1. <form id='Nv6Fzy'></form>
        <bdo id='Nv6Fzy'><sup id='Nv6Fzy'><div id='Nv6Fzy'><bdo id='Nv6Fzy'></bdo></div></sup></bdo>

          • 当前位置:首页 >> 信息与通信 >>

            01-05 配置BRAS接入


            Quidway MA5200G 配置指南-BRAS 业务

            目 录

            目 录
            5 配置 BRAS 接入...........................................................................................................................5-1
            5.1 接入协议简介...............................................................................................................................................5-3 5.1.1 接入协议概念......................................................................................................................................5-3 5.1.2 接入协议分类......................................................................................................................................5-3 5.2 认证方法简介...............................................................................................................................................5-4 5.2.1 Web 认证和快速认证..........................................................................................................................5-5 5.2.2 绑定认证 .............................................................................................................................................5-6 5.2.3 PPP 认证 ..............................................................................................................................................5-6 5.2.4 802.1X 认证.........................................................................................................................................5-7 5.2.5 参考信息 .............................................................................................................................................5-8 5.3 配置 Web 认证..............................................................................................................................................5-9 5.3.1 建立配置任务......................................................................................................................................5-9 5.3.2 配置 Web 认证服务器.......................................................................................................................5-10 5.3.3 配置 Portal 协议 ................................................................................................................................5-10 5.3.4 配置 Web 认证服务器状态检测控制开关....................................................................................... 5-11 5.3.5 配置 BAS 接口下的认证前缺省域 .................................................................................................. 5-11 5.3.6 配置强制 Web 认证...........................................................................................................................5-12 5.4 配置 802.1X 模板 .......................................................................................................................................5-12 5.4.1 建立配置任务....................................................................................................................................5-12 5.4.2 创建 802.1X 模板..............................................................................................................................5-13 5.4.3 配置认证响应报文的超时时间........................................................................................................5-14 5.4.4 配置 Request 报文的超时时间和重传次数 .....................................................................................5-14 5.4.5 配置 Keepalive 报文的超时时间和重传次数..................................................................................5-14 5.4.6 配置重认证的时间间隔....................................................................................................................5-15 5.4.7 配置是否终结 EAP 报文 ..................................................................................................................5-15 5.4.8 配置是否传送 EAP-SIM 认证的参数 ..............................................................................................5-16 5.5 配置用户侧 VLAN.....................................................................................................................................5-16 5.5.1 建立配置任务....................................................................................................................................5-16 5.5.2 创建用户侧 VLAN ...........................................................................................................................5-17 5.6 配置 BAS 接口 ...........................................................................................................................................5-17

            文档版本 02 (2007-11-05)

            华为技术有限公司

            i

            目 录

            Quidway MA5200G 配置指南-BRAS 业务 5.6.1 建立配置任务....................................................................................................................................5-17 5.6.2 创建 BAS 接口 ..................................................................................................................................5-18 5.6.3 配置用户接入类型............................................................................................................................5-19 5.6.4 配置用户认证方法............................................................................................................................5-20 5.6.5 (可选)设置用户数限制................................................................................................................5-20 5.6.6 (可选)指定域................................................................................................................................5-20 5.6.7 (可选)设置主机 CAR 级别..........................................................................................................5-21 5.6.8 (可选)配置端口 Down 用户策略 ................................................................................................5-22 5.6.9 (可选)配置 BAS 接口的逻辑端口 ..............................................................................................5-22 5.6.10 (可选)配置 BAS 接口附加功能 ................................................................................................5-23 5.6.11 (可选)设置其他参数..................................................................................................................5-25 5.6.12 (可选)设置 BAS 接口的阻塞状态 ............................................................................................5-26 5.7 配置接入响应延时策略.............................................................................................................................5-27 5.7.1 建立配置任务....................................................................................................................................5-27 5.7.2 配置全局用户接入延时策略............................................................................................................5-28 5.7.3 (可选)配置 BAS 接口接入响应延时参数 ..................................................................................5-28 5.7.4 查看配置结果....................................................................................................................................5-29 5.8 配置普通 IPoX 接入...................................................................................................................................5-29 5.8.1 建立配置任务....................................................................................................................................5-29 5.9 配置普通 PPPoX 接入................................................................................................................................5-32 5.9.1 建立配置任务....................................................................................................................................5-32 5.10 配置 802.1X 接入 .....................................................................................................................................5-36 5.10.1 建立配置任务..................................................................................................................................5-36 5.11 配置专线接入...........................................................................................................................................5-37 5.11.1 建立配置任务..................................................................................................................................5-37 5.12 配置 ND 接入 ...........................................................................................................................................5-39 5.12.1 建立配置任务..................................................................................................................................5-39 5.13 配置在线用户数阈值...............................................................................................................................5-41 5.13.1 建立配置任务..................................................................................................................................5-41 5.13.2 配置在线用户数阈值......................................................................................................................5-41 5.13.3 显示在线用户数阈值......................................................................................................................5-42 5.14 管理在线用户...........................................................................................................................................5-42 5.14.1 建立配置任务..................................................................................................................................5-42 5.14.2 显示在线用户..................................................................................................................................5-43 5.14.3 切断在线用户的连接......................................................................................................................5-43 5.15 维护 BRAS 接入.......................................................................................................................................5-44 5.15.1 显示 BRAS 接入运行信息 .............................................................................................................5-44 5.15.2 清除 BRAS 接入运行信息 .............................................................................................................5-45 5.15.3 调试 BRAS 接入 .............................................................................................................................5-46

            ii

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            目 录

            5.16 配置举例...................................................................................................................................................5-46 5.16.1 配置普通 IPoE 接入 VPN 示例 ......................................................................................................5-47 5.16.2 配置普通 IPoEoVLAN 接入示例...................................................................................................5-51 5.16.3 配置普通 IPoEoQ 接入示例 ...........................................................................................................5-53 5.16.4 配置普通 IPoEoA 接入示例 ...........................................................................................................5-56 5.16.5 配置普通 PPPoE 接入示例.............................................................................................................5-59 5.16.6 配置普通 PPPoEoVLAN 接入示例................................................................................................5-61 5.16.7 配置普通 PPPoEoQ 接入示例........................................................................................................5-64 5.16.8 配置普通 PPPoA 接入 VPN 示例...................................................................................................5-67 5.16.9 配置普通 PPPoEoA 接入示例........................................................................................................5-70 5.16.10 配置 802.1X 接入示例 ..................................................................................................................5-73 5.16.11 配置以太网二层专线接入示例....................................................................................................5-75 5.16.12 配置 ATM 二层专线接入示例......................................................................................................5-77 5.16.13 配置以太网三层专线接入示例....................................................................................................5-80 5.16.14 配置 ATM 三层专线接入示例......................................................................................................5-82 5.16.15 配置三层 Web 认证用户接入示例...............................................................................................5-85 5.16.16 配置 ND 接入示例 ........................................................................................................................5-87

            文档版本 02 (2007-11-05)

            华为技术有限公司

            iii

            插图目录

            Quidway MA5200G 配置指南-BRAS 业务

            插图目录
            图 5-1 PPPoEoVLAN 协议栈结构.....................................................................................................................5-3 图 5-2 BRAS 接入的协议栈结构 ......................................................................................................................5-4 图 5-3 Web 认证的典型组网模型......................................................................................................................5-5 图 5-4 IPoE 基本组网模型...............................................................................................................................5-30 图 5-5 IPoEoVLAN 基本组网模型..................................................................................................................5-30 图 5-6 IPoEoQ 基本组网模型..........................................................................................................................5-30 图 5-7 IPoEoA 基本组网模型..........................................................................................................................5-31 图 5-8 PPPoE 基本组网模型............................................................................................................................5-33 图 5-9 PPPoEoVLAN 基本组网模型...............................................................................................................5-33 图 5-10 PPPoEoQ 基本组网模型.....................................................................................................................5-33 图 5-11 PPPoA 基本组网模型 .........................................................................................................................5-34 图 5-12 PPPoEoA 基本组网模型.....................................................................................................................5-34 图 5-13 IPoE 配置举例组网图.........................................................................................................................5-47 图 5-14 IPoEoVLAN 配置举例组网图............................................................................................................5-51 图 5-15 普通 IPoEoQ 接入配置组网图 ...........................................................................................................5-54 图 5-16 IPoEoA 配置举例组网图 ....................................................................................................................5-56 图 5-17 PPPoE 配置举例组网图......................................................................................................................5-59 图 5-18 PPPoEoVLAN 配置举例组网图.........................................................................................................5-62 图 5-19 PPPoEoQ 接入配置组网图.................................................................................................................5-64 图 5-20 PPPoA 配置举例组网图 .....................................................................................................................5-67 图 5-21 PPPoEoA 配置举例组网图.................................................................................................................5-70 图 5-22 802.1X 配置举例组网图 .....................................................................................................................5-73 图 5-23 以太网二层专线配置举例组网图......................................................................................................5-76 图 5-24 ATM 二层专线配置组网图.................................................................................................................5-78 图 5-25 以太网三层专线配置举例组网图......................................................................................................5-80

            iv

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            插图目录

            图 5-26 ATM 三层专线配置组网图.................................................................................................................5-82 图 5-27 以太网三层 Web 认证用户配置举例组网图.....................................................................................5-85 图 5-28 ND 接入配置举例组网图 ...................................................................................................................5-87

            文档版本 02 (2007-11-05)

            华为技术有限公司

            v

            表格目录

            Quidway MA5200G 配置指南-BRAS 业务

            表格目录
            表 5-1 PPP 认证协议 ..........................................................................................................................................5-7

            vi

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            5
            关于本章
            本章描述内容如下表所示。 标题 5.1 接入协议简介 5.2 认证方法简介 5.3 配置 Web 认证 5.4 配置 802.1X 模板 5.5 配置用户侧 VLAN 5.6 配置 BAS 接口 5.7 配置接入响应延时策略 5.8 配置普通 IPoX 接入 内容 介绍接入协议。 介绍认证方法。

            配置 BRAS 接入

            介绍 Web 认证配置方法与步骤。 介绍 802.1X 认证配置方法与步骤。 介绍用户侧 VLAN 配置方法与步骤。 介绍 BAS 接口配置方法与步骤。 介绍接入响应延时策略配置方法与步骤。 介绍 IPoX 接入配置方法与步骤。 举例 1:配置普通 IPoE 接入 举例 2:配置普通 IPoEoVLAN 接入 举例 3:配置普通 IPoEoQ 接入示例 举例 4:配置普通 IPoEoA 接入 举例 5:配置三层 Web 认证用户接入

            5.9 配置普通 PPPoX 接入

            介绍 PPPoX 接入配置方法与步骤。 举例 1:配置普通 PPPoE 接入 举例 2:配置普通 PPPoEoVLAN 接入 举例 3:配置普通 PPPoEoQ 接入示例 举例 4:配置普通 PPPoEoA 接入 举例 5:配置普通 PPPoA 接入

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-1

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            标题 5.10 配置 802.1X 接入

            内容 介绍 802.1X 接入配置方法与步骤。 举例:配置 802.1X 接入

            5.11 配置专线接入

            介绍专线接入配置方法与步骤。 举例 1:配置以太网二层专线接入 举例 2:配置 ATM 二层专线接入示例 举例 3:配置以太网三层专线接入 举例 4:配置 ATM 三层专线接入示例

            5.12 配置 ND 接入

            介绍 ND 接入配置方法与步骤。 举例:配置 ND 接入

            5.13 配置在线用户数阈值 5.14 管理在线用户 5.15 维护 BRAS 接入 5.16 配置举例

            介绍在线用户数阈值配置方法与步骤。 介绍在线用户管理方法。 介绍显示 BRAS 接入运行信息、 调试 BRAS 接入的方法。 介绍 BRAS 接入配置实例。

            5-2

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            5.1 接入协议简介
            本节介绍接入分类,具体内容包括: 接入协议概念 接入协议分类

            5.1.1 接入协议概念
            如“1 BRAS业务概述”所述,用户物理接入方式的差异通常在接入设备上被屏蔽, MA5200G也无需关心终端用户的接入方式。MA5200G上可见用户报文的封装格式,并 依据报文的协议栈来区分用户。 一个典型的例子,如果用户通过LAN Switch连接MA5200G(LAN Switch加上VLAN标识 用户) ,然后用户通过PPPoE拨号向MA5200G发起接入请求,那么其协议栈结构如图5-1 所示。在这种方式下,用户的IP报文经过了PPP封装、PPPoE封装、Ethernet封装并打上 了VLAN标记,因此这种接入协议被称为PPPoEoVLAN。 图5-1 PPPoEoVLAN 协议栈结构
            PC
            TCP/UDP IP PPP PPPoE ETH network cable ethernet frame PPPoE Connection PPPoE ETH Q optical fiber ethernet frame ETH Q PPP Connection

            LAN Switch

            MA5200G
            TCP/UDP IP Forward PPP

            VLAN Tag based 802.1Q

            对于 PPPoEoVLAN 的报文, MA5200G 必须具备 VLAN 标记识别能力、 以太网帧解析能 力、PPPoE 报文解析能力和 PPP 报文解析能力,才能获得 IP 报文。因此在 MA5200G 上 的配置必须满足以下条件: 在以太网子接口下配置,具备 VLAN 识别和以太网帧解析能力。 在以太网子接口下绑定虚模板,使之具备 PPP 和 PPPoE 处理能力。

            5.1.2 接入协议分类
            MA5200G 支持个人用户、专线用户通过各种方式接入 Internet 网,有关个人用户的介绍 请参见《Quidway MA5200G 宽带接入服务器 特性描述 BRAS 业务》 “2 用户接入识 别” 。这些接入用户的协议栈分为以下几类 IPoX(IPoE、IPoEoVLAN、IPoEoQ、IPoA、IPoEoA)

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-3

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            PPPoX(PPPoE、PPPoEoVLAN、PPPoEoQ、PPPoA、PPPoEoA) 802.1X 各种接入的协议栈如图 5-2所示(此处只描述了在 MA5200G 上的协议栈,在用户侧和 接入设备侧的协议栈省略) 。 图5-2 BRAS 接入的协议栈结构
            TCP/UDP IP ETH TCP/UDP IP ETH Q TCP/UDP IP ETH Q Q TCP/UDP IP AAL5 TCP/UDP IP ETH AAL5

            IPoE

            IPoEoVLAN

            IPoEoQ

            IPoA IPoEoA

            TCP/UDP IP PPP PPPoE ETH

            TCP/UDP IP PPP PPPoE ETH Q

            TCP/UDP IP PPP PPPoE ETH Q Q

            TCP/UDP IP PPP PPPoE AAL5

            TCP/UDP IP PPP AAL5

            PPPoE

            PPPoEoVLAN

            PPPoEoQ

            PPPoEoA

            PPPoA

            802.1X 用户接入的协议栈结构与 PPPoE、PPPoEoVLAN、PPPoEoQ 的协议栈结构相似,只不 过 ETH 协议上承载的是 EAP 协议。有关 802.1X 的详细说明请参见“5.2.4 802.1X 认证” 。 专线接入的协议栈结构为 IPoE、IPoEoVLAN、IPoEoQ、IPoA、IPoEoA,有关专线接入请参 见“5.11 配置专线接入” 。 IPoA 目前只支持三层专线的接入方式。 ND 接入用于 IPv6 用户的接入,其协议栈结构与 IPoE、IPoEoVLAN、IPoEoQ 的协议栈结构类 似,只不过其上承载的是 IPv6 协议,有关 ND 接入请参见“5.12 配置 ND 接入” 。IPv6 用户也 可使用 PPP 拨号接入,此种接入方式下的协议栈结构与 PPPoE、PPPoEoVLAN、PPPoEoQ 的 协议栈结构类似,只不过其上承载的是 IPv6 网际协议。

            5.2 认证方法简介
            认证方法是指用户终端和 MA5200G 之间进行认证交互、提交用户名和密码的方法。本 节介绍的认证方法包括: Web 认证和快速认证 绑定认证 PPP 认证 802.1X 认证 参考信息

            5-4

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            5.2.1 Web 认证和快速认证
            基本概念
            Web 认证 Web 认证是指用户通过访问 Web 认证服务器的认证页面, 交互输入用户名和密码进 行身份认证的一种认证方法。 快速认证 Web 认证还有一种简化的方法,称为快速认证,是指用户访问 Web 页面,但是无需 输入用户名和密码,直接提交认证,由 MA5200G 根据用户接入的 BAS(Broadband Access Server)接口信息自动生成用户名和密码(vlan)进行认证。 强制 Web 认证 强制 Web 认证是指当需要 Web 认证或快速认证的用户,在未认证前试图访问其无 权访问的地址时,MA5200G 将其访问请求强制重定向到强制 Web 认证服务器,让 用户进行认证。
            强制 Web 认证和强制 Portal 不同,前者用于对用户认证前的越权访问进行重定向控制,后者用于 对用户认证后的首次访问进行重定向控制。

            Portal 协议 Portal 协议由华为公司开发,主要用于 Web 服务器和其他设备之间的信息交互。 Portal 协议基于客户端/服务器结构,采用 UDP 作为传输协议。 在 Web 认证中, 认证服务器和 MA5200G 之间的通信使用 Portal 协议, Web MA5200G 为客户端。Web 认证服务器从认证页面中将用户输入的用户名和密码提取后,通过 Portal 协议传送给 MA5200G。

            Web 认证组网
            Web 认证典型的组网模型如图 5-3所示。用户接入 MA5200G 后,需要通过访问 Web 认 证服务器进行身份认证。认证通过之后才能正常访问 Internet。 图5-3 Web 认证的典型组网模型
            Web server

            subscriber

            Access network

            MA5200G
            subscriber RADIUS server

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-5

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            Web 认证流程
            Web 认证流程如下所述。 1. 用户访问 Web 认证服务器,可以是直接访问,也可以通过强制 Web 认证方法,由 MA5200G 将用户访问其他地址的请求强制重定向到强制 Web 认证服务器进行访 问,并下载一个用于心跳检测的客户端软件。 Web 认证方法下,用户在 Web 认证服务器提供的认证页面上输入用户名和密码后 提交给 Web 认证服务器;快速认证方法下,用户无需输入用户名和密码直接提交。 Web 认证方法下,Web 认证服务器提取用户名和密码,通过 Portal 协议发送给 MA5200G;快速认证方法下,MA5200G 根据配置按照一定的方式自动组装用户名 和密码。 MA5200G 将用户名和密码发送给 RADIUS 或者 HWTACACS 服务器对用户进行认 证,认证通过后,给用户开放相关权限,并通过 Portal 协议通知 Web 认证服务器给 用户发送认证成功页面。 用户可以正常上网,MA5200G 开始计费。 客户端软件通过发送心跳报文保持在线状态,如果一段时间内 Web 认证服务器没 有接收到心跳报文,则认为用户异常离线,则通知 MA5200G 拆除相应的用户连接 并停止计费。 上网过程中,用户可以通过客户端软件主动通知 Web 认证服务器断开连接,此时 Web 认证服务器将通知 MA5200G 立即删除用户的连接信息,停止计费。

            2. 3.

