7750BRAS业务开局手册.docx

一、 7750BRAS业务开局手册1. PPPOE拓扑通常将7750部署在城域网边缘，上联至城域网汇聚/核心路由器，下联通过二层汇聚网或直挂接入层DSLAM/PON设备，运营商典型的组网图如下；2. 详细的工作列表分类工作项工作列表准备工作获取radius参数authentication server IP地址authentication server 通讯端口authertication server 通讯密匙accounting server IP地址accounting server 通讯端口accounting server 通讯密匙DNS参数DNS服务器地址radius返回7750私有属性需求subscriber IDsub-profile-stringsla-profile-stringMSAP-serv-idMSAP-profile-stringMSAP-interfaceDHCP server需求dhcp server地址，一般使用system接口IP pool地址配置工作DHCP配置IP pool配置将DHCP server绑定到system接口策略配置Authenticaton policyRadius accounting policySub-ident-policySub-profileSla-profilePPPOE policyMSAP policyLocal-user-db接口配置配置物理接口配置VPLS配置IES业务并创建对应interface绑定IP pool绑定相关策略接入internet针对地址池创建黑洞路由创建策略，并export到BGP1) IP地址池配置IP地址池(ip pool)通常配置在BAS本地，认证通过后BAS从IP地址池中选择一个IP地址分配给终端用户，并且生成一条32位掩码的路由，所以在此之前，在BAS必须将IP地址池所在的网段宣告出去，以便终端用户得到IP地址后能够正常通讯。7750本身可以作为DHCP sever，IP地址池是通过DHCP server部分配置配置的，地址池本身没有区分终端属于PPPOE业务还是DHCP业务，终端用户的类型在业务接口配置中指定。实际上，在同一业务接口中，7750可以同时支持PPPOE用户和DHCP用户。Dhcp server需要配置地址pool，subnet，DNS等参数，并且与system接口相关联，每一个dhcp server可以配置多个pool，每个pool可以配置多个subnet。配置如下A:#configure router dhcpA:configrouterdhcp#info local-dhcp-server server1 create 创建本地DHCP服务器 use-gi-address 基于DHCP request中的gi地址决定用户分配地址 user-db pppoeforce-renews IP地址租期到期后更新 pool pool1 create options lease-time days 1 配置DHCP租约时间 dns-server 9 03 指定DNS exit subnet /24 create 在地址池里定义1个网段 address-range 54 指定可分配的地址范围 exit exit no shutdown exitA:configrouter# info interface system address /32 为本地DHCP服务器指定在SYSTEM接口 local-dhcp-server server1 增加本地DHCP服务器的名字 exit2) 策略配置策略配置是7750实现PPPOE功能的核心配置，所有的策略都配置在BAS本地，供用户接入时系统调用，触发来源是后台系统或者BRAS本身。7750常用的策略有如下：authentication policy：认证策略，同时定义与radius server通讯参数。radius accounting policy：计费策略，同时定义与radius accounting server通讯参数。sub-ident-policy：用户识别策略， 与sla-profile，sub-profile绑定。sub-profile：用户策略，定义H-qos和计费策略。sla-profile: 服务级别策略，定义带宽控制策略和ACL策略。pppoe-policy: pppoe策略，定义pppoe协议参数。MSAP policy：multi-sap策略，定义同一物理接口下sap的共有属性local-user-db:用户数据库策略，匹配用户的方式实现基于地址池的地址分配7750对于subscriber的定义，一个subscriber代表在同一站点或使用同一物理线路接入的一组host，host代表终端系统，如主机，视频电话，机顶盒等。例如一个家庭用户在一条ADSL线路上同时开通了VoIP/IPTV/上网三种业务，每种业务都有独立的终端，对于7750来讲，每一个终端即为一个host，而这个家庭用户即为一个subscriber。7750通过与后台系统配合灵活的赋予每个用户相应的策略，从而实现了PPPOE的相关功能，如限速，端口绑定等。另外，这些策略也可以同时应用与dhcp.Authentication policy认证策略相关的参数大致可以分为两类，一类是BAS与radius server通信所需参数，包括radius server的IP地址，通信密码，udp端口号等。另一类是BAS在认证时上送的属性，以及pppoe认证的方式等。配置如下A:#configure subscriber-mgmt A:configsubscr-mgmt#authentication-policy auth-policy-1 createA:configsubscr-mgmtauth-plcy#info radius-authentication-server source-address 与radius通讯源地址，一般system地址 server 2 address 8 secret xx 定义radius信息 exit pppoe-access-method pap-chap 终端用户认证方式 include-radius-attribute 定义BAS发送认证报文携带的属性 circuit-id remote-id nas-port-id prefix-string hsi - 增加前缀 nas-identifier mac-address exit注：认证策略在service中的group-interace引用。Radius accounting policy 计费策略配置内容与认证策略类似，相关参数也大致分为两类，一类是BAS与radius server通信所需参数，包括radius server的IP地址，通信密码，udp端口号等。另一类是BAS在计费时上送的属性等。配置如下A:#configure subscriber-mgmt A:configsubscr-mgmt# radius-accounting-policy acc-policy-1 createA:configsubscr-mgmtacct-plcy#info update-interval 10 定义更新时间为10分钟 include-radius-attribute 指定accounting报文携带的属性 framed-ip-addr framed-ip-netmask nas-port-id prefix-string hsi - nas-identifier user-name exit session-id-format number 定义session-id的格式 use-std-acct-attributes 使用标准属性上送计费信息 radius-accounting-server source-address 定义与radius通讯的源地址，一般system地址 server 2 address 8 secret xx 定义radius信息 exit注：计费策略由Sub-profile调用Sub-ident-policy 用户识别策略与sla-profile，sub-profile关联绑定，定义了用户的带宽，计费策略。配置如下A:#configure subscriber-mgmt A:configsubscr-mgmt# sub-ident-policy sub-ident-local create A:configsubscr-mgmtsub-ident-pol#info sub-profile-map 定义从radius返回的sub-profile-string与本地模板对应关系 use-direct-map-as-default 直接映射本地profile模板方式 exit sla-profile-map 定义从radius返回的sub-profile-string与本地模板对应关系 use-direct-map-as-default 直接映射本地profile模板方式 exit注：sub-ident-profile策略在msap-policy中调用Sub-profile sub-profile主要定义两项内容，radius accounting policy和H-Qos policy，在每用户多业务的情况下，总带宽通常被限定，各个业务需要根据优先级动态调整带宽，这时会用到H-Qos policy。H-Qos policy需要预先配置，sub-profile通过名字引用。配置如下A:configsubscr-mgmt#sub-profile sub-pppoe-10M createA:configsubscr-mgmtsub-prof#radius-accounting-policy acc-policy-1 引用前面定义的计费策略模板注：调用sub-profile通过radius返回同名的subscriber-prof-string完成。国内PPPOE业务大都每用户一个session，运营商基于session进行带宽限制，在这种情况下，H-Qos policy不用配置，radius服务器仅需返回固定字符串以便调用计费策略即可，session的带宽限制通过调用sla-profile完成。Sla-profile sla-profile主要定义两项内容，qos policy和ACL，sla-profile分为上行/下行两个方向分别引用sap-ingress/sap-egress qos policy和ACL。在配置过程中首先定义好QOS模板，然后在sla-profile的配置中调用模板。配置如下A:# configure qosA:configqos# info sap-ingress 10000 create PPPoE用户上行流量10M模板 queue 1 create rate 10000 cir 10000 exit queue 11 multipoint create exit exit sap-egress 10000 create PPPoE用户下行流量10M模板 queue 1 create rate 10000 cir 10000 exit exit A:#configure subscriber-mgmt A:configsubscr-mgmt#sla-profile sla-pppoe-10M create A:configsubscr-mgmtsla-prof# ingress qos 10000 shared-queuing 调用用户上行流量QOS模板，并使用共享Q exit exit egress qos 10000 调用用户下行流量QOS exit exit注：调用sla-profile通过radius返回同名sla-prof-string完成。PPPOE-profilepppoe-profile定义与pppoe协议相关的参数。配置如下A:#configure subscriber-mgmt A:configsubscr-mgmt#pppoe-policy pppoe-policy-1 createA:configsubscr-mgmtpppoe-policy#ppp-authentication pap 指定认证方式注：pppoe-profle在service下面的group-interace引用。MSAP-policyMsap-policy为简化配置而设置，策略的目的是为同一物理端口下的多sap提供统一的策略模板。配置如下A:#configure subscriber-mgmt A:configsubscr-mgmt#msap-policy msap-pppoe createA:configsubscr-mgmtmsap-policy#info sub-sla-mgmt def-sub-profile sub-pppoe-10M 默认的sub-profile def-sla-profile sla-pppoe-10M 默认的sla-profile sub-ident-policy sub-ident-local 调用sub-ident-policy multi-sub-sap limit 20000 支持的SAP数量 single-sub-parameters profiled-traffic-only 仅通过业务流量 no shutdownexit注: 默认的sub-profile和sla-profile是在radius返回的string中无法匹配预设置的模板时调用。sub-sla-mgmt必须进行no shutdown操作。local-user-dblocal-user-db策略是为某一组用户实现通过基于pool分配地址，目前将所有用户分到统一的default组。配置如下A:#configure subscriber-mgmt A:configsubscr-mgmt# local-user-db pppoe createA:configsubscr-mgmt local-user-db #info pppoe match-list mac 匹配用户上线的MAC地址 host default create 将所有用户都归到default组 address pool hsi-1 从地址池his-1中分配地址 no shutdown exit exit no shutdown exit3) 业务接口配置在IP地址池，策略配置完成后，使用MSAP方式开通业务。两部分工作：在IES业务创建业务接口，使用subscriber-interface来调用模板中预先定义的策略，使用VPLS配捕获PPPOE报文的port，从而开启PPPOE业务。配置如下A:# configure service A:configservice#info vpls 1105 customer 20 create 为PON所在接口创建VPLS stp shutdown exit sap 1/1/5:* capture-sap create 接受本端口所有Q-tag，并捕获PPPoE报文 default-msap-policy msap-pppoe 调用MSAP-policy模板 trigger-packet pppoe 配置何种业务触发端口 pppoe-policy pppoe-policy-1 调用PPPOE-policy模板 authentication-policy auth-policy-1 调用验证策略模板 exit no shutdown exit ies 3000 customer 10 create subscriber-interface pppoe create address /24 指定subscriber-interface网关 dhcp gi-address 使用GI地址来获取IP poolexitgroup-interface hsi 1/1/5 create 要和radius返回msap-interface一致 arp-populate dhcp server 指定本接口使用的DHCP server trusted 保证在dhcp-request中携带gi地址 client-applications pppoe 指定使用DHCP用户业务类型 no shutdown exit authentication-policy auth-policy-1 调用预设置的验证模板 pppoe pppoe-policy pppoe-policy-1 调用预设置的PPPoE模板 session-limit 32767 session数量限制开到最大 sap-session-limit 32767 session数量限制开到最大 no shutdown exit exit exit no shutdown exit注：IES中group-interface名称和VPLS靠radius返回的msap-interface值来关联，而该值为7750送给radius的NAS-PORT-ID字段中截取的，radius截取的规则是Q-tag前面的字段，即NAS-PORT-ID的前缀加上port号。1. 用户地址段的发布通过策略将PPPoE用户路由通告出去，保证用户上网正常 配置如下A:#config router A:configrouter#static-route /24 black-hole preference 240A:configrouter#policy-optionsA:configrouter policy-options# info begin 开始编辑策略 prefix-list ies2bgp 创建前缀列表策略，将用户路由放入列表中 prefix /24 exact exit policy-statement ies2bgp 创建策略 entry 10 from prefix-list ies2bgp exit to protocol bgp exit action accept next-hop-self exit exit default-action reject exit commit 结束策略编辑exit 在BGP路由协议中使用export命令将编辑的策略进行应用A:configrouter#bgp group PgRR_L2 export ies2bgpl 注意事项1、终端如果不能上网，检查终端的验证方式，拨号终端用PAP验证。2、检查IP pool 的地址占用情况 show router dhcp local-dhcp-server server1 summary3、常用show 命令 show service active-subscribers summary show service active-subscribers detail show service id 3000 pppoe session detailshow service id 3000 subscriber-hosts二、 配置模板1. 基本配置1) 上连接口 interface to-changsha-radius address 2/26 port 1/1/1 exit static-route /0 next-hop 5 interface system address /32 exit2) DHCP地址池=dhcp模板router interface dhcp address /32 loopback local-dhcp-server xiangtan-dhcp exit dhcp local-dhcp-server xiangtan-dhcp create use-gi-address pool pool-1 create options dns-server 70 exit subnet 28/25 create address-range 30 50 exit exit no shutdown exit exit exit 3) 认证模板a) radius模板 subscriber-mgmt authentication-policy changsha-radius create description radius-policy radius-authentication-server source-address 2 server 1 address 5 secret itellin hash2 port 1812 exit pppoe-access-method pap-chap include-radius-attribute circuit-id remote-id nas-port-id nas-identifier pppoe-service-name access-loop-options exit exit b) accounting模板subscriber-mgmt radius-accounting-policy changsha-account create update-interval 10 include-radius-attribute framed-ip-addr framed-ip-netmask subscriber-id circuit-id remote-id nas-port-id nas-identifier sub-profile sla-profile exit use-std-acct-attributes radius-accounting-server timeout 10 source-address 2 server 1 address 5 secret itellin port 1813 exit exit c) sla模板configure qos sap-ingress 1000 create queue 1 create rate 1000 cir 1000 exit exit sap-ingress 2000 create queue 1 create rate 2000 cir 2000 exit exit sap-egress 1000 create queue 1 create rate 1000 cir 1000 exit exit sap-egress 2000 create queue 1 create rate 2000 cir 2000 exit exitsla-profile sla-prof-1M create ingress qos 1000 exit exit egress qos 1000 exit exit exit sla-profile sla-prof-4M create ingress qos 2000 exit exit egress qos 2000 exit exit exit d) sub模板 sub-profile data create radius-accounting-policy changsha-account exit e) ident模板sub-ident-policy sub-ident-local create sub-profile-map entry key Data sub-profile data exit sla-profile-map entry key sla-prof-1M sla-profile sla-prof-1M entry key sla-prof-4M sla-profile sla-prof-4M exit exit pppoe-policy xiangtan-test create ppp-authentication pap exit 2. 本地认证1) local user模板subscriber-mgmt local-user-db xiangtan-db create ；创建本地用户身份认证数据库“ludb” pppoe ；用于PPPoE用户身份认证 match-list username ；使用用户名进行匹配 host user1 create ；创建1个用户“user1” host-identification username atest10 ；user1的用户名为atest10 exit address pool “pool-1” ；使用地址池“pool-1”为用户分配地址 password pap Sp2gEoLDG3Gwp5Sbhp hash2 ；指定用户PAP认证及该用户的Password identification-strings 254 create ；为该用户指定subscriber属性 subscriber-id tester1 sla-profile-string sla-prof-1M sub-profile-string Data exit no shutdown exit exit no shutdown exit exit 2) 本地认证模板ies 100 customer 1 create subscriber-interface local-user create ；创建1个subscriber-interface description for pppoe test address /24 ；配置该接口的IP地址， address /24 ；最多可配置16个IP地址 group-interface pppoe-2 create ；创建1个group-interface arp-populate dhcp ；定义DHCP server 8 trusted lease-populate 4000 gi-address client-applications pppoe no shutdown exit sap 1/1/2:20 create ；在该group-interface中放入sap sub-sla-mgmt sub-ident-policy sub-ident-local multi-sub-sap 50