DA110201 MA5200F产品与维护培训胶片 ISSUE3.0

MA5200F产品与维护2.0课程目标（一）学习完本课程，您应该能够：了解MA5200F的硬件结构掌握MA5200F的单板类型及接口类型了解MA5200的软件结构课程内容

第一章概述第二章MA5200F的硬件结构第三章MA5200F的单板类型及接口类型第四章MA5200F的软件结构概述（一）MA5200F是一款高性能路由器，也是一款高性能的宽带智能接入服务器。MA5200F定位于接入层或者汇聚层，适用于以太网、xDSL（DigitalSubscriberLine）、HFC（HybridFiber-Coaxial）、WLAN（WirelessLAN）等各种接入类型的网络，可以广泛地应用于运营商宽带接入网、企业网、校园网、政务网、酒店等各种业务类型的网络，满足了不同网络对灵活的用户管理以及可靠的网络安全的需求。概述（二）MA5200F针对用户提供了功能强大的用户管理和业务控制功能，包括：灵活完善的用户接入方式，用户身份认证和安全保障，基于用户策略的访问控制，业务QoS保证，即插即用、NAT，组播控制、用户访问日志等。MA5200F同时提供丰富的计费信息，支持多种计费方式。MA5200F硬件结构—外观MA5200F为2U高盒式设备，可以装入19英寸标准结构机柜。MA5200F可以提供24个FE口和2个GE口MA5200F硬件结构—系统(1)风扇(2)SPUC板(3)BKPC板(4)GE插板(5)FE0插板(6)FE1插板(7)FE2插板(8)FE3插板(9)网口、串口、复位键、指示灯MA5200F硬件结构—SPUCMA5200F软件结构业务子系统NAT子系统VRP子系统设备管理子系统系统支撑子系统NPS子系统微码子系统系统管理子系统DOPRA+VRP+ServiceMA5200F软件结构-报文处理流程MA5200F软件结构-微码处理流程MA5200F软件结构-VRP子系统VRP子系统完成路由和转发功能，该系统可分为：路由协议路由管理转发控制IP协议栈接口管理流管理访问控制用户日志静态路由RIP2路由管理SocketAPITCPUDP接口管理IP/ICMP/IGMPOSPFBGP转发控制流管理问题MA5200F是BAS设备，是否可以做为路由器使用？是否可以做为交换机使用？MA5200F最多同时支持多少个接口？多少光口？多少电口？MA5200F支持计费策略都有哪些？课程目标（二）掌握MA5200F业务特性及规格掌握portal协议的工作原理学习完本课程，您应该能够：课程内容

第一章MA5200F业务特性概述第二章MA5200F业务特性介绍第三章MA5200F业务规格第四章MA5200F典型组网MA5200F业务特性概述路由协议Portal协议用户接入AAA&Radius

用户管理NAT&PnP&二次地址分配专线\VPN\组播路由协议（略）MA5200FMA5200F组播路由协议：PIM-DM组播开始时，所有路由器会向所有接口发送播数据生成多播源树B、C路由器没有通过RPF检查，发生prune（剪枝操作）C、D路由器收到相互报文，发送assert（声明），D路由器停止向H发送数据I路由器没有多播接收者，向H发送prune报文，H收到I剪枝操作后，本身也无接收者，向C发送prune报文，但C收到多播成员1的查询报文，H剪枝失败，I成功同样，F向E发送PRUNE报文，但G发出多播查询报文（或加入报文），F剪枝失败I下新增加一个多播用户，I向H，H向C发出加入报文，嫁接成功多播源IABCDEGFHI组播路由协议：PIM-SM路由器被设置为RP结点，在网络初始情况下，网络上没有任何组播报文多播成员1加入组播组G，F/E发送多播请求加入组播组G多播源S发送数据，指定路由器A收到多播数据后发送源注册报文,数据以单播方式发送到RP节点RP向源S所在方向发送加入请求组播成功后，RP停止发注册消息多播源S，组播组G多播成员1ABCEFRPPortal协议－概念 什么是Portal协议Portal协议是华为公司制定的，用于宽带用户上网时通过IE等浏览器与WEB认证服务器通信的协议。Portal协议规定了采用Web认证时WebServer和BAS设备之间的报文格式和通信流程，协议支持PAP和CHAP两种认证方式。CLIENT上线请求（用户输入用户名和密码点确定）Req_Challenge(type=0x01)Ack_Challenge(type=0x02)Req_Auth(type=0x03)Ack_Auth(type=0x04)向用户推送下线页面AFF_Ack_Auth(type=0x07)用户在线Req_Logout(type=0x05)Ack_Logout(type=0x06)下线请求（用户点击下线）向用户推送认证成功页面如果是RADIU认证的，在这里和RADIUS认证和计费交互，只有都成功后才进行下面的过程WEBSERVERBAS(MA5200)Portal协议－流程（chap）Portal协议－流程（pap）Portal协议－二次地址分配用户接入非管理用户管理用户

个人用户

二层用户VLAN用户PPPOE用户

WLAN用户三层用户三层WEB认证用户

专线用户

VLAN专线二层接入形式三层接入形式

Proxy专线

PPPoE专线

VLAN透传专线

用户接入方式接入方式认证方式PPPoE PPPoE VLAN绑定认证WEB认证快速认证WLAN802.1X用户认证方式—PPPOE认证3、MA5200F与RADIUS服务器配合完成PPPoE的帐号、密码的验证处理，给用户分配一个合法的IP地址MA5200FRadiusServerLanswitchCore5、RADIUS服务器完成对用户的计费2、MA5200F终结PPPoE1、用户发起PPPoE4、用户获得合法的IP地址，并可以访问InternetPPPoE方式是基于帐号、密码的认证方式MA5200F整机对PPPoE的处理能力是2K个PPPOE业务认证流程PCLanSwitchMA5200DHCPServerRadiusServerPPPoEDiscovery

阶段协商PPPoEDiscovery协商报文LCP协商阶段LCP协商阶段PAP/CHAP认证阶段PAP/CHAP认证阶段远端Server认证如果本地认证就没有该步骤通过DHCPClient到远端DHCPServer申请地址如果本地申请地址就没有该步骤NCP协商阶段NCP协商阶段Useronline用户认证方式—VLAN绑定认证5、MA5200F转发分配的IP地址，同时完成IP+VLAN+MAC的绑定MA5200FDHCPServerLanswitchCore4、根据DHCPAGENT的IP地址从相应地址池中分配用户IP地址3、MA5200F根据用户权限作DHCPRELAY1、用户发起DHCP申请6、用户获得IP地址2、加入VLAN标识

MA5200F整机对VLAN业务的处理能力是2K个VLAN绑定认证业务流程PCLanSwitchMA5200DHCPServerDHCPDiscovery报文Useronline动态用户DHCPACK报文远端DHCP协商MA5200根据用户二层信息生成用户名进行本地认证DHCPDiscovery报文DHCPOffer报文DHCPOffer报文DHCPRequest报文DHCPRequest报文DHCPRequest报文DHCPRequest报文DHCPACK报文远端DHCP协商如果本地分配地址就没有该步骤静态用户用户ARP或者IP报文用户ARP或者IP报文MA5200根据用户二层信息生成用户名进行本地认证Useronline用户认证方式—VLANWEB认证WEB认证方式分为二层、三层形式，PnP用户也采用该认证方式CoreRadiusServerWEBServerLANSwitchMA5200F2、MA5200F的ACL控制用户在未经过认证前只能访问一个或几个特定WWW服务器（WEB认证服务器）4、用户通过认证后可以正常实现Internet访问5、MA5200F作为认证客户端，与RadiusServer配合完成用户的认证过程4、用户通过认证后可以正常实现Internet访问1、用户通过DHCP获得IP地址3、用户发起认证VLANWEB认证业务流程（一）PCLanSwitchMA5200DHCPServer/AAAServerWEBServerDHCP协商过程如果本地申请地址就没有该步骤Useronline对于静态用户没有DHCP过程DHCP协商过程远端DHCP协商用户访问WEB服务器认证页面，输入用户名和密码进行认证WEB服务器将用户认证信息发送给MA5200进行远端AAAServer认证认证成功回应MA5200通知WEBServer用户认证成功WEBServer返回用户认证成功页面如果本地认证就没有该步骤VLANFAST认证业务流程（二）PCLanSwitchMA5200路由器DHCPServerAAAServerWEBServerDHCP协商过程如果本地申请地址就没有该步骤Useronline对于静态用户没有DHCP过程，只有ARP和IP触发认证DHCP协商过程远端DHCP协商远端DHCP协商用户访问WEB服务器认证页面，不需要输入用户名、密码，进行认证WEB服务器将用户认证信息发送给MA5200MA5200通知WEBServer用户认证成功WEBServer返回用户认证成功页面MA5200根据用户二层信息生成用户名进行本地认证用户认证方式—802.1x802.1X方式是基于帐号、密码的认证方式3、MA5200F与RADIUS服务器配合完成802.1X的帐号、密码的验证处理MA5200FRadiusServerLanswitchCore5、RADIUS服务器完成对用户的计费2、MA5200F终结EAPoL1、用户发起802.1X4、用户发起DHCP过程，获得合法的IP地址，并可以访问InternetDHCPServer802.1X业务认证流程（EAP触发）PCLanSwitchMA5200DHCPServerRadiusServerEAPoL-startEAP-request/Identity远端Server认证如果是本地认证就没有该步骤到远端DHCPServer申请地址如果本地申请地址就没有该步骤EAP密钥协商UseronlineEAPoL-startEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密钥协商DHCP协商DHCP协商根据配置可以先进行DHCP协商再进行802.1X认证802.1x业务认证流程（DHCP触发）PCLanSwitchMA5200DHCPServerRadiusServerDHCP_DISCOVER/DHCP_RequestEAP-request/Identity远端Server认证如果是本地认证就没有该步骤到远端DHCPServer申请地址如果本地申请地址就没有该步骤EAP密钥协商UseronlineDHCP_DISCOVER/DHCP_RequesttEAP-request/IdentityEAP-response/IdentityEAP-response/IdentityEAP密钥协商DHCP协商DHCP协商根据配置可以先进行DHCP协商再进行802.1X认证AAA&RADIUS报文流程连接管理AAARadiusRadiusServer认证认证请求认证请求认证请求认证回应认证回应认证回应开始计费Login开始计费请求开始计费请求开始计费回应开始计费回应在线用户授权修改在线用户授权修改在线用户授权修改停止计费Logout停止计费请求停止计费请求停止计费回应停止计费回应Logout回应授权AAA&RADIUS—认证计费支持PAP/CHAP/EAP-SIM认证支持不认证二级认证策略支持基于流量、时长的计费支持实时计费计费抄送功能（基于ISP/物理位置）计费失败处理策略用户管理－业务控制为了控制用户业务，赋予每个用户两种组号：

InterGroup——用于管理用户间的互访控制，

UclGroup——用于管理用户访问非管理地址的权限控制。MA5200F支持5元组ACL，支持标准和扩展ACL，按照源和目的用户类型的不同，ACL规则可分为以下三类：用户间的互访控制；用户访问非管理地址的权限控制；非管理地址间的访问控制。ACL规则配置完成后，还要应用到具体范围，才能真正生效，作用范围有三类：全局范围，端口范围，端口VLAN范围。用户管理－CAR流量监管(CAR)MA5200基于用户的CAR共有32级，每一级CAR都可以配置不同的上下行基本速率、平均速率、峰值速率。对每个用户做三种CAR：用户上下行CAR和用户访问设备的CAR。令牌桶入接口策略库流量参数CORE出接口MA5200FLanswitchNAT&PNP－NAT特性InternetNAT静态地址转换PAT动态地址转换静态是指设备内部的地址和外部地址是一一映射的关系，例如：PAT指通过四层端口的映射，来实现对地址的复用，节省公网地址：地址0配置静态映射关系：

0<——>0外部看到的地址是0，内部地址为0，地址00:8000配置静态映射关系：

00:8000<——>0:1200100:9000<——>0:12002地址01:9000NAT&PNP－NATALGNATALG：在有些应用，如FTP，Netmeeting，其应用层净荷中存在IP地址，所以必须解析应用层的报文信息，进行地址的替换。R007NAT支持的ALG：FTPICMPNetmeeting(H.323)MGCPALG是什么意思？为什么要做ALG处理？NAT带来的限制有一些需要做ALG（报文净荷中携带IP地址）的应用，将会无法使用，如视频QQ，一些VPN，网络游戏等。NAT&PNP－PNP特性Internet地址转换BAS设备通过用户的二层信息识别用户在接收到用户的报文后，进行地址转换，将报文的源IP地址转换为正确的地址收到网络发向用户的报文后，将报文的目的IP地址替换为用户计算机上配置的地址；实现的原理和NAT相近，同样对特定应用必须做ALG处理Packet202:192.1.100Packet202:192.1.100Packet202:192.1.1000Packet202:192.1.1000Packet0202:192.1.100Packet0202:192.1.100Packet202:192.1.100Packet202:192.1.100NAT&PNP－PNPhttp代理支持PNP

HTTP代理支持专线—概念专线接入泛指同一逻辑端口下的所有用户统一进行CAR和流量统计，在AAA只表现为一个连接的接入方式。

专线下所有的用户具有相同的权限

专线下所有的用户统一计费

专线下所有的用户统一做CAR

专线接入以端口VLAN作为识别标识分类

VLAN专线二层接入形式三层接入形式

Proxy专线

PPPoE专线

VLAN透传专线专线—VLAN专线二层VLAN专线与三层VLAN专线的区别：

挂接的设备不同：分别是2层设备（交换机）与3层设备（路由器）二层VLAN专线可以由设备或用户分配地址，三层VLAN专线必须由用户自行管理地址专线—PPPoE专线

PPPoE专线与3层VLAN专线相似，不同点在于：PPPoE专线时路由器与MA5200F连接时使用PPPoE协议，而不是直接使用IP协议；

3层专线配置完成后就开始计费，而PPPoE专线在路由器拨号后开始计费。另外，由于需要配置用户的网段路由，要求路由器通过PPP的申请到的地址必须固定分配。专线—VLAN透传VLAN透传是指预先指定某个VLAN端口进行透传，并配置该VLAN端口的出端口。目的是在城域网范围内实现基于VLAN技术的VPN，满足用户的多个LAN互连的需求。MA5200F在做VLAN透传时不进行三层处理，而是根据报文的VLANID进行二层处理，将来自管理端口的报文替换VLANID后转发到非管理端口，将来自非管理端口的报文替换VLANID后转发到管理端口。专线—PROXY专线RouterMA5200FProxyProxyVLANVLAN专线A专线BProxy专线主要用于网吧用户。用户通过一台Proxy设备（代理服务器或NAT设备）接入MA5200F，网吧中的其他用户通过Proxy转换地址后上网。Proxy下主机的地址由用户自行分配管理。MA5200F只能看到Proxy设备，而看不到Proxy下面的用户。MA5200F对该类用户预留资源，保证服务质量。VPN—分类按用途分类：

远程访问虚拟专网（AccessVPN）

企业内部虚拟专网（IntranetVPN）

扩展的企业内部虚拟专网（ExtranetVPN）按组网形态分类（RFC2764）

虚拟租用线（VLL）虚拟专用路由网（VPRN）虚拟专用拨号网（VPDN）

虚拟专用LAN网段（VPLS）Core远端用户MA5200（LAC）MA5200F终结PPPoE，作为LAC，与LNS建立隧道和会话,实现L2TP功能。PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMACQuidway2403IPPPPL2TP

uDPIPMACL2TPUPDIPMACVPN—L2tpLNSVPN—L2TP隧道和会话建立过程PSTN/LANInternetPPPoEdiscoveryPPPLCPPPPAuthenticationSCCRQSCCRPTunnelauthenticationICRQICRPPPPLCPPPPAuthenticationPPPNCPPASSSCCCNZLBACKICCNZLBACKVPDN用户LACLNS企业网VPN—GRE隧道VLL通过运营商的边缘节点向用户提供点到点连接业务。IP隧道建立在运营商的边缘节点之间，支持多协议报文传送。MA5200F支持在运营商的边缘节点之间创建GRE隧道，可以将IP、IPX、AppleTalk封装在IP协议内，用户的数据对于中间的设备是透明的。组播—组播成员加入Internet2、Lanswitch续传报告报文并通过IGMPSnooping功能学习到参与组的用户3、MA5200处理REPORT报文，决定哪些用户接口加入多播组1、用户发出加入多播组的IGMPreport报文4、MA5200向多播用户端口发IGMP查询报文5、Lanswitch续传查询报文到用户多播路由器多播源组播—组播报文转发Internet3、Lanswitch根据IGMPSnooping向有多播用户的端口转发报文2、MA5200根据用户的加入报文决定向哪些端口转发多播报文1、多播路由器收到多播报文会向MA5200转发多播路由器多播源非受控组播的业务流程PCLanSwitchMA5200路由器IGMP查询报文IGMP报告报文向组播用户端口发送IGMP查询报文续传IGMP查询报文IGMP成员报告报文续传IGMP成员报告报文，并通过IGMPSnooping学习到加入组播组的用户1、处理IGMP成员报告报文，决定哪些用户接口加入该组播组2、不验证用户是否有组播权限向5200转发组播业务报文向有用户加入的端口转发组播业务报文向有用户加入的端口转发组播业务报文运行PIM协议IGMPproxy或PIM协议，选其一IGMP成员离开报文从转发表中删除该用户，如果该组播组下没有其他用户，续传IGMP成员离开报文从转发表中删除该用户接口，如果该组播组下没有其他用户，发送IGMP成员离开报文受控组播的业务流程（一）PCLanSwitchMA5200路由器IGMP查询报文IGMP报告报文向组播用户端口发送IGMP查询报文续传IGMP查询报文IGMP成员报告报文续传IGMP成员报告报文发送HMCP添加用户报文运行PIM协议IGMPproxy或PIM协议，选其一检查用户是否有组播权限（单播认证时获得）响应HMCP添加用户报文根据HMCP报文添加用户组播转发表项受控组播的业务流程（二）PCLanSwitchMA5200路由器向5200转发组播业务报文向有用户加入的端口转发组播业务报文向有用户加入的端口转发组播业务报文IGMP成员离开报文续传IGMP成员离开报文从转发表中删除该用户接口，如果该组播组下没有其他用户，发送IGMP成员离开报文发送HMCP删除用户报文响应HMCP删除用户报文根据HMCP报文删除用户组播转发表项规格参数—电源及环境参数 电源参数

工作电源： AC：(110V~220V)20%

DC：-48V（-40V～-60V）

满配置功耗：<90W

环境参数

工作温度：-5℃～45℃(长期工作温度)；-25℃～55℃(短期工作温度)

工作湿度：10％～90％

洁净度

直径大于5μm的灰尘浓度≤3╳104粒／m3，灰尘粒子为非导电、非导磁和非腐蚀性

规格参数—转发能力交换容量

10Gbps无阻塞共享缓存交换，共享缓存3MB

IP包转发率

3Mpps，线速转发

物理接口

10/100base-T光口/电口：24个/整机

1000base-T接口：2个/整机规格参数—系统容量支持的同时在线用户数

2K（MA5200F-2000）

PPPoE接入数：整机2K个用户

VLAN接入数：整机2K个用户

L2TP隧道数：128个

L2TP会话数：2048个

路由表容量：1K静态路由+1K动态路由+2K主机路由

ARP表项数：3K

支持的ISP数目：128个

IP地址池数目：128个

地址总数：12K个组网应用—运营商宽带城域网MA5200FLanSwitchAPCMTSIPDSLAMEthernetWLANHFCxDSLL3核心网认证计费平台网管平台业务平台MA5200FMA5200FMA5200F组网应用—企业网S2026S2026S2026S2026S2026S3026S3026S3026MA5200FS8016业务服务器QuidviewCAMSNE16EEudemon100Eudemon100企业总部业务服务器S2026S2026INTERNETIPTunnelMA5200FWA1006+企业分支机构课程目标（三）学习完本课程，您应该能够：熟练掌握MA5200F各类业务的配置方法课程内容

第一章MA5200F系统配置第二章MA5200F公用基础配置第三章MA5200F常用业务配置第四章MA5200F路由配置MA5200R007系统配置

Telnet登录配置FTP登录配置配置telnet访问权限（一）配置一个ACL，只允许某些特定的IPTELNET到MA5200F[MA5200F]aclnumber10match-orderauto[MA5200F-acl-basic-10]rule0deny[MA5200F-acl-basic-10]rule1permitsource应用ACL到VTY接口（默认情况为所有地址均可以访问）[MA5200F]user-interfacevty04[MA5200F-ui-vty1-4]acl10inbound[MA5200F-ui-vty1-4]setauthenticationpasswordcipherma5200f配置telnet访问权限（二）说明：以下命令适应于MA2.10-7123以及后版本设置用户登录方式为用户名密码方式[MA5200F]loginauthentication-schemeschemetelnet（默认本地认证）

[MA5200F]loginlocal-userma5200fpasswordcipherma5200f[MA5200F-ui-vty1-4]authentication-modeschemetelnet设置用户登录方式为只验证密码方式[MA5200F-ui-vty1-4]authentication-modepassword配置FTP登录信息启用MA5200F的FTP功能[MA5200F]ftpserverenable（默认启用）配置FTP使用的认证策略[MA5200F]loginauthentication-schemeschemeftp

（默认本地认证）

[MA5200F]ftpauthentication-modeschemeftp配置登录用户名和密码[MA5200F]loginlocal-userftppasswordcipherftp配置用户登录默认目录（必须）[MA5200F]loginlocal-userftpftp-directoryflash:/MA5200R007基础公用配置

本地地址池配置（内置DHCP）外置DHCP配置认证计费策略配置RADIUS策略配置ACL配置配置内置地址池网关：计算机默认路由的下一跳（必）SECTION：客户可以分配的IP地址段（必）DNS：计算机获取的DNS地址（必）租期：IP地址的租期（选）DNS后缀：（选）NBNS服务器：计算机获取的NETBIOS服务器地址（选）DHCP选项：（选）掩码：地址池的范围（必）本地地址池配置外置DHCP服务器网关：计算机默认路由的下一跳（必）DHCP服务器地址：DHCP服务器实际IP地址（必）释放代理：用户下线后是否向服务器申请释放IP地址（默关）掩码：地址池的范围（必）DHCP组：关联相应的服务器（密）远端地址池DHCP组配置认证计费策略本地本地远端（RADIUS）先本地再远端不认证认证方式计费方式远端（RADIUS）先远端再本地同时配置RADIUS策略认证服务器地址、端口（必）服务器类型（默认标准）密钥（必）用户名是否带域名（默认带）是否用CLASS传CAR（默认否）RADIUS流量单位（默认K）RADIUS报文超时时间和重传间隔（默认5S*3）计费服务器地址、端口（必）RADIUS服务器组RADIUS属性转换（默认关）ACL配置（一）源目的报文类型Time-range端口号Rule0源目的报文类型Time-range端口号Rulen……源目的报文类型Time-range端口号Rule0源目的报文类型Time-range端口号Rulen……ACL3000ACL3XXX……PermitdenyPermitdeny配置ACL（二）小结：ACL的使用流程配置用户所在的UCL组添加ACL设置ACL组中的RULE应用ACL到接口或全局MA5200R007常用业务配置（一）

VLAN业务配置PPPoE业务配置802.1x业务配置VPN业务配置MA5200R007常用业务配置（二）

专线业务配置组播业务配置HGMP配置NAT配置MA5200R007VLAN业务配置VLAN业务配置要点：普通VLAN PNP（即插即用） 三层认证普通VLAN用户上线流程Internet1、用户发起DHCP申请2、加VLAN信息3、认证，通过后分配IP4、获取IP及一定访问权限5、再认证或正常上网6、再认证并分配用户权限7、再认证通过后正常上网3、用户获取IP前根据认证前默认域策略采用绑定类型用户名进行认证，认证后才分配IP地址，此时只能访问有限资源。（ACL控制）5/6、如果3后用户只有部分权限，用户访问或被强制web认证服务器认证，认证通过后得到上网的权限。根据认证域的策略可以进行二次DHCP。DHCPWEBRADIUSDHCPDHCPIPhttphttphttpAuth_REQAccetpREQ_challangeACK_challangehttpAuth_req普通VLAN业务配置流程从上面的流程可知一个VLAN用户上网一般需要配置：IPPOOL（如果外置DHCP还需要配置DHCP组）、认证计费策略、RADIUS认证需要配置RADIUS策略、认证前默认域（默认为default0）、认证时默认域（默认为default1）、端口VLAN信息、本地认证配置本地用户、上行路由，如下所示：配置IPPOOL配置认证策略配置计费策略配置RADIUS策略域配置（引用POOL、认证计费策略、RADIUS策略等）用户配置端口VLAN配置ACL配置（WEB时需要）路由配置其它VLAN应用－三层认证流程InternetHTTPWEBRADIUS1、根据portvlan检测到是三层认证，且用户IP在三层认证网段内，强制到WEB认证页面HTTP2、下面的过程和普通WEB认证相同三层WEB认证配置流程配置认证策略配置计费策略配置RADIUS策略配置三层用户的网段及预认证域用户配置端口VLAN配置域配置（引用POOL、认证计费策略、RADIUS策略、预认证域策略）ACL配置路由配置MA5200R007PPPoE业务配置PPPoE业务配置PPPoE用户上线流程Internet1、用户发起PPPOE认证2、检查此portvlan下是否允许PPPOE接入DHCPWEBRADIUSPADIPADOPADRPADS4、认证后正常上网3、根据用户名所在的域或认证时默认域及端口下虚模板的参数进行认证HTTPPPPoE业务配置流程配置IPPOOL配置认证策略配置计费策略配置RADIUS策略域配置（引用POOL、认证计费策略、RADIUS策略等）用户配置端口VLAN配置路由配置虚模板配置MA5200R007802.1x业务配置802.1x业务配置802.1x用户上线流程Internet1、用户发起EAP2、检查portvlan下是否允许802.1X用户接入DHCPWEBRADIUSEAP-STARTREQ_IDRESPONSE_ID3、根据用户域和1X模板的策略进行认证REQ_challangeRESPONSE_challangeREQ_ACCESSACCEPT_ACCESS4、DHCP5、正常上网http802.1x业务配置流程配置IPPOOL配置认证策略配置计费策略配置RADIUS策略域配置（引用POOL、认证计费策略、RADIUS策略等）用户配置端口VLAN配置路由配置802.1x模板配置MA5200R007VPN业务配置VPN业务配置要点：L2TP GREVPN组网及原理LAN/WAN/PSTNInternetInternetVPNCLIENTMA5200F(LAC)MA5200FRouterVPNSERVER(LNS)L2tpGREVPN业务配置流程－L2TP对L2TP的配置主要分两部门：PPPOE用户配置和L2TP遂道相关配置，PPPOE用户配置和普通PPPOE用户唯一不同的地方在于VPN用户在域里需要指定L2TP组索引，下面将重点介L2TP遂道的相关配置。启用L2TP创建L2TP组配置LNS地址配置其它参数配置PPPOE用户MA5200FVPN应用的特殊形式在这种应用形式下，VPN的用户首先做为MA5200F的普通VLAN用户或802.1x用户在MA5200F上通过认证，然后在启用拨号器直接向VPNSERVER发起呼叫，这时MA5200F对L2TP的报文像普通业务报文一样转发，所以在MA5200F只要按普通业务配置即事，不需要另做特殊配置。LAN/WAN/PSTNInternetVPNCLIENTMA5200F(LAS)VPNSERVER(LNS)L2tpVPN业务配置流程－GRE

GRE的配置比较简单，只需要配置遂道物理接口，遂道本端IP地址，遂道源地址（实际地址）、遂道目的地址（实际地址）、封装模式和哪些目的网段的报文从遂道转发即可！遂道物理接口遂道本端ＩＰ遂道源ＩＰ遂道目的ＩＰ遂道封装协议哪些网段走遂道MA5200R007专线业务配置专线业务配置要点：二层专线 三层专线

Proxy专线

PPPoE专线

VLAN透传二层专线配置流程配置IPPOOL配置认证策略配置计费策略配置RADIUS策略域配置（引用POOL、认证计费策略、RADIUS策略等）用户配置端口VLAN配置路由配置三层专线配置流程配置认证策略配置计费策略配置RADIUS策略域配置（引用POOL、认证计费策略、RADIUS策略等）用户配置端口VLAN配置路由配置（增加到三层专线的路由）Proxy专线配置流程配置IPPOOL配置认证策略配置计费策略配置RADIUS策略域配置（引用POOL、认证计费策略、RADIUS策略等）用户配置端口VLAN配置路由配置PPPoE专线配置流程域配置（引用POOL、认证计费策略、RADIUS策略等）用户配置端口VLAN配置路由配置（增加到PPPoE专线的路由）配置IPPOOL配置认证策略配置计费策略配置RADIUS策略虚模板配置透传专线配置流程配置认证策略配置计费策略配置RADIUS策略域配置（引用POOL、认证计费策略、RADIUS策略等）用户配置端口VLAN配置路由配置MA5200R007组播业务配置组播业务配置要点：非可控组播非可控组播配置命令非可控组播包括两种实现方式：IGMPPROXY和PIMIGMPPROXY：[MA5200F]multicastrouting-enable

（必配，使能组播）[MA5200F]igmpproxy

（IMGPPROXY方式必配）[MA5200F]igmpdesignated-router

（必配，指定上行多播路由器）PIM[MA5200F]multicastrouting-enable

(必配，使能组播）[MA5200F-Ethernet2]pimdm（一般必配，如果是二层专线、三层专线的用户还需要打开相应VLAN子接口下的PIMDM)MA5200R007HGMP配置HGMP配置要点：HGMPv1 HGMPv2HGMPv1配置命令HGMPv1配置包括两条命令：[MA5200F]hgmpenable（默认打开）[MA5200F]hgmpport-modeethernet12asterisk

（配置端口为星形模式，默认为树形，跨HUB必配）HGMPv1两种组网形式：星形模式树形模式HUBHGMPv2配置NDP：发现邻居Ippool：给集群的设备分配管理的私网IPloopback：给外网管理集群用的公网地址公网服务器：给集群的成员使用建立集群：把发现的设备加入到集群中NTDP：建立拓朴CLUSTERMA5200R007NAT配置NAT配置NAT配置Addressgroup：用来转换的公网地址Netserver：一对一的NAT转换，用做服务器Aging-time：NAT联接的老化时间Connection-limit：NAT联接数目限制NAToutside：对哪些特殊的目的地址不做NATNATNATACL：需要做NAT转换私网地址NAToutbind：哪些私网地址用户哪些公网地址转换MA5200R007路由配置路由配置要点：RIP OSPF BGP课程目标（四）学习完本课程，您应该能够：掌握MA5200F软件升级方法通过本课程的学习，熟悉MA5200FR007各种问题的常见原因，掌握业务跟踪功能的使用，能够排除基本业务的常见故障！课程内容

第一章MA5200F软件升级第二章MA5200F常见故障处理第三章MA5200F文件结构第四章MA5200F故障信息收集MA5200F升级MA5200F升级包括BIOS+程序和主机程序，要求必须同时升级两个程序，除从R006版本升级外，都可以远程通过命令行方式进行。故障处理-基本保证物理联接正确故障处理的一般思路VLAN用户无法获取IP（一）交换机配置认证前/时域Portvlan配置地址池配置DHCP服务器……VLAN用户无法获取IP（二）debug<MA5200F>debuggingdh?

dhcpc

dhcpr

dhcps<MA5200F>tmCurrentterminalmonitorison<MA5200F>tdCurrentterminaldebuggingison<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjectethernet1output-filedhcp.txt

trace注意：串口和telnet是不相同的VLAN用户无法获取地址-DHCP报文分析*[0.1513300-]DHCR-8-07093000:[DHCPRRecvfromserver]:=====\\表示消息方向，如“服务器收到”、“从客户端收到”、“发给客户端”等[Xid]:2703716368[cmd]:2[Htype]:1[Hlen]:6[Hops]:0[Secs]:0[Flag]:0[Ciadd]:[Yiadd]:00\\服务器分配的IP地址

[Siadd]:[Giadd]:[Sname]:[File]:[Option]:-----Messagetype:OFFER\\表示消息类型，可能discovery、offer、request、ack（nak）

Routeip:Subnetmask:Serverid:Dns:5555NBNS:5555leasetime:259200sRenewtime:129600sRebindtime:226800sVLAN用户强制WEB认证失败VLAN用户无法上线（一）UN/PWDUNinvalid/blockPorttypemismatchedPortvlan

cfgerrorDomain

invalid/block……RadiuscausedVLAN用户无法上线（二）debug[MA5200F-diagnose]debuggingaaaall<MA5200F>tmCurrentterminalmonitorison<MA5200F>tdCurrentterminaldebuggingison如果radius认证还需要打开radius相关调试开关，在debugaaa看不到明确信息时可以打开debugcm和debuglam<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjectusernametest@huaweioutput-fileaaa.txt

trace注意：串口和telnet是不相同的UserstateisblockAccessLimitPorttypeinvalidLicenselimitUsermacinvalidPasswordinvalidFailtousedomainwithstatedeactiveVLAN用户无法上网-TRACE信息查看--[2004/6/2211:48:4-][AAA][0006-5b6c-aaf9]:ReceiveauthenticationackfromLAMsuccessfully(UserID=3,Result=Failure,Failreason=Usernotexist)

一个WEB业务的TRACE信息解释VLAN用户无法上线（三）静态用户的配置步骤1）先配置地址池，并把静态用户所用的地址标为禁用2）配置静态用户的认证域，并引用地址池3）配置portvlan属性，并设置静态用户的认证域RADIUS认证是否配置了loopback0地址，如果配置了loopback0，则radius上的nas-ip应当配置为loopback0地址；如果未配置loopback0，则radius上nas-ip应当配置为5200上行口地址。PPPoE用户无法上线（一）UN/PWDUN/Domaininvalid/blockPorttypemismatchedPortvlan

cfgerrorAllocateipfailure……RadiuscausedPPPoE用户无法上线（二）debug<MA5200F>debugging

ppp

pppoe-server<MA5200F>tmCurrentterminalmonitorison<MA5200F>tdCurrentterminaldebuggingison在debugaaa看不到明确信息时可以打开debugcm和debuglam；如果radius认证还需要打开radius相关调试开关。<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjectusernametest@huaweioutput-filepppoe.txt

trace注意：串口和telnet是不相同的一个PPPOE业务TRACE的解释802.1x用户无法上线（一）UN/PWD/domainClientcausedPorttypemismatchedPortvlan

cfgerrorAllocateipfailure……Radiuscaused802.1x用户无法上线（二）debug<MA5200F>debuggingdot1xall<MA5200F>tmCurrentterminalmonitorison<MA5200F>tdCurrentterminaldebuggingison在debugaaa看不到明确信息时可以打开debugcm和debuglam；如果radius认证还需要打开radius相关调试开关。<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjectusernametest@huaweioutput-filedot1x.txt

trace注意：串口和telnet是不相同的一个DOT1X业务的TRACE信息解释其它业务debugL2tp:<MA5200F>debuggingl2tp组播：<MA5200F>debuggingigmp

HGMP:<MA5200F>debugginghgmpHGMPV2:<MA5200F>debuggingndp/ntdp/cluster

路由：<MA5200F>debuggingrip/ospf/bgp<MA5200F>enabletraceServicetraceisalreadyenabled<MA5200F>traceobjecttrace注意：串口和telnet是不相同的用户异常掉线（一）ArpdetectPppoehandshakeIdle/limitcutAcctfailureDot1xhandshake……Heartbeatfailure用户异常