IP城域網(wǎng)技術(shù)學(xué)習(xí)BAS基礎(chǔ)概述和運用

1、中國電信云網(wǎng)絡(luò)運行維護部中國電信云網(wǎng)絡(luò)運行維護部IP城域網(wǎng)技術(shù)學(xué)習(xí)城域網(wǎng)技術(shù)學(xué)習(xí)BAS基礎(chǔ)概述和運用基礎(chǔ)概述和運用第第2章章 PPP業(yè)務(wù)接入流程業(yè)務(wù)接入流程第第3章章 IP業(yè)務(wù)接入流程業(yè)務(wù)接入流程BAS在運營商寬帶城域網(wǎng)中的位置骨干網(wǎng)骨干網(wǎng)認證計費平臺認證計費平臺網(wǎng)管平臺網(wǎng)管平臺業(yè)務(wù)平臺業(yè)務(wù)平臺LanSwitchAPCMTSIPDSLAMEthernetWLANHFCxDSLL2OLTPON核心核心CRSRBAS出口出口CR接入服務(wù)器產(chǎn)品演進nA8010A8010nMA5200GMA5200GnME60ME60華為華為接入服務(wù)器接入服務(wù)器產(chǎn)品演進產(chǎn)品演進nRadium8750Radium875

2、0 nISN8850ISN8850nESR8825ESR8825nMA5200MA5200nMA5200FMA5200FBroadband Access ServerBroadband Remote Access ServerAccess ServerBRAS產(chǎn)品框架連接管理連接管理地址分配與管理地址分配與管理業(yè)務(wù)控制業(yè)務(wù)控制用戶接入識別用戶接入識別AAAAAA及用戶管理及用戶管理AAA AAA 服務(wù)器服務(wù)器DHCP DHCP 服務(wù)器服務(wù)器策略服務(wù)器策略服務(wù)器BRASBRAS用戶報文BRAS產(chǎn)品功能用戶接入識別用戶接入識別 地址分配與管理地址分配與管理 業(yè)務(wù)控制業(yè)務(wù)控制 AAAAAA和用戶和用

3、戶管理管理 BRAS產(chǎn)品功能-用戶接入識別 PPPPPPWebWebFastBindBindAuthentication-methodAuthentication-method802.1X802.1XBRAS產(chǎn)品功能- AAA和用戶管理 不認證 本地遠端本地-遠端遠端-本地遠端-不認證不計費遠端計費實時計費用戶帶寬限制訪問限制控制QoS屬性控制路由策略授權(quán)BRAS產(chǎn)品功能-地址分配與管理BRASBRASDHCP 客戶端DHCP 中繼DHCP 服務(wù)器BRAS產(chǎn)品功能-業(yè)務(wù)控制 BRAS特性支持多種基本接入業(yè)務(wù)，并可以對各接入業(yè)務(wù)按用戶實施計費、訪問權(quán)限、流量監(jiān)管等業(yè)務(wù)策略?；窘尤霕I(yè)務(wù)基本接入業(yè)

4、務(wù)業(yè)務(wù)策略業(yè)務(wù)策略增值業(yè)務(wù)增值業(yè)務(wù)動態(tài)業(yè)務(wù)選擇動態(tài)業(yè)務(wù)選擇BRAS特性還支持Movie、Gaming、Triple-Play等增值業(yè)務(wù)，并為用戶提供動態(tài)業(yè)務(wù)選擇的功能，用戶可以在Portal頁面上選擇自己感興趣的業(yè)務(wù)。BRASLanSwitchVLAN1VLAN2PVC1PVC2PORT1PORT2PORT1+VLAN1PORT1+VLAN2PORT2+VLAN1PORT2+VLAN2BRAS標(biāo)識并定位用戶的方法標(biāo)識并定位用戶的方法PUPVPUPV：Per User Per VLAN，離用戶最近的L2 或 DSLAM 為用戶標(biāo)記 VLAN ID用戶標(biāo)識：帳號接入位置（BRAS設(shè)備槽位端口VLA

5、N）用戶終端標(biāo)識（IP、MAC地址）用戶安全性：通過VLAN 隔離，防DHCP、ARP、PPPoE欺騙，防IP地址盜用私接用戶防止：一個物理位置接入用戶數(shù)限制帳號安全性：用戶帳號和指定端口綁定網(wǎng)絡(luò)攻擊定位：每個用戶的接入位置唯一，對網(wǎng)絡(luò)的惡意攻擊不可抵賴用戶域簡介 BRAS基于域來管理接入用戶。每個用戶都歸屬于某個域，同一個域的用戶具有相同的業(yè)務(wù)屬性。域通常以ISP （Internet Service Provider）名或者ISP 的某種業(yè)務(wù)名來命名。一般而言，用戶名格式為“usernamedomain ”，也可以修改為其他形式。 在BRAS中，所有關(guān)于用戶管理的命令，都要關(guān)聯(lián)到某個域下，用

6、戶接入到BRAS以后，根據(jù)用戶名中攜帶的域名去查找對應(yīng)的域（或者缺省域）配置，以對用戶數(shù)據(jù)進行后續(xù)處理。 域可以理解為具有某種共同業(yè)務(wù)屬性的用戶群。一般配置流程配置地址池配置地址池配置認證方案配置認證方案配置計費方案配置計費方案配置配置RADIUS配置域配置域設(shè)定用戶所使用的域，以及域下的參數(shù)使能用戶接口的BAS功能并進行設(shè)置用來給用戶分配IP地址設(shè)定用戶是采用radius認證還是不認證設(shè)定用戶是采用radius計費還是不計費設(shè)置所采用的radius服務(wù)器的參數(shù)設(shè)置接口BAS的接入用戶類型設(shè)置接口BAS的認證方式接口接口BAS配置配置設(shè)置接口下用戶歸屬的域綁定相應(yīng)的vlan到接口關(guān)聯(lián)公共配置組

7、件地址池配置認證方案配置計費方案配置Radius服務(wù)器配置域配置（引用上面定義的地址池，認證方案，計費方案，Radius服務(wù)器配置等）本地數(shù)據(jù)庫配置端口BAS屬性配置路由配置 在pppoe、vlan bind、vlan web 等業(yè)務(wù)配置流程中都需要配置一些類似的步驟?？梢苑Q為公共配置組件。第第1章章 BAS基礎(chǔ)工作機制基礎(chǔ)工作機制第第3章章 IP業(yè)務(wù)接入流程業(yè)務(wù)接入流程PPP業(yè)務(wù)簡介 最早在NAS的時代，用戶借助modem撥號上網(wǎng)，在PC與NAS之間，運行的就是PPP。 PPP協(xié)議運行過程中，將經(jīng)歷LCP、CHAP/PAP認證、IPCP地址協(xié)商/分配三個階段，后兩階段很好解決寬帶接入中兩個主

8、要問題：用戶認證和地址分配。 進入寬帶接入時代后，先后有PPPOE、PPPOA、PPPOEOA、PPPOEOVLAN等方式出現(xiàn)，現(xiàn)在基本上還在使用的都是PPPOEOVLAN。即用戶的PPP報文封裝在以太網(wǎng)幀中，從網(wǎng)卡送出，到達接入設(shè)備再添加上VLAN TAG，送往BAS。PPP業(yè)務(wù)配置流程使能用戶接口的BAS功能并進行設(shè)置配置地址池配置地址池配置認證方案配置認證方案配置計費方案配置計費方案配置配置RADIUS配置域配置域設(shè)定用戶所使用的域，以及域下的參數(shù)用來給用戶分配IP地址設(shè)定用戶是采用radius認證還是不認證設(shè)定用戶是采用radius計費還是不計費設(shè)置所采用的radius服務(wù)器的參數(shù)關(guān)聯(lián)

9、VT接口和接口接口和接口BAS配置配置VT接口和實際物理端口進行綁定創(chuàng)建VT接口設(shè)置接口BAS的接入用戶類型設(shè)置接口BAS的認證方式為PPP設(shè)置接口下用戶歸屬的域綁定VLAN到相應(yīng)接口配置步驟（一）注意：注意： 對于PPP的驗證方式可以設(shè)置為PAP，也可以設(shè)置為CHAP，推薦使用CHAP。 創(chuàng)建VT接口 VT接口主要是用來對報文的PPP協(xié)議層進行處理的，因此在配置PPP接入業(yè)務(wù)的時候我們首先要創(chuàng)建VT接口，并且在接口下面指定相應(yīng)的PPP驗證方式（是PAP還是CHAP）BRAS interface Virtual-Template 1 設(shè)置PPP的驗證方式BRAS-Virtual-Templat

