 、PPPoEoQ(PPPoE over QinQ) 、PPPoA(PPP over ATM) 、PPPoEoA(PPP over Ethernet over ATM) 、802.1X、ND(Neighbor Discovery) 等协议接入 MA5200G,用户可通过 PPP(Point-to-Point Protocol)认证、Web/Fast 认 证、绑定认证、802.1X 认证等方法进行认证,详细描述请参见“5 配置 BRAS 接 入” 。
            有关 ND 协议,请参见《Quidway MA5200G 宽带接入服务器 配置指南-IP 业务》 。

            1.2.2 认证、计费和授权
            MA5200G 实现完善的 AAA(Authentication、Authorization and Accounting)功能,支 持 RADIUS(Remote Authentication Dial in User Service) 、HWTACACS(Huawei Terminal Access Controller Access Control System)等 AAA 协议,详细描述和配置请参 见“2 配置 AAA” 。

            1.2.3 管理 IP 地址
            MA5200G 通过 IPv4 地址池为用户分配 IP 地址,详细描述和配置请参见“3 址” 。 管理地

            1.2.4 管理用户
            MA5200G 通过域对用户进行管理,详细描述和配置请参见“4 管理用户” 。

            1.2.5 业务控制
            MA5200G 中的业务类型包括接入业务和增值业务两类。在接入业务中,MA5200G 作 为 BRAS 设备;在增值业务中,MA5200G 作为 BRAS+DSG(Dynamic Service Gateway)设备,详细描述请参见“6 配置增值业务” 。 MA5200G 也可对接入线路实施控制,详细描述请参见“7 配置 ANCP” 。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            1-3

            Quidway MA5200G 配置指南-BRAS 业务

            目 录





            2 配置 AAA ....................................................................................................................................2-1
            2.1 AAA 简介 .....................................................................................................................................................2-2 2.1.1 认证功能 ............................................................................................................................................2-2 2.1.2 授权功能 ............................................................................................................................................2-2 2.1.3 计费功能 ............................................................................................................................................2-3 2.1.4 RADIUS 协议......................................................................................................................................2-5 2.1.5 HWTACACS 协议 ..............................................................................................................................2-7 2.1.6 RADIUS 下发 ACL.............................................................................................................................2-7 2.1.7 参考信息 ..........................................................................................................................................2-12 2.2 配置 AAA 方案 .........................................................................................................................................2-12 2.2.1 建立配置任务...................................................................................................................................2-12 2.2.2 配置认证方案...................................................................................................................................2-13 2.2.3 配置计费方案...................................................................................................................................2-14 2.2.4 (可选)配置授权方案...................................................................................................................2-15 2.2.5 (可选)配置记录方案...................................................................................................................2-17 2.2.6 (可选)配置动态重授权...............................................................................................................2-17 2.3 配置 RADIUS 服务器 ...............................................................................................................................2-17 2.3.1 建立配置任务...................................................................................................................................2-17 2.3.2 创建 RADIUS 服务器组..................................................................................................................2-19 2.3.3 配置 RADIUS 认证/计费服务器.....................................................................................................2-19 2.3.4 (可选)配置 RADIUS 服务器的选择算法 ..................................................................................2-20 2.3.5 (可选)配置 RADIUS 服务器的协商参数 ..................................................................................2-20 2.3.6 (可选)配置 RADIUS 属性禁用..................................................................................................2-22 2.3.7 (可选)配置 RADIUS 属性转换功能 ..........................................................................................2-22 2.3.8 (可选)配置使用 Class 属性携带 CAR 值 ..................................................................................2-22 2.3.9 (可选)配置 RADIUS 服务器源接口 ..........................................................................................2-23 2.3.10 (可选)配置 NAS-IP-Address 属性值........................................................................................2-23 2.3.11 (可选)配置 RADIUS 授权服务器 ............................................................................................2-24 2.3.12 (可选)配置 RADIUS 服务器状态参数 ....................................................................................2-24 2.4 配置 HWTACACS 服务器........................................................................................................................2-25

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            i





            Quidway MA5200G 配置指南-BRAS 业务 2.4.1 建立配置任务...................................................................................................................................2-25 2.4.2 创建 HWTACACS 服务器模板.......................................................................................................2-26 2.4.3 配置 HWTACACS 认证/计费/授权服务器.....................................................................................2-27 2.4.4 配置 HWTACACS 服务器的源 IP 地址 .........................................................................................2-27 2.4.5 配置 HWTACACS 服务器的协商参数...........................................................................................2-27 2.4.6 配置 HWTACACS 服务器的定时器...............................................................................................2-28 2.4.7 配置计费结束报文的重传功能.......................................................................................................2-29

            2.5 配置话单本地保存....................................................................................................................................2-29 2.5.1 建立配置任务...................................................................................................................................2-29 2.5.2 配置话单服务器...............................................................................................................................2-30 2.5.3 配置话单告警阈值...........................................................................................................................2-30 2.5.4 配置缓存的话单备份模式...............................................................................................................2-31 2.5.5 配置话单自动备份的时间间隔.......................................................................................................2-31 2.5.6 手动备份话单...................................................................................................................................2-31 2.6 维护 AAA ..................................................................................................................................................2-32 2.6.1 显示 AAA 运行信息 ........................................................................................................................2-32 2.6.2 调试 AAA.........................................................................................................................................2-33 2.6.3 清除 AAA 运行信息 ........................................................................................................................2-33 2.7 配置举例....................................................................................................................................................2-34 2.7.1 采用 RADIUS 认证和计费配置示例..............................................................................................2-34 2.7.2 采用 HWTACACS 认证、计费和授权配置示例...........................................................................2-38 2.7.3 RADIUS 下发 ACL 配置示例..........................................................................................................2-42

            ii

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            插图目录

            插图目录
            图 2-1 RADIUS 消息流程..................................................................................................................................2-6 图 2-2 RADIUS 消息结构..................................................................................................................................2-6 图 2-3 采用 RADIUS 认证和计费配置举例组网图 ......................................................................................2-35 图 2-4 采用 HWTACACS 认证、计费和授权配置举例组网图...................................................................2-39 图 2-5 RADIUS 下发 ACL 配置示例图..........................................................................................................2-43

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            iii

            Quidway MA5200G 配置指南-BRAS 业务

            表格目录

            表格目录
            表 2-1 MA5200G 的认证模式 ...........................................................................................................................2-2 表 2-2 MA5200G 的授权模式 ...........................................................................................................................2-3 表 2-3 MA5200G 的计费模式 ...........................................................................................................................2-3 表 2-4 本地话单参数描述.................................................................................................................................2-4 表 2-5 HWTACACS 协议与 RADIUS 协议的比较..........................................................................................2-7 表 2-6 RADIUS 下发分类器字段说明..............................................................................................................2-8 表 2-7 RADIUS 下发的动作字段说明............................................................................................................2-10

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            v

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            2
            关于本章
            本章描述内容如下表所示。 标题 2.1 AAA 简介 2.2 配置 AAA 方案 2.3 配置 RADIUS 服务器 内容 介绍 AAA 的基本概念及原理。

            配置 AAA

            介绍 AAA 方案的配置方法与步骤。 介绍 RADIUS 服务器的配置方法与步骤。 举例:采用 RADIUS 认证和计费

            2.4 配置 HWTACACS 服务 器 2.5 配置话单本地保存 2.6 维护 AAA 2.7 配置举例

            介绍 HWTACACS 服务器的配置方法与步骤。 举例:采用 HWTACACS 认证、计费和授权 介绍话单本地保存的配置方法与步骤。 显示、清除 AAA 信息,或调试 AAA。 举例说明 AAA 的配置。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-1

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            2.1 AAA 简介
            本节介绍 MA5200G AAA 功能,具体内容包括: 认证功能 授权功能 计费功能 RADIUS 协议 HWTACACS 协议 RADIUS 下发 ACL 参考信息

            2.1.1 认证功能
            认证功能验证用户是否可以获得访问权。用户接入网络时,MA5200G 可通过用户名和 密码对用户的身份进行认证。MA5200G 支持四种认证模式,如表 2-1 所示。 表2-1 MA5200G 的认证模式 认证模式 不认证 本地认证 说明 表示运营商对用户非常信任,MA5200G 对用户不进行合法性检 查。一般情况下不建议采用此模式。 在 MA5200G 上配置用户信息(用户名、密码及其他属性等), 由 MA5200G 完成对用户的认证。本地认证的优点是速度快,可 以降低运营成本;缺点是存储信息量受设备硬件条件限制。 MA5200G 作为客户端,与 RADIUS 服务器通信。在 RADIUS 服 务器上配置用户信息,MA5200G 将用户名和密码通过 RADIUS 协议传送给 RADIUS 服务器,RADIUS 服务器完成对用户的认证 并将认证结果反馈给 MA5200G。 MA5200G 作为客户端,与 HWTACACS 服务器通信。在 HWTACACS 服务器上配置用户信息,MA5200G 将用户名和密 码通过 HWTACACS 协议传送给 HWTACACS 服务器, HWTACACS 服务器完成对用户的认证并将认证结果反馈给 MA5200G。

            RADIUS 认证

            HWTACACS 认 证

            2.1.2 授权功能
            指定用户可以使用哪些服务。MA5200G 支持四种授权模式,如表 2-2 所示。

            2-2

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            表2-2 MA5200G 的授权模式 授权模式 直接授权 本地授权 RADIUS 认证成功 后授权 HWTACACS 授权 说明 表示运营商对用户非常信任,直接授权。 根据 MA5200G 配置的用户属性对用户进行授权。 RADIUS 协议的认证和授权是绑定在一起的,不能单独使用 RADIUS 进行授权。 由 HWTACACS 服务器对用户进行授权。

            2.1.3 计费功能
            计费模式
            MA5200G 支持三种计费模式,如表 2-3 所示。 表2-3 MA5200G 的计费模式 计费模式 不计费 RADIUS 计费 HWTACACS 计 费 说明 MA5200G 不对用户进行计费。 MA5200G 将计费报文送往 RADIUS 服务器,由 RADIUS 服务器 完成对用户的计费。 MA5200G 将计费报文送往 HWTACACS 服务器,由 HWTACACS 服务器完成对用户的计费。

            在 RADIUS/HWTACACS 计费模式中,正常情况下 MA5200G 在用户上线和下线时各 生成一份计费报文传送给服务器,服务器根据计费报文中的信息(上下线时间、使用 流量等)对用户进行计费。 MA5200G 支持实时计费功能。实时计费功能是指用户在线过程中,MA5200G 定时生 成计费报文传送给服务器。通过实时计费功能,MA5200G 可以在其和服务器通信中断 时,最大程度的减少计费异常的时间。 MA5200G 在收到计费服务器的计费回应时,可根据配置决定是否立即发送实时计费报 文,也可以根据计费服务器回应的计费响应报文中的实时计费间隔属性来发送实时计 费报文。

            本地话单
            在用户在线过程中,如果 MA5200G 和服务器的通信中断,服务器接收不到用户下线 时的计费报文,会导致用户在线期间计费异常。在该情况下可以通过 MA5200G 的话 单本地保存方式避免计费异常,生成的本地话单首先保存在缓存中。可以使用 display local-bill cache 命令查看缓存中保存的本地话单。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-3

            2 配置 AAA
            [Quidway] display local-bill cache 0 1 Contents of Bill 1:

            Quidway MA5200G 配置指南-BRAS 业务

            -------------------------------------------------------------Bill-No : 15 Session-Id: MA5200G0600800000020079574f000073 User-name : user@huawei Start-Time: 2007/02/02 10:10:18 Stop-Time : 2007/02/02 10:17:11 IP-Addr Port-No Status : 192.0.64.253 : 6/0/8 : 2(offline) Auth-Type : PPP Elapse MAC VLAN Code : 0:06:53 : 0001-6c8c-907f : 200 : 1, Ref: 21

            Access-Type: PPPoE

            Acc Data before Tariff Switch, 1 Priority : 0 : User-received: Bytes=24480 User-sent: 1 Priority : 0 : User-received: Bytes=24480 User-sent: Bytes=35088 , Pkts=408 , Pkts=408 Bytes=35088 Acc Data after Tariff Switch, , Pkts=408 , Pkts=408

            -------------------------------------------------------------Total printed 1 bills from cache.

