河南联通城域网设备配置规范-华为ME60

河南联通城域网设备配置规范-华为ME60

内部资料 注意保密

城域网设备配置规范

— 华为ME60

中国联合网络通信有限公司河南省分公司

二零一六年

3

目 录

1. 基本配置 .......................................................... 6

1.1 设备名称 .............................................. 6 1.2 系统时间配置 ........................................ 7 1.3 NTP配置 ............................................... 8 1.4 文件管理 .............................................. 8 1.5 Banner配置 ......................................... 9 2．网管配置 .......................................................... 9

2.1 登陆AAA ................................................. 9 2.2 SNMP .................................................... 12 2.3 用户 ...................................................... 13 2.4 SYSLOG ................................................ 14 2.5 TELNET .................................................. 15 3．端口配置规范 ................................................ 16

3.1 端口命名格式描述 ............................ 16 3.2 loopback ............................................ 17 3.3 GE/TG .................................................. 18 3.4 端 18

3.5 ............................. POS 18

4. 路由配置 ........................................................ 19

4

口捆绑

4.1 静态路由配置 .................................... 19 4.2 OSPF配置 ........................................... 19 4.3 BGP配置 ................................................ 21 4.4 MPLS配置 ........................................... 25 4.5 BFD配置 ............................................. 25 5．安全配置 ........................................................ 30

5.1 ACL ........................................................ 30 5.2服务管理 ............................................... 34 5.3 引擎防护 .............................................. 35 6. 业务实现 ...................................................... 35

6.1 PPPOE业务 ......................................... 35 6.2 专线业务 .............................................. 38 6.3 VPDN业务 ........................................... 40 6.4 WLAN业务 ........................................... 44 6.5 MPLS VPN 业务 .................................. 50 6.6 VPLS业务 ........................................... 52 6.8 NAT444业务 ....................................... 55 6.9 预欠费提醒和欠费提醒业务 ............ 72 6.10 HGU业务 ........................................... 80 6.11 IPTV业务 ......................................... 84

5

1. 基本配置 1.1 设备名称

【配置描述】: 配置设备名称 【规范要求】:

1.1.1 格式：网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号

所辖区/字段网络层名称 次描述 - 市名缩写 - 县名、节点及机房描述 字段类型 长度 选项

- 设备型号 - 序号 英文字符 =2 必选 符号（连接符） =1 必选 英文字符 ≤3 必选 符号（连接符） =1 必选 英文字符 ≤10 必选 符号（连接符） =1 必选 字母/数字序列 ≤10 必选 符号（连接符） =1 必选 =3 必选 数字 说明：

 原则上字母全部大写，两端和中间没有任何空格，采用定长命名。

 网络层次描述：2个字母。

✓ 省网核心层：PB

✓ 省网接入层（地市核心层）：PA

✓ 城域网业务控制层（BRAS和SR设备）：MS ✓ 城域网汇聚层：MC ✓ 城域网接入层：MA

 市名缩写：2至3个字母。原则取用其城市名称前两个汉字拼音首字母，个别城市名长于两个拼音字母的按照实际情况编写，但最长不应超过四个字母。地市名称缩写为：郑州（ZZ），洛阳（LY）、南阳（NY）、安阳（AY）、焦作（JZ）、新乡（XX）、三门峡（SMX）、济源（JY）、开封（KF），商丘（SQ）、驻马店（ZMD）、漯和（LH）、鹤璧（HB）、平顶山（PDS）、信阳（XY）、周口（ZK）、濮阳（PY）、许昌（XC）。

6

 所辖区/县名、节点及机房描述：≤10个字母。原则取用机房名称汉字拼音首字母，个别机房名长于两个拼音字母的按照实际情况编写，但最长不应超过10个字母或数字。对于同城n个机房缩写相同，则按谐音或近音改变其中n-1个机房的缩写，以实现同城机房名缩写的唯一性。

✓ 例一：中原路机房缩写为：ZYL ✓ 例二：新密县老局机房缩写为：XMLJ  设备型号：参照厂商设备命名。

✓ CISCO12416 ✓ HUAWEI8850 ✓ ZTE10600 ✓ SE800

 序号：3个数字。用来标识同一个节点的机同型号设备的序号。范围从001-999。

【配置示例】:

[ME60]sysname MS-XX-YMK-ME60-001

1.2 系统时间配置

【配置描述】：配置系统时区及系统时间； 【规范要求】：

1.2.1 系统时间要求采用标准北京时间 【配置示例】:

clock datetime HH:MM:SS YYYY/MM/DD 配置NTP server 后时钟显示不正确,对于ver5.7

7

的版本需要将时区更改 原配置为：clock timezone GMT minus 08:00:00 更正为：clock timezone GMT add 08:00:00

1.3 NTP配置

【配置描述】：配置NTP服务器； 【规范要求】：

1.3.1 为了冗余可靠，可以配置2个ntp服务器，建议配置密码认证，省内城域网BRAS和SR设备配置NTP服务器地址：61.163.204.29。 1.3.2 source-interface使用loopback地址 【配置示例】:

客户端： ntp-service source-interface LoopBack0 ntp-service unicast-server 61.163.204.29 ntp-service access peer acl 2000

1.4 文件管理

【配置描述】：配置设备的系统文件和配置文件； 【规范要求】：

1.4.1 设备的系统文件和配置文件存放路径及格式应符合设备规范要求 1.4.2 主备板的系统文件和配置文件保持一致 【配置示例】:

通过命令查看：

8

Dir dis startup 通过startup saved-configuration Startup system-software设置。

1.5 Banner配置

【配置描述】:设备Banner配置 【规范要求】：

1.5.1 所有设备配置统一的Banner信息，登陆时提示：

WARNING Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user!

【配置示例】:

header login information \" WARNING Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user!

2．网管配置 2.1 登陆AAA

【配置描述】:配置管理用户登录AAA认证 【规范要求】：

2.1.1 配置登陆AAA的tacacs+协议

AAA Server采用tacacs协议，用户登录认证采用集中认证方式。

配置认证策略为先本地后Tacacs。 【配置示例】:

\" 9

hwtacacs-server template hacnc

hwtacacs-server authentication 61.163.204.11 hwtacacs-server authentication 61.163.204.12 secondary

hwtacacs-server authorization 61.163.204.11 hwtacacs-server authorization 61.163.204.12 secondary

hwtacacs-server accounting 61.163.204.11 hwtacacs-server secondary

hwtacacs-server source-ip 61.168.255.222 hwtacacs-server EJ*FUhY94hZ*8+!A undo

[Quidway ]aaa

authentication-scheme hacnc

authentication-mode local hwtacacs

hwtacacs-server

user-name

domain-included

shared-key

accounting

61.163.204.12

10

authentication-super super hwtacacs # accounting-scheme hacnc accounting-mode hwtacacs accounting start-fail online # domain default_admin authentication-scheme hacnc accounting-scheme hacnc adminuser-priority 3 hwtacacs-server hacnc

2.1.2 Tacacs账号

对不同用户授予不同权限，实现分级分权管理，至少分为二级分权管理（查看、配置）。配置本地认证一个超级帐号供应急使用。

【配置示例】:

[ Quidway ]local-aaa-server user 本地账号 password cipher 本地密码authentication-type T level 3 #T 表示telnet

11

2.2 SNMP

【配置描述】:配置SNMP参数 【规范要求】： 2.2.1 snmp读/写共同体

不能采用默认的public和private，并且Snmp字符串除特殊情况不可以设置为写属性。读、写属性要求采用非缺省团体名字符串并满足一定的强度要求（建议采用字母、数字和特殊字符的组合，长度不少于6位）；

2.2.2 SNMP访问

采取SNMP访问的措施，仅允许授权网段访问路由器的SNMP 服务； 2.2.3 SNMP TRAP

开启SNMP TRAP，TRAP信息传送网管服务器。

2.2.4 Snmp的源地址

Snmp的源地址必须为loopback地址

2.2.5 SNMP 版本

Snmp版本要求设置为V2/V2c，如有特殊的需要可进行相应修改，尽量避

免V1版本的出现。 【配置示例】:

system-view 进入系统视图 [Quidway] acl number 2000 设定允许访问地址段 rule 5 permit source 218.29.255.0 0.0.0.255 rule 10 permit source 61.163.204.0 0.0.3.255 rule 15 permit source 本地允许地址段 [Quidway] snmp-agent acl 2000

12

[Quidway]snmp-agent community read <字符串> [Quidway] snmp-agent sys-info version V2C [Quidway]ifindex constant //开启接口索引 2.3 用户

【配置描述】:配置管理用户 【规范要求】： 2.3.1 用户授权配置

配置用户授权，对不同用户授予不同权限，实现分级分权管理。

2.3.2 用户密码配置

密码采用系统全局配置的USERNAME和PASSWORD，密码字符串要求应由字母、数字和特殊字符等组成，且不能低于6位。

2.3.3 空闲时间设置

对VTY、CONSOLE、AUX登陆超时设置进行配置，设置空闲时间为10分钟。

2.3.4 账号管理

根据相关规程定期更新用户名、密码，删除无关账号。 【配置示例】:

system-view 进入系统视图 [Quidway]local-aaa-server user 本地账号 password cipher 本地密码authentication-type T level 1 13

[Quidway] user-interface vty 0 4 acl < ACL number> inbound authentication-mode aaa idle-timeout 10 0

2.4 SYSLOG

【配置描述】:配置SYSLOG日志参数

【规范要求】：全省BRAS、SR配置syslog地址为：61.163.204.13。 2.4.1日志功能配置

设备必须配置日志功能，记录所有中高风险（minor、marjor）的事件，其中必须记录用户登录事件，并对高风险的事件产生告警。

2.4.2 时间设置

log信息采用北京时间来显示；

2.4.3 日志主机设置

log信息需集中保存到 log server上，可以配置多个 log server；

2.4.4 Syslog触发级别设置

根据不同设备实际情况调整，需包含如下信息：（端口UP DOWN 、BGP\\OSPF\\MPLS 邻居updown、设备重启、板卡状态改变）

【配置示例】:

开启信息中心。 system-view [Quidway] info-center enable 配置通道允许输出日志信息的模块和严重级别。 [Quidway] info-center source default channel 2

14

log level warning 配置发送日志信息的源接口。 [Quidway] info-center LoopBack0 配置日志信息输出到指定的日志主机 [Quidway] info-center loghost 61.163.204.13 facility local3 local-time

2.5 TELNET

【配置描述】:配置TELNET远程登录参数 【规范要求】：

loghost source

2.5.1 TELNET登陆

根据实际情况只允许授权网段对设备VTY远程访问。 允许的省公司管理地址如下（以cisco设备配置为例）： access-list 7 permit 218.29.255.0 0.0.0.255 access-list 7 permit 61.168.254.0 0.0.1.255 access-list 7 permit 61.163.204.0 0.0.3.255 允许的市公司管理地址如下：

市公司的网管地址、设备上联中继地址。登陆需要配合ACL使用

【配置示例】:

system-view 进入系统视图 [Quidway] acl number 2007 rule 0 permit source 218.29.255.0 0.0.0.255

15

rule 1 permit source 61.168.254.0 0.0.1.255 rule 3 permit source 61.163.204.0 0.0.3.255 rule 4 permit source 本地授权地址段 [Quidway] user-interface vty 0 4 acl 2007 inbound authentication-mode aaa idle-timeout 10 0

3．端口配置规范 3.1 端口命名格式描述

【配置描述】: 所有已使用端口根据用途均要正确配置端口描述 【规范要求】： 3.1.1 端口命名格式：

To_对端设备名称（端口号）：电路类型：电路条目：电路代号

对端 To _ 设备名称 符号 字符 字符 字符 字符 （） ： 电电路类型 ： 路条目 字符 字符 字符 字符 字符 ： 电路 代号 字符 长度 ≤10（括=2 =1 ≤32 号内为端口号） 必选 必选 必选 必选 =1 ≤7 =1 ≤3 =1 ≤15 选项 必选 必选 必选 必选 必选 必选 说明：

1) 原则上字母全部大写（除了“To”）,标点符号为英文标点 2) To的后面为对端设备名称和互联端口号

16

3) 设备名称按设备名称命名规范命名 4) _：固定字符串（英文下划线）；

5) 电路类型：10M、100M、GE、155M、622M、2.5G、10GPOS、10GE等等，用“10GPOS”和“10GE”来区分POS端口还是以太网端口；

6) 电路条目：用于区分两台设备之间互联的相同带宽的链路数量，如果两台设备之间只采用1条链路，那么该字符为“001”，如果有2条，那么第二个端口为“002”，以此类推；

7) 电路代号：长传或本传电路代号。

【配置示例】:

interface GigabitEthernet7/0/0 description To_PA-XX-TX-NE5000E-001(G4/0/2):GE:001:电路代号 表示该端口联接到新乡铁西NE5000E的G4/0/2端口，链路带宽为GE的第1条链路。

3.2 loopback

【配置描述】: 配置Loopback端口IP地址和子网掩码 【规范要求】：

3.2.1 端口配置地址要求为32位掩码 3.2.2

采用统一规划的Loopback地址作为RADIUS,snmp,MP-BGP等协议的Update Source

【配置示例】:

system-view [Quidway] interface LoopBack0 ip address A.B.C.D 255.255.255.255

17

3.3 GE/TG

【配置描述】 ：配置端口协商、速率、MTU等 【规范要求】：

3.3.1 端口协商强制关闭，配置成全双工，速率1000M，特殊业务需求时可打开

协商

3.3.2 上联中继端口mtu统一1524

3.3.3下联中继口打开端口波动抑制，UP 10s DOWN 2.5s 【配置示例】:

system-view [Quidway] inter GigabitEthernet1/0/0 undo negotiation auto mtu 1524 carrier up-hold-time 10000 carrier down-hold-time 2500

3.4 端口捆绑

【配置描述】 ：链路捆绑端口的MTU，负载分担方式等 【规范要求】：

3.4.1 设置TRK里最小活动链路数，最小值为1(默认为1) 3.4.2 TRK中端口的负载分担方式使用逐流负载分担(默认为逐流) 3.5 POS

【配置描述】：POS中继口的CRC校验位，封装格式等 【规范要求】：

3.5.1帧格式和封装格式要求和对端相同,如果有传输要求和传输相同 3.5.2 除特殊电路要求，CRC统一32 校验位(默认为CRC-32)

18

3.5.3 scramble，要求使能POS接口的载荷加扰功能(默认为scramble) 【配置示例】:

< Quidway > system-view [Quidway] interface pos 1/0/0 [Quidway -Pos1/0/0] ip address 10.110.1.10 255.255.255.0 [Quidway -Pos1/0/0] undo shutdown

4. 路由配置 4.1 静态路由配置

【配置描述】：如果配置静态路由，参照以下要求 【规范要求】：

4.1.1 必须指定静态路由的下一跳地址(黑洞路由除外),必要时指定具体接口。 4.1.2 根据实际情况设置静态路由和黑洞路由的DISTANCE值，建议使用默认

值。

4.1.3 在设备支持的情况下，建议设置静态路由的描述。 【配置示例】:

system-view [Quidway] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/0 1.1.4.2 description TEXT

4.2 OSPF配置

【配置描述】：OSPF用于在单一自治系统内决策路由，如果网络规划需要配置

OSPF，参照以下要求；

【规范要求】：

19

4.2.1 OSPF进程号,取值范围1-65535，建议取值为100。 4.2.2 一台路由器IGP路由只配置一个OSPF进程号。

4.2.3 当存在多个Area时，必须配置骨干区域（Area 0），以保证网络部署的合理性。因目前各市只有一个Area，只需配置本地Area即可。

4.2.4 对于不需要启用OSPF路由的端口，须启用passive-interface。 4.2.5 必须采用loopback地址来手工设置router-id。 4.2.6 在网络中，设备的Router ID必须是唯一的。 4.2.7 建议在设备端口上配置启用MD5认证OSPF邻居。

4.2.8 如非必要ospf中不引入直连和静态，若必须引入，则重发布静态和直连路由时，建议发布成TYPE-1。

4.2.9 在设备支持的情况下，应该添加AREA的描述语句，解释此区域的作用。 4.2.10 建议增加NETWORK宣告相应网段的描述。

4.2.11 所有非AREA0的区域，必须与AREA0直连，禁止使用虚链接。 4.2.12 建议采用非强制方式下发OSPF缺省路由。

4.2.13 在配置OSPF路由聚合时，配置一条与之对应的指向Null0的黑洞路由。 4.2.14 将同一条链路上互联的OSPF接口的Cost值配置为相同的值。 4.2.15 如非特殊情况，应手工设置SR、BRAS上联中继接口的Cost值为100/95（包括GE和10GE接口,10GEcost95,GEcost100）。 4.2.16 OSPF邻居两端接口的网络类型要一致。 4.2.17 非ABR和ASBR不应做聚合路由。 【配置示例】:

system-view [Quidway]ospf 1 router-id loopback0 silent-interface LoopBack0 area 本地号 network 10.255.223.20 0.0.0.3 [Quidway] interface GigabitEthernet 1/0/0

20

ospf cost 100 ospf network-type p2p

4.3 BGP配置

【配置描述】：BGP是一种在自治系统之间动态交换路由信息的路由协议，如果

网络规划需要，参照以下要求。

【规范要求】：

4.3.1 要求关闭同步和自动汇总； 4.3.2 在日志中记录BGP的邻居变化;

4.3.3 建议对多个IBGP邻居配置采用peer-group； 4.3.4 建议对IBGP配置路由反射器，不采用联盟；

4.3.5 发布路由时尽量使用配置黑洞路由,然后通过network的方式发布聚合路

由；

4.3.6 EBGP和IBGP，都使用loopback地址建立邻居

4.3.7 建议对BGP邻居进行认证，Bgp的密钥使用md5加密； 4.3.8 本地AS号按照全网规范配置。 4.3.9 采用loopback手工设置Router ID。 4.3.10 禁止配置BGP DAMPING。 4.3.11 要求为BGP Peer配置描述信息。 【配置示例】:

bgp 65144 group ha-xc- internal #建立与城域网核心路由器MP-iBGP邻居关系对等组 peer ha-xc- password ******** peer

ha-xc- 21

connect-interface

LoopBack10

peer 61.168.232.229 as-number 65144 peer 61.168.232.229 group ha-xc- peer

61.168.232.229

description PA-XC-QYL-CISCO12816-001

peer 61.168.232.228 as-number 65144 peer 61.168.232.228 group ha-xc- peer

61.168.232.228

description PA-XC-XDL-CISCO12816-001

group ha-xc internal #建立与城域网核心路由器IPv4 iBGP邻居关系对等组 peer ha-xc password ******

peer ha-xc connect-interface LoopBack0 peer 61.168.255.229 as-number 65144 peer 61.168.255.229 group ha-xc peer

61.168.255.229

description PA-XC-QYL-CISCO12816-001

peer 61.168.255.228 as-number 65144 peer 61.168.255.228 group ha-xc peer #

22

61.168.255.228 description PA-XC-XDL-CISCO12816-001

ipv4-family unicast undo synchronization

import-route direct import-route static import-route unr

undo peer 61.168.232.228 enable undo peer 61.168.232.229 enable undo peer ha-xc- enable peer ha-xc enable

peer ha-xc route-policy setcommunity export

peer ha-xc advertise-community peer 61.168.255.229 enable peer 61.168.255.229 group ha-xc peer 61.168.255.228 enable peer 61.168.255.228 group ha-xc #

ipv4-family v4 policy -target peer ha-xc- enable

peer ha-xc- advertise-community peer 61.168.232.229 enable

23

peer 61.168.232.229 group ha-xc- peer 61.168.232.228 enable

peer 61.168.232.228 group ha-xc- #

ipv4-family -instance mplstest network 192.168.4.47 255.255.255.255 #

ipv4-family -instance mpls_jiudi import-route direct import-route static import-route unr #

ipv4-family -instance xc_guotuju import-route direct import-route static import-route unr #

ipv4-family mpls_LaoDongJu import-route direct import-route static import-route unr

24

-instance

# 4.4 MPLS配置

【配置描述】：如果网络部署MPLS，相关参数参照以下要求。 【规范要求】：

4.4.1 要求Lsr-id为loopback 的接口地址(华为设备适用)。

4.4.2 通过配置控制（如ACL），仅为需要的路由（如：主机路由）分配MPLS标

签。

4.4.3 使用LDP做为MPLS的标签分发协议，使用DU+有序+自由来分发控制保持

标签。（设备默认）

【配置示例】:

[Quidway] ip ip-prefix ldp-filter index 10 permit 61.168.69.3 32 greater-equal 32 less-equal 32 [Quidway] ip ip-prefix ldp-filter index 20 permit 61.168.190.0 24 greater-equal 24 less-equal 32 [Quidway]mpls lsr-id x.x.x.x [Quidway]mpls lsp-trigger ip-prefix ldp-filter [Quidway] interface GigabitEthernet 1/0/0 [Quidway-GE1/0/0]mpls [Quidway-GE1/0/0]mpls ldp

4.5 BFD配置

【配置描述】：如果网络配置BFD，参照以下要求。 【规范要求】：

4.5.1 要求配置BFD与所运行的协议相关联；

25

4.5.2 要求BFD最小发送间隔10ms，BFD最小接收间隔10ms，配置BFD检测倍数5次。 【配置示例】:

# 配置ME60A 的接口IP 地址。 system-view [Quidway] sysname ME60A [ME60A] interface gigabitEthernet 1/0/0 [ME60A-GigabitEthernet1/0/0] shutdown [ME60A-GigabitEthernet1/0/0] ip address 10.1.1.1 24 [ME60A-GigabitEthernet1/0/0] quit # 配置ME60B 的接口IP 地址。 system-view [Quidway] sysname ME60B [ME60B] interface gigabitEthernet 1/0/0 [ME60B-GigabitEthernet1/0/0] shutdown [ME60B-GigabitEthernet1/0/0] ip address 10.1.1.2 24

26

undo undo

[ME60B-GigabitEthernet1/0/0] quit # 在ME60A 上使能BFD，并配置与ME60B 之间的BFD Session。需要在BFD Session 中绑定接口。

[ME60A] bfd [ME60A-bfd] quit

[ME60A] bfd atob bind peer-ip 10.1.1.2 interface gigabitEthernet 1/0/0

[ME60A-bfd-session-atob] discriminator local 1

[ME60A-bfd-session-atob] discriminator remote 2

[ME60A-bfd-session-atob]min-tx-interval 100

[ME60A-bfd-session-atob]min-rx-interval 100

[ME60A-bfd-session-atob] commit [ME60A-bfd-session-atob] quit

# 在ME60B 上使能BFD，并配置与ME60A 之间的BFD Session。需要在BFD Session 中绑定接

27

口。

[ME60B] bfd [ME60B-bfd] quit

[ME60B] bfd btoa bind peer-ip 10.1.1.1 interface gigabitEthernet 1/0/0

[ME60B-bfd-session-btoa] discriminator local 2

[ME60B-bfd-session-btoa] [ME60B-bfd-session-btoa]

[ME60B-bfd-session-btoa] discriminator remote 1

[ME60A-bfd-session-atob]min-tx-interval 100

[ME60A-bfd-session-atob]min-rx-interval 100

[ME60B-bfd-session-btoa] commit [ME60B-bfd-session-btoa] quit

# 配置BFD for OSPF 特性。

28

[ME60A] bfd [ME60A-bfd] quit [ME60A] ospf

[ME60A-ospf-1] bfd all-interfaces enable [ME60A-ospf-1] detect-multiplier 5 [ME60A-ospf-1] quit

# 在接口上配置BFD 特性，并指定最小发送和接收间隔为100ms。

[ME60A] interface gigabitethernet 2/0/0 [ME60A-Gigabitethernet2/0/0] ospf bfd enable

[ME60A-Gigabitethernet 2/0/0] ospf bfd min-rx-interval 100 min-tx-interval 100 detect-multiplier 5

[ME60A-Gigabitethernet 2/0/0] quit

配置BFD for BGP 特性。

bfd

all-interfaces min-rx-interval 10 mintx-interval 10 29

[ME60A] bfd [ME60A-bfd] quit [ME60A] bgp 100 [ME60A-bgp] peer 200.1.1.2 bfd enable [ME60A-bgp] detect-multiplier 5

5．安全配置 5.1 ACL

【配置描述】：配置访问控制列表相关参数。 【规范要求】： 5.1.1 登录访问列表

必须配置允许访问地址列表以实现只有特定IP地址主机访问节点。

5.1.2 病毒访问列表

关闭常见及危害程度较大的病毒、木马端口至少包括：

UDP： 135-139、 445、1433-1434、3333、4444、5554、9995、9996；

TCP： 135、137~139、593、901、1068、2745、3127、3128、3333、 5800

5900、6129、6667、98、9996。

5.1.3 端口应用URPF

在所有下联口采取源地址校验，上联口不配置源地址校验，源地址校验方式采取宽松模式。

【配置示例】:

peer 200.1.1.2 min-rx-interval 100 mintx-interval 100 acl number 6000 rule 10 deny udp source user-group dial

30

destination-port eq 135

rule 20 deny udp source user-group dial destination-port eq 136

rule 30 deny udp source user-group dial destination-port eq netbios-ns

rule 40 deny udp source user-group dial destination-port eq netbios-dgm

rule 50 deny udp source user-group dial destination-port eq netbios-ss

rule 60 deny udp source user-group dial destination-port eq 445

rule 70 deny udp source user-group dial destination-port eq 1433

rule 80 deny udp source user-group dial destination-port eq 1434

rule 90 deny udp source user-group dial destination-port eq 3333

rule 100 deny udp source user-group dial destination-port eq 4444

rule 110 deny udp source user-group dial

31

destination-port eq 5554

rule 120 deny udp source user-group dial destination-port eq 9995

rule 130 deny udp source user-group dial destination-port eq 9996

rule 140 deny tcp source user-group dial destination-port eq 135

rule 150 deny tcp source user-group dial destination-port eq 137

rule 160 deny tcp source user-group dial destination-port eq 138

rule 170 deny tcp source user-group dial destination-port eq 139

rule 180 deny tcp source user-group dial destination-port eq 593

rule 190 deny tcp source user-group dial destination-port eq 901

rule 200 deny tcp source user-group dial destination-port eq 1068

rule 210 deny tcp source user-group dial

32

destination-port eq 2745

rule 220 deny tcp source user-group dial destination-port eq 3127

rule 230 deny tcp source user-group dial destination-port eq 3128

rule 240 deny tcp source user-group dial destination-port eq 3333

rule 250 deny tcp source user-group dial destination-port eq 5800

rule 260 deny tcp source user-group dial destination-port eq 5900

rule 270 deny tcp source user-group dial destination-port eq 6129

rule 280 deny tcp source user-group dial destination-port eq 6667

rule 290 deny tcp source user-group dial destination-port eq 98

rule 300 deny tcp source user-group dial destination-port eq 9996

traffic classifier dial operator or

33

if-match acl 6000 traffic behavior dial deny traffic policy limit classifier dial behavior dial system-view [ME60B] interface gigabitethernet 1/0/0 [ME60B-GigabitEthernet1/0/0] ip address 172.19.139.2 255.255.255.252 [ME60B-GigabitEthernet1/0/0] undo shutdown #在接口GE1/0/0 上使能URPF 功能，要求URPF 做松散检查。 ME60B-GigabitEthernet1/0/0] ip urpf loose allow-default

5.2服务管理

【配置描述】：关闭不必要的服务。 【规范要求】： 5.2.1 全局关闭服务

全局模式下关闭ftp-server、finger、pad、http、tcp-small-servers、icmp host-unreachable send、icmp redirect send、udp-small-servers等服务进程，如有特殊需要可暂时打开，或建立acl列表进行使用。

5.2.2 接口关闭服务

34

除业务需要时，在接口模式下需关闭proxy-arp、ip直连广播和ip 重定向等功能。

【配置示例】:

undo ftp server

5.3 引擎防护

【配置描述】：保护设备引擎避免遭受攻击。 【规范要求】：

5.3.1 如果设备支持，需打开引擎防护功能。

6. 业务实现 6.1 PPPOE业务

【配置描述】：如果设备启用了PPPOE业务功能，参数配置参照以下要求。 【规范要求】： 6.1.1 DNS服务器

必须配置主备DNS服务器。

6.1.2 RADIUS认证方式

必须使用loopback地址作为认证的源地址。 6.1.3 RADIUS计费方式

必须配置RADIUS计费方式 6.1.4 RADIUS备份

应至少配置主备2台RADIUS。 6.1.5 地址池

地址池大小建议不小于4个C 6.1.6用户限速

使用RADIUS属性给用户限速 【配置示例】:

35

配置认证方案。 system-view [Quidway] aaa

[Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit 配置计费方案。

[Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1] accounting-mode radius

[Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit 配置RADIUS服务器组

[Quidway] radius-server source interface LoopBack0

[Quidway] radius-server group dial radius-server shared-key <密钥> authentication 221.13.223.140 15 weight 0 radius-server shared-key <密钥> authentication 202.111.141.70 15 weight 0 radius-server shared-key <密钥>

36

accounting 221.13.223.140 16 weight 0 radius-server shared-key <密钥> accounting 202.111.141.70 16 weight 0 radius-server shared-key <密钥> radius-server class-as-car

radius-server source interface LoopBack0 undo

radius-server

user-name domain-included 配置地址池。

[Quidway] ip pool pool1 bas local [Quidway-ip-pool-pool1] gateway x.x.x.x 255.255.255.0

[Quidway-ip-pool-pool1] section 0 x.x.x.x y.y.y.y

[Quidway-ip-pool-pool1]Dns-server 202.102.224.68 202.102.227.68 配置域。 [Quidway] aaa

[Quidway-aaa] domain isp1 [Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1]

37

accounting-scheme acct1 [Quidway-aaa-domain-isp1] group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1 [Quidway-aaa-domain-isp1] quit [Quidway-aaa] quit [Quidway-ip-pool-pool1] quit 配置用户接口 [Quidway-GigabitEthernet8/0/1] user-vlan 3000 [Quidway-GigabitEthernet8/0/1] bas [Quidway-GigabitEthernet8/0/1-bas]access-type layer2-subscriber default-domain authentication isp1 [Quidway-GigabitEthernet8/0/1-bas] quit [Quidway-GigabitEthernet8/0/1] quit

6.2 专线业务

【配置描述】：如果设备启用了专线业务功能，参数配置参照以下要求。 【规范要求】： 6.2.1 用户地址

建议配置多个户共用地址段

Se800 interface配置为multibind方式，并配置secured-arp

7750配置为subscriber-interface，并配置anti-spoof

38

radius-server

6.2.2 URPF

用户接口必须配置URPF

6.2.3 终结用户vlan

建议专线业务终结在单独的中继上

6.2.4 用户限速

使用qos限速模板对用户限速

【配置示例】:

#华为BAS配置： system-view 配置2m限速模板 qos-profile 2m car cir 2000 cbs 375000 pbs 375000 green pass yellow pass red discard inbound car cir 2000 cbs 375000 pbs 375000 green pass yellow pass red discard outbound #配置2m用户域 [Quidway]aaa [Quidway-aaa]domain line-2m authentication-scheme none accounting-scheme none qos-profile 2m inbound qos-profile 2m outbound qos rate-limit-mode car inbound

39

qos rate-limit-mode car outbound [ME60B] interface ETH-trunk1 #在接口上使能URPF 功能，要求URPF 做松散检查。 ip urpf loose allow-default

6.3 VPDN业务

【配置描述】：如果设备启用了VPDN业务功能，参数配置参照以下要求。 【规范要求】： 6.3.1 AAA

配置使用RADIUS认证和计费 6.3.2 配置二层通道

通道的LAC和LNS端都使用loopback地址，根据需要配置通道认证密码 【配置示例】:

#配置RADIUS认证方案 system-view [Quidway] aaa [Quidway-aaa] authentication-scheme auth1 [Quidway-aaa-authen-auth1] authentication-mode radius [Quidway-aaa-authen-auth1] quit #配置RADIUS计费方案 [Quidway-aaa] accounting-scheme acct1 [Quidway-aaa-accounting-acct1]

40

accounting-mode radius

[Quidway-aaa-accounting-acct1] quit [Quidway-aaa] quit ME60（LNS侧）的配置： #创建并配置虚拟接口模板 system-view

[ME60] interface virtual-template 1 [ME60-Virtual-Template1] authentication-mode chap [ME60-Virtual-Template1] quit #使能L2TP 服务，创建一个L2TP 组 [ME60] l2tp enable [ME60] l2tp-group lns1

#配置LNS 侧本端名称及接收的隧道对端名称 [ME60-l2tp-lns1] tunnel name LNS [ME60-l2tp-lns1]

allow

l2tp virtual-template 1 remote A8010 #启用隧道验证并设置隧道验证密码。 [ME60-l2tp-lns1] tunnel authentication [ME60-l2tp-lns1] tunnel password simple quidway

[ME60-l2tp-lns1] quit

41

ppp

#定义一个地址池，为拨入用户分配地址 [ME60] ip pool pool1 local

[ME60-ip-pool-pool1] gateway 10.10.10.1 255.255.255.0

[ME60-ip-pool-pool1] section 0 10.10.10.2 10.10.10.100

[ME60-ip-pool-pool1] quit #配置domain1域 [ME60] aaa

[ME60-aaa] domain domain1 [ME60-aaa-domain-domain1] authentication-scheme default0 [ME60-aaa-domain-domain1] accounting-scheme default0

[ME60-aaa-domain-domain1] ip-pool pool1 [ME60-aaa-domain-domain1] quit [ME60-aaa] quit #配置环回接口0

[ME60] interface loopback 0

[ME60-LoopBack0] ip address 192.168.0.1 255.255.255.255 [ME60-LoopBack0] quit

42

#创建LNS 组group1 [ME60] lns-group group1 #为LNS 组指定环回接口0 [ME60-lns-group-group1] loopback 0

#为LNS 组指定隧道板1

[ME60-lns-group-group1] bind slot 1 [ME60-lns-group-group1] quit ME60（LAC）的配置： [ME60] l2tp-group l2tp mandatory-lcp start l2tp

tunnel timeout 10 tunnel source LoopBack0

[ME60-aaa]domain l2tp

authentication-scheme radius accounting-scheme radius radius-server group l2tp l2tp-group l2tp l2tp-user radius-force

43

bind source

6.4 WLAN业务

【配置描述】：如果设备启用WLAN业务功能，参数配置参照以下要求。 【规范要求】：参照《中国联通WLAN业务管理平台接口规范V2.0》，要求各省BRAS上报给各省AAA平台的Radius协议中，对于NAS-Identifier字段要做正确填充，NAS-Identifier包含ACN、CTY、PRO、OPE、NAT。填充规则如下所示，其中CTY、PRO、OPE、NAT（城市、省份、运营商、国家）等填充为正确信息，ACN(接入控制器编码）信息可尽量细化：

1、ACN表示WLAN接入控制器编号，由4位数字组成，各省自行规划和分配，在本城市（CTY）内唯一，信息可尽量细化。

2、CTY表示WLAN位于的接入城市，由4位数字组成，由各个地市的长途区号表示, 右对齐左填零。

3、PRO表示WLAN位于的接入省份，由3位数字组成，河南为371。

4、OPE表示WLAN所属的运营商，由2位数字组成。中国联通OPE编码为00，其它合作运营商OPE编码待漫游合作协议签署后统一定义。

5、NAT表示WLAN所属的国家或者地区，由3位数字组成，中国为460。

参照《中国联通WLAN业务管理平台接口规范V3.0》，要求携带SSID进行认证，校园用户为

CU_Campus，公众WLAN用户为

ChinaUnicom。

6.4.1认证计费方案

认证前为不认证不计费方式，认证后为RADIUS认证，RADIUS计费。 6.4.3认证策略

配置policy，并在全局下应用；

配置acl规则，用户在认证前获取地址后的上网权限，仅开放相关服务器的web，dns，RADIUS端口，关闭其他端口。

6.4.4 配置forward

配置PORTAL页面的URL。 6.4.5 用户断线检测

44

配置用户空闲3分钟并且流量小于1k下线。 【配置示例】:

#配置用户地址池

[Quidway] ip pool wlan-user bas local Gateway x.x.x.x 掩码 Section 0 x.x.x.2 x.x.x.6

dns-server 202.102.224.68 202.102.227.68 #配置radius认证服务器

[Quidway] radius-server group wlan radius-server radius-server radius-server radius-server

shared-key shared-key shared-key shared-key

密密密密

钥 钥 钥 钥 authentication 221.13.223.140 15 weight 0 authentication 202.111.141.70 15 weight 0 accounting 221.13.223.140 16 weight 0 accounting 202.111.141.70 16 weight 0 radius-server shared-key 密钥 radius-server class-as-car

radius-server source interface LoopBack0 #共享密钥是ME60和radius之间进行报文加密交互的重要参数，两端一定要设置的一致，因此

45

在设置共享密钥之前需要和radius方面进行协商

#配置WEB认证服务器

[Quidway]web-auth-server source interface LoopBack0 web-auth-server LoopBack0

web-auth-server version v2 web-auth-server 50100 key <密钥> #建立用户组

[Quidway]user-group wlan-user

#配置认证、计费方案、认证前的域、认证域（认证前为不认证、不计费方式；认证后为radius认证、radius计费方式）

[Quidway-aaa] domain wlan-test-rzq authentication-scheme default0 accounting-scheme none ip-pool wlan-user user-group wlan-test web-server 221.13.223.146

web-server url http://221.13.223.146

46

source interface 221.13.223.131 port

web-server mode post domain wlan-test-rzh

authentication-scheme radius accounting-scheme radius ip-pool wlan-user radius-server group wlan user-group dial #配置ACL规则 acl number 6101

rule 5 permit tcp source user-group wlan-user destination-port eq www

rule 10 permit tcp source user-group wlan-user destination-port eq 8080 #

acl number 6102

rule 10 permit ip source user-group wlan-user destination ip-address any #

acl number 6103

rule 5 permit ip source user-group wlan-test destination ip-address 221.13.223.146 0 //允许访问web server

47

rule 10 permit ip source user-group wlan-test destination ip-address 218.29.0.252 0 // rule 15 permit ip source user-group wlan-test destination ip-address 202.102.224.68 0 //允许访问DNS server

rule 20 permit ip source user-group wlan-test destination ip-address 202.102.227.68 0 //允许访问DNS server

traffic classifier wlan_permit operator or if-match acl 6103

traffic classifier redirect operator or if-match acl 6101

traffic classifier wlan_deny operator or if-match acl 6102

traffic behavior wlan_permit traffic behavior redirect http-redirect

traffic behavior wlan_deny deny

48

#

traffic policy limit share-mode

classifier iptv behavior iptv classifier help behavior help classifier dial behavior dial classifier wlan_permit

classifier redirect behavior redirect classifier wlan_deny behavior wlan_deny aaa

http-redirect enable

#这里配置ACL规则的主要目的是用户在认证前域获取了地址之后的上网权限。 #配置虚模板

[Quidway]interface Virtual-Template1 ppp authentication-mode pap

ppp keepalive interval 30 retransmit 3 #BAS接口的相关配置

[Quidway] interface Eth-Trunk34.316 pppoe-server bind Virtual-Template 1

49

wlan_permit behavior

description yuanxinqu-wlan user-vlan 256 1000 qinq 316 bas # access-type default-domain layer2-subscriber pre-authentication wlan-test-rzq authentication wlan-test-rzh roam-domain wlan-test-rzh authentication-method ppp web nas-port-type 802.11 //配置接入设备类型(无线局域网WLAN的802.11协议，主要用于控制无线用户的链路层接入和身份认证) ssid CU_Campus //校园WLAN为此SSID，如果是有线接入不配该条命令,如果是公众则是ChinaUnicom nas logic-sysname 0001.0371.371.00.460 //增加此命令

6.5 MPLS VPN 业务

【配置描述】：如果设备启用MPLS VPN 业务功能，参数配置参照以下要求。 【规范要求】： 6.5.1 配置RADIUS认证

如果采用PPPOE认证，配置为全局RADIUS认证方式 6.5.2 VPN路由分发

50

重分布直连和静态路由进入BGP；

多节点共用地址池时重分布subscribe路由进入BGP； 配置地址池的NULL0路由。 【配置示例】:

[Quidway] ip -instance BFhaolilai- route-distinguisher 65130:373044 -target export-extcommunity -target import-extcommunity [Quidway] bgp 65143 #

ipv4-family -instance BFhaolilai- import-route direct import-route static import-route unr #

domain bfhaolilai-

authentication-scheme default0 accounting-scheme default0 -instance BFhaolilai- user-priority upstream 4 user-priority downstream 4

51

65130:373044 65130:373044

user-group bfhaolilai- [Quidway] to-haolilai-mpls-zhongxindian control-vid 3003 dot1q-termination dot1q termination vid 3003 ip binding -instance BFhaolilai- ip address 192.168.3.25 255.255.255.252

6.6 VPLS业务

【配置描述】：如果设备启用VPLS业务功能，参数配置参照以下要求。 【规范要求】： 6.6.1 配置VPLS通道

配置使用loopback地址建立vpls通道 6.6.2 配置VPLS VPN实例

Se800使用单独的context；7750使用单独的service id 【配置示例】:

description 在PE 之间建立远端LDP 会话 #配置PE1 system-view [PE1] mpls ldp [PE1] mpls ldp remote-peer pe2 [PE1-mpls-ldp-remote-pe2]

52

remote-ip

3.3.3.9

[PE1-mpls-ldp-remote-pe2] undo remote-ip pwe3

[PE1-mpls-ldp-remote-pe2] quit #配置PE2

system-view [PE2] mpls ldp

[PE2] mpls ldp remote-peer pe1 [PE2-mpls-ldp-remote-pe1] 1.1.1.9

[PE2-mpls-ldp-remote-pe1] undo remote-ip pwe3

[PE2-mpls-ldp-remote-pe1] quit 在PE 上使能MPLS L2VPN #配置PE1

[PE1] mpls l2 [PE1-l2] quit 在PE上配置VSI # 配置PE1

[PE1] vsi a2 static [PE1-vsi-a2] pwsignal ldp

[PE1-vsi-a2] encapsulation ethernet

53

remote-ip

[PE1-vsi-a2-ldp] vsi-id 2 [PE1-vsi-a2-ldp] peer 3.3.3.9 在PE上配置VSI 与接口的绑定 # 配置PE1 [PE1] interface Eth-Trunk1.2500 control-vid local-switch qinq termination pe-vid 2494 ce-vid 410 l2 binding vsi a2 arp broadcast enable

【配置描述】：如果设备启用VRRP功能，参数配置参照以下要求。 【规范要求】：

6.7.1 配置使用VRRP的虚地址

Se800虚地址必须配置为master方的接口网关地址。

【配置示例】:

2500 qinq-termination system-view [ME60A] interface gigabitethernet 2/0/0 [ME60A-GigabitEthernet2/0/0] shutdown [ME60A-GigabitEthernet2/0/0] ip address 10.1.1.1 24 [ME60A-GigabitEthernet2/0/0] vrrp vrid 1

54

undo

virtual-ip 10.1.1.111 [ME60A-GigabitEthernet2/0/0] vrrp vrid 1 priority 120 [ME60A-GigabitEthernet2/0/0] vrrp vrid 1 preempt-mode timer delay 20 [ME60A-GigabitEthernet2/0/0] quit system-view [ME60B] interface gigabitethernet 2/0/0 [ME60B-GigabitEthernet2/0/0] shutdown [ME60B-GigabitEthernet2/0/0] ip address 10.1.1.2 24 [ME60B-GigabitEthernet2/0/0] vrrp vrid 1 virtual-ip 10.1.1.111 [ME60B-GigabitEthernet2/0/0] quit

6.8 NAT444业务

【配置描述】：如果设备启用普通NAT444业务功能，参数配置参照以下要求。 【规范要求】：每用户分配2K端口，单台BRAS公网转换地址段采用2*（2+1）=6个C（支持6*256*32，约4.9万在线用户）；二是公网用户地址段初期配置4个C

undo 55

6.8.1普通拨号用户 【配置示例】:

2、配置NAT基本功能 license

active nat session-table size 16 slot 10 engine 0 active nat session-table size 16 slot 14 engine 0

service-location 1

location slot 10 engine 0 backup slot 14 engine 0

service-location 2

location slot 14 engine 0 backup slot 10 engine 0

service-instance-group 1 service-location 1 service-instance-group 2 service-location 2

acl number 2900

rule 5 permit source 100..0.0 0.0.255.255 //NAT前地址每台BAS一样

56

nat instance nat444-1 id 1 nat filter mode full-cone

port-range 2048 //每用户分配端口数 service-instance-group 1

nat address-group 1 group-id 1 //NAT公网地址池

section 0 42.237.0.0 mask 22 nat outbound 2900 address-group 1 nat alg all

nat alarm port-number log enable nat alarm port-number trap enable

nat instance nat444-2 id 2 nat filter mode full-cone

port-range 2048 //每用户分配端口数 service-instance-group 2

nat address-group 2 group-id 2 //NAT公网地址池

section 0 42.237.4.0 mask 22

57

nat outbound 2900 address-group 2 nat alg all

nat alarm port-number log enable nat alarm port-number trap enable

nat syslog descriptive format cn

控制私网路由发布:

ip ip-prefix plPrivateNAT444Route index 10 permit 100..0.0 16 greater-equal 16 less-equal 32

route-policy unr-NAT444 deny node 10 if-match ip-prefix plPrivateNAT444Route #

route-policy unr-NAT444 permit node 20 # bgp 65141

ipv4-family unicast

58

import-route unr route-policy unr-NAT444

############################################################################################################ 2、配置引流策略

user-group nat444-1 user-group nat444-2

acl number 9001

rule 5 permit ip source user-group nat444-1 acl number 9002

rule 5 permit ip source user-group nat444-2

traffic classifier nat444-1 if-match acl 9001 traffic classifier nat444-2 if-match acl 9002

traffic behavior nat444-1 nat bind instance nat444-1

59

car

traffic-statistic tariff-level 5

traffic behavior nat444-2 nat bind instance nat444-2 car

traffic-statistic tariff-level 5 traffic

policy

limit

//现网策略，已全局出入方向应用 classifier nat444-1 behavior nat444-1 classifier nat444-2 behavior nat444-2

############################################################################################################

3、配置地址池

ip pool nat444_pool bas local

60

gateway 100..0.1 255.255.0.0 section 0 100..0.2 100..255.254 dns-server 202.102.224.68 202.102.227.68

################################################################################################################

4、域配置 #

radius-server group nat radius-server radius-server

shared-key shared-key

henancnc henancnc

authentication 221.13.223.140 15 weight 0 authentication 202.111.141.70 15 weight 0 radius-server shared-key henancnc accounting 221.13.223.140 16 weight 0

radius-server shared-key henancnc accounting 202.111.141.70 16 weight 0 radius-server shared-key henancnc radius-server class-as-car

radius-server source interface LoopBack0

61

radius-server user-name original # aaa domain nat authentication-scheme radius accounting-scheme radius ip-pool nat444_pool radius-server group nat user-group nat444-1 bind nat instance nat444-1 user-group nat444-2 bind nat instance nat444-2 web-server 221.13.223.133 web-server http://kdtx.kuandai.net.cn/pushportal

6.8.2校园用户 【配置示例】:

url user-group xiaoyuan-web-nat-rzq user-group xiaoyuan-web-nat-rzh 配置nat实例

62

nat instance xiaoyuan-web-nat444 id 3 port-range

\\\\每个用户分2K个端口。 service-instance-group 1 nat address-group 3 group-id 3 section 0 222.137.126.0 mask 23

nat outbound 2901 address-group 3 nat alg all

nat alarm port-number log enable nat alarm port-number trap enable nat filter mode full-cone

定义引流规则

acl number 2901

rule 10 permit source 10.160.0.0 0.0.255.255 \\\\根据分配的私网IP做此列表 #

63

2048

acl number 6111

description description to-xiaoyuan-web-nat rule

5

permit

tcp

source

user-group

xiaoyuan-web-nat-rzq destination-port eq www rule 10 permit tcp source user-group xiaoyuan-web-nat-rzq destination-port eq 8080 #

acl number 6112

description description to-xiaoyuan-web-nat rule

5

permit

ip

source

user-group

xiaoyuan-web-nat-rzq destination user-group xiaoyuan-web-nat-rzq rule any #

acl number 6113

description description to-xiaoyuan-web-nat rule

5

permit

ip

source

user-group

xiaoyuan-web-nat-rzq destination ip-address 221.13.223.146 0 rule

10 permit ip source user-group

xiaoyuan-web-nat-rzq destination ip-address

10 permit ip

source user-group

xiaoyuan-web-nat-rzq destination ip-address 218.29.0.252 0 rule

15

permit

ip

source

user-group

xiaoyuan-web-nat-rzq destination ip-address 202.102.224.68 0 rule

20

permit

ip

source

user-group

xiaoyuan-web-nat-rzq destination ip-address 202.102.227.68 0 rule

25

permit

ip

source

user-group

xiaoyuan-web-nat-rzq destination ip-address 123.125.96.0 0.0.0.255 #

acl number 9013

description to xiaoyuan-web-nat rule #

traffic classifier xiaoyuan-redirect operator or if-match acl 6111

65

5 permit ip source user-group

xiaoyuan-web-nat-rzh

traffic classifier xiaoyuan_permit operator or if-match acl 6113

traffic classifier xiaoyuannat444 operator or if-match acl 9013

traffic classifier xiaoyuan_deny operator or if-match acl 6112

traffic behavior xiaoyuan-redirect http-redirect

traffic behavior xiaoyuan_permit nat bind instance xiaoyuan-web-nat444

traffic behavior xiaoyuannat444 nat bind instance xiaoyuan-web-nat444 car

traffic-statistic

traffic behavior xiaoyuan_deny deny

66

traffic policy limit

classifier classifier classifier xiaoyuan_deny classifier xiaoyuannat444

创建新的radius组 #

radius-server group xiaoyuan-web-nat radius-server radius-server

xiaoyuan_permit xiaoyuan-redirect xiaoyuan_deny xiaoyuannat444

behavior behavior behavior behavior

xiaoyuan_permit xiaoyuan-redirect

shared-key shared-key

67

henancnc henancnc

authentication 221.13.223.140 15 weight 0

authentication 202.111.141.70 15 weight 0 radius-server shared-key henancnc accounting 221.13.223.140 16 weight 0

radius-server shared-key henancnc accounting 202.111.141.70 16 weight 0 radius-server shared-key henancnc radius-server class-as-car

radius-server source interface LoopBack0 undo

定义用户nat地址池

ip pool xiaoyuan_pool_01 bas local gateway 10.160.0.1 255.255.128.0 section 0 10.160.0.2 10.160.127.254 dns-server 202.102.224.68 202.102.227.68 #

ip pool xiaoyuan_pool_02 bas local gateway 10.160.128.1 255.255.128.0 section 0 10.160.128.2 10.160.255.254 dns-server 202.102.224.68 202.102.227.68

68

radius-server user-name

domain-included

配置认证前、后域

domain xiaoyuan-web-nat-rzq authentication-scheme default0 accounting-scheme default0 ip-pool xiaoyuan_pool_02 ip-pool xiaoyuan_pool_01

user-group xiaoyuan-web-nat-rzq bind nat instance xiaoyuan-web-nat444 web-server 221.13.223.146 web-server

url

http://221.13.223.146

//此处不能添加me60设备名，如果添加可能引起portal提取不了私网ip的问题 web-server url-parameter web-server wlanuserip

http-hostcar enable

domain xiaoyuan-web-nat-rzh authentication-scheme radius accounting-scheme radius

69

redirect-key user-ip-address

ip-pool xiaoyuan_pool_02 ip-pool xiaoyuan_pool_01

radius-server group xiaoyuan-web-nat user-group xiaoyuan-web-nat-rzh bind nat instance xiaoyuan-web-nat444 web-server wlanuserip 子接口

interface Eth-Trunk12.224 pppoe-server 置

description

gi2/24-PZZWLAN004-zhongyixueyuan-xinxiaoqu-rd //端口描述,需根据现网实际情况配置

user-vlan 256 3000 QinQ 224 bas

access-type layer2-subscriber default-domain

70

redirect-key user-ip-address

bind Virtual-Template 1

//绑定Virtual-Template，需根据现网实际情况配

pre-authentication authentication

//指定认证前域、认证域 roam-domain

xiaoyuan-web-nat-rzq xiaoyuan-web-nat-rzh xiaoyuan-web-nat-rzh

//指定漫游域，如果用户认证时输入了无法识别的域名时，则ME60将该用户归入漫游域进行认证

default-domain

authentication

ppp-user

dial #dial是拨号域，添加此命令则pppoe自动进入dial，如果不加此命令则pppoe用户拨进xiaoyuan-web-nat-rzh域认证

nas-port-type 802.11 //配置接入设备类型(无线局域网WLAN的802.11协议，主要用于控制无线用户的链路层接入和身份认证)，有线接入用户不需要配置。

authentication-method web ppp //配置用户认证方法，需要哪种接入配置哪种接入方式，web为DCHP方式

ssid CU_Campus //校园WLAN为此SSID，如果是有线接入不配该条命令

71

user detect retransmit 3 interval 50 //设置用户探测参数，探测次数为3，时间间隔为50秒，定期进行探测来得知用户是否在线，可根据现网情况进行配置 添加portal服务器的相关配置 web-auth-server source interface LoopBack0 web-auth-server version v2 web-auth-server 221.13.223.131 port 50100 key simple he-wlan-nan

6.9 预欠费提醒和欠费提醒业务

【配置描述】：如果设备启用预欠费业务和欠费提醒业务功能，参数配置参照以下要求。 【规范要求】： 6.9.1预欠费提醒业务

ME60设备NAT444用户预欠费用户，标黄部分为推送至第二块NAT业务单板的业务提醒，相应的需要Radius推送两个user-group属性“ web-nat”和“ web-nat2” 【配置示例】:

user-group web-nat2

72

user-group web-nat

1、即将欠费的相关流配置 acl

rule 5 permit ip source user-group web-nat destination ip-address 221.13.223.133 0 rule 10 permit ip source user-group web-nat destination ip-address 202.102.224.68 0 rule 15 permit ip source user-group web-nat destination ip-address 202.102.227.68 0 #

acl number 8011

rule 5 permit tcp source user-group web-nat destination-port eq www

rule 10 permit tcp source user-group web-nat destination-port eq 8080 #

acl number 8012 description web-nat

rule 5 permit ip source user-group web-nat

73

number 8010

#

acl number 9010

rule 5 permit ip source user-group web-nat2 destination ip-address 221.13.223.133 0 rule 10 permit ip source user-group web-nat2 destination ip-address 202.102.224.68 0 rule 15 permit ip source user-group web-nat2 destination ip-address 202.102.227.68 0 #

acl number 9011

rule 5 permit tcp source user-group web-nat2 destination-port eq www

rule 10 permit tcp source user-group web-nat2 destination-port eq 8080 #

acl number 9012 description web-nat2

rule 5 permit ip source user-group web-nat2 #

traffic classifier web-nat-permit operator or

if-match acl 8010

74

traffic classifier web-nat-redirect operator or if-match acl 8011

traffic classifier web-nat operator or if-match acl 8012 # traffic

classifier

web-nat-redirect2 operator or if-match acl 9011 traffic

classifier

web-nat-permit2 operator or if-match acl 9010

traffic classifier web-nat2 operator or if-match acl 9012 #

traffic behavior web-nat-permit nat bind instance nat444-1

traffic behavior web-nat-redirect http-redirect

traffic behavior web-nat nat bind instance nat444-1 #

75

traffic behavior web-nat-redirect2 http-redirect

traffic behavior web-nat-permit2 nat bind instance nat444-2 traffic behavior web-nat2 nat bind instance nat444-2 #

traffic policy limit classifier classifier

web-nat-permit web-nat-redirect

behavior behavior web-nat-permit web-nat-redirect

classifier web-nat behavior web-nat classifier classifier

web-nat-permit2 web-nat-redirect2

behavior behavior web-nat-permit2 web-nat-redirect2

classifier web-nat2 behavior web-nat2

下发至域下 aaa

domain web-qianfei-nat

76

user-group web-nat bind nat instance nat444-1 user-group web-nat2 bind nat instance nat444-2

6.9.2欠费提醒业务

BRAS设备中新增欠费域，实现欠费用户采用获取私网地址方式推送欠费页面的功能

【配置示例】:

设备原有配置 ///////////////////////////////////////////////////// user-group qianfei acl number 6209 rule 5 permit ip source user-group qianfei destination ip-address 218.29.0.252 0 rule 10 permit ip source user-group qianfei destination ip-address 202.102.224.68 0 rule 15 permit ip source user-group qianfei destination ip-address 202.102.227.68 0 # acl number 6210 rule 5 permit ip source user-group qianfei

77

destination ip-address any #

acl number 6211

rule 5 permit tcp source user-group qianfei destination-port eq www

rule 10 permit tcp source user-group qianfei destination-port eq 8080

traffic classifier qianfei-perm operator or if-match acl 6209

traffic classifier qianfei-deny operator or if-match acl 6210

traffic classifier qianfei-redirect operator or if-match acl 6211

traffic behavior qianfei-perm traffic behavior qianfei-deny deny

traffic behavior redirect http-redirect traffic policy limit share-mode

classifier qianfei-perm behavior qianfei-perm classifier qianfei-redirect behavior redirect

78

classifier qianfei-deny behavior qianfei-deny ///////////////////////////////////////////////////////以上为原有配置

新增以下配置：

一、全局dns配置-----已经欠费用户需要访问欠费的网页页面提醒，进行DNS解析配置 dns resolve

dns server 202.102.224.68 202.102.227.68//现网DNS服务器

二、配置欠费域---为了减少公网IP地址被已欠费用户占用，已欠费的用户有Radius服务器推送至此域 domain qianfei

authentication-scheme radius accounting-scheme radius

ip-pool dial10 //私网欠费地址池 -------已经欠费的用户，避免占用公网IP地址池，采用私网地址池

radius-server group dial

79

6.10 HGU业务

【配置描述】：如果设备启用HGU业务功能，参数配置参照以下要求。 【规范要求】： 6.10.1 业务实现说明

结合宽带网络各业务量及业务特点，调整后HGU管理通道将通过MPLS VPN方式接入，通过三层接口ARP模式，启用接口DHCP RELAY功能实现，不占用BRAS设备License。VPN内DHCP SERVER和DNS SERVER由联创系统提供,IP地址为： DHCP server:主用.0.0.4、备用.0.1.4 DNS server:主用.0.0.5、备用.0.1.5 6.10.2 网络配置规划要求 VPN实例名：ha-RMS； RT/RD：65130:10076；

VPN地址段：.0.0.0/3（全省）。 6.10.3 HGU管理地址规划

HGU管理地址段规划原则: OLT设备下挂用户大于4000用户，用32个C或实际端口数；小于4000用户的，用16个C。 【配置示例】:

1、全局启用使能DHCP中继设备记录从Dot1q终结子接口上线的DHCP用户的物理位置信息功能 dhcp relay userinfo enable 2、新建HGU管理的VPN实例 ip -instance ha-RMS ipv4-family

80

route-distinguisher 65130:10076

-target 65130:10076 export-extcommunity -target 65130:10076 import-extcommunity 3、BGP配置 bgp //本地AS号 #

ipv4-family 入

import-route direct

4、接口配置 （1）接口示例1： interface

//OLT-1上行BAS的汇聚端口 mode interface control-vid

65141

-instance ha-RMS

//配置ipv4-family -instance ha-RMS路由引

Eth-Trunk20 user-termination

//配置接口的工作模式是用户终结模式

Eth-Trunk20.180

180

81

//配置HGP终结子接口,子接口能否统一用180

qinq-termination

//control-vid 180，与子接口统一

qinq termination pe-vid 1505 ce-vid 180 //根据不同的外层、内层标签进行数据配置 qinq termination pe-vid 1506 ce-vid 180

qinq termination pe-vid ... ce-vid 180 //...代表其他标签号 ip ip

binding address

-instance 65.1.0.1

ha-RMS 255.255.240.0

//绑定VPN

//配置IP地址网关，根据管理IP地址的规划进行IP地址配置，一个OLT一个管理IP地址段（小OLT配置16个C或根据OLT容量配置） ip ip dhcp

//dhcp relay方式 arp

//arp广播使能

（2）接口示例2：

82

relay relay

address address select broadcast

.0.0.4 .0.1.4 relay enable

//配置dhcp relay //配置第二个dhcp relay

interface

//OLT-2上行BAS的汇聚端口 mode interface control-vid

180

Eth-Trunk21 user-termination

//配置接口的工作模式是用户终结模式

Eth-Trunk21.180 qinq-termination

//配置HGP终结子接口,子接口能否统一用180 //control-vid 180，与子接口统一

qinq termination pe-vid 1001 ce-vid 180 //根据不同的外层、内层标签进行数据配置 qinq termination pe-vid 1002 ce-vid 180

qinq termination pe-vid ... ce-vid 180 //...代表其他标签号 ip ip

binding address

-instance 65.1.0.1

ha-RMS 255.255.224.0

//绑定VPN

//配置IP地址网关，根据管理IP地址的规划进行IP地址配置，一个OLT一个管理IP地址段（大OLT配置32个C或根据OLT容量配置） ip

relay

address

.0.0.4

//配置dhcp relay

83

ip dhcp relay address select broadcast .0.1.4 relay enable

//配置第二个dhcp relay //dhcp relay方式 arp //arp广播使能

6.11 IPTV业务

【配置描述】：如果设备启用IPTV业务功能，参数配置参照以下要求。 【规范要求】：根据IPTV平台部署方案，每地市均建设有区域节点，区域节点设置直播服务器为本地市提供直播服务，地市区域节点与本地市核心CR直接互连。考虑这种情况，采用PIM-SM协议作为组播路由协议，两台市核心作为全市的 Anycast RP。

城域网内所有参与组播的三层设备都静态指定市核心为RP，包括所有的SR/BRAS。具体部署方案如下：

➢ RP的选择

两台市核心作为全市统一的RP，两台市核心的Loopback20配置为相同的/32地址，作为RP ID，城域网内所有运行PIM-SM的路由器SR或BRAS都配置static-rp指向RP ID。

【配置示例】:

组播配置 dhcp enable

84

pim

static-rp 61.168.*.* preferred quit

acl name IPTV_acl

rule 10 permit igmp destination 225.1.0.0 0.0.7.255

rule 20 permit ip source 10.0.0.0 0.255.255.255 destination 10.254.176.0 0.0.15.255

rule 30 permit ip source 10.0.0.0 0.255.255.255 destination 61.158.254.0 0.0.0.255

rule 40 permit ip source 10.0.0.0 0.255.255.255 destination 10.254.192.0 0.0.63.255

rule 50 permit ip source 0.0.0.0 0 destination 255.255.255.255 0

rule 60 permit ip source 10.0.0.0 0.255.255.255 destination 221.13.223.128 0.0.0.31

rule 70 permit ip source 10.0.0.0 0.255.255.255 destination 255.255.255.255 0

rule 80 permit ip source 10.0.0.0 0.255.255.255 destination 202.102.224.68 0

rule 90 permit ip source 10.0.0.0 0.255.255.255

85

destination 202.102.227.68 0

rule 100 permit icmp source 10.0.0.0 0.255.255.255

rule 101 permit ip source 10.0.0.0 0.255.255.255 destination 202.99.114.0 0.0.0.127

traffic classifier IPTV_acl operator or if-match acl name IPTV_acl traffic behavior IPTV_acl traffic policy IPTV_acl share-mode

classifier IPTV_acl behavior IPTV_acl

interface Eth-Trunk30.94

description to-32ju-xindalou-MA5680T-001 vlan-type dot1q 94

ip address 10.194.105.1 255.255.255.0 ip relay address 221.13.223.132 dhcp select relay igmp enable

traffic-policy IPTV_acl inbound

86

interface Eth-Trunk30.79 description to-shangqiu-32ju-4 vlan-type dot1q 79

ip address 10.194.90.1 255.255.255.0 ip relay address 221.13.223.132 dhcp select relay igmp enable

traffic-policy IPTV_acl inbound

QOS配置 上联接口

interface Eth-trunk1 trust upstream default # 下联接口

interface Eth-trunk21

port-queue af1 wfq weight 100 shaping shaping-percentage 5 outbound

port-queue ef pq shaping shaping-percentage 10 outbound

87

port-queue af3 wfq weight 100 shaping shaping-percentage 30 outbound port-queue af4 wfq weight 100 shaping shaping-percentage 20 outbound #

88