ME60业务配置.

1、 ME60业务配置一、 普通上网业务，即163业务： 实现方式：用户接入类型方式为二层用户（layer2-subscriber），认证方式为ppp，并采用接口捆绑VT接口终结用户ppp报文的方式。VT接口在这儿只起到剥离用户ppp报文的功能，所以只需要创建或引用一个存在的VT接口就行了。ME60工作流程：检查到端口下pppoe报文，提交给vt接口完成相应会话，vt接口完成ppp认证。认证的用户名和密码提交给域对象处理。认证通过后，由域对象中ip-pool分配地址，ip-pool同时承担网关功能。（BAS上配置DHCP，用户是绑定了QINQ，BRAS会把用户的认证请求转发出去，由第三方认证中心下

2、发策略）配置思路：1、配置VT虚拟接口模板。2、配置认证方案。3、配置计费方案。4、配置RADIUS服务器组。5、配置IP地址池。6、配置域。(引用以及配置的认证方案、计费方案、radius服务器组、IP地址池)7、配置接口和BAS接口。配置过程：1、配置VT虚拟接口模板。interface Virtual-Template0 /配置PPPOE拨号模板 ppp authentication-mode pap chap /拨号时先PAP认证，若失败采用CHAP认证。 ppp keepalive interval 30 retransmit 5 /配置Keepalive报文的超时时间和重传次数 p

3、pp delay-lcp-negotiation description for_pppoe_pap_and_chap /描述2、配置认证方案。aaaauthentication-scheme auth-radius /认证方案名为auth-radius,默认为RADIUS认证authentication-mode radius /认证方式为RADIUS认证，配置后不会显示，默认是RADIUS3、配置计费方案。aaaaccounting-scheme acc-radius /计费方案名为acc-radius，默认为RADIUS计费 accounting-mode radius /计费方式为RA

4、DIUS计费，配置后不会显示，默认是RADIUS accounting start-fail online /RADIUS计费失败后仍然让用户在线4、配置RADIUS服务器组。radius-server source interface LoopBack0 /指定radius认证源端口(即radius报文从设备上发出的端口，这对在radius服务器来说很重要)#radius-server group radius-pppoe-1 /设置RADIUS组radius-pppoe-1 radius-server authentication 61.140.4.144 1812 weight 0 /配

5、置认证服务器和端口 radius-server authentication 61.140.4.111 1812 weight 0 /配置认证服务器和端口 radius-server accounting 61.140.4.144 1813 weight 0 /配置计费服务器和端口 radius-server accounting 61.140.4.111 1813 weight 0 /配置计费服务器和端口 radius-server shared-key gzgnet66 /配置共享密钥 radius-server retransmit 5 timeout 20 /配置报文重传参数 radi

6、us-server class-as-car /配置在报文中携带CAR值 radius-server traffic-unit kbyte /配置报文流量单位 radius-server algorithm loading-share /负载分担使用RADIUS服务器#5、配置地址池。ip pool bjl3-pool-01 local /拨号用户地址池 gateway 116.22.222.1 255.255.254.0 /自动生成NULL 0路由 section 0 116.22.222.2 116.22.222.254 /指定可用地址段范围 section 1 116.22.223.1

7、116.22.223.254 /指定可用地址段范围 dns-server 202.96.128.86 /设置主用DNS，拨号用户必须配置 dns-server 202.96.128.166 secondary /设置备用DNS，拨号用户必须配置6、配置163.gd域。domain 163.gd /163.gd域 authentication-scheme auth-radius /调用认证方案 accounting-scheme acc-radius /调用计费方案 radius-server group radius-pppoe-1 /调用RADIUS-GROUP组 ip-pool bjl3

8、-pool-01 /调用地址池 IP-Warning-Threshold 85 /地址使用超过85%产生告警7、为子接口指定虚模板接口。interface GigabitEthernet1/0/4.400 /子接口为400,对应于AD的外层VLAN pppoe-server bind Virtual-Template 0 /绑定虚模板 description for_adsl_tianxiangjie /描述方式为for_adsl_AD节点名 user-vlan 101 1024 QinQ 400 /内层VLAN为101到1024，外层VLAN为400 bas access-type laye

9、r2-subscriber default-domain authentication 163.gd /接入方式是二层，默认域为163.gd access-limit 1 start-vlan 102 qinq 400 /将user-vlan 102 QinQ 400限制为1个 access-limit 2 start-vlan 103 qinq 400 /将user-vlan 103 QinQ 400限制为2个 access-limit 3 start-vlan 104 end-vlan 105 qinq 400 /将user-vlan 104 QinQ 400限制为3个,user-vlan

10、 105 QinQ 400限制为3个 roam-domain 163.gd /配置漫游域为163.gd，即当用户输入不可识别的域名时，以163.gd域进行认证。8、配置上行接口以及路由，在此省略。二、 VPDN业务，即L2TP VPN用户 实现方式：1. 用户端PC机发起呼叫连接请求；2. PC机和LAC端（RouterA）进行PPP LCP协商；3. LAC对PC机提供的用户信息进行PAP或CHAP认证；4. LAC将认证信息（用户名、密码）发送给RADIUS服务器进行认证；5. RADIUS服务器认证该用户，如果认证通过则返回该用户对应的LNS地址等相关信息，并且LAC准备发起Tunnel

11、连接请求；6. LAC端向指定LNS发起Tunnel连接请求；7. LAC端向指定LNS发送CHAP challenge信息，LNS回送该challenge响应消息CHAP response，并发送LNS侧的CHAP challenge，LAC返回该challenge的响应消息CHAP response；8. 隧道验证通过；9. LAC端将用户CHAP response、response identifier和PPP协商参数传送给LNS；10. LNS将接入请求信息发送给RADIUS服务器进行认证；11. RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；12. 若用户在LNS侧配

12、置强制本端CHAP认证，则LNS对用户进行认证，发送CHAP challenge，用户侧回应CHAP response；13. LNS再次将接入请求信息发送给RADIUS服务器进行认证；14. RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；15. 验证通过，用户访问企业内部资源。 ME60工作流程：L2TP VPN也是用PPPOE拨号来建立连接。PC向ME60发起业务请求，ME60收到请求后向radius服务器进行用户认证，radius返回用户通过信息给ME60，ME60分配地址给用户，同时发起tunnel连接请求。配置思路1. 开启L2TP2. 配置L2TP组3. 配置VT虚

13、拟接口模板4. 配置radius服务器组5. 配置认证、计费方式6. 配置域7. 配置接口配置过程1. 开启L2TP L2tp enable /此命令开启后，display cur不显示 2. 配置L2TP组 l2tp-group pldn /L2TP组命名为pldn tunnel name DaXueCheng_3f /L2TP VPN隧道命名为DaXueCheng_3f start l2tp /命令用来指定本端作为L2TP LAC端时发起呼叫的触发条件 tunnel source LoopBack0 /隧道起点 3、配置VT虚拟接口模板interface Virtual-Template0

14、 /配置PPPOE拨号模板 ppp authentication-mode pap chap /拨号时先PAP认证，若失败采用CHAP认证。 ppp keepalive interval 30 retransmit 5 /配置Keepalive报文的超时时间和重传次数 ppp delay-lcp-negotiation description for_pppoe_pap_and_chap /描述 4. 配置radius服务器组 radius-server group radius-pppoe-1 /设置RADIUS组radius-pppoe-1 radius-server authentica

15、tion 61.140.4.144 1812 weight 0 /配置认证服务器和端口 radius-server authentication 61.140.4.111 1812 weight 0 /配置认证服务器和端口 radius-server accounting 61.140.4.144 1813 weight 0 /配置计费服务器和端口 radius-server accounting 61.140.4.111 1813 weight 0 /配置计费服务器和端口 radius-server shared-key gzgnet66 /配置共享密钥 radius-server retr

16、ansmit 5 timeout 20 /配置报文重传参数 radius-server class-as-car /配置在报文中携带CAR值 radius-server traffic-unit kbyte /配置报文流量单位 radius-server algorithm loading-share /负载分担使用RADIUS服务器 5. 配置认证、计费方式 authentication-scheme auth-radius /认证方式命名 注：当只命名，不做其他配置时，此认证方式默认为radius认证 accounting-scheme acc-radius /计费方式命名 注：当只命名，

17、不做其他配置时，此计费方式默认为radius计费 6. 配置域 aaa domain sinopec.gd /域名 authentication-scheme auth-radius /调用认证方式auth-radius accounting-scheme acc-radius /调用计费方式acc-radius radius-server group radius-pppoe-1 /指定radius-server组 l2tp-group pldn /指定L2TP组 7. 配置接口 interface GigabitEthernet1/0/4.400 /子接口为400,对应于AD的外层VLAN

18、 pppoe-server bind Virtual-Template 0 /绑定虚模板 description for_adsl_tianxiangjie /描述方式为for_adsl_AD节点名 user-vlan 101 1024 QinQ 400 /内层VLAN为101到1024，外层VLAN为400 bas access-type layer2-subscriber default-domain authentication 163.gd /接入方式是二层，用户拨号不带域名时默认域为163.gd 三、 WLAN业务 实现方式 ME60工作流程：用户接入 配置思路：1. 配置VT虚拟接

19、口模板2. 配置radius服务器组3. 配置认证、计费方式4. 配置ip地址池 5. 配置认证前域与用户域 6. 配置接口7. 配置wlan用户组8. acl过滤限制认证前用户可访问的地址段配置过程1. 配置VT虚拟接口模板 interface Virtual-Template0 /配置PPPOE拨号模板 ppp authentication-mode pap chap /拨号时先PAP认证，若失败采用CHAP认证。 ppp keepalive interval 30 retransmit 5 /配置Keepalive报文的超时时间和重传次数 ppp delay-lcp-negotiatio

20、n description for_pppoe_pap_and_chap /描述2. 配置radius服务器组 radius-server group wlan /配置RADIUS组wlan radius-server authentication 61.140.4.144 1812 weight 50 /配置认证服务器和端口 radius-server authentication 61.140.4.111 1812 weight 50 /配置认证服务器和端口 radius-server accounting 61.140.4.144 1813 weight 50 /配置计费服务器和端口 r

21、adius-server accounting 61.140.4.111 1813 weight 50 /配置计费服务器和端口 radius-server shared-key gzgnet66 /配置共享密钥 radius-server retransmit 2 timeout 3 /配置报文重传参数 radius-server class-as-car /配置在报文中携带CAR值 radius-server source interface LoopBack10 /指定radius认证的源ip radius-server user-name original radius-server a

22、lgorithm loading-share /负载分担使用RADIUS服务器# web-auth-server source interface LoopBack10 /指定WEB认证源端口 web-auth-server 59.37.53.10 port 2000 key dggnet6 /指定WEB认证服务器、服务器端口以及KEY值3. 配置认证、计费方式authentication-scheme wlan /认证方案命名为wlan，默认为radius认证 accounting-scheme wlan /计费方案命名为wlan，默认为radius计费 accounting start-f

23、ail online /计费失败，用户仍然在线4配置ip地址池 #ip pool pydxc-wlan-ap-pool-01 local /配置wlan ap地址池 gateway 113.66.172.129 255.255.255.192 /配置网关 section 0 113.66.172.130 113.66.172.190 /配置可用地址段 excluded-ip-address 113.66.172.130 113.66.172.190 /配置排除的地址#ip pool pydxc-wlan-pool-01 local /配置wlan用户地址池 gateway 113.66.172

24、.193 255.255.255.192 /配置网关 section 0 113.66.172.194 113.66.172.254 /配置可用地址段 dns-server 202.96.128.86 /配置主DNS服务器 dns-server 202.96.128.166 secondary /配置备DNS服务器#5. 配置认证前域和用户域domain wlan.ap authentication-scheme default0 accounting-scheme default0 ip-pool pydxc-wlan-ap-pool-01 IP-Warning-Threshold 90#d

25、omain wlan-pre /配置认证前域 authentication-scheme default0 /调用认证方式default0 accounting-scheme default0 /调用计费方式default0 service-type his /配置业务类型 web-server url /配置web认证网页 user-group wlan /配置用户组 ip-pool pydxc-wlan-pool-01 /关联地址池#domain wlan.gd /配置用户域 authentication-scheme wlan /调用认证方式wlan accounting-scheme

26、wlan /调用计费方式wlan service-type his /配置业务类型 radius-server group wlan /调用radius组web-server url /配置web认证网页 user-group wlan /配置用户组 ip-pool pydxc-wlan-pool-01 /关联地址池#6. 配置接口interface GigabitEthernet2/0/4.80 pppoe-server bind Virtual-Template 0 /绑定虚模板 description WLAN_useraccess /描述 user-vlan 668 QinQ 404 /外层vlan404，用户vlan668 bas access-type layer2-subscriber default-domain pre-authentication wlan-pre /接入方式是二层，用户拨号不带域名时默认域为wlan-pre roam-domain wlan.gd /配置漫游域为wlan.gd，即当用户输入不可识别的域名时，以wlan