7750BRAS操作维护手册.doc

江苏移动7750BRAS操作维护手册作 者 姓 名： 张海亮 部门、 职位： 江苏分公司、技术经理 产 品： IP 7750 完 成 日 期： 2014年10月 创新沟通方式，缔造多彩生活上海贝尔股份有限公司设备操作手册更新记录日期修订版本描述作者2014-10-20V1.0涉及PPPoE业务内容业务开通张海亮目 录1.总体概述52.7750上BRAS功能实现63.7750BRAS和radius配合的相关属性83.1.常用属性和说明83.2.常用私有属性93.2.1.私有属性说明103.2.2.Radius根据不同业务类型的PPPoE用户下发组合124.BRAS各个功能模块配置和规范144.1.RADIUS server和认证计费策略定义144.1.1.定义认证和计费策略144.1.2.检查认证策略情况164.2.Sub-profile和PPPoE用户的组播策略174.3.sla-profile和QoS、ip-filter、category-map策略174.4.PPPoE用户拨号接入策略224.5.PPPoE用户恶意拨号锁定功能策略224.6.RADIUS属性映射策略、MSAP和LUDB策略234.7.PPPoE地址池和地址段增减274.7.1.地址段添加274.7.2.地址段删除284.8.PPPoE普通业务开通304.8.1.端口开通304.8.2.VPLS业务接入PPPoE动态创建vlan304.8.3.IES业务接入PPPoE的3层接入业务314.9.PPPoE接入L2TP用户业务开通324.9.1.配置静态隧道324.9.2.根据域名关联预配置的静态隧道324.10.PPPoE业务itv业务开通334.10.1.端口开通334.10.2.VPLS业务接入PPPoE动态创建vlan334.10.3.IES业务接入拨号的ITV业务344.10.4.将组播接口加入IGMP协议355.BRAS常用查询show和debug命令使用365.1.常用的show命令365.1.1.查看端口状态和封装365.1.2.查看PPPoE业务L3接口状态365.1.3.查看当前PPPoE在线用户数375.1.4.查看当前PPPoE用户在线情况375.1.5.基于username查询在线状态385.1.6.基于用户IP地址查询395.1.7.基于MAC地址查询405.1.8.基于端口查询在线数405.1.9.基于用户vlan查询415.1.10.基于subscriber（username）查询415.1.11.基于用户类型查询445.1.12.查看PPPoE业务地址池使用情况445.1.13.查询PPPoE组播情况465.1.14.查询PPPoE用户信令转发情况475.1.15.检查log485.1.16.通过管道符匹配IP、MAC和用户名查询log495.1.17.查看资源占用情况495.2.debug相关命令505.2.1.debug 7750和radius互通消息515.2.2.debug 7750BRAS和终端之间交互的PPP报文515.2.3.debug DHCP报文515.3.clear 命令511. 总体概述本文档主要介绍阿尔卡特朗讯7750SR路由器实现的BRAS功能，主要包括：l 7750BRAS的功能实现；l 与radius互通相关属性和私有属性；l BRAS各个功能模块配置和规范；l 查询命令的使用；l Debug工具的使用。7750BRAS是BNG设备，能够同时实现SR业务，由于SR业务在移动较为简单，所以本文不涉及SR部分的介绍。本文也会规范BRAS功能的配置，和SR部分相同的采用省公司SR的配置规范。本文档为阿尔卡特朗讯公司7750 BRAS日常维护操作手册，只针对日常工作中常见的维护工作进行编写，若获取更多信息，请参阅以下文档： 7750SR Installation Guide7750SR OS System Management Guide7750SR OS System Basic Config Guide7750SR OS Interface Guide7750SR OS Router Config Guide7750SR OS Routing Protocol Guide7750SR OS MPLS Guide7750SR OS Service Guide7750SR OS QoS Config Guide7750 SR OS Triple Play Guide上述文档以7750SR路由器装箱光盘方式提供。2. 7750上BRAS功能实现7750BRAS根据各个功能配置不同的策略，主要包括的功能如下：1. PPPoE会话终结，7750BRAS通过配置策略响应和终结PPPoE拨号请求，并可以调整响应时间实现PPPoE功能的冷备份2. 确认PPPoE用户采取的认证方式，7750BRAS可以通过radius认证，也可以通过本地认证，现网中正常采用radius认证，当radius失效后自动切换到本地配置的免认证状态。3. 7750BRAS通过LAA功能进行IP地址分配，是基于7750本地的DHCP模块中预先配置的地址池（pool）和PPPoE地址分配进行关联，实现PPPoE用户的IP地址分配4. 7750BRAS维护通过PPPoE方式拨入的会话，通过ESM的相关属性对PPPoE用户实现认证计费、限速和和访问控制能功能实现。一般ESM属性在本地配置相关策略，由radius server通过公共或厂家私有属性下具体值给7750BRAS,然后由BRAS调用本地对应的策略。在radius失效情况下ESM属性可本地返回。一个PPPoE用户拨号上限必须包含三个属性（可radius返回也可本地配置默认）:subscriber-id、sub-profile、sla-profile。具体属性作用在配置规范中详细说明。3. 7750BRAS和radius配合的相关属性3.1. 常用属性和说明属性名称描述属性编号属性值User-Name要认证的用户名1string类型，内容可以是简单的字符，也可以形如带网络域名。User-Passward要认证的用户的口令2String类型，加密后的口令存放在这里长度至少为16 个字节，至多为128 个字节。Nas-IP-Address发起认证设备的IP地址4address类型，4字节的IP地址Nas-Port-Id用户接入的端口和vlan87String类型，接入端口和vlanVendor-specific厂家自定义的私有属性26各厂家的私有属性Session-Timeout允许用户使用的最大时长40Integer 类型4 字节无符号整数Framed-Pool地址池名字88String类型7750返回给Radius的Nas-Port-Id属性值是由端口号+:+vlan号组成的,如遇端口聚合，采用lag + ID的方式；端口号格式:1. a/b/c a值为1-10（槽位号），b值为1-2（子槽号），c值为1-48（端口号）2. lag-z lag为固定值，z值为1-200vlan号格式：1. 单层vlan时为：x ，x即为vlan号，值为：1-40942. QinQ时单层vlan时为：y ，x值为单层vlan号，值为：1-4094，y值为空vlan号，值为：03. QinQ时为：x.y ，x值为外层vlan号，值为：1-4094，y值为内层vlan号，值为：1-4094格式示例：1、1/1/1:100 即为7750的端口1/1/1的vlan1002、1/1/1:150.0 即为7750的端口1/1/1的vlan1503、1/1/2:200.300 即为7750的端口1/1/2的外层vlan200、内层vlan3004、lag-1:400 即为7750的捆邦端口lag-1的vlan4005、lag-1:450.0即为7750的捆邦端口lag-1的vlan4506、lag-2:500.600 即为7750的捆邦端口lag-2的外层vlan500，内层vlan600注：针对lag方式进行业务接入方式在radius系统的解析情况，建议将板卡和子卡的位置都用0进行填充，用lag的ID填充到端口部分。举例：lag-23，板卡位0、子卡位0、端口位233.2. 常用私有属性7750BRAS下PPPoE拨号建立需要私有属性实现接入功能，随着用户类型的不同，需要不同私有属性的组合和不同值实现接入。目前业务类型下私有属性如下：属性名称描述属性编号属性值Alc-Subsc-ID-Str用户subscriber id，直接映射username11user-nameAlc-Subsc-Prof-Str用户的计费和调度策略12sub-pppoesub-iptvAlc-SLA-Prof-Str用户的限速和ALC13sla-pppoesla-iptv3.2.1. 私有属性说明Alc-Subsc-ID-StrPPPoE用户subscriber ID。7750BRAS属性，标识一个用户而非一个会话（session），7750可通过同一subscriber的对同session进行层次化QoS调度和总带宽限制。radius通过截取认证请求中username作为该属性的值返回。该属性为radius下发，本地无需配置与其对应该属性是PPPoE用户拨号建立的必要属性Alc-Subsc-Prof-StrPPPoE用户（Subscriber）的profile，用于标识一个subscriber的计费、调度总带宽限制和组播等功能属性。该属性通过sub-indent-policy 与7750本地sub-profie的策略配置对应，属性值：sub-pppoe：普通宽带用户返回值sub-iptv ：itv用户返回值该属性是PPPoE用户拨号建立的必要属性Alc-SLA-Prof-StrPPPoE用户（Subscriber）的服务等级，用户标识一个subscriber的带宽限制和ACL访问控制，该属性和Alc-subscriber-qos-override属性配合使用控制一个subscriber的带宽；和Alc-Subscriber-Filter、Alc-Portal-Url属性配合使用控制用户的访问控制和重定向。属性值：sla-pppoe：普通宽带用户返回值sla-iptv ：iptv用户返回值该属性是PPPoE用户拨号建立的必要属性3.2.2. Radius根据不同业务类型的PPPoE用户下发组合PPPoE普通账号正常上网模式和radius不校验密码的直通模式，都要下发如下三个属性Alc-Subsc-ID-Str Alc-Sla-Prof-Str Alc-Subsc-Prof-Str 4. BRAS各个功能模块配置和规范4.1. RADIUS server和认证计费策略定义l 认证策略，定义认证请求携带的相关属性和radius失效切换免认证的配置,通过关联radius server策略实现认证请求上报A:AC7750config# subscriber-mgmt A:AC7750configsubscr-mgmt# info - authentication-policy auth-policy-1 create fallback-action user-db no-auth radius-authentication-server server 1 address 84 secret 4EiHkd hash2 server 2 address 8 secret 4ENEliajot hash2 server 4 address 20 secret 4EMVS5O hash2 coa-only source-address 4 exit user-name-format ascii-converted-circuit-id accept-authorization-change pppoe-access-method pap-chap include-radius-attribute circuit-id remote-id nas-port-id prefix-string hsi - nas-identifier mac-address exit exit-l 计费策略,配置认证开始、停止的报文携带属性。A:AC7750config# subscriber-mgmt A:AC7750configsubscr-mgmt# info - radius-accounting-policy acc-policy-1 create no queue-instance-accounting session-accounting interim-update host-update update-interval 60 include-radius-attribute delegated-ipv6-prefix framed-interface-id framed-ip-addr framed-ip-netmask framed-ipv6-prefix ipv6-address mac-address nas-identifier nas-port-id prefix-string hsi - user-name alc-acct-triggered-reason all-authorized-session-addresses exit session-id-format number radius-accounting-server source-address 4 server 1 address 84 secret 4EiHkd hash2 server 2 address 8 secret RRTREliajot hash2 exit exit-4.2. Sub-profile和PPPoE用户的组播策略Sub-profile是PPPoE用户的ESM属性中必要的属性，用户拨号建立后radius（当前情况）或本地都可以返回该属性，但本地使用和radius约定返回值作为策略名称进行配置。当前sub-profile主要是调用计费策略和调度策略。其中差异化提速的用户需要使用sub-profile中调用的调度策略限制PPPoEsession的总带宽。A:AC7750# configure subscriber-mgmt A:AC7750configsubscr-mgmt# info - sub-profile sub-pppoe-10M create radius-accounting-policy acc-policy-1 exit sub-profile sub-pppoe-10M4 create radius-accounting-policy acc-policy-1 egress scheduler-policy 10m exit exit exit -4.3. sla-profile和QoS由于PPPoE业务是基于session实现用户接入，无法直接关联QoS和ip-filter，因此需要通过ESM属性中的sla-profile实现。QoS和ip-filter需要预配置。l 定义PPPoE的QoS模板，其中sap-ingressegress 3000为下发给拨号的基础带宽，使用policer方式限速，默认不限速；sap-ingressegress 3001当radius失效后切换免认证后，给此类用户一个统一的带宽限速。A:AC7750configqos# info - scheduler-policy 10m create tier 1 scheduler 10m create port-parent rate 10000 exit exit exit sap-ingress 2010 create description 10M-PPPOE queue 1 create exit queue 11 multipoint create exit policer 1 create rate 10000 cir 10000 mbs 512 kilobytes cbs 256 kilobytes exit policer 2 create rate 128 cir 128 mbs 128 kilobytes cbs 64 kilobytes exit policer 6 create rate 10000 cir 10000 mbs 512 kilobytes cbs 256 kilobytes exit fc af create policer 1 exit fc be create policer 1 exit fc ef create policer 2 exit fc h1 create policer 1 exit fc h2 create policer 1 exit fc l1 create policer 6 exit fc l2 create policer 1 exit fc nc create policer 1 exit ip-criteria entry 10 create match protocol icmp exit action fc ef priority high exit exit ipv6-criteria entry 10 create match exit action fc l1 exit exit exit sap-ingress 2210 create description for-10M4-PPPOE queue 1 create exit queue 11 multipoint create exit policer 1 create rate 10000 cir 10000 mbs 512 kilobytes cbs 256 kilobytes exit policer 2 create rate 128 cir 128 mbs 128 kilobytes cbs 64 kilobytes exit fc af create policer 1 exit fc be create policer 1 exit fc ef create policer 2 exit fc h1 create policer 1 exit fc h2 create policer 1 exit fc l1 create policer 1 exit fc l2 create policer 1 exit fc nc create policer 1 exit ip-criteria entry 10 create match protocol icmp exit action fc ef priority high exit exit exit sap-egress 2010 create description 10M-PPPOE queue 1 create exit policer 1 create rate 10000 cir 10000 mbs 512 kilobytes cbs 256 kilobytes exit policer 2 create rate 128 cir 128 mbs 128 kilobytes cbs 64 kilobytes exit policer 6 create rate 10000 cir 10000 mbs 512 kilobytes cbs 256 kilobytes exit fc af create policer 1 exit fc be create policer 1 exit fc ef create policer 2 exit fc h1 create policer 1 exit fc h2 create policer 1 exit fc l1 create policer 6 exit fc l2 create policer 1 exit fc nc create policer 1 exit ip-criteria entry 10 create match protocol icmp exit action fc ef exit exit ipv6-criteria entry 10 create match exit action fc l1 exit exit exit sap-egress 2210 create description for-10M4-PPPOE queue 1 create parent 10m rate 4000 exit queue 2 create parent 10m rate 10000 exit policer 1 create rate 128 mbs 128 kilobytes cbs 64 kilobytes exit policer 6 create rate 10000 cir 10000 mbs 512 kilobytes cbs 256 kilobytes exit fc ef create policer 1 exit fc l1 create policer 6 exit fc l2 create queue 2 exit ip-criteria entry 10 create match protocol icmp exit action fc ef exit entry 11 create match src-ip /17 exit action fc l2 exit entry 122 create match src-ip /17 exit action fc l2 exit entry 123 create match src-ip /8 exit action fc l2 exit exit ipv6-criteria entry 10 create match exit action fc l1 exit exit exit-l 定义PPPoE的filter，由于PPPoE基于session控制，因此必须通过ESM属性对session进行访问控制，但实际控制还是配置在设备本地的filter。下面是定位的filter模板A:AC7750config filter# info - ip-filter 111 create entry 10 create match dst-ip 9/32 exit action forward exit entry 20 create match dst-ip 5/32 exit action forward exit entry 30 create match dst-ip 7/32 exit action forward exit entry 40 create match dst-ip 8/32 exit action forward exit entry 100 create match protocol tcp dst-port eq 80 exit action http-redirect http:/691/691/691account.html exit exit -l 定义PPPoE的sla-profile策略，策略名称和radius下发对应属性值一致，根据当前普通用户、IPTV用户和免认证用户分配配置不同策略。A:AC7750# configure subscriber-mgmt A:AC7750configsubscr-mgmt# info - sla-profile sla-pppoe-10M create ingress qos 2010 shared-queuing exit ip-filter 225 exit egress qos 2010 exit exit exit sla-profile sla-pppoe-10M4 create ingress qos 2210 shared-queuing exit exit egress qos 2210 exit exit exit sla-profile sla-691account create ingress qos 202 shared-queuing exit ip-filter 111 exit egress qos 202 exit exit exit-4.4. PPPoE用户拨号接入策略该策略定义BRAS和终端之间的PPPoE发现阶段的接入功能策略，PADO相应时间和session的keepalive时间都在此策略中定义。该策略在vpls下和group-interface下都有调用，相同端口和业务调用的策略名称需一致。A:AC7750# configure subscriber-mgmt A:AC7750configsubscr-mgmt# info - ppp-policy pppoe-policy-1 create ppp-authentication pap reject-disabled-ncp exit ppp-policy p