華為MEBRAS設備配置規(guī)范

（設備管理）2020年華為MEBRAS設備配置規(guī)范河南網(wǎng)通城域網(wǎng)華為ME60BRAS設備配置規(guī)范華為技術有限公司二00八年6月1、系統(tǒng)簡介...................................................................41.1河南網(wǎng)通寬帶城域網(wǎng)建設概況............................................41.2河南網(wǎng)通華為ME60系統(tǒng)組網(wǎng)方式.........................................41.2.1網(wǎng)絡概述........................................................41.2.1組網(wǎng)方式........................................................51.3VLAN規(guī)劃原則.........................................................61.4IP地址規(guī)劃原則.......................................................72、BAS配置規(guī)范（ME60）.......................................................72.1設備基本配置..........................................................72.1.1設置主機名......................................................72.1.2時區(qū)和時鐘校準..................................................82.1.3配置管理員及其密碼..............................................82.1.4啟用服務........................................................82.1.5對管理員地址范圍進行限定........................................92.1.6timeout時間設置................................................92.1.7ACL配置范例....................................................92.1.8用戶域基本配置.................................................122.1.9安全基本配置...................................................132.1.10設備配置保存..................................................142.2設備接口配置.........................................................142.2.1網(wǎng)絡側(cè)接口配置.................................................142.2.2loopback接口配置及描述........................................162.2.3地址池的配置...................................................212.2.4VLAN及QINQ接口配置...........................................212.3路由協(xié)議配置.........................................................232.3.1OSPF協(xié)議配置..................................................232.4RADIUS配置..........................................................292.4.1本次項目中RADIUS配置參數(shù)......................................312.4.2RADIUS配置范例及注釋..........................................312.4.3RADIUS狀態(tài)查看................................................332.4.4RADIUS故障排除方法............................................372.5QOS帶寬管理.........................................................372.5.1兩類QOS配置...................................................372.5.2配置設備接收RADIUS服務器策略配置..............................382.5.3ME60本機QOS策略配置..........................................382.6PPPOE配置...........................................................402.6.1概述...........................................................402.6.2PPPOE相關配置.................................................412.7用戶認證域選擇.......................................................432.8反向路由檢測.........................................................43ME60所支持的URPF...................................................432.9DHCPRELAY配置......................................................442.10IP綜合網(wǎng)管設備配置要求.............................................462.10.1訪問控制列表設置(用于限制遠程登錄和SNMP采集的訪問地址).......462.10.2TELNET用戶名和密碼...........................................462.10.3SNMP配置.....................................................462.10.4SYSLOG配置...................................................473、ME60承載業(yè)務及配置規(guī)范...................................................483.1承載業(yè)務類型.........................................................483.2普通PPPOE上網(wǎng)業(yè)務..................................................483.2.1業(yè)務概述.......................................................483.2.2ME60配置規(guī)范..................................................483.2.3帳號管理規(guī)范...................................................533.3校園網(wǎng)卡類業(yè)務.......................................................543.3.1業(yè)務概述.......................................................543.3.2配置規(guī)范.......................................................543.3.3賬號管理說明...................................................543.4VPDN業(yè)務...........................................................553.4.1業(yè)務概述.......................................................553.4.2ME60配置規(guī)范..................................................553.4.3賬號管理說明...................................................563.4.4VPDN業(yè)務介紹..................................................563.5機頂盒業(yè)務配置.......................................................593.5.1業(yè)務概述.......................................................593.5.2延用DHCP方式.................................................603.5.3采用PPPOE方式................................................603.6專線用戶配置.........................................................643.6.1通過subscriber方式定義靜態(tài)IP用戶............................643.6.2通過leasedline方式定義靜態(tài)IP用戶...........................653.7BGP/MPLSVPN配置范例...............................................653.7.1概述...........................................................653.7.2MPLSVPN業(yè)務命名規(guī)范.........................................663.7.3PE（ME60）配置范例...........................................673.8VPLS業(yè)務配置.......................................................713.8.1VPLS簡介......................................................713.8.2VPLS配置范例..................................................741、系統(tǒng)簡介1.1河南網(wǎng)通寬帶城域網(wǎng)建設概況本期城域網(wǎng)建設在保持原有城域網(wǎng)改造的目標功能、目標結(jié)構(gòu)和目標性能不變的基礎上，持續(xù)提升寬帶接入能力，繼續(xù)推進二層網(wǎng)絡扁平化，提升網(wǎng)絡可靠性，以此逐步向功能完善、結(jié)構(gòu)合理、性能優(yōu)良的目標網(wǎng)演進。提升業(yè)務支持能力：根據(jù)各類IP業(yè)務發(fā)展需求及流量流向特性，對城域網(wǎng)內(nèi)的設備進行容量增加和端口擴容，提供充足的業(yè)務接入能力及中繼鏈路端口。二層網(wǎng)絡扁平化舉措：在進行擴容的同時在有條件的地市考慮繼續(xù)縮減匯聚交換機的級聯(lián)層數(shù)，進一步扁平化二層匯聚網(wǎng)絡；同時具備條件的地市可根據(jù)業(yè)務發(fā)展需求結(jié)合設備性能考慮SR/BRAS適度下移。網(wǎng)絡質(zhì)量差異化：逐步部署MPLS技術和Diffserv機制，為不同用戶和不同業(yè)務提供不同QOS等級的服務。在業(yè)務集中區(qū)域逐步設立輕載的大客戶專用接入設備，減少普通客戶流量對大客戶業(yè)務質(zhì)量的干擾。管理控制集中化智能化：用寬帶接入服務器（BRAS）、業(yè)務路由器（SR）構(gòu)建獨立清晰的IP城域網(wǎng)接入層，實現(xiàn)業(yè)務集中調(diào)度、監(jiān)測和控制；規(guī)范設備的網(wǎng)管接口要求，加強集中網(wǎng)管系統(tǒng)的建設，提高網(wǎng)絡的可管理性，逐步實現(xiàn)對網(wǎng)絡性能的實時監(jiān)控管理，提供基于時間、流量、質(zhì)量等指標的多樣化組合計費能力。1.2河南網(wǎng)通華為ME60系統(tǒng)組網(wǎng)方式1.2.1網(wǎng)絡概述臺ME60-8BRAS設備，共計123臺。在市區(qū)，ME60雙上行至地市2臺GSRSR責終結(jié)SR設備透傳過來的二層報文。在縣局，網(wǎng)絡通過布置大二層匯聚交換機來實現(xiàn)業(yè)務分流，ME60雙上行至地市核心GSR1.2.1組網(wǎng)方式方式一、市區(qū)組網(wǎng)方式ME60采用雙上行GE鏈路上行至地市GSR，啟用OSPF以及BGP路由協(xié)議；同時與本局SR通過以太端口聚合聚合2個GEOSPFGSR的端口作為主用上行路由，到本局SR設備的端口作為備用上行鏈路，同時該GE兼作本局用戶業(yè)務的二層下聯(lián)接口，終結(jié)用戶VLAN或靈活QinQVLAN。方式二、縣局組網(wǎng)方式ME60雙上行至地市核心GSROSPF以及BGP同時，與本局匯聚交換機通過GE口連接，該接口用來終結(jié)縣級匯聚交換機透傳上來的單層VLAN以及QINQVLAN。除了掛接用戶業(yè)務以外，本期項目中黨建、CDN等服務器業(yè)務也需要割接到新建BRAS上。