电信M6000(BRAS)开局配置模版及常见业务配置指导

云南电信M6000(BRAS)开局模版

及常用业务配置指导

V1.6 2012年7月

目录

1.

设备资源命名规范 .................................................... 5 1.1. 1.2. 1.3. 1.4. 2. 3. 4. 5. 6.

网元命名规范 .................................................. 5 环回接口描述规范 .............................................. 6 网络接口描述规范 .............................................. 6 空闲端口要求 .................................................. 7

M6000设备相关资源规划 ............................................... 7 参数准备............................................................ 8 流程准备............................................................ 9 开局版本............................................................ 9 数据配置............................................................ 9 6.1. 6.2.

连接设备 ...................................................... 9 M6000开局基本配置 ............................................ 10

6.2.1. 校准设备MAC .............................................. 10 6.2.2. 定义设备名称 ............................................. 11 6.2.3. 配置本地登录帐号 ......................................... 11 6.2.4. 修改初始enable密码 ....................................... 12 6.2.5. 设置管理会话闲置超时时间10分钟 ........................... 12 6.2.6. Loopback接口配置 ......................................... 12 6.2.7. 物理接口配置： ........................................... 12 6.2.8. 配置缺省路由 ............................................. 12 6.2.9. NTP时间同步配置 .......................................... 12 6.2.10. 保存开局基本配置 ........................................ 13 6.3.

M6000网络协议及基本应用配置 .................................. 13

6.3.1. OSPF协议配置 ............................................. 13 6.3.2. ISIS路由协议配置 ......................................... 13 6.3.3. MPLS协议配置 ............................................. 14 6.3.4. BGP协议配置 .............................................. 15 6.3.5. 新增路由网段的通告 ....................................... 16 6.3.6. 组播协议配置 ............................................. 16 6.3.7. Radius基本数据配置 ....................................... 17 6.3.8. AAA全局认证、授权、计费基本模版创建 ...................... 18 6.3.9. QoS基本配置 .............................................. 19 6.3.10. 网管配置 ................................................ 22 6.3.11. 安全加固配置 ............................................ 23 6.3.12. 配置保存 ................................................ 24 6.4.

BRAS业务配置指导 ............................................. 24

6.4.1. Pppoe宽带拨号业务 ........................................ 25 6.4.2. VPDN业务（含绿网业务） ................................... 26 6.4.3. IPTV业务 ................................................. 28 6.4.4. 静态IP专线业务 ........................................... 31 6.4.4.1. BRAS方式开通静态IP专线 ................................. 31 6.4.4.2. SR方式开通静态IP专线业务 ............................... 33 6.4.5. Web+Portal认证业务 ....................................... 34 6.4.6. ITMS VPN业务（MPLS L3 VPN） .............................. 36 6.4.7. FTTH语音业务 ............................................. 38 6.4.8. VPLS业务（MPLS L2 VPN） .................................. 40 6.5. 6.6.

用户侧链路捆绑配置 ........................................... 42 其他特殊需求配置 ............................................. 43

6.6.1. PPPoE宽带业务叠加IPTV业务 ................................ 43 6.6.2. PPPoE宽带业务叠加静态IP专线业务 .......................... 44

1. 设备资源命名规范

1.1. 网元命名规范

城市缩写 符号 - 县缩写 字符 <8 可选 - 节点缩写 字符 <8 必选 - 设备属性 - 设备. 编号 数字 字符 1 1 网络(业务)类型 字符 3 必选 . 别称 字符 字母 1 ≤7 符号 字符 1 必选 字符 1 可选 字符 字符 1 固定 字符 1 必选 字符数 <8 选项 必选 必选 必选 必选 必选 可选 可选 ??字母大小需要采用统一标准，全部大写。

??除了已标出的符号，各标识两端、中间不带任何空格、符号，只能采用 数字和字母。

??城市缩写，取城市名称拼音的首字母大写，如GZ。 ??县缩写，取县名称拼音的首字母大写。

??节点缩写，取节点名称拼音的首字母大写，如城市、县及两节点的首字 母均有重叠，分两种情况，当后一个字不同时则后一个取全拼，如南油 （NYou）和南园（Nyuan）；如当后一个字相同时则前一个字取全拼， 例如同和（TongH）和太和（TaiH）。 ??设备属性，规定如下：

出口路由器：CR，如汇聚路由器兼做出口路由器则用CR 汇聚路由器：BR BRAS：BAS 业务路由器：SR 汇聚交换机：DSW 园区交换机：ASW 楼道交换机：LSW Dslam：DSL

OLT：OLT ONU：ONU

??设备编号，取阿拉伯数字，从1 开始。 ??网络类型： 城域网：MAN 城域网二平面：M2N

??别称：只能为字母和数字，各地市根据组网按需规划。

1.2. 环回接口描述规范

符号 字符数 选项 说明：

For：固定字符串。

功能描述：描述该loopback 端口特殊功能，为有意义的英文字符串。如： Management、Multicast、VPN、Global Routing、BGP Load balance 等。 interface “system” #缺省使用system 关键字作为loopback 端口 description For-Management

For 字符 3 必选 - 字符 1 必选 功能描述 字符串 ≤30 必选 1.3. 网络接口描述规范

端口描述包含下面几部分： | 符号 字符数 选项 uT:(上行) pT: (平行) dT:(下行) 字符 3 必选 对端设备名称 字符 ≤20 必选 (链路传输编号) 字符 ≤15 必选 对端端口类型 字符 ≤10 必选 对端端口标志 数字/字符 ≤8 可选 （VR） : 字符 1 必选 字符 ≤10 可选 “对端端口类型”要根据对端不同设备类型进行区分规范，

“对端端口标志”表示链路对端设备对应端口的具体标志规范，

“(链路传输编号)”表示链路的传输号,如果同机房内设备互联无传输编号,则 为(Local)。调测期间的链路描述最后增加“::PROCESSING”，调测完成加业务 后取消“::PROCESSING”。 端口类型如下表： 端口类型 以太(GE) 以太(10GE) 例子：