            4.

            5. 6.

            7.

            5.2.2 绑定认证
            绑定认证是指 MA5200G 根据用户接入的位置信息自动生成用户名和密码进行认证。 在绑定认证中,用户计算机发送 IP 报文在 MA5200G 上触发认证过程(或者 MA5200G 通过 ARP 探测得知用户上线而触发认证过程) ,MA5200G 根据用户的位置信息(槽号、 卡号、端口号、VLAN 号)生成用户名和密码,并送到 RADIUS 服务器进行认证。

            5.2.3 PPP 认证
            PPP 概述
            PPP 是在点到点链路上承载网络层数据包的一种链路层协议, 由于它能够提供用户认证, 易于扩充,并且支持同异步通信,因而获得广泛应用。 PPP 定义了一整套协议,包括链路控制协议 LCP(Link Control Protocol) 、网络层控制协 议 NCP(Network Control Protocol)和认证协议 PAP/CHAP/MSCHAP。 LCP:用来协商链路的一些参数,负责创建并维护链路。 NCP:用来协商网络层协议的参数。 PAP/CHAP/MSCHAP:用于对用户身份进行认证。 PPP 在建立链路之前要进行一系列的协商过程: 1. 首先进行 LCP 协商,协商内容包括 MRU(最大传输单元)、魔术字(magic number)、 验证方式、异步字符映射等选项(具体描述请参见 RFC1661)。

            5-6

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            2. 3.

            LCP 协商成功后,进入链路建立阶段。此时如配置了 CHAP 或 PAP 验证,便进入 CHAP 或 PAP 验证阶段, 验证通过后进入 NCP 协商,如 IPCP(The PPP Internet Protocol Control Protocol)、 IPXCP(The PPP Internetworking Packet Exchange Control Protocol)的协商。IPCP 协商阶段,服务器给客户端分配 IP 地址。

            任何阶段的协商失败都将导致链路的拆除。 MA5200G 支持通过 IPCP 协商分配地址网段,这样,可给家庭分配网关和掩码,通过此 网关可接入多个用户终端,用户终端在同一网段内可互访。

            PPP 认证协议
            MA5200G 支持 PAP(Password Authentication Protocol) 、CHAP(Challenge Handshake Authentication Protocol) 、MSCHAP(Microsoft CHAP)认证协议,如表 5-1所示。 表5-1 PPP 认证协议 协议 PAP 描述 PAP 认证为两次握手认证,密码为明文,PAP 认证的过程如下。

            1. 被认证方发送用户名和密码到认证方。 2. 认证方根据用户配置查看是否有此用户以及密码是否正确, 然后返 回不同的响应(Acknowledge or Not Acknowledge)。
            CHAP CHAP 认证为三次握手认证,密码为密文(密钥),CHAP 认证过程如下。

            1. 认证方向被认证方发送一些随机产生的报文(Challenge)。 2. 被认证方用自己的密码和 MD5 算法对该随机报文进行加密,将生 成的密文发回认证方(Response)。 3. 认证方用自己保存的被认证方密码和 MD5 算法对原随机报文加 密, 比较二者的密文, 根据比较结果返回不同的响应 (Acknowledge or Not Acknowledge)。
            MSCHAP MSCHAP 是 Microsoft 对 CHAP 协议进行扩展后的认证协议,MSCHAP 协议集成了加密算法(Encryption)和散列算法(Hashing algorithm),适 用于局域网用户。 MSCHAP 分为 V1 和 V2 两个版本。

            5.2.4 802.1X 认证
            802.1X 协议概述
            802.1X 协议(IEEE Std 802.1X-2001)起源于无线局域网 WLAN 的 802.11 协议,主要用 于控制无线用户的链路层接入和身份认证。 经过扩展后,802.1X 可以使用以太网帧作为承载报文,从而可适用于以太网以及其他的 有线接入方式。在 MA5200G 中,802.1X 协议可以同时适用于 WLAN 用户以及其他普 通的有线用户。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-7

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            802.1X 中使用 EAP(Extensible Authentication Protocol)作为认证协议,用 EAPoL(EAP over LAN)作为链路层协议。

            EAP
            EAP(RFC 3748)是在 PPP 基础上扩展的认证协议。和 PPP 认证流程不同,EAP 在 LCP 阶段不协商特定的认证方法,而是在认证阶段根据具体情况进行选择。EAP 可以在 LCP 阶段交换更多的信息,便于决定在认证阶段使用何种认证机制。 EAP 的报文封装在 PPP 帧的 Information 区域,协议值为 0xc227。

            EAPoL
            802.1X 协议规定,在以太网中,使用类型为 0x888e 的以太网帧作为 EAP 报文的链路层 承载报文,也称为 EAPoL。 EAPoL 只对 EAP 控制报文有效,用户的数据报文使用普通的以太网帧承载。

            802.1X 认证流程
            802.1X 认证流程如下所述。 1. 2. 3. 4. 5. 用户通过 802.1X 拨号器输入用户名和密码后,进行 802.1X 拨号。 拨号器将认证请求封装为 EAPoL 报文,发送给 MA5200G(中间可能经过 VLAN 标记)。 MA5200G 通过 EAP 与用户进行交互,获取用户名和密码,并进行认证(本地或远 端)。 认证通过后,MA5200G 通过 DHCP 为用户分配 IP 地址,用户可以正常上网。 MA5200G 和 802.1X 拨号器定期通过握手报文进行交互,确认用户的在线状态。

            5.2.5 参考信息
            如果想了解更多有关 PPP、PPPoE、EAP 和 802.1X 的信息,请参考以下资源。 RFC 1332:The PPP Internet Protocol Control Protocol (IPCP) (May 1992) RFC 1570:PPP LCP Extensions (January 1994) RFC 1661:The Point-to-Point Protocol (PPP) (July 1994) RFC 1662:PPP in HDLC-like Framing (July 1994) RFC 1877: Internet Protocol Control Protocol Extensions for Name Server Addresses PPP (December 1995) RFC 2153:PPP Vendor Extensions (May 1997) RFC 2484:PPP LCP Internationalization Configuration Option (January 1999) RFC 2516:A Method for Transmitting PPP Over Ethernet (PPPoE) (February 1999) RFC 3748:Extensible Authentication Protocol (EAP) (June 2004) IEEE Std 802.1X-2001:IEEE Standard for Local and metropolitan area networks--Port-Based Network Access Control

            5-8

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            5.3 配置 Web 认证
            5.3.1 建立配置任务
            应用环境
            当有用户使用 Web 认证时,需要对 Web 认证服务器等进行相关的设置。

            前置任务
            在配置 Web 认证之前,需要完成以下任务。 配置域,作为 Web 认证用户的认证前缺省域,请参见“4 管理用户” 配置地址池,作为认证前缺省域使用的地址池,请参见“3 管理地址” 配置 ACL(Access Control List) ,对认证前缺省域的用户权限进行控制,除了允许 用户访问 Web 认证服务器以及必要的 DNS 等服务器之外,不允许访问其他任何地 址,请参见《Quidway MA5200G 宽带接入服务器 IP 业务配置指南》 配置 ACL” “7

            数据准备
            在配置 Web 认证之前,请根据网络规划,准备好以下数据。 序号 1 数据 Web 认证服务器的 IP 地址、 端口号、 所属的 VPN 实例、 共享密钥以及 MA5200G 检测服务器状态的间隔时长。 Portal 协议版本号、MA5200G 的侦听端口号、源接口 是否透传 RADIUS 认证结果消息给 Web 认证服务器 Web 认证服务器状态 Down 时 MA5200G 对新上线用户采取的策略。 BAS 接口下 Web 认证用户的认证前缺省域 是否使用强制 Web 认证(可选)

            2 3 4 5 6

            配置步骤
            要完成配置 Web 认证的任务,需要执行如下的配置过程。 序号 1 2 3 过程 配置 Web 认证服务器 配置 Portal 协议(可选) 配置 Web 认证服务器状态检测控制开关(可选)

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-9

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            序号 4 5

            过程 配置 BAS 接口下的认证前缺省域 配置强制 Web 认证(可选)

            5.3.2 配置 Web 认证服务器
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 web-auth-server ip-address [ vpn-instance instance-name ] [ port port-number ] [ key key-string ] [ nas-ip-address ] [ keepalive interval interval ],配置 Web 认证服务器。 ----结束 配置 Web 认证服务器包括以下参数: 服务器的 IP 地址以及所属的 VPN 实例; 服务器的端口号; 服务器的共享密钥; MA5200G 探测服务器状态的间隔时间; MA5200G 是否向服务器上报自己的 IP 地址。 缺省情况下,MA5200G 中未配置 Web 认证服务器。配置 Web 认证服务器后,缺省的端 口号为 50100、共享密钥为空、MA5200G 不向 Web 认证服务器上报 IP 地址、MA5200G 探测服务器状态的间隔时长为 60 秒。

            5.3.3 配置 Portal 协议
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 web-auth-server version v2 [ v1 ],设置 Portal 版本号, 或执行命令 web-auth-server listening-port port,配置 MA5200G 的侦听端口号, 或执行命令 web-auth-server source interface interface-type interface-number,配置 MA5200G 发送报文的源接口, 或执行命令 web-auth-server reply-message,配置透传 RADIUS 消息。 ----结束 配置 Portal 协议包括以下内容,这些配置对所有 Web 认证服务器生效。

            5-10

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            Portal 版本号
            Portal 协议有 V1 和 V2 两个版本。 MA5200G 中, 在 只支持 V2 版本。 缺省情况下, MA5200G 支持 V2 版本。

            侦听端口号
            侦听端口号是指 MA5200G 侦听 Web 认证服务器消息的端口号。 缺省情况下, MA5200G 使用端口 2000 侦听 Web 认证服务器的消息。

            发送报文的源接口
            发送报文的源接口是指 MA5200G 发送 Portal 报文时,使用该接口的 IP 地址作为 Portal 报文的源 IP 地址。通常源接口可设为 MA5200G 中某个管理接口或者环回接口。缺省情 况下,MA5200G 中未配置发送 Portal 报文的源接口,即直接使用报文出接口的 IP 地址 作为源 IP 地址。

            透传 RADIUS 消息
            透传 RADIUS 消息是指在 RADIUS 服务器完成对用户的认证后, MA5200G 不对 RADIUS 的认证结果消息做任何处理,直接转发给 Web 认证服务器。 缺省情况下,MA5200G 透传 RADIUS 消息给 Web 认证服务器。

            5.3.4 配置 Web 认证服务器状态检测控制开关
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 web-auth-server status-detect { close | single | whole },配置 Web 认证服务器 的状态检测开关。 ----结束 Web 认证服务器状态检测控制开关用于配置 Web 认证服务器 Down 时 MA5200G 对新上 线用户采取的策略,包括不放开权限、一个服务器 Down 时放开权限以及所有服务器 Down 时放开权限三种策略。缺省情况下,Web 认证服务器状态检测控制开关为 close。

            5.3.5 配置 BAS 接口下的认证前缺省域
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 access-type layer2-subscriber,设置用户接入类型为二层用户。 步骤 5 执行命令 default-domain pre-authentication domain-name,指定认证前缺省域。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-11

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            ----结束 由于 Web 认证用户在未认证前属于非法用户,无法获取 IP 地址,也没有权限访问 Web 认证服务器,因而也无法进行 Web 认证。 为了解决这个矛盾,在 MA5200G 中,所有未认证的 Web 认证用户都被归到某个缺省域 (基于接口配置) ,称为认证前缺省域。未认证用户可以从认证前缺省域中获取 IP 地址, 并通过认证前缺省域赋予的权限访问 Web 服务器,完成 Web 认证。

            5.3.6 配置强制 Web 认证
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 aaa,进入 AAA 视图。 步骤 3 执行命令 domain domain-name,进入域视图(认证前缺省域)。 步骤 4 执行命令 web-server { url url | ip-address | mode { get | post } },配置强制 Web 认证服务 器。 ----结束 强制重定向的 URL 的形式为 “http://www.isp.com/ index.htm” MA5200G 支持两种 HTTP 。 页面访问模式,即 get 和 post 模式。两者模式分别规定了不同的 MA5200G 与 HTTP 页 面交互的报文格式。

            5.4 配置 802.1X 模板
            5.4.1 建立配置任务
            应用环境
            当有用户使用 802.1X 认证方法进行认证时,需要在 MA5200G 上配置 802.1X 模板。 802.1X 模板规定了 MA5200G 和 802.1X 客户端之间的 802.1X 协商参数。 配置了 802.1X 模板之后,可以在域下引用。此时域下用户使用 802.1X 方法认证时,使 用模板中定义的参数进行 802.1X 协商。参见“4 管理用户” 。

            前置任务


            数据准备
            在配置 802.1X 模板之前,请根据网络规划,准备好以下数据。

            5-12

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            序号 1 2 3 4 5 6 7

            数据 802.1X 模板编号 认证响应报文的超时时间 Request 报文的超时时间和重传次数 Keepalive 报文的超时时间和重传次数 重认证的时间间隔 是否对 EAP 报文进行终结 是否传送 EAP-SIM 认证的参数

            配置步骤
            要完成配置 802.1X 模板的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7 过程 创建 802.1X 模板 配置认证响应报文的超时时间(可选) 配置 Request 报文的超时时间和重传次数(可选) 配置 Keepalive 报文的超时时间和重传次数(可选) 配置重认证的时间间隔(可选) 配置是否终结 EAP 报文(可选) 配置是否传送 EAP-SIM 认证的参数(可选)

            5.4.2 创建 802.1X 模板
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dot1x-template dot1x-template-number,创建 802.1X 模板。 ----结束 802.1X 模板以编号进行标识。系统中固定存在编号为 1 的 802.1X 模板,只能修改,不 能删除。除此之外,系统中还可创建 255 个 802.1X 模板。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-13

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            5.4.3 配置认证响应报文的超时时间
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dot1x-template dot1x-template-number,进入 802.1X 模板视图。 步骤 3 执行命令 authentication timeout time,配置认证响应报文的超时时间。 ----结束 认证响应报文的超时时间是指 MA5200G 向认证服务器发送认证报文后,等待响应的超 时时间。 缺省情况下,认证响应报文的超时时间为 30 秒。

            5.4.4 配置 Request 报文的超时时间和重传次数
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dot1x-template dot1x-template-number,进入 802.1X 模板视图。 步骤 3 执行命令 request { interval time | retransmit times } *,配置 Request 报文的超时时间和 重传次数。 ----结束 Request 报文(EAP-Request)用于 MA5200G 向 802.1X 客户端索取用户信息。 MA5200G 发送了 Request 报文后,如果在指定的超时时间内未收到客户端的响应报文 (EAP-Response) ,则重传 Request 报文。如果在重传了指定的次数之后,依然收不到客 户端的响应,则 MA5200G 放弃该次连接。 缺省情况下,Request 报文的超时时间为 30 秒,重传次数为 2。

            5.4.5 配置 Keepalive 报文的超时时间和重传次数
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dot1x-template dot1x-template-number,进入 802.1X 模板视图。 步骤 3 执行命令 keepalive { interval time | retransmit times } *,配置 Keepalive 报文的超时时间 和重传次数。 ----结束 802.1X 协议规定,客户端下线时只需发送一次下线报文(EAPoL-Logoff)即可,不需要 服务器进行回应。如果该报文在网络传输中丢失,会导致服务器无法及时获知用户的下 线信息,而导致计费异常。

            5-14

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            MA5200G 可通过定时向 802.1X 客户端发送 Keepalive 报文 (EAP-Request/Identity) 并接 收响应报文(EAP-Response/Identity) ,实现和客户端的握手机制,来确认客户端是否在 线。 当 MA5200G 发送了 Keepalive 报文后,如果在指定的超时时间内未收到客户端的响应, 则重传 Keepalive 报文。如果在重传了指定的次数之后,依然收不到客户端的响应,则 MA5200G 认为用户已经下线,删除相关的连接资源。 缺省情况下,Keepalive 报文的超时时间为 20 秒,重传次数为 0,表示不和客户端进行 握手。

            5.4.6 配置重认证的时间间隔
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dot1x-template dot1x-template-number,进入 802.1X 模板视图。 步骤 3 执行命令 reauthentication interval time,配置重认证的时间间隔。 ----结束 重认证是指 MA5200G 可以定时向 802.1X 客户端发送认证请求(EAP-Request) ,重新触 发认证的机制。重认证用于确认用户的合法性,防止其他用户利用非法手段通过已认证 的 802.1X 逻辑端口上线。但频繁重认证会影响系统性能。 缺省情况下,重认证的时间间隔为 3600 秒(1 小时) 。

            5.4.7 配置是否终结 EAP 报文
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dot1x-template dot1x-template-number,进入 802.1X 模板视图。 步骤 3 执行命令 eap-end [ chap | pap ],配置终结 EAP 报文。 ----结束 RFC 3748 中建议,网络设备对于 EAP 报文有两种处理方式: 终结 EAP 报文,由网络设备自己和客户端完成 PAP/CHAP 协商,获取用户信息后, 再将用户信息发送到认证服务器进行认证。 作为透传代理(passthrough agent) ,直接将 EAP 报文透传给远端服务器,由服务器 和客户端直接完成认证。 缺省情况下,MA5200G 不终结 EAP 报文,而是将 EAP 报文透传给 RADIUS 服务器。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-15

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            目前大多数的 802.1X 拨号器不支持 PAP 认证方式。 对于 WLAN 用户,MA5200G 一般不对 EAP 报文进行终结。

            5.4.8 配置是否传送 EAP-SIM 认证的参数
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 dot1x-template dot1x-template-number,进入 802.1X 模板视图。 步骤 3 执行命令 eap-sim-parameter,配置传送 EAP-SIM 认证的参数。 ----结束 EAP-SIM 认证适用于采用 SIM(Subscriber Identify Module)卡上网的 WLAN 用户, EAP-SIM 认证的流程和普通的 EAP 认证略有区别。 MA5200G 支持 EAP-SIM 认证,认证过程中是否需要将部分参数(如用户的 IP 地址、 设备的 IP、设备的 AC Name)传送给认证服务器需要作开关设置。 缺省情况下,MA5200G 不将参数传送给认证服务器。

            5.5 配置用户侧 VLAN
            5.5.1 建立配置任务
            应用环境
            当使用子接口接入用户时,可以在子接口下绑定用户侧 VLAN,以标识该子接口下哪些 VLAN 的用户可以接入。

            前置任务


            数据准备
            在配置用户侧 VLAN 之前,请根据网络规划,准备好以下数据。 序号 1 2 3 数据 子接口的编号 用户侧 VLAN 号 QinQ VLAN 的编号(可选)

            5-16

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置步骤
            要完成配置用户侧 VLAN 的任务,需要执行如下的配置过程。 序号 1 过程 创建用户侧 VLAN

            5.5.2 创建用户侧 VLAN
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type sub-interface-number,进入子接口视图。 步骤 3 执行命令 user-vlan start-vlan [ end-vlan ] [ qinq qinq-vlan ],创建用户侧 VLAN。 ----结束 创建用户侧 VLAN 后,CLI(Command Line Interface)将进入 VLAN 视图。一个子接口 下可以配置多个用户侧 VLAN,MA5200G 不限制 VLAN 的配置数目,但每块单板最多 只能有 16384 个用户侧 VLAN 在同一时间内被使用。

            5.6 配置 BAS 接口
            5.6.1 建立配置任务
            应用环境
            当某个接口用于接入宽带用户时,需要将该接口配置为 BAS 接口,并配置用户的接入 类型和其他相关属性。

            前置任务
            在配置 BAS 接口之前,需要完成以下任务。 配置域,作为 BAS 接口下用户的缺省域和漫游域,请参见“4 管理用户” 如果使用计费报文抄送功能,配置 RADIUS 服务器组,请参见“1 管理 AAA”

            数据准备
            在配置 BAS 接口之前,请根据网络规划,准备好以下数据。 序号 1 数据 接口的编号

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-17

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            序号 2 3 4 5 6

            数据 用户的接入类型 用户的认证方法 BAS 接口接入的最大用户数、指定 VLAN 接入的最大用户数(可选) BAS 接口的缺省域、漫游域和允许用户接入的域(可选) 是否启用 ARP 代理功能、ND 代理功能、DHCP 广播功能、计费报文抄送功 能、IP 报文触发上线功能、按用户复制组播报文功能、802.1X 认证触发功能 (可选) 是否信任客户端上报的 DHCP Option82 信息、用户探测参数、非 PPP 用户所 属的 VPN 实例、是否支持 WLAN 的组网方式、BAS 接口名字、接入设备的 类型(可选)

            7

            配置步骤
            要完成配置 BAS 接口的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7 8 9 10 11 过程 创建 BAS 接口 配置用户接入类型 配置用户认证方法 (可选)设置用户数限制 (可选)指定域 (可选)设置主机 CAR 级别 (可选)配置端口 Down 用户策略 (可选)配置 BAS 接口的逻辑端口 (可选)配置 BAS 接口附加功能 (可选)设置其他参数 (可选)设置 BAS 接口的阻塞状态

            5.6.2 创建 BAS 接口
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。

            5-18

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,创建 BAS 接口。 ----结束 当在一个接口视图下执行 bas 命令时, 可以将该接口设置为 BAS 接口。 可以设置为 BAS 接口的接口类型包括 FE 接口、GE 接口、Eth-Trunk 接口以及这些接口的子接口。

            5.6.3 配置用户接入类型
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 access-type layer2-subscriber [ bas-interface-name name | default-domain { pre-authentication domain-name | authentication [ force | replace ] domain-name } * | accounting-copy radius-server radius-name ] *,配置二层普通用户接入类型, 或执行命令 access-type layer2-leased-line user-name username password [ bas-interface-name name | default-domain authentication domain-name | accounting-copy radius-server radius-name | nas-port-type type ] *,配置二层专线用户接 入类型, 或执行命令 access-type layer3-subscriber default-domain authentication [ force | replace ] dname,配置三层 Web 认证用户接入类型, 或执行命令 access-type layer3-leased-line user-name username password [ bas-interface-name name | default-domain authentication domain-name | accounting-copy radius-server radius-name | nas-port-type type ] *,配置三层专线用户接 入类型。 ----结束 在设置 BAS 接口的用户接入类型时,还可以一起设置和该种用户类型相关的业务属性, 这些属性也可以在后续的配置中逐项配置。 对于已经被 Eth-Trunk 接口包含的以太网接口,不能配置其用户接入类型,而只能配置 相应的 Eth-Trunk 接口。 有用户在线时,只有当用户类型是专线用户时,可以在线修改 BAS 接口的用户接入类 型,其他情况不能修改。 当用户类型配置为专线用户后,MA5200G 立即对该专线用户进行认证。 当用户类型配置为 layer3-subscriber 后,用户上线使用 Web 认证。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-19

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            当接口下配置有 IP 地址时,只能将用户接入类型设置为三层专线用户,或者是三层 Web 认证 用户。 如果 BAS 接口为 GE 或 Eth-Trunk 子接口,当需要将用户接入类型设置为三层专线用户时,首 先必须在子接口下配置一个用户侧 VLAN(且只能配置一个) 。

            5.6.4 配置用户认证方法
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 authentication-method { { ppp | dot1x | { web | fast } } * | bind },配置用户认 证方法。 ----结束 Web 认证和快速认证互斥; 绑定认证和其他认证方式都互斥。 缺省情况下,BAS 接口的认证方法为 PPP。

            5.6.5 (可选)设置用户数限制
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 access-limit number,设置接口级用户数限制, 或执行命令 access-limit user-number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinq qinq-vlan ] ],设置 VLAN 级用户数限制。 ----结束 BAS 接口的用户数限制是指限制该接口下接入的用户数量,包括物理接口级和 VLAN 级两级限制。其中物理接口级只能用于主接口;VLAN 级如果指定 VLAN,则只能在子 接口的 BAS 接口上执行。 缺省情况下,BAS 接口未设置用户数限制。

            5.6.6 (可选)指定域
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。

            5-20

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 default-domain pre-authentication domain-name,指定认证前缺省域, 或执行命令 default-domain authentication [ force | replace ] domain-name,指定认证缺 省域, 或执行命令 roam-domain domain-name,指定漫游域, 或执行命令 permit-domain domain-name &<1-16>,指定允许接入的域。 ----结束

            认证前缺省域
            认证前缺省域对采用 Web 认证、 快速认证的用户有效。 用户在未认证时, 由于 MA5200G 无法得知用户的归属域,因此 MA5200G 默认该用户属于认证前缺省域。 缺省情况下,BAS 接口的认证前缺省域为 default0。

            认证缺省域
            如果用户认证时未输入域名,MA5200G 默认其属于认证缺省域。设置认证缺省域可指 定 force 和 replace 参数。 force 参数表示不管用户认证时所带域名是什么,都强制转换到所设置的认证缺省 域,使用该域的策略进行认证和授权,但用户名中的域名不发生改变。 replace 参数表示强制转换到所设置的认证缺省域,同时用户名中的域名也发生变 化,强制替换成设置的认证缺省域名。 缺省情况下,BAS 接口的认证缺省域为 default1。

            漫游域
            漫游域用于输入了无法识别的域名的用户。如果用户认证时输入了无法识别的域名时, 则 MA5200G 将该用户归入漫游域进行认证。 缺省情况下,BAS 接口的漫游域为 default1。

            允许接入的域
            允许接入的域是指该 BAS 接口下,用户可以使用指定的域进行接入,使用其他的域接 入时,MA5200G 将拒绝接入请求。一个 BAS 接口下最多可设置 16 个允许接入的域。 缺省情况下,BAS 接口的未设置允许接入的域,所有的域都可以接入。

            5.6.7 (可选)设置主机 CAR 级别
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-21

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 vc-host-car car-level,配置 BAS 接口下的主机 CAR 级别。 ----结束 为防止某个端口 VLAN/PVC 下的用户受到攻击时将影响到整个单板的用户接入, MA5200G 支持对端口 VLAN/PVC 上送主机报文的 CAR 处理,即支持配置 BAS 接口上 VLAN/PVC 使用的主机 CAR 级别,这样可以把攻击影响降低到最低程度,并可以通过 告警信息定位出攻击源。 MA5200G 支持 4 个主机 CAR 级别。缺省情况下,主机 CAR 级别为 1。
            主机 CAR 级别对应的 CAR 参数可在系统视图下使用命令 vc-host-car car-level cir cir-value [ cbs cbs-value ]配置,具体命令请参考《Quidway MA5200G 宽带接入服务器 命令参考》 。

            5.6.8 (可选)配置端口 Down 用户策略
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 user-policy interface-down { offline | online },配置端口 Down 对用户是否进 行下线处理。 ----结束 物理端口可能存在接触不良或其他原因导致端口振荡 Down,通过配置端口 Down 用户 策略,可避免因端口频繁振荡导致用户频繁上下线带来的用户问题。 相同的命令可在系统视图下执行,此时配置的为全局的端口 Down 用户策略。 在 BAS 接口下配置了 user-policy interface-down 后,接口 Down 后用户是否下线将由 BAS 接口下的配置来决定,否则,接口 Down 后,用户是否下线由全局配置来决定。 缺省情况下,BAS 接口下没有配置接口 Down 的用户策略;接口 Down 后全局用户策略 为保持用户在线。

            5.6.9 (可选)配置 BAS 接口的逻辑端口
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。

            5-22

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            步骤 4 执行命令 nas logic-port if-type if-number,配置 BAS 接口的逻辑端口。 缺省情况下,BAS 接口没有配置逻辑端口。 ----结束 BAS 接口上配置了逻辑端口后: 预认证用户、绑定认证用户的用户名由逻辑端口生成。 用户的 Option82 信息由逻辑端口生成。 用户 RADIUS 认证的 NAS-PORT 及 NAS-PORT-ID 由逻辑端口生成。

            5.6.10 (可选)配置 BAS 接口附加功能
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 arp-proxy,启用 ARP 代理功能, 或执行命令 nd-proxy,启用 ND 代理功能, 或执行命令 dhcp-broadcast,启用 DHCP 广播功能, 或执行命令 accounting-copy radius-server radius-name,启用计费报文抄送功能, 或执行命令 ip-trigger,启用 IP 报文触发上线功能, 或执行命令 arp-trigger,启用 ARP 报文触发上线功能, 或执行命令 multicast copy by-session,启用按用户复制组播报文功能, 或执行命令 dot1x authentication trigger,启用 802.1X 认证触发功能。 ----结束

            ARP 代理功能
            ARP 代理功能用于同一 BAS 接口下的用户互访,因为在 MA5200G 同一接口下的用户 按 VLAN/PVC 严格隔离,要实现用户互访必须打开 BAS 接口的 ARP 代理开关。 只有在 BAS 接口的接入用户类型设置为二层用户和二层专线用户的情况下,才可以配 置 BAS 接口的 ARP 代理功能。 ARP 代理的开关只对相同 BAS 接口的 ARP 报文进行控制,其他的情况 ARP 代理的开 关都是打开的,无法关闭。 缺省情况下,同一 BAS 接口相同 VLAN/PVC 下,ARP 代理功能关闭。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-23

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            ND 代理功能
            ND 代理和 ARP 代理类似,但 ND 功能用于为 IPv6 用户代理其互访请求。 缺省情况下,BAS 接口的 ND 代理功能关闭。

            DHCP 广播功能
            通常情况下, BAS 接口的 DHCP 报文是采用单播方式向用户进行发送的, 但是在某些特 殊情况下可能需要对 DHCP 报文进行广播, 此时需要打开 BAS 接口的 DHCP 广播开关。 缺省情况下,BAS 接口的 DHCP 广播功能关闭。

            计费报文抄送功能
            计费报文抄送是指在计费过程中,将计费信息同步发送给两台 RADIUS 服务器,并分别 等待回应的功能。 计费报文抄送功能主要在需要多处保存原始计费信息的场合使用(如多运营商共同组 网) 。在这种情况下,计费报文需要同步发送给两台 RADIUS 服务器,在后续的结算中 作为原始计费信息。 缺省情况下,BAS 接口的计费报文抄送功能关闭。

            IP 报文触发上线功能
            IP 报文触发上线功能是指静态用户通过发送 IP 报文触发认证过程的功能。 缺省情况下,BAS 接口的 IP 报文触发上线功能关闭。

            ARP 报文触发上线功能
            ARP 报文触发上线功能是指用户通过发送 ARP 报文触发认证过程的功能。 缺省情况下,BAS 接口的 ARP 报文触发上线功能打开。

            按用户复制组播报文功能
            通常情况下,MA5200G 收到某个组播组的组播报文后,只会向每个物理端口复制一份 组播报文,二层设备再将组播报文复制给该组播组的每个用户。 如果二层设备不具备 IGMP Snooping 功能,无法识别组播组用户,则需要在 MA5200G 的接口上启用按用户进行组播复制的功能,由 MA5200G 直接将组播报文复制给用户。 缺省情况下,BAS 接口的按用户复制组播报文功能关闭。

            802.1X 认证触发功能
            802.1X 认证触发功能是指 MA5200G 探测到 802.1X 用户上线后,主动向用户发起认证 请求的功能。 缺省情况下,BAS 接口的 802.1X 认证触发功能关闭。

            5-24

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            5.6.11 (可选)设置其他参数
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 client-option82,信任客户端 DHCP Option82 信息, 或执行命令 user detect retransmit number interval time,设置用户探测参数, 或执行命令 vpn-instance instance-name,设置非 PPP 用户所属 VPN 实例, 或执行命令 wlan sim { as-authorization | no-as-authorization },设置是否支持 WLAN 方式, 或执行命令 bas-interface-name name,设置 BAS 接口名字, 或执行命令 nas-port-type { async | sync | isdn-sync | isdn-async-v120 | isdn-async-v110 | virtual | piafs | hdlc | x.25 | x.75 | g.3-fax | sdsl | adsl-cap | adsl-dmt | idsl | ethernet | xdsl | cable | wireless-other | 802.11 },配置接入设备类型。 ----结束

            客户端 DHCP Option82 信息
            DHCP Option82 是 DHCP 报文中的一个选项字段, 用于标识用户的物理位置。 MA5200G 对该字段有两种处理方式。 信任 此时 MA5200G 认为客户端上报的 DHCP 报文中携带的 Option82 真实有效,MA5200G 向 DHCP 服务器发送 DHCP 报文时,Option82 保持不变。MA5200G 也使用 DHCP Option82 中的信息,向 RADIUS 服务器上报用户的物理位置。 如果客户端上报的 DHCP 报文中未携带 Option82, MA5200G 根据 VLAN 等信息确定 则 用户的物理位置,构造向 DHCP 服务器发送 DHCP 报文的 Option82 字段。 不信任 此时即使客户端上报的 DHCP 报文中携带 Option82,MA5200G 也不信任该信息,而是 根据 VLAN 等信息确定用户的物理位置,重新构造 DHCP 报文的 Option82 字段。 缺省情况下,MA5200G 不信任客户端上报的 Option82 信息。

            用户探测
            MA5200G 通过定期进行 ARP 探测来得知对 BAS 接口下的用户是否在线。用户探测包 含探测次数和时间间隔两个参数。 缺省情况下,用户探测的次数为 5,时间间隔为 30 秒。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-25

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            非 PPP 用户所属 VPN 实例
            通常 PPP 用户所属的 VPN 实例是通过 RADIUS 服务器下发的,而非 PPP 用户所属的 VPN 实例可在此处配置。 缺省情况下,BAS 接口下的非 PPP 用户属于 VPN 实例 public。

            WLAN 方式
            可以配置 BAS 接口是否支持 WLAN 的组网方式, 如果支持 WLAN 方式需要指定是否接 受 AS 的授权信息。 缺省情况下,BAS 接口不支持 WLAN 方式。

            BAS 接口名
            BAS 接口的名字用于记忆和管理。 缺省情况下,BAS 接口未设置名字。

            接入设备类型
            对于接入用户类型为专线用户的 BAS 接口,需要根据实际情况配置该接口下的接入设 备类型,该信息在 MA5200G 向 RADIUS 服务器传送认证请求时使用。 缺省情况下,BAS 接口接入的设备类型为 Ethernet。

