ericsson-BRAS设备配置模板应答

BRAS设备配置模板第一部分 BRAS设备基本配置规范1、BRAS设备命名:设置设备主机名，用于标识BRAS设备)localSE800#configEnter configuration commands, one per line, end to exitlocalSE800(config)#system hostname BRAS-0012、系统启动设置:配置BRAS设备启动时使用当前运行的配置文件和启动时所用的系统软件localSE800(config)# boot configuration /flash/bjcnc.cfg3、系统其它设置:如设置本机用户名密码隐藏、设置并发用户数License 、设置FTP服务器、设置整机冗余模式等答：（1）用户的密码在配置时候以明文输入，但在show config时，自动变为密码显示了 localSE800(config)#context locallocalSE800(config-ctx)#administrator admin password xxxxShow config 时候，看到的内容为administrator admin encrypted 1 $1$.$uu8.T2cJ8cDAUpVvFpCqi0（2）使用在全局模式下，可以配置软件的License，如 localSE800(config)#software license localSE800(config-license)#subscriber active 48000 password xxx，来配置并发用户数为48000时的License（3）在每个Context下，配置FTP，TFTP，Telnet，SSH等服务 Context local Service ftp clientService telnet serverService telnet clientService ssh serverService ssh client(4) 在全局模式下，可以配置整机的冗余模式，如 localSE800(config)#software license localSE800(config-license)#subscriber high-availability password XXX来配置并发整机的冗余模式4、LOOPBACK 地址设置：设置与RADIUS Server、Tacacs Server、Syslog Server等服务器通信的设备标识地址loopback 0在每个Context下，都可以配置某个接口的IP地址，作为RADIUS Server、Tacacs Server、Syslog Server等服务器通信的设备标识地址Context cgdinterface loopback0 loopbak ip address 00/27 ip source-address telnet snmp ssh radius tacacs+ syslog dhcp-server tftp ftp 配置接口loopback0的地址，作为telnet、snmp、 ssh 、radius 、tacacs+ 、syslog、 dhcp-server、 tftp、 ftp等发送包的源IP地址。5、系统时间设置：设置BRAS设备的时区以保证时间的准确性、NTP服务配置使用clock set来设置系统的时间。localSE800#clock set ?yyyy:mm:dd:hh:mm:ss The current date & time localSE800(config)#system clock timezone bjtime +8 来配置时区在全局模式下，可以进行NTP的配置：localSE800(config)#ntp ? mode NTP parameter configuration sub-mode peer Configure NTP peer server Configure NTP server如localSE800(config)# ntp server version 2 !来配置NTP Server6、全局DNS设置：设置拨号用户使用的主备DNS、打开BRAS的解析功能、设置BRAS解析用的DNS Server注： BRAS上开启DNS功能! 进入相应的Context里，如Context LocallocalSE800(config-ctx)# context local！激活Context 里DNS功能localSE800(config-ctx)# ip domain-lookup！配置两个DNS ServerlocalSE800(config-ctx)# ip name-servers xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy7、BRAS设备路由设置：出口路由：可以采用静态路由或者动态路由（如OSPF）的方式静态配置时候： localSE800(config-ctx)# ip route /0 to-internet (to-internet是和上级路由器相连的接口名)地址池黑洞localSE800(config-ctx)# ip route xxx.xxx.xxx.xxx/yy null0OSPF配置：进入相应的Context， router ospf 10 router-id 0 area interface to-internet redistribute connected8、VLAN以及ATM VPC的划分答：SE800每个GE端口上支持4095个VLAN，支持40954095个SVLAN。 VLAN Range: 1-40959、端口配置9.1 上联端口GE上连端口配置：Context localinterface uplinkip address xxx.xxx.xxx.xxx/yy!将上连Interface绑定到相应的物理端口port ethernet 9/5 no auto-negotiate no shutdown bind interface uplink local子接口时上连端口配置：port ethernet 9/5 no auto-negotiate no shutdown encapsulation dot1q !将相应的Interface绑定到指定的子接口上 dot1q pvc 100 bind interface uplink local!9.2下联端口如下联汇聚交换机的GE端口配置：1、物理端口配置答：port ethernet 4/1 no auto-negotiate no shutdown ！将端口振荡保护功能打开，推荐只在下连口打开！ link-dampening up encapsulation dot1q2、BRAS与交换机互联的子端口配置：注：是否可以描述dot1q pvc 100 encapsulation 1qtunnel ！指定此电路为PPPoE接入， dot1q pvc 100:100 profile adsl-profile encapsulation pppoe ！绑定PPPoE相应的认证方式是PAP还是Chap，并指定每个电路接入的最大用户数 bind authentication pap maximum 1003、ERX通过Cisco4507下连DSLAM网管子端口配置！在指定的Context里配置DSLAM网管的网关Interfacecontext localinterface dslmgntip address 9/29 ！将定义的Interface绑定至相应的电路dot1q pvc 100 encapsulation 1qtunnel dot1q pvc 100:200 bind interface dslmgnt local10、设置IP地址池 ！进入相应PPPoE的Context里： context PPPoE ! 增加相应的PPPoE地址池interface pppoe_pool01 multibind ip address /24 ip pool /2411、设置虚拟路由器设置虚拟路由器答：在SE800上在全局模式下，使用context命令可以创建虚拟路由器，如下的配置创建两个虚拟路由器vr1和vr2localSE800(config)#context vr1localSE800(config-ctx)#commitTransaction committed.localSE800(config-ctx)#context vr2localSE800(config-ctx)#commitTransaction committed.localSE800(config-ctx)#endlocalSE800#show context allContext Name Context ID VPN-RD Description -local 0x40080001 gunter-lns 0x40080002 cgd 0x40080082 vr1 0x40080083 vr2 0x40080084 localSE800#12、SYSLOG设置答：在每个Context下均可配置syslog Sever的信息，包括哪些级别的信息将送到syslog 服务器上去注：系统高级级别过滤：localSE800(config-ctx)#logging filter syslog ? alert Log alert and more severe events (priority 1) critical Log critical and more severe events (priority 2) debug Log all events, including debug (priority 7) emergency Log only emergency events (priority 0) error Log error and more severe events (priority 3) informational Log informational and more severe events (priority 6) notice Log notice and more severe events (priority 5) warning Log warning and more severe events (priority 4)!可以设置相应的告警级别，将此级别的日志送至Log Server。！例如localSE800(config-ctx)#logging filter syslog critical！指定相应的Log Server和Facility logging syslog 0 facility local713、VRRP设置 interface test创建三层接口 ip address /28 vrrp 1 backup virtual-address advertise-interval millisecond 100 priority 100 preempt hold-time 120 authentication redback-md5 CE-VRRP定义 key-chainkey-chain CE-VRRP key-id 1 key-string encrypted C709B0E91B95E71666C3186385AF3251第二部分 BRAS设备入网安全配置规范1、关闭不必要的服务缺省情况下，所有的虚拟路由器都关闭ftp tftp sftp scp ssh rcp telnet的配置命令：！进入相应的Context里，关闭相应的服务：context local! 关闭相应开启的服务no service sshno service telnetno service ftp！查看此Context里开启的服务localSE800#show service Protocol Services: Protocol Client Server - ftp Disabled Not Supported tftp Disabled Disabled sftp Disabled Disabled scp Disabled Disabled ssh Disabled Disabled rcp Disabled Not Supported telnet Disabled Disabled 也可以使用admin acl来显式关闭其他的TCP服务，如关闭TCP 端口445，1434，135等！在指定的Context内定义 ACL策略 context local！定义ACL策略，如果此Context使用Radius认证，SNMP等服务，须将其地址放开 ip access-list admin_acl seq 50 permit ip 60 1 any seq 55 permit ip host 2 any seq 60 permit ip 55 any seq 92 deny tcp any eq 445 seq 93 deny tcp any eq 1434 seq 94 deny tcp any eq 135 seq 95 deny tcp any eq 136 seq 96 deny tcp any eq 137 seq 97 deny tcp any eq 138 seq 98 deny tcp any eq 139 seq 100 permit ip any any ！将L2tp端口放开 seq 140 permit udp any any eq 1701！将此ACL策略应用至管理接入组 admin-access-group admin_acl in2、本地用户设置设置本地登录帐号、设置本地帐号的访问控制列表！进入相应的Context里context local！增加一个管理员的帐号 administrator admin encrypted 1 $1$.$MYSoaGkzw3MkKbhFAETGy1！设置此用户的初始和最大权限 privilege start 15 privilege max 15 来设置本地登录帐户的用户名、口令字和权限ip access-list admin_acl seq 10 permit ip 55 any seq 32 permit ip host 2 any seq 39 permit ip host any seq 40 deny tcp any any eq telnet seq 50 deny tcp any any eq ssh seq 60 deny tcp any any eq ftp seq 70 deny tcp any any eq ftp-data seq 90 deny udp any any eq tftp seq 91 deny udp any any eq snmp seq 92 deny tcp any eq 445 seq 93 deny tcp any eq 1434 seq 94 deny tcp any eq 135 seq 95 deny tcp any eq 136 seq 96 deny tcp any eq 137 seq 97 deny tcp any eq 138 seq 98 deny tcp any eq 139 seq 100 permit ip any any！将相应的ACL策略绑定值管理组接入，来限制指定的地址段访问。admin-access-group admin_acl in来设置本地帐户的访问控制列表3、Enable密码设置答：在每个Context下，可以进行Enable密码的设置，如！进入相应的Context，如LocallocalSE800(config)#context local！配置Enable的密码localSE800(config-ctx)#enable ? authentication Specify the authentication method for the enable password encrypted Enter an already encrypted password password Assign the enable password for the privileged levelslocalSE800(config-ctx)#enable passlocalSE800(config-ctx)#enable password cgdcgdShow config的结果context local! ! enable encrypted 1 $1$.$nuhfhvl.OdloOVwTHYc1W14、TACAS认证登录用户在每个Context下可以设置用户的aaa认证信息，包括认证服务器的IP地址、UDP端口、认证服务器的key等。TACAS+认证配置：！进入指定的Context，如 LocalContext local!Loopback Ip作为TACAS的源地址interface loopback0 loopback ip address 5/32 ip source-address radius tacacs+！设置TACAS Server地址和密钥tacacs+ server xxx.xxx.xxx.xxx key xxxx！将用户的登录认证的顺序设置为先做TACAS认证，再做本地认证aaa authentication administrator tacacs+ local5、SNMP设置及访问控制答：在全局模式下可以配置SNMP的view,community,target等访问控制特性，确定对哪些SNMP对象、哪些Context的对象进行哪些权限的操作。 snmp serversnmp view weihai-2 internet includedsnmp community test view weihai-2snmp community whNM2008 all-contexts read-writesnmp community whNM288 all-contexts view Inet-Viewsnmp target se800 34 security-name test version 2c view weihai-26、Access List设置规范答：可以配置基于IP五元组来配置Access List，包括源IP地址、目的IP地址、源端口号、目的端口号、协议号等。localSE800(config-access-list)#seq 10 permit ? 0.255 Protocol Number A.B.C.D IP source address ahp Authentication Header Protocol any Any source address esp Encapsulation Security Payload gre Generic Routing Encapsulation host Host source address icmp Internet Control Message Protocol igmp Internet Group Management Protocol ip Any IP protocol ipinip IP in IP tunneling ospf Open Shortest Path First pcp Payload Compression Protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol如ip access-list 101 seq 10 permit ip 55 any seq 20 permit ip 55 any seq 30 permit ip 55 any seq 31 permit ip host 2 any seq 40 deny tcp any any eq telnet seq 50 deny tcp any any eq ssh seq 60 deny tcp any any eq ftp seq 70 deny tcp any any eq ftp-data seq 80 deny tcp any any eq 161 seq 90 deny udp any any eq tftp seq 91 deny tcp any any eq bgp seq 92 deny tcp any eq 445 seq 93 deny tcp any eq 1434 seq 94 deny tcp any eq 135 seq 95 deny tcp any eq 136 seq 96 deny tcp any eq 137 seq 97 deny tcp any eq 138 seq 98 deny tcp any eq 139 seq 100 permit ip any any7、远程访问控制设置Console模式的访问控制答：可以在本机配置用户名口令字的方式进行访问控制administrator redback encrypted 1 $1$.$4qhlVuh2HDOCu/EbYfbM6. privilege start 15 privilege max 15!并可以使用timeout来控制用户必须在特定时间内进行登录，和用户登录时的idle timeouttimeout login response 1timeout session idle 10也可以使用Tacacs的数据库来进行访问控制 aaa authentication administrator local tacacs+ tacacs+ server 6 key 123设置VTY方式的访问控制通过开启telnet ssh service的方式，并结合配置本地配置用户登录名和口令或者Tacacs的方式进行telnet/ssh的等的访问控制。可以在本机配置用户名口令字administrator redback encrypted 1 $1$.$4qhlVuh2HDOCu/EbYfbM6. privilege start 15 privilege max 15!并可以使用timeout来控制用户必须在特定时间内进行登录，和用户登录时的idle timeouttimeout login response 1timeout session idle 10也可以使用Tacacs的数据库来进行访问控制 aaa authentication administrator local tacacs+ tacacs+ server 6 key 1238、网络安全访问控制答：通过配置管理ACL ，IP 访问控制列表来进行网络安全的访问控制9、黑洞路由设置答：SE800上不需要对地址池黑洞路由做特别配置。第三部分 BRAS设备业务配置规范1、 宽带业务介绍此类型BRAS目前能够承载的宽带业务有1） ADSL、LAN、session2/svlan2） 预付费201（Domain ？ 另外一套Radius系统，Inter-Rim，新Context，Context直接的路由，CoA）备注命令：！全局激活Interim功能，假如设置为10分钟aaa global update subscriber 10！相应的Context设置Interim功能aaa update subscriber 10！CoA的配置 localRedback(config-ctx)#radius coa server key secret port 44443） 企业ADSL准专线（Radius下发IP Address），！Radius下发IP，需要配置一个unnumbered Loopback Interface! 这个Loopback 的IP可以随意起一个私网的IP Addressinterface enterprise_loopback1 loopback ip address /32interface ip-access multibind lastresort ip unnumbered loopback14） 家庭网关的网管（*hgw-nms,用户名密码本地认证，不计费，用户地址私网，用户与用户之间不能相互访问，只能访问指定的IP地址、cvlan 3999 、session500/svlan）!配置一个ACL策略，绑定相应的用户ip access-list guest seq 5 deny icmp any any seq 10 permit ip host 78 any seq 20 permit ip host 50 any seq 30 permit ip host 8 any5） E线VPN（类似企业ADSL，用户只能访问指定的IP，Radius下发Filter ID（Radius 11）!配置一个ACL策略，绑定相应的用户ip access-list yibao seq 5 deny icmp any any seq 10 permit ip host xxx.183.4.178 any seq 20 permit ip host xxx.103.44.150 any seq 30 permit ip host xxx.103.24.68 any6） 点对点视频(*ngn,数据流从上连子接口出，认证包从Context Local出，私网地址，需要另外一个Loopback IP)，7） 绿网（LAC，*green，BRAS做LAC，Radius下发参数）。2、 分业务配置模板2.1普通ADSL业务（512K，1M）dot1q profile nas-port-type-adsl radius attribute nas-port-type 13!context local aaa accounting subscriber radiusradius accounting server 0 key test800 oldportsradius server 0 key test800 oldportsport ethernet 4/1 no auto-negotiate no shutdown encapsulation dot1q dot1q pvc 100 encapsulation 1qtunnel dot1q pvc 100:100 profile nas-port-type-adsl encapsulation pppoe bind authentication pap chap maximum 22.2 LAN业务答：dot1q profile lan_profile radius attribute nas-port-type 15!context local aaa accounting subscriber radiusradius accounting server 0 encrypted-key 4D472251B10A8C31 oldportsradius server 0 encrypted-key test800 oldportsport ethernet 4/1 no auto-negotiate no shutdown encapsulation dot1q dot1q pvc 100 encapsulation 1qtunnel dot1q pvc 200:102 profile lan_profile encapsulation pppoebind authentication pap chap maximum 1002.3 企业ADSL业务答：dot1q profile nas-port-type-adsl radius attribute nas-port-type 13!context local aaa accounting subscriber radiusradius accounting server 0 key test800 oldportsradius server 0 key test800 oldportsport ethernet 4/1 no auto-negotiate no shutdown encapsulation dot1q dot1q pvc 100 encapsulation 1qtunnel dot1q pvc 100:100 profile nas-port-type-adsl encapsulation pppoe bind authentication pap chap maximum 1002.4 预付费201业务预付费201在SE800上使用虚拟路由器技术实现，其仅与普通ADSL业务的计费认证平台指向不同，context school domain 201 ! interface loopback0 loopback ip address 1/32 ip source-address radius !interface pppoe multibind ip address 9/29 ip pool 8/29 no logging console! ppp keepalive check-interval seconds 10 data-check! aaa accounting subscriber radius aaa accounting suppress-acct-on-fail radius accounting server 54 encrypted-key E2FA473592640E4E! administrator buyang encrypted 1 $1$.$BfilCrBEJ4PXeG3TCbTzH0 privilege start 3 privilege max 10! radius server 54 encrypted-key E2FA473592640E4E! subscriber default ip address pool dns primary 0!2.5 孤岛201业务context school domain 201 ! interface loopback0 loopback ip address 1/32 ip source-address radius !interface pppoe multibind ip address 9/29 ip pool 8/29 no logging console! ppp keepalive check-interval seconds 10 data-check! aaa accounting subscriber radius aaa accounting suppress-acct-on-fail radius accounting server 54 encrypted-key E2FA473592640E4E! administrator buyang encrypted 1 $1$.$BfilCrBEJ4PXeG3TCbTzH0 privilege start 3 privilege max 10! radius server 54 encrypted-key E2FA473592640E4E! subscriber default ip address pool dns primary 0!3、唯一性限制答：Radius可以根据SE800上发的NAS-Port-ID属性等进行唯一性限制。port ethernet 4/1 no auto-negotiate no shutdown encapsulation dot1q dot1q pvc 100 encapsulation 1qtunnel dot1q pvc 100:100 profile adsl-profile encapsulation pppoe description ADSL Access Stack Vlan bind authentication pap maximum 100 aaa authentication subscriber radius aaa accounting subscriber radius radius accounting server 0 encrypted-key 4D472251B10A8C31 oldports! radius server 0 encrypted-key 4D472251B10A8C31 oldports radius attribute nas-port format slot-port radius attribute nas-port-id format modified-agent-circuit-idSE Radius Decode Output%AAA-7-RAD_PKT: aaa_idx 1000007c: Send packet (231 bytes) to 0/1645 (adsltest): Access-Request Id: 0x53 length: 231 Authenticator Field: d3 58 90 14 e1 1a cc 94 07 99 4c 2d 1b 75 8b 51 User-Name: adsltest User-Password: 7d 37 a4 06 25 3f 87 99 aa 60 b5 8d 09 58 0a da Service-Type: Framed-User (2) Framed-Protocol: PPP (1) NAS-Identifier: Redback NAS-Port: 0x04010000 RBN:NAS-Real-Port: 0x41064064 NAS-Port-Type: ADSL (13) NAS-Port-Id: eth 4/0/1:100.100 0/0/0/0/0/0 RBN:Medium-Type: DSL (11) RBN:MAC-Address: 00-15-58-7c-83-47 Connect-Info: adsl-profile RBN:Platform-Type: SE-800 (2) RBN:OS-Version: p1 Acct-Session-Id: 0300FFFF6800007B-468B497F4、Radius设置aaa authentication subscriber local radius aaa accounting subscriber radius radius accounting server 0 encrypted-key 4D472251B10A8C31 oldportsradiu