江苏联通宽带接入服务器BRAS配置规范

1、 2010年江苏联通华为bras配置规范(讨论版)2010年江苏联通华为bras配置规范拟 制：江苏联通日 期：2011年01月更新：更新：更新： 2011年1月目 录1.软件版本使用规范42.设备命名及端口描述规范52.1.设备命名（见设备及电路命名规则）52.2.环回端口描述52.3.普通端口描述配置52.4.用户端口描述配置（即用户侧子端口）62.5.空闲端口63.华为bras设备基本配置规范63.1.时区配置63.2.ntp配置73.3.登陆账号管理配置73.4.aaa配置83.5.设置rd153.6.端口配置:163.6.1 loopback地址配置163.6.2 ge用做上连接口1

2、63.6.3 ge用做下联接口163.6.4 ge拨号下联子接口(dot1q)163.6.5 ge拨号下联子接口(qinq)163.6.6 ge专线下联子接口173.7.路由协议配置:203.7.1 路由优先级203.7.2 静态路由配置方式203.7.3 ospf路由配置方式213.7.4 bgp路由配置方式223.8.mpls 配置:233.9.用户策略配置233.9.1 ip pool配置233.9.2 用户限速配置243.10.iptv用户配置263.11.snmp配置283.12.info-center 配置301. 软件版本使用规范华为me60及ma5200g补丁更新较快,安全期间

3、建议每半年至少更新一次补丁。如下版本为当前最新版本及补丁。me60版本： v100r006c05spc600+spc029 ma5200g版本:v300r003c01b056+sph033me60-x8版本：v600r002c02spc200+v600r002c02sph007 2. 设备命名及端口描述规范结合aaa达标要求，所有设备及端口描述等要严格按照设备及电路命名规则来配置。2.1. 设备命名（见设备及电路命名规则）格式： 机房名称 / 设备类型标识 网络技术 设备型号 序号 符号 分隔符 字母 连接符 字符 连接符 字符 连接符 数字 字符数 1114 115 14 选项 必选 必选

4、必选 必选 必选 必选 必选 必选 必选 如：南京玄武区丹凤街站二层数据机房ip网ma5200g接入服务器命名为：njxw.dfj.2f/ip-nas-ma5200g-1。2.2. 环回端口描述格式： 固定字符串。功能描述：描述该loopback端口特殊功能，为有意义的英文字符串。正常情况每台bras只用一个loopback口，即为loopback 0，描述为routerid可选字符串：字符串用途描述routeridrouter id，如果就一个loopback口且用作routerid，就用该字串描述。mpls idmpls lsr idrprp ip地址management管理地址，snmp

5、 source ip地址nas-ipradius-server source ip地址info-centerinfo-center source ip地址2.3. 普通端口描述配置eth-trunk描述为：to 对端设备名/对端eth-trunk端口号(本端端口号1-对端端口号1，本端端口号n-对端端口号n)举例： description to njxw.dfj.2f/ip-ar-ne40e-1/eth-trunk1(ge1/0/0-ge1/0/0，ge1/0/1-ge1/0/1)普通接口描述为：to 对端设备名/对端端口号举例：description to to njxw.dfj.2f/ip

6、-ar-ne40e-1/ge1/0/1bras与大汇聚或olt互联需要多条链路时用eth-trunk口互联，bras与出口核心互联即使有多条链路也使用普通端口互联，不用eth-trunk口。建议即使bras与大汇聚或olt之间就一条链路也建议用eth-trunk以方便扩容链路。说明：使用eth-trunk的缺点，单纤故障时业务会受影响。2.4. 用户端口描述配置（即用户侧子端口）bras下行口接二层汇聚设备的（如s9300、t65g、olt等）情况：格式： 接入的2层汇集交换机名称 业务名称 业务接入交换机的管理地址（in 接入交换机网关所在设备） 带宽举例：description rtr9-