新庄AC7750 ge-0/0/0 上联鼓楼CRS-1 Te0/0/0/0 端口，该端口正在调试中， 描述如下：

uT:NJ-GL-CR.MAN.CRS-1:(传输代号)10GE0/0/0/0::PROCESSING

端口描述 GE*/*/* 10GE*/*/* 注：已有网络可保持原有模式，新建和在建网络根据以上要求实施。

1.4. 空闲端口要求

规范要求设备上的所有空闲未用的端口统一shutdown，便于网管监控。 M6000设备端口缺省是关闭的。

2. M6000设备相关资源规划

为便于资源管理和后期维护，对设备相关资源进行初步规划 资源类型 范围 vbui接口：按业务类型进行规划，资源数量1～2000 vbui1-99 vbui100-199 vbui200-299 vbui300-899 vbui900-999 vbui1000-vbui2000 Vbui1000 用途 pppoe拨号、VPDN（含绿网） Web+portal接入，DHCP接入 IPTV业务 预留 静态IP业务（含下层设备网管） 用于MPLS VPN中以上业务。 用于ITMS VPN ... 子接口：参考省公司VLAN规划进行规划，资源数量1～4094 .1-99 下层设备网管接口 .1000-1999 pppoe拨号、VPDN（含绿网） .2000-2999 IPTV业务 .4000 ITMS VPN Domain规划：

3. 参数准备

全局参数—整个城域网一致的参数。下表中红色字体参数请根据各城域网实际情况确定。 参数名 AS号 组播RP地址 组播地址段 CR1名称 CR1 iBGP RR地址 CR2名称 CR2 iBGP RR地址 SNMP community Telnet白名单 参数值 64948 116.55.62.254 239.254.180.0/24 CX-339Ju-CR-1.MAN.NE40x16-1 218.62.159.70 CX-339Ju-CR-2.MAN.NE40x16-2 218.62.159.69 zteadmin@2892 61.166.150.0/24 61.166.10.0/24 222.219.184.34/32 222.219.184.34/32 222.219.184.34 222.219.184.34 备注 iBGP协议需要，全网一致 全网一致 CR1用于和Client建立iBGP的loopback CR2用于和Client建立iBGP的loopback 允许telnet设备的地址 SNMP白名单 SNMP trap地址 SYSlog服务器地址

站点相关参数 参数名 局点名 设备名称 loopback1 loopback2 loopback3 CR1接口 允许通过SNMP管理设备的地址 发送SNMP trap信息的地址 日志服务器地址 参数值 楚雄市339局 CX-339Ju-BAS-4.MAN.M6000-1 116.55.61.52/32 116.55.61.54/32 GE0/3/0/2 备注 协议loopback，必选 组播loopback，后期IPTV业务要放入VPN，建议规划 VPN loopback，可选 对端互联物理接口 与CR1互联地址 CR2接口 与CR2互联地址 热备互联地址 初始登录帐号 15级enable密码 PPPoE业务地址 IPTV业务地址 ITMS业务地址 Web+Portal业务地址

112.114.191.86/30 GE0/3/0/2 112.114.191.94/30 zxr10/zxr10 zte@admin 182.244.76.0/24 182.244.116.0/24 10.124.251.0/24 222.219.185.0/25 双机热备需要 用于普通宽带上网 用于IPTV业务 用于E8-2终端管理 用于WLAN业务 4. 流程准备

提前3天请各地市客户发起如下几项业务申请流程：

1) 2) 3) 4) 5)

如相关业务地址不够，需要提前申请；

BRAS设备的loopback地址申请加入Radius业务平台；

BRAS设备loopback地址和web+portal业务地址段申请加入Portal业务平台； IPTV业务地址段加入到IPTV平台； 和用户确认IPTV平台所在IP地址段。

5. 开局版本

本期工程M6000开局版本要求使用：V1.0.60_1.0.58

6. 数据配置

6.1. 连接设备

通过console口连接设备，波特率为9600

通过以下命令进入配置模式，缺省enable密码为:zxr10 zxr10>enable password: zxr10#conf t zxr10(conf)#

此后进入配置模式，可以进行数据配置。

6.2. M6000开局基本配置

这部分配置确保M6000能正常上线，并能远程登录

6.2.1. 校准设备MAC

设备MAC由主控板决定，但设备到现场可能机框和主控板分开发货，这样可能导致设备MAC标签和实际MAC不相符，需要进行验证和必要的更改。具体如下： ? 获取设备的基准MAC地址

设备发货时，会在设备正面铭牌的上方贴一个小纸条，上面有设备的基准MAC地址。

? 如发现MAC不一致，重启机架，在boot模式中修改设备的基准MAC地址。

步骤1 通过MPUF单板的串口登陆至MPUF

步骤2 重启设备，在串口界面出现如下信息时按任意键打断启动：

Press any key to stop autoboot: 3

步骤3 串口界面出现如下提示信息时输入“y”，进入boot设置模式：

P Do you want to manual config ? (Yy/Nn)y

步骤4 串口界面出现如下，在[ZBoot]:提示符后输入“1”：

BootMenu Selection as follow:

0 - Auto boot /*按照当前设置自动启动*/ 1 - Manual BOOT Config /*设置单板启动配置项*/

2 - Show BOOT Config /*打印当前单板启动各项配置信息*/ ? - Print this help list /*打印该帮助菜单*/

[ZBoot]:1

步骤5 网络启动时BOOT设置菜单内容如下：

Config As SC? (Yy/Nn) : y /*设置SC*/

Boot Mode(1: Local Flash; 2: Net): 1 /*当前BOOT启动方式1为本地启动*/ Base MAC Addr : 0:1:22:33:44:55 /*设置设备的基准MAC*/ Mac Total : 32 /*设置设备MAC最大偏移量，最大值为63*/

