redback se800广东维护手册.doc

2006年广东电信2006年第一期BRAS 扩容SE800 维护文档 广东SE800 维护手册目录1 基础原理介绍41.1 pppoe 原理介绍41.1.1PPPoE协议概述PPPoE的工作原理PPPoE的特点51.1.2PPPoE在BAS上的实现PPPoE的效率PPPoE与VLAN的结合PPPoE对多业务选择的支持 PPPoE对组播的支持71.1.3 pppoe 技术总结81.2 qinq 介绍91.2.1概述91.2.2 QinQ的基本原理91.2.3 QinQ对其它特性的影响103 广东SE800 的标准配置：113.1 SE800 CLI 结构概述和一些基本参数配置113.2 SE800 在全局配置下的相关配置113.2.1 在全局模式下设置机器时钟113.2.2 在config 模式下设置系统名称113.2.3 在config 模式下启用多context 功能123.2.4 在全局模式下启用context 域间路有功能123.2.5 在所有的context 和domain 中广播pppoe 请求包123.2.6 让se800 在出来pppoe广播包时结束各种服务名称123.context 的具体配置123.3.1如何进入local 配置模式123.3.2 配置远程登陆用户名及相应的密码123.3.3设置全局密码123.3.4启用ssh 服务123.3.5定义interface 接口133.3.6 配置ospf 协议133.3.7 Ip pool 的配置133.3.8定义用户的缺省属性143.4 认证参数的详细配置143.4.1 定义全局参数的配置143.4.2 在local 中相关radius 服务器的具体配置143.4.3定义采用全局认证的context 的radius 相关配置153.4.4配置用户异常下线后多长时间能够上网153.5 物理端口的配置153.5.1 端口的基本配置153.5.2互连interface vlan 的配置153.5.3 pppoe 拨号vlan 的配置153.5.4 qinq vlan 的配置163.6qos 的相应配置164 redback 与cisco 7609 和6509的详细配置164.1使用qinq 的必要性164.1.1 一个用户一个vlan 的需求164.1.2 用户帐户安全角度的需求174.7609 与se800 相应的qinq 配置174.2.1 测试拓朴图174.2.2 测试条件描述174.2.3 7609 的详细配置步骤184.2.4 SE800 对应7609 qinq 的相应配置步骤194.3 6509 与se800 相应的qinq 配置204.3.2 在6509 上相应的vlan 配置检查命令204.3.3 SE800 对应6509 qinq 的相应配置步骤214.配置7609 和6509 须注意的一些问题215 SE800 日常维护215.1 外观介绍215.2 常用到的管理维护命令225.2.1硬件维护命令：225.2.2 日志检查275.2.3端口流量及错误告警295.2.4 CPU利用率295.2.5在线用户数315.2.6和Radius Server的通信325.2.7 本机数据备份335.2.8 远程数据备份345.2.9查看crash 文件345.2.10检查机器是否重启355.3 如何合理的配置系统355.3.1 SE800对VLAN和PVC的支持能力及规划建议355.3.2 VLAN规划建议 (qinq vlan 例外)355.3.3合理运用多context以利于维护和管理365.故障诊断361 基础原理介绍1.1 pppoe 原理介绍近年来，网络数据业务发展迅速，宽带用户呈爆炸式的增长，运营商在采用xDSL，LAN，HFC，无线等多种接入方式的同时，为了构建一个可运营、可管理、可盈利的宽带网络，十分关心如何有效地完成用户的管理，PPPoE就是随之出现的多种认证技术中的一种。 1.1.1PPPoE协议概述 PPPoE的工作原理 PPPoE(PPP over Ethernet)是在以太网上建立PPP连接，由于以太网技术十分成熟且使用广泛，而PPP协议在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制，二者结合而成的PPPoE协议得到了宽带接入运营商的认可并广为采用。 PPPoE建立过程可以分为Discovery阶段和PPP会话阶段。Discovery阶段是一个无状态的阶段，该阶段主要是选择接入服务器，确定所要建立的PPP会话标识符Session ID，同时获得对方点到点的连接信息；PPP会话阶段执行标准的PPP过程。 一个典型的Discovery阶段包括以下4个步骤： (1)主机首先主动发送广播包PADI寻找接入服务器，PADI必须至少包含一个服务名称类型的TAG，以表明主机所要求提供的服务。 (2)接入服务器收到包后如果可以提供主机要求 0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1 以太网类=0x8863/8864版本(Ver)类型(Type)编码(CODE) 会话ID(Session ID)长度(Length) 净荷(Payload) (3)主机在回应PADO的接入服务器中选择一个合适的，并发送PADR告知接入服务器，PADR中必须声明向接入服务器请求的服务种类。 (4)接入服务器收到PADR包后开始为用户分配一个唯一的会话标识符Session ID，启动PPP状态机以准备开始PPP会话，并发送一个会话确认包PADS。 主机收到PADS后，双方进入PPP会话阶段。在会话阶段，PPPoE的以太网类域设置为0x8864，CODE为0x00，Session ID必须是Discovery阶段所分配的值。 PPP会话阶段主要是LCP、认证、NCP 3个协议的协商过程，LCP阶段主要完成建立、配置和检测数据链路连接，认证协议类型由LCP协商(CHAP或者PAP)，NCP是一个协议族，用于配置不同的网络层协议，常用的是IP控制协议(IPCP)，它负责配置用户的IP和DNS等工作。 PADT包是会话中止包，它可以由会话双方的任意一方发起，但必须是会话建立之后才有效。 PPPoE的特点 PPPoE不仅有以太网的快速简便的特点，同时还有PPP的强大功能，任何能被PPP封装的协议都可以通过PPPoE传输，此外还有如下 特点： (1)PPPoE很容易检查到用户下线，可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计，计费方式灵活方便。 (2)PPPoE可以提供动态IP地址分配方式，用户无需任何配置，网管维护简单，无需添加设备就可解决IP地址短缺问题，同时根据分配的IP地址，可以很好地定位用户在本网内的活动。 (3)用户通过免费的PPPoE客户端软件(如EnterNet)，输入用户名和密码就可以上网，跟传统的拨号上网差不多，最大程度地延续了用户的习惯，从运营商的角度来看，PPPoE对其现存的网络结构进行变更也很小。 DSLAM是ADSL汇聚设备，其内核采用ATM或IP但上联口为以太网口，BAS是局端实现PPPoE功能的接入服务器，它终结由用户侧发起的PPPoE进程。下行的以太帧从IP城域网经路由器送到BAS，被加上PPPoE的头后送到DSLAM封装成AAL5帧，经过交叉模块发送到ADSL Modem，由其完成AAL5帧重组并解出以太帧发送到客户端，客户端从PPPoE包中取出IP数据包。 上行的PPPoE包在ADSL Modem中封装成AAL5帧，由ATM信元传输到局端的DSLAM，DSLAM负责终结ATM，重新组合出PPPoE包，并通过设好的PVC(永久虚电路)传送到BAS处理。 从上面可以看出，PPPoE将PPP承载到以太网之上，实质是在共享介质的网络上提供一条逻辑上的点到点链路，对用户而言，在DSLAM和ADSL Modem之间的ATM传输是透明的，如果将中间的DSLAM和ADSL Modem换成有线电视的接入设备,就是典型的HFC接入，BAS对PPPoE包的处理方式不变。 1.1.2PPPoE在BAS上的实现 PPPoE拨号软件在应用中已经很成熟(Windows XP中自带)，下面重点讨论PPPoE在接入服务器BAS中的实现方式。 PPPoE的效率 从PPPoE协议模型可以看出，BAS汇聚了用户的所有数据流，它必须将每一个PPPoE包都拆开检查处理，这在很大程度上是沿袭了传统的PPP处理的方式，虽然有很好的安全性，但一旦用户很多，数据包数量很大，解封装速度就需要很快，BAS很大的精力花在检测用户的数据包上，容易形成接入的“瓶颈”。 为此，在BAS的硬件结构上可以采用分布式网络处理器(NP)和ASIC芯片设计。网络处理器是专门针对电信网络设备而开发的专用处理器，它有一套专门的指令集，用于处理电信网络的各种协议和业务，可以大大提高设备的处理能力。同时，ASIC芯片转发数据包时接近硬件的转发性能，远非CPU软件方式可比，采用这种方式将PPPoE数据流的处理与转发分开，工作效率大大提高。此外在软件系统结构上还应该与其他技术相结合，更好地发挥PPPoE的性能。 PPPoE与VLAN的结合 VLAN即虚拟局域网，是一种通过将局域网内的设备逻辑地划分成一个个不同的网段，从而实现虚拟工作组的技术。划分VLAN的目的，一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验；二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部。 PPPoE是一个客户端/服务器协议，客户端需要发送PADI包寻找BAS，因此它必须同BAS在同一个广播式的二层网络内，与VLAN的结合很好地解决了这方面的安全隐患。此外通过将不同业务类型的用户分配到不同的VLAN处理，可以灵活地开展业务，加快处理流程，当然VLAN的规划必须在二层设备和BAS之间统一协调。 BAS收到上行的PPPoE包后，首先判别VLAN ID的所属类别，如果是普通的拨号用户，则确定是Discovery阶段还是会话阶段的数据包，并严格按照PPPoE协议处理。在会话阶段，根据不同的用户类型从不同的地址池中向用户分配IP地址，地址池由上层网管配置。如果是已经通过认证的用户的数据包，则根据该用户的服务类型处理，比如，如果是本地认证的拨号用户，且对方也申请有同样的功能，则直接由本地转发。 如果是专线用户，则不用经过PPPoE复杂的认证过程，直接根据用户的VLAN ID便可进入专线用户处理流程，接入速度大大提高。此外为了统一网管，在BAS与其他设备之间需要通信，这些数据包是内部数据包，也可根据VLAN ID来辨别。 对于下行数据，由于BAS负责分配和解析用户的IP，兼有网关的功能，它收到数据包的目的IP是用户的，因此以IP为索引查找用户的信息比根据MAC要方便得多，这一点与普通的交换机有所不同，具体过程跟上行处理差不多。 PPPoE对多业务选择的支持 多业务选择指的是用户通过一条终结到BAS的PPP连接来自主地选择后台网络运营商所提供的多种业务。之所以要支持多业务的选择，一方面是因为各种业务的具体实现在技术上的侧重点是不同的，对网络性能的要求也不尽相同，以前采取的固定分配的方式非常不便；另一方面，从网络应用的发展看，网络内容服务供应商ICP与网络接入商ISP的分离是必然趋势，在接入汇聚侧，ISP必须严格保证将用户选择的业务流转发到相应的ICP中去。 目前采用的方法是用户先在PPPoE拨号软件中选择相应的业务，然后对用户进行业务授权确认，最后激活BAS内部相应的处理模块。但是采用这种方式，用户只能知道业务的名字，无法直观地、全面地获知BAS提供的各种业务类型，特别是在新业务的开展上十分困难，有很大的局限性。 因此可以将BAS与后台业务选择网关及RADIUS服务器相配合，采取先认证后选择业务的方式，具体操作如下： (1)主机发送PADI寻找BAS，PADI中包含一个服务名类型的TAG，它的值为空，表示该用户可以接受任何类型的服务。 (2)BAS收到包后回送PADO，PADO中包含所有可以提供的服务的TAG，同时，还包含一个服务名为General的TAG。 (3)主机发送PADR。用户选择已知的服务名，也可以选择General服务。 (4)BAS收到PADR包后为用户分配资源，并开始PPP协商过程。在PPP过程中，BAS将用户输入的账号和密码等信息送到RADIUS服务器上认证。 (5)通过认证的用户，享受BAS提供的该项服务，但如果选择的是General，则被强制访问与BAS直连的服务选择网关。后台的服务选择网关是一台具有Web Server功能的服务器，用户可以通过Web的交互式界面得到可选择业务的相关信息(包括费用、带宽等)，同时显示该用户账号对应的信息。 (6)用户选择相应的业务，同时服务选择网关会定义各种用户的业务范围和操作权限。 (7)服务选择网关激活接入服务器内部相应的业务模型实现该业务。以上方式是严格按照PPPoE协议执行的，与当前流行的拨号软件完全兼容，如果用户对其他的业务根本不感兴趣而对已申请的业务非常熟悉，也不影响用户的习惯。 从BAS的角度考虑，PPPoE的操作流程也没有什么改变，只是多添了一种服务类型而已。如果运营商当前没有服务选择网关，可以通过网管配置，在对PADI包的回应时不包含General服务就可以了。 对于运营商来说，采用以上方式不仅大大提高了接入用户操作的透明度，还可以起到业务门户的作用，为下一步的服务扩展提供空间，而且从宽带接入网以后发展的趋势来看，按需分配与业务类型相应的带宽和QoS是必然的，PPPoE的这种业务选择运营模式是今后业务选择的发展方向。 PPPoE对组播的支持 PPPoE本身是一个点到点的协议，每一个用户与BAS之间都有一条PPP的链接，用户与BAS之间是通过这条链路经二层设备以单播的形式传输数据。但是随着网上视频业务的不断发展，人们对带宽的需求越来越大，PPPoE对组播的支持显得非常重要。PPPoE所支持的组播协议通常指的是二层组播协议IGMP proxy或IGMP Snooping，采取的基本方法是对每个组播数据包分组传送，下面分析这两种协议的实现方式。 A: IGMP Snooping IGMP Snooping是靠侦听用户与路由器之间通信的IGMP报文维护组播地址和VLAN的对应表的对应关系，它将同一组播组的活动成员映射为一个VLAN，在收到组播数据包后，仅向该组播组所对应的VLAN成员转发。主要操作流程如下： (1)主机与BAS进行PPPoE协商，通过PPPoE认证。 (2)主机向路由器发送IGMP成员报告包，BAS监听到该包，并从PPPoE数据包中得到组播组的地址，将该用户添加到对应的VLAN，如果该用户是组播组的第一个用户，则为这个组播组产生一个组播条目，并将该报文转发至上层路由器以更新组播路由表。 (3)BAS收到路由器的组播数据报文时，根据组播MAC地址和组播IP地址的对应关系，找到对应的VLAN，然后将数据包封装成PPPoE的会话包，向VLAN内的成员转发。 (4)当收到来自主机的申请离开组播组的包时，BAS把收到该包的端口从相应的VLAN中删除，若该用户是组播组最后一个用户(此时VLAN为空)，则把该VLAN删除，并把该包内容通过上行端口转发出去。 IGMP Snooping的规则比较简单，下行方向透传查询包，上行方向根据需要转发加入或离开包，但要求BAS必须有3层提取功能，它对于主机和路由器是透明的。 B: IGMP Proxy IGMP Proxy是靠拦截用户和路由器之间的IGMP报文建立组播表，Proxy设备的上联端口执行主机的角色，下联端口执行路由器的角色。 下面是简要流程： (1)主机与BAS进行PPPoE协商，通过PPPoE认证。 (2)上联端口执行主机的角色，响应来自路由器的查询，当新增用户组或者某组最后一个用户退出时，主动发送成员报告包或者离开包。 (3)下行方向的业务包按照组播表进行转发。 (4)下联端口执行路由器的角色，完全按照IGMP V2中规定的机制执行，包括查询者选举机制，定期发送通用查询信息，收到离开包时发送特定查询等。 IGMP Proxy在两个端口分别实现不同的功能，工作量相对较大，其优点是当网络中没有路由器时，IGMP Proxy设备可以起到查询者的作用，而且如果要扩展组播路由功能，Proxy比Snooping方便。考虑到BAS复制PPPoE多播数据对底层设备造成的巨大压力，而且当前的交换机和部分DSLAM(尤其是以IP为内核的DSLAM)已经开始支持二层组播,所以从发展的角度看采用IGMP Proxy更好一些。 1.1.3 pppoe 技术总结 采用NP的硬件结构以及PPPoE+VLAN的设计思想，大大提高了PPPoE的效率、安全性和可管理性，而增加PPPoE多业务选择和组播业务的支持，向用户提供优质灵活的服务，将为正在蓬勃发展的宽带建设注入新的活力。1.2 qinq 介绍 1.2.1概述Internet和IP技术的发展为提高企业内部的信息化程度提供了极大的便利。对于企业来说，实现不同地点网络的内部互联有两种选择，一种是建立自己的专用网络，但对于广大的中小企业来说，专网方式高昂的费用难以承受。另一种方式是虚拟专用网络，即VPN方式。VPN是中小企业从自建专网向利用运营网络的重要途径。通过部署VPN，可利用广泛覆盖、高带宽的骨干运营网络来实现企业网的互连，可为企业节省大量的建设费用。传统的IP VPN技术包括GRE/IPSec、L2TP等，主要采用的网络设备是路由器。近年来，随着三层交换机的不断成熟和大量应用，许多企业网和小型城域网用户都倾向于使用三层交换机通过二层vlan 透传的方式来搭建企业的vpn网，与路由器相比，三层交换机能够提供更高的转发速率且具有更加优越的性价比。QinQ是对802.1Q的扩展，其核心思想是将用户私网VLAN tag封装到公网VLAN tag上，报文带着两层tag穿越服务商的骨干网络，从而为用户提供一种较为简单的二层VPN隧道。其特点是简单而易于管理，不需要信令的支持，仅仅通过静态配置即可实现，特别适用于小型的，以三层交换机为骨干的企业网或城域网。1.2.2 QinQ的基本原理 图1基于802.1 Q协议的互联模式备注：图中的ce1为客户交换机，pe1 为sp 的三层交换机。图1为基于传统的802.1Q协议的网络，假设某用户的网络1和网络2位于两个不同地点，并分别通过服务提供商的PE1、PE2接入骨干网，如果用户需要将网络1的VLAN200-300和网络2的VLAN200-300互联起来，那么必须将CE1、PE1、P和PE2、CE2的相连端口都配置为Trunk属性，并允许通过VLAN200-300，这种配置方法必须使用户的VLAN在骨干网络上可见，不仅耗费服务提供商宝贵的VLAN ID资源（一共只有4094个VLAN ID资源），而且还需要服务提供商管理用户的VLAN号，用户没有自己规划VLAN的权利。为了解决上述问题，QinQ协议向用户提供一个唯一的公网VLAN ID，这个特殊的VLAN ID被称作Customer-ID，将用户私网VLAN tag封装在这个新的Customer-ID中，依靠它在公网中传播，用户私网VLAN ID在公网中被屏蔽，从而大大地节省了服务提供商紧缺的VLAN ID资源，如图2所示。图2 QinQ模式的基本原理在QinQ模式下，PE上用于用户接入的端口被称作用户端口。在用户端口上使能QinQ功能，并为每个用户分配一个Customer-ID，此处为3，不同的PE上应该为同一网络用户分配相同的Customer-ID。当报文从CE1到达PE1时，带有用户内部网络的VLAN tag 200-300，由于使能了QinQ功能，PE上的用户端口将再次为报文加上另外一层VLAN tag，其ID就是分配给该用户的Customer-ID。此后该报文在服务提供商网络中传播时仅在VLAN 3中进行且全程带有两层VLAN tag（内层为进入PE1时的tag，外层为Customer-ID），但用户网络的VLAN信息对运营商网络来说是透明的。当报文到达PE2，从PE2上的客户端口转发给CE2之前，外层VLAN tag被剥去，CE2收到的报文内容与CE1发送的报文完全相同。PE1到PE2之间的运营商网络对于用户来说，其作用就是提供了一条可靠的二层链路。可见，使用QinQ组建VPN具有如下特点：l 无需信令来维持隧道的建立，通过简单的静态配置即可实现，免去了繁杂的配置，维护工作。l 运营商只需为每个用户分配一个Customer-ID，提升了可以同时支持的用户数目；而用户也具有选择和管理VLAN ID资源的最大自由度（从1-4096中任意选择）。l 在运营商网络的内部，P设备无需支持QinQ功能，即传统的三层交换机完全可以满足需求，极大地保护了运营商的投资。l 户网络具有较高的独立性，在服务提供商升级网络时，用户网络不必更改原有的配置。因此，无论是对于运营商还是用户来说，采用QinQ方式组建vlan VPN都是一种低成本，简便易行，易于管理的理想方式1.2.3 QinQ对其它特性的影响由于在用户接入端口使能了QinQ，导致VPN用户的报文在网络上传播时带有两层VLAN tag，此时三层交换机的三层交换功能对于这种特殊的报文失效，因为交换机无法正确地获取报文内携带的IP地址等信息。但我们不必为此担心，因为VPN报文只在Customer-ID对应的VLAN内作二层转发，根本无需使用三层信息进行转发。而对于运营商网络内的其它普通报文，由于属于不同的VLAN，三层转发不会受到影响。在使能QinQ的用户接入端口，仍然可以使用acl规则对报文进行流分类，流限速，重定向等qos/acl操作，这无疑有利于运营商面向不同用户提供不同层次的差别服务。对于用户来说，选择适合自己需求的服务能够节省开支；而运营商也可以借此吸引更广泛的用户对象。3 广东SE800 的标准配置：目前，广东se800 都配置多个context (虚拟路由器)local ,eye,2000 ,iptv ,vpdn 等等，到省局计费中心的认证方式采用全局认证方式，地市拥有自己单独的认证计费服务器的采用分context 的方式认证，在se800 以全局认证方式和分context的认证方式并存。由于每个地市的业务部同，配置也不同。3.1 SE800 CLI 结构概述和一些基本参数配置SE800命令行配置类似Cisco的CLI，如果有过配置cisco路由器的经验，那么对SE800的配置将很容易上手。基本的配置思路：建立或进入context 建立业务所需的interface 和其它参数，比如路由退出context配置模式 进入端口配置状态 指定封装类型 配置dot1q pvc 绑定业务到电路上所有的业务配置都是基于这个步骤。命令行提示符格式：contexthostname(mode-name)# context代表命令提供到哪个contexthostname代表当前SE800的主机名mode-name代表当前配置模式的名3.2 SE800 在全局配置下的相关配置3.2.1 在全局模式下设置机器时钟localxch-qyl-se800#clock set yyyy:mm:dd:hh:mm3.2.2 在config 模式下设置系统名称localxch-qyl-se800(config)#system hostname word 3.2.3 在config 模式下启用多context 功能localxch-qyl-se800(config)#service multiple-contexts3.2.4 在全局模式下启用context 域间路有功能localxch-qyl-se800(config)#service inter-context routing3.2.5 在所有的context 和domain 中广播pppoe 请求包localxch-qyl-se800(config)#pppoe services all-domains 3.2.6 让se800 在出来pppoe广播包时结束各种服务名称localxch-qyl-se800(config)#pppoe service-name accept-all3.context 的具体配置3.3.1如何进入local 配置模式localxch-qyl-se800#config Enter configuration commands, one per line, end to exitlocalxch-qyl-se800(config)#context local localxch-qyl-se800(config-ctx)#-local 配置模式3.3.2 配置远程登陆用户名及相应的密码localxch-qyl-se800(config-ctx)#administrator test password test123其中test 为远程登陆用户名，test123 为用户名test 对应的密码3.3.3设置全局密码localxch-qyl-se800(config-ctx)#enable password zoo!#mac zoo!#mac 为全局enable 密码3.3.4启用ssh 服务由于SE800 所有的服务都缺省关闭，像telnet ,ftp 等等localxch-qyl-se800(config-ctx)#service ssh3.3.5定义interface 接口在context local 定义interface 配置如下, 如：local-loopback , local-qyl12016 ,local-qyl7609 . 其中loopback 接口不需要邦定到物理端口上就可以生效。A: 配置loopback 接口local-loopback localxch-qyl-se800(config-ctx)#interface local-loopback loopback localxch-qyl-se800(config-if)# ip address 9/32 localxch-qyl-se800(config-if)# ip source-address telnet snmp ssh ftp (对loopback 接口放开telnet ,ssh ,snmp 等功能)B: 配置到12016 的interface localxch-qyl-se800(config-ctx)#interface local-qyl12016 localxch-qyl-se800(config-if)# ip addresip address 10/30C:定义到6509 的interface localxch-qyl-se800(config-ctx)#interface local-qyl7609 localxch-qyl-se800(config-if)# ip address 14/303.3.6 配置ospf 协议Ospf 配置的具体步骤： localxch-qyl-se800(config-ctx)#route ospf 1 ( 定义ospf instance ) localxch-qyl-se800(config-ospf)#redistribute connect 把直连路由分布到ospf 中去localxch-qyl-se800(config-ospf)#redistribute static 把静态路由分布到ospf 中去 localxch-qyl-se800(config-ospf)#area 374知道area 号玛localxch-qyl-se800(config-ospf-area)#interface local-qyl12016把接口加入到ospf area 374 中去localxch-qyl-se800(config-ospf-if)#cost 10指定此接口的ospf cost 值为10,localxch-qyl-se800(config-ospf-if)#network-type point-to-point指定ospf 类型为点到点类型。 localxch-qyl-se800(config-ospf-area)#interface local-qyl12016localxch-qyl-se800(config-ospf-if)#cost 10localxch-qyl-se800(config-ospf-if)#network-type point-to-point3.3.7 Ip pool 的配置dialxch-qyl-se800(config-ctx)#interface adsl-01 multibind（定义ip pool 接口，一定要加关键字multibind ） dialxch-qyl-se800(config-if)# ip address /22 (定义pool 的网关地址)dialxch-qyl-se800(config-if)#ip pool /22（定义 pool 的地址范围）3.3.8定义用户的缺省属性dialxch-qyl-se800(config-ctx)#subscriber default（定义拨号用户的共同属性）dialxch-qyl-se800(config-sub)# ip address pooldialxch-qyl-se800(config-sub)# dns primary 8dialxch-qyl-se800(config-sub)# dns secondary 66dialxch-qyl-se800(config-sub)#pppoe url3.4 认证参数的详细配置 3.4.1 定义全局参数的配置 localse800(config)#aaa global authentication subscriber radius context local （启用全局认证方式 ，所有需去全局认证的context 都从local中去认证服务器认证）localse800(config)#aaa global accounting subscriber radius context local （启用全局认证方式 ，所有需去全局认证的context 都从local中去计费服务器计费）localse800(config)#aaa last-resort context local （所有不带domain后缀的用户都到context local 中去认证，但不带后缀的vpdn 用户不能到local中去认证）3.4.2 在local 中相关radius 服务器的具体配置 dialxch-qyl-se800(config-ctx)# radius server 44 key dggnet66（定义认证服务器及认证端口） localse800(config-ctx)#nas-ip-address interface local-loopback（定义se800 向认证服务器发送认证包的源接口） localse800(config-ctx)# radius attribute nas-port format slot-port（给radius 服务器送se800 的slot ,port 信息）localse800(config-ctx)# radius attribute nas-port-id format modified-agent-circuit-id（给radius 服务器送se800 的满足电总标准的nas-port-id 格式）localse800(config-ctx)# aaa authentication subscriber radius local 定义用户认证的顺序）localse800(config-ctx)# aaa accounting subscriber radiuslocalse800(config-ctx)# radius attribute calling-station-id format slot-port （定义用户能望省计费中心送正确的calling-station-id 格式）localse800(config-ctx)#aaa ignore-min-timeout-limit（此条隐含命令主要用来控制预付费下线时间。目前广东无流量计费业务，）localse800(config-ctx)# radius accounting server 44 key dggnet66(定义计费服务器及计费端口和相应的key 值)。3.4.3定义采用全局认证的context 的radius 相关配置 如 context iptv 采用全局认证方式，在此context下只需要配置一条认证命令 iptvse800(config-ctx)# aaa authentication subscriber global 3.4.4配置用户异常下线后多长时间能够上网local (config-ctx)# ppp keepalive check-interval seconds 30 response-timeout 30 data-check 3.5 物理端口的配置在se800 中，interface ，context 是三层的概念，而port 是二层的概念，把interface 绑定到物理port 上。Interface 才能起真正的三层作用。3.5.1 端口的基本配置localxch-qyl-se800#configlocalxch-qyl-se800(config)#port eth 6/1进入端口配置模式localxch-qyl-se800(config-port)# description to-qylgsr12016-1/3给端口加描述localxch-qyl-se800(config-port)#no shut把端口打开3.5.2互连interface vlan 的配置localxch-qyl-se800(config)#port eth 6/1localxch-qyl-se800(config-port)# encapsulation dot1q（对此端口封装dot1p ,不封装dot1q 的话，只能bindinterface 不能邦定多个interface） localxch-qyl-se800(config-port)# dot1q pvc 10 （定义context local 下与gsr 相连的vlan 号为10）localxch-qyl-se800(config-dot1q-pvc)# bind interface local-qyl12016 local (格式：bind interface interfacename contextname , 把local 下的interface local-qyl12016 邦定到context local 下)3.5.3 pppoe 拨号vlan 的配置localxch-qyl-se800(config)#port eth 6/1localxch-qyl-se800(config-port)#dot1q pvc 655 encapsulation pppoe指定vlan 655 上传的包为封装pppoe 的包。localxch-qyl-se800(config-dot1q-pvc)#bind authentication pap maximum 100(指定vlan 655 中可同时认证的用户数为100个)。3.5.4 qinq vlan 的配置 A: 普通qinq vlan的配置 localxch-qyl-se800(config)#port eth 6/1localxch-qyl-se800(config-port)#dot1q pvc 656 encapsulation 1qtunnel (定义此vlan 为svlan,此vlan 用1qtunnel 封装)localxch-qyl-se800(config-port)#dot1q pvc 656:1 through 100 encapsulation pppoe（拔vlan 656 分成100 个子vlan ）localxch-qyl-se800(config-dot1q-pvc)#bind authentication pap maximum 1(定义每个子vlan 只有一个用户可以同时认证) B： 动态qinq vlan 配置（ ccod 的配置） localse800(config-port)#dot1q pvc 753 encapsulation 1qtunnel(指定vlan的封装为 qinq vlan) localse800(config-port)#dot1q pvc on-demand 753:1 through 100 encapsulation pppoe（ 配置qinq vlan 为动态ccod, 这样可以节省内存消耗） local(config-dot1q-pvc)#bind authentication pap maximum 1003.6qos 的相应配置localxx-ymk-se800(config)#qos policy PPPOE-1M metering（其中PPPOE-1M 为关键字，与radius 定义此属性的关键字完全一样，如果给用户开的是1M的带宽。但是在se800 上没有定义PPPOE-1M的策略，用户将无法上网）。localxx-ymk-se800(config-policy-metering)#rate 1000 burst 5000（对应此策略的用户下载速度为1M） localxx-ymk-se800(config-policy-rate)#qos policy PPPOE-2M metering localxx-ymk-se800(config-policy-metering)#rate 2000 burst 10000localxx-ymk-se800(config-policy-rate)#qos policy PPPOE-512K metering localxx-ymk-se800(config-policy-metering)#rate 512 burst 3000详细的se800 配置请见附录：4 redback 与cisco 7609 和6509的详细配置 4.1使用qinq 的必要性 4.1.1 一个用户一个vlan 的需求为了减少同一个vlan 中用户的互相干扰，以及用户网络设备的安全性，在本期项目中在设备条件满足的局向将对没个用户分配一个vlan ,但是由于交换机支持vlan 数目的限制性，交换机支持最大的vlan 数目为4096 ,而se800 最多支持同时在线用户为32000