10、e1 ppp authentication-mode pap 配置步驟（二） 配置本地地址池BRAS ip pool test localBRAS-ip-pool-test gateway 172.16.0.1 255.255.0.0BRAS-ip-pool-test section 0 172.16.0.2 172.16.0.100BRAS-ip-pool-test dns-server 202.1.1.252 配置認證策略和計費策略為Radius認證BRAS aaa BRAS-aaa authentication-scheme Auth1 BRAS-aaa-authen-auth1 aut

11、hentication-mode radiusBRAS-aaa accounting-scheme Acct1 BRAS-aaa-authen-acct1 accounting-mode radius配置步驟（三） 配置Radius組BRAS radius-server group radius1 BRAS-radius-radius1 radius-server authentication 192.168.1.249 1812 BRAS-radius-radius1 radius-server accounting 192.168.1.249 1813 BRAS-radius-radius

12、1 radius-server share-key hello 配置認證域BRAS-aaa domain ispBRAS-aaa-domain-isp authentication-scheme Auth1BRAS-aaa-domain-isp accounting-scheme Acct1BRAS-aaa-domain-isp ip-pool testBRAS-aaa-domain-isp radius-server group radius1配置步驟（四） 進入實際的物理以太網(wǎng)接口MA5200G interface ethernet 2/0/1 激活接口MA5200G-Ethernet2/

13、0/1 undo shutdown 創(chuàng)建子接口MA5200G interface Ethernet 2/0/1.1 將相應(yīng)的VLAN綁定到子接口MA5200G-Ethernet2/0/1.1 user-vlan 2 3 綁定VT到子接口MA5200G-Ethernet2/0/1.1 pppoe-server bind virtual-template 1配置步驟（五） BAS接口配置MA5200G-Ethernet2/0/1.1 basMA5200G-Ethernet2/0/1.1-BAS access-type layer2-subscriber MA5200G-Ethernet2/0/1.

14、1-BAS default-domain authentication ispMA5200G-Ethernet2/0/1.1-BAS authentication-method PPP 第第1章章 BAS基礎(chǔ)工作機制基礎(chǔ)工作機制第第2章章 PPP業(yè)務(wù)接入流程業(yè)務(wù)接入流程IP業(yè)務(wù)簡介 在PPP接入方式中，用戶終端需要創(chuàng)建PPP連接，如果是寬帶的PPPOE，則需要創(chuàng)建PPPOE寬帶連接；對用戶而言這有一定的技術(shù)難度。 因此可以考慮使用更簡單的方式讓用戶接入到網(wǎng)絡(luò)中?？梢钥紤]用DHCP的方式分配地址（支持靜態(tài)地址配置），再另外解決認證的問題。 在IPOEOVLAN業(yè)務(wù)接入中，有VLAN web、VL

15、AN bind和VLAN fast三種方案。 與PPP業(yè)務(wù)相比，IP業(yè)務(wù)最大的特點是先獲得IP后認證，這使得在配置IP業(yè)務(wù)的時候需要考慮權(quán)限的問題。我們用兩個域：認證前域和認證域來解決。IP業(yè)務(wù)三種認證方式的區(qū)別 一、VLAN web認證，指用戶先獲得IP地址（通常用DHCP的方式），再打開指定的web頁面，輸入用戶名口令進行認證。 二、VLAN bind認證，指用戶獲得IP地址之后，即由BRAS設(shè)備自動生成用戶名及口令并通過認證，不需要用戶的參與。 三、VLAN fast認證，指用戶先獲得IP地址，然后打開指定的web頁面，直接點連接通過認證，用戶名口令由BRAS自動生成，不需要用戶輸入。

16、第一、三種方案需要設(shè)置web服務(wù)器，通常同時配置強制portal；另外因為認證前后都有通信需求，所以需要分別定義認證前域和認證域。IP業(yè)務(wù)配置流程配置地址池配置地址池配置認證方案配置認證方案配置計費方案配置計費方案配置認證前域配置認證前域設(shè)定用戶認證前所歸屬的域，以及域下的參數(shù)用來給用戶分配IP地址通常是不認證通常是不計費關(guān)聯(lián)配置配置web Server配置配置ACL設(shè)置web Server相關(guān)參數(shù)設(shè)置認證前用戶的訪問權(quán)限配置認證方案配置認證方案配置計費方案配置計費方案配置認證域配置認證域設(shè)定用戶認證后所歸屬的域，以及域下的參數(shù)通常是采用radius認證通常是采用radius計費關(guān)聯(lián)設(shè)置所采用

17、的radius服務(wù)器的參數(shù)配置配置RADIUS使能用戶接口的BAS功能并進行設(shè)置設(shè)置接口BAS的接入用戶類型設(shè)置接口BAS的認證方式web、bind、fast接口接口BAS配置配置設(shè)置接口下用戶歸屬的認證前域、認證域綁定相應(yīng)的vlan到接口配置步驟（一） 配置遠端地址池BRAS dhcp-server group remotedhcp 創(chuàng)建遠端DHCP 服務(wù)器組BRAS-dhcp-server-group-remotedhcp dhcp-server 202.2.2.252 配置遠端DHCP服務(wù)器的IP地址BRAS ip pool testremote remoteBRAS-ip-pool-t

18、estremote gateway 172.15.2.1 24BRAS-ip-pool-huaweiremote dhcp-server group remotedchp把地址池與遠端的DHCP服務(wù)器相關(guān)聯(lián)配置步驟（二） 配置ACL用戶組BRAS acl 6000 /創(chuàng)建ACL號為6000的用戶ACL，用戶的ACL從6000-9999BRAS-acl-ucl-6000 rule permit ip source user-group test destination ip-add /創(chuàng)建規(guī)則，允許此用戶組用戶訪問202.1.1.251 WEB服務(wù)器 BRAS-acl-ucl-6000 rule

19、 permit ip source user-group test destination ip-address 202.1.1.252 0 /創(chuàng)建規(guī)則，允許此用戶組用戶訪問202.1.1.252 DNS服務(wù)器BRAS acl 6001 BRAS-acl-ucl-6001 rule deny ip source user-group test /創(chuàng)建規(guī)則，禁止此用戶組成員訪問任何地址配置步驟（三） 配置流分類器BRAS traffic classifier c1 創(chuàng)建名稱為c1的流分類器。Quidway-classifier-c1 if-match acl 6000 配置此分類器的匹配條件，本

20、分類器用ACL匹配。BRAS traffic classifier c2Quidway-classifier-c2 if-match acl 6001 配置流行為Quidwaytraffic behavior deny1 創(chuàng)建名稱為deny1的流分類行為，即滿足此類的流應(yīng)當(dāng)實施的行為Quidway-behavior-deny1deny 匹配流實施的行為是denyQuidwaytraffic behavior permit1Quidway-behavior-permit1permit配置步驟（四） 創(chuàng)建流量策略BRAS traffic policy action1 創(chuàng)建名稱為action1的流量

21、策略BRAS-trafficpolicy-action1 classifier c1 behavior permit1 把策略與流分類器和流量行為綁定，一個策略只能包含一種行為，滿足c1條件的應(yīng)用permit1行為BRAS-trafficpolicy-action1 classifier c2 behavior deny1滿足c2條件的應(yīng)用deny1行為BRAS traffic-policy action1 global 把策略在全局下發(fā)，如果不用用戶ACL控制，其它類ACL可以在接口下下發(fā)配置步驟（五） 配置web ServerBRAS web-auth-server 202.1.1.251

22、 key webvlan 配置WEB認證服務(wù)，WEB服務(wù)器與BRAS 之間采用Portal協(xié)議BRAS web-auth-server version v2 配置Portal的協(xié)議版本BRAS web-auth-server source interface Loopback 0 配置與WEB服務(wù)器交互的源接口 配置認證前域BRAS-aaa domain default0 default0為系統(tǒng)缺省域，默認不認證不計費BRAS-aaa-domain-default0 ip-pool testremoteBRAS-aaa-domain-default0 web-server 202.1.1.251BRAS-aaa-domain-default0 user-group huawei配置步驟（六） 配置認證策略和計費策略為Radius認證BRAS aaa BRAS-aaa authentication-scheme Auth1 BRAS-aaa-authen-auth1 authentication-mode radiusBRAS-aaa accounting-scheme Acct1 BRAS-aaa-authen-acct1 accou