华为设备配置规范

{设备管理}华为设备配置规范1、系统简介41.1河南网通宽带城域网建设概况41.2河南网通华为ME60系统组网方式41.2.1网络概述41.2.1组网方式51.3VLAN规划原则61.4IP地址规划原则72、BAS配置规范（ME60）72.1设备基本配置72.1.1设置主机名72.1.2时区和时钟校准82.1.3配置管理员及其密码82.1.4启用服务82.1.5对管理员地址范围进行限定92.1.6timeout时间设置92.1.7ACL配置范例92.1.8用户域基本配置122.1.9安全基本配置132.1.10设备配置保存142.2设备接口配置142.2.1网络侧接口配置142.2.2loopback接口配置及描述162.2.3地址池的配置212.2.4VLAN及QINQ接口配置212.3路由协议配置232.3.1OSPF协议配置232.4RADIUS配置292.4.1本次项目中RADIUS配置参数312.4.2RADIUS配置范例及注释312.4.3RADIUS状态查看332.4.4RADIUS故障排除方法372.5QOS带宽管理372.5.1两类QOS配置372.5.2配置设备接收RADIUS服务器策略配置382.5.3ME60本机QOS策略配置382.6PPPOE配置402.6.1概述402.6.2PPPOE相关配置412.7用户认证域选择432.8反向路由检测43ME60所支持的URPF432.9DHCPRELAY配置442.10IP综合网管设备配置要求462.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址)462.10.2TELNET用户名和密码462.10.3SNMP配置462.10.4SYSLOG配置473、ME60承载业务及配置规范483.1承载业务类型483.2普通PPPOE上网业务48

3.2.1业务概述483.2.2ME60配置规范48

3.2.3帐号管理规范533.3校园网卡类业务54

3.3.1业务概述543.3.2配置规范543.3.3账号管理说明543.4VPDN业务553.4.1业务概述553.4.2ME60配置规范553.4.3账号管理说明563.4.4VPDN业务介绍563.5机顶盒业务配置593.5.1业务概述593.5.2延用DHCP方式603.5.3采用PPPOE方式603.6专线用户配置643.6.1通过subscriber方式定义静态IP用户643.6.2通过leasedline方式定义静态IP用户653.7BGP/MPLSVPN配置范例653.7.1概述653.7.2MPLSVPN业务命名规范663.7.3PE（ME60）配置范例673.8VPLS业务配置713.8.1VPLS简介713.8.2VPLS配置范例741、系统简介1.1河南网通宽带城域网建设概况本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不变的基础上，持续提升宽带接入能力，继续推进二层网络扁平化，提升网络可靠性，以此逐步向功能完善、结构合理、性能优良的目标网演进。提升业务支持能力：根据各类IP业务发展需求及流量流向特性，对城域网内的设备进行容量增加和端口扩容，提供充足的业务接入能力及中继链路端口。二层网络扁平化举措：在进行扩容的同时在有条件的地市考虑继续缩减汇聚交换机的级联层数，进一步扁平化二层汇聚网络；同时具备条件的地市可根据业务发展需求结合设备性能考虑SR/BRAS适度下移。网络质量差异化：逐步部署MPLS技术和Diffserv机制，为不同用户和不同业务提供不同QOS等级的服务。在业务集中区域逐步设立轻载的大客户专用接入设备，减少普通客户流量对大客户业务质量的干扰。管理控制集中化智能化：用宽带接入服务器（BRAS）、业务路由器（SR）构建独立清晰的IP城域网接入层，实现业务集中调度、监测和控制；规范设备的网管接口要求，加强集中网管系统的建设，提高网络的可管理性，逐步实现对网络性能的实时监控管理，提供基于时间、流量、质量等指标的多样化组合计费能力。1.2河南网通华为ME60系统组网方式1.2.1网络概述台ME60-8BRAS设备，共计123台。在市区，ME60双上行至地市2台GSRSR通过端口聚合进行连接，

负责终结SR设备透传过来的二层报文。ME60双上行至地市核心GSR1.2.1组网方式方式一、市区组网方式ME60采用双上行GE链路上行至地市GSR，启用OSPF以及BGP路由协议；同时与本局SR通过以太端口聚合聚合2个GEOSPFGSR的端口作SRGE兼作本局用户业务的二层下联接口，终结用户VLAN或灵活QinQVLAN。方式二、县局组网方式ME60双上行至地市核心GSROSPF以及BGP同时，与本局汇聚交换机通过GE口连接，该接口用来终结县级汇聚交换机透传上来的单层VLAN以及QINQVLAN。除了挂接用户业务以外，本期项目中党建、CDN等服务器业务也需要割接到新建BRAS上。1.3VLAN规划原则1.遵循管理VLAN与用户VLAN分开、一用户一VLAN的原则。2.对于直连一级汇聚层交换机的市区接入设备，要求采用VLANStacking模式，做到每个用

户一个VLAN。接入设备的外层VLAN使用原汇聚层交换机中预留的VLAN。3BASVLANStacking模式。4.VLANStacking模式，

可采用一个DSLAM分配“一个用户VLAN＋一个管理VLAN”LAN方式，ZAN和BAN

的管理VLAN使用同一VLAN，每个BAN采用不同用户VLAN；5.对于采用PPPOE与DHCP+并行模式的接入层设备，不采用VLANStacking模式,应遵循不同

认证方式用户分配不同VLAN的原则进行VLAN规划。通过相连的各级交换机将新增VLAN透

传至BAS。设备管理VLAN则延用原模式。1.4IP地址规划原则本着连续分配、节约资源、便于管理的原则进行规划。1.普通拨号用户IP地址规划PPPOE拨号用户的IP地址均直接由BASBAS暂时分配4个C类地址。2.专线用户IP地址规划每个专线用户一个VLAN,每台BAS分配一个C类地址，用户地址可以连续分配。3.设备管理IP地址规划每台BAS下挂的接入层设备管理地址为一个Ｃ类地址，可进行连续分配。4.BAS设备管理(loopback地址等)和互联地址由省公司统一规划分配。5.每台BAS目前预留两个C类地址备用。

2、BAS配置规范（ME60）式及说明请参考ME60设备配置手册。2.1设备基本配置设备的基本配置包括主机名称、时钟、用户管理设置等。2.1.1设置主机名主机名命名规则：【示例】MC-ZZ-KFQ-C6509-001郑州城域网汇聚层开发区思科6509设备MA-ZZ-.LD-HW5100-001新郑市八千乡刘店接入点华为5100设备对于华为本期项目上的NE40E及ME60络层次为MS，例如，洛阳道北节点ME60命名如下：MS-LY-DB-HW60-0012.1.2时区和时钟校准配置时钟命令如下：clockdatetimeHH:MM:SSYYYY-MM-DD配置时区命令如下：clocktimezonetime-zone-name{add|minus}offset例如，设置中国区时钟：clocktimezonebeijingadd82.1.3配置管理员及其密码步骤1执行命令system-view，进入系统视图。步骤2执行命令local-aaa-server，进入本地AAA视图。步骤3执行命令userusername{password{simplesimple-password|ciphercipher-password}|authentication-typetype-mask|block|ftp-directoryftp-directory|levellevel|callback-nocheck|callback-numbercallback-number|idle-cut|qos-profileqos-profile-name}*户。例如，增加一个名字为HUAWEI的用户，配置如下：local-aaa-serveruserHUAWEIpasswordcipherHuaweilevel3级别3为超级用户权限，可以根据需要将用户设置为0-3的任何级别。2.1.4启用服务ME60启用网络服务命令如下：ftpserverenablesshserverenable2.1.5对管理员地址范围进行限定定义访问控制列表：Acl2000rule5permitipsource55rule10permitipsource55rule15permitipsource55进入USER-INTERFACEUser-interfacevty04Acl2000in2.1.6timeout时间设置空闲过时设置User-interfacevty04Idle-timeout5当telnet会话在5分钟内没有输入时timeout退出2.1.7ACL配置范例Acl2000至2999为基本ACL，只能够定义源地址；3000-3999为扩展ACL，能够依照五元组进行定义1、配置管理ACL范例：Acl3000rule5permitipsource55any//省网管；

rule10permitipsource2destinationany//BAS（SE800器地址；rule15permitipsourcehost40destinationany//RADIUS服务器地址；rule20permitipsource21destinationany//郑州分公司-1；rule25permitipsource27destinationany//郑州分公司-2；rule30denytcpsourceanydestinationanyeqtelnetrule35denytcpsourceanydestinationanyeqsshrule40denytcpsourceanydestinationanyeqftprule45denytcpsourceanydestinationanyeqftp-datarule50denyudpsourceanydestinationanyeqtftp

rule55denyudpsourceanydestinationanyeqsnmprule60denyudpsourceanydestinationanyeqsnmptraprule65permitipanyany进入telnet用户接口User-interfacevty04Acl3000in2、配置普通ACL并应用范例aclnumber3001rule5permitip#aclnumber6000match-orderautorule5denytcpdestination-porteq135

rule10denytcpdestination-porteq136

rule15denytcpdestination-porteq137

rule20denytcpdestination-porteq138

rule25denytcpdestination-porteq139

rule30denytcpdestination-porteq445

rule35denytcpdestination-porteq4444

rule40denyudpdestination-porteq445

rule45denyudpdestination-porteqnetbios-ssn

rule50denyudpdestination-porteqnetbios-dgm

rule55denyudpdestination-porteq135

rule60denyudpdestination-porteqnetbios-ns

rule65denytcpdestination-porteq2745

rule70denytcpdestination-porteq3127

rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90denyipsourceuser-grouphelpdestinationip-addressanyrule95denyipsourceuser-groupiptvdestinationip-addressany[ACL6000是一个用户ACLHELP以及IPTV里面的用户不能访问任何地址]#aclnumber6001rule5permitipsourceuser-groupiptvdestinationip-address55rule10permitipsourceuser-groupiptvdestinationip-address55rule15permitipsourceuser-groupiptvdestinationip-address55rule20permitipsourceuser-groupiptvdestinationip-address55rule25permitipsourceuser-groupiptvdestinationip-address55rule30permitipsourceuser-groupiptvdestinationip-address55rule35permitipsourceuser-groupiptvdestinationip-address80rule40permitipsourceuser-groupiptvdestinationip-address80[定义了IPTV用户组里的用户可以访问的地址]#aclnumber6002match-orderautorule5permitipsourceuser-grouphelpdestinationip-address520rule10permitipsourceuser-grouphelpdestinationip-address80rule15permitipsourceuser-grouphelpdestinationip-address80[定义了HELP用户组里的用户可以访问的地址]#trafficclassifierlimitoperatororif-matchacl6000trafficclassifieractionoperatororif-matchacl6002if-matchacl6001[定义了33个ACL科设备通过配置ROUTE-MAP定义策略路由很类似]#trafficbehaviorlimit

denytrafficbehavioraction[定义流量动作，后面定义策略的时候与流量分类相关联]#trafficpolicylimitclassifieractionbehavioractionclassifierlimitbehaviorlimit[定义流量策略，第一条名为ACTION的分类中匹配到的报文，执行名为ACTION的流量动作不能反，否则所有流量都会被拒绝]traffic-policylimitinboundtraffic-policylimitoutbound[由于上述策略都是针对用户侧的用户定义的，所以需要在全局下下发]如果流量策略需要在网络侧端口下发，只需要在相应端口下饮用traffic-policy即可。2.1.8用户域基本配置1、定义用户域domaindialauthentication-schemeradius[该域用名称为RADIUS的SCHEME来进行认证]accounting-schemeradiusservice-typehsi[将该域的模式配置成HIS模式，PPPOE的域都要配置成该模式]radius-servergroupdial[指定使用的RADIUS服务器组]ip-pooldial[指定该域使用的地址池]qosprofile2m[指定该域使用的QOS模板]

2、定义地址池ippooldiallocalgateway

section054

excluded-ip-address

conflict-ip-address87

dns-server8dns-server8secondary[定义地址池，包括网关，可分配地址范围，不能被分配的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分配地址]址。3、QOS模板定义首先定义调度模板scheduler-profile2mcarcir2048pir2050cbs256000pbs256250upstreamgtscir2048pir2050queue-length65536定义QOS模板，在其中引用调度模板qos-profile2mscheduler-profile2m在用户域下引用QOS模板domaindialqosprofile2m2.1.9安全基本配置1、定义防病毒访问控制列表aclnumber6000match-orderautorule5denytcpdestination-porteq135

rule10denytcpdestination-porteq136

rule15denytcpdestination-porteq137

rule20denytcpdestination-porteq138

rule25denytcpdestination-porteq139

rule30denytcpdestination-porteq445

rule35denytcpdestination-porteq4444

rule40denyudpdestination-porteq445

rule45denyudpdestination-porteqnetbios-ssn

rule50denyudpdestination-porteqnetbios-dgm

rule55denyudpdestination-porteq135

rule60denyudpdestination-porteqnetbios-ns

rule65denytcpdestination-porteq2745

rule70denytcpdestination-porteq3127

rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90permitany2、定义流分类trafficclassifierlimitoperatororif-matchacl60003、定义流动作trafficbehaviorlimit

deny4、定义流策略trafficpolicylimitclassifierlimitbehaviorlimit5、全局下发针对用户侧的策略traffic-policylimitinboundtraffic-policylimitoutbound2.1.10设备配置保存执行SAVE命令，配置将缺省保存在设备CFCARD中。2.2设备接口配置2.2.1网络侧接口配置1、ME60将没有直接挂接用户的三层称之为网络侧端口，典型的就是连接GSR设备的三层端对于网络侧端口的配置在系统模式下进行：interfaceGigabitEthernet10mtu1524[配置端口MTU值]descriptionTo-[LY-XiGong-GSR]G14[对于该端口的描述to-[对端设备型号]-端口号]ipaddress7852[设置端口IP地址]mplsmplsldp[端口下启用MPLS]通过使用displayinterfaceUPdown等信息。2、端口描述规范互联中继命名规范:【端口简写】括号内端口信息采用简写F:FEG:GE/10GEA:ATMP:POS设备端口上描述建议采用TO_PC-ZZ-ZYL-CRS-001(G0/2):GE:1:电路代号用户电路命名规范:【端口简写】括号内端口信息采用简写F:FEG:GE/10GEA:ATMP:POS注:设备端口上描述建议采用TO_ZZGONGSHANGJU:10M:FE:1:电路代号例如，洛阳西工NE40E连接西工NE80E的描述：Intg10DesTO_PC-LY-XG-NE80E-001(G0/2):GE:12.2.2loopback接口配置及描述Loopback接口的配置在系统模式下进行。按照本期规划，每台设备需要配置2个loopback地址，范例如下：interfaceLoopBack0ipaddress1055[这个地址用来和RR建立IPV4BGP邻居]#interfaceLoopBack10ipaddress1155[这个地址用来和RR建立VPNV4BGP邻居]3.2.3用户侧接口配置当某个接口用于接入宽带用户时，该接口即为用户侧接口，需要将该接口配置为BAS接口，并配置用户的接入类型和其他相关属性。要完成配置BAS接口的任务，需要执行如下的配置过程。1创建BAS接口请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。步骤3执行命令bas，创建BAS接口。2配置用户接入类型执行命令bas，进入BAS接口视图。执行命令access-typelayer2-subscriber[bas-interface-namename|default-domain{pre-authenticationdomain-name|authentication[force|replace]domain-name}*|accounting-copyradius-serverradius-name]*，配置二层普通用户接入类型。或执行命令access-typelayer2-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置二层专线用户接入类型。或执行命令access-typelayer3-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置三层专线用户接入类型。在设置BAS属性也可以在后续的配置中逐项配置。对于已经被Eth-Trunk接口包含的以太网接口，不能配置其用户接入类型，而只能配置相应的Eth-Trunk接口。有用户在线时，只有当用户类型是专线用户时，可以在线修改BAS接口的用户接入类型，其他情况不能修改。当用户类型配置为专线用户后，ME60立即对该专线用户进行认证。当接口下配置有IP地址时，只能将用户接入类型设置为三层专线用户。如果BAS接口为GE或Eth-Trunk首先必须在子接口下配置一个用户侧VLAN（且只能配置一个）。3配置用户认证方法请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。

步骤3执行命令bas，进入BAS接口视图。步骤4执行命令authentication-method{{ppp|dot1x|{web|fast}}*|bind}，配置用户认证方法。----结束只有接入用户类型为二层用户的BAS但有以下的约束关系：Web认证和快速认证互斥；绑定认证和其他认证方式都互斥。缺省情况下，BAS接口的认证方法为PPP4设置用户数限制（可选）请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。5配置BRAS接入QuidwayME60配置指南-BRAS业务5-20华为技术有限公司文档版本03(2008-02-01)步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。步骤3执行命令bas，进入BAS接口视图。步骤4执行命令access-limitnumber，设置接口级用户数限制。或执行命令access-limituser-number[start-vlanstart-vlan[end-vlanend-vlan][qinqqinq-vlan]]，设置VLAN级用户数限制。----结束缺省情况下，BAS接口未设置用户数限制。5指定域（可选）请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。步骤3执行命令bas，进入BAS接口视图。步骤4执行命令default-domainpre-authenticationdomain-name，指定认证前缺省域。或执行命令default-domainauthentication[force|replace]domain-name如果用户认证时未输入域名，ME60默认其属于认证缺省域。设置认证缺省域可指定force和replace参数。force参数表示不管用户认证时所带域名是什么，都强制转换到所设置的认证缺省域，使

用该域的策略进行认证和授权，但用户名中的域名不发生改变。

replace参数表示强制转换到所设置的认证缺省域，同时用户名中的域名也发生变化，强

制替换成设置的认证缺省域名。缺省情况下，BAS接口的认证缺省域为default1。6配置BAS接口附加功能（可选）请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。步骤3执行命令bas，进入BAS接口视图。步骤4执行命令arp-proxy，启用ARP代理功能。或执行命令dhcp-broadcast，启用DHCP广播功能。或执行命令accounting-copyradius-serverradius-name，启用计费报文抄送功能。或执行命令ip-trigger，启用IP报文触发上线功能。或执行命令arp-trigger，启用ARP报文触发上线功能。或执行命令multicastcopyby-session，启用按用户复制组播报文功能。或执行命令dot1xauthenticationtrigger，启用802.1X认证触发功能。----结束ARP代理功能ARP代理功能用于同一BAS接口下的用户互访，因为在ME60同一接口下的用户按VLAN/PVC严格隔离，要实现用户互访必须打开BAS接口的ARP代理开关。只有在BAS接口的接入用户类型设置为二层用户和二层专线用户的情况下，才可以配置BAS接口的ARP代理功能。ARP代理的开关只对相同BAS接口的ARP报文进行控制，其他的情况ARP代理的开关都是打开的，无法关闭。缺省情况下，同一BAS接口相同VLAN/PVC下的ARP代理功能关闭。DHCP广播功能通常情况下，BAS接口的DHCP报文是采用单播方式向用户进行发送的，但是在某些特殊情况下可能需要对DHCP报文进行广播，此时需要打开BAS接口的DHCP广播开关。缺省情况下，BAS接口的DHCP广播功能关闭。计费报文抄送功能计费报文抄送是指在计费过程中，将计费信息同步发送给两台RADIUS服务器，并分别等待回应的功能。计费报文抄送功能主要在需要多处保存原始计费信息的场合使用（如多运营商共同组网）。在这种情况下，计费报文需要同步发送给两台RADIUS服务器，在后续的结算中作为原始计费信息。缺省情况下，BAS接口的计费报文抄送功能关闭。

IP报文触发上线功能IP报文触发上线功能是指静态用户通过发送IP报文触发认证过程的功能。缺省情况下，BAS接口的IP报文触发上线功能关闭。ARP报文触发上线功能ARP报文触发上线功能是指用户通过发送ARP报文触发认证过程的功能。缺省情况下，BAS接口的ARP报文触发上线功能关闭。按用户复制组播报文功能通常情况下，ME60收到某个组播组的组播报文后，只会向每个物理端口复制一份组播报文，二层设备再将组播报文复制给该组播组的每个用户。如果二层设备不具备IGMPSnoopingME60的接口上启用按用户进行组播复制的功能，由ME60直接将组播报文复制给用户。缺省情况下，BAS接口的按用户复制组播报文功能关闭。802.1X认证触发功能802.1X认证触发功能是指ME60探测到802.1X用户上线后，主动向用户发起认证请求的功能。缺省情况下，BAS接口的802.1X认证触发功能关闭。下面的配置范例为PPPOE接入的用户侧端口配置：interfaceGigabitEthernet13.805pppoe-serverbindVirtual-Template1[绑定PPP模板，确定该端口使用PPPOE]mtu1524descriptionTo-NanShan-HW-MA5300-Useruser-vlanQinQ805[这个命令就是终结正常的PPPOE拨号用户报文，内层标签是256-1000，外层标签是805]basaccess-typelayer2-subscriberdefault-domainauthenticationdial[BAS下的这条命令把PPPOE用户作为二层拨号用户，缺省的认证域为DIAL域，使用该域中的认证方法、QOS模板等定义的参数]2.2.3地址池的配置IPDNS址池可以配置多个，ME60会自动循环向后使用。配置范例如下：

ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary[定义地址池，包括网关，可分配地址范围，不能被分配的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分配地址]2.2.4VLAN及QINQ接口配置配置VLAN和QinQVLAN需要进入相应端口配置模式下进行，大致分为如下几类：1、普通固定IP业务VLAN配置及绑定interfaceGigabitEthernet13.100descriptionTo-NanShan-S6503user-vlan100[这条命令指名该端口终结带100这个单层标签的报文]basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbind[该端口下面是网管下挂的S6503交换机。ME60把它当作一个静态IP用户，一个2层用户。所谓二层用户，也就是这个下挂设备的地址是由BRAS分配管理的。该端口用户默认是在wangguanBINDME60根据下挂用户的物理位置自动分配一个用户名。这部分配置都在BAS视图下进行]userdetectretransmit3interval30[每隔30秒向该用户发一个ARP390收到回应，设备就认为用户已经下线。用这种手段来保证该设备一直在线。]在系统视图下配置：static-user552interfaceGigabitEthernet13.100vlan100detec

tdomain-namewangguan[配置二层静态IP用户，静态用户地址范围从52至52，也就是指

定一个静态IPGigabitEthernet13.100的报文标签为100wangguan用这种方式来进行网管，同时，开启二层静态IP用户也是用这种办法]

2、普通PPPOE用户VLAN配置及动态绑定interfaceGigabitEthernet19.1pppoe-serverbindVirtual-Template1user-vlan200basaccess-typelayer2-subscriberdefault-domainauthenticationdial3、固定IP用户QinQVLAN的配置及绑定interfaceGigabitEthernet13.200descriptionleaseline-tel-user-vlan100qinq200basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbindstatic-userinterfaceGigabitEthernet13.200vlan100qinq200detectdomain-namewangguan该用户的IP地址为。4、批量、连续的PPPOE用户QinQVLAN配置及动态绑定interfaceGigabitEthernet19.801pppoe-serverbindVirtual-Template1mtu1524descriptionTo-YiTuo-HAMMER-10000-2-Useruser-vlanQinQ801basaccess-typelayer2-subscriberdefault-domainauthenticationdial[该子接口下终结了一批内层VLAN范围为256至1000，外层VLAN为801的PPPOE用户。注意，用户的认证方法等参数配置在相应用户域中，此例中为DIAL域，在用户侧端口下会引用该域。]2.3路由协议配置本期工程BAS（ME60)采用两个上联出口连接至地市核心GSR。在ME60上配置主链路COST为100，用户路由则采用BGP进行承载，以下对OSPF及BGP的配置进行详细说明。2.3.1OSPF协议配置BAS与上联设备建立OSPFOSPF的area号与各地市宽带IP网area州area号为371；洛阳为379。OSPF链路类型为点到点类型。具体配置范例如下：

1、系统模式下配置ospf协议ospf1router-id10[定义OSPF进程号以及ROUTER-ID]area23[进入相应area]networknetworknetwork7network00[发布loopback地址以及互连地址]2、进入端口模式，将OSPF配置成为P-TO-P模式interfaceGigabitEthernet10ospfnetwork-typep2p3、查看OSPF协议状态进入用户模式或者系统模式★查看OSPF邻居状态<YiTuo-ME60>disospfpeerOSPFProcess1withRouterID10NeighborsArea23interface78(GigabitEthernet10)'sneighborsRouterID:47Address:77GRState:NormalState:FullMode:NbrisSlavePriority:1DR:NoneBDR:NoneMTU:1524Deadtimerduein31secNeighborisupfor701:33:05AuthenticationSequence:[0]NeighborsArea23interface02(GigabitEthernet11)'sneighborsRouterID:45Address:01GRState:NormalState:FullMode:NbrisSlavePriority:1DR:02BDR:02MTU:1524Deadtimerduein34secNeighborisupfor701:32:23AuthenticationSequence:[0]通过以上命令查看OSPF邻居状态，正常情况下，在P-TO-P模式下邻居状态都应该为FULL。★查看OSPF路由表<YiTuo-ME60>displayospfroutingOSPFProcess1withRouterID10RoutingTablesRoutingforNetworkDestinationCostTypeNextHopAdvRouterArea12/30241Inter-area77423/30241Inter-area7742316/30241Inter-area774232/30241Inter-area7742320/30241Inter-area77423/30331Inter-area77423/32332Inter-area77423正常情况下，应该能够看到设备能够通过OSPF协议学习到路由。3.3.2BGP配置在本期项目中，设备需要通过不同的loopback地址与本地核心路由器（充当路由反射器）分别建立2个BGPIPV4邻居以及2个BGPVPNV4邻居。河南网通城域网AS号为65130。BGP配置需要在系统视图下进行，范例如下：1、BGP配置bgp65130router-id10groupha-ly-vpninternal[建立PEERGROUP]peerha-ly-vpnpasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![配置VPNV4BGP邻居认证]peerha-ly-vpnconnect-interfaceLoopBack10

peer45as-number65130

peer45groupha-ly-vpn

peer47as-number65130

peer47groupha-ly-vpn

[配置VPNV4邻居基本参数]groupha-lyinternalpeerha-lypasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![建立IPV4邻居认证]peerha-lyconnect-interfaceLoopBack0

peer45as-number65130

peer45groupha-lypeer47as-number65130peer47groupha-ly[配置IPV4邻居参数]#ipv4-familyunicastundosynchronizationnetwork2840network240network840

network3648import-routeunr[该命令将PPPOE用户路由引入进BGP协议中，达到使用BGP承载业务路由目的]undopeer45enableundopeer47enablepeerha-ly-vpnenablepeerha-lyenablepeerha-lyroute-policysetmunityexport[配置发布的路由携带路由策略中定义的团体属性]peerha-lynext-hop-localpeerha-lyadvertise-munitypeer45enablepeer45groupha-lypeer47enablepeer47groupha-ly#ipv4-familyvpnv4policyvpn-targetpeerha-ly-vpnenablepeerha-ly-vpnnext-hop-local

peerha-ly-vpnadvertise-munity

peer47enablepeer47groupha-ly-vpn

peer45enablepeer45groupha-ly-vpn[配置VPNV4邻居关系相关参数]route-policysetmunitypermitnode0applymunity65130:379[这个路由策略会在BGP发布路由时使用，把发布的BGP路由都带上65130379这个团体属性,该命令在系统模式下配置]2、查看BGP协议状态进入用户视图或者系统视图★查看IPV4BGP邻居状态<YiTuo-ME60>displaybgppeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv61.168.255.h54mEstablished4148161.168.255.h54mEstablished41464正常情况下邻居状态应该为Established。★查看VPNV4邻居状态<YiTuo-ME60>displaybgpvpnv4allpeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv61.168.232.h56mEstablished061.168.232.h56mEstablished0正常情况下邻居状态应该为Established。★查看BGP路由表<YiTuo-ME60>displaybgprouting-tableTotalNumberofRoutes:82963BGPLocalrouterIDis10Statuscodes:*-valid,>-best,d-damped,h-history,i-internal,s-suppressed,S-StaleOrigin:i-IGP,e-EGP,?-inpleteNetworkNextHopMEDLocPrfPrefValPath/Ogn*>i/24?*i?*>i/30?*i?*>i/32?*i?*>i/30?*i?*>i/30?正常情况下设备应该能够通过BGP协议学习到IPV4路由。★查看VPNV4路由disbgpvpnv4allrouting-table如果网络中开启L3MPLSVPN，正常情况下应能够学习到VPNV4路由。2.4RADIUS配置认证功能：ME60可通过用户名和密码对用户的身份进行认证。ME60支持四种认证模式，如下所示。ME60采用此模式。★本地认证：在ME60ME60完成对用户限制。★RADIUS认证：ME60作为客户端，与RADIUS服务器通信。在RADIUS服务器上配置用户信息，ME60将用户名和密码通过RADIUS协议传送给RADIUS服务器，RADIUS服务器完成对用户的认证并将认证结果反馈给ME60。★HWTACACS认证：ME60作为客户端，与HWTACACS服务器通信。在HWTACACS服务器上配置用户信息，ME60将用户名和密码通过HWTACACS协议传送给HWTACACS服务器，HWTACACS服务器完成对用户的认证并将认证结果反馈给ME60。授权功能：指定用户可以使用哪些服务。ME60支持四种授权模式，如下所示。直接授权表示运营商对用户非常信任，直接授权。本地授权根据ME60配置的用户属性对用户进行授权。RADIUS认证成功后授权。RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。HWTACACS授权由HWTACACS服务器对用户进行授权。计费功能：记录用户使用网络资源的情况。ME60支持三种计费模式，如下所示。不计费：ME60不对用户进行计费。RADIUS计费：ME60将计费报文送往RADIUS服务器，由RADIUS服务器完成对用户的计费。HWTACACS计费：ME60将计费报文送往HWTACACS服务器，HWTACACS服务器完成对用户的计费。在RADIUS/HWTACACS计费模式中，正常情况下ME60在用户上线和下线时各生成一份计费报文传送给服务器，服务器根据计费报文中的信息（上下线时间、使用流量等）对用户进行计费。ME60支持实时计费功能。实时计费功能是指用户在线过程中，ME60定时生成计费报文传送ME60常的时间。RADIUSRADIUS控制功能：用户认证：对用户名及口令进行认证；用户认证：对用户名及口令进行认证；计费记录：通过对用户在线时间或流量等进行计费；用户授权：给用户授权，如授权成为l2tp用户；用户带宽指定：通过RADIUS设定QOS属性名称来实现用户带宽属性；预付费实时断线：根据时长或流量对用户进行下线操作；用户帐号和VLAN绑定：通过RADIUS为用户绑定VLAN号来防止盗号和漫游的发生；指定用户ACL：通过RADIUS返回ACL字符串来对用户行为进行访问控制；异常断线信息传递：通过接收ME60发出的PPPOE错误代码来判断用户的下线原因。2.4.1本次项目中RADIUS配置参数RADIUS服务器地址40认证端口号1645计费端口号1646ME60的RADIUS通讯字符串：henancnc2.4.2RADIUS配置范例及注释RADIUS相关配置在系统模式下进行。radius-serversourceinterfaceLoopBack0[定义与RADIUS交互报文携带的源地址为LOOPBACK0的地址]radius-servergroupdial[建立RADIUS服务器组，名称为DIAL，后面的用户域会引用这个服务器组作认证]radius-servershared-keyhenancncauthentication221.13.223.weight0radius-servershared-keyhenancncaccounting221.13.223.weight0[定义RADIUS服务器的地址与端口号]radius-servershared-keyhenancnc[与服务器交互的KEY，必须与server端一致]radius-serverclass-as-car[这条命令和QOS有关，ME60会将服务器端返回的CLASS属性当中的值解释为对已通过认证用户的CAR值，从而达到对用户限速的目的。对用户的速度限制是在RADIUS上定义的。]radius-serversourceinterfaceLoopBack0undoradius-serveruser-namedomain-included[该命令定义用户认证的时候，向RADIUS发送用户名的时候不带域名]基本RADIUSauthentication-scheme户域中的用户使用何种认证方式来认证。缺省情况下，authentication-scheme的认证方式为RADIUS。authentication-scheme的配置在AAA视图下进行。AAAauthentication-schemeradius[定义一个名称为RADIUS的authentication-schemeRADIUS再配置额外命令]定义完RADIUS-servergroup以及authentication-scheme以后，我们在用户域中对二者进行引用，范例如下：domaindialauthentication-schemeradius[该域用名称为RADIUS的SCHEME来进行认证]accounting-schemeradiusservice-typehsi[将该域的模式配置成HIS模式，PPPOE的域都要配置成该模式]radius-servergroupdial[指定使用的RADIUS服务器组]口下配置的缺省域中去完成认证。在设备中，除了对拨号用户进行认证的DIAL域之外，还有另外几个域，简述如下：

12层静态IP用

户进行管理。配置范例如下：domainwangguanauthentication-schemedefault0accounting-schemedefault0ip-poolwangguan[认证和计费均为default0，表示不认证，不计费]2CNC起他地址。配置范例如下：domaincncauthentication-schemelocal

accounting-schemedefault0user-grouphelpip-poolhelp3IPTVIPTV置范例如下：domainauthentication-schemeradiusaccounting-schemeradiusip-pooliptv2.4.3RADIUS状态查看状态查看在用户模式或者系统模式下进行。★服务器状态查看<YiTuo-ME60>displayradius-serverconfigurationRADIUSsourceinterface:LoopBack0RADIUSnoresponsepacketcount:10RADIUSautorecovertime(Min):3---------------------------------------------------------Server-group-name:dialAuthentication-server:IP:40Port:1645Weight[0][UP]Vpn:-share-key:henancncAccounting-server:IP:40Port:1646Weight[0][UP]Vpn:-share-key:henancncProtocol-version:radiusShared-secret-key:henancncRetransmission:3Timeout-interval(s):5Acct-Stop-PacketResend:NOAcct-Stop-PacketResend-Times:0---------------------------------------------------------Total1,1printed★查看用户状态信息1、查看所有用户概况<YiTuo-ME60>displayaccess-user-------------------------------------------------------------------Totalusers:979Normalusers:979Adminusers:0Waitauthen-ack:0Authenticationfinish:979Accountingready:10Realtimeaccounting:969Waitleaving-flow-query:0Waitaccounting-start:0Waitaccounting-stop:0Waitauthorization-client:0Waitauthorization-server:0-------------------------------------------------------------------Domain-nameCurrent-UserOnline-User-------------------------------------------------------------------default0:0:0

default1:0:0

default_admin:0:0

static:0:0dial:969:969

test:0:0wangguan:10:10

cnc:0:0:0:0test-1:0:0-----------------------------------------------------------------------------Theuseduseridtableare:2、查看单个用户详细信息该命令需要利用到上一个命令输出的USER-ID<YiTuo-ME60>disaccess-useruser-id69846

Useraccessindex:69846Username:2:3uSG2MxeXV2Domain-name:dialUseraccessInterface:GigabitEthernet19.802

QinQVlan/UserVlan:802/309UserMAC:00e0-4cbc-c4c3UserIPaddress:51

Authenserveripaddress:40

Useraccesstype:PPPoEService-type:HSIUserauthenticationtype:PPPauthentication

Normal-server-group:dialTwo-level-acct-server-group:-

Physical-acct-server-group:-

Authenmethod:RADIUSCurrentauthenmethod:RADIUS

Authenresult:SuccessActionflag:IdleAuthenstate:AuthedAuthorstate:IdleAccountingmethod:RADIUS

Useraccesstime:1:07:21Accountingstarttime:1:07:21

Accountingstate:AccountingEAPuser:NoMD5end:NoUserMSIDSNname:-Idle-cut-data(time,rate):0minute,60Kbyte/minuteVPNinstance:--GREgroup:-UserGroup:-QOS-profile-name:2m

Multicast-profile:-UpPriority:0DownPriority:0Policy-route-nexthop:-UpCARenable:YesUpmittedinformationrate:2098(Kbps)Uppeakinformationrate:0(Kbps)Downshapingenable:YesDownmittedinformationrate:2098(Kbps)Downpeakinformationrate:2098(Kbps)QOSschedulemode:DEFAULTUppacketsnumber(high,low):(0,622)Upbytesnumber(high,low):(0,91263)Downpacketsnumber(high,low):(0,574)Downbytesnumber(high,low):(0,343789)Timeremained:172544(s)Option82information:-2.4.4RADIUS故障排除方法1）可以将验证方式更改为none；这样可以让用户直接拨号，如果可以pppoe成功，说明用户到ME60的2层通路没有问题；2）也可以改为方式为local，在ME60上创建用户和密码，让用户使用该帐号和密码登陆，如果成功，说明用户到ME60间的二层通路没有问题；local-aaa-server[配置本地用户并创建密码]2.5QOS带宽管理RADIUSBASBAS维护。BAS上需要配置相应的带宽控制策略。目前BAS上配置的带宽策略有：512K，1M，2M，4M，6M，8M，10MBAS和RADIUS上添加不同控制策略。2.5.1两类QOS配置1RADIUS服务器下发的QOSRADIUS认证用户并通过后下发至ME60，ME60通过在RADIUS配置中配置CLASS-AS-CAR行限速。2、ME60本机定义的限速策略，通过定义调度模板、qos模板并在用户域下引用QOS模板来实现对整个域下用户的限速。以上两种QOS机制如果同时配置，RADIUS下发的策略优先生效。2.5.2配置设备接收RADIUS服务器策略配置radius-servergroupdialradius-serverclass-as-car2.5.3ME60本机QOS策略配置1、定义调度模板scheduler-profile10mcarcir10000cbspbsupstreamcarcir10000cbspbsdownstreamgtscir10000queue-length65536#scheduler-profile1mcarcir1000cbs187500pbs187500upstreamcarcir1000cbs187500pbs187500downstreamgtscir1000queue-length65536#scheduler-profile2mcarcir2000cbs375000pbs375000upstream

carcir2000cbs375000pbs375000downstream

gtscir2000queue-length65536

#scheduler-profile4mcarcir4000cbs750000pbs750000upstreamcarcir4000cbs750000pbs750000downstreamgtscir4000queue-length65536#scheduler-profile512kcarcir512cbs93750pbs93750upstreamcarcir512cbs93750pbs93750downstream

gtscir512queue-length65536#scheduler-profile6mcarcir6000cbspbsupstreamcarcir6000cbspbsdownstreamgtscir6000queue-length65536#scheduler-profile8mcarcir8000cbspbsupstreamcarcir8000cbspbsdownstreamgtscir8000queue-length655362、定义QOS模板，该模板需要引用前面定义的调度模板qos-profile10mscheduler-profile10m#qos-profile1mscheduler-profile1m#qos-profile2mscheduler-profile2m#qos-profile4mscheduler-profile4m

#qos-profile512kscheduler-profile512k#qos-profile6mscheduler-profile6m#qos-profile8mscheduler-profile8m#qos-profiledefault3、在用户域下应用QOS模板。domain1mqosprofile1m2.6PPPOE配置2.6.1概述在实际业务环境中PPPOE拨号用户分以下两种：1)LANVLAN号透传给ME60来建立拨号线路；2)DSLAM用户：用户通过ADSL分流器将数字信号导入DSLAM,DSLAM为用户分配特定的VLAN号，由汇聚层交换机将用户VLAN透传给ME60用TRUNK，用户VLAN或QinQVLAN透传至BAS端口；用户可使用客户端进行PPPOEPPPOE方式进PPPOE拨号请求，由ME60终结PPPOE连接，通过RADIUS来进行用户认证，用户认证通过后，由ME60为用户分配IP地址、DNS服务器地址等。PPPOE基本配置如下：1配置虚模板接口2配置认证方案3配置计费方案4配置RADIUS服务器组/HWTACACS服务器模板5配置IPv4地址池6配置域7为接口指定虚模板接口（对PPPoE、PPPoEoVLAN、PPPoEoQ接入有效）

8子接口绑定VLAN（只对PPPoEoVLAN、PPPoEoQ接入有效）

9配置BAS接口2.6.2PPPOE相关配置1、配置PPP虚拟模板interfaceVirtual-Template1pppauthentication-modeautopppkeepaliveinterval30retransmit3tcpadjust-mss1400[建立PPP虚模板，在其中可以定义PPPOE的一些特性。比如第一行定义了PPP使用的认证方法为自适应，也就是根据拨号客户端的方法来决定ME60的认证方式。PPPkeepalive定义PPP协议LCP探测报文的发送频率，此处我们配置每30秒发送一次，重传频率为3，这样，只要在90秒内可以接收到用户反馈，即认为用户在线。]

2、配置认证方案authentication-schemeradius3、配置计费方案accounting-schemeradiusaccountingstart-failonline4、配置RADIUS服务器组radius-servergroupdialradius-servershared-keyhenancncauthentication221.13.223.weight0radius-servershared-keyhenancncaccounting221.13.223.weight0radius-servershared-keyhenancncradius-serverclass-as-carradius-serversourceinterfaceLoopBack0undoradius-serveruser-namedomain-included5、配置IPV4地址池ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary6、配置域domaindialauthentication-schemeradius[该域用名称为RADIUS的SCHEME来进行认证]accounting-schemeradiusservice-typehsi[将该域的模式配置成HIS模式，PPPOE的域都要配置成该模式]radius-servergroupdial[指定使用的RADIUS服务器组]ip-pooldial[指定该域