1. <form id='Nv6Fzy'></form>
        <bdo id='Nv6Fzy'><sup id='Nv6Fzy'><div id='Nv6Fzy'><bdo id='Nv6Fzy'></bdo></div></sup></bdo>

          • 当前位置:首页 >> 计算机硬件及网络 >>

            华为ME60 BRAS设备配置规范


            文档名称

            文档密级:

            河南网通城域网华为 ME60 BRAS 设备配置规范

            华为技术有限公司 二 00 八年 6 月
            2013-8-16 华为机密,未经许可不得扩散 第 1 页, 共 75 页

            文档名称

            文档密级:

            1、系统简介.................................................................................................................................... 4 1.1 河南网通宽带城域网建设概况 ..................................................................................... 4 1.2 河南网通华为 ME60 系统组网方式................................................................................. 4 1.2.1 网络概述................................................................................................................. 4 1.2.1 组网方式................................................................................................................. 5 1.3 VLAN 规划原则 ................................................................................................................ 6 1.4 IP 地址规划原则................................................................................................................ 7 2、BAS 配置规范(ME60) ............................................................................................................. 7 2.1 设备基本配置................................................................................................................... 7 2.1.1 设置主机名........................................................................................................... 7 2.1.2 时区和时钟校准..................................................................................................... 8 2.1.3 配置管理员及其密码............................................................................................. 8 2.1.4 启用服务............................................................................................................... 8 2.1.5 对管理员地址范围进行限定................................................................................. 9 2.1.6 timeout 时间设置................................................................................................... 9 2.1.7 ACL 配置范例 ....................................................................................................... 9 2.1.8 用户域基本配置 ............................................................................................... 12 2.1.9 安全基本配置 ................................................................................................... 13 2.1.10 设备配置保存................................................................................................... 14 2.2 设备接口配置................................................................................................................. 14 2.2.1 网络侧接口配置................................................................................................. 14 2.2.2 loopback 接口配置及描述 ................................................................................... 15 2.2.3 地址池的配置..................................................................................................... 21 2.2.4 VLAN 及 QINQ 接口配置 ................................................................................... 21 2.3 路由协议配置 ............................................................................................................... 23 2.3.1 OSPF 协议配置.................................................................................................... 23 2.4 RADIUS 配置 ................................................................................................................... 29 2.4.1 本次项目中 RADIUS 配置参数........................................................................... 31 2.4.2 RADIUS 配置范例及注释.................................................................................... 31 2.4.3 RADIUS 状态查看 ......................................................................................... 33 2.4.4 RADIUS 故障排除方法 ................................................................................. 37 2.5 QOS 带宽管理 ............................................................................................................. 37 2.5.1 两类 QOS 配置..................................................................................................... 37 2.5.2 配置设备接收 RADIUS 服务器策略配置........................................................... 38 2.5.3 ME60 本机 QOS 策略配置 ........................................................................... 38 2.6 PPPOE 配置 ................................................................................................................ 40 2.6.1 概述 ................................................................................................................... 40 2.6.2 PPPOE 相关配置.................................................................................................. 41 2.7 用户认证域选择............................................................................................................. 42 2.8 反向路由检测 ............................................................................................................... 43 ME60 所支持的 URPF.................................................................................................. 43 2.9 DHCP RELAY 配置 ........................................................................................................... 44
            2013-8-16 华为机密,未经许可不得扩散 第 2 页, 共 75 页

            文档名称

            文档密级:

            2.10 IP 综合网管设备配置要求............................................................................................ 45 2.10.1 访问控制列表设置(用于限制远程登录和 SNMP 采集的访问地址) ................ 46 2.10.2 TELNET 用户名和密码 ................................................................................. 46 2.10.3 SNMP 配置..................................................................................................... 46 2.10.4 SYSLOG 配置 ................................................................................................... 46 3、ME60 承载业务及配置规范................................................................................................. 48 3.1 承载业务类型 ................................................................................................................. 48 3.2 普通 PPPOE 上网业务 ................................................................................................ 48 3.2.1 业务概述............................................................................................................... 48 3.2.2 ME60 配置规范 ................................................................................................... 48 3.2.3 帐号管理规范 ................................................................................................... 53 3.3 校园网卡类业务 ............................................................................................................. 54 3.3.1 业务概述............................................................................................................... 54 3.3.2 配置规范............................................................................................................. 54 3.3.3 账号管理说明....................................................................................................... 54 3.4 VPDN 业务 ..................................................................................................................... 55 3.4.1 业务概述............................................................................................................... 55 3.4.2 ME60 配置规范 ................................................................................................... 55 3.4.3 账号管理说明....................................................................................................... 56 3.4.4 VPDN 业务介绍.................................................................................................... 56 3.5 机顶盒业务配置 ............................................................................................................. 59 3.5.1 业务概述............................................................................................................... 59 3.5.2 延用 DHCP 方式 ................................................................................................ 60 3.5.3 采用 PPPOE 方式............................................................................................... 60 3.6 专线用户配置 ................................................................................................................. 64 3.6.1 通过 subscriber 方式定义静态 IP 用户......................................................... 64 3.6.2 通过 leased line 方式定义静态 IP 用户....................................................... 65 3.7 BGP/MPLS VPN 配置范例 .......................................................................................... 65 3.7.1 概述..................................................................................................................... 65 3.7.2 MPLS VPN 业务命名规范 ................................................................................. 66 3.7.3 PE (ME60)配置范例......................................................................................... 67 3.8 VPLS 业务配置 .............................................................................................................. 71 3.8.1 VPLS 简介 ........................................................................................................... 71 3.8.2 VPLS 配置范例..................................................................................................... 74

            2013-8-16

            华为机密,未经许可不得扩散

            第 3 页, 共 75 页

            文档名称

            文档密级:

            1、系统简介 1.1 河南网通宽带城域网建设概况 本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不 变的基础上,持续提升宽带接入能力,继续推进二层网络扁平化,提升网络可靠 性,以此逐步向功能完善、结构合理、性能优良的目标网演进。 提升业务支持能力:根据各类IP 业务发展需求及流量流向特性,对城域网 内的设备进行容量增加和端口扩容,提供充足的业务接入能力及中继链路端口。 二层网络扁平化举措:在进行扩容的同时在有条件的地市考虑继续缩减汇聚 交换机的级联层数,进一步扁平化二层汇聚网络;同时具备条件的地市可根据业 务发展需求结合设备性能考虑SR/BRAS 适度下移。 网络质量差异化:逐步部署MPLS 技术和Diffserv 机制,为不同用户和不同 业务提供不同QOS 等级的服务。在业务集中区域逐步设立轻载的大客户专用接入 设备,减少普通客户流量对大客户业务质量的干扰。 管理控制集中化智能化:用宽带接入服务器(BRAS)、业务路由器(SR)构 建独立清晰的IP 城域网接入层,实现业务集中调度、监测和控制;规范设备的 网管接口要求,加强集中网管系统的建设,提高网络的可管理性,逐步实现对网 络性能的实时监控管理,提供基于时间、流量、质量等指标的多样化组合计费能 力。 1.2 河南网通华为ME60系统组网方式 1.2.1 网络概述 根据目前网络和业务开通方式等现状, 本期工程在每个县局节点及部分市区节点放置一 台ME60-8 BRAS设备,共计123台。 在市区,ME60双上行至地市2台GSR设备,同时与地市新建SR通过端口聚合进行连接, 负责终结SR设备透传过来的二层报文。 在县局, 网络通过布置大二层汇聚交换机来实现业务分流, ME60双上行至地市核心GSR 设备, 下行方向连接县局大二层汇聚交换机, 负责终结县局汇聚交换机透传上来的二层报文。

            2013-8-16

            华为机密,未经许可不得扩散

            第 4 页, 共 75 页

            文档名称

            文档密级:

            1.2.1 组网方式 方式一、市区组网方式

            ME60采用双上行GE链路上行至地市GSR,启用OSPF以及BGP路由协议;同时与本局SR通过 以太端口聚合聚合2个GE接口互连,该逻辑端口启用OSPF协议。其中,与GSR的端口作为主用 上行路由,到本局SR设备的端口作为备用上行链路,同时该GE 兼作本局用户业务的二层下 联接口,终结用户VLAN 或灵活QinQ VLAN。 方式二、县局组网方式

            2013-8-16

            华为机密,未经许可不得扩散

            第 5 页, 共 75 页

            文档名称

            文档密级:

            在县局,ME60双上行至地市核心GSR路由器,上行开启三层接口,启用OSPF以及BGP 协议;同时,与本局汇聚交换机通过GE口连接,该接口用来终结县级汇聚交换机透传上来 的单层VLAN以及QINQ VLAN。 除了挂接用户业务以外,本期项目中党建、CDN等服务器业务也需要割接到新建BRAS 上。 1.3 VLAN规划原则 1.遵循管理VLAN 与用户VLAN 分开、一用户一VLAN 的原则。 2.对于直连一级汇聚层交换机的市区接入设备,要求采用VLAN Stacking 模式,做到每个用 户一个VLAN。接入设备的外层VLAN 使用原汇聚层交换机中预留的VLAN。 3.对于下挂在和BAS 有直连链路的县局节点下的接入设备,也要求采用VLAN Stacking 模 式。 4.对于下挂在二级汇聚交换机以下的接入设备 (如支局) 不建议采用VLAN Stacking 模式, , 可采用一个DSLAM 分配 “一个用户VLAN+一个管理VLAN” 的方式; 对于LAN 方式, ZAN 和BAN
            2013-8-16 华为机密,未经许可不得扩散 第 6 页, 共 75 页

            文档名称

            文档密级:

            的管理VLAN 使用同一VLAN,每个BAN 采用不同用户VLAN; 5.对于采用PPPOE 与DHCP+并行模式的接入层设备, 不采用VLAN Stacking 模式,应遵循不同 认证方式用户分配不同VLAN 的原则进行VLAN 规划。通过相连的各级交换机将新增VLAN 透 传至BAS。设备管理VLAN 则延用原模式。 1.4 IP地址规划原则 本着连续分配、节约资源、便于管理的原则进行规划。 1.普通拨号用户IP 地址规划 PPPOE 拨号用户的IP 地址均直接由BAS 通过地址池动态分配,每台BAS 暂时分配4 个C 类 地址。 2.专线用户IP 地址规划 每个专线用户一个VLAN,每台BAS 分配一个C 类地址,用户地址可以连续分配。 3.设备管理IP 地址规划 每台BAS 下挂的接入层设备管理地址为一个C类地址,可进行连续分配。 4.BAS 设备管理(loopback 地址等)和互联地址由省公司统一规划分配。 5.每台BAS 目前预留两个C 类地址备用。

            2、BAS配置规范(ME60) 该部分所介绍的配置是现网设备配置的说明和解释, 以及部分配置规范; 具体命令的格 式及说明请参考ME60 设备配置手册。 2.1 设备基本配置 设备的基本配置包括主机名称、时钟、用户管理设置等。 2.1.1 设置主机名 主机名命名规则:
            字段 名称 字段 类型 网络层次描述 市名缩写 所辖区/县名、节点及机房描述 设备型号 序号

            英文字符 符号 英文字符 符号 英文字符 符号 字母/数字序列 符号 数字 (主字段) (连接符) (主字段) (连接符) (主字段) (连接符) (主字段) (连接符) 省网骨干核心层:PB 全省各市的简称: 辖区/县+节点/机房中文名第一个字 由厂商名及数 用来标识同一 省网骨干汇聚层:PC ZZ LY XX AY NY 母的缩写 字序列组成, 个节点的相同 字段 省网接入层:PA JZ PDS XC SQ XY 例一:中原路机房缩写为:ZYL 示例: 型号设备的序 说明 城域网业务控制层:MS KF PY HB SMX ZK 例二:新密县老局机房缩写为:XMLJ C12416 号。范围从 城域网汇聚层:MC JY LH ZMD HW8850 001-999 城域网接入层:MA ZTE10600
            2013-8-16 华为机密,未经许可不得扩散 第 7 页, 共 75 页

            文档名称

            文档密级:

            【示例】MC-ZZ-KFQ-C6509-001 郑州城域网汇聚层开发区思科 6509 设备 MA-ZZ-XZ.BQ.LD-HW5100-001 新郑市八千乡刘店接入点华为 5100 设备 对于华为本期项目上的 NE40E 及 ME60,属于城域网业务控制层,按照规范描述 网络层次为 MS,例如,洛阳道北节点 ME60 命名如下: MS-LY-DB-HW60-001
            2.1.2 时区和时钟校准 配置时钟命令如下: clock datetime HH:MM:SS YYYY-MM-DD

            配置时区命令如下: clock timezone time-zone-name { add | minus } offset 例如,设置中国区时钟: clock timezone beijing add 8

            2.1.3 配置管理员及其密码 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令local-aaa-server,进入本地AAA 视图。 步骤 3 执行命令user username { password { simple simple-password | cipher cipher-password } |authentication-type type-mask | block | ftp-directory ftp-directory | level level |callback-nocheck | callback-number callback-number | idle-cut | qos-profileqos-profile-name } *,增加操作用户。 例如,增加一个名字为HUAWEI的用户,配置如下: local-aaa-server user HUAWEI password cipher Huawei level 3 级别3为超级用户权限,可以根据需要将用户设置为0-3的任何级别。

            2.1.4 启用服务
            2013-8-16 华为机密,未经许可不得扩散 第 8 页, 共 75 页

            文档名称

            文档密级:

            ME60 启用网络服务命令如下: ftp server enable ssh server enable

            2.1.5 对管理员地址范围进行限定 定义访问控制列表: Acl 2000 rule 5 permit ip source 10.1.1.1 255.255.255.255 rule 10 permit ip source 10.1.1.2 255.255.255.255 rule 15 permit ip source 10.1.1.3 255.255.255.255 进入 USER-INTERFACE User-interface vty 0 4 Acl 2000 in

            2.1.6 timeout 时间设置 空闲过时设置 User-interface vty 0 4 Idle-timeout 5 当telnet 会话在5 分钟内没有输入时timeout 退出