            5.6.12 (可选)设置 BAS 接口的阻塞状态
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 block [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinq qinq-vlan ] ],设置 BAS 接口的阻塞状态。 ----结束 在主接口下,block 命令没有参数,表示将整个接口设置为阻塞状态。在子接口下,可 以把接口下的某些或全部 VLAN 设置为阻塞状态,此时指定的 VLAN 不允许再接入用 户。

            5-26

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            5.7 配置接入响应延时策略
            5.7.1 建立配置任务
            应用环境
            PPPoX 接入和 DHCP 触发的 IPoX 接入过程中,首先均是由客户端通过二层广播(如 PPPoE 的 PADI 报文、DHCP 的 Discover 报文)的方式进行接入服务器的探测,然后在 响应的接入服务器中选择一个,这样: MA5200G 以主备方式组网应用时,由于下行网络的原因,可能会造成主用 MA5200G 的接入回应比备用 MA5200G 的接入回应延迟到达客户端,致使用户从 备用 MA5200G 接入。 MA5200G 以负载分担方式组网应用时,由于不同设备给用户的响应延时不同,可 能会导致无法实现延时分担或不能按预先设置的比例进行负载分担。 MA5200G 支持配置用户的 PPPoE、DHCP 接入请求响应时间,可通过控制设备的响应 延时,使客户端根据不同设备的响应时间接入指定的接入服务器,从而有助于实现组网 中 MA5200G 主备、负载分担功能。

            前置任务


            数据准备
            在配置接入响应延时之前,请根据网络规划,准备好以下数据。 序号 1 2 3 数据 整机用户数变化步长 整机用户接入最大/最小延时时间 接口上接入用户延长时间

            配置步骤
            要完成配置接入响应延时的任务,需要执行如下的配置过程。 序号 1 2 3 过程 配置全局用户接入延时策略 (可选)配置 BAS 接口接入响应延时参数 查看配置结果

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-27

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            5.7.2 配置全局用户接入延时策略
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 aaa,进入 AAA 视图。 步骤 3 执行命令 access-delay step step-value max-delay-timeminimum minimum-time-value ] maximum maximum-time,启动并配置全局用户接入延时策略。 缺省情况下,步长值为 0,最大延长时间为 0,最小延长时间为 0。 ----结束 MA5200G 支持随着整机接入用户数变化,动态调整 PPP、DHCP 接入响应的延时时间, 以实现设备间的自动主备选择和负载分担功能。 用户接入延长的时间由接入用户数,以及配置的步长、最大延长时间、最小延长时间共 同决定: 如果接入用户数除以步长并取整, 再加上最小延长时间配置数值后的值小于等于最 大延长时间配置数值,则用户接入延长时间为接入用户数除以步长并取整,再加上 最小延长时间配置数值后的值乘以 100ms。 如果接入用户数除以步长并取整, 再加上最小延长时间配置数值后的值大于最大延 长时间配置数值,则用户接入延长时间为最大延长时间配置数值乘以 100ms。 比如,若配置步长为 3000,最大延长时间为 7,最小延长时间为 3,则第 0~2999 个用 户延时 3*100ms,第 3000~5999 个用户延时 4*100ms,第 6000~8999 个用户延时 5*100ms, 9000~11999 个用户延时 6*100ms, 12000~14999 个用户延时 7*100ms, 第 第 第 15000~14999 个用户延时 7*100ms,……。 缺省情况下,系统没有启动全局用户接入延时策略。

            5.7.3 (可选)配置 BAS 接口接入响应延时参数
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 interface interface-type interface-number,进入接口视图。 步骤 3 执行命令 bas,进入 BAS 接口视图。 步骤 4 执行命令 access-delay delay-time [ circuit-id-include access-node-id | even-mac | odd-mac ],配置 BAS 接口下的接入响应延时策略。 ----结束 MA5200G 支持在接入类型为二层接入(layer2-subscriber)或二层专线接入 (layer2-leased-line)的 BAS 接口下配置针对不同属性的接入响应延时策略: 支持按 MAC 地址奇偶属性配置响应时间,以实现设备间依据 MAC 地址奇偶属性 的主备选择和负载分担功能。

            5-28

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            支持按接入点标识配置响应时间, 以实现设备间依据接入点标识的主备选择和负载 分担功能。 延时策略配置为 circuit-id-include 时,对于 DHCP 用户接入,BAS 接口下需要使用 client-option82 命令配置 MA5200G 信任客户端上报的 DHCP Option82 信息,接入延时 才能生效。
            如果同时配置了全局和 BAS 接口下的接入响应延时功能,则全局配置不生效,用户接入延时 时间采用相应 BAS 接口下的配置。 奇 MAC 报文响应延时和偶 MAC 报文响应延时可同时配置并生效。

            5.7.4 查看配置结果
            在完成上述的配置后,请执行以下命令检查配置结果。 操作 查看全局动态延 时配置 查看 BAS 接口延 时策略配置 命令 display aaa configuration

            display bas-interface interface-type interface-number [ vlan vlanid [ qinq qinq-vlan ] ]

            5.8 配置普通 IPoX 接入
            5.8.1 建立配置任务
            应用环境
            IPoX 接入是一种接入认证业务。在 IPoX 接入中,用户通过以太网、ADSL 等方式接入, 通过配置固定 IP 地址或者 DHCP 方式动态获取 IP 地址,通过 Web 认证、快速认证或绑 定认证方法进行身份验证。 根据组网方式的不同,IPoX 接入可以分为 IPoE、IPoEoVLAN、IPoEoQ、IPoEoA。 IPoE 对于 IPoE 接入, 报文在经过用户计算机以太网卡的以太网封装后, IP 一直到 MA5200G, 中间没有经过任何的其他封装和改变。 IPoE 业务的基本组网模型就是一台计算机通过二层设备(HUB、LAN Switch 等)接入 到 MA5200G 的以太网接口下, 但是二层设备不对 IPoE 报文进行任何封装和改变。 如图 5-4所示。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-29

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            图5-4 IPoE 基本组网模型
            Eth IP Data

            subscriber MA5200G

            IPoEoVLAN 对于 IPoEoVLAN 业务, 报文在经过用户计算机的以太网卡的以太网封装后形成 IPoE IP 报文。IPoE 报文经过 LAN Switch 之后被加上 VLAN 标记(tag) ,形成 IPoEoVLAN 报 文。IPoEoVLAN 报文最终被送到 MA5200G。 IPoEoVLAN 业务的基本组网模型就是一台计算机通过一台支持 802.1Q 的交换机之后再 连在 MA5200G 的以太网接口下,如图 5-5所示。 图5-5 IPoEoVLAN 基本组网模型
            Eth IP Data Q Eth IP Data

            subscriber

            LAN Switch

            MA5200G

            IPoEoQ 对于 IPoEoQ 接入,IP 报文在经过用户 PC 的以太网卡的以太网封装后形成 IPoE 报文。 IPoE 报文经过靠近用户的交换机后被加上 VLAN 标记,形成 IPoEoVLAN 报文, IPoEoVLAN报文经过靠近 MA5200G 的交换机后又被加上一层 VLAN 标记, 形成 IPoEoQ 报文,IPoEoQ 报文最终被送到 MA5200G。 IPoEoQ 业务的基本组网模型是一台计算机通过两台支持 802.1Q 的交换机之后再连在 MA5200G 的以太网接口下,如图 5-6所示。 图5-6 IPoEoQ 基本组网模型
            Eth IP Data Q Eth IP Data Q Q Eth IP Data

            subscriber

            LAN Switch

            LAN Switch

            MA5200G

            IPoEoA 对于 IPoEoA 业务,用户的 IP 报文在经过用户 PC 的以太网卡的以太网封装后形成 IPoE 报文。IPoE 报文经过支持 AAL5 封装的 ADSL Modem 进行 AAL5 封装后,形成 IPoEoA

            5-30

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            报文。IPoEoA 报文经过 DSLAM 的交换转发后最终被送到 MA5200G,因而 MA5200G 看到是 IPoEoA 格式的报文。 IPoEoA 业务的基本组网模型是一台计算机通过网线连接到一台支持 AAL5 封装的 ADSL Modem,ADSL Modem 再通过电话线接入 DSLAM,DSLAM 通过 ATM 线路连到 MA5200G 的 ATM 接口下。此时,ADSL Modem 配置成 1483B 桥接方式,完成二层桥 接透传。 图5-7 IPoEoA 基本组网模型
            Eth IP Data AAL5 Eth IP Data

            ADSL Modem

            DSLAM

            MA5200G

            前置任务
            在配置 IPoX 接入之前,需要完成以下任务。 配置认证方案和计费方案,请参见“2 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板,请参见“2 配置 AAA” 配置 IPv4 地址池,请参见“3 管理地址” 配置域,请参见“4 管理用户” 如果用户使用 Web 认证,配置 Web 认证,请参见“5.3 配置 Web 认证” 如果用户使用 Web 认证,配置 ACL,请参见《Quidway MA5200G 宽带接入服务器 IP 业务配置指南》 “7 配置 ACL” 配置 BAS 接口,请参见“5.6 配置 BAS 接口”

            数据准备
            在配置 IPoX 接入之前,请根据网络规划,准备好以下数据。 序号 1 2 3 4 5 6 数据 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv4 地址池名称 用户所在域 Web 认证服务器的相关参数(可选) BAS 接口的相关参数

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-31

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            配置步骤
            要完成配置 IPoX 接入的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7 8 9 9 过程 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 配置 IPv4 地址池 配置域 配置 Web 认证(只在使用 Web 认证时需要) 配置 ACL(只在使用 Web 认证时需要) 配置虚拟以太网接口(只对 IPoEoA 接入有效) 配置 PVC(只对 IPoEoA 接入有效) 子接口绑定 VLAN(只对 IPoEoVLAN、IPoEoQ 接入有效) 或桥接 PVC 和虚拟以太网接口(只对 IPoEoA 接入有效) 10 配置 BAS 接口

            IPoX 接入是一个组合配置任务,每一步的配置在本手册的前面章节都已经介绍,本处不再重 复。 如果 IPoX 为 VPN 用户,则要在地址池、域以及 BAS 接口下分别绑定相同的 VPN 实例。

            5.9 配置普通 PPPoX 接入
            5.9.1 建立配置任务
            应用环境
            PPPoX 接入是一种接入认证业务。在 PPPoX 接入中,用户通过 PPP 拨号接入 MA5200G 获取地址并进行身份验证。 根据组网方式的不同,PPPoX 业务可以分为 PPPoE、PPPoEoVLAN、PPPoEoQ、PPPoA、 PPPoEoA。 PPPoE 对于 PPPoE 接入,PPP 报文在经过用户计算机以太网卡的以太网封装后,一直到 MA5200G,中间没有经过任何的其他封装和改变。

            5-32

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            PPPoE 业务的基本组网模型就是一台计算机通过二层设备(HUB、LAN Switch 等)接 入 MA5200G 的以太网接口下,如图 5-8所示。但是二层设备不对 PPPoE 报文进行任何 封装和改变。 图5-8 PPPoE 基本组网模型
            Eth PPP IP Data

            subscriber MA5200G

            PPPoEoVLAN 对于 PPPoEoVLAN 业务,PPP 报文在经过用户计算机的以太网卡的以太网封装后形成 PPPoE 报文。PPPoE 报文经过 LAN Switch 之后被加上 VLAN 标记(tag) ,形成 PPPoEoVLAN 报文。PPPoEoVLAN 报文最终被送到 MA5200G。 PPPoEoVLAN 业务的基本组网模型就是一台计算机通过一台支持 802.1Q 的交换机之后 再连在 MA5200G 的以太网接口下,如图 5-9所示。 图5-9 PPPoEoVLAN 基本组网模型
            Eth PPP IP Data Q Eth PPP IP Data

            subscriber

            LAN Switch

            MA5200G

            PPPoEoQ 对于 PPPoEoQ 业务,PPP 报文在经过用户 PC 的以太网卡的以太网封装后形成 PPPoE 报文。PPPoE 报文经过靠近用户的交换机后被加上 VLAN 标记,形成 PPPoEoVLAN 报 文, PPPoEoVLAN 报文再经过靠近 MA5200G 的交换机后又被加上一层 VLAN 标记, 形 成 PPPoEoQ 报文。PPPoEoQ 报文最终被送到 MA5200G。 PPPoEoQ 业务的基本组网模型就是一台计算机通过两台支持 802.1Q 的交换机接入到 MA5200G 的以太网接口下,如图 5-10所示。 图5-10 PPPoEoQ 基本组网模型
            Eth PPP Data Q Eth PPP Data Q Q Eth PPP Data

            subscriber

            LAN Switch

            LAN Switch

            MA5200G

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-33

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            PPPoA 对于 PPPoA 业务,PPP 报文经过支持 AAL5 封装的 ADSL Modem 进行 AAL5 封装后, 形成 PPPoA 报文。PPPoA 报文经过 DSLAM 的交换转发后最终被送到 MA5200G。 PPPoA 业务的基本组网模型就是一台计算机通过网线接入 ADSL Modem, ADSL Modem 再通过电话线接入 DSLAM, DSLAM 通过 ATM 线路接入 MA5200G。 此时 ADSL Modem 作为 PPP 客户端,上电后自动拨号,与 MA5200G 建立一条 PPP 连接。ADSL Modem 与 MA5200G 之间的 PPP 连接对用户计算机完全透明,用户计算机上不必安装拨号客户端 软件。 图5-11 PPPoA 基本组网模型
            AAL5 PPP Data AAL5 PPP Data

            subscriber

            ADSL Modem

            DSLAM

            MA5200G

            PPPoEoA 对于 PPPoEoA 业务, 报文在经过用户计算机的以太网卡的以太网封装后形成 PPPoE PPP 报文。 PPPoE 报文经过支持 AAL5 封装的 ADSL Modem 进行 AAL5 封装后, 形成 PPPoEoA 报文。PPPoEoA 报文经过 DSLAM 的交换转发后最终被送到 MA5200G。 PPPoEoA 业务的基本组网模型就是一台计算机通过网线接入 ADSL Modem,ADSL Modem 再通过电话线接入 DSLAM,DSLAM 通过 ATM 线路接入 MA5200G。用户计算 机上安装有 PPPoE 拨号客户端软件, 用户计算机与 MA5200G 之间建立 PPP 连接, ADSL Modem 只完成二层桥接透传。 图5-12 PPPoEoA 基本组网模型
            Eth PPP Data AAL5 Eth PPP Data

            ADSL Modem

            DSLAM

            MA5200G

            前置任务
            在配置 PPPoX 接入之前,需要完成以下任务。 配置虚模板接口,请参见《Quidway MA5200G 宽带接入服务器 接入配置指南》 配置认证方案和计费方案,请参见“2 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板,请参见“2 配置 AAA”

            5-34

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置 IPv4 地址池,请参见“3 管理地址” 配置域,请参见“4 管理用户” 配置 BAS 接口,请参见“5.6 配置 BAS 接口”

            数据准备
            在配置 PPPoX 接入之前,请根据网络规划,准备好以下数据。 序号 1 2 3 4 5 6 数据 使用的虚模板接口编号 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv4 地址池名称 用户所在域 BAS 接口的相关参数

            配置步骤
            要完成配置 PPPoX 接入的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7 8 过程 配置虚模板接口 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 配置 IPv4 地址池 配置域 配置虚拟以太网接口(只对 PPPoEoA 接入有效) 为接口指定虚模板接口(对 PPPoE、PPPoEoVLAN、PPPoEoQ 接入有效) 或为虚拟以太网接口指定虚模板(对 PPPoEoA 接入有效) 9 10 配置 PVC(对 PPPoA、PPPoEoA 接入有效) 子接口绑定 VLAN(只对 PPPoEoVLAN、PPPoEoQ 接入有效) 或桥接 PVC 和虚模板接口(只对 PPPoA 接入有效) 或桥接 PVC 和虚拟以太网接口(只对 PPPoEoA 接入有效)

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-35

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            序号 11

            过程 配置 BAS 接口

            PPPoX 接入是一个组合配置任务,每一步的配置在本手册的前面章节都已经介绍,本处不再 重复。 如果 PPPoX 为 VPN 用户,则要在地址池、域下分别绑定相同的 VPN 实例。

            5.10 配置 802.1X 接入
            5.10.1 建立配置任务
            802.1X 业务的组网方式和 IPoE、 IPoEoVLAN 的组网方式相同。 EAP 的认证报文从用 其 户计算机的以太网卡出来后形成 EAPoL 报文, EAPoL 报文可以直接到达 MA5200G, 也 可以通过 LAN Switch 进行 VLAN 标识到达 MA5200G。

            前置任务
            在配置 802.1X 接入之前,需要完成以下任务。 配置 802.1X 模板,请参见“5.4 配置 802.1X 模板” 配置认证方案和计费方案,请参见“2 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板,请参见“2 配置 AAA” 配置 IPv4 地址池,请参见“3 管理地址” 配置域,请参见“4 管理用户” 配置 BAS 接口,请参见“5.6 配置 BAS 接口”

            数据准备
            在配置 802.1X 接入之前,请根据网络规划,准备好以下数据。 序号 1 2 3 4 5 6 数据 使用的 802.1X 模板编号 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv4 地址池名称 用户所在域 BAS 接口的相关参数

            5-36

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置步骤
            要完成配置 802.1X 接入的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7 8 过程 配置 802.1X 模板 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 配置 IPv4 地址池 配置域并绑定 802.1X 模板 子接口绑定 VLAN(只对通过子接口接入有效) 配置 BAS 接口

            802.1X 接入是一个组合配置任务, 每一步的配置在本手册的前面章节都已经介绍, 本处不再重复。

            5.11 配置专线接入
            5.11.1 建立配置任务
            应用环境
            专线(Leased Line)业务是指将 MA5200G 的某个以太网接口或者接口下的某些 VLAN 整体出租给一组用户使用的业务。一条专线下可以接入多台计算机,但是在 MA5200G 上只表现为一个用户,MA5200G 对专线进行统一的认证计费、带宽控制、访问权限控 制以及 QoS 控制。 根据专线接入的组网方式以及业务的处理方式, 专线可以分为二层专线、 三层专线、 PPP 专线。 二层专线 二层专线用户通过二层 LAN Switch 等设备接入 MA5200G 的某个接口或者接口的 VLAN 下,专线用户可以配置静态 IP 地址,也可以通过 DHCP 从 MA5200G 动态获取 IP 地址。 MA5200G 对二层专线用户提供 BRAS 功能。 三层专线 三层专线用户通过路由器等三层设备接入到 MA5200G 的某个接口或者接口的 VLAN, 专线内用户的地址分配等工作由接入的路由器负责。在三层专线中,MA5200G 只作为 转发路由器使用,但是对用户的源 IP 地址进行基于接口绑定的合法性检查,同时也进 行带宽控制。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-37

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            在配置三层专线时,需要保证 MA5200G 上存在路由,使目的地址为三层专线用户网段 的报文能够被路由到三层专线的出口路由器上。 PPP 专线 PPP 专线也是通过路由器等三层设备接入到 MA5200G。在 PPP 专线方式下,三层设备 通过 PPP 拨号成为 MA5200G 的一个二层个人用户,因此在 MA5200G 上只能看到一个 二层个人用户的存在,而看不到三层设备下的真实用户的存在。 对于报文上行的情况,三层设备下接入的所有用户的报文均通过该 PPP 链路上送 MA5200G,并被认为是同一个个人用户的报文进行转发; 对于报文下行的情况,MA5200G 根据 RADIUS 下发的 Framed-Route 消息,生成到 三层设备下网络的路由, 目的地址为 PPP 专线用户网段的报文可以通过 PPP 链路下 发到 PPP 专线的出口路由器上。
            对于 MA5200G 而言,PPP 专线只相当于一个二层个人用户,因此 PPP 专线的配置和普通 PPP 业 务没有区别,本部分不再介绍,请参见“5.9 配置普通 PPPoX 接入” 。

            前置任务
            在配置专线接入之前,需要完成以下任务。 配置认证方案和计费方案,请参见“2 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板,请参见“2 配置 AAA” 配置 IPv4 地址池,请参见“3 管理地址” 配置域,请参见“4 管理用户” 配置 BAS 接口,请参见“5.6 配置 BAS 接口”

            数据准备
            在配置专线接入之前,请根据网络规划,准备好以下数据。 序号 1 2 3 4 5 6 7 数据 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv4 地址池名称(只对二层专线需要) 用户所在域 BAS 接口的相关参数 专线的用户名和密码 用户网段地址(只对三层专线需要)

            5-38

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置步骤
            要完成配置专线接入的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7 过程 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 配置 IPv4 地址池(只对二层专线有效) 配置域 子接口绑定 VLAN(只对通过子接口接入有效) 配置 BAS 接口

            专线接入是一个组合配置任务,每一步的配置在本手册的前面章节都已经介绍,本处不再重 复。 如果专线属于 VPN 用户, 则要在地址池 (只对二层专线) 域以及 BAS 接口下绑定相同的 VPN 、 实例。

            5.12 配置 ND 接入
            5.12.1 建立配置任务
            应用环境
            ND 接入用于为 IPv6 用户提供接入、认证、计费等服务。用户可以使用 PPP 认证、Web/ 快速认证、绑定认证等方法进行认证。

            前置任务
            在配置 ND 接入之前,需要完成以下任务。 如果用户使用 PPP 拨号,配置虚模板接口,请参见《Quidway MA5200G 宽带接入 服务器 接入配置指南》 配置认证方案和计费方案,请参见“2 配置 AAA” 配置 RADIUS 服务器组/HWTACACS 服务器模板,请参见“2 配置 AAA” 配置 IPv6 地址前缀,请参见“3 管理地址” 配置域,请参见“4 管理用户” 如果用户使用 Web 认证,配置 Web 认证,请参见“5.3 配置 Web 认证” 。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-39

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            如果用户使用 Web 认证,配置 ACL,请参见《Quidway MA5200G 宽带接入服务器 IP 业务配置指南》 配置 BAS 接口,请参见“5.6 配置 BAS 接口”

            数据准备
            在配置 ND 接入之前,请根据网络规划,准备好以下数据。 序号 1 2 3 4 5 6 7 数据 使用的虚模板接口编号(只对 PPP 认证有效) 使用的认证方案、计费方案名称 使用的 RADIUS 服务器组或 HWTACACS 服务器模板名称 使用的 IPv6 地址前缀名称 用户所在域 Web 认证服务器的相关参数(只对 Web 认证有效) BAS 接口的相关参数

            配置步骤
            要完成配置 ND 接入的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7 8 9 10 11 过程 配置虚模板接口(只在使用 PPP 认证时需要) 配置认证方案 配置计费方案 配置 RADIUS 服务器组/HWTACACS 服务器模板 IPv6 地址前缀 配置域并指定 IPv6 地址前缀 配置 Web 认证(只在使用 Web 认证时需要) 配置 ACL(只在使用 Web 认证时需要) 为接口指定虚模板接口(只在使用 PPP 认证时需要) 子接口绑定 VLAN(只在使用子接口接入时需要) 配置 BAS 接口

            5-40

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            ND 接入是一个组合配置任务,每一步的配置在本手册的前面章节都已经介绍,本处不再重复。

            5.13 配置在线用户数阈值
            5.13.1 建立配置任务
            应用环境
            业务使用高峰时,用户的在线数可能会超过设备允许的最大用户在线数,导致用户上网 速度变慢。为此操作员可以在 MA5200G 上设置在线用户数阈值,当在线用户数超过这 个阈值时,MA5200G 给出告警。

            前置任务
            在配置在线用户数阈值之前,需要完成以下任务。 确定 MA5200G 允许的最大用户数 确定业务使用高峰情况下在线用户数以及网络规划情况

            数据准备
            在配置在线用户数阈值之前,请根据网络规划,准备好以下数据。 序号 1 数据 在线用户数阈值

            配置步骤
            要完成配置在线用户数阈值的任务,需要执行如下的配置过程。 序号 1 2 过程 配置在线用户数阈值 显示在线用户数阈值

            5.13.2 配置在线用户数阈值
            请在 MA5200G 上进行以下配置。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 online-usernum-threshold threshold-value,配置在线用户数阈值。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-41

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            ----结束 在线用户数阈值取值范围为 1~100,是百分比的形式,比如若设置为 10,表示在线用 户数到达 MA5200G 允许的最大用户数的 10%时,MA5200G 发出告警。 缺省情况下,在线用户数阈值为 80。

            5.13.3 显示在线用户数阈值
            请执行以下命令显示当前在线用户数阈值。 步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 display online-usernum-threshold,显示在线用户数阈值。 ----结束

            5.14 管理在线用户
            5.14.1 建立配置任务
            应用环境
            当用户已经在线时,操作员可以在 MA5200G 上对在线用户进行管理,包括查看在线用 户和切断用户连接。

            前置任务
            在管理在线用户之前,需要完成以下任务: 配置 BAS 接口的接入方式和认证方法

            数据准备
            在管理在线用户之前,请根据网络规划,准备好以下数据(以下数据可以只准备一个, 也可以准备多个组合使用) 。 序号 1 2 3 4 5 6 数据 在线用户的用户名 在线用户的域名 在线用户接入的接口名或接口类型/接口编号、VLAN 号 在线用户的 IP 地址、所属的 VPN 实例 在线用户的 MAC 地址 在线用户的 IP 地址所在的地址池

            5-42

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            序号 7 8

            数据 在线用户的用户 ID 在线用户所在的槽号

            配置步骤
            要完成管理在线用户的任务,需要执行如下的命令。 序号 1 2 过程 显示在线用户 切断在线用户的连接

            5.14.2 显示在线用户
            请执行以下命令显示在线用户信息。 操作 按用户名显示在线用户 按域名显示在线用户 按 MAC 地址显示在线用户 按 IP 地址显示在线用户 按接口显示在线用户 命令 display access-user username { username | | include regular-text } [ detail ] display access-user domain domain-name [ detail ] display access-user mac-address H-H-H display access-user ip-address ip-address [ vpn-instance instance-name ] display access-user interface interface-type interface-number [ vlan vlan-id | qinq qinq-vlan ]* [ detail ] display access-user user-id user-id [ vas ] display access-user slot [ slot ] display access-user ipv6-address ipv6-address

            按用户 ID 显示在线用户 按槽号显示在线用户 按 IPv6 地址显示在线用户

            可以使用用户名、域名、接口等的组合条件显示在线用户信息,例如同时指定用户名、接口、域 名条件:display access-user domain huawei username user1 interface Ethernet2/0/0。

            5.14.3 切断在线用户的连接
            请在 MA5200G 上进行以下配置。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-43

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 1 执行命令 system-view,进入系统视图。 步骤 2 执行命令 aaa,进入 AAA 视图。 步骤 3 执行命令 cut access-user username name { local | radius | none | all },按用户名切断在线 用户, 或执行命令 cut access-user domain domain-name,按域名切断在线用户, 或执行命令 cut access-user mac-address mac-address,按 MAC 地址切断在线用户, 或执行命令 cut access-user ip-address ip-address [ vpn-instance instance-name ],按 IP 地 址切断在线用户, 或执行命令 cut access-user interface interface-type interface-number [ vlan-id vlan-id ],按 接口切断在线用户, 或执行命令 cut access-user user-id start-no [ end-no ],按用户 ID 切断在线用户, 或执行命令 cut access-user ip-pool pool-name,按 IP 地址池切断在线用户, 或执行命令 cut access-user slot slot-id,按槽位号切断在线用户。 或执行命令 cut access-user prefix prefix-name,按 IPv6 地址前缀切断在线用户, 或执行命令 cut access-user ipv6-address ipv6-address,按 IPv6 地址切断在线用户。 ----结束

            可以使用用户名、域名、接口、地址池名、前缀名等的组合条件拆除用户连接,例如同时指定接 口、 域名、 地址条件: access-user interface gigabitethernet 1/0/0 domain dom1 ip-pool pool1。 IP cut

            5.15 维护 BRAS 接入
            维护 BRAS 接入包括以下内容。 显示 BRAS 接入运行信息 清除 BRAS 接入运行信息 调试 BRAS 接入

            5.15.1 显示 BRAS 接入运行信息
            在完成上述配置后,在任一视图下执行下面的 display 命令,查看 BRAS 接入的运行信 息,检查配置的效果。运行信息的详细解释请参考《Quidway MA5200G 宽带接入服务 器 命令参考》 。 操作 显示 Web 认证服务器配置信息 显示 802.1X 模板配置信息 命令 display web-auth-server configuration display dot1x-template number

            5-44

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            操作 显示 BAS 接口的配置信息 显示接口接入用户数 显示用户上线失败记录信息

            命令 display bas-interface [ interface-type interface-number [ vlan vlan-id [ qinq qinq-vlan ] ] display port access-limit interface interface-type interface-number display aaa online-fail-record [ domain_name domain-name | interface interface-type interface-number [ vlan vlan-id [ qinq qinq-vlan ] ] | mac-address mac-address | user-type type | username user-name ]* | slot slot | time begin-time end-time [ date begin-date end-date ] ] [ brief ] display aaa offline-record [ domain_name domain-name | offline-reason { arp_detect_fail | idle_cut | ppp_echo_fail | ppp_user_request | realtime_acct_fail | session_timeout | stop_acct_fail | user_request } | [ interface interface-type interface-number [ vlan vlan-id [ qinq qinq-vlan ] ] | mac-address mac-address | user-type type | username user-name ]* | slot slot | time begin-time end-time [ date begin-date end-date ] ] [ brief ] display aaa abnormal-offline-record [ domain_name domain-name | offline-reason offline-reason | [ interface interface-type interface-number [ vlan vlan-id [ qinq qinq-vlan ] ] | mac-address mac-address | user-type type | username user-name ]* | slot slot | time begin-time end-time [ date begin-date end-date ] ] * [ brief ] display aaa { online-fail-record | offline-record } offline-reason statistics

            显示用户下线记录信息

            显示用户异常下线记录信息

            显示各上线失败原因的上线失败用 户数以及各下线原因的下线用户数 的统计信息

            5.15.2 清除 BRAS 接入运行信息

            清除 BRAS 接入运行信息后,以前的运行信息将无法恢复,请仔细确认。 在确认需要清除 BRAS 接入的运行信息后,请在系统视图下执行下面的 reset 命令。清 除运行信息。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-45

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            操作 清除系统当前所有的用户上线失败 记录 清除系统当前所有的用户下线记录 清除系统当前所有的用户异常下线 记录

            命令 reset aaa online-fail-record

            reset aaa offline-record reset aaa abnormal-offline-record

            5.15.3 调试 BRAS 接入

            打开调试开关将影响系统的性能。调试完毕后,应及时执行 undo debugging all 命令关 闭调试开关。 在出现 BRAS 接入运行故障时, 请在用户视图下执行下面的 debugging 命令对 BRAS 接 入进行调试,查看调试信息,并定位故障的原因。输出调试信息的操作步骤请参考 《Quidway MA5200G 宽带接入服务器 系统配置指南》 。 操作 调试 Web 认证服务器报文 命令 debugging web packet

            5.16 配置举例
            BRAS 接入配置举例包括以下例子。 配置普通 IPoE 接入 配置普通 IPoEoVLAN 接入 配置普通 IPoEoQ 接入示例 配置普通 IPoEoA 接入 配置普通 PPPoE 接入 配置普通 PPPoEoVLAN 接入 配置普通 PPPoEoQ 接入示例 配置普通 PPPoA 接入 配置普通 PPPoEoA 接入 配置 802.1X 接入 配置以太网二层专线接入

            5-46

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置 ATM 二层专线接入示例 配置以太网三层专线接入 配置 ATM 三层专线接入示例 配置三层 Web 认证用户接入 配置 ND 接入

            5.16.1 配置普通 IPoE 接入 VPN 示例
            组网需求
            以图 5-13为例, 用户归属于 isp2 域, MA5200G 的 GE8/0/2 接口下以 IPoE 方式接 从 入。 用户采用 Web 认证,并采用 RADIUS 认证模式和 RADIUS 计费模式。 RADIUS 服务器地址为 192.168.8.249,认证和计费端口分别是 1812 和 1813,采用 标准 RADIUS 协议,密钥为 hello。 用户为 VPN 用户,所属 VPN 实例为 vpn1。 DNS 服务器地址为 192.168.8.252。 Web 认证服务器地址为 192.168.8.251,密钥为 webvlan。

            组网图
            图5-13 IPoE 配置举例组网图
            DNS server 192.168.8.252 Web server RADIUS server 192.168.8.251 192.168.8.249

            Access Network subscriber@isp2

            GE8/0/2

            GE7/0/2 192.168.8.1

            MA5200G

            配置步骤

            对于 Web 认证来说, 接口下的用户认证前缺省域是必须的, 系统默认的认证前缺省域为 default0。 步骤 1 配置 VPN 实例。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-47

            5 配置 BRAS 接入
            <Quidway> system-view [Quidway] ip vpn-instance vpn1 [Quidway-vpn-instance-vpn1] quit

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 2 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth2 [Quidway-aaa-authen-auth2] authentication-mode radius [Quidway-aaa-authen-auth2] quit

            步骤 3 配置计费方案。
            [Quidway-aaa] accounting-scheme acct2 [Quidway-aaa-accounting-acct2] accounting-mode radius [Quidway-aaa-accounting-acct2] quit [Quidway-aaa] quit

            步骤 4 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd2 [Quidway-radius-rd2] radius-server authentication 192.168.8.249 1812 [Quidway-radius-rd2] radius-server accounting 192.168.8.249 1813 [Quidway-radius-rd2] radius-server type standard [Quidway-radius-rd2] radius-server shared-key hello [Quidway-radius-rd2] quit

            步骤 5 配置地址池。
            [Quidway] ip pool pool2 local [Quidway-ip-pool-pool2] gateway 172.82.1.1 255.255.255.0 [Quidway-ip-pool-pool2] section 0 172.82.1.2 172.82.1.200 [Quidway-ip-pool-pool2] dns-server 192.168.8.252 [Quidway-ip-pool-pool2] vpn-instance vpn1 [Quidway-ip-pool-pool2] quit

            步骤 6 配置域。 # 配置 default0 域。
            [Quidway] user-group huawei [Quidway] aaa [Quidway-aaa] domain default0 [Quidway-aaa-domain-default0] ip-pool pool2 [Quidway-aaa-domain-default0] user-group huawei [Quidway-aaa-domain-default0] vpn-instance vpn1 [Quidway-aaa-domain-default0] web-server url 192.168.8.251 [Quidway-aaa-domain-default0] quit

            # 配置 isp2 域。
            [Quidway-aaa] domain isp2 [Quidway-aaa-domain-isp2] authentication-scheme auth2 [Quidway-aaa-domain-isp2] accounting-scheme acct2 [Quidway-aaa-domain-isp2] radius-server group rd2 [Quidway-aaa-domain-isp2] vpn-instance vpn1 [Quidway-aaa-domain-isp2] quit [Quidway-aaa] quit

            5-48

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            步骤 7 配置 Web 认证服务器。
            [Quidway] web-auth-server 192.168.8.251 key webvlan

            步骤 8 配置 ACL。 # 配置 ACL 规则。
            [Quidway] acl number 6000 [Quidway-acl-ucl-6000] rule deny ip source user-group huawei [Quidway] acl number 6001 [Quidway-acl-ucl-6001] rule permit ip source user-group huawei destination ip-address 192.168.8.251 0.0.0.0 [Quidway-acl-ucl-6001] rule permit ip source user-group huawei destination ip-address 192.168.8.252 0.0.0.0 [Quidway-acl-ucl-6001] quit

            # 配置流量管理策略。
            [Quidway] traffic classifier c1 [Quidway-classifier-c1] if-match acl 6000 [Quidway-classifier-c1] quit [Quidway] traffic classifier c2 [Quidway-classifier-c2] if-match acl 6001 [Quidway-classifier-c2] quit [Quidway] traffic behavior deny1 [Quidway-behavior-deny1] deny [Quidway-behavior-deny1] traffic behavior perm1 [Quidway-behavior-perm1] permit [Quidway-behavior-perm1] quit [Quidway] traffic policy action1 [Quidway-policy-action1] classifier c2 behavior perm1 [Quidway-policy-action1] classifier c1 behavior deny1 [Quidway-policy-action1] quit

            # 在以太网接口 8/0/2 下应用策略。
            [Quidway] interface GigabitEthernet 8/0/2 [Quidway-GigabitEthernet8/0/2] traffic-policy action1 inbound [Quidway-GigabitEthernet8/0/2] traffic-policy action1 outbound

            步骤 9 配置 BAS 接口。
            [Quidway-GigabitEthernet8/0/2] bas [Quidway-GigabitEthernet8/0/2-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/2-bas] authentication-method web [Quidway-GigabitEthernet8/0/2-bas] default-domain authentication isp2 [Quidway-GigabitEthernet8/0/2-bas] vpn-instance vpn1 [Quidway-GigabitEthernet8/0/2-bas] quit [Quidway-GigabitEthernet8/0/2] quit

            步骤 10 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/2 [Quidway-GigabitEthernet7/0/2] ip address 192.168.8.1 255.255.255.0

            ----结束

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-49

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            配置文件
            # sysname Quidway # user-group huawei # ip vpn-instance vpn1 # radius-server group rd2 radius-server authentication 192.168.8.249 1812 weight 0 radius-server accounting 192.168.8.249 1813 weight 0 radius-server shared-key hello # acl number 6000 rule 5 deny ip source user-group huawei # acl number 6001 rule 5 permit ip source user-group huawei destination ip-address 192.168.8.251 0 rule 10 permit ip source user-group huawei destination ip-address 192.168.8.252 0 # traffic classifier c2 operator and if-match acl 6001 traffic classifier c1 operator and if-match acl 6000 # traffic behavior perm1 traffic behavior deny1 deny # traffic policy action1 classifier c2 behavior perm1 classifier c1 behavior deny1 # interface GigabitEthernet8/0/2 traffic-policy action1 inbound traffic-policy action1 outbound bas access-type layer2-subscriber vpn-instance vpn1 authentication-method # interface GigabitEthernet7/0/2 ip address 192.168.8.1 255.255.255.0 # ip pool pool2 local vpn-instance vpn1 gateway 172.82.1.1 255.255.255.0 section 0 172.82.1.2 172.82.1.200 dns-server # aaa authentication-scheme accounting-scheme domain default0 192.168.8.251 web-server url auth2 acct2 192.168.8.252 web default-domain authentication isp2

            5-50

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            user-group vpn-instance ip-pool domain isp2 auth2 acct2 rd2 huawei vpn1

            5 配置 BRAS 接入

            pool2

            authentication-scheme accounting-scheme radius-server group vpn-instance # vpn1

            web-auth-server 192.168.8.251 port 50100 key webvlan # return

            5.16.2 配置普通 IPoEoVLAN 接入示例
            组网需求
            以图 5-14为例, 用户归属于 isp3 域, MA5200G 的 GE8/0/2.1 接口下以 IPoEoVLAN 从 方式接入,LAN Switch 使用 VLAN 1 和 VLAN 2 对用户报文进行标记。 用户采用绑定认证,并采用 RADIUS 认证模式和 RADIUS 计费模式。 RADIUS 服务器地址为 192.168.8.249,认证和计费端口分别是 1812 和 1813,采用 标准 RADIUS 协议,密钥为 hello。 DNS 服务器地址为 192.168.8.252。

            组网图
            图5-14 IPoEoVLAN 配置举例组网图
            DNS server RADIUS server 192.168.8.252 192.168.8.249

            VLAN1 subscriber1@isp3 GE8/0/2.1 GE7/0/2 192.168.8.1

            VLAN2 subscriber2@isp3

            MA5200G

            配置步骤
            步骤 1 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth3 [Quidway-aaa-authen-auth3] authentication-mode radius [Quidway-aaa-authen-auth3] quit

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-51

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 2 配置计费方案。
            [Quidway-aaa] accounting-scheme acct3 [Quidway-aaa-accounting-acct3] accounting-mode radius [Quidway-aaa-accounting-acct3] quit [Quidway-aaa] quit

            步骤 3 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd3 [Quidway-radius-rd3] radius-server authentication 192.168.8.249 1812 [Quidway-radius-rd3] radius-server accounting 192.168.8.249 1813 [Quidway-radius-rd3] radius-server type standard [Quidway-radius-rd3] radius-server shared-key hello [Quidway-radius-rd3] quit

            步骤 4 配置地址池。
            [Quidway] ip pool pool3 local [Quidway-ip-pool-pool3] gateway 172.82.2.1 255.255.255.0 [Quidway-ip-pool-pool3] section 0 172.82.2.2 172.82.2.200 [Quidway-ip-pool-pool3] dns-server 192.168.8.252 [Quidway-ip-pool-pool3] quit

            本处配置的地址池用于用户认证后的域,由于绑定认证在用户上线时自动进行认证,因此无需配 置认证前缺省域。

            步骤 5 配置 isp3 域。
            [Quidway] aaa [Quidway-aaa] domain isp3 [Quidway-aaa-domain-isp3] authentication-scheme auth3 [Quidway-aaa-domain-isp3] accounting-scheme acct3 [Quidway-aaa-domain-isp3] radius-server group rd3 [Quidway-aaa-domain-isp3] ip-pool pool3 [Quidway-aaa-domain-isp3] quit [Quidway-aaa] quit

            由于绑定认证是获取 IP 地址时自动进行认证, 因此无需对认证前的用户进行 ACL 限制, 配置 ACL 只需配置其认证后的网络权限即可,本处不作详述。

            步骤 6 配置 BAS 接口。
            [Quidway] interface GigabitEthernet 8/0/2.1 [Quidway-GigabitEthernet8/0/2.1] uservlan 1 2 [Quidway-GigabitEthernet8/0/2.1-vlan-1-2] quit [Quidway-GigabitEthernet8/0/2.1] bas [Quidway-GigabitEthernet8/0/2.1-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/2.1-bas] authentication-method bind [Quidway-GigabitEthernet8/0/2.1-bas] default-domain authentication isp3 [Quidway-GigabitEthernet8/0/2.1-bas] quit [Quidway-GigabitEthernet8/0/2.1] quit

            5-52

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            由于绑定认证的用户名是根据用户接入 MA5200G 的位置以及域名自动生成的,因此在 RADIUS 服务器上必须根据生成规则来配置用户名,密码为 vlan。 有关绑定认证的用户名生成格式请参见《Quidway MA5200G 宽带接入服务器 命令参考》中 vlanpvc-to-username 命令的描述。

            步骤 7 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/2 [Quidway-GigabitEthernet7/0/2] ip address 192.168.8.1 255.255.255.0

            ----结束

            配置文件
            # sysname Quidway # radius-server group rd3 radius-server authentication 192.168.8.249 1812 weight 0 radius-server accounting 192.168.8.249 1813 weight 0 radius-server shared-key hello # interface GigabitEthernet8/0/2.1 uservlan 1 2 bas access-type layer2-subscriber authentication-method # interface GigabitEthernet7/0/2 ip address 192.168.8.1 255.255.255.0 # ip pool pool3 local gateway 172.82.2.1 255.255.255.0 section 0 172.82.2.2 172.82.2.200 dns-server # aaa authentication-scheme accounting-scheme domain isp3 auth3 acct3 rd3 auth3 acct3 192.168.8.252 bind default-domain authentication isp3

            authentication-scheme accounting-scheme radius-server group ip-pool # return pool3

            5.16.3 配置普通 IPoEoQ 接入示例
            组网需求
            如图 5-15所示,普通 IPoEoQ 接入组网需求为:

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-53

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            用户从 MA5200G 的 8/0/8.2 接口下以普通 IPoEoQ 方式接入。LAN Switch1 使用 VLAN 1 和 VLAN 2 对用户报文进行标记,LAN Switch2 使用 QinQ100 对用户报文 进行标记。 用户归属于 isp1 域,采用快速认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249,认证和计费端口分别是 1812 和 1813,采用 RADIUS 标准协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            组网图
            图5-15 普通 IPoEoQ 接入配置组网图
            RADIUS server DNS server 192.168.7.252 192.168.7.249

            user1@isp1 GE8/0/8.2 GE7/0/1 192.168.7.1 Internet

            LANSw itch1 LANSw itch2 user2@isp1 MA5200G

            配置步骤
            步骤 1 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            步骤 2 配置计费方案。
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            步骤 3 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1812 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1813 [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            步骤 4 配置地址池。

            5-54

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] quit

            5 配置 BRAS 接入

            步骤 5 配置 isp1 域。
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa] quit

            步骤 6 配置以太网接口。 # 配置用户侧 VLAN。
            [Quidway] interface GigabitEthernet 8/0/8.2 [Quidway-GigabitEthernet8/0/8.2] uservlan 1 2 qinq 100 [Quidway-GigabitEthernet8/0/8.2-vlan-1-2-QinQ-100] quit

            # 配置 BAS。
            [Quidway-GigabitEthernet8/0/8.2] bas [Quidway-GigabitEthernet8/0/8.2-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/8.2-bas] authentication-method fast [Quidway-GigabitEthernet8/0/8.2-bas] quit [Quidway-GigabitEthernet8/0/8.2] quit

            步骤 7 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/1 [Quidway-GigabitEthernet7/0/1] ip address 192.168.7.1 255.255.255.0

            ----结束

            配置文件
            # sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1812 weight 0 radius-server accounting 192.168.7.249 1813 weight 0 radius-server shared-key itellin # interface GigabitEthernet8/0/8 # interface GigabitEthernet8/0/8.2 uservlan 1 2 qinq 100 bas access-type layer2-subscriber authentication-method # fast

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-55

            5 配置 BRAS 接入
            interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # ip pool pool1 local gateway 172.82.0.1 255.255.255.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1 192.168.7.252

            Quidway MA5200G 配置指南-BRAS 业务

            authentication-scheme accounting-scheme radius-server group ip-pool # return pool1

            5.16.4 配置普通 IPoEoA 接入示例
            组网需求
            如图 5-16所示: 用户从 MA5200G 的 ATM 子接口 3/0/1.1 下以 IPoEoA 方式接入。 用户归属于 isp1 域,采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249,认证和计费端口分别是 1812 和 1813,采用 标准 RADIUS 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            组网图
            图5-16 IPoEoA 配置举例组网图
            RADIUS Server 192.168.7.249 DNS Server 192.168.7.252

            ATM3/0/1.1

            GE7/0/1 192.168.7.1

            user@isp1

            ADSL Modem DSLAM

            MA5200G

            5-56

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置步骤
            请在 MA5200G 上进行以下配置。 步骤 1 配置认证方案
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            步骤 2 配置计费方案
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            步骤 3 配置 RADIUS
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1812 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1813 [Quidway-radius-rd1] radius-server type standard [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            步骤 4 配置地址池
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] quit

            步骤 5 配置域
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa]quit

            步骤 6 配置虚拟以太网接口
            [Quidway] interface Virtual-Ethernet 3/0/2 [Quidway-Virtual-Ethernet3/0/2] mac-address 1e14-7f01-128e [Quidway-Virtual-Ethernet3/0/2] quit

            虚拟以太网接口创建后即处于 UP 状态,无需使用 undo shutdown 激活。

            步骤 7 配置 PVC
            [Quidway] interface Atm 3/0/1.1 [Quidway-Atm3/0/1.1] undo shutdown [Quidway-Atm3/0/1.1] pvc 10/100

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-57

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务
            [Quidway-atm-pvc-Atm3/0/1.1-10/100-10/100-0] encapsulation aal5snap

            步骤 8 桥接 PVC 和虚拟以太网接口
            [Quidway-atm-pvc-Atm3/0/1.1-10/100-10/100-0] map bridge Virtual-Ethernet 3/0/2 [Quidway-atm-pvc-Atm3/0/1.1-10/100-10/100-0] undo shutdown [Quidway-atm-pvc-Atm3/0/1.1-10/100-10/100-0] quit

            步骤 9 配置 BAS 接口
            [Quidway-Atm3/0/1.1-bas] access-type layer2-subscriber [Quidway-Atm3/0/1.1-bas] authentication-method web [Quidway-Atm3/0/1.1-bas] default-domain pre-authentication isp1 [Quidway-Atm3/0/1.1-bas] quit [Quidway-Atm3/0/1.1] quit

            步骤 10 配置上行接口
            [Quidway] interface Ethernet 7/0/1 [Quidway-Ethernet7/0/1] ip address 192.168.7.1 255.255.255.0

            ----结束

            配置文件
            # sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1812 weight 0 radius-server accounting 192.168.7.249 1813 weight 0 radius-server shared-key itellin # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # interface Atm3/0/1 # interface Atm3/0/1.1 pvc 10/100 map bridge Virtual-Ethernet3/0/2 undo shutdown # bas access-type layer2-subscriber authentication-method # interface Virtual-Ethernet3/0/2 mac-address 1e14-7f01-128e # ip pool pool1 local gateway 172.82.0.1 255.255.0.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa 192.168.7.252 web default-domain pre-authentication isp1

            5-58

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1

            5 配置 BRAS 接入

            acct1

            authentication-scheme accounting-scheme radius-server group ip-pool pool1 # return

            5.16.5 配置普通 PPPoE 接入示例
            组网需求
            以图 5-17为例,用户归属于 isp1 域,从 MA5200G 的 GE8/0/1 接口下以 PPPoE 方式 接入。 采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249,认证和计费端口分别是 1645 和 1646,采用 RADIUS+1.1 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            组网图
            图5-17 PPPoE 配置举例组网图
            DNS server RADIUS server 192.168.7.252 192.168.7.249

            Access Network subscriber@isp1

            GE8/0/1

            GE7/0/1 192.168.7.1

            MA5200G

            配置步骤
            步骤 1 配置虚模板接口。
            [Quidway] interface Virtual-Template 1 [Quidway-Virtual-Template1] ppp authentication-mode chap [Quidway-Virtual-Template1] quit

            步骤 2 配置认证方案。
            [Quidway] aaa

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-59

            5 配置 BRAS 接入
            [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 3 配置计费方案。
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            步骤 4 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1645 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1646 [Quidway-radius-rd1] radius-server type plus11 [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            步骤 5 配置地址池。
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.255.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] quit

            步骤 6 配置 isp1 域。
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa] quit

            步骤 7 为接口指定虚模板接口。
            [Quidway] interface GigabitEthernet 8/0/1 [Quidway-GigabitEthernet8/0/1] pppoe-server bind virtual-template 1

            步骤 8 配置 BAS 接口。
            [Quidway-GigabitEthernet8/0/1] bas [Quidway-GigabitEthernet8/0/1-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/1-bas] authentication-method ppp [Quidway-GigabitEthernet8/0/1-bas] quit [Quidway-GigabitEthernet8/0/1] quit

            步骤 9 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/1 [Quidway-GigabitEthernet7/0/1] ip address 192.168.7.1 255.255.255.0

            ----结束

            5-60

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置文件
            # sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0 radius-server shared-key itellin radius-server type plus11 radius-server traffic-unit kbyte # interface Virtual-Template1 # interface GigabitEthernet8/0/1 pppoe-server bind Virtual-Template 1 bas access-type layer2-subscriber # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # ip pool pool1 local gateway 172.82.0.1 255.255.255.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1 192.168.7.252

            authentication-scheme accounting-scheme radius-server group ip-pool # return pool1

            5.16.6 配置普通 PPPoEoVLAN 接入示例
            组网需求
            以图 5-18为例,用户归属于 isp1 域,从 MA5200G 的 GE8/0/1.1 接口下以 PPPoEoVLAN 方式接入,LAN Switch 使用 VLAN 1 和 VLAN 2 对用户报文进行标 记。 采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249,认证和计费端口分别是 1645 和 1646,采用 RADIUS+1.1 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-61

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            组网图
            图5-18 PPPoEoVLAN 配置举例组网图
            DNS server RADIUS server 192.168.7.252 192.168.7.249

            VLAN1 subscriber1@isp1 GE8/0/1.1 GE7/0/1 192.168.7.1

            VLAN2 subscriber2@isp1

            MA5200G

            配置步骤
            步骤 1 配置虚模板接口。
            [Quidway] interface Virtual-Template 1 [Quidway-Virtual-Template1] ppp authentication-mode chap [Quidway-Virtual-Template1] quit

            步骤 2 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            步骤 3 配置计费方案。
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            步骤 4 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1645 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1646 [Quidway-radius-rd1] radius-server type plus11 [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            步骤 5 配置地址池。
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] quit

            5-62

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            步骤 6 配置 isp1 域。
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa] quit

            步骤 7 为子接口指定虚模板接口。
            [Quidway] interface GigabitEthernet 8/0/1.1 [Quidway-GigabitEthernet8/0/1.1] uservlan 1 2 [Quidway-GigabitEthernet8/0/1.1-vlan-1-2] quit [Quidway-GigabitEthernet8/0/1.1] pppoe-server bind virtual-template 1

            步骤 8 配置 BAS 接口。
            [Quidway-GigabitEthernet8/0/1.1] bas [Quidway-GigabitEthernet8/0/1.1-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/1.1-bas] authentication-method ppp [Quidway-GigabitEthernet8/0/1.1-bas] quit [Quidway-GigabitEthernet8/0/1.1] quit

            步骤 9 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/1 [Quidway-GigabitEthernet7/0/1] ip address 192.168.7.1 255.255.255.0

            ----结束

            配置文件
            sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0 radius-server shared-key itellin radius-server type plus11 radius-server traffic-unit kbyte # interface Virtual-Template1 # interface GigabitEthernet8/0/1 # interface GigabitEthernet8/0/1.1 pppoe-server bind Virtual-Template 1 uservlan 1 2 bas access-type layer2-subscriber # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 #

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-63

            5 配置 BRAS 接入
            ip pool pool1 local gateway 172.82.0.1 255.255.255.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1 192.168.7.252

            Quidway MA5200G 配置指南-BRAS 业务

            authentication-scheme accounting-scheme radius-server group ip-pool # return pool1

            5.16.7 配置普通 PPPoEoQ 接入示例
            组网需求
            如图 5-19所示,PPPoEoQ 接入组网需求为: 用户从 MA5200G 的 8/0/8.2 接口下以 PPPoEoQ 方式接入。 LAN Switch1 使用 VLAN 1 和 VLAN 2 对用户报文进行标记,LAN Switch2 使用 QinQ100 对用户报文进行标 记。 采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249, 认证和 计费端口分别是 1812 和 1813,采用 RADIUS 标准协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            组网图
            图5-19 PPPoEoQ 接入配置组网图
            RADIUS server DNS server 192.168.7.252 192.168.7.249

            user1@isp1 GE8/0/8.2 GE7/0/1 192.168.7.1 Internet

            LANSw itch1 LANSw itch2 user2@isp1 MA5200G

            5-64

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置步骤
            步骤 1 配置虚模板接口。
            <Quidway> system-view [Quidway] interface Virtual-Template 1 [Quidway-Virtual-Template1] ppp authentication-mode chap [Quidway-Virtual-Template1] quit

            步骤 2 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            步骤 3 配置计费方案。
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            步骤 4 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1812 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1813 [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            步骤 5 配置地址池。
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] quit

            步骤 6 配置 isp1 域。
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa] quit

            步骤 7 配置以太网接口。 # 为子接口指定虚模板接口。
            [Quidway] interface GigabitEthernet 8/0/8.2 [Quidway-GigabitEthernet8/0/8.2] pppoe-server bind virtual-template 1

            # 配置用户侧 VLAN
            [Quidway-GigabitEthernet8/0/8.2] uservlan 1 2 qinq 100

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-65

            5 配置 BRAS 接入
            [Quidway-GigabitEthernet8/0/8.2-vlan-1-2-QinQ-100] quit

            Quidway MA5200G 配置指南-BRAS 业务

            # 配置 BAS。
            [Quidway-GigabitEthernet8/0/8.2] bas [Quidway-GigabitEthernet8/0/8.2-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/8.2-bas] authentication-method ppp [Quidway-GigabitEthernet8/0/8.2-bas] quit [Quidway-GigabitEthernet8/0/8.2] quit

            步骤 8 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/1 [Quidway-GigabitEthernet7/0/1] ip address 192.168.7.1 255.255.255.0

            ----结束

            配置文件
            # sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1812 weight 0 radius-server accounting 192.168.7.249 1813 weight 0 radius-server shared-key itellin # interface Virtual-Template1 # interface GigabitEthernet8/0/8 # interface GigabitEthernet8/0/8.2 pppoe-server bind Virtual-Template 1 uservlan 1 2 qinq 100 bas access-type layer2-subscriber # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # ip pool pool1 local gateway 172.82.0.1 255.255.255.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1 192.168.7.252

            authentication-scheme accounting-scheme radius-server group ip-pool pool1

            5-66

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            # return

            5 配置 BRAS 接入

            5.16.8 配置普通 PPPoA 接入 VPN 示例
            组网需求
            如图 5-20所示: ADSL Modem 作为用户从 MA5200G 的 ATM3/0/1 接口下以 PPPoA 方式接入。 ADSL Modem 作为用户归属于 isp1 域,采用 RADIUS 认证和 RADIUS 计费。 用户为 VPN 用户,归属于 isp1 域,所属 VPN 实例为 vpn2。 RADIUS 服务器地址为 192.168.7.249,认证和计费端口分别是 1812 和 1813,采用 标准 RADIUS 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            组网图
            图5-20 PPPoA 配置举例组网图
            RADIUS Server 192.168.7.249 DNS Server 192.168.7.252

            ATM3/0/1

            GE7/0/1 192.168.7.1

            user@isp1 ADSL Modem

            DSLAM

            MA5200G

            配置步骤
            步骤 1 配置 VPN 实例。
            <Quidway> system-view [Quidway] ip vpn-instance vpn2 [Quidway-vpn-instance-vpn2] quit

            步骤 2 配置虚模板接口
            [Quidway] interface Virtual-Template 1 [Quidway-Virtual-Template1] ppp authentication-mode pap [Quidway-Virtual-Template1] quit

            步骤 3 配置认证方案
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth1

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-67

            5 配置 BRAS 接入
            [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 4 配置计费方案
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            步骤 5 配置 RADIUS
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1812 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1813 [Quidway-radius-rd1] radius-server type standard [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            步骤 6 配置地址池
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] vpn-instance vpn2 [Quidway-ip-pool-pool1] quit

            步骤 7 配置域
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] vpn-instance vpn2 [Quidway-aaa-domain-isp1] quit [Quidway-aaa]quit

            步骤 8 配置 PVC
            [Quidway] interface Atm 3/0/1 [Quidway-Atm3/0/1] undo shutdown [Quidway-Atm3/0/1] pvc 10/100 [Quidway-atm-pvc-Atm3/0/1-10/100-10/100-0] encapsulation aal5snap

            步骤 9 桥接 PVC 和虚模板接口
            [Quidway-atm-pvc-Atm3/0/1-10/100-10/100-0] map ppp Virtual-Template 1 [Quidway-atm-pvc-Atm3/0/1-10/100-10/100-0] undo shutdown [Quidway-atm-pvc-Atm3/0/1-10/100-10/100-0] quit

            步骤 10 配置 BAS 接口
            [Quidway-Atm3/0/1-bas] access-type layer2-subscriber [Quidway-Atm3/0/1-bas] authentication-method ppp [Quidway-Atm3/0/1-bas] vpn-instance vpn2 [Quidway-Atm3/0/1-bas] quit

            5-68

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            [Quidway-Atm3/0/1] quit

            5 配置 BRAS 接入

            步骤 11 配置上行接口
            [Quidway] interface Ethernet 7/0/1 [Quidway-Ethernet7/0/1] ip address 192.168.7.1 255.255.255.0

            ----结束

            配置文件
            # sysname Quidway # ip vpn-instance vpn2 # radius-server group rd1 radius-server authentication 192.168.7.249 1812 weight 0 radius-server accounting 192.168.7.249 1813 weight 0 radius-server shared-key itellin # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # interface Atm3/0/1 pvc 10/100 map ppp Virtual-Template 1 undo shutdown # bas access-type layer2-subscriber vpn-instance vpn2 # ip pool pool1 local vpn-instance vpn2 gateway 172.82.0.1 255.255.0.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1 192.168.7.252

            authentication-scheme accounting-scheme radius-server group vpn-instance ip-pool pool1 # return vpn2

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-69

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            5.16.9 配置普通 PPPoEoA 接入示例
            组网需求
            如图 5-21所示: 用户从 MA5200G 的 ATM 子接口 3/0/1.1 下以 PPPoEoA 方式接入。 用户归属于 isp1 域,采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249,认证和计费端口分别是 1812 和 1813,采用 标准 RADIUS 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            组网图
            图5-21 PPPoEoA 配置举例组网图
            RADIUS Server 192.168.7.249 DNS Server 192.168.7.252

            ATM3/0/1.1

            GE7/0/1 192.168.7.1

            user@isp1

            ADSL Modem

            DSLAM

            MA5200G

            配置步骤
            步骤 1 配置虚模板接口
            [Quidway] interface Virtual-Template 1 [Quidway-Virtual-Template1] ppp authentication-mode pap [Quidway-Virtual-Template1] quit

            步骤 2 配置认证方案
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            步骤 3 配置计费方案
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            5-70

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            步骤 4 配置 RADIUS
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1812 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1813 [Quidway-radius-rd1] radius-server type standard [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            步骤 5 配置地址池
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] quit

            步骤 6 配置域
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa]quit

            步骤 7 配置虚拟以太网接口
            [Quidway] interface Virtual-Ethernet 3/0/1 [Quidway-Virtual-Ethernet3/0/1] mac-address 1e14-7f01-128e [Quidway-Virtual-Ethernet3/0/1] pppoe-server bind virtual-template 1

            虚拟以太网接口创建后即处于 UP 状态,无需使用 undo shutdown 激活。

            步骤 8 配置 PVC
            [Quidway] interface Atm 3/0/1.1 [Quidway-Atm3/0/1.1] undo shutdown [Quidway-Atm3/0/1.1] pvc 10/100 [Quidway-atm-pvc-Atm3/0/1.1-10/100-10/100-0] encapsulation aal5snap

            步骤 9 桥接 PVC 和虚拟以太网接口
            [Quidway-atm-pvc-Atm3/0/1.1-10/100-10/100-0] map bridge Virtual-Ethernet 3/0/1 [Quidway-atm-pvc-Atm3/0/1.1-10/100-10/100-0] undo shutdown [Quidway-atm-pvc-Atm3/0/1.1-10/100-10/100-0] quit

            步骤 10 配置 BAS 接口
            [Quidway-Atm3/0/1.1-bas] access-type layer2-subscriber [Quidway-Atm3/0/1.1-bas] authentication-method ppp [Quidway-Atm3/0/1.1-bas] quit [Quidway-Atm3/0/1.1] quit

            步骤 11 配置上行接口
            [Quidway] interface Ethernet 7/0/1

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-71

            5 配置 BRAS 接入
            [Quidway-Ethernet7/0/1] ip address 192.168.7.1 255.255.255.0

            Quidway MA5200G 配置指南-BRAS 业务

            ----结束

            配置文件
            # sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1812 weight 0 radius-server accounting 192.168.7.249 1813 weight 0 radius-server shared-key itellin # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # interface Atm3/0/1 # interface Atm3/0/1.1 pvc 10/100 map bridge Virtual-Ethernet3/0/1 undo shutdown # bas access-type layer2-subscriber # interface Virtual-Ethernet3/0/1 pppoe-server bind Virtual-Template 1 mac-address 1e14-7f01-128e # ip pool pool1 local gateway 172.82.0.1 255.255.0.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1 192.168.7.252

            authentication-scheme accounting-scheme radius-server group ip-pool pool1 # return

            5-72

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            5.16.10 配置 802.1X 接入示例
            组网需求
            以图 5-22为例,用户归属于 isp4,从 MA5200G 的 GE1/0/2 接口下以 802.1X 方式接 入。 采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249,认证和计费端口分别是 1645 和 1646,采用 RADIUS+1.1 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            组网图
            图5-22 802.1X 配置举例组网图
            DNS server RADIUS server 192.168.7.252 192.168.7.249

            Access Network subscriber@isp4

            GE1/0/2

            GE2/0/1 192.168.7.1

            MA5200G

            配置步骤
            步骤 1 配置 802.1X 模板。
            [Quidway] dot1x-template 4 [Quidway-dot1x-template-4] authentication timeout 20 [Quidway-dot1x-template-4] request interval 20 retransmit 3 [Quidway-dot1x-template-4] reauthentication interval 1800 [Quidway-dot1x-template-4] keepalive interval 15 retransmit 2 [Quidway-dot1x-template-4] eap-end chap [Quidway-dot1x-template-4] quit

            步骤 2 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth4 [Quidway-aaa-authen-auth4] authentication-mode radius [Quidway-aaa-authen-auth4] quit

            步骤 3 配置计费方案。
            [Quidway-aaa] accounting-scheme acct4 [Quidway-aaa-accounting-acct4] accounting-mode radius [Quidway-aaa-accounting-acct4] quit

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-73

            5 配置 BRAS 接入
            [Quidway-aaa] quit

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 4 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd4 [Quidway-radius-rd4] radius-server authentication 192.168.7.249 1645 [Quidway-radius-rd4] radius-server accounting 192.168.7.249 1646 [Quidway-radius-rd4] radius-server type plus11 [Quidway-radius-rd4] radius-server shared-key itellin [Quidway-radius-rd4] quit

            步骤 5 配置地址池。
            [Quidway] ip pool pool4 local [Quidway-ip-pool-pool4] gateway 172.82.1.1 255.255.255.0 [Quidway-ip-pool-pool4] section 0 172.82.1.2 172.82.1.200 [Quidway-ip-pool-pool4] dns-server 192.168.7.252 [Quidway-ip-pool-pool4] quit

            步骤 6 配置 isp4 域。
            [Quidway] aaa [Quidway-aaa] domain isp4 [Quidway-aaa-domain-isp4] authentication-scheme auth4 [Quidway-aaa-domain-isp4] accounting-scheme acct4 [Quidway-aaa-domain-isp4] radius-server group rd4 [Quidway-aaa-domain-isp4] ip-pool pool4 [Quidway-aaa-domain-isp4] dot1x-template 4 [Quidway-aaa-domain-isp4] quit [Quidway-aaa] quit

            步骤 7 配置 BAS 接口。
            [Quidway] interface GigabitEthernet 1/0/2 [Quidway-GigabitEthernet1/0/2] bas [Quidway-GigabitEthernet1/0/2-bas] access-type layer2-subscriber [Quidway-GigabitEthernet1/0/2-bas] authentication-method dot1x [Quidway-GigabitEthernet1/0/2-bas] quit [Quidway-GigabitEthernet1/0/2] quit

            步骤 8 配置上行接口。
            [Quidway] interface GigabitEthernet 2/0/1 [Quidway-GigabitEthernet2/0/1] ip address 192.168.7.1 255.255.255.0 [Quidway-GigabitEthernet2/0/1] quit

            ----结束

            配置文件
            # sysname Quidway # radius-server group rd4 radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0 radius-server shared-key itellin radius-server type plus11

            5-74

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            radius-server traffic-unit kbyte # interface GigabitEthernet1/0/2 bas access-type layer2-subscriber authentication-method # interface GigabitEthernet2/0/1 ip address 192.168.7.1 255.255.255.0 # ip pool pool4 local gateway 172.82.1.1 255.255.255.0 section 0 172.82.1.2 172.82.1.200 dns-server # dot1x-template 4 authentication timeout 20 request retransmit 3 interval 20 reauthentication interval 1800 keepalive retransmit 2 interval 15 eap-end chap # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp4 auth4 acct4 rd4 auth4 acct4 192.168.7.252 dot1x

            5 配置 BRAS 接入

            authentication-scheme accounting-scheme radius-server group dot1x-template ip-pool # return pool4 4

            5.16.11 配置以太网二层专线接入示例
            组网需求
            以图 5-23为例,以太网二层专线从 GE1/0/7.1 下接入。 专线的用户名为 layer2lease1@isp1,密码为 hello。 专线用户的 VLAN 为 1~100。 专线用户通过 DHCP 从 MA5200G 获取 IP 地址。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-75

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            组网图
            图5-23 以太网二层专线配置举例组网图
            VLAN1 VLAN2 ...... VLAN100 MA5200G

            GE1/0/7.1

            配置步骤
            有关 AAA、RADIUS、地址池、isp1 域、上行接口的配置可参见“5.16.5 配置普通 PPPoE 接入” , 本节不再描述。

            步骤 1 配置 VLAN。
            [Quidway] interface GigabitEthernet 1/0/7.1 [Quidway-GigabitEthernet1/0/7.1] uservlan 1 100 [Quidway-GigabitEthernet1/0/7.1-vlan-1-100] quit

            如果接入接口为以太网子接口则必须要配置 VLAN, 如果接入接口为以太网主接口则不 能配置 VLAN。 可以为在二层专线的接口下配置多个 VLAN。 步骤 2 配置 BAS 接口。
            [Quidway-GigabitEthernet1/0/7.1] bas [Quidway-GigabitEthernet1/0/7.1-bas] access-type layer2-leased-line user-name layer2lease1 hello default-domain authentication isp1 [Quidway-GigabitEthernet1/0/7.1-bas] quit [Quidway-GigabitEthernet1/0/7.1] quit

            ----结束

            配置文件
            # sysname Quidway # # radius-server group rd1 radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0

            5-76

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            radius-server shared-key itellin radius-server type plus11 radius-server traffic-unit kbyte # interface GigabitEthernet1/0/7 # interface GigabitEthernet1/0/7.1 uservlan 1 100 bas

            5 配置 BRAS 接入

            access-type layer2-leased-line user-name layer2lease1 hello default-domain authentication isp1 # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # # ip pool pool1 local gateway 172.82.0.1 255.255.255.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1 192.168.7.252

            authentication-scheme accounting-scheme radius-server group ip-pool # return pool1

            5.16.12 配置 ATM 二层专线接入示例
            组网需求
            如图 5-24所示,ATM 二层专线接入组网需求为: 用户从 MA5200G 的 ATM 接口 2/0/7 下以 ATM 二层专线方式接入。 专线的用户名为 l2-lease@isp1,密码为 hello。 专线用户使用的 PVC 为 10/10~10/100。 用户归属于 isp1 域,采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249,认证和计费端口分别是 1812 和 1813,采用 标准 RADIUS 协议,密钥为 itellin。 DNS 服务器地址为 192.168.7.252。

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-77

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            组网图
            图5-24 ATM 二层专线配置组网图
            RADIUS Server DNS Server 192.168.7.249 192.168.7.252

            PVC10/10 PVC10/11 ..... . PVC10/100 ADSL Modem DSLAM MA5200G

            ATM2/0/7

            GE7/0/1 192.168.7.1

            Internet

            配置步骤
            步骤 1 配置认证方案。
            <Quidway> system-view [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            步骤 2 配置计费方案。
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            步骤 3 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1812 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1813 [Quidway-radius-rd1] radius-server type standard [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            步骤 4 配置地址池。
            [Quidway] ip pool pool1 local [Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252 [Quidway-ip-pool-pool1] quit

            步骤 5 配置域。

            5-78

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa]quit

            5 配置 BRAS 接入

            步骤 6 配置虚拟以太网接口。
            [Quidway] interface Virtual-Ethernet 2/0/2 [Quidway-Virtual-Ethernet2/0/2] mac-address 1e14-7f01-128e [Quidway-Virtual-Ethernet2/0/2] quit

            虚拟以太网接口创建后即处于 UP 状态,无需使用 undo shutdown 激活。

            步骤 7 配置 ATM 接口。 # 配置 PVC。
            [Quidway] interface Atm 2/0/7 [Quidway-Atm2/0/7] undo shutdown [Quidway-Atm2/0/7] pvc 10/10 10/100 [Quidway-atm-pvc-Atm2/0/7-10/10-10/100] encapsulation aal5snap

            # 桥接 PVC 和虚拟以太网接口。
            [Quidway-atm-pvc-Atm2/0/7-10/10-10/100] map bridge Virtual-Ethernet2/0/2 [Quidway-atm-pvc-Atm2/0/7-10/10-10/100] undo shutdown [Quidway-atm-pvc-Atm2/0/7-10/10-10/100] quit

            # 配置 BAS。
            [Quidway-Atm2/0/7-bas] access-type layer2-leased-line default-domain authentication isp1 [Quidway-Atm2/0/7-bas] quit [Quidway-Atm2/0/7] quit user-name l2-lease hello

            步骤 8 配置上行接口。
            [Quidway] interface Ethernet 7/0/1 [Quidway-Ethernet7/0/1] ip address 192.168.7.1 255.255.255.0

            ----结束

            配置文件
            # sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1812 weight 0 radius-server accounting 192.168.7.249 1813 weight 0 radius-server shared-key itellin # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-79

            5 配置 BRAS 接入
            # interface Atm2/0/7 pvc 10/10 10/100 map bridge Virtual-Ethernet2/0/2 undo shutdown # bas access-type layer2-leased-line entication isp1 # interface Virtual-Ethernet2/0/2 mac-address 1e14-7f01-128e # ip pool pool1 local gateway 172.82.0.1 255.255.0.0 section 0 172.82.0.2 172.82.0.200 dns-server # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1 192.168.7.252 user-name l2-lease hello

            Quidway MA5200G 配置指南-BRAS 业务

            default-domain

            auth

            authentication-scheme accounting-scheme radius-server group ip-pool pool1 # return

            5.16.13 配置以太网三层专线接入示例
            组网需求
            以图 5-25为例,以太网三层专线从 GE1/0/6.1 下接入。 专线的用户名为 layer3lease1@isp1。 三层专线的用户网段为 202.17.1.0/24。

            组网图
            图5-25 以太网三层专线配置举例组网图
            GE1/0/6.1 192.168.1.1/24 Router Access Network MA5200G 192.168.1.2/24

            5-80

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置步骤
            有关 AAA、RADIUS、isp1 域、上行接口的配置可参见“5.16.5 配置普通 PPPoE 接入” ,本节不再 描述。

            步骤 1 配置接口。
            [Quidway] interface GigabitEthernet 1/0/6.1 [Quidway-GigabitEthernet1/0/6.1] ip address 192.168.1.1 255.255.255.0

            步骤 2 配置 VLAN。
            [Quidway-GigabitEthernet1/0/6.1] user-vlan 3 [Quidway-GigabitEthernet1/0/6.1-vlan-3-3] quit

            如果接入接口为以太网子接口则必须要配置 VLAN, 如果接入接口为以太网主接口则不 能配置 VLAN。 三层专线只能配置一个 VLAN。 步骤 3 配置 BAS 接口。
            [Quidway-GigabitEthernet1/0/6.1] bas [Quidway-GigabitEthernet1/0/6.1-bas] access-type layer3-leased-line user-name layer3lease1 hello default-domain authentication isp1 [Quidway-GigabitEthernet1/0/6.1-bas] quit [Quidway-GigabitEthernet1/0/6.1] quit

            步骤 4 配置静态路由。
            [Quidway] ip route-static 202.17.1.0 255.255.255.0 192.168.1.2

            ----结束

            配置文件
            # sysname Quidway # # radius-server group rd1 radius-server authentication 192.168.7.249 1645 weight 0 radius-server accounting 192.168.7.249 1646 weight 0 radius-server shared-key itellin radius-server type plus11 radius-server traffic-unit kbyte # interface GigabitEthernet1/0/6 # interface GigabitEthernet1/0/6.1 ip address 192.168.1.1 255.255.255.0 uservlan 3

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-81

            5 配置 BRAS 接入
            bas

            Quidway MA5200G 配置指南-BRAS 业务

            access-type layer3-leased-line user-name layer3lease1 hello default-domain authentication isp1 # interface GigabitEthernet7/0/1 ip address 192.168.7.1 255.255.255.0 # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1

            authentication-scheme accounting-scheme radius-server group #

            ip route-static 202.17.1.0 255.255.255.0 192.168.1.2 # return

            5.16.14 配置 ATM 三层专线接入示例
            组网需求
            如图 5-26所示,ATM 三层专线接入组网需求为: ATM 三层专线从 ATM 接口 ATM1/0/6 下接入。 专线的用户名为 l3-lease@isp1,密码为 hello。 用户采用 RADIUS 认证和 RADIUS 计费, RADIUS 服务器地址为 192.168.7.249, 认 证和计费端口分别是 1812 和 1813,采用标准 RADIUS 协议,密钥为 itellin。 三层专线的用户网段为 202.17.1.0/24。

            组网图
            图5-26 ATM 三层专线配置组网图
            RADIUS Server 192.168.7.249

            ATM Sw itch Access Netw ork 202.17.2.0/24

            ATM1/0/6 192.168.1.1/24

            GE1/0/2

            Internet

            192.168.7.1/24 MA5200G 192.168.1.2/24

            5-82

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            配置步骤
            步骤 1 配置认证方案。
            <Quidway> system-view [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit

            步骤 2 配置计费方案。
            [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius [Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit

            步骤 3 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd1 [Quidway-radius-rd1] radius-server authentication 192.168.7.249 1812 [Quidway-radius-rd1] radius-server accounting 192.168.7.249 1813 [Quidway-radius-rd1] radius-server type standard [Quidway-radius-rd1] radius-server shared-key itellin [Quidway-radius-rd1] quit

            步骤 4 配置 isp1 域。
            [Quidway] aaa [Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa] quit

            步骤 5 配置 ATM 接口 # 配置 IP 地址。
            [Quidway] interface Atm1/0/6 [Quidway-Atm1/0/6] ip address 192.168.1.1 255.255.255.0

            # 配置 PVC。
            [Quidway-Atm1/0/6] pvc 2/100 [Quidway-Atm1/0/6-2/100-2/100-0] encapsulation aal5snap [Quidway-Atm1/0/6-2/100-2/100-0] map ip 192.168.1.2 [Quidway-Atm1/0/6-2/100-2/100-0] undo shutdown [Quidway-Atm1/0/6-2/100-2/100-0] quit

            # 配置 BAS。
            [Quidway-Atm1/0/6] bas [Quidway-Atm1/0/6-bas] access-type layer3-leased-line user-name l3-lease hello default-domain authentication isp1 [Quidway-Atm1/0/6-bas] quit [Quidway-Atm1/0/6] quit

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-83

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 6 配置静态路由。
            [Quidway] ip route-static 202.17.2.0 255.255.255.0 192.168.1.2

            步骤 7 配置上行接口。
            [Quidway] interface GigabitEthernet 1/0/2 [Quidway-GigabitEthernet1/0/2] ip address 192.168.7.1 255.255.255.0

            ----结束

            配置文件
            # sysname Quidway # radius-server group rd1 radius-server authentication 192.168.7.249 1812 weight 0 radius-server accounting 192.168.7.249 1813 weight 0 radius-server shared-key itellin # interface GigabitEthernet1/0/2 ip address 192.168.7.1 255.255.255.0 # interface Atm1/0/6 ip address 192.168.1.1 255.255.255.0 pvc 2/100 map ip 192.168.1.2 undo shutdown # bas access-type layer3-leased-line ntication isp1 # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp1 auth1 acct1 rd1 auth1 acct1 user-name l3-lease hello default-domain authe

            authentication-scheme accounting-scheme radius-server group #

            ip route-static 202.17.2.0 255.255.255.0 192.168.1.2 # return

            5-84

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务

            5 配置 BRAS 接入

            5.16.15 配置三层 Web 认证用户接入示例
            组网需求
            以图 5-27为例, 以太网三层 Web 认证用户通过路由器 RTA 接入 MA5200G, 其中用 户与 RTA 连接接口为 Ethernet2/0/5, 与 MA5200G 相连接口分别为 Ethernet2/0/1、 RTA Ethernet4/0/1。 用户所在域为 default0。 由于是通过三层设备接入, MA5200G 设备无法知道用户的 MAC 地址, 所以不能分 配地址给三层 Web 认证的用户,用户必须配置静态地址或者在三层设备内分配地 址。此例中用户在 PC 上配置静态 IP 地址 2.2.2.3。

            组网图
            图5-27 以太网三层 Web 认证用户配置举例组网图
            RADIUS Server

            subscriber 2.2.2.3

            Ethernet2/0/5 2.2.2.2 LAN Switch

            Ethernet2/0/1 17.17.17.9

            RTA

            Ethernet4/0/1 17.17.17.7 MA5200G

            配置步骤

            对于三层 Web 认证用户,配置的静态路由不能为 32 位掩码的主机路由。 步骤 1 配置 RTA # 配置接口 Ethernet 2/0/5 的 IP 地址。
            [RTA] interface ethernet 2/0/5 [RTA-Ethernet2/0/5] ip address 2.2.2.2 24 [RTA-Ethernet2/0/5] quit

            # 配置与 MA5200G 对接的接口 Ethernet 2/0/1 的 IP 地址。
            [RTA] interface ethernet 2/0/1 [RTA-Ethernet2/0/1] ip address 17.17.17.9 24

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-85

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            步骤 2 配置用户 PC # 在用户 PC 上配置静态 IP 地址 2.2.2.3,与 RTA 相连的接口地址属于同一网段。
            Ethernet adapter D-link: Connection-specific DNS Suffix : IP Address. . . . . . . . . . . . : 2.2.2.3 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . .: 2.2.2.2

            # 配置完后,在用户 PC 上 Ping 与路由器 RTA 连接的接口地址 2.2.2.2,应能 Ping 通 。 步骤 3 配置 MA5200G # 在 MA5200G 设备上配置与路由器 RTA 对接的接口地址。
            [RTB] interface ethernet4/0/1 [RTB-Ethernet4/0/1] ip address 17.17.17.7 24

            # 配置三层 Web 认证的接入口。
            [RTB-Ethernet4/0/1] bas [RTB-Ethernet4/0/1-bas] access-type layer3-subscriber [RTB-Ethernet4/0/1-bas] quit [RTB-Ethernet4/0/1] quit

            # 配置设备域。
            [RTB] aaa [RTB-aaa] domain dev device [RTB-aaa-domain-dev] quit [RTB-aaa] quit

            # 配置三层静态设备用户。
            [RTB] static-manager-device 17.17.17.9 layer3-device device-domain dev

            # 配置三层 Web 认证用户。
            [RTB] layer3-subscriber 2.2.2.3 2.2.2.3 domain-name default0

            用户的 IP 地址可以是在 PC 上配置的静态 IP 地址,也可以通过 DHCP 协议在三层设备 RTA 上获 得。

            # 配置静态路由。
            [RTB] ip route-static 2.2.2.0 255.255.255.0 17.17.17.9

            配置完后,在用户 PC 上 Ping 与三层设备对接的 MA5200G 的 BAS 接口 IP 地址,即 17.17.17.7,应能 Ping 通。 ----结束

            配置文件
            RTA 上的配置文件
            # interface Ethernet2/0/1

            5-86

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            ip address 17.17.17.9 255.255.255.0 # interface Ethernet2/0/5 ip address 2.2.2.2 255.255.255.0

            5 配置 BRAS 接入

            MA5200G 上的配置文件
            # interface Ethernet4/0/1 ip address 17.17.17.7 255.255.255.0 bas access-type layer3-subscriber # aaa domain # ip route-static 2.2.2.0 255.255.255.0 17.17.17.9 # static-manager-device 17.17.17.9 17.17.17.9 layer3-device device-domain dev layer3-subscriber 2.2.2.3 2.2.2.3 domain-name default0 dev device

            5.16.16 配置 ND 接入示例
            组网需求
            以图 5-28为例,用户归属于 isp5 域,从 MA5200G 的 GE8/0/3 接口下以 ND 方式接 入,并采用 PPP 认证方法。 采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 3001:0410::1:1,认证和计费端口分别是 1645 和 1646,采用 标准 RADIUS 协议,密钥为 hello。 DNS 服务器地址为 3001:0410::1:2。

            组网图
            图5-28 ND 接入配置举例组网图
            DNS server 3001:0410::1:2 RADIUS server 3001:0410::1:1

            Access Network subscriber@isp5

            GE8/0/3

            GE7/0/3

            MA5200G

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-87

            5 配置 BRAS 接入

            Quidway MA5200G 配置指南-BRAS 业务

            配置步骤
            步骤 1 配置 DNS 服务器。
            [Quidway] dns server ipv6 3001:0410::1:2

            步骤 2 配置虚模板接口。
            [Quidway] interface Virtual-Template 5 [Quidway-Virtual-Template5] ppp authentication-mode pap [Quidway-Virtual-Template5] quit

            步骤 3 配置认证方案。
            [Quidway] aaa [Quidway-aaa] authentication-scheme auth5 [Quidway-aaa-authen-auth5] authentication-mode radius [Quidway-aaa-authen-auth5] quit

            步骤 4 配置计费方案。
            [Quidway-aaa] accounting-scheme acct5 [Quidway-aaa-accounting-acct5] accounting-mode radius [Quidway-aaa-accounting-acct5] quit [Quidway-aaa] quit

            步骤 5 配置 RADIUS 服务器组。
            [Quidway] radius-server group rd5 [Quidway-radius-rd5] radius-server authentication 3001:0410::1:1 1645 [Quidway-radius-rd5] radius-server accounting 3001:0410::1:1 1646 [Quidway-radius-rd5] radius-server type standard [Quidway-radius-rd5] radius-server shared-key hello [Quidway-radius-rd5] quit

            步骤 6 配置 IPv6 地址前缀。
            [Quidway] ipv6 prefix prefix5 [Quidway-ipv6-user-prefix-prefix5] prefix 2001:0410::0:1/64 [Quidway-ipv6-user-prefix-prefix5] quit

            步骤 7 配置 isp5 域。
            [Quidway] aaa [Quidway-aaa] domain isp5 [Quidway-aaa-domain-isp5] authentication-scheme auth5 [Quidway-aaa-domain-isp5] accounting-scheme acct5 [Quidway-aaa-domain-isp5] radius-server group rd5 [Quidway-aaa-domain-isp5] prefix prefix5 [Quidway-aaa-domain-isp5] quit [Quidway-aaa] quit

            步骤 8 为接口指定虚模板接口。
            [Quidway] interface GigabitEthernet 8/0/3 [Quidway-GigabitEthernet8/0/3] pppoe-server bind virtual-template 5 [Quidway-GigabitEthernet8/0/3] ipv6 address auto link-local

            步骤 9 配置 BAS 接口。

            5-88

            华为技术有限公司

            文档版本 02 (2007-11-05)

            Quidway MA5200G 配置指南-BRAS 业务
            [Quidway-GigabitEthernet8/0/3] bas [Quidway-GigabitEthernet8/0/3-bas] access-type layer2-subscriber [Quidway-GigabitEthernet8/0/3-bas] authentication-method ppp [Quidway-GigabitEthernet8/0/3-bas] quit [Quidway-GigabitEthernet8/0/3] quit

            5 配置 BRAS 接入

            步骤 10 配置上行接口。
            [Quidway] interface GigabitEthernet 7/0/3 [Quidway-GigabitEthernet7/0/3] ipv6 address auto link-local [Quidway-GigabitEthernet7/0/3] ipv6 address 2001::/64 eui-64 [Quidway-GigabitEthernet7/0/3] ipv6 address 3001::1/64

            ----结束

            配置文件
            # sysname Quidway # dns server ipv6 3001:410::1:2 # radius-server group rd5 radius-server authentication 3001:410::1:1 1646 weight 0 radius-server shared-key hello # interface Virtual-Template5 ppp authentication-mode pap # interface GigabitEthernet7/0/3 ipv6 address 2001::/64 eui-64 ipv6 address 3001::1/64 ipv6 address auto link-local # # interface GigabitEthernet8/0/3 pppoe-server bind Virtual-Template 5 ipv6 address auto link-local bas access-type layer2-subscriber # ipv6 prefix prefix5 prefix 2001:410::1/64 # aaa authentication-scheme accounting-scheme domain domain domain domain default0 default1 default_admin isp5 auth5 acct5 rd5 auth5 acct5

            authentication-scheme accounting-scheme radius-server group prefix # prefix5

            文档版本 02 (2007-11-05)

            华为技术有限公司

            5-89

            5 配置 BRAS 接入
            return

            Quidway MA5200G 配置指南-BRAS 业务

            5-90

            华为技术有限公司

            文档版本 02 (2007-11-05)


            相关文章:
            更多相关标签: