1. <form id='Nv6Fzy'></form>
        <bdo id='Nv6Fzy'><sup id='Nv6Fzy'><div id='Nv6Fzy'><bdo id='Nv6Fzy'></bdo></div></sup></bdo>

          • 当前位置:首页 >> 计算机硬件及网络 >>

            7750BRAS业务PPPOE开局配置手册


            未经公司书面授权,任何人不得擅自 传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            版本 01 ED 文件编号 Document Number



            Release

            作者 Author 拥有部门 Owner 评审 Review

            审批 Approve

            发布时间 Release Date

            发 王鹏

            7750 PPPOE 业务开局手册(v1.0)

            Authority

            QACC NPI IP

            密级 Level

            无/None

            1/21

            Any document printed from the Document Control System is an uncontrolled copy.

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            更改历史 Revision History
            版本
            ED

            未经公司书面授权,任何人不得擅自

            日期
            DATE

            拥有部门
            OWNER

            更改条号
            CHANGE ITEM

            AUTHOR

            作者

            REVIEW

            评审

            APPROVE

            审批

            RELEASE AUTHORITY

            签发

            01

            2009-04

            QACC NPI IP

            王鹏

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            注:从第一版开始填写 Remark:The revision history info is filled from edition 1 of the document.

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            2/21

            1 2
            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。 未经公司书面授权,任何人不得擅自

            目的...................................................................................................................................... 4 PPPOE 介绍 ........................................................................................................................ 4 2.1 2.2 PPPOE 协议基本原理 ........................................................................................... 4 PPPOE 的工作流程 ............................................................................................... 5

            3

            Radius 协议介绍 ................................................................................................................ 7 3.1 3.2 3.3 Radius 协议结构介绍 ........................................................................................... 7 radius 标准属性介绍 ............................................................................................ 9 radius 扩展属性介绍 .......................................................................................... 10

            4 5

            开局工作内容.................................................................................................................... 11 7750 配置规范(PPPOE 功能) .................................................................................... 14 5.1 5.2 IP 地址池配置 ...................................................................................................... 14 策略配置............................................................................................................... 15 5.2.1 Authentication policy ......................................................................... 15 5.2.2 Radius accounting policy ......................................................................... 16

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            5.2.3 Sub- ident- policy...................................................................................... 17 5.2.4 Sub-profile ............................................................................................... 17 5.2.5 Sla-profile................................................................................................. 18 5.2.6 pppoe-profile ............................................................................................ 19 5.3 6 业务接口配置....................................................................................................... 19

            现网业务的分析与部署.................................................................................................... 21

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            3/21

            1
            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            目的 本文档的目的是指导 7750SR 作为 BAS 开局时的各项工作,7750SR 支持 DHCP 和 PPPOE 两种业务模式,鉴于国内 BAS 的业务模式以 PPPOE 为主,本文主要介绍 7750SR 开通 PPPOE 业务所需的工作,包括设备配置,后台系统的配合等等,为一 线工程师提供指导。 PPPOE 介绍 近年来,网络数据业务发展迅速,宽带用户呈爆炸式的增长,运营商在采用 xDSL,LAN,HFC,无线等多种接入方式的同时,为了构建一个可运营、可管理、 可盈利的宽带网络, 十分关心如何有效地完成用户的管理, PPPoE 就是随之出现的 多种认证技术中的一种。

            2

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            2.1 PPPOE协议基本原理 PPPoE是PPP over Ethernet的缩写,意思是通过以太网的点对点协议。在传统 的以太网模型中,我们是不存在所谓的用户计费的概念,要么用户能设置/获取IP 地址上网,要么用户就无法上网。IETF的工程师们在秉承窄带拨号上网的运营思 路(使用NAS设备终结用户的PPP数据包),制定出了在以太网上传送PPP数据包的 协议(Point To Point Protocol Over Ethernet),这个协议出台后,各网络设 备制造商也相继推出自已品牌的宽带接入服务器(BAS),它不仅能支持PPPOE协 议数据报文的终结,而且还能支持其它许多协议。 PPPOE协议提供了在广播式的网络(如以太网)中多台主机连接到远端的访问 集中器(我们称目前能完成上述功能的设备为宽带接入服务器)上的一种标准。 在这种网络模型中,我们不难看出所有用户的主机都需要能独立的初始化自已的 PPP协议栈,而且通过PPP协议本身所具有的一些特点,能实现在广播式网络上对 用户进行计费和管理。为了能在广播式的网络上建立、维持各主机与访问集中器 之间点对点的关系,那么就需要每个主机与访问集中器之间能建立唯一的点到点 的会话。 PPPoE 报文结构
            0
            0 1 2 3 4 5 6 7

            1
            0 1 2 3 4 5 6 7

            2
            0 1 2 3 4 5 6 7

            3
            0 1 2 3 4 5 6 7

            VER LENGTH

            TYPE

            CODE

            SESSION_ID payload . . . . ..

