华为ME60 BRAS设备配置规范

更新时间：2023-10-23 03:20:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

华为me60推荐度：
相关推荐

文档名称文档密级：

河南网通城域网华为ME60 BRAS设备配置规范

华为技术有限公司二00八年6月

2013-8-16

华为机密，未经许可不得扩散

第1页, 共75页

文档名称文档密级：

1、系统简介 .................................................................................................................................... 4

1.1 河南网通宽带城域网建设概况 ..................................................................................... 4 1.2 河南网通华为ME60系统组网方式 ................................................................................. 4

1.2.1 网络概述 ................................................................................................................. 4 1.2.1 组网方式 ................................................................................................................. 5 1.3 VLAN规划原则 ................................................................................................................ 6 1.4 IP地址规划原则 ................................................................................................................ 7 2、BAS配置规范（ME60） ............................................................................................................. 7

2.1 设备基本配置................................................................................................................... 7

2.1.1 设置主机名........................................................................................................... 7 2.1.2 时区和时钟校准 ..................................................................................................... 8 2.1.3 配置管理员及其密码 ............................................................................................. 8 2.1.4 启用服务............................................................................................................... 8 2.1.5 对管理员地址范围进行限定 ................................................................................. 9 2.1.6 timeout 时间设置 ................................................................................................... 9 2.1.7 ACL 配置范例 ....................................................................................................... 9 2.1.8 用户域基本配置 ............................................................................................... 12 2.1.9 安全基本配置 ................................................................................................... 13 2.1.10 设备配置保存................................................................................................... 14 2.2 设备接口配置................................................................................................................. 14

2.2.1 网络侧接口配置 ................................................................................................. 14 2.2.2 loopback接口配置及描述 ................................................................................... 15 2.2.3 地址池的配置 ..................................................................................................... 21 2.2.4 VLAN及QINQ接口配置 ................................................................................... 21 2.3 路由协议配置 ............................................................................................................... 23

2.3.1 OSPF协议配置.................................................................................................... 23 2.4 RADIUS配置 ................................................................................................................... 29

2.4.1 本次项目中RADIUS配置参数 ........................................................................... 31 2.4.2 RADIUS配置范例及注释.................................................................................... 31 2.4.3 RADIUS状态查看 ......................................................................................... 33 2.4.4 RADIUS故障排除方法 ................................................................................. 37 2.5 QOS带宽管理 ............................................................................................................. 37

2.5.1 两类QOS配置..................................................................................................... 37 2.5.2 配置设备接收RADIUS服务器策略配置 ........................................................... 38 2.5.3 ME60本机QOS策略配置 ........................................................................... 38 2.6 PPPOE配置 ................................................................................................................ 40

2.6.1 概述 ................................................................................................................... 40 2.6.2 PPPOE相关配置.................................................................................................. 41 2.7 用户认证域选择............................................................................................................. 42 2.8 反向路由检测 ............................................................................................................... 43

ME60所支持的URPF .................................................................................................. 43 2.9 DHCP RELAY配置 ........................................................................................................... 44

2013-8-16

华为机密，未经许可不得扩散

第2页, 共75页

文档名称文档密级：

2.10 IP综合网管设备配置要求 ............................................................................................ 45

2.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址) ................ 46 2.10.2 TELNET用户名和密码 ................................................................................. 46 2.10.3 SNMP配置 ..................................................................................................... 46 2.10.4 SYSLOG配置 ................................................................................................... 46

3、ME60承载业务及配置规范................................................................................................. 48

3.1 承载业务类型 ................................................................................................................. 48 3.2 普通PPPOE 上网业务 ................................................................................................ 48

3.2.1 业务概述 ............................................................................................................... 48 3.2.2 ME60 配置规范 ................................................................................................... 48 3.2.3 帐号管理规范 ................................................................................................... 53 3.3 校园网卡类业务 ............................................................................................................. 54

3.3.1 业务概述 ............................................................................................................... 54 3.3.2 配置规范............................................................................................................. 54 3.3.3 账号管理说明 ....................................................................................................... 54 3.4 VPDN 业务 ..................................................................................................................... 55

3.4.1 业务概述 ............................................................................................................... 55 3.4.2 ME60 配置规范 ................................................................................................... 55 3.4.3 账号管理说明 ....................................................................................................... 56 3.4.4 VPDN业务介绍.................................................................................................... 56 3.5 机顶盒业务配置 ............................................................................................................. 59

3.5.1 业务概述 ............................................................................................................... 59 3.5.2 延用DHCP 方式 ................................................................................................ 60 3.5.3 采用PPPOE 方式 ............................................................................................... 60 3.6 专线用户配置 ................................................................................................................. 64

3.6.1 通过subscriber方式定义静态IP用户......................................................... 64 3.6.2 通过leased line方式定义静态IP用户....................................................... 65 3.7 BGP/MPLS VPN 配置范例 .......................................................................................... 65

3.7.1 概述..................................................................................................................... 65 3.7.2 MPLS VPN 业务命名规范 ................................................................................. 66 3.7.3 PE （ME60）配置范例......................................................................................... 67 3.8 VPLS 业务配置 .............................................................................................................. 71

3.8.1 VPLS简介 ........................................................................................................... 71 3.8.2 VPLS配置范例..................................................................................................... 74

2013-8-16

华为机密，未经许可不得扩散第3页, 共75页

文档名称文档密级：

1、系统简介

1.1 河南网通宽带城域网建设概况

本期城域网建设在保持原有城域网改造的目标功能、目标结构和目标性能不变的基础上，持续提升宽带接入能力，继续推进二层网络扁平化，提升网络可靠性，以此逐步向功能完善、结构合理、性能优良的目标网演进。

提升业务支持能力：根据各类IP 业务发展需求及流量流向特性，对城域网内的设备进行容量增加和端口扩容，提供充足的业务接入能力及中继链路端口。二层网络扁平化举措：在进行扩容的同时在有条件的地市考虑继续缩减汇聚交换机的级联层数，进一步扁平化二层汇聚网络；同时具备条件的地市可根据业务发展需求结合设备性能考虑SR/BRAS 适度下移。

网络质量差异化：逐步部署MPLS 技术和Diffserv 机制，为不同用户和不同业务提供不同QOS 等级的服务。在业务集中区域逐步设立轻载的大客户专用接入设备，减少普通客户流量对大客户业务质量的干扰。

管理控制集中化智能化：用宽带接入服务器（BRAS）、业务路由器（SR）构建独立清晰的IP 城域网接入层，实现业务集中调度、监测和控制；规范设备的网管接口要求，加强集中网管系统的建设，提高网络的可管理性，逐步实现对网络性能的实时监控管理，提供基于时间、流量、质量等指标的多样化组合计费能力。

1.2 河南网通华为ME60系统组网方式 1.2.1 网络概述

根据目前网络和业务开通方式等现状，本期工程在每个县局节点及部分市区节点放置一台ME60-8 BRAS设备，共计123台。

在市区，ME60双上行至地市2台GSR设备，同时与地市新建SR通过端口聚合进行连接，负责终结SR设备透传过来的二层报文。

在县局，网络通过布置大二层汇聚交换机来实现业务分流，ME60双上行至地市核心GSR设备，下行方向连接县局大二层汇聚交换机，负责终结县局汇聚交换机透传上来的二层报文。

2013-8-16

华为机密，未经许可不得扩散第4页, 共75页

文档名称文档密级：

1.2.1 组网方式方式一、市区组网方式

ME60采用双上行GE链路上行至地市GSR，启用OSPF以及BGP路由协议；同时与本局SR通过以太端口聚合聚合2个GE接口互连，该逻辑端口启用OSPF协议。其中，与GSR的端口作为主用上行路由，到本局SR设备的端口作为备用上行链路，同时该GE 兼作本局用户业务的二层下联接口，终结用户VLAN 或灵活QinQ VLAN。方式二、县局组网方式

2013-8-16

华为机密，未经许可不得扩散第5页, 共75页

文档名称文档密级：

在县局，ME60双上行至地市核心GSR路由器，上行开启三层接口，启用OSPF以及BGP协议；同时，与本局汇聚交换机通过GE口连接，该接口用来终结县级汇聚交换机透传上来的单层VLAN以及QINQ VLAN。

除了挂接用户业务以外，本期项目中党建、CDN等服务器业务也需要割接到新建BRAS上。

1.3 VLAN规划原则

1.遵循管理VLAN 与用户VLAN 分开、一用户一VLAN 的原则。

2.对于直连一级汇聚层交换机的市区接入设备，要求采用VLAN Stacking 模式，做到每个用户一个VLAN。接入设备的外层VLAN 使用原汇聚层交换机中预留的VLAN。

3．对于下挂在和BAS 有直连链路的县局节点下的接入设备，也要求采用VLAN Stacking 模式。

4.对于下挂在二级汇聚交换机以下的接入设备（如支局），不建议采用VLAN Stacking 模式，可采用一个DSLAM 分配“一个用户VLAN＋一个管理VLAN”的方式；对于LAN 方式，ZAN 和BAN

2013-8-16

华为机密，未经许可不得扩散

第6页, 共75页

文档名称文档密级：

的管理VLAN 使用同一VLAN，每个BAN 采用不同用户VLAN；

5.对于采用PPPOE 与DHCP+并行模式的接入层设备，不采用VLAN Stacking 模式,应遵循不同认证方式用户分配不同VLAN 的原则进行VLAN 规划。通过相连的各级交换机将新增VLAN 透传至BAS。设备管理VLAN 则延用原模式。 1.4 IP地址规划原则

本着连续分配、节约资源、便于管理的原则进行规划。 1.普通拨号用户IP 地址规划

PPPOE 拨号用户的IP 地址均直接由BAS 通过地址池动态分配，每台BAS 暂时分配4 个C 类地址。

2.专线用户IP 地址规划

每个专线用户一个VLAN,每台BAS 分配一个C 类地址，用户地址可以连续分配。 3.设备管理IP 地址规划

每台BAS 下挂的接入层设备管理地址为一个Ｃ类地址，可进行连续分配。 4.BAS 设备管理(loopback 地址等)和互联地址由省公司统一规划分配。 5.每台BAS 目前预留两个C 类地址备用。

2、BAS配置规范（ME60）

该部分所介绍的配置是现网设备配置的说明和解释，以及部分配置规范；具体命令的格式及说明请参考ME60 设备配置手册。 2.1 设备基本配置

设备的基本配置包括主机名称、时钟、用户管理设置等。 2.1.1 设置主机名

主机名命名规则：

字段名称字段类型网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号英文字符符号英文字符符号英文字符符号字母/数字序列符号数字(主字段)(连接符)(主字段)(连接符)(主字段)(连接符)(主字段)(连接符)省网骨干核心层:PB全省各市的简称:辖区/县+节点/机房中文名第一个字由厂商名及数用来标识同一省网骨干汇聚层:PCZZ LY XX AY NY母的缩写字序列组成，个节点的相同字段省网接入层:PAJZ PDS XC SQ XY例一:中原路机房缩写为:ZYL示例:型号设备的序说明城域网业务控制层:MSKF PY HB SMX ZK例二:新密县老局机房缩写为:XMLJC12416号。范围从城域网汇聚层:MCJY LH ZMDHW8850001-999城域网接入层:MAZTE106002013-8-16

华为机密，未经许可不得扩散

第7页, 共75页

文档名称文档密级：

【示例】MC-ZZ-KFQ-C6509-001 郑州城域网汇聚层开发区思科6509设备 MA-ZZ-XZ.BQ.LD-HW5100-001 新郑市八千乡刘店接入点华为5100设备对于华为本期项目上的NE40E及ME60，属于城域网业务控制层，按照规范描述网络层次为MS，例如，洛阳道北节点ME60命名如下： MS-LY-DB-HW60-001

2.1.2 时区和时钟校准配置时钟命令如下：

clock datetime HH:MM:SS YYYY-MM-DD

配置时区命令如下：

clock timezone time-zone-name { add | minus } offset 例如，设置中国区时钟： clock timezone beijing add 8

2.1.3 配置管理员及其密码

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令local-aaa-server，进入本地AAA 视图。

步骤 3 执行命令user username { password { simple simple-password | cipher

cipher-password } |authentication-type type-mask | block | ftp-directory ftp-directory | level level |callback-nocheck | callback-number callback-number | idle-cut | qos-profileqos-profile-name } *，增加操作用户。例如，增加一个名字为HUAWEI的用户，配置如下： local-aaa-server

user HUAWEI password cipher Huawei level 3

级别3为超级用户权限，可以根据需要将用户设置为0-3的任何级别。

2.1.4 启用服务

2013-8-16

华为机密，未经许可不得扩散

第8页, 共75页

文档名称文档密级：

ME60启用网络服务命令如下： ftp server enable ssh server enable

2.1.5 对管理员地址范围进行限定定义访问控制列表： Acl 2000

rule 5 permit ip source 10.1.1.1 255.255.255.255 rule 10 permit ip source 10.1.1.2 255.255.255.255 rule 15 permit ip source 10.1.1.3 255.255.255.255 进入USER-INTERFACE User-interface vty 0 4 Acl 2000 in

2.1.6 timeout 时间设置空闲过时设置

User-interface vty 0 4 Idle-timeout 5

当telnet 会话在5 分钟内没有输入时timeout 退出

2.1.7 ACL 配置范例

Acl 2000至2999为基本ACL，只能够定义源地址；3000-3999为扩展ACL，能够依照五元组进行定义

1、配置管理ACL范例： Acl 3000

rule 5 permit ip source 218.29.255.0 0.0.0.255 any //省网管；

rule 10 permit ip source 123.234.255.126 0.0.0.0 destination any //BAS（SE800）网管服务器地址；

rule 15 permit ip source host 221.13.223.140 destination any //RADIUS 服务器地

2013-8-16

华为机密，未经许可不得扩散

第9页, 共75页

文档名称文档密级：

址；

rule 20 permit ip source 218.29.0.128 0.0.0.31 destination any //郑州分公司-1； rule 25 permit ip source 218.29.221.1 0.0.0.127 destination any //郑州分公司-2； rule 30 deny tcp source any destination any eq telnet rule 35 deny tcp source any destination any eq ssh rule 40 deny tcp source any destination any eq ftp rule 45 deny tcp source any destination any eq ftp-data rule 50 deny udp source any destination any eq tftp rule 55 deny udp source any destination any eq snmp rule 60 deny udp source any destination any eq snmptrap rule 65 permit ip any any 进入telnet 用户接口 User-interface vty 0 4 Acl 3000 in

2、配置普通ACL并应用范例

acl number 3001 rule 5 permit ip #

acl number 6000 match-order auto

rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445

rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135

rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434

2013-8-16

华为机密，未经许可不得扩散

第10页, 共75页

文档名称文档密级：

rule 90 deny ip source user-group help destination ip-address any rule 95 deny ip source user-group iptv destination ip-address any

[ACL6000是一个用户ACL，前面定义了防病毒部分，最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]

acl number 6001

rule 5 permit ip source user-group iptv destination ip-address 202.102.249.0 0.0.0.255

rule 10 permit ip source user-group iptv destination ip-address 61.168.222.0 0.0.1.255

rule 15 permit ip source user-group iptv destination ip-address 61.168.224.0 0.0.3.255

rule 20 permit ip source user-group iptv destination ip-address 61.168.228.0 0.0.1.255

rule 25 permit ip source user-group iptv destination ip-address 61.158.216.0 0.0.1.255

rule 30 permit ip source user-group iptv destination ip-address 61.158.218.0 0.0.0.255

rule 35 permit ip source user-group iptv destination ip-address 202.102.224.68 0

rule 40 permit ip source user-group iptv destination ip-address 202.102.227.68 0

[定义了IPTV用户组里的用户可以访问的地址]

acl number 6002 match-order auto

rule 5 permit ip source user-group help destination ip-address 218.29.0.252 0 rule 10 permit ip source user-group help destination ip-address 202.102.224.68 0

rule 15 permit ip source user-group help destination ip-address 202.102.227.68 0

[定义了HELP用户组里的用户可以访问的地址]

traffic classifier limit operator or if-match acl 6000

traffic classifier action operator or if-match acl 6002 if-match acl 6001

[定义了3个流量分类，分别匹配3个ACL，会和后面的流量动作配置组成策略。这部分与思科设备通过配置ROUTE-MAP定义策略路由很类似] #

traffic behavior limit deny

traffic behavior action

2013-8-16

华为机密，未经许可不得扩散

第11页, 共75页

文档名称文档密级：

[定义流量动作，后面定义策略的时候与流量分类相关联]

traffic policy limit

classifier action behavior action classifier limit behavior limit

[定义流量策略，第一条名为ACTION的分类中匹配到的报文，执行名为ACTION的流量动作中所定义的动作，就是允许，第二条行为类似，但动作是拒绝。需要注意，两条策略的顺序不能反，否则所有流量都会被拒绝]

traffic-policy limit inbound traffic-policy limit outbound

[由于上述策略都是针对用户侧的用户定义的，所以需要在全局下下发]

如果流量策略需要在网络侧端口下发，只需要在相应端口下饮用traffic-policy即可。

2.1.8 用户域基本配置 1、定义用户域

domain dial

authentication-scheme radius

[该域用名称为RADIUS的SCHEME来进行认证]

accounting-scheme radius service-type hsi

[将该域的模式配置成HIS模式，PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组] ip-pool dial

[指定该域使用的地址池] qos profile 2m

[指定该域使用的QOS模板]

2、定义地址池 ip pool dial local

gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68

dns-server 202.102.227.68 secondary

[定义地址池，包括网关，可分配地址范围，不能被分配的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分配地址]

2013-8-16

华为机密，未经许可不得扩散

第12页, 共75页

文档名称文档密级：

一个用户域下可以定义多个地支持，当一个用完时系统可以选择分配另外一个地支持中的地址。

3、QOS模板定义首先定义调度模板 scheduler-profile 2m

car cir 2048 pir 2050 cbs 256000 pbs 256250 upstream gts cir 2048 pir 2050 queue-length 65536 定义QOS模板，在其中引用调度模板 qos-profile 2m

scheduler-profile 2m 在用户域下引用QOS模板 domain dial qos profile 2m 2.1.9 安全基本配置 1、定义防病毒访问控制列表

acl number 6000 match-order auto

rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135

2013-8-16

华为机密，未经许可不得扩散

第13页, 共75页

文档名称文档密级：

2、定义流分类

traffic classifier limit operator or if-match acl 6000 3、定义流动作 traffic behavior limit deny 4、定义流策略 traffic policy limit

classifier limit behavior limit 5、全局下发针对用户侧的策略 traffic-policy limit inbound traffic-policy limit outbound

2.1.10 设备配置保存

执行SAVE命令，配置将缺省保存在设备CFCARD中。

2.2 设备接口配置 2.2.1 网络侧接口配置

1、ME60将没有直接挂接用户的三层称之为网络侧端口，典型的就是连接GSR设备的三层端口。该端口为普通的三层路由端口。对于这种类型的端口配置，与普通路由器三层端口相同。

对于网络侧端口的配置在系统模式下进行： interface GigabitEthernet1/0/0 mtu 1524 [配置端口MTU值]

description To-[LY-XiGong-GSR]G1/0/4 [对于该端口的描述 to-[对端设备型号]-端口号] ip address 125.45.253.178 255.255.255.252 [设置端口IP地址]

2013-8-16

华为机密，未经许可不得扩散

第14页, 共75页

文档名称文档密级：

mpls mpls ldp

[端口下启用MPLS]

通过使用display interface命令可以查看端口状态（UP、down），端口类型及端口报文计数等信息。

2、端口描述规范

互联中继命名规范:

字段名称本端设备名称字段类型字母\\符号序列()括号_TO_对端设备名称字母符字母\\符号序列号()括号:符号（冒号）电路类型数字\\字母标注该链路的型号。如：FE,155MATM,155MPOS,GE,10GE,2.5GPOS,10GPOS:电路条目符号数字（冒号）第几条电路括号内标符合设备命名规注本端电字段说明范的设备名称路接入端口括号内标符合设备命名规注对端电范的设备名称路接入端口【端口简写】括号内端口信息采用简写

F:FE

G:GE/10GE

A:ATM

P:POS

设备端口上描述建议采用 TO_ PC-ZZ-ZYL-CRS-001(G0/2):GE:1:电路代号

用户电路命名规范:

:电路带宽:电路类型:电路条目符号符号符号数字\\字母数字\\字母字段类型字母\\符号序列括号字母符号字母\\符号序列数字（冒号）（冒号）（冒号）标注该链路的型号。标注该用户如：符合设备命名括号内标注接入的实际第几条电FE,155MATM,155MP字段说明规范的设备名本端电路接用户名称全拼带宽。例路OS,1GE,10GE,2.5GP称入端口如：10MOS,10GPOS字段名称本端设备名称()_TO_用户名称【端口简写】括号内端口信息采用简写

F:FE

G:GE/10GE

A:ATM

P:POS

注:设备端口上描述建议采用 TO_ ZZGONGSHANGJU:10M:FE:1:电路代号

例如，洛阳西工NE40E连接西工NE80E的描述： Int g1/0/0

Des TO_ PC-LY-XG-NE80E-001(G0/2):GE:1

2.2.2 loopback接口配置及描述

2013-8-16

华为机密，未经许可不得扩散

第15页, 共75页

文档名称文档密级：

Loopback接口的配置在系统模式下进行。按照本期规划，每台设备需要配置2个loopback地址，范例如下： interface LoopBack0

ip address 125.40.254.110 255.255.255.255 [这个地址用来和RR建立IPV4 BGP邻居] #

interface LoopBack10

ip address 125.40.254.111 255.255.255.255 [这个地址用来和RR建立VPNV4 BGP邻居] 3.2.3 用户侧接口配置

当某个接口用于接入宽带用户时，该接口即为用户侧接口，需要将该接口配置为BAS 接口，并配置用户的接入类型和其他相关属性。

要完成配置BAS 接口的任务，需要执行如下的配置过程。 1 创建BAS 接口

请在ME60 上进行以下配置。

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令interface interface-type interface-number，进入接口视图。步骤 3 执行命令bas，创建BAS 接口。 2 配置用户接入类型

执行命令bas，进入BAS 接口视图。

执行命令access-type layer2-subscriber [ bas-interface-name name | default-domain { pre-authentication domain-name | authentication [ force | replace ] domain-name } * | accounting-copy radius-server radius-name ] * ，配置二层普通用户接入类型。或执行命令access-type layer2-leased-line user-name username password [ bas-interface-name name | default-domain authentication domain-name |

accounting-copy radius-server radius-name | nas-port-type type ] *，配置二层专线用户接入类型。

或执行命令access-type layer3-leased-line user-name username password [ bas-interface-name name | default-domain authentication domain-name |

2013-8-16

华为机密，未经许可不得扩散

第16页, 共75页

文档名称文档密级：

accounting-copy radius-server radius-name | nas-port-type type ] *，配置三层专线用户接入类型。

在设置BAS 接口的用户接入类型时，还可以一起设置和该种用户类型相关的业务属性，这些属性也可以在后续的配置中逐项配置。

对于已经被Eth-Trunk 接口包含的以太网接口，不能配置其用户接入类型，而只能配置相应的Eth-Trunk 接口。

有用户在线时，只有当用户类型是专线用户时，可以在线修改BAS 接口的用户接入类型，其他情况不能修改。

当用户类型配置为专线用户后，ME60 立即对该专线用户进行认证。 ??当接口下配置有IP 地址时，只能将用户接入类型设置为三层专线用户。

??如果BAS 接口为GE 或Eth-Trunk 子接口，当需要将用户接入类型设置为三层专线用户时，首

先必须在子接口下配置一个用户侧VLAN（且只能配置一个）。

3 配置用户认证方法请在ME60 上进行以下配置。

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令interface interface-type interface-number，进入接口视图。步骤 3 执行命令bas，进入BAS 接口视图。

步骤 4 执行命令authentication-method { { ppp | dot1x | { web | fast } } * | bind }，配置用户认证方法。 ----结束

只有接入用户类型为二层用户的BAS 接口可以设置其认证方法。各种认证方法可以组合使用，但有以下的约束关系： ??Web 认证和快速认证互斥； ??绑定认证和其他认证方式都互斥。缺省情况下，BAS 接口的认证方法为PPP 4 设置用户数限制（可选）请在ME60 上进行以下配置。

2013-8-16

华为机密，未经许可不得扩散

第17页, 共75页

文档名称文档密级：

步骤 1 执行命令system-view，进入系统视图。 5 配置BRAS 接入 Quidway ME60 配置指南-BRAS 业务

5-20 华为技术有限公司文档版本 03 (2008-02-01)

步骤 2 执行命令interface interface-type interface-number，进入接口视图。步骤 3 执行命令bas，进入BAS 接口视图。

步骤 4 执行命令access-limit number，设置接口级用户数限制。

或执行命令access-limit user-number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinqqinq-vlan ] ]，设置VLAN 级用户数限制。 ----结束

缺省情况下，BAS 接口未设置用户数限制。 5 指定域（可选）

请在ME60 上进行以下配置。

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令interface interface-type interface-number，进入接口视图。步骤 3 执行命令bas，进入BAS 接口视图。

步骤 4 执行命令default-domain pre-authentication domain-name，指定认证前缺省域。或执行命令default-domain authentication [ force | replace ] domain-name，指定认证缺省域。如果用户认证时未输入域名，ME60 默认其属于认证缺省域。设置认证缺省域可指定force 和replace 参数。

??force 参数表示不管用户认证时所带域名是什么，都强制转换到所设置的认证缺省域，使用该域的策略进行认证和授权，但用户名中的域名不发生改变。

??replace 参数表示强制转换到所设置的认证缺省域，同时用户名中的域名也发生变化，强制替换成设置的认证缺省域名。

缺省情况下，BAS 接口的认证缺省域为default1。 6 配置BAS 接口附加功能（可选）请在ME60 上进行以下配置。

步骤 1 执行命令system-view，进入系统视图。

2013-8-16

华为机密，未经许可不得扩散

第18页, 共75页

文档名称文档密级：

步骤 2 执行命令interface interface-type interface-number，进入接口视图。步骤 3 执行命令bas，进入BAS 接口视图。步骤 4 执行命令arp-proxy，启用ARP 代理功能。或执行命令dhcp-broadcast，启用DHCP 广播功能。

或执行命令accounting-copy radius-server radius-name，启用计费报文抄送功能。或执行命令ip-trigger，启用IP 报文触发上线功能。或执行命令arp-trigger，启用ARP 报文触发上线功能。

或执行命令multicast copy by-session，启用按用户复制组播报文功能。或执行命令dot1x authentication trigger，启用802.1X 认证触发功能。 ----结束 ARP 代理功能

ARP 代理功能用于同一BAS 接口下的用户互访，因为在ME60 同一接口下的用户按VLAN/PVC 严格隔离，要实现用户互访必须打开BAS 接口的ARP 代理开关。只有在BAS 接口的接入用户类型设置为二层用户和二层专线用户的情况下，才可以配置BAS 接口的ARP 代理功能。

ARP 代理的开关只对相同BAS 接口的ARP 报文进行控制，其他的情况ARP 代理的开关都是打开的，无法关闭。

缺省情况下，同一BAS 接口相同VLAN/PVC 下的ARP 代理功能关闭。 DHCP 广播功能

通常情况下，BAS 接口的DHCP 报文是采用单播方式向用户进行发送的，但是在某些特殊情况下可能需要对DHCP 报文进行广播，此时需要打开BAS 接口的DHCP 广播开关。缺省情况下，BAS 接口的DHCP 广播功能关闭。计费报文抄送功能

计费报文抄送是指在计费过程中，将计费信息同步发送给两台RADIUS 服务器，并分别等待回应的功能。

计费报文抄送功能主要在需要多处保存原始计费信息的场合使用（如多运营商共同组网）。在这种情况下，计费报文需要同步发送给两台RADIUS 服务器，在后续的结算中作为原始计费信息。

缺省情况下，BAS 接口的计费报文抄送功能关闭。

2013-8-16

华为机密，未经许可不得扩散

第19页, 共75页

文档名称文档密级：

IP 报文触发上线功能

IP 报文触发上线功能是指静态用户通过发送IP 报文触发认证过程的功能。缺省情况下，BAS 接口的IP 报文触发上线功能关闭。 ARP 报文触发上线功能

ARP 报文触发上线功能是指用户通过发送ARP 报文触发认证过程的功能。缺省情况下，BAS 接口的ARP 报文触发上线功能关闭。按用户复制组播报文功能

通常情况下，ME60 收到某个组播组的组播报文后，只会向每个物理端口复制一份组播报文，二层设备再将组播报文复制给该组播组的每个用户。

如果二层设备不具备IGMP Snooping 功能，无法识别组播组用户，则需要在ME60 的接口上启用按用户进行组播复制的功能，由ME60 直接将组播报文复制给用户。缺省情况下，BAS 接口的按用户复制组播报文功能关闭。 802.1X 认证触发功能

802.1X 认证触发功能是指ME60 探测到802.1X 用户上线后，主动向用户发起认证请求的功能。

缺省情况下， BAS 接口的802.1X 认证触发功能关闭。

下面的配置范例为PPPOE接入的用户侧端口配置： interface GigabitEthernet1/0/3.805 pppoe-server bind Virtual-Template 1 [绑定PPP模板，确定该端口使用PPPOE] mtu 1524

description To-NanShan-HW-MA5300-User user-vlan 256 1000 QinQ 805

[这个命令就是终结正常的PPPOE拨号用户报文，内层标签是256-1000，外层标签是805] bas

access-type layer2-subscriber default-domain authentication dial

[BAS下的这条命令把PPPOE用户作为二层拨号用户，缺省的认证域为DIAL域，使用该域中的认证方法、QOS模板等定义的参数]

2013-8-16

华为机密，未经许可不得扩散

第20页, 共75页

文档名称文档密级：

2.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址) 地址段范围:

IP网管段:61.163.204.0-61.163.207.255 本地网管段:指本市管理设备时的网管地址段省网管地址段:218.29.255.0/24

汇地址段:202.111.142.0-202.111.142.63 218.29.0.224-218.29.0.255 全网的互连设备地址段:61.168.254.0/23

我们在配置设备的时候，需要把上述地址段做成ACL，然后应用在VTY接口下。本地市网管地址段请向地市公司索取。

在初期调试的时候，我们可以先不加这些访问控制，以便于远程登录进行设备调试。

2.10.2 TELNET用户名和密码

首先设置本机用户及密码，以用来远程登录设备。

2.10.3 SNMP配置

这是网管系统对网络设备进行管理的主要方式，设备配置信息的获取、设备性能数据的采集、设备端口流量获取都是基于snmp来进行的。因此需要在每台可管理的网络设备中配置只读community，字符串要求8位及以上数字、字母、符号的混编组合。对SNMP的访问源要严格按照第一条进行限制。配置示例（假IP地址）

system-view [Quidway]snmp-agent

[Quidway]snmp-agent community read snmp_ro_password acl 2100 [Quidway]snmp-agent community write snmp_rw_password acl 2100 [Quidway]snmp-agent sys-info version all

[Quidway]snmp-agent target-host trap address udp-domain 211.142.189.39 params

securityname snmp_ro_password

[Quidway]snmp-agent trap enable standard

[Quidway]snmp-agent trap source LoopBack0 [Quidway] acl number 2100

[Quidway -acl-basic-2100]description This acl is used in SNMP [Quidway -acl-basic-2100]rule 10 permit source 211.142.189.39 0

2.10.4 SYSLOG配置

本期项目我们的设备需要向省公司SYSLOG传送log信息，具体规定如下：

2013-8-16

华为机密，未经许可不得扩散

第46页, 共75页

文档名称文档密级：

配置网络设备发送syslog到网管服务器汇聚层设备syslog目标:61.163.204.13

Zan/ban/Dslam设备syslog目标:61.163.204.14 级别:warning及其以上源端口为:Loopback0 华为设备使用local3

按照以上规定，NE40E需要发送LOG至61.163.204.13。配置示例：

system-view

[Quidway] info-center enable

[Quidway] info-center logbuffer size 1024

[Quidway] info-center loghost 61.163.204.13 facility 3 [Quidway] info-center loghost source loopback 0 [Quidway] info-center timestamp trap date [Quidway] info-center timestamp log date [Quidway] info-center timestamp debugging date

[Quidway] info-center source default channel 2 log level warnings

2013-8-16

华为机密，未经许可不得扩散第47页, 共75页

文档名称文档密级：

3、ME60承载业务及配置规范 3.1 承载业务类型

商务宽带系统可以提供更丰富的业务种类和计费方式；常用的业务类型有以下几类： 1) 普通上网业务（采用PPPOE 拨号）； 2) 卡类业务（采用PPPOE 拨号）； 3) 固定IP 上网业务；

4) VPDN 业务（采用PPPOE 拨号）；

5) 机顶盒业务（采用PPPOE 拨号，或者延用DHCP 方式）； 6) 三层MPLS VPN 业务； 7) 二层MPLS VPN 业务； 8) VPLS 业务等；

下面将对各种业务的配置做一介绍。 3.2 普通PPPOE 上网业务 3.2.1 业务概述

1）普通PPPOE 上网用户强制使用新版双栈客户端软件拨号上网。客户端软件和RADIUS 系统通过对应的加密、解密算法，实现强制客户端；

2）该业务通过ME60 的dial 域t承载；用户地址池、RADIUS、AAA 等都通过dial 域承载；

3）用户使用其账号直接进行拨号，不带任何域名后缀；

4）对于采用QinQ 的用户，实现账号和端口的唯一性绑定；具体实现参考下面帐号管理规范；

5）对于不采用QinQ 的用户，用户会绑定到一个区域（DSLAM，BAN 或者ZAN，视网络结构决定）。

6）对于新开用户直接配发新版本双栈客户端；

7）对于需要割接用户，割接前提前几天进行新版双栈客户端软件推送；割接后自动切换至PPPOE方式拨号；

3.2.2 ME60 配置规范

以郑州大同路节点为例：

router id 125.40.254.109 #

2013-8-16

华为机密，未经许可不得扩散

第48页, 共75页

文档名称文档密级：

vlan batch 536

radius-server group radius radius-server shared-key henancnc authentication 221.13.223.140 1645 weight 0 radius-server shared-key henancnc accounting 221.13.223.140 1646 weight 0 radius-server shared-key henancnc radius-server class-as-car radius-server source interface LoopBack0

interface Virtual-Template1 ppp authentication-mode auto ppp keepalive interval 30 retransmit 3 tcp adjust-mss 1400

interface GigabitEthernet1/0/0 mtu 1524 description ZYL_CRS-1 GE 0/1/1/4

ip address 123.5.249.178 255.255.255.252 //配置上行端口// ospf network-type p2p mpls mpls ldp negotiation auto

interface GigabitEthernet1/0/1 mtu 1524 description EQL_CRS-1 GE GigabitEthernet0/7/0/3 ip address 123.5.249.182 255.255.255.252 ospf network-type p2p mpls mpls ldp negotiation auto

interface GigabitEthernet1/0/2.301 //配置用户侧端口// pppoe-server bind Virtual-Template 1 mtu 1524 description 3/1-A2647-beier7jia user-vlan 256 458 QinQ 301 user-vlan 460 515 QinQ 301 user-vlan 517 703 QinQ 301 user-vlan 705 710 QinQ 301 user-vlan 712 777 QinQ 301 user-vlan 779 803 QinQ 301 user-vlan 805 857 QinQ 301 user-vlan 859 981 QinQ 301

2013-8-16

华为机密，未经许可不得扩散

第49页, 共75页

文档名称文档密级：

user-vlan 983 1023 QinQ 301 bas access-type layer2-subscriber default-domain authentication dial # interface GigabitEthernet1/0/2.303 pppoe-server bind Virtual-Template 1 mtu 1524 description 3/3-A2685-beier9j user-vlan 256 306 QinQ 303 user-vlan 308 367 QinQ 303 user-vlan 369 396 QinQ 303 user-vlan 398 459 QinQ 303 user-vlan 461 640 QinQ 303 user-vlan 642 693 QinQ 303 user-vlan 695 698 QinQ 303 user-vlan 700 809 QinQ 303 user-vlan 811 1023 QinQ 303 bas access-type layer2-subscriber default-domain authentication dial # interface GigabitEthernet1/0/2.304 pppoe-server bind Virtual-Template 1 mtu 1524 description 3/4-A2686-beier10j user-vlan 256 1023 QinQ 304 bas access-type layer2-subscriber default-domain authentication dial # interface GigabitEthernet1/0/2.305 pppoe-server bind Virtual-Template 1 description 3/5-a4129-beier11-1 user-vlan 256 424 QinQ 305 user-vlan 426 1023 QinQ 305 bas access-type layer2-subscriber default-domain authentication dial # interface GigabitEthernet1/0/2.306 pppoe-server bind Virtual-Template 1 description 3/6-a4130-beier12-1 user-vlan 256 1023 QinQ 306 bas access-type layer2-subscriber default-domain authentication dial #

2013-8-16

华为机密，未经许可不得扩散

第50页, 共75页

文档名称文档密级：

2.2.3 地址池的配置

地址将会被用户域引用，用来为用户分配IP地址，并向拨号用户提供网关、DNS等参数。地址池可以配置多个，ME60会自动循环向后使用。配置范例如下： ip pool dial local

gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68

dns-server 202.102.227.68 secondary

[定义地址池，包括网关，可分配地址范围，不能被分配的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分配地址]

2.2.4 VLAN及QINQ接口配置

配置VLAN 和QinQ VLAN 需要进入相应端口配置模式下进行，大致分为如下几类： 1、普通固定IP 业务VLAN 配置及绑定 interface GigabitEthernet1/0/3.100 description To-NanShan-S6503 user-vlan 100

[这条命令指名该端口终结带100这个单层标签的报文] bas

access-type layer2-subscriber default-domain authentication wangguan authentication-method bind

[该端口下面是网管下挂的S6503交换机。ME60把它当作一个静态IP用户，一个2层用户。所谓二层用户，也就是这个下挂设备的地址是由BRAS分配管理的。该端口用户默认是在wangguan这个域中进行，认证方法是BIND，也就是ME60根据下挂用户的物理位置自动分配一个用户名。这部分配置都在BAS视图下进行] user detect retransmit 3 interval 30

[每隔30秒向该用户发一个ARP请求，根据回应确定用户在线。如果连续3次（90秒）

2013-8-16

华为机密，未经许可不得扩散

第21页, 共75页

文档名称文档密级：

没有收到回应，设备就认为用户已经下线。用这种手段来保证该设备一直在线。] 在系统视图下配置：

static-user 10.36.252.252 10.36.252.252 interface GigabitEthernet1/0/3.100 vlan 100 detect domain-name wangguan

[配置二层静态IP用户，静态用户地址范围从10.36.252.252至10.36.252.252，也就是指定一个静态IP，定义了这个静态用户所在的端口GigabitEthernet1/0/3.100，定义了这个用户的报文标签为100，这个用户所属的域为wangguan，以下配置相同，本机下挂的网络设备都用这种方式来进行网管，同时，开启二层静态IP用户也是用这种办法]

2、普通PPPOE 用户VLAN 配置及动态绑定 interface GigabitEthernet1/0/9.1 pppoe-server bind Virtual-Template 1 user-vlan 200 bas

access-type layer2-subscriber default-domain authentication dial 3、固定IP 用户QinQ VLAN 的配置及绑定 interface GigabitEthernet1/0/3.200 description leaseline-tel-7676123 user-vlan 100 qinq 200 bas

access-type layer2-subscriber default-domain authentication wangguan authentication-method bind

static-user 10.36.252.2 10.36.252.2 interface GigabitEthernet1/0/3.200 vlan 100 qinq 200 detect domain-name wangguan 该用户的IP地址为10.36.252.2。

4、批量、连续的PPPOE 用户QinQ VLAN 配置及动态绑定 interface GigabitEthernet1/0/9.801 pppoe-server bind Virtual-Template 1 mtu 1524

2013-8-16

华为机密，未经许可不得扩散

第22页, 共75页

文档名称文档密级：

description To-YiTuo-HAMMER-10000-2-User user-vlan 256 1000 QinQ 801 bas

access-type layer2-subscriber default-domain authentication dial

[该子接口下终结了一批内层VLAN范围为256至1000，外层VLAN为801的PPPOE用户。注意，用户的认证方法等参数配置在相应用户域中，此例中为DIAL域，在用户侧端口下会引用该域。]

2.3 路由协议配置

本期工程BAS（ME60) 采用两个上联出口连接至地市核心GSR。在ME60 上配置主链路COST 为100，用户路由则采用BGP 进行承载，以下对OSPF 及BGP 的配置进行详细说明。 2.3.1 OSPF协议配置

BAS 与上联设备建立OSPF 邻居，OSPF 的area 号与各地市宽带IP 网area 号一致，如郑州area号为 371；洛阳为379。OSPF 链路类型为点到点类型。具体配置范例如下： 1、系统模式下配置ospf协议 ospf 1 router-id 125.40.254.110 [定义OSPF进程号以及ROUTER-ID] area 0.0.1.123 [进入相应area]

network 125.40.254.110 0.0.0.0 network 125.40.254.111 0.0.0.0 network 125.45.253.176 0.0.0.3 network 125.45.253.200 0.0.0.3 [发布loopback地址以及互连地址]

2、进入端口模式，将OSPF配置成为P-TO-P模式 interface GigabitEthernet1/0/0 ospf network-type p2p 3、查看OSPF协议状态进入用户模式或者系统模式

2013-8-16

华为机密，未经许可不得扩散

第23页, 共75页

文档名称文档密级：

★ 查看OSPF邻居状态

dis ospf peer OSPF Process 1 with Router ID 125.40.254.110 Neighbors Area 0.0.1.123 interface 125.45.253.178(GigabitEthernet1/0/0)'s neighbors Router ID: 61.168.255.247 Address: 125.45.253.177 GR State: Normal State: Full Mode:Nbr is Slave Priority: 1 DR: None BDR: None MTU: 1524 Dead timer due in 31 sec Neighbor is up for 701:33:05 Authentication Sequence: [ 0 ] Neighbors Area 0.0.1.123 interface 125.45.253.202(GigabitEthernet1/0/1)'s neighbors Router ID: 61.168.255.245 Address: 125.45.253.201 GR State: Normal State: Full Mode:Nbr is Slave Priority: 1 DR: 125.45.253.202 BDR: 125.45.253.202 MTU: 1524 Dead timer due in 34 sec Neighbor is up for 701:32:23 Authentication Sequence: [ 0 ]

通过以上命令查看OSPF邻居状态，正常情况下，在P-TO-P模式下邻居状态都应该为FULL。

★ 查看OSPF路由表

display ospf routing OSPF Process 1 with Router ID 125.40.254.110

2013-8-16

华为机密，未经许可不得扩散

第24页, 共75页

文档名称文档密级：

Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area 123.5.248.212/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

61.168.247.8/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

123.5.248.216/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

61.168.247.12/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

123.5.248.220/30 241 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

125.45.240.0/30 331 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

125.45.240.1/32 332 Inter-area 125.45.253.177 61.168.255.247 0.0.1.123

正常情况下，应该能够看到设备能够通过OSPF协议学习到路由。

3.3.2 BGP配置

在本期项目中，设备需要通过不同的loopback地址与本地核心路由器（充当路由反射器）分别建立2个BGP IPV4 邻居以及2个BGP VPNV4邻居。河南网通城域网AS号为65130。BGP配置需要在系统视图下进行，范例如下： 1、BGP配置 bgp 65130

router-id 125.40.254.110 group ha-ly-vpn internal [建立PEER GROUP]

2013-8-16

华为机密，未经许可不得扩散