北京网通5200G开局规范V1.1.doc

北京网通5200G开局规范V1.1文档密级：对外公开北京网通5200G开局规范（V1.1）华为公司北京办事处Huawei Technologies Co., Ltd.2006年11月目 录1目的32典型网络结构43资源管理53.1版本统一53.2VLAN资源54MA5200G配置指导64.1MA5200G基本配置64.1.1系统命名64.1.2时间设置64.1.3登录帐号控制64.1.4Radius服务器配置74.1.5IP POOL配置104.1.6域配置124.1.7对接配置144.1.8缺省路由配置154.1.9snmp配置164.1.10AAA配置164.2配置脚本171 目的针对北京网通5200G BAS组网，指定开局规范，指导开局人员规范操作，防止由于开局不规范导致后期的种种遗留问题发生。2 典型网络结构目前，北京网通5200G组网情况如下：3 资源管理3.1 版本统一目前北京网通5200G使用的版本是VRP3.302332版本。3.2 VLAN资源每个Ethernet端口支持4K VLAN/64K stack VLAN，端口间VLAN可重叠，每板支持 32K VLAN/64K stack VLAN。整机最大支持256K VALN/512K stack VLAN。4 MA5200G配置指导开局前必须对设备状态进行自检，重点检查license是否正确添加，然后才能进行数据配置，下面的数据配置举例中涉及的IP地址，需要根据具体的局点分配的IP配置。4.1 MA5200G基本配置4.1.1 系统命名MA5200G名称格式为：5200G+局点名称序号譬如三立局点有一台MA5200G命名为5200GSL01。4.1.2 时间设置目前MA5200G设定是跟踪ntp server时间，具体配置如下：MA5200Gntp-service source-interface LoopBack0 MA5200Gntp-service unicast-server 61.148.1.2 priority /主用MA5200Gntp-service unicast-server 61.148.1.4 /备用clock timezone BJ add 08:00:00/需要添加东八区时区。备注：配置ntp服务器后，如果发现NTP servr无法同步（display ntp status显示：clock status: unsynchronized）,则需要把系统时间改为北京时间，如果ntp server是同步的，需要更改配置，必须删除所有ntp配置后重新添加，否则不生效。clock datatime HH:MM:SS YYYY/MM/DD4.1.3 登录帐号控制 原则：配置两个本地帐号，一个是Telnet帐号，一个是con口帐号，两个本地帐号的口令和super口令的设置要不同，使用密文格式, Telnet帐号和con帐号的初级权限为0， 必须通过super才能进入3级权限，Telnet帐号还需要制定限制的ACL。MA5200Gacl number 2999 /number规定为2999 MA5200G-acl2999rule 0 permit source 61.148.238.96 0.0.0.31 MA5200G-acl2999rule 1 permit source 61.148.219.160 0.0.0.31 /开局只加上两个允许网段。 MA5200G-acl2999rule 10 deny MA5200Guser-interface vty 0 4MA5200G-user-interface-vty 0-4 authentication-mode aaaMA5200G-user-interface-vty 0-4 acl 2999 inboundMA5200Guser-interface con 0MA5200G-user-interface-con 0 authentication-mode aaaMA5200Glocal-aaa-server MA5200G- local-aaa-serveruser huawei password cipher MAF41! authentication-type T level 0/T表示是telnet帐号，初始权限都是0MA5200G- local-aaa-serveruser huawei1 password cipher MAF41! authentication-type M level 0/M表示是terminal帐号，也就是con帐号，初始权限都是0MA5200Gsuper password level 3 cipher V,C!3X*&a_a/-1U%!/super密码显示必须为密文模式：cipher4.1.4 Radius服务器配置BRAS的主备DNS和Radius按照以下规则配置： 二、三、八 和北边六个郊区分（昌平、怀柔、顺义、延庆、密云、平谷）公司的BRAS主用均为电报局，四、五、七区和+南边四个郊区分公司(房山、大兴、门头沟、通州)主用均为国际局。电报局Radius： 202.106.46.43，DNS： 202.106.46.151国际局Radius： 202.106.0.66， DNS： 202.106.195.68。/说明：Radius服务器的状态在系统中有两种状态标记：UP和DOWN。初始时所有的Radius服务器的状态都是UP的。DOWN状态的含义是：BAS系统向某个Radius服务器连续发送N个报文，在超时间隔内均收不到该Radius服务器的回应，则BAS系统认为该Radius服务器已经DOWN掉，相应的会将其状态置为DOWN标记。在MA5200中，N可以通过命令radius-server dead-count countvalue配置，默认为10次。服务器状态变为DOWN以后，过一定的时间后BAS系统会把该服务重新设为UP状态，在MA5200中，该时间间隔的值可以通过命令radius-server dead-time time-value设置，time-value值的单位为分钟。默认为3分钟。服务器状态变为DOWN以后，如果已有用户选择使用该服务器发送报文，发送超时但是还没有达到设定的重传次数，则会继续使用该服务器发送报文。MA5200中，超时时间（报文再次发送的重传时间间隔）和重传次数可以在Radius服务器视图下通过命令radius-server time-out value（value的单位为秒）和radius-server retransmit times来设置。radius group下配置的超时时间和重传次数，对组下的每个服务器生效，一个服务器发送次数超过重传次数将继续选择下一个服务器。这样如果服务器组下设置的重传次数为N，服务器个数为3，则某个用户的报文的重传次数为3N。MA5200Ginterface LoopBack0MA5200G-LoopBack0ip address 61.148.2.117 255.255.255.255/每个局点Loopback根据分配的地址配置。MA5200Gradius-server source interface LoopBack0/MA5200G和Radius通信使用LoopBack 0MA5200Gradius-server group yaxin/ADSL用户使用的Radius server命名为yaxinMA5200G-radius-asian-info radius-server authentication 202.106.0.66 1645 weight 100/weight 100表示主用，weight 0表示备用。MA5200G-radius-asian-inforadius-server authentication 202.106.46.43 1645 weight 0MA5200G-radius-asian-info radius-server accounting 202.106.0.66 1646 weight 100MA5200G-radius-asian-inforadius-server accounting 202.106.46.43 1646 weight 0MA5200G-radius-asian-inforadius-server shared-key eq_05200gMA5200G-radius-asian-inforadius-server timeout 10MA5200G-radius-asian-infoundo radius-server user-name domain-included/ADSL域帐号送给Radius服务器不带域名。MA5200Gradius-server group itellin/201用户使用的Radius server命名为itellinMA5200G-radius-asian-itellinradius-server authentication 61.49.7.151 1812 weight 100MA5200G-radius-asian-itellinradius-server accounting 61.49.7.151 1813 weight 100MA5200G-radius-asian-itellinradius-server shared-key f9k8y2m8MA5200G-radius-asian-itellinradius-server retransmit 5 timeout 10MA5200Gradius-server group bbnworld/IP TV用户使用的Radius server命名为bbnworldMA5200G-radius-asian-info radius-server authentication 202.106.0.66 1645 weight 100MA5200G-radius-asian-inforadius-server authentication 202.106.46.43 1645 weight 0MA5200G-radius-asian-info radius-server accounting 202.106.0.66 1646 weight 100MA5200G-radius-asian-inforadius-server accounting 202.106.46.43 1646 weight 0MA5200G-radius-asian-inforadius-server shared-key eq_05200gMA5200G-radius-asian-inforadius-server timeout 10MA5200Gradius-server group yaxin-bbn/bbn漫游用户使用的radius server命名为yaxin-bbnMA5200G-radius-asian-info radius-server authentication 202.106.0.66 1645 weight 100MA5200G-radius-asian-inforadius-server authentication 202.106.46.43 1645 weight 0MA5200G-radius-asian-info radius-server accounting 202.106.0.66 1646 weight 100MA5200G-radius-asian-inforadius-server accounting 202.106.46.43 1646 weight 0MA5200G-radius-asian-inforadius-server shared-key eq_05200gMA5200G-radius-asian-inforadius-server timeout 104.1.5 IP POOL配置IP POOL分为三类，一类作为普通PPPOE用户使用，一类给企业用户用，一类给网管用。网管IP POOL配置：由于5200G和4507互连需要占用8个地址，所以网管 dslam-pool的地址段一般都是分开的，不是连续的C。MA5200Gip pool dslam-pool1 localMA5200G-ip-pool-dslam-pool1gateway 219.158.254.17 255.255.255.240 MA5200G-ip-pool-dslam-pool1section 0 219.158.254.18 219.158.254.30 MA5200G-ip-pool-dslam-pool1excluded-ip-address 219.158.254.18 219.158.254.30MA5200Gip pool dslam-pool2 localMA5200G-ip-pool-dslam-pool2gateway 219.158.254.33 255.255.255.224 MA5200G-ip-pool-dslam-pool2section 0 219.158.254.34 219.158.254.62MA5200G-ip-pool-dslam-pool2excluded-ip-address 219.158.254.34 219.158.254.62MA5200Gip pool dslam-pool3 localMA5200G-ip-pool-dslam-pool3gateway 219.158.254.65 255.255.255.192 MA5200G-ip-pool-dslam-pool3section 0 219.158.254.66 219.158.254.126MA5200G-ip-pool-dslam-pool3excluded-ip-address 219.158.254.66 219.158.254.126MA5200Gip pool dslam-pool4 localMA5200G-ip-pool-dslam-pool4gateway 219.158.254.129 255.255.255.128 MA5200G-ip-pool-dslam-pool4section 0 219.158.254.130 219.158.254.254MA5200G-ip-pool-dslam-pool4excluded-ip-address 219.158.254.130 219.158.254.255由于dslam pool分割剩下了16个地址给互连用，4507只用了8个，还剩下8个5200G没有路由，为了防止路由振荡，需要配置黑洞路由。MA5200G ip route-stati 219.158.254.0 255.255.255.0 NULL 0/每台设备根据具体的dslam pool地址池配置黑洞路由，如果没有分割地址池，则不需要配置。企业用户IP POOLMA5200Gip pool fixed-ip-pool1 remoteMA5200G-ip-pool-fixed-ip-pool1gateway 222.128.10.1 255.255.255.192MA5200G-ip-pool-fixed-ip-pool1dns-server 202.106.46.151MA5200G-ip-pool-fixed-ip-pool1dns-server 202.106.195.68 secondary普通用户IP POOLMA5200Gip pool pool1 localMA5200G-ip-pool-pool1 gateway 222.129.32.1 255.255.240.0MA5200G-ip-pool-pool1 section 0 222.129.32.2 222.129.35.254MA5200G-ip-pool-pool1 section 1 222.129.36.1 222.129.39.254MA5200G-ip-pool-pool1 section 2 222.129.40.1 222.129.43.254MA5200G-ip-pool-pool1 section 3 222.129.44.1 222.129.47.254MA5200G-ip-pool-pool1 dns-server 202.106.46.151MA5200G-ip-pool-pool1dns-server 202.106.195.68 secondary /举例中只写了一个pool1，现网配置中需要把所有分配的pool都加上。4.1.6 域配置域分为五类，一类作为普通PPPOE用户使用，一类给201用户用，一类给漫游用户用，一类给网管用，一类给telnet用户用。网管IP POOLMA5200Gdomain dslamMA5200G-domain-dslamauthentication-scheme none-authMA5200G-domain-dslamaccounting-scheme none-acctMA5200G-domain-dslamip-pool dslam-pool1MA5200G-domain-dslamip-pool dslam-pool2MA5200G-domain-dslamip-pool dslam-pool3MA5200G-domain-dslamip-pool dslam-pool4/现网配置中需要把相关的pool都加上。201用户域MA5200Gdomain 201MA5200G-domain-201authentication-scheme radius-authMA5200G-domain-201accounting-scheme 201-acctMA5200G-domain-201radius-server group itellinMA5200G-domain-201idle-cut 60 1MA5200G-domain-201ip-pool pool1/现网配置中需要把相关的pool都加上。普通用户域MA5200Gdomain adslMA5200G-domain-adslauthentication-scheme radius-authMA5200G-domain-adslaccounting-scheme radius-acctMA5200G-domain-adslradius-server group asian-infoMA5200G-domain-adslidle-cut 60 1MA5200G-domain-adslip-pool pool1MA5200G-domain-adslip-pool fixed-ip-pool1/现网配置中需要把相关的pool都加上。 MA5200Gdomain bbnMA5200G-domain-adslauthentication-scheme radius-authMA5200G-domain-adslaccounting-scheme radius-acctMA5200G-domain-adslradius-server group yaxin-bbnMA5200G-domain-adslidle-cut 60 1MA5200G-domain-adslip-pool pool1MA5200G-domain-adslip-pool fixed-ip-pool1/现网配置中需要把相关的pool都加上。telnet 5200G用户域MA5200Gdomain default_adminMA5200G-domain-default_adminauthentication-scheme local-authMA5200G-domain-default_adminaccounting-scheme none-acct4.1.7 对接配置5200G和4507对接分为2部分，一个互连ip对接，一个是用户QinQ对接互连对接（有2个GE口，下面只写出一个，另一个配置方法一致）MA5200Ginterface GigabitEthernet4/1/0.8MA5200G-GigabitEthernet3/0/0.8description /To ciqu_cisco4507_GE_1/3/端口描述包括对端设备名和相应的端口号。MA5200G-GigabitEthernet3/0/0.8vlan-type dot1q vid 8MA5200G-GigabitEthernet3/0/0.8mtu 1600MA5200G-GigabitEthernet3/0/0.8undo shutdownMA5200G-GigabitEthernet3/0/0.8ip address 219.158.192.249 255.255.255.252PPPOE用户对接MA5200Ginterface GigabitEthernet3/0/0.10/子接口的编号和QINQ所带外层标签一致。MA5200G-GigabitEthernet3/0/0.10qinq-vlan 10MA5200G-GigabitEthernet3/0/0.10user-vlan 10 521MA5200G-GigabitEthernet3/0/0.10pppoe-server bind virtual-template 1MA5200G-GigabitEthernet3/0/0.10description to_xinkangmokuai1MA5200G-GigabitEthernet3/0/0.10undo shutdownMA5200G-GigabitEthernet3/0/0.10basMA5200G-GigabitEthernet3/0/0.10-basaccess-type layer2-subscriber default-domain authentication adslnas-port-type adsl-dmtMA5200G-GigabitEthernet3/0/0.10access-limit 1 start-vlan 10 end-vlan 521/一个VLAN一个用户必须配置接入限制。网管用户对接MA5200Ginterface GigabitEthernet3/0/0.3014/子接口的编号3000QinQ外层标签。MA5200G-GigabitEthernet3/0/0.3014qinq-vlan 14MA5200G-GigabitEthernet3/0/0.3014user-vlan 9MA5200G-GigabitEthernet3/0/0.3014description to_kuan_HOUSE_BMA5200G-GigabitEthernet3/0/0.3014undo shutdownMA5200G-GigabitEthernet3/0/0.3014basMA5200G-GigabitEthernet3/0/0.3014-basaccess-type layer2-subscriber default-domain authentication dslamMA5200G-GigabitEthernet3/0/0.3014authentication-method bind/网管的认证方式为bind9）5200G上行对接配置(有2个口配置，只写一个，另一个配置方式一致)MA5200Ginterface GigabitEthernet4/0/0MA5200G-GigabitEthernet4/0/0description To ShangDi_NE40E_G1/0/4 /端口描述包括对端设备名和相应的端口号。MA5200G-GigabitEthernet4/0/0undo shutdownMA5200G-GigabitEthernet4/0/0ip address 202.106.49.14 255.255.255.2524.1.8 缺省路由配置MA5200Gip route-static 0.0.0.0 0.0.0.0 202.106.49.13MA5200Gip route-static 0.0.0.0 0.0.0.0 61.148.40.1/配置2条缺省路由是为了上行负载分担，如果以后由于业务调整需要主备分担，可以更改缺省路由的preference值，静态路由的preference缺省是60，值越小越优。4.1.9 snmp配置MA5200Gsnmp-agent local-engineid 800007DB0300E0FC6FF132MA5200Gsnmp-agent community read SJZX-R acl 2999/ACL用规划的2999，只允许读，不允许写。MA5200Gsnmp-agent sys-info contact 8008302118A5200Gsnmp-agent sys-info location eq_xsq_officeMA