            VER 域为 4 位,PPPoE 规范版本必须设置为 0x1。 TYPE 域为 4 位,PPPoE 规范版本必须设置为 0x1。 CODE 域为 8 位,其定义在后面的 Discovery 指定。 SESSION_ID 域为 16 位,是一个网络字节序的无符号值。其值在后面 Discovery
            数据包中定义。对一个给定的 PPP 会话来说该值是一个固定值,并且与以太网 SOURCE_ADDR 和 DESTINATION_ADDR 一起实际地定义了一个 PPP 会话。

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            4/21

            Payload 域,也称数据域,在 PPPOE 的不同阶段该域内的数据内容会有很大的不
            同。在 PPPOE 的发现阶段时,该域内会填充一些 Tag(标记);而在 PPPOE 的会话 阶段,该域则携带的是 PPP 的报文。
            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            2.2 PPPOE的工作流程 建立一个以太网上点对点协议(PPPoE)会话包括以下两个阶段: 发现(Discovery)阶段。在Discovery过程中用户主机以广播方式寻找可以连接 的所有的接入集线器,并获得其以太网MAC地址。然后选择需要连接的主机并确定 所要建立的PPP会话识别标号 一个典型的发现(Discovery)阶段共包括4个步骤: 1. 主 机发出PPPoE有效 发现启 动(PADI )包 。以太 网目的 地址为 广播地址 0xffffffffffff,CODE字段为0x09,SESSION_ID为0x0000。PADI包必须至少包含 一个服务名称类型的标签(标签类型字段为0x0101),向接入集线器提出所要求 提供的服务。 2. 接入集线器收到在服务范围内的PADI包后,发送PPPoE有效发现提供(PADO) 包以响应请求。其CODE字段为0x07,SESSION_ID仍为0x0000。PADO包必须包含一 个接入集线器名称类型的标签(标签类型字段为0x0102)以及一个或多个服务名 称类型标签,表明可向主机提供的服务种类。 3. 主机在可能收到的多个PADO包中选择一个合适的,然后向所选择的接入集线 器发送PPPoE有效发现请求 (PADR) 其CODE字段为0x19, 包。 SESSION_ID仍为0x0000。 PADR包必须包一个服务名称类型标签,确定向接入集线器请求的服务种类。

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            4. 接入集线器收到PADR包后准备开始PPP会话,它发送一个PPPoE有效发现会话 确认(PADS)包。其CODE字段为0x65,SESSION_ID为接入集线器所产生的一个唯 一的PPPoE会话标识号码。 PADS包也必须包含一个接入集线器名称类型的标签确认 向主机提供的服务。当主机收到PADS包确认后,双方就进入PPP会话阶段 还有一种 PPPoE 有效发现终止(PADT)包,在一个 PPP 会话建立后它随时可由主 机或接入集线器中任何一方发送,指示 PPP 会话已终止。PADT 包不需要任何标签,其 CODE 字段为 0xa7,SESSION_ID 为需要终止的 PPP 会话的会话标识号码。 PPP 会话阶段。用户主机与接入集线器根据在发现阶段所协商的 PPP 会话连接参 数进行 PPP 会话。 PPPOE 用户的 PPPoE 认证过程

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            5/21

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            图 1-1-1 PPPOE 流程图示例

            1. PPPOE 客户端拨号软件初始化并发送 PPPoE Active Discovery Initiation(PADI)广播帧。 该帧传送到 PPPoE 服务器。 2. PPPoE 服务器检查收到的 PADI 帧中的 TAG 是否符合要求,若是则返回 PPPoE Acive Discovery Offer (PADO)单播帧。 3. PPPoE 客户端软件在收到 PADO 包以后,随即发出 PPPoE Active Discovery Request(PADR)单播帧。 4. PPPoE 服务器收到正确的 PADR 帧以后, 随即生成一个 Session Id,并把该 ID 填入帧头相应位置,发送一个 PPPoE Active Discovery Confirmation(PADS) 单播帧给客户端,从而结束 PPPoE 的 Discovery 过程。 5. PPPoE 的 PPP 阶段初始化完毕后,PPPoE Client 和 PPPoE Server 之间相互对 发 LCP Configure Request 包。因为 PPP 是一个 Peer to Peer 的协议,Client 和 Server 之间的地位是对等的。从而双方都应该发起配置请求包来跟对方进行 协商。 6. Client 和 Server 相互承认对方的配置请求,对发 LCP Configure Ack 包, 从而建立起 LCP 链路。此时,应该已经协商好了 LCP 的各个参数,包括认证类型 参数。 7. LCP 链路建立以后,根据协商好的认证类型(这里假定为 PAP 认证),PPPoE Client 向服务器发起 PAP Authenticate 请求包,该请求包中包含了 Client 传 送过来的用户名和口令等有用信息。 8. PPPoE Server 收到 Client 的 PAP 认证请求后,把用户名和口令等信息送到 AAA 服务器进行认证。 9. AAA 服务器把认证结果(这里为认证通过)发回给 PPPoE Server。 10. PPPoE Server 收到该消息之后,就向客户端发送 PAP Authenticate Ack 包, 以表示该用户已经认证通过了。 11. PPPoE Server 向 RADIUS 服务器发送计费开始包告诉 AAA 服务器从现在开始 就可以对该用户进行计费了。
            版本 01 ED 文件编号 Document Number 发布时间 Release Date 密级 Level

