华为ME60 BRAS设备配置规范

文档名称 文档密级:

4 配置RADIUS 服务器组/HWTACACS 服务器模板 5 配置IPv4 地址池 6 配置域

7 为接口指定虚模板接口(对PPPoE、PPPoEoVLAN、PPPoEoQ 接入有效) 8 子接口绑定VLAN(只对PPPoEoVLAN、PPPoEoQ 接入有效) 9 配置BAS 接口 2.6.2 PPPOE相关配置 1、配置PPP虚拟模板

interface Virtual-Template1 ppp authentication-mode auto ppp keepalive interval 30 retransmit 3 tcp adjust-mss 1400

[建立PPP虚模板,在其中可以定义PPPOE的一些特性。比如第一行定义了PPP使用的认证方法为自适应,也就是根据拨号客户端的方法来决定ME60的认证方式。PPP keepalive定义PPP协议LCP探测报文的发送频率,此处我们配置每30秒发送一次,重传频率为3,这样,只要在90秒内可以接收到用户反馈,即认为用户在线。]

2、配置认证方案

authentication-scheme radius

3、配置计费方案

accounting-scheme radius accounting start-fail online

4、配置RADIUS 服务器组

radius-server group dial radius-server shared-key henancnc authentication 221.13.223.140 1645 weight 0

radius-server shared-key henancnc accounting 221.13.223.140 1646 weight 0 radius-server shared-key henancnc radius-server class-as-car radius-server source interface LoopBack0

2020-3-1

华为机密,未经许可不得扩散

第41页, 共75页

文档名称 文档密级:

undo radius-server user-name domain-included

5、配置IPV4地址池 ip pool dial local

gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68

dns-server 202.102.227.68 secondary

6、配置域

domain dial

authentication-scheme radius

[该域用名称为RADIUS的SCHEME来进行认证]

accounting-scheme radius service-type hsi

[将该域的模式配置成HIS模式,PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组] ip-pool dial

[指定该域使用的地址池] qos profile 2m

[指定该域使用的QOS模板]

7 为接口指定虚模板接口

interface GigabitEthernet1/0/9.600 pppoe-server bind Virtual-Template 1

8、子接口绑定VLAN

interface GigabitEthernet1/0/9.600 user-vlan 256 1000 QinQ 802

9 配置BAS 接口

interface GigabitEthernet1/0/9.600 bas

2020-3-1

华为机密,未经许可不得扩散

第42页, 共75页

文档名称 文档密级:

access-type layer2-subscriber default-domain authentication dial

2.7 用户认证域选择

1、对于上送用户名带域名的情况,设备将其送入相应的域进行认证。 2、用户VLAN绑定端口认证

access-type layer2-subscriber default-domain authentication dial 对于没有携带域名的用户名,在端口下绑定了相应VLAN,送入该端口下缺省的域进行认证,上述命令中设置缺省域是DIAL域。

2.8 反向路由检测

URPF(Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能是防止基于源地址欺骗的网络攻击行为。

之所以称为“逆向”,是针对正常的路由查找而言的。一般情况下,路由器接收到报文,获取报文的目的地址,针对目的地址查找路由,如果找到了就转发报文,否则丢弃该报文。URPF通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与入接口匹配。如果不匹配,认为源地址是伪装的,丢弃该报文。通过这种方式,URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。源地址欺骗攻击模型如下。

2020-3-1

华为机密,未经许可不得扩散

第43页, 共75页

文档名称 文档密级:

在RouterA(客户网络)所连接的主机上伪造源地址为2.1.1.1的报文,向RouterB发起请求,RouterB回应请求时将向真正的“2.1.1.1”发送报文。这种报文对RouterB和RouterC都造成了攻击。 ME60所支持的URPF

ME60支持对某接口下的所有IP报文通过如下两种方式进行URPF检查:

? 松散检查:对于进入该接口的IP报文,ME60检查转发表中是否存在到IP报文源地址的表项。如果存在,则URPF检查通过。

? 严格检查:对于进入该接口的IP报文,ME60检查转发表中是否存在到IP报文源地址的表项。如果不存在,则URPF检查不通过。如果存在,则继续检查该表项的出接口是否为IP报文进入的接口。如果两个接口一致,则URPF检查通过。

ME60还支持对符合某类特征的报文进行URPF检查。此类URPF检查通过基于类的QoS的来实现。配置实现过程如下:

1. 在ME60上创建并配置traffic classifier,设置QoS流分类,用于识别符合某类特征的报文。

2. 在ME60上创建并配置traffic behavior,设置QoS动作为URPF检查。具体请参见“8.2.3 (可选)配置对某类报文进行URPF检查”。

3. 在ME60上创建流量策略traffic policy,设置对某类报文进行URPF检查。

4. 在接口上或者某业务策略中应用该流量策略。也可全局应用该流量策略,此时对所有符合条件的报文进行URPF检查

URPF配置范例

步骤 1 执行命令system-view,进入系统视图。

2020-3-1

华为机密,未经许可不得扩散

第44页, 共75页

联系客服:779662525#qq.com(#替换为@)