华为设备配置规范

河南网通城域网华为ME60BRAS设备配置规范华为技术有限公司6月

1、系统简介 41.1河南网通宽带城域网建设概况 41.2河南网通华为ME60系统组网方式 41.2.1网络概述 41.2.1组网方式 51.3VLAN规划原则 61.4IP地址规划原则 72、BAS配置规范（ME60） 72.1设备基本配置 72.1.1设立主机名 72.1.2时区和时钟校准 82.1.3配置管理员及其密码 82.1.4启用服务 82.1.5对管理员地址范围进行限定 92.1.6timeout时间设立 92.1.7ACL配置范例 92.1.8用户域基本配置 122.1.9安全基本配置 132.1.10设备配置保存 142.2设备接口配置 142.2.1网络侧接口配置 142.2.2loopback接口配置及描述 162.2.3地址池的配置 212.2.4VLAN及QINQ接口配置 212.3路由协议配置 232.3.1OSPF协议配置 232.4RADIUS配置 292.4.1本次项目中RADIUS配置参数 312.4.2RADIUS配置范例及注释 312.4.3RADIUS状态查看 332.4.4RADIUS故障排除方法 372.5QOS带宽管理 372.5.1两类QOS配置 372.5.2配置设备接受RADIUS服务器策略配置 382.5.3ME60本机QOS策略配置 382.6PPPOE配置 402.6.1概述 402.6.2PPPOE相关配置 412.7用户认证域选择 432.8反向路由检测 43ME60所支持的URPF 432.9DHCPRELAY配置 442.10IP综合网管设备配置规定 462.10.1访问控制列表设立(用于限制远程登录和SNMP采集的访问地址) 462.10.2TELNET用户名和密码 462.10.3SNMP配置 462.10.4SYSLOG配置 473、ME60承载业务及配置规范 483.1承载业务类型 483.2普通PPPOE上网业务 483.2.1业务概述 483.2.2ME60配置规范 483.2.3帐号管理规范 533.3校园网卡类业务 543.3.1业务概述 543.3.2配置规范 543.3.3账号管理说明 543.4VPDN业务 553.4.1业务概述 553.4.2ME60配置规范 553.4.3账号管理说明 563.4.4VPDN业务介绍 563.5机顶盒业务配置 593.5.1业务概述 593.5.2延用DHCP方式 603.5.3采用PPPOE方式 603.6专线用户配置 643.6.1通过subscriber方式定义静态IP用户 643.6.2通过leasedline方式定义静态IP用户 653.7BGP/MPLSVPN配置范例 653.7.1概述 653.7.2MPLSVPN业务命名规范 663.7.3PE（ME60）配置范例 673.8VPLS业务配置 713.8.1VPLS简介 713.8.2VPLS配置范例 74

1、系统简介1.1河南网通宽带城域网建设概况本期城域网建设在保持原有城域网改造的目的功能、目的结构和目的性能不变的基础上，连续提高宽带接入能力，继续推动二层网络扁平化，提高网络可靠性，以此逐步向功能完善、结构合理、性能优良的目的网演进。提高业务支持能力：根据各类IP业务发展需求及流量流向特性，对城域网内的设备进行容量增长和端口扩容，提供充足的业务接入能力及中继链路端口。二层网络扁平化举措：在进行扩容的同时在有条件的地市考虑继续缩减汇聚互换机的级联层数，进一步扁平化二层汇聚网络；同时具有条件的地市可根据业务发展需求结合设备性能考虑SR/BRAS适度下移。网络质量差异化：逐步部署MPLS技术和Diffserv机制，为不同用户和不同业务提供不同QOS等级的服务。在业务集中区域逐步设立轻载的大客户专用接入设备，减少普通客户流量对大客户业务质量的干扰。管理控制集中化智能化：用宽带接入服务器（BRAS）、业务路由器（SR）构建独立清楚的IP城域网接入层，实现业务集中调度、监测和控制；规范设备的网管接口规定，加强集中网管系统的建设，提高网络的可管理性，逐步实现对网络性能的实时监控管理，提供基于时间、流量、质量等指标的多样化组合计费能力。1.2河南网通华为ME60系统组网方式1.2.1网络概述根据目前网络和业务开通方式等现状，本期工程在每个县局节点及部分市区节点放置一台ME60-8BRAS设备，共计123台。在市区，ME60双上行至地市2台GSR设备，同时与地市新建SR通过端口聚合进行连接，负责终结SR设备透传过来的二层报文。在县局，网络通过布置大二层汇聚互换机来实现业务分流，ME60双上行至地市核心GSR设备，下行方向连接县局大二层汇聚互换机，负责终结县局汇聚互换机透传上来的二层报文。

1.2.1组网方式方式一、市区组网方式ME60采用双上行GE链路上行至地市GSR，启用OSPF以及BGP路由协议；同时与本局SR通过以太端口聚合聚合2个GE接口互连，该逻辑端口启用OSPF协议。其中，与GSR的端口作为主用上行路由，到本局SR设备的端口作为备用上行链路，同时该GE兼作本局用户业务的二层下联接口，终结用户VLAN或灵活QinQVLAN。方式二、县局组网方式在县局，ME60双上行至地市核心GSR路由器，上行启动三层接口，启用OSPF以及BGP协议；同时，与本局汇聚互换机通过GE口连接，该接口用来终结县级汇聚互换机透传上来的单层VLAN以及QINQVLAN。除了挂接用户业务以外，本期项目中党建、CDN等服务器业务也需要割接到新建BRAS上。1.3VLAN规划原则1.遵循管理VLAN与用户VLAN分开、一用户一VLAN的原则。2.对于直连一级汇聚层互换机的市区接入设备，规定采用VLANStacking模式，做到每个用户一个VLAN。接入设备的外层VLAN使用原汇聚层互换机中预留的VLAN。3．对于下挂在和BAS有直连链路的县局节点下的接入设备，也规定采用VLANStacking模式。4.对于下挂在二级汇聚互换机以下的接入设备（如支局），不建议采用VLANStacking模式，可采用一个DSLAM分派“一个用户VLAN＋一个管理VLAN”的方式；对于LAN方式，ZAN和BAN的管理VLAN使用同一VLAN，每个BAN采用不同用户VLAN；5.对于采用PPPOE与DHCP+并行模式的接入层设备，不采用VLANStacking模式,应遵循不同认证方式用户分派不同VLAN的原则进行VLAN规划。通过相连的各级互换机将新增VLAN透传至BAS。设备管理VLAN则延用原模式。1.4IP地址规划原则本着连续分派、节约资源、便于管理的原则进行规划。1.普通拨号用户IP地址规划PPPOE拨号用户的IP地址均直接由BAS通过地址池动态分派，每台BAS暂时分派4个C类地址。2.专线用户IP地址规划每个专线用户一个VLAN,每台BAS分派一个C类地址，用户地址可以连续分派。3.设备管理IP地址规划每台BAS下挂的接入层设备管理地址为一个Ｃ类地址，可进行连续分派。4.BAS设备管理(loopback地址等)和互联地址由省公司统一规划分派。5.每台BAS目前预留两个C类地址备用。2、BAS配置规范（ME60）该部分所介绍的配置是现网设备配置的说明和解释，以及部分派置规范；具体命令的格式及说明请参考ME60设备配置手册。2.1设备基本配置设备的基本配置涉及主机名称、时钟、用户管理设立等。2.1.1设立主机名主机名命名规则：【示例】MC-ZZ-KFQ-C6509-001郑州城域网汇聚层开发区思科6509设备MA-ZZ-XZ.BQ.LD-HW5100-001新郑市八千乡刘店接入点华为5100设备对于华为本期项目上的NE40E及ME60，属于城域网业务控制层，按照规范描述网络层次为MS，例如，洛阳道北节点ME60命名如下：MS-LY-DB-HW60-0012.1.2时区和时钟校准配置时钟命令如下：clockdatetimeHH:MM:SSYYYY-MM-DD配置时区命令如下：clocktimezonetime-zone-name{add|minus}offset例如，设立中国区时钟：clocktimezonebeijingadd82.1.3配置管理员及其密码环节1执行命令system-view，进入系统视图。环节2执行命令local-aaa-server，进入本地AAA视图。环节3执行命令userusername{password{simplesimple-password|ciphercipher-password}|authentication-typetype-mask|block|ftp-directoryftp-directory|levellevel|callback-nocheck|callback-numbercallback-number|idle-cut|qos-profileqos-profile-name}*，增长操作用户。例如，增长一个名字为HUAWEI的用户，配置如下：local-aaa-serveruserHUAWEIpasswordcipherHuaweilevel3级别3为超级用户权限，可以根据需要将用户设立为0-3的任何级别。2.1.4启用服务ME60启用网络服务命令如下：ftpserverenablesshserverenable2.1.5对管理员地址范围进行限定定义访问控制列表：Acl2023rule5permitipsource55rule10permitipsource55rule15permitipsource55进入USER-INTERFACEUser-interfacevty04Acl2023in2.1.6timeout时间设立空闲过时设立User-interfacevty04Idle-timeout5当telnet会话在5分钟内没有输入时timeout退出2.1.7ACLAcl2023至2999为基本ACL，只可以定义源地址；3000-3999为扩展ACL，可以依照五元组进行定义1、配置管理ACL范例：Acl3000rule5permitipsource55any//省网管；rule10permitipsource26destinationany//BAS（SE800）网管服务器地址；rule15permitipsourcehost40destinationany//RADIUS服务器地址；rule20permitipsource281destinationany//郑州分公司-1；rule25permitipsource27destinationany//郑州分公司-2；rule30denytcpsourceanydestinationanyeqtelnetrule35denytcpsourceanydestinationanyeqsshrule40denytcpsourceanydestinationanyeqftprule45denytcpsourceanydestinationanyeqftp-datarule50denyudpsourceanydestinationanyeqtftprule55denyudpsourceanydestinationanyeqsnmprule60denyudpsourceanydestinationanyeqsnmptraprule65permitipanyany进入telnet用户接口User-interfacevty04Acl3000in2、配置普通ACL并应用范例aclnumber3001rule5permitip#aclnumber6000match-orderautorule5denytcpdestination-porteq135rule10denytcpdestination-porteq136rule15denytcpdestination-porteq137rule20denytcpdestination-porteq138rule25denytcpdestination-porteq139rule30denytcpdestination-porteq445rule35denytcpdestination-porteq4444rule40denyudpdestination-porteq445rule45denyudpdestination-porteqnetbios-ssnrule50denyudpdestination-porteqnetbios-dgmrule55denyudpdestination-porteq135rule60denyudpdestination-porteqnetbios-nsrule65denytcpdestination-porteq2745rule70denytcpdestination-porteq3127rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90denyipsourceuser-grouphelpdestinationip-addressanyrule95denyipsourceuser-groupiptvdestinationip-addressany[ACL6000是一个用户ACL，前面定义了防病毒部分，最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]#aclnumber6001rule5permitipsourceuser-groupiptvdestinationip-address55rule10permitipsourceuser-groupiptvdestinationip-address55rule15permitipsourceuser-groupiptvdestinationip-address55rule20permitipsourceuser-groupiptvdestinationip-address55rule25permitipsourceuser-groupiptvdestinationip-address55rule30permitipsourceuser-groupiptvdestinationip-address55rule35permitipsourceuser-groupiptvdestinationip-address80rule40permitipsourceuser-groupiptvdestinationip-address80[定义了IPTV用户组里的用户可以访问的地址]#aclnumber6002match-orderautorule5permitipsourceuser-grouphelpdestinationip-address520rule10permitipsourceuser-grouphelpdestinationip-address80rule15permitipsourceuser-grouphelpdestinationip-address80[定义了HELP用户组里的用户可以访问的地址]#trafficclassifierlimitoperatororif-matchacl6000trafficclassifieractionoperatororif-matchacl6002if-matchacl6001[定义了3个流量分类，分别匹配3个ACL，会和后面的流量动作配置组成策略。这部分与思科设备通过配置ROUTE-MAP定义策略路由很类似]#trafficbehaviorlimitdenytrafficbehavioraction[定义流量动作，后面定义策略的时候与流量分类相关联]#trafficpolicylimitclassifieractionbehavioractionclassifierlimitbehaviorlimit[定义流量策略，第一条名为ACTION的分类中匹配到的报文，执行名为ACTION的流量动作中所定义的动作，就是允许，第二条行为类似，但动作是拒绝。需要注意，两条策略的顺序不能反，否则所有流量都会被拒绝]traffic-policylimitinboundtraffic-policylimitoutbound[由于上述策略都是针对用户侧的用户定义的，所以需要在全局下下发]假如流量策略需要在网络侧端口下发，只需要在相应端口下饮用traffic-policy即可。2.1.8用户域基本配置1、定义用户域domaindialauthentication-schemeradius[该域用名称为RADIUS的SCHEME来进行认证]accounting-schemeradiusservice-typehsi[将该域的模式配置成HIS模式，PPPOE的域都要配置成该模式]radius-servergroupdial[指定使用的RADIUS服务器组]ip-pooldial[指定该域使用的地址池]qosprofile2m[指定该域使用的QOS模板]2、定义地址池ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary[定义地址池，涉及网关，可分派地址范围，不能被分派的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分派地址]一个用户域下可以定义多个地支持，当一个用完时系统可以选择分派此外一个地支持中的地址。3、QOS模板定义一方面定义调度模板scheduler-profile2mcarcir2048pir2050cbs256000pbs256250upstreamgtscir2048pir2050queue-length65536定义QOS模板，在其中引用调度模板qos-profile2mscheduler-profile2m在用户域下引用QOS模板domaindialqosprofile2m2.1.9安全基本配置1、定义防病毒访问控制列表aclnumber6000match-orderautorule5denytcpdestination-porteq135rule10denytcpdestination-porteq136rule15denytcpdestination-porteq137rule20denytcpdestination-porteq138rule25denytcpdestination-porteq139rule30denytcpdestination-porteq445rule35denytcpdestination-porteq4444rule40denyudpdestination-porteq445rule45denyudpdestination-porteqnetbios-ssnrule50denyudpdestination-porteqnetbios-dgmrule55denyudpdestination-porteq135rule60denyudpdestination-porteqnetbios-nsrule65denytcpdestination-porteq2745rule70denytcpdestination-porteq3127rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90permitany2、定义流分类trafficclassifierlimitoperatororif-matchacl60003、定义流动作trafficbehaviorlimitdeny4、定义流策略trafficpolicylimitclassifierlimitbehaviorlimit5、全局下发针对用户侧的策略traffic-policylimitinboundtraffic-policylimitoutbound2.1.10设备配置保存执行SAVE命令，配置将缺省保存在设备CFCARD中。2.2设备接口配置2.2.1网络侧接口配置1、ME60将没有直接挂接用户的三层称之为网络侧端口，典型的就是连接GSR设备的三层端口。该端口为普通的三层路由端口。对于这种类型的端口配置，与普通路由器三层端口相同。对于网络侧端口的配置在系统模式下进行：interfaceGigabitEthernet1/0/0mtu1524[配置端口MTU值]descriptionTo-[LY-XiGong-GSR]G1/0/4[对于该端口的描述to-[对端设备型号]-端标语]ipaddress7852[设立端口IP地址]mplsmplsldp[端口下启用MPLS]通过使用displayinterface命令可以查看端口状态（UP、down），端口类型及端口报文计数等信息。2、端口描述规范互联中继命名规范:【端口简写】括号内端口信息采用简写F:FE G:GE/10GE A:ATM P:POS设备端口上描述建议采用TO_PC-ZZ-ZYL-CRS-001(G0/2):GE:1:电路代号用户电路命名规范:【端口简写】括号内端口信息采用简写F:FE G:GE/10GE A:ATM P:POS注:设备端口上描述建议采用TO_ZZGONGSHANGJU:10M:FE:1:电路代号例如，洛阳西工NE40E连接西工NE80E的描述：Intg1/0/0DesTO_PC-LY-XG-NE80E-001(G0/2):GE:12.2.2loopback接口配置及描述Loopback接口的配置在系统模式下进行。按照本期规划，每台设备需要配置2个loopback地址，范例如下：interfaceLoopBack0ipaddress1055[这个地址用来和RR建立IPV4BGP邻居]#interfaceLoopBack10ipaddress1155[这个地址用来和RR建立VPNV4BGP邻居]3.2.3用户侧接口配置当某个接口用于接入宽带用户时，该接口即为用户侧接口，需要将该接口配置为BAS接口，并配置用户的接入类型和其他相关属性。要完毕配置BAS接口的任务，需要执行如下的配置过程。1创建BAS接口请在ME60上进行以下配置。环节1执行命令system-view，进入系统视图。环节2执行命令interfaceinterface-typeinterface-number，进入接口视图。环节3执行命令bas，创建BAS接口。2配置用户接入类型执行命令bas，进入BAS接口视图。执行命令access-typelayer2-subscriber[bas-interface-namename|default-domain{pre-authenticationdomain-name|authentication[force|replace]domain-name}*|accounting-copyradius-serverradius-name]*，配置二层普通用户接入类型。或执行命令access-typelayer2-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置二层专线用户接入类型。或执行命令access-typelayer3-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置三层专线用户接入类型。在设立BAS接口的用户接入类型时，还可以一起设立和该种用户类型相关的业务属性，这些属性也可以在后续的配置中逐项配置。对于已经被Eth-Trunk接口包含的以太网接口，不能配置其用户接入类型，而只能配置相应的Eth-Trunk接口。有用户在线时，只有当用户类型是专线用户时，可以在线修改BAS接口的用户接入类型，其他情况不能修改。当用户类型配置为专线用户后，ME60立即对该专线用户进行认证。当接口下配置有IP地址时，只能将用户接入类型设立为三层专线用户。假如BAS接口为GE或Eth-Trunk子接口，当需要将用户接入类型设立为三层专线用户时，首先必须在子接口下配置一个用户侧VLAN（且只能配置一个）。3配置用户认证方法请在ME60上进行以下配置。环节1执行命令system-view，进入系统视图。环节2执行命令interfaceinterface-typeinterface-number，进入接口视图。环节3执行命令bas，进入BAS接口视图。环节4执行命令authentication-method{{ppp|dot1x|{web|fast}}*|bind}，配置用户认证方法。结束只有接入用户类型为二层用户的BAS接口可以设立其认证方法。各种认证方法可以组合使用，但有以下的约束关系：Web认证和快速认证互斥；绑定认证和其他认证方式都互斥。缺省情况下，BAS接口的认证方法为PPP4设立用户数限制（可选）请在ME60上进行以下配置。环节1执行命令system-view，进入系统视图。5配置BRAS接入QuidwayME60配置指南-BRAS业务5-20华为技术有限公司文档版本03(2023-02-01)环节2执行命令interfaceinterface-typeinterface-number，进入接口视图。环节3执行命令bas，进入BAS接口视图。环节4执行命令access-limitnumber，设立接口级用户数限制。或执行命令access-limituser-number[start-vlanstart-vlan[end-vlanend-vlan][qinqqinq-vlan]]，设立VLAN级用户数限制。结束缺省情况下，BAS接口未设立用户数限制。5指定域（可选）请在ME60上进行以下配置。环节1执行命令system-view，进入系统视图。环节2执行命令interfaceinterface-typeinterface-number，进入接口视图。环节3执行命令bas，进入BAS接口视图。环节4执行命令default-domainpre-authenticationdomain-name，指定认证前缺省域。或执行命令default-domainauthentication[force|replace]domain-name，指定认证缺省域。假如用户认证时未输入域名，ME60默认其属于认证缺省域。设立认证缺省域可指定force和replace参数。force参数表达不管用户认证时所带域名是什么，都强制转换到所设立的认证缺省域，使用该域的策略进行认证和授权，但用户名中的域名不发生改变。replace参数表达强制转换到所设立的认证缺省域，同时用户名中的域名也发生变化，强制替换成设立的认证缺省域名。缺省情况下，BAS接口的认证缺省域为default1。6配置BAS接口附加功能（可选）请在ME60上进行以下配置。环节1执行命令system-view，进入系统视图。环节2执行命令interfaceinterface-typeinterface-number，进入接口视图。环节3执行命令bas，进入BAS接口视图。环节4执行命令arp-proxy，启用ARP代理功能。或执行命令dhcp-broadcast，启用DHCP广播功能。或执行命令accounting-copyradius-serverradius-name，启用计费报文抄送功能。或执行命令ip-trigger，启用IP报文触发上线功能。或执行命令arp-trigger，启用ARP报文触发上线功能。或执行命令multicastcopyby-session，启用按用户复制组播报文功能。或执行命令dot1xauthenticationtrigger，启用802.1X认证触发功能。结束ARP代理功能ARP代理功能用于同一BAS接口下的用户互访，由于在ME60同一接口下的用户按VLAN/PVC严格隔离，要实现用户互访必须打开BAS接口的ARP代理开关。只有在BAS接口的接入用户类型设立为二层用户和二层专线用户的情况下，才可以配置BAS接口的ARP代理功能。ARP代理的开关只对相同BAS接口的ARP报文进行控制，其他的情况ARP代理的开关都是打开的，无法关闭。缺省情况下，同一BAS接口相同VLAN/PVC下的ARP代理功能关闭。DHCP广播功能通常情况下，BAS接口的DHCP报文是采用单播方式向用户进行发送的，但是在某些特殊情况下也许需要对DHCP报文进行广播，此时需要打开BAS接口的DHCP广播开关。缺省情况下，BAS接口的DHCP广播功能关闭。计费报文抄送功能计费报文抄送是指在计费过程中，将计费信息同步发送给两台RADIUS服务器，并分别等待回应的功能。计费报文抄送功能重要在需要多处保存原始计费信息的场合使用（如多运营商共同组网）。在这种情况下，计费报文需要同步发送给两台RADIUS服务器，在后续的结算中作为原始计费信息。缺省情况下，BAS接口的计费报文抄送功能关闭。IP报文触发上线功能IP报文触发上线功能是指静态用户通过发送IP报文触发认证过程的功能。缺省情况下，BAS接口的IP报文触发上线功能关闭。ARP报文触发上线功能ARP报文触发上线功能是指用户通过发送ARP报文触发认证过程的功能。缺省情况下，BAS接口的ARP报文触发上线功能关闭。按用户复制组播报文功能通常情况下，ME60收到某个组播组的组播报文后，只会向每个物理端口复制一份组播报文，二层设备再将组播报文复制给该组播组的每个用户。假如二层设备不具有IGMPSnooping功能，无法辨认组播组用户，则需要在ME60的接口上启用按用户进行组播复制的功能，由ME60直接将组播报文复制给用户。缺省情况下，BAS接口的按用户复制组播报文功能关闭。802.1X认证触发功能802.1X认证触发功能是指ME60探测到802.1X用户上线后，积极向用户发起认证请求的功能。缺省情况下，BAS接口的802.1X认证触发功能关闭。下面的配置范例为PPPOE接入的用户侧端口配置：interfaceGigabitEthernet1/0/3.805pppoe-serverbindVirtual-Template1[绑定PPP模板，拟定该端口使用PPPOE]mtu1524descriptionTo-NanShan-HW-MA5300-Useruser-vlan2561000QinQ805[这个命令就是终结正常的PPPOE拨号用户报文，内层标签是256-1000，外层标签是805]basaccess-typelayer2-subscriberdefault-domainauthenticationdial[BAS下的这条命令把PPPOE用户作为二层拨号用户，缺省的认证域为DIAL域，使用该域中的认证方法、QOS模板等定义的参数]2.2.3地址池的配置地址将会被用户域引用，用来为用户分派IP地址，并向拨号用户提供网关、DNS等参数。地址池可以配置多个，ME60会自动循环向后使用。配置范例如下：ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary[定义地址池，涉及网关，可分派地址范围，不能被分派的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分派地址]2.2.4VLAN及QINQ接口配置配置VLAN和QinQVLAN需要进入相应端口配置模式下进行，大体分为如下几类：1、普通固定IP业务VLAN配置及绑定interfaceGigabitEthernet1/0/3.100descriptionTo-NanShan-S6503user-vlan100[这条命令指名该端口终结带100这个单层标签的报文]basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbind[该端口下面是网管下挂的S6503互换机。ME60把它当作一个静态IP用户，一个2层用户。所谓二层用户，也就是这个下挂设备的地址是由BRAS分派管理的。该端口用户默认是在wangguan这个域中进行，认证方法是BIND，也就是ME60根据下挂用户的物理位置自动分派一个用户名。这部分派置都在BAS视图下进行]userdetectretransmit3interval30[每隔30秒向该用户发一个ARP请求，根据回应拟定用户在线。假如连续3次（90秒）没有收到回应，设备就认为用户已经下线。用这种手段来保证该设备一直在线。]在系统视图下配置：static-user5252interfaceGigabitEthernet1/0/3.100vlan100detectdomain-namewangguan[配置二层静态IP用户，静态用户地址范围从52至52，也就是指定一个静态IP，定义了这个静态用户所在的端口GigabitEthernet1/0/3.100，定义了这个用户的报文标签为100，这个用户所属的域为wangguan，以下配置相同，本机下挂的网络设备都用这种方式来进行网管，同时，启动二层静态IP用户也是用这种办法]2、普通PPPOE用户VLAN配置及动态绑定interfaceGigabitEthernet1/0/9.1pppoe-serverbindVirtual-Template1user-vlan200basaccess-typelayer2-subscriberdefault-domainauthenticationdial3、固定IP用户QinQVLAN的配置及绑定interfaceGigabitEthernet1/0/3.200descriptionleaseline-tel-7676123user-vlan100qinq200basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbindstatic-userinterfaceGigabitEthernet1/0/3.200vlan100qinq200detectdomain-namewangguan该用户的IP地址为。4、批量、连续的PPPOE用户QinQVLAN配置及动态绑定interfaceGigabitEthernet1/0/9.801pppoe-serverbindVirtual-Template1mtu1524descriptionTo-YiTuo-HAMMER-10000-2-Useruser-vlan2561000QinQ801basaccess-typelayer2-subscriberdefault-domainauthenticationdial[该子接口下终结了一批内层VLAN范围为256至1000，外层VLAN为801的PPPOE用户。注意，用户的认证方法等参数配置在相应用户域中，此例中为DIAL域，在用户侧端口下会引用该域。]2.3路由协议配置本期工程BAS（ME60)采用两个上联出口连接至地市核心GSR。在ME60上配置主链路COST为100，用户路由则采用BGP进行承载，以下对OSPF及BGP的配置进行具体说明。2.3.1OSPF协议配置BAS与上联设备建立OSPF邻居，OSPF的area号与各地市宽带IP网area号一致，如郑州area号为371；洛阳为379。OSPF链路类型为点到点类型。具体配置范例如下：1、系统模式下配置ospf协议ospf1router-id10[定义OSPF进程号以及ROUTER-ID]area23[进入相应area]network10network11network76network00[发布loopback地址以及互连地址]2、进入端口模式，将OSPF配置成为P-TO-P模式interfaceGigabitEthernet1/0/0ospfnetwork-typep2p3、查看OSPF协议状态进入用户模式或者系统模式查看OSPF邻居状态<YiTuo-ME60>disospfpeerOSPFProcess1withRouterID10NeighborsArea23interface78(GigabitEthernet1/0/0)'sneighborsRouterID:47Address:77GRState:NormalState:FullMode:NbrisSlavePriority:1DR:NoneBDR:NoneMTU:1524Deadtimerduein31secNeighborisupfor701:33:05AuthenticationSequence:[0]NeighborsArea23interface02(GigabitEthernet1/0/1)'sneighborsRouterID:45Address:01GRState:NormalState:FullMode:NbrisSlavePriority:1DR:02BDR:02MTU:1524Deadtimerduein34secNeighborisupfor701:32:23AuthenticationSequence:[0]通过以上命令查看OSPF邻居状态，正常情况下，在P-TO-P模式下邻居状态都应当为FULL。查看OSPF路由表<YiTuo-ME60>displayospfroutingOSPFProcess1withRouterID10RoutingTablesRoutingforNetworkDestinationCostTypeNextHopAdvRouterArea12/30241Inter-area774723/30241Inter-area77472316/30241Inter-area7747232/30241Inter-area77472320/30241Inter-area774723/30331Inter-area774723/32332Inter-area774723正常情况下，应当可以看到设备可以通过OSPF协议学习到路由。3.3.2BGP配置在本期项目中，设备需要通过不同的loopback地址与本地核心路由器（充当路由反射器）分别建立2个BGPIPV4邻居以及2个BGPVPNV4邻居。河南网通城域网AS号为65130。BGP配置需要在系统视图下进行，范例如下：1、BGP配置bgp65130router-id10groupha-ly-vpninternal[建立PEERGROUP]peerha-ly-vpnpasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![配置VPNV4BGP邻居认证]peerha-ly-vpnconnect-interfaceLoopBack10peer45as-number65130peer45groupha-ly-vpnpeer47as-number65130peer47groupha-ly-vpn[配置VPNV4邻居基本参数]groupha-lyinternalpeerha-lypasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![建立IPV4邻居认证]peerha-lyconnect-interfaceLoopBack0peer45as-number65130peer45groupha-lypeer47as-number65130peer47groupha-ly[配置IPV4邻居参数]#ipv4-familyunicastundosynchronizationnetwork2840network240network840network3648import-routeunr[该命令将PPPOE用户路由引入进BGP协议中，达成使用BGP承载业务路由目的]undopeer45enableundopeer47enablepeerha-ly-vpnenablepeerha-lyenablepeerha-lyroute-policysetcommunityexport[配置发布的路由携带路由策略中定义的团队属性]peerha-lynext-hop-localpeerha-lyadvertise-communitypeer45enablepeer45groupha-lypeer47enablepeer47groupha-ly#ipv4-familyvpnv4policyvpn-targetpeerha-ly-vpnenablepeerha-ly-vpnnext-hop-localpeerha-ly-vpnadvertise-communitypeer47enablepeer47groupha-ly-vpnpeer45enablepeer45groupha-ly-vpn[配置VPNV4邻居关系相关参数]route-policysetcommunitypermitnode0applycommunity65130:379[这个路由策略会在BGP发布路由时使用，把发布的BGP路由都带上65130：379这个团队属性,该命令在系统模式下配置]2、查看BGP协议状态进入用户视图或者系统视图查看IPV4BGP邻居状态<YiTuo-ME60>displaybgppeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv4546513010233574928400701h54mEstablished414814746513010268514581300701h54mEstablished41464正常情况下邻居状态应当为Established。查看VPNV4邻居状态<YiTuo-ME60>displaybgpvpnv4allpeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv47465130544484749900701h56mEstablished045465130543495125000701h56mEstablished0正常情况下邻居状态应当为Established。查看BGP路由表<YiTuo-ME60>displaybgprouting-tableTotalNumberofRoutes:82963BGPLocalrouterIDis10Statuscodes:*-valid,>-best,d-damped,h-history,i-internal,s-suppressed,S-StaleOrigin:i-IGP,e-EGP,?-incompleteNetworkNextHopMEDLocPrfPrefValPath/Ogn*>i/244301000?*i4301000?*>i/304701000?*i4701000?*>i/323701000?*i3701000?*>i/304701000?*i4701000?*>i/304701000?正常情况下设备应当可以通过BGP协议学习到IPV4路由。查看VPNV4路由disbgpvpnv4allrouting-table假如网络中启动L3MPLSVPN，正常情况下应可以学习到VPNV4路由。2.4RADIUS配置认证功能：认证功能验证用户是否可以获得访问权。用户接入网络时，ME60可通过用户名和密码对用户的身份进行认证。ME60支持四种认证模式，如下所示。★不认证：表达运营商对用户非常信任，ME60对用户不进行合法性检查。一般情况下不建议采用此模式。★本地认证：在ME60上配置用户信息（用户名、密码及其他属性等），由ME60完毕对用户的认证。本地认证的优点是速度快，可以减少运营成本；缺陷是存储信息量受设备硬件条件限制。★RADIUS认证：ME60作为客户端，与RADIUS服务器通信。在RADIUS服务器上配置用户信息，ME60将用户名和密码通过RADIUS协议传送给RADIUS服务器，RADIUS服务器完毕对用户的认证并将认证结果反馈给ME60。★HWTACACS认证：ME60作为客户端，与HWTACACS服务器通信。在HWTACACS服务器上配置用户信息，ME60将用户名和密码通过HWTACACS协议传送给HWTACACS服务器，HWTACACS服务器完毕对用户的认证并将认证结果反馈给ME60。授权功能：指定用户可以使用哪些服务。ME60支持四种授权模式，如下所示。直接授权表达运营商对用户非常信任，直接授权。本地授权根据ME60配置的用户属性对用户进行授权。RADIUS认证成功后授权。RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。HWTACACS授权由HWTACACS服务器对用户进行授权。计费功能：记录用户使用网络资源的情况。ME60支持三种计费模式，如下所示。不计费：ME60不对用户进行计费。RADIUS计费：ME60将计费报文送往RADIUS服务器，由RADIUS服务器完毕对用户的计费。HWTACACS计费：ME60将计费报文送往HWTACACS服务器，HWTACACS服务器完毕对用户的计费。在RADIUS/HWTACACS计费模式中，正常情况下ME60在用户上线和下线时各生成一份计费报文传送给服务器，服务器根据计费报文中的信息（上下线时间、使用流量等）对用户进行计费。ME60支持实时计费功能。实时计费功能是指用户在线过程中，ME60定期生成计费报文传送给服务器。通过实时计费功能，ME60可以在其和服务器通信中断时，最大限度的减少计费异常的时间。在本期项目中，我们重要采用RADIUS的认证方式，通过RADIUS服务器，设备可以提供以下控制功能：用户认证：对用户名及口令进行认证；用户认证：对用户名及口令进行认证；计费记录：通过对用户在线时间或流量等进行计费；用户授权：给用户授权，如授权成为l2tp用户；用户带宽指定：通过RADIUS设定QOS属性名称来实现用户带宽属性；预付费实时断线：根据时长或流量对用户进行下线操作；用户帐号和VLAN绑定：通过RADIUS为用户绑定VLAN号来防止盗号和漫游的发生；指定用户ACL：通过RADIUS返回ACL字符串来对用户行为进行访问控制；异常断线信息传递：通过接受ME60发出的PPPOE错误代码来判断用户的下线因素。2.4.1本次项目中RADIUS配置参数RADIUS服务器地址40认证端标语1645计费端标语1646ME60的RADIUS通讯字符串：henancnc2.4.2RADIUS配置范例及注释RADIUS相关配置在系统模式下进行。radius-serversourceinterfaceLoopBack0[定义与RADIUS交互报文携带的源地址为LOOPBACK0的地址]radius-servergroupdial[建立RADIUS服务器组，名称为DIAL，后面的用户域会引用这个服务器组作认证]radius-servershared-keyhenancncauthentication401645weight0radius-servershared-keyhenancncaccounting401646weight0[定义RADIUS服务器的地址与端标语]radius-servershared-keyhenancnc[与服务器交互的KEY，必须与server端一致]radius-serverclass-as-car[这条命令和QOS有关，ME60会将服务器端返回的CLASS属性当中的值解释为对已通过认证用户的CAR值，从而达成对用户限速的目的。对用户的速度限制是在RADIUS上定义的。]radius-serversourceinterfaceLoopBack0undoradius-serveruser-namedomain-included[该命令定义用户认证的时候，向RADIUS发送用户名的时候不带域名]基本RADIUS定义完毕后，我们需要定义一个authentication-scheme，这项配置用来定义用户域中的用户使用何种认证方式来认证。缺省情况下，authentication-scheme的认证方式为RADIUS。authentication-scheme的配置在AAA视图下进行。AAAauthentication-schemeradius[定义一个名称为RADIUS的authentication-scheme。由于缺省采用RADIUS认证，所以不用再配置额外命令]定义完RADIUS-servergroup以及authentication-scheme以后，我们在用户域中对两者进行引用，范例如下：domaindialauthentication-schemeradius[该域用名称为RADIUS的SCHEME来进行认证]accounting-schemeradiusservice-typehsi[将该域的模式配置成HIS模式，PPPOE的域都要配置成该模式]radius-servergroupdial[指定使用的RADIUS服务器组]对于用户的认证，假如用户上送的用户名携带域名，则不管用户从哪个端口上线，设备都会把该用户放到相应的域中进行认证；假如用户上送的用户名不携带域名，则将该用户放到端口下配置的缺省域中去完毕认证。在设备中，除了对拨号用户进行认证的DIAL域之外，尚有此外几个域，简述如下：1、网管域，重要用于对下挂网络设备进行管理使用，将下挂网络设备均作为2层静态IP用户进行管理。配置范例如下：domainwangguanauthentication-schemedefault0accounting-schemedefault0ip-poolwangguan[认证和计费均为def