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            无/None
            6/21

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            12. AAA 服务器应答 PPPoE Server 它已经收到了该计费开始请求包并且已经开 始对该用户进行计费。 13. PPP 的认证过程结束后,就进入了 IPCP 协商阶段。跟前面的 LCP 阶段一样, PPPoE Client 和 PPPoE Server 之间相互对发 IPCP Configure Request 包来进 行 IPCP 参数的协商。 14. 一般情况下由于 Client 发送给 Server 的 IPCP Configure Request 包中包 含的 IP 地址参数值不符合 Server 的要求, 从而 PPPoE Server 发 IPCP Configure Nak 包给 Client,表示它不认可该 IP 地址参数值,而该 Nak 包中包含 Server 认为正确的 IP 地址参数值。 15. PPPoE 客户端由于收到了服务器端的 Nak 包,它会抽取中其中 Server 认可 的 IP 地址参数值,并把这个参数值填入到一个新的 IPCP Configure Request 包 中再一次传送给 Server。 16. 这次 PPPoE Server 认可 Client 的各个 IPCP 参数了,从而发送一个 IPCP Configure Ack 包给 Client 完成了一次 PPPoE 的接入过程。 3 Radius 协议介绍 前文中反复提到 AAA 服务器,AAA 是认证(Authentication),授权 (Authorization),计费(Accounting)的缩写。国内运营商的 AAA 服务器与 BAS 之间通常采用 RADIUS 协议,RADIUS ( Remote Authentication Dial In User Service 远程认证拨号用户服务 )是一种在网络接入设备和认证服务器之间承载 认证授权计费和配置信息的协议, RADIUS 协议是在认证授权计费方面应用最为广 泛的协议之一。 RADIUS 协议承载于 UDP 之上,官方指定端口号为认证授权端口 1812,计费端 口 1813。 RADIUS 协议在RFC2865 RFC2866 中定义。

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            未经公司书面授权,任何人不得擅自

            3.1 Radius协议结构介绍 RADIUS报文格式如下图所示各域内容按照从左向右传送
            0 1 2 3 4 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Authenticator | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes ... +-+-+-+-+-+-+-+-+-+-+-+-+-

            1 Code Code 域长度为 1 个字节用于标明 RADIUS 报文的类型,如果 Code 域中的 内容是无效值报文将被丢弃。 RADIUS Code 域的有效值如下; 1 Access-Request 2 Access-Accept
            版本 01 ED 文件编号 Document Number 发布时间 Release Date 密级 Level

            无/None
            7/21

            3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 65 业务修改请求消息 66 业务修改请求回应消息 67 业务修改请求回应拒绝消息 255 Reserved 其中 12,13,255 为保留的 Code 值,一般不会遇到,1,2,3,4,5,11 比 较常见,分别标明报文类型为认证请求,认证接受,认证拒绝,计费请求,计费 回应,计费成功和访问质询。 2. Identifier “标识”域长度为 1 个字节,用于辅助匹配请求和回应报文,如果在短时间内 RADIUS 服务器收到从相同的源 IP 相同源端口收到的报文的标识域的内容也相 同,则认为收到的是重复的请求。 3. Length “长度”域占两个字节用于指明报文的有效长度,多出长度域的字节被视为填 充的字节,在接收时被忽略,如果报文长度小于长度域中的值,整个报文将被丢 弃,长度域的范围在 20 和 4096 之间。 4. Authenticator “认证字”域长 16 个字节用于认证 Radius Client 和 Server 之间消息的有 效性。 访问请求(Access- Request) 认证字 在 Access-Request 包中,认证字的值是 16 字节随机数。认证字的值要不能 被预测并且在一个共享密钥的生命期内唯一。 访问回应认证字 Access-Accept, Access-Reject 和 Access-Challenge 包中的认证字称为访 问回应认证字,访问回应认证字的值定义为; MD5(Code+ID+Length+RequestAuth+Attributes+Secret) 计费请求(Accounting-Request) 认证字 在计费请求包中的认证字域称为计费请求认证字,它是一个 16 字节的 MD5 校 验和,计费请求认证字的值定义为; MD5(Code + Identifier + Length + 16 zero octets + request attributes +shared secret) 计费回应 Accounting-Response 认证字 在计费回应报文中的认证字域称为计费回应认证字,它的值定义为;

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            8/21

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            MD5(Accounting-Response Code + Identifier + Length + the RequestAuthenticator field from the Accounting-Request packet being replied to +the response attributes + shared secret) 5. Attributes 属性
            0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Type | Length | Value ... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            “属性”域的长度是可变的,它是一个由业务类型必需的属性和可选属性组成 的属性链,一个属性包含如下三个部分; 5.1 Type “类型”域长度为一个字节,RADIUS 服务器和客户端当遇到不可识别的属性 时可以将其忽略,常用的属性类型请参见 RFC2865 RFC2866。 5.2 Length 长度域长度为一个字节,指明了一个属性的类型长度和值域的总长度,如果在 认证请求报文中携带有属性长度非法的属性则必须回应访问拒绝报文。 如果在访问回应报文中存在非法的属性长度,这个报文必须被直接丢弃或被认 为是访问拒绝报文。 5.3 Value “值”域由零或多个字节组成,包含详细的属性信息,它的格式由属性的长度 和类型域决定。 标准属性具体说明请参考 RFC2865 RFC2866 同时各公司在标准属性基础上又扩展了自己的属性,以便实现更多的功能。 3.2 radius标准属性介绍 Radius 报文所携带的属性以(Type Length Value)三元组的形式出现,其中 Type 表示该属性的属性号,占一个字节。Length 表示该属性的总长度(Type Length Value 加在一起的长度)占一个字节。Value 表示该属性的值长度为 0-253。一个属性的值可以为下面四种类型中的一种; String 类型 0-253 个字节 Address 类型 4 字节 Integer 类型 4 字节 Time 类型 4 字节 下表列出了几个常用的标准属性; 属性 描述 type length value
            User-Name 要认证的用户名 1 >3 string 类型, 内容可以是简单 的 字 符 , 也 可 以 形 如 abc@alcatel.com 带 网 络 域 名。

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            9/21

            User-Passward Nas-IP-Address Vendor-specific Session-Timeout Framed-Pool

            要认证的用户的口令 发起认证设备的 IP 地 址 厂家自定义的私有属性 允许用户使用的最大时 长 地址池名字

            2 4 26 40 88

            大于 17,且小于 131 6 >=7 6 6

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            String 类型, 加密后的口令存 放在这里长度至少为 16 个字 节,至多为 128 个字节。 address 类型,4 字节的 IP 地 址 各厂家的私有属性 Integer 类型 4 字节无符号 整数 String 类型

            未经公司书面授权,任何人不得擅自

            3.3 radius扩展属性介绍 随着业务的不断发展,大多数厂商都会对 Radius 属性进行扩展以满足自己的 需要。 根据标准协议规定, 各厂商自己扩展的属性用标准属性 Vendor-Specific 26 号属性的 Value 域来携带,格式如下面的描述; 属性 Vendor-Specific 以(Type Length Value)的形式出现在 Radius 报文, 中各厂商自己扩展的属性有两种方式填在上述的 Value 域中; 1 Radius 报文中只有一个 Vendor-Specific 属性,所有扩展属性都填在该属 性的 Value 域中,扩展属性的格式如下; Vendor-Id | Vendor Type 1 | Vendor Length 1 | Vendor Value 1 | Vendor Type 2 | Vendor Length 2 | Vendor Value 2 | … +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Vendor-Id | Vendor Type 1 | Vendor Length 1 | Vendor Value 1| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Vendor Type 2 | Vendor Length 2 | Vendor Value 2 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 其中 Vendor-Id 为该厂商的唯一标志,alcatel 公司为 6527,(Vendor Type n,Vendor Length n,Vendor Value n) 表示扩展属性 n 但是 Value 域的 总长度不能超过 253 字节 2 Radius 报文中有多个 Vendor-Specific 属性每个属性的 Value 域中携带一 个或多个扩展属性格式同 1 所述; +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Vendor-Id | Vendor Type 1 | Vendor Length 1 | Vendor Value 1| +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Vendor-Id | Vendor Type 2| Vendor Length 2 | Vendor Value 2 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 下面介绍几种 alcate 公司常用的扩展属性; 属性 描述 type length value

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            10/21

            Subscriber id
            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            subscriber 标识,pppoe 业务中通常与 user name 挂钩 H-Qos 所需属性 标识 Qos 和 ACL 属性 与设备本地 service id 对 应 与设备 MSAP Policy name 对应 与设备 group-interface name 对应

            26

            可变

            string 类型, 内容可以是字符, 也可 以是终端 MAC 地址。

            sub profile sla profile MSAP service id MSAP policy MSAP interface

            26 26 26 26 26

            可变 可变 可变 可变 可变

            String 类型,内容为字符。 Integer 类型 String 类型,内容为字符。 String 类型,内容为字符。 String 类型,内容为字符。

            未经公司书面授权,任何人不得擅自

            4

            开局工作内容

            7750SR 一直作为路由器广泛应用在国内各大运营商网内, 作为 BAS 应用时, 传统 的路由配置相对简单,因为国内运营商通常将 BAS 部署在城域网边缘,上联至城域网 汇聚/核心路由器,下联通过二层汇聚网或直挂接入层 DSLAM/PON 设备,运营商典型 的组网图如下;

            PPPOE业务典型拓扑
            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            RADIUS ACCOUNTING

            城域网

            BAS

            二层汇聚网

            DSLAM/ PON

            HGW/ MODEM

            HGW/ MODEM

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            11/21

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            7750SR 作为 BAS 的开局工作主要如下; ? 对接后台系统 后台系统主要指认证系统和计费系统,对接工作包括分析运营商开通业务并 确定所需返回的属性,获取后台系统的地址等参数,以及最终的测试验证。 ? 接入 internet 接入方式分为动态和静态两种,具体视运营商要求。实际上 7750 是基于传统 的路由器功能接入 internet,这里不详细展开。 ? 与二层汇聚网互联互通 PPPOE 终端用户与 BAS 之间是通过二层 LAN 方式互联的。 最初运营商采用的是 DSLAM 直挂 BAS,后来出于投资和管理考虑,在 BAS 和 DSLAM 之间增加了二层 汇聚网。 ? BAS 本地数据配置(后面会详细说明。) 以下为详细的工作列表;
            分类 工作项 工作列表
            authentication server IP 地址 authentication server 通讯端口 获取 radius 参数 authertication server 通讯密匙 accounting server IP 地址 accounting server 通讯端口 DNS 参数 accounting server 通讯密匙 DNS 服务器地址 subscriber ID sub-profile-string sla-profile-string MSAP-serv-id MSAP-profile-string MSAP-interface Loopback0 地址 获取 IP 地址 上行链路调测 IP 地址池配置 IP pool 地址 上联接口地址 物理链路联通 IP pool 配置 Authenticaton policy Radius accounting policy 设备配置 Sub-ident-policy 策略配置 Sub-profile Sla-profile PPPOE policy MSAP policy 接口配置 配置物理接口

            未经公司书面授权,任何人不得擅自

            备注
            必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 可选 可选 可选 必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 可选 必选

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            准备工作 radius 返回属性需求

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            12/21

            未经公司书面授权,任何人不得擅自 传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            版本 01 ED 文件编号 Document Number
            接入 internet 绑定 IP pool 绑定相关策略 BAS 配置缺省路由 BAS 本地发布 IP POOL BAS 加载动态路由协议 上联路由器配置静态路由(BAS 的 IP pool 地址)并发布 上联路由器配置静态路由(Loopback0 地址)并发布 必选 必选 两种方式必选其一

            发布时间 Release Date

            密级 Level

            无/None

            13/21

            5
            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            7750 配置规范(PPPOE 功能) 7750SR 开启 PPPOE 功能的配置大致可分为三部分;IP 地址池配置,策略配置, 业务接口配置。

            5.1 IP地址池配置 IP地址池(俗称:ip pool)通常配置在BAS本地,认证通过后BAS从IP地址池中 选择一个IP地址分配给终端用户,并且生成一条32位掩码的路由,所以在此之前, 在BAS必须将IP地址池所在的网段宣告出去, 以便终端用户得到IP地址后能够正常 通讯。 7750的IP地址池是通过local dhcp server配置的,地址池本身没有区分终端 属于PPPOE业务还是DHCP业务,终端用户的类型在业务接口配置中指定。实际上, 在同一业务接口中,7750可以同时支持PPPOE用户和DHCP用户。 Dhcp server需要配置地址pool,subnet,DNS等参数,并且与loopback interface相关联,每一个dhcp server可以配置多个pool,每个pool可以配置多 个subnet,参考配置如下;
            #-------------------------------------------------echo "Local DHCP Server (Base Router) Configuration" #-------------------------------------------------router interface "dhcp" ;为本地 DHCP 服务器定义 1 个接口 address 218.206.133.18/32 ;指定接口地址 loopback local-dhcp-server "server-test" ;指定本地 DHCP 服务器的名字 exit dhcp local-dhcp-server "server-test" create ;创建本地DHCP服务器 use-gi-address ;基于DHCP request中的gi地址决定用户分配地址 force-renews ;IP地址租期到期后更新 pool "pool-1" create options dns-server 211.103.13.101 ;指定DNS服务器,最多可配置4个 exit subnet 1.1.1.0/24 create ;在地址池里定义1个网段 exclude-addresses 1.1.1.15 1.1.1.18 ;指定不会被分配的地址范围 address-range 1.1.1.2 1.1.1.254 ;指定可分配的地址范围 exit subnet 221.130.103.0/24 create ;在地址池里定义另1个网段 address-range 221.130.103.2 221.130.103.254 exit minimum-free 1 ;定义被可用IP地址数量门限,低于此数值系统会提示 exit exit exit

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            未经公司书面授权,任何人不得擅自

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            14/21

            5.2 策略配置 策略配置是7750实现PPPOE功能的核心配置, 所有的策略都配置在BAS本地, 供 用户接入时系统调用,触发来源是后台系统或者BAS本身,要注意部分策略的触发 来源是固定的,不能够变更。 7750常用的策略有如下; Authentication policy:认证策略,同时定义与radius server通讯参数。 Radius accounting policy: 计费策略, 同时定义与radius accounting server 通讯参数。 Sub-ident-policy:用户识别策略, 与sla-profile,sub-profile绑定。 Sub-profile:用户策略,定义H-qos和计费策略。 Sla-profile: 服务级别策略,定义带宽控制策略和ACL策略。 Pppoe-policy: pppoe策略,定义pppoe协议参数。 这里介绍一下7750对于subscriber的定义,subscriber概念的引入是基于我 公司triple-play的解决方案, 一个subscriber代表在同一站点或使用同一物理线 路接入的一组host,host代表终端系统,如主机,视频电话,机顶盒等。例如一 个家庭用户在一条ADSL线路上同时开通了VoIP/IPTV/上网三种业务,每种业务都 有独立的终端,对于7750来讲,每一个终端即为一个host,而这个家庭用户即为 一个subscriber。 7750通过与后台系统配合灵活的赋予每个用户相应的策略,从而实现了PPPOE 的相关功能,如限速,端口绑定等。另外,这些策略也可以同时应用与dhcp业务。 下面详细介绍各种策略的配置; 5.2.1 Authentication policy 认证策略相关的参数大致可以分为两类, 一类是BAS与radius server通信所需 参数,包括radius server的IP地址,通信密码,udp端口号等。另一类是BAS在认 证时上送的属性,以及pppoe认证的方式等。配置如下;
            #-------------------------------------------------echo "Subscriber-mgmt Configuration" #-------------------------------------------------subscriber-mgmt authentication-policy "knock-door" create ;创建 radius 认证策略,名称为 knock-door description "radius-policy" accept-authorization-change ;接受 radius 发送的 COA radius-authentication-server ;定义 radius server source-address 218.206.133.19 ;定义与 radius 通讯的源地址 server 2 address 211.138.200.18 secret “xxxx” port 1645 ;指定radius地址,端口,通讯密匙 exit 版本 01 ED 文件编号 Document Number 发布时间 Release Date 密级 Level

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            无/None
            15/21

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            access-algorithm direct/round-robin ;多个radius server的情况下,BAS与radius通信方式为固定/轮询 router xxxx ;指定BAS通过VPRN xxxx与radius通讯,1000为service id pppoe-access-method pap-chap ;定义PPPOE接入方式为pap-chap,即终端用户通过用户名/密码进行认证 include-radius-attribute ;定义BAS发送认证报文携带的属性 circuit-id remote-id nas-port-id nas-identifier pppoe-service-name access-loop-options exit exit

            未经公司书面授权,任何人不得擅自

            注:认证策略在service中的group-interace引用。

            5.2.2

            Radius accounting policy

            计费策略配置内容与认证策略类似,相关参数也大致分为两类,一类是BAS与 radius server通信所需参数,包括radius server的IP地址,通信密码,udp端口 号等。另一类是BAS在计费时上送的属性等,具体配置如下;
            #-------------------------------------------------echo "Subscriber-mgmt Configuration" #-------------------------------------------------subscriber-mgmt radius-accounting-policy "Acc-Policy-1" create ;创建计费策略,名为Acc-Policy-1 update-interval 10 ;定义更新时间为10分钟 include-radius-attribute ;指定accounting报文携带的属性 framed-ip-addr framed-ip-netmask subscriber-id circuit-id remote-id nas-port-id nas-identifier sub-profile sla-profile exit use-std-acct-attributes ;使用标准属性上送计费信息 radius-accounting-server 版本 01 ED 文件编号 Document Number 发布时间 Release Date 密级 Level
            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            无/None
            16/21

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            ;定义accounting服务器 source-address 218.206.133.19 ;定义与 radius 通讯的源地址 server 2 address 211.138.200.18 secret xxxx port 1646 ;指定radius地址,端口,通讯密匙 access-algorithm direct/round-robin ;多个radius server的情况下,BAS与radius通信方式为固定/轮询 router xxxx ;指定BAS通过VPRN xxxx与radius通讯,xxxx为service id exit exit

            注:计费策略由Sub-profile调用 5.2.3 Sub-ident- policy

            用户识别策略与sla-profile,sub-profile关联绑定,定义了用户的带宽, 计费策略,具体配置如下;
            #-------------------------------------------------echo "Subscriber-mgmt Configuration" #-------------------------------------------------subscriber-mgmt sub-ident-policy "sub-ident" create ;创建sub-ident-policy,名为sub-ident sub-profile-map ;关联sub-profile entry key "Data" sub-profile "data" ;从radius系统返回的sub-profile-string为”Data”,与BAS本地配置的 sub-profile “data”关联 exit sla-profile-map ;关联sla-profile use-direct-map-as-default ; 直接引用从后台系统返回的sla-profile-string, 要求string的名字与BAS 本地的sla-profile的名字一致 exit

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            5.2.4

            Sub-profile

            sub-profile主要定义两项内容,radius accounting policy和H-Qos policy, 在每用户多业务的情况下,总带宽通常被限定,各个业务需要根据优先级动态调 整带宽,这时会用到H-Qos policy。H-Qos policy需要预先配置,sub-profile通 过名字引用,具体配置如下;
            #-------------------------------------------------echo "Subscriber-mgmt Configuration" 版本 01 ED 文件编号 Document Number 发布时间 Release Date 密级 Level

            无/None
            17/21

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            #-------------------------------------------------subscriber-mgmt sub-profile "data" create ;创建sub-profile,名为“data” ingress-scheduler-policy "sub-prof" ;引用scheduler-policy “sub-prof” exit egress-scheduler-policy "sub-prof" ;引用scheduler-policy “sub-prof” exit radius-accounting-policy "Acc-Policy-1" ;引用accounting-policy “Acc-Policy-1” exit

            注:调用sub-profile通过radius返回同名的subscriber-prof-string完成。 国内PPPOE业务大都每用户一个session,运营商基于session进行带宽限制, 在这种情况下,H-Qos policy不用配置,radius服务器仅需返回固定字符串以便 调用计费策略即可,session的带宽限制通过调用sla-profile完成。 5.2.5

            Sla-profile

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            sla-profile主要定义两项内容,qos policy和ACL,sla-profile分为上行/ 下行两个方向,分别引用sap-ingress/sap-egress qos policy和ACL。具体配置 如下;
            #-------------------------------------------------echo "Subscriber-mgmt Configuration" #-------------------------------------------------subscriber-mgmt sla-profile "sla-prof-1M" create ;创建sla-profile,名为sla-prof-1M ingress qos 1000 ;ingress方向引用sap-ingress qos策略1000 exit exit egress qos 1000 ;ingress方向引用sap-egress qos策略1000 exit exit exit sla-profile "sla-prof-4M" create ;创建sla-profile,名为sla-prof-4M ingress ip-filter 10 ;ingress方向引用ip-filter 10 qos 2000 ;ingress方向引用sap-ingress qos策略2000 exit 版本 01 ED 文件编号 Document Number 发布时间 Release Date 密级 Level

            无/None
            18/21

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            exit egress ip-filter 10 qos 2000 exit exit exit

            ;ingress方向引用ip-filter 10 ;egress方向引用sap-egress qos策略2000

            注:调用sla-profile通过radius返回同名sla-prof-string完成。 5.2.6 PPPOE-profile pppoe-profile定义与pppoe协议相关的参数,具体配置如下;
            #-------------------------------------------------echo "Subscriber-mgmt Configuration" #-------------------------------------------------subscriber-mgmt pppoe-policy "radius" create ;创建pppoe-policy,名为radius ppp-authentication pap ;指定认证方式为pap keepalive 30 3 ;设置keepalive时间为30s,mulitplier为3 ppp-mtu 1472 ;设置ppp-mtu为1472 exit

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            注:pppoe-profle在service下面的group-interace引用。 5.3 业务接口配置 IP地址池,各种策略配置完成后,需要创建业务接口,作主要有创建interface, 指定,调用策略,从而开启PPPOE业务。具体配置如下;
            ies 1000 customer 1 create subscriber-interface "bras" create ;创建名为 bras 的 subscriber-interface description "for pppoe test" address 221.130.103.1/24 ;配置 IP 地址,最多可配 16 个 address 1.1.1.1/24 group-interface "pppoe-l" create ;创建名为 pppoe-1 的 group-interface arp-populate dhcp server 218.206.133.18 ;调用IP地址池,地址为218.206.133.18 trusted ;必须设置,保证在dhcp-request中携带gi地址 lease-populate 4000 ;缺省为1,必须增加数值,建议配置成地址池容量 gi-address 221.130.103.1 版本 01 ED 文件编号 Document Number 发布时间 Release Date 密级 Level

            无/None
            19/21

            ;配置gi-address为221.130.103.1,地址为subscriber-interface配 置的地址之一 client-applications pppoe ;指定客户端应用为PPPoE no shutdown exit authentication-policy "knock-door" ;调用名为knock-door的认证策略 sap 1/2/10:10 create ;在该 group-interface 下,创建 SAP sub-sla-mgmt ;激活基于 subscriber 的 ESM 管理 sub-ident-policy "sub-ident-local" ;调用名为 sub-ident-local 的 sub-ident-profile 策略 multi-sub-sap 4000 ;配置此 sap 允许的最大 host 数量 single-sub-parameters profiled-traffic-only ;配置此 sap 仅通过业务流量 no shutdown ;必须配置!!! exit exit pppoe ;激活 PPPoE 接入功能 pppoe-policy "aaa" ;调用名为 aaa 的 pppoe-policy session-limit 4000 ;定义此 group-interface 允许的最大 pppoe 会话数 sap-session-limit 4000 ;定义此 group-interface 的每个 SAP 允许的最大 pppoe 会话数 no shutdown ;必须配置!!! exit exit group-interface "pppoe-3" create ; group-intrface 下配置静态用户 sap 1/2/10:30 create sub-sla-mgmt no shutdown ;激活 ESM 管理功能 exit static-host ip 1.1.1.15 mac 00:15:c5:4b:d0:e8 create ;定义 1 个静态主机 sla-profile "sla-prof-4M" ;指定该主机所引用的 sla-profile sub-profile "data" 版本 01 ED 文件编号 Document Number 发布时间 Release Date 密级 Level

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            未经公司书面授权,任何人不得擅自

            无/None
            20/21

            传 播 、复制、交流与使用本文 档 的 部 分 或 全 部 内 容 。

            ;指定该主机所引用的 sub-profile subscriber "host3" ;该主机的 subscriber 为 host3 no shutdown ;必须配置!!! exit exit exit

            未经公司书面授权,任何人不得擅自

            6

            现网业务的分析与部署 国内运营商经过多年的摸索与实践,在 PPPOE 基本上网功能的基础上,推出了 很多特色业务,如端口绑定,限速,预付卡等。这些业务的推出使个人用户选择 时更加方便灵活, 同时也提升了运营商网络的利用率以及对用户的管理控制能力。 7750SR 作为 BAS 刚刚开始在国内推广,目前并没有实际接触到很多的特色业务, 以下为已经碰到常见的特色业务以及实现方式。另外,随着 7750SR 作为 BAS 部署 的增多,接触到的特色业务也会更多,欢迎 level 1 的同事一同更新此文档。 1. 端口捆绑 将设备接入端口与用户帐号绑定,是运营商限制帐号流动的普遍方式。常见做 法如下; ? radius 在用户第一次拨号时记录用户所属 BAS/物理端口/子接口等信息。 ? 用户再次拨号时,BAS 将接入用户的 BAS/物理端口/子接口等信息发给 radius。 ? Radius 收到后与记录的信息进行比对,符合要求的允许接入,否则拒绝。 2. 带宽限制 带宽限制主要有两个目的,一是限制用户的总体带宽,从而节省运营商 IP 网 络部分的投资,二是根据带宽采取不同的收费策略,增加业务的灵活性。具体实 现方式如下; ? radius 在数据库中记录用户的带宽参数,通常以字符串的形式。 ? 认证通过后 radius 向 BAS 返回表示用户带宽要求的字符串。 ? BAS 通过返回的字符串与本地配置的模版对应以便创建用户。 3. 帐号并发控制 国内运营商对一般的上网业务都只开放一个 session。实现过程如下; ? radius 在数据库中记录用户允许创建的 session 数量,通常为 1。 ? radius 在用户认证时检查已经在线的 session 数量, 并与数据库记录的数 据相对比,超过则拒绝本次的上线请求,没有超过的允许上线。 4. 远程拆线 远程拆线是运营商常用的管理工具(通常基于 RFC3576),7750 使用标准端口 (UDP 端口 3799)接收拆线信息以断开本地 PPPOE session。

            All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without authorization from Alcatel Shanghai Bell.

            版本 01 ED 文件编号 Document Number

            发布时间 Release Date

            密级 Level

            无/None
            21/21


            相关文章:
            更多相关标签: