華為設備配置規(guī)范

河南網(wǎng)通城域網(wǎng)華為ME60BRAS設備配置規(guī)范華為技術有限公司6月

1、系統(tǒng)簡介 41.1河南網(wǎng)通寬帶城域網(wǎng)建設概況 41.2河南網(wǎng)通華為ME60系統(tǒng)組網(wǎng)方式 41.2.1網(wǎng)絡概述 41.2.1組網(wǎng)方式 51.3VLAN規(guī)劃原則 61.4IP地址規(guī)劃原則 72、BAS配置規(guī)范（ME60） 72.1設備基本配置 72.1.1設立主機名 72.1.2時區(qū)和時鐘校準 82.1.3配置管理員及其密碼 82.1.4啟用服務 82.1.5對管理員地址范圍進行限定 92.1.6timeout時間設立 92.1.7ACL配置范例 92.1.8用戶域基本配置 122.1.9安全基本配置 132.1.10設備配置保存 142.2設備接口配置 142.2.1網(wǎng)絡側接口配置 142.2.2loopback接口配置及描述 162.2.3地址池的配置 212.2.4VLAN及QINQ接口配置 212.3路由協(xié)議配置 232.3.1OSPF協(xié)議配置 232.4RADIUS配置 292.4.1本次項目中RADIUS配置參數(shù) 312.4.2RADIUS配置范例及注釋 312.4.3RADIUS狀態(tài)查看 332.4.4RADIUS故障排除方法 372.5QOS帶寬管理 372.5.1兩類QOS配置 372.5.2配置設備接受RADIUS服務器策略配置 382.5.3ME60本機QOS策略配置 382.6PPPOE配置 402.6.1概述 402.6.2PPPOE相關配置 412.7用戶認證域選擇 432.8反向路由檢測 43ME60所支持的URPF 432.9DHCPRELAY配置 442.10IP綜合網(wǎng)管設備配置規(guī)定 462.10.1訪問控制列表設立(用于限制遠程登錄和SNMP采集的訪問地址) 462.10.2TELNET用戶名和密碼 462.10.3SNMP配置 462.10.4SYSLOG配置 473、ME60承載業(yè)務及配置規(guī)范 483.1承載業(yè)務類型 483.2普通PPPOE上網(wǎng)業(yè)務 483.2.1業(yè)務概述 483.2.2ME60配置規(guī)范 483.2.3帳號管理規(guī)范 533.3校園網(wǎng)卡類業(yè)務 543.3.1業(yè)務概述 543.3.2配置規(guī)范 543.3.3賬號管理說明 543.4VPDN業(yè)務 553.4.1業(yè)務概述 553.4.2ME60配置規(guī)范 553.4.3賬號管理說明 563.4.4VPDN業(yè)務介紹 563.5機頂盒業(yè)務配置 593.5.1業(yè)務概述 593.5.2延用DHCP方式 603.5.3采用PPPOE方式 603.6專線用戶配置 643.6.1通過subscriber方式定義靜態(tài)IP用戶 643.6.2通過leasedline方式定義靜態(tài)IP用戶 653.7BGP/MPLSVPN配置范例 653.7.1概述 653.7.2MPLSVPN業(yè)務命名規(guī)范 663.7.3PE（ME60）配置范例 673.8VPLS業(yè)務配置 713.8.1VPLS簡介 713.8.2VPLS配置范例 74

1、系統(tǒng)簡介1.1河南網(wǎng)通寬帶城域網(wǎng)建設概況本期城域網(wǎng)建設在保持原有城域網(wǎng)改造的目的功能、目的結構和目的性能不變的基礎上，連續(xù)提高寬帶接入能力，繼續(xù)推動二層網(wǎng)絡扁平化，提高網(wǎng)絡可靠性，以此逐步向功能完善、結構合理、性能優(yōu)良的目的網(wǎng)演進。提高業(yè)務支持能力：根據(jù)各類IP業(yè)務發(fā)展需求及流量流向特性，對城域網(wǎng)內(nèi)的設備進行容量增長和端口擴容，提供充足的業(yè)務接入能力及中繼鏈路端口。二層網(wǎng)絡扁平化舉措：在進行擴容的同時在有條件的地市考慮繼續(xù)縮減匯聚互換機的級聯(lián)層數(shù)，進一步扁平化二層匯聚網(wǎng)絡；同時具有條件的地市可根據(jù)業(yè)務發(fā)展需求結合設備性能考慮SR/BRAS適度下移。網(wǎng)絡質量差異化：逐步部署MPLS技術和Diffserv機制，為不同用戶和不同業(yè)務提供不同QOS等級的服務。在業(yè)務集中區(qū)域逐步設立輕載的大客戶專用接入設備，減少普通客戶流量對大客戶業(yè)務質量的干擾。管理控制集中化智能化：用寬帶接入服務器（BRAS）、業(yè)務路由器（SR）構建獨立清楚的IP城域網(wǎng)接入層，實現(xiàn)業(yè)務集中調(diào)度、監(jiān)測和控制；規(guī)范設備的網(wǎng)管接口規(guī)定，加強集中網(wǎng)管系統(tǒng)的建設，提高網(wǎng)絡的可管理性，逐步實現(xiàn)對網(wǎng)絡性能的實時監(jiān)控管理，提供基于時間、流量、質量等指標的多樣化組合計費能力。1.2河南網(wǎng)通華為ME60系統(tǒng)組網(wǎng)方式1.2.1網(wǎng)絡概述根據(jù)目前網(wǎng)絡和業(yè)務開通方式等現(xiàn)狀，本期工程在每個縣局節(jié)點及部分市區(qū)節(jié)點放置一臺ME60-8BRAS設備，共計123臺。在市區(qū)，ME60雙上行至地市2臺GSR設備，同時與地市新建SR通過端口聚合進行連接，負責終結SR設備透傳過來的二層報文。在縣局，網(wǎng)絡通過布置大二層匯聚互換機來實現(xiàn)業(yè)務分流，ME60雙上行至地市核心GSR設備，下行方向連接縣局大二層匯聚互換機，負責終結縣局匯聚互換機透傳上來的二層報文。

1.2.1組網(wǎng)方式方式一、市區(qū)組網(wǎng)方式ME60采用雙上行GE鏈路上行至地市GSR，啟用OSPF以及BGP路由協(xié)議；同時與本局SR通過以太端口聚合聚合2個GE接口互連，該邏輯端口啟用OSPF協(xié)議。其中，與GSR的端口作為主用上行路由，到本局SR設備的端口作為備用上行鏈路，同時該GE兼作本局用戶業(yè)務的二層下聯(lián)接口，終結用戶VLAN或靈活QinQVLAN。方式二、縣局組網(wǎng)方式在縣局，ME60雙上行至地市核心GSR路由器，上行啟動三層接口，啟用OSPF以及BGP協(xié)議；同時，與本局匯聚互換機通過GE口連接，該接口用來終結縣級匯聚互換機透傳上來的單層VLAN以及QINQVLAN。除了掛接用戶業(yè)務以外，本期項目中黨建、CDN等服務器業(yè)務也需要割接到新建BRAS上。1.3VLAN規(guī)劃原則1.遵循管理VLAN與用戶VLAN分開、一用戶一VLAN的原則。2.對于直連一級匯聚層互換機的市區(qū)接入設備，規(guī)定采用VLANStacking模式，做到每個用戶一個VLAN。接入設備的外層VLAN使用原匯聚層互換機中預留的VLAN。3．對于下掛在和BAS有直連鏈路的縣局節(jié)點下的接入設備，也規(guī)定采用VLANStacking模式。4.對于下掛在二級匯聚互換機以下的接入設備（如支局），不建議采用VLANStacking模式，可采用一個DSLAM分派“一個用戶VLAN＋一個管理VLAN”的方式；對于LAN方式，ZAN和BAN的管理VLAN使用同一VLAN，每個BAN采用不同用戶VLAN；5.對于采用PPPOE與DHCP+并行模式的接入層設備，不采用VLANStacking模式,應遵循不同認證方式用戶分派不同VLAN的原則進行VLAN規(guī)劃。通過相連的各級互換機將新增VLAN透傳至BAS。設備管理VLAN則延用原模式。1.4IP地址規(guī)劃原則本著連續(xù)分派、節(jié)約資源、便于管理的原則進行規(guī)劃。1.普通撥號用戶IP地址規(guī)劃PPPOE撥號用戶的IP地址均直接由BAS通過地址池動態(tài)分派，每臺BAS暫時分派4個C類地址。2.專線用戶IP地址規(guī)劃每個專線用戶一個VLAN,每臺BAS分派一個C類地址，用戶地址可以連續(xù)分派。3.設備管理IP地址規(guī)劃每臺BAS下掛的接入層設備管理地址為一個Ｃ類地址，可進行連續(xù)分派。4.BAS設備管理(loopback地址等)和互聯(lián)地址由省公司統(tǒng)一規(guī)劃分派。5.每臺BAS目前預留兩個C類地址備用。2、BAS配置規(guī)范（ME60）該部分所介紹的配置是現(xiàn)網(wǎng)設備配置的說明和解釋，以及部分派置規(guī)范；具體命令的格式及說明請參考ME60設備配置手冊。2.1設備基本配置設備的基本配置涉及主機名稱、時鐘、用戶管理設立等。2.1.1設立主機名主機名命名規(guī)則：【示例】MC-ZZ-KFQ-C6509-001鄭州城域網(wǎng)匯聚層開發(fā)區(qū)思科6509設備MA-ZZ-XZ.BQ.LD-HW5100-001新鄭市八千鄉(xiāng)劉店接入點華為5100設備對于華為本期項目上的NE40E及ME60，屬于城域網(wǎng)業(yè)務控制層，按照規(guī)范描述網(wǎng)絡層次為MS，例如，洛陽道北節(jié)點ME60命名如下：MS-LY-DB-HW60-0012.1.2時區(qū)和時鐘校準配置時鐘命令如下：clockdatetimeHH:MM:SSYYYY-MM-DD配置時區(qū)命令如下：clocktimezonetime-zone-name{add|minus}offset例如，設立中國區(qū)時鐘：clocktimezonebeijingadd82.1.3配置管理員及其密碼環(huán)節(jié)1執(zhí)行命令system-view，進入系統(tǒng)視圖。環(huán)節(jié)2執(zhí)行命令local-aaa-server，進入本地AAA視圖。環(huán)節(jié)3執(zhí)行命令userusername{password{simplesimple-password|ciphercipher-password}|authentication-typetype-mask|block|ftp-directoryftp-directory|levellevel|callback-nocheck|callback-numbercallback-number|idle-cut|qos-profileqos-profile-name}*，增長操作用戶。例如，增長一個名字為HUAWEI的用戶，配置如下：local-aaa-serveruserHUAWEIpasswordcipherHuaweilevel3級別3為超級用戶權限，可以根據(jù)需要將用戶設立為0-3的任何級別。2.1.4啟用服務ME60啟用網(wǎng)絡服務命令如下：ftpserverenablesshserverenable2.1.5對管理員地址范圍進行限定定義訪問控制列表：Acl2023rule5permitipsource55rule10permitipsource55rule15permitipsource55進入USER-INTERFACEUser-interfacevty04Acl2023in2.1.6timeout時間設立空閑過時設立User-interfacevty04Idle-timeout5當telnet會話在5分鐘內(nèi)沒有輸入時timeout退出2.1.7ACLAcl2023至2999為基本ACL，只可以定義源地址；3000-3999為擴展ACL，可以依照五元組進行定義1、配置管理ACL范例：Acl3000rule5permitipsource55any//省網(wǎng)管；rule10permitipsource26destinationany//BAS（SE800）網(wǎng)管服務器地址；rule15permitipsourcehost40destinationany//RADIUS服務器地址；rule20permitipsource281destinationany//鄭州分公司-1；rule25permitipsource27destinationany//鄭州分公司-2；rule30denytcpsourceanydestinationanyeqtelnetrule35denytcpsourceanydestinationanyeqsshrule40denytcpsourceanydestinationanyeqftprule45denytcpsourceanydestinationanyeqftp-datarule50denyudpsourceanydestinationanyeqtftprule55denyudpsourceanydestinationanyeqsnmprule60denyudpsourceanydestinationanyeqsnmptraprule65permitipanyany進入telnet用戶接口User-interfacevty04Acl3000in2、配置普通ACL并應用范例aclnumber3001rule5permitip#aclnumber6000match-orderautorule5denytcpdestination-porteq135rule10denytcpdestination-porteq136rule15denytcpdestination-porteq137rule20denytcpdestination-porteq138rule25denytcpdestination-porteq139rule30denytcpdestination-porteq445rule35denytcpdestination-porteq4444rule40denyudpdestination-porteq445rule45denyudpdestination-porteqnetbios-ssnrule50denyudpdestination-porteqnetbios-dgmrule55denyudpdestination-porteq135rule60denyudpdestination-porteqnetbios-nsrule65denytcpdestination-porteq2745rule70denytcpdestination-porteq3127rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90denyipsourceuser-grouphelpdestinationip-addressanyrule95denyipsourceuser-groupiptvdestinationip-addressany[ACL6000是一個用戶ACL，前面定義了防病毒部分，最后兩條定義了HELP以及IPTV里面的用戶不能訪問任何地址]#aclnumber6001rule5permitipsourceuser-groupiptvdestinationip-address55rule10permitipsourceuser-groupiptvdestinationip-address55rule15permitipsourceuser-groupiptvdestinationip-address55rule20permitipsourceuser-groupiptvdestinationip-address55rule25permitipsourceuser-groupiptvdestinationip-address55rule30permitipsourceuser-groupiptvdestinationip-address55rule35permitipsourceuser-groupiptvdestinationip-address80rule40permitipsourceuser-groupiptvdestinationip-address80[定義了IPTV用戶組里的用戶可以訪問的地址]#aclnumber6002match-orderautorule5permitipsourceuser-grouphelpdestinationip-address520rule10permitipsourceuser-grouphelpdestinationip-address80rule15permitipsourceuser-grouphelpdestinationip-address80[定義了HELP用戶組里的用戶可以訪問的地址]#trafficclassifierlimitoperatororif-matchacl6000trafficclassifieractionoperatororif-matchacl6002if-matchacl6001[定義了3個流量分類，分別匹配3個ACL，會和后面的流量動作配置組成策略。這部分與思科設備通過配置ROUTE-MAP定義策略路由很類似]#trafficbehaviorlimitdenytrafficbehavioraction[定義流量動作，后面定義策略的時候與流量分類相關聯(lián)]#trafficpolicylimitclassifieractionbehavioractionclassifierlimitbehaviorlimit[定義流量策略，第一條名為ACTION的分類中匹配到的報文，執(zhí)行名為ACTION的流量動作中所定義的動作，就是允許，第二條行為類似，但動作是拒絕。需要注意，兩條策略的順序不能反，否則所有流量都會被拒絕]traffic-policylimitinboundtraffic-policylimitoutbound[由于上述策略都是針對用戶側的用戶定義的，所以需要在全局下下發(fā)]假如流量策略需要在網(wǎng)絡側端口下發(fā)，只需要在相應端口下飲用traffic-policy即可。2.1.8用戶域基本配置1、定義用戶域domaindialauthentication-schemeradius[該域用名稱為RADIUS的SCHEME來進行認證]accounting-schemeradiusservice-typehsi[將該域的模式配置成HIS模式，PPPOE的域都要配置成該模式]radius-servergroupdial[指定使用的RADIUS服務器組]ip-pooldial[指定該域使用的地址池]qosprofile2m[指定該域使用的QOS模板]2、定義地址池ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary[定義地址池，涉及網(wǎng)關，可分派地址范圍，不能被分派的地址以及DNS等參數(shù)，地址池會被后面的域所引用，以給用戶分派地址]一個用戶域下可以定義多個地支持，當一個用完時系統(tǒng)可以選擇分派此外一個地支持中的地址。3、QOS模板定義一方面定義調(diào)度模板scheduler-profile2mcarcir2048pir2050cbs256000pbs256250upstreamgtscir2048pir2050queue-length65536定義QOS模板，在其中引用調(diào)度模板qos-profile2mscheduler-profile2m在用戶域下引用QOS模板domaindialqosprofile2m2.1.9安全基本配置1、定義防病毒訪問控制列表aclnumber6000match-orderautorule5denytcpdestination-porteq135rule10denytcpdestination-porteq136rule15denytcpdestination-porteq137rule20denytcpdestination-porteq138rule25denytcpdestination-porteq139rule30denytcpdestination-porteq445rule35denytcpdestination-porteq4444rule40denyudpdestination-porteq445rule45denyudpdestination-porteqnetbios-ssnrule50denyudpdestination-porteqnetbios-dgmrule55denyudpdestination-porteq135rule60denyudpdestination-porteqnetbios-nsrule65denytcpdestination-porteq2745rule70denytcpdestination-porteq3127rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90permitany2、定義流分類trafficclassifierlimitoperatororif-matchacl60003、定義流動作trafficbehaviorlimitdeny4、定義流策略trafficpolicylimitclassifierlimitbehaviorlimit5、全局下發(fā)針對用戶側的策略traffic-policylimitinboundtraffic-policylimitoutbound2.1.10設備配置保存執(zhí)行SAVE命令，配置將缺省保存在設備CFCARD中。2.2設備接口配置2.2.1網(wǎng)絡側接口配置1、ME60將沒有直接掛接用戶的三層稱之為網(wǎng)絡側端口，典型的就是連接GSR設備的三層端口。該端口為普通的三層路由端口。對于這種類型的端口配置，與普通路由器三層端口相同。對于網(wǎng)絡側端口的配置在系統(tǒng)模式下進行：interfaceGigabitEthernet1/0/0mtu1524[配置端口MTU值]descriptionTo-[LY-XiGong-GSR]G1/0/4[對于該端口的描述to-[對端設備型號]-端標語]ipaddress7852[設立端口IP地址]mplsmplsldp[端口下啟用MPLS]通過使用displayinterface命令可以查看端口狀態(tài)（UP、down），端口類型及端口報文計數(shù)等信息。2、端口描述規(guī)范互聯(lián)中繼命名規(guī)范:【端口簡寫】括號內(nèi)端口信息采用簡寫F:FE G:GE/10GE A:ATM P:POS設備端口上描述建議采用TO_PC-ZZ-ZYL-CRS-001(G0/2):GE:1:電路代號用戶電路命名規(guī)范:【端口簡寫】括號內(nèi)端口信息采用簡寫F:FE G:GE/10GE A:ATM P:POS注:設備端口上描述建議采用TO_ZZGONGSHANGJU:10M:FE:1:電路代號例如，洛陽西工NE40E連接西工NE80E的描述：Intg1/0/0DesTO_PC-LY-XG-NE80E-001(G0/2):GE:12.2.2loopback接口配置及描述Loopback接口的配置在系統(tǒng)模式下進行。按照本期規(guī)劃，每臺設備需要配置2個loopback地址，范例如下：interfaceLoopBack0ipaddress1055[這個地址用來和RR建立IPV4BGP鄰居]#interfaceLoopBack10ipaddress1155[這個地址用來和RR建立VPNV4BGP鄰居]3.2.3用戶側接口配置當某個接口用于接入寬帶用戶時，該接口即為用戶側接口，需要將該接口配置為BAS接口，并配置用戶的接入類型和其他相關屬性。要完畢配置BAS接口的任務，需要執(zhí)行如下的配置過程。1創(chuàng)建BAS接口請在ME60上進行以下配置。環(huán)節(jié)1執(zhí)行命令system-view，進入系統(tǒng)視圖。環(huán)節(jié)2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。環(huán)節(jié)3執(zhí)行命令bas，創(chuàng)建BAS接口。2配置用戶接入類型執(zhí)行命令bas，進入BAS接口視圖。執(zhí)行命令access-typelayer2-subscriber[bas-interface-namename|default-domain{pre-authenticationdomain-name|authentication[force|replace]domain-name}*|accounting-copyradius-serverradius-name]*，配置二層普通用戶接入類型。或執(zhí)行命令access-typelayer2-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置二層專線用戶接入類型?；驁?zhí)行命令access-typelayer3-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置三層專線用戶接入類型。在設立BAS接口的用戶接入類型時，還可以一起設立和該種用戶類型相關的業(yè)務屬性，這些屬性也可以在后續(xù)的配置中逐項配置。對于已經(jīng)被Eth-Trunk接口包含的以太網(wǎng)接口，不能配置其用戶接入類型，而只能配置相應的Eth-Trunk接口。有用戶在線時，只有當用戶類型是專線用戶時，可以在線修改BAS接口的用戶接入類型，其他情況不能修改。當用戶類型配置為專線用戶后，ME60立即對該專線用戶進行認證。當接口下配置有IP地址時，只能將用戶接入類型設立為三層專線用戶。假如BAS接口為GE或Eth-Trunk子接口，當需要將用戶接入類型設立為三層專線用戶時，首先必須在子接口下配置一個用戶側VLAN（且只能配置一個）。3配置用戶認證方法請在ME60上進行以下配置。環(huán)節(jié)1執(zhí)行命令system-view，進入系統(tǒng)視圖。環(huán)節(jié)2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。環(huán)節(jié)3執(zhí)行命令bas，進入BAS接口視圖。環(huán)節(jié)4執(zhí)行命令authentication-method{{ppp|dot1x|{web|fast}}*|bind}，配置用戶認證方法。結束只有接入用戶類型為二層用戶的BAS接口可以設立其認證方法。各種認證方法可以組合使用，但有以下的約束關系：Web認證和快速認證互斥；綁定認證和其他認證方式都互斥。缺省情況下，BAS接口的認證方法為PPP4設立用戶數(shù)限制（可選）請在ME60上進行以下配置。環(huán)節(jié)1執(zhí)行命令system-view，進入系統(tǒng)視圖。5配置BRAS接入QuidwayME60配置指南-BRAS業(yè)務5-20華為技術有限公司文檔版本03(2023-02-01)環(huán)節(jié)2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。環(huán)節(jié)3執(zhí)行命令bas，進入BAS接口視圖。環(huán)節(jié)4執(zhí)行命令access-limitnumber，設立接口級用戶數(shù)限制。或執(zhí)行命令access-limituser-number[start-vlanstart-vlan[end-vlanend-vlan][qinqqinq-vlan]]，設立VLAN級用戶數(shù)限制。結束缺省情況下，BAS接口未設立用戶數(shù)限制。5指定域（可選）請在ME60上進行以下配置。環(huán)節(jié)1執(zhí)行命令system-view，進入系統(tǒng)視圖。環(huán)節(jié)2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。環(huán)節(jié)3執(zhí)行命令bas，進入BAS接口視圖。環(huán)節(jié)4執(zhí)行命令default-domainpre-authenticationdomain-name，指定認證前缺省域?；驁?zhí)行命令default-domainauthentication[force|replace]domain-name，指定認證缺省域。假如用戶認證時未輸入域名，ME60默認其屬于認證缺省域。設立認證缺省域可指定force和replace參數(shù)。force參數(shù)表達不管用戶認證時所帶域名是什么，都強制轉換到所設立的認證缺省域，使用該域的策略進行認證和授權，但用戶名中的域名不發(fā)生改變。replace參數(shù)表達強制轉換到所設立的認證缺省域，同時用戶名中的域名也發(fā)生變化，強制替換成設立的認證缺省域名。缺省情況下，BAS接口的認證缺省域為default1。6配置BAS接口附加功能（可選）請在ME60上進行以下配置。環(huán)節(jié)1執(zhí)行命令system-view，進入系統(tǒng)視圖。環(huán)節(jié)2執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。環(huán)節(jié)3執(zhí)行命令bas，進入BAS接口視圖。環(huán)節(jié)4執(zhí)行命令arp-proxy，啟用ARP代理功能?；驁?zhí)行命令dhcp-broadcast，啟用DHCP廣播功能。或執(zhí)行命令accounting-copyradius-serverradius-name，啟用計費報文抄送功能。或執(zhí)行命令ip-trigger，啟用IP報文觸發(fā)上線功能?；驁?zhí)行命令arp-trigger，啟用ARP報文觸發(fā)上線功能?；驁?zhí)行命令multicastcopyby-session，啟用按用戶復制組播報文功能?；驁?zhí)行命令dot1xauthenticationtrigger，啟用802.1X認證觸發(fā)功能。結束ARP代理功能ARP代理功能用于同一BAS接口下的用戶互訪，由于在ME60同一接口下的用戶按VLAN/PVC嚴格隔離，要實現(xiàn)用戶互訪必須打開BAS接口的ARP代理開關。只有在BAS接口的接入用戶類型設立為二層用戶和二層專線用戶的情況下，才可以配置BAS接口的ARP代理功能。ARP代理的開關只對相同BAS接口的ARP報文進行控制，其他的情況ARP代理的開關都是打開的，無法關閉。缺省情況下，同一BAS接口相同VLAN/PVC下的ARP代理功能關閉。DHCP廣播功能通常情況下，BAS接口的DHCP報文是采用單播方式向用戶進行發(fā)送的，但是在某些特殊情況下也許需要對DHCP報文進行廣播，此時需要打開BAS接口的DHCP廣播開關。缺省情況下，BAS接口的DHCP廣播功能關閉。計費報文抄送功能計費報文抄送是指在計費過程中，將計費信息同步發(fā)送給兩臺RADIUS服務器，并分別等待回應的功能。計費報文抄送功能重要在需要多處保存原始計費信息的場合使用（如多運營商共同組網(wǎng)）。在這種情況下，計費報文需要同步發(fā)送給兩臺RADIUS服務器，在后續(xù)的結算中作為原始計費信息。缺省情況下，BAS接口的計費報文抄送功能關閉。IP報文觸發(fā)上線功能IP報文觸發(fā)上線功能是指靜態(tài)用戶通過發(fā)送IP報文觸發(fā)認證過程的功能。缺省情況下，BAS接口的IP報文觸發(fā)上線功能關閉。ARP報文觸發(fā)上線功能ARP報文觸發(fā)上線功能是指用戶通過發(fā)送ARP報文觸發(fā)認證過程的功能。缺省情況下，BAS接口的ARP報文觸發(fā)上線功能關閉。按用戶復制組播報文功能通常情況下，ME60收到某個組播組的組播報文后，只會向每個物理端口復制一份組播報文，二層設備再將組播報文復制給該組播組的每個用戶。假如二層設備不具有IGMPSnooping功能，無法辨認組播組用戶，則需要在ME60的接口上啟用按用戶進行組播復制的功能，由ME60直接將組播報文復制給用戶。缺省情況下，BAS接口的按用戶復制組播報文功能關閉。802.1X認證觸發(fā)功能802.1X認證觸發(fā)功能是指ME60探測到802.1X用戶上線后，積極向用戶發(fā)起認證請求的功能。缺省情況下，BAS接口的802.1X認證觸發(fā)功能關閉。下面的配置范例為PPPOE接入的用戶側端口配置：interfaceGigabitEthernet1/0/3.805pppoe-serverbindVirtual-Template1[綁定PPP模板，擬定該端口使用PPPOE]mtu1524descriptionTo-NanShan-HW-MA5300-Useruser-vlan2561000QinQ805[這個命令就是終結正常的PPPOE撥號用戶報文，內(nèi)層標簽是256-1000，外層標簽是805]basaccess-typelayer2-subscriberdefault-domainauthenticationdial[BAS下的這條命令把PPPOE用戶作為二層撥號用戶，缺省的認證域為DIAL域，使用該域中的認證方法、QOS模板等定義的參數(shù)]2.2.3地址池的配置地址將會被用戶域引用，用來為用戶分派IP地址，并向撥號用戶提供網(wǎng)關、DNS等參數(shù)。地址池可以配置多個，ME60會自動循環(huán)向后使用。配置范例如下：ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary[定義地址池，涉及網(wǎng)關，可分派地址范圍，不能被分派的地址以及DNS等參數(shù)，地址池會被后面的域所引用，以給用戶分派地址]2.2.4VLAN及QINQ接口配置配置VLAN和QinQVLAN需要進入相應端口配置模式下進行，大體分為如下幾類：1、普通固定IP業(yè)務VLAN配置及綁定interfaceGigabitEthernet1/0/3.100descriptionTo-NanShan-S6503user-vlan100[這條命令指名該端口終結帶100這個單層標簽的報文]basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbind[該端口下面是網(wǎng)管下掛的S6503互換機。ME60把它當作一個靜態(tài)IP用戶，一個2層用戶。所謂二層用戶，也就是這個下掛設備的地址是由BRAS分派管理的。該端口用戶默認是在wangguan這個域中進行，認證方法是BIND，也就是ME60根據(jù)下掛用戶的物理位置自動分派一個用戶名。這部分派置都在BAS視圖下進行]userdetectretransmit3interval30[每隔30秒向該用戶發(fā)一個ARP請求，根據(jù)回應擬定用戶在線。假如連續(xù)3次（90秒）沒有收到回應，設備就認為用戶已經(jīng)下線。用這種手段來保證該設備一直在線。]在系統(tǒng)視圖下配置：static-user5252interfaceGigabitEthernet1/0/3.100vlan100detectdomain-namewangguan[配置二層靜態(tài)IP用戶，靜態(tài)用戶地址范圍從52至52，也就是指定一個靜態(tài)IP，定義了這個靜態(tài)用戶所在的端口GigabitEthernet1/0/3.100，定義了這個用戶的報文標簽為100，這個用戶所屬的域為wangguan，以下配置相同，本機下掛的網(wǎng)絡設備都用這種方式來進行網(wǎng)管，同時，啟動二層靜態(tài)IP用戶也是用這種辦法]2、普通PPPOE用戶VLAN配置及動態(tài)綁定interfaceGigabitEthernet1/0/9.1pppoe-serverbindVirtual-Template1user-vlan200basaccess-typelayer2-subscriberdefault-domainauthenticationdial3、固定IP用戶QinQVLAN的配置及綁定interfaceGigabitEthernet1/0/3.200descriptionleaseline-tel-7676123user-vlan100qinq200basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbindstatic-userinterfaceGigabitEthernet1/0/3.200vlan100qinq200detectdomain-namewangguan該用戶的IP地址為。4、批量、連續(xù)的PPPOE用戶QinQVLAN配置及動態(tài)綁定interfaceGigabitEthernet1/0/9.801pppoe-serverbindVirtual-Template1mtu1524descriptionTo-YiTuo-HAMMER-10000-2-Useruser-vlan2561000QinQ801basaccess-typelayer2-subscriberdefault-domainauthenticationdial[該子接口下終結了一批內(nèi)層VLAN范圍為256至1000，外層VLAN為801的PPPOE用戶。注意，用戶的認證方法等參數(shù)配置在相應用戶域中，此例中為DIAL域，在用戶側端口下會引用該域。]2.3路由協(xié)議配置本期工程BAS（ME60)采用兩個上聯(lián)出口連接至地市核心GSR。在ME60上配置主鏈路COST為100，用戶路由則采用BGP進行承載，以下對OSPF及BGP的配置進行具體說明。2.3.1OSPF協(xié)議配置BAS與上聯(lián)設備建立OSPF鄰居，OSPF的area號與各地市寬帶IP網(wǎng)area號一致，如鄭州area號為371；洛陽為379。OSPF鏈路類型為點到點類型。具體配置范例如下：1、系統(tǒng)模式下配置ospf協(xié)議ospf1router-id10[定義OSPF進程號以及ROUTER-ID]area23[進入相應area]network10network11network76network00[發(fā)布loopback地址以及互連地址]2、進入端口模式，將OSPF配置成為P-TO-P模式interfaceGigabitEthernet1/0/0ospfnetwork-typep2p3、查看OSPF協(xié)議狀態(tài)進入用戶模式或者系統(tǒng)模式查看OSPF鄰居狀態(tài)<YiTuo-ME60>disospfpeerOSPFProcess1withRouterID10NeighborsArea23interface78(GigabitEthernet1/0/0)'sneighborsRouterID:47Address:77GRState:NormalState:FullMode:NbrisSlavePriority:1DR:NoneBDR:NoneMTU:1524Deadtimerduein31secNeighborisupfor701:33:05AuthenticationSequence:[0]NeighborsArea23interface02(GigabitEthernet1/0/1)'sneighborsRouterID:45Address:01GRState:NormalState:FullMode:NbrisSlavePriority:1DR:02BDR:02MTU:1524Deadtimerduein34secNeighborisupfor701:32:23AuthenticationSequence:[0]通過以上命令查看OSPF鄰居狀態(tài)，正常情況下，在P-TO-P模式下鄰居狀態(tài)都應當為FULL。查看OSPF路由表<YiTuo-ME60>displayospfroutingOSPFProcess1withRouterID10RoutingTablesRoutingforNetworkDestinationCostTypeNextHopAdvRouterArea12/30241Inter-area774723/30241Inter-area77472316/30241Inter-area7747232/30241Inter-area77472320/30241Inter-area774723/30331Inter-area774723/32332Inter-area774723正常情況下，應當可以看到設備可以通過OSPF協(xié)議學習到路由。3.3.2BGP配置在本期項目中，設備需要通過不同的loopback地址與本地核心路由器（充當路由反射器）分別建立2個BGPIPV4鄰居以及2個BGPVPNV4鄰居。河南網(wǎng)通城域網(wǎng)AS號為65130。BGP配置需要在系統(tǒng)視圖下進行，范例如下：1、BGP配置bgp65130router-id10groupha-ly-vpninternal[建立PEERGROUP]peerha-ly-vpnpasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![配置VPNV4BGP鄰居認證]peerha-ly-vpnconnect-interfaceLoopBack10peer45as-number65130peer45groupha-ly-vpnpeer47as-number65130peer47groupha-ly-vpn[配置VPNV4鄰居基本參數(shù)]groupha-lyinternalpeerha-lypasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![建立IPV4鄰居認證]peerha-lyconnect-interfaceLoopBack0peer45as-number65130peer45groupha-lypeer47as-number65130peer47groupha-ly[配置IPV4鄰居參數(shù)]#ipv4-familyunicastundosynchronizationnetwork2840network240network840network3648import-routeunr[該命令將PPPOE用戶路由引入進BGP協(xié)議中，達成使用BGP承載業(yè)務路由目的]undopeer45enableundopeer47enablepeerha-ly-vpnenablepeerha-lyenablepeerha-lyroute-policysetcommunityexport[配置發(fā)布的路由攜帶路由策略中定義的團隊屬性]peerha-lynext-hop-localpeerha-lyadvertise-communitypeer45enablepeer45groupha-lypeer47enablepeer47groupha-ly#ipv4-familyvpnv4policyvpn-targetpeerha-ly-vpnenablepeerha-ly-vpnnext-hop-localpeerha-ly-vpnadvertise-communitypeer47enablepeer47groupha-ly-vpnpeer45enablepeer45groupha-ly-vpn[配置VPNV4鄰居關系相關參數(shù)]route-policysetcommunitypermitnode0applycommunity65130:379[這個路由策略會在BGP發(fā)布路由時使用，把發(fā)布的BGP路由都帶上65130：379這個團隊屬性,該命令在系統(tǒng)模式下配置]2、查看BGP協(xié)議狀態(tài)進入用戶視圖或者系統(tǒng)視圖查看IPV4BGP鄰居狀態(tài)<YiTuo-ME60>displaybgppeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv4546513010233574928400701h54mEstablished414814746513010268514581300701h54mEstablished41464正常情況下鄰居狀態(tài)應當為Established。查看VPNV4鄰居狀態(tài)<YiTuo-ME60>displaybgpvpnv4allpeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv47465130544484749900701h56mEstablished045465130543495125000701h56mEstablished0正常情況下鄰居狀態(tài)應當為Established。查看BGP路由表<YiTuo-ME60>displaybgprouting-tableTotalNumberofRoutes:82963BGPLocalrouterIDis10Statuscodes:*-valid,>-best,d-damped,h-history,i-internal,s-suppressed,S-StaleOrigin:i-IGP,e-EGP,?-incompleteNetworkNextHopMEDLocPrfPrefValPath/Ogn*>i/244301000?*i4301000?*>i/304701000?*i4701000?*>i/323701000?*i3701000?*>i/304701000?*i4701000?*>i/304701000?正常情況下設備應當可以通過BGP協(xié)議學習到IPV4路由。查看VPNV4路由disbgpvpnv4allrouting-table假如網(wǎng)絡中啟動L3MPLSVPN，正常情況下應可以學習到VPNV4路由。2.4RADIUS配置認證功能：認證功能驗證用戶是否可以獲得訪問權。用戶接入網(wǎng)絡時，ME60可通過用戶名和密碼對用戶的身份進行認證。ME60支持四種認證模式，如下所示?！锊徽J證：表達運營商對用戶非常信任，ME60對用戶不進行合法性檢查。一般情況下不建議采用此模式?！锉镜卣J證：在ME60上配置用戶信息（用戶名、密碼及其他屬性等），由ME60完畢對用戶的認證。本地認證的優(yōu)點是速度快，可以減少運營成本；缺陷是存儲信息量受設備硬件條件限制?！颮ADIUS認證：ME60作為客戶端，與RADIUS服務器通信。在RADIUS服務器上配置用戶信息，ME60將用戶名和密碼通過RADIUS協(xié)議傳送給RADIUS服務器，RADIUS服務器完畢對用戶的認證并將認證結果反饋給ME60?！颒WTACACS認證：ME60作為客戶端，與HWTACACS服務器通信。在HWTACACS服務器上配置用戶信息，ME60將用戶名和密碼通過HWTACACS協(xié)議傳送給HWTACACS服務器，HWTACACS服務器完畢對用戶的認證并將認證結果反饋給ME60。授權功能：指定用戶可以使用哪些服務。ME60支持四種授權模式，如下所示。直接授權表達運營商對用戶非常信任，直接授權。本地授權根據(jù)ME60配置的用戶屬性對用戶進行授權。RADIUS認證成功后授權。RADIUS協(xié)議的認證和授權是綁定在一起的，不能單獨使用RADIUS進行授權。HWTACACS授權由HWTACACS服務器對用戶進行授權。計費功能：記錄用戶使用網(wǎng)絡資源的情況。ME60支持三種計費模式，如下所示。不計費：ME60不對用戶進行計費。RADIUS計費：ME60將計費報文送往RADIUS服務器，由RADIUS服務器完畢對用戶的計費。HWTACACS計費：ME60將計費報文送往HWTACACS服務器，HWTACACS服務器完畢對用戶的計費。在RADIUS/HWTACACS計費模式中，正常情況下ME60在用戶上線和下線時各生成一份計費報文傳送給服務器，服務器根據(jù)計費報文中的信息（上下線時間、使用流量等）對用戶進行計費。ME60支持實時計費功能。實時計費功能是指用戶在線過程中，ME60定期生成計費報文傳送給服務器。通過實時計費功能，ME60可以在其和服務器通信中斷時，最大限度的減少計費異常的時間。在本期項目中，我們重要采用RADIUS的認證方式，通過RADIUS服務器，設備可以提供以下控制功能：用戶認證：對用戶名及口令進行認證；用戶認證：對用戶名及口令進行認證；計費記錄：通過對用戶在線時間或流量等進行計費；用戶授權：給用戶授權，如授權成為l2tp用戶；用戶帶寬指定：通過RADIUS設定QOS屬性名稱來實現(xiàn)用戶帶寬屬性；預付費實時斷線：根據(jù)時長或流量對用戶進行下線操作；用戶帳號和VLAN綁定：通過RADIUS為用戶綁定VLAN號來防止盜號和漫游的發(fā)生；指定用戶ACL：通過RADIUS返回ACL字符串來對用戶行為進行訪問控制；異常斷線信息傳遞：通過接受ME60發(fā)出的PPPOE錯誤代碼來判斷用戶的下線因素。2.4.1本次項目中RADIUS配置參數(shù)RADIUS服務器地址40認證端標語1645計費端標語1646ME60的RADIUS通訊字符串：henancnc2.4.2RADIUS配置范例及注釋RADIUS相關配置在系統(tǒng)模式下進行。radius-serversourceinterfaceLoopBack0[定義與RADIUS交互報文攜帶的源地址為LOOPBACK0的地址]radius-servergroupdial[建立RADIUS服務器組，名稱為DIAL，后面的用戶域會引用這個服務器組作認證]radius-servershared-keyhenancncauthentication401645weight0radius-servershared-keyhenancncaccounting401646weight0[定義RADIUS服務器的地址與端標語]radius-servershared-keyhenancnc[與服務器交互的KEY，必須與server端一致]radius-serverclass-as-car[這條命令和QOS有關，ME60會將服務器端返回的CLASS屬性當中的值解釋為對已通過認證用戶的CAR值，從而達成對用戶限速的目的。對用戶的速度限制是在RADIUS上定義的。]radius-serversourceinterfaceLoopBack0undoradius-serveruser-namedomain-included[該命令定義用戶認證的時候，向RADIUS發(fā)送用戶名的時候不帶域名]基本RADIUS定義完畢后，我們需要定義一個authentication-scheme，這項配置用來定義用戶域中的用戶使用何種認證方式來認證。缺省情況下，authentication-scheme的認證方式為RADIUS。authentication-scheme的配置在AAA視圖下進行。AAAauthentication-schemeradius[定義一個名稱為RADIUS的authentication-scheme。由于缺省采用RADIUS認證，所以不用再配置額外命令]定義完RADIUS-servergroup以及authentication-scheme以后，我們在用戶域中對兩者進行引用，范例如下：domaindialauthentication-schemeradius[該域用名稱為RADIUS的SCHEME來進行認證]accounting-schemeradiusservice-typehsi[將該域的模式配置成HIS模式，PPPOE的域都要配置成該模式]radius-servergroupdial[指定使用的RADIUS服務器組]對于用戶的認證，假如用戶上送的用戶名攜帶域名，則不管用戶從哪個端口上線，設備都會把該用戶放到相應的域中進行認證；假如用戶上送的用戶名不攜帶域名，則將該用戶放到端口下配置的缺省域中去完畢認證。在設備中，除了對撥號用戶進行認證的DIAL域之外，尚有此外幾個域，簡述如下：1、網(wǎng)管域，重要用于對下掛網(wǎng)絡設備進行管理使用，將下掛網(wǎng)絡設備均作為2層靜態(tài)IP用戶進行管理。配置范例如下：domainwangguanauthentication-schemedefault0accounting-schemedefault0ip-poolwangguan[認證和計費均為def