北京網(wǎng)通5200G開局規(guī)范V1.1.doc

北京網(wǎng)通5200G開局規(guī)范V1.1文檔密級：對外公開北京網(wǎng)通5200G開局規(guī)范（V1.1）華為公司北京辦事處Huawei Technologies Co., Ltd.2006年11月目 錄1目的32典型網(wǎng)絡(luò)結(jié)構(gòu)43資源管理53.1版本統(tǒng)一53.2VLAN資源54MA5200G配置指導(dǎo)64.1MA5200G基本配置64.1.1系統(tǒng)命名64.1.2時間設(shè)置64.1.3登錄帳號控制64.1.4Radius服務(wù)器配置74.1.5IP POOL配置104.1.6域配置124.1.7對接配置144.1.8缺省路由配置154.1.9snmp配置164.1.10AAA配置164.2配置腳本171 目的針對北京網(wǎng)通5200G BAS組網(wǎng)，指定開局規(guī)范，指導(dǎo)開局人員規(guī)范操作，防止由于開局不規(guī)范導(dǎo)致后期的種種遺留問題發(fā)生。2 典型網(wǎng)絡(luò)結(jié)構(gòu)目前，北京網(wǎng)通5200G組網(wǎng)情況如下：3 資源管理3.1 版本統(tǒng)一目前北京網(wǎng)通5200G使用的版本是VRP3.302332版本。3.2 VLAN資源每個Ethernet端口支持4K VLAN/64K stack VLAN，端口間VLAN可重疊，每板支持 32K VLAN/64K stack VLAN。整機最大支持256K VALN/512K stack VLAN。4 MA5200G配置指導(dǎo)開局前必須對設(shè)備狀態(tài)進(jìn)行自檢，重點檢查license是否正確添加，然后才能進(jìn)行數(shù)據(jù)配置，下面的數(shù)據(jù)配置舉例中涉及的IP地址，需要根據(jù)具體的局點分配的IP配置。4.1 MA5200G基本配置4.1.1 系統(tǒng)命名MA5200G名稱格式為：5200G+局點名稱序號譬如三立局點有一臺MA5200G命名為5200GSL01。4.1.2 時間設(shè)置目前MA5200G設(shè)定是跟蹤ntp server時間，具體配置如下：MA5200Gntp-service source-interface LoopBack0 MA5200Gntp-service unicast-server 61.148.1.2 priority /主用MA5200Gntp-service unicast-server 61.148.1.4 /備用clock timezone BJ add 08:00:00/需要添加?xùn)|八區(qū)時區(qū)。備注：配置ntp服務(wù)器后，如果發(fā)現(xiàn)NTP servr無法同步（display ntp status顯示：clock status: unsynchronized）,則需要把系統(tǒng)時間改為北京時間，如果ntp server是同步的，需要更改配置，必須刪除所有ntp配置后重新添加，否則不生效。clock datatime HH:MM:SS YYYY/MM/DD4.1.3 登錄帳號控制 原則：配置兩個本地帳號，一個是Telnet帳號，一個是con口帳號，兩個本地帳號的口令和super口令的設(shè)置要不同，使用密文格式, Telnet帳號和con帳號的初級權(quán)限為0， 必須通過super才能進(jìn)入3級權(quán)限，Telnet帳號還需要制定限制的ACL。MA5200Gacl number 2999 /number規(guī)定為2999 MA5200G-acl2999rule 0 permit source 61.148.238.96 0.0.0.31 MA5200G-acl2999rule 1 permit source 61.148.219.160 0.0.0.31 /開局只加上兩個允許網(wǎng)段。 MA5200G-acl2999rule 10 deny MA5200Guser-interface vty 0 4MA5200G-user-interface-vty 0-4 authentication-mode aaaMA5200G-user-interface-vty 0-4 acl 2999 inboundMA5200Guser-interface con 0MA5200G-user-interface-con 0 authentication-mode aaaMA5200Glocal-aaa-server MA5200G- local-aaa-serveruser huawei password cipher MAF41! authentication-type T level 0/T表示是telnet帳號，初始權(quán)限都是0MA5200G- local-aaa-serveruser huawei1 password cipher MAF41! authentication-type M level 0/M表示是terminal帳號，也就是con帳號，初始權(quán)限都是0MA5200Gsuper password level 3 cipher V,C!3X*&a_a/-1U%!/super密碼顯示必須為密文模式：cipher4.1.4 Radius服務(wù)器配置BRAS的主備DNS和Radius按照以下規(guī)則配置： 二、三、八 和北邊六個郊區(qū)分（昌平、懷柔、順義、延慶、密云、平谷）公司的BRAS主用均為電報局，四、五、七區(qū)和+南邊四個郊區(qū)分公司(房山、大興、門頭溝、通州)主用均為國際局。電報局Radius： 202.106.46.43，DNS： 202.106.46.151國際局Radius： 202.106.0.66， DNS： 202.106.195.68。/說明：Radius服務(wù)器的狀態(tài)在系統(tǒng)中有兩種狀態(tài)標(biāo)記：UP和DOWN。初始時所有的Radius服務(wù)器的狀態(tài)都是UP的。DOWN狀態(tài)的含義是：BAS系統(tǒng)向某個Radius服務(wù)器連續(xù)發(fā)送N個報文，在超時間隔內(nèi)均收不到該Radius服務(wù)器的回應(yīng)，則BAS系統(tǒng)認(rèn)為該Radius服務(wù)器已經(jīng)DOWN掉，相應(yīng)的會將其狀態(tài)置為DOWN標(biāo)記。