华为ME60 BRAS设备配置规范 下载本文

文档名称 文档密级:

h - history, i - internal, s - suppressed, S - Stale Origin : i - IGP, e - EGP, ? - incomplete Network NextHop MED LocPrf PrefVal Path/Ogn *>i 1.1.1.0/24 61.168.247.243 0 100 0 ? * i 61.168.247.243 0 100 0 ? *>i 2.2.2.0/30 61.168.247.247 0 100 0 ? * i 61.168.247.247 0 100 0 ? *>i 2.2.2.2/32 61.168.251.237 0 100 0 ? * i 61.168.251.237 0 100 0 ? *>i 3.3.3.0/30 61.168.247.247 0 100 0 ? * i 61.168.247.247 0 100 0 ? *>i 4.4.4.0/30 61.168.247.247 0 100 0 ? 正常情况下设备应该能够通过BGP协议学习到IPV4路由。 ★ 查看VPNV4路由

dis bgp vpnv4 all routing-table

如果网络中开启L3 MPLS VPN ,正常情况下应能够学习到VPNV4路由。

2.4 RADIUS配置 认证功能:

认证功能验证用户是否可以获得访问权。用户接入网络时,ME60 可通过用户名和密码对用户的身份进行认证。ME60 支持四种认证模式,如下所示。

★不认证: 表示运营商对用户非常信任,ME60 对用户不进行合法性检查。一般情况下不建议采用此模式。

★本地认证: 在ME60 上配置用户信息(用户名、密码及其他属性等),由ME60 完成对用户的认证。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

★RADIUS 认证: ME60 作为客户端,与RADIUS 服务器通信。在RADIUS 服务器上配

2013-8-16

华为机密,未经许可不得扩散

第29页, 共75页

文档名称 文档密级:

置用户信息,ME60 将用户名和密码通过RADIUS 协议传送给RADIUS 服务器, RADIUS 服务器完成对用户的认证并将认证结果反馈给ME60。

★HWTACACS 认证: ME60 作为客户端,与HWTACACS服务器通信。在HWTACACS 服务器上配置用户信息,ME60 将用户名和密码通过HWTACACS 协议传送给HWTACACS 服务器, HWTACACS服务器完成对用户的认证并将认证结果反馈给ME60。

授权功能:

指定用户可以使用哪些服务。ME60 支持四种授权模式,如下所示。 直接授权 表示运营商对用户非常信任,直接授权。 本地授权 根据ME60 配置的用户属性对用户进行授权。

RADIUS 认证成功后授权。RADIUS 协议的认证和授权是绑定在一起的,不能单独使用RADIUS 进行授权。

HWTACACS 授权 由HWTACACS 服务器对用户进行授权。

计费功能:

记录用户使用网络资源的情况。ME60 支持三种计费模式,如下所示。 不计费: ME60不对用户进行计费。

RADIUS 计费: ME60 将计费报文送往RADIUS 服务器,由RADIUS 服务器完成对用户的计费。

HWTACACS 计费: ME60 将计费报文送往HWTACACS 服务器,HWTACACS 服务器完成对用户的计费。在RADIUS/HWTACACS 计费模式中,正常情况下ME60 在用户上线和下线时各生成一份计费报文传送给服务器,服务器根据计费报文中的信息(上下线时间、使用流量等)对用户进行计费。

ME60 支持实时计费功能。实时计费功能是指用户在线过程中,ME60 定时生成计费报文传送给服务器。通过实时计费功能,ME60 可以在其和服务器通信中断时,最大程度的减少计费异常的时间。

在本期项目中,我们主要采用RADIUS的认证方式,通过RADIUS服务器,设备可以提供以下控制功能:

", 用户认证:对用户名及口令进行认证; ", 用户认证:对用户名及口令进行认证;

", 计费记录:通过对用户在线时间或流量等进行计费; ", 用户授权:给用户授权,如授权成为l2tp 用户;

2013-8-16

华为机密,未经许可不得扩散

第30页, 共75页

文档名称 文档密级:

", 用户带宽指定:通过RADIUS 设定QOS 属性名称来实现用户带宽属性; ", 预付费实时断线:根据时长或流量对用户进行下线操作;

", 用户帐号和VLAN 绑定:通过RADIUS 为用户绑定VLAN 号来防止盗号和漫游的发生; ", 指定用户 ACL :通过RADIUS 返回ACL 字符串来对用户行为进行访问控制; ", 异常断线信息传递:通过接收ME60 发出的PPPOE 错误代码来判断用户的下线原因。 2.4.1 本次项目中RADIUS配置参数 RADIUS 服务器地址 221.13.223.140

认证端口号 1645 计费端口号 1646

ME60 的RADIUS 通讯字符串:henancnc 2.4.2 RADIUS配置范例及注释

RADIUS相关配置在系统模式下进行。 radius-server source interface LoopBack0

[定义与RADIUS交互报文携带的源地址为LOOPBACK0的地址] radius-server group dial

[建立RADIUS服务器组,名称为DIAL,后面的用户域会引用这个服务器组作认证] radius-server shared-key henancnc authentication 221.13.223.140 1645 weight 0

radius-server shared-key henancnc accounting 221.13.223.140 1646 weight 0 [定义RADIUS服务器的地址与端口号] radius-server shared-key henancnc [与服务器交互的KEY,必须与server端一致] radius-server class-as-car

[这条命令和QOS有关,ME60会将服务器端返回的CLASS属性当中的值解释为对已通过认证用户的CAR值,从而达到对用户限速的目的。对用户的速度限制是在RADIUS上定义的。]

radius-server source interface LoopBack0 undo radius-server user-name domain-included

[该命令定义用户认证的时候,向RADIUS发送用户名的时候不带域名]

2013-8-16

华为机密,未经许可不得扩散

第31页, 共75页

文档名称 文档密级:

基本RADIUS定义完毕后,我们需要定义一个authentication-scheme,这项配置用来定义用户域中的用户使用何种认证方式来认证。缺省情况下,authentication-scheme的认证方式为RADIUS。authentication-scheme的配置在AAA视图下进行。 AAA

authentication-scheme radius

[定义一个名称为RADIUS的authentication-scheme。由于缺省采用RADIUS认证,所以不用再配置额外命令]

定义完RADIUS-server group以及authentication-scheme以后,我们在用户域中对二者进行引用,范例如下:

domain dial

authentication-scheme radius

[该域用名称为RADIUS的SCHEME来进行认证]

accounting-scheme radius service-type hsi

[将该域的模式配置成HIS模式,PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组]

对于用户的认证,如果用户上送的用户名携带域名,则不管用户从哪个端口上线,设备都会把该用户放到相应的域中进行认证;如果用户上送的用户名不携带域名,则将该用户放到端口下配置的缺省域中去完成认证。

在设备中,除了对拨号用户进行认证的DIAL域之外,还有另外几个域,简述如下: 1、网管域,主要用于对下挂网络设备进行管理使用,将下挂网络设备均作为2层静态IP用户进行管理。配置范例如下: domain wangguan

authentication-scheme default0 accounting-scheme default0 ip-pool wangguan

[认证和计费均为default 0,表示不认证,不计费]

2、CNC域,主要用作用户下载宽带拨号程序使用,除了下载页面,该域中的用户不允许方问起他地址。配置范例如下: domain cnc

2013-8-16

华为机密,未经许可不得扩散

第32页, 共75页