            话单中各字段的含义如表 2-4 所述。 表2-4 本地话单参数描述 字段 Bill-No Session-Id User-name Start-Time Stop-Time Elapse IP-Addr MAC Auth-Type Access-Type Port-No 描述 话单序列号。为 4 字节的整数类型。 用户计费会话标识。最长 7 个字符的设备名 +YYMMDDHHMMSS+8 位随机值+5 位的用户索引号。 用户帐号名。字母和数字的组合,最大为 64 位,一般格式为 user@domain。 开始计费时间。即用户上线时间,格式为 YYYY/MM/DD HH:MM:SS。 停止计费时间。即用户下线时间,格式为 YYYY/MM/DD HH:MM:SS。 用户在线的时长,格式为 HH:MM:SS。 用户的 IP 地址,为点分十进制形式,比如 12.1.255.9。 用户的 MAC 地址,格式为 XXXX-XXXX-XXXX,16 进制。 用户使用的认证类型。 用户使用的接入类型。 用户连接到 MA5200G 的物理或者 TRUNK 端口号。

            2-4

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            字段 VLAN Status

            描述 用户接入的 VLAN 标识,取值范围为 0~4094。 话单类型,0 表示无效,1 表示实时计费话单,2 表示下线话单, 3 表示错误话单,即 CRC 校验错误的话单。MA5200G 目前只支 持话单本地保存,是在用户下线后才产生的。 设备外部的下线原因。为按照 RFC2866 远端计费提供的标准下 线原因,具体请参考 RFC2866。 设备内部的下线原因,作为外部下线原因的补充,提供更加详细 的原因,一般无需使用。 费率切换前的流量,包括上行字节数、上行包数、下行字节数、 下行包数。 计费级别,目前 MA5200G 只支持 1 级,即下面所示的 0。 费率切换后的流量,包括上行字节数、上行包数、下行字节数、 下行包数。 用户收到报文的流量,即下行流量。 用户发送出去的流量,即上行流量。

            Code Ref Acc Data before Tariff Switch 1 Priority Acc Data after Tariff Switch User-received User-sent

            MA5200G 支持对缓存中的话单进行备份,备份模式包括三种:备份到硬盘、通过 TFTP 备份到话单服务器、不备份。也支持对硬盘中的话单进行备份。备份可以定时备 份,也可以手动备份。缓存中的话单可备份到硬盘或话单服务器,硬盘中的话单可备 份到话单服务器。 备份到话单服务器的话单文件名格式为“文件名前缀-时间-编号.lam” 。话单以 ASCII 码形式文本方式记录在话单文件中。不同项之间通过制表符“\t”分隔。项目长度少于 定义长度的,不再添加任何其他字符。每条话单记录之间以回车换行符“\r\n”结束。 同时,MA5200G 支持在缓存或硬盘上的话单使用率超过设定的告警阈值时,向网管系 统和终端发送告警。

            2.1.4 RADIUS 协议
            AAA 可用多种协议来实现,但最常用的是 RADIUS(Remote Authentication Dial In User Service)协议。RADIUS 是 MA5200G 和 RADIUS 服务器之间的应用层通信协 议,规定了 MA5200G 与 RADIUS 服务器之间传递用户信息和计费信息的过程和报文 格式。 RADIUS 协议具备如下特点: RADIUS 使用 UDP 作为传输协议,具有良好的实时性。 RADIUS 支持重传机制和备用服务器机制,从而有较好的可靠性。 RADIUS 实现比较简单,适用于大用户量时服务器端的多线程结构。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-5

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            RADIUS 消息流程
            RADIUS 协议基于 C/S 架构,其认证的消息流程如图 2-1 所示。计费流程和认证/授权 流程与之类似。 图2-1 RADIUS 消息流程
            Subscriber Username/Password Request Response RADIUS Client RADIUS Server

            1. 2. 3. 4.

            当用户接入 MA5200G 时,首先会将用户名和口令发送给 MA5200G。 MA5200G 作为 RADIUS 客户端,向 RADIUS 服务器发送认证请求。 RADIUS 服务器接收到合法的请求后,对用户名和密码进行认证。 完成认证后,RADIUS 服务器把所需的用户授权信息返回给 MA5200G。
            MA5200G 和 RADIUS 服务器之间认证信息的传递通过密钥的参与来完成,即加密以后才在网络 上传递,以避免用户信息在不安全的网络上被窃取。

            RADIUS 消息结构
            RADIUS 的消息结构如图 2-2 所示。 图2-2 RADIUS 消息结构
            0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 Code Identifier Length

            Authenticator

            Attribute......

            各字段的含义简单说明如下: Code:指示 RADIUS 报文类型,如接入请求、接入允许、计费请求等。 Identifier:一般是顺序递增的数字,请求报文和响应报文中该字段必须相同。 Length:报文的总长度,包括 Code、Identifier、Length、Authenticator、Attribute 等所有字段的长度。 Authenticator:验证字,用于 RADIUS 服务器与 RADIUS 客户端之间的相互验 证。

            2-6

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            Attribute:消息的内容主体,用于携带特的认证、授权或配置信息。可包含一个或 多个属性,且属性的顺序是固定的。

            2.1.5 HWTACACS 协议
            HWTACACS 是在 TACACS(RFC 1492)基础上进行了功能增强的一种安全协议。该 协议与 RADIUS 协议类似,主要是通过 C/S 模式与 HWTACACS 服务器通信,来实现 多种用户的 AAA 功能。 与 RADIUS 相比,HWTACACS 具有更加可靠的传输和加密特性,更加适合于安全控 制。HWTACACS 协议与 RADIUS 协议的主要区别如表 2-5 所示。 表2-5 HWTACACS 协议与 RADIUS 协议的比较 HWTACACS 使用 TCP,网络传输更可靠 对报文主体全部进行加密 认证与授权分离 适于进行安全控制 支持对 MA5200G 的配置命令进行授权使用 RADIUS 使用 UDP 只是对认证报文中的密码字段进行加 密 认证与授权一起处理 适于进行计费 不支持

            利用 HWTACACS 协议认证与授权分离的特性,可以使用 RADIUS 进行认证,而使用 HWTACACS 进行授权。

            2.1.6 RADIUS 下发 ACL
            通过在 RADIUS 认证接受报文、RADIUS 授权更改报文(Change of Authorization,即 CoA 报文)中携带的 Hw-Data-Filter(26-82)私有属性,MA5200G 可实现 RADIUS 下 发 ACL 功能、以及动态修改 RADIUS 下发的已在设备上存在的 ACL 功能。

            基本流程
            用户接入 MA5200G 时,可通过在 RADIUS 认证接受报文中携带 Hw-Data-Filter 属性实 现 RADIUS 下发 ACL;用户在线时,可通过在 CoA 报文中携带 Hw-Data-Filter 属性实 现 RADIUS 下发 ACL 或修改 RADIUS 下发的已在设备上存在的 ACL。 RADIUS 下发 ACL 以及修改 RADIUS 下发的已存在的 ACL 的流程如下所述: 1. 2. 3. 用户通过各种方式(例如 PPP 拨号、IP 报文触发、DHCP 报文触发等)向 MA5200G 发起接入请求。 MA5200G 响应用户的接入请求,并通过与用户交互,获取用户名和密码。然后 MA5200G 作为 RADIUS 客户端,向 RADIUS 服务器发送认证请求。 RADIUS 服务器接收到合法的认证请求后,对用户名和密码进行认证。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-7

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            4. 5.

            认证通过后,RADIUS 服务器把所需的用户授权信息通过 RADIUS 认证接受报文 返回给 MA5200G。认证接受报文中携带 Hw-Data-Filter 属性。 MA5200G 解析认证接受报文中的 Hw-Data-Filter 属性,并将属性中定义的分类器 和动作自动绑定在远端流策略_remote-defined-policy 中(系统启动时自动生成 的)。用户根据需要将该流策略应用在全局或接口下。 用户访问 Internet 或其他网络资源,MA5200G 根据 RADIUS 下发的流策略对用户 行为实施控制。 用户在线情况下,网络管理人员在 RADIUS 服务器上配置或修改流分类及动作, 并利用 CoA 报文下发该策略。 MA5200G 接收到 RADIUS 的 CoA 报文后,解析 CoA 报文中的 Hw-Data-Filter 属 性,并将属性中定义的分类器和动作自动绑定在_remote-defined-policy 中或自动修 改_remote-defined-policy 中分类器和动作内容。 用户访问 Internet 或其他网络资源,MA5200G 使用 CoA 报文的流策略对用户行为 实施控制。

            6. 7. 8.

            9.

            Hw-Data-Filter 属性
            Hw-Data-Filter 属性内容为一系列用分号分隔的字段组合起来的字符串,分为分类器字 符串和动作字符串两大类: 分类器 RADIUS 下发分类器的格式为: Hw-Data-Filter = “type;classifier-name;behavior-name;protocol;srctype;source={sourceip-addr;source-ip-mask;source-port-list | user-group};dsttype;dest={dest-ip-addr;dest-ipmask;dest-port-list | user-group};dscp;fragment;syn-flag;precedence;”, 其中 port-list 的格式为[min_port_number-max_port_number]。各字段含义见表 2-6 所述。 RADIUS 下发的分类器需要在远端 RADIUS 服务器上按照上述格式进行配置。配 置时需要注意以下几点:
            ? ?

            type、classifier-name、behavior-name 为必选项,其他内容为可选项。 除三层专线外,对其他用户使用 RADIUS 下发 ACL 时,分类器中每条规则的 source 或 dest 必须有一方使用 user-group。且须同时使用 Filter-ID 属性下发规 则中指定的 user-group 或在用户认证域下配置该规则中的 user-group。 behavior-name 不能是在本地配置过的,且 behavior-name 须通过 Hw-Data-Filter 属性一齐下发。

            ?

            表2-6 RADIUS 下发分类器字段说明 字段 type classifier-name 描述 属性类型,对于分类器字符串,该值必须为 1。 分类器名称,字符串类型,长度为 1~31 个字符。如果重复下发 hw-Data-Filter 属性且多条属性里的分类器名相同,动作名也相 同,则是向同一个分类器添加多条规则。

            2-8

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            字段 behavior-name protocol srctype

            描述 动作名称,字符串类型,长度为 1~31。在分类器字符串里只下 发动作名称,具体的动作在动作字符串里下发。 规则中的协议号,整数类型,取值范围为 0~255。如果没有或填 0 表示 IP 承载的任意协议。 整数类型,取值为 1 时表示后面字段为 user-group,取值为 2 时 表示后面字段为 source-ip-addr + source-ip-mask + source-portlist。 规则中的源 IP 地址,点分十进制形式。 规则中的源 IP 地址掩码,点分十进制形式。使用正掩码。 规则中的源用户组,字符串类型,长度为 1~32。 规则中的源端口号,格式为[min-max],min 和 max 为一个 1~ 65535 之间的整数,分别表示 TCP 协议端口号的最小值和最大 值。端口号只有在 protocol 字段为 6(即 TCP)或 17(即 UDP) 时才有效,其他情况下下发该字段无效。 整数类型,取值为 1 时表示后面字段为 user-group,取值为 2 时 表示后面字段为 dest-ip-addr + dest-ip-mask + dest-port-list。 规则中的目的 IP 地址,点分十进制形式。 规则中的目的 IP 地址掩码,点分十进制形式。使用正掩码。 规则中的目的用户组,字符串类型,长度为 1~32。 规则中的目的端口号,格式为[min-max],min 和 max 为一个 1~ 65535 之间的整数,分别表示 TCP 协议端口号的最小值和最大 值。端口号只有在 protocol 字段为 6(即 TCP)或 17(即 UDP) 时才有效,其他情况下下发该字段无效。 规则中的 DSCP 值,整数类型,取值范围 0~63。 规则中的 fragment-type,整数类型,取值范围 1~5: 1,non-fragment 2,non-subseq 3,fragment-subseq 4,fragment 5,fragment-spe-first

            source-ip-addr source-ip-mask user-group (source) source-port-list

            dsttype dest-ip-addr dest-ip-mask user-group (dest) dest-port-list

            dscp fragment

            syn-flag

            规则中的 syn-flag,整数类型,取值范围 0~63。只有在 protocol 字段为 6(TCP)时才有效,其他情况该字段无效。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-9

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            字段 precedence

            描述 规则中的 precedence,整数类型,取值范围 0~7,与规则中参数 的对应关系如下: 0,routine 1,priority 2,immediate 3,flash 4,flash-override 5,critical 6,internet 7,network

            动作 RADIUS 服务器下发的动作格式为: Hw-Data-Filter = “type;behaviorname;action;remarkdscp;remark802.1p;RedirectNexthop;traffic-statistic;traffic-statisticsummary;cir;cbs;pir;pbs;car-summary;hitcount;”。各字段含义见表 2-7 所述。 RADIUS 下发的动作需要在远端 RADIUS 服务器上按照上述格式进行配置。配置 时需要注意以下几点:
            ?

            type、behavior-name 为必选项,其他内容为可选项。如果不下发动作内容,则 默认动作为 permit。 分类器与动作名是一一对应的。分类器中可包含多条规则,不同动作名的动作 内容也可以相同,但不能多个分类器对应一个相同的动作名。

            ?