Local IP : 169.1.11.27 /*设置设备网管口IP地址*/ Net Mask : 255.255.0.0 /*设置设备网管口子网掩码*/ Gateway IP : 169.1.106.3 /*设置设备启动的FTP网关*/ Server IP : 169.1.106.3 /*设置设备启动的FTP IP*/ File Name : M6000_1.10.0.B12.set /*设置设备启动的版本文件名*/ FTP Path : /*设置设备下载版本文件的FTP路径*/ FTP Username : M6000 /*设置FTP用户名*/ FTP Password : ***** /*设置FTP密码*/ Serial Authenticate (Yy/Nn) : n /*串口认证*/

Enable Password : ****** /*设置enable密码*/

Manual boot now? (Yy/Nn) y /*输入y回车即可启动单板*/

6.2.2. 定义设备名称

命名规则：详细规范，请参考《云南电信IP骨干城域网路由组网和配置规范》，以云南临沧(LC)临翔区新局(LXQXJ)总第3台BAS，第一台M6000为例， 命令：

hostname LC-LXQXJ-BAS-3.MAN.M6000-1

6.2.3. 配置本地登录帐号（复制粘贴）

aaa-authentication-template 2001 aaa-authentication-type local !

aaa-authorization-template 2001 aaa-authorization-type none !

system-user

authentication-template 1

bind-authentication-template 2001 $

authorization-template 1

bind-authorization-template 2001 local-privilege-level 1 $

username zxr10 password zxr10 authentication-template 1 authorization-template 1

!

6.2.4. 修改初始enable密码

enable secret level 15 zte@admin !

6.2.5. 设置管理会话闲置超时时间10分钟

line console idle-timeout 10 line telnet idle-timeout 10

6.2.6. Loopback接口配置

interface loopback1

description For-GlobalRouting

ip address 116.55.61.52 255.255.255.255 !

interface loopback2

description For-Multicast

ip address 116.55.61.54 255.255.255.255 !

6.2.7. 物理接口配置：

interface gei-0/0/0/1

negotiation negotiation-force //这里与30版本不同，不需要到pm模式下配置 description uT: CX-339Ju-CR-1.MAN.NE40x16-1:GE0/3/0/2::PROCESSING ip address 112.114.191.86 255.255.255.252 no shutdown //设备端口缺省是关闭的 !

interface gei-0/1/0/1

negotiation negotiation-force

description uT: CX-339Ju-CR-2.MAN.NE40x16-2:GE0/3/0/2::PROCESSING ip address 112.114.191.94 255.255.255.252 no shutdown !

6.2.8. 配置缺省路由

ip route 0.0.0.0 0.0.0.0 112.114.191.85 254//配置静态默认路由，优先级254 ip route 0.0.0.0 0.0.0.0 112.114.191.93 254

6.2.9. NTP时间同步配置

目前各地州以两台CR作为时间服务器

clock timezone Beijing 8

ntp server 218.62.159.69 priority 1 //服务器地址就是本地市CR的loopback ntp server 218.62.159.70 priority 2 ntp enable

6.2.10. 保存开局基本配置

Write

完成以上基本配置后，查看OSPF协议邻居建立情况，如能正常建立，并能学习到缺省路由，则可以通过远程登录方式登录设备了。

6.3. M6000网络协议及基本应用配置

6.3.1.

OSPF协议配置

router ospf 1

router-id 116.55.61.52

auto-cost reference-bandwidth 100000 //100G带宽作为cost值计算基准 maximum-paths 8

redistribute connected

passive-interface loopback1 passive-interface loopback2

network 112.114.191.84 0.0.0.3 area 0 network 112.114.191.92 0.0.0.3 area 0 network 116.55.61.52 0.0.0.0 area 0 network 116.55.61.54 0.0.0.0 area 0 interface gei-0/0/0/1 network point-to-point $

interface gei-0/1/0/1 network point-to-point $ !

配置验证： CX-339Ju-BAS-4.MAN.M6000-1#show ip ospf neighbor OSPF Router with ID (116.55.61.52) (Process ID 878) Neighbor ID Pri State DeadTime Address Interface 218.62.159.70 1 FULL/-- 00:00:40 112.114.191.93 gei-0/1/0/1 6.3.2. ISIS路由协议配置

router isis

area 86.4948.0878 //ISIS区域ID，格式为“国家代码+AS号后四位+固话区号” system-id 1160.5506.1052 //ISIS系统ID，由设备loopback地址进行转换 is-type level-2-only distance 160

metric-style wide

set-overload-bit on-start-up wait-for-bgp fast-flood i-spf

maximum-paths 8

passive-interface loopback1 passive-interface loopback2

interface loopback1 ip router isis $

interface loopback2 ip router isis $

interface gei-0/0/0/1 ip router isis

circuit-type level-2-only metric 3000

network point-to-point $

interface gei-0/1/0/1 ip router isis

circuit-type level-2-only metric 3000

network point-to-point $ !

说明：电信城域网改为ISIS+BGP后，ISIS仅用于通告设备的loopback、互联地址等，业务接口或网段不通过ISIS通告。

配置验证： DQ-DeQin-XJ-BAS-1.MAN.M6000-1#show isis adjacency Process ID: 0 Interface System id State Lev Holds SNPA(802.2) Pri MT gei-0/1/0/1 DQ-XGLL-ZXJ-CR UP L2 26 PPP 0 -2.MAN.NE40X16 gei-0/0/0/1 DQ-XGLL-ZXJ-CR UP L2 28 PPP 0 -1.MAN.NE40X16 6.3.3. MPLS协议配置

mpls ldp instance 1 router-id loopback1

access-fec host-route-only //只接受32位掩码主机路由的标签分发 interface gei-0/0/0/1 $

interface gei-0/1/0/1 $ !

配置验证： DQ-DeQin-XJ-BAS-1.MAN.M6000-1#show mpls ldp neighbor instance 1 Peer LDP Ident: 218.62.159.135:0; Local LDP Ident: 116.248.191.246:0 TCP connection: 218.62.159.135.49282 - 116.248.191.246.646 State: Oper; Msgs sent/rcvd: 4071/4070; Downstream Up Time: 16:52:50 LDP discovery sources: gei-0/0/0/1; Src IP addr: 116.248.191.181 Addresses bound to peer LDP Ident: 116.248.191.1 116.248.191.149 116.248.191.153 116.248.191.161 116.248.191.181 116.248.191.197 218.62.157.109 218.62.159.135 222.221.29.101 222.221.29.105 Peer LDP Ident: 218.62.159.136:0; Local LDP Ident: 116.248.191.246:0 TCP connection: 218.62.159.136.55395 - 116.248.191.246.646 State: Oper; Msgs sent/rcvd: 4071/4081; Downstream Up Time: 16:52:50 LDP discovery sources: gei-0/1/0/1; Src IP addr: 116.248.191.185 Addresses bound to peer LDP Ident: 116.248.191.5 116.248.191.145 116.248.191.157 116.248.191.165 116.248.191.185 116.248.191.193 116.248.191.201 218.62.157.105 218.62.159.136 222.221.29.102 222.221.29.106 6.3.4. BGP协议配置

云南电信BGP协议目前有两个作用，

1. 通告城域网业务网段地址； 2. 通告VPN路由及私网标签。 BGP进程创建了两个Peer-group，pgGRR和pgVRR。pgGRR用于通告城域网业务网段（全局），pgVRR用于VPN路由。

设备向pgGRR邻居通告路由时需要携带no-export属性，但个别网段如果通告不出去的话，可能是和CR上的network产生冲突，需要去除no-export属性，这样的网段要在ip prefix-list pl_NoExport163中deny掉。

具体配置如下： //创建前缀列表，以后需要特殊处理的列表加到此prefix-list中，并把seq设置在10000以前即可。

ip prefix-list pl_NoExport163 seq 10000 permit 0.0.0.0 0 le 32 !

//创建route-map

route-map rm_NoExport163 permit 10

match ip address prefix-list pl_NoExport163 set community no-export !

route-map rm_NoExport163 permit 20 !

//配置bgp协议 router bgp 64948

distance bgp internal 200 distance bgp external 70 no synchronization maximum-paths 8

bgp router-id 116.55.61.52 neighbor pgVRR peer-group

neighbor pgVRR remote-as 64948 no neighbor pgVRR activate

neighbor pgVRR update-source loopback1 neighbor pgGRR peer-group

neighbor pgGRR remote-as 65232 neighbor pgGRR activate

neighbor pgGRR route-map rm_NoExport163 out neighbor pgGRR send-community

neighbor pgGRR update-source loopback2 neighbor 218.62.159.69 peer-group pgVRR neighbor 218.62.159.70 peer-group pgVRR neighbor 218.62.159.69 peer-group pgGRR neighbor 218.62.159.70 peer-group pgGRR

address-family vpnv4

neighbor pgVRR activate $

配置验证： IPv4邻居关系 DQ-DeQin-XJ-BAS-1.MAN.M6000-1#show ip bgp summary Neighbor Ver As MsgRcvd MsgSend Up/Down State/PfxRcd 116.248.191.230 4 65232 2295 1993 16:33:41 0 116.248.191.231 4 65232 2293 1991 16:32:32 0 VPNv4邻居关系 DQ-DeQin-XJ-BAS-1.MAN.M6000-1#show bgp vpnv4 unicast summary Neighbor Ver As MsgRcvd MsgSend Up/Down State/PfxRcd 218.62.159.135 4 65232 2224 2013 16:41:42 19 218.62.159.136 4 65232 2685 2013 16:41:42 19 6.3.5. 新增路由网段的通告

新增地址段的通告分两种情况：

1) VPN业务地址：VPN中通过重分布方式发布了直连路由，只要完成三层接口的配

置就会自动通告出去了，不需要额外配置；

2) 公网业务地址：需要通过bgp进行发布，完成三层接口的配置后，通过以下命

令进行发布

router bgp 64948

network !

配置验证： DQ-DeQin-XJ-BAS-1.MAN.M6000-1#show ip bgp neighbor out 116.248.191.230 Routes Sent to This neighbor: Dest NextHop Metric LocPrf Path 182.246.244.0/24 116.248.191.245 100 i 172.1.204.0/24 116.248.191.245 100 i 6.3.6. 组播协议配置

ip multicast-routing router pimsm

static-rp 116.55.62.254 interface gei-0/0/0/1 pimsm

$

interface gei-0/1/0/1 pimsm $

interface loopback2 pimsm //需要开启此接口的PIMSM，以激活接口的IGMP功能 $

router igmp

interface loopback2 //把loopback2静态加入组播频道实现拉流 static-group 239.254.180.1 static-group 239.254.180.2 ……[略]

static-group 239.254.180.254

!

配置验证： 查看PIMSM邻居 DQ-DeQin-XJ-BAS-1.MAN.M6000-1#show ip pimsm neighbor Neighbor Address Interface DR Priority Uptime Expires Ver 116.248.191.185 gei-0/1/0/1 1 17:05:27 00:01:16 V2 116.248.191.181 gei-0/0/0/1 1 17:05:28 00:01:39 V2 查看组播路由 DQ-DeQin-XJ-BAS-1.MAN.M6000-1#show ip mroute summary IP multicast routing table summary (*,G): 255 routes (S,G): 59 routes Total: 314 routes DQ-DeQin-XJ-BAS-1.MAN.M6000-1#show ip mroute IP Multicast Routing Table (*, 239.254.208.1), RP: 116.248.191.252, TYPE: DYNAMIC, FLAGS: NS Incoming interface: gei-0/1/0/1, flags: NS Outgoing interface list: loopback2, flags: F (182.240.223.23, 239.254.208.1), TYPE: DYNAMIC, FLAGS: Incoming interface: gei-0/1/0/1, flags: Outgoing interface list: loopback2, flags: F (*, 239.254.208.2), RP: 116.248.191.252, TYPE: DYNAMIC, FLAGS: NS Incoming interface: gei-0/1/0/1, flags: NS Outgoing interface list: loopback2, flags: F (182.240.223.22, 239.254.208.2), TYPE: DYNAMIC, FLAGS: Incoming interface: gei-0/1/0/1, flags: Outgoing interface list: loopback2, flags: F …. 6.3.7. Radius基本数据配置

Radius group 1/2/3都是为了满足现网业务需求必须配置的，不能遗漏。

3) Group1用于不带域名的业务应用，如普通pppoe上网； 4) Group2用于带域名的业务应用，如VPDN、Web+portal；

5) Group3是为了配合DM功能配置的1，实际不会引用，但必须配置。

radius authentication-group 1

server 1 61.166.150.99 master key 88----89 port 1645 server 2 61.166.150.100 key 88----89 port 1645 deadtime 0

nas-ip-address 116.55.61.52

1

Radius下发DM消息将用户踢下线，一般用于欠费或其他特殊需求，为保证DM消息的合法性，M6000会检测DM消息源地址是否是Radius组中的地址，如不匹配将丢弃。云南省电信Radius发送DM信息使用了另外地址61.166.150.103来发送，所以需要配置group 3来配合DM功能

!

radius authentication-group 2

server 1 61.166.150.99 master key 88----89 port 1645 server 2 61.166.150.100 key 88----89 port 1645 deadtime 0

user-name-format include-domain nas-ip-address 116.55.61.52 !

radius authentication-group 3

server 1 61.166.150.103 key 88----89 port 1645 nas-ip-address 116.55.61.52 !

radius accounting-group 1

server 1 61.166.150.99 master key 88----89 port 1646 server 2 61.166.150.100 key 88----89 port 1646 deadtime 0

nas-ip-address 116.55.61.52 local-buffer enable !

radius accounting-group 2

server 1 61.166.150.99 master key 88----89 port 1646 server 2 61.166.150.100 key 88----89 port 1646 deadtime 0

user-name-format include-domain nas-ip-address 116.55.61.52 local-buffer enable !

radius accounting-group 3

server 1 61.166.150.103 key 88----89 port 1646 nas-ip-address 116.55.61.52 local-buffer enable !

Radius可用性验证：

如果设备的loopback加入了Radius中，采用下面错误的帐号能返回“reject”信息，如提示“unreachable”loopback还未加入Radius，或未生效。

Radius通信异常 DQ-DeQin-XJ-BAS-1.MAN.M6000-1#radius-ping authentication-group 1 test test chap Ping radius authentication-group 1 with test at 17:58:27! Ping server 1 61.166.150.99 at 17:58:27! Ping server 2 61.166.150.100 at 17:58:27! .... Request timed out. Server 1 unreachable! Request timed out. Server 2 unreachable! Radius可用 CX-339Ju-BAS-4.MAN.M6000-1#radius-ping authentication-group 1 tes test chap Ping radius authentication-group 1 with tes at 17:59:46! Ping server 1 61.166.150.99 at 17:59:46! Ping server 2 61.166.150.100 at 17:59:46! Reply from server 2 reject at 17:59:46! Reply from server 1 reject at 17:59:46! 6.3.8. AAA全局认证、授权、计费基本模版创建

//Radius认证，不带域名

aaa-authentication-template 1 aaa-authentication-type radius authentication-radius-group 1

!

aaa-authentication-template 2 //本地认证 aaa-authentication-type local !

aaa-authentication-template 3 //Radius认证，带域名 aaa-authentication-type radius authentication-radius-group 2 !

aaa-authentication-template 4 //不认证 aaa-authentication-type none !

aaa-authorization-template 1 aaa-authorization-type radius !

aaa-authorization-template 2

aaa-authorization-type mix-radius //IPTV组播业务要配置为此方式，否则用户无法加入组播组。 !

aaa-authorization-template 3

aaa-authorization-type mix-radius !

aaa-accounting-template 1 aaa-accounting-type radius

accounting-radius-group first 1 !

aaa-accounting-template 2 aaa-accounting-type none !

aaa-accounting-template 3 aaa-accounting-type radius

accounting-radius-group first 2 !

6.3.9. QoS基本配置

class-map cmCopper_NNI match-any match precedence 1 match mpls-exp 1 !

class-map cmSilver_NNI match-any match precedence 2 match mpls-exp 2 !

class-map cmGold_NNI match-any match precedence 3 match mpls-exp 3 !

class-map cmCritical_NNI match-any match precedence 4 match mpls-exp 4 !

class-map cmPlatinum_NNI match-any match precedence 5 match mpls-exp 5 !

class-map cmNetworkControl_NNI match-any

match precedence 6 match mpls-exp 6 !

class-map cmDiamond_NNI match-any match precedence 7 match mpls-exp 7 !

class-map cmCopper_UNI match-any match precedence 1 match out-8021p 1 !

class-map cmSilver_UNI match-any match precedence 2 match out-8021p 2 !

class-map cmGold_UNI match-any match precedence 3 match out-8021p 3 !

class-map cmCritical_UNI match-any match precedence 4 match out-8021p 4 !

class-map cmPlatinum_UNI match-any match precedence 5 match out-8021p 5 !

class-map cmNetworkControl_UNI match-any match precedence 6 match out-8021p 6 !

class-map cmDiamond_UNI match-any match precedence 7 match out-8021p 7 !

policy-map pmGEOutput_NNI class cmCopper_NNI bandwidth percent 5

set dscp inherit-from 8021p $

class cmSilver_NNI bandwidth percent 5

set dscp inherit-from 8021p $

class cmGold_NNI

bandwidth percent 10

set dscp inherit-from 8021p $

class cmCritical_NNI priority-llq

set dscp inherit-from 8021p police 100000 12500 $

class cmPlatinum_NNI bandwidth percent 30

set dscp inherit-from 8021p $

class cmNetworkControl_NNI bandwidth percent 5

set dscp inherit-from 8021p $

class cmDiamond_NNI bandwidth percent 5

set dscp inherit-from 8021p $

class class-default bandwidth percent 30

set dscp inherit-from 8021p $ !

policy-map pmGEOutput_UNI class cmCopper_UNI bandwidth percent 5 $

class cmSilver_UNI bandwidth percent 5 $

class cmGold_UNI

bandwidth percent 10 $

class cmCritical_UNI priority-llq

police 100000 12500 $

class cmPlatinum_UNI bandwidth percent 30 $

class cmNetworkControl_UNI bandwidth percent 5 $

class cmDiamond_UNI bandwidth percent 5 $

class class-default bandwidth percent 30 $ !

policy-map pmXGEOutput_NNI class cmCopper_NNI bandwidth percent 5

set dscp inherit-from 8021p $

class cmSilver_NNI bandwidth percent 5

set dscp inherit-from 8021p $

class cmGold_NNI

bandwidth percent 10

set dscp inherit-from 8021p $

class cmCritical_NNI police 1000000 125000 priority-llq

set dscp inherit-from 8021p $

class cmPlatinum_NNI bandwidth percent 30

set dscp inherit-from 8021p $

class cmNetworkControl_NNI bandwidth percent 5

set dscp inherit-from 8021p $

class cmDiamond_NNI bandwidth percent 5

set dscp inherit-from 8021p $

class class-default bandwidth percent 30

set dscp inherit-from 8021p $ !

//网络侧接口绑定QoS策略，GE口和10GE口对应不同策略，注意不要绑错 service-policy gei-0/0/0/1 output pmGEOutput_NNI overwrite !

service-policy gei-0/1/0/1 output pmGEOutput_NNI overwrite !

//用户侧接口绑定QoS策略

service-policy gei-0/0/0/2 output pmGEOutput_UNI overwrite !

6.3.10. 网管配置

ipv4-access-list ACL_telnet

rule 1 permit 61.166.150.0 0.0.0.255 rule 2 permit 61.166.10.0 0.0.0.255 rule 3 permit 222.219.184.34 0.0.0.0 $ !

line telnet access-class ipv4 ACL_telnet !

ipv4-access-list ACL_snmp

rule 1 permit 222.219.184.34 0.0.0.0 $ !

snmp-server access-list ipv4 ACL_snmp snmp-server enable server-working

snmp-server community zteadmin@2892 showclear view AllView ro //showclear参数使团体串以明文方式在配置中显示，不加此参数以密文方式显示。 snmp-server host 222.219.184.34 inform version 2c zteadmin@2892 snmp-server host 222.219.184.34 trap version 2c zteadmin@2892

logging on

syslog-server host 222.219.184.34

syslog-server source ipv4 116.55.61.52

6.3.11. 安全加固配置

//垃圾流量过滤

ipv4-access-list ACL_Anti_virus rule 1 deny tcp any any eq 135 rule 2 deny tcp any any eq 137 rule 3 deny tcp any any eq 138 rule 4 deny tcp any any eq 139 rule 5 deny tcp any any eq 445 rule 6 deny tcp any any eq 5554 rule 7 deny tcp any any eq 901 rule 8 deny tcp any any eq 2745 rule 9 deny tcp any any eq 3127 rule 10 deny tcp any any eq 3128 rule 11 deny tcp any any eq 6129 rule 12 deny tcp any any eq 6667 rule 13 deny tcp any any eq 4444 rule 14 deny tcp any any eq 1025 rule 15 deny tcp any any eq 593 rule 16 deny udp any any eq 135 rule 17 deny udp any any eq 137 rule 18 deny udp any any eq 138 rule 19 deny udp any any eq 139 rule 20 deny udp any any eq 445 rule 21 deny udp any any eq 9995 rule 22 deny udp any any eq 9996 rule 23 deny udp any any eq 1434 rule 24 deny tcp any any eq 7306 rule 25 deny tcp any any eq 7626 rule 26 deny tcp any any eq 12346 rule 27 deny tcp any any eq 1999 rule 100 permit ip any any !

interface gei-0/0/0/1

ipv4-access-group ingress ACL_Anti_virus !

interface gei-0/1/0/1

ipv4-access-group ingress ACL_Anti_virus !

//伪造源地址过滤

interface gei-0/0/0/1

ipv4 verify unicast source reachable-via any !

interface gei-0/1/0/1

ipv4 verify unicast source reachable-via any !

//控制平面未使用的服务关闭

no ip source-route //关闭IP源路由

//开启认证抑制功能，避免异常认证攻击影响业务 subscriber-manage

user offline-exception-record enable //开启用户异常离线原因记录，便于分析掉线原因

user online-failed-record enable //开启用户上线失败记录，便于分析上线失败原因

authentic-request-ctrl control enable

authentic-request-ctrl request-interval 30

authentic-request-ctrl request-count 5 forbid-period 180 reset-period 5 说明：30秒内如果检测到用户发起5次认证，且都认证失败，则认为用户帐号异常，将对用户停止认证响应180秒，180秒后认证仍不通过继续抑制，5分钟后失败记数清零。

6.3.12. 配置保存

Write

6.4. BRAS业务配置指导

BRAS业务的控制主要通过3个模块实现：DOMAIN模块、VBUI模块、VCC模块。 ? DOMAIN模块：负责用户的认证、授权、计费等AAA功能 ? VBUI模块 ：业务三层接口、提供地址池等 ? VCC模块：用户接入电路管理

三个模块在业务层面的绑定关系如下举例说明：

M6000V1.00.60的绑定关系为：VBUI<---->Domain<---->VCC Domain的配置

subscriber-manage domain 1

bind authentication-template 1 bind authorization-template 1 bind accounting-template 1 alias dmPPPoE

$ sal 1

default domain dmPPPoE permit domain dmVPDN permit domain dmPPPoE none domain dmVPDN keep $ ！

VBUI和Domain绑定，通过在vbui下的access-domain命令实现 vbui-configuration interface vbui1

ip-pool pool-name pl1-pppoe pool-id 1 access-domain dmPPPoE ...

