华为5200配置实例手册

1、华为 5200 配置实例手册sell=XX第 1节 业务介绍1-11.1本文档的目的1-11.2具体实例内容概览1-1第 2节 PPP 用户上线配置实例2-22.1PPP 业务与组网介绍2-22.2PPP 用户基本上线实例2-22.3PPP 用户扩展实2-5第 3节 L2TP 用户上线实例3-73.1L2TP业务与组网介绍3-73.2L2TP用户上线配置3-8第 4节 控制组播的实例4-104.1控制组播介绍和组网4-104.2简单控制组播实例4-114.3对组播源认证的实例4-13第 5节 NAT 业务配置实例5-175.1NAT介绍与组网图5-175.2NAT简单配置实例5-185.3只替

2、换地址的NAT实例5-20第 6节 PnP 配置实例6-236.1Pnp介绍与组网图6-236.2 pnp用户 web认证应用实例6-24第 7节 三层认证与ACL 应用配置实例7-277.1三层认证介绍与组网7-277.2三层认证的实例7-27第 8节 dot1x 配置实例8-308.1 dot1x介绍与组网图8-308.2 dot1x简单配置实例8-31第 9节 三层专线配置实例9-339.1三层专线介绍与组网9-339.2实例介绍9-34第 10 节 二层专线接入实例10-3610.1二层专线介绍与组网图10-3610.2二层专线 MA5200分配地址的配置实例10-37第 11节 Vl

3、an 透传专线配置实例11-3911.1Vlan透传的介绍与组网图11-3911.2Vlan透传配置实例11-40第 12节PPPoE 专线配置实例12-4212.1Pppoe 专线介绍与组网12-4212.2PPPoE 专线配置实例12-42第1节 业务介绍1.1本文档的目的我们已经有了各式各样开局文档，包括配置命令，配置指导书等等，目的只有一个：让开局人员能够顺利的开局，并且解决常见的一些配置问题。本文的目的也不另外，让大家从一个个具体的配置实例中更感性的认识一下配置过程，本实例基本是实际环境的运行结果，简单的增加了一些解释与说明，以便更好的理解配置。&说明：对于每个实例，我们尽量

4、给出它的组网图，以便您更好的理解; 我们重点是各种用户的上线配置，首先给出最简单的上线配置，然后给出一些辅助配置项目，也就是下面所谓的扩展对于V100R007B01D015以后的版本做了一些命令的修改1、 PORTVLAN的配置命令格式做了修改，更改的命令格式为：portvlan ethernet ethernet-id | gigabitethernet gigabitethernet-id | trunk trunk-id port-number vlan startvlanid vlan-num 2、增加vt 的批量绑定和反绑定命令pppoe-server bind ethernet I

5、NTEGER<1-24> INTEGER<1-24> | gigabit-etherne INTEGER<25-26> INTEGER<1-2> | trunk INTEGER<1-13> INTEGER<1-13> 3、修改域下配置web 认证服务器配置命令本文中的配置命令是以 R007B01D006 的版本基础的，请工程师查阅此文档时请注意命令行的变化，命令的具体说明请参考相关版本的开局指导书，这里不再详细说明。1.2具体实例内容概览本文档基本以MA5200R007业务项目组的业务特性为基础，当然还包括其他的相关特性，

6、具体有：lPPP 用户基本上线实例。lPPP 用户上线实例扩展lL2TP 用户上线实例l下带 5100的可控组播业务简单实现（组播源不认证）l下带 5100的可控组播业务扩展实现（组播源认证）lNAT业务的简单实现。lNAT业务的扩展实现l简单的 PnP 用户上线过程。l扩展 Pnp用户上线过程。ldotlx用户上线过程l二层专线用户上线实例l三层专线用户上线实例lPPPoE 专线用户上线实例l透传专线的基本配置实例l代理专线的基本配置实例第 2 节PPP 用户上线配置实例2.1 PPP 业务与组网介绍MA5200F提供用户的PPPoE 接入方式，在该接入方式中，用户采用虚拟拨号的方式接入到M

7、A5200F 中，获得服务。 PPPOE接入业务的组网主要为通过GE 口或 100M 口接到三层交换机或路由器上，MA5200F 通过 100M下带 2403F等二层交换机，进行用户接入和认证，其型组网为：2.2 PPP 用户基本上线实例& 说明：如下一个 ppp 用户，从 5200F3 端口 VLANID 为 2 接入， PAP 认证（口令验证协议），本地认证，本地分配地址。<MA5200F>disp cu#version 7106sysname MA5200F#system language-mode english#radius-server grouplogin#i

8、nterface Ethernet3pppoe-server bind Virtual-Template 1 【用户接入端口，需绑定虚模板， 7113 以后的版本，也可以在虚模板的模式下批量增加 PPPOE-SERVER 与端口的绑定关系】#interface Virtual-Template1【配置虚模板】ppp authentication-mode pap【配置认证方式】#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local#dot1x-template 1#aaaauthentica

9、tion-scheme default1authentication-mode localaccounting-scheme default1accounting-mode localdomain 990ip-pool firstpool1【配置本地地址池】配置地址池的地址段【 aaa 下配置域和认证方式】authentication-scheme default1accounting-scheme default1【域下缺省采用的认证方案与计费方案为default1，此处计费、认证方案也可以不配】#local-aaa-server【由于本地认证配置本地用户】user user1990 pas

10、sword 123#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 3 2 1access-type layer2-subscriber【配置为二层用户】#return<MA5200F>2.3 PPP 用户扩展实例& 说明：如下一个ppp 用户，从5200F 3端口VLANID为 2 接入， PAP 认证，本地认证，本地分配地址。增加页面强推和虚模板下的一些配置项<MA5200F>disp cu#version 7106sysname MA5200F#system lang

11、uage-mode english#radius-server grouplogin#interface Ethernet3pppoe-server bind Virtual-Template 1【用户接入端口，需绑定虚模板，7113 以后的版本，也可以在虚模板的模式下批量增加PPPOE-SERVER与端口的绑定关系】#interface Ethernet4.0【与一个server相连】#interface Virtual-Template1ppp timer negotiate 8ppp keepalive interval 745 retransmit 7【配置虚模板下的一些参数】#int

12、erface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local#dot1x-template 1#aaaauthentication-scheme default1authentication-mode localaccounting-scheme default1accounting-mode localdomain 990pppoe-urlip-pool firstpool1#local-aaa-serveruser user1990 password 123authentication-scheme

13、default1【配置本地地址池】aaa 下配置域和认证方式】【 pppoe 强推一个页面】【由于本地认证配置本地用户】accounting-scheme default1【域下缺省采用的认证方案与计费方案为default1，此处计费、认证方案也可以不配】#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 3 2 1access-type layer2-subscriberportvlan ethernet 4 0 1#return<MA5200F>【配置为二层用户】第3节L2TP用户上线实例3

14、.1 L2TP业务与组网介绍PPP 协议定义了一种封装技术，行 PPP 协议，二层链路端点与可以在二层的点到点链路上传输多种协议数据包， PPP 会话点驻留在相同硬件设备上。这时用户与NAS之间运L2TP协议提供了对PPP 链路层数据包的通道（Tunnel）传输支持，允许二层链路端点和PPP 会话点驻留在不同设备上并且采用包交换网络技术进行信息交互，从而扩展了PPP 模型。 L2TP 协议结合了L2F 协议和 PPTP 协议的各自优点，成为 IETF 有关二层隧道协议的工业标准。具体的组网图如下：3.2 L2TP用户上线配置& 说明：。如下一 L2tp 用户 l2tpisp, 在 aa

15、a 本地认证，从端口 2 接入，端口 6 接一 LNS ，地址为隧道不认证，其他为缺省配置。MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#l2tp enable【打开l2tp 开关】#interface Ethernet1#interface Ethernet2pppoe-server bind Virtual-Template 1【端口绑定虚模板】#interface Ethernet6negotiation auto#interface Ethernet6.0【与LNS连的接口】#interf

16、ace Virtual-Template1#interface NULL0#interface LoopBack0#l2tp-group 1【配置l2tp组和LNS的地址】#interface Nm-Ethernet0#dot1x-template 1#aaa【aaa的配置主要是完成用户的本地认证】domain ispauthentication-schemedefault0accounting-scheme default0 undo idle-cutl2tp-group1#local-aaa-serveruser l2tpisp password 123 #cluster#user-int

17、erface con 0user-interface vty 0 4#portvlan ethernet 2 0 1 access-type layer2-subscriber portvlan ethernet 6 0 1 access-type interface #returnMA5200F【本地用户】【 用户接入端口】第 4 节控制组播的实例4.1控制组播介绍和组网MA5200在网络中的位置是一个处于三层交换机和路由器之下，LanSwitch之上的业务会聚和控制设备。MA5200 V100R007以前版本（R002 、R006 、 R009 ）支持的组播功能定位为组播代理（IGMP P

18、roxy ），仅支持不受控的组播业务。对于运行商来说，除了在设备上实现传统的组播以外，更多的是考虑对组播的受控和运行，传统的组播方案没有考虑对用户进行控制和管理，不能与我司的可运营可管理的思路保持一致。MA5200R007版本在支持传统的非受控的组播业务基础上，增加了受控组播业务特性。具体配置如下：4.2简单控制组播实例& 说明：。第 5口直接接一个组播服务器，组播源与受控，组播地址224.2.2.2,一个 PPP 用户从3 口接入，该口为组播受控，需要认证。MA5100的VLAN 为2MA5200Fdisp cu#version 7106sysname MA5200F#system

19、language-mode english#multicast routing-enable【打开组播功能开关】igmp proxyigmpdesignated-router11.1.1.101【对于接连的组源本处可配直播不置】#multicast-vlan200010【如是2403等设备，可不需要配置，只针对5100 】#interface Ethernet1#interface Ethernet2#interface Ethernet3pppoe-server bind Virtual-Template 1#interface Ethernet4#interface Ethernet5ne

20、gotiation auto#interface Ethernet5.0【 与组播服务器接】#interface Virtual-Template1ppp authentication-mode pap#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【给 ppp 用户分地址】dns-serverdns-server#dot1x-template 1#aaa【单播用户的认证计费配置】authentication-schemedefault1authentication-mode loca

21、laccounting-scheme default1accounting-mode localdomain 990ip-pool firstpool1#local-aaa-serveruser user1990 password 123user user1990 multicast-group receive 0,【 单播用户用户】【 该用户有权接受该组播】【组播地址】#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 3 2 1access-type layer2-subscribermulticast

22、-control【该端口为受控端口，用户由 此接入】portvlan ethernet 5 0 1access-type interface#returnMA5200F4.3对组播源认证的实例&说明：。对于组播用户，配置同上，增加对组播源的认证，组网基本同上，只是组播服务器接在4 口，同时将给组播服务器配置为一个静态用户，需要绑定认证，同时4 端口也为组播受控端口，对组播源也进行认证MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#radius-servergrouplogin#multica

23、st routing-enable【同上】igmp proxy#multicast-vlan 2000 10【同上】#interface Ethernet1#interface Ethernet2#interface Ethernet3pppoe-server bind Virtual-Template 1#interface Ethernet4negotiation auto#interface Ethernet5negotiation auto#interface Ethernet5.0#interface Virtual-Template1ppp authentication-mode

24、pap#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【单播ppp 用户分配地址】#ip poolpool2local【组播服务器做为静态用户使用的地址池】gateway 11.1.1.200 255.255.0.0section 0 11.1.1.101 11.1.1.105#dot1x-template 1#aaa【端单播 ppp 用户上线配置】authentication-scheme default0authentication-mode localauthentication

25、-scheme default1authentication-mode localaccounting-schemedefault0accounting-mode localaccounting-schemedefault1accounting-mode localdomain default0【静态用户的缺省domain 】ip-pool firstpool2domain 990ip-pool firstpool1#local-aaa-serveruser user1990 password 123user user1990 multicast-group receive 0,【单播用户做为

26、组播接受者】batch-user ethernet 4 0 1 domain default0【 静 态 用 户 绑 定 认 证 名 , 同 时 为 组 播源】batch-user ethernet 4 0 1 domain default0 multicast-group source 0 0multicast-group 0 224.2.2.2【组播地址】#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 3 2 1【端口受控，配置一个ppp 用户】access-type layer2-subscrib

27、ermulticast-controlportvlanethernet4 01【 端口受控 ， 配置一个静态用户 ，绑定认证】access-type layer2-subscriberauthentication-method bindmulticast-controlportvlan ethernet 5 0 1access-type interface#returnMA5200F第 5 节 NAT 业务配置实例5.1 NAT介绍与组网图NAT 在进行地址转换时有以下两种方式：1、通过修改报文头部地址信息实现地址的转换与共享当报文穿过NAT 由私网进入公网时将报文的私网地址转换为NAT 拥有

28、的公网地址，当响应报文穿过NAT由公网进入私网时将报文的公网地址转换为用户主机的私网地址，传统的NAT 只对报文的IP 地址进行转换，因此同一时刻只能有一个主机访问公网。2、 PAT 方式通过使用第四层端口区别报文实现了对公网IP 地址的复用PAT （ Port Address Translation:端口地址转换，通过利用多个内部IP 地址映射到单一IP 地址的不同TCP/UDP 端口来实现IP 地址的复用）方式利用TCP/UDP 报文端口号对拥有相同IP 地址报文进行区分，实现多个访问连接使用同一公网IP 地址。 PAT 方式利用TCP/UDP端口与IP 地址组合成地址对在NAT 两侧分别

29、识别各个连接，同一连接将拥有唯一地址对。PAT 方式在报文穿过NAT 进入公网时将报文IP 地址替换为唯一的公网IP 地址，同时为其分配一个四层端口替换原有端口。简单组网如下：5.2 NAT简单配置实例& 说明：。一个 PPP 用户拨号上线， 从 9.9.0.0 网段地址从分配一个地址，在 MA5200上做 NAT, 将所有该网段的地址转化为一个公网地址11.1.1.201 ；用户访问公网上的一个服务器11.1.1.101,在该服务器上抓包，可以看到用户的地址已经替换.如下的转化，还包括四层端口，其实是一个PATMA5200Fdisp cu#version 7106sysname MA

30、5200F#system language-mode english#nat acl 0 permit 9.9.0.0 0.0.255.255【需要转化的私网地址】nat address-group 0 11.1.1.201 11.1.1.201【对应的公网地址】nat outbound 0 address-group 0【两者绑定】#interface Ethernet1pppoe-server bind Virtual-Template 1#interface Ethernet2#interface Ethernet3#interface Ethernet4negotiation auto

31、#interface Ethernet4.0ip address 11.1.1.200 255.255.0.0#interface Virtual-Template1#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【给ppp 用户分配的私网地址】#dot1x-template 1#aaa【配置ppp 用户上线】authentication-scheme default1authentication-mode localaccounting-scheme default1accounti

32、ng-mode localdomain 990ip-pool first#pool1local-aaa-serveruser user1990 password 123#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 1 0 1access-type layer2-subscriberportvlan ethernet 4 0 1access-type interface#returnMA5200F5.3只替换地址的NAT 实例&说明：。一个PPP 用户拨号上线，分配地址，在MA5200上做NAT

33、,将该地址转化为一个公网地址；用户访问公网上的一个服务器只替换三层的ip 地址在该服务器上抓包，可以看到用户的地址已经替换.如下的转化，MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#radius-server group login#interface Ethernet1pppoe-server bind Virtual-Template 1#interface Ethernet2【对给定地址进行地址转化】#interface Ethernet3#interface Ethernet4negoti

34、ation auto#interface Ethernet4.0#interface Virtual-Template1#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【配置 ppp 用户上线使用地址池】gateway#dot1x-template 1#aaa【配置ppp 用户上线】authentication-scheme default1authentication-mode localaccounting-scheme default1accounting-mode locald

35、omain 990ip-pool first#pool1local-aaa-serveruser user1990 password 123#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 1 0 1access-type layer2-subscriberportvlan ethernet 4 0 1access-type interface#returnMA5200F第 6 节 PnP 配置实例6.1 Pnp介绍与组网图简单组网图：6.2 pnp用户 web 认证应用实例& 说明：。一个 Pn

36、P 用户 ,从端口2 接入，配置为web 认证，预连接通过，分配一个地址池地址，然后用户通过web页面输入用户名密码认证后上线，可以访问服务器MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#radius-server group login#web-server【配置的内置web 】directory flash:/webfiledefault-page/index.html#interface Ethernet1#interface Ethernet1.0#interface Ethernet2n

37、egotiation auto#interface Ethernet3#interface Ethernet4negotiation auto#interface Ethernet4.0【与 Server相连】#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【给pnp用户分配的中间合法地址】、#dot1x-template 1#aaa【配置 aaa 】authentication-schemedefault1authentication-mode localaccounting-scheme default1acco

38、unting-mode localdomain default0【做为预连接域】web-server127.0.0.1【配置内置web 地址】ip-pool firstpool1【配置使用的地址池做为中间地址】domain 990authentication-schemedefault0accounting-schemedefault0#local-aaa-server【 web 认证的用户名】user user1990 password 123#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 1 0 1

39、access-type interfaceportvlan ethernet 2 0 1【配置的pnp 用户】access-type layer2-subscriberdefault-domain pre-authentication default0authentication-method web【只能是web 认证】pnp【PnP 用户】portvlan ethernet 4 0 1access-type interface#returnMA5200F第 7 节三层认证与ACL 应用配置实例7.1三层认证介绍与组网7.2三层认证的实例& 说明：。为测试三层认证情况，我们在端口6

40、下接一个路由器，路由器下带一个用户，端口6 配置为三层认证；端口 1 做为网络侧接口接一个服务器。该三层用户通过内置的web 进行认证，在预连接域下做ACL, 强制进行web 认证，认证完后，用户可以访问服务器MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#radius-server group login#web-server【内置web 配置】directory flash:/webfiledefault-page /index.html#interface Ethernet1negotiation auto#interface Ethernet1.0【与服务器接口】#interfa