广东移动IP城域网BRAS业务配置规范7750分册V1.1(试行稿)

1、广东移动IP城域网BRAS业务配置规范上海贝尔7750分册试行稿（V1.1）中国移动通信集团广东有限公司2010年10月编制说明为保证城域网的运行质量，必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网络配置主要是指通过在设备上实施具体配置命令，开启设备控制层面和转发层面的功能，实现网络的互通，保证网络具备预期的业务承载能力。同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远，此外，由于网络规模不断扩大，设备特性不断变化，配置工作正日益变得复杂，全网配置发生错误的概率也在增加，因此很有必要对城域网网络设备的网络配置予以规范。本课题涉及的对象就是城域网网络设备配置

2、的相关规范标准，目的是为城域网维护人员提供实用维护工具。考虑到城域网网络设备维护分工明确，配置规范按分册进行编写，本篇只针对阿尔卡特7750设备制定相关业务配置规范。版本变更记录日期版本说明作者2009.9.28最初版本珠海公司李万鹏2010.1.201.0修改PPPOE业务配置，增加业务常用检查命令、故障处理注意事项珠海公司罗宇文2010.8.241.0.1修改动态PPPOE业务默认参数珠海公司罗宇文2010.10.241.1经一年试行，全省讨论修改部分内容珠海公司罗宇文目 录1. 概述41.1 目标网络结构41.2 配置原则51.3 说明62. 基本业务介绍及配置62.1 PPPOE业务6

3、2.1.1PPPOE业务配置72.1.11动态VLAN配置方式接入72.1.12静态VLAN配置方式接入122.1.1.3 pppoe业务资源规划表163. 业务常用检查命令174. 故障处理注意事项：181. 概述1.1 目标网络结构IP城域网的定位：1、网络定位：IP城域网是位于用户驻地网和CMnet网之间的网络，既要满足用户的需求也需要适应企业未来的发展。IP城域网与城域传送网共同构成了我公司城域综合业务承载平台。2、业务定位：(1)为公司内部业务应用系统 (营业厅、OA、BOSS等)提供接入以及实现自有机楼数据互连等。(2) 为用户提供互联网接入、VPN接入、集团增值业务接入等。城域网

4、现状结构图（一二类公司）：城域网现状结构图（三类公司）：在上图中，将IP城域网划分成四个层次：骨干层、核心汇聚层、区域汇聚层和接入层。 骨干层实现城域网与CMnet的连接，完成高速数据转发，并充当MPLS VPN的P设备。 在核心汇聚层选择两个节点充当跨域MPLS VPN业务互通的ASBR(跨域边界路由器)，并与CMNET的汇聚路由器CR直接连接。 BRAS和核心汇聚路由器充当三层网络边缘的业务控制点设备，并充当MPLS VPN的PE设备，还支持组播复制功能等。 区域汇聚层完成接入层接入到城域网，一般只起二层功能。 接入层负责用户接入，采用二层网络。 按照目前规划的设计，WLAN在AC上认证，

5、不接入BRAS。1.2 配置原则配置总体原则为保证配置的规范性和统一性，以减少维护工作的难度和工作量，设备配置过程中应遵循一下基本原则：l 配置语法、语义必须正确无误，保证网络能够正常运行，各种管理接口能够正常通信；l 能够统一的策略和参数必须统一；l 配置应尽量简洁，无用的配置命令不应出现在配置文件中，用于试验的配置应及时删除；l 配置应具有一定的扩展性，方便未来修改和扩展（如ACL的序号安排）；l 配置应保证较好的可读性，尽量通过description参数对重要命令进行注解；l 汇聚层及其以上设备AAA认证必须采用集中服务器认证；l PPPOE用户的命名要符合命名规范；l PPPOE初始密

6、码要符合密码规范；l QoS的配置必须规范；1.3 说明l 本文档灰底字体表示需注意或表示一定要统一配置的内容l 本文档将7750为示例，当7750兼做CR时需同时满足CR的局数据要求。l 为简便起见，如果7750SR与7750CR要求相同时，在本文档中将不再重复。2. 基本业务介绍及配置2.1 PPPOE业务7750SR在6.0版本开始正式支持PPPOE业务，6.1版本添了Radius认证PPPOE用户功能，7.0版本将PPPOE与L2TP业务关联，7750SR可以支持L2TPv2的LAC功能。PPPOE业务可以在7750SR的IES、VPRN三层业务上实现，用户可以是静态VLAN配置的方式

7、接入，也可以通过msap实现动态VLAN配置的方式接入。静态VLAN相对配置而言会更为繁锁，适用于少量VLAN的配置，动态VLAN配置的方式适用于per user per vlan的方式下接入大量PPPOE用户。对于PPPOE业务可以在Null、Dot1q和QinQ封装下均支持。L2TP业务可以在7750SR的PPPOE拔号接入条件下为企业远端用户提供从用户终端到用户路由器的二层VPN隧道业务，其典型组网拓扑如下：2.1.1PPPOE业务配置根据PPPoE业务配置方式的不同分动态VLAN配置方式接入、静态VLAN配置方式接入2.1.11动态VLAN配置方式接入n 配置内容：动态VLAN配置方式

8、接入n 规范要求：设备名称要求符合中国移动通信集团广东有限公司IP城域网资源命名规范(V1.0)的要求；n 配置示例：PPPoE的动态配置流程如下：（正常情况应该配置速率为512K-10M模板，现以10M为例，端口以port1/1/2为例配置）1:首先接入CE的端口配置为ACCESS模式。#/配置用户端口/configure port 1/1/2 ethernet mode accessconfigure port 1/1/2 ethernet encap-type qinq/如果为qinq此处配置QINQ、如果为Dot1Q配dot1q/configure port 1/1/2 etherne

9、t no autonegotiateconfigure port 1/1/2 ethernet speed 10000configure port 1/1/2 ethernet duplex fullconfigure port 1/1/2 no shutdown2：配置PPPoE业务中的所有相关策略，包括PPPoE策略，鉴权策略（auth-gmcc-radius）， 计费策略（acc-gmcc-radius），QoS策略，这些策略配置后，在以后的新开业务时，不需再次配置，只要应用就可以了； 1）#/配置Qos策略/ （此处业务Qos策略优先级低于城域网QoS策略）configure qos

10、sap-ingress 10000 create /入方向的策略/queue 1 create rate 10000 cir 10000 /例：rate 10000 cir 10000 限速单位为10000kbit/s，rate为突发，cir为承诺/exitexitsap-egress 10000 create /出方向的策略/queue 1 create rate 10000 cir 10000exitexit2）#/配置Sla-profile策略/-PPPoE用户的属性置之一，限速configure subscriber-mgmtsla-profile 10M create /10M为名字

11、，需要规范定义/ingress qos 10000 /关联sap-ingress 10000/exitexitegress qos 10000 /关联sap-egress 10000/exitexit3）#/配置Radius-accounting计费策略/ PPPoE用户的属性置之二，计费configure subscriber-mgmt radius-accounting-policy acc-gmcc-radius create /定义策略名称” acc-gmcc-radius” / 计费策略 update-interval 5 include-radius-attribute frame

12、d-ip-addr framed-ip-netmask subscriber-id circuit-id remote-id nas-port-id /客户上来端口 nas-identifier/bras的全名 sub-profile/ sla-profile calling-station-id/ user-name exit use-std-acct-attributes radius-accounting-server retry 10 timeout 10 source-address 本BRAS的系统地址 server 1 address 221.179.9.19 secret it

13、ellin exit exit4）#/关联计费策略configure subscribe-mgmtsub-profile hsi-sub create /固定参数 radius-accounting-policy acc-gmcc-radius /关联计费策略exit5）#/sub和sla使用策略sub-ident-policy sub-ident-direct create sub-profile-map use-direct-map-as-default exit sla-profile-map use-direct-map-as-default exit exit6）#/配置MSAP-p

14、olicy策略/-使用动态VLAN时使用的策略configure subscribe-mgmt msap-policy hsi-msap create /命名见附表/ sub-sla-mgmt def-sub-id use-sap-id def-sub-profile hsi-sub /关联sub-profile hsi-sub，若radius未下发将使用该策略/ def-sla-profile 10M /关联sla-profile 10M，若radius未下发将使用该策略/sub-ident-policy sub-ident-direct /关联sub和sla使用策略/ multi-sub-

15、sap limit 10000/修改，默认为1，一个SAP 允许的用户登陆个数/ single-sub-parameters profiled-traffic-only exit exit exit6：#/配置PPPoE-policy策略/configure subscribe-mgmt pppoe-policy pppoe create keepalive 10 hold-up-multiplier 3 /定义ppp keeplive/ max-sessions-per-mac 1 ppp-authentication pap /定议PPP验证方式/ exit7：#/配置Radius认证策略

16、/configure subscribe-mgmt authentication-policy auth-gmcc-radius create radius-authentication-server source-address 系统地址 timeout 20 server 1 address 221.179.9.19 secret itellin exit accept-authorization-change pppoe-access-method pap include-radius-attribute circuit-id remote-id nas-port-id prefix-s

17、tring port- /上送报文时添加前缀port-/ nas-identifier pppoe-service-name mac-address exit exit8：#配置PPPOE策略/增加以下配置，为了使用地址池中的不同子网的IP地址/configure subscriber-mgmt local-user-db pppoe create pppoe match-list username host default create address pool pool-pppoe-001 no shutdown exit 9：#/配置DHCP 地址池/configure router d

18、hcp local-dhcp-server pppoe-dhcp-server create use-gi-address use-pool-from-client user-db pppoe /增加，才能使用到不同子网的IP地址/ pool pool-pppoe-001 create /pool name全省统一并由radius定义/ options dns-server 202.96.128.86 202.96.128.166 exit subnet 61.145.30.0/24 create /地址段可添加多个/ address-range 61.145.30.2 61.145.30.2

19、54 exit subnet 62.144.11.0/24 create /地址段可添加多个，61.145.30.1/24分配给客户地址池/ address-range 62.145.11.2 62.145.11.254 exit exit no shutdown exit exit interface dhcp-address-001 address 172.16.0.1/32 /内部地址无须发布到公网/ loopback local-dhcp-server pppoe-dhcp-server /邦定名字为adsl的DHCP Server/ exit *以上配置在系统中配置后，不需再配置*3

20、: 配置业务-#/配置VPLS auto sap/（作用：动态VLAN接入方式中，IES没有配置业务接入点sap，可以根据此VPLS auto sap配置来检测radius认证过程，从而自动产生业务接入点sap供IES使用，如下*.*为自动产生字段）configure service/vpls customer 3000 create /相关ID见附表/ sap 1/1/2:*.* capture-sap create /定义业务端口的自动vlan SAP，如果dot1q封装则是sap 1/1/2.* / default-msap-policy hsi-msap /绑定msap策略/ trig

21、ger-packet pppoe /PPPoE触发/ pppoe-policy pppoe /绑定PPPoE策略/ authentication-policy auth-gmcc-radius /绑定认证策略/ exit no shutdown#/配置IES业务接入PPPoE业务/configure serviceies customer 1000 create /PPPOE业务号全省统一，不能与vpls业务号重复/ subscriber-interface pppoe create address 61.145.30.1/24 address 62.144.11.1/24 group-int

22、erface port- 1/1/2 create /group-interface 该名字应该定义成接口类型+业务上联接口，radius会根据accept-requst里的nas port id属性回送group-interface，注意中间空格 / dhcp server 172.16.0.1 trusted gi-address 61.145.30.1 client-applications pppoe no shutdown exit authentication-policy auth-gmcc-radius oper-up-while-empty/增加这个参数，可以保证IES 业务

23、总是处于UP 状态，以避免告警/ pppoe pppoe-policy pppoesession-limit 10000/限制整个业务容纳数量，根据实际应用情况确定支持用户数/sap-session-limit 10000/限制一个业务接入点sap能容纳的用户数量，根据实际用户数量设置/ no shutdown exit exit exitno shutdownexit2.1.12静态VLAN配置方式接入n 配置内容：静态VLAN配置方式接入n 规范要求：设备名称要求符合中国移动通信集团广东有限公司IP城域网资源命名规范(V1.0)的要求；n 由于卡特设备目前不支持内层连续vlan的一条命令指

24、定配置所以对于pppoe，建议使用动态VLAN配置方式接入。n 配置示例：PPPoE的动态配置流程如下：1:首先接入CE的端口配置为ACCESS模式。1):#/配置用户端口/configure port 1/1/2 ethernet mode accessconfigure port 1/1/2 ethernet encap-type qinq /封装为QinQ或Dot1Q，根据实际终结的VLAN决定/configure port 1/1/2 no shutdown2：配置PPPoE业务中的所有相关策略，包括PPPoE策略，鉴权策略（auth-gmcc-radius）， 计费策略（acc-gm

25、cc-radius），QoS策略，这些策略配置后，在以后的新开业务时，不需再次配置，只要应用就可以了（具体命名规则见附表）；1)#/配置Qos策略/configure qos sap-ingress 10000 create /入方向的策略命规则见附表此处例子为10M/queue 1 create rate 10000 cir 10000 /以10M为例说明，详细提供限速见附表，限速单位为kbit/s，rate为突发，cir为承诺/exitexitsap-egress 10000 create /出方向的策略/queue 1 create rate 10000 cir 10000exitexi

26、t2)#/配置Sla-profile策略/configure subscriber-mgmtsla-profile 10M create /10M为名字，具体规范见附表。/ingress qos 10000 /关联sap-ingress 10000/exitexitegress qos 10000 /关联sap-egress 10000/exitexit3) #/配置Radius-accounting策略/configure subscriber-mgmt radius-accounting-policy acc-gmcc-radius create update-interval 5 /5m

27、in发一次计费中间信息/ include-radius-attribute framed-ip-addr framed-ip-netmask subscriber-id circuit-id remote-id nas-port-id nas-identifier sub-profile sla-profile calling-station-id user-name exit use-std-acct-attributes radius-accounting-server retry 5 /重传5次/ timeout 20 /超时20s/ source-address x.x.x.x /sy

28、stem地址/ server 1 address 221.179.9.19 secret itellin exit exit4)#/配置sub-profile策略/configure subscribe-mgmtsub-profile hsi-sub create radius-accounting-policy acc-gmcc-radius /关联计费策略exit5)#/配置PPPoE-policy策略/configure subscribe-mgmt pppoe-policy pppoe create /命名固定/ keepalive 10 hold-up-multiplier 3 /定

29、义ppp keeplive（3+1）*10s/ max-sessions-per-mac 1 ppp-authentication pap /定议PPP验证方式目前采用pap/ exit6）#/配置Radius认证策略/configure subscribe-mgmt authentication-policy auth-gmcc-radius create radius-authentication-server source-address x.x.x.x /system地址/ timeout 20 server 1 address 221.179.9.19 secret itellin

30、exit accept-authorization-change pppoe-access-method pap-chap include-radius-attribute circuit-id remote-id nas-port-id prefix-string “port-” nas-identifier pppoe-service-name mac-address exit exit7）#/配置DHCP 地址池 configure router dhcp local-dhcp-server pppoe-dhcp-server create /具体命名见附表/ use-pool-from

31、-client use-gi-address pool pool-pppoe-001 create /具体命名见附表/ options dns-server 211.136.192.6 211.139.163.6 /dns 粤东粤西倒换/ exit subnet 61.145.30.0/24 create /地址段可添加多个/ address-range 61.145.30.2 61.145.30.254 exit subnet 62.144.11.0/24 create /地址段可添加多个/ address-range 62.145.11.2 62.145.11.254 exit exit

32、no shutdown exit exit interface dhcp-server-001 /具体命名见附表/ address 172.16.0.1/32 /内部地址无须发布到公网地址使用172.16.0.X/32/ loopback local-dhcp-server pppoe-dhcp-server /具体命名见附表/ exit#/配置IES业务接入PPPoE业务/configure serviceies customer 1000 create /具体ID见附表/Description “PPPoE” subscriber-interface pppoe create addres

33、s 61.145.30.1/24 address 62.144.11.1/24 group-interface port- 1/1/2 create /port- 端口/ Description “groupinterface1” / groupinterface1序号累积向下/ dhcp server 172.16.0.1 trusted gi-address 61.145.30.1 client-applications pppoe no shutdown exit authentication-policy auth-gmcc-radius pppoe pppoe-policy pppo

34、e session-limit 4000/限制整个业务容纳数量，根据实际应用情况确定支持用户数，默认为1/sap-session-limit 200/限制一个业务接入点sap能容纳的用户数量，根据实际用户数量设置/ no shutdown exit sap 1/1/2:100.10 create /100为外层vlan，10为内层vlan/ (因为设备特性，需要配每内层vlan) sub-sla-mgmt multi-sub-sap 1 sub-ident-policysingle-sub-parameters profiled-traffic-only exit no shutdown ex

35、it exit exitno shutdownExit2.1.1.3 pppoe业务资源规划表BRAS规范Alcatel-SR7750BARS规范子项IP-POOL命名DNS 服务器地址（主）DNS 服务器地址（备）命名规范pool-pppoe-001211.136.192.6211.139.163.6pool-业务类型-地址池编号认证方案名认证模式特殊配置命名规范auth-gmcc-radiusradius无auth-认证模式计费方案名计费模式特殊配置命名规范acc-gmcc-radiusradius无acc-认证模式RADIUS服务器组名RADIUS认证服务器地址和端口号RADIUS计费服务器地址和端口号SHARE-KEY无221.179.9.19:1812221.179.9.19:1813itellin业务类型域名地址池告警门限pppoe无无静态PPPoE（适于每业务每VLANsub-profilesla-profilehsi-sub512K( rate 512 cir 512)2M(rate 2000 cir 2000)4M(rate 4000 cir 4000)动态PPPoE（适于每用户每VLANsub-profilesla-pro