7、dfj hetai-massion -4（in 7609）1000m二层交换机：rtr9-dfj即丹凤街rtr9交换机； 业务名称：hetai-massion即和泰大楼业务；业务接入交换机的管理地址-4 是直接接业务的接入交换机地址；in 接入交换机网关所在设备：（in 7609）即业务接入交换机的管理地址-4的网关在7609上。带宽：1000m：即bras与二层汇聚交换机的互连带宽是1000m。bras下行口直接接用户接入设备的情况：格式：业务名称 业务接入交换机的管理地址（in 接入交换机网关所在设备）带宽举例：des

8、cription hetai-massion -4 1000m业务名称：hetai-massion即和泰大楼业务；业务接入交换机的管理地址-4 是直接接业务的接入交换机地址；in 接入交换机网关所在设备：（in 7609）即业务接入交换机的管理地址-4的网关在7609上。带宽：1000m：即bras与业务的接入交换机的互连带宽是1000m。说明：该描述针对用户侧子端口。下行物理接口按照普通端口描述。2.5. 空闲端口设备上的所有空闲未用的端口统一shutdown，便于网管监控。3. 华为bras设备基本配置规范3.1. 时

9、区配置规范要求：配置系统时区为gmt+8，北京时区。配置规范：ma5200g : clock timezone beijing add 08:00:00 #在用户模式下配置me60&me60-x8 : clock timezone beijing minus 08:00:003.2. ntp配置规范要求：配置主和备两组ntp服务器。ntp-service unicast-server 46 #地市时钟服务器地址，这里是省公司的1 ntp-service unicast-server 8 #地市时钟服务器地址，这里是美国的3.3. 登陆账号管理配置规范要

10、求：1、建议配置bras路由器并发连接数限制为10个。2、对vty, console,aux登录超时设置进行配置，设置空闲时间为10分钟。3、配置telnet源地址限制。telnet访问控制列表条目从5开始，条目的间隔步长为5，在访问控制列表的最后显示配置一条deny source any语句。4、地市设备登陆账号使用radius账号。radius认证方式radius-local，本地账号设置3个：省分维护、地市维护、地市监控账号。/注：后期省公司建账号radius服务器。5、radius账号和本地账号统一为level 1权限6、增加level 1账号可以使用的命令 7、super密码必须为密

11、文，地市分公司自行设置管理。配置范例user-interface maximum-vty 10 #设置并发连接数为10user-interface console 0idle-timeout 10 0 #设置空闲时间为10分钟user-interface aux 0idle-timeout 10 0 #设置空闲时间为10分钟user-interface vty 0 9idle-timeout 10 0 #设置空闲时间为10分钟acl number 3400 description this acl is used telnet rule 5 permit source

12、 #省公司telnet地址段 rule 10 permit source 5 #省公司telnet地址段rule 15 permit source 96 #省公司telnet地址段rule 20 permit source xx.xx.xx.0 55 #地市公司telnet地址段rule 3000 deny source any# user-interface con 0 #设置console口密码，密码使用明文 authentication-mode password set authen

13、tication password simple xxxxxx #登陆用户aaa配置aaa # 设备登陆账号radius配置 radius-server group login radius-server authentication xxx.xxx.xxx.xxx 1812 weight 0 radius-server accounting xxx.xxx.xxx.xxx 1813 weight 0 radius-server shared-key xxxx radius-server timeout 3 undo radius-server user-name domain-include

14、d#authentication-scheme auth_login authentication-mode radius-local accounting-scheme acct_login accounting start-fail online#default_admin域配置domain default_admin #缺省用户的telnet、ftp用户域 authentication-scheme auth_login accounting-scheme acct_login radius-server group login#user-interface vty 0 9 authen

15、tication-mode aaa #设置telnet用户通过aaa认证登陆user privilege level 1 acl 3400 inbound #设置vty口登录控制列表为3400#设置设备super密码 super password level 3 cipher u:8/df2*#9=o=k!local-aaa-server #进入本地aaa服务器视图#设置本地登录账号user * password cipher * authentication-type t level 1 *#添加level 1账号可以使用命令： command-privilege level 1 view

16、access display current-configuration command-privilege level 1 view shell system-view command-privilege level 1 view system display command-privilege level 1 view system interface command-privilege level 1 view gigabitethernet ip address command-privilege level 1 view gigabitethernet description com

17、mand-privilege level 1 view system interface gigabitethernet 1/0/0 command-privilege level 1 view gigabitethernet ip command-privilege level 1 view gigabitethernet description 123 command-privilege level 1 view gigabitethernet ip address 9 255.255. 255.252 command-privilege level 1 view g

18、igabitethernet ip address 9 command-privilege level 1 view gigabitethernet undo ip address command-privilege level 1 view gigabitethernet undo command-privilege level 1 view gigabitethernet undo ip command-privilege level 1 view system aaa command-privilege level 1 view aaa quit command-p

19、rivilege level 1 view system quit3.4. aaa配置配置说明：1. 配置管理aaa的认证方式2. 配置管理aaa的授权方式3. 配置管理aaa的计费方式4. 配置管理aaa认证服务器地址及参数5. 配置管理aaa授权服务器地址及参数6. 配置管理aaa计费服务器地址及参数规范要求：1. 用户的认证方式采用radius方式(注：现配置为radius-none因为radius不稳定)2. 用户计费方式采用radius 方式3. 认证及计费服务器的地址，根据省公司规范各地市按照如下要求配置主备服务器地址.（注：radius扩容后全省统一主备server）1）主用22

20、35，备用36：南京、苏州、常州、无锡、镇江、徐州、盐城、连云港、淮安；2）主用36备用35：南通、扬州、泰州、宿迁4. 设置radius 密钥时要与省后台相关人员协商确定5. 认证端口号为16456. 计费端口号为16467. 设置timeout 时间为3秒，重发次数为3 次8. radius update 源地址设置建议采用路由器的loopback 0 地址9. 域名规范:对于域配置根据实际情况选配，不需要每台设备全配置13个域10. 对于需要制用户访问权限的域用户需通过user-group分组，user-group名同域

21、名11. domain的配置参照标准配置序号用户类型域名ip pool名称备注1pppoe普通用户pppoepppoe_1pppoe普通用户和企业用户共地址池2pppoe企业用户pppoe_enterprisepppoe_13pppoe校园用户pppoe_schoolpppoe_school _14wlan普通用户认证前域pre_wlanpre_wlan_15wlan普通用户认证后域wlanwlan_16wlan校园用户认证前域pre_wlan_schoolpre_wlan_school_17wlan校园用户认证后域wlan_schoolwlan_school_18iptviptviptv_1

22、9家庭网关hgwhgw_110ngnngnngn_111神眼shenyanshenyan_112网管nmsnms_113专线static_2mstatic_1不同速率建立不同的域，共享地址池/静态用户低于50个从pppoe-1地址池内顺序抠地址，大于50个的建专用地址池。14其他建议个性化需求暂不在规范中统一考虑（如南京华东饭店等，同时需考虑本地账号问题）。配置范例用户aaa：system-viewinterface virtual-template1 #建立ppp虚模版 ppp authentication-mode auto #定义ppp认证的模式,interface virtual-te

23、mplate2 * #建立ppp虚模版,原165用户没修改过密码的引用该模板. ppp authentication-mode pap aaa #进入aaa视图#配置radius服务器组jsunicom，配置radius-server ip，缺省情况下，若配置多个ip，radius工作在主备模式，认证/计费服务器的端口号，缺省值为1645和1646。 radius-server source interface loopback0 #radius报文的源ip为loopback0地址 radius-server group jsunicom * #radius-server主备以省公司发文为准

24、radius-server authentication 35 1645 weight 0 radius-server authentication 36 1645 weight 0 radius-server accounting 35 1646 weight 0 radius-server accounting 36 1646 weight 0 radius-server shared-key jstx radius-server timeout 3 #配置radius服务器报文重传时间为3秒3次，其中3次retran

25、smit 3为缺省值不明文显示。 radius-server class-as-car #配置报文中携带car值 radius-server attribute translate #配置认证方案radius，缺省情况下，认证方案的认证模式为radius认证。authentication-scheme radius authentication-mode radius-none * #配置radius的认证方式为radius-none#配置计费方案radius，缺省情况下，计费方法为radius计费，设置实施计费间隔为60分钟。accounting-scheme radiusaccountin

26、g start-fail online #radius计费服务器中断后继续在线#配置pppoe域，域的认证方案、计费方案名称都为radius，域使用的radius服务器组为jsunicom。domain pppoe authentication-scheme radius accounting-scheme radius radius-server group jsunicom portal-server 4 portal-server redirect-limit 5 portal-server url ip-pool * #设置域的ip地址池，每个域最多可以设置12

27、8个地址池 ip-warning-threshold 90 #设置域的ip地址使用告警阈值各域标准配置：1、pppoe普通用户domain pppoe authentication-scheme radius accounting-scheme radius radius-server group jsunicom portal-server 4 portal-server redirect-limit 5 portal-server url #按各地市url配置 ip-pool pppoe_1 ip-pool pppoe_2ip-warning-threshold 9

28、0各地市url参考：南京南通宿迁常州徐州扬州无锡泰州淮安盐城苏州连云港镇江2、pppoe企业用户domain pppoe_enterprise authentication-scheme radius accounting-scheme radius radius-server group jsunicomip-pool pppoe_1 ip-pool pppoe_2ip-warning-threshold 903、wlan普通用户认证前域domain pre_wlan authentication-scheme default0 accounting-scheme default0 web-

29、server 18 user-group pre_wlan ip-pool wlan_1ip-warning-threshold 904、wlan普通用户认证后域domain wlan authentication-scheme radius accounting-scheme radius radius-server group jsunicom ip-pool wlan_1 ip-warning-threshold 905、wlan校园用户认证前域domain pre_wlan_school authentication-scheme default0 account

30、ing-scheme default0 web-server 18 user-group pre_wlan_school ip-pool wlan_school_1ip-warning-threshold 906、wlan校园用户认证后域domain wlan_school /没有user-group? authentication-scheme radius accounting-scheme radius radius-server group jsunicom ip-pool wlan_school_1 ip-warning-threshold 907、iptvdo

31、main iptv authentication-scheme radius accounting-scheme radius radius-server group jsunicomuser-group iptv ip-pool iptv_1ip-warning-threshold 908、家庭网关domain hgw authentication-scheme default0 accounting-scheme default0 vpn-instance hgw ip-pool hgw_1ip-warning-threshold 909、ngndomain ngn authenticat

32、ion-scheme default0 accounting-scheme default0 ip-pool ngn_1ip-warning-threshold 9010、神眼domain shenyanauthentication-scheme radius accounting-scheme radius radius-server group jsunicom user-group shenyan ip-pool shenyan_1ip-warning-threshold 9011、网管domain nms authentication-scheme default0 accountin

33、g-scheme default0 user-group nms ip-pool nms_1ip-warning-threshold 9012、专线domain static_5m authentication-scheme default0 accounting-scheme default0 ip-pool static_1ip-warning-threshold 90qos profile 5m13、visp(仅盐城和无锡有）稍后让季金金提供 14、web用户认证前域待商定15、web用户认证后域待商定备注：1、virtual-template2虚模板只在有原165用户的bras上配置,

34、没有原165用户的不配置； 2、radius-server主备以省公司发文为准。全省在2个server上的用户各半，实现radius server的负荷分担；3、,远程radius服务器报文重传时间为3秒3次目的是为了在配置认证方式为radius-none后当radius down时用户能够正常上线，否则会提示718错误。建议当radius server稳定时恢复配置为radius-server retransmit 5 timeout 20。4、radius认证方式为radius-none，计费方式设置accounting start-fail online存在如果rudius down的话

35、用户，且不下线，用户套餐到期，用户仍可长期在线的风险；如果radius server稳定建议认证方式设置为radius，即radius down用户无法正常上线。5、禁止在radius上出现本地用户pppoe帐号，本地账户类型只能为ftp和telnet两种类型。省公司用户认证radius没有建立时临时使用。3.5. 设置rd规范要求：按照rd号规划设置rd。符合省公司vpn规划白皮书。规范要求：按照rt号规划设置rt。符合省公司vpn规划白皮书。白皮书参见附件：#新建vrf，并配置rd、rt。ip vpn-instance * description * route-distinguisher

36、 *:*apply-label per-instance /按照每实例分配标签 vpn-target *:id export-extcommunity vpn-target *:id import-extcommunity备注：1、如果有vpn用户可以配置，没有不配置该数据。vpn用户建议使用sr接入，不建议在bras上开vpn用户.2、对于bras改造局点rd、rt仍沿用原有配置，新开业务及新开局设备按照白皮书要求规划rd、rt。3.6. 端口配置:3.6.1 loopback地址配置配置说明：配置loopback 地址作为设备的系统标识（用于某些协议）、管理地址或作为专线和宽带拨号用户的参

37、考网关。规范要求：对每一个loopback接口需添加端口描述，端口描述要求符合2.2章节设备命名及链路描述规范中规定。配置规范：interface loopback0 ip address *.*.*.* 55 description routerid3.6.2 ge用做上连接口配置说明：配置ge端口用做上连接口。规范要求：配置ge端口mtu 设置为1600，关闭ge端口自行协商。3.6.3 ge用做下联接口配置说明：配置ge端口用做下联接口，即纯二层封装接口。规范要求：配置打开ge端口自行协商。3.6.4 ge拨号下联子接口(dot1q)配置说明：配置ge拨号下联子

38、接口，封装为dot1q。规范要求：配置子端口封装为dot1q。3.6.5 ge拨号下联子接口(qinq)配置说明：配置ge拨号下联子接口，封装为qinq。规范要求：配置子端口外层封装为qiniq，内层封装为dot1q。3.6.6 ge专线下联子接口配置说明：配置ge下联子接口为专线接入。规范要求：子端口号建议与vlan id 对应一致；单层vlan时使用子接口下第一个vlan的vlanid，双层vlan的使用子接口下第一个外层vlan的vlanid。引用的速率策略预先在全局配置模式下配置好；配置子端口的描述，格式要求符合配置有关命名规范；ma5200g :1、ge用作上联接口：interfac

39、e gigabitethernet1/0/0 undo negotiation auto #关闭端口自协商功能mtu 1600 #mtu设置为1600 description to njxw.dfj.2f/ip-ar-ne40e-1/ge1/0/1 ip address 6 52 2、ge用作下联接口：# interface gigabitethernet3/1/0 negotiation auto #打开端口自协商功能 description to njxw.dfj.2f/ip-pon-ma5680t-1/ge17/0/0 3、ge拨号下联子接口

40、（dot1q）：# interface gigabitethernet3/1/1.401 pppoe-server bind virtual-template 1 description description rtr9-dfj hetai-massion -4（in 7609）1000m user-vlan 401 bas access-type layer2-subscriber default-domain authentication force pppoe #配置二层拨号缺省认证域为pppoe 4、ge拨号下联子接口（qinq）：# interface gigabitethernet3/1/0.2001 pppoe-server bind virtual-template 1 description description rtr9-dfj hetai-massion -4（in 7609）1000m user-vlan 1900 1925 qinq-vlan 2001 #配置内外层vlan bas access-type layer2-subscriber default-domain force authentication pppoe #配置二层拨号缺省认证域为pppoe 5、ge专线下联子接口（普通vlan）：i