在MA5200中，N可以通過命令radius-server dead-count countvalue配置，默認(rèn)為10次。服務(wù)器狀態(tài)變?yōu)镈OWN以后，過一定的時間后BAS系統(tǒng)會把該服務(wù)重新設(shè)為UP狀態(tài)，在MA5200中，該時間間隔的值可以通過命令radius-server dead-time time-value設(shè)置，time-value值的單位為分鐘。默認(rèn)為3分鐘。服務(wù)器狀態(tài)變?yōu)镈OWN以后，如果已有用戶選擇使用該服務(wù)器發(fā)送報文，發(fā)送超時但是還沒有達(dá)到設(shè)定的重傳次數(shù)，則會繼續(xù)使用該服務(wù)器發(fā)送報文。MA5200中，超時時間（報文再次發(fā)送的重傳時間間隔）和重傳次數(shù)可以在Radius服務(wù)器視圖下通過命令radius-server time-out value（value的單位為秒）和radius-server retransmit times來設(shè)置。radius group下配置的超時時間和重傳次數(shù)，對組下的每個服務(wù)器生效，一個服務(wù)器發(fā)送次數(shù)超過重傳次數(shù)將繼續(xù)選擇下一個服務(wù)器。這樣如果服務(wù)器組下設(shè)置的重傳次數(shù)為N，服務(wù)器個數(shù)為3，則某個用戶的報文的重傳次數(shù)為3N。MA5200Ginterface LoopBack0MA5200G-LoopBack0ip address 61.148.2.117 255.255.255.255/每個局點Loopback根據(jù)分配的地址配置。MA5200Gradius-server source interface LoopBack0/MA5200G和Radius通信使用LoopBack 0MA5200Gradius-server group yaxin/ADSL用戶使用的Radius server命名為yaxinMA5200G-radius-asian-info radius-server authentication 202.106.0.66 1645 weight 100/weight 100表示主用，weight 0表示備用。MA5200G-radius-asian-inforadius-server authentication 202.106.46.43 1645 weight 0MA5200G-radius-asian-info radius-server accounting 202.106.0.66 1646 weight 100MA5200G-radius-asian-inforadius-server accounting 202.106.46.43 1646 weight 0MA5200G-radius-asian-inforadius-server shared-key eq_05200gMA5200G-radius-asian-inforadius-server timeout 10MA5200G-radius-asian-infoundo radius-server user-name domain-included/ADSL域帳號送給Radius服務(wù)器不帶域名。MA5200Gradius-server group itellin/201用戶使用的Radius server命名為itellinMA5200G-radius-asian-itellinradius-server authentication 61.49.7.151 1812 weight 100MA5200G-radius-asian-itellinradius-server accounting 61.49.7.151 1813 weight 100MA5200G-radius-asian-itellinradius-server shared-key f9k8y2m8MA5200G-radius-asian-itellinradius-server retransmit 5 timeout 10MA5200Gradius-server group bbnworld/IP TV用戶使用的Radius server命名為bbnworldMA5200G-radius-asian-info radius-server authentication 202.106.0.66 1645 weight 100MA5200G-radius-asian-inforadius-server authentication 202.106.46.43 1645 weight 0MA5200G-radius-asian-info radius-server accounting 202.106.0.66 1646 weight 100MA5200G-radius-asian-inforadius-server accounting 202.106.46.43 1646 weight 0MA5200G-radius-asian-inforadius-server shared-key eq_05200gMA5200G-radius-asian-inforadius-server timeout 10MA5200Gradius-server group yaxin-bbn/bbn漫游用戶使用的radius server命名為yaxin-bbnMA5200G-radius-asian-info radius-server authentication 202.106.0.66 1645 weight 100MA5200G-radius-asian-inforadius-server authentication 202.106.46.43 1645 weight 0MA5200G-radius-asian-info radius-server accounting 202.106.0.66 1646 weight 100MA5200G-radius-asian-inforadius-server accounting 202.106.46.43 1646 weight 0MA5200G-radius-asian-inforadius-server shared-key eq_05200gMA5200G-radius-asian-inforadius-server timeout 104.1.5 IP POOL配置IP POOL分為三類，一類作為普通PPPOE用戶使用，一類給企業(yè)用戶用，一類給網(wǎng)管用。