            表2-7 RADIUS 下发的动作字段说明 字段 type behavior-name action remarkdscp remark802.1p RedirectNexthop traffic-statistic 描述 属性类型,对于动作字符串,该值必须为 2。 动作名称,字符串类型,长度为 1~31 个字符。 动作中的 permit 和 deny 参数,0 表示 deny,1 表示 permit,不下发该字段表示 permit。 动作中的重标记 DSCP 参数,整数类型,取值范围 0~63。 不填表示不下发。 动作中的重标记 802.1P 参数,整数类型,取值范围 0~7。 不填表示不下发。 动作中的 redirect ip-nexthop 参数,点分十进制形式。 动作中的 traffic-statistic 参数,0 表示不进行流量统计,1 表 示进行流量统计,不填表示不下发。

            2-10

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            字段 traffic-statistic-summary

            描述 动作中的 traffic-statistic summary 参数,0 表示该动作对应 的分类器所定义的流量不统计到用户流量中,1 表示该动作 对应的分类器所定义的流量统计到用户流量中,不填表示 不下发。 动作中 CAR 参数的 CIR 值,整数类型,取值范围 8~ 10000000,不填表示不下发。 动作中 CAR 参数的 CBS 值,整数类型,取值范围 10000~ 4294967295,不填表示不下发。 动作中 CAR 参数的 PIR 值,整数类型,取值范围 8~ 10000000,不填表示不下发。 动作中 CAR 参数的 PBS 值,整数类型,取值范围 1~ 4294967295,不填表示不下发。 动作中的 car summary 属性,0 表示单独作 CAR,1 表示对 应的分类器所定义的流与用户的其他流量统一作 CAR,不 填表示不下发。 动作中的 hitcount 属性,0 表示不做 hitcount 动作,1 表示 做 hitcount 动作,不填表示不下发。

            cir cbs pir pbs car-summary

            hitcount

            RADIUS 认证接受报文或 CoA 报文中可携带多个 Hw-Data-Filter 属性。如果多个 HwData-Filter 属性中的分类器名相同,动作名也相同,则表示向同一个分类器中添加多条 规则。 RADIUS 最多可以下发 16 个分类器,每个分类器中规则最多 32 条,总数不超过 128 条规则。RADIUS 下发的同一个分类器中规则之间的逻辑关系为“逻辑或” 。 如果 RADIUS 下发的 Hw-Data-Filter 属性字符串的格式有错误,用户无法上线;但如 果是 RADIUS 下发的 ACL 内容有错误,用户仍然可以上线,只不过 RADIUS 下发 ACL 失败。 使用 RADIUS 下发 ACL 时,需要注意以下几点: 系统启动后会自动生成一个名为“_remote-defined-policy”远端流策略,而通过 Hw-Data-Filter 属性下发的分类器和动作会自动绑定在该流策略中。但用户需要手 工将该流策略应用在全局或者接口下,下发的 ACL 才能生效。 如果 RADIUS 下发的分类器名或动作名与 MA5200G 上配置的本地分类器和动作 名相同,则本地配置的分类器或动作生效。如果重复下发分类器名和动作名,且 本地没有配置,则以最后一次下发的为准。 RADIUS 下发的分类器和动作字符串中的可选项即使没有内容,也需要用两个分 号分隔,以标识一个字段。 如果 RADIUS 下发 ACL 的规则中指定 user-group,则须同时使用 RADIUS 协议的 Filter-ID 属性下发规则中指定的 user-group 或在用户上线域下配置该规则中的 user-group,否则,RADIUS 下发的 ACL 不生效。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-11

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            在 MA5200G 上也可通过命令将本地配置的分类器和动作绑定到“_remote-defined-policy”流 策略中,然后在全局或接口下应用该策略,策略也可生效。 RADIUS 下发的分类器和动作本地不可修改或删除。 有关 ACL 规则描述请参见《Quidway MA5200G 宽带接入服务器 配置指南-IP 业务》 ,有关 流策略、分类器、动作、CAR 等描述请参见《Quidway MA5200G 宽带接入服务器 配置指 南-QoS》 。

            2.1.7 参考信息
            如果想更多地了解 AAA,请参考以下信息。 RFC 2865:Remote Authentication Dial In User Service (RADIUS) (June 2000) RFC 2866:RADIUS Accounting (June 2000) RFC 2869:RADIUS Extensions (June 2000) RFC 1992:An Access Control Protocol, Sometimes Called TACACS(July 1993)

            2.2 配置 AAA 方案
            2.2.1 建立配置任务
            应用环境
            MA5200G 中的 AAA 方案包括认证方案、授权方案、计费方案、记录方案。AAA 方案 规定了 MA5200G 对用户进行认证、授权、计费、记录的模式(本地处理、远端处理 或者不处理) ,以及相关的其他参数。 当配置了 AAA 方案后,可以在配置域时引用已配置的 AAA 方案(不包括记录方 案) ,MA5200G 根据 AAA 方案的配置对该域的用户进行认证、授权、计费。对于记录 方案,可以在 AAA 视图下配置对不同事件所使用的记录方案。

            前置任务
            在配置 AAA 方案之前,需完成以下任务。 如果使用 RADIUS 认证、计费模式,需要配置 RADIUS 服务器 如果使用 HWTACACS 认证、计费、授权或记录模式,需要配置 HWTACACS 服 务器

            数据准备
            在配置 AAA 方案之前,请根据网络规划,准备好以下数据。 序号 1 2 数据 认证方案名称、认证模式、用户认证失败后的处理策略 计费方案名称、计费模式、实时计费的时间间隔

            2-12

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            序号 3 4 5 6 7

            数据 (可选)开始计费失败的处理策略、实时计费失败的处理策略 (可选)授权方案名称、授权模式 (可选)记录方案名称、HWTACACS 服务器模板的名称 (可选)操作用户的管理级别认证方法 (可选)动态重授权的用户组名

            配置步骤
            要完成配置 AAA 方案的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 过程 配置认证方案 配置计费方案 (可选)配置授权方案 (可选)配置记录方案 (可选)配置动态重授权

            2.2.2 配置认证方案
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 aaa,进入 AAA 视图。 步骤 3 执行命令 authentication-scheme scheme-name,创建认证方案。 步骤 4 执行命令 authentication-mode { hwtacacs | hwtacacs-local | hwtacacs-none | local | localhwtacacs | local-radius | none | radius | radius-local | radius-none },配置认证模式。
            radius-none 认证策略下,当 RADIUS 服务器状态 Down 时,MA5200G 只向服务器发送一次认证 报文就转入 None 认证。

            步骤 5 执行命令 authening authen-fail { offline | online authen-domain domain-name },用户配 置认证失败后的处理策略(可选)。 步骤 6 执行命令 authentication-super none,配置操作用户的管理级别切换认证方法为不认 证。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-13

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            或执行命令 authentication-super { hwtacacs | super }* [ none ],配置操作用户的管理级 别切换认证方法为 HWTACACS 认证、Super 认证或 HWTACACS 认证、Super 认证、 不认证的相互组合的认证方法。 ----结束

            认证模式
            MA5200G 支持的认证模式包括 RADIUS 认证、HWTACACS 认证、本地认证和不认 证。另外,MA5200G 支持二次认证,如果采用第一种认证模式进行认证时无响应(包 括远端服务器无响应或者本地未配置该用户等) ,可以改用另外一种认证模式进行认 证。 MA5200G 中固定有一个 default0 认证方案和一个 default1 认证方案,不能删除,只能 修改。缺省情况下,default0 认证方案的认证模式为不认证,default1 的认证模式为 RADIUS 认证,自定义的认证方案的认证模式为 RADIUS 认证。

            认证失败策略
            认证失败后的处理策略是指当用户认证失败后,MA5200G 对用户的处理策略。缺省情 况下,当用户认证失败后,MA5200G 直接使用户下线;如果希望给用户使用另一种认 证方法进行认证的机会(例如用户在 PPP 认证失败后再使用 Web 认证) ,则可以保持 用户的在线状态,并将用户归入缺省域(默认为 default0) 。

            操作用户管理级别切换认证方式
            操作用户管理级别切换认证方式主要是为解决操作用户在线后修改本身的管理级别问 题,比如:一个 telnet 级别为 2 的用户上线后想切换到级别 3。 MA5200G 支持的操作用户管理级别切换的认证方式包括不认证、HWTACACS 认证、 Super 认证。MA5200G 支持二次级别切换认证,如果当前级别切换认证方法为 Super 认证,但 MA5200G 上没有配置 Super 密码,或者当前级别切换认证方法为 HWTACACS 认证,但 HWTACACS 服务器无响应,可以根据配置改用另外一种认证 方法。

            2.2.3 配置计费方案
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 aaa,进入 AAA 视图。 步骤 3 执行命令 accounting-scheme scheme-name,创建计费方案。 步骤 4 执行命令 accounting-mode { hwtacacs | none | radius },配置计费模式。 步骤 5 执行命令 accounting interim interval interval [ second ],配置实时计费。 步骤 6 执行命令 accounting start-fail { offline | online [ send-interim ] },配置开始计费失败的 处理策略。

            2-14

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            如果配置了 send-interim,则开始计费失败时,用户仍然保持在线,且 MA5200G 会根据 accounting interim interval interval [ second ] 命令配置的时间间隔周期性向 RADIUS 服务器发 送实时计费报文。

            步骤 7 执行命令 accounting interim-fail { max-times times | offline | online },配置实时计费失 败的处理策略。 步骤 8 执行命令 accounting send-update,设置实时计费用户在收到开始计费回应之后立即发 送实时计费报文功能。 ----结束

            计费模式
            MA5200G 支持的计费模式包括 RADIUS 计费、HWTACACS 计费和不计费。 MA5200G 中固定有一个 default0 计费方案和一个 default1 计费方案,不能删除,只能 修改。缺省情况下,default0 计费方案的计费模式为不计费,default1 的计费模式为 RADIUS 计费,自定义计费方案的缺省计费模式为 RADIUS 计费。

            实时计费
            实时计费功能是指用户在线过程中,MA5200G 定时生成计费报文传送给远端服务器。 通过实时计费功能,MA5200G 可以在其和远端服务器通信中断时,最大程度的减少计 费异常的时间。 实时计费间隔时间单位可配置为分钟或秒。缺省情况下,实时计费间隔时间单位为分 钟。 MA5200G 在收到计费服务器计费回应报文后可根据配置决定是否立即发送实时计费报 文。缺省情况下,MA5200G 在收到计费服务器计费回应报文后不立即发送实时计费报 文。

            计费失败策略
            计费失败策略分为开始计费失败策略和实时计费失败策略: 开始计费失败策略是指 MA5200G 向远端计费服务器发送开始计费报文后,收不 到对方响应报文时采取的处理策略,包括保持用户在线和强制用户下线。 实时计费失败策略是指 MA5200G 向远端计费服务器发送的实时计费报文超过重 传次数后,仍然收不到对方响应报文时的处理策略,包括保持用户在线和强制用 户下线。 缺省情况下,开始计费失败后,MA5200G 使用户下线;实时计费报文重传次数为 3 次,实时计费失败后保持用户在线。
            对于停止计费报文发送失败,MA5200G 处理策略是向本地 AAA 模块发送停止计费报文。

            2.2.4 (可选)配置授权方案
            请在 MA5200G 上进行以下配置。
            文档版本 01 (2010-05-31) 华为专有和保密信息 版权所有 ? 华为技术有限公司 2-15

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 aaa,进入 AAA 视图。 步骤 3 执行命令 authorization-scheme scheme-name,创建授权方案。 步骤 4 执行命令 authorization-mode { hwtacacs [ if-authenticated | local | none ] | ifauthenticated | local | none },配置授权模式。 步骤 5 执行命令 authorization-cmd { admin-level hwtacacs [ local ] | no-response-policy { offline [ max-times max-times ] | online },配置操作用户命令行授权功能。 ----结束 RADIUS 认证与授权是在一起的,因此,使用 RADIUS 服务器对用户授权时,不需配 置授权方案;HWTACACS 认证与授权分离,因此,使用 HWTACACS 服务器对用户 授权时,必须配置授权方案,并将授权方案绑定在用户域下。

            授权模式
            MA5200G 支持的授权模式包括 HWTACACS 授权、if-authenticated 授权、本地授权和 直接授权。if-authenticated 授权是指如果用户通过了验证,同时使用的验证方法不是 none,则使用户授权通过,否则授权不通过。 当选择了 HWTACACS 授权模式后,可以在其余三种授权模式中选择一种作为第二授 权模式,如果 HWTACACS 服务器无响应,MA5200G 使用第二授权模式进行授权。 MA5200G 中没有缺省的授权方案。

            命令行授权
            用户通过 Telnet 或者 SSH 登录到路由器上后,如果该用户需要进行命令行授权,可以 将该级别用户的命令行授权方法设置为 HWTACACS,该用户输入的每一条命令都要通 过 HWTACACS 服务器授权。如果授权通过,命令就可以被执行。否则,HWTACACS 服务器输出信息,通知用户该命令的授权失败,不能执行。 如果在用户配置的超时时间内,路由器没有接收到 HWTACACS 服务器的授权结果, 则授权超时,该命令不能被执行。 命令行授权可以使用本地认证的方法作为备选方法,这样,如果因为服务器的问题导 致命令行授权失败时,可以将命令行授权转入本地认证处理。 用户还可以配置服务器无响应或本地未配置用户时命令授权失败的策略,可以选择让 用户继续在线,也可以选择授权失败次数超过阈值后下线。
            按命令授权失败的策略仅适用于因 HWTACACS 服务器不可用或本地未配置用户而导致的按命 令行授权失败情况。下面的两种情况不能触发命令行授权失败时的策略: 服务器正常时,所执行的命令行未能通过在 HWTACACS 服务器端的授权; 服务器不可用后,按命令行授权转入本地授权后,因执行的命令级别高于本地配置的级别而 授权失败。

            缺省情况下,MA5200G 中各级别操作用户的命令行 HWTACACS 授权功能不使能,命 令行授权无响应策略为允许用户在线。
            2-16 华为专有和保密信息 版权所有 ? 华为技术有限公司 文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            2.2.5 (可选)配置记录方案
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 aaa,进入 AAA 视图。 步骤 3 执行命令 recording-scheme scheme-name,创建记录方案。 步骤 4 执行命令 recording-mode hwtacacs template-name,配置记录模式。 步骤 5 执行命令 quit,退回 AAA 视图。 步骤 6 执行命令 system recording-scheme scheme-name,配置记录系统事件的记录方案。 步骤 7 执行命令 outbound recording-scheme scheme-name,配置记录带外操作的记录方案。 步骤 8 执行命令 cmd recording-scheme scheme-name,配置记录命令行操作的记录方案。 ----结束 系统事件是指影响整个系统的事件,比如系统复位等;带外操作是指 MA5200G 作为 Telnet 客户端,登录其他设备的操作;命令行操作是指用户在 MA5200G 上所执行的命 令。 MA5200G 中没有缺省的记录方案。

            2.2.6 (可选)配置动态重授权
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 reauthorize enable,启动系统的动态重授权功能。 步骤 3 执行命令 reauthorize user-name user-name user-group group-name,为指定用户名的用 户配置重授权用户组。 ----结束 在需要修改在线用户的用户组,而相应的动态授权服务器 Down 导致不能及时修改的 情况下,可通过命令行的方式修改。

            2.3 配置 RADIUS 服务器
            2.3.1 建立配置任务
            应用环境
            当 AAA 使用 RADIUS 协议时,需要配置 RADIUS 服务器。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-17

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            MA5200G 中使用 RADIUS 服务器组对 RADIUS 服务器进行管理,RADIUS 服务器组 是一组具有相同属性(IP 地址和端口号除外) 、采用主备备份或负荷分担方式工作的 RADIUS 服务器的集合。

            前置任务


            数据准备
            在配置 RADIUS 服务器之前,请根据网络规划,准备好以下数据。 序号 1 2 3 4 5 6 7 8 9 10 11 12 数据 RADIUS 服务器组名称 (可选)RADIUS 服务器的选择算法 RADIUS 认证服务器的 IP 地址、端口号 RADIUS 计费服务器的 IP 地址、端口号 (可选)RADIUS 服务器的协议版本 (可选)RADIUS 服务器的密钥 (可选)RADIUS 服务器的用户名格式 (可选)RADIUS 服务器的流量单位 (可选)RADIUS 服务器应答超时时间、RADIUS 报文的重传次数 (可选)是否启用 RADIUS 属性转换功能 (可选)是否在 RADIUS 报文中使用 Class 属性携带 CAR 值 (可选)NAS-IP-Address 属性值

            配置步骤
            要完成配置 RADIUS 服务器的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 过程 创建 RADIUS 服务器组 配置 RADIUS 认证/计费服务器 (可选)配置 RADIUS 服务器的选择算法 (可选)配置 RADIUS 服务器的协商参数 (可选)配置 RADIUS 属性禁用

            2-18

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            序号 6 7 8 9 10

            过程 (可选)配置使用 Class 属性携带 CAR 值 (可选)配置 RADIUS 服务器源接口 (可选)配置 NAS-IP-Address 属性值 (可选)配置 RADIUS 授权服务器 (可选)配置 RADIUS 服务器状态参数

            2.3.2 创建 RADIUS 服务器组
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server group group-name,创建 RADIUS 服务器组。 ----结束 创建 RADIUS 服务器组后,系统进入 RADIUS 视图。如果 RADIUS 服务器组已经存 在,则执行上述步骤直接进入 RADIUS 视图。 MA5200G 中一共可配置 1024 个 RADIUS 服务器组。

            2.3.3 配置 RADIUS 认证/计费服务器
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server group group-name,进入 RADIUS 视图。 步骤 3 执行命令 radius-server authentication ip-address [ vpn-instance instance-name ] port [ weight weight-value ],配置 RADIUS 认证服务器。 或执行命令 radius-server accounting ip-address [ vpn-instance instance-name ] port [ weight weight-value ],配置 RADIUS 计费服务器。 步骤 4 (可选)执行命令 radius-server accounting-stop-packet resend [ resend-times ],配置计 费服务器的计费结束报文的重传次数。 缺省情况下,计费结束报文的重发次数为 0,即计费结束报文不重传。若执行该命令但 不输入 resend-times 参数,则重传次数缺省为 50。 ----结束 配置 RADIUS 认证/计费服务器需要指定以下参数: 认证/计费服务器的 IP 地址;

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-19

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            认证/计费服务器所属的 VPN 实例,缺省为公网 VPN 实例 public; 认证/计费服务器的端口号,缺省值为 1812 和 1813; 认证/计费服务器的权重,只对负荷分担方式有效,缺省为 0。 计费服务器的计费结束报文重传次数。
            RADIUS 认证服务器和计费服务器可以使用相同的 IP 地址,即同一台服务器既是认证服务器也 是计费服务器。

            2.3.4 (可选)配置 RADIUS 服务器的选择算法
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server group group-name,进入 RADIUS 视图。 步骤 3 执行命令 radius-server algorithm { loading-share | master-backup },配置 RADIUS 服 务器的选择算法。 ----结束 当 RADIUS 服务器组中的认证/计费服务器多于一个时,可配置选择服务器的算法,包 括负荷分担和主备备份两种。 负荷分担:MA5200G 根据各服务器的权重,按比例进行负荷分配。 主备备份:配置的第一个服务器为主用服务器,其余的为备用服务器。 缺省情况下,RADIUS 服务器的选择算法为主备备份。

            2.3.5 (可选)配置 RADIUS 服务器的协商参数
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server group group-name,进入 RADIUS 视图。 步骤 3 执行命令 radius-server type { standard | plus10 | plus11 },配置 RADIUS 服务器的协议 版本。 或执行命令 radius-server shared-key key-string [ authentication | accounting ] ip-address [ vpn-instance instance-name ] port-number [ weight weight ],配置 RADIUS 服务器的密 钥。 或执行命令 radius-server user-name { domain-included | original },配置 RADIUS 报 文用户名格式。 或执行命令 radius-server traffic-unit { byte | kbyte | mbyte | gbyte },配置 RADIUS 报 文流量单位。 或执行命令 radius-server { timeout seconds | retransmit times } *,配置 RADIUS 报文 重传参数。

            2-20

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            ----结束 RADIUS 服务器的协商参数是指 RADIUS 服务器和 MA5200G 通信时,双方对 RADIUS 协议以及消息格式的参数约定,主要包括 RADIUS 协议版本、密钥、用户名 格式、流量单位、重传参数等。

            协议版本
            MA5200G 支持标准 RADIUS、RADIUS+1.0、RADIUS+1.1 协议。 IP Hotel 型服务器支持 RADIUS+1.0 协议。 Portal 型服务器支持 RADIUS+1.1 协议。 缺省情况下,RADIUS 服务器的协议版本为标准 RADIUS。

            密钥
            密钥用于加密用户口令和生成回应认证符(Response Authenticator) 。RADIUS 发送认 证报文时,对口令等重要信息使用 MD5 加密,确保认证信息在网络中传输的安全性。 为了确保认证双方的身份合法性,要求 MA5200G 上的密钥与 RADIUS 服务器上的密 钥相同。密钥对大小写敏感。 MA5200G 可以对每个 RADIUS 服务器的密钥进行设置。 缺省情况下,RADIUS 服务器的密钥为 huawei。

            用户名格式
            MA5200G 中的用户名格式为“user@domain” 。某些 RADIUS 服务器只支持纯用户名 格式,而有的服务器支持包含域名的格式。根据 RADIUS 服务器的不同,需设置 MA5200G 传送给 RADIUS 服务器的用户名中是否包含域名。 缺省情况下,RADIUS 服务器的用户名格式中包含域名。

            流量单位
            各种 RADIUS 服务器使用的流量单位不尽相同,MA5200G 支持多种流量单位,以保 证能和各种 RADIUS 服务器的设置相同。 MA5200G 中支持字节、千字节、兆字节、吉字节四种流量单位。缺省情况下, RADIUS 服务器的流量单位为字节。 本配置对非字节的流量单位以及使用标准 RADIUS 协议的服务器无效。

            重传参数
            当 MA5200G 向 RADIUS 服务器发送报文后,如果在指定时间内未收到服务器的响 应,MA5200G 会重传报文,以避免因短暂的网络拥塞导致认证/计费信息丢失。 RADIUS 服务器的重传参数包括超时等待时间和重传次数。缺省情况下,超时等待时 间为 5 秒,重传次数为 3。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-21

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            2.3.6 (可选)配置 RADIUS 属性禁用
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server group group-name,进入 RADIUS 视图。 步骤 3 执行命令 radius-attribute disable attr-description { receive | send } *,配置 RADIUS 属 性禁用。 ----结束 RADIUS 属性禁用功能配置在 RADIUS 服务器组下,因此只对该 RADIUS 服务器组下 的 RADIUS 服务器生效。每个组下最多可以配置 64 个属性禁用。 MA5200G 支持同时配置发送和接收方的属性禁用。

            2.3.7 (可选)配置 RADIUS 属性转换功能
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server group group-name,进入 RADIUS 视图。 步骤 3 执行命令 radius-server attribute translate,使能 RADIUS 属性转换功能。 步骤 4 执行命令 radius-attribute translate src-attribute dest-attribute { send | receive } *,配置 RADIUS 属性转换。 ----结束 不同厂家的 RADIUS 服务器所支持的 RADIUS 属性集、对某些属性的定义均存在差 异,这种差异增加了 MA5200G 和 RADIUS 服务器对接的难度。 MA5200G 提供 RADIUS 属性转换功能适应上述情况。当使能并配置了 RADIUS 属性 转换功能后,MA5200G 在发送和接收 RADIUS 报文时,使用 dest-attribute 的属性格式 来封装或解析 src-attribute 的属性值,以便和不同设备进行对接。 该功能经常用于同一属性值有多种格式的情况。例如 nas-port-id 属性有新旧两种格 式,MA5200G 采用新格式,如果 RADIUS 服务器采用旧格式,则可在 MA5200G 上配 置 radius-attribute translate nas-port-id nas-port-identify-old receive send 命令。

            2.3.8 (可选)配置使用 Class 属性携带 CAR 值
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server group group-name,进入 RADIUS 视图。 步骤 3 执行命令 radius-server class-as-car,配置使用 Class 属性携带 CAR 值。 ----结束
            2-22 华为专有和保密信息 版权所有 ? 华为技术有限公司 文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            在标准 RADIUS 协议中,在 RADIUS 服务器发送给客户端认证报文(Access-Accept) 中的 Class 属性,必须由客户端在计费报文(Accounting-Request)中不加修改的发送 给计费服务器。 MA5200G 在标准协议的基础上进行了扩展,增加传送 CAR(Committed Access Rate) 值的功能,即在实现 Class 属性(RADIUS 25 号属性)时将 Class 中的值解释为 CAR。
            为了适应不同的 RADIUS 服务器,MA5200G 可通过 RADIUS 的 25 号属性传送 CAR 值给 RADIUS 服务器(如通过上述命令) ,也可通过 RADIUS 的 26 号属性来传送。

            缺省情况下,RADIUS 服务器不使用 Class 属性携带 CAR 值。

            2.3.9 (可选)配置 RADIUS 服务器源接口
            MA5200G 即支持配置全局 RADIUS 服务器源接口,也支持配置 RADIUS 服务器组的 源接口。 这样 MA5200G 在与 RADIUS 交互报文时,如果 RADIUS 服务器组下配置了源接口, 则该 RADIUS 服务器组中的 RADIUS 服务器与 MA5200G 通信时,使用该组下配置的 源接口,否则以全局 RADIUS 服务器源接口。

            配置全局 RADIUS 服务器源接口
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server source interface interface-type interface-number,配置全局 RADIUS 服务器源接口。 ----结束

            配置 RADIUS 服务器组的源接口
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server group group-name,进入 RADIUS 视图。 步骤 3 执行命令 radius-server source interface interface-type interface-number,配置 RADIUS 服务器组的源接口。 ----结束

            2.3.10 (可选)配置 NAS-IP-Address 属性值
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server group group-name,进入 RADIUS 视图。
            文档版本 01 (2010-05-31) 华为专有和保密信息 版权所有 ? 华为技术有限公司 2-23

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 3 执行命令 radius-server nas-ip-address nas-ip-address,配置 NAS-IP-Address 属性值。 缺省情况下,RADIUS 服务器组未配置 NAS-IP-Address 属性值。 ----结束 radius-server nas-ip-address 命令只影响 RADIUS 报文中 NAS-IP-Address 属性的取 值。 系统和 RADIUS 服务器组视图下的 radius-server source interface 命令也会影响 RADIUS 报文中 NAS-IP-Address 属性的取值。 在 MA5200G 上送的 RADIUS 报文中,NAS-IP-Address 属性的取值原则为: 如果使用 radius-server nas-ip-address 命令配置了 NAS-IP-Address 属性值,则取 用该命令的配置值,而不管 radius-server source interface 命令的配置。 如果未使用 radius-server nas-ip-address 命令配置,而使用 radius-server source interface 命令配置了,则取用 radius-server source interface 命令配置的源接口上 的 IP 地址。
            RADIUS 服务器的源接口又分为全局源接口和 RADIUS 服务器组的源接口,系统优先选取 RADIUS 服务器组的源接口上的 IP 地址。

            如果既未使用 radius-server nas-ip-address 命令配置,也未使用 radius-server source interface 命令配置,则取用可达目的路由的上行接口上的 IP 地址。

            2.3.11 (可选)配置 RADIUS 授权服务器
            请在 MA5200G 上进行以下配置 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server authorization ip-address [ vpn-instance instance-name ] { sharedkey key | server-group groupname } *[ ack-reserved-interval interval ],配置全局的 RADIUS 授权服务器。 ----结束 对于动态选择的业务,需要配置 RADIUS 授权服务器,以便在用户进行动态业务选择 时对业务进行动态授权。 如果要保留 RADIUS 授权回应报文以用于回应 RADIUS 授权服务器的重传报文,在配 置 RADIUS 授权服务器的时候需要配置授权回应报文保留时长。
            选择配置授权回应报文保留时长后,系统会保存用户的授权回应报文以用于回应重传。但当大量 操作用户在 RADIUS 服务器上同时使用 DM(Disconnect Messages)方法使用户下线或者使 用 CoA(Change of Authorization)方法修改用户属性时将可能导致大量内存被占用。

            2.3.12 (可选)配置 RADIUS 服务器状态参数
            请在 MA5200G 上进行以下配置

            2-24

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 radius-server { dead-count times | dead-interval interval | dead-time time } *, 配置 RADIUS 服务器的状态参数。 缺省情况下,判定 RADIUS 服务器异常的连续无响应次数为 10 次,从第一个没有响应 报文到设置的 dead-count 个数的没有响应报文之间的时间间隔为 5 秒,恢复 RADIUS 服务器状态的等待时间为 3 分钟。 ----结束 当 MA5200G 向 RADIUS 服务器连续发送若干次(通过本命令设置)RADIUS 报文, 均收不到 RADIUS 服务器的响应报文,且从第一个没有响应报文到设置的 dead-count 个数的没有响应报文之间的时间间隔大于设置的 dead-interval 时,MA5200G 判定该 RADIUS 服务器工作异常,并将 RADIUS 服务器的状态置为 Down。 当 MA5200G 将 RADIUS 的状态置为 Down 后,等待若干时间(通过本命令配置) , MA5200G 会重新将 RADIUS 服务器的状态置为 UP,并尝试和 RADIUS 服务器重新建 立连接。如果连接失败,重新将 RADIUS 服务器的状态置为 Down。 本配置对所有 RADIUS 服务器有效。

            2.4 配置 HWTACACS 服务器
            2.4.1 建立配置任务
            应用环境
            当 AAA 使用 HWTACACS 协议时,需要配置 HWTACACS 服务器。 MA5200G 中使用 HWTACACS 服务器模板对 HWTACACS 服务器进行管理, HWTACACS 服务器模板是一组具有相同属性(IP 地址和端口号除外) 、采用主备备份 方式工作的 HWTACACS 服务器的集合。
            修改 HWTACACS 服务器模板的设置时,不受模板是否被使用的限制。

            前置任务


            数据准备
            在配置 HWTACACS 服务器之前,请根据网络规划,准备好以下数据。 序号 1 2 数据 HWTACACS 服务器模板名称 HWTACACS 认证服务器的 IP 地址、端口号

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-25

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            序号 3 4 5 6 7 8 9 10

            数据 HWTACACS 计费服务器的 IP 地址、端口号 HWTACACS 授权服务器的 IP 地址、端口号 HWTACACS 服务器的源 IP 地址(可选) HWTACACS 服务器的密钥(可选) HWTACACS 服务器的用户名格式(可选) HWTACACS 服务器的流量单位(可选) HWTACACS 服务器应答超时时间、HWTACACS 主服务器的恢复激活时间 (可选) 计费结束报文的重传次数或者禁止重传(可选)

            配置步骤
            要完成配置 HWTACACS 服务器的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 过程 创建 HWTACACS 服务器模板 配置 HWTACACS 认证/计费/授权服务器 配置 HWTACACS 服务器的源 IP 地址(可选) 配置 HWTACACS 服务器的协商参数(可选) 配置 HWTACACS 服务器的定时器(可选) 配置计费结束报文的重传功能(可选)

            2.4.2 创建 HWTACACS 服务器模板
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 hwtacacs-server template template-name,创建 HWTACACS 服务器模板。 ----结束 创建 HWTACACS 服务器模板后,命令行接口进入 HWTACACS 视图。如果 HWTACACS 服务器模板已经存在,则执行上述步骤直接进入 HWTACACS 视图。 MA5200G 中一共可配置 128 个 HWTACACS 服务器模板。

            2-26

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            2.4.3 配置 HWTACACS 认证/计费/授权服务器
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 hwtacacs-server template template-name,进入 HWTACACS 视图。 步骤 3 执行命令 hwtacacs-server authentication ip-address [ port ] [ secondary ],配置 HWTACACS 认证服务器。 或执行命令 hwtacacs-server accounting ip-address [ port ] [ secondary ],配置 HWTACACS 计费服务器。 或执行命令 hwtacacs-server authorization ip-address [ port ] [ secondary ],配置 HWTACACS 授权服务器。 ----结束 配置 HWTACACS 认证/计费/授权服务器需要指定以下参数: 认证/计费/授权服务器的 IP 地址; 认证/计费/授权服务器的端口号,缺省值均为 49; 认证/计费/授权服务器的主备属性,不指定 secondary 表示主用服务器。

            2.4.4 配置 HWTACACS 服务器的源 IP 地址
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 hwtacacs-server template template-name,进入 HWTACACS 视图。 步骤 3 执行命令 hwtacacs-server source-ip ip-address,配置 HWTACACS 服务器的源 IP 地 址。 ----结束 HWTACACS 服务器的源 IP 地址,是指当 MA5200G 向 HWTACACS 服务器发送报文 时,报文所使用的源 IP 地址。 缺省情况下,报文的源 IP 地址是发送端口的 IP 地址。

            2.4.5 配置 HWTACACS 服务器的协商参数
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 hwtacacs-server template template-name,进入 HWTACACS 视图。 步骤 3 执行命令 hwtacacs-server shared-key key-string,配置 HWTACACS 服务器的密钥。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-27

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            或执行命令 hwtacacs-server user-name domain-included,配置 HWTACACS 服务器的 用户名格式。 或执行命令 hwtacacs-server traffic-unit { byte | kbyte | mbyte | gbyte },配置 HWTACACS 服务器的流量单位。 ----结束 HWTACACS 服务器的协商参数是指 HWTACACS 服务器和 MA5200G 通信时,双方对 HWTACACS 协议以及消息格式的参数约定,主要包括 HWTACACS 协议密钥、用户 名格式、流量单位等。

            密钥
            使用密钥可以提高 MA5200G 与 HWTACACS 服务器通信的安全性。为了确保认证双 方的身份合法性,要求 MA5200G 上的密钥与 HWTACACS 服务器上的密钥相同。 密钥对大小写敏感。缺省情况下,HWTACACS 服务器模板未配置密钥。

            用户名格式
            MA5200G 中的用户名格式为“user@domain” 。如果 HWTACACS 服务器不接收带域名 的用户名格式,可以将去掉域名后的纯用户名格式传送 HWTACACS 服务器。 缺省情况下,HWTACACS 服务器的用户名格式中包含域名。

            流量单位
            MA5200G 中支持字节、千字节、兆字节、吉字节四种流量单位,以保证能和 HWTACACS 服务器的设置相同。缺省情况下,HWTACACS 服务器的流量单位为字 节。

            2.4.6 配置 HWTACACS 服务器的定时器
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 hwtacacs-server template template-name,进入 HWTACACS 视图。 步骤 3 执行命令 hwtacacs-server timer response-timeout value,配置 HWTACACS 服务器应 答超时时间。 步骤 4 执行命令 hwtacacs-server timer quiet value,配置 HWTACACS 主服务器恢复激活时 间。 ----结束 指 MA5200G 向 HWTACACS 服务器发送报文后,在指定的等待时间内未收到服务器 的响应报文,则认为连接已经断开。上述的等待时间即为 HWTACACS 服务器应答超 时时间。

            2-28

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            由于 HWTACACS 是基于 TCP 实现的,因此,服务器应答超时或 TCP 超时都可能导致 MA5200G 与 HWTACACS 服务器的连接断开。

            当 MA5200G 判断和 HWTACACS 主服务器的连接已经断开时,MA5200G 会等待指定 的时间,然后重新尝试和主服务器建立连接。上述的等待时间即为 HWTACACS 主服 务器恢复激活时间。 缺省情况下,HWTACACS 服务器应答超时时间为 5 秒,HWTACACS 主服务器恢复激 活时间为 5 分钟。

            2.4.7 配置计费结束报文的重传功能
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 hwtacacs-server accounting-stop-packet resend { disable | enable number }, 配置计费结束报文的重传功能。 ----结束 使用 HWTACACS 计费模式时,用户下线后,MA5200G 会生成计费结束报文传送给 HWTACACS 服务器。如果网络状况不是非常理想,可以配置计费结束报文的重传功 能,以保证计费信息不会丢失。 可以配置是否启用计费结束报文的重传功能以及报文的重传次数。缺省情况下, MA5200G 启用计费结束报文的重传功能,报文的重传次数为 100。

            2.5 配置话单本地保存
            2.5.1 建立配置任务
            应用环境
            本地计费作为远端计费服务器的备份,当远端计费服务器出现异常时,MA5200G 将生 成的话单保存在本地,保证计费信息不会丢失。 在 MA5200G 中,生成的话单首先保存在缓存中。MA5200G 根据配置,可自动将话单 保存到硬盘,或者通过 TFTP 备份到话单服务器。缓存和硬盘中的话单可以通过定时 自动备份或手动备份的方式进行备份,缓存中的话单可备份到硬盘或话单服务器,中 的话单可备份到话单服务器。

            前置任务


            数据准备
            在配置本地计费之前,请根据网络规划,准备好以下数据。
            文档版本 01 (2010-05-31) 华为专有和保密信息 版权所有 ? 华为技术有限公司 2-29

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            序号 1 2 3 4

            数据 话单服务器 IP 地址和文件名 缓存中的话单告警阈值(可选) 缓存中的话单自动备份的时间间隔(可选) 缓存中的话单备份模式(可选)

            配置步骤
            要完成配置话单本地保存的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 过程 配置话单服务器 配置话单告警阈值(可选) 配置缓存的话单备份模式(可选) 配置话单自动备份的时间间隔(可选) 手动备份话单(可选)

            2.5.2 配置话单服务器
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 local-aaa-server,进入本地 AAA 视图。 步骤 3 执行命令 bill-server ip-address filename file-name,配置备份话单服务器。 ----结束 MA5200G 使用 TFTP 协议登录话单服务器,进行话单文件保存操作。因此在话单服务 器上必须运行 TFTP 服务器程序,并指定工作目录。 在 MA5200G 上配置话单服务器,需要指定话单服务器的 IP 地址,以及话单的文件名 前缀。在 MA5200G 中,话单的格式为“文件名前缀-时间-编号.lam” 。 例如文件名前缀为“backupfile” ,备份时间为 2005 年 3 月 15 日 15 点 26 分,备份时生 成 10 个文件,其中第五个文件的名称为“backupfile-200503151526-5.lam” 。

            2.5.3 配置话单告警阈值
            请在 MA5200G 上进行以下配置。

            2-30

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 local-aaa-server,进入本地 AAA 视图。 步骤 3 执行命令 local-bill cache alarm-threshold threshold,配置缓存的话单告警阈值。 步骤 4 执行命令 local-bill hd alarm-threshold threshold,配置硬盘的话单告警阈值。 ----结束 MA5200G 可以在缓存或硬盘的上的话单使用率超过告警阈值时,向网管系统和终端发 送告警。缺省情况下,缓存和硬盘中的话单告警阈值均为 75%。

            2.5.4 配置缓存的话单备份模式
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 local-aaa-server,进入本地 AAA 视图。 步骤 3 执行命令 local-bill cache backup-mode { hd | none | tftp },配置缓存的话单备份模式。 ----结束 缓存中的话单备份模式包括三种:备份到硬盘、通过 TFTP 备份到话单服务器、不备 份。缺省情况下,缓存中的话单备份模式为备份到硬盘。

            2.5.5 配置话单自动备份的时间间隔
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 local-aaa-server,进入本地 AAA 视图。 步骤 3 执行命令 local-bill cache backup-interval interval,配置缓存的话单自动备份的时间间 隔。 步骤 4 执行命令 local-bill hd backup-interval interval,配置硬盘的话单自动备份的时间间隔。 ----结束 MA5200G 可以定时对缓存和硬盘中的话单进行自动备份,缓存中的话单可备份到硬盘 或话单服务器(由缓存的话单备份模式决定,参见“2.5.4 配置缓存的话单备份模 式”,硬盘中的话单可备份到话单服务器。 ) 缺省情况下,缓存的话单自动备份的时间间隔为 1440 分钟。

            2.5.6 手动备份话单
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-31

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 2 执行命令 local-aaa-server,进入本地 AAA 视图。 步骤 3 执行命令 local-bill cache backup,手动备份缓存的话单。 步骤 4 执行命令 local-bill hd backup [ file-name ],手动备份硬盘的话单。 ----结束 MA5200G 支持操作员对缓存和硬盘中的话单进行手动备份,缓存中的话单可备份到或 话单服务器(由缓存的话单备份模式决定,参见“2.5.4 配置缓存的话单备份模式”, ) 硬盘中的话单可备份到话单服务器。 备份硬盘中的话单时,可以指定话单的文件名前缀,不指定则使用“2.5.2 配置话单服 务器”中的设置。

            2.6 维护 AAA
            维护 AAA 包括以下内容。 显示 AAA 运行信息 调试 AAA 清除 AAA 运行信息

            2.6.1 显示 AAA 运行信息
            在完成上述配置后,在任一视图下执行下面的 display 命令,查看 AAA 的运行信息, 检查配置的效果。运行信息的详细解释请参考《Quidway MA5200G 宽带接入服务器 命令参考》 。 操作 显示 AAA 的概要信息 显示认证方案配置信息 显示计费方案配置信息 显示授权方案配置信息 显示记录方案配置信息 显示 RADIUS 属性 显示 RADIUS 服务器组配置信息 显示 HWTACACS 服务器计费停止 报文信息 显示 HWTACACS 服务器模板配置 信息 命令 display aaa configuration display authentication-scheme [ scheme-name ] display accounting-scheme [ scheme-name ] display authorization-scheme [ scheme-name ] display recording-scheme [ scheme-name ] display radius-attribute [ attribute-name ] display radius-server configuration [ group group-name ] display hwtacacs-server accounting-stop-packet { all | number | ip ip-address } display hwtacacs-server template [ templatename [ verbose ] ]

            2-32

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            操作 显示本地计费信息 显示用户下线原因的统计信息 显示 RADIUS 报文统计信息

            命令 display local-bill { cache start-bill-number count | configuration | information } display statistics offline-reason display radius-server packet-statistics ipaddress ip-address [ vpn-instance instancename ] { accounting | authentication } display traffic policy remote-server-defined [ remote-policy-name [ classifier remoteclassifier-name ] ] display traffic classifier remote-server-defined [ remote-classifier-name ] display traffic behavior remote-server-defined [ remote-behavior-name ]

            显示 RADIUS 下发的流策略

            显示 RADIUS 下发的流分类器 显示 RADIUS 下发的流动作

            2.6.2 调试 AAA

            打开调试开关将影响系统的性能。调试完毕后,应及时执行 undo debugging all 命令关 闭调试开关。 在出现 AAA 运行故障时,请在用户视图下执行下面的 debugging 命令对 AAA 进行调 试,查看调试信息,并定位故障的原因。输出调试信息的操作步骤请参考《Quidway MA5200G 宽带接入服务器 系统配置指南》 。 操作 调试 RADIUS 测试某个用户是否能够通过 RADIUS 服务器认证 调试 HWTACACS 命令 debugging radius packet test-aaa user-name password radius-group group-name [ chap | pap ] debugging hwtacacs { all | error | event | message | receive-packet | send-packet }

            2.6.3 清除 AAA 运行信息
            在确认需要清除 AAA 的运行信息后,请在用户视图下执行下面的命令。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-33

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            操作 清除 HWTACACS 服务器的统计信 息 清除 HWTACACS 服务器计费停止 报文的统计信息 清除硬盘中的所有话单数据(本地 AAA 视图) 清除历史最大用户数(系统视图)

            命令 reset hwtacacs-server statistics { all | accounting | authentication | authorization } reset hwtacacs-server accounting-stop-packet { all | ip ip-address } local-bill hd reset

            reset most-onlineuser

            2.7 配置举例
            AAA 配置举例包括以下例子。 采用 RADIUS 认证和计费 采用 HWTACACS 认证、计费和授权 RADIUS 下发 ACL 配置示例

            2.7.1 采用 RADIUS 认证和计费配置示例
            组网需求
            如图 2-3 所示,要求: 使用 RADIUS 服务器对 isp1 域和 isp2 域用户进行认证和计费。 RADIUS 服务器 129.7.66.66 作为主认证和计费服务器。 RADIUS 服务器 129.7.66.67 作为备认证和计费服务器。 认证端口号为 1812,计费端口号为 1813。
            有关域的介绍请参见“4 管理用户” 。

            2-34

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            组网图
            图2-3 采用 RADIUS 认证和计费配置举例组网图
            129.7.66.66 129.7.66.67 RADIUS RADIUS (Backup) (Master)

            user1@isp1

            user2@isp2 MA5200G

            user3@isp1

            配置步骤
            本节只列出了与 AAA 相关的配置步骤。

            步骤 1 配置 MA5200G # 进入 AAA 视图。
            [Quidway] aaa

            # 配置认证方案 auth1,认证模式为 RADIUS 认证。
            [Quidway–aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            # 配置认证方案 auth2,认证模式为不认证。
            [Quidway–aaa] authentication-scheme auth2 [Quidway-aaa-authen-auth1] authentication-mode none [Quidway-aaa-authen-auth1] quit

            # 配置计费方案 acct1,计费模式为 RADIUS 计费。
            [Quidway–aaa] accounting-scheme acct1 [Quidway–aaa-accounting-acct1] accounting-mode radius [Quidway–aaa-accounting-acct1] quit [Quidway–aaa] quit

            # 配置 RADIUS 服务器组。
            [Quidway] radius-server group huawei

            # 配置 RADIUS 服务器的选择算法。
            文档版本 01 (2010-05-31) 华为专有和保密信息 版权所有 ? 华为技术有限公司 2-35

            2 配置 AAA
            [Quidway-radius-huawei] radius-server algorithm master-backup

            Quidway MA5200G 配置指南-BRAS 业务

            # 配置 RADIUS 主认证、计费服务器和端口。
            [Quidway-radius-huawei] radius-server authentication 129.7.66.66 1812 [Quidway-radius-huawei] radius-server accounting 129.7.66.66 1813

            # 配置 RADIUS 备认证、计费服务器和端口。
            [Quidway-radius-huawei] radius-server authentication 129.7.66.67 1812 [Quidway-radius-huawei] radius-server accounting 129.7.66.67 1813

            # 配置 RADIUS 服务器组的其他参数。
            [Quidway-radius-huawei] radius-server type standard [Quidway-radius-huawei] radius-server retransmit 2 [Quidway-radius-huawei] radius-server shared-key hello [Quidway-radius-huawei] quit

            # 配置 isp1 域。
            [Quidway] aaa [Quidway–aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group huawei [Quidway-aaa-domain-isp1] quit [Quidway-aaa] quit

            # 配置 isp2 域。
            [Quidway] aaa [Quidway–aaa] domain isp2 [Quidway-aaa-domain-isp2] authentication-scheme auth2 [Quidway-aaa-domain-isp2] accounting-scheme acct1 [Quidway-aaa-domain-isp2] radius-server group huawei [Quidway-aaa-domain-isp2] quit [Quidway-aaa] quit

            步骤 2 验证配置结果 # 查看认证方案 auth1 的配置。
            [Quidway] display authentication-scheme auth1 Authentication-scheme-name Authentication-method Authentication-fail-policy Authentication-fail-domain : auth1 : RADIUS : Offline : -

            # 查看认证方案 auth2 的配置。
            [Quidway] display authentication-scheme auth2 Authentication-scheme-name Authentication-method Authentication-fail-policy Authentication-fail-domain : auth2 : None : Offline : -

            # 查看计费方案 acct1 的配置。
            [Quidway] display accounting-scheme acct1

            2-36

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务
            Accounting-scheme-name Accounting-method Realtime-accounting-switch Realtime-accounting-interval(min) Start-accounting-fail-policy Realtime-accounting-fail-policy Realtime-accounting-failure-retries : acct1 : RADIUS : Disabled : : Offline : Online : 3

            2 配置 AAA

            # 查看 RADIUS 服务器组 huawei 的配置。
            [Quidway] display radius-server configuration group huawei --------------------------------------------------------Server-group-name : huawei Authentication-server: IP:129.7.66.66 Port:1812 Weight[0] [UP] Vpn:Authentication-server: IP:129.7.66.67 Port:1812 Weight[0] [UP] Vpn:...... Accounting-server Accounting-server ...... Protocol-version Shared-secret-key Retransmission : IP:129.7.66.66 Port:1813 Weight[0] [UP] Vpn:: IP:129.7.66.67 Port:1813 Weight[0] [UP] Vpn:: radius : hello : 2

            ...... Packet send algorithm: Master-Backup

            # 查看域 isp1 的配置。
            [Quidway] display domain name isp1 Domain-name ...... Authentication-scheme-name Accounting-scheme-name ...... RADIUS-server-group ...... : isp1 : auth1 : acct1 : huawei

            # 查看域 isp2 的配置。
            [Quidway] display domain name isp2 Domain-name ...... Authentication-scheme-name Accounting-scheme-name ...... RADIUS-server-group ...... : isp2 : auth2 : acct1 : huawei

            ----结束

            配置文件
            # sysname Quidway

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-37

            2 配置 AAA
            # radius-server group huawei radius-server authentication 129.7.66.66 1812 weight 0 radius-server authentication 129.7.66.67 1812 weight 0 radius-server accounting 129.7.66.66 1813 weight 0 radius-server accounting 129.7.66.67 1813 weight 0 radius-server shared-key hello radius-server retransmit 2 # aaa authentication-scheme auth1 authentication-scheme auth2 authentication-mode none accounting-scheme acct1 domain isp1 authentication-scheme accounting-scheme domain isp2 authentication-scheme accounting-scheme # return auth2 acct1 auth1 acct1

            Quidway MA5200G 配置指南-BRAS 业务

            radius-server group huawei

            radius-server group huawei

            2.7.2 采用 HWTACACS 认证、计费和授权配置示例
            组网需求
            如图 2-4 所示,要求: 使用 HWTACACS 服务器对 isp2 域用户进行认证、授权和计费。对用户进行实时 计费,间隔为 2 分钟。 HWTACACS 服务器 130.7.66.66 作为主认证、计费和授权服务器。 HWTACACS 服务器 130.7.66.67 作为备认证、计费和授权服务器。 认证端口号为 1000,计费端口号为 1001,授权端口号为 1002。 本地计费的话单服务器的 IP 地址为 10.10.10.1,文件名前缀为 bill。 缓存和硬盘话单告警阈值为 80%,自动备份的时间间隔为 24 小时。

            2-38

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            组网图
            图2-4 采用 HWTACACS 认证、计费和授权配置举例组网图
            130.7.66.66 HWTACACS (mastser) 130.7.66.67 HWTACACS (backup)

            user1@isp1

            user2@isp1

            MA5200G

            user3@isp1

            Bill Server 10.10.10.1

            配置步骤
            本节只列出了与 AAA 相关的配置步骤。

            步骤 1 配置 MA5200G # 配置认证方案 auth2,认证模式为 HWTACACS 认证。
            [Quidway] aaa [Quidway–aaa] authentication-scheme auth2 [Quidway-aaa-authen-auth2] authentication-mode hwtacacs [Quidway-aaa-authen-auth2] quit

