SE800中文配置规范-v1.doc

网通商务宽带用户综合管理系统配置规范力博通信二六年一月二十日目录1基础原理介绍41.1PPPOE原理介绍41.1.1PPPoE协议介绍41.1.2工作流程51.2VLAN STACKING介绍61.2.1VLAN STACKING 标准61.2.2VLAN STACKING 技术实现原理71.2.3VLAN STACKING 技术特点72组网方案82.1组网方案82.1.1方案一82.1.2方案二93BRAS业务配置规范93.1设备基本配置93.2接口配置103.3多VR（context）业务配置113.4RADIUS认证部分123.4.1RADIUS协议介绍123.4.2RADIUS报文结构133.4.3工作流程143.4.4SE800 RADIU认证配置143.5L2TP配置163.5.1静态L2TP配置163.5.2动态L2TP配置183.6MPLS/VPN配置范例193.6.1PE路由器(SE800)配置203.7PPPOE拨号配置213.8专线用户配置223.9准专线用户配置233.10QOS带宽管理233.11反向路由检测243.12路由协议配置范例243.12.1OSPF配置243.12.2BGP配置254VLAN STACKING模式配置规范264.1配置范例环境描述264.2SE800 vlan stacking配置274.3汇聚层交换机vlan stacking配置284.3.1CISCO7609的VLAN STACKING配置范例284.3.2CISCO6509VLAN STACKING配置范例294.3.3华为8505VLAN STACKING配置范例304.4接入层设备VLAN STACKING配置规范304.4.1cisco2950 VLAN STACKING配置模板304.4.2华为交换机VLAN STACKING配置规范314.4.3D-LINK交换机数据VLAN STACKING配置324.4.4中兴交换机VLAN STACKING参考配置模板344.5交叉互连配置415接入层认证方式并行模式配置规范（非STACKING VLAN模式）425.1BAS（SE800）配置425.2汇聚层交换机CISCO 7609配置435.3接入层设备配置（非STACKING VLAN模式）436vlan与IP地址规划446.1用户开通原则446.2Vlan规划原则446.2.1接入层设备vlan规划446.2.2BRAS VLAN规划456.3IP地址规划原则466.3.1普通拨号用户IP地址规划466.3.2专线用户IP地址规划486.3.3设备管理IP地址规划486.3.4BAS互联地址分配表501基础原理介绍1.1 PPPOE原理介绍近年来，网络数据业务发展迅速，宽带用户呈爆炸式的增长，运营商在采用xDSL，LAN，HFC，无线等多种接入方式的同时，为了构建一个可运营、可管理、可盈利的宽带网络，十分关心如何有效地完成用户的管理，PPPoE就是随之出现的多种认证技术中的一种。 1.1.1 PPPoE协议介绍 PPPoE是PPP over Ethernet的缩写，意思是通过以太网的点对点协议。在传统的以太网模型中，我们是不存在所谓的用户计费的概念，要么用户能设置/获取IP地址上网，要么用户就无法上网。IETF的工程师们在秉承窄带拨号上网的运营思路（使用NAS设备终结用户的PPP数据包），制定出了在以太网上传送PPP数据包的协议（Point To Point Protocol Over Ethernet），这个协议出台后，各网络设备制造商也相继推出自已品牌的宽带接入服务器（BAS），它不仅能支持PPPOE协议数据报文的终结，而且还能支持其它许多协议。 PPPOE协议提供了在广播式的网络（如以太网）中多台主机连接到远端的访问集中器（我们称目前能完成上述功能的设备为宽带接入服务器）上的一种标准。在这种网络模型中，我们不难看出所有用户的主机都需要能独立的初始化自已的PPP协议栈，而且通过PPP协议本身所具有的一些特点，能实现在广播式网络上对用户进行计费和管理。为了能在广播式的网络上建立、维持各主机与访问集中器之间点对点的关系，那么就需要每个主机与访问集中器之间能建立唯一的点到点的会话。 PPPoE报文结构 0 1 2 3 0 1 2 3 4 5 6 7 0 1 234567012345 6 7 0 1 234567 VER TYPE CODE SESSION_ID LENGTH payload . . . . . VER域为4位，PPPoE规范版本必须设置为0x1。 TYPE域为4位，PPPoE规范版本必须设置为0x1。 CODE域为8位，其定义在后面的Discovery指定。 SESSION_ID域为16位，是一个网络字节序的无符号值。其值在后面Discovery数据包中定义。对一个给定的PPP会话来说该值是一个固定值，并且与以太网SOURCE_ADDR和DESTINATION_ADDR一起实际地定义了一个PPP会话。 Payload域，也称数据域，在PPPOE的不同阶段该域内的数据内容会有很大的不同。在PPPOE的发现阶段时，该域内会填充一些Tag（标记）；而在PPPOE的会话阶段，该域则携带的是PPP的报文。 1.1.2 工作流程 建立一个以太网上点对点协议(PPPoE)会话包括以下两个阶段： 发现（Discovery）阶段。在Discovery过程中用户主机以广播方式寻找可以连接的所有的接入集线器，并获得其以太网MAC地址。然后选择需要连接的主机并确定所要建立的PPP会话识别标号一个典型的发现（Discovery）阶段共包括4个步骤： 1 主机发出PPPoE有效发现启动（PADI）包。以太网目的地址为广播地址0xffffffffffff，CODE字段为0x09，SESSION_ID为0x0000。PADI包必须至少包含一个服务名称类型的标签（标签类型字段为0x0101），向接入集线器提出所要求提供的服务。 2 接入集线器收到在服务范围内的PADI包后，发送PPPoE有效发现提供（PADO）包以响应请求。其CODE字段为0x07，SESSION_ID仍为0x0000。PADO包必须包含一个接入集线器名称类型的标签（标签类型字段为0x0102）以及一个或多个服务名称类型标签，表明可向主机提供的服务种类。 3 主机在可能收到的多个PADO包中选择一个合适的，然后向所选择的接入集线器发送PPPoE有效发现请求（PADR）包。其CODE字段为0x19，SESSION_ID仍为0x0000。PADR包必须包一个服务名称类型标签，确定向接入集线器请求的服务种类。 4 接入集线器收到PADR包后准备开始PPP会话，它发送一个PPPoE有效发现会话确认（PADS）包。其CODE字段为0x65，SESSION_ID为接入集线器所产生的一个唯一的PPPoE会话标识号码。PADS包也必须包含一个接入集线器名称类型的标签确认向主机提供的服务。当主机收到PADS包确认后，双方就进入PPP会话阶段还有一种PPPoE有效发现终止（PADT）包，在一个PPP会话建立后它随时可由主机或接入集线器中任何一方发送，指示PPP会话已终止。PADT包不需要任何标签，其CODE字段为0xa7，SESSION_ID为需要终止的PPP会话的会话标识号码。 PPP会话阶段。用户主机与接入集线器根据在发现阶段所协商的PPP会话连接参数进行PPP会话。 PPPOE用户的PPPoE认证过程 图1-1-1 PPPOE流程图示例1. PPPOE 客户端拨号软件初始化并发送PPPoE Active Discovery Initiation(PADI)广播帧。 该帧传送到PPPoE 服务器。 2. PPPoE服务器检查收到的PADI帧中的TAG是否符合要求，若是则返回PPPoE Acive Discovery Offer （PADO）单播帧。 3. PPPoE 客户端软件在收到PADO包以后，随即发出PPPoE Active Discovery Request(PADR)单播帧。 4. PPPoE服务器收到正确的PADR帧以后， 随即生成一个Session Id，并把该ID填入帧头相应位置,发送一个PPPoE Active Discovery Confirmation(PADS)单播帧给客户端，从而结束PPPoE的Discovery过程。 5. PPPoE的PPP阶段初始化完毕后，PPPoE Client和PPPoE Server之间相互对发LCP Configure Request包。因为PPP是一个Peer to Peer的协议，Client和Server之间的地位是对等的。从而双方都应该发起配置请求包来跟对方进行协商。 6. Client和Server相互承认对方的配置请求，对发LCP Configure Ack包，从而建立起LCP链路。此时，应该已经协商好了LCP的各个参数，包括认证类型参数。 7. LCP链路建立以后，根据协商好的认证类型（这里假定为PAP认证），PPPoE Client向服务器发起PAP Authenticate 请求包，该请求包中包含了Client传送过来的用户名和口令等有用信息。 8. PPPoE Server收到Client的PAP认证请求后，把用户名和口令等信息送到AAA服务器进行认证。 9. AAA服务器把认证结果（这里为认证通过）发回给PPPoE Server。 10. PPPoE Server收到该消息之后，就向客户端发送PAP Authenticate Ack包，以表示该用户已经认证通过了。 11. PPPoE Server向AAA服务器发送计费开始包告诉AAA服务器从现在开始就可以对该用户进行计费了。 12. AAA服务器应答PPPoE Server它已经收到了该计费开始请求包并且已经开始对该用户进行计费。 13. PPP的认证过程结束后，就进入了IPCP协商阶段。跟前面的LCP阶段一样，PPPoE Client和PPPoE Server之间相互对发IPCP Configure Request包来进行IPCP参数的协商。 14. 一般情况下由于Client发送给Server的IPCP Configure Request包中包含的IP地址参数值不符合Server的要求，从而PPPoE Server发IPCP Configure Nak包给Client，表示它不认可该IP地址参数值，而该Nak包中包含Server认为正确的IP地址参数值。 15. PPPoE客户端由于收到了服务器端的Nak包，它会抽取中其中Server认可的IP地址参数值,并把这个参数值填入到一个新的IPCP Configure Request包中再一次传送给Server。 16. 这次PPPoE Server认可Client的各个IPCP参数了，从而发送一个IPCP Configure Ack包给Client完成了一次PPPoE的接入过程1.2 VLAN STACKING介绍 1.2.1 VLAN STACKING 标准VLAN STACKING 也称Q IN Q，标准出自IEEE802.1ad，目前该标准仍处于草案阶段。1.2.2 VLAN STACKING 技术实现原理VLAN STACKING 实现是在802.1Q 协议标签后再次封装802.1Q 协议标签，其中一层标识用户系统网络（customer network），一层标识业务运营网络（service provider network），将其扩展实现用户线路标识。带有Q-in-Q VLAN tag标签的以太帧格式如下：图3.7 带有Q-in-Q VLAN tag 标签的以太帧其中，C-VLAN ID 表示用户网络以太帧的VLAN ID；P-VLAN ID 表示运营商网络以太帧的VLAN ID。每个P-VLAN Tag 标签包含：P-EtherType 域通常使用除8100h 之外的数值, 表明这一个 P-VLAN Tag 标签,不是一个标准的IEEE 802.1Q VLAN Tag 标签；localzhzh-hhl-se800(config-port)#dot1q tunnel ethertype ? 0x0-0xffff specify custom ether type (hexadecimal) 8100 8100 ether type (hexadecimal) 88a8 88a8 ether type (hexadecimal) 9100 9100 ether type (hexadecimal) 9200 9200 ether type (hexadecimal)P-VLAN CoS 域包含3 位，支持8 个级别的优先级；P-VLAN ID 域包含12 位，可支持4096 个VLAN 实例；P-CFI 域设定为零。VLAN STACKING 应用到ADSL 接入网络实现方式如下，基于ADSL 接入端口，设置端口属性为普通模式,各端口号vlan标识用户,DSLAM 或以太网交换机上联出口处统打上第二层VLAN 输出，其中外层VLAN 标识DSLAM，这样不同的DSLAM 在二层之间相互隔离；内层VLAN 用作用户认证，不同的端口与不同的VLAN 绑定，两层VLAN 组合标识用户。BRAS 认证用户通过两层VLAN 来实现，既解决了4K VLAN 限制的问题，又解决了DSLAM 标识的问题。1.2.3 VLAN STACKING 技术特点VLAN STACKING 方案对现在使用的两种认证方式都适用。优点：1. 没有协议交互过程，对用户来和接入层交换机说不需要更改配置；2. 不仅实现了用户端口识别，同时可对用户业务实现逻辑隔离；3. 扩展了4K VLAN，使用户VLAN数目扩展到4096*4096个。缺点：1. 二层VLAN 统一规划，同时要求运营商二层网络必须支持二层VLANtag2. 报文有效载荷降低，同时可能造成分片、重组；3. 不能直接体现出设备、端口的物理位置。2 组网方案2.1 组网方案根据BAS组网方案大容量、少局点、广覆盖的趋势，组网初期可采用少量高性能、大容量、高密度的BAS设备，在每个配置GSR的城域网骨干节点（共60个）设置1台BAS设备，如果投资许可，将适当扩大范围。根据我省宽带IP网现状，本期工程BAS设备组网采用以下两种方案。2.1.1 方案一BAS上联为双上联，启用动态路由协议，采用GE链路连接GSR和BAS所在局6509/7609设备，下行采用GE二层链路连接其他汇聚交换机（6509/7609）。其中BAS上行流量（除CDN）通过单GE链路直接上GSR；BAS与BAS所在主局汇聚交换机之间根据流量大小，可采用单GE（同时起二、三层，二层跑PPPOE流量，三层跑上行至CDN的访问流量，BAS同一端口可以对二、三层流量带宽进行不同的限制限制）或双GE链路（分别跑二、三层流量）相连。以下以是开封的连接情况，此次项目中大部分地市采用这种组网方案。图2-2-1 开封组网方案示意图方案的优点：（1）上联链路采用双上联，起到备份作用，流量更加合理，访问6509上的CDN服务器流量不经过GSR，其他流量直接疏通至省骨干网；（2）与GSR（P路由器）相连解决了BAS上MPLS VPN（尤其是ADSL接入VPN）业务的开放问题；（3）此方案更接近于集团公司的城域网建设指导意见的目标组网方案（BAS取消旁挂，改为直挂，增加业务路由器AR/SR），便于将来向目标网络演进。方案缺点：目前GSR端口紧张，此方案占用GSR端口过多。2.1.2 方案二BAS采用双GE（或多GE）连接主局交换机设备，BAS的上、下行流量各占用单独的GE通道，其他核心汇聚交换机采用GE连接主局汇聚交换机，主局汇聚交换机汇聚所有的PPPoE用户流量。方案的优点：（1）不占用GSR端口资源（2）通过主局交换机汇聚其他交换机PPPoE用户流量，节省BAS端口，节省投资；方案的缺点：（1）增大主局汇聚交换机流量压力（2）与集团城域网规划目标网络方案距离较大。不利于向目标网络演进。图2-2-2 济源BAS组网图3 BRAS业务配置规范3.1 设备基本配置设备的基本配置包括主机名，时钟校准，设置管理员。设置主机名 设备命名规则 机器命名规则： 地市名缩写局向缩写BX（X为序号，如1,2,3,4） 如：郑州百花路se800 的 名字为zhzhbhlB1 localbyq800(config)#system hostname word 机器命名规则：时钟校准时钟校准如下：localSE-2#clock set yyyy:mm:dd:hh:mm:ss配置管理员及其密码 localse800(config-ctx)#administrator word password word localse800(config-ctx-admin)#privil start 10 设置初始化权限localse800(config-ctx-admin)#privil max 15 设置用户最高权限配置enable secret 密码 localse800(config-ctx)# enable password word 启用ssh 服务由于SE800所有的服务都缺省关闭，像telnet ,ftp 等等localxch-qyl-se800(config-ctx)#service ssh对管理员地址范围进行限定定义访问控制列表：ip access-list admin-acldescription This is a sample access control listseq 10 permit ip host seq 20 permit ip host seq 25 permit ip host seq 60 deny ip any seq 70 permit ip any any然后应用访问控制列表admin-access-group admin-acl in3.2 接口配置对于上联接口，通过将虚接口与物理端口的PVC进行绑定来完成。对于用户接口，通过对物理端口的PVC进行动态绑定来完成，配置见3.7。互联地址命名规范interface contextname-to-对端设备型号A/B (A/B代表对端端口号,如6/1)如 百花路context iptv上连到百花路gsr Interface iptv-to-bhlgsr1/2loopback 接口的命名规则 interface contextnameloopback loopback 如： local的loopback的命名interface local-loopback loopback物理端口描述规则Description to-局向缩写-设备名端口号 如 端口2/1连接到百花路gsr3/1 的描述如下： Description to-bhl-gsr3/1 配置分以下两步：在特定context下建interface在实际物理接口下绑定interface如!context local 进入VR模式!interface local-to-rml12016 创建interface descript local connect to rml12016 1/2 描述性语句 ip address 14/30 指定接口地址!port ethernet 6/1 description to-rml12016-2/1 描述性语句 no shutdown 激活端口 encapsulation dot1q 封装成dot1q dot1q pvc 10 创建互联pvc bind interface local-to-rml12016 local 将interface绑定到pvc3.3 多VR（context）业务配置根据不同的业务需要，将不同业务放到单独的VR中，VR具有一个传统路由器应该具有的一切功能，例如路由表、路由协议、认证以及IP地址空间等。虚拟路由器支持一个传统路由器应该支持的一切网络业务，例如DNS、ssh、traceroute、syslog等。业务专网，如VOIP，可以设制到一个虚拟路由器上。5种具体的业务如下：(说明context 就是VR)Context和Domain 命名规则业务描述Contextdomain管理Localadmin拨号Dialadsl专线LeaselineleaselineIPTVIptviptv拨号软件下载Supporsupt supt1v 管理 context local 默认的VR,不能删除，local 是所有其他虚拟路由器的核心，其他虚拟路由器的底层消息都通过local来交互。 v 拨号context dial此context 处理所有的pppoe 拨号用户 v 专线 context leaseline此context 处理所有的专线用户。 专线用户就跟普通的以太网用户一样，不需要经过拨号认证。v IPTV context iptvContext iptv 处理所有的iptv拨号用户 v Context support 预留给拨号用户下载客户端软件来使用，获的context support 地址池的用户将不能访问公网，只能访问客户端软件服务器。配置范例：在全局模式下启用多VR功能：localxch-qyl-se800(config)#service multiple-contexts在全局模式下创建VR:localxch-qyl-se800(config)#context support (创建名为support的VR)3.4 RADIUS认证部分3.4.1 RADIUS协议介绍 Radius是Remote Authentication Dial In User Service的简称，实现的功能可概括为AAA，是验证（Authentication）、授权（Authorization）和计费（Accounting）的简称。Radius实际上是对网络安全的一种管理。这里的安全主要指访问控制，包括哪种用户可以访问网络服务器；具有访问权的用户可以得到哪种服务；如何对正在使用网络资源的用户进行计费三方面内容。 网络接入服务器简称NAS（SE800在这里就作为NAS），当用户想通过某个接入网络（如连接用户的以太网）与NAS建立连接从而获得访问其他网络（如Internet）的权限时，NAS起到了管理用户的作用。NAS负责在用户和Radius 服务器之间传递验证、 授权、计费信息。Radius协议规定了NAS和Radius服务器之间如何传递用户的信息的规则，即二者之间的通信规程。 实际的工作中Radius 服务器接收用户的连接请求，完成验证返回给NAS，如果验证通过还需把用户所需的授权信息返回给NAS。用户获得授权后，在其正常上线和下线过程中，Radius 服务器还完成对用户帐号的计费功能。 3.4.2 RADIUS报文结构 图3-4-1 radius报文结构其中Attribute结构如下： 图3-4-2 radius报文Attribute结构Radius报文格式如上图所示，各域意义如下： Code取值有6个，代表不同的报文类型：Access- request（1）、Access- accept（2）、Access- reject（3）、Access-challenge（11）、Accounting-request（4）、Accounting-response（5） Identifier用于匹配请求包和回应包。 Length代表所有域的长度。 Authenticator 16字节长，用于对Radius报文进行加密。 Attribute中的Type域代表Radius属性，常用标准属性如下： 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 24 State 26 Vendor-Specific 27 Session-Timeout 29 Termination-Action 60 CHAP-ChallengeVSA(Vendor-Specific attributes)属性，是由厂家开发的完成特定功能的属性，针对业务se800开发了多达151种VSA属性，现在已经在广泛应用中，详见产品光盘。Attribute中的Length域代表该属性的长度，value域为该属性的值。 3.4.3 工作流程 1. NAS向AAA Server发出Access Request包，其中包含用户的帐号、密码等。 2. AAA Server向NAS回送Access Response包，其中包含用户是否合法，以及合法用户的一些设置。 3. 如果认证通过，NAS向AAA Server发送计费开始请求包Accounting Request(start)，这些消息包可以反映出上网开始时间。 4. AAA Server向NAS回送Accounting Response包，确认计费开始。 5. NAS向AAA Server发送计费终止请求包Accounting Request（stop），这些消息包可以反映出上网结束时间，包括上网时长、上网流量信息等。 6. AAA Server向NAS回送Accounting Response包,确认已经停止计费图3-4-3 RADIUS工作流程1. PPPOE用户拨入后，接入管理器将用户的信息，包括用户名、口令等打包向Radius 服务器发送。（access request） 2. 如果该用户合法，则Radius 服务器告诉接入管理器该用户允许接入，同时传回该用户的配置信息；否则Radius 反馈给接入管理器该用户非法信息。(access accept/reject) 3. 如果该用户合法，接入管理器就根据从Radius 服务器传回的属性配置用户；如果该用户非法，接入管理器反馈给用户出错信息，并断开该用户的连接。 4. 如果该用户可以访问网络，则接入管理器向Radius 服务器发送一个计费请求包表明对该用户已经开始计费。Radius 服务器收到并成功记录该请求包，同时给予响应。(Accounting request; accounting response) 5. 当用户断开连接时，接入管理器向Radius 服务器发送一个计费停止请求包，其中包括用户上网所使用网络资源的统计信息。Radius服务器收到并成功记录该请求包，同时给予响应。（当然Radius 服务器也可以主动断开连接，处理方式类同）(Accounting request; accounting response) 3.4.4 SE800 RADIU认证配置SE800 认证方式可以分为两种： 一 全局认证方式 ，所有的context 用户认证都通过全局认证方式来获的认证通过。 二 分context 认证，每个context的拨号认证用户都将通过各自的context进行认证本项目将使用分context的认证方式，分context认证方式跟全局认证方式相比较有如下优势，如果全局认证方式的任何一句认证配置出现问题，将导致整台机器的拨号用户认证失败，而分context认证方式只会影响到单个的context。SE800具备丰富的RADIU属性，通过与radius服务器的联调，让radius针对用户返回特定属性值，可以完成丰富的用户行为控制，主要应用如下：v 用户认证 对用户名及口令进行认证； v 计费记录 通过对用户在线时间或流量等进行计费； v 用户授权 给用户授权，如授权成为l2tp用户；v 用户带宽指定 给特定用户指定特定的带宽，是通过RADIU来设定QOS属性名称来完成；v 预付费实时断线 根据时长或流量对用户进行下线操作； v 用户vlan 绑定 通过RADIUS给用户绑定vlan来防止盗号和漫游；v 指定用户 ACL 通过RADIUS返回ACL字符串对用户进行访问控制； v 异常断线信息传递 通过接受SE800发出的PPPOE错误码来判断用户的下线原因。以下是这次实施中radius的配置参数：radius服务器地址 40认证端口号 1641计费端口号 1642SE800与radius通讯字符串：henancnc以下是配置范例：!context dial!radius server 40 key henancnc port 1641指定radius认证服务器地址，KEY及认证端口号radius attribute nas-ip-address interface dial-loopback指定连接radius时的本地源；aaa authentication subscriber radius local指定用户认证的方式首选radius;aaa accounting subscriber radius指定用户讲费方式为radiusradius accounting server 40 key henancnc port 1642指定radius计费服务器地址，KEY及认证端口号!3.5 L2TP配置 L2TP又称VPDN，根据通道建立的方式不同可分为静态或动态两种；静态L2TP由LAC根据用户名域名来指定隧道参数，而动态L2TP则由LAC将用户名发送至radius服务器，由radius服务器对用户进行认证并下发与用户关联的L2TP隧道参数给LAC,再由LAC来为用户建立隧道。3.5.1 静态L2TP配置配置环境说明 LAC侧为 LNS侧为，均使用loopback地址作为隧道终结点。用户通过pppoe软件拨入LAC，LAC通过用户名中的后缀来发起l2tp遂道连接，LAC与LNS建立遂道后由LNS对用户进行再次认证和IP地址分配。LAC侧的配置：LAC侧的配置任务包括以下：1. 设定域；2. 设定用户遂道认证选项； 3. 设定遂道参数； context localdomain l2tp-test !aaa authentication subscriber none！interface lo loopbackip add ! subscriber default ip address pool tunnel domain 通过域名来建立l2tp隧道! l2tp-peer name LNS1 media udp-ip remote ip local 指定对端地址和LNS的名称 local-name LAC1 指定本端LAC的名称 function lac-only 指定本端为LAC侧 domain l2tp-test 指定通过哪个域名来建立L2TP隧道!LNS侧的配置：1. 配置域名；2. 配置地址池；3. 配置遂道参数；4. 配置用户参数； domain l2tp-testaaa authentication subscriber none!interface lo loopbackip add ! interface l2tp-LNS multibind 配置L2TP用户使用的地址池 ip address /24 ip pool /24 name l2tp-pool 给地址池命名!subscriber name lisi 配置L2TP用户 password lisi ip address pool name l2tp-pool 从指定地址池获取 tunnel domain 通过域名来建立L2TP隧道! l2tp-peer name LAC1 media udp-ip remote ip local local-name LNS1 function lns-only 只作为LNS用 domain l2tp-test!这样当用户用lisil2tp-test和密码lisi登录的时候就会触发l2tp遂道的建立。拨号成功后用户将获得/24上的一个IP地址。localLNS#show subscribers active all Circuit L2TP LNS 5927048 Internal Circuit 255/16:1023:63/5/2/5927048 Current port-limit unlimited ip pool l2tp-pool (applied from sub_default) ip address (applied from pool) tunnel type 3 (applied) tunnel medium type 1 (applied) tunnel server endpoint (applied) tunnel client endpoint (applied) tunnel server auth ID LNS1 (applied) tunnel client auth ID LAC1 (applied) tunnel max sessions 65535 (applied) tunnel max tunnels 32767 (applied) tunnel function 2 (applied) tunnel connection LAC1:23447:62740 (applied) tunnel vendor avp (applied) tunnel vendor avp (applied)localLNS #show subscribers address username lisil2tp-testKHost Interface Nhop cct l2tp-LNS L2TP LNS 5927048 localLNS#show l2tp peerK Conf. Tun Ses Peer Name Local Name Role Source Count Count- - - - - -LAC1 LNS1 LNS Local 1 23.5.2 动态L2TP配置本次项目中L2TP业务中的认证，隧道参数，隧道发起均由radius来指定。Se800作为LAC，将用户名发送给radius服务器，radius服务器返回L2TP属性值给LAC,然后 se800根据这些参数来为用户建立到LNS的L2TP tunnel连接，根据域建立相应的通道。图3-4-4 动态l2tp建立过程配置如下：!context l2tp 进入VR配置模式domain l2tp-test!radius server 40 key henancnc oldportsradius attribute nas-ip-address interface dial-loopbackaaa authentication subscriber radiusaaa accounting subscriber radiusaaa authorization tunnel radius 指定通过radius来作l2tp授权radius accounting server 40 key henancnc oldports!subscriber defaultip address pooltunnel domain 指定用户通过domain来进行l2tp遂道请求!将要进行拨号的用户名和密码告诉radius管理员，让管理员添加L2TP用户即可实现。通过show subscriber active和show l2tp-peer来查看用户隧道建立状态。3.6 MPLS/VPN配置范例通过BGP协议承载mpls VPN， 按照RD来动态建立BGP VPN通道，通过BGP的邻居关系来灵活控制VPN的终结点，SE800作为PE路由器用来提供IP网络到MPLS网络的边缘，河南网通骨干网上的GSR作为P路由器来完成线速转发MPLS/VPN数据。MPLS/VPN应用如下图所示：图3-6-1 MPLS BGP/VPN配置环境mpls bgp/vpn通过在现网上运行承载ipv4 vpn的BGP协议来交换各VPN内网的路由信息，与现役的BGP IPV4路由协议无冲突，要保证TCP连接及MPLS标签路径的连通性就可以灵活部署VPN.Bgp/vpn在部署时与BGP路由协议有许多相似之处，其中之一就是邻居的建立模式，可以根据需要灵活地设计不同的邻居关系来达到您的应用要求。说明：VRF:VPN routing/forwarding instance，VPN路由表及相关的VPN IP转发表被统称为VPN路由和转发实例（VRF）VPN VR是创建给某一VPN用户使用的虚拟路由器RD：router distinguish路由标识符,是用来确定隧道唯一性的标识符3.6.1 PE路由器(SE800)配置目前全省尚未部署业务路由器，而思科6509不具备PE路由器的能力，因此在本期工程完成SE800的部署后，可使用SE800作为PE路由器在全省范围内开通MPLS业务。配置任务包括 启用MPLS和L