江苏联通宽带接入服务器bras配置规范.doc

2010年江苏联通华为BRAS配置规范讨论版2018111第1页,共37页2010年江苏联通华为BRAS配置规范拟制江苏联通日期2011年01月更新更新更新2011年1月2010年江苏联通华为BRAS配置规范讨论版2018111第2页,共37页目录1软件版本使用规范42设备命名及端口描述规范521设备命名（见设备及电路命名规则）522环回端口描述523普通端口描述配置524用户端口描述配置（即用户侧子端口）625空闲端口63华为BRAS设备基本配置规范631时区配置632NTP配置733登陆账号管理配置734AAA配置835设置RD1536端口配置16361LOOPBACK地址配置16362GE用做上连接口16363GE用做下联接口16364GE拨号下联子接口DOT1Q16365GE拨号下联子接口QINQ16366GE专线下联子接口1737路由协议配置20371路由优先级20372静态路由配置方式20373OSPF路由配置方式212010年江苏联通华为BRAS配置规范讨论版2018111第3页,共37页374BGP路由配置方式2238MPLS配置2339用户策略配置23391IPPOOL配置23392用户限速配置24310IPTV用户配置26311SNMP配置28312INFOCENTER配置302010年江苏联通华为BRAS配置规范讨论版2018111第4页,共37页1软件版本使用规范华为ME60及MA5200G补丁更新较快,安全期间建议每半年至少更新一次补丁。如下版本为当前最新版本及补丁。ME60版本V100R006C05SPC600SPC029MA5200G版本V300R003C01B056SPH033ME60X8版本V600R002C02SPC200V600R002C02SPH0072010年江苏联通华为BRAS配置规范讨论版2018111第5页,共37页2设备命名及端口描述规范结合AAA达标要求，所有设备及端口描述等要严格按照设备及电路命名规则来配置。21设备命名（见设备及电路命名规则）格式机房名称/设备类型标识网络技术设备型号序号符号分隔符字母连接符字符连接符字符连接符数字字符数111411514选项必选必选必选必选必选必选必选必选必选如南京玄武区丹凤街站二层数据机房IP网MA5200G接入服务器命名为NJXWDFJ2F/IPNASMA5200G1。22环回端口描述格式固定字符串。功能描述描述该LOOPBACK端口特殊功能，为有意义的英文字符串。正常情况每台BRAS只用一个LOOPBACK口，即为LOOPBACK0，描述为ROUTERID可选字符串字符串用途描述ROUTERIDROUTERID，如果就一个LOOPBACK口且用作ROUTERID，就用该字串描述。MPLSIDMPLSLSRIDRPRPIP地址MANAGEMENT管理地址，SNMPSOURCEIP地址NASIPRADIUSSERVERSOURCEIP地址INFOCENTERINFOCENTERSOURCEIP地址23普通端口描述配置ETHTRUNK描述为TO对端设备名/对端ETHTRUNK端口号本端端口号1对端端口号1，本端端口号N对端端口号N2010年江苏联通华为BRAS配置规范讨论版2018111第6页,共37页举例DESCRIPTIONTONJXWDFJ2F/IPARNE40E1/ETHTRUNK1GE1/0/0GE1/0/0，GE1/0/1GE1/0/1普通接口描述为TO对端设备名/对端端口号举例DESCRIPTIONTOTONJXWDFJ2F/IPARNE40E1/GE1/0/1BRAS与大汇聚或OLT互联需要多条链路时用ETHTRUNK口互联，BRAS与出口核心互联即使有多条链路也使用普通端口互联，不用ETHTRUNK口。建议即使BRAS与大汇聚或OLT之间就一条链路也建议用ETHTRUNK以方便扩容链路。说明使用ETHTRUNK的缺点，单纤故障时业务会受影响。24用户端口描述配置（即用户侧子端口）BRAS下行口接二层汇聚设备的（如S9300、T65G、OLT等）情况格式接入的2层汇集交换机名称业务名称业务接入交换机的管理地址（IN接入交换机网关所在设备）带宽举例DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000M二层交换机RTR9DFJ即丹凤街RTR9交换机；业务名称HETAIMASSION即和泰大楼业务；业务接入交换机的管理地址1921683524是直接接业务的接入交换机地址；IN接入交换机网关所在设备（IN7609）即业务接入交换机的管理地址1921683524的网关在7609上。带宽1000M即BRAS与二层汇聚交换机的互连带宽是1000M。BRAS下行口直接接用户接入设备的情况格式业务名称业务接入交换机的管理地址（IN接入交换机网关所在设备）带宽举例DESCRIPTIONHETAIMASSION19216835241000M业务名称HETAIMASSION即和泰大楼业务；业务接入交换机的管理地址1921683524是直接接业务的接入交换机地址；IN接入交换机网关所在设备（IN7609）即业务接入交换机的管理地址1921683524的网关在7609上。带宽1000M即BRAS与业务的接入交换机的互连带宽是1000M。说明该描述针对用户侧子端口。下行物理接口按照普通端口描述。25空闲端口2010年江苏联通华为BRAS配置规范讨论版2018111第7页,共37页设备上的所有空闲未用的端口统一SHUTDOWN，便于网管监控。3华为BRAS设备基本配置规范31时区配置规范要求配置系统时区为GMT8，北京时区。配置规范MA5200GCLOCKTIMEZONEBEIJINGADD080000在用户模式下配置ME60ME60X8CLOCKTIMEZONEBEIJINGMINUS08000032NTP配置规范要求配置主和备两组NTP服务器。NTPSERVICEUNICASTSERVER5824048146地市时钟服务器地址，这里是省公司的1NTPSERVICEUNICASTSERVER12961528地市时钟服务器地址，这里是美国的33登陆账号管理配置规范要求1、建议配置BRAS路由器并发连接数限制为10个。2、对VTY,CONSOLE,AUX登录超时设置进行配置，设置空闲时间为10分钟。3、配置TELNET源地址限制。TELNET访问控制列表条目从5开始，条目的间隔步长为5，在访问控制列表的最后显示配置一条DENYSOURCEANY语句。4、地市设备登陆账号使用RADIUS账号。RADIUS认证方式RADIUSLOCAL，本地账号设置3个省分维护、地市维护、地市监控账号。/注后期省公司建账号RADIUS服务器。5、RADIUS账号和本地账号统一为LEVEL1权限6、增加LEVEL1账号可以使用的命令7、SUPER密码必须为密文，地市分公司自行设置管理。配置范例USERINTERFACEMAXIMUMVTY10设置并发连接数为102010年江苏联通华为BRAS配置规范讨论版2018111第8页,共37页USERINTERFACECONSOLE0IDLETIMEOUT100设置空闲时间为10分钟USERINTERFACEAUX0IDLETIMEOUT100设置空闲时间为10分钟USERINTERFACEVTY09IDLETIMEOUT100设置空闲时间为10分钟ACLNUMBER3400DESCRIPTIONTHISACLISUSEDTELNETRULE5PERMITSOURCE122963010000省公司TELNET地址段RULE10PERMITSOURCE1229630150000省公司TELNET地址段RULE15PERMITSOURCE58240481960000省公司TELNET地址段RULE20PERMITSOURCEXXXXXX0000255地市公司TELNET地址段RULE3000DENYSOURCEANYUSERINTERFACECON0设置CONSOLE口密码，密码使用明文AUTHENTICATIONMODEPASSWORDSETAUTHENTICATIONPASSWORDSIMPLEXXXXXX登陆用户AAA配置AAA设备登陆账号RADIUS配置RADIUSSERVERGROUPLOGINRADIUSSERVERAUTHENTICATIONXXXXXXXXXXXX1812WEIGHT0RADIUSSERVERACCOUNTINGXXXXXXXXXXXX1813WEIGHT0RADIUSSERVERSHAREDKEYXXXXRADIUSSERVERTIMEOUT3UNDORADIUSSERVERUSERNAMEDOMAININCLUDEDAUTHENTICATIONSCHEMEAUTH_LOGINAUTHENTICATIONMODERADIUSLOCALACCOUNTINGSCHEMEACCT_LOGINACCOUNTINGSTARTFAILONLINEDEFAULT_ADMIN域配置DOMAINDEFAULT_ADMIN缺省用户的TELNET、FTP用户域AUTHENTICATIONSCHEMEAUTH_LOGINACCOUNTINGSCHEMEACCT_LOGINRADIUSSERVERGROUPLOGINUSERINTERFACEVTY09AUTHENTICATIONMODEAAA设置TELNET用户通过AAA认证登陆USERPRIVILEGELEVEL1ACL3400INBOUND设置VTY口登录控制列表为3400设置设备SUPER密码2010年江苏联通华为BRAS配置规范讨论版2018111第9页,共37页SUPERPASSWORDLEVEL3CIPHERU8/DF29OKLOCALAAASERVER进入本地AAA服务器视图设置本地登录账号USERPASSWORDCIPHERAUTHENTICATIONTYPETLEVEL1添加LEVEL1账号可以使用命令COMMANDPRIVILEGELEVEL1VIEWACCESSDISPLAYCURRENTCONFIGURATIONCOMMANDPRIVILEGELEVEL1VIEWSHELLSYSTEMVIEWCOMMANDPRIVILEGELEVEL1VIEWSYSTEMDISPLAYCOMMANDPRIVILEGELEVEL1VIEWSYSTEMINTERFACECOMMANDPRIVILEGELEVEL1VIEWGIGABITETHERNETIPADDRESSCOMMANDPRIVILEGELEVEL1VIEWGIGABITETHERNETDESCRIPTIONCOMMANDPRIVILEGELEVEL1VIEWSYSTEMINTERFACEGIGABITETHERNET1/0/0COMMANDPRIVILEGELEVEL1VIEWGIGABITETHERNETIPCOMMANDPRIVILEGELEVEL1VIEWGIGABITETHERNETDESCRIPTION123COMMANDPRIVILEGELEVEL1VIEWGIGABITETHERNETIPADDRESS221624069255255255252COMMANDPRIVILEGELEVEL1VIEWGIGABITETHERNETIPADDRESS221624069COMMANDPRIVILEGELEVEL1VIEWGIGABITETHERNETUNDOIPADDRESSCOMMANDPRIVILEGELEVEL1VIEWGIGABITETHERNETUNDOCOMMANDPRIVILEGELEVEL1VIEWGIGABITETHERNETUNDOIPCOMMANDPRIVILEGELEVEL1VIEWSYSTEMAAACOMMANDPRIVILEGELEVEL1VIEWAAAQUITCOMMANDPRIVILEGELEVEL1VIEWSYSTEMQUIT34AAA配置配置说明1配置管理AAA的认证方式2配置管理AAA的授权方式3配置管理AAA的计费方式4配置管理AAA认证服务器地址及参数5配置管理AAA授权服务器地址及参数6配置管理AAA计费服务器地址及参数规范要求1用户的认证方式采用RADIUS方式注现配置为RADIUSNONE因为RADIUS不稳定2用户计费方式采用RADIUS方式3认证及计费服务器的地址，根据省公司规范各地市按照如下要求配置主备服务器地址（注RADIUS扩容后全省统一主备SERVER）2010年江苏联通华为BRAS配置规范讨论版2018111第10页,共37页1）主用22164135，备用22164136南京、苏州、常州、无锡、镇江、徐州、盐城、连云港、淮安；2）主用22164136备用22164135南通、扬州、泰州、宿迁4设置RADIUS密钥时要与省后台相关人员协商确定5认证端口号为16456计费端口号为16467设置TIMEOUT时间为3秒，重发次数为3次8RADIUSUPDATE源地址设置建议采用路由器的LOOPBACK0地址9域名规范对于域配置根据实际情况选配，不需要每台设备全配置13个域10对于需要制用户访问权限的域用户需通过USERGROUP分组，USERGROUP名同域名11DOMAIN的配置参照标准配置序号用户类型域名IPPOOL名称备注1PPPOE普通用户PPPOEPPPOE_1PPPOE普通用户和企业用户共地址池2PPPOE企业用户PPPOE_ENTERPRISEPPPOE_13PPPOE校园用户PPPOE_SCHOOLPPPOE_SCHOOL_14WLAN普通用户认证前域PRE_WLANPRE_WLAN_15WLAN普通用户认证后域WLANWLAN_16WLAN校园用户认证前域PRE_WLAN_SCHOOLPRE_WLAN_SCHOOL_17WLAN校园用户认证后域WLAN_SCHOOLWLAN_SCHOOL_18IPTVIPTVIPTV_19家庭网关HGWHGW_110NGNNGNNGN_111神眼SHENYANSHENYAN_112网管NMSNMS_113专线STATIC_2MSTATIC_1不同速率建立不同的域，共享地址池/静态用户低于50个从PPPOE1地址池内顺序抠地址，大于50个的建专用2010年江苏联通华为BRAS配置规范讨论版2018111第11页,共37页地址池。14其他建议个性化需求暂不在规范中统一考虑（如南京华东饭店等，同时需考虑本地账号问题）。配置范例用户AAASYSTEMVIEWINTERFACEVIRTUALTEMPLATE1建立PPP虚模版PPPAUTHENTICATIONMODEAUTO定义PPP认证的模式,INTERFACEVIRTUALTEMPLATE2建立PPP虚模版,原165用户没修改过密码的引用该模板PPPAUTHENTICATIONMODEPAPAAA进入AAA视图配置RADIUS服务器组JSUNICOM，配置RADIUSSERVERIP，缺省情况下，若配置多个IP，RADIUS工作在主备模式，认证/计费服务器的端口号，缺省值为1645和1646。RADIUSSERVERSOURCEINTERFACELOOPBACK0RADIUS报文的源IP为LOOPBACK0地址RADIUSSERVERGROUPJSUNICOMRADIUSSERVER主备以省公司发文为准RADIUSSERVERAUTHENTICATION221641351645WEIGHT0RADIUSSERVERAUTHENTICATION221641361645WEIGHT0RADIUSSERVERACCOUNTING221641351646WEIGHT0RADIUSSERVERACCOUNTING221641361646WEIGHT0RADIUSSERVERSHAREDKEYJSTXRADIUSSERVERTIMEOUT3配置RADIUS服务器报文重传时间为3秒3次，其中3次RETRANSMIT3为缺省值不明文显示。RADIUSSERVERCLASSASCAR配置报文中携带CAR值RADIUSSERVERATTRIBUTETRANSLATE配置认证方案RADIUS，缺省情况下，认证方案的认证模式为RADIUS认证。AUTHENTICATIONSCHEMERADIUSAUTHENTICATIONMODERADIUSNONE配置RADIUS的认证方式为RADIUSNONE配置计费方案RADIUS，缺省情况下，计费方法为RADIUS计费，设置实施计费间隔为60分钟。ACCOUNTINGSCHEMERADIUSACCOUNTINGSTARTFAILONLINERADIUS计费服务器中断后继续在线配置PPPOE域，域的认证方案、计费方案名称都为RADIUS，域使用的RADIUS服务器组为JSUNICOM。DOMAINPPPOEAUTHENTICATIONSCHEMERADIUSACCOUNTINGSCHEMERADIUS2010年江苏联通华为BRAS配置规范讨论版2018111第12页,共37页RADIUSSERVERGROUPJSUNICOMPORTALSERVER1221941474PORTALSERVERREDIRECTLIMIT5PORTALSERVERURLHTTP/WWW10010JSCOM/KDDH/NJSHTMLIPPOOL设置域的IP地址池，每个域最多可以设置128个地址池IPWARNINGTHRESHOLD90设置域的IP地址使用告警阈值各域标准配置1、PPPOE普通用户DOMAINPPPOEAUTHENTICATIONSCHEMERADIUSACCOUNTINGSCHEMERADIUSRADIUSSERVERGROUPJSUNICOMPORTALSERVER1221941474PORTALSERVERREDIRECTLIMIT5PORTALSERVERURLHTTP/WWW10010JSCOM/KDDH/NJSHTML按各地市URL配置IPPOOLPPPOE_1IPPOOLPPPOE_2IPWARNINGTHRESHOLD90各地市URL参考南京HTTP/WWW10010JSCOM/KDDH/NJSHTML南通HTTP/WWW10010JSCOM/KDDH/NTSHTML宿迁HTTP/WWW10010JSCOM/KDDH/SQSHTML常州HTTP/WWW10010JSCOM/KDDH/CZSHTML徐州HTTP/WWW10010JSCOM/KDDH/XZSHTML扬州HTTP/WWW10010JSCOM/KDDH/YZSHTML无锡HTTP/WWW10010JSCOM/KDDH/WXSHTML泰州HTTP/WWW10010JSCOM/KDDH/TZSHTML淮安HTTP/WWW10010JSCOM/KDDH/HASHTML盐城HTTP/WWW10010JSCOM/KDDH/YCSHTML苏州HTTP/WWW10010JSCOM/KDDH/SZSHTML2010年江苏联通华为BRAS配置规范讨论版2018111第13页,共37页连云港HTTP/WWW10010JSCOM/KDDH/LYGSHTML镇江HTTP/WWW10010JSCOM/KDDH/ZJSHTML2、PPPOE企业用户DOMAINPPPOE_ENTERPRISEAUTHENTICATIONSCHEMERADIUSACCOUNTINGSCHEMERADIUSRADIUSSERVERGROUPJSUNICOMIPPOOLPPPOE_1IPPOOLPPPOE_2IPWARNINGTHRESHOLD903、WLAN普通用户认证前域DOMAINPRE_WLANAUTHENTICATIONSCHEMEDEFAULT0ACCOUNTINGSCHEMEDEFAULT0WEBSERVER5824051118USERGROUPPRE_WLANIPPOOLWLAN_1IPWARNINGTHRESHOLD904、WLAN普通用户认证后域DOMAINWLANAUTHENTICATIONSCHEMERADIUSACCOUNTINGSCHEMERADIUSRADIUSSERVERGROUPJSUNICOMIPPOOLWLAN_1IPWARNINGTHRESHOLD905、WLAN校园用户认证前域DOMAINPRE_WLAN_SCHOOLAUTHENTICATIONSCHEMEDEFAULT02010年江苏联通华为BRAS配置规范讨论版2018111第14页,共37页ACCOUNTINGSCHEMEDEFAULT0WEBSERVER5824051118USERGROUPPRE_WLAN_SCHOOLIPPOOLWLAN_SCHOOL_1IPWARNINGTHRESHOLD906、WLAN校园用户认证后域DOMAINWLAN_SCHOOL/没有USERGROUPAUTHENTICATIONSCHEMERADIUSACCOUNTINGSCHEMERADIUSRADIUSSERVERGROUPJSUNICOMIPPOOLWLAN_SCHOOL_1IPWARNINGTHRESHOLD907、IPTVDOMAINIPTVAUTHENTICATIONSCHEMERADIUSACCOUNTINGSCHEMERADIUSRADIUSSERVERGROUPJSUNICOMUSERGROUPIPTVIPPOOLIPTV_1IPWARNINGTHRESHOLD908、家庭网关DOMAINHGWAUTHENTICATIONSCHEMEDEFAULT0ACCOUNTINGSCHEMEDEFAULT0VPNINSTANCEHGWIPPOOLHGW_1IPWARNINGTHRESHOLD909、NGN2010年江苏联通华为BRAS配置规范讨论版2018111第15页,共37页DOMAINNGNAUTHENTICATIONSCHEMEDEFAULT0ACCOUNTINGSCHEMEDEFAULT0IPPOOLNGN_1IPWARNINGTHRESHOLD9010、神眼DOMAINSHENYANAUTHENTICATIONSCHEMERADIUSACCOUNTINGSCHEMERADIUSRADIUSSERVERGROUPJSUNICOMUSERGROUPSHENYANIPPOOLSHENYAN_1IPWARNINGTHRESHOLD9011、网管DOMAINNMSAUTHENTICATIONSCHEMEDEFAULT0ACCOUNTINGSCHEMEDEFAULT0USERGROUPNMSIPPOOLNMS_1IPWARNINGTHRESHOLD9012、专线DOMAINSTATIC_5MAUTHENTICATIONSCHEMEDEFAULT0ACCOUNTINGSCHEMEDEFAULT0IPPOOLSTATIC_1IPWARNINGTHRESHOLD90QOSPROFILE5M13、VISP仅盐城和无锡有）2010年江苏联通华为BRAS配置规范讨论版2018111第16页,共37页稍后让季金金提供14、WEB用户认证前域待商定15、WEB用户认证后域待商定备注1、VIRTUALTEMPLATE2虚模板只在有原165用户的BRAS上配置,没有原165用户的不配置；2、RADIUSSERVER主备以省公司发文为准。全省在2个SERVER上的用户各半，实现RADIUSSERVER的负荷分担；3、,远程RADIUS服务器报文重传时间为3秒3次目的是为了在配置认证方式为RADIUSNONE后当RADIUSDOWN时用户能够正常上线，否则会提示718错误。建议当RADIUSSERVER稳定时恢复配置为RADIUSSERVERRETRANSMIT5TIMEOUT20。4、RADIUS认证方式为RADIUSNONE，计费方式设置ACCOUNTINGSTARTFAILONLINE存在如果RUDIUSDOWN的话用户，且不下线，用户套餐到期，用户仍可长期在线的风险；如果RADIUSSERVER稳定建议认证方式设置为RADIUS，即RADIUSDOWN用户无法正常上线。5、禁止在RADIUS上出现本地用户PPPOE帐号，本地账户类型只能为FTP和TELNET两种类型。省公司用户认证RADIUS没有建立时临时使用。35设置RD规范要求按照RD号规划设置RD。符合省公司VPN规划白皮书。规范要求按照RT号规划设置RT。符合省公司VPN规划白皮书。白皮书参见附件VLAN和VPN白皮书规划DOC新建VRF，并配置RD、RT。2010年江苏联通华为BRAS配置规范讨论版2018111第17页,共37页IPVPNINSTANCEDESCRIPTIONROUTEDISTINGUISHERAPPLYLABELPERINSTANCE/按照每实例分配标签VPNTARGETIDEXPORTEXTCOMMUNITYVPNTARGETIDIMPORTEXTCOMMUNITY备注1、如果有VPN用户可以配置，没有不配置该数据。VPN用户建议使用SR接入，不建议在BRAS上开VPN用户2、对于BRAS改造局点RD、RT仍沿用原有配置，新开业务及新开局设备按照白皮书要求规划RD、RT。36端口配置361LOOPBACK地址配置配置说明配置LOOPBACK地址作为设备的系统标识（用于某些协议）、管理地址或作为专线和宽带拨号用户的参考网关。规范要求对每一个LOOPBACK接口需添加端口描述，端口描述要求符合22章节设备命名及链路描述规范中规定。配置规范INTERFACELOOPBACK0IPADDRESS255255255255DESCRIPTIONROUTERID362GE用做上连接口配置说明配置GE端口用做上连接口。规范要求配置GE端口MTU设置为1600，关闭GE端口自行协商。2010年江苏联通华为BRAS配置规范讨论版2018111第18页,共37页363GE用做下联接口配置说明配置GE端口用做下联接口，即纯二层封装接口。规范要求配置打开GE端口自行协商。364GE拨号下联子接口DOT1Q配置说明配置GE拨号下联子接口，封装为DOT1Q。规范要求配置子端口封装为DOT1Q。365GE拨号下联子接口QINQ配置说明配置GE拨号下联子接口，封装为QINQ。规范要求配置子端口外层封装为QINIQ，内层封装为DOT1Q。366GE专线下联子接口配置说明配置GE下联子接口为专线接入。规范要求子端口号建议与VLANID对应一致；单层VLAN时使用子接口下第一个VLAN的VLANID，双层VLAN的使用子接口下第一个外层VLAN的VLANID。引用的速率策略预先在全局配置模式下配置好；配置子端口的描述，格式要求符合配置有关命名规范；MA5200G1、GE用作上联接口INTERFACEGIGABITETHERNET1/0/0UNDONEGOTIATIONAUTO关闭端口自协商功能MTU1600MTU设置为1600DESCRIPTIONTONJXWDFJ2F/IPARNE40E1/GE1/0/1IPADDRESS221613662552552552522、GE用作下联接口2010年江苏联通华为BRAS配置规范讨论版2018111第19页,共37页INTERFACEGIGABITETHERNET3/1/0NEGOTIATIONAUTO打开端口自协商功能DESCRIPTIONTONJXWDFJ2F/IPPONMA5680T1/GE17/0/03、GE拨号下联子接口（DOT1Q）INTERFACEGIGABITETHERNET3/1/1401PPPOESERVERBINDVIRTUALTEMPLATE1DESCRIPTIONDESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUSERVLAN401BASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINAUTHENTICATIONFORCEPPPOE配置二层拨号缺省认证域为PPPOE4、GE拨号下联子接口（QINQ）INTERFACEGIGABITETHERNET3/1/02001PPPOESERVERBINDVIRTUALTEMPLATE1DESCRIPTIONDESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUSERVLAN19001925QINQVLAN2001配置内外层VLANBASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINFORCEAUTHENTICATIONPPPOE配置二层拨号缺省认证域为PPPOE5、GE专线下联子接口（普通VLAN）INTERFACEGIGABITETHERNET2/0/12001USERVLAN2001DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUNDOSHUTDOWNBASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINAUTHENTICATIONNMSAUTHENTICATIONMETHODBIND配置二层绑定用户缺省认证域为NMSSTATICUSER1259017316512590173165INTERFACEGIGABITETHERNET2/0/12001VLAN2001DETECTDOMAINNAMENMS配置二层静态用户所属域为NMS静态用户的IP地址要求在地址池中，并且已经通过EXCLUDEDIPADDRESS被禁用6、GE专线下联子接口（QINQ）INTERFACEGIGABITETHERNET2/0/11216USERVLAN30013999QINQVLAN1216DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000M2010年江苏联通华为BRAS配置规范讨论版2018111第20页,共37页UNDOSHUTDOWNBASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINAUTHENTICATIONNMSAUTHENTICATIONMETHODBIND配置二层绑定用户缺省认证域为NMSSTATICUSER1269017316512690173165INTERFACEGIGABITETHERNET2/0/13001VLAN3001QINQ1216DETECTDOMAINNAMENMS配置二层静态用户所属域为NMS静态用户的IP地址要求在地址池中，并且已经通过EXCLUDEDIPADDRESS被禁用ME601、GE用作上联接口INTERFACEGIGABITETHERNET2/0/0UNDONEGOTIATIONAUTOMTU1600DESCRIPTIONTONJXWDFJ2F/IPARNE40E1/GE1/0/1UNDOSHUTDOWNIPADDRESS221611822552552552522、GE用作下联接口INTERFACEGIGABITETHERNET3/0/0DESCRIPTIONTONJXWDFJ2F/IPPONMA5680T1/GE17/0/0UNDOSHUTDOWNMODEUSERTERMINATION3、GE拨号下联子接口（DOT1Q）INTERFACEGIGABITETHERNET3/0/0513PPPOESERVERBINDVIRTUALTEMPLATE1DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUSERVLAN513BASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINFORCEAUTHENTICATIONPPPOE配置二层拨号缺省认证域为PPPOE4、GE拨号下联子接口（QINQ）INTERFACEGIGABITETHERNET3/1/02001PPPOESERVERBINDVIRTUALTEMPLATE1DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUSERVLAN19001925QINQVLAN2001配置内外层VLANBASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINFORCEAUTHENTICATIONPPPOE2010年江苏联通华为BRAS配置规范讨论版2018111第21页,共37页配置二层拨号缺省认证域为PPPOE5、GE专线下联子接口（普通VLAN）INTERFACEGIGABITETHERNET3/1/02001DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUSERVLAN3560BASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINAUTHENTICATIONNMSAUTHENTICATIONMETHODBIND配置二层绑定用户缺省认证域为NMSIPTRIGGER打开BAS口,IP报文触发用户上线STATICUSER1128018525411280185254INTERFACEGIGABITETHERNET3/1/02001VLAN3560DETECTDOMAINNAMENMS配置二层静态用户所属域为NMS静态用户的IP地址要求在地址池中，并且已经通过EXCLUDEDIPADDRESS被禁用6、GE专线下联子接口（QINQ）INTERFACEETHTRUNK142112DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUSERVLAN905QINQ2112BASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINAUTHENTICATIONNMSAUTHENTICATIONMETHODBIND配置二层绑定用户缺省认证域为NMSIPTRIGGER打开BAS口,IP报文触发用户上线STATICUSER1128018525411280185254INTERFACEETHTRUNK142112VLAN905QINQ2112DETECTDOMAINNAMENMS配置二层静态用户所属域为NMS静态用户的IP地址要求在地址池中，并且已经通过EXCLUDEDIPADDRESS被禁用ME60X81、GE用作上联接口INTERFACEGIGABITETHERNET1/0/0UNDONEGOTIATIONAUTO关闭端口自协商功能ME60光口自协商功能默认关闭MTU1600MTU设置为1600UNDOSHUTDOWNDESCRIPTIONTONJXWDFJ2F/IPARNE40E1/GE1/0/1IPADDRESS221613662552552552522、GE用作下联接口INTERFACEGIGABITETHERNET3/1/0UNDONEGOTIATIONAUTO关闭端口自协商功能ME60光口自协商功能默认关闭DESCRIPTIONTONJXWDFJ2F/IPPONMA5680T1/GE17/0/0MODEUSERTERMINATION2010年江苏联通华为BRAS配置规范讨论版2018111第22页,共37页3、GE拨号下联子接口（DOT1Q）INTERFACEGIGABITETHERNET3/1/1401PPPOESERVERBINDVIRTUALTEMPLATE1DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUSERVLAN401BASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINAUTHENTICATIONPPPOE配置二层拨号缺省认证域为PPPOE4、GE拨号下联子接口（QINQ）INTERFACEGIGABITETHERNET3/1/02001PPPOESERVERBINDVIRTUALTEMPLATE1DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUSERVLAN19001925QINQVLAN2001配置内外层VLANBASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINAUTHENTICATIONPPPOE配置二层拨号缺省认证域为PPPOE5、GE专线下联子接口（普通VLAN）INTERFACEGIGABITETHERNET2/0/12001USERVLAN2001DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUNDOSHUTDOWNBASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINAUTHENTICATIONNMSAUTHENTICATIONMETHODBIND配置二层绑定用户缺省认证域为NMSIPTRIGGERARPTRIGGER这两条命令很重要。必须配置，否则设备无法上线。STATICUSER1259017316512590173165INTERFACEGIGABITETHERNET2/0/12001VLAN2001DETECTDOMAINNAMENMS配置二层静态用户所属域为NMS静态用户的IP地址要求在地址池中，并且已经通过EXCLUDEDIPADDRESS被禁用6、GE专线下联子接口（QINQ）INTERFACEGIGABITETHERNET2/0/11216USERVLAN30013999QINQVLAN1216DESCRIPTIONRTR9DFJHETAIMASSION1921683524（IN7609）1000MUNDOSHUTDOWN2010年江苏联通华为BRAS配置规范讨论版2018111第23页,共37页BASACCESSTYPELAYER2SUBSCRIBERDEFAULTDOMAINAUTHENTICATIONNMSAUTHENTICATIONMETHODBIND配置二层绑定用户缺省认证域为NMSIPTRIGGERARPTRIGGER这两条命令很重要。必须配置，否则设备无法上线。STATICUSER1269017316512690173165INTERFACEGIGABITETHERNET2/0/13001VLAN3001QINQ1216DETECTDOMAINNAMENMS配置二层静态用户所属域为NMS静态用户的IP地址要求在地址池中，并且已经通过EXCLUDEDIPADDRESS被禁用备注1、VLAN的配置要符合江苏联通VLAN白皮书要求；白皮书见附件VLAN和VPN白皮书规划DOC2、对于不是每用户每VLAN的，PPPOE用户必须和专线用户分开。即不允许同一VLAN下既有普通PPPOE用户又有专线用户。37路由协议配置371路由优先级配置说明对路由优先级/管理距离的定义是为了设备在接收到相同路由条目时候进行选路，在路由条目相同的情况下，优先级数值小的路由将被选择。规范要求路由优先级别的设定按照下面规范。ROUTETYPEROUTEPREFERENCE/ADDIRECTATTACHED0普通静态1EBGP20OSPFINTERNAL110OSPFINTERAREA110OSPFEXTERNAL110ISIS115静态黑洞180IBGP200BGPLOCAL2002010年江苏联通华为BRAS配置规范讨论版2018111第24页,共37页浮动静态250372静态路由配置方式配置说明指定业务路由器上的静态路由配置方式绑定接口和下一跳IP地址。规范要求静态路由绑定接口和下一跳IP地址。配置范例IPROUTESTATICDEFAULTPREFERENCE1全局一条命令修改静态路由的默认优先级为1IPROUTESTATIC192168002552552550NULL0PREFERENCE180DESCRIPTIONUNRNETWORKTOBGP黑洞路由优先级修改为180，用户通过IBGP发布给RR。备注1、静态路由非必须建议不要配置任何静态路由和缺省路由，如果有必须配置描述说明用途；373OSPF路由配置方式配置说明指定业务路由器上的OSPF路由配置方式。规范要求ROUTERID为LOOPBACK0的IP地址；OSPF进程号统一用1，所有接口都设置在AREA0区域；引入直连、静态及UNR路由，并在引入静态直连时用FILTERPOLICY进行必要过滤。NETWORK发布LOOPBACK及互连地址。配置范例ROUTERID2216038ACLNUMBER2999DESCRIPTIONTHISACLISUSEDOSPFFILTERRULE20DENYSOURCE1921680000255255RULE25DENYSOURCE1721600015255255RULE30DENYSOURCE100000255255255RULE35PERMIT2010年江苏联通华为BRAS配置规范讨论版2018111第25页,共37页OSPF1FILTERPOLICY2999EXPORTDIRECT引入直连路由时入方向做过滤FILTERPOLICY2999EXPORTSTATIC引入静态路由时入方向做过滤IMPORTROUTEDIRECTIMPORTROUTESTATICIMPORTROUTEUNR引入UNR路由，UNR为BRAS用户引入地址池的网关路由PREFERENCE110/OSPF路由优先级修改为110，华为默认是10。PREFERENCEASE110/OSPF外部路由优先级修改为110，华为默认是150。AREA0000NETWORK5824067920003NETWORK上行接口1地址NETWORK22160380000NETWORKROUTERID地址NETWORK221611480003NETWORK上行接口2地址备注1、对于城域网内需要保留地址互通时用ACL2999的RULEID019的做PERMIT先允许相关网段互访374BGP路由配置方式配置说明指定业务路由器上的BGP路由配置方式。规范要求1、AS号统一按照地市已有规范设定，如南京使用64690；2、UNDO所有IPV4的IBGP邻居，仅建立VPNV4的IBGP邻居；配置范例BGP64690GROUPMPBGPINTERNALPEER221601ASNUMBER64690PEER221601GROUPMPBGPPEER221601CONNECTINTERFACELOOPBACK0PEER221602ASNUMBER64690PEER221602GROUPMPBGPPEER221602CONNECTINTERFACELOOPBACK0IPV4FAMILYUNICASTUNDOSYNCHRONIZATIONPREFERENCE20200200/EGBP、IBGP、BGP本地路由优先级分别修改为20、200、200，华为缺省为255,255,130UNDOPEER221601ENABLEUNDOPEER221