Domain和VCC绑定，通过vcc配置中电路和Sal绑定。 vcc-configuration

interface gei-0/1/0/10.1

encapsulation ppp-over-ethernet pppox template 1 bind sal 1 $

注：M6000V1.00.30的绑定关系为：Domain<---->VBUI<---->VCC，所以各模块之间的绑定配置在两个版本之间有较大差异。

6.4.1.

业务需求说明：

Pppoe宽带拨号业务

用户以PPPoE方式拨号接入，Radius认证，终结QinQ 业务配置前提：

1. 调通网络

2. 完成3.3.4 Radius基本数据配置

3. 完成3.3.5 AAA全局认证、授权、计费基本配置

配置思路如下： 1. 2. 3. 4. 5. 6.

具体配置如下：

subscriber-manage //进入用户配置模式 pppox-cfg 1 //创建pppox模版

ppp keepalive timer 60 count 3 //设置ppp会话保活时间参数 $

authentication-template 1 //创建用户认证模版、授权模版、计费模版

bind aaa-authen-template 1 $

authorization-template 1 bind aaa-author-template 1

ppp url-mode portal //此配置用于开启PPPoE用户页面推送功能，推送URL由Radius下发

user-priority-input inherit-from out-8021p //从用户接入QinQ外层VLAN 802.1p中继承优先级，并会传递到上行口出口封装的对应标记中，包括EXP、IPP等。 $

accounting-template 1

bind aaa-accounting-template 1 $

domain 1 //创建用户域 bind authentication-template 1 bind authorization-template 1 bind accounting-template 1

创建PPPoX模版pppox-cfg 1 ;

创建用户AAA认证、授权、计费模版； 创建用户域domain 1 ; 创建域绑定句柄sal 1；

创建用户3层逻辑接口vbui1及地址池；

配置用户接入电路，包括子接口、QinQ封装、接入封装类型，并和vbui1及pppox模版绑定。

alias dmPPPoE //设置域名

$

2

sal 1 //创建域绑定句柄 default domain dmPPPoE $

interface vbui1 //创建3层逻辑接口 ip address 182.244.76.1 255.255.255.0 !

vbui-configuration //进入vbui配置模式 interface vbui1

ip-pool pool-name pool1-PPPoE pool-id 1 //配置地址池

access-domain dmPPPoE //配置access-domain后用户才能获取到IP地址 pppoe-dns-server 222.172.200.68

pppoe-dns-server 61.166.150.123 second member 1

start-ip 182.244.76.2 end-ip 182.244.76.254 $ $ $ !

interface gei-0/0/0/3.1001 //配置用户接入电路 !

vcc-configuration //VCC的配置需要放在VLAN封装之前。 interface gei-0/0/0/3.1001

encapsulation ppp-over-ethernet //定义接入封装类型

pppox template 1 //绑定pppox模版 bind sal 1 //绑定缺省域 $ !

vlan-configuration

interface gei-0/0/0/3.1001

qinq rang internal-vlanid 1000-1999 external-vlanid 1001 //内层vlan1000-1999，外层1001 $ !

6.4.2.

业务需求说明：

VPDN业务（含绿网业务）

VPDN用户通过PPPoE方式接入，拨号帐号含域名格式为“username@domain”,BRAS将用户认证信息送给Radius，Radius核对帐号合法性并根据账户属性下发LNS设备IP和隧道密码，BRAS根据下发的信息和LNS建立L2TP隧道，隧道建立成功后BRAS中继ppp会话信息，用户和LNS开始PPP的LCP/AUTH/NCP协商，用户和LNS之间建立PPP会话后完成接入。

此业务一般叠加于普通PPPoE业务。

2

当拨号帐号带域名时，系统根据域名自动查询到对应的domian；如果帐号不带域名，根据绑定的sal接入

对应的域。

业务配置前提：

1. 完成普通6.4.1 PPPoE宽带拨号业务配置

配置思路：

1. 全局开启vpdn功能，配置相关参数；

2. 配置单独认证模版，上送Radius认证信息需要携带“@域名”； 3. 创建domain ；

4. 修改普通PPPoE的接入sal，允许vpdn接入，同时配置保持域名参数。 5. 创建VPDN group，绑定domain ; 具体配置如下：

vpdn enable

no check-hostname-avp //中兴设备缺省会检测远程主机名和本地配置的remote host是否一致，但在电信的VPDN业务模型中，此功能需要关闭，否则无法建立L2TP隧道。 !

subscriber-manage

authentication-template 3 bind aaa-authen-template 3 $

authorization-template 3 bind aaa-author-template 3

user-priority-input inherit-from out-8021p //从用户接入QinQ外层VLAN 802.1p中继承优先级，并会传递到上行口出口封装的对应标记中，包括EXP、IPP等。 l2tp tunnel-client-endpoint ip 116.55.61.52 //指定隧道源地址使用loopback地址

$

accounting-template 3

bind aaa-accounting-template 3

$

domain 3

bind authentication-template 3 bind authorization-template 3 bind accounting-template 3 alias dmVPDN $

sal 1

default domain dmPPPoE permit domain dmVPDN permit domain dmPPPoE

none domain dmVPDN keep //如果接入帐号所带域名在本地查不到，就放入dmVPDN中接入，且保持原始帐号域名上送给Radius。

$ !

vpdn-group vgVPDN1 domain dmVPDN

l2tp tunnel authentication

source-ip-addr 116.55.61.52 !