            # 配置计费方案 acct2,计费模式为 HWTACACS 计费。
            [Quidway–aaa] accounting-scheme acct2 [Quidway–aaa-accounting-acct2] accounting-mode hwtacacs [Quidway–aaa-accounting-acct2] accounting interim interval 2 [Quidway–aaa-accounting-acct2] quit

            # 配置授权方案 author2,授权模式为 HWTACACS 授权。
            [Quidway-aaa] authorization-scheme author2 [Quidway-aaa-author-author2] authorization-mode hwtacacs [Quidway-aaa-author-author2] quit [Quidway–aaa] quit

            # 配置话单服务器。
            [Quidway] local-aaa-server [Quidway-local-aaa-server] bill-server 10.10.10.1 filename bill

            # 配置话单告警阈值。
            [Quidway-local-aaa-server] local-bill cache alarm-threshold 80

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-39

            2 配置 AAA
            [Quidway-local-aaa-server] local-bill hd alarm-threshold 80

            Quidway MA5200G 配置指南-BRAS 业务

            # 配置话单自动备份的时间间隔。
            [Quidway-local-aaa-server] local-bill cache backup-interval 1440 [Quidway-local-aaa-server] local-bill hd backup-interval 1440

            # 配置 HWTACACS 服务器模板。
            [Quidway] hwtacacs-server template hw2

            # 配置 HWTACACS 主认证、计费、授权服务器和端口。
            [Quidway-hwtacacs-hw2] hwtacacs-server authentication 130.7.66.66 1000 [Quidway-hwtacacs-hw2] hwtacacs-server accounting 130.7.66.66 1001 [Quidway-hwtacacs-hw2] hwtacacs-server authorization 130.7.66.66 1002

            # 配置 HWTACACS 备认证、计费、授权服务器和端口。
            [Quidway-hwtacacs-hw2] hwtacacs-server authentication 130.7.66.67 1000 secondary [Quidway-hwtacacs-hw2] hwtacacs-server accounting 130.7.66.67 1001 secondary [Quidway-hwtacacs-hw2] hwtacacs-server authorization 130.7.66.67 1002 secondary

            # 配置 HWTACACS 服务器模板的共享密钥。
            [Quidway-hwtacacs-hw2] hwtacacs-server shared-key hello [Quidway-hwtacacs-hw2] quit

            # 配置 isp2 域。
            [Quidway] aaa [Quidway–aaa] domain isp2 [Quidway-aaa-domain-isp2] authentication-scheme auth2 [Quidway-aaa-domain-isp2] accounting-scheme acct2 [Quidway-aaa-domain-isp2] authorization-scheme author2 [Quidway-aaa-domain-isp2] hwtacacs-server hw2 [Quidway-aaa-domain-isp2] quit [Quidway-aaa] quit

            步骤 2 验证配置结果 # 查看认证方案 auth2 的配置。
            [Quidway] display authentication-scheme auth2 Authentication-scheme-name Authentication-method Authentication-fail-policy Authentication-fail-domain : auth2 : HWTACACS authentication : Offline : -

            # 查看计费方案 acct2 的配置。
            [Quidway] display accounting-scheme acct2 Accounting-scheme-name Accounting-method ...... Realtime-accounting-interval(min) ...... : acct2 : HWTACACS : 2

            # 查看授权方案 author2 的配置。

            2-40

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务
            [Quidway] display authorization-scheme author2

            2 配置 AAA

            -------------------------------------------------------------------------Authorization-scheme-name : author2 Authorization-method Authorization-cmd level 0 Authorization-cmd level 1 Authorization-cmd level 2 Authorization-cmd level 3 : HWTACACS authorization : disabled : disabled : disabled : disabled

            --------------------------------------------------------------------------

            # 查看 HWTACACS 服务器模板 hw2 的配置。
            [Quidway] display hwtacacs-server template hw2 -------------------------------------------------------------------------HWTACACS-server template index : 0 HWTACACS-server template name : hw2 Primary-authentication-server Primary-authorization-server Primary-accounting-server : 130.7.66.66:1000 : 130.7.66.66:1002 : 130.7.66.66:1001

            Secondary-authentication-server : 130.7.66.67:1000 Secondary-authorization-server : 130.7.66.67:1002 Secondary-accounting-server Current-authentication-server Current-authorization-server Current-accounting-server Source-IP-address Shared-key ...... -------------------------------------------------------------------------: 130.7.66.67:1001 : 130.7.66.66:1000 : 130.7.66.66:1002 : 130.7.66.66:1001 : 0.0.0.0 : hello

            # 查看域 isp2 的配置。
            [Quidway] display domain name isp2 Domain-name ...... Authentication-scheme-name Accounting-scheme-name Authorization-scheme-name ...... TACACS-server-group ...... : isp2 : auth2 : acct2 : author2 : hw2

            # 查看本地话单配置。
            [Quidway] display local-bill configuration Cache-backup-mode: Backup-interval(min): Bill-server-IP-address: Bill-filename-prefix: Cfcard or Hd 1440 10.10.10.1 bill

            ----结束

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-41

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            配置文件
            # sysname Quidway # hwtacacs-server template hw2 hwtacacs-server authentication 130.7.66.66 1000 hwtacacs-server authentication 130.7.66.67 1000 secondary hwtacacs-server authorization 130.7.66.66 1002 hwtacacs-server authorization 130.7.66.67 1002 secondary hwtacacs-server accounting 130.7.66.66 1001 hwtacacs-server accounting 130.7.66.67 1001 secondary hwtacacs-server shared-key hello # aaa authentication-scheme auth2 authentication-mode hwtacacs accounting-scheme acct2 accounting-mode hwtacacs accounting interim interval 2 authorization-scheme author2 authorization-mode hwtacacs domain default0 domain default1 domain default_admin domain isp2 authentication-scheme accounting-scheme hwtacacs-server hw2 authorization-scheme author2 # local-aaa-server local-bill cache alarm-threshold 80 local-bill hd alarm-threshold 80 bill-server 10.10.10.1 filename bill return auth2 acct2

            2.7.3 RADIUS 下发 ACL 配置示例
            组网需求
            如图 2-5 所示,要求: 用户所属域为 isp1。 使用 RADIUS 认证、计费。RADIUS 服务器地址为 192.168.7.200,认证端口 1645,计费端口 1646,共享密匙为 huawei。 通过 RADIUS 服务器下发 ACL 策略控制用户,使属于用户组 huawei 的用户访问 1.2.0.0/16 网段、端口范围在 100~500 内时,限制带宽为 1Mbit/s,并统计用户访问 该网段的次数。 可通过 RADIUS 服务器动态更改 ACL 控制策略。 MA5200G 与网段 1.2.0.0/16 之间运行 OSPF 动态路由协议。

            2-42

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            组网图
            图2-5 RADIUS 下发 ACL 配置示例图
            RADIUS Server 192.168.7.200

            ETH2/1/12 192.168.7.1/24 Access Network user1@isp1 ETH2/1/15.1 172.1.1.1/24 POS2/0/0 POS2/0/0 172.1.1.2/24 1.2.0.0/16

            MA5200G

            配置步骤
            步骤 1 配置 MA5200G。 # 配置认证方案 auth1,认证模式为 RADIUS 认证。
            [Quidway–aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            # 配置计费方案 acct1,计费模式为 RADIUS 计费。
            [Quidway–aaa] accounting-scheme acct1 [Quidway–aaa-accounting-acct1] accounting-mode radius [Quidway–aaa-accounting-acct1] quit [Quidway–aaa] quit

            # 配置 RADIUS 服务器组 itellin。
            [Quidway] radius-server group itellin [Quidway-radius-itellin] radius-server authentication 192.168.7.200 1645 [Quidway-radius-itellin] radius-server accounting 192.168.7.200 1646 [Quidway-radius-itellin] radius-server shared-key huawei [Quidway-radius-itellin] quit

            # 配置 RADIUS 授权服务器。
            [Quidway] radius-server authorization 192.168.7.200 server-group itellin shar ed-key huawei

            只有在使用 RADIUS 动态授权功能时才需配置 RADIUS 授权服务器。

            # 配置地址池。
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 200.1.1.1 24 [Quidway-ip-pool-pool1] section 0 200.1.1.2 200.1.1.200

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-43

            2 配置 AAA

            Quidway MA5200G 配置指南-BRAS 业务

            # 配置域 isp1。
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] radius-server group itellin [Quidway-aaa-domain-isp1] quit

            # 配置虚模板
            [Quidway] interface Virtual-Template 1

            # 配置 BAS 接口。
            [Quidway] interface Ethernet2/1/15.1 [Quidway-Ethernet2/1/15.1] pppoe-server bind virtual-template 1 [Quidway-Ethernet2/1/15.1] user-vlan 100 [Quidway-Ethernet2/1/15.1-vlan-100-100] bas [Quidway-Ethernet2/1/15.1-bas] access-type layer2-subscriber [Quidway-Ethernet2/1/15.1-bas] quit [Quidway-Ethernet2/1/15.1] quit

            # 全局应用远端流策略。
            [Quidway] traffic-policy _remote-defined-policy inbound [Quidway] traffic-policy _remote-defined-policy outbound

            # 配置上行接口。
            [Quidway] interface Ethernet2/1/12 [Quidway -Ethernet2/1/12] ip address 192.168.7.1 24 [Quidway -Ethernet2/1/12] quit

            # 配置路由,使用户上线后能访问 1.2.0.0/16。
            [Quidway] interface Pos 5/0/0 [Quidway-Pos5/0/0] ip address 172.1.1.1 255.255.255.0 [Quidway-Pos5/0/0] quit [Quidway] router id 1.1.1.1 [Quidway] ospf [Quidway-ospf-1] import-route unr [Quidway-ospf-1] area 0 [Quidway-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255

            Router 上要完成以下几点配置: Pos2/0/0 上配置 IP 地址 172.1.1.2/24。 配置 Route ID。 配置 ospf,在 area 0 使用命令 network 1.2.0.0 0.0.255.255 发布路由。

            步骤 2 配置远端 RADIUS 服务器。 # 在远端 RADIUS 服务器 192.168.7.200 上需要配置以下几项: 配置 BAS 上行接口地址、共享密匙,要与 MA5200G 上保持一致。 配置用户网段,要使为用户分配 IP 地址的地址池内的地址在该网段内。

            2-44

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            2 配置 AAA

            配置域 isp1 和用户帐号。 配置业务策略,要求 hw-Data-Filter = “1;clas1;beha1;6;1;huawei;2;1.2.0.0;255.255.0.0;100-500;;;;5;”;hw-Data-Filter = "2;beha1;;;;;;;1024;;;;;1;";Filter-ID = “huawei”。 具体配置请参见相应 RADIUS 服务器的手册。 步骤 3 验证配置结果。 # 查看 RADIUS 服务器组 itellin 的配置。
            <Quidway> display radius-server configuration group itellin --------------------------------------------------------Server-group-name : itellin Authentication-server: IP:192.168.7.200 Port:1645 Weight[0] [UP] Vpn: ...... Accounting-server ...... Protocol-version Shared-secret-key Retransmission : radius : huawei : 3 : IP:192.168.7.200 Port:1646 Weight[0] [UP] Vpn: -

            Timeout-interval(s) : 5 Acct-Stop-Packet Resend : NO Acct-Stop-Packet Resend-Times : 0 Traffic-unit ClassAsCar User-name-format : B : NO : Domain-included

            Attribute-translation: NO Packet send algorithm: Master-Backup

            # 查看域 isp1 的配置。
            <Quidway> display domain name isp1 Domain-name Domain-state Domain-type Authentication-scheme-name Accounting-scheme-name Authorization-scheme-name RADIUS-server-group Accounting-copy-radius-group TACACS-server-group Tunnel-acct-2867 Val-added-srv-account User-group-name ...... Zone-name Ancp auto qos adapt IP-address-pool-name TimeRange-Qos : : Disabled : pool1 : Disabled : isp1 : Active : Normal domain : auth1 : acct1 : : itellin : : : Disabled : Default : : -

            Status detect user-group name

            # 查看系统自动生成的远端流策略。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-45

            2 配置 AAA
            [Quidway] display traffic policy remote-server-defined Remote Server Defined Traffic Policy Information: Policy: _remote-defined-policy Classifier: default-class Behavior: be Firewall: permit

            Quidway MA5200G 配置指南-BRAS 业务

            用户上线后,RADIUS 下发相应的 ACL 策略给用户,设备上可查看到相应的流策略、 流分类、流动作以及规则。 # 查看 RADIUS 下发的流分类器。
            [Quidway] display traffic classifier remote-server-defined Remote Server Defined Classifier Information: Classifier: clas1 Operator: OR Rule(s) : if-match acl 10000

