2023年網通城域網華為MEBRA6s設備配置規(guī)范

河南網通城域網華為ME60BRAS設備配置規(guī)范

華為技術有限公司

二00八年6月

1、系統(tǒng)簡介.....................................................................4

1.1河南網通寬帶城域網建設概況............................................4

1.2河南網通華為ME60系統(tǒng)組網方式.........................................4

1.2.1網絡概述...........................................................4

1.2.1組網方式...........................................................5

1.3VLAN規(guī)劃原貝?。?.......................................................6

1.4IP地址規(guī)劃原則........................................................7

2、BAS配置規(guī)范（ME60）.........................................................7

2.1設備基本配置............................................................7

2.1.1設置主機名.......................................................7

2.1.2時區(qū)和時鐘校準....................................................8

2.1.3配置管理員及其密碼................................................8

2.1.4啟用服務.........................................................8

2.1.5對管理員地址范圍進行限定..........................................8

2.1.6timeout時間設置..................................................9

2.1.7ACL配置范例.....................................................9

2.1.8用戶域基本配置.................................................12

2.1.9安全基本配置...................................................13

2.1.10設備配置保存...................................................14

2.2設備接口配置..........................................................14

2.2.1網絡側接口配置...................................................14

2.2.2loopback接口配置及描述............................................15

2.2.3地址池的配置.....................................................20

2.2.4VLAN及QINQ接口配置...........................................21

2.3路由協議配置.........................................................22

2.3.1OSPF協議配置....................................................22

2.4RADIUS配置............................................................29

2.4.1本次項目中RADIUS配置參數.......................................30

2.4.2RADIUS配置范例及注釋............................................30

2.4.3RADIUS狀態(tài)查看...............................................32

2.4.4RADIUS故障排除方法..........................................36

2.5QOS帶寬管理.........................................................36

2.5.1兩類QOS配置....................................................36

2.5.2配置設備接收RADIUS服務器策略配置.............................37

2.5.3ME60本機QOS策略配置.....................................37

2.6PPPOE配置...........................................................39

2.6.1概述...........................................................39

2.6.2PPP0E相關配置.................................................40

2.7用戶認證域選擇.........................................................41

2.8反向路由檢測..........................................................42

ME60所支持的URPF...................................................42

2.9DHCPRELAY配置........................................................43

2.10IP綜合網管設備配置要求................................................44

2.10.1訪問控制列表設置（用于限制遠程登錄和SNMP采集的訪問地址）......44

2.10.2TELNET用戶名和密碼..........................................45

2.10.3SNMP配置.....................................................45

2.10.4SYSLOG配置....................................................45

3、ME60承載業(yè)務及配置規(guī)范...................................................47