1.3VLAN規(guī)劃原則1.遵循管理VLAN與用戶VLAN分開、一用戶一VLAN的原則。2.VLANStacking戶一個VLAN。接入設備的外層VLAN使用原匯聚層交換機中預留的VLAN。3．對于下掛在和BAS有直連鏈路的縣局節(jié)點下的接入設備，也要求采用VLANStacking模式。4.對于下掛在二級匯聚交換機以下的接入設備（如支局），不建議采用VLANStacking模式，可采用一個DSLAM分配“一個用戶VLAN＋一個管理VLAN”的方式；對于LAN方式，ZAN和BAN的管理VLAN使用同一VLAN，每個BAN采用不同用戶VLAN；5.對于采用PPPOE與DHCP+VLANStacking模式,應遵循不同認證方式用戶分配不同VLAN的原則進行VLAN規(guī)劃。通過相連的各級交換機將新增VLAN透傳至BAS。設備管理VLAN則延用原模式。1.4IP地址規(guī)劃原則本著連續(xù)分配、節(jié)約資源、便于管理的原則進行規(guī)劃。1.普通撥號用戶IP地址規(guī)劃PPPOE撥號用戶的IP地址均直接由BAS通過地址池動態(tài)分配，每臺BAS暫時分配4個C類地址。2.專線用戶IP地址規(guī)劃每個專線用戶一個VLAN,每臺BAS分配一個C類地址，用戶地址可以連續(xù)分配。3.設備管理IP地址規(guī)劃每臺BAS下掛的接入層設備管理地址為一個Ｃ類地址，可進行連續(xù)分配。4.BAS設備管理(loopback地址等)和互聯(lián)地址由省公司統(tǒng)一規(guī)劃分配。5.每臺BAS目前預留兩個C類地址備用。2、BAS配置規(guī)范（ME60）式及說明請參考ME60設備配置手冊。2.1設備基本配置設備的基本配置包括主機名稱、時鐘、用戶管理設置等。2.1.1設置主機名主機名命名規(guī)則：【示例】MC-ZZ-KFQ-C6509-001鄭州城域網(wǎng)匯聚層開發(fā)區(qū)思科6509設備MA-ZZ-XZ.BQ.LD-HW5100-001新鄭市八千鄉(xiāng)劉店接入點華為5100設備對于華為本期項目上的NE40E及ME60網(wǎng)絡層次為MS，例如，洛陽道北節(jié)點ME60命名如下：MS-LY-DB-HW60-0012.1.2時區(qū)和時鐘校準配置時鐘命令如下：clockdatetimeHH:MM:SSYYYY-MM-DD配置時區(qū)命令如下：clocktimezonetime-zone-name{add|minus}offset例如，設置中國區(qū)時鐘：clocktimezonebeijingadd82.1.3配置管理員及其密碼步驟1執(zhí)行命令system-view，進入系統(tǒng)視圖。步驟2執(zhí)行命令local-aaa-server，進入本地AAA視圖。步驟3執(zhí)行命令userusername{password{simplesimple-password|ciphercipher-password}|authentication-typetype-mask|block|ftp-directoryftp-directory|levellevel|callback-nocheck|callback-numbercallback-number|idle-cut|qos-profileqos-profile-name}*，增加操作用戶。例如，增加一個名字為HUAWEI的用戶，配置如下：local-aaa-serveruserHUAWEIpasswordcipherHuaweilevel3級別3為超級用戶權(quán)限，可以根據(jù)需要將用戶設置為0-3的任何級別。2.1.4啟用服務ME60啟用網(wǎng)絡服務命令如下：ftpserverenablesshserverenable2.1.5對管理員地址范圍進行限定定義訪問控制列表：Acl2000rule5permitipsource55rule10permitipsource55rule15permitipsource55進入USER-INTERFACEUser-interfacevty04Acl2000in2.1.6timeout時間設置空閑過時設置User-interfacevty04Idle-timeout5當telnet會話在5分鐘內(nèi)沒有輸入時timeout退出2.1.7ACL配置范例Acl2000至2999為基本ACL，只能夠定義源地址；3000-3999為擴展ACL，能夠依照五元組進行定義1、配置管理ACL范例：Acl3000rule5permitipsource55any//省網(wǎng)管；rule10permitipsource26destinationany//BAS（SE800）網(wǎng)管服務器地址；rule15permitipsourcehost40destinationany//RADIUS服務器地址；rule20permitipsource281destinationany//鄭州分公司-1；rule25permitipsource27destinationany//鄭州分公司-2；rule30denytcpsourceanydestinationanyeqtelnetrule35denytcpsourceanydestinationanyeqsshrule40denytcpsourceanydestinationanyeqftprule45denytcpsourceanydestinationanyeqftp-datarule50denyudpsourceanydestinationanyeqtftprule55denyudpsourceanydestinationanyeqsnmprule60denyudpsourceanydestinationanyeqsnmptraprule65permitipanyany進入telnet用戶接口User-interfacevty04Acl3000in2、配置普通ACL并應用范例aclnumber3001rule5permitip#aclnumber6000match-orderautorule5denytcpdestination-porteq135rule10denytcpdestination-porteq136rule15denytcpdestination-porteq137rule20denytcpdestination-porteq138rule25denytcpdestination-porteq139rule30denytcpdestination-porteq445rule35denytcpdestination-porteq4444rule40denyudpdestination-porteq445rule45denyudpdestination-porteqnetbios-ssnrule50denyudpdestination-porteqnetbios-dgmrule55denyudpdestination-porteq135rule60denyudpdestination-porteqnetbios-nsrule65denytcpdestination-porteq2745rule70denytcpdestination-porteq3127rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90denyipsourceuser-grouphelpdestinationip-addressanyrule95denyipsourceuser-groupiptvdestinationip-addressany[ACL6000是一個用戶ACLHELP以及IPTV里面的用戶不能訪問任何地址]#aclnumber6001rule5permitipsourceuser-groupiptvdestinationip-address55rule10permitipsourceuser-groupiptvdestinationip-address55rule15permitipsourceuser-groupiptvdestinationip-address55rule20permitipsourceuser-groupiptvdestinationip-address55rule25permitipsourceuser-groupiptvdestinationip-address55rule30permitipsourceuser-groupiptvdestinationip-address55rule35permitipsourceuser-groupiptvdestinationip-address80rule40permitipsourceuser-groupiptvdestinationip-address80[定義了IPTV用戶組里的用戶可以訪問的地址]#aclnumber6002match-orderautorule5permitipsourceuser-grouphelpdestinationip-address520rule10permitipsourceuser-grouphelpdestinationip-address80rule15permitipsourceuser-grouphelpdestinationip-address80[定義了HELP用戶組里的用戶可以訪問的地址]#trafficclassifierlimitoperatororif-matchacl6000trafficclassifieractionoperatororif-matchacl6002if-matchacl6001[定義了3個流量分類，分別匹配3個ACL，會和后面的流量動作配置組成策略。這部分與思科設備通過配置ROUTE-MAP定義策略路由很類似]#trafficbehaviorlimitdenytrafficbehavioraction[定義流量動作，后面定義策略的時候與流量分類相關聯(lián)]#trafficpolicylimitclassifieractionbehavioractionclassifierlimitbehaviorlimit[定義流量策略，第一條名為ACTION的分類中匹配到的報文，執(zhí)行名為ACTION的流量動作不能反，否則所有流量都會被拒絕]traffic-policylimitinboundtraffic-policylimitoutbound[由于上述策略都是針對用戶側(cè)的用戶定義的，所以需要在全局下下發(fā)]如果流量策略需要在網(wǎng)絡側(cè)端口下發(fā)，只需要在相應端口下飲用traffic-policy即可。2.1.8用戶域基本配置1、定義用戶域domaindialauthentication-schemeradius[該域用名稱為RADIUS的SCHEME來進行認證]accounting-schemeradiusservice-typehsi[將該域的模式配置成HIS模式，PPPOE的域都要配置成該模式]radius-servergroupdial[指定使用的RADIUS服務器組]ip-pooldial[指定該域使用的地址池]qosprofile2m[指定該域使用的QOS模板]2、定義地址池ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary[定義地址池，包括網(wǎng)關，可分配地址范圍，不能被分配的地址以及DNS等參數(shù)，地址池會被后面的域所引用，以給用戶分配地址]址。3、QOS模板定義首先定義調(diào)度模板scheduler-profile2mcarcir2048pir2050cbs256000pbs256250upstreamgtscir2048pir2050queue-length65536定義QOS模板，在其中引用調(diào)度模板qos-profile2mscheduler-profile2m在用戶域下引用QOS模板domaindialqosprofile2m2.1.9安全基本配置1、定義防病毒訪問控制列表aclnumber6000match-orderautorule5denytcpdestination-porteq135rule10denytcpdestination-porteq136rule15denytcpdestination-porteq137rule20denytcpdestination-porteq138rule25denytcpdestination-porteq139rule30denytcpdestination-porteq445rule35denytcpdestination-porteq4444rule40denyudpdestination-porteq445rule45denyudpdestination-porteqnetbios-ssnrule50denyudpdestination-porteqnetbios-dgmrule55denyudpdestination-porteq135rule60denyudpdestination-porteqnetbios-nsrule65denytcpdestination-porteq2745rule70denytcpdestination-porteq3127rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90permitany2、定義流分類trafficclassifierlimitoperatororif-matchacl60003、定義流動作trafficbehaviorlimitdeny4、定義流策略trafficpolicylimitclassifierlimitbehaviorlimit5、全局下發(fā)針對用戶側(cè)的策略traffic-policylimitinboundtraffic-policylimitoutbound2.1.10設備配置保存執(zhí)行SAVE命令，配置將缺省保存在設備CFCARD中。2.2設備接口配置2.2.1網(wǎng)絡側(cè)接口配置1ME60GSR設備的三相同。對于網(wǎng)絡側(cè)端口的配置在系統(tǒng)模式下進行：interfaceGigabitEthernet1/0/0mtu1524[配置端口MTU值]descriptionTo-[LY-XiGong-GSR]G1/0/4[對于該端口的描述to-[對端設備型號]-端口號]ipaddress7852[設置端口IP地址]mplsmplsldp[端口下啟用MPLS]通過使用displayinterface命令可以查看端口狀態(tài)（UP、down文計數(shù)等信息。2、端口描述規(guī)范互聯(lián)中繼命名規(guī)范:【端口簡寫】括號內(nèi)端口信息采用簡寫F:FEG:GE/10GEA:ATMP:POS設備端口上描述建議采用TO_PC-ZZ-ZYL-CRS-001(G0/2):GE:1:電路代號用戶電路命名規(guī)范:【端口簡寫】括號內(nèi)端口信息采用簡寫F:FEG:GE/10GEA:ATMP:POS注:設備端口上描述建議采用TO_ZZGONGSHANGJU:10M:FE:1:電路代號例如，洛陽西工NE40E連接西工NE80E的描述：Intg1/0/0DesTO_PC-LY-XG-NE80E-001(G0/2):GE:12.2.2loopback接口配置及描述Loopback2個loopback地址，范例如下：interfaceLoopBack0ipaddress1055[這個地址用來和RR建立IPV4BGP鄰居]#interfaceLoopBack10ipaddress1155[這個地址用來和RR建立VPNV4BGP鄰居]3.2.3用戶側(cè)接口配置當某個接口用于接入寬帶用戶時，該接口即為用戶側(cè)接口，需要將該接口配置為BAS接口，并配置用戶的接入類型和其他相關屬性。要完成配置BAS接口的任務，需要執(zhí)行如下的配置過程。1創(chuàng)建BAS接口請在ME60上進行以下配置。步驟1執(zhí)行命令system-view，進入系統(tǒng)視圖。步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。步驟3執(zhí)行命令bas，創(chuàng)建BAS接口。2配置用戶接入類型執(zhí)行命令bas，進入BAS接口視圖。執(zhí)行命令access-typelayer2-subscriber[bas-interface-namename|default-domain{pre-authenticationdomain-name|authentication[force|replace]domain-name}*|accounting-copyradius-serverradius-name]*，配置二層普通用戶接入類型?；驁?zhí)行命令access-typelayer2-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*用戶接入類型?；驁?zhí)行命令access-typelayer3-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*用戶接入類型。在設置BAS屬性也可以在后續(xù)的配置中逐項配置。對于已經(jīng)被Eth-Trunk接口包含的以太網(wǎng)接口，不能配置其用戶接入類型，而只能配置相應的Eth-Trunk接口。有用戶在線時，只有當用戶類型是專線用戶時，可以在線修改BAS接口的用戶接入類型，其他情況不能修改。當用戶類型配置為專線用戶后，ME60立即對該專線用戶進行認證。當接口下配置有IP地址時，只能將用戶接入類型設置為三層專線用戶。如果BAS接口為GE或Eth-Trunk首先必須在子接口下配置一個用戶側(cè)VLAN（且只能配置一個）。3配置用戶認證方法請在ME60上進行以下配置。步驟1執(zhí)行命令system-view，進入系統(tǒng)視圖。步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。步驟3執(zhí)行命令bas，進入BAS接口視圖。步驟4執(zhí)行命令authentication-method{{ppp|dot1x|{web|fast}}*|bind}，配置用戶認證方法。----結(jié)束BAS但有以下的約束關系：Web認證和快速認證互斥；綁定認證和其他認證方式都互斥。缺省情況下，BAS接口的認證方法為PPP4設置用戶數(shù)限制（可選）請在ME60上進行以下配置。步驟1執(zhí)行命令system-view，進入系統(tǒng)視圖。5配置BRAS接入QuidwayME60配置指南-BRAS業(yè)務5-20華為技術有限公司文檔版本03(2008-02-01)步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。步驟3執(zhí)行命令bas，進入BAS接口視圖。步驟4執(zhí)行命令access-limitnumber，設置接口級用戶數(shù)限制?；驁?zhí)行命令access-limituser-number[start-vlanstart-vlan[end-vlanend-vlan][qinqqinq-vlan]]，設置VLAN級用戶數(shù)限制。----結(jié)束缺省情況下，BAS接口未設置用戶數(shù)限制。5指定域（可選）請在ME60上進行以下配置。步驟1執(zhí)行命令system-view，進入系統(tǒng)視圖。步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。步驟3執(zhí)行命令bas，進入BAS接口視圖。步驟4執(zhí)行命令default-domainpre-authenticationdomain-name，指定認證前缺省域?；驁?zhí)行命令default-domainauthentication[force|replace]domain-name，指定認證缺省域。如果用戶認證時未輸入域名，ME60默認其屬于認證缺省域。設置認證缺省域可指定force和replace參數(shù)。force用該域的策略進行認證和授權(quán)，但用戶名中的域名不發(fā)生改變。replace制替換成設置的認證缺省域名。缺省情況下，BAS接口的認證缺省域為default1。6配置BAS接口附加功能（可選）請在ME60上進行以下配置。步驟1執(zhí)行命令system-view，進入系統(tǒng)視圖。步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。步驟3執(zhí)行命令bas，進入BAS接口視圖。步驟4執(zhí)行命令arp-proxy，啟用ARP代理功能?；驁?zhí)行命令dhcp-broadcast，啟用DHCP廣播功能?；驁?zhí)行命令accounting-copyradius-serverradius-name，啟用計費報文抄送功能?；驁?zhí)行命令ip-trigger，啟用IP報文觸發(fā)上線功能?；驁?zhí)行命令arp-trigger，啟用ARP報文觸發(fā)上線功能?；驁?zhí)行命令multicastcopyby-session，啟用按用戶復制組播報文功能?；驁?zhí)行命令dot1xauthenticationtrigger，啟用802.1X認證觸發(fā)功能。----結(jié)束ARP代理功能ARP代理功能用于同一BAS接口下的用戶互訪，因為在ME60同一接口下的用戶按VLAN/PVC嚴格隔離，要實現(xiàn)用戶互訪必須打開BAS接口的ARP代理開關。只有在BAS接口的接入用戶類型設置為二層用戶和二層專線用戶的情況下，才可以配置BAS接口的ARP代理功能。ARP代理的開關只對相同BAS接口的ARP報文進行控制，其他的情況ARP代理的開關都是打開的，無法關閉。缺省情況下，同一BAS接口相同VLAN/PVC下的ARP代理功能關閉。DHCP廣播功能通常情況下，BAS接口的DHCP報文是采用單播方式向用戶進行發(fā)送的，但是在某些特殊情況下可能需要對DHCP報文進行廣播，此時需要打開BAS接口的DHCP廣播開關。缺省情況下，BAS接口的DHCP廣播功能關閉。計費報文抄送功能計費報文抄送是指在計費過程中，將計費信息同步發(fā)送給兩臺RADIUS服務器，并分別等待回應的功能。計費報文抄送功能主要在需要多處保存原始計費信息的場合使用（如多運營商共同組網(wǎng)）。在這種情況下，計費報文需要同步發(fā)送給兩臺RADIUS服務器，在后續(xù)的結(jié)算中作為原始計費信息。缺省情況下，BAS接口的計費報文抄送功能關閉。IP報文觸發(fā)上線功能IP報文觸發(fā)上線功能是指靜態(tài)用戶通過發(fā)送IP報文觸發(fā)認證過程的功能。缺省情況下，BAS接口的IP報文觸發(fā)上線功能關閉。ARP報文觸發(fā)上線功能ARP報文觸發(fā)上線功能是指用戶通過發(fā)送ARP報文觸發(fā)認證過程的功能。缺省情況下，BAS接口的ARP報文觸發(fā)上線功能關閉。按用戶復制組播報文功能通常情況下，ME60二層設備再將組播報文復制給該組播組的每個用戶。如果二層設備不具備IGMPSnooping功能，無法識別組播組用戶，則需要在ME60的接口上啟用按用戶進行組播復制的功能，由ME60直接將組播報文復制給用戶。缺省情況下，BAS接口的按用戶復制組播報文功能關閉。802.1X認證觸發(fā)功能802.1X認證觸發(fā)功能是指ME60探測到802.1X用戶上線后，主動向用戶發(fā)起認證請求的功能。缺省情況下，BAS接口的802.1X認證觸發(fā)功能關閉。下面的配置范例為PPPOE接入的用戶側(cè)端口配置：interfaceGigabitEthernet1/0/3.805pppoe-serverbindVirtual-Template1[綁定PPP模板，確定該端口使用PPPOE]mtu1524descriptionTo-NanShan-HW-MA5300-Useruser-vlan2561000QinQ805[這個命令就是終結(jié)正常的PPPOE撥號用戶報文，內(nèi)層標簽是256-1000，外層標簽是805]basaccess-typelayer2-subscriberdefault-domainauthenticationdial[BAS下的這條命令把PPPOEDIAL的認證方法、QOS模板等定義的參數(shù)]2.2.3地址池的配置IPDNS等參數(shù)。地址池可以配置多個，ME60會自動循環(huán)向后使用。配置范例如下：ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary[定義地址池，包括網(wǎng)關，可分配地址范圍，不能被分配的地址以及DNS等參數(shù)，地址池會被后面的域所引用，以給用戶分配地址]2.2.4VLAN及QINQ接口配置配置VLAN和QinQVLAN需要進入相應端口配置模式下進行，大致分為如下幾類：1、普通固定IP業(yè)務VLAN配置及綁定interfaceGigabitEthernet1/0/3.100descriptionTo-NanShan-S6503user-vlan100[這條命令指名該端口終結(jié)帶100這個單層標簽的報文]basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbind[該端口下面是網(wǎng)管下掛的S6503ME60把它當作一個靜態(tài)IP2層用戶。所謂二層用戶，也就是這個下掛設備的地址是由BRAS分配管理的。該端口用戶默認是在wangguanBINDME60根據(jù)下掛用戶的物理位置自動分配一個用戶名。這部分配置都在BAS視圖下進行]userdetectretransmit3interval30[每隔30秒向該用戶發(fā)一個ARP請求，根據(jù)回應確定用戶在線。如果連續(xù)3次（90秒）沒有收到回應，設備就認為用戶已經(jīng)下線。用這種手段來保證該設備一直在線。]在系統(tǒng)視圖下配置：static-user5252interfaceGigabitEthernet1/0/3.100vlan100detectdomain-namewangguan[配置二層靜態(tài)IP52至52定一個靜態(tài)IP，定義了這個靜態(tài)用戶所在的端口GigabitEthernet1/0/3.100，定義了這個用戶的報文標簽為100wangguan備都用這種方式來進行網(wǎng)管，同時，開啟二層靜態(tài)IP用戶也是用這種辦法]2、普通PPPOE用戶VLAN配置及動態(tài)綁定interfaceGigabitEthernet1/0/9.1pppoe-serverbindVirtual-Template1user-vlan200basaccess-typelayer2-subscriberdefault-domainauthenticationdial3、固定IP用戶QinQVLAN的配置及綁定interfaceGigabitEthernet1/0/3.200descriptionleaseline-tel-7676123user-vlan100qinq200basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbindstatic-userinterfaceGigabitEthernet1/0/3.200vlan100qinq200detectdomain-namewangguan該用戶的IP地址為。4、批量、連續(xù)的PPPOE用戶QinQVLAN配置及動態(tài)綁定interfaceGigabitEthernet1/0/9.801pppoe-serverbindVirtual-Template1mtu1524descriptionTo-YiTuo-HAMMER-10000-2-Useruser-vlan2561000QinQ801basaccess-typelayer2-subscriberdefault-domainauthenticationdial[該子接口下終結(jié)了一批內(nèi)層VLAN范圍為256至1000，外層VLAN為801的PPPOE用戶。注意，用戶的認證方法等參數(shù)配置在相應用戶域中，此例中為DIAL會引用該域。]2.3路由協(xié)議配置本期工程BAS（ME60)GSRME60COST為100，用戶路由則采用BGP進行承載，以下對OSPF及BGP的配置進行詳細說明。2.3.1OSPF協(xié)議配置BAS與上聯(lián)設備建立OSPF鄰居，OSPF的area號與各地市寬帶IP網(wǎng)area號一致，如鄭州area號為371；洛陽為379。OSPF鏈路類型為點到點類型。具體配置范例如下：1、系統(tǒng)模式下配置ospf協(xié)議ospf1router-id10[定義OSPF進程號以及ROUTER-ID]area23[進入相應area]network10network11network76network00[發(fā)布loopback地址以及互連地址]2、進入端口模式，將OSPF配置成為P-TO-P模式interfaceGigabitEthernet1/0/0ospfnetwork-typep2p3、查看OSPF協(xié)議狀態(tài)進入用戶模式或者系統(tǒng)模式★查看OSPF鄰居狀態(tài)<YiTuo-ME60>disospfpeerOSPFProcess1withRouterID10NeighborsArea23interface78(GigabitEthernet1/0/0)'sneighborsRouterID:47Address:77GRState:NormalState:FullMode:NbrisSlavePriority:1DR:NoneBDR:NoneMTU:1524Deadtimerduein31secNeighborisupfor701:33:05AuthenticationSequence:[0]NeighborsArea23interface02(GigabitEthernet1/0/1)'sneighborsRouterID:45Address:01GRState:NormalState:FullMode:NbrisSlavePriority:1DR:02BDR:02MTU:1524Deadtimerduein34secNeighborisupfor701:32:23AuthenticationSequence:[0]通過以上命令查看OSPFP-TO-P模式下鄰居狀態(tài)都應該為FULL?！锊榭碠SPF路由表<YiTuo-ME60>displayospfroutingOSPFProcess1withRouterID10RoutingTablesRoutingforNetworkDestinationCostTypeNextHopAdvRouterArea12/30241Inter-area774723/30241Inter-area77472316/30241Inter-area7747232/30241Inter-area77472320/30241Inter-area774723/30331Inter-area774723/32332Inter-area774723正常情況下，應該能夠看到設備能夠通過OSPF協(xié)議學習到路由。3.3.2BGP配置在本期項目中，設備需要通過不同的loopback地址與本地核心路由器（充當路由反射器）分別建立2個BGPIPV4鄰居以及2個BGPVPNV4鄰居。河南網(wǎng)通城域網(wǎng)AS號為65130。BGP配置需要在系統(tǒng)視圖下進行，范例如下：1、BGP配置bgp65130router-id10groupha-ly-vpninternal[建立PEERGROUP]peerha-ly-vpnpasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![配置VPNV4BGP鄰居認證]peerha-ly-vpnconnect-interfaceLoopBack10peer45as-number65130peer45groupha-ly-vpnpeer47as-number65130peer47groupha-ly-vpn[配置VPNV4鄰居基本參數(shù)]groupha-lyinternalpeerha-lypasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![建立IPV4鄰居認證]peerha-lyconnect-interfaceLoopBack0peer45as-number65130peer45groupha-lypeer47as-number65130peer47groupha-ly[配置IPV4鄰居參數(shù)]#ipv4-familyunicastundosynchronizationnetwork2840network240network840network3648import-routeunr[該命令將PPPOE用戶路由引入進BGP協(xié)議中，達到使用BGP承載業(yè)務路由目的]undopeer45enableundopeer47enablepeerha-ly-vpnenablepeerha-lyenablepeerha-lyroute-policysetcommunityexport[配置發(fā)布的路由攜帶路由策略中定義的團體屬性]peerha-lynext-hop-localpeerha-lyadvertise-communitypeer45enablepeer45groupha-lypeer47enablepeer47groupha-ly#ipv4-familyvpnv4policyvpn-targetpeerha-ly-vpnenablepeerha-ly-vpnnext-hop-localpeerha-ly-vpnadvertise-communitypeer47enablepeer47groupha-ly-vpnpeer45enablepeer45groupha-ly-vpn[配置VPNV4鄰居關系相關參數(shù)]route-policysetcommunitypermitnode0applycommunity65130:379[這個路由策略會在BGPBGP路由都帶上65130379這個團體屬性,該命令在系統(tǒng)模式下配置]2、查看BGP協(xié)議狀態(tài)進入用戶視圖或者系統(tǒng)視圖★查看IPV4BGP鄰居狀態(tài)<YiTuo-ME60>displaybgppeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv4546513010233574928400701h54mEstablished41484746513010268514581300701h54mEstablished41464正常情況下鄰居狀態(tài)應該為Established?！锊榭碫PNV4鄰居狀態(tài)<YiTuo-ME60>displaybgpvpnv4allpeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv47465130544484749900701h56mEstablished045465130543495125000701h56mEstablished0正常情況下鄰居狀態(tài)應該為Established?！锊榭碆GP路由表<YiTuo-ME60>displaybgprouting-tableTotalNumberofRoutes:82963BGPLocalrouterIDis10Statuscodes:*-valid,>-best,d-damped,h-history,i-internal,s-suppressed,S-StaleOrigin:i-IGP,e-EGP,?-incompleteNetworkNextHopMEDLocPrfPrefValPath/Ogn*>i/244301000?*i4301000?*>i/304701000?*i4701000?*>i/323701000?*i3701000?*>i/304701000?*i4701000?*>i/304701000?正常情況下設備應該能夠通過BGP協(xié)議學習到IPV4路由?！锊榭碫PNV4路由disbgpvpnv4allrouting-table如果網(wǎng)絡中開啟L3MPLSVPN，正常情況下應能夠?qū)W習到VPNV4路由。2.4RADIUS配置認證功能：認證功能驗證用戶是否可以獲得訪問權(quán)。用戶接入網(wǎng)絡時，ME60可通過用戶名和密碼對用戶的身份進行認證。ME60支持四種認證模式，如下所示。表示運營商對用戶非常信任，ME60對用戶不進行合法性檢查。一般情況下不建議采用此模式?！锉镜卣J證：在ME60上配置用戶信息（用戶名、密碼及其他屬性等），由ME60完成對用件限制?！颮ADIUS認證：ME60作為客戶端，與RADIUS服務器通信。在RADIUS服務器上配置用戶信息，ME60將用戶名和密碼通過RADIUS協(xié)議傳送給RADIUS服務器，RADIUS服務器完成對用戶的認證并將認證結(jié)果反饋給ME60?！颒WTACACS認證：ME60作為客戶端，與HWTACACS服務器通信。在HWTACACS服務器上配置用戶信息，ME60將用戶名和密碼通過HWTACACS協(xié)議傳送給HWTACACS服務器，HWTACACS服務器完成對用戶的認證并將認證結(jié)果反饋給ME60。授權(quán)功能：指定用戶可以使用哪些服務。ME60支持四種授權(quán)模式，如下所示。直接授權(quán)表示運營商對用戶非常信任，直接授權(quán)。本地授權(quán)根據(jù)ME60配置的用戶屬性對用戶進行授權(quán)。RADIUS認證成功后授權(quán)。RADIUSRADIUS進行授權(quán)。HWTACACS授權(quán)由HWTACACS服務器對用戶進行授權(quán)。計費功能：記錄用戶使用網(wǎng)絡資源的情況。ME60支持三種計費模式，如下所示。不計費：ME60不對用戶進行計費。RADIUSME60將計費報文送往RADIUS服務器，由RADIUS服務器完成對用戶的計費。HWTACACS計費：ME60將計費報文送往HWTACACS服務器，HWTACACS服務器完成對用戶的計費。在RADIUS/HWTACACS計費模式中，正常情況下ME60在用戶上線和下線時各生成一份計費報文傳送給服務器，服務器根據(jù)計費報文中的信息（上下線時間、使用流量等）對用戶進行計費。ME60支持實時計費功能。實時計費功能是指用戶在線過程中，ME60定時生成計費報文傳送給服務器。通過實時計費功能，ME60可以在其和服務器通信中斷時，最大程度的減少計費異常的時間。在本期項目中，我們主要采用RADIUS的認證方式，通過RADIUS服務器，設備可以提供以下控制功能：用戶認證：對用戶名及口令進行認證；用戶認證：對用戶名及口令進行認證；計費記錄：通過對用戶在線時間或流量等進行計費；用戶授權(quán)：給用戶授權(quán)，如授權(quán)成為l2tp用戶；用戶帶寬指定：通過RADIUS設定QOS屬性名稱來實現(xiàn)用戶帶寬屬性；預付費實時斷線：根據(jù)時長或流量對用戶進行下線操作；用戶帳號和VLAN綁定：通過RADIUS為用戶綁定VLAN號來防止盜號和漫游的發(fā)生；指定用戶ACL：通過RADIUS返回ACL字符串來對用戶行為進行訪問控制；異常斷線信息傳遞：通過接收ME60發(fā)出的PPPOE錯誤代碼來判斷用戶的下線原因。2.4.1本次項目中RADIUS配置參數(shù)RADIUS服務器地址40認證端口號1645計費端口號1646ME60的RADIUS通訊字符串：henancnc2.4.2RADIUS配置范例及注釋RADIUS相關配置在系統(tǒng)模式下進行。radius-serversourceinterfaceLoopBack0[定義與RADIUS交互報文攜帶的源地址為LOOPBACK0的地址]radius-servergroupdial[建立RADIUS服務器組，名稱為DIAL，后面的用戶域會引用這個服務器組作認證]radius-servershared-keyhenancncauthentication401645weight0radius-servershared-keyhenancncaccounting401646weight0[定義RADIUS服務器的地址與端口號]radius-servershared-keyhenancnc[與服務器交互的KEY，必須與server端一致]radius-serverclass-as-car[這條命令和QOS有關，ME60會將服務器端返回的CLASS屬性當中的值解釋為對已通過認證用戶的CAR值，從而達到對用戶限速的目的。對用戶的速度限制是在RADIUS上定義的。]radius-serversourceinterfaceLoopBack0undoradius-serveruser-namedomain-included[該命令定義用戶認證的時候，向RADIUS發(fā)送用戶名的時候不帶域名]基本RADIUS定義完畢后，我們需要定義一個authentication-scheme，這項配置用來authentication-scheme的認證方式為RADIUS。authentication-scheme的配置在AAA視圖下進行。AAAauthentication-schemeradius[定義一個名稱為RADIUS的authentication-scheme。由于缺省采用RADIUS認證，所以不用再配置額外命令]定義完RADIUS-servergroup以及authentication-scheme以后，我們在用戶域中對二者進行引用，范例如下：domaindialauthentication-schemeradius[該域用名稱為RADIUS的SCHEME來進行認證]accounting-schemeradiusservice-typehsi[將該域的模式配置成HIS模式，PPPOE的域都要配置成該模式]radius-servergroupdial[指定使用的RADIUS服務器組]對于用戶的認證，如果用戶上送的用戶名攜帶域名，則不管用戶從哪個端口上線，設放到端口下配置的缺省域中去完成認證。在設備中，除了對撥號用戶進行認證的DIAL域之外，還有另外幾個域，簡述如下：12層靜態(tài)IP用戶進行管理。配置范例如下：domainwangguanauthentication-schemedefault0accounting-schemedefault0ip-poolwangguan[認證和計費均為default0，表示不認證，不計費]2、CNC域，主要用作用戶下載寬帶撥號程序使用，除了下載頁面，該域中的用戶不允許方問起他地址。配置范例如下：domaincncauthentication-schemelocalaccounting-schemedefault0user-grouphelpip-poolhelp3、IPTV域，該域用作IPTV用戶訪問相關服務器使用，該域中的用戶不得訪問其他地址。配置范例如下：domainiptv.haauthentication-schemeradiusaccounting-schemeradiusip-pooliptv2.4.3RADIUS狀態(tài)查看狀態(tài)查看在用戶模式或者系統(tǒng)模式下進行?！锓掌鳡顟B(tài)查看<YiTuo-ME60>displayradius-serverconfigurationRADIUSsourceinterface:LoopBack0RADIUSnoresponsepacketcount:10RADIUSautorecovertime(Min):3---------------------------------------------------------Server-group-name:dialAuthentication-server:IP:40Port:1645Weight[0][UP]Vpn:-share-key:henancncAccounting-server:IP:40Port:1646Weight[0][UP]Vpn:-share-key:henancncProtocol-version:radiusShared-secret-key:henancncRetransmission:3Timeout-interval(s):5Acct-Stop-PacketResend:NOAcct-Stop-PacketResend-Times:0---------------------------------------------------------Total1,1printed★查看用戶狀態(tài)信息1、查看所有用戶概況<YiTuo-ME60>displayaccess-user-------------------------