            # 查看 RADIUS 下发的流动作。
            [Quidway] display traffic behavior remote-server-defined Remote Server Defined Behavior Information: Behavior: beha1 Committed Access Rate:

            CIR 1024 (Kbps), PIR 0 (Kbps), CBS 128000 (byte), PBS 320512 (byte)
            Conform Action: pass Yellow Action: pass Exceed Action: discard Hitcount

            # 查看 RADIUS 下发的流策略。
            [Quidway] display traffic policy remote-server-defined Remote Server Defined Traffic Policy Information: Policy: _remote-defined-policy Classifier: default-class Behavior: be Firewall: permit Classifier: clas1 Behavior: beha1 Committed Access Rate: CIR 1024 (Kbps), PIR 0 (Kbps), CBS 128000 (byte), PBS 320512 (byte) Conform Action: pass Yellow Action: pass Exceed Action: discard Hitcount

            # 查看下发的 ACL 规则。
            [Quidway] display acl 10000 Remote-server-defined ACL 10000, 1 rule Acl's step is 5 rule 5 permit tcp source user-group huawei destination ip-address 1.2.0.0 0.0.255.2

            2-46

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务
            55 destination-port range 100 500 precedence critical (0 times matched)

            2 配置 AAA

            ----结束

            配置文件
            # sysname Quidway # router id 1.1.1.1 # radius-server group itellin radius-server authentication 192.168.7.200 1645 weight 0 radius-server accounting 192.168.7.200 1646 weight 0 # radius-server authorization 192.168.7.200 shared-key huawei server-group itellin # traffic policy _remote-defined-policy traffic-policy _remote-defined-policy inbound traffic-policy _remote-defined-policy outbound # interface Ethernet2/1/12 ip address 192.168.7.1 255.255.255.0 # interface Ethernet2/1/15 # interface Ethernet2/1/15.1 pppoe-server bind Virtual-Template 1 user-vlan 100 bas access-type layer2-subscriber # interface Virtual-Template1 # interface Pos5/0/0 ip address 172.1.1.1 255.255.255.0 # aaa authentication-scheme sch1 authentication-scheme auth1 accounting-scheme acct1 domain default0 domain default1 domain default_admin domain isp1 authentication-scheme accounting-scheme ip-pool pool1 # ospf 1 import-route unr area 0.0.0.0 network 172.1.1.0 0.0.0.255 # auth1 acct1

            radius-server group itellin

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            2-47

            2 配置 AAA
            return

            Quidway MA5200G 配置指南-BRAS 业务

            2-48

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            目 录





            3 管理地址.......................................................................................................................................3-1
            3.1 地址管理简介..............................................................................................................................................3-2 3.1.1 IPv4 地址管理 .....................................................................................................................................3-2 3.2 配置 DHCP 服务器 .....................................................................................................................................3-4 3.2.1 建立配置任务.....................................................................................................................................3-4 3.2.2 创建 DHCP 服务器组 ........................................................................................................................3-5 3.2.3 配置 DHCP 服务器............................................................................................................................3-5 3.2.4 配置 DHCP Release 代理功能...........................................................................................................3-5 3.2.5 配置 DHCP 全局参数 ........................................................................................................................3-5 3.3 配置 IPv4 地址池 ........................................................................................................................................3-6 3.3.1 建立配置任务.....................................................................................................................................3-6 3.3.2 创建地址池 ........................................................................................................................................3-7 3.3.3 配置地址池属性.................................................................................................................................3-8 3.3.4 配置地址段 ........................................................................................................................................3-8 3.3.5 设置地址池租期.................................................................................................................................3-8 3.3.6 设置地址池保护.................................................................................................................................3-9 3.3.7 配置 DHCP 选项..............................................................................................................................3-10 3.3.8 关联 DHCP 服务器组 ......................................................................................................................3-10 3.4 维护地址....................................................................................................................................................3-10 3.4.1 显示地址管理信息...........................................................................................................................3-10 3.4.2 调试 DHCP....................................................................................................................................... 3-11 3.5 配置举例.................................................................................................................................................... 3-11 3.5.1 使用本地地址池为用户分配地址配置示例................................................................................... 3-11 3.5.2 使用远端地址池为用户分配地址配置示例...................................................................................3-13

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            i

            Quidway MA5200G 配置指南-BRAS 业务

            插图目录

            插图目录
            图 3-1 本地地址池分配基本组网图...............................................................................................................3-12 图 3-2 远端地址池分配基本组网图...............................................................................................................3-13

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            iii

            Quidway MA5200G 配置指南-BRAS 业务

            表格目录

            表格目录
            表 3-1 MA5200G 的 IPv4 地址池......................................................................................................................3-2 表 3-2 MA5200G 的 DHCP 功能.......................................................................................................................3-3 表 3-3 MA5200G 中的 DHCP Option 用途.......................................................................................................3-3 表 3-4 地址池保护方法 ....................................................................................................................................3-9

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            v

            Quidway MA5200G 配置指南-BRAS 业务

            3 管理地址

            3
            关于本章
            本章描述内容如下表所示。 标题 3.1 地址管理简介 3.2 配置 DHCP 服务器 3.3 配置 IPv4 地址池 内容 介绍地址管理的概念。

            管理地址

            介绍配置 DHCP 服务器的方法与步骤。 介绍配置 IPv4 地址池的方法与步骤。 举例 1:使用本地地址池为用户分配地址 举例 2:使用远端地址池为用户分配地址

            3.4 维护地址 3.5 配置举例

            介绍查看地址或调试 DHCP 的方法。 介绍地址管理配置实例。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            3-1

            3 管理地址

            Quidway MA5200G 配置指南-BRAS 业务

            3.1 地址管理简介
            MA5200G 允许用户通过动态获取 IP 地址或配置固定 IP 地址的方式接入网络。配置固 定 IP 地址的用户被称为静态用户,其详细信息请参见“4 管理用户” 。本章只介绍 MA5200G 对动态分配的 IP 地址的管理功能。 本节介绍 MA5200G 支持的地址管理,具体内容包括: IPv4 地址管理

            3.1.1 IPv4 地址管理
            IPv4 地址池
            MA5200G 将 IPv4 地址组织成 IPv4 地址池进行管理,包括本地地址池、中继地址池和 远端地址池三种形式,如表 3-1 所示。 表3-1 MA5200G 的 IPv4 地址池 种类 本地地址池 中继地址池 描述 本地地址池是 MA5200G 自行管理的地址池,MA5200G 负责对地址 池中的 IP 地址资源进行分配、续租、回收等管理。 中继地址池为网络侧通过中继请求 IP 地址的用户提供 IP 地址。 MA5200G 负责对地址池中的 IP 地址资源进行分配、续租、回收等 管理。 远端地址池是外部 DHCP(Dynamic Host Configuration Protocol) /BOOTP(Boot Protocol)服务器的一个映像,里面并不配置实际的 IP 地址,只是指明该地址池对应的 DHCP/BOOTP 服务器。 使用远端地址池时,MA5200G 可以代理用户发起请求或者中继用户 的请求,向 DHCP/BOOTP 服务器申请、续组或释放地址。

            远端地址池

            MA5200G 中一共可配置 4096 个地址池(包括本地地址池和远端地址池) 。一个本地地 址池可以分成若干(最多 8 个)地址段,每个地址段最多可配置 32768 个地址,去除 部分无效地址(如 X.0.0.0) ,每个地址池最多可提供 192k 个有效地址。

            DHCP 功能
            在为用户分配 IP 地址时,MA5200G 具备 DHCP Server、DHCP 代理、DHCP Client 等 功能,实现从本地地址池和远端地址池中为用户分配 IP 地址,如表 3-2 所示。

            3-2

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            3 管理地址

            表3-2 MA5200G 的 DHCP 功能 功能 DHCP Server 描述 MA5200G 作为 DHCP 服务器,从本地地址池中为用户侧用户分配 IP 地址。从中继地址池为网络侧经过 DHCP 代理的用户分配 IP 地 址。 MA5200G 作为 DHCP 代理,将用户的 DHCP 请求转发给外部 DHCP/BOOTP 服务器,由 DHCP/BOOTP 服务器为用户分配 IP 地 址。 MA5200G 作为 DHCP 客户端,向外部 DHCP/BOOTP 服务器申请 IP 地址,并将申请到的 IP 地址分配给 PPP 用户。

            DHCP 代理

            DHCP Client

            DHCP Option
            DHCP Option 在 MA5200G 中常用来携带某些用户信息。MA5200G 主要使用 Option 60 和 Option 82,如表 3-3 所示。 表3-3 MA5200G 中的 DHCP Option 用途 Option ID Option 60 描述 某些终端设备(例如数字电视的机顶盒)在接入网络时,MA5200G 无法通过用户名方式获知其所属域,也就不能为其分配 IP 地址。 此时,可配置该终端设备在发起 DHCP 请求时,通过 Option 60 携带 域信息。MA5200G 收到 DHCP 报文时,可根据 Option 60 中携带的 域信息来分配 IP 地址。 Option 82 外置 DHCP/BOOTP 服务器收到 DHCP 报文时,无法得知用户的物 理位置信息,只能在地址池中按顺序为用户分配 IP 地址,无法实现 根据用户分配 IP 地址的需求。 MA5200G 作为 DHCP 代理,在代理用户 DHCP 报文时,可在 Option 82 中填写用户的物理位置信息,通知 DHCP 服务器按此信息 对为用户分配 IP 地址。

            地址重叠
            归属不同 VPN 实例的地址池,其中的 IP 地址可以重叠,实现对私网地址的支持。有 关 VPN 实例的地址池,请参见《Quidway MA5200G 宽带接入服务器 VPN 配置指 南》 “7 配置业务批发” 。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            3-3

            3 管理地址

            Quidway MA5200G 配置指南-BRAS 业务

            3.2 配置 DHCP 服务器
            3.2.1 建立配置任务
            应用环境
            当使用外置 DHCP 服务器为用户分配 IP 地址时,需要在 MA5200G 上配置该 DHCP 服 务器的 IP 地址等参数,便于 MA5200G 和 DHCP 服务器进行通讯。在 MA5200G 中, 使用 DHCP 服务器组对 DHCP 服务器进行管理。

            前置任务


            数据准备
            在配置 DHCP 服务器之前,请根据网络规划,准备好以下数据。 序号 1 2 3 4 数据 DHCP 服务器组名称 主备 DHCP 服务器的 IP 地址、所属的 VPN 实例 是否使用 DHCP Release 代理功能(可选) 是否使用非法 DHCP 服务器检测功能以及非法 DHCP 服务器检测的时间间隔 (可选) 对 DHCP 报文进行严格检查还是宽松检查(可选) 是否允许 DHCP Option 60 携带域名以及域名的匹配方式(可选)

            5 6

            配置步骤
            要完成配置 DHCP 服务器的任务,需要执行如下的配置过程。 序号 1 2 3 4 过程 创建 DHCP 服务器组 配置 DHCP 服务器 配置 DHCP Release 代理功能(可选) 配置 DHCP 全局参数(可选)

            3-4

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            文档版本 01 (2010-05-31)

            Quidway MA5200G 配置指南-BRAS 业务

            3 管理地址

            3.2.2 创建 DHCP 服务器组
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dhcp-server group group-name,创建 DHCP 服务器组。 ----结束

            3.2.3 配置 DHCP 服务器
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dhcp-server group group-name,进入 DHCP 服务器组视图。 步骤 3 执行命令 dhcp-server ip-address [ vpn-instance vpn-instance ] [ secondary ],配置 DHCP 服务器。 ----结束 一个 DHCP 服务器组可以配置一主一备两台 DHCP 服务器,后来的配置将覆盖原来的 配置。

            3.2.4 配置 DHCP Release 代理功能
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dhcp-server group group-name,进入 DHCP 服务器组视图。 步骤 3 执行命令 release-agent,配置 DHCP Release 代理功能。 ----结束 DHCP Release 代理是指 MA5200G 通过 ARP(Address Resolution Protocol)探测到用户 不在线后,MA5200G 会代替用户向 DHCP 服务器发送 DHCP Release 报文。 缺省情况下,DHCP 服务器组启用 DHCP Release 代理功能。

            3.2.5 配置 DHCP 全局参数
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 (可选)执行命令 dhcp invalid-server-detecting [ interval ],配置非法 DHCP 服务器检 测的时间间隔。 缺省情况下, MA5200G 不设置非法 DHCP 服务器检测的时间间隔。

            文档版本 01 (2010-05-31)

            华为专有和保密信息 版权所有 ? 华为技术有限公司

            3-5

            3 管理地址

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 3 (可选)执行命令 dhcp check-server-pkt { loose | strict },配置 DHCP 报文的检查选 项。 缺省情况下,MA5200G 对 DHCP 服务器报文进行严格检查。 步骤 4 (可选)执行命令 dhcp option-60 [ domain-inclu

            相关文章:
            更多相关标签: