华为ME60 BRAS设备配置规范

文档名称 文档密级:

河南网通城域网华为ME60 BRAS设备配置规范

华为技术有限公司 二00八年6月

2020-3-1

华为机密,未经许可不得扩散

第1页, 共75页

文档名称 文档密级:

1、系统简介 .................................................................................................................................... 4

1.1 河南网通宽带城域网建设概况 ..................................................................................... 4 1.2 河南网通华为ME60系统组网方式 ................................................................................. 4

1.2.1 网络概述 ................................................................................................................. 4 1.2.1 组网方式 ................................................................................................................. 5 1.3 VLAN规划原则 ................................................................................................................ 6 1.4 IP地址规划原则 ................................................................................................................ 7 2、BAS配置规范(ME60) ............................................................................................................. 7

2.1 设备基本配置................................................................................................................... 7

2.1.1 设置主机名........................................................................................................... 7 2.1.2 时区和时钟校准 ..................................................................................................... 8 2.1.3 配置管理员及其密码 ............................................................................................. 8 2.1.4 启用服务............................................................................................................... 8 2.1.5 对管理员地址范围进行限定 ................................................................................. 9 2.1.6 timeout 时间设置 ................................................................................................... 9 2.1.7 ACL 配置范例 ....................................................................................................... 9 2.1.8 用户域基本配置 ............................................................................................... 12 2.1.9 安全基本配置 ................................................................................................... 13 2.1.10 设备配置保存................................................................................................... 14 2.2 设备接口配置................................................................................................................. 14

2.2.1 网络侧接口配置 ................................................................................................. 14 2.2.2 loopback接口配置及描述 ................................................................................... 16 2.2.3 地址池的配置 ..................................................................................................... 21 2.2.4 VLAN及QINQ接口配置 ................................................................................... 21 2.3 路由协议配置 ............................................................................................................... 23

2.3.1 OSPF协议配置.................................................................................................... 23 2.4 RADIUS配置 ................................................................................................................... 29

2.4.1 本次项目中RADIUS配置参数 ........................................................................... 31 2.4.2 RADIUS配置范例及注释.................................................................................... 31 2.4.3 RADIUS状态查看 ......................................................................................... 33 2.4.4 RADIUS故障排除方法 ................................................................................. 37 2.5 QOS带宽管理 ............................................................................................................. 37

2.5.1 两类QOS配置..................................................................................................... 37 2.5.2 配置设备接收RADIUS服务器策略配置 ........................................................... 38 2.5.3 ME60本机QOS策略配置 ........................................................................... 38 2.6 PPPOE配置 ................................................................................................................ 40

2.6.1 概述 ................................................................................................................... 40 2.6.2 PPPOE相关配置.................................................................................................. 41 2.7 用户认证域选择............................................................................................................. 43 2.8 反向路由检测 ............................................................................................................... 43

ME60所支持的URPF .................................................................................................. 44 2.9 DHCP RELAY配置 ........................................................................................................... 45

2020-3-1

华为机密,未经许可不得扩散

第2页, 共75页

文档名称 文档密级:

2.10 IP综合网管设备配置要求 ............................................................................................ 46

2.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址) ................ 46 2.10.2 TELNET用户名和密码 ................................................................................. 46 2.10.3 SNMP配置 ..................................................................................................... 46 2.10.4 SYSLOG配置 ................................................................................................... 47

3、ME60承载业务及配置规范................................................................................................. 48

3.1 承载业务类型 ................................................................................................................. 48 3.2 普通PPPOE 上网业务 ................................................................................................ 48

3.2.1 业务概述 ............................................................................................................... 48 3.2.2 ME60 配置规范 ................................................................................................... 48 3.2.3 帐号管理规范 ................................................................................................... 53 3.3 校园网卡类业务 ............................................................................................................. 54

3.3.1 业务概述 ............................................................................................................... 54 3.3.2 配置规范............................................................................................................. 54 3.3.3 账号管理说明 ....................................................................................................... 54 3.4 VPDN 业务 ..................................................................................................................... 55

3.4.1 业务概述 ............................................................................................................... 55 3.4.2 ME60 配置规范 ................................................................................................... 55 3.4.3 账号管理说明 ....................................................................................................... 56 3.4.4 VPDN业务介绍.................................................................................................... 56 3.5 机顶盒业务配置 ............................................................................................................. 59

3.5.1 业务概述 ............................................................................................................... 59 3.5.2 延用DHCP 方式 ................................................................................................ 60 3.5.3 采用PPPOE 方式 ............................................................................................... 60 3.6 专线用户配置 ................................................................................................................. 64

3.6.1 通过subscriber方式定义静态IP用户......................................................... 64 3.6.2 通过leased line方式定义静态IP用户....................................................... 65 3.7 BGP/MPLS VPN 配置范例 .......................................................................................... 65

3.7.1 概述..................................................................................................................... 65 3.7.2 MPLS VPN 业务命名规范 ................................................................................. 66 3.7.3 PE (ME60)配置范例......................................................................................... 67 3.8 VPLS 业务配置 .............................................................................................................. 71

3.8.1 VPLS简介 ........................................................................................................... 71 3.8.2 VPLS配置范例..................................................................................................... 74

2020-3-1

华为机密,未经许可不得扩散 第3页, 共75页

文档名称 文档密级:

1、系统简介

1.1 河南网通宽带城域网建设概况

本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不 变的基础上,持续提升宽带接入能力,继续推进二层网络扁平化,提升网络可靠 性,以此逐步向功能完善、结构合理、性能优良的目标网演进。

提升业务支持能力:根据各类IP 业务发展需求及流量流向特性,对城域网 内的设备进行容量增加和端口扩容,提供充足的业务接入能力及中继链路端口。 二层网络扁平化举措:在进行扩容的同时在有条件的地市考虑继续缩减汇聚 交换机的级联层数,进一步扁平化二层汇聚网络;同时具备条件的地市可根据业 务发展需求结合设备性能考虑SR/BRAS 适度下移。

网络质量差异化:逐步部署MPLS 技术和Diffserv 机制,为不同用户和不同 业务提供不同QOS 等级的服务。在业务集中区域逐步设立轻载的大客户专用接入 设备,减少普通客户流量对大客户业务质量的干扰。

管理控制集中化智能化:用宽带接入服务器(BRAS)、业务路由器(SR)构 建独立清晰的IP 城域网接入层,实现业务集中调度、监测和控制;规范设备的 网管接口要求,加强集中网管系统的建设,提高网络的可管理性,逐步实现对网 络性能的实时监控管理,提供基于时间、流量、质量等指标的多样化组合计费能 力。

1.2 河南网通华为ME60系统组网方式 1.2.1 网络概述

根据目前网络和业务开通方式等现状,本期工程在每个县局节点及部分市区节点放置一台ME60-8 BRAS设备,共计123台。

在市区,ME60双上行至地市2台GSR设备,同时与地市新建SR通过端口聚合进行连接,负责终结SR设备透传过来的二层报文。

在县局,网络通过布置大二层汇聚交换机来实现业务分流,ME60双上行至地市核心GSR设备,下行方向连接县局大二层汇聚交换机,负责终结县局汇聚交换机透传上来的二层报文。

2020-3-1

华为机密,未经许可不得扩散 第4页, 共75页

文档名称 文档密级:

1.2.1 组网方式 方式一、市区组网方式

ME60采用双上行GE链路上行至地市GSR,启用OSPF以及BGP路由协议;同时与本局SR通过以太端口聚合聚合2个GE接口互连,该逻辑端口启用OSPF协议。其中,与GSR的端口作为主用上行路由,到本局SR设备的端口作为备用上行链路,同时该GE 兼作本局用户业务的二层下联接口,终结用户VLAN 或灵活QinQ VLAN。 方式二、县局组网方式

2020-3-1

华为机密,未经许可不得扩散 第5页, 共75页

文档名称 文档密级:

在县局,ME60双上行至地市核心GSR路由器,上行开启三层接口,启用OSPF以及BGP协议;同时,与本局汇聚交换机通过GE口连接,该接口用来终结县级汇聚交换机透传上来的单层VLAN以及QINQ VLAN。

除了挂接用户业务以外,本期项目中党建、CDN等服务器业务也需要割接到新建BRAS上。

1.3 VLAN规划原则

1.遵循管理VLAN 与用户VLAN 分开、一用户一VLAN 的原则。

2.对于直连一级汇聚层交换机的市区接入设备,要求采用VLAN Stacking 模式,做到每个用户一个VLAN。接入设备的外层VLAN 使用原汇聚层交换机中预留的VLAN。

3.对于下挂在和BAS 有直连链路的县局节点下的接入设备,也要求采用VLAN Stacking 模式。

4.对于下挂在二级汇聚交换机以下的接入设备(如支局),不建议采用VLAN Stacking 模式,可采用一个DSLAM 分配“一个用户VLAN+一个管理VLAN”的方式;对于LAN 方式,ZAN 和BAN

2020-3-1

华为机密,未经许可不得扩散

第6页, 共75页

文档名称 文档密级:

的管理VLAN 使用同一VLAN,每个BAN 采用不同用户VLAN;

5.对于采用PPPOE 与DHCP+并行模式的接入层设备,不采用VLAN Stacking 模式,应遵循不同认证方式用户分配不同VLAN 的原则进行VLAN 规划。通过相连的各级交换机将新增VLAN 透传至BAS。设备管理VLAN 则延用原模式。 1.4 IP地址规划原则

本着连续分配、节约资源、便于管理的原则进行规划。 1.普通拨号用户IP 地址规划

PPPOE 拨号用户的IP 地址均直接由BAS 通过地址池动态分配,每台BAS 暂时分配4 个C 类地址。

2.专线用户IP 地址规划

每个专线用户一个VLAN,每台BAS 分配一个C 类地址,用户地址可以连续分配。 3.设备管理IP 地址规划

每台BAS 下挂的接入层设备管理地址为一个C类地址,可进行连续分配。 4.BAS 设备管理(loopback 地址等)和互联地址由省公司统一规划分配。 5.每台BAS 目前预留两个C 类地址备用。

2、BAS配置规范(ME60)

该部分所介绍的配置是现网设备配置的说明和解释,以及部分配置规范;具体命令的格式及说明请参考ME60 设备配置手册。 2.1 设备基本配置

设备的基本配置包括主机名称、时钟、用户管理设置等。 2.1.1 设置主机名

主机名命名规则:

字段名称字段类型网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号英文字符符号英文字符符号英文字符符号字母/数字序列符号数字(主字段)(连接符)(主字段)(连接符)(主字段)(连接符)(主字段)(连接符)省网骨干核心层:PB全省各市的简称:辖区/县+节点/机房中文名第一个字由厂商名及数用来标识同一省网骨干汇聚层:PCZZ LY XX AY NY母的缩写字序列组成,个节点的相同字段省网接入层:PAJZ PDS XC SQ XY例一:中原路机房缩写为:ZYL示例:型号设备的序说明城域网业务控制层:MSKF PY HB SMX ZK例二:新密县老局机房缩写为:XMLJC12416号。范围从城域网汇聚层:MCJY LH ZMDHW8850001-999城域网接入层:MAZTE106002020-3-1

华为机密,未经许可不得扩散

第7页, 共75页

文档名称 文档密级:

【示例】MC-ZZ-KFQ-C6509-001 郑州城域网汇聚层开发区思科6509设备 MA-ZZ-XZ.BQ.LD-HW5100-001 新郑市八千乡刘店接入点华为5100设备 对于华为本期项目上的NE40E及ME60,属于城域网业务控制层,按照规范描述网络层次为MS,例如,洛阳道北节点ME60命名如下: MS-LY-DB-HW60-001

2.1.2 时区和时钟校准 配置时钟命令如下:

clock datetime HH:MM:SS YYYY-MM-DD

配置时区命令如下:

clock timezone time-zone-name { add | minus } offset 例如,设置中国区时钟: clock timezone beijing add 8

2.1.3 配置管理员及其密码

步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令local-aaa-server,进入本地AAA 视图。

步骤 3 执行命令user username { password { simple simple-password | cipher

cipher-password } |authentication-type type-mask | block | ftp-directory ftp-directory | level level |callback-nocheck | callback-number callback-number | idle-cut | qos-profileqos-profile-name } *,增加操作用户。 例如,增加一个名字为HUAWEI的用户,配置如下: local-aaa-server

user HUAWEI password cipher Huawei level 3

级别3为超级用户权限,可以根据需要将用户设置为0-3的任何级别。

2.1.4 启用服务

ME60启用网络服务命令如下:

2020-3-1

华为机密,未经许可不得扩散

第8页, 共75页

文档名称 文档密级:

ftp server enable ssh server enable

2.1.5 对管理员地址范围进行限定 定义访问控制列表: Acl 2000

rule 5 permit ip source 10.1.1.1 255.255.255.255 rule 10 permit ip source 10.1.1.2 255.255.255.255 rule 15 permit ip source 10.1.1.3 255.255.255.255 进入USER-INTERFACE User-interface vty 0 4 Acl 2000 in

