華為設(shè)備配置規(guī)范

{設(shè)備管理}華為設(shè)備配置規(guī)范1、系統(tǒng)簡介41.1河南網(wǎng)通寬帶城域網(wǎng)建設(shè)概況41.2河南網(wǎng)通華為ME60系統(tǒng)組網(wǎng)方式41.2.1網(wǎng)絡(luò)概述41.2.1組網(wǎng)方式51.3VLAN規(guī)劃原則61.4IP地址規(guī)劃原則72、BAS配置規(guī)范（ME60）72.1設(shè)備基本配置72.1.1設(shè)置主機(jī)名72.1.2時區(qū)和時鐘校準(zhǔn)82.1.3配置管理員及其密碼82.1.4啟用服務(wù)82.1.5對管理員地址范圍進(jìn)行限定92.1.6timeout時間設(shè)置92.1.7ACL配置范例92.1.8用戶域基本配置122.1.9安全基本配置132.1.10設(shè)備配置保存142.2設(shè)備接口配置142.2.1網(wǎng)絡(luò)側(cè)接口配置142.2.2loopback接口配置及描述162.2.3地址池的配置212.2.4VLAN及QINQ接口配置212.3路由協(xié)議配置232.3.1OSPF協(xié)議配置232.4RADIUS配置292.4.1本次項目中RADIUS配置參數(shù)312.4.2RADIUS配置范例及注釋312.4.3RADIUS狀態(tài)查看332.4.4RADIUS故障排除方法372.5QOS帶寬管理372.5.1兩類QOS配置372.5.2配置設(shè)備接收RADIUS服務(wù)器策略配置382.5.3ME60本機(jī)QOS策略配置382.6PPPOE配置402.6.1概述402.6.2PPPOE相關(guān)配置412.7用戶認(rèn)證域選擇432.8反向路由檢測43ME60所支持的URPF432.9DHCPRELAY配置442.10IP綜合網(wǎng)管設(shè)備配置要求462.10.1訪問控制列表設(shè)置(用于限制遠(yuǎn)程登錄和SNMP采集的訪問地址)462.10.2TELNET用戶名和密碼462.10.3SNMP配置462.10.4SYSLOG配置473、ME60承載業(yè)務(wù)及配置規(guī)范483.1承載業(yè)務(wù)類型483.2普通PPPOE上網(wǎng)業(yè)務(wù)48

3.2.1業(yè)務(wù)概述483.2.2ME60配置規(guī)范48

3.2.3帳號管理規(guī)范533.3校園網(wǎng)卡類業(yè)務(wù)54

3.3.1業(yè)務(wù)概述543.3.2配置規(guī)范543.3.3賬號管理說明543.4VPDN業(yè)務(wù)553.4.1業(yè)務(wù)概述553.4.2ME60配置規(guī)范553.4.3賬號管理說明563.4.4VPDN業(yè)務(wù)介紹563.5機(jī)頂盒業(yè)務(wù)配置593.5.1業(yè)務(wù)概述593.5.2延用DHCP方式603.5.3采用PPPOE方式603.6專線用戶配置643.6.1通過subscriber方式定義靜態(tài)IP用戶643.6.2通過leasedline方式定義靜態(tài)IP用戶653.7BGP/MPLSVPN配置范例653.7.1概述653.7.2MPLSVPN業(yè)務(wù)命名規(guī)范663.7.3PE（ME60）配置范例673.8VPLS業(yè)務(wù)配置713.8.1VPLS簡介713.8.2VPLS配置范例741、系統(tǒng)簡介1.1河南網(wǎng)通寬帶城域網(wǎng)建設(shè)概況本期城域網(wǎng)建設(shè)在保持原有城域網(wǎng)改造的目標(biāo)功能、目標(biāo)結(jié)構(gòu)和目標(biāo)性能不變的基礎(chǔ)上，持續(xù)提升寬帶接入能力，繼續(xù)推進(jìn)二層網(wǎng)絡(luò)扁平化，提升網(wǎng)絡(luò)可靠性，以此逐步向功能完善、結(jié)構(gòu)合理、性能優(yōu)良的目標(biāo)網(wǎng)演進(jìn)。提升業(yè)務(wù)支持能力：根據(jù)各類IP業(yè)務(wù)發(fā)展需求及流量流向特性，對城域網(wǎng)內(nèi)的設(shè)備進(jìn)行容量增加和端口擴(kuò)容，提供充足的業(yè)務(wù)接入能力及中繼鏈路端口。二層網(wǎng)絡(luò)扁平化舉措：在進(jìn)行擴(kuò)容的同時在有條件的地市考慮繼續(xù)縮減匯聚交換機(jī)的級聯(lián)層數(shù)，進(jìn)一步扁平化二層匯聚網(wǎng)絡(luò)；同時具備條件的地市可根據(jù)業(yè)務(wù)發(fā)展需求結(jié)合設(shè)備性能考慮SR/BRAS適度下移。網(wǎng)絡(luò)質(zhì)量差異化：逐步部署MPLS技術(shù)和Diffserv機(jī)制，為不同用戶和不同業(yè)務(wù)提供不同QOS等級的服務(wù)。在業(yè)務(wù)集中區(qū)域逐步設(shè)立輕載的大客戶專用接入設(shè)備，減少普通客戶流量對大客戶業(yè)務(wù)質(zhì)量的干擾。管理控制集中化智能化：用寬帶接入服務(wù)器（BRAS）、業(yè)務(wù)路由器（SR）構(gòu)建獨立清晰的IP城域網(wǎng)接入層，實現(xiàn)業(yè)務(wù)集中調(diào)度、監(jiān)測和控制；規(guī)范設(shè)備的網(wǎng)管接口要求，加強(qiáng)集中網(wǎng)管系統(tǒng)的建設(shè)，提高網(wǎng)絡(luò)的可管理性，逐步實現(xiàn)對網(wǎng)絡(luò)性能的實時監(jiān)控管理，提供基于時間、流量、質(zhì)量等指標(biāo)的多樣化組合計費能力。1.2河南網(wǎng)通華為ME60系統(tǒng)組網(wǎng)方式1.2.1網(wǎng)絡(luò)概述臺ME60-8BRAS設(shè)備，共計123臺。在市區(qū)，ME60雙上行至地市2臺GSRSR通過端口聚合進(jìn)行連接，

負(fù)責(zé)終結(jié)SR設(shè)備透傳過來的二層報文。ME60雙上行至地市核心GSR1.2.1組網(wǎng)方式方式一、市區(qū)組網(wǎng)方式ME60采用雙上行GE鏈路上行至地市GSR，啟用OSPF以及BGP路由協(xié)議；同時與本局SR通過以太端口聚合聚合2個GEOSPFGSR的端口作SRGE兼作本局用戶業(yè)務(wù)的二層下聯(lián)接口，終結(jié)用戶VLAN或靈活QinQVLAN。方式二、縣局組網(wǎng)方式ME60雙上行至地市核心GSROSPF以及BGP同時，與本局匯聚交換機(jī)通過GE口連接，該接口用來終結(jié)縣級匯聚交換機(jī)透傳上來的單層VLAN以及QINQVLAN。除了掛接用戶業(yè)務(wù)以外，本期項目中黨建、CDN等服務(wù)器業(yè)務(wù)也需要割接到新建BRAS上。1.3VLAN規(guī)劃原則1.遵循管理VLAN與用戶VLAN分開、一用戶一VLAN的原則。2.對于直連一級匯聚層交換機(jī)的市區(qū)接入設(shè)備，要求采用VLANStacking模式，做到每個用

戶一個VLAN。接入設(shè)備的外層VLAN使用原匯聚層交換機(jī)中預(yù)留的VLAN。3BASVLANStacking模式。4.VLANStacking模式，

可采用一個DSLAM分配“一個用戶VLAN＋一個管理VLAN”LAN方式，ZAN和BAN

的管理VLAN使用同一VLAN，每個BAN采用不同用戶VLAN；5.對于采用PPPOE與DHCP+并行模式的接入層設(shè)備，不采用VLANStacking模式,應(yīng)遵循不同

認(rèn)證方式用戶分配不同VLAN的原則進(jìn)行VLAN規(guī)劃。通過相連的各級交換機(jī)將新增VLAN透

傳至BAS。設(shè)備管理VLAN則延用原模式。1.4IP地址規(guī)劃原則本著連續(xù)分配、節(jié)約資源、便于管理的原則進(jìn)行規(guī)劃。1.普通撥號用戶IP地址規(guī)劃PPPOE撥號用戶的IP地址均直接由BASBAS暫時分配4個C類地址。2.專線用戶IP地址規(guī)劃每個專線用戶一個VLAN,每臺BAS分配一個C類地址，用戶地址可以連續(xù)分配。3.設(shè)備管理IP地址規(guī)劃每臺BAS下掛的接入層設(shè)備管理地址為一個Ｃ類地址，可進(jìn)行連續(xù)分配。4.BAS設(shè)備管理(loopback地址等)和互聯(lián)地址由省公司統(tǒng)一規(guī)劃分配。5.每臺BAS目前預(yù)留兩個C類地址備用。

2、BAS配置規(guī)范（ME60）式及說明請參考ME60設(shè)備配置手冊。2.1設(shè)備基本配置設(shè)備的基本配置包括主機(jī)名稱、時鐘、用戶管理設(shè)置等。2.1.1設(shè)置主機(jī)名主機(jī)名命名規(guī)則：【示例】MC-ZZ-KFQ-C6509-001鄭州城域網(wǎng)匯聚層開發(fā)區(qū)思科6509設(shè)備MA-ZZ-.LD-HW5100-001新鄭市八千鄉(xiāng)劉店接入點華為5100設(shè)備對于華為本期項目上的NE40E及ME60絡(luò)層次為MS，例如，洛陽道北節(jié)點ME60命名如下：MS-LY-DB-HW60-0012.1.2時區(qū)和時鐘校準(zhǔn)配置時鐘命令如下：clockdatetimeHH:MM:SSYYYY-MM-DD配置時區(qū)命令如下：clocktimezonetime-zone-name{add|minus}offset例如，設(shè)置中國區(qū)時鐘：clocktimezonebeijingadd82.1.3配置管理員及其密碼步驟1執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2執(zhí)行命令local-aaa-server，進(jìn)入本地AAA視圖。步驟3執(zhí)行命令userusername{password{simplesimple-password|ciphercipher-password}|authentication-typetype-mask|block|ftp-directoryftp-directory|levellevel|callback-nocheck|callback-numbercallback-number|idle-cut|qos-profileqos-profile-name}*戶。例如，增加一個名字為HUAWEI的用戶，配置如下：local-aaa-serveruserHUAWEIpasswordcipherHuaweilevel3級別3為超級用戶權(quán)限，可以根據(jù)需要將用戶設(shè)置為0-3的任何級別。2.1.4啟用服務(wù)ME60啟用網(wǎng)絡(luò)服務(wù)命令如下：ftpserverenablesshserverenable2.1.5對管理員地址范圍進(jìn)行限定定義訪問控制列表：Acl2000rule5permitipsource55rule10permitipsource55rule15permitipsource55進(jìn)入USER-INTERFACEUser-interfacevty04Acl2000in2.1.6timeout時間設(shè)置空閑過時設(shè)置User-interfacevty04Idle-timeout5當(dāng)telnet會話在5分鐘內(nèi)沒有輸入時timeout退出2.1.7ACL配置范例Acl2000至2999為基本ACL，只能夠定義源地址；3000-3999為擴(kuò)展ACL，能夠依照五元組進(jìn)行定義1、配置管理ACL范例：Acl3000rule5permitipsource55any//省網(wǎng)管；

rule10permitipsource2destinationany//BAS（SE800器地址；rule15permitipsourcehost40destinationany//RADIUS服務(wù)器地址；rule20permitipsource21destinationany//鄭州分公司-1；rule25permitipsource27destinationany//鄭州分公司-2；rule30denytcpsourceanydestinationanyeqtelnetrule35denytcpsourceanydestinationanyeqsshrule40denytcpsourceanydestinationanyeqftprule45denytcpsourceanydestinationanyeqftp-datarule50denyudpsourceanydestinationanyeqtftp

rule55denyudpsourceanydestinationanyeqsnmprule60denyudpsourceanydestinationanyeqsnmptraprule65permitipanyany進(jìn)入telnet用戶接口User-interfacevty04Acl3000in2、配置普通ACL并應(yīng)用范例aclnumber3001rule5permitip#aclnumber6000match-orderautorule5denytcpdestination-porteq135

rule10denytcpdestination-porteq136

rule15denytcpdestination-porteq137

rule20denytcpdestination-porteq138

rule25denytcpdestination-porteq139

rule30denytcpdestination-porteq445

rule35denytcpdestination-porteq4444

rule40denyudpdestination-porteq445

rule45denyudpdestination-porteqnetbios-ssn

rule50denyudpdestination-porteqnetbios-dgm

rule55denyudpdestination-porteq135

rule60denyudpdestination-porteqnetbios-ns

rule65denytcpdestination-porteq2745

rule70denytcpdestination-porteq3127

rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90denyipsourceuser-grouphelpdestinationip-addressanyrule95denyipsourceuser-groupiptvdestinationip-addressany[ACL6000是一個用戶ACLHELP以及IPTV里面的用戶不能訪問任何地址]#aclnumber6001rule5permitipsourceuser-groupiptvdestinationip-address55rule10permitipsourceuser-groupiptvdestinationip-address55rule15permitipsourceuser-groupiptvdestinationip-address55rule20permitipsourceuser-groupiptvdestinationip-address55rule25permitipsourceuser-groupiptvdestinationip-address55rule30permitipsourceuser-groupiptvdestinationip-address55rule35permitipsourceuser-groupiptvdestinationip-address80rule40permitipsourceuser-groupiptvdestinationip-address80[定義了IPTV用戶組里的用戶可以訪問的地址]#aclnumber6002match-orderautorule5permitipsourceuser-grouphelpdestinationip-address520rule10permitipsourceuser-grouphelpdestinationip-address80rule15permitipsourceuser-grouphelpdestinationip-address80[定義了HELP用戶組里的用戶可以訪問的地址]#trafficclassifierlimitoperatororif-matchacl6000trafficclassifieractionoperatororif-matchacl6002if-matchacl6001[定義了33個ACL科設(shè)備通過配置ROUTE-MAP定義策略路由很類似]#trafficbehaviorlimit

denytrafficbehavioraction[定義流量動作，后面定義策略的時候與流量分類相關(guān)聯(lián)]#trafficpolicylimitclassifieractionbehavioractionclassifierlimitbehaviorlimit[定義流量策略，第一條名為ACTION的分類中匹配到的報文，執(zhí)行名為ACTION的流量動作不能反，否則所有流量都會被拒絕]traffic-policylimitinboundtraffic-policylimitoutbound[由于上述策略都是針對用戶側(cè)的用戶定義的，所以需要在全局下下發(fā)]如果流量策略需要在網(wǎng)絡(luò)側(cè)端口下發(fā)，只需要在相應(yīng)端口下飲用traffic-policy即可。2.1.8用戶域基本配置1、定義用戶域domaindialauthentication-schemeradius[該域用名稱為RADIUS的SCHEME來進(jìn)行認(rèn)證]accounting-schemeradiusservice-typehsi[將該域的模式配置成HIS模式，PPPOE的域都要配置成該模式]radius-servergroupdial[指定使用的RADIUS服務(wù)器組]ip-pooldial[指定該域使用的地址池]qosprofile2m[指定該域使用的QOS模板]

2、定義地址池ippooldiallocalgateway

section054

excluded-ip-address

conflict-ip-address87

dns-server8dns-server8secondary[定義地址池，包括網(wǎng)關(guān)，可分配地址范圍，不能被分配的地址以及DNS等參數(shù)，地址池會被后面的域所引用，以給用戶分配地址]址。3、QOS模板定義首先定義調(diào)度模板scheduler-profile2mcarcir2048pir2050cbs256000pbs256250upstreamgtscir2048pir2050queue-length65536定義QOS模板，在其中引用調(diào)度模板qos-profile2mscheduler-profile2m在用戶域下引用QOS模板domaindialqosprofile2m2.1.9安全基本配置1、定義防病毒訪問控制列表aclnumber6000match-orderautorule5denytcpdestination-porteq135

rule10denytcpdestination-porteq136

rule15denytcpdestination-porteq137

rule20denytcpdestination-porteq138

rule25denytcpdestination-porteq139

rule30denytcpdestination-porteq445

rule35denytcpdestination-porteq4444

rule40denyudpdestination-porteq445

rule45denyudpdestination-porteqnetbios-ssn

rule50denyudpdestination-porteqnetbios-dgm

rule55denyudpdestination-porteq135

rule60denyudpdestination-porteqnetbios-ns

rule65denytcpdestination-porteq2745

rule70denytcpdestination-porteq3127

rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90permitany2、定義流分類trafficclassifierlimitoperatororif-matchacl60003、定義流動作trafficbehaviorlimit

deny4、定義流策略trafficpolicylimitclassifierlimitbehaviorlimit5、全局下發(fā)針對用戶側(cè)的策略traffic-policylimitinboundtraffic-policylimitoutbound2.1.10設(shè)備配置保存執(zhí)行SAVE命令，配置將缺省保存在設(shè)備CFCARD中。2.2設(shè)備接口配置2.2.1網(wǎng)絡(luò)側(cè)接口配置1、ME60將沒有直接掛接用戶的三層稱之為網(wǎng)絡(luò)側(cè)端口，典型的就是連接GSR設(shè)備的三層端對于網(wǎng)絡(luò)側(cè)端口的配置在系統(tǒng)模式下進(jìn)行：interfaceGigabitEthernet10mtu1524[配置端口MTU值]descriptionTo-[LY-XiGong-GSR]G14[對于該端口的描述to-[對端設(shè)備型號]-端口號]ipaddress7852[設(shè)置端口IP地址]mplsmplsldp[端口下啟用MPLS]通過使用displayinterfaceUPdown等信息。2、端口描述規(guī)范互聯(lián)中繼命名規(guī)范:【端口簡寫】括號內(nèi)端口信息采用簡寫F:FEG:GE/10GEA:ATMP:POS設(shè)備端口上描述建議采用TO_PC-ZZ-ZYL-CRS-001(G0/2):GE:1:電路代號用戶電路命名規(guī)范:【端口簡寫】括號內(nèi)端口信息采用簡寫F:FEG:GE/10GEA:ATMP:POS注:設(shè)備端口上描述建議采用TO_ZZGONGSHANGJU:10M:FE:1:電路代號例如，洛陽西工NE40E連接西工NE80E的描述：Intg10DesTO_PC-LY-XG-NE80E-001(G0/2):GE:12.2.2loopback接口配置及描述Loopback接口的配置在系統(tǒng)模式下進(jìn)行。按照本期規(guī)劃，每臺設(shè)備需要配置2個loopback地址，范例如下：interfaceLoopBack0ipaddress1055[這個地址用來和RR建立IPV4BGP鄰居]#interfaceLoopBack10ipaddress1155[這個地址用來和RR建立VPNV4BGP鄰居]3.2.3用戶側(cè)接口配置當(dāng)某個接口用于接入寬帶用戶時，該接口即為用戶側(cè)接口，需要將該接口配置為BAS接口，并配置用戶的接入類型和其他相關(guān)屬性。要完成配置BAS接口的任務(wù)，需要執(zhí)行如下的配置過程。1創(chuàng)建BAS接口請在ME60上進(jìn)行以下配置。步驟1執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。步驟3執(zhí)行命令bas，創(chuàng)建BAS接口。2配置用戶接入類型執(zhí)行命令bas，進(jìn)入BAS接口視圖。執(zhí)行命令access-typelayer2-subscriber[bas-interface-namename|default-domain{pre-authenticationdomain-name|authentication[force|replace]domain-name}*|accounting-copyradius-serverradius-name]*，配置二層普通用戶接入類型。或執(zhí)行命令access-typelayer2-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置二層專線用戶接入類型?；驁?zhí)行命令access-typelayer3-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置三層專線用戶接入類型。在設(shè)置BAS屬性也可以在后續(xù)的配置中逐項配置。對于已經(jīng)被Eth-Trunk接口包含的以太網(wǎng)接口，不能配置其用戶接入類型，而只能配置相應(yīng)的Eth-Trunk接口。有用戶在線時，只有當(dāng)用戶類型是專線用戶時，可以在線修改BAS接口的用戶接入類型，其他情況不能修改。當(dāng)用戶類型配置為專線用戶后，ME60立即對該專線用戶進(jìn)行認(rèn)證。當(dāng)接口下配置有IP地址時，只能將用戶接入類型設(shè)置為三層專線用戶。如果BAS接口為GE或Eth-Trunk首先必須在子接口下配置一個用戶側(cè)VLAN（且只能配置一個）。3配置用戶認(rèn)證方法請在ME60上進(jìn)行以下配置。步驟1執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。

步驟3執(zhí)行命令bas，進(jìn)入BAS接口視圖。步驟4執(zhí)行命令authentication-method{{ppp|dot1x|{web|fast}}*|bind}，配置用戶認(rèn)證方法。----結(jié)束只有接入用戶類型為二層用戶的BAS但有以下的約束關(guān)系：Web認(rèn)證和快速認(rèn)證互斥；綁定認(rèn)證和其他認(rèn)證方式都互斥。缺省情況下，BAS接口的認(rèn)證方法為PPP4設(shè)置用戶數(shù)限制（可選）請在ME60上進(jìn)行以下配置。步驟1執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。5配置BRAS接入QuidwayME60配置指南-BRAS業(yè)務(wù)5-20華為技術(shù)有限公司文檔版本03(2008-02-01)步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。步驟3執(zhí)行命令bas，進(jìn)入BAS接口視圖。步驟4執(zhí)行命令access-limitnumber，設(shè)置接口級用戶數(shù)限制?；驁?zhí)行命令access-limituser-number[start-vlanstart-vlan[end-vlanend-vlan][qinqqinq-vlan]]，設(shè)置VLAN級用戶數(shù)限制。----結(jié)束缺省情況下，BAS接口未設(shè)置用戶數(shù)限制。5指定域（可選）請在ME60上進(jìn)行以下配置。步驟1執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。步驟3執(zhí)行命令bas，進(jìn)入BAS接口視圖。步驟4執(zhí)行命令default-domainpre-authenticationdomain-name，指定認(rèn)證前缺省域?；驁?zhí)行命令default-domainauthentication[force|replace]domain-name如果用戶認(rèn)證時未輸入域名，ME60默認(rèn)其屬于認(rèn)證缺省域。設(shè)置認(rèn)證缺省域可指定force和replace參數(shù)。force參數(shù)表示不管用戶認(rèn)證時所帶域名是什么，都強(qiáng)制轉(zhuǎn)換到所設(shè)置的認(rèn)證缺省域，使

用該域的策略進(jìn)行認(rèn)證和授權(quán)，但用戶名中的域名不發(fā)生改變。

replace參數(shù)表示強(qiáng)制轉(zhuǎn)換到所設(shè)置的認(rèn)證缺省域，同時用戶名中的域名也發(fā)生變化，強(qiáng)

制替換成設(shè)置的認(rèn)證缺省域名。缺省情況下，BAS接口的認(rèn)證缺省域為default1。6配置BAS接口附加功能（可選）請在ME60上進(jìn)行以下配置。步驟1執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。步驟3執(zhí)行命令bas，進(jìn)入BAS接口視圖。步驟4執(zhí)行命令arp-proxy，啟用ARP代理功能?；驁?zhí)行命令dhcp-broadcast，啟用DHCP廣播功能?；驁?zhí)行命令accounting-copyradius-serverradius-name，啟用計費報文抄送功能。或執(zhí)行命令ip-trigger，啟用IP報文觸發(fā)上線功能?；驁?zhí)行命令arp-trigger，啟用ARP報文觸發(fā)上線功能?；驁?zhí)行命令multicastcopyby-session，啟用按用戶復(fù)制組播報文功能?；驁?zhí)行命令dot1xauthenticationtrigger，啟用802.1X認(rèn)證觸發(fā)功能。----結(jié)束ARP代理功能ARP代理功能用于同一BAS接口下的用戶互訪，因為在ME60同一接口下的用戶按VLAN/PVC嚴(yán)格隔離，要實現(xiàn)用戶互訪必須打開BAS接口的ARP代理開關(guān)。只有在BAS接口的接入用戶類型設(shè)置為二層用戶和二層專線用戶的情況下，才可以配置BAS接口的ARP代理功能。ARP代理的開關(guān)只對相同BAS接口的ARP報文進(jìn)行控制，其他的情況ARP代理的開關(guān)都是打開的，無法關(guān)閉。缺省情況下，同一BAS接口相同VLAN/PVC下的ARP代理功能關(guān)閉。DHCP廣播功能通常情況下，BAS接口的DHCP報文是采用單播方式向用戶進(jìn)行發(fā)送的，但是在某些特殊情況下可能需要對DHCP報文進(jìn)行廣播，此時需要打開BAS接口的DHCP廣播開關(guān)。缺省情況下，BAS接口的DHCP廣播功能關(guān)閉。計費報文抄送功能計費報文抄送是指在計費過程中，將計費信息同步發(fā)送給兩臺RADIUS服務(wù)器，并分別等待回應(yīng)的功能。計費報文抄送功能主要在需要多處保存原始計費信息的場合使用（如多運營商共同組網(wǎng)）。在這種情況下，計費報文需要同步發(fā)送給兩臺RADIUS服務(wù)器，在后續(xù)的結(jié)算中作為原始計費信息。缺省情況下，BAS接口的計費報文抄送功能關(guān)閉。

IP報文觸發(fā)上線功能IP報文觸發(fā)上線功能是指靜態(tài)用戶通過發(fā)送IP報文觸發(fā)認(rèn)證過程的功能。缺省情況下，BAS接口的IP報文觸發(fā)上線功能關(guān)閉。ARP報文觸發(fā)上線功能ARP報文觸發(fā)上線功能是指用戶通過發(fā)送ARP報文觸發(fā)認(rèn)證過程的功能。缺省情況下，BAS接口的ARP報文觸發(fā)上線功能關(guān)閉。按用戶復(fù)制組播報文功能通常情況下，ME60收到某個組播組的組播報文后，只會向每個物理端口復(fù)制一份組播報文，二層設(shè)備再將組播報文復(fù)制給該組播組的每個用戶。如果二層設(shè)備不具備IGMPSnoopingME60的接口上啟用按用戶進(jìn)行組播復(fù)制的功能，由ME60直接將組播報文復(fù)制給用戶。缺省情況下，BAS接口的按用戶復(fù)制組播報文功能關(guān)閉。802.1X認(rèn)證觸發(fā)功能802.1X認(rèn)證觸發(fā)功能是指ME60探測到802.1X用戶上線后，主動向用戶發(fā)起認(rèn)證請求的功能。缺省情況下，BAS接口的802.1X認(rèn)證觸發(fā)功能關(guān)閉。下面的配置范例為PPPOE接入的用戶側(cè)端口配置：interfaceGigabitEthernet13.805pppoe-serverbindVirtual-Template1[綁定PPP模板，確定該端口使用PPPOE]mtu1524descriptionTo-NanShan-HW-MA5300-Useruser-vlanQinQ805[這個命令就是終結(jié)正常的PPPOE撥號用戶報文，內(nèi)層標(biāo)簽是256-1000，外層標(biāo)簽是805]basaccess-typelayer2-subscriberdefault-domainauthenticationdial[BAS下的這條命令把PPPOE用戶作為二層撥號用戶，缺省的認(rèn)證域為DIAL域，使用該域中的認(rèn)證方法、QOS模板等定義的參數(shù)]2.2.3地址池的配置IPDNS址池可以配置多個，ME60會自動循環(huán)向后使用。配置范例如下：

ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary[定義地址池，包括網(wǎng)關(guān)，可分配地址范圍，不能被分配的地址以及DNS等參數(shù)，地址池會被后面的域所引用，以給用戶分配地址]2.2.4VLAN及QINQ接口配置配置VLAN和QinQVLAN需要進(jìn)入相應(yīng)端口配置模式下進(jìn)行，大致分為如下幾類：1、普通固定IP業(yè)務(wù)VLAN配置及綁定interfaceGigabitEthernet13.100descriptionTo-NanShan-S6503user-vlan100[這條命令指名該端口終結(jié)帶100這個單層標(biāo)簽的報文]basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbind[該端口下面是網(wǎng)管下掛的S6503交換機(jī)。ME60把它當(dāng)作一個靜態(tài)IP用戶，一個2層用戶。所謂二層用戶，也就是這個下掛設(shè)備的地址是由BRAS分配管理的。該端口用戶默認(rèn)是在wangguanBINDME60根據(jù)下掛用戶的物理位置自動分配一個用戶名。這部分配置都在BAS視圖下進(jìn)行]userdetectretransmit3interval30[每隔30秒向該用戶發(fā)一個ARP390收到回應(yīng)，設(shè)備就認(rèn)為用戶已經(jīng)下線。用這種手段來保證該設(shè)備一直在線。]在系統(tǒng)視圖下配置：static-user552interfaceGigabitEthernet13.100vlan100detec

tdomain-namewangguan[配置二層靜態(tài)IP用戶，靜態(tài)用戶地址范圍從52至52，也就是指

定一個靜態(tài)IPGigabitEthernet13.100的報文標(biāo)簽為100wangguan用這種方式來進(jìn)行網(wǎng)管，同時，開啟二層靜態(tài)IP用戶也是用這種辦法]

2、普通PPPOE用戶VLAN配置及動態(tài)綁定interfaceGigabitEthernet19.1pppoe-serverbindVirtual-Template1user-vlan200basaccess-typelayer2-subscriberdefault-domainauthenticationdial3、固定IP用戶QinQVLAN的配置及綁定interfaceGigabitEthernet13.200descriptionleaseline-tel-user-vlan100qinq200basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbindstatic-userinterfaceGigabitEthernet13.200vlan100qinq200detectdomain-namewangguan該用戶的IP地址為。4、批量、連續(xù)的PPPOE用戶QinQVLAN配置及動態(tài)綁定interfaceGigabitEthernet19.801pppoe-serverbindVirtual-Template1mtu1524descriptionTo-YiTuo-HAMMER-10000-2-Useruser-vlanQinQ801basaccess-typelayer2-subscriberdefault-domainauthenticationdial[該子接口下終結(jié)了一批內(nèi)層VLAN范圍為256至1000，外層VLAN為801的PPPOE用戶。注意，用戶的認(rèn)證方法等參數(shù)配置在相應(yīng)用戶域中，此例中為DIAL域，在用戶側(cè)端口下會引用該域。]2.3路由協(xié)議配置本期工程BAS（ME60)采用兩個上聯(lián)出口連接至地市核心GSR。在ME60上配置主鏈路COST為100，用戶路由則采用BGP進(jìn)行承載，以下對OSPF及BGP的配置進(jìn)行詳細(xì)說明。2.3.1OSPF協(xié)議配置BAS與上聯(lián)設(shè)備建立OSPFOSPF的area號與各地市寬帶IP網(wǎng)area州area號為371；洛陽為379。OSPF鏈路類型為點到點類型。具體配置范例如下：

1、系統(tǒng)模式下配置ospf協(xié)議ospf1router-id10[定義OSPF進(jìn)程號以及ROUTER-ID]area23[進(jìn)入相應(yīng)area]networknetworknetwork7network00[發(fā)布loopback地址以及互連地址]2、進(jìn)入端口模式，將OSPF配置成為P-TO-P模式interfaceGigabitEthernet10ospfnetwork-typep2p3、查看OSPF協(xié)議狀態(tài)進(jìn)入用戶模式或者系統(tǒng)模式★查看OSPF鄰居狀態(tài)<YiTuo-ME60>disospfpeerOSPFProcess1withRouterID10NeighborsArea23interface78(GigabitEthernet10)'sneighborsRouterID:47Address:77GRState:NormalState:FullMode:NbrisSlavePriority:1DR:NoneBDR:NoneMTU:1524Deadtimerduein31secNeighborisupfor701:33:05AuthenticationSequence:[0]NeighborsArea23interface02(GigabitEthernet11)'sneighborsRouterID:45Address:01GRState:NormalState:FullMode:NbrisSlavePriority:1DR:02BDR:02MTU:1524Deadtimerduein34secNeighborisupfor701:32:23AuthenticationSequence:[0]通過以上命令查看OSPF鄰居狀態(tài)，正常情況下，在P-TO-P模式下鄰居狀態(tài)都應(yīng)該為FULL?！锊榭碠SPF路由表<YiTuo-ME60>displayospfroutingOSPFProcess1withRouterID10RoutingTablesRoutingforNetworkDestinationCostTypeNextHopAdvRouterArea12/30241Inter-area77423/30241Inter-area7742316/30241Inter-area774232/30241Inter-area7742320/30241Inter-area77423/30331Inter-area77423/32332Inter-area77423正常情況下，應(yīng)該能夠看到設(shè)備能夠通過OSPF協(xié)議學(xué)習(xí)到路由。3.3.2BGP配置在本期項目中，設(shè)備需要通過不同的loopback地址與本地核心路由器（充當(dāng)路由反射器）分別建立2個BGPIPV4鄰居以及2個BGPVPNV4鄰居。河南網(wǎng)通城域網(wǎng)AS號為65130。BGP配置需要在系統(tǒng)視圖下進(jìn)行，范例如下：1、BGP配置bgp65130router-id10groupha-ly-vpninternal[建立PEERGROUP]peerha-ly-vpnpasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![配置VPNV4BGP鄰居認(rèn)證]peerha-ly-vpnconnect-interfaceLoopBack10

peer45as-number65130

peer45groupha-ly-vpn

peer47as-number65130

peer47groupha-ly-vpn

[配置VPNV4鄰居基本參數(shù)]groupha-lyinternalpeerha-lypasswordcipherS;IKAY5^0NWQ=^Q`MAF4<1!![建立IPV4鄰居認(rèn)證]peerha-lyconnect-interfaceLoopBack0

peer45as-number65130

peer45groupha-lypeer47as-number65130peer47groupha-ly[配置IPV4鄰居參數(shù)]#ipv4-familyunicastundosynchronizationnetwork2840network240network840

network3648import-routeunr[該命令將PPPOE用戶路由引入進(jìn)BGP協(xié)議中，達(dá)到使用BGP承載業(yè)務(wù)路由目的]undopeer45enableundopeer47enablepeerha-ly-vpnenablepeerha-lyenablepeerha-lyroute-policysetmunityexport[配置發(fā)布的路由攜帶路由策略中定義的團(tuán)體屬性]peerha-lynext-hop-localpeerha-lyadvertise-munitypeer45enablepeer45groupha-lypeer47enablepeer47groupha-ly#ipv4-familyvpnv4policyvpn-targetpeerha-ly-vpnenablepeerha-ly-vpnnext-hop-local

peerha-ly-vpnadvertise-munity

peer47enablepeer47groupha-ly-vpn

peer45enablepeer45groupha-ly-vpn[配置VPNV4鄰居關(guān)系相關(guān)參數(shù)]route-policysetmunitypermitnode0applymunity65130:379[這個路由策略會在BGP發(fā)布路由時使用，把發(fā)布的BGP路由都帶上65130379這個團(tuán)體屬性,該命令在系統(tǒng)模式下配置]2、查看BGP協(xié)議狀態(tài)進(jìn)入用戶視圖或者系統(tǒng)視圖★查看IPV4BGP鄰居狀態(tài)<YiTuo-ME60>displaybgppeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv61.168.255.h54mEstablished4148161.168.255.h54mEstablished41464正常情況下鄰居狀態(tài)應(yīng)該為Established?！锊榭碫PNV4鄰居狀態(tài)<YiTuo-ME60>displaybgpvpnv4allpeerBGPlocalrouterID:10LocalASnumber:65130Totalnumberofpeers:2Peersinestablishedstate:2PeerVASMsgRcvdMsgSentOutQUp/DownStatePrefRcv61.168.232.h56mEstablished061.168.232.h56mEstablished0正常情況下鄰居狀態(tài)應(yīng)該為Established?！锊榭碆GP路由表<YiTuo-ME60>displaybgprouting-tableTotalNumberofRoutes:82963BGPLocalrouterIDis10Statuscodes:*-valid,>-best,d-damped,h-history,i-internal,s-suppressed,S-StaleOrigin:i-IGP,e-EGP,?-inpleteNetworkNextHopMEDLocPrfPrefValPath/Ogn*>i/24?*i?*>i/30?*i?*>i/32?*i?*>i/30?*i?*>i/30?正常情況下設(shè)備應(yīng)該能夠通過BGP協(xié)議學(xué)習(xí)到IPV4路由?！锊榭碫PNV4路由disbgpvpnv4allrouting-table如果網(wǎng)絡(luò)中開啟L3MPLSVPN，正常情況下應(yīng)能夠?qū)W習(xí)到VPNV4路由。2.4RADIUS配置認(rèn)證功能：ME60可通過用戶名和密碼對用戶的身份進(jìn)行認(rèn)證。ME60支持四種認(rèn)證模式，如下所示。ME60采用此模式?！锉镜卣J(rèn)證：在ME60ME60完成對用戶限制。★RADIUS認(rèn)證：ME60作為客戶端，與RADIUS服務(wù)器通信。在RADIUS服務(wù)器上配置用戶信息，ME60將用戶名和密碼通過RADIUS協(xié)議傳送給RADIUS服務(wù)器，RADIUS服務(wù)器完成對用戶的認(rèn)證并將認(rèn)證結(jié)果反饋給ME60?！颒WTACACS認(rèn)證：ME60作為客戶端，與HWTACACS服務(wù)器通信。在HWTACACS服務(wù)器上配置用戶信息，ME60將用戶名和密碼通過HWTACACS協(xié)議傳送給HWTACACS服務(wù)器，HWTACACS服務(wù)器完成對用戶的認(rèn)證并將認(rèn)證結(jié)果反饋給ME60。授權(quán)功能：指定用戶可以使用哪些服務(wù)。ME60支持四種授權(quán)模式，如下所示。直接授權(quán)表示運營商對用戶非常信任，直接授權(quán)。本地授權(quán)根據(jù)ME60配置的用戶屬性對用戶進(jìn)行授權(quán)。RADIUS認(rèn)證成功后授權(quán)。RADIUS協(xié)議的認(rèn)證和授權(quán)是綁定在一起的，不能單獨使用RADIUS進(jìn)行授權(quán)。HWTACACS授權(quán)由HWTACACS服務(wù)器對用戶進(jìn)行授權(quán)。計費功能：記錄用戶使用網(wǎng)絡(luò)資源的情況。ME60支持三種計費模式，如下所示。不計費：ME60不對用戶進(jìn)行計費。RADIUS計費：ME60將計費報文送往RADIUS服務(wù)器，由RADIUS服務(wù)器完成對用戶的計費。HWTACACS計費：ME60將計費報文送往HWTACACS服務(wù)器，HWTACACS服務(wù)器完成對用戶的計費。在RADIUS/HWTACACS計費模式中，正常情況下ME60在用戶上線和下線時各生成一份計費報文傳送給服務(wù)器，服務(wù)器根據(jù)計費報文中的信息（上下線時間、使用流量等）對用戶進(jìn)行計費。ME60支持實時計費功能。實時計費功能是指用戶在線過程中，ME60定時生成計費報文傳送ME60常的時間。RADIUSRADIUS控制功能：用戶認(rèn)證：對用戶名及口令進(jìn)行認(rèn)證；用戶認(rèn)證：對用戶名及口令進(jìn)行認(rèn)證；計費記錄：通過對用戶在線時間或流量等進(jìn)行計費；用戶授權(quán)：給用戶授權(quán)，如授權(quán)成為l2tp用戶；用戶帶寬指定：通過RADIUS設(shè)定QOS屬性名稱來實現(xiàn)用戶帶寬屬性；預(yù)付費實時斷線：根據(jù)時長或流量對用戶進(jìn)行下線操作；用戶帳號和VLAN綁定：通過RADIUS為用戶綁定VLAN號來防止盜號和漫游的發(fā)生；指定用戶ACL：通過RADIUS返回ACL字符串來對用戶行為進(jìn)行訪問控制；異常斷線信息傳遞：通過接收ME60發(fā)出的PPPOE錯誤代碼來判斷用戶的下線原因。2.4.1本次項目中RADIUS配置參數(shù)RADIUS服務(wù)器地址40認(rèn)證端口號1645計費端口號1646ME60的RADIUS通訊字符串：henancnc2.4.2RADIUS配置范例及注釋RADIUS相關(guān)配置在系統(tǒng)模式下進(jìn)行。radius-serversourceinterfaceLoopBack0[定義與RADIUS交互報文攜帶的源地址為LOOPBACK0的地址]radius-servergroupdial[建立RADIUS服務(wù)器組，名稱為DIAL，后面的用戶域會引用這個服務(wù)器組作認(rèn)證]radius-servershared-keyhenancncauthentication221.13.223.weight0radius-servershared-keyhenancncaccounting221.13.223.weight0[定義RADIUS服務(wù)器的地址與端口號]radius-servershared-keyhenancnc[與服務(wù)器交互的KEY，必須與server端一致]radius-serverclass-as-car[這條命令和QOS有關(guān)，ME60會將服務(wù)器端返回的CLASS屬性當(dāng)中的值解釋為對已通過認(rèn)證用戶的CAR值，從而達(dá)到對用戶限速的目的。對用戶的速度限制是在RADIUS上定義的。]radius-serversourceinterfaceLoopBack0undoradius-serveruser-namedomain-included[該命令定義用戶認(rèn)證的時候，向RADIUS發(fā)送用戶名的時候不帶域名]基本RADIUSauthentication-scheme戶域中的用戶使用何種認(rèn)證方式來認(rèn)證。缺省情況下，authentication-scheme的認(rèn)證方式為RADIUS。authentication-scheme的配置在AAA視圖下進(jìn)行。AAAauthentication-schemeradius[定義一個名稱為RADIUS的authentication-schemeRADIUS再配置額外命令]定義完RADIUS-servergroup以及authentication-scheme以后，我們在用戶域中對二者進(jìn)行引用，范例如下：domaindialauthentication-schemeradius[該域用名稱為RADIUS的SCHEME來進(jìn)行認(rèn)證]accounting-schemeradiusservice-typehsi[將該域的模式配置成HIS模式，PPPOE的域都要配置成該模式]radius-servergroupdial[指定使用的RADIUS服務(wù)器組]口下配置的缺省域中去完成認(rèn)證。在設(shè)備中，除了對撥號用戶進(jìn)行認(rèn)證的DIAL域之外，還有另外幾個域，簡述如下：

12層靜態(tài)IP用

戶進(jìn)行管理。配置范例如下：domainwangguanauthentication-schemedefault0accounting-schemedefault0ip-poolwangguan[認(rèn)證和計費均為default0，表示不認(rèn)證，不計費]2CNC起他地址。配置范例如下：domaincncauthentication-schemelocal

accounting-schemedefault0user-grouphelpip-poolhelp3IPTVIPTV置范例如下：domainauthentication-schemeradiusaccounting-schemeradiusip-pooliptv2.4.3RADIUS狀態(tài)查看狀態(tài)查看在用戶模式或者系統(tǒng)模式下進(jìn)行?！锓?wù)器狀態(tài)查看<YiTuo-ME60>displayradius-serverconfigurationRADIUSsourceinterface:LoopBack0RADIUSnoresponsepacketcount:10RADIUSautorecovertime(Min):3---------------------------------------------------------Server-group-name:dialAuthentication-server:IP:40Port:1645Weight[0][UP]Vpn:-share-key:henancncAccounting-server:IP:40Port:1646Weight[0][UP]Vpn:-share-key:henancncProtocol-version:radiusShared-secret-key:henancncRetransmission:3Timeout-interval(s):5Acct-Stop-PacketResend:NOAcct-Stop-PacketResend-Times:0---------------------------------------------------------Total1,1printed★查看用戶狀態(tài)信息1、查看所有用戶概況<YiTuo-ME60>displayaccess-user-------------------------------------------------------------------Totalusers:979Normalusers:979Adminusers:0Waitauthen-ack:0Authenticationfinish:979Accountingready:10Realtimeaccounting:969Waitleaving-flow-query:0Waitaccounting-start:0Waitaccounting-stop:0Waitauthorization-client:0Waitauthorization-server:0-------------------------------------------------------------------Domain-nameCurrent-UserOnline-User-------------------------------------------------------------------default0:0:0

default1:0:0

default_admin:0:0

static:0:0dial:969:969

test:0:0wangguan:10:10

cnc:0:0:0:0test-1:0:0-----------------------------------------------------------------------------Theuseduseridtableare:2、查看單個用戶詳細(xì)信息該命令需要利用到上一個命令輸出的USER-ID<YiTuo-ME60>disaccess-useruser-id69846

Useraccessindex:69846Username:2:3uSG2MxeXV2Domain-name:dialUseraccessInterface:GigabitEthernet19.802

QinQVlan/UserVlan:802/309UserMAC:00e0-4cbc-c4c3UserIPaddress:51

Authenserveripaddress:40

Useraccesstype:PPPoEService-type:HSIUserauthenticationtype:PPPauthentication

Normal-server-group:dialTwo-level-acct-server-group:-

Physical-acct-server-group:-

Authenmethod:RADIUSCurrentauthenmethod:RADIUS

Authenresult:SuccessActionflag:IdleAuthenstate:AuthedAuthorstate:IdleAccountingmethod:RADIUS

Useraccesstime:1:07:21Accountingstarttime:1:07:21

Accountingstate:AccountingEAPuser:NoMD5end:NoUserMSIDSNname:-Idle-cut-data(time,rate):0minute,60Kbyte/minuteVPNinstance:--GREgroup:-UserGroup:-QOS-profile-name:2m

Multicast-profile:-UpPriority:0DownPriority:0Policy-route-nexthop:-UpCARenable:YesUpmittedinformationrate:2098(Kbps)Uppeakinformationrate:0(Kbps)Downshapingenable:YesDownmittedinformationrate:2098(Kbps)Downpeakinformationrate:2098(Kbps)QOSschedulemode:DEFAULTUppacketsnumber(high,low):(0,622)Upbytesnumber(high,low):(0,91263)Downpacketsnumber(high,low):(0,574)Downbytesnumber(high,low):(0,343789)Timeremained:172544(s)Option82information:-2.4.4RADIUS故障排除方法1）可以將驗證方式更改為none；這樣可以讓用戶直接撥號，如果可以pppoe成功，說明用戶到ME60的2層通路沒有問題；2）也可以改為方式為local，在ME60上創(chuàng)建用戶和密碼，讓用戶使用該帳號和密碼登陸，如果成功，說明用戶到ME60間的二層通路沒有問題；local-aaa-server[配置本地用戶并創(chuàng)建密碼]2.5QOS帶寬管理RADIUSBASBAS維護(hù)。BAS上需要配置相應(yīng)的帶寬控制策略。目前BAS上配置的帶寬策略有：512K，1M，2M，4M，6M，8M，10MBAS和RADIUS上添加不同控制策略。2.5.1兩類QOS配置1RADIUS服務(wù)器下發(fā)的QOSRADIUS認(rèn)證用戶并通過后下發(fā)至ME60，ME60通過在RADIUS配置中配置CLASS-AS-CAR行限速。2、ME60本機(jī)定義的限速策略，通過定義調(diào)度模板、qos模板并在用戶域下引用QOS模板來實現(xiàn)對整個域下用戶的限速。以上兩種QOS機(jī)制如果同時配置，RADIUS下發(fā)的策略優(yōu)先生效。2.5.2配置設(shè)備接收RADIUS服務(wù)器策略配置radius-servergroupdialradius-serverclass-as-car2.5.3ME60本機(jī)QOS策略配置1、定義調(diào)度模板scheduler-profile10mcarcir10000cbspbsupstreamcarcir10000cbspbsdownstreamgtscir10000queue-length65536#scheduler-profile1mcarcir1000cbs187500pbs187500upstreamcarcir1000cbs187500pbs187500downstreamgtscir1000queue-length65536#scheduler-profile2mcarcir2000cbs375000pbs375000upstream

carcir2000cbs375000pbs375000downstream

gtscir2000queue-length65536

#scheduler-profile4mcarcir4000cbs750000pbs750000upstreamcarcir4000cbs750000pbs750000downstreamgtscir4000queue-length65536#scheduler-profile512kcarcir512cbs93750pbs93750upstreamcarcir512cbs93750pbs93750downstream

gtscir512queue-length65536#scheduler-profile6mcarcir6000cbspbsupstreamcarcir6000cbspbsdownstreamgtscir6000queue-length65536#scheduler-profile8mcarcir8000cbspbsupstreamcarcir8000cbspbsdownstreamgtscir8000queue-length655362、定義QOS模板，該模板需要引用前面定義的調(diào)度模板qos-profile10mscheduler-profile10m#qos-profile1mscheduler-profile1m#qos-profile2mscheduler-profile2m#qos-profile4mscheduler-profile4m

#qos-profile512kscheduler-profile512k#qos-profile6mscheduler-profile6m#qos-profile8mscheduler-profile8m#qos-profiledefault3、在用戶域下應(yīng)用QOS模板。domain1mqosprofile1m2.6PPPOE配置2.6.1概述在實際業(yè)務(wù)環(huán)境中PPPOE撥號用戶分以下兩種：1)LANVLAN號透傳給ME60來建立撥號線路；2)DSLAM用戶：用戶通過ADSL分流器將數(shù)字信號導(dǎo)入DSLAM,DSLAM為用戶分配特定的VLAN號，由匯聚層交換機(jī)將用戶VLAN透傳給ME60用TRUNK，用戶VLAN或QinQVLAN透傳至BAS端口；用戶可使用客戶端進(jìn)行PPPOEPPPOE方式進(jìn)PPPOE撥號請求，由ME60終結(jié)PPPOE連接，通過RADIUS來進(jìn)行用戶認(rèn)證，用戶認(rèn)證通過后，由ME60為用戶分配IP地址、DNS服務(wù)器地址等。PPPOE基本配置如下：1配置虛模板接口2配置認(rèn)證方案3配置計費方案4配置RADIUS服務(wù)器組/HWTACACS服務(wù)器模板5配置IPv4地址池6配置域7為接口指定虛模板接口（對PPPoE、PPPoEoVLAN、PPPoEoQ接入有效）

8子接口綁定VLAN（只對PPPoEoVLAN、PPPoEoQ接入有效）

9配置BAS接口2.6.2PPPOE相關(guān)配置1、配置PPP虛擬模板interfaceVirtual-Template1pppauthentication-modeautopppkeepaliveinterval30retransmit3tcpadjust-mss1400[建立PPP虛模板，在其中可以定義PPPOE的一些特性。比如第一行定義了PPP使用的認(rèn)證方法為自適應(yīng)，也就是根據(jù)撥號客戶端的方法來決定ME60的認(rèn)證方式。PPPkeepalive定義PPP協(xié)議LCP探測報文的發(fā)送頻率，此處我們配置每30秒發(fā)送一次，重傳頻率為3，這樣，只要在90秒內(nèi)可以接收到用戶反饋，即認(rèn)為用戶在線。]

2、配置認(rèn)證方案authentication-schemeradius3、配置計費方案accounting-schemeradiusaccountingstart-failonline4、配置RADIUS服務(wù)器組radius-servergroupdialradius-servershared-keyhenancncauthentication221.13.223.weight0radius-servershared-keyhenancncaccounting221.13.223.weight0radius-servershared-keyhenancncradius-serverclass-as-carradius-serversourceinterfaceLoopBack0undoradius-serveruser-namedomain-included5、配置IPV4地址池ippooldiallocalgatewaysection054excluded-ip-addressconflict-ip-address87dns-server8dns-server8secondary6、配置域domaindialauthentication-schemeradius[該域用名稱為RADIUS的SCHEME來進(jìn)行認(rèn)證]accounting-schemeradiusservice-typehsi[將該域的模式配置成HIS模式，PPPOE的域都要配置成該模式]radius-servergroupdial[指定使用的RADIUS服務(wù)器組]ip-pooldial[指定該域