3.1承載業(yè)務類型...........................................................47

3.2普通PPPOE上網業(yè)務.................................................47

3.2.1業(yè)務概述.........................................................47

3.2.2ME60配置規(guī)范..................................................47

3.2.3帳號管理規(guī)范...................................................52

3.3校園網卡類業(yè)務........................................................53

3.3.1業(yè)務概述.........................................................53

3.3.2配置規(guī)范.......................................................53

3.3.3賬號管理說明....................................................53

3.4VPDN業(yè)務............................................................54

3.4.1業(yè)務概述.........................................................54

3.4.2ME60配置規(guī)范..................................................54

3.4.3賬號管理說明.....................................................54

3.4.4VPDN業(yè)務介紹................................................55

3.5機頂盒業(yè)務配置........................................................58

3.5.1業(yè)務概述.........................................................58

3.5.2延用DHCP方式.................................................58

3.5.3采用PPPOE方式.................................................58

3.6專線用戶配置..........................................................62

3.6.1通過subscriber方式定義靜態(tài)IP用戶............................62

3.6.2通過leasedline方式定義靜態(tài)IP用戶...........................63

3.7BGP/MPLSVPN配置范例...............................................64

3.7.1概述............................................................64

3.7.2MPLSVPN業(yè)務命名規(guī)范.........................................64

3.7.3PE(ME60)配置范例.............................................65

3.8VPLS業(yè)務配置..........................................................69

3.8.1VPLS簡介........................................................69

3.8.2VPLS配置范例....................................................71

1、系統(tǒng)簡介

1.1河南網通寬帶城域網建設概況

本期城域網建設在保持原有城域網改造的目標功能、目標結構和目標性能不

變的基礎上，持續(xù)提升寬帶接入能力，繼續(xù)推進二層網絡扁平化，提升網絡可靠

性，以此逐步向功能完善、結構合理、性能優(yōu)良的目標網演進。

提升業(yè)務支持能力：根據各類IP業(yè)務發(fā)展需求及流量流向特性，對城域網

內的設備進行容量增加和端口擴容，提供充足的業(yè)務接入能力及中繼鏈路端口。

二層網絡扁平化舉措：在進行擴容的同時在有條件的地市考慮繼續(xù)縮減匯聚

交換機的級聯層數，進一步扁平化二層匯聚網絡；同時具備條件的地市可根據業(yè)

務發(fā)展需求結合設備性能考慮SR/BRAS適度下移。

網絡質量差異化：逐步部署MPLS技術和Diffserv機制，為不同用戶和不同

業(yè)務提供不同QOS等級的服務。在業(yè)務集中區(qū)域逐步設立輕載的大客戶專用接入

設備，減少普通客戶流量對大客戶業(yè)務質量的干擾。

管理控制集中化智能化：用寬帶接入服務器(BRAS)、業(yè)務路由器(SR)構

建獨立清晰的IP城域網接入層，實現業(yè)務集中調度、監(jiān)測和控制；規(guī)范設備的

網管接口要求，加強集中網管系統(tǒng)的建設，提高網絡的可管理性，逐步實現對網

絡性能的實時監(jiān)控管理，提供基于時間、流量、質量等指標的多樣化組合計費能

力。

1.2河南網通華為ME60系統(tǒng)組網方式

1.2.1網絡概述

根據目前網絡和業(yè)務開通方式等現狀，本期工程在每個縣局節(jié)點及部分市區(qū)節(jié)點放置一

臺ME60-8BRAS設備，共計123臺。

在市區(qū)，ME60雙上行至地市2臺GSR設備，同時與地市新建SR通過端口聚合進行連接，

負責終結SR設備透傳過來的二層報文。

在縣局，網絡通過布置大二層匯聚交換機來實現業(yè)務分流,ME60雙上行至地市核心GSR

設備，下行方向連接縣局大二層匯聚交換機，負責終結縣局匯聚交換機透傳上來的二層報文。

1.2.1組網方式

方式一、市區(qū)組網方式

GSRGSR

本局SR

ME60采用雙上行GE鏈路上行至地市GSR,啟用OSPF以及BGP路由協議；同時與本局SR通過

以太端口聚合聚合2個GE接口互連，該邏輯端口啟用OSPF協議。其中，與GSR的端口作為主用

上行路由，到本局SR設備的端口作為備用上行鏈路，同時該GE兼作本局用戶業(yè)務的二層下

聯接口，終結用戶VLAN或靈活QinQVLAN。

方式二、縣局組網方式

GSRGSR

BRAS

縣級匯聚交換機

在縣局，ME60雙上行至地市核心GSR路由器，上行開啟三層接口，啟用OSPF以及BGP

協議；同時，與本局匯聚交換機通過GE口連接，該接口用來終結縣級匯聚交換機透傳上來

的單層VLAN以及QINQVLANo

除了掛接用戶業(yè)務以外，本期項目中黨建、CDN等服務器業(yè)務也需要割接到新建BRAS

±?

1.3VLAN規(guī)劃原貝！|

1.遵循管理VLAN與用戶VLAN分開、一用戶一VLAN的原則。

2.對于直連一級匯聚層交換機的市區(qū)接入設備，要求采用VLANStacking模式，做到每個用

戶一個VLAN。接入設備的外層VLAN使用原匯聚層交換機中預留的VLAN。

3.對于下掛在和BAS有直連鏈路的縣局節(jié)點下的接入設備，也要求采用VLANStacking模

式。

4.對于下掛在二級匯聚交換機以下的接入設備（如支局），不建議采用VLANStacking模式，

可采用一個DSLAM分配“一個用戶VLAN+一個管理VLAN”的方式；對于LAN方式，ZAN和BAN

的管理VLAN使用同一VLAN,每個BAN采用不同用戶VLAN；

5.對于采用PPPOE與DHCP+并行模式的接入層設備，不采用VLANStacking模式，應遵循不同

認證方式用戶分配不同VLAN的原則進行VLAN規(guī)劃。通過相連的各級交換機將新增VLAN透

傳至BAS。設備管理VLAN則延用原模式。

1.4IP地址規(guī)劃原則

本著連續(xù)分配、節(jié)約資源、便于管理的原則進行規(guī)劃。

1.普通撥號用戶IP地址規(guī)劃

PPPOE撥號用戶的IP地址均直接由BAS通過地址池動態(tài)分配，每臺BAS暫時分配4個C類

地址。

2.專線用戶IP地址規(guī)劃

每個專線用戶一個VLAN,每臺BAS分配一個C類地址，用戶地址可以連續(xù)分配。

3.設備管理IP地址規(guī)劃

每臺BAS下掛的接入層設備管理地址為一個C類地址，可進行連續(xù)分配。

4.BAS設備管理Qoopback地址等）和互聯地址由省公司統(tǒng)一規(guī)劃分配。

5.每臺BAS目前預留兩個C類地址備用。

2、BAS配置規(guī)范（ME60）

該部分所介紹的配置是現網設備配置的說明和解釋，以及部分配置規(guī)范；具體命令的格

式及說明請參考ME60設備配置手冊。

2.1設備基本配置

設備的基本配置包括主機名稱、時鐘、用戶管理設置等。

2.1.1設置主機名

主機名命名規(guī)則:

邈網絡層次描述-市名縮寫-所轄區(qū)/縣名、節(jié)點及機房描述-設備型號-序號

英文字符符號英文字符符號英文字符符號字母/數字序列符號數字

（主字段）（連接符）（主字段）（連接符）（主字段）（連接符）（主字段）健校符）

省網骨干核心層:PB全省各市的簡稱:轄區(qū)/縣+節(jié)點/機房中文名第一個字由廠商名及數用來標識同

省網骨干匯聚層:PCZZLYXXAYNY母的縮寫字序列組成，個節(jié)點的相

字

段

省網接入層:PAJZPDSXCSQXY例一:中原路機房縮寫為:ZYL示例:型號設備的

說

明

城域網業(yè)務控制層:MSKFPYI1BSMXZK例二:新密縣老局機房縮寫為:XMLJC12416號。范圍從

城域網匯聚層:MCJYLHZMDHW8850001-999

城域網接入層:MAZTE10600

【示例】MC-ZZ-KFQ-C6509-001鄭州城域網匯聚層開發(fā)區(qū)思科6509設備

MA-ZZ-XZ.BQ.LD-HW5100-001新鄭市八千鄉(xiāng)劉店接入點華為5100設備

對于華為本期項目上的NE40E及ME60,屬于城域網業(yè)務控制層，按照規(guī)范描述

網絡層次為MS,例如，洛陽道北節(jié)點ME60命名如下：

MS-LY-DB-HW60-001

2.1.2時區(qū)和時鐘校準

配置時鐘命令如下：

clockdatetimeHH:MM:SSYYYY-MM-DD

配置時區(qū)命令如下：

clocktimezonetime-zone-name{add|minus}offset

例如，設置中國區(qū)時鐘：

clocktimezonebeijingadd8

2.1.3配置管理員及其密碼

步驟1執(zhí)行命令system?view,進入系統(tǒng)視圖。

步驟2執(zhí)行命令locaLaaa-server,進入本地AAA視圖。

步驟3執(zhí)行命令user“sesame{password{simplesimple-password\cipher

cipher-password}|authentication-typetype-mask\block||levellevel|callback-nocheck|