網(wǎng)管IP POOL配置：由于5200G和4507互連需要占用8個地址，所以網(wǎng)管 dslam-pool的地址段一般都是分開的，不是連續(xù)的C。MA5200Gip pool dslam-pool1 localMA5200G-ip-pool-dslam-pool1gateway 219.158.254.17 255.255.255.240 MA5200G-ip-pool-dslam-pool1section 0 219.158.254.18 219.158.254.30 MA5200G-ip-pool-dslam-pool1excluded-ip-address 219.158.254.18 219.158.254.30MA5200Gip pool dslam-pool2 localMA5200G-ip-pool-dslam-pool2gateway 219.158.254.33 255.255.255.224 MA5200G-ip-pool-dslam-pool2section 0 219.158.254.34 219.158.254.62MA5200G-ip-pool-dslam-pool2excluded-ip-address 219.158.254.34 219.158.254.62MA5200Gip pool dslam-pool3 localMA5200G-ip-pool-dslam-pool3gateway 219.158.254.65 255.255.255.192 MA5200G-ip-pool-dslam-pool3section 0 219.158.254.66 219.158.254.126MA5200G-ip-pool-dslam-pool3excluded-ip-address 219.158.254.66 219.158.254.126MA5200Gip pool dslam-pool4 localMA5200G-ip-pool-dslam-pool4gateway 219.158.254.129 255.255.255.128 MA5200G-ip-pool-dslam-pool4section 0 219.158.254.130 219.158.254.254MA5200G-ip-pool-dslam-pool4excluded-ip-address 219.158.254.130 219.158.254.255由于dslam pool分割剩下了16個地址給互連用，4507只用了8個，還剩下8個5200G沒有路由，為了防止路由振蕩，需要配置黑洞路由。MA5200G ip route-stati 219.158.254.0 255.255.255.0 NULL 0/每臺設(shè)備根據(jù)具體的dslam pool地址池配置黑洞路由，如果沒有分割地址池，則不需要配置。企業(yè)用戶IP POOLMA5200Gip pool fixed-ip-pool1 remoteMA5200G-ip-pool-fixed-ip-pool1gateway 222.128.10.1 255.255.255.192MA5200G-ip-pool-fixed-ip-pool1dns-server 202.106.46.151MA5200G-ip-pool-fixed-ip-pool1dns-server 202.106.195.68 secondary普通用戶IP POOLMA5200Gip pool pool1 localMA5200G-ip-pool-pool1 gateway 222.129.32.1 255.255.240.0MA5200G-ip-pool-pool1 section 0 222.129.32.2 222.129.35.254MA5200G-ip-pool-pool1 section 1 222.129.36.1 222.129.39.254MA5200G-ip-pool-pool1 section 2 222.129.40.1 222.129.43.254MA5200G-ip-pool-pool1 section 3 222.129.44.1 222.129.47.254MA5200G-ip-pool-pool1 dns-server 202.106.46.151MA5200G-ip-pool-pool1dns-server 202.106.195.68 secondary /舉例中只寫了一個pool1，現(xiàn)網(wǎng)配置中需要把所有分配的pool都加上。4.1.6 域配置域分為五類，一類作為普通PPPOE用戶使用，一類給201用戶用，一類給漫游用戶用，一類給網(wǎng)管用，一類給telnet用戶用。網(wǎng)管IP POOLMA5200Gdomain dslamMA5200G-domain-dslamauthentication-scheme none-authMA5200G-domain-dslamaccounting-scheme none-acctMA5200G-domain-dslamip-pool dslam-pool1MA5200G-domain-dslamip-pool dslam-pool2MA5200G-domain-dslamip-pool dslam-pool3MA5200G-domain-dslamip-pool dslam-pool4/現(xiàn)網(wǎng)配置中需要把相關(guān)的pool都加上。201用戶域MA5200Gdomain 201MA5200G-domain-201authentication-scheme radius-authMA5200G-domain-201accounting-scheme 201-acctMA5200G-domain-201radius-server group itellinMA5200G-domain-201idle-cut 60 1MA5200G-domain-201ip-pool pool1/現(xiàn)網(wǎng)配置中需要把相關(guān)的pool都加上。普通用戶域MA5200Gdomain adslMA5200G-domain-adslauthentication-scheme radius-authMA5200G-domain-adslaccounting-scheme radius-acctMA5200G-domain-adslradius-server group asian-infoMA5200G-domain-adslidle-cut 60 1MA5200G-domain-adslip-pool pool1MA5200G-domain-adslip-pool fixed-ip-pool1/現(xiàn)網(wǎng)配置中需要把相關(guān)的pool都加上。 MA5200Gdomain bbnMA5200G-domain-adslauthentication-scheme radius-authMA5200G-domain-adslaccounting-scheme radius-acctMA5200G-domain-adslradius-server group yaxin-bbnMA5200G-domain-adslidle-cut 60 1MA5200G-domain-adslip-pool pool1MA5200G-domain-adslip-pool fixed-ip-pool1/現(xiàn)網(wǎng)配置中需要把相關(guān)的pool都加上。telnet 5200G用戶域MA5200Gdomain default_adminMA5200G-domain-default_adminauthentication-scheme local-authMA5200G-domain-default_adminaccounting-scheme none-acct4.1.7 對接配置5200G和4507對接分為2部分，一個互連ip對接，一個是用戶QinQ對接互連對接（有2個GE口，下面只寫出一個，另一個配置方法一致）MA5200Ginterface GigabitEthernet4/1/0.8MA5200G-GigabitEthernet3/0/0.8description /To ciqu_cisco4507_GE_1/3/端口描述包括對端設(shè)備名和相應(yīng)的端口號。MA5200G-GigabitEthernet3/0/0.8vlan-type dot1q vid 8MA5200G-GigabitEthernet3/0/0.8mtu 1600MA5200G-GigabitEthernet3/0/0.8undo shutdownMA5200G-GigabitEthernet3/0/0.8ip address 219.158.192.249 255.255.255.252PPPOE用戶對接MA5200Ginterface GigabitEthernet3/0/0.10/子接口的編號和QINQ所帶外層標(biāo)簽一致。MA5200G-GigabitEthernet3/0/0.10qinq-vlan 10MA5200G-GigabitEthernet3/0/0.10user-vlan 10 521MA5200G-GigabitEthernet3/0/0.10pppoe-server bind virtual-template 1MA5200G-GigabitEthernet3/0/0.10description to_xinkangmokuai1MA5200G-GigabitEthernet3/0/0.10undo shutdownMA5200G-GigabitEthernet3/0/0.10basMA5200G-GigabitEthernet3/0/0.10-basaccess-type layer2-subscriber default-domain authentication adslnas-port-type adsl-dmtMA5200G-GigabitEthernet3/0/0.10access-limit 1 start-vlan 10 end-vlan 521/一個VLAN一個用戶必須配置接入限制。網(wǎng)管用戶對接MA5200Ginterface GigabitEthernet3/0/0.3014/子接口的編號3000QinQ外層標(biāo)簽。MA5200G-GigabitEthernet3/0/0.3014qinq-vlan 14MA5200G-GigabitEthernet3/0/0.3014user-vlan 9MA5200G-GigabitEthernet3/0/0.3014description to_kuan_HOUSE_BMA5200G-GigabitEthernet3/0/0.3014undo shutdownMA5200G-GigabitEthernet3/0/0.3014basMA5200G-GigabitEthernet3/0/0.3014-basaccess-type layer2-subscriber default-domain authentication dslamMA5200G-GigabitEthernet3/0/0.3014authentication-method bind/網(wǎng)管的認(rèn)證方式為bind9）5200G上行對接配置(有2個口配置，只寫一個，另一個配置方式一致)MA5200Ginterface GigabitEthernet4/0/0MA5200G-GigabitEthernet4/0/0description To ShangDi_NE40E_G1/0/4 /端口描述包括對端設(shè)備名和相應(yīng)的端口號。MA5200G-GigabitEthernet4/0/0undo shutdownMA5200G-GigabitEthernet4/0/0ip address 202.106.49.14 255.255.255.2524.1.8 缺省路由配置MA5200Gip route-static 0.0.0.0 0.0.0.0 202.106.49.13MA5200Gip route-static 0.0.0.0 0.0.0.0 61.148.40.1/配置2條缺省路由是為了上行負(fù)載分擔(dān)，如果以后由于業(yè)務(wù)調(diào)整需要主備分擔(dān)，可以更改缺省路由的preference值，靜態(tài)路由的preference缺省是60，值越小越優(yōu)。4.1.9 snmp配置MA5200Gsnmp-agent local-engineid 800007DB0300E0FC6FF132MA5200Gsnmp-agent community read SJZX-R acl 2999/ACL用規(guī)劃的2999，只允許讀，不允許寫。MA5200Gsnmp-agent sys-info contact 8008302118A5200Gsnmp-agent sys-info location eq_xsq_officeMA