            2.1.7 ACL 配置范例 Acl 2000至2999为基本ACL,只能够定义源地址;3000-3999为扩展ACL,能够依照五元组进 行定义 1、配置管理ACL范例: Acl 3000 rule 5 permit ip source 218.29.255.0 0.0.0.255 any //省网管; rule 10 permit ip source 123.234.255.126 0.0.0.0 destination any //BAS(SE800) 网管服务器地址; rule 15 permit ip source host 221.13.223.140 destination any //RADIUS 服务器地
            2013-8-16 华为机密,未经许可不得扩散 第 9 页, 共 75 页

            文档名称

            文档密级:

            址; rule 20 permit ip source 218.29.0.128 0.0.0.31 destination any //郑州分公司-1; rule 25 permit ip source 218.29.221.1 0.0.0.127 destination any //郑州分公司-2; rule 30 deny tcp source any destination any eq telnet rule 35 deny tcp source any destination any eq ssh rule 40 deny tcp source any destination any eq ftp rule 45 deny tcp source any destination any eq ftp-data rule 50 deny udp source any destination any eq tftp rule 55 deny udp source any destination any eq snmp rule 60 deny udp source any destination any eq snmptrap rule 65 permit ip any any 进入telnet 用户接口 User-interface vty 0 4 Acl 3000 in 2、配置普通ACL并应用范例 acl number 3001 rule 5 permit ip # acl number 6000 match-order auto rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445 rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135 rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434
            2013-8-16 华为机密,未经许可不得扩散 第 10 页, 共 75 页

            文档名称

            文档密级:

            rule 90 deny ip source user-group help destination ip-address any rule 95 deny ip source user-group iptv destination ip-address any [ACL6000 是一个用户 ACL,前面定义了防病毒部分,最后两条定义了 HELP 以及 IPTV 里面的用户不能访问任何地址] # acl number 6001 rule 5 permit ip source user-group iptv destination ip-address 202.102.249.0 0.0.0.255 rule 10 permit ip source user-group iptv destination ip-address 61.168.222.0 0.0.1.255 rule 15 permit ip source user-group iptv destination ip-address 61.168.224.0 0.0.3.255 rule 20 permit ip source user-group iptv destination ip-address 61.168.228.0 0.0.1.255 rule 25 permit ip source user-group iptv destination ip-address 61.158.216.0 0.0.1.255 rule 30 permit ip source user-group iptv destination ip-address 61.158.218.0 0.0.0.255 rule 35 permit ip source user-group iptv destination ip-address 202.102.224.68 0 rule 40 permit ip source user-group iptv destination ip-address 202.102.227.68 0 [定义了 IPTV 用户组里的用户可以访问的地址] # acl number 6002 match-order auto rule 5 permit ip source user-group help destination ip-address 218.29.0.252 0 rule 10 permit ip source user-group help destination ip-address 202.102.224.68 0 rule 15 permit ip source user-group help destination ip-address 202.102.227.68 0 [定义了 HELP 用户组里的用户可以访问的地址] # traffic classifier limit operator or if-match acl 6000 traffic classifier action operator or if-match acl 6002 if-match acl 6001 [定义了 3 个流量分类,分别匹配 3 个 ACL,会和后面的流量动作配置组成策略。这部分与 思科设备通过配置 ROUTE-MAP 定义策略路由很类似] # traffic behavior limit deny traffic behavior action
            2013-8-16 华为机密,未经许可不得扩散 第 11 页, 共 75 页

            文档名称

            文档密级:

            [定义流量动作,后面定义策略的时候与流量分类相关联] # traffic policy limit classifier action behavior action classifier limit behavior limit [定义流量策略,第一条名为 ACTION 的分类中匹配到的报文,执行名为 ACTION 的流量 动作中所定义的动作,就是允许,第二条行为类似,但动作是拒绝。需要注意,两条策略的 顺序不能反,否则所有流量都会被拒绝] traffic-policy limit inbound traffic-policy limit outbound [由于上述策略都是针对用户侧的用户定义的,所以需要在全局下下发] 如果流量策略需要在网络侧端口下发,只需要在相应端口下饮用 traffic-policy 即可。 2.1.8 用户域基本配置 1、定义用户域 domain dial authentication-scheme radius [该域用名称为 RADIUS 的 SCHEME 来进行认证] accounting-scheme radius service-type hsi [将该域的模式配置成 HIS 模式,PPPOE 的域都要配置成该模式] radius-server group dial [指定使用的 RADIUS 服务器组] ip-pool dial [指定该域使用的地址池] qos profile 2m [指定该域使用的 QOS 模板] 2、定义地址池 ip pool dial local gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187

            dns-server 202.102.224.68 dns-server 202.102.227.68 secondary [定义地址池,包括网关,可分配地址范围,不能被分配的地址以及 DNS 等参数,地址池 会被后面的域所引用,以给用户分配地址]
            2013-8-16 华为机密,未经许可不得扩散 第 12 页, 共 75 页

            文档名称

            文档密级:

            一个用户域下可以定义多个地支持, 当一个用完时系统可以选择分配另外一个地支持中的地 址。

            3、QOS 模板定义 首先定义调度模板 scheduler-profile 2m car cir 2048 pir 2050 cbs 256000 pbs 256250 upstream gts cir 2048 pir 2050 queue-length 65536 定义 QOS 模板,在其中引用调度模板 qos-profile 2m scheduler-profile 2m 在用户域下引用 QOS 模板 domain dial qos profile 2m 2.1.9 安全基本配置 1、定义防病毒访问控制列表 acl number 6000 match-order auto rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445 rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135 rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434 rule 90 permit any
            2013-8-16 华为机密,未经许可不得扩散 第 13 页, 共 75 页

            文档名称

            文档密级:

            2、定义流分类 traffic classifier limit operator or if-match acl 6000 3、定义流动作 traffic behavior limit deny 4、定义流策略 traffic policy limit classifier limit behavior limit 5、全局下发针对用户侧的策略 traffic-policy limit inbound traffic-policy limit outbound

            2.1.10 设备配置保存 执行 SAVE 命令,配置将缺省保存在设备 CFCARD 中。

            2.2 设备接口配置 2.2.1 网络侧接口配置 1、 ME60 将没有直接挂接用户的三层称之为网络侧端口, 典型的就是连接 GSR 设备的三 层端口。该端口为普通的三层路由端口。对于这种类型的端口配置,与普通路由器三层端口 相同。 对于网络侧端口的配置在系统模式下进行: interface GigabitEthernet1/0/0 mtu 1524 [配置端口 MTU 值] description To-[LY-XiGong-GSR]G1/0/4 [对于该端口的描述 to-[对端设备型号]-端口号] ip address 125.45.253.178 255.255.255.252 [设置端口 IP 地址]
            2013-8-16 华为机密,未经许可不得扩散 第 14 页, 共 75 页

            文档名称

            文档密级:

            mpls mpls ldp [端口下启用 MPLS] 通过使用 display interface 命令可以查看端口状态(UP、down) ,端口类型及端口 报文计数等信息。 2、端口描述规范

            互联中继命名规范:
            字段名称 本端设备名称 字段类型 字母\符号序列 () 括号 _TO_ 对端设备名称 字母符 字母\符号序列 号 () 括号 : 符号 (冒号) 电路类型 数字\字母 标 注 该 链 路 的型 号。 如: FE,155MATM,155MPOS,GE,1 0GE,2.5GPOS,10GPOS : 电路条目 符号 数字 (冒号) 第 几 条电 路

            括号 内标 符合设备命名规 注 本 端 电 字段说明 范的设备名称 路 接 入 端 口

            括号 内标 符合设备命名规 注 对 端 电 范的设备名称 路 接 入 端 口

            【端口简写】括号内端口信息采用简写 F:FE 设备端口上描述建议采用 G:GE/10GE A:ATM P:POS

            TO_ PC-ZZ-ZYL-CRS-001(G0/2):GE:1:电路代号

            用户电路命名规范:
            : 电路带宽 : 电路类型 : 电路条目 符号 符号 符号 数字\字母 数字\字母 字段类型 字母\符号序列 括号 字母符号 字母\符号序列 数字 (冒号) (冒号) (冒号) 标注该链路的型号。 标注该用户 如: 符 合 设 备 命 名 括号内标注 接入的实际 第几条电 FE,155MATM,155MP 字段说明 规 范 的 设 备 名 本端电路接 用户名称全拼 带 宽 。 例 路 OS,1GE,10GE,2.5GP 称 入端口 如:10M OS,10GPOS _TO_ 字段名称 本端设备名称 () 用户名称

            【端口简写】括号内端口信息采用简写 F:FE G:GE/10GE A:ATM P:POS

            注:设备端口上描述建议采用

            TO_ ZZGONGSHANGJU:10M:FE:1:电路代号

            例如,洛阳西工NE40E连接西工NE80E的描述: Int g1/0/0 Des TO_ PC-LY-XG-NE80E-001(G0/2):GE:1

            2.2.2 loopback接口配置及描述
            2013-8-16 华为机密,未经许可不得扩散 第 15 页, 共 75 页

            文档名称

            文档密级:

            Loopback接口的配置在系统模式下进行。 按照本期规划, 每台设备需要配置2个loopback 地址,范例如下: interface LoopBack0 ip address 125.40.254.110 255.255.255.255 [这个地址用来和 RR 建立 IPV4 BGP 邻居] # interface LoopBack10 ip address 125.40.254.111 255.255.255.255 [这个地址用来和 RR 建立 VPNV4 BGP 邻居] 3.2.3 用户侧接口配置 当某个接口用于接入宽带用户时, 该接口即为用户侧接口, 需要将该接口配置为BAS 接口, 并配置用户的接入类型和其他相关属性。 要完成配置BAS 接口的任务,需要执行如下的配置过程。 1 创建BAS 接口 请在ME60 上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,创建BAS 接口。 2 配置用户接入类型 执行命令bas,进入BAS 接口视图。 执行命令access-type layer2-subscriber [ bas-interface-name name | default-domain { pre-authentication domain-name | authentication [ force | replace ] domain-name } * | accounting-copy radius-server radius-name ] * ,配置二层普通用户接入类型。 或执行命令access-type layer2-leased-line user-name username password [ bas-interface-name name | default-domain authentication domain-name | accounting-copy radius-server radius-name | nas-port-type type ] *, 配置二层专线用户接入类 型。 或执行命令access-type layer3-leased-line user-name username password [ bas-interface-name name | default-domain authentication domain-name |
            2013-8-16 华为机密,未经许可不得扩散 第 16 页, 共 75 页

            文档名称

            文档密级:

            accounting-copy radius-server radius-name | nas-port-type type ] *, 配置三层专线用户接入类 型 。 在设置BAS 接口的用户接入类型时,还可以一起设置和该种用户类型相关的业务属性,这 些属性也可以在后续的配置中逐项配置。 对于已经被Eth-Trunk 接口包含的以太网接口,不能配置其用户接入类型,而只能配置 相应的Eth-Trunk 接口。 有用户在线时,只有当用户类型是专线用户时,可以在线修改BAS 接口的用户接入类 型,其他情况不能修改。 当用户类型配置为专线用户后,ME60 立即对该专线用户进行认证。 ? ?当接口下配置有IP 地址时,只能将用户接入类型设置为三层专线用户。 ? ?如果BAS 接口为GE 或Eth-Trunk 子接口,当需要将用户接入类型设置为三层专线用户 时,首 先必须在子接口下配置一个用户侧VLAN(且只能配置一个)。

            3 配置用户认证方法 请在ME60 上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。 步骤 4 执行命令authentication-method { { ppp | dot1x | { web | fast } } * | bind },配置用户 认证方法。 ----结束 只有接入用户类型为二层用户的BAS 接口可以设置其认证方法。各种认证方法可以组合使 用,但有以下的约束关系: ? ?Web 认证和快速认证互斥; ? ?绑定认证和其他认证方式都互斥。 缺省情况下,BAS 接口的认证方法为PPP 4 设置用户数限制(可选) 请在ME60 上进行以下配置。
            2013-8-16 华为机密,未经许可不得扩散 第 17 页, 共 75 页

            文档名称

            文档密级:

            步骤 1 执行命令system-view,进入系统视图。 5 配置BRAS 接入 Quidway ME60 配置指南-BRAS 业务 5-20 华为技术有限公司 文档版本 03 (2008-02-01) 步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。 步骤 4 执行命令access-limit number,设置接口级用户数限制。 或执行命令access-limit user-number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinqqinq-vlan ] ],设置VLAN 级用户数限制。 ----结束 缺省情况下,BAS 接口未设置用户数限制。 5 指定域(可选) 请在ME60 上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。 步骤 4 执行命令default-domain pre-authentication domain-name,指定认证前缺省域。 或执行命令default-domain authentication [ force | replace ] domain-name,指定认证缺省域。 如果用户认证时未输入域名,ME60 默认其属于认证缺省域。设置认证缺省域可指定force 和replace 参数。 ? ?force 参数表示不管用户认证时所带域名是什么,都强制转换到所设置的认证缺省域, 使用该域的策略进行认证和授权,但用户名中的域名不发生改变。 ? ?replace 参数表示强制转换到所设置的认证缺省域,同时用户名中的域名也发生变化, 强制替换成设置的认证缺省域名。 缺省情况下,BAS 接口的认证缺省域为default1。 6 配置BAS 接口附加功能(可选) 请在ME60 上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。
            2013-8-16 华为机密,未经许可不得扩散 第 18 页, 共 75 页

            文档名称

            文档密级:

            步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。 步骤 4 执行命令arp-proxy,启用ARP 代理功能。 或执行命令dhcp-broadcast,启用DHCP 广播功能。 或执行命令accounting-copy radius-server radius-name,启用计费报文抄送功能。 或执行命令ip-trigger,启用IP 报文触发上线功能。 或执行命令arp-trigger,启用ARP 报文触发上线功能。 或执行命令multicast copy by-session,启用按用户复制组播报文功能。 或执行命令dot1x authentication trigger,启用802.1X 认证触发功能。 ----结束 ARP 代理功能 ARP 代理功能用于同一BAS 接口下的用户互访,因为在ME60 同一接口下的用户按 VLAN/PVC 严格隔离,要实现用户互访必须打开BAS 接口的ARP 代理开关。 只有在BAS 接口的接入用户类型设置为二层用户和二层专线用户的情况下,才可以配置 BAS 接口的ARP 代理功能。 ARP 代理的开关只对相同BAS 接口的ARP 报文进行控制, 其他的情况ARP 代理的开关都 是打开的,无法关闭。 缺省情况下,同一BAS 接口相同VLAN/PVC 下的ARP 代理功能关闭。 DHCP 广播功能 通常情况下,BAS 接口的DHCP 报文是采用单播方式向用户进行发送的,但是在某些特 殊情况下可能需要对DHCP 报文进行广播,此时需要打开BAS 接口的DHCP 广播开关。 缺省情况下,BAS 接口的DHCP 广播功能关闭。 计费报文抄送功能 计费报文抄送是指在计费过程中,将计费信息同步发送给两台RADIUS 服务器,并分别等 待回应的功能。 计费报文抄送功能主要在需要多处保存原始计费信息的场合使用(如多运营商共同组网)。 在这种情况下,计费报文需要同步发送给两台RADIUS 服务器,在后续的结算中作为原始 计费信息。 缺省情况下,BAS 接口的计费报文抄送功能关闭。
            2013-8-16 华为机密,未经许可不得扩散 第 19 页, 共 75 页

            文档名称

            文档密级:

            IP 报文触发上线功能 IP 报文触发上线功能是指静态用户通过发送IP 报文触发认证过程的功能。 缺省情况下,BAS 接口的IP 报文触发上线功能关闭。 ARP 报文触发上线功能 ARP 报文触发上线功能是指用户通过发送ARP 报文触发认证过程的功能。 缺省情况下,BAS 接口的ARP 报文触发上线功能关闭。 按用户复制组播报文功能 通常情况下, ME60 收到某个组播组的组播报文后, 只会向每个物理端口复制一份组播报文, 二层设备再将组播报文复制给该组播组的每个用户。 如果二层设备不具备IGMP Snooping 功能,无法识别组播组用户,则需要在ME60 的接口 上启用按用户进行组播复制的功能,由ME60 直接将组播报文复制给用户。 缺省情况下,BAS 接口的按用户复制组播报文功能关闭。 802.1X 认证触发功能 802.1X 认证触发功能是指ME60 探测到802.1X 用户上线后,主动向用户发起认证请求 的功能。 缺省情况下, BAS 接口的802.1X 认证触发功能关闭。

            下面的配置范例为PPPOE接入的用户侧端口配置: interface GigabitEthernet1/0/3.805 pppoe-server bind Virtual-Template 1 [绑定 PPP 模板,确定该端口使用 PPPOE] mtu 1524 description To-NanShan-HW-MA5300-User user-vlan 256 1000 QinQ 805 [这个命令就是终结正常的 PPPOE 拨号用户报文, 内层标签是 256-1000, 外层标签是 805] bas access-type layer2-subscriber default-domain authentication dial [BAS 下的这条命令把 PPPOE 用户作为二层拨号用户,缺省的认证域为 DIAL 域,使用该 域中的认证方法、QOS 模板等定义的参数]
            2013-8-16 华为机密,未经许可不得扩散 第 20 页, 共 75 页

            文档名称

            文档密级:

            2.2.3 地址池的配置 地址将会被用户域引用, 用来为用户分配IP地址, 并向拨号用户提供网关、 DNS等参数。 地址池可以配置多个,ME60会自动循环向后使用。配置范例如下: ip pool dial local gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187

            dns-server 202.102.224.68 dns-server 202.102.227.68 secondary [定义地址池,包括网关,可分配地址范围,不能被分配的地址以及 DNS 等参数,地址池 会被后面的域所引用,以给用户分配地址]

            2.2.4 VLAN及QINQ接口配置 配置VLAN 和QinQ VLAN 需要进入相应端口配置模式下进行,大致分为如下几类: 1、普通固定IP 业务VLAN 配置及绑定 interface GigabitEthernet1/0/3.100 description To-NanShan-S6503 user-vlan 100 [这条命令指名该端口终结带 100 这个单层标签的报文] bas access-type layer2-subscriber authentication-method bind [该端口下面是网管下挂的 S6503 交换机。ME60 把它当作一个静态 IP 用户,一个 2 层用 户。所谓二层用户,也就是这个下挂设备的地址是由 BRAS 分配管理的。该端口用户默认 是在 wangguan 这个域中进行,认证方法是 BIND,也就是 ME60 根据下挂用户的物理位 置自动分配一个用户名。这部分配置都在 BAS 视图下进行] user detect retransmit 3 interval 30 [每隔 30 秒向该用户发一个 ARP 请求,根据回应确定用户在线。如果连续 3 次(90 秒)
            2013-8-16 华为机密,未经许可不得扩散 第 21 页, 共 75 页

            default-domain

            authentication wangguan

            文档名称

            文档密级:

            没有收到回应,设备就认为用户已经下线。用这种手段来保证该设备一直在线。] 在系统视图下配置: static-user 10.36.252.252 10.36.252.252 interface GigabitEthernet1/0/3.100 vlan 100 detect domain-name wangguan [配置二层静态 IP 用户,静态用户地址范围从 10.36.252.252 至 10.36.252.252,也就 是指定一个静态 IP,定义了这个静态用户所在的端口 GigabitEthernet1/0/3.100,定义 了这个用户的报文标签为 100,这个用户所属的域为 wangguan,以下配置相同,本机下 挂的网络设备都用这种方式来进行网管,同时,开启二层静态 IP 用户也是用这种办法]

            2、普通PPPOE 用户VLAN 配置及动态绑定 interface GigabitEthernet1/0/9.1 pppoe-server bind Virtual-Template 1 user-vlan 200 bas access-type layer2-subscriber default-domain authentication dial 3、 固定IP 用户QinQ VLAN 的配置及绑定 interface GigabitEthernet1/0/3.200 description leaseline-tel-7676123 user-vlan 100 qinq 200 bas access-type layer2-subscriber authentication-method bind static-user 10.36.252.2 10.36.252.2 interface GigabitEthernet1/0/3.200 vlan 100 qinq 200 detect domain-name wangguan 该用户的 IP 地址为 10.36.252.2。 4、批量、连续的PPPOE 用户QinQ VLAN 配置及动态绑定 interface GigabitEthernet1/0/9.801 pppoe-server bind Virtual-Template 1 mtu 1524
            2013-8-16 华为机密,未经许可不得扩散 第 22 页, 共 75 页

            default-domain

            authentication wangguan

            文档名称

            文档密级:

            description To-YiTuo-HAMMER-10000-2-User user-vlan 256 1000 QinQ 801 bas access-type layer2-subscriber default-domain authentication dial [该子接口下终结了一批内层 VLAN 范围为 256 至 1000, 外层 VLAN 为 801 的 PPPOE 用户。注意,用户的认证方法等参数配置在相应用户域中,此例中为 DIAL 域,在用户 侧端口下会引用该域。]

            2.3 路由协议配置 本期工程BAS(ME60) 采用两个上联出口连接至地市核心GSR。在ME60 上配置主链路 COST 为100,用户路由则采用BGP 进行承载,以下对OSPF 及BGP 的配置进行详细说明。 2.3.1 OSPF协议配置 BAS 与上联设备建立OSPF 邻居,OSPF 的area 号与各地市宽带IP 网area 号一致,如 郑州area号为 371;洛阳为379。OSPF 链路类型为点到点类型。具体配置范例如下: 1、系统模式下配置ospf协议 ospf 1 router-id 125.40.254.110 [定义 OSPF 进程号以及 ROUTER-ID] area 0.0.1.123 [进入相应 area] network 125.40.254.110 0.0.0.0 network 125.40.254.111 0.0.0.0 network 125.45.253.176 0.0.0.3 network 125.45.253.200 0.0.0.3 [发布 loopback 地址以及互连地址] 2、进入端口模式,将 OSPF 配置成为 P-TO-P 模式 interface GigabitEthernet1/0/0 ospf network-type p2p 3、查看 OSPF 协议状态 进入用户模式或者系统模式
            2013-8-16 华为机密,未经许可不得扩散 第 23 页, 共 75 页

            文档名称

            文档密级:

            ★ 查看 OSPF 邻居状态 <YiTuo-ME60>dis ospf peer

            OSPF Process 1 with Router ID 125.40.254.110 Neighbors

            Area 0.0.1.123 interface 125.45.253.178(GigabitEthernet1/0/0)'s neighbors Router ID: 61.168.255.247 State: Full Mode:Nbr is DR: None BDR: None Address: 125.45.253.177 Slave Priority: 1 MTU: 1524 GR State: Normal

            Dead timer due in 31 sec Neighbor is up for 701:33:05 Authentication Sequence: [ 0 ]

            Neighbors

            Area 0.0.1.123 interface 125.45.253.202(GigabitEthernet1/0/1)'s neighbors Router ID: 61.168.255.245 State: Full Mode:Nbr is Address: 125.45.253.201 Slave Priority: 1 GR State: Normal

            DR: 125.45.253.202 BDR: 125.45.253.202 MTU: 1524 Dead timer due in 34 sec Neighbor is up for 701:32:23 Authentication Sequence: [ 0 ] 通过以上命令查看 OSPF 邻居状态,正常情况下,在 P-TO-P 模式下邻居状态都应该为 FULL。 ★ 查看 OSPF 路由表 <YiTuo-ME60>display ospf routing

            OSPF Process 1 with Router ID 125.40.254.110
            2013-8-16 华为机密,未经许可不得扩散 第 24 页, 共 75 页

            文档名称

            文档密级:

            Routing Tables

            Routing for Network Destination 123.5.248.212/30 0.0.1.123 61.168.247.8/30 0.0.1.123 123.5.248.216/30 0.0.1.123 61.168.247.12/30 0.0.1.123 123.5.248.220/30 0.0.1.123 125.45.240.0/30 0.0.1.123 125.45.240.1/32 0.0.1.123 正常情况下,应该能够看到设备能够通过 OSPF 协议学习到路由。 332 Inter-area 125.45.253.177 61.168.255.247 331 Inter-area 125.45.253.177 61.168.255.247 241 Inter-area 125.45.253.177 61.168.255.247 241 Inter-area 125.45.253.177 61.168.255.247 241 Inter-area 125.45.253.177 61.168.255.247 241 Inter-area 125.45.253.177 61.168.255.247 Cost Type NextHop AdvRouter Area

            241

            Inter-area 125.45.253.177

            61.168.255.247

            3.3.2 BGP 配置 在本期项目中,设备需要通过不同的 loopback 地址与本地核心路由器 (充当路由反射 器)分别建立 2 个 BGP IPV4 邻居以及 2 个 BGP VPNV4 邻居。河南网通城域网 AS 号为 65130。BGP 配置需要在系统视图下进行,范例如下: 1、BGP 配置 bgp 65130 router-id 125.40.254.110 group ha-ly-vpn internal [建立 PEER GROUP]
            2013-8-16 华为机密,未经许可不得扩散 第 25 页, 共 75 页

            文档名称

            文档密级:

            peer ha-ly-vpn password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! [配置 VPNV4 BGP 邻居认证] peer ha-ly-vpn connect-interface LoopBack10 peer 61.168.232.245 as-number 65130 peer 61.168.232.245 group ha-ly-vpn peer 61.168.232.247 as-number 65130 peer 61.168.232.247 group ha-ly-vpn [配置 VPNV4 邻居基本参数] group ha-ly internal peer ha-ly password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! [建立 IPV4 邻居认证] peer ha-ly connect-interface LoopBack0 peer 61.168.255.245 as-number 65130 peer 61.168.255.245 group ha-ly peer 61.168.255.247 as-number 65130 peer 61.168.255.247 group ha-ly [配置 IPV4 邻居参数] # ipv4-family unicast undo synchronization network 61.54.44.128 255.255.255.240 network 218.28.152.32 255.255.255.240 network 218.28.152.48 255.255.255.240 network 218.28.152.136 255.255.255.248 import-route unr [该命令将 PPPOE 用户路由引入进 BGP 协议中,达到使用 BGP 承载业务路由目的] undo peer 61.168.232.245 enable undo peer 61.168.232.247 enable peer ha-ly-vpn enable
            2013-8-16 华为机密,未经许可不得扩散 第 26 页, 共 75 页

            文档名称

            文档密级:

            peer ha-ly enable peer ha-ly route-policy setcommunity export [配置发布的路由携带路由策略中定义的团体属性] peer ha-ly next-hop-local peer ha-ly advertise-community peer 61.168.255.245 enable peer 61.168.255.245 group ha-ly peer 61.168.255.247 enable peer 61.168.255.247 group ha-ly # ipv4-family vpnv4 policy vpn-target peer ha-ly-vpn enable peer ha-ly-vpn next-hop-local peer ha-ly-vpn advertise-community peer 61.168.232.247 enable peer 61.168.232.247 group ha-ly-vpn peer 61.168.232.245 enable peer 61.168.232.245 group ha-ly-vpn [配置 VPNV4 邻居关系相关参数]

            route-policy setcommunity permit node 0 apply community 65130:379 [这个路由策略会在 BGP 发布路由时使用,把发布的 BGP 路由都带上 65130:379 这个 团体属性,该命令在系统模式下配置]

            2、查看 BGP 协议状态 进入用户视图或者系统视图 ★ 查看 IPV4 BGP 邻居状态
            2013-8-16 华为机密,未经许可不得扩散 第 27 页, 共 75 页

            文档名称

            文档密级:

            <YiTuo-ME60>display bgp peer BGP local router ID : 125.40.254.110 Local AS number : 65130 Total number of peers : 2 Peer PrefRcv V

            Peers in established state : 2 OutQ Up/Down State

            AS MsgRcvd MsgSent

            61.168.255.245 4 65130 1023357 41481 61.168.255.247 4 65130 1026851 41464 正常情况下邻居状态应该为 Established。 ★ 查看VPNV4 邻居状态 <YiTuo-ME60>display bgp vpnv4 all peer

            49284 45813

            0 0701h54m Established 0 0701h54m Established

            BGP local router ID : 125.40.254.110 Local AS number : 65130 Total number of peers : 2 Peers in established state : 2

            Peer

            V

            AS MsgRcvd MsgSent

            OutQ Up/Down

            State PrefRcv

            61.168.232.247 4 65130 61.168.232.245 4 65130

            54448 54349

            47499 51250

            0 0701h56m Established 0 0701h56m Established

            0 0

            正常情况下邻居状态应该为 Established。 ★ 查看BGP路由表 <YiTuo-ME60>display bgp routing-table

            Total Number of Routes: 82963

            BGP Local router ID is 125.40.254.110 Status codes: * - valid, > - best, d - damped,
            2013-8-16 华为机密,未经许可不得扩散 第 28 页, 共 75 页

            文档名称

            文档密级:

            h - history, i - internal, s - suppressed, S - Stale Origin : i - IGP, e - EGP, ? - incomplete Network NextHop MED LocPrf PrefVal Path/Ogn

            *>i 1.1.1.0/24 * i *>i 2.2.2.0/30 * i *>i 2.2.2.2/32 * i *>i 3.3.3.0/30 * i *>i 4.4.4.0/30

            61.168.247.243 0 61.168.247.243 0 61.168.247.247 0 61.168.247.247 0 61.168.251.237 0 61.168.251.237 0 61.168.247.247 0 61.168.247.247 0 61.168.247.247 0

            100 100 100 100 100 100 100 100 100

            0 0 0 0 0 0 0 0 0

            ? ? ? ? ? ? ? ? ?

            正常情况下设备应该能够通过 BGP 协议学习到 IPV4 路由。 ★ 查看 VPNV4 路由 dis bgp vpnv4 all routing-table 如果网络中开启 L3 MPLS VPN ,正常情况下应能够学习到 VPNV4 路由。

            2.4 RADIUS配置 认证功能: 认证功能验证用户是否可以获得访问权。 用户接入网络时, ME60 可通过用户名和密码 对用户的身份进行认证。ME60 支持四种认证模式,如下所示。 ★不认证: 表示运营商对用户非常信任,ME60 对用户不进行合法性检查。一般情况下不 建议采用此模式。 ★本地认证: 在ME60 上配置用户信息(用户名、密码及其他属性等),由ME60 完成对 用户的认证。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件 条件限制。 ★RADIUS 认证: ME60 作为客户端,与RADIUS 服务器通信。在RADIUS 服务器上配
            2013-8-16 华为机密,未经许可不得扩散 第 29 页, 共 75 页

            文档名称

            文档密级:

            置用户信息,ME60 将用户名和密码通过RADIUS 协议传送给RADIUS 服务器, RADIUS 服务器完成对用户的认证并将认证结果反馈给ME60。 ★HWTACACS 认证: ME60 作为客户端,与HWTACACS服务器通信。在HWTACACS 服务器上配置用户信息,ME60 将用户名和密码通过HWTACACS 协议传送给HWTACACS 服务器, HWTACACS服务器完成对用户的认证并将认证结果反馈给ME60。 授权功能: 指定用户可以使用哪些服务。ME60 支持四种授权模式,如下所示。 直接授权 表示运营商对用户非常信任,直接授权。 本地授权 根据ME60 配置的用户属性对用户进行授权。 RADIUS 认证成功后授权。RADIUS 协议的认证和授权是绑定在一起的,不能单独使用 RADIUS 进行授权。 HWTACACS 授权 由HWTACACS 服务器对用户进行授权。 计费功能: 记录用户使用网络资源的情况。ME60 支持三种计费模式,如下所示。 不计费: ME60不对用户进行计费。 RADIUS 计费: ME60 将计费报文送往RADIUS 服务器,由RADIUS 服务器完成对用户 的计费。 HWTACACS 计费: ME60 将计费报文送往HWTACACS 服务器,HWTACACS 服务器完成对用户的计费。在RADIUS/HWTACACS 计费模式中,正常情况下ME60 在用 户上线和下线时各生成一份计费报文传送给服务器, 服务器根据计费报文中的信息 (上下线 时间、使用流量等)对用户进行计费。 ME60 支持实时计费功能。 实时计费功能是指用户在线过程中, ME60 定时生成计费报文传 送给服务器。通过实时计费功能,ME60 可以在其和服务器通信中断时,最大程度的减少计 费异常的时间。 在本期项目中,我们主要采用RADIUS的认证方式,通过RADIUS服务器,设备可以提供 以下控制功能: 用户认证:对用户名及口令进行认证; 用户认证:对用户名及口令进行认证; 计费记录:通过对用户在线时间或流量等进行计费; 用户授权:给用户授权,如授权成为l2tp 用户;
            2013-8-16 华为机密,未经许可不得扩散 第 30 页, 共 75 页

            文档名称

            文档密级:

            用户带宽指定:通过RADIUS 设定QOS 属性名称来实现用户带宽属性; 预付费实时断线:根据时长或流量对用户进行下线操作; 用户帐号和VLAN 绑定:通过RADIUS 为用户绑定VLAN 号来防止盗号和漫游的发生; 指定用户 ACL :通过RADIUS 返回ACL 字符串来对用户行为进行访问控制; 异常断线信息传递:通过接收ME60 发出的PPPOE 错误代码来判断用户的下线原因。 2.4.1 本次项目中RADIUS配置参数 RADIUS 服务器地址 221.13.223.140 认证端口号 1645 计费端口号 1646 ME60 的RADIUS 通讯字符串:henancnc 2.4.2 RADIUS配置范例及注释 RADIUS相关配置在系统模式下进行。 radius-server source interface LoopBack0 [定义与 RADIUS 交互报文携带的源地址为 LOOPBACK0 的地址] radius-server group dial [建立 RADIUS 服务器组,名称为 DIAL,后面的用户域会引用这个服务器组作认证] radius-server shared-key henancnc authentication 221.13.223.140 1645 weight 0 radius-server shared-key henancnc accounting 221.13.223.140 1646 weight 0 [定义 RADIUS 服务器的地址与端口号] radius-server shared-key henancnc [与服务器交互的 KEY,必须与 server 端一致] radius-server class-as-car [这条命令和 QOS 有关, ME60 会将服务器端返回的 CLASS 属性当中的值解释为对已通过 认证用户的 CAR 值,从而达到对用户限速的目的。对用户的速度限制是在 RADIUS 上定 义的。] radius-server source interface LoopBack0 undo radius-server user-name domain-included [该命令定义用户认证的时候,向 RADIUS 发送用户名的时候不带域名]
            2013-8-16 华为机密,未经许可不得扩散 第 31 页, 共 75 页

            文档名称

            文档密级:

            基本 RADIUS 定义完毕后,我们需要定义一个 authentication-scheme,这项配置 用来定义用户域中的用户使用何种认证方式来认证。 缺省情况下, authentication-scheme 的认证方式为 RADIUS。authentication-scheme 的配置在 AAA 视图下进行。 AAA authentication-scheme radius [定义一个名称为 RADIUS 的 authentication-scheme。由于缺省采用 RADIUS 认证, 所以不用再配置额外命令] 定义完 RADIUS-server group 以及 authentication-scheme 以后,我们在用户域 中对二者进行引用,范例如下: domain dial authentication-scheme radius [该域用名称为 RADIUS 的 SCHEME 来进行认证] accounting-scheme radius service-type hsi [将该域的模式配置成 HIS 模式,PPPOE 的域都要配置成该模式] radius-server group dial [指定使用的 RADIUS 服务器组] 对于用户的认证,如果用户上送的用户名携带域名,则不管用户从哪个端口上线,设 备都会把该用户放到相应的域中进行认证; 如果用户上送的用户名不携带域名, 则将该用户 放到端口下配置的缺省域中去完成认证。 在设备中,除了对拨号用户进行认证的 DIAL 域之外,还有另外几个域,简述如下: 1、网管域,主要用于对下挂网络设备进行管理使用,将下挂网络设备均作为 2 层静 态 IP 用户进行管理。配置范例如下: domain wangguan authentication-scheme accounting-scheme ip-pool wangguan [认证和计费均为 default 0,表示不认证,不计费] 2、CNC 域,主要用作用户下载宽带拨号程序使用,除了下载页面,该域中的用户不 允许方问起他地址。配置范例如下: domain cnc
            2013-8-16 华为机密,未经许可不得扩散 第 32 页, 共 75 页

            default0

            default0

            文档名称

            文档密级:

            authentication-scheme accounting-scheme user-group help ip-pool help

            local

            default0

            3、IPTV 域,该域用作 IPTV 用户访问相关服务器使用,该域中的用户不得访问其他 地址。配置范例如下: domain iptv.ha authentication-scheme accounting-scheme ip-pool iptv 2.4.3 RADIUS 状态查看 状态查看在用户模式或者系统模式下进行。 ★ 服务器状态查看 <YiTuo-ME60>display radius-server configuration RADIUS source interface : LoopBack0 radius

            radius

            RADIUS no response packet count : 10 RADIUS auto recover time(Min) :3

            --------------------------------------------------------Server-group-name : dial

            Authentication-server: IP:221.13.223.140 Port:1645 Weight[0] [UP] Vpn: share-key: henancnc Accounting-server : IP:221.13.223.140 Port:1646 Weight[0] [UP] Vpn: share-key: henancnc Protocol-version Shared-secret-key Retransmission : radius : henancnc : 3

            Timeout-interval(s) : 5
            2013-8-16 华为机密,未经许可不得扩散 第 33 页, 共 75 页

            文档名称

            文档密级:

            Acct-Stop-Packet Resend : NO Acct-Stop-Packet Resend-Times : 0 --------------------------------------------------------Total 1,1 printed ★ 查看用户状态信息 1、查看所有用户概况 <YiTuo-ME60>display access-user ------------------------------------------------------------------Total users Normal users Admin users Wait authen-ack Authentication finish Accounting ready Realtime accounting Wait leaving-flow-query Wait accounting-start Wait accounting-stop Wait authorization-client Wait authorization-server : 979 : 979 :0 :0 : 979 : 10 : 969 :0 :0 :0 :0 :0

            ------------------------------------------------------------------Domain-name Current-User Online-User

            ------------------------------------------------------------------default0 default1 default_admin static dial test
            2013-8-16

            :0 :0 :0 :0 : 969 :0
            华为机密,未经许可不得扩散

            :0 :0 :0 :0 :969 :0
            第 34 页, 共 75 页

            文档名称

            文档密级:

            wangguan cnc iptv.ha test-1

            : 10 :0 :0 :0 :0 :0 :0

            :10

            ----------------------------------------------------------------------------The used userid table are 196 48343 49311 55235 55276 57949 2、查看单个用户详细信息 该命令需要利用到上一个命令输出的 USER-ID <YiTuo-ME60>dis access-user user-id 69846 55393 55692 56633 56862 57130 57839 49328 52252 53841 53999 54350 54974 3032 3049 : 11324 11327 11358 33152

            User access index User name Domain-name User access Interface QinQVlan/UserVlan User MAC User IP address Authen server ip address User access type Service-type User authentication type Normal-server-group Two-level-acct-server-group
            2013-8-16

            : 69846 : 2:3uSG2MxeXV2 : dial : GigabitEthernet1/0/9.802 : 802/309 : 00e0-4cbc-c4c3 : 61.168.104.251 : 221.13.223.140 : PPPoE : HSI : PPP authentication : dial :第 35 页, 共 75 页

            华为机密,未经许可不得扩散

            文档名称

            文档密级:

            Physical-acct-server-group Authen method Current authen method Authen result Action flag Authen state Author state Accounting method User access time Accounting start time Accounting state EAP user MD5 end User MSIDSN name Idle-cut-data (time,rate) VPN instance GRE group UserGroup QOS-profile-name Multicast-profile UpPriority DownPriority Policy-route-nexthop Up CAR enable Up committed information rate Up peak information rate Down shaping enable

            :: RADIUS : RADIUS : Success : Idle : Authed : Idle : RADIUS : 2008/06/07 11:07:21 : 2008/06/07 11:07:21 : Accounting : No : No :: 0 minute, 60 Kbyte/minute : -::: 2m ::0 :0 :: Yes : 2098 (Kbps) : 0 (Kbps) : Yes

            Down committed information rate : 2098 (Kbps) Down peak information rate
            2013-8-16

            : 2098 (Kbps)
            第 36 页, 共 75 页

            华为机密,未经许可不得扩散

            文档名称

            文档密级:

            QOS schedule mode Up packets number(high,low) Up bytes number(high,low) Down packets number(high,low) Down bytes number(high,low) Time remained Option82 information 2.4.4 RADIUS 故障排除方法

            : DEFAULT : (0,622) : (0,91263) : (0,574) : (0,343789) : 172544(s) :-

            1)可以将验证方式更改为none;这样可以让用户直接拨号,如果可以pppoe 成功,说明用 户到ME60的2 层通路没有问题; 2)也可以改为方式为local,在ME60 上创建用户和密码,让用户使用该帐号和密码登陆, 如果成功,说明用户到ME60 间的二层通路没有问题; local-aaa-server user test@test password simple test [配置本地用户并创建密码]

            2.5 QOS 带宽管理 商务宽带用户管理系统用户认证时, 用户带宽速率信息由润汇系统定时更新给商务宽带 系统。用户拨号认证时,由RADIUS(商务宽带计费系统)下发用户带宽信息给BAS,通过 BAS 实现带宽控制,统一进行带宽管理,接入设备上对端口带宽可完全放开,便于今后的 管理和维护。 BAS 上需要配置相应的带宽控制策略。目前BAS 上配置的带宽策略有:512K,1M, 2M,4M,6M,8M,10M;对于各地市不同的带宽需求,需要在相应的BAS 和RADIUS 上 添加不同控制策略。 2.5.1 两类QOS配置 1、RADIUS服务器下发的QOS配置策略。该策略由RADIUS认证用户并通过后下发至ME60, ME60通过在RADIUS配置中配置 CLASS-AS-CAR命令来解释该属性,并依据该属性来对用户进 行限速。 2、ME60本机定义的限速策略,通过定义调度模板、
            2013-8-16 华为机密,未经许可不得扩散

            qos模板并在用户域下引用QOS
            第 37 页, 共 75 页

            文档名称

            文档密级:

            模板来实现对整个域下用户的限速。 以上两种QOS机制如果同时配置,RADIUS下发的策略优先生效。

            2.5.2 配置设备接收RADIUS服务器策略配置 radius-server group dial radius-server class-as-car 2.5.3 ME60 本机 QOS 策略配置 1、定义调度模板 scheduler-profile 10m car cir 10000 cbs 1875000 pbs 1875000 upstream car cir 10000 cbs 1875000 pbs 1875000 downstream gts cir 10000 queue-length 65536 # scheduler-profile 1m car cir 1000 cbs 187500 pbs 187500 upstream car cir 1000 cbs 187500 pbs 187500 downstream gts cir 1000 queue-length 65536 # scheduler-profile 2m car cir 2000 cbs 375000 pbs 375000 upstream car cir 2000 cbs 375000 pbs 375000 downstream gts cir 2000 queue-length 65536 # scheduler-profile 4m car cir 4000 cbs 750000 pbs 750000 upstream car cir 4000 cbs 750000 pbs 750000 downstream gts cir 4000 queue-length 65536 # scheduler-profile 512k
            2013-8-16 华为机密,未经许可不得扩散 第 38 页, 共 75 页

            文档名称

            文档密级:

            car cir 512 cbs 93750 pbs 93750 upstream car cir 512 cbs 93750 pbs 93750 downstream gts cir 512 queue-length 65536 # scheduler-profile 6m car cir 6000 cbs 1125000 pbs 1125000 upstream car cir 6000 cbs 1125000 pbs 1125000 downstream gts cir 6000 queue-length 65536 # scheduler-profile 8m car cir 8000 cbs 1500000 pbs 1500000 upstream car cir 8000 cbs 1500000 pbs 1500000 downstream gts cir 8000 queue-length 65536 2、定义 QOS 模板,该模板需要引用前面定义的调度模板 qos-profile 10m scheduler-profile 10m # qos-profile 1m scheduler-profile 1m # qos-profile 2m scheduler-profile 2m # qos-profile 4m scheduler-profile 4m # qos-profile 512k scheduler-profile 512k #
            2013-8-16 华为机密,未经许可不得扩散 第 39 页, 共 75 页

            文档名称

            文档密级:

            qos-profile 6m scheduler-profile 6m # qos-profile 8m scheduler-profile 8m # qos-profile default 3、在用户域下应用 QOS 模板。 domain 1m qos profile 1m

            2.6 PPPOE 配置 2.6.1 概述 在实际业务环境中PPPOE 拨号用户分以下两种: 1) LAN 用户:通过交换机端口进行拨号,这种用户在接入层交换机上将用户VLAN 号透 传给ME60 来建立拨号线路; 2) DSLAM 用户:用户通过ADSL 分流器将数字信号导入DSLAM,DSLAM 为用户分配特定的 VLAN号,由汇聚层交换机将用户VLAN 透传给ME60;原则上,所有接入层设备上联接口均启 用TRUNK,用户VLAN 或QinQ VLAN 透传至BAS 端口; 用户可使用客户端进行PPPOE 拨号;目前商务宽带系统启用建议新增用户采用PPPOE 方式进行管理。 拨号过程: 用户发起PPPOE 拨号请求, 由ME60 终结PPPOE 连接, 通过RADIUS 来进行用户认证,用户认证通过后,由ME60 为用户分配IP 地址、DNS 服务器地址等。 PPPOE基本配置如下: 1 配置虚模板接口 2 配置认证方案 3 配置计费方案 4 配置RADIUS 服务器组/HWTACACS 服务器模板 5 配置IPv4 地址池 6 配置域
            2013-8-16 华为机密,未经许可不得扩散 第 40 页, 共 75 页

            文档名称

            文档密级:

            7 为接口指定虚模板接口(对PPPoE、PPPoEoVLAN、PPPoEoQ 接入有效) 8 子接口绑定VLAN(只对PPPoEoVLAN、PPPoEoQ 接入有效) 9 配置BAS 接口 2.6.2 PPPOE相关配置 1、配置PPP虚拟模板 interface Virtual-Template1 ppp authentication-mode auto ppp keepalive interval 30 retransmit 3 tcp adjust-mss 1400 [建立 PPP 虚模板,在其中可以定义 PPPOE 的一些特性。比如第一行定义了 PPP 使用的认 证方法为自适应, 也就是根据拨号客户端的方法来决定 ME60 的认证方式。 PPP keepalive 定义 PPP 协议 LCP 探测报文的发送频率,此处我们配置每 30 秒发送一次,重传频率为 3, 这样,只要在 90 秒内可以接收到用户反馈,即认为用户在线。] 2、配置认证方案 authentication-scheme radius 3、配置计费方案 accounting-scheme radius accounting start-fail online

            4、配置 RADIUS 服务器组 radius-server group dial radius-server shared-key henancnc authentication 221.13.223.140 1645 weight 0 radius-server shared-key henancnc accounting 221.13.223.140 1646 weight 0 radius-server shared-key henancnc radius-server class-as-car radius-server source interface LoopBack0 undo radius-server user-name domain-included

            5、配置 IPV4 地址池
            2013-8-16 华为机密,未经许可不得扩散 第 41 页, 共 75 页

            文档名称

            文档密级:

            ip pool dial local gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187

            dns-server 202.102.224.68 dns-server 202.102.227.68 secondary 6、配置域 domain dial authentication-scheme radius [该域用名称为 RADIUS 的 SCHEME 来进行认证] accounting-scheme radius service-type hsi [将该域的模式配置成 HIS 模式,PPPOE 的域都要配置成该模式] radius-server group dial [指定使用的 RADIUS 服务器组] ip-pool dial [指定该域使用的地址池] qos profile 2m [指定该域使用的 QOS 模板] 7 为接口指定虚模板接口 interface GigabitEthernet1/0/9.600 pppoe-server bind Virtual-Template 1

            8、子接口绑定VLAN interface GigabitEthernet1/0/9.600 user-vlan 256 1000 QinQ 802

            9 配置BAS 接口 interface GigabitEthernet1/0/9.600 bas access-type layer2-subscriber default-domain authentication dial

            2.7 用户认证域选择
            2013-8-16 华为机密,未经许可不得扩散 第 42 页, 共 75 页

            文档名称

            文档密级:

            1、对于上送用户名带域名的情况,设备将其送入相应的域进行认证。 2、用户VLAN绑定端口认证 access-type layer2-subscriber default-domain authentication dial 对于没有携带域名的用户名,在端口下绑定了相应VLAN,送入该端口下缺省的域进行认 证,上述命令中设置缺省域是DIAL域。

            2.8 反向路由检测 URPF(Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能 是防止基于源地址欺骗的网络攻击行为。

            之所以称为 “逆向”,是针对正常的路由查找而言的。一般情况下,路由器接收到报文, 获取报文的目的地址,针对目的地址查找路由,如果找到了就转发报文,否则丢弃该报文。 URPF 通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应 的接口是否与入接口匹配。 如果不匹配, 认为源地址是伪装的, 丢弃该报文。 通过这种方式, URPF 就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。源地址欺骗攻 击模型如下。

            在 RouterA(客户网络)所连接的主机上伪造源地址为 2.1.1.1 的报文,向 RouterB 发 起请求, RouterB 回应请求时将向真正的 “2.1.1.1” 发送报文。 这种报文对 RouterB 和 RouterC 都造成了攻击。 ME60 所支持的 URPF ME60 支持对某接口下的所有 IP 报文通过如下两种方式进行 URPF 检查:

            2013-8-16

            华为机密,未经许可不得扩散

            第 43 页, 共 75 页

            文档名称

            文档密级:

            ? 松散检查:对于进入该接口的 IP 报文,ME60 检查转发表中是否存在到 IP 报文源地址的 表项。如果存在,则 URPF 检查通过。 ? 严格检查:对于进入该接口的 IP 报文,ME60 检查转发表中是否存在到 IP 报文源地址的 表项。如果不存在,则 URPF 检查不通过。如果存在,则继续检查该表项的出接口是否为 IP 报文进入的接口。如果两个接口一致,则 URPF 检查通过。 ME60 还支持对符合某类特征的报文进行 URPF 检查。此类 URPF 检查通过基于类的 QoS 的来 实现。配置实现过程如下:

            1. 在 ME60 上创建并配置 traffic classifier,设置 QoS 流分类,用于识别符合某类特征的报 文。

            2. 在 ME60 上创建并配置 traffic behavior, 设置 QoS 动作为 URPF 检查。 具体请参见 “8.2.3 (可选)配置对某类报文进行 URPF 检查”。 3. 在 ME60 上创建流量策略 traffic policy,设置对某类报文进行 URPF 检查。 4. 在接口上或者某业务策略中应用该流量策略。也可全局应用该流量策略,此时对所有符 合条件的报文进行 URPF 检查 URPF 配置范例 步骤 1 步骤 2 步骤 3 执行命令 system-view,进入系统视图。 执行命令 interface interface-type interface-number,进入接口视图。 执行命令 ip urpf { loose | strict },使能接口 URPF 功能。

            由于 ME60 拥有 2 条上行连路,我们建议使用 LOOSE 方式。 2.9 DHCP RELAY 配置

            ME60 支持DHCP server 和relay,可以根据需要进行配置,但是因为DHCP 无法进行认 证,所以通常把ME60 设置成Relay,由专用的DHCP server 来进行分配地址并通过后台来实
            2013-8-16 华为机密,未经许可不得扩散 第 44 页, 共 75 页

            文档名称

            文档密级:

            现认证。 目前全省机顶盒用户通过DHCP 方式来获取IP 地址,对类型机顶盒用户,也可延用原 DHCP relay方式。 ME60 作为DHCP relay 来中继机顶盒用户与DHCP 服务器之间的DHCP 连接, 实现机顶盒用户的动态地址分配。 以下是配置范例 步骤 1 配置 DHCP 服务器

            # 配置 DHCP 服务器组。 [Quidway] dhcp-server group group1 [Quidway-dhcp-server-group-group1] dhcp-server 40.40.40.2 [Quidway-dhcp-server-group-group1] quit # 配置 DHCP 全局参数。 [Quidway] dhcp invalid-server-detecting 60 [Quidway] dhcp check-server-pkt strict 步骤 2 配置远端地址池

            [Quidway] ip pool isp2_pool remote [Quidway-ip-pool-isp2_pool] gateway 30.30.30.1 255.255.255.0 [Quidway-ip-pool-isp2_pool] dhcp-server group group1 [Quidway-ip-pool-isp2_pool] quit 步骤 3 配置 isp2 域

            [Quidway] aaa [Quidway–aaa] domain isp2 [Quidway-aaa-domain-isp2] ip-pool isp2_pool 2.10 IP 综合网管设备配置要求

            2013-8-16

            华为机密,未经许可不得扩散

            第 45 页, 共 75 页

            文档名称

            文档密级:

            2.10.1 访问控制列表设置(用于限制远程登录和 SNMP 采集的访问地址) 地址段范围: IP 网管段:61.163.204.0-61.163.207.255 本地网管段:指本市管理设备时的网管地址段 省网管地址段:218.29.255.0/24 汇地址段:202.111.142.0-202.111.142.63 218.29.0.224-218.29.0.255 全网的互连设备地址段:61.168.254.0/23 我们在配置设备的时候,需要把上述地址段做成 ACL,然后应用在 VTY 接口下。本地市 网管地址段请向地市公司索取。 在初期调试的时候,我们可以先不加这些访问控制,以便于远程登录进行设备调试。

            2.10.2 TELNET 用户名和密码 首先设置本机用户及密码,以用来远程登录设备。 2.10.3 SNMP 配置 这是网管系统对网络设备进行管理的主要方式, 设备配置信息的获取、 设备性能数据的 采集、设备端口流量获取都是基于 snmp 来进行的。因此需要在每台可管理的网络设备中配 置只读 community,字符串要求 8 位及以上数字、字母、符号的混编组合。对 SNMP 的访问 源要严格按照第一条进行限制。 配置示例(假 IP 地址)
            <Quidway> system-view [Quidway]snmp-agent [Quidway]snmp-agent community read snmp_ro_password [Quidway]snmp-agent community write snmp_rw_password [Quidway]snmp-agent sys-info version all [Quidway]snmp-agent

            acl 2100 acl 2100

            target-host

            trap

            address

            udp-domain

            211.142.189.39

            params

            securityname snmp_ro_password
            [Quidway]snmp-agent trap enable standard

            LoopBack0 [Quidway] acl number 2100 [Quidway -acl-basic-2100]description This acl is used in SNMP [Quidway -acl-basic-2100]rule 10 permit source 211.142.189.39 0
            [Quidway]snmp-agent trap source

            2.10.4 SYSLOG 配置 本期项目我们的设备需要向省公司 SYSLOG 传送 log 信息,具体规定如下:
            2013-8-16 华为机密,未经许可不得扩散 第 46 页, 共 75 页

            文档名称

            文档密级:

            配置网络设备发送 syslog 到网管服务器 汇聚层设备 syslog 目标:61.163.204.13 Zan/ban/Dslam 设备 syslog 目标:61.163.204.14 级别:warning 及其以上 源端口为:Loopback0 华为设备使用 local3 按照以上规定,NE40E 需要发送 LOG 至 61.163.204.13。 配置示例:
            <Quidway> system-view [Quidway] info-center enable [Quidway] info-center logbuffer size 1024 [Quidway] info-center loghost 61.163.204.13 facility 3 [Quidway] info-center loghost source loopback 0 [Quidway] info-center timestamp trap date [Quidway] info-center timestamp log date [Quidway] info-center timestamp debugging date [Quidway] info-center source default channel 2 log level

            warnings

            2013-8-16

            华为机密,未经许可不得扩散

            第 47 页, 共 75 页

            文档名称

            文档密级:

            3、ME60 承载业务及配置规范 3.1 承载业务类型 商务宽带系统可以提供更丰富的业务种类和计费方式;常用的业务类型有以下几类: 1) 普通上网业务(采用PPPOE 拨号); 2) 卡类业务(采用PPPOE 拨号); 3) 固定IP 上网业务; 4) VPDN 业务(采用PPPOE 拨号); 5) 机顶盒业务(采用PPPOE 拨号,或者延用DHCP 方式); 6) 三层MPLS VPN 业务; 7) 二层MPLS VPN 业务; 8) VPLS 业务等; 下面将对各种业务的配置做一介绍。 3.2 普通PPPOE 上网业务 3.2.1 业务概述 1) 普通PPPOE 上网用户强制使用新版双栈客户端软件拨号上网。客户端软件和 RADIUS 系统通过对应的加密、解密算法,实现强制客户端; 2) 该业务通过ME60 的dial 域t承载;用户地址池、RADIUS、AAA 等都通过dial 域 承载; 3) 用户使用其账号直接进行拨号,不带任何域名后缀; 4) 对于采用QinQ 的用户,实现账号和端口的唯一性绑定;具体实现参考下面帐号管 理规范; 5) 对于不采用QinQ 的用户,用户会绑定到一个区域(DSLAM,BAN 或者ZAN,视网络 结构决定)。 6) 对于新开用户直接配发新版本双栈客户端; 7) 对于需要割接用户,割接前提前几天进行新版双栈客户端软件推送;割接后自动切 换至PPPOE方式拨号; 3.2.2 ME60 配置规范 以郑州大同路节点为例: router id 125.40.254.109 #
            2013-8-16 华为机密,未经许可不得扩散 第 48 页, 共 75 页