callback-numbercallback-number\idle-cut|qos-pro}*,增加操作用戶。

例如，增加一個名字為HUAWEI的用戶，配置如下：

local-aaa-server

userHUAWEIpasswordcipherHuaweilevel3

級別3為超級用戶權限，可以根據需要將用戶設置為0-3的任何級別。

2.1.4啟用服務

ME60啟用網絡服務命令如下：

enable

sshserverenable

2.1.5對管理員地址范圍進行限定

定義訪問控制列表：

Acl2000

rule5permitipsource10.1.1,1255.255.255,255

rule10permitipsource55

rule15permitipsource55

進入USER-INTERFACE

User-interfacevty04

Acl2000in

2.1.6timeout時間設置

空閑過時設置

User-interfacevty04

Idle-timeout5

當telnet會話在5分鐘內沒有輸入時timeout退出

2.1.7ACL配置范例

Acl2000至2999為基本ACL,只能夠定義源地址；3000-3999為擴展ACL,能夠依照五元組進

行定義

1、配置管理ACL范例：

Acl3000

rule5permitipsource218.29.255.00.0.0.255any〃省網管；

rule10permitipsource123.234.255.1260.0.0.0destinationany//BAS(SE800)

網管服務器地址；

rule15permitipsourcehost221.13.223.140destinationany//RADIUS服務器地

址；

rule20permitipsource218.29.0.1280.0.0.31destinationany//鄭州分公司一1；

rule25permitipsource218.29.221.10.0.0.127destinationany//鄭州分公司-2；

rule30denytcpsourceanydestinationanyeqtelnet

rule35denytcpsourceanydestinationanyeqssh

rule40denytcpsourceanydestinationanyeqftp

rule45denytcpsourceanydestinationanyeq

rule50denyudpsourceanydestinationanyeqtftp

rule55denyudpsourceanydestinationanyeqsnmp

rule60denyudpsourceanydestinationanyeqsnmptrap

rule65permitipanyany

進入telnet用戶接口

User-interfacevty04

Acl3000in

2、配置普通ACL并應用范例

aclnumber3001

rule5permitip

#

aclnumber6000match-orderauto

rule5denytcpdestination-porteq135

rule10denytcpdestination-porteq136

rule15denytcpdestination-porteq137

rule20denytcpdestination-porteq138

rule25denytcpdestination-porteq139

rule30denytcpdestination-porteq445

rule35denytcpdestination-porteq4444

rule40denyudpdestination-porteq445

rule45denyudpdestination-porteqnetbios-ssn

rule50denyudpdestination-porteqnetbios-dgm

rule55denyudpdestination-porteq135

rule60denyudpdestination-porteqnetbios-ns

rule65denytcpdestination-porteq2745

rule70denytcpdestination-porteq3127

rule75denytcpdestination-porteq593

rule80denytcpdestination-porteq6129

rule85denyudpdestination-porteq1434

rule90denyipsourceuser-grouphelpdestinationip-addressany

rule95denyipsourceuser-groupiptvdestinationip-addressany

[ACL6000是一個用戶ACL,前面定義了防病毒部分，最后兩條定義了HELP以及IPTV

里面的用戶不能訪問任何地址]

#

aclnumber6001

rule5permitipsourceuser-groupiptvdestinationip-address

55

rule10permitipsourceuser-groupiptvdestinationip-address

55

rule15permitipsourceuser-groupiptvdestinationip-address

0.0.3,255

rule20permitipsourceuser-groupiptvdestinationip-address

55

rule25permitipsourceuser-groupiptvdestinationip-address

55

rule30permitipsourceuser-groupiptvdestinationip-address

55

rule35permitipsourceuser-groupiptvdestinationip-address

80

rule40permitipsourceuser-groupiptvdestinationip-address

80

［定義了IPTV用戶組里的用戶可以訪問的地址］

#

aclnumber6002match-orderauto

rule5permitipsourceuser-grouphelpdestinationip-address520

rule10permitipsourceuser-grouphelpdestinationip-address

80

rule15permitipsourceuser-grouphelpdestinationip-address

80

［定義了HELP用戶組里的川戶可以訪問的地址］

#

trafficclassifierlimitoperatoror

if-matchacl6000

trafficclassifieractionoperatoror

if-matchacl6002

if-matchacl6001

［定義了3個流量分類，分別匹配3個ACL,會和后面的流量動作配置組成策略.這部分與

思科設備通過配置ROUTE-MAP定義策略路由很類似］

#

trafficbehaviorlimit

deny

trafficbehavioraction

［定義流量動作，后面定義策略的時候與流量分類相關聯］

#

trafficpolicylimit

classifieractionbehavioraction

classifierlimitbehaviorlimit

［定義流量策略，第一條名為ACTION的分類中匹配到的報文，執(zhí)行名為ACTION的流量

動作中所定義的動作，就是允許，第二條行為類似，但動作是拒絕。需要注意，兩條策略的

順序不能反，否則所有流量都會被拒絕］

traffic-policylimitinbound

traffic-policylimitoutbound

［由于上述策略都是針對用戶側的用戶定義的，所以需要在全局下下發(fā)］

如果流量策略需要在網絡側端口下發(fā)，只需要在相應端口下飲用traffic-policy即可。

2.1.8用戶域基本配置

1、定義用戶域

domaindial

authentication-schemeradius

［該域川名稱為RADIUS的SCHEME來進行認證］

accounting-schemeradius

service-typehsi

［將該域的模式配置成HIS模式，PPPOE的域都要配置成該模式］

radius-servergroupdial

［指定使用的RADIUS服務器組］

ip-pooldial

［指定該域使用的地址池］

qosprofile2m

［指定該域使用的QOS模板］

2、定義地址池

ippooldiallocal

gateway

section054

excluded-ip-address

conflict-ip-address87

dns-server8

dns-server8secondary

［定義地址池，包括網關，可分配地址范圍，不能被分配的地址以及DNS等參數，地址池

會被后面的域所引用，以給用戶分配地址］

一個用戶域下可以定義多個地支持，當一個用完時系統(tǒng)可以選擇分配另外一個地支持中的地

址。

3、QOS模板定義

首先定義調度模板

scheduler-profile2m

carcir2048pir2050cbs256000pbs256250upstream

gtscir2048pir2050queue-length65536

定義QOS模板，在其中引用調度模板

qos-profile2m

scheduler-profile2m

在用戶域下引用QOS模板

domaindial

qosprofile2m

2.1.9安全基本配置

1、定義防病毒訪問控制列表

aclnumber6000match-orderauto

rule5denytcpdestination-porteq135

