7750BRAS操作维护手册范本

43/44移动7750BRAS操作维护手册作者姓名：海亮部门、职位：分公司、技术经理产品：IP7750完成日期：2014年10月创新沟通方式，缔造多彩生活更新记录日期修订版本描述作者2014-10-20V1.0涉与PPPoE业务容业务开通海亮目录TOC\o"1-4"\h\z\u1.总体概述52.7750上BRAS功能实现63.7750BRAS和radius配合的相关属性83.1.常用属性和说明83.2.常用私有属性93.2.1.私有属性说明103.2.2.Radius根据不同业务类型的PPPoE用户下发组合124.BRAS各个功能模块配置和规144.1.RADIUSserver和认证计费策略定义144.1.1.定义认证和计费策略144.1.2.检查认证策略情况164.2.Sub-profile和PPPoE用户的组播策略174.3.sla-profile和QoS、ip-filter、category-map策略174.4.PPPoE用户拨号接入策略224.5.PPPoE用户恶意拨号锁定功能策略224.6.RADIUS属性映射策略、MSAP和LUDB策略234.7.PPPoE地址池和地址段增减274.7.1.地址段添加274.7.2.地址段删除284.8.PPPoE普通业务开通304.8.1.端口开通304.8.2.VPLS业务接入PPPoE动态创建vlan304.8.3.IES业务接入PPPoE的3层接入业务314.9.PPPoE接入L2TP用户业务开通324.9.1.配置静态隧道324.9.2.根据域名关联预配置的静态隧道324.10.PPPoE业务itv业务开通334.10.1.端口开通334.10.2.VPLS业务接入PPPoE动态创建vlan334.10.3.IES业务接入拨号的ITV业务344.10.4.将组播接口加入IGMP协议355.BRAS常用查询show和debug命令使用365.1.常用的show命令365.1.1.查看端口状态和封装365.1.2.查看PPPoE业务L3接口状态365.1.3.查看当前PPPoE在线用户数375.1.4.查看当前PPPoE用户在线情况375.1.5.基于username查询在线状态385.1.6.基于用户IP地址查询395.1.7.基于MAC地址查询405.1.8.基于端口查询在线数405.1.9.基于用户vlan查询415.1.10.基于subscriber（username）查询415.1.11.基于用户类型查询445.1.12.查看PPPoE业务地址池使用情况445.1.13.查询PPPoE组播情况465.1.14.查询PPPoE用户信令转发情况475.1.15.检查log485.1.16.通过管道符匹配IP、MAC和用户名查询log495.1.17.查看资源占用情况495.2.debug相关命令505.2.1.debug7750和radius互通消息515.2.2.debug7750BRAS和终端之间交互的PPP报文515.2.3.debugDHCP报文515.3.clear命令51总体概述本文档主要介绍阿尔卡特朗讯7750SR路由器实现的BRAS功能，主要包括：7750BRAS的功能实现；与radius互通相关属性和私有属性；BRAS各个功能模块配置和规；查询命令的使用；Debug工具的使用。7750BRAS是BNG设备，能够同时实现SR业务，由于SR业务在移动较为简单，所以本文不涉与SR部分的介绍。本文也会规BRAS功能的配置，和SR部分一样的采用省公司SR的配置规。本文档为阿尔卡特朗讯公司7750BRAS日常维护操作手册，只针对日常工作中常见的维护工作进行编写，若获取更多信息，请参阅以下文档：7750SRInstallationGuide7750SROSSystemManagementGuide7750SROSSystemBasicConfigGuide7750SROSInterfaceGuide7750SROSRouterConfigGuide7750SROSRoutingProtocolGuide7750SROSMPLSGuide7750SROSServiceGuide7750SROSQoSConfigGuide7750SROSTriplePlayGuide上述文档以7750SR路由器装箱光盘方式提供。7750上BRAS功能实现7750BRAS根据各个功能配置不同的策略，主要包括的功能如下：PPPoE会话终结，7750BRAS通过配置策略响应和终结PPPoE拨号请求，并可以调整响应时间实现PPPoE功能的冷备份确认PPPoE用户采取的认证方式，7750BRAS可以通过radius认证，也可以通过本地认证，现网中正常采用radius认证，当radius失效后自动切换到本地配置的免认证状态。7750BRAS通过LAA功能进行IP地址分配，是基于7750本地的DHCP模块中预先配置的地址池（pool）和PPPoE地址分配进行关联，实现PPPoE用户的IP地址分配7750BRAS维护通过PPPoE方式拨入的会话，通过ESM的相关属性对PPPoE用户实现认证计费、限速和和访问控制能功能实现。一般ESM属性在本地配置相关策略，由radiusserver通过公共或厂家私有属性下具体值给7750BRAS,然后由BRAS调用本地对应的策略。在radius失效情况下ESM属性可本地返回。一个PPPoE用户拨号上限必须包含三个属性（可radius返回也可本地配置默认）:subscriber-id、sub-profile、sla-profile。具体属性作用在配置规中详细说明。7750BRAS和radius配合的相关属性常用属性和说明属性名称描述属性编号属性值User-Name要认证的用户名1string类型，容可以是简单的字符，也可以形如abcalcatel带网络域名。User-Passward要认证的用户的口令2String类型，加密后的口令存放在这里长度至少为16个字节，至多为128个字节。Nas-IP-Address发起认证设备的IP地址4address类型，4字节的IP地址Nas-Port-Id用户接入的端口和vlan87String类型，接入端口和vlanVendor-specific厂家自定义的私有属性26各厂家的私有属性Session-Timeout允许用户使用的最大时长40Integer类型4字节无符号整数Framed-Pool地址池名字88String类型7750返回给Radius的Nas-Port-Id属性值是由"端口号"+":"+"vlan号"组成的,如遇端口聚合，采用lag+ID的方式；端口号格式:a/b/c

a值为1-10（槽位号），b值为1-2（子槽号），c值为1-48（端口号）lag-z

lag为固定值，z值为1-200vlan号格式：单层vlan时为：x，x即为vlan号，值为：1-4094QinQ时单层vlan时为：y，x值为单层vlan号，值为：1-4094，y值为空vlan号，值为：0QinQ时为：x.y，x值为外层vlan号，值为：1-4094，y值为层vlan号，值为：1-4094格式示例：1、1/1/1:100

即为7750的端口1/1/1的vlan1002、1/1/1:150.0

即为7750的端口1/1/1的vlan1503、1/1/2:200.300

即为7750的端口1/1/2的外层vlan200、层vlan3004、lag-1:400

即为7750的捆邦端口lag-1的vlan4005、lag-1:450.0

即为7750的捆邦端口lag-1的vlan4506、lag-2:500.600

即为7750的捆邦端口lag-2的外层vlan500，层vlan600注：针对lag方式进行业务接入方式在radius系统的解析情况，建议将板卡和子卡的位置都用0进行填充，用lag的ID填充到端口部分。举例：lag-23，板卡位0、子卡位0、端口位23常用私有属性7750BRAS下PPPoE拨号建立需要私有属性实现接入功能，随着用户类型的不同，需要不同私有属性的组合和不同值实现接入。目前业务类型下私有属性如下：属性名称描述属性编号属性值Alc-Subsc-ID-Str用户subscriberid，直接映射username11user-nameAlc-Subsc-Prof-Str用户的计费和调度策略12sub-pppoesub-iptvAlc-SLA-Prof-Str用户的限速和ALC13sla-pppoesla-iptv私有属性说明Alc-Subsc-ID-StrPPPoE用户subscriberID。7750BRAS属性，标识一个用户而非一个会话（session），7750可通过同一subscriber的对同session进行层次化QoS调度和总带宽限制。radius通过截取认证请求中username作为该属性的值返回。该属性为radius下发，本地无需配置与其对应该属性是PPPoE用户拨号建立的必要属性Alc-Subsc-Prof-StrPPPoE用户（Subscriber）的profile，用于标识一个subscriber的计费、调度总带宽限制和组播等功能属性。该属性通过sub-indent-policy与7750本地sub-profie的策略配置对应，属性值：sub-pppoe：普通宽带用户返回值sub-iptv：itv用户返回值该属性是PPPoE用户拨号建立的必要属性Alc-SLA-Prof-StrPPPoE用户（Subscriber）的服务等级，用户标识一个subscriber的带宽限制和ACL访问控制，该属性和Alc-subscriber-qos-override属性配合使用控制一个subscriber的带宽；和Alc-Subscriber-Filter、Alc-Portal-Url属性配合使用控制用户的访问控制和重定向。属性值：sla-pppoe：普通宽带用户返回值sla-iptv：iptv用户返回值该属性是PPPoE用户拨号建立的必要属性Radius根据不同业务类型的PPPoE用户下发组合PPPoE普通账号正常上网模式和radius不校验密码的直通模式，都要下发如下三个属性Alc-Subsc-ID-StrAlc-Sla-Prof-StrAlc-Subsc-Prof-StrBRAS各个功能模块配置和规RADIUSserver和认证计费策略定义认证策略，定义认证请求携带的相关属性和radius失效切换免认证的配置,通过关联radiusserver策略实现认证请求上报A:AC7750>config#subscriber-mgmtA:AC7750>config>subscr-mgmt#infoauthentication-policy"auth-policy-1"createfallback-actionuser-db"no-auth"radius-authentication-serverserver1address84secret"4EiHkd"hash2server2address8secret"4ENEliajot"hash2server4address20secret"4EMVS5O"hash2coa-onlysource-address4exituser-name-formatascii-converted-circuit-idaccept-authorization-changepppoe-access-methodpap-chapinclude-radius-attributecircuit-idremote-idnas-port-idprefix-string"hsi-"nas-identifiermac-addressexitexit计费策略,配置认证开始、停止的报文携带属性。A:AC7750>config#subscriber-mgmtA:AC7750>config>subscr-mgmt#inforadius-accounting-policy"acc-policy-1"createnoqueue-instance-accountingsession-accountinginterim-updatehost-updateupdate-interval60include-radius-attributedelegated-ipv6-prefixframed-interface-idframed-ip-addrframed-ip-netmaskframed-ipv6-prefixipv6-addressmac-addressnas-identifiernas-port-idprefix-string"hsi-"user-namealc-acct-triggered-reasonall-authorized-session-addressesexitsession-id-formatnumberradius-accounting-serversource-address4server1address84secret"4EiHkd"hash2server2address8secret"RRTREliajot"hash2exitexitSub-profile和PPPoE用户的组播策略Sub-profile是PPPoE用户的ESM属性中必要的属性，用户拨号建立后radius（当前情况）或本地都可以返回该属性，但本地使用和radius约定返回值作为策略名称进行配置。当前sub-profile主要是调用计费策略和调度策略。其中差异化提速的用户需要使用sub-profile中调用的调度策略限制PPPoEsession的总带宽。A:AC7750#configuresubscriber-mgmtA:AC7750>config>subscr-mgmt#info……<snip>……sub-profile"sub-pppoe-10M"createradius-accounting-policy"acc-policy-1"exitsub-profile"sub-pppoe-10M4"createradius-accounting-policy"acc-policy-1"egressscheduler-policy"10m"exitexitexit……<snip>……sla-profile和QoS由于PPPoE业务是基于session实现用户接入，无法直接关联QoS和ip-filter，因此需要通过ESM属性中的sla-profile实现。QoS和ip-filter需要预配置。定义PPPoE的QoS模板，其中sap-ingress\egress3000为下发给拨号的基础带宽，使用policer方式限速，默认不限速；sap-ingress\egress3001当radius失效后切换免认证后，给此类用户一个统一的带宽限速。A:AC7750>config>qos#info……<snip>……scheduler-policy"10m"createtier1scheduler"10m"createport-parentrate10000exitexitexit……<snip>……sap-ingress2010createdescription"10M-PPPOE"queue1createexitqueue11multipointcreateexitpolicer1createrate10000cir10000mbs512kilobytescbs256kilobytesexitpolicer2createrate128cir128mbs128kilobytescbs64kilobytesexitpolicer6createrate10000cir10000mbs512kilobytescbs256kilobytesexitfc"af"createpolicer1exitfc"be"createpolicer1exitfc"ef"createpolicer2exitfc"h1"createpolicer1exitfc"h2"createpolicer1exitfc"l1"createpolicer6exitfc"l2"createpolicer1exitfc"nc"createpolicer1exitip-criteriaentry10creatematchprotocolicmpexitactionfc"ef"priorityhighexitexitipv6-criteriaentry10creatematchexitactionfc"l1"exitexitexitsap-ingress2210createdescription"for-10M4-PPPOE"queue1createexitqueue11multipointcreateexitpolicer1createrate10000cir10000mbs512kilobytescbs256kilobytesexitpolicer2createrate128cir128mbs128kilobytescbs64kilobytesexitfc"af"createpolicer1exitfc"be"createpolicer1exitfc"ef"createpolicer2exitfc"h1"createpolicer1exitfc"h2"createpolicer1exitfc"l1"createpolicer1exitfc"l2"createpolicer1exitfc"nc"createpolicer1exitip-criteriaentry10creatematchprotocolicmpexitactionfc"ef"priorityhighexitexitexitsap-egress2010createdescription"10M-PPPOE"queue1createexitpolicer1createrate10000cir10000mbs512kilobytescbs256kilobytesexitpolicer2createrate128cir128mbs128kilobytescbs64kilobytesexitpolicer6createrate10000cir10000mbs512kilobytescbs256kilobytesexitfcafcreatepolicer1exitfcbecreatepolicer1exitfcefcreatepolicer2exitfch1createpolicer1exitfch2createpolicer1exitfcl1createpolicer6exitfcl2createpolicer1exitfcnccreatepolicer1exitip-criteriaentry10creatematchprotocolicmpexitactionfc"ef"exitexitipv6-criteriaentry10creatematchexitactionfc"l1"exitexitexitsap-egress2210createdescription"for-10M4-PPPOE"queue1createparent"10m"rate4000exitqueue2createparent"10m"rate10000exitpolicer1createrate128mbs128kilobytescbs64kilobytesexitpolicer6createrate10000cir10000mbs512kilobytescbs256kilobytesexitfcefcreatepolicer1exitfcl1createpolicer6exitfcl2createqueue2exitip-criteriaentry10creatematchprotocolicmpexitactionfc"ef"exitentry11creatematchsrc-ip/17exitactionfc"l2"exit……<snip>……entry122creatematchsrc-ip/17exitactionfc"l2"exitentry123creatematchsrc-ip/8exitactionfc"l2"exitexitipv6-criteriaentry10creatematchexitactionfc"l1"exitexitexit定义PPPoE的filter，由于PPPoE基于session控制，因此必须通过ESM属性对session进行访问控制，但实际控制还是配置在设备本地的filter。下面是定位的filter模板A:AC7750>config>filter#infoip-filter111createentry10creatematchdst-ip9/32exitactionforwardexitentry20creatematchdst-ip5/32exitactionforwardexitentry30creatematchdst-ip7/32exitactionforwardexitentry40creatematchdst-ip8/32exitactionforwardexitentry100creatematchprotocoltcpdst-porteq80exitaction-redirect"691err.jsyd139./691/691account.html"exitexit……<snip>……定义PPPoE的sla-profile策略，策略名称和radius下发对应属性值一致，根据当前普通用户、IPTV用户和免认证用户分配配置不同策略。A:AC7750#configuresubscriber-mgmtA:AC7750>config>subscr-mgmt#infosla-profile"sla-pppoe-10M"createingressqos2010shared-queuingexitip-filter225exitegressqos2010exitexitexitsla-profile"sla-pppoe-10M4"createingressqos2210shared-queuingexitexitegressqos2210exitexitexitsla-profile"sla-691account"createingressqos202shared-queuingexitip-filter111exitegressqos202exitexitexitPPPoE用户拨号接入策略该策略定义BRAS和终端之间的PPPoE发现阶段的接入功能策略，PADO相应时间和session的keepalive时间都在此策略中定义。该策略在vpls下和group-interface下都有调用，一样端口和业务调用的策略名称需一致。A:AC7750#configuresubscriber-mgmtA:AC7750>config>subscr-mgmt#infoppp-policy"pppoe-policy-1"createppp-authenticationpapreject-disabled-ncpexitppp-policy"pppoe-policy-2"createpado-delay30ppp-authenticationpapreject-disabled-ncpexitRADIUS属性映射策略、MSAP和LUDB策略RADIUS下发用户的ESM属性中的sla-profile和sub-profile值通过sub-ident-policy策略和本地配置的sla-profile和sub-profile进行对应，use-direct-map-as-default命令表示radius下发的值和本地配置的值一致，直接调用的关系。A:AC7750#configuresubscriber-mgmtA:AC7750>config>subscr-mgmt#infosub-ident-policy"sub-ident-local"createsub-profile-mapuse-direct-map-as-defaultexitsla-profile-mapuse-direct-map-as-defaultexitexitmsap-policy定义动态用户的ESM属性，为了简化配置通过*(defaultvlan)匹配PADI拨号上限后的vlan并动态创建到设备。A:AC7750#configuresubscriber-mgmtA:AC7750>config>subscr-mgmt#infomsap-policy"msap-pppoe"createsub-sla-mgmtdef-inter-dest-idstring"pppoe"def-sub-iduse-sap-iddef-sub-profile"sub-no-auth"def-sla-profile"sla-no-auth"sub-ident-policy"sub-ident-local"multi-sub-saplimit20000single-sub-parametersprofiled-traffic-onlyexitexitexitlocal-user-db工具为本地认证，同时可实现基于域名实现预认证和认证功能。host对应实际用户或者域名。A:AC7750#configuresubscriber-mgmtA:AC7750>config>subscr-mgmt#infolocal-user-db"no-auth"createpppmatch-listusernamehost"default"createidentification-strings254createsla-profile-string"sla-no-auth"sub-profile-string"sub-no-auth"exitnoshutdownexitexitnoshutdownexitlocal-user-db"pppoe"createpppmatch-listusernamehost"tv.sz"createhost-identificationusername"tv.sz"domain-onlyexitaddresspool"iptv-1"noshutdownexithost"default"createaddresspool"pool1"noshutdownexitexitnoshutdownexitPPPoE地址池和地址段增减PPPoE业务在BRAS增减地址通过IPOSS自动实施。如果手工操作，必须严格按照步骤顺序执行，也可通过此命令来检查地址池添加是否完整。地址段添加步骤1、添加网关A:AC7750#configureserviceies3000subscriber-interface"pppoe"address/21A:AC7750#configureserviceies3000subscriber-interface"pppoe"address/22步骤2、发布路由A:AC7750#configurerouterpolicy-optionsA:AC7750>config>router>policy-options#beginprefix-list"ies2bgp"prefix/21exactprefix/22exact……<snip>……exitcommit步骤3、增加地址池，vod-01为itv业务的地址池、adsl-01为个人宽带业务。A:AC7750#configurerouterA:AC7750>config>router#infodhcplocal-dhcp-server"server1"createuse-gi-addressscopepooluse-pool-from-clientforce-renewspool"vod-01"createmin-lease-timedays1minimum-free100optionsdns-serverexitsubnet/21createaddress-range54exit……<snip>……exitpool"pool1"createmin-lease-timedays1minimum-free100optionsdns-serverexitsubnet/22createaddress-range54exit……<snip>……exitnoshutdownexitexit#地址段删除步骤1、锁定地址池A:AC7750#configurerouterA:AC7750>config>router#infodhcplocal-dhcp-server"dhcp-s1"createuse-gi-addressscopepooluse-pool-from-clientforce-renewspool"pool1"createmin-lease-timedays1minimum-free100optionsdns-serverexitsubnet/22createdrainaddress-range54exit……<snip>……exitnoshutdownexitexit#步骤2、等一个session-timeout的时间（48小时），待对应的subnet地址被全部回收后删除.A:AC7750#configurerouterdhcplocal-dhcp-server"server1"pool"pool1"nosubnet/22步骤3、删除路由发布A:AC7750#configurerouterpolicy-optionsA:AC7750>config>router>policy-options#beginA:AC7750>config>router>policy-options#prefix-list"ies2bgp"noprefix/21A:AC7750>config>router>policy-options#prefix-list"ies2bgp"noprefix/22A:AC7750>config>router>policy-options#commit步骤4、删除网关A:AC7750#configureserviceies3000subscriber-interface"pppoe"address/21A:AC7750#configureserviceies3000subscriber-interface"pppoe"address/22PPPoE普通业务开通端口开通7759配置接入PPPoE业务的端口只支持固定的封装方式，端口决定拨号业务的vlan接入封装方式，因此如果有双层vlan接入需要封装QINQ模式。以下以1/1/9和3/1/3端口捆绑为例。A:AC7750#configureport1/1/9A:AC7750>config>port#infoport1/1/9description"LiangPu-HW-OLT-2"ethernetmodeaccessencap-typeqinqegress-scheduler-policy"egress"accessegressqueue-group"pppoe"instance1createhost-matchdest"pppoe"createexitexitexitnoautonegotiateexitnoshutdownexitA:AC7750#configureport3/1/3A:AC7750>config>port#infoport3/1/3description"LiangPu-HW-OLT"ethernetmodeaccessencap-typeqinqegress-scheduler-policy"egress"accessegressqueue-group"pppoe"instance1createhost-matchdest"pppoe"createexitexitexitnoautonegotiateexitnoshutdownexitA:AC7750#configurelag43A:AC7750>config>lag#infodescription"LiangPu-HW-OLT"modeaccessencap-typeqinqaccessadapt-qoslinkexitport1/1/9port3/1/3lacpactiveadministrative-key32770noshutdownexitVPLS业务接入PPPoE动态创建vlan为了简化拨号接入vlan的配置，通过vpls业务的默认vlan（*）匹配拨号接入的vlan通过msap策略赋予动态vlan的ESM属性，如果出现OLT双挂BRAS的情况，可同通过配置pppoe-policy设置相应延时来实现冷备份。以下两个节点通过外层的奇偶vlan实现业务冷备份。节点1的lag43对应节点2的lag23互为冷备。节点1：A:AC7750-1#configureserviceA:AC7750-1>config>service#infovpls2043customer20createstpshutdownexitsaplag-43:31.*capture-sapcreatetrigger-packetpppoepppoe-policy"pppoe-policy-1"msap-defaultsgroup-interface"hsi-lag-43-1"policy"msap-pppoe"service3000exitauthentication-policy"auth-policy-1"exitsaplag-43:32.*capture-sapcreatetrigger-packetpppoepppoe-policy"pppoe-policy-2"msap-defaultsgroup-interface"hsi-lag-43-2"policy"msap-pppoe"service3000exitauthentication-policy"auth-policy-1"exit……<snip>……节点2A:AC7750-1#configureserviceA:AC7750-1>config>service#infovpls2023customer20createstpshutdownexitsaplag-23:31.*capture-sapcreatetrigger-packetpppoepppoe-policy"pppoe-policy-2"msap-defaultsgroup-interface"hsi-lag-23-2"policy"msap-pppoe"service3000exitauthentication-policy"auth-policy-1"exitsaplag-23:32.*capture-sapcreatetrigger-packetpppoepppoe-policy"pppoe-policy-1"msap-defaultsgroup-interface"hsi-lag-23-1"policy"msap-pppoe"service3000exitauthentication-policy"auth-policy-1"exit……<snip>……IES业务接入PPPoE