            文档名称

            文档密级:

            vlan batch 536 radius-server group radius radius-server shared-key henancnc authentication 221.13.223.140 1645 weight 0 radius-server shared-key henancnc accounting 221.13.223.140 1646 weight 0 radius-server shared-key henancnc radius-server class-as-car radius-server source interface LoopBack0 interface Virtual-Template1 ppp authentication-mode auto ppp keepalive interval 30 retransmit 3 tcp adjust-mss 1400 interface GigabitEthernet1/0/0 mtu 1524 description ZYL_CRS-1 GE 0/1/1/4 ip address 123.5.249.178 255.255.255.252 ospf network-type p2p mpls mpls ldp negotiation auto interface GigabitEthernet1/0/1 mtu 1524 description EQL_CRS-1 GE GigabitEthernet0/7/0/3 ip address 123.5.249.182 255.255.255.252 ospf network-type p2p mpls mpls ldp negotiation auto interface GigabitEthernet1/0/2.301 pppoe-server bind Virtual-Template 1 mtu 1524 description 3/1-A2647-beier7jia user-vlan 256 458 QinQ 301 user-vlan 460 515 QinQ 301 user-vlan 517 703 QinQ 301 user-vlan 705 710 QinQ 301 user-vlan 712 777 QinQ 301 user-vlan 779 803 QinQ 301 user-vlan 805 857 QinQ 301 user-vlan 859 981 QinQ 301
            2013-8-16 华为机密,未经许可不得扩散

            //配置上行端口//

            //配置用户侧端口//

            第 49 页, 共 75 页

            文档名称

            文档密级:

            user-vlan 983 1023 QinQ 301 bas access-type layer2-subscriber default-domain authentication dial # interface GigabitEthernet1/0/2.303 pppoe-server bind Virtual-Template 1 mtu 1524 description 3/3-A2685-beier9j user-vlan 256 306 QinQ 303 user-vlan 308 367 QinQ 303 user-vlan 369 396 QinQ 303 user-vlan 398 459 QinQ 303 user-vlan 461 640 QinQ 303 user-vlan 642 693 QinQ 303 user-vlan 695 698 QinQ 303 user-vlan 700 809 QinQ 303 user-vlan 811 1023 QinQ 303 bas access-type layer2-subscriber default-domain # interface GigabitEthernet1/0/2.304 pppoe-server bind Virtual-Template 1 mtu 1524 description 3/4-A2686-beier10j user-vlan 256 1023 QinQ 304 bas access-type layer2-subscriber default-domain # interface GigabitEthernet1/0/2.305 pppoe-server bind Virtual-Template 1 description 3/5-a4129-beier11-1 user-vlan 256 424 QinQ 305 user-vlan 426 1023 QinQ 305 bas access-type layer2-subscriber default-domain # interface GigabitEthernet1/0/2.306 pppoe-server bind Virtual-Template 1 description 3/6-a4130-beier12-1 user-vlan 256 1023 QinQ 306 bas access-type layer2-subscriber default-domain #
            2013-8-16

            authentication dial

            authentication dial

            authentication dial

            authentication dial
            第 50 页, 共 75 页

            华为机密,未经许可不得扩散

            文档名称

            文档密级:

            interface GigabitEthernet1/0/2.315 pppoe-server bind Virtual-Template 1 mtu 1524 description 3/15-A2669-beier8j user-vlan 256 476 QinQ 315 user-vlan 478 503 QinQ 315 user-vlan 505 620 QinQ 315 user-vlan 622 623 QinQ 315 user-vlan 625 647 QinQ 315 user-vlan 649 740 QinQ 315 user-vlan 742 779 QinQ 315 user-vlan 781 802 QinQ 315 user-vlan 804 980 QinQ 315 user-vlan 982 1019 QinQ 315 user-vlan 1021 1023 QinQ 315 bas access-type layer2-subscriber default-domain authentication dial bgp 65130 router-id 125.40.255.109 group ha-zz internal peer ha-zz password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! peer ha-zz connect-interface LoopBack0 peer 61.168.255.205 as-number 65130 peer 61.168.255.205 group ha-zz peer 61.168.255.206 as-number 65130 peer 61.168.255.206 group ha-zz # ipv4-family unicast undo synchronization import-route direct import-route static import-route unr peer ha-zz enable peer ha-zz route-policy setcommunity export
            2013-8-16 华为机密,未经许可不得扩散 第 51 页, 共 75 页

            文档名称

            文档密级:

            peer ha-zz next-hop-local peer ha-zz advertise-community peer 61.168.255.205 enable peer 61.168.255.205 group ha-zz peer 61.168.255.206 enable peer 61.168.255.206 group ha-zz ipv4-family vpnv4 policy vpn-target peer ha-zz enable peer ha-zz next-hop-local peer 61.168.255.205 enable peer 61.168.255.205 group ha-zz peer 61.168.255.206 enable peer 61.168.255.206 group ha-zz //配置BGP协议//

            ip pool dial local gateway 123.14.64.1 255.255.240.0 section 0 123.14.64.2 123.14.79.254 dns-server 202.102.224.68 dns-server 202.102.227.68 secondary # ip pool dial1 local gateway 123.14.240.1 255.255.240.0 section 0 123.14.240.2 123.14.247.254 dns-server 202.102.224.68 dns-server 202.102.227.68 secondary //配置地址池//

            aaa authentication-scheme local
            2013-8-16 华为机密,未经许可不得扩散 第 52 页, 共 75 页

            文档名称

            文档密级:

            authentication-mode local authentication-scheme radius accounting-scheme radius accounting start-fail online //配置认证方式与计费方式//

            domain dial authentication-scheme accounting-scheme radius radius

            radius-server group dial ip-pool dial ip-pool dial1 //配置DIAL域//

            ospf 1 router-id 61.168.251.248 silent-interface LoopBack0 area 0.0.1.115 network 123.5.249.176 0.0.0.3 network 123.5.249.180 0.0.0.3 network 125.40.254.109 0.0.0.0 network 219.155.49.244 0.0.0.3 //配置OSPF协议//

            3.2.3 帐号管理规范 宽带注册用户资料均由DHCP 系统导入到商务宽带系统。账号遵循一定的命名规则和原 润汇系统相同,账号共11 位由大写字母和数字组成,首2 位为地市缩写,第3 位为业务类 型代码(xDSL 为x,LAN 为K 等等),用户使用注册的账号密码登陆网络。用户首次成功进 行PPPoE 拨号上网后,将自动通知润汇系统关闭DHCP 的接入功能。管理员必须使用具有宽 带管理权限的账号登陆商务宽带系统, 运用宽带接入业务管理功能对宽带注册用户进行各类 维护及故障处理。对用户可进行带宽设置,唯一、唯n 性设置,代理数设置,强制客户端设 置等。原则上对宽带注册用户均需要进行端口绑定,在用户第一次登陆时,系统自动收集并 反填用户绑定信息, 可有效防止用户帐号漫游。 对于PPPOE 方式的移机用户需要手工将帐号
            2013-8-16 华为机密,未经许可不得扩散 第 53 页, 共 75 页

            文档名称

            文档密级:

            和原端口解绑定,用户在新址上网后重新完成新端口的绑定。对于二级汇聚下的注册用户, 也应进行端口绑定,但是如果此时未起QinQ,则用户会绑定到一个区域(DSLAM,BAN 或者 ZAN,视网络结构不同而不同)。割接后的故障处理、认证失败记录查询均在商务宽带计费 系统中进行,对绑定信息的修改也在商务宽带计费系统中进行,其他用户信息修改(状态修 改、带宽修改、限制用户数、代理数等)需要在97 系统或者润汇受理系统中进行,并等待 修改的数据通过接口传入商务宽带系统后, 修改才能够生效 (默认为润汇系统修改后5 分钟 生效)。

            3.3 校园网卡类业务 3.3.1 业务概述 1) 卡类业务与普通PPPOE 上网用户同样强制使用新版双栈客户端软件拨号上网。 2) 该业务也通过ME60 的dial context 承载; 3) 用户采用加后缀域名(@xyxf)方式拨号上网; 4) 限卡类业务在本地区院校所有DSLAM 间进行漫游; 5) 对于新开用户直接配发新版本客户端; 6) 对于需要割接用户,割接前提前几天进行新版双栈客户端软件推送;割接后自动切 换至PPPOE方式拨号;

            3.3.2 配置规范 配置规范同普通PPPOE 上网业务; 3.3.3 账号管理说明

            3.3.3.1 卡用户 各地市所属院校DSLAM 割接完成以后, 由省公司根据地市需要统一制卡后分发到各地市 使用。卡可以限制在固定的区域内使用,认证计费系统也不对卡用户进行与端口对应的详细 绑定,实现校园卡只允许在校园内使用的功能。 卡用户必须带指定的卡域名才能登陆,不带域名或者域名错误均不能通过认证。

            3.3.3.2 系统参数配置
            2013-8-16 华为机密,未经许可不得扩散 第 54 页, 共 75 页

            文档名称

            文档密级:

            为校园卡用户配置一种单独的系统组别, 在该组别的接入属性中进行限制, 限制校园卡 用户的上网范围。注:在发行卡之前,必须明确提供该批卡用户允许接入的访问资源信息 (nasip、port、slot、subslot、svlan 等)。如果制卡时,网络结构不能完全明确而导致 详细信息无法确定,至少需要提供卡区域的规划信息(例如:某地市某区域,预计开卡张数 等),待详细信息确定后,对该卡批次进行修改,实现区域绑定。

            3.3.3.3 数据生成 省公司根据地市需要统一制卡。

            3.3.3.4 用户管理 因为卡用户资料仅存在于商务宽带系统中, 所以卡的管理 (信息修改、 故障查询及处理) 均完全在商务宽带系统卡业务管理模块进行。

            3.3.3.5 用户自服务 卡用户的自服务系统地址为http://www.163.ha.cn/ 。 系统提供卡用户清单查询 (仅显 示时长,不显示费用)、卡密码修改、对于时长卡系统提供剩余时长查询、金额卡系统提供 余额查询的自服务功能。各地市在推广业务时,可以同时宣传此自服务系统。

            3.4 VPDN 业务 3.4.1 业务概述 1) VPDN 用户采用PPPOE 方式,使用帐号加域名后缀(例如中福在线用户后缀:zfzx.ha) 方式拨号;对于VPDN 用户,不强制使用客户端软件; 2) 该业务通过ME60 的dial context 承载; 3) RADIUS、AAA 等都通过dial域 完成,配置与普通上网用户配置相同; 4) 用户VLAN 配置与普通PPPOE 上网业务相同; 5) 对于不同的VPDN 用户, 采用不同的后缀域名拨号。 ME60将用户名和后缀域名全部信息送 给RADIUS 系统进行认证, 由RADIUS 根据不同的后缀域名进行用户识别, 并返回相应的L2TP 相应属性。 3.4.2 ME60 配置规范
            2013-8-16 华为机密,未经许可不得扩散 第 55 页, 共 75 页

            文档名称

            文档密级:

            3.4.2.1 域 配置 VPDN 业务由dial 域进行承载,其他配置参见本章“普通PPPOE 上网业务”配置。 3.4.2.2 用户VLAN 和QinQ VLAN 配置 该部分配置参考本手册VLAN、QinQ VLAN 配置部分; 3.4.3 账号管理说明 VPDN 用户帐户直接在联创计费系统中开户和管理。 目前系统支持宽带、窄带VPDN。账号无特殊规定,目前均为小写字母、数字和下划线的 组合, 但必须带域名访问。 商务宽带系统将根据输入的域名, 进行认证以及确定返回给BAS 指 定域名的LNSIP、隧道口令等。vpdn 账号均不强制客户端。 管理员必须具有VPDN 系统的管理员账号(不同于宽窄带管理员账号),访问商务宽带 系统登陆页面,并在页面的子系统选择框选择VPDN/VISP 子系统登陆,进行管理。VPDN用户 可以访问自服务页面http://www.163.ha.cn/,进行密码修改等功能。 3.4.4 VPDN业务介绍 VPDN(Virtual Private Dial Network)是指利用公共网络(如ISDN 和PSTN)的拨号功 能及接入网来实现虚拟专用网,为企业、小型ISP、移动办公人员提供VPN 接入服务。 VPDN 采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业 驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络 连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。 使用L2TP 构建VPDN 的典型组网如图

            两种典型的L2TP 隧道模式
            L2TP 隧道的建立有NAS-Initialized 和Client-Initialized 两种模式。
            2013-8-16 华为机密,未经许可不得扩散 第 56 页, 共 75 页

            文档名称

            文档密级:

            ★NAS-Initialized 由远程拨号用户发起, 远程系统通过PSTN/ISDN 拨入LAC, 由LAC 通过Internet向LNS 发起建立通道连接请求。拨号用户地址由LNS 分配;对远程拨号用户的验证与计费既可由 LAC 侧的代理完成,也可在LNS 侧完成。  Client-Initialized 直接由LAC 客户(指可在本地支持L2TP 协议的用户)发起。此时LAC 客户可直接向 LNS 发起通道连接请求,无需再经过一个单独的LAC 设备。此时,LAC 客户地址的分配 由LNS 来完成。

            L2TP 根据通道建立的方式不同可分为静态或动态两种。 静态L2TP 由LAC 侧根据用户名@域名来指定隧道参数,隧道参数在ME60 指定,静 态方式下用户只能拨入特定的LAC 侧,此方式适用于拨号地点相对固定的客户; 动态L2TP 方式时LAC 侧将拨号的用户名@域名发送至radius 服务器,由radius 服务 器对用户进行认证并下发与用户关联的L2TP 隧道参数给LAC,再由LAC 来为用户建立隧 道。 在本期项目中,ME60上的配置参数由RADIUS下发,即动态隧道建立模式。

            3.4.4.1 L2TP配置介绍

            使能L2TP 功能
            步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令l2tp enable,使能L2TP 功能。 ----结束 只有使能L2TP 功能后,L2TP 功能才能使用,否则即便配置了L2TP 的参数,ME60 也 不会提供相关功能。 缺省情况下,ME60 未使能L2TP 功能。

            创建L2TP 组
            步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令l2tp-group group-name,创建L2TP 组并进入L2TP 组视图。
            2013-8-16 华为机密,未经许可不得扩散 第 57 页, 共 75 页

            文档名称

            文档密级:

            在ME60 上可以有1000 个L2TP 组,除去“default-lns”和“default-lac”,实际可以创建 998 个L2TP 组。 步骤 3 执行命令description text,配置L2TP 组的描述信息(可选)。

            设置本端隧道名
            步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令l2tp-group group-name,进入L2TP 组视图。 步骤 3 执行命令tunnel name name,设置本端隧道名称。

            配置LAC 侧的L2TP 连接
            步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令l2tp-group group-name,进入L2TP 组视图。 步骤 3 执行命令start l2tp [ ip ip-address [ weight weight ] ] &<1-8>,配置LAC 侧的L2TP 连接。

            配置隧道源接口
            步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令l2tp-group group-name,进入L2TP 组视图。 步骤 3 执行命令tunnel source interface-type interface-number,配置隧道源接口。

            指定域的L2TP 组
            步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA 视图。 步骤 3 执行命令domain domain-name,进入域视图。 步骤 4 执行命令l2tp-group group-name,指定域的L2TP 组。

            指定域用户使用RADIUS 下发的L2TP 属性
            步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA 视图。 步骤 3 执行命令domain domain-name,进入域视图。 步骤 4 执行命令l2tp-user radius-force,指定域用户使用RADIUS 下发的L2TP 属性。 ----结束
            2013-8-16 华为机密,未经许可不得扩散 第 58 页, 共 75 页

            文档名称

            文档密级:

            L2TP 组名和隧道类型两个属性必须同时下发,由RADIUS 下发的L2TP 属性方可生效,L2TP 用 户的功能才可以实现。

            3.4.4.2 配置范例 l2tp-group czt.ha mandatory-lcp start l2tp ip 10.19.66.82 tunnel source LoopBack0 //简化// //配置L2TP组//

            domain czt.ha authentication-scheme accounting-scheme radius

            radius

            radius-server group czt.ha l2tp-group czt.ha //配置域参数//

            l2tp-user radius-force

            3.5 机顶盒业务配置

            3.5.1 业务概述
            河南全省已开通大量机顶盒业务。 威科姆视频服务器目前分布在一级或二级 (县局核心) 汇聚交换机旁侧。机顶盒上线后首先访问本地门户网站。门户网站根据机顶盒的MAC 地址 返回该机顶盒最近边缘服务器(EMS,或LVS)IP 地址。机顶盒根据该地址直接访问EMS。 但是如果该EMS 上没有用户需要看的节目则机顶盒会访问中心服务器(CMS);该节目将 在闲时下发到EMS。 该类用户今后可以通过以下两种方式上网: 1) 通过PPPOE 方式,由商务宽带系统承载;这种方式机顶盒要采用PPPOE 模式,且采 用户名加域名后缀拨号。由联创radius 系统进行账号认证。建议市区及县城内割接节点下 所有机顶盒用户全部采用PPPOE 方式。 2) 延用原来DHCP 方式, 机顶盒用户仍通过原汇聚交换机采用DHCP 方式进行地址获取。 建议县城以下割接用户采用该方式。

            2013-8-16

            华为机密,未经许可不得扩散

            第 59 页, 共 75 页

            文档名称

            文档密级:

            3.5.2 延用DHCP 方式
            需要在汇聚交换机上将该类用户进行VLAN 分离; 对于QinQ 方式下可以通过增加上联 端口即可, 使其仍然通过原有方式开通; 其优点就是对于割接用户不用到用户家里修改机顶 盒配置,减小割接工作量。

            3.5.3 采用PPPOE 方式
            3.5.3.1 业务概述 1) 机顶盒用户不采用强制客户端(机顶盒不支持); 2) ME60上创建iptv context 承载机顶盒用户; 3) 机顶盒需要采用PPPOE 方式,采用帐户加后缀域名方式。对于割接的机顶盒,需 对每个用户上门服务把机顶盒修改为PPPOE 方式。 4) 割接过程中根据流量情况增加ME60到机顶盒服务器直联的汇聚交换机之间的带宽。 割接完全后需要将机顶盒服务器直接下挂ME60旁侧;避免浪费ME60与交换机之间的带宽。

            3.5.3.2 机顶盒业务配置范例 user-group iptv [定义一个 user-group, 名称为 IPTV, 这个 USER-GROUP 在后面的配置中会和一个用户 域相关联, 这样在定义访问控制列表的时候就可以引用相应 USER-GROUP, 也就是代表了 一个用户域中的所有用户, 从而形成了用户访问控制列表, 与普通访问控制列表不同的地方 是,用户访问控制列表除了地址、端口号之外,还可以定义某一批用户为源或者目的。在 ME60 上, 用户访问控制列表列表号是在 6000 以上。 对于需要对用户侧下发的访问控制列 表,都需要定义这个范围的控制列表,并在全局模式下下发。注意:在用户 ACL 中,是否 定义 USER-GROUP 是可选项。] acl number 3001 rule 5 permit ip # acl number 6000 match-order auto rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445 rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm
            2013-8-16 华为机密,未经许可不得扩散 第 60 页, 共 75 页

            文档名称

            文档密级:

            rule 55 deny udp destination-port eq 135 rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434 rule 90 deny ip source user-group help destination ip-address any rule 95 deny ip source user-group iptv destination ip-address any [ACL6000 是一个用户 ACL,前面定义了防病毒部分,最后两条定义了 HELP 以及 IPTV 里面的用户不能访问任何地址] acl number 6001 rule 5 permit ip source user-group iptv destination ip-address 202.102.249.0 0.0.0.255 rule 10 permit ip source user-group iptv destination ip-address 61.168.222.0 0.0.1.255 rule 15 permit ip source user-group iptv destination ip-address 61.168.224.0 0.0.3.255 rule 20 permit ip source user-group iptv destination ip-address 61.168.228.0 0.0.1.255 rule 25 permit ip source user-group iptv destination ip-address 61.158.216.0 0.0.1.255 rule 30 permit ip source user-group iptv destination ip-address 61.158.218.0 0.0.0.255 rule 35 permit ip source user-group iptv destination ip-address 202.102.224.68 0 rule 40 permit ip source user-group iptv destination ip-address 202.102.227.68 0 [定义了 IPTV 用户组里的用户可以访问的地址] traffic classifier limit operator or if-match acl 6000 traffic classifier action operator or if-match acl 6001 traffic behavior limit deny traffic behavior action [定义流量动作,后面定义策略的时候与流量分类相关联] # traffic policy limit classifier action behavior action classifier limit behavior limit [定义流量策略,第一条名为 ACTION 的分类中匹配到的报文,执行名为 ACTION 的流量
            2013-8-16 华为机密,未经许可不得扩散 第 61 页, 共 75 页

            文档名称

            文档密级:

            动作中所定义的动作,就是允许,第二条行为类似,但动作是拒绝。需要注意,两条策略的 顺序不能反,否则所有流量都会被拒绝] traffic-policy limit inbound traffic-policy limit outbound [由于上述策略都是针对用户侧的用户定义的,所以需要在全局下下发] interface GigabitEthernet1/0/0 mtu 1524 description To-[LY-XiGong-GSR]G1/0/4 ip address 125.45.253.178 255.255.255.252 ospf network-type p2p mpls mpls ldp # interface GigabitEthernet1/0/1 mtu 1524 description To-[LY-LaoCheng-GSR]G3/0/6 ip address 125.45.253.202 255.255.255.252 ospf network-type p2p mpls mpls ldp interface LoopBack0 ip address 125.40.254.110 255.255.255.255 [这个地址用来和 RR 建立 IPV4 BGP 邻居] # interface LoopBack10 ip address 125.40.254.111 255.255.255.255 [这个地址用来和 RR 建立 VPNV4 BGP 邻居] bgp 65130 router-id 125.40.254.110 group ha-ly-vpn internal peer ha-ly-vpn password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! peer ha-ly-vpn connect-interface LoopBack10 peer 61.168.232.245 as-number 65130 peer 61.168.232.245 group ha-ly-vpn peer 61.168.232.247 as-number 65130 peer 61.168.232.247 group ha-ly-vpn group ha-ly internal peer ha-ly password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! peer ha-ly connect-interface LoopBack0 peer 61.168.255.245 as-number 65130 peer 61.168.255.245 group ha-ly peer 61.168.255.247 as-number 65130
            2013-8-16 华为机密,未经许可不得扩散 第 62 页, 共 75 页

            文档名称

            文档密级:

            peer 61.168.255.247 group ha-ly # ipv4-family unicast undo synchronization network 61.54.44.128 255.255.255.240 network 218.28.152.32 255.255.255.240 network 218.28.152.48 255.255.255.240 network 218.28.152.136 255.255.255.248 import-route unr undo peer 61.168.232.245 enable undo peer 61.168.232.247 enable peer ha-ly-vpn enable peer ha-ly enable peer ha-ly route-policy setcommunity export peer ha-ly next-hop-local peer ha-ly advertise-community peer 61.168.255.245 enable peer 61.168.255.245 group ha-ly peer 61.168.255.247 enable peer 61.168.255.247 group ha-ly # ipv4-family vpnv4 policy vpn-target peer ha-ly-vpn enable peer ha-ly-vpn next-hop-local peer ha-ly-vpn advertise-community peer 61.168.232.247 enable peer 61.168.232.247 group ha-ly-vpn peer 61.168.232.245 enable peer 61.168.232.245 group ha-ly-vpn ip pool dial local gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68 dns-server 202.102.227.68 secondary aaa authentication-scheme radius [定义一个认证 SCHEME,名称为 radius,缺省的认证模式就是使用 RADIUS 服务器,所 以不用再配置其它命令,使用缺省就可以] domain iptv.ha authentication-scheme
            2013-8-16

            radius
            华为机密,未经许可不得扩散 第 63 页, 共 75 页

            文档名称

            文档密级:

            accounting-scheme radius ip-pool iptv ospf 1 router-id 125.40.254.110 area 0.0.1.123 network 125.40.254.110 0.0.0.0 network 125.40.254.111 0.0.0.0 network 125.45.253.176 0.0.0.3 network 125.45.253.200 0.0.0.3

            3.6 专线用户配置 专线用户一般指静态 IP 用户, ME60 上, 在 我们一般通过定义二层 subscriber 与 leasee line 两种方式来定义静态 IP 用户。在本期项目中,我们一般通过定义二层 subscriber 的 方式来定义静态 IP 用户,可以实现从地址池中连续分配地址给专线用户。 对于 leased line 用户, 需要静态用户侧静态配置 IP 地址, ME60 可以对用户进行带宽、 计费、访问控制等方面的管理。 3.6.1 通过subscriber方式定义静态IP用户 配置范例如下: ip pool static local gateway 123.7.2.1 255.255.255.0 section 0 123.7.2.2 123.7.2.254 excluded-ip-address 123.7.2.2 123.7.2.254 [定义地址池,注意,该地址池中除了网关地址外均不允许动态分配,即均使用静态分 配方式] domain static authentication-scheme accounting-scheme ip-pool static default0

            default0

            [定义静态用户所在的域,该域不认证、不计费] static-user 123.7.224.10 123.7.224.10 interface GigabitEthernet1/0/2.1643

            //测试,是否能够正常绑定//vlan199 qinq 643 detect domain-name static static-user 123.7.224.12 123.7.224.13 interface GigabitEthernet1/0/2.1635
            2013-8-16 华为机密,未经许可不得扩散 第 64 页, 共 75 页

            文档名称

            文档密级:

            vlan199 qinq 635 detect domain-name static static-user 123.7.224.14 123.7.224.15 interface GigabitEthernet1/0/2.1633 vlan 199 qinq 633 detect domain-name static [定义静态用户IP地址,所关联的端口以及VLAN设置]

            3.6.2 通过leased line方式定义静态IP用户 配置范例如下: 步骤 1 配置接口。 <Quidway> system-view [Quidway] interface GigabitEthernet 1/0/7.1 [Quidway-GigabitEthernet1/0/7.1] user-vlan 1 100 [Quidway-GigabitEthernet1/0/7.1-vlan-1-100] quit

            步骤 2 配置BAS 接口。 [Quidway-GigabitEthernet1/0/7.1] bas [Quidway-GigabitEthernet1/0/7.1-bas] access-type layer2-leased-line user-namelayer2lease1 hello default-domain authentication isp1 [Quidway-GigabitEthernet1/0/7.1-bas] quit [Quidway-GigabitEthernet1/0/7.1] quit

            3.7 BGP/MPLS VPN 配置范例 3.7.1 概述 在本期项目中,MPLS VPN主要在SR上开启,但在大部分县级节点,SR尚不能做到全 部覆盖,在这些节点的MPLS VPN可以在ME60设备上开启。ME60具备完善的业务路由器能 力,很好的支持MPLS VPN业务。在ME60建设完毕后,可使用ME60作为PE 路由器在全省范 围内开通基于ADSL接入方式的VPN 业务(以下简称ADSL VPN 业务)。对于专线 MPLS VPN 业 务,如城域网中尚没有SR,可暂在BAS 上开通。 MPLS 业务部署的基本原则是:骨干网GSR 作为P 路由器,SE800 作为PE 路由器,完成 BGP/MPLSVPN 的全网覆盖。通过BGP 协议承载MPLS VPN,根据RD 来动态建立BGP VPN 通道,
            2013-8-16 华为机密,未经许可不得扩散 第 65 页, 共 75 页

            文档名称

            文档密级:

            通过控制BGP 的邻居关系来灵活部署MPLS VPN。BGP/MPLS VPN 应用如下图所示:

            3.7.2 MPLS VPN 业务命名规范 3.7.2.1 全省型MPLS VPN 命名规范(由省级部门实施) (1)VPN ID 规则统一为65130:n,n=1,2,3,??1000。 (2)在申请单上要注明是否新申请的VPN。 (3)注明用户网络属于商务宽带系统MPLS VPN 网。 (4)VPN context 统一使用‘hn-客户名称拼音缩写’,例如 河南省物资系统VPN 可以简 称为:hn-wzxt。

            3.7.2.2 各市分公司MPLS VPN 命名规范 (1)VPN ID 规则为:xxx:n , XXX=各市长途区号,n=1,2,3,??1000。例如某部 门的VPN ID 为 371:1,则表示这个VPN 属于郑州市范围内,第一个MPLS VPN 网络。 (2)在申请单上要注明是否新申请的VPN。 (3)注明用户网络属于商务宽带系统MPLS VPN 网。

            2013-8-16

            华为机密,未经许可不得扩散

            第 66 页, 共 75 页

            文档名称

            文档密级:

            3.7.3 PE (ME60)配置范例 前置任务 在配置基本 BGP/MPLS IP VPN 之前,需完成以下任务。 对 MPLS 骨干网(PE、P)配置 IGP,实现骨干网的 IP 连通性 对 MPLS 骨干网(PE、P)配置 MPLS 基本能力 对 MPLS 骨干网(PE、P)配置 MPLS LDP,建立 LDP LSP 在 CE 上配置接入 PE 的接口的 IP 地址

            配置 VPN 实例 在每个接入 CE 的 PE 上进行如下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 ip vpn-instance vpn-instance-name,创建 VPN 实例,并进入 VPN 实例视 图。 步骤 3 执行命令 route-distinguisher route-distinguisher,配置 VPN 实例的 RD。 步骤 4 执 行 命 令 vpn-target vpn-target &<1-8> { both | export-extcommunity |

            importextcommunity },为 VPN 实例创建 VPN-target 扩展团体。

            关联 VPN 实例 配置接口与 VPN 实例关联 在每个接入 CE 的 PE 上进行如下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入要关联接口的接口视图。 步骤 3 执行命令 ip binding vpn-instance vpn-instance-name,将当前接口与 VPN 实例关联。

            配置域与 VPN 实例关联 在每个接入 CE 的 PE 上进行如下配置。 步骤 1 执行命令 system-view,进入系统视图。
            2013-8-16 华为机密,未经许可不得扩散 第 67 页, 共 75 页

            文档名称

            文档密级:

            步骤 2 执行命令 aaa,进入 AAA 视图。 步骤 3 执行命令 domain domain-name,进入域视图。 步骤 4 执行命令 vpn-instance vpn-instance-name,将当前域和 VPN 实例关联。

            配置 BAS 接口与 VPN 实例关联 在每个接入 CE 的 PE 上进行如下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas 进入 BAS 接口视图。 步骤 4 执行命令 access-type layer2-subscriber [ bas-interface-name name | default-domain { pre-authentication domain-name | authentication [ force ] domain-name } * | accountingcopy radius-server radius-name ] *,配置二层用户接入类型。 或执行命令 access-type layer2-leased-line user-name username password [ bas-interfacename name | default-domain authentication domain-name | accounting-copy radiusserver radius-name | nas-port-type type ] *,配置二层专线用户接入类型。 步骤 5 执行命令 vpn-instance vpn-instance-name,将当前 BAS 接口与 VPN 实例关联。

            配置 PE-PE 间使用 MP-IBGP 在每个接入 CE 的 PE 上进行如下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 bgp as-number,进入 BGP 视图。

            步骤 3 执行命令 peer peer-address as-number as-number,将对端 PE 配置为对等体。 步骤 4 执行命令 peer peer-address connect-interface loopback interface-number, 指定建立 TCP 连接的接口。 步骤 5 执行命令 ipv4-family vpnv4 [ unicast ],进入 BGP-VPNv4 子地址族视图。 步骤 6 执行命令 peer peer-address enable,使能对等体交换 VPN-IPv4 路由信息。

            完成上述配置后,还需要完成 PE-CE 间路由协议的配置,详见配置手册。
            2013-8-16 华为机密,未经许可不得扩散 第 68 页, 共 75 页

            文档名称

            文档密级:

            配置实例: 步骤 1 在MPLS 骨干网上配置IGP 协议,实现骨干网PE 和P 的互通。 # 配置PE1。 <PE1> system-view [PE1] interface loopback 1 [PE1-LoopBack1] ip address 1.1.1.9 32 [PE1-LoopBack1] quit [PE1] interface pos3/0/0 [PE1-Pos3/0/0] ip address 172.1.1.1 24 [PE1-Pos3/0/0] quit [PE1] ospf [PE1-ospf-1] area 0 [PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255 [PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0 [PE1-ospf-1-area-0.0.0.0] quit [PE1-ospf-1] quit

            步骤 2 在MPLS 骨干网上配置MPLS 基本能力和MPLS LDP,建立LDP LSP。 # 配置PE1。 [PE1] mpls lsr-id 1.1.1.9 [PE1] mpls [PE1-mpls] quit [PE1] mpls ldp [PE1-mpls-ldp] quit [PE1] interface pos 3/0/0 [PE1-Pos3/0/0] mpls [PE1-Pos3/0/0] mpls ldp [PE1-Pos3/0/0] quit
            2013-8-16 华为机密,未经许可不得扩散 第 69 页, 共 75 页

            文档名称

            文档密级:

            步骤 3 在PE 路由器上配置VPN 实例,将CE 接入PE。 # 配置PE1。 [PE1] ip vpn-instance vpna [PE1-vpn-instance-vpna] route-distinguisher 100:1 [PE1-vpn-instance-vpna] vpn-target 111:1 both [PE1-vpn-instance-vpna] quit [PE1] ip vpn-instance vpnb [PE1-vpn-instance-vpnb] route-distinguisher 100:2 [PE1-vpn-instance-vpnb] vpn-target 222:2 both [PE1-vpn-instance-vpnb] quit [PE1] interface gigabitethernet 1/0/0 [PE1-GigabitEthernet1/0/0] ip binding vpn-instance vpna [PE1-GigabitEthernet1/0/0] ip address 10.1.1.2 24 [PE1-GigabitEthernet1/0/0] quit [PE1] interface gigabitethernet 2/0/0 [PE1-GigabitEthernet2/0/0] ip binding vpn-instance vpnb [PE1-GigabitEthernet2/0/0] ip address 10.2.1.2 24 [PE1-GigabitEthernet2/0/0] quit

            步骤 4 在PE 与CE 之间建立EBGP 对等体关系,引入VPN 路由。 [PE1] bgp 100 [PE1-bgp] ipv4-family vpn-instance vpna [PE1-bgp-vpna] peer 10.1.1.1 as-number 65410 [PE1-bgp-vpna] import-route direct [PE1-bgp-vpna] quit [PE1-bgp] ipv4-family vpn-instance vpnb [PE1-bgp-vpnb] peer 10.2.1.1 as-number 65420 [PE1-bgp-vpnb] import-route direct
            2013-8-16 华为机密,未经许可不得扩散 第 70 页, 共 75 页

            文档名称

            文档密级:

            [PE1-bgp-vpnb] quit

            步骤 5 在PE 之间建立MP-IBGP 对等体关系。 # 配置PE1。 [PE1] bgp 100 [PE1-bgp] peer 3.3.3.9 as-number 100 [PE1-bgp] peer 3.3.3.9 connect-interface loopback 10 [PE1-bgp] ipv4-family vpnv4 [PE1-bgp-af-vpnv4] peer 3.3.3.9 enable

            3.8 VPLS 业务配置 3.8.1 VPLS简介

            VPLS 概述
            随着以太网技术的发展,Ethernet 不仅成为占主导地位的LAN 技术,并越来越多地被 作为接入技术应用到城域网MAN(Metropolitan Area Network)和广域网WAN。 VPLS 的主要目的就是通过分组交换网络PSN(Packet Switched Network)连接多个以太 网LAN 网段,使它们像一个LAN 那样工作。 VPLS 也称为透明局域网服务TLS(Transparent LAN Service)或虚拟专用交换网服务 (Virtual Private Switched Network Service),不同于普通L2VPN 的点到点业务,利用VPLS 技术,服务提供商可以通过MPLS 骨干网向用户提供基于以太的多点业务。在最简单的情 况下,一个VPLS 包括连接到PE 的多个Site,实现局域网仿真(Emulated LAN)。 VPLS基本结构示意图如下:

            2013-8-16

            华为机密,未经许可不得扩散

            第 71 页, 共 75 页

            文档名称

            文档密级:

            VPLS 转发模型
            PE 使用虚拟交换实例VSI(Virtual Switch Instance)进行VPLS 转发。PE 之间通过全 连接的Ethernet 仿真电路或伪电路PW(Pseudo-Wire)转发以太网帧。 转发模型如下图所示:

            2013-8-16

            华为机密,未经许可不得扩散

            第 72 页, 共 75 页

            文档名称

            文档密级:

            同一VPLS 中的PE 必须是全连接的,即,彼此之间存在伪电路PW,从入口PE 到出口 PE 的报文可以直接到达,不必经过中间PE 转发。因此,PE 之间不会形成环路,不需 要运行STP(Spanning Tree Protocol)。 ME60整机可以支持4K个VSI。 Kompella 方式的VPLS 采用BGP 作为信令,可以通过配置VPN Targets 实现VPLS 成员的自 动发现,增加PE 或删除PE 时,所需的额外操作很少,因而具有较好 的扩展性。 Martini 方式的VPLS 采用LDP 作为信令,需要手工指定PE 的各对等体,由于同一VPLS 中各PE 之间需要建立全连接,每当有新的PE 加入时,所有相关PE 上都修改配置,导致可扩展性较差。但由于PW 实际是点到点链路, 使用LDP 进行PW 的建立、维护和拆除更为有效。

            2013-8-16

            华为机密,未经许可不得扩散

            第 73 页, 共 75 页

            文档名称

            文档密级:

            3.8.2 VPLS 配置范例 配置范例以 martini 方式实现 步骤 1 配置IGP。 步骤 2 配置MPLS 基本能力和LDP。 步骤 3 在PE 之间建立远端LDP 会话。 # 配置PE1。 [PE1] mpls ldp [PE1] mpls ldp remote-peer pe2 [PE1-mpls-ldp-remote-pe2] remote-ip 3.3.3.9 [PE1-mpls-ldp-remote-pe2] quit # 配置PE2。 [ PE2] mpls ldp

            [PE2] mpls ldp remote-peer pe1 [PE2-mpls-ldp-remote-pe1] remote-ip 1.1.1.9 [PE2-mpls-ldp-remote-pe1] quit 步骤 4 在PE 上使能MPLS L2VPN。 # 配置PE1。 [PE1] mpls l2vpn [PE1-l2vpn] quit # 配置PE2。 [PE2] mpls l2vpn 步骤 5 在PE 上配置VSI。 # 配置PE1。 [PE1] vsi a2 static [PE1-vsi-a2] pwsignal ldp [PE1-vsi-a2-ldp] vsi-id 2 [PE1-vsi-a2-ldp] peer 3.3.3.9 # 配置PE2。 [PE2] vsi a2 static
            2013-8-16 华为机密,未经许可不得扩散 第 74 页, 共 75 页

            文档名称

            文档密级:

            [PE2-vsi-a2] pwsignal ldp [PE2-vsi-a2-ldp] vsi-id 2 [PE2-vsi-a2-ldp] peer 1.1.1.9 步骤 6 在PE 上配置VSI 与接口的绑定。 # 配置PE1。 [PE1] interface GigabitEthernet1/0/0.1 [PE1-GigabitEthernet1/0/0.1] vlan-type dot1q 10 [PE1-GigabitEthernet1/0/0.1] l2 binding vsi a2 # 配置PE2。 [PE2] interface GigabitEthernet2/0/0.1 [PE2-GigabitEthernet2/0/0.1] vlan-type dot1q 10 [PE2-GigabitEthernet2/0/0.1] l2 binding vsi a2

            2013-8-16

            华为机密,未经许可不得扩散

            第 75 页, 共 75 页


            相关文章:
            IP城域网BRAS设备IP地址池占用率数据采集方法
            华为 MA5200G、ME60 两款 BRAS 为例,因 业务需要,BRAS 设备上通常会配置不同的 Domain,以支持不同的业务,如普通 ADSL 拨号业务、WLAN 业务、IPTV 业务 ...
            BRAS配置详解
            BRAS ME60 配置详解,请下载学习,谢谢! 1. 系统基本配置 1.1 设备名称配置 ? 配置内容:配置设备名称 ? 规范要求:设备名称要求符合配置有关命名规范; ? 配置...
            ME60业务配置
            (BAS 上配置 DHCP,用户是绑定了 QINQ,BRAS 会把 用户的认证请求转发出去,由...ME60数据配置规范 4页 免费 ME60配置指导 38页 免费 华为ME60业务配置规范10...
            华为BRAS-PPPOE配置模板
            华为BRAS-PPPOE配置模板 - # radius-server source interface LoopBack0 radius-server 交互时,本 ME60 使用的本地接口地址 ...
            BRAS的双机热备实现
            2 BRAS 的双机热备的实现 2.1 确定设备的主备...实际上是配置多个备份组, 部署在两台 ME60 上并使...VRRP 特性增强技术白皮书 [EB/OL].深圳:华为科技...
            BRAS热备与PTN和OLT结合应用方案
            资料版本 ME60 适用于什么版本 BRAS热备与PTN、OLT结合应用方案拟 制: 审核: ...OLT 不需要做更多配置。 2016-11-29 华为机密,未经许可不得扩散 第 9 页, ...
            浅谈BRAS(ME60)双机热备份实现方案
            规划 ME60-8 作为 S7800 汇聚层交换机的主用设备,同时作为 S9300 的备份设备...江西电信BRAS(华为ME60、... 6456人阅读 98页 5下载券 ©2017 Baidu 使用百...
            单点登录BRAS
            单点登录BRAS_互联网_IT/计算机_专业资料。<DZ-QX-YQL-BRAS-01.MAN.ME60>la...华为ME60业务配置指导书 14页 1下载券 Quidway ME60 多业务控制... 12页 免费...
            更多相关标签: