文档名称 文档密级:
authentication-mode local authentication-scheme radius accounting-scheme radius accounting start-fail online //配置认证方式与计费方式//
domain dial authentication-scheme radius accounting-scheme radius radius-server group dial ip-pool dial ip-pool dial1 //配置DIAL域//
ospf 1 router-id 61.168.251.248 silent-interface LoopBack0 area 0.0.1.115 network 123.5.249.176 0.0.0.3 network 123.5.249.180 0.0.0.3 network 125.40.254.109 0.0.0.0 network 219.155.49.244 0.0.0.3 //配置OSPF协议//
3.2.3 帐号管理规范
宽带注册用户资料均由DHCP 系统导入到商务宽带系统。账号遵循一定的命名规则和原润汇系统相同,账号共11 位由大写字母和数字组成,首2 位为地市缩写,第3 位为业务类型代码(xDSL 为x,LAN 为K 等等),用户使用注册的账号密码登陆网络。用户首次成功进行PPPoE 拨号上网后,将自动通知润汇系统关闭DHCP 的接入功能。管理员必须使用具有宽带管理权限的账号登陆商务宽带系统,运用宽带接入业务管理功能对宽带注册用户进行各类维护及故障处理。对用户可进行带宽设置,唯一、唯n 性设置,代理数设置,强制客户端设置等。原则上对宽带注册用户均需要进行端口绑定,在用户第一次登陆时,系统自动收集并 反填用户绑定信息,可有效防止用户帐号漫游。对于PPPOE 方式的移机用户需要手工将帐号
2020-3-1
华为机密,未经许可不得扩散
第53页, 共75页
文档名称 文档密级:
和原端口解绑定,用户在新址上网后重新完成新端口的绑定。对于二级汇聚下的注册用户,也应进行端口绑定,但是如果此时未起QinQ,则用户会绑定到一个区域(DSLAM,BAN 或者ZAN,视网络结构不同而不同)。割接后的故障处理、认证失败记录查询均在商务宽带计费系统中进行,对绑定信息的修改也在商务宽带计费系统中进行,其他用户信息修改(状态修改、带宽修改、限制用户数、代理数等)需要在97 系统或者润汇受理系统中进行,并等待修改的数据通过接口传入商务宽带系统后,修改才能够生效(默认为润汇系统修改后5 分钟生效)。
3.3 校园网卡类业务 3.3.1 业务概述
1) 卡类业务与普通PPPOE 上网用户同样强制使用新版双栈客户端软件拨号上网。 2) 该业务也通过ME60 的dial context 承载; 3) 用户采用加后缀域名(@xyxf)方式拨号上网;
4) 限卡类业务在本地区院校所有DSLAM 间进行漫游; 5) 对于新开用户直接配发新版本客户端;
6) 对于需要割接用户,割接前提前几天进行新版双栈客户端软件推送;割接后自动切换至PPPOE方式拨号;
3.3.2 配置规范
配置规范同普通PPPOE 上网业务;
3.3.3 账号管理说明
3.3.3.1 卡用户
各地市所属院校DSLAM 割接完成以后,由省公司根据地市需要统一制卡后分发到各地市使用。卡可以限制在固定的区域内使用,认证计费系统也不对卡用户进行与端口对应的详细绑定,实现校园卡只允许在校园内使用的功能。
卡用户必须带指定的卡域名才能登陆,不带域名或者域名错误均不能通过认证。
3.3.3.2 系统参数配置
2020-3-1
华为机密,未经许可不得扩散
第54页, 共75页
文档名称 文档密级:
为校园卡用户配置一种单独的系统组别,在该组别的接入属性中进行限制,限制校园卡用户的上网范围。注:在发行卡之前,必须明确提供该批卡用户允许接入的访问资源信息(nasip、port、slot、subslot、svlan 等)。如果制卡时,网络结构不能完全明确而导致详细信息无法确定,至少需要提供卡区域的规划信息(例如:某地市某区域,预计开卡张数等),待详细信息确定后,对该卡批次进行修改,实现区域绑定。
3.3.3.3 数据生成
省公司根据地市需要统一制卡。
3.3.3.4 用户管理
因为卡用户资料仅存在于商务宽带系统中,所以卡的管理(信息修改、故障查询及处理)均完全在商务宽带系统卡业务管理模块进行。
3.3.3.5 用户自服务
卡用户的自服务系统地址为http://www.163.ha.cn/ 。系统提供卡用户清单查询(仅显示时长,不显示费用)、卡密码修改、对于时长卡系统提供剩余时长查询、金额卡系统提供余额查询的自服务功能。各地市在推广业务时,可以同时宣传此自服务系统。
3.4 VPDN 业务 3.4.1 业务概述
1) VPDN 用户采用PPPOE 方式,使用帐号加域名后缀(例如中福在线用户后缀:zfzx.ha)方式拨号;对于VPDN 用户,不强制使用客户端软件; 2) 该业务通过ME60 的dial context 承载;
3) RADIUS、AAA 等都通过dial域 完成,配置与普通上网用户配置相同; 4) 用户VLAN 配置与普通PPPOE 上网业务相同;
5) 对于不同的VPDN 用户,采用不同的后缀域名拨号。ME60将用户名和后缀域名全部信息送 给RADIUS 系统进行认证,由RADIUS 根据不同的后缀域名进行用户识别,并返回相应的L2TP 相应属性。
3.4.2 ME60 配置规范
2020-3-1
华为机密,未经许可不得扩散
第55页, 共75页
文档名称 文档密级:
3.4.2.1 域 配置
VPDN 业务由dial 域进行承载,其他配置参见本章“普通PPPOE 上网业务”配置。 3.4.2.2 用户VLAN 和QinQ VLAN 配置
该部分配置参考本手册VLAN、QinQ VLAN 配置部分; 3.4.3 账号管理说明
VPDN 用户帐户直接在联创计费系统中开户和管理。
目前系统支持宽带、窄带VPDN。账号无特殊规定,目前均为小写字母、数字和下划线的组合,但必须带域名访问。商务宽带系统将根据输入的域名,进行认证以及确定返回给BAS 指定域名的LNSIP、隧道口令等。vpdn 账号均不强制客户端。
管理员必须具有VPDN 系统的管理员账号(不同于宽窄带管理员账号),访问商务宽带系统登陆页面,并在页面的子系统选择框选择VPDN/VISP 子系统登陆,进行管理。VPDN用户可以访问自服务页面http://www.163.ha.cn/,进行密码修改等功能。 3.4.4 VPDN业务介绍
VPDN(Virtual Private Dial Network)是指利用公共网络(如ISDN 和PSTN)的拨号功 能及接入网来实现虚拟专用网,为企业、小型ISP、移动办公人员提供VPN 接入服务。 VPDN 采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业 驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络 连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
使用L2TP 构建VPDN 的典型组网如图
两种典型的L2TP 隧道模式
L2TP 隧道的建立有NAS-Initialized 和Client-Initialized 两种模式。
2020-3-1
华为机密,未经许可不得扩散
第56页, 共75页