2.1.6 timeout 时间设置 空闲过时设置

User-interface vty 0 4 Idle-timeout 5

当telnet 会话在5 分钟内没有输入时timeout 退出

2.1.7 ACL 配置范例

Acl 2000至2999为基本ACL,只能够定义源地址;3000-3999为扩展ACL,能够依照五元组进行定义

1、配置管理ACL范例: Acl 3000

rule 5 permit ip source 218.29.255.0 0.0.0.255 any //省网管;

rule 10 permit ip source 123.234.255.126 0.0.0.0 destination any //BAS(SE800)网管服务器地址;

rule 15 permit ip source host 221.13.223.140 destination any //RADIUS 服务器地址;

2020-3-1

华为机密,未经许可不得扩散

第9页, 共75页

文档名称 文档密级:

rule 20 permit ip source 218.29.0.128 0.0.0.31 destination any //郑州分公司-1; rule 25 permit ip source 218.29.221.1 0.0.0.127 destination any //郑州分公司-2; rule 30 deny tcp source any destination any eq telnet rule 35 deny tcp source any destination any eq ssh rule 40 deny tcp source any destination any eq ftp rule 45 deny tcp source any destination any eq ftp-data rule 50 deny udp source any destination any eq tftp rule 55 deny udp source any destination any eq snmp rule 60 deny udp source any destination any eq snmptrap rule 65 permit ip any any 进入telnet 用户接口 User-interface vty 0 4 Acl 3000 in

2、配置普通ACL并应用范例

acl number 3001 rule 5 permit ip #

acl number 6000 match-order auto

rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445

rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135

rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434

rule 90 deny ip source user-group help destination ip-address any

2020-3-1

华为机密,未经许可不得扩散

第10页, 共75页

文档名称 文档密级:

rule 95 deny ip source user-group iptv destination ip-address any

[ACL6000是一个用户ACL,前面定义了防病毒部分,最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]

#

acl number 6001

rule 5 permit ip source user-group iptv destination ip-address 202.102.249.0 0.0.0.255

rule 10 permit ip source user-group iptv destination ip-address 61.168.222.0 0.0.1.255

rule 15 permit ip source user-group iptv destination ip-address 61.168.224.0 0.0.3.255

rule 20 permit ip source user-group iptv destination ip-address 61.168.228.0 0.0.1.255

rule 25 permit ip source user-group iptv destination ip-address 61.158.216.0 0.0.1.255

rule 30 permit ip source user-group iptv destination ip-address 61.158.218.0 0.0.0.255

rule 35 permit ip source user-group iptv destination ip-address 202.102.224.68 0

rule 40 permit ip source user-group iptv destination ip-address 202.102.227.68 0

[定义了IPTV用户组里的用户可以访问的地址]

#

acl number 6002 match-order auto

rule 5 permit ip source user-group help destination ip-address 218.29.0.252 0 rule 10 permit ip source user-group help destination ip-address 202.102.224.68 0

rule 15 permit ip source user-group help destination ip-address 202.102.227.68 0

[定义了HELP用户组里的用户可以访问的地址]

#

traffic classifier limit operator or if-match acl 6000

traffic classifier action operator or if-match acl 6002 if-match acl 6001

[定义了3个流量分类,分别匹配3个ACL,会和后面的流量动作配置组成策略。这部分与思科设备通过配置ROUTE-MAP定义策略路由很类似] #

traffic behavior limit deny

traffic behavior action

[定义流量动作,后面定义策略的时候与流量分类相关联]

2020-3-1

华为机密,未经许可不得扩散

第11页, 共75页

文档名称 文档密级:

#

traffic policy limit

classifier action behavior action classifier limit behavior limit

[定义流量策略,第一条名为ACTION的分类中匹配到的报文,执行名为ACTION的流量动作中所定义的动作,就是允许,第二条行为类似,但动作是拒绝。需要注意,两条策略的顺序不能反,否则所有流量都会被拒绝]

traffic-policy limit inbound traffic-policy limit outbound

[由于上述策略都是针对用户侧的用户定义的,所以需要在全局下下发]

如果流量策略需要在网络侧端口下发,只需要在相应端口下饮用traffic-policy即可。

2.1.8 用户域基本配置 1、定义用户域

domain dial

authentication-scheme radius

[该域用名称为RADIUS的SCHEME来进行认证]

accounting-scheme radius service-type hsi

[将该域的模式配置成HIS模式,PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组] ip-pool dial

[指定该域使用的地址池] qos profile 2m

[指定该域使用的QOS模板]

2、定义地址池 ip pool dial local

gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68

dns-server 202.102.227.68 secondary

[定义地址池,包括网关,可分配地址范围,不能被分配的地址以及DNS等参数,地址池会被后面的域所引用,以给用户分配地址]

一个用户域下可以定义多个地支持,当一个用完时系统可以选择分配另外一个地支持中的地

2020-3-1

华为机密,未经许可不得扩散

第12页, 共75页

文档名称 文档密级:

址。

3、QOS模板定义 首先定义调度模板 scheduler-profile 2m

car cir 2048 pir 2050 cbs 256000 pbs 256250 upstream gts cir 2048 pir 2050 queue-length 65536 定义QOS模板,在其中引用调度模板 qos-profile 2m

scheduler-profile 2m 在用户域下引用QOS模板 domain dial qos profile 2m 2.1.9 安全基本配置 1、定义防病毒访问控制列表

acl number 6000 match-order auto

rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445

rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135

rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434 rule 90 permit any 2、定义流分类

2020-3-1

华为机密,未经许可不得扩散

第13页, 共75页

文档名称 文档密级:

traffic classifier limit operator or if-match acl 6000 3、定义流动作 traffic behavior limit deny 4、定义流策略 traffic policy limit

classifier limit behavior limit 5、全局下发针对用户侧的策略 traffic-policy limit inbound traffic-policy limit outbound

2.1.10 设备配置保存

执行SAVE命令,配置将缺省保存在设备CFCARD中。

2.2 设备接口配置 2.2.1 网络侧接口配置

1、ME60将没有直接挂接用户的三层称之为网络侧端口,典型的就是连接GSR设备的三层端口。该端口为普通的三层路由端口。对于这种类型的端口配置,与普通路由器三层端口相同。

对于网络侧端口的配置在系统模式下进行: interface GigabitEthernet1/0/0 mtu 1524 [配置端口MTU值]

description To-[LY-XiGong-GSR]G1/0/4 [对于该端口的描述 to-[对端设备型号]-端口号] ip address 125.45.253.178 255.255.255.252 [设置端口IP地址] mpls

2020-3-1

华为机密,未经许可不得扩散

第14页, 共75页

文档名称 文档密级:

mpls ldp

[端口下启用MPLS]

通过使用display interface命令可以查看端口状态(UP、down),端口类型及端口报文计数等信息。

2、端口描述规范

互联中继命名规范:

字段名称本端设备名称字段类型字母\\符号序列()括号_TO_对端设备名称字母符字母\\符号序列号()括号:符号(冒号)电路类型数字\\字母标注该链路的型号。如:FE,155MATM,155MPOS,GE,10GE,2.5GPOS,10GPOS:电路条目符号数字(冒号)第几条电路括号内标符合设备命名规注本端电字段说明范的设备名称路接入端口括号内标符合设备命名规注对端电范的设备名称路接入端口【端口简写】括号内端口信息采用简写

F:FE

G:GE/10GE

A:ATM

P:POS

设备端口上描述建议采用 TO_ PC-ZZ-ZYL-CRS-001(G0/2):GE:1:电路代号

用户电路命名规范:

:电路带宽:电路类型:电路条目符号符号符号数字\\字母数字\\字母字段类型字母\\符号序列括号字母符号字母\\符号序列数字(冒号)(冒号)(冒号)标注该链路的型号。标注该用户如:符合设备命名括号内标注接入的实际第几条电FE,155MATM,155MP字段说明规范的设备名本端电路接用户名称全拼带宽。例路OS,1GE,10GE,2.5GP称入端口如:10MOS,10GPOS字段名称本端设备名称()_TO_用户名称【端口简写】括号内端口信息采用简写

F:FE

G:GE/10GE

A:ATM

P:POS

注:设备端口上描述建议采用 TO_ ZZGONGSHANGJU:10M:FE:1:电路代号

例如,洛阳西工NE40E连接西工NE80E的描述: Int g1/0/0

Des TO_ PC-LY-XG-NE80E-001(G0/2):GE:1

2020-3-1

华为机密,未经许可不得扩散

第15页, 共75页

文档名称 文档密级:

2.2.2 loopback接口配置及描述

Loopback接口的配置在系统模式下进行。按照本期规划,每台设备需要配置2个loopback地址,范例如下: interface LoopBack0

ip address 125.40.254.110 255.255.255.255 [这个地址用来和RR建立IPV4 BGP邻居] #

interface LoopBack10

ip address 125.40.254.111 255.255.255.255 [这个地址用来和RR建立VPNV4 BGP邻居] 3.2.3 用户侧接口配置

当某个接口用于接入宽带用户时,该接口即为用户侧接口,需要将该接口配置为BAS 接口,并配置用户的接入类型和其他相关属性。

要完成配置BAS 接口的任务,需要执行如下的配置过程。 1 创建BAS 接口

请在ME60 上进行以下配置。

步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,创建BAS 接口。 2 配置用户接入类型

执行命令bas,进入BAS 接口视图。

执行命令access-type layer2-subscriber [ bas-interface-name name | default-domain { pre-authentication domain-name | authentication [ force | replace ] domain-name } * | accounting-copy radius-server radius-name ] * ,配置二层普通用户接入类型。 或执行命令access-type layer2-leased-line user-name username password [ bas-interface-name name | default-domain authentication domain-name |

accounting-copy radius-server radius-name | nas-port-type type ] *,配置二层专线用户接入类型。

或执行命令access-type layer3-leased-line user-name username password

2020-3-1

华为机密,未经许可不得扩散

第16页, 共75页

文档名称 文档密级:

[ bas-interface-name name | default-domain authentication domain-name |

accounting-copy radius-server radius-name | nas-port-type type ] *,配置三层专线用户接入类型 。

在设置BAS 接口的用户接入类型时,还可以一起设置和该种用户类型相关的业务属性,这些属性也可以在后续的配置中逐项配置。

对于已经被Eth-Trunk 接口包含的以太网接口,不能配置其用户接入类型,而只能配置 相应的Eth-Trunk 接口。

有用户在线时,只有当用户类型是专线用户时,可以在线修改BAS 接口的用户接入类 型,其他情况不能修改。

当用户类型配置为专线用户后,ME60 立即对该专线用户进行认证。 ???当接口下配置有IP 地址时,只能将用户接入类型设置为三层专线用户。

???如果BAS 接口为GE 或Eth-Trunk 子接口,当需要将用户接入类型设置为三层专线用户时,首

先必须在子接口下配置一个用户侧VLAN(且只能配置一个)。

3 配置用户认证方法 请在ME60 上进行以下配置。

步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。

步骤 4 执行命令authentication-method { { ppp | dot1x | { web | fast } } * | bind },配置用户认证方法。 ----结束

只有接入用户类型为二层用户的BAS 接口可以设置其认证方法。各种认证方法可以组合使用,但有以下的约束关系: ???Web 认证和快速认证互斥; ???绑定认证和其他认证方式都互斥。

2020-3-1

华为机密,未经许可不得扩散

第17页, 共75页

文档名称 文档密级:

缺省情况下,BAS 接口的认证方法为PPP 4 设置用户数限制(可选) 请在ME60 上进行以下配置。

步骤 1 执行命令system-view,进入系统视图。 5 配置BRAS 接入 Quidway ME60 配置指南-BRAS 业务

5-20 华为技术有限公司 文档版本 03 (2008-02-01)

步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。

步骤 4 执行命令access-limit number,设置接口级用户数限制。

或执行命令access-limit user-number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinqqinq-vlan ] ],设置VLAN 级用户数限制。 ----结束

缺省情况下,BAS 接口未设置用户数限制。 5 指定域(可选)

请在ME60 上进行以下配置。

步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。

步骤 4 执行命令default-domain pre-authentication domain-name,指定认证前缺省域。 或执行命令default-domain authentication [ force | replace ] domain-name,指定认证缺省域。 如果用户认证时未输入域名,ME60 默认其属于认证缺省域。设置认证缺省域可指定force 和replace 参数。

???force 参数表示不管用户认证时所带域名是什么,都强制转换到所设置的认证缺省域,使用该域的策略进行认证和授权,但用户名中的域名不发生改变。

???replace 参数表示强制转换到所设置的认证缺省域,同时用户名中的域名也发生变化,强制替换成设置的认证缺省域名。

缺省情况下,BAS 接口的认证缺省域为default1。

2020-3-1

华为机密,未经许可不得扩散

第18页, 共75页

文档名称 文档密级:

6 配置BAS 接口附加功能(可选) 请在ME60 上进行以下配置。

步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。 步骤 4 执行命令arp-proxy,启用ARP 代理功能。 或执行命令dhcp-broadcast,启用DHCP 广播功能。

或执行命令accounting-copy radius-server radius-name,启用计费报文抄送功能。 或执行命令ip-trigger,启用IP 报文触发上线功能。 或执行命令arp-trigger,启用ARP 报文触发上线功能。

或执行命令multicast copy by-session,启用按用户复制组播报文功能。 或执行命令dot1x authentication trigger,启用802.1X 认证触发功能。 ----结束 ARP 代理功能

ARP 代理功能用于同一BAS 接口下的用户互访,因为在ME60 同一接口下的用户按VLAN/PVC 严格隔离,要实现用户互访必须打开BAS 接口的ARP 代理开关。 只有在BAS 接口的接入用户类型设置为二层用户和二层专线用户的情况下,才可以配置BAS 接口的ARP 代理功能。

ARP 代理的开关只对相同BAS 接口的ARP 报文进行控制,其他的情况ARP 代理的开关都是打开的,无法关闭。

缺省情况下,同一BAS 接口相同VLAN/PVC 下的ARP 代理功能关闭。 DHCP 广播功能

通常情况下,BAS 接口的DHCP 报文是采用单播方式向用户进行发送的,但是在某些特 殊情况下可能需要对DHCP 报文进行广播,此时需要打开BAS 接口的DHCP 广播开关。 缺省情况下,BAS 接口的DHCP 广播功能关闭。 计费报文抄送功能

计费报文抄送是指在计费过程中,将计费信息同步发送给两台RADIUS 服务器,并分别等待回应的功能。

计费报文抄送功能主要在需要多处保存原始计费信息的场合使用(如多运营商共同组网)。

2020-3-1

华为机密,未经许可不得扩散

第19页, 共75页

文档名称 文档密级:

在这种情况下,计费报文需要同步发送给两台RADIUS 服务器,在后续的结算中作为原始计费信息。

缺省情况下,BAS 接口的计费报文抄送功能关闭。 IP 报文触发上线功能

IP 报文触发上线功能是指静态用户通过发送IP 报文触发认证过程的功能。 缺省情况下,BAS 接口的IP 报文触发上线功能关闭。 ARP 报文触发上线功能

ARP 报文触发上线功能是指用户通过发送ARP 报文触发认证过程的功能。 缺省情况下,BAS 接口的ARP 报文触发上线功能关闭。 按用户复制组播报文功能

通常情况下,ME60 收到某个组播组的组播报文后,只会向每个物理端口复制一份组播报文,二层设备再将组播报文复制给该组播组的每个用户。

如果二层设备不具备IGMP Snooping 功能,无法识别组播组用户,则需要在ME60 的接口上启用按用户进行组播复制的功能,由ME60 直接将组播报文复制给用户。 缺省情况下,BAS 接口的按用户复制组播报文功能关闭。 802.1X 认证触发功能

802.1X 认证触发功能是指ME60 探测到802.1X 用户上线后,主动向用户发起认证请求 的功能。

缺省情况下, BAS 接口的802.1X 认证触发功能关闭。

下面的配置范例为PPPOE接入的用户侧端口配置: interface GigabitEthernet1/0/3.805 pppoe-server bind Virtual-Template 1 [绑定PPP模板,确定该端口使用PPPOE] mtu 1524

description To-NanShan-HW-MA5300-User user-vlan 256 1000 QinQ 805

[这个命令就是终结正常的PPPOE拨号用户报文,内层标签是256-1000,外层标签是805] bas

2020-3-1

华为机密,未经许可不得扩散

第20页, 共75页

文档名称 文档密级:

access-type layer2-subscriber default-domain authentication dial

[BAS下的这条命令把PPPOE用户作为二层拨号用户,缺省的认证域为DIAL域,使用该域中的认证方法、QOS模板等定义的参数] 2.2.3 地址池的配置

地址将会被用户域引用,用来为用户分配IP地址,并向拨号用户提供网关、DNS等参数。地址池可以配置多个,ME60会自动循环向后使用。配置范例如下: ip pool dial local

gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68

dns-server 202.102.227.68 secondary

[定义地址池,包括网关,可分配地址范围,不能被分配的地址以及DNS等参数,地址池会被后面的域所引用,以给用户分配地址]

2.2.4 VLAN及QINQ接口配置

配置VLAN 和QinQ VLAN 需要进入相应端口配置模式下进行,大致分为如下几类: 1、普通固定IP 业务VLAN 配置及绑定 interface GigabitEthernet1/0/3.100 description To-NanShan-S6503 user-vlan 100

[这条命令指名该端口终结带100这个单层标签的报文] bas

access-type layer2-subscriber default-domain authentication wangguan authentication-method bind

[该端口下面是网管下挂的S6503交换机。ME60把它当作一个静态IP用户,一个2层用户。所谓二层用户,也就是这个下挂设备的地址是由BRAS分配管理的。该端口用户默认是在wangguan这个域中进行,认证方法是BIND,也就是ME60根据下挂用户的物理位

2020-3-1

华为机密,未经许可不得扩散

第21页, 共75页

文档名称 文档密级:

置自动分配一个用户名。这部分配置都在BAS视图下进行] user detect retransmit 3 interval 30

[每隔30秒向该用户发一个ARP请求,根据回应确定用户在线。如果连续3次(90秒)没有收到回应,设备就认为用户已经下线。用这种手段来保证该设备一直在线。] 在系统视图下配置:

static-user 10.36.252.252 10.36.252.252 interface GigabitEthernet1/0/3.100 vlan 100 detect domain-name wangguan

[配置二层静态IP用户,静态用户地址范围从10.36.252.252至10.36.252.252,也就是指定一个静态IP,定义了这个静态用户所在的端口GigabitEthernet1/0/3.100,定义了这个用户的报文标签为100,这个用户所属的域为wangguan,以下配置相同,本机下挂的网络设备都用这种方式来进行网管,同时,开启二层静态IP用户也是用这种办法]

2、普通PPPOE 用户VLAN 配置及动态绑定 interface GigabitEthernet1/0/9.1 pppoe-server bind Virtual-Template 1 user-vlan 200 bas

access-type layer2-subscriber default-domain authentication dial 3、 固定IP 用户QinQ VLAN 的配置及绑定 interface GigabitEthernet1/0/3.200 description leaseline-tel-7676123 user-vlan 100 qinq 200 bas

access-type layer2-subscriber default-domain authentication wangguan authentication-method bind

static-user 10.36.252.2 10.36.252.2 interface GigabitEthernet1/0/3.200 vlan 100 qinq 200 detect domain-name wangguan 该用户的IP地址为10.36.252.2。

4、批量、连续的PPPOE 用户QinQ VLAN 配置及动态绑定

2020-3-1

华为机密,未经许可不得扩散

第22页, 共75页

文档名称 文档密级:

interface GigabitEthernet1/0/9.801 pppoe-server bind Virtual-Template 1 mtu 1524

description To-YiTuo-HAMMER-10000-2-User user-vlan 256 1000 QinQ 801 bas

access-type layer2-subscriber default-domain authentication dial

[该子接口下终结了一批内层VLAN范围为256至1000,外层VLAN为801的PPPOE用户。注意,用户的认证方法等参数配置在相应用户域中,此例中为DIAL域,在用户侧端口下会引用该域。]

2.3 路由协议配置

本期工程BAS(ME60) 采用两个上联出口连接至地市核心GSR。在ME60 上配置主链路COST 为100,用户路由则采用BGP 进行承载,以下对OSPF 及BGP 的配置进行详细说明。 2.3.1 OSPF协议配置

BAS 与上联设备建立OSPF 邻居,OSPF 的area 号与各地市宽带IP 网area 号一致,如郑州area号为 371;洛阳为379。OSPF 链路类型为点到点类型。具体配置范例如下: 1、系统模式下配置ospf协议 ospf 1 router-id 125.40.254.110 [定义OSPF进程号以及ROUTER-ID] area 0.0.1.123 [进入相应area]

network 125.40.254.110 0.0.0.0 network 125.40.254.111 0.0.0.0 network 125.45.253.176 0.0.0.3 network 125.45.253.200 0.0.0.3 [发布loopback地址以及互连地址]

2、进入端口模式,将OSPF配置成为P-TO-P模式 interface GigabitEthernet1/0/0

2020-3-1

华为机密,未经许可不得扩散

第23页, 共75页

文档名称 文档密级:

ospf network-type p2p 3、查看OSPF协议状态 进入用户模式或者系统模式 ★ 查看OSPF邻居状态

dis ospf peer OSPF Process 1 with Router ID 125.40.254.110 Neighbors Area 0.0.1.123 interface 125.45.253.178(GigabitEthernet1/0/0)'s neighbors Router ID: 61.168.255.247 Address: 125.45.253.177 GR State: Normal State: Full Mode:Nbr is Slave Priority: 1 DR: None BDR: None MTU: 1524 Dead timer due in 31 sec Neighbor is up for 701:33:05 Authentication Sequence: [ 0 ] Neighbors Area 0.0.1.123 interface 125.45.253.202(GigabitEthernet1/0/1)'s neighbors Router ID: 61.168.255.245 Address: 125.45.253.201 GR State: Normal State: Full Mode:Nbr is Slave Priority: 1 DR: 125.45.253.202 BDR: 125.45.253.202 MTU: 1524 Dead timer due in 34 sec Neighbor is up for 701:32:23 Authentication Sequence: [ 0 ]

通过以上命令查看OSPF邻居状态,正常情况下,在P-TO-P模式下邻居状态都应该为FULL。

★ 查看OSPF路由表

2020-3-1

华为机密,未经许可不得扩散

第24页, 共75页

文档名称 文档密级:

display ospf routing OSPF Process 1 with Router ID 125.40.254.110 Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 123.5.248.212/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

61.168.247.8/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

123.5.248.216/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

61.168.247.12/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

123.5.248.220/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

125.45.240.0/30 331 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

125.45.240.1/32 332 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

正常情况下,应该能够看到设备能够通过OSPF协议学习到路由。

3.3.2 BGP配置

在本期项目中,设备需要通过不同的loopback地址与本地核心路由器(充当路由反射器)分别建立2个BGP IPV4 邻居以及2个BGP VPNV4邻居。河南网通城域网AS号为65130。BGP配置需要在系统视图下进行,范例如下: 1、BGP配置 bgp 65130

2020-3-1

华为机密,未经许可不得扩散

第25页, 共75页

文档名称 文档密级:

router-id 125.40.254.110 group ha-ly-vpn internal [建立PEER GROUP]

peer ha-ly-vpn password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! [配置VPNV4 BGP邻居认证]

peer ha-ly-vpn connect-interface LoopBack10 peer 61.168.232.245 as-number 65130 peer 61.168.232.245 group ha-ly-vpn peer 61.168.232.247 as-number 65130 peer 61.168.232.247 group ha-ly-vpn [配置VPNV4邻居基本参数] group ha-ly internal

peer ha-ly password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! [建立IPV4 邻居认证]

peer ha-ly connect-interface LoopBack0 peer 61.168.255.245 as-number 65130 peer 61.168.255.245 group ha-ly peer 61.168.255.247 as-number 65130 peer 61.168.255.247 group ha-ly [配置IPV4邻居参数] #

ipv4-family unicast undo synchronization

network 61.54.44.128 255.255.255.240 network 218.28.152.32 255.255.255.240 network 218.28.152.48 255.255.255.240 network 218.28.152.136 255.255.255.248 import-route unr

[该命令将PPPOE用户路由引入进BGP协议中,达到使用BGP承载业务路由目的]

2020-3-1

华为机密,未经许可不得扩散

第26页, 共75页

文档名称 文档密级:

undo peer 61.168.232.245 enable undo peer 61.168.232.247 enable peer ha-ly-vpn enable peer ha-ly enable

peer ha-ly route-policy setcommunity export [配置发布的路由携带路由策略中定义的团体属性] peer ha-ly next-hop-local peer ha-ly advertise-community peer 61.168.255.245 enable peer 61.168.255.245 group ha-ly peer 61.168.255.247 enable peer 61.168.255.247 group ha-ly #

ipv4-family vpnv4 policy vpn-target peer ha-ly-vpn enable peer ha-ly-vpn next-hop-local peer ha-ly-vpn advertise-community peer 61.168.232.247 enable peer 61.168.232.247 group ha-ly-vpn peer 61.168.232.245 enable

peer 61.168.232.245 group ha-ly-vpn [配置VPNV4邻居关系相关参数]

route-policy setcommunity permit node 0 apply community 65130:379

[这个路由策略会在BGP发布路由时使用,把发布的BGP路由都带上65130:379这个团体属性,该命令在系统模式下配置]

2020-3-1

华为机密,未经许可不得扩散

第27页, 共75页

文档名称 文档密级:

2、查看BGP协议状态 进入用户视图或者系统视图 ★ 查看IPV4 BGP邻居状态

display bgp peer BGP local router ID : 125.40.254.110 Local AS number : 65130 Total number of peers : 2 Peers in established state : 2 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv

61.168.255.245 4 65130 1023357 49284 0 0701h54m Established 41481

61.168.255.247 4 65130 1026851 45813 0 0701h54m Established 41464

正常情况下邻居状态应该为Established。 ★ 查看VPNV4 邻居状态

display bgp vpnv4 all peer BGP local router ID : 125.40.254.110 Local AS number : 65130 Total number of peers : 2 Peers in established state : 2

Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 61.168.232.247 4 65130 54448 47499 0 0701h56m Established 0 61.168.232.245 4 65130 54349 51250 0 0701h56m Established 0 正常情况下邻居状态应该为Established。 ★ 查看BGP路由表

display bgp routing-table Total Number of Routes: 82963

2020-3-1

华为机密,未经许可不得扩散

第28页, 共75页

文档名称 文档密级:

BGP Local router ID is 125.40.254.110 Status codes: * - valid, > - best, d - damped, h - history, i - internal, s - suppressed, S - Stale Origin : i - IGP, e - EGP, ? - incomplete Network NextHop MED LocPrf PrefVal Path/Ogn *>i 1.1.1.0/24 61.168.247.243 0 100 0 ? * i 61.168.247.243 0 100 0 ? *>i 2.2.2.0/30 61.168.247.247 0 100 0 ? * i 61.168.247.247 0 100 0 ? *>i 2.2.2.2/32 61.168.251.237 0 100 0 ? * i 61.168.251.237 0 100 0 ? *>i 3.3.3.0/30 61.168.247.247 0 100 0 ? * i 61.168.247.247 0 100 0 ? *>i 4.4.4.0/30 61.168.247.247 0 100 0 ? 正常情况下设备应该能够通过BGP协议学习到IPV4路由。 ★ 查看VPNV4路由

dis bgp vpnv4 all routing-table

如果网络中开启L3 MPLS VPN ,正常情况下应能够学习到VPNV4路由。

2.4 RADIUS配置 认证功能:

认证功能验证用户是否可以获得访问权。用户接入网络时,ME60 可通过用户名和密码对用户的身份进行认证。ME60 支持四种认证模式,如下所示。

★不认证: 表示运营商对用户非常信任,ME60 对用户不进行合法性检查。一般情况下不建议采用此模式。

★本地认证: 在ME60 上配置用户信息(用户名、密码及其他属性等),由ME60 完成对

2020-3-1

华为机密,未经许可不得扩散

第29页, 共75页

文档名称 文档密级:

用户的认证。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

★RADIUS 认证: ME60 作为客户端,与RADIUS 服务器通信。在RADIUS 服务器上配置用户信息,ME60 将用户名和密码通过RADIUS 协议传送给RADIUS 服务器, RADIUS 服务器完成对用户的认证并将认证结果反馈给ME60。

★HWTACACS 认证: ME60 作为客户端,与HWTACACS服务器通信。在HWTACACS 服务器上配置用户信息,ME60 将用户名和密码通过HWTACACS 协议传送给HWTACACS 服务器, HWTACACS服务器完成对用户的认证并将认证结果反馈给ME60。

授权功能:

指定用户可以使用哪些服务。ME60 支持四种授权模式,如下所示。 直接授权 表示运营商对用户非常信任,直接授权。 本地授权 根据ME60 配置的用户属性对用户进行授权。

RADIUS 认证成功后授权。RADIUS 协议的认证和授权是绑定在一起的,不能单独使用RADIUS 进行授权。

HWTACACS 授权 由HWTACACS 服务器对用户进行授权。

计费功能:

记录用户使用网络资源的情况。ME60 支持三种计费模式,如下所示。 不计费: ME60不对用户进行计费。

RADIUS 计费: ME60 将计费报文送往RADIUS 服务器,由RADIUS 服务器完成对用户的计费。

HWTACACS 计费: ME60 将计费报文送往HWTACACS 服务器,HWTACACS 服务器完成对用户的计费。在RADIUS/HWTACACS 计费模式中,正常情况下ME60 在用户上线和下线时各生成一份计费报文传送给服务器,服务器根据计费报文中的信息(上下线时间、使用流量等)对用户进行计费。

ME60 支持实时计费功能。实时计费功能是指用户在线过程中,ME60 定时生成计费报文传送给服务器。通过实时计费功能,ME60 可以在其和服务器通信中断时,最大程度的减少计费异常的时间。

在本期项目中,我们主要采用RADIUS的认证方式,通过RADIUS服务器,设备可以提供以下控制功能:

?? 用户认证:对用户名及口令进行认证;

2020-3-1

华为机密,未经许可不得扩散

第30页, 共75页

文档名称 文档密级:

?? 用户认证:对用户名及口令进行认证;

?? 计费记录:通过对用户在线时间或流量等进行计费; ?? 用户授权:给用户授权,如授权成为l2tp 用户;

?? 用户带宽指定:通过RADIUS 设定QOS 属性名称来实现用户带宽属性; ?? 预付费实时断线:根据时长或流量对用户进行下线操作;

?? 用户帐号和VLAN 绑定:通过RADIUS 为用户绑定VLAN 号来防止盗号和漫游的发生; ?? 指定用户 ACL :通过RADIUS 返回ACL 字符串来对用户行为进行访问控制; ?? 异常断线信息传递:通过接收ME60 发出的PPPOE 错误代码来判断用户的下线原因。 2.4.1 本次项目中RADIUS配置参数 RADIUS 服务器地址 221.13.223.140

认证端口号 1645 计费端口号 1646

ME60 的RADIUS 通讯字符串:henancnc 2.4.2 RADIUS配置范例及注释

RADIUS相关配置在系统模式下进行。 radius-server source interface LoopBack0

[定义与RADIUS交互报文携带的源地址为LOOPBACK0的地址] radius-server group dial

[建立RADIUS服务器组,名称为DIAL,后面的用户域会引用这个服务器组作认证] radius-server shared-key henancnc authentication 221.13.223.140 1645 weight 0

radius-server shared-key henancnc accounting 221.13.223.140 1646 weight 0 [定义RADIUS服务器的地址与端口号] radius-server shared-key henancnc [与服务器交互的KEY,必须与server端一致] radius-server class-as-car

[这条命令和QOS有关,ME60会将服务器端返回的CLASS属性当中的值解释为对已通过认证用户的CAR值,从而达到对用户限速的目的。对用户的速度限制是在RADIUS上定义的。]

2020-3-1

华为机密,未经许可不得扩散

第31页, 共75页

文档名称 文档密级:

radius-server source interface LoopBack0 undo radius-server user-name domain-included

[该命令定义用户认证的时候,向RADIUS发送用户名的时候不带域名]

基本RADIUS定义完毕后,我们需要定义一个authentication-scheme,这项配置用来定义用户域中的用户使用何种认证方式来认证。缺省情况下,authentication-scheme的认证方式为RADIUS。authentication-scheme的配置在AAA视图下进行。 AAA

authentication-scheme radius

[定义一个名称为RADIUS的authentication-scheme。由于缺省采用RADIUS认证,所以不用再配置额外命令]

定义完RADIUS-server group以及authentication-scheme以后,我们在用户域中对二者进行引用,范例如下:

domain dial

authentication-scheme radius

[该域用名称为RADIUS的SCHEME来进行认证]

accounting-scheme radius service-type hsi

[将该域的模式配置成HIS模式,PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组]

对于用户的认证,如果用户上送的用户名携带域名,则不管用户从哪个端口上线,设备都会把该用户放到相应的域中进行认证;如果用户上送的用户名不携带域名,则将该用户放到端口下配置的缺省域中去完成认证。

在设备中,除了对拨号用户进行认证的DIAL域之外,还有另外几个域,简述如下: 1、网管域,主要用于对下挂网络设备进行管理使用,将下挂网络设备均作为2层静态IP用户进行管理。配置范例如下: domain wangguan

authentication-scheme default0 accounting-scheme default0 ip-pool wangguan

[认证和计费均为default 0,表示不认证,不计费]

2020-3-1

华为机密,未经许可不得扩散

第32页, 共75页

文档名称 文档密级:

2、CNC域,主要用作用户下载宽带拨号程序使用,除了下载页面,该域中的用户不允许方问起他地址。配置范例如下: domain cnc

authentication-scheme local accounting-scheme default0 user-group help ip-pool help

3、IPTV域,该域用作IPTV用户访问相关服务器使用,该域中的用户不得访问其他地址。配置范例如下: domain iptv.ha

authentication-scheme radius accounting-scheme radius ip-pool iptv

2.4.3 RADIUS状态查看

状态查看在用户模式或者系统模式下进行。 ★ 服务器状态查看

display radius-server configuration RADIUS source interface : LoopBack0 RADIUS no response packet count : 10 RADIUS auto recover time(Min) : 3 --------------------------------------------------------- Server-group-name : dial Authentication-server: IP:221.13.223.140 Port:1645 Weight[0] [UP] Vpn: - share-key: henancnc Accounting-server : IP:221.13.223.140 Port:1646 Weight[0] [UP] Vpn: - share-key: henancnc Protocol-version : radius

2020-3-1

华为机密,未经许可不得扩散

第33页, 共75页

文档名称 文档密级:

Shared-secret-key : henancnc Retransmission : 3 Timeout-interval(s) : 5 Acct-Stop-Packet Resend : NO Acct-Stop-Packet Resend-Times : 0 --------------------------------------------------------- Total 1,1 printed ★ 查看用户状态信息 1、查看所有用户概况

display access-user ------------------------------------------------------------------- Total users : 979 Normal users : 979 Admin users : 0 Wait authen-ack : 0 Authentication finish : 979 Accounting ready : 10 Realtime accounting : 969 Wait leaving-flow-query : 0 Wait accounting-start : 0 Wait accounting-stop : 0 Wait authorization-client : 0 Wait authorization-server : 0 ------------------------------------------------------------------- Domain-name Current-User Online-User ------------------------------------------------------------------- default0 : 0 :0 default1 : 0 :0 default_admin : 0 :0

2020-3-1

华为机密,未经许可不得扩散

第34页, 共75页

文档名称 文档密级:

static : 0 :0 dial : 969 :969 test : 0 :0 wangguan : 10 :10 cnc : 0 :0 iptv.ha : 0 :0 test-1 : 0 :0 ----------------------------------------------------------------------------- The used userid table are : 196 3032 3049 11324 11327 11358 33152 48343

49311 49328 52252 53841 53999 54350 54974 55235

55276 55393 55692 56633 56862 57130 57839 57949

2、查看单个用户详细信息

该命令需要利用到上一个命令输出的USER-ID

dis access-user user-id 69846 User access index : 69846 User name : 2:3uSG2MxeXV2 Domain-name : dial User access Interface : GigabitEthernet1/0/9.802 QinQVlan/UserVlan : 802/309 User MAC : 00e0-4cbc-c4c3 User IP address : 61.168.104.251 Authen server ip address : 221.13.223.140 User access type : PPPoE Service-type : HSI

2020-3-1

华为机密,未经许可不得扩散

第35页, 共75页

文档名称 文档密级:

User authentication type : PPP authentication Normal-server-group : dial Two-level-acct-server-group : - Physical-acct-server-group : - Authen method : RADIUS Current authen method : RADIUS Authen result : Success Action flag : Idle Authen state : Authed Author state : Idle Accounting method : RADIUS User access time : 2008/06/07 11:07:21 Accounting start time : 2008/06/07 11:07:21 Accounting state : Accounting EAP user : No MD5 end : No User MSIDSN name : - Idle-cut-data (time,rate) : 0 minute, 60 Kbyte/minute VPN instance : -- GRE group : - UserGroup : - QOS-profile-name : 2m Multicast-profile : - UpPriority : 0 DownPriority : 0 Policy-route-nexthop : - Up CAR enable : Yes Up committed information rate : 2098 (Kbps) Up peak information rate : 0 (Kbps)

2020-3-1

华为机密,未经许可不得扩散

第36页, 共75页

文档名称 文档密级:

Down shaping enable : Yes Down committed information rate : 2098 (Kbps) Down peak information rate : 2098 (Kbps) QOS schedule mode : DEFAULT Up packets number(high,low) : (0,622) Up bytes number(high,low) : (0,91263) Down packets number(high,low) : (0,574) Down bytes number(high,low) : (0,343789) Time remained : 172544(s) Option82 information :- 2.4.4 RADIUS故障排除方法

1)可以将验证方式更改为none;这样可以让用户直接拨号,如果可以pppoe 成功,说明用户到ME60的2 层通路没有问题;

2)也可以改为方式为local,在ME60 上创建用户和密码,让用户使用该帐号和密码登陆,如果成功,说明用户到ME60 间的二层通路没有问题; local-aaa-server

user test@test password simple test [配置本地用户并创建密码]

2.5 QOS带宽管理

商务宽带用户管理系统用户认证时,用户带宽速率信息由润汇系统定时更新给商务宽带系统。用户拨号认证时,由RADIUS(商务宽带计费系统)下发用户带宽信息给BAS,通过BAS 实现带宽控制,统一进行带宽管理,接入设备上对端口带宽可完全放开,便于今后的管理和维护。

BAS 上需要配置相应的带宽控制策略。目前BAS 上配置的带宽策略有:512K,1M,2M,4M,6M,8M,10M;对于各地市不同的带宽需求,需要在相应的BAS 和RADIUS 上添加不同控制策略。 2.5.1 两类QOS配置

1、RADIUS服务器下发的QOS配置策略。该策略由RADIUS认证用户并通过后下发至ME60,

2020-3-1

华为机密,未经许可不得扩散

第37页, 共75页

文档名称 文档密级:

ME60通过在RADIUS配置中配置 CLASS-AS-CAR命令来解释该属性,并依据该属性来对用户进行限速。

2、ME60本机定义的限速策略,通过定义调度模板、 qos模板并在用户域下引用QOS模板来实现对整个域下用户的限速。

以上两种QOS机制如果同时配置,RADIUS下发的策略优先生效。

2.5.2 配置设备接收RADIUS服务器策略配置 radius-server group dial radius-server class-as-car 2.5.3 ME60本机QOS策略配置 1、定义调度模板

scheduler-profile 10m car cir 10000 cbs 1875000 pbs 1875000 upstream car cir 10000 cbs 1875000 pbs 1875000 downstream gts cir 10000 queue-length 65536 # scheduler-profile 1m car cir 1000 cbs 187500 pbs 187500 upstream car cir 1000 cbs 187500 pbs 187500 downstream gts cir 1000 queue-length 65536 # scheduler-profile 2m car cir 2000 cbs 375000 pbs 375000 upstream car cir 2000 cbs 375000 pbs 375000 downstream gts cir 2000 queue-length 65536 # scheduler-profile 4m car cir 4000 cbs 750000 pbs 750000 upstream car cir 4000 cbs 750000 pbs 750000 downstream

2020-3-1

华为机密,未经许可不得扩散

第38页, 共75页

文档名称 文档密级:

gts cir 4000 queue-length 65536 # scheduler-profile 512k car cir 512 cbs 93750 pbs 93750 upstream car cir 512 cbs 93750 pbs 93750 downstream gts cir 512 queue-length 65536 # scheduler-profile 6m car cir 6000 cbs 1125000 pbs 1125000 upstream car cir 6000 cbs 1125000 pbs 1125000 downstream gts cir 6000 queue-length 65536 # scheduler-profile 8m car cir 8000 cbs 1500000 pbs 1500000 upstream car cir 8000 cbs 1500000 pbs 1500000 downstream gts cir 8000 queue-length 65536

2、定义QOS模板,该模板需要引用前面定义的调度模板

qos-profile 10m scheduler-profile 10m # qos-profile 1m scheduler-profile 1m # qos-profile 2m scheduler-profile 2m # qos-profile 4m scheduler-profile 4m #

2020-3-1

华为机密,未经许可不得扩散

第39页, 共75页

文档名称 文档密级:

qos-profile 512k scheduler-profile 512k # qos-profile 6m scheduler-profile 6m # qos-profile 8m scheduler-profile 8m # qos-profile default

3、在用户域下应用QOS模板。 domain 1m qos profile 1m

2.6 PPPOE配置 2.6.1 概述

在实际业务环境中PPPOE 拨号用户分以下两种:

1) LAN 用户:通过交换机端口进行拨号,这种用户在接入层交换机上将用户VLAN 号透传给ME60 来建立拨号线路;

2) DSLAM 用户:用户通过ADSL 分流器将数字信号导入DSLAM,DSLAM 为用户分配特定的VLAN号,由汇聚层交换机将用户VLAN 透传给ME60;原则上,所有接入层设备上联接口均启用TRUNK,用户VLAN 或QinQ VLAN 透传至BAS 端口;

用户可使用客户端进行PPPOE 拨号;目前商务宽带系统启用建议新增用户采用PPPOE 方式进行管理。拨号过程:用户发起PPPOE 拨号请求,由ME60 终结PPPOE 连接,通过RADIUS 来进行用户认证,用户认证通过后,由ME60 为用户分配IP 地址、DNS 服务器地址等。

PPPOE基本配置如下: 1 配置虚模板接口 2 配置认证方案 3 配置计费方案

2020-3-1

华为机密,未经许可不得扩散

第40页, 共75页

文档名称 文档密级:

4 配置RADIUS 服务器组/HWTACACS 服务器模板 5 配置IPv4 地址池 6 配置域

7 为接口指定虚模板接口(对PPPoE、PPPoEoVLAN、PPPoEoQ 接入有效) 8 子接口绑定VLAN(只对PPPoEoVLAN、PPPoEoQ 接入有效) 9 配置BAS 接口 2.6.2 PPPOE相关配置 1、配置PPP虚拟模板

interface Virtual-Template1 ppp authentication-mode auto ppp keepalive interval 30 retransmit 3 tcp adjust-mss 1400

[建立PPP虚模板,在其中可以定义PPPOE的一些特性。比如第一行定义了PPP使用的认证方法为自适应,也就是根据拨号客户端的方法来决定ME60的认证方式。PPP keepalive定义PPP协议LCP探测报文的发送频率,此处我们配置每30秒发送一次,重传频率为3,这样,只要在90秒内可以接收到用户反馈,即认为用户在线。]

2、配置认证方案

authentication-scheme radius

3、配置计费方案

accounting-scheme radius accounting start-fail online

4、配置RADIUS 服务器组

radius-server group dial radius-server shared-key henancnc authentication 221.13.223.140 1645 weight 0

radius-server shared-key henancnc accounting 221.13.223.140 1646 weight 0 radius-server shared-key henancnc radius-server class-as-car radius-server source interface LoopBack0

2020-3-1

华为机密,未经许可不得扩散

第41页, 共75页

文档名称 文档密级:

undo radius-server user-name domain-included

5、配置IPV4地址池 ip pool dial local

gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68

dns-server 202.102.227.68 secondary

6、配置域

domain dial

authentication-scheme radius

[该域用名称为RADIUS的SCHEME来进行认证]

accounting-scheme radius service-type hsi

[将该域的模式配置成HIS模式,PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组] ip-pool dial

[指定该域使用的地址池] qos profile 2m

[指定该域使用的QOS模板]

7 为接口指定虚模板接口

interface GigabitEthernet1/0/9.600 pppoe-server bind Virtual-Template 1

8、子接口绑定VLAN

interface GigabitEthernet1/0/9.600 user-vlan 256 1000 QinQ 802

9 配置BAS 接口

interface GigabitEthernet1/0/9.600 bas

2020-3-1

华为机密,未经许可不得扩散

第42页, 共75页

文档名称 文档密级:

access-type layer2-subscriber default-domain authentication dial

2.7 用户认证域选择

1、对于上送用户名带域名的情况,设备将其送入相应的域进行认证。 2、用户VLAN绑定端口认证

access-type layer2-subscriber default-domain authentication dial 对于没有携带域名的用户名,在端口下绑定了相应VLAN,送入该端口下缺省的域进行认证,上述命令中设置缺省域是DIAL域。

2.8 反向路由检测

URPF(Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能是防止基于源地址欺骗的网络攻击行为。

之所以称为“逆向”,是针对正常的路由查找而言的。一般情况下,路由器接收到报文,获取报文的目的地址,针对目的地址查找路由,如果找到了就转发报文,否则丢弃该报文。URPF通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与入接口匹配。如果不匹配,认为源地址是伪装的,丢弃该报文。通过这种方式,URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。源地址欺骗攻击模型如下。

2020-3-1

华为机密,未经许可不得扩散

第43页, 共75页

文档名称 文档密级:

在RouterA(客户网络)所连接的主机上伪造源地址为2.1.1.1的报文,向RouterB发起请求,RouterB回应请求时将向真正的“2.1.1.1”发送报文。这种报文对RouterB和RouterC都造成了攻击。 ME60所支持的URPF

ME60支持对某接口下的所有IP报文通过如下两种方式进行URPF检查:

? 松散检查:对于进入该接口的IP报文,ME60检查转发表中是否存在到IP报文源地址的表项。如果存在,则URPF检查通过。

? 严格检查:对于进入该接口的IP报文,ME60检查转发表中是否存在到IP报文源地址的表项。如果不存在,则URPF检查不通过。如果存在,则继续检查该表项的出接口是否为IP报文进入的接口。如果两个接口一致,则URPF检查通过。

ME60还支持对符合某类特征的报文进行URPF检查。此类URPF检查通过基于类的QoS的来实现。配置实现过程如下:

1. 在ME60上创建并配置traffic classifier,设置QoS流分类,用于识别符合某类特征的报文。

2. 在ME60上创建并配置traffic behavior,设置QoS动作为URPF检查。具体请参见“8.2.3 (可选)配置对某类报文进行URPF检查”。

3. 在ME60上创建流量策略traffic policy,设置对某类报文进行URPF检查。

4. 在接口上或者某业务策略中应用该流量策略。也可全局应用该流量策略,此时对所有符合条件的报文进行URPF检查

URPF配置范例

步骤 1 执行命令system-view,进入系统视图。

2020-3-1

华为机密,未经许可不得扩散

第44页, 共75页

文档名称 文档密级:

步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令ip urpf { loose | strict },使能接口URPF功能。

由于ME60拥有2条上行连路,我们建议使用LOOSE方式。 2.9 DHCP RELAY配置

ME60 支持DHCP server 和relay,可以根据需要进行配置,但是因为DHCP 无法进行认证,所以通常把ME60 设置成Relay,由专用的DHCP server 来进行分配地址并通过后台来实现认证。

目前全省机顶盒用户通过DHCP 方式来获取IP 地址,对类型机顶盒用户,也可延用原DHCP relay方式。ME60 作为DHCP relay 来中继机顶盒用户与DHCP 服务器之间的DHCP 连接,实现机顶盒用户的动态地址分配。

以下是配置范例

步骤 1 配置DHCP服务器 # 配置DHCP服务器组。

[Quidway] dhcp-server group group1

[Quidway-dhcp-server-group-group1] dhcp-server 40.40.40.2 [Quidway-dhcp-server-group-group1] quit # 配置DHCP全局参数。

[Quidway] dhcp invalid-server-detecting 60 [Quidway] dhcp check-server-pkt strict

步骤 2 配置远端地址池

[Quidway] ip pool isp2_pool remote

[Quidway-ip-pool-isp2_pool] gateway 30.30.30.1 255.255.255.0 [Quidway-ip-pool-isp2_pool] dhcp-server group group1

2020-3-1

华为机密,未经许可不得扩散 第45页, 共75页

文档名称 文档密级:

[Quidway-ip-pool-isp2_pool] quit

步骤 3 配置isp2域

[Quidway] aaa

[Quidway–aaa] domain isp2

[Quidway-aaa-domain-isp2] ip-pool isp2_pool 2.10 IP综合网管设备配置要求

2.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址) 地址段范围:

IP网管段:61.163.204.0-61.163.207.255 本地网管段:指本市管理设备时的网管地址段 省网管地址段:218.29.255.0/24

汇地址段:202.111.142.0-202.111.142.63 218.29.0.224-218.29.0.255 全网的互连设备地址段:61.168.254.0/23

我们在配置设备的时候,需要把上述地址段做成ACL,然后应用在VTY接口下。本地市网管地址段请向地市公司索取。

在初期调试的时候,我们可以先不加这些访问控制,以便于远程登录进行设备调试。

2.10.2 TELNET用户名和密码

首先设置本机用户及密码,以用来远程登录设备。

2.10.3 SNMP配置

这是网管系统对网络设备进行管理的主要方式,设备配置信息的获取、设备性能数据的采集、设备端口流量获取都是基于snmp来进行的。因此需要在每台可管理的网络设备中配置只读community,字符串要求8位及以上数字、字母、符号的混编组合。对SNMP的访问源要严格按照第一条进行限制。 配置示例(假IP地址)

system-view [Quidway]snmp-agent

[Quidway]snmp-agent community read snmp_ro_password acl 2100 [Quidway]snmp-agent community write snmp_rw_password acl 2100

2020-3-1

华为机密,未经许可不得扩散

第46页, 共75页

文档名称 文档密级:

[Quidway]snmp-agent sys-info version all

[Quidway]snmp-agent target-host trap address udp-domain 211.142.189.39 params

securityname snmp_ro_password

[Quidway]snmp-agent trap enable standard

[Quidway]snmp-agent trap source LoopBack0 [Quidway] acl number 2100

[Quidway -acl-basic-2100]description This acl is used in SNMP [Quidway -acl-basic-2100]rule 10 permit source 211.142.189.39 0

2.10.4 SYSLOG配置

本期项目我们的设备需要向省公司SYSLOG传送log信息,具体规定如下:

配置网络设备发送syslog到网管服务器 汇聚层设备syslog目标:61.163.204.13

Zan/ban/Dslam设备syslog目标:61.163.204.14 级别:warning及其以上 源端口为:Loopback0 华为设备使用local3

按照以上规定,NE40E需要发送LOG至61.163.204.13。 配置示例:

system-view

[Quidway] info-center enable

[Quidway] info-center logbuffer size 1024

[Quidway] info-center loghost 61.163.204.13 facility 3 [Quidway] info-center loghost source loopback 0 [Quidway] info-center timestamp trap date [Quidway] info-center timestamp log date [Quidway] info-center timestamp debugging date

[Quidway] info-center source default channel 2 log level warnings

2020-3-1

华为机密,未经许可不得扩散 第47页, 共75页

文档名称 文档密级:

3、ME60承载业务及配置规范 3.1 承载业务类型

商务宽带系统可以提供更丰富的业务种类和计费方式;常用的业务类型有以下几类: 1) 普通上网业务(采用PPPOE 拨号); 2) 卡类业务(采用PPPOE 拨号); 3) 固定IP 上网业务;

4) VPDN 业务(采用PPPOE 拨号);

5) 机顶盒业务(采用PPPOE 拨号,或者延用DHCP 方式); 6) 三层MPLS VPN 业务; 7) 二层MPLS VPN 业务; 8) VPLS 业务等;

下面将对各种业务的配置做一介绍。 3.2 普通PPPOE 上网业务 3.2.1 业务概述

1) 普通PPPOE 上网用户强制使用新版双栈客户端软件拨号上网。客户端软件和RADIUS 系统通过对应的加密、解密算法,实现强制客户端;

2) 该业务通过ME60 的dial 域t承载;用户地址池、RADIUS、AAA 等都通过dial 域承载;

3) 用户使用其账号直接进行拨号,不带任何域名后缀;

4) 对于采用QinQ 的用户,实现账号和端口的唯一性绑定;具体实现参考下面帐号管理规范;

5) 对于不采用QinQ 的用户,用户会绑定到一个区域(DSLAM,BAN 或者ZAN,视网络结构决定)。

6) 对于新开用户直接配发新版本双栈客户端;

7) 对于需要割接用户,割接前提前几天进行新版双栈客户端软件推送;割接后自动切换至PPPOE方式拨号;

3.2.2 ME60 配置规范

以郑州大同路节点为例:

router id 125.40.254.109 #

2020-3-1

华为机密,未经许可不得扩散

第48页, 共75页

文档名称 文档密级:

vlan batch 536

radius-server group radius radius-server shared-key henancnc authentication 221.13.223.140 1645 weight 0 radius-server shared-key henancnc accounting 221.13.223.140 1646 weight 0 radius-server shared-key henancnc radius-server class-as-car radius-server source interface LoopBack0

interface Virtual-Template1 ppp authentication-mode auto ppp keepalive interval 30 retransmit 3 tcp adjust-mss 1400

interface GigabitEthernet1/0/0 mtu 1524 description ZYL_CRS-1 GE 0/1/1/4

ip address 123.5.249.178 255.255.255.252 //配置上行端口// ospf network-type p2p mpls mpls ldp negotiation auto

interface GigabitEthernet1/0/1 mtu 1524 description EQL_CRS-1 GE GigabitEthernet0/7/0/3 ip address 123.5.249.182 255.255.255.252 ospf network-type p2p mpls mpls ldp negotiation auto

interface GigabitEthernet1/0/2.301 //配置用户侧端口// pppoe-server bind Virtual-Template 1 mtu 1524 description 3/1-A2647-beier7jia user-vlan 256 458 QinQ 301 user-vlan 460 515 QinQ 301 user-vlan 517 703 QinQ 301 user-vlan 705 710 QinQ 301 user-vlan 712 777 QinQ 301 user-vlan 779 803 QinQ 301 user-vlan 805 857 QinQ 301 user-vlan 859 981 QinQ 301

2020-3-1

华为机密,未经许可不得扩散

第49页, 共75页

文档名称 文档密级:

user-vlan 983 1023 QinQ 301 bas access-type layer2-subscriber default-domain authentication dial # interface GigabitEthernet1/0/2.303 pppoe-server bind Virtual-Template 1 mtu 1524 description 3/3-A2685-beier9j user-vlan 256 306 QinQ 303 user-vlan 308 367 QinQ 303 user-vlan 369 396 QinQ 303 user-vlan 398 459 QinQ 303 user-vlan 461 640 QinQ 303 user-vlan 642 693 QinQ 303 user-vlan 695 698 QinQ 303 user-vlan 700 809 QinQ 303 user-vlan 811 1023 QinQ 303 bas access-type layer2-subscriber default-domain authentication dial # interface GigabitEthernet1/0/2.304 pppoe-server bind Virtual-Template 1 mtu 1524 description 3/4-A2686-beier10j user-vlan 256 1023 QinQ 304 bas access-type layer2-subscriber default-domain authentication dial # interface GigabitEthernet1/0/2.305 pppoe-server bind Virtual-Template 1 description 3/5-a4129-beier11-1 user-vlan 256 424 QinQ 305 user-vlan 426 1023 QinQ 305 bas access-type layer2-subscriber default-domain authentication dial # interface GigabitEthernet1/0/2.306 pppoe-server bind Virtual-Template 1 description 3/6-a4130-beier12-1 user-vlan 256 1023 QinQ 306 bas access-type layer2-subscriber default-domain authentication dial #

2020-3-1

华为机密,未经许可不得扩散

第50页, 共75页

文档名称 文档密级:

interface GigabitEthernet1/0/2.315 pppoe-server bind Virtual-Template 1 mtu 1524 description 3/15-A2669-beier8j user-vlan 256 476 QinQ 315 user-vlan 478 503 QinQ 315 user-vlan 505 620 QinQ 315 user-vlan 622 623 QinQ 315 user-vlan 625 647 QinQ 315 user-vlan 649 740 QinQ 315 user-vlan 742 779 QinQ 315 user-vlan 781 802 QinQ 315 user-vlan 804 980 QinQ 315 user-vlan 982 1019 QinQ 315 user-vlan 1021 1023 QinQ 315 bas access-type layer2-subscriber default-domain authentication dial

bgp 65130 router-id 125.40.255.109 group ha-zz internal peer ha-zz password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! peer ha-zz connect-interface LoopBack0 peer 61.168.255.205 as-number 65130 peer 61.168.255.205 group ha-zz peer 61.168.255.206 as-number 65130 peer 61.168.255.206 group ha-zz # ipv4-family unicast undo synchronization import-route direct import-route static import-route unr peer ha-zz enable peer ha-zz route-policy setcommunity export

2020-3-1

华为机密,未经许可不得扩散

第51页, 共75页

文档名称 文档密级:

peer ha-zz next-hop-local peer ha-zz advertise-community peer 61.168.255.205 enable peer 61.168.255.205 group ha-zz peer 61.168.255.206 enable peer 61.168.255.206 group ha-zz //配置BGP协议//

ipv4-family vpnv4 policy vpn-target peer ha-zz enable peer ha-zz next-hop-local peer 61.168.255.205 enable peer 61.168.255.205 group ha-zz peer 61.168.255.206 enable peer 61.168.255.206 group ha-zz

ip pool dial local gateway 123.14.64.1 255.255.240.0 section 0 123.14.64.2 123.14.79.254 dns-server 202.102.224.68 dns-server 202.102.227.68 secondary # ip pool dial1 local gateway 123.14.240.1 255.255.240.0 section 0 123.14.240.2 123.14.247.254 dns-server 202.102.224.68 dns-server 202.102.227.68 secondary //配置地址池//

aaa authentication-scheme local

2020-3-1

华为机密,未经许可不得扩散

第52页, 共75页

文档名称 文档密级:

authentication-mode local authentication-scheme radius accounting-scheme radius accounting start-fail online //配置认证方式与计费方式//

domain dial authentication-scheme radius accounting-scheme radius radius-server group dial ip-pool dial ip-pool dial1 //配置DIAL域//

ospf 1 router-id 61.168.251.248 silent-interface LoopBack0 area 0.0.1.115 network 123.5.249.176 0.0.0.3 network 123.5.249.180 0.0.0.3 network 125.40.254.109 0.0.0.0 network 219.155.49.244 0.0.0.3 //配置OSPF协议//

3.2.3 帐号管理规范

宽带注册用户资料均由DHCP 系统导入到商务宽带系统。账号遵循一定的命名规则和原润汇系统相同,账号共11 位由大写字母和数字组成,首2 位为地市缩写,第3 位为业务类型代码(xDSL 为x,LAN 为K 等等),用户使用注册的账号密码登陆网络。用户首次成功进行PPPoE 拨号上网后,将自动通知润汇系统关闭DHCP 的接入功能。管理员必须使用具有宽带管理权限的账号登陆商务宽带系统,运用宽带接入业务管理功能对宽带注册用户进行各类维护及故障处理。对用户可进行带宽设置,唯一、唯n 性设置,代理数设置,强制客户端设置等。原则上对宽带注册用户均需要进行端口绑定,在用户第一次登陆时,系统自动收集并 反填用户绑定信息,可有效防止用户帐号漫游。对于PPPOE 方式的移机用户需要手工将帐号

2020-3-1

华为机密,未经许可不得扩散

第53页, 共75页

文档名称 文档密级:

和原端口解绑定,用户在新址上网后重新完成新端口的绑定。对于二级汇聚下的注册用户,也应进行端口绑定,但是如果此时未起QinQ,则用户会绑定到一个区域(DSLAM,BAN 或者ZAN,视网络结构不同而不同)。割接后的故障处理、认证失败记录查询均在商务宽带计费系统中进行,对绑定信息的修改也在商务宽带计费系统中进行,其他用户信息修改(状态修改、带宽修改、限制用户数、代理数等)需要在97 系统或者润汇受理系统中进行,并等待修改的数据通过接口传入商务宽带系统后,修改才能够生效(默认为润汇系统修改后5 分钟生效)。

3.3 校园网卡类业务 3.3.1 业务概述

1) 卡类业务与普通PPPOE 上网用户同样强制使用新版双栈客户端软件拨号上网。 2) 该业务也通过ME60 的dial context 承载; 3) 用户采用加后缀域名(@xyxf)方式拨号上网;

4) 限卡类业务在本地区院校所有DSLAM 间进行漫游; 5) 对于新开用户直接配发新版本客户端;

6) 对于需要割接用户,割接前提前几天进行新版双栈客户端软件推送;割接后自动切换至PPPOE方式拨号;

3.3.2 配置规范

配置规范同普通PPPOE 上网业务;

3.3.3 账号管理说明

3.3.3.1 卡用户

各地市所属院校DSLAM 割接完成以后,由省公司根据地市需要统一制卡后分发到各地市使用。卡可以限制在固定的区域内使用,认证计费系统也不对卡用户进行与端口对应的详细绑定,实现校园卡只允许在校园内使用的功能。

卡用户必须带指定的卡域名才能登陆,不带域名或者域名错误均不能通过认证。

3.3.3.2 系统参数配置

2020-3-1

华为机密,未经许可不得扩散

第54页, 共75页

文档名称 文档密级:

为校园卡用户配置一种单独的系统组别,在该组别的接入属性中进行限制,限制校园卡用户的上网范围。注:在发行卡之前,必须明确提供该批卡用户允许接入的访问资源信息(nasip、port、slot、subslot、svlan 等)。如果制卡时,网络结构不能完全明确而导致详细信息无法确定,至少需要提供卡区域的规划信息(例如:某地市某区域,预计开卡张数等),待详细信息确定后,对该卡批次进行修改,实现区域绑定。

3.3.3.3 数据生成

省公司根据地市需要统一制卡。

3.3.3.4 用户管理

因为卡用户资料仅存在于商务宽带系统中,所以卡的管理(信息修改、故障查询及处理)均完全在商务宽带系统卡业务管理模块进行。

3.3.3.5 用户自服务

卡用户的自服务系统地址为http://www.163.ha.cn/ 。系统提供卡用户清单查询(仅显示时长,不显示费用)、卡密码修改、对于时长卡系统提供剩余时长查询、金额卡系统提供余额查询的自服务功能。各地市在推广业务时,可以同时宣传此自服务系统。

3.4 VPDN 业务 3.4.1 业务概述

1) VPDN 用户采用PPPOE 方式,使用帐号加域名后缀(例如中福在线用户后缀:zfzx.ha)方式拨号;对于VPDN 用户,不强制使用客户端软件; 2) 该业务通过ME60 的dial context 承载;

3) RADIUS、AAA 等都通过dial域 完成,配置与普通上网用户配置相同; 4) 用户VLAN 配置与普通PPPOE 上网业务相同;

5) 对于不同的VPDN 用户,采用不同的后缀域名拨号。ME60将用户名和后缀域名全部信息送 给RADIUS 系统进行认证,由RADIUS 根据不同的后缀域名进行用户识别,并返回相应的L2TP 相应属性。

3.4.2 ME60 配置规范

2020-3-1

华为机密,未经许可不得扩散

第55页, 共75页

文档名称 文档密级:

3.4.2.1 域 配置

VPDN 业务由dial 域进行承载,其他配置参见本章“普通PPPOE 上网业务”配置。 3.4.2.2 用户VLAN 和QinQ VLAN 配置

该部分配置参考本手册VLAN、QinQ VLAN 配置部分; 3.4.3 账号管理说明

VPDN 用户帐户直接在联创计费系统中开户和管理。

目前系统支持宽带、窄带VPDN。账号无特殊规定,目前均为小写字母、数字和下划线的组合,但必须带域名访问。商务宽带系统将根据输入的域名,进行认证以及确定返回给BAS 指定域名的LNSIP、隧道口令等。vpdn 账号均不强制客户端。

管理员必须具有VPDN 系统的管理员账号(不同于宽窄带管理员账号),访问商务宽带系统登陆页面,并在页面的子系统选择框选择VPDN/VISP 子系统登陆,进行管理。VPDN用户可以访问自服务页面http://www.163.ha.cn/,进行密码修改等功能。 3.4.4 VPDN业务介绍

VPDN(Virtual Private Dial Network)是指利用公共网络(如ISDN 和PSTN)的拨号功 能及接入网来实现虚拟专用网,为企业、小型ISP、移动办公人员提供VPN 接入服务。 VPDN 采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业 驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络 连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

使用L2TP 构建VPDN 的典型组网如图

两种典型的L2TP 隧道模式

L2TP 隧道的建立有NAS-Initialized 和Client-Initialized 两种模式。

2020-3-1

华为机密,未经许可不得扩散

第56页, 共75页

文档名称 文档密级:

★NAS-Initialized

由远程拨号用户发起,远程系统通过PSTN/ISDN 拨入LAC,由LAC 通过Internet向LNS 发起建立通道连接请求。拨号用户地址由LNS 分配;对远程拨号用户的验证与计费既可由LAC 侧的代理完成,也可在LNS 侧完成。

?Client-Initialized

直接由LAC 客户(指可在本地支持L2TP 协议的用户)发起。此时LAC 客户可直接向LNS 发起通道连接请求,无需再经过一个单独的LAC 设备。此时,LAC 客户地址的分配由LNS 来完成。

L2TP 根据通道建立的方式不同可分为静态或动态两种。

静态L2TP 由LAC 侧根据用户名@域名来指定隧道参数,隧道参数在ME60 指定,静态方式下用户只能拨入特定的LAC 侧,此方式适用于拨号地点相对固定的客户;

动态L2TP 方式时LAC 侧将拨号的用户名@域名发送至radius 服务器,由radius 服务器对用户进行认证并下发与用户关联的L2TP 隧道参数给LAC,再由LAC 来为用户建立隧道。

在本期项目中,ME60上的配置参数由RADIUS下发,即动态隧道建立模式。

3.4.4.1 L2TP配置介绍

使能L2TP 功能

步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令l2tp enable,使能L2TP 功能。 ----结束

只有使能L2TP 功能后,L2TP 功能才能使用,否则即便配置了L2TP 的参数,ME60 也 不会提供相关功能。

缺省情况下,ME60 未使能L2TP 功能。

创建L2TP 组

步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令l2tp-group group-name,创建L2TP 组并进入L2TP 组视图。

2020-3-1

华为机密,未经许可不得扩散

第57页, 共75页

文档名称 文档密级:

在ME60 上可以有1000 个L2TP 组,除去“default-lns”和“default-lac”,实际可以创建 998 个L2TP 组。

步骤 3 执行命令description text,配置L2TP 组的描述信息(可选)。

设置本端隧道名

步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令l2tp-group group-name,进入L2TP 组视图。 步骤 3 执行命令tunnel name name,设置本端隧道名称。

配置LAC 侧的L2TP 连接

步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令l2tp-group group-name,进入L2TP 组视图。

步骤 3 执行命令start l2tp [ ip ip-address [ weight weight ] ] &<1-8>,配置LAC 侧的L2TP 连接。

配置隧道源接口

步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令l2tp-group group-name,进入L2TP 组视图。

步骤 3 执行命令tunnel source interface-type interface-number,配置隧道源接口。

指定域的L2TP 组

步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA 视图。

步骤 3 执行命令domain domain-name,进入域视图。 步骤 4 执行命令l2tp-group group-name,指定域的L2TP 组。

指定域用户使用RADIUS 下发的L2TP 属性

步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令aaa,进入AAA 视图。

步骤 3 执行命令domain domain-name,进入域视图。

步骤 4 执行命令l2tp-user radius-force,指定域用户使用RADIUS 下发的L2TP 属性。 ----结束

2020-3-1

华为机密,未经许可不得扩散

第58页, 共75页

文档名称 文档密级:

L2TP 组名和隧道类型两个属性必须同时下发,由RADIUS 下发的L2TP 属性方可生效,L2TP 用 户的功能才可以实现。

3.4.4.2 配置范例

l2tp-group czt.ha mandatory-lcp start l2tp ip 10.19.66.82 //简化// tunnel source LoopBack0 //配置L2TP组//

domain czt.ha authentication-scheme radius accounting-scheme radius radius-server group czt.ha l2tp-group czt.ha l2tp-user radius-force //配置域参数//

3.5 机顶盒业务配置

3.5.1 业务概述

河南全省已开通大量机顶盒业务。威科姆视频服务器目前分布在一级或二级(县局核心)汇聚交换机旁侧。机顶盒上线后首先访问本地门户网站。门户网站根据机顶盒的MAC 地址返回该机顶盒最近边缘服务器(EMS,或LVS)IP 地址。机顶盒根据该地址直接访问EMS。但是如果该EMS 上没有用户需要看的节目则机顶盒会访问中心服务器(CMS);该节目将在闲时下发到EMS。

该类用户今后可以通过以下两种方式上网:

1) 通过PPPOE 方式,由商务宽带系统承载;这种方式机顶盒要采用PPPOE 模式,且采用户名加域名后缀拨号。由联创radius 系统进行账号认证。建议市区及县城内割接节点下 所有机顶盒用户全部采用PPPOE 方式。

2) 延用原来DHCP 方式,机顶盒用户仍通过原汇聚交换机采用DHCP 方式进行地址获取。建议县城以下割接用户采用该方式。

2020-3-1

华为机密,未经许可不得扩散

第59页, 共75页

文档名称 文档密级:

3.5.2 延用DHCP 方式

需要在汇聚交换机上将该类用户进行VLAN 分离;对于QinQ 方式下可以通过增加上联端口即可,使其仍然通过原有方式开通;其优点就是对于割接用户不用到用户家里修改机顶盒配置,减小割接工作量。

3.5.3 采用PPPOE 方式

3.5.3.1 业务概述

1) 机顶盒用户不采用强制客户端(机顶盒不支持); 2) ME60上创建iptv context 承载机顶盒用户;

3) 机顶盒需要采用PPPOE 方式,采用帐户加后缀域名方式。对于割接的机顶盒,需对每个用户上门服务把机顶盒修改为PPPOE 方式。

4) 割接过程中根据流量情况增加ME60到机顶盒服务器直联的汇聚交换机之间的带宽。割接完全后需要将机顶盒服务器直接下挂ME60旁侧;避免浪费ME60与交换机之间的带宽。

3.5.3.2 机顶盒业务配置范例

user-group iptv

[定义一个user-group,名称为IPTV,这个USER-GROUP在后面的配置中会和一个用户域相关联,这样在定义访问控制列表的时候就可以引用相应USER-GROUP,也就是代表了一个用户域中的所有用户,从而形成了用户访问控制列表,与普通访问控制列表不同的地方是,用户访问控制列表除了地址、端口号之外,还可以定义某一批用户为源或者目的。在ME60上,用户访问控制列表列表号是在6000以上。对于需要对用户侧下发的访问控制列表,都需要定义这个范围的控制列表,并在全局模式下下发。注意:在用户ACL中,是否定义USER-GROUP是可选项。]

acl number 3001 rule 5 permit ip #

acl number 6000 match-order auto

rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445

rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm

2020-3-1

华为机密,未经许可不得扩散

第60页, 共75页

文档名称 文档密级:

rule 55 deny udp destination-port eq 135

rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434

rule 90 deny ip source user-group help destination ip-address any rule 95 deny ip source user-group iptv destination ip-address any

[ACL6000是一个用户ACL,前面定义了防病毒部分,最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]

acl number 6001

rule 5 permit ip source user-group iptv destination ip-address 202.102.249.0 0.0.0.255

rule 10 permit ip source user-group iptv destination ip-address 61.168.222.0 0.0.1.255

rule 15 permit ip source user-group iptv destination ip-address 61.168.224.0 0.0.3.255

rule 20 permit ip source user-group iptv destination ip-address 61.168.228.0 0.0.1.255

rule 25 permit ip source user-group iptv destination ip-address 61.158.216.0 0.0.1.255

rule 30 permit ip source user-group iptv destination ip-address 61.158.218.0 0.0.0.255

rule 35 permit ip source user-group iptv destination ip-address 202.102.224.68 0

rule 40 permit ip source user-group iptv destination ip-address 202.102.227.68 0

[定义了IPTV用户组里的用户可以访问的地址]

traffic classifier limit operator or if-match acl 6000

traffic classifier action operator or if-match acl 6001

traffic behavior limit deny

traffic behavior action

[定义流量动作,后面定义策略的时候与流量分类相关联]

#

traffic policy limit

classifier action behavior action classifier limit behavior limit

[定义流量策略,第一条名为ACTION的分类中匹配到的报文,执行名为ACTION的流量

2020-3-1

华为机密,未经许可不得扩散

第61页, 共75页

文档名称 文档密级:

动作中所定义的动作,就是允许,第二条行为类似,但动作是拒绝。需要注意,两条策略的顺序不能反,否则所有流量都会被拒绝]

traffic-policy limit inbound traffic-policy limit outbound

[由于上述策略都是针对用户侧的用户定义的,所以需要在全局下下发] interface GigabitEthernet1/0/0 mtu 1524

description To-[LY-XiGong-GSR]G1/0/4

ip address 125.45.253.178 255.255.255.252 ospf network-type p2p mpls mpls ldp #

interface GigabitEthernet1/0/1 mtu 1524

description To-[LY-LaoCheng-GSR]G3/0/6 ip address 125.45.253.202 255.255.255.252 ospf network-type p2p mpls mpls ldp

interface LoopBack0

ip address 125.40.254.110 255.255.255.255 [这个地址用来和RR建立IPV4 BGP邻居]

#

interface LoopBack10

ip address 125.40.254.111 255.255.255.255 [这个地址用来和RR建立VPNV4 BGP邻居]

bgp 65130

router-id 125.40.254.110 group ha-ly-vpn internal

peer ha-ly-vpn password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! peer ha-ly-vpn connect-interface LoopBack10 peer 61.168.232.245 as-number 65130 peer 61.168.232.245 group ha-ly-vpn peer 61.168.232.247 as-number 65130 peer 61.168.232.247 group ha-ly-vpn group ha-ly internal

peer ha-ly password cipher S;IKAY5^0NWQ=^Q`MAF4<1!! peer ha-ly connect-interface LoopBack0 peer 61.168.255.245 as-number 65130 peer 61.168.255.245 group ha-ly

peer 61.168.255.247 as-number 65130

2020-3-1

华为机密,未经许可不得扩散

第62页, 共75页

文档名称 文档密级:

peer 61.168.255.247 group ha-ly #

ipv4-family unicast

undo synchronization

network 61.54.44.128 255.255.255.240 network 218.28.152.32 255.255.255.240 network 218.28.152.48 255.255.255.240 network 218.28.152.136 255.255.255.248 import-route unr

undo peer 61.168.232.245 enable undo peer 61.168.232.247 enable peer ha-ly-vpn enable peer ha-ly enable

peer ha-ly route-policy setcommunity export peer ha-ly next-hop-local

peer ha-ly advertise-community peer 61.168.255.245 enable

peer 61.168.255.245 group ha-ly peer 61.168.255.247 enable

peer 61.168.255.247 group ha-ly #

ipv4-family vpnv4 policy vpn-target

peer ha-ly-vpn enable

peer ha-ly-vpn next-hop-local

peer ha-ly-vpn advertise-community peer 61.168.232.247 enable

peer 61.168.232.247 group ha-ly-vpn peer 61.168.232.245 enable

peer 61.168.232.245 group ha-ly-vpn ip pool dial local

gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68

dns-server 202.102.227.68 secondary aaa

authentication-scheme radius

[定义一个认证SCHEME,名称为radius,缺省的认证模式就是使用RADIUS服务器,所以不用再配置其它命令,使用缺省就可以] domain iptv.ha

authentication-scheme radius

2020-3-1

华为机密,未经许可不得扩散

第63页, 共75页

文档名称 文档密级:

accounting-scheme radius ip-pool iptv

ospf 1 router-id 125.40.254.110 area 0.0.1.123

network 125.40.254.110 0.0.0.0 network 125.40.254.111 0.0.0.0 network 125.45.253.176 0.0.0.3 network 125.45.253.200 0.0.0.3

3.6 专线用户配置

专线用户一般指静态IP用户,在ME60上,我们一般通过定义二层subscriber与leasee line两种方式来定义静态IP用户。在本期项目中,我们一般通过定义二层subscriber的方式来定义静态IP用户,可以实现从地址池中连续分配地址给专线用户。

对于leased line用户,需要静态用户侧静态配置IP地址,ME60可以对用户进行带宽、计费、访问控制等方面的管理。

3.6.1 通过subscriber方式定义静态IP用户

配置范例如下:

ip pool static local gateway 123.7.2.1 255.255.255.0 section 0 123.7.2.2 123.7.2.254 excluded-ip-address 123.7.2.2 123.7.2.254

[定义地址池,注意,该地址池中除了网关地址外均不允许动态分配,即均使用静态分配方式]

domain static authentication-scheme default0 accounting-scheme default0 ip-pool static [定义静态用户所在的域,该域不认证、不计费]

static-user 123.7.224.10 123.7.224.10 interface GigabitEthernet1/0/2.1643

//测试,是否能够正常绑定//vlan199 qinq 643 detect domain-name static static-user 123.7.224.12 123.7.224.13 interface GigabitEthernet1/0/2.1635

2020-3-1

华为机密,未经许可不得扩散

第64页, 共75页

文档名称 文档密级:

vlan199 qinq 635 detect domain-name static static-user 123.7.224.14 123.7.224.15 interface GigabitEthernet1/0/2.1633

vlan 199 qinq 633 detect domain-name static [定义静态用户IP地址,所关联的端口以及VLAN设置]

3.6.2 通过leased line方式定义静态IP用户

配置范例如下: 步骤 1 配置接口。 system-view

[Quidway] interface GigabitEthernet 1/0/7.1

[Quidway-GigabitEthernet1/0/7.1] user-vlan 1 100 [Quidway-GigabitEthernet1/0/7.1-vlan-1-100] quit

步骤 2 配置BAS 接口。

[Quidway-GigabitEthernet1/0/7.1] bas

[Quidway-GigabitEthernet1/0/7.1-bas] access-type layer2-leased-line user-namelayer2lease1 hello default-domain authentication isp1 [Quidway-GigabitEthernet1/0/7.1-bas] quit [Quidway-GigabitEthernet1/0/7.1] quit

3.7 BGP/MPLS VPN 配置范例 3.7.1 概述

在本期项目中,MPLS VPN主要在SR上开启,但在大部分县级节点,SR尚不能做到全部覆盖,在这些节点的MPLS VPN可以在ME60设备上开启。ME60具备完善的业务路由器能力,很好的支持MPLS VPN业务。在ME60建设完毕后,可使用ME60作为PE 路由器在全省范围内开通基于ADSL接入方式的VPN 业务(以下简称ADSL VPN 业务)。对于专线 MPLS VPN 业务,如城域网中尚没有SR,可暂在BAS 上开通。

MPLS 业务部署的基本原则是:骨干网GSR 作为P 路由器,SE800 作为PE 路由器,完成BGP/MPLSVPN 的全网覆盖。通过BGP 协议承载MPLS VPN,根据RD 来动态建立BGP VPN 通道,

2020-3-1

华为机密,未经许可不得扩散

第65页, 共75页

文档名称 文档密级:

通过控制BGP 的邻居关系来灵活部署MPLS VPN。BGP/MPLS VPN 应用如下图所示:

3.7.2 MPLS VPN 业务命名规范

3.7.2.1 全省型MPLS VPN 命名规范(由省级部门实施) (1)VPN ID 规则统一为65130:n,n=1,2,3,……1000。 (2)在申请单上要注明是否新申请的VPN。 (3)注明用户网络属于商务宽带系统MPLS VPN 网。

(4)VPN context 统一使用‘hn-客户名称拼音缩写’,例如 河南省物资系统VPN 可以简称为:hn-wzxt。

3.7.2.2 各市分公司MPLS VPN 命名规范

(1)VPN ID 规则为:xxx:n , XXX=各市长途区号,n=1,2,3,……1000。例如某部门的VPN ID 为 371:1,则表示这个VPN 属于郑州市范围内,第一个MPLS VPN 网络。 (2)在申请单上要注明是否新申请的VPN。 (3)注明用户网络属于商务宽带系统MPLS VPN 网。

2020-3-1

华为机密,未经许可不得扩散

第66页, 共75页

文档名称 文档密级:

3.7.3 PE (ME60)配置范例

前置任务

在配置基本BGP/MPLS IP VPN 之前,需完成以下任务。 ?? 对MPLS 骨干网(PE、P)配置IGP,实现骨干网的IP 连通性 ?? 对MPLS 骨干网(PE、P)配置MPLS 基本能力

?? 对MPLS 骨干网(PE、P)配置MPLS LDP,建立LDP LSP ?? 在CE 上配置接入PE 的接口的IP 地址

配置VPN 实例

在每个接入CE 的PE 上进行如下配置。 步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令ip vpn-instance vpn-instance-name,创建VPN 实例,并进入VPN 实例视图。

步骤 3 执行命令route-distinguisher route-distinguisher,配置VPN 实例的RD。

步骤 4 执行命令vpn-target vpn-target &<1-8> { both | export-extcommunity | importextcommunity

},为VPN 实例创建VPN-target 扩展团体。

关联VPN 实例

配置接口与VPN 实例关联

在每个接入CE 的PE 上进行如下配置。 步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令interface interface-type interface-number,进入要关联接口的接口视图。 步骤 3 执行命令ip binding vpn-instance vpn-instance-name,将当前接口与VPN 实例关联。

配置域与VPN 实例关联

在每个接入CE 的PE 上进行如下配置。 步骤 1 执行命令system-view,进入系统视图。

2020-3-1

华为机密,未经许可不得扩散

第67页, 共75页

文档名称 文档密级:

步骤 2 执行命令aaa,进入AAA 视图。

步骤 3 执行命令domain domain-name,进入域视图。

步骤 4 执行命令vpn-instance vpn-instance-name,将当前域和VPN 实例关联。

配置BAS 接口与VPN 实例关联 在每个接入CE 的PE 上进行如下配置。 步骤 1 执行命令system-view,进入系统视图。

步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas 进入BAS 接口视图。

步骤 4 执行命令access-type layer2-subscriber [ bas-interface-name name | default-domain { pre-authentication domain-name | authentication [ force ] domain-name } * | accountingcopy radius-server radius-name ] *,配置二层用户接入类型。

或执行命令access-type layer2-leased-line user-name username password [ bas-interfacename name | default-domain authentication domain-name | accounting-copy radiusserver radius-name | nas-port-type type ] *,配置二层专线用户接入类型。

步骤 5 执行命令vpn-instance vpn-instance-name,将当前BAS 接口与VPN 实例关联。

配置PE-PE 间使用MP-IBGP

在每个接入CE 的PE 上进行如下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令bgp as-number,进入BGP 视图。

步骤 3 执行命令peer peer-address as-number as-number,将对端PE 配置为对等体。 步骤 4 执行命令peer peer-address connect-interface loopback interface-number,指定建立TCP连接的接口。

步骤 5 执行命令ipv4-family vpnv4 [ unicast ],进入BGP-VPNv4 子地址族视图。 步骤 6 执行命令peer peer-address enable,使能对等体交换VPN-IPv4 路由信息。

完成上述配置后,还需要完成PE-CE间路由协议的配置,详见配置手册。

2020-3-1

华为机密,未经许可不得扩散

第68页, 共75页

文档名称 文档密级:

配置实例:

步骤 1 在MPLS 骨干网上配置IGP 协议,实现骨干网PE 和P 的互通。 # 配置PE1。 system-view

[PE1] interface loopback 1

[PE1-LoopBack1] ip address 1.1.1.9 32 [PE1-LoopBack1] quit [PE1] interface pos3/0/0

[PE1-Pos3/0/0] ip address 172.1.1.1 24 [PE1-Pos3/0/0] quit [PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255 [PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0 [PE1-ospf-1-area-0.0.0.0] quit [PE1-ospf-1] quit

步骤 2 在MPLS 骨干网上配置MPLS 基本能力和MPLS LDP,建立LDP LSP。 # 配置PE1。

[PE1] mpls lsr-id 1.1.1.9 [PE1] mpls [PE1-mpls] quit [PE1] mpls ldp [PE1-mpls-ldp] quit [PE1] interface pos 3/0/0 [PE1-Pos3/0/0] mpls [PE1-Pos3/0/0] mpls ldp [PE1-Pos3/0/0] quit

2020-3-1

华为机密,未经许可不得扩散

第69页, 共75页

文档名称 文档密级:

步骤 3 在PE 路由器上配置VPN 实例,将CE 接入PE。 # 配置PE1。

[PE1] ip vpn-instance vpna

[PE1-vpn-instance-vpna] route-distinguisher 100:1 [PE1-vpn-instance-vpna] vpn-target 111:1 both [PE1-vpn-instance-vpna] quit [PE1] ip vpn-instance vpnb

[PE1-vpn-instance-vpnb] route-distinguisher 100:2 [PE1-vpn-instance-vpnb] vpn-target 222:2 both [PE1-vpn-instance-vpnb] quit

[PE1] interface gigabitethernet 1/0/0

[PE1-GigabitEthernet1/0/0] ip binding vpn-instance vpna [PE1-GigabitEthernet1/0/0] ip address 10.1.1.2 24 [PE1-GigabitEthernet1/0/0] quit [PE1] interface gigabitethernet 2/0/0

[PE1-GigabitEthernet2/0/0] ip binding vpn-instance vpnb [PE1-GigabitEthernet2/0/0] ip address 10.2.1.2 24 [PE1-GigabitEthernet2/0/0] quit

步骤 4 在PE 与CE 之间建立EBGP 对等体关系,引入VPN 路由。 [PE1] bgp 100

[PE1-bgp] ipv4-family vpn-instance vpna [PE1-bgp-vpna] peer 10.1.1.1 as-number 65410 [PE1-bgp-vpna] import-route direct [PE1-bgp-vpna] quit

[PE1-bgp] ipv4-family vpn-instance vpnb [PE1-bgp-vpnb] peer 10.2.1.1 as-number 65420 [PE1-bgp-vpnb] import-route direct

2020-3-1

华为机密,未经许可不得扩散

第70页, 共75页

文档名称 文档密级:

[PE1-bgp-vpnb] quit

步骤 5 在PE 之间建立MP-IBGP 对等体关系。 # 配置PE1。 [PE1] bgp 100

[PE1-bgp] peer 3.3.3.9 as-number 100

[PE1-bgp] peer 3.3.3.9 connect-interface loopback 10 [PE1-bgp] ipv4-family vpnv4

[PE1-bgp-af-vpnv4] peer 3.3.3.9 enable

3.8 VPLS 业务配置 3.8.1 VPLS简介 VPLS

概述

随着以太网技术的发展,Ethernet 不仅成为占主导地位的LAN 技术,并越来越多地被作为接入技术应用到城域网MAN(Metropolitan Area Network)和广域网WAN。 VPLS 的主要目的就是通过分组交换网络PSN(Packet Switched Network)连接多个以太 网LAN 网段,使它们像一个LAN 那样工作。

VPLS 也称为透明局域网服务TLS(Transparent LAN Service)或虚拟专用交换网服务 (Virtual Private Switched Network Service),不同于普通L2VPN 的点到点业务,利用VPLS 技术,服务提供商可以通过MPLS 骨干网向用户提供基于以太的多点业务。在最简单的情况下,一个VPLS 包括连接到PE 的多个Site,实现局域网仿真(Emulated LAN)。

VPLS基本结构示意图如下:

2020-3-1

华为机密,未经许可不得扩散 第71页, 共75页

文档名称 文档密级:

VPLS 转发模型

PE 使用虚拟交换实例VSI(Virtual Switch Instance)进行VPLS 转发。PE 之间通过全连接的Ethernet 仿真电路或伪电路PW(Pseudo-Wire)转发以太网帧。 转发模型如下图所示:

2020-3-1

华为机密,未经许可不得扩散 第72页, 共75页

文档名称 文档密级:

同一VPLS 中的PE 必须是全连接的,即,彼此之间存在伪电路PW,从入口PE 到出口

PE 的报文可以直接到达,不必经过中间PE 转发。因此,PE 之间不会形成环路,不需 要运行STP(Spanning Tree Protocol)。

ME60整机可以支持4K个VSI。 Kompella 方式的VPLS

采用BGP 作为信令,可以通过配置VPN Targets 实现VPLS 成员的自 动发现,增加PE 或删除PE 时,所需的额外操作很少,因而具有较好 的扩展性。

Martini 方式的VPLS

采用LDP 作为信令,需要手工指定PE 的各对等体,由于同一VPLS 中各PE 之间需要建立全连接,每当有新的PE 加入时,所有相关PE 上都修改配置,导致可扩展性较差。但由于PW 实际是点到点链路, 使用LDP 进行PW 的建立、维护和拆除更为有效。

2020-3-1

华为机密,未经许可不得扩散

第73页, 共75页

文档名称 文档密级:

3.8.2 VPLS配置范例

配置范例以martini方式实现 步骤 1 配置IGP。

步骤 2 配置MPLS 基本能力和LDP。 步骤 3 在PE 之间建立远端LDP 会话。

# 配置PE1。 [PE1] mpls ldp

[PE1] mpls ldp remote-peer pe2

[PE1-mpls-ldp-remote-pe2] remote-ip 3.3.3.9 [PE1-mpls-ldp-remote-pe2] quit # 配置PE2。 [ PE2] mpls ldp

[PE2] mpls ldp remote-peer pe1

[PE2-mpls-ldp-remote-pe1] remote-ip 1.1.1.9 [PE2-mpls-ldp-remote-pe1] quit 步骤 4 在PE 上使能MPLS L2VPN。 # 配置PE1。 [PE1] mpls l2vpn [PE1-l2vpn] quit # 配置PE2。 [PE2] mpls l2vpn 步骤 5 在PE 上配置VSI。 # 配置PE1。 [PE1] vsi a2 static [PE1-vsi-a2] pwsignal ldp [PE1-vsi-a2-ldp] vsi-id 2 [PE1-vsi-a2-ldp] peer 3.3.3.9 # 配置PE2。 [PE2] vsi a2 static

2020-3-1

华为机密,未经许可不得扩散

第74页, 共75页

文档名称 文档密级:

[PE2-vsi-a2] pwsignal ldp [PE2-vsi-a2-ldp] vsi-id 2 [PE2-vsi-a2-ldp] peer 1.1.1.9 步骤 6 在PE 上配置VSI 与接口的绑定。 # 配置PE1。

[PE1] interface GigabitEthernet1/0/0.1

[PE1-GigabitEthernet1/0/0.1] vlan-type dot1q 10 [PE1-GigabitEthernet1/0/0.1] l2 binding vsi a2 # 配置PE2。

[PE2] interface GigabitEthernet2/0/0.1

[PE2-GigabitEthernet2/0/0.1] vlan-type dot1q 10 [PE2-GigabitEthernet2/0/0.1] l2 binding vsi a2

2020-3-1

华为机密,未经许可不得扩散 第75页, 共75页

联系客服:779662525#qq.com(#替换为@)