rule10denytcpdestination-porteq136

rule15denytcpdestination-porteq137

rule20denytcpdestination-porteq138

rule25denytcpdestination-porteq139

rule30denytcpdestination-porteq445

rule35denytcpdestination-porteq4444

rule40denyudpdestination-porteq445

rule45denyudpdestination-porteqnetbios-ssn

rule50denyudpdestination-porteqnetbios-dgm

rule55denyudpdestination-porteq135

rule60denyudpdestination-porteqnetbios-ns

rule65denytcpdestination-porteq2745

rule70denytcpdestination-porteq3127

rule75denytcpdestination-porteq593

rule80denytcpdestination-porteq6129

rule85denyudpdestination-porteq1434

rule90permitany

2、定義流分類

trafficclassifierlimitoperatoror

if-matchacl6000

3、定義流動作

trafficbehaviorlimit

deny

4、定義流策略

trafficpolicylimit

classifierlimitbehaviorlimit

5、全局下發(fā)針對用戶側的策略

traffic-policylimitinbound

traffic-policylimitoutbound

2.1.10設備配置保存

執(zhí)行SAVE命令，配置將缺省保存在設備CFCARD中。

2.2設備接口配置

2.2.1網絡側接口配置

1、ME60將沒有直接掛接用戶的三層稱之為網絡側端口，典型的就是連接GSR設備的三

層端口。該端口為普通的三層路由端口。對于這種類型的端口配置，與普通路由器三層端口

相同。

對于網絡側端口的配置在系統(tǒng)模式下進行：

interfaceGigabitEthernetl/0/O

mtu1524

［配置端口MTU值］

descriptionTo-［LY-XiGong-GSR］G1/0/4

［對于該端口的描述to-［對端設備型號卜端口號］

ipaddress7852

［設置端口IP地址］

mpls

mplsIdp

［端口下啟用MPLS］

通過使用displayinterface命令可以查看端口狀態(tài)（UP、down）,端口類型及端口

報文計數等信息。

2、端口描述規(guī)范

互聯中繼命名規(guī)范：

字段名稱本端設備名稱0TO對端設備名稱0?電路類型?電路條目

字母符符號符號

字段類型字母'符號序列括號字母'符號序列括號數字'字母數字

號（冒號）（冒號）

括號內標括號內標

標注該鏈路的型號。如：

符合設備命名規(guī)注本端電符合設備命名規(guī)注對端電第幾條電

字段說明FEJ55MATMJ55MpOS,GEJ

范的設備名稱路接入端范的設備名稱路接入端路

0GE,2.5CH)S,10(M)S

口口

【端口簡寫】括號內端口信息采用簡寫

F:FEG:GE/10GEA:ATMP:POS

設備端口上描述建議采用T0_PC-ZZ-ZYL-CRS-001（G0/2）:GE:1:電路代號

用戶電路命名規(guī)范：

字段名稱本端設備名稱0_T0_用戶名稱:電路帶寬*電路類型*電路條目

符號符號符號

字段類型字母'符號序列括號字母符號字母'符號序列數字俘母數字'字母數字

（冒號）（冒號）（冒號）

標注該徒路的型號。

標注該用戶

符合設備命名括號內標注如：

接入的實際第幾條電

字段說明規(guī)范的設備名本端電路接用戶名稱全拼FEJ55MATMJ55MP

帶寬.例路

稱入端口OSJGEJOGE25Gp

如：10M

OSJOGPOS

【端口簡寫】括號內端口信息采用簡寫

F:FEG:GE/10GEA:ATMP:POS

注:設備端口上描述建議采用T0_ZZGONGSHANGJU:10M:FE:1:電路代號

例如，洛陽西工NE40E連接西工NE80E的描述：

Intgl/O/O

DesT0_PC-LY-XG-NE80E-001(GO/2):GE:1

2.2.2loopback接口配置及描述

Loopback接口的配置在系統(tǒng)模式下進行。按照本期規(guī)劃，每臺設備需要配置2個loopback

地址，范例如下：

interfaceLoopBackO

ipaddress1055

［這個地址用來和RR建立IPV4BGP鄰居］

#

interfaceLoopBacklO

ipaddress1155

[這個地址用來和RR建立VPNV4BGP鄰居]

3.2.3用戶側接口配置

當某個接口用于接入寬帶用戶時，該接口即為用戶側接口，需要將該接口配置為BAS接口，

并配置用戶的接入類型和其他相關屬性。

要完成配置BAS接口的任務，需要執(zhí)行如下的配置過程。

1創(chuàng)建BAS接口

請在ME60上進行以下配置。

步驟1執(zhí)行命令system-view,進入系統(tǒng)視圖。

步驟2執(zhí)行命令interface進入接口視圖。

步驟3執(zhí)行命令bas,創(chuàng)建BAS接口。

2配置用戶接入類型

執(zhí)行命令bas,進入BAS接口視圖。

執(zhí)行命令access-typelayer2-subscriber[bas-interface-namename\default-domain

{pre-authenticationdomain-name\authentication[force|replace]domain-name}*|

accounting-copyradius-serverradius-name]*，配置二層普通用戶接入類型。

或執(zhí)行命令access-typelayer2-leased-lineuser-nameusernamepassword

[bas-interface-namename\default-domainauthenticationdomain-name\

accounting-copyradius-serverradius-name\nas-port-typetype]*,配置二層專線用戶接入類

型。

或執(zhí)行命令access-typelayer3-leased-lineuser-nameusernamepassword

[bas-interface-namename\default-domainauthenticationdomain-name\

accounting-copyradius-serverradius-name|nas-port-typetype]*，配置三層專線用戶接入類

型。

在設置BAS接口的用戶接入類型時，還可以一起設置和該種用戶類型相關的業(yè)務屬性，這

些屬性也可以在后續(xù)的配置中逐項配置。

對于己經被Eth-Trunk接口包含的以太網接口，不能配置其用戶接入類型，而只能配置

相應的Eth-Trunk接口。

有用戶在線時，只有當用戶類型是專線用戶時;可以在線修改BAS接口的用戶接入類

型，其他情況不能修改。

當用戶類型配置為專線用戶后，ME60立即對該專線用戶進行認證。

□當接口下配置有IP地址時，只能將用戶接入類型設置為三層專線用戶。

□如果BAS接口為GE或Eth-Trunk子接口，當需要將用戶接入類型設置為三層專線用戶

時，首

先必須在子接口下配置一個用戶側VLAN（且只能配置一個）。

3配置用戶認證方法

請在ME60上進行以下配置。

步驟1執(zhí)行命令system-view,進入系統(tǒng)視圖。

步驟2執(zhí)行命令interface進入接口視圖。

步驟3執(zhí)行命令bas,進入BAS接口視圖。

步驟4執(zhí)行命令authentication-method{{ppp|dotlx|{web|fast}}*|bind},配置用戶

認證方法。

----結束

只有接入用戶類型為二層用戶的BAS接口可以設置其認證方法。各種認證方法可以組合使

用，但有以下的約束關系：

□Web認證和快速認證互斥；

□綁定認證和其他認證方式都互斥。

缺省情況下，BAS接口的認證方法為PPP

4設置用戶數限制（可選）

請在ME60上進行以下配置。

步驟1執(zhí)行命令system-view,進入系統(tǒng)視圖。

5配置BRAS接入

QuidwayME60

配置指南-BRAS業(yè)務

5-20華為技術有限公司文檔版本03（2008-02-01）

步驟2執(zhí)行命令interface加fe加ce-（ype進入接口視圖。

步驟3執(zhí)行命令bas,進入BAS接口視圖。

步驟4執(zhí)行命令access-limit〃〃"?如廣，設置接口級用戶數限制。

或執(zhí)（彳亍命令access?limituser-number[start-vlanstart-vlan[end-vlanend-vlan]

[qinqqinq-vlan]],設置VLAN級用戶數限制。

?一結束

缺省情況下，BAS接口未設置用戶數限制。

5指定域（可選）

請在ME60上進行以下配置。

步驟1執(zhí)行命令system-view,進入系統(tǒng)視圖。

步驟2執(zhí)行命令interfaceinle?ce-typeimerface-number,進入接口視圖。

步驟3執(zhí)行命令bas,進入BAS接口視圖。

步驟4執(zhí)行命令default?domainpre?authenticationdona力-〃〃相e,指定認證前缺省域。

或執(zhí)行命令default。domainauthentication[force|replace]domain-name,指定認證缺省域。

如果用戶認證時未輸入域名，ME60默認其屬于認證缺省域。設置認證缺省域可指定force

和replace參數。

□force參數表示不管用戶認證時所帶域名是什么，都強制轉換到所設置的認證缺省域，

使用該域的策略進行認證和授權，但用戶名中的域名不發(fā)生改變。

□replace參數表示強制轉換到所設置的認證缺省域，同時用戶名中的域名也發(fā)生變化，

強制替換成設置的認證缺省域名。

缺省情況下，BAS接口的認證缺省域為default1。

6配置BAS接口附加功能（可選）

請在ME60上進行以下配置。

步驟1執(zhí)行命令system-view,進入系統(tǒng)視圖。

步驟2執(zhí)行命令interfaceinierface-typeinterface-number,進入接口視圖。

步驟3執(zhí)行命令bas,進入BAS接口視圖。

步驟4執(zhí)行命令arp?proxy,啟用ARP代理功能。

或執(zhí)行命令dhcp?broadcast,啟用DHCP廣播功能。

或執(zhí)行命令accounting-copyradius-serverradius-name,啟IB計費報文抄送功能。

或執(zhí)行命令ip?trigger,啟用IP報文觸發(fā)上線功能。

或執(zhí)行命令arp?trigger,啟用ARP報文觸發(fā)上線功能。

或執(zhí)行命令multicastcopyby-session,啟用按用戶復制組播報文功能。

或執(zhí)行命令dotlxauthenticationtrigger,啟用802.IX認證觸發(fā)功能。

--結束

ARP代理功能

ARP代理功能用于同一BAS接口下的用戶互訪，因為在ME60同一接口下的用戶按

VLAN/PVC嚴格隔離，要實現用戶互訪必須打開BAS接口的ARP代理開關。

只有在BAS接口的接入用戶類型設置為二層用戶和二層專線用戶的情況下，才可以配置

BAS接口的ARP代理功能。

ARP代理的開關只對相同BAS接口的ARP報文進行控制，其他的情況ARP代理的開關都

是打開的，無法關閉。

缺省情況下，同一BAS接口相同VLAN/PVC下的ARP代理功能關閉。

DHCP廣播功能

通常情況下，BAS接口的DHCP報文是采用單播方式向用戶進行發(fā)送的，但是在某些特

殊情況下可能需要對DHCP報文進行廣播，此時需要打開BAS接口的DHCP廣播開關。

缺省情況下，BAS接口的DHCP廣播功能關閉。

計費報文抄送功能

計費報文抄送是指在計費過程中，將計費信息同步發(fā)送給兩臺RADIUS服務器，并分別等

待回應的功能。

計費報文抄送功能主要在需要多處保存原始計費信息的場合使用（如多運營商共同組網）。

在這種情況下，計費報文需要同步發(fā)送給兩臺RADIUS服務器，在后續(xù)的結算中作為原始

計費信息。

缺省情況下，BAS接口的計費報文抄送功能關閉。

IP報文觸發(fā)上線功能

1P報文觸發(fā)上線功能是指靜態(tài)用戶通過發(fā)送IP報文觸發(fā)認證過程的功能。

缺省情況下，BAS接口的IP報文觸發(fā)上線功能關閉。

ARP報文觸發(fā)上線功能

ARP報文觸發(fā)上線功能是指用戶通過發(fā)送ARP報文觸發(fā)認證過程的功能。

缺省情況下，BAS接口的ARP報文觸發(fā)上線功能關閉。

按用戶復制組播報文功能

通常情況下,ME60收到某個組播組的組播報文后，只會向每個物理端口復制一份組播報文,

二層設備再將組播報文復制給該組播組的每個用戶。

如果二層設備不具備IGMPSnooping功能，無法識別組播組用戶，則需要在ME60的接口

上啟用按用戶進行組播復制的功能，由ME60直接將組播報文復制給用戶。

缺省情況下，BAS接口的按用戶復制組播報文功能關閉。

802.IX認證觸發(fā)功能

802.IX認證觸發(fā)功能是指ME60探測到802.1X用戶上線后，主動向用戶發(fā)起認證請求

的功能。

缺省情況下，BAS接口的802.1X認證觸發(fā)功能關閉。

下面的配置范例為PPP0E接入的用戶側端口配置：

interfaceGigabitEthernetl/0/3.805

pppoe-serverbindVirtual-Template1

［綁定PPP模板，確定該端口使用PPPOE］

mtu1524

descriptionTo-NanShan-HW-MA5300-User

user-vlan2561000QinQ805

［這個命令就是終結正常的PPPOE撥號用戶報文，內層標簽是256-1000,外層標簽是805］

bas

access-typeIayer2-subscriberdefault-domainauthenticationdial

［BAS下的這條命令把PPPOE用戶作為二層撥號用戶，缺省的認證域為DIAL域，使用該

域中的認證方法、QOS模板等定義的參數］

2.2.3地址池的配置

地址將會被用戶域引用，用來為用戶分配IP地址，并向撥號用戶提供網關、DNS等參數。

地址池可以配置多個，ME60會自動循環(huán)向后使用。配置范例如下：

ippooldiallocal

gateway

section054

excluded-ip-address

conflict-ip-address87

dns-server8

dns-server8secondary

［定義地址池，包括網關，可分配地址范圍，不能被分配的地址以及DNS等參數，地址池

會被后面的域所引用，以給用戶分配地址］

2.2.4VLAN及QINQ接口配置

配置VLAN和QinQVLAN需要進入相應端口配置模式下進行，大致分為如下幾類：

1、普通固定IP業(yè)務VLAN配置及綁定

interfaceGigabitEthernetl/0/3.100

descriptionTo-NanShan-S6503

user-vlan100

［這條命令指名該端口終結帶100這個單層標簽的報文］

bas

access-typeIayer2-subscriberdefault-domainauthenticationwangguan

authentication-methodbind

［該端口下面是網管下掛的S6503交換機。ME60把它當作一個靜態(tài)