网通城域网华为ME60BRAS设备配置规范

编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第PAGE1页共NUMPAGES1页第PAGE\*MERGEFORMAT1页共NUMPAGES\*MERGEFORMAT1页河南网通城域网华为ME60BRAS设备配置 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 华为技术有限公司二00八年6月TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc201045790"1、系统简介PAGEREF_Toc201045790\h4HYPERLINK\l"_Toc201045791"1.1河南网通宽带城域网建设概况PAGEREF_Toc201045791\h4HYPERLINK\l"_Toc201045792"1.2河南网通华为ME60系统组网方式PAGEREF_Toc201045792\h4HYPERLINK\l"_Toc201045793"1.2.1网络概述PAGEREF_Toc201045793\h4HYPERLINK\l"_Toc201045794"1.2.1组网方式PAGEREF_Toc201045794\h5HYPERLINK\l"_Toc201045795"1.3VLAN规划原则PAGEREF_Toc201045795\h6HYPERLINK\l"_Toc201045796"1.4IP地址规划原则PAGEREF_Toc201045796\h7HYPERLINK\l"_Toc201045797"2、BAS配置规范（ME60）PAGEREF_Toc201045797\h7HYPERLINK\l"_Toc201045798"2.1设备基本配置PAGEREF_Toc201045798\h7HYPERLINK\l"_Toc201045799"2.1.1设置主机名PAGEREF_Toc201045799\h7HYPERLINK\l"_Toc201045800"2.1.2时区和时钟校准PAGEREF_Toc201045800\h8HYPERLINK\l"_Toc201045801"2.1.3配置管理员及其密码PAGEREF_Toc201045801\h8HYPERLINK\l"_Toc201045802"2.1.4启用服务PAGEREF_Toc201045802\h8HYPERLINK\l"_Toc201045803"2.1.5对管理员地址范围进行限定PAGEREF_Toc201045803\h9HYPERLINK\l"_Toc201045804"2.1.6timeout时间设置PAGEREF_Toc201045804\h9HYPERLINK\l"_Toc201045805"2.1.7ACL配置范例PAGEREF_Toc201045805\h9HYPERLINK\l"_Toc201045806"2.1.8用户域基本配置PAGEREF_Toc201045806\h12HYPERLINK\l"_Toc201045807"2.1.9安全基本配置PAGEREF_Toc201045807\h13HYPERLINK\l"_Toc201045808"2.1.10设备配置保存PAGEREF_Toc201045808\h14HYPERLINK\l"_Toc201045809"2.2设备接口配置PAGEREF_Toc201045809\h14HYPERLINK\l"_Toc201045810"2.2.1网络侧接口配置PAGEREF_Toc201045810\h14HYPERLINK\l"_Toc201045811"2.2.2loopback接口配置及描述PAGEREF_Toc201045811\h16HYPERLINK\l"_Toc201045812"2.2.3地址池的配置PAGEREF_Toc201045812\h21HYPERLINK\l"_Toc201045813"2.2.4VLAN及QINQ接口配置PAGEREF_Toc201045813\h21HYPERLINK\l"_Toc201045814"2.3路由 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 配置PAGEREF_Toc201045814\h23HYPERLINK\l"_Toc201045815"2.3.1OSPF协议配置PAGEREF_Toc201045815\h23HYPERLINK\l"_Toc201045816"2.4RADIUS配置PAGEREF_Toc201045816\h29HYPERLINK\l"_Toc201045817"2.4.1本次项目中RADIUS配置参数PAGEREF_Toc201045817\h31HYPERLINK\l"_Toc201045818"2.4.2RADIUS配置范例及注释PAGEREF_Toc201045818\h31HYPERLINK\l"_Toc201045819"2.4.3RADIUS状态查看PAGEREF_Toc201045819\h33HYPERLINK\l"_Toc201045820"2.4.4RADIUS故障排除方法PAGEREF_Toc201045820\h37HYPERLINK\l"_Toc201045821"2.5QOS带宽管理PAGEREF_Toc201045821\h37HYPERLINK\l"_Toc201045822"2.5.1两类QOS配置PAGEREF_Toc201045822\h37HYPERLINK\l"_Toc201045823"2.5.2配置设备接收RADIUS服务器策略配置PAGEREF_Toc201045823\h38HYPERLINK\l"_Toc201045824"2.5.3ME60本机QOS策略配置PAGEREF_Toc201045824\h38HYPERLINK\l"_Toc201045825"2.6PPPOE配置PAGEREF_Toc201045825\h40HYPERLINK\l"_Toc201045826"2.6.1概述PAGEREF_Toc201045826\h40HYPERLINK\l"_Toc201045827"2.6.2PPPOE相关配置PAGEREF_Toc201045827\h41HYPERLINK\l"_Toc201045828"2.7用户认证域选择PAGEREF_Toc201045828\h43HYPERLINK\l"_Toc201045829"2.8反向路由检测PAGEREF_Toc201045829\h43HYPERLINK\l"_Toc201045830"ME60所支持的URPFPAGEREF_Toc201045830\h43HYPERLINK\l"_Toc201045831"2.9DHCPRELAY配置PAGEREF_Toc201045831\h44HYPERLINK\l"_Toc201045832"2.10IP综合网管设备配置要求PAGEREF_Toc201045832\h46HYPERLINK\l"_Toc201045833"2.10.1访问控制列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 设置(用于限制远程登录和SNMP采集的访问地址)PAGEREF_Toc201045833\h46HYPERLINK\l"_Toc201045834"2.10.2TELNET用户名和密码PAGEREF_Toc201045834\h46HYPERLINK\l"_Toc201045835"2.10.3SNMP配置PAGEREF_Toc201045835\h46HYPERLINK\l"_Toc201045836"2.10.4SYSLOG配置PAGEREF_Toc201045836\h47HYPERLINK\l"_Toc201045837"3、ME60承载业务及配置规范PAGEREF_Toc201045837\h48HYPERLINK\l"_Toc201045838"3.1承载业务类型PAGEREF_Toc201045838\h48HYPERLINK\l"_Toc201045839"3.2普通PPPOE上网业务PAGEREF_Toc201045839\h48HYPERLINK\l"_Toc201045840"3.2.1业务概述PAGEREF_Toc201045840\h48HYPERLINK\l"_Toc201045841"3.2.2ME60配置规范PAGEREF_Toc201045841\h48HYPERLINK\l"_Toc201045842"3.2.3帐号管理规范PAGEREF_Toc201045842\h53HYPERLINK\l"_Toc201045843"3.3校园网卡类业务PAGEREF_Toc201045843\h54HYPERLINK\l"_Toc201045844"3.3.1业务概述PAGEREF_Toc201045844\h54HYPERLINK\l"_Toc201045845"3.3.2配置规范PAGEREF_Toc201045845\h54HYPERLINK\l"_Toc201045846"3.3.3账号管理说明PAGEREF_Toc201045846\h54HYPERLINK\l"_Toc201045847"3.4VPDN业务PAGEREF_Toc201045847\h55HYPERLINK\l"_Toc201045848"3.4.1业务概述PAGEREF_Toc201045848\h55HYPERLINK\l"_Toc201045849"3.4.2ME60配置规范PAGEREF_Toc201045849\h55HYPERLINK\l"_Toc201045850"3.4.3账号管理说明PAGEREF_Toc201045850\h56HYPERLINK\l"_Toc201045851"3.4.4VPDN业务介绍PAGEREF_Toc201045851\h56HYPERLINK\l"_Toc201045852"3.5机顶盒业务配置PAGEREF_Toc201045852\h59HYPERLINK\l"_Toc201045853"3.5.1业务概述PAGEREF_Toc201045853\h59HYPERLINK\l"_Toc201045854"3.5.2延用DHCP方式PAGEREF_Toc201045854\h60HYPERLINK\l"_Toc201045855"3.5.3采用PPPOE方式PAGEREF_Toc201045855\h60HYPERLINK\l"_Toc201045856"3.6专线用户配置PAGEREF_Toc201045856\h64HYPERLINK\l"_Toc201045857"3.6.1通过subscriber方式定义静态IP用户PAGEREF_Toc201045857\h64HYPERLINK\l"_Toc201045858"3.6.2通过leasedline方式定义静态IP用户PAGEREF_Toc201045858\h65HYPERLINK\l"_Toc201045859"3.7BGP/MPLSVPN配置范例PAGEREF_Toc201045859\h65HYPERLINK\l"_Toc201045860"3.7.1概述PAGEREF_Toc201045860\h65HYPERLINK\l"_Toc201045861"3.7.2MPLSVPN业务命名规范PAGEREF_Toc201045861\h66HYPERLINK\l"_Toc201045862"3.7.3PE（ME60）配置范例PAGEREF_Toc201045862\h67HYPERLINK\l"_Toc201045863"3.8VPLS业务配置PAGEREF_Toc201045863\h71HYPERLINK\l"_Toc201045864"3.8.1VPLS简介PAGEREF_Toc201045864\h71HYPERLINK\l"_Toc201045865"3.8.2VPLS配置范例PAGEREF_Toc201045865\h741、系统简介1.1河南网通宽带城域网建设概况本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不变的基础上，持续提升宽带接入能力，继续推进二层网络扁平化，提升网络可靠性，以此逐步向功能完善、结构合理、性能优良的目标网演进。提升业务支持能力：根据各类IP业务发展需求及流量流向特性，对城域网内的设备进行容量增加和端口扩容，提供充足的业务接入能力及中继链路端口。二层网络扁平化举措：在进行扩容的同时在有条件的地市考虑继续缩减汇聚交换机的级联层数，进一步扁平化二层汇聚网络；同时具备条件的地市可根据业务发展需求结合设备性能考虑SR/BRAS适度下移。网络质量差异化：逐步部署MPLS技术和Diffserv机制，为不同用户和不同业务提供不同QOS等级的服务。在业务集中区域逐步设立轻载的大客户专用接入设备，减少普通客户流量对大客户业务质量的干扰。管理控制集中化智能化：用宽带接入服务器（BRAS）、业务路由器（SR）构建独立清晰的IP城域网接入层，实现业务集中调度、监测和控制；规范设备的网管接口要求，加强集中网管系统的建设，提高网络的可管理性，逐步实现对网络性能的实时监控管理，提供基于时间、流量、质量等指标的多样化组合计费能力。1.2河南网通华为ME60系统组网方式1.2.1网络概述根据目前网络和业务开通方式等现状，本期工程在每个县局节点及部分市区节点放置一台ME60-8BRAS设备，共计123台。在市区，ME60双上行至地市2台GSR设备，同时与地市新建SR通过端口聚合进行连接，负责终结SR设备透传过来的二层报文。在县局，网络通过布置大二层汇聚交换机来实现业务分流，ME60双上行至地市核心GSR设备，下行方向连接县局大二层汇聚交换机，负责终结县局汇聚交换机透传上来的二层报文。1.2.1组网方式方式一、市区组网方式ME60采用双上行GE链路上行至地市GSR，启用OSPF以及BGP路由协议；同时与本局SR通过以太端口聚合聚合2个GE接口互连，该逻辑端口启用OSPF协议。其中，与GSR的端口作为主用上行路由，到本局SR设备的端口作为备用上行链路，同时该GE兼作本局用户业务的二层下联接口，终结用户VLAN或灵活QinQVLAN。方式二、县局组网方式在县局，ME60双上行至地市核心GSR路由器，上行开启三层接口，启用OSPF以及BGP协议；同时，与本局汇聚交换机通过GE口连接，该接口用来终结县级汇聚交换机透传上来的单层VLAN以及QINQVLAN。除了挂接用户业务以外，本期项目中党建、CDN等服务器业务也需要割接到新建BRAS上。1.3VLAN规划原则1.遵循管理VLAN与用户VLAN分开、一用户一VLAN的原则。2.对于直连一级汇聚层交换机的市区接入设备，要求采用VLANStacking模式，做到每个用户一个VLAN。接入设备的外层VLAN使用原汇聚层交换机中预留的VLAN。3．对于下挂在和BAS有直连链路的县局节点下的接入设备，也要求采用VLANStacking模式。4.对于下挂在二级汇聚交换机以下的接入设备（如支局），不建议采用VLANStacking模式，可采用一个DSLAM分配“一个用户VLAN＋一个管理VLAN”的方式；对于LAN方式，ZAN和BAN的管理VLAN使用同一VLAN，每个BAN采用不同用户VLAN；5.对于采用PPPOE与DHCP+并行模式的接入层设备，不采用VLANStacking模式,应遵循不同认证方式用户分配不同VLAN的原则进行VLAN规划。通过相连的各级交换机将新增VLAN透传至BAS。设备管理VLAN则延用原模式。1.4IP地址规划原则本着连续分配、节约资源、便于管理的原则进行规划。1.普通拨号用户IP地址规划PPPOE拨号用户的IP地址均直接由BAS通过地址池动态分配，每台BAS暂时分配4个C类地址。2.专线用户IP地址规划每个专线用户一个VLAN,每台BAS分配一个C类地址，用户地址可以连续分配。3.设备管理IP地址规划每台BAS下挂的接入层设备管理地址为一个Ｃ类地址，可进行连续分配。4.BAS设备管理(loopback地址等)和互联地址由省公司统一规划分配。5.每台BAS目前预留两个C类地址备用。2、BAS配置规范（ME60）该部分所介绍的配置是现网设备配置的说明和解释，以及部分配置规范；具体命令的格式及说明请参考ME60设备配置 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 。2.1设备基本配置设备的基本配置包括主机名称、时钟、用户管理设置等。2.1.1设置主机名主机名命名规则：【示例】MC-ZZ-KFQ-C6509-001郑州城域网汇聚层开发区思科6509设备MA-ZZ-XZ.BQ.LD-HW5100-001新郑市八千乡刘店接入点华为5100设备对于华为本期项目上的NE40E及ME60，属于城域网业务控制层，按照规范描述网络层次为MS，例如，洛阳道北节点ME60命名如下：MS-LY-DB-HW60-0012.1.2时区和时钟校准配置时钟命令如下：clockdatetimeHH:MM:SSYYYY-MM-DD配置时区命令如下：clocktimezonetime-zone-name{add|minus}offset例如，设置中国区时钟：clocktimezonebeijingadd82.1.3配置管理员及其密码步骤1执行命令system-view，进入系统视图。步骤2执行命令local-aaa-server，进入本地AAA视图。步骤3执行命令userusername{password{simplesimple-password|ciphercipher-password}|authentication-typetype-mask|block||levellevel|callback-nocheck|callback-numbercallback-number|idle-cut|qos-pro}*，增加操作用户。例如，增加一个名字为HUAWEI的用户，配置如下：local-aaa-serveruserHUAWEIpasswordcipherHuaweilevel3级别3为超级用户权限，可以根据需要将用户设置为0-3的任何级别。2.1.4启用服务ME60启用网络服务命令如下：enablesshserverenable2.1.5对管理员地址范围进行限定定义访问控制列表：Acl2000rule5permitipsource10.1.1.1255.255.255.255rule10permitipsource10.1.1.2255.255.255.255rule15permitipsource10.1.1.3255.255.255.255进入USER-INTERFACEUser-interfacevty04Acl2000in2.1.6timeout时间设置空闲过时设置User-interfacevty04Idle-timeout5当telnet会话在5分钟内没有输入时timeout退出2.1.7ACL配置范例Acl2000至2999为基本ACL，只能够定义源地址；3000-3999为扩展ACL，能够依照五元组进行定义1、配置管理ACL范例：Acl3000rule5permitipsource218.29.255.00.0.0.255any//省网管；rule10permitipsource123.234.255.1260.0.0.0destinationany//BAS（SE800）网管服务器地址；rule15permitipsourcehost221.13.223.140destinationany//RADIUS服务器地址；rule20permitipsource218.29.0.1280.0.0.31destinationany//郑州分公司-1；rule25permitipsource218.29.221.10.0.0.127destinationany//郑州分公司-2；rule30denytcpsourceanydestinationanyeqtelnetrule35denytcpsourceanydestinationanyeqsshrule40denytcpsourceanydestinationanyeqftprule45denytcpsourceanydestinationanyeqrule50denyudpsourceanydestinationanyeqtftprule55denyudpsourceanydestinationanyeqsnmprule60denyudpsourceanydestinationanyeqsnmptraprule65permitipanyany进入telnet用户接口User-interfacevty04Acl3000in2、配置普通ACL并应用范例aclnumber3001rule5permitip#aclnumber6000match-orderautorule5denytcpdestination-porteq135rule10denytcpdestination-porteq136rule15denytcpdestination-porteq137rule20denytcpdestination-porteq138rule25denytcpdestination-porteq139rule30denytcpdestination-porteq445rule35denytcpdestination-porteq4444rule40denyudpdestination-porteq445rule45denyudpdestination-porteqnetbios-ssnrule50denyudpdestination-porteqnetbios-dgmrule55denyudpdestination-porteq135rule60denyudpdestination-porteqnetbios-nsrule65denytcpdestination-porteq2745rule70denytcpdestination-porteq3127rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90denyipsourceuser-grouphelpdestinationip-addressanyrule95denyipsourceuser-groupiptvdestinationip-addressany[ACL6000是一个用户ACL，前面定义了防病毒部分，最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]#aclnumber6001rule5permitipsourceuser-groupiptvdestinationip-address202.102.249.00.0.0.255rule10permitipsourceuser-groupiptvdestinationip-address61.168.222.00.0.1.255rule15permitipsourceuser-groupiptvdestinationip-address61.168.224.00.0.3.255rule20permitipsourceuser-groupiptvdestinationip-address61.168.228.00.0.1.255rule25permitipsourceuser-groupiptvdestinationip-address61.158.216.00.0.1.255rule30permitipsourceuser-groupiptvdestinationip-address61.158.218.00.0.0.255rule35permitipsourceuser-groupiptvdestinationip-address202.102.224.680rule40permitipsourceuser-groupiptvdestinationip-address202.102.227.680[定义了IPTV用户组里的用户可以访问的地址]#aclnumber6002match-orderautorule5permitipsourceuser-grouphelpdestinationip-address218.29.0.2520rule10permitipsourceuser-grouphelpdestinationip-address202.102.224.680rule15permitipsourceuser-grouphelpdestinationip-address202.102.227.680[定义了HELP用户组里的用户可以访问的地址]#trafficclassifierlimitoperatororif-matchacl6000trafficclassifieractionoperatororif-matchacl6002if-matchacl6001[定义了3个流量分类，分别匹配3个ACL，会和后面的流量动作配置组成策略。这部分与思科设备通过配置ROUTE-MAP定义策略路由很类似]#trafficbehaviorlimitdenytrafficbehavioraction[定义流量动作，后面定义策略的时候与流量分类相关联]#trafficpolicylimitclassifieractionbehavioractionclassifierlimitbehaviorlimit[定义流量策略，第一条名为ACTION的分类中匹配到的报文，执行名为ACTION的流量动作中所定义的动作，就是允许，第二条行为类似，但动作是拒绝。需要注意，两条策略的顺序不能反，否则所有流量都会被拒绝]traffic-policylimitinboundtraffic-policylimitoutbound[由于上述策略都是针对用户侧的用户定义的，所以需要在全局下下发]如果流量策略需要在网络侧端口下发，只需要在相应端口下饮用traffic-policy即可。2.1.8用户域基本配置1、定义用户域domaindialauthentication-schemeradius[该域用名称为RADIUS的SCHEME来进行认证]accounting-schemeradiusservice-typehsi[将该域的模式配置成HIS模式，PPPOE的域都要配置成该模式]radius-servergroupdial[指定使用的RADIUS服务器组]ip-pooldial[指定该域使用的地址池]qosprofile2m[指定该域使用的QOS 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 ]2、定义地址池ippooldiallocalgateway61.168.104.1255.255.248.0section061.168.104.261.168.111.254excluded-ip-address61.168.104.2conflict-ip-address61.168.108.187dns-server202.102.224.68dns-server202.102.227.68secondary[定义地址池，包括网关，可分配地址范围，不能被分配的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分配地址]一个用户域下可以定义多个地支持，当一个用完时系统可以选择分配另外一个地支持中的地址。3、QOS模板定义首先定义调度模板scheduler-profile2mcarcir2048pir2050cbs256000pbs256250upstreamgtscir2048pir2050queue-length65536定义QOS模板，在其中引用调度模板qos-profile2mscheduler-profile2m在用户域下引用QOS模板domaindialqosprofile2m2.1.9安全基本配置1、定义防病毒访问控制列表aclnumber6000match-orderautorule5denytcpdestination-porteq135rule10denytcpdestination-porteq136rule15denytcpdestination-porteq137rule20denytcpdestination-porteq138rule25denytcpdestination-porteq139rule30denytcpdestination-porteq445rule35denytcpdestination-porteq4444rule40denyudpdestination-porteq445rule45denyudpdestination-porteqnetbios-ssnrule50denyudpdestination-porteqnetbios-dgmrule55denyudpdestination-porteq135rule60denyudpdestination-porteqnetbios-nsrule65denytcpdestination-porteq2745rule70denytcpdestination-porteq3127rule75denytcpdestination-porteq593rule80denytcpdestination-porteq6129rule85denyudpdestination-porteq1434rule90permitany2、定义流分类trafficclassifierlimitoperatororif-matchacl60003、定义流动作trafficbehaviorlimitdeny4、定义流策略trafficpolicylimitclassifierlimitbehaviorlimit5、全局下发针对用户侧的策略traffic-policylimitinboundtraffic-policylimitoutbound2.1.10设备配置保存执行SAVE命令，配置将缺省保存在设备CFCARD中。2.2设备接口配置2.2.1网络侧接口配置1、ME60将没有直接挂接用户的三层称之为网络侧端口，典型的就是连接GSR设备的三层端口。该端口为普通的三层路由端口。对于这种类型的端口配置，与普通路由器三层端口相同。对于网络侧端口的配置在系统模式下进行：interfaceGigabitEthernet1/0/0mtu1524[配置端口MTU值]descriptionTo-[LY-XiGong-GSR]G1/0/4[对于该端口的描述to-[对端设备型号]-端口号]ipaddress125.45.253.178255.255.255.252[设置端口IP地址]mplsmplsldp[端口下启用MPLS]通过使用displayinterface命令可以查看端口状态（UP、down），端口类型及端口报文计数等信息。2、端口描述规范互联中继命名规范:【端口简写】括号内端口信息采用简写F:FEG:GE/10GEA:ATMP:POS设备端口上描述建议采用TO_PC-ZZ-ZYL-CRS-001(G0/2):GE:1:电路代号用户电路命名规范:【端口简写】括号内端口信息采用简写F:FEG:GE/10GEA:ATMP:POS注:设备端口上描述建议采用TO_ZZGONGSHANGJU:10M:FE:1:电路代号例如，洛阳西工NE40E连接西工NE80E的描述：Intg1/0/0DesTO_PC-LY-XG-NE80E-001(G0/2):GE:12.2.2loopback接口配置及描述Loopback接口的配置在系统模式下进行。按照本期规划，每台设备需要配置2个loopback地址，范例如下：interfaceLoopBack0ipaddress125.40.254.110255.255.255.255[这个地址用来和RR建立IPV4BGP邻居]#interfaceLoopBack10ipaddress125.40.254.111255.255.255.255[这个地址用来和RR建立VPNV4BGP邻居]3.2.3用户侧接口配置当某个接口用于接入宽带用户时，该接口即为用户侧接口，需要将该接口配置为BAS接口，并配置用户的接入类型和其他相关属性。要完成配置BAS接口的任务，需要执行如下的配置过程。1创建BAS接口请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。步骤3执行命令bas，创建BAS接口。2配置用户接入类型执行命令bas，进入BAS接口视图。执行命令access-typelayer2-subscriber[bas-interface-namename|default-domain{pre-authenticationdomain-name|authentication[force|replace]domain-name}*|accounting-copyradius-serverradius-name]*，配置二层普通用户接入类型。或执行命令access-typelayer2-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置二层专线用户接入类型。或执行命令access-typelayer3-leased-lineuser-nameusernamepassword[bas-interface-namename|default-domainauthenticationdomain-name|accounting-copyradius-serverradius-name|nas-port-typetype]*，配置三层专线用户接入类型。在设置BAS接口的用户接入类型时，还可以一起设置和该种用户类型相关的业务属性，这些属性也可以在后续的配置中逐项配置。对于已经被Eth-Trunk接口包含的以太网接口，不能配置其用户接入类型，而只能配置相应的Eth-Trunk接口。有用户在线时，只有当用户类型是专线用户时，可以在线修改BAS接口的用户接入类型，其他情况不能修改。当用户类型配置为专线用户后，ME60立即对该专线用户进行认证。􀁺当接口下配置有IP地址时，只能将用户接入类型设置为三层专线用户。􀁺如果BAS接口为GE或Eth-Trunk子接口，当需要将用户接入类型设置为三层专线用户时，首先必须在子接口下配置一个用户侧VLAN（且只能配置一个）。3配置用户认证方法请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。步骤3执行命令bas，进入BAS接口视图。步骤4执行命令authentication-method{{ppp|dot1x|{web|fast}}*|bind}，配置用户认证方法。----结束只有接入用户类型为二层用户的BAS接口可以设置其认证方法。各种认证方法可以组合使用，但有以下的约束关系：􀁺Web认证和快速认证互斥；􀁺绑定认证和其他认证方式都互斥。缺省情况下，BAS接口的认证方法为PPP4设置用户数限制（可选）请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。5配置BRAS接入QuidwayME60配置指南-BRAS业务5-20华为技术有限公司文档版本03(2008-02-01)步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。步骤3执行命令bas，进入BAS接口视图。步骤4执行命令access-limitnumber，设置接口级用户数限制。或执行命令access-limituser-number[start-vlanstart-vlan[end-vlanend-vlan][qinqqinq-vlan]]，设置VLAN级用户数限制。----结束缺省情况下，BAS接口未设置用户数限制。5指定域（可选）请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。步骤3执行命令bas，进入BAS接口视图。步骤4执行命令default-domainpre-authenticationdomain-name，指定认证前缺省域。或执行命令default-domainauthentication[force|replace]domain-name，指定认证缺省域。如果用户认证时未输入域名，ME60默认其属于认证缺省域。设置认证缺省域可指定force和replace参数。􀁺force参数表示不管用户认证时所带域名是什么，都强制转换到所设置的认证缺省域，使用该域的策略进行认证和授权，但用户名中的域名不发生改变。􀁺replace参数表示强制转换到所设置的认证缺省域，同时用户名中的域名也发生变化，强制替换成设置的认证缺省域名。缺省情况下，BAS接口的认证缺省域为default1。6配置BAS接口附加功能（可选）请在ME60上进行以下配置。步骤1执行命令system-view，进入系统视图。步骤2执行命令interfaceinterface-typeinterface-number，进入接口视图。步骤3执行命令bas，进入BAS接口视图。步骤4执行命令arp-proxy，启用ARP代理功能。或执行命令dhcp-broadcast，启用DHCP广播功能。或执行命令accounting-copyradius-serverradius-name，启用计费报文抄送功能。或执行命令ip-trigger，启用IP报文触发上线功能。或执行命令arp-trigger，启用ARP报文触发上线功能。或执行命令multicastcopyby-session，启用按用户复制组播报文功能。或执行命令dot1xauthenticationtrigger，启用802.1X认证触发功能。----结束ARP代理功能ARP代理功能用于同一BAS接口下的用户互访，因为在ME60同一接口下的用户按VLAN/PVC严格隔离，要实现用户互访必须打开BAS接口的ARP代理开关。只有在BAS接口的接入用户类型设置为二层用户和二层专线用户的情况下，才可以配置BAS接口的ARP代理功能。ARP代理的开关只对相同BAS接口的ARP报文进行控制，其他的情况ARP代理的开关都是打开的，无法关闭。缺省情况下，同一BAS接口相同VLAN/PVC下的ARP代理功能关闭。DHCP广播功能通常情况下，BAS接口的DHCP报文是采用单播方式向用户进行发送的，但是在某些特殊情况下可能需要对DHCP报文进行广播，此时需要打开BAS接口的DHCP广播开关。缺省情况下，BAS接口的DHCP广播功能关闭。计费报文抄送功能计费报文抄送是指在计费过程中，将计费信息同步发送给两台RADIUS服务器，并分别等待回应的功能。计费报文抄送功能主要在需要多处保存原始计费信息的场合使用（如多运营商共同组网）。在这种情况下，计费报文需要同步发送给两台RADIUS服务器，在后续的结算中作为原始计费信息。缺省情况下，BAS接口的计费报文抄送功能关闭。IP报文触发上线功能IP报文触发上线功能是指静态用户通过发送IP报文触发认证过程的功能。缺省情况下，BAS接口的IP报文触发上线功能关闭。ARP报文触发上线功能ARP报文触发上线功能是指用户通过发送ARP报文触发认证过程的功能。缺省情况下，BAS接口的ARP报文触发上线功能关闭。按用户复制组播报文功能通常情况下，ME60收到某个组播组的组播报文后，只会向每个物理端口复制一份组播报文，二层设备再将组播报文复制给该组播组的每个用户。如果二层设备不具备IGMPSnooping功能，无法识别组播组用户，则需要在ME60的接口上启用按用户进行组播复制的功能，由ME60直接将组播报文复制给用户。缺省情况下，BAS接口的按用户复制组播报文功能关闭。802.1X认证触发功能802.1X认证触发功能是指ME60探测到802.1X用户上线后，主动向用户发起认证请求的功能。缺省情况下，BAS接口的802.1X认证触发功能关闭。下面的配置范例为PPPOE接入的用户侧端口配置：interfaceGigabitEthernet1/0/3.805pppoe-serverbindVirtual-Template1[绑定PPP模板，确定该端口使用PPPOE]mtu1524descriptionTo-NanShan-HW-MA5300-Useruser-vlan2561000QinQ805[这个命令就是终结正常的PPPOE拨号用户报文，内层标签是256-1000，外层标签是805]basaccess-typelayer2-subscriberdefault-domainauthenticationdial[BAS下的这条命令把PPPOE用户作为二层拨号用户，缺省的认证域为DIAL域，使用该域中的认证方法、QOS模板等定义的参数]2.2.3地址池的配置地址将会被用户域引用，用来为用户分配IP地址，并向拨号用户提供网关、DNS等参数。地址池可以配置多个，ME60会自动循环向后使用。配置范例如下：ippooldiallocalgateway61.168.104.1255.255.248.0section061.168.104.261.168.111.254excluded-ip-address61.168.104.2conflict-ip-address61.168.108.187dns-server202.102.224.68dns-server202.102.227.68secondary[定义地址池，包括网关，可分配地址范围，不能被分配的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分配地址]2.2.4VLAN及QINQ接口配置配置VLAN和QinQVLAN需要进入相应端口配置模式下进行，大致分为如下几类：1、普通固定IP业务VLAN配置及绑定interfaceGigabitEthernet1/0/3.100descriptionTo-NanShan-S6503user-vlan100[这条命令指名该端口终结带100这个单层标签的报文]basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbind[该端口下面是网管下挂的S6503交换机。ME60把它当作一个静态IP用户，一个2层用户。所谓二层用户，也就是这个下挂设备的地址是由BRAS分配管理的。该端口用户默认是在wangguan这个域中进行，认证方法是BIND，也就是ME60根据下挂用户的物理位置自动分配一个用户名。这部分配置都在BAS视图下进行]userdetectretransmit3interval30[每隔30秒向该用户发一个ARP请求，根据回应确定用户在线。如果连续3次（90秒）没有收到回应，设备就认为用户已经下线。用这种手段来保证该设备一直在线。]在系统视图下配置：static-user10.36.252.25210.36.252.252interfaceGigabitEthernet1/0/3.100vlan100detectdomain-namewangguan[配置二层静态IP用户，静态用户地址范围从10.36.252.252至10.36.252.252，也就是指定一个静态IP，定义了这个静态用户所在的端口GigabitEthernet1/0/3.100，定义了这个用户的报文标签为100，这个用户所属的域为wangguan，以下配置相同，本机下挂的网络设备都用这种方式来进行网管，同时，开启二层静态IP用户也是用这种办法]2、普通PPPOE用户VLAN配置及动态绑定interfaceGigabitEthernet1/0/9.1pppoe-serverbindVirtual-Template1user-vlan200basaccess-typelayer2-subscriberdefault-domainauthenticationdial3、固定IP用户QinQVLAN的配置及绑定interfaceGigabitEthernet1/0/3.200descriptionleaseline-tel-7676123user-vlan100qinq200basaccess-typelayer2-subscriberdefault-domainauthenticationwangguanauthentication-methodbindstatic-user10.36.252.210.36.252.2interfaceGigabitEthernet1/0/3.200vlan100qinq200detectdomain-namewangguan该用户的IP地址为10.36.252.2。4、批量、连续的PPPOE用户QinQVLAN配置及动态绑定interfaceGigabitEthernet1/0/9.801pppoe-serverbindVirtual-Template1mtu1524descriptionTo-YiTuo-HAMMER-10000-2-Useruser-vlan2561000QinQ801basaccess-typelayer2-subscriberdefault-domainauthenticationdial[该子接口下终结了一批内层VLAN范围为256至1000，外层VLAN为801的PPPOE用户。注意，用户的认证方法等参数配置在相应用户域中，此例中为DIAL域，在用户侧端口下会引用该域。]2.3路由协议配置本期工程BAS（ME60)采用两个上联出口连接至地市核心GSR。在ME60上配置主链路COST为100，用户路由则采用BGP进行承载，以下对OSPF及BGP的配置进行详细说明。2.3.1OSPF协议配置BAS与上联设备建立OSPF邻居，OSPF的area号与各地市宽带IP网area号一致，如郑州area号为371；洛阳为379。OSPF链路类型为点到点类型。具体配置范例如下：1、系统模式下配置ospf协议ospf1router-id125.