特殊说明：

对于大量突发性拨号接入的VPDN业务，建议单独为其建立 vpdn-group，因为这种突发性拨号会在设备上形成较长的处理队列，处理队列过长会使session长期处于wait-reply状态而无法建立L2TP链接影响业务。

云南电信现网中可能存在E8-2猫的管理连接以VPDN方式接入的情况，如果BAS上行网络意外中断将导致下挂所有E8-2猫的接入L2TP会话中断，所有E8-2猫将同时进入重建管理连接的拨号过程，形成较长的VPDN拨号队列。为不影响其他VPDN业务，需要单独为E8-2猫建立vpdn-group，具体配置如下：

vpdn-group itms domain itms

l2tp tunnel authentication

max-session-per-tunnel 50 //每个隧道可容纳50个会话，当会话超出后会为新会话建立新隧道。

source-ip-addr 61.166.48.248 !

下面是隧道建立情况，和edatahome_se800建立的即为E8-2管理通道。

NJ-GS-ZXJ-BAS-1.MAN.M6000#show vpdn tunnel brief L2TP Tunnel Infomation [Total tunnels :33] [Total sessions :519] ======================================================== LTID RTID RemoteName State RemoteAddr RemotePort Sessions 47856 5 ynyz01.yn EST 222.221.254.154 1701 1 13939 4 njshebao EST 61.166.45.78 1701 6 15390 58942 RA12-MR01 EST 182.245.212.58 1701 9 38847 193 88----89 EST 222.221.16.66 1701 3 9858 31966 KM33R7206-Ticai-LNS2 EST 222.221.248.125 1701 4 18391 1406 IC-Data-Route1 EST 61.138.203.45 1701 1 25633 14579 BBMS_SE800 EST 222.221.1.174 1701 4 2406 35 lc.vpdn.ynjy.cn EST 220.165.11.42 1701 6 45759 15368 edatahome_se800 EST 222.221.1.173 1701 50 52602 14975 edatahome_se800 EST 222.221.1.173 1701 50 27145 14684 edatahome_se800 EST 222.221.1.173 1701 50 10721 14630 edatahome_se800 EST 222.221.1.173 1701 50 45907 14602 edatahome_se800 EST 222.221.1.173 1701 24 6.4.3.

业务需求说明：

IPTV业务

IPTV机顶盒使用本地iptv@iptv/ iptv3360612帐号采用PPPoE方式接入，内层

vlan2000-2999，外层vlan2001。通过网络访问白名单限制iptv只能访问IPTV业务平台。

业务配置前提：

1. 2. 3. 4.

配置思路： 1. 2. 3. 4. 5. 6. 7.

具体配置如下：

ipv4-access-list ACL_IPTV_permission //白名单地址段，其中组播地址断根据地市修改，IPTV平台业务段也需要加入。

rule 20 permit ip any 239.253.180.0 0.0.0.255 //本地市的组播频道地址 rule 30 permit ip any 116.55.62.254 0.0.0.0 rule 40 permit ip any 222.221.12.0 0.0.0.255 rule 50 permit ip any 222.221.22.0 0.0.0.255 rule 60 permit ip any 222.221.23.0 0.0.0.255 rule 70 permit ip any 220.163.1.0 0.0.0.255 rule 80 permit ip any 220.163.2.0 0.0.0.255 rule 90 permit ip any 60.161.253.0 0.0.0.31 rule 100 permit ip any 60.161.216.0 0.0.0.31

rule 110 permit ip any 222.219.188.0 0.0.0.255 //地市本地IPTV业务平台地址

rule 130 permit ip any 222.220.60.0 0.0.0.31 rule 140 permit ip any 220.165.6.0 0.0.0.255 rule 150 permit ip any 61.166.235.0 0.0.0.63 rule 160 permit ip any 222.220.220.0 0.0.0.63 rule 170 permit ip any 222.220.253.0 0.0.0.63 rule 180 permit ip any 222.220.254.0 0.0.0.63 rule 190 permit ip any 61.166.76.128 0.0.0.127

rule 200 permit ip any 222.172.200.68 0.0.0.0 //DNS服务器 rule 210 permit ip any 61.166.150.123 0.0.0.0

rule 220 permit ip any 61.166.150.99 0.0.0.0 //Radius服务器 rule 230 permit ip any 61.166.150.100 0.0.0.0 rule 250 permit igmp any any !

subscriber-manage

igmp service-profile 1 //创建用户侧IGMP业务模版 $

authentication-template 2 //定义用户AAA认证、授权、计费模版 bind aaa-authen-template 2 $

authorization-template 2 bind aaa-author-template 2

igmp service-profile 1 //授权用户开启igmp服务

access-list-input ipv4 ACL_IPTV_permission //绑定IPTV网络访问白名单

开启用户侧IGMP功能;

创建用于IPTV业务的AAA认证、授权、计费模版； 创建网络访问白名单； 创建IPTV用户域domain 2 ;

创建域绑定句柄sal 2（可选）；

创建IPTV用户3层逻辑接口vbui3及地址池，开启接口下的IGMP功能；

配置用户接入电路，包括子接口、QinQ封装、接入封装类型，并和vbui3及pppox模版绑定。

调通网络

完成3.3.4 Radius基本数据配置

完成3.3.5 AAA全局认证、授权、计费基本配置 完成3.3.3 组播协议基本配置

user-priority-input inherit-from out-8021p //从用户接入QinQ外层VLAN 802.1p中继承优先级，并会传递到上行口出口封装的对应标记中，包括EXP、IPP等。

$

accounting-template 2

bind aaa-accounting-template 2

$

domain 2 //创建IPTV域，用户接入iptv业务 bind authentication-template 2 bind authorization-template 2 bind accounting-template 2 alias iptv

$

sal 2

default domain iptv

$

local-subscriber 1 iptv domain-name iptv password iptv3360612 //创建本地帐号

$ !

interface vbui200 //创建3层逻辑接口 ip address 182.244.116.1 255.255.255.0 !

vbui-configuration interface vbui200

ip-pool pool-name pool3-IPTV pool-id 3 //创建地址池 access-domain iptv

pppoe-dns-server 222.172.200.68

pppoe-dns-server 61.166.150.123 second member 1

start-ip 182.244.116.2 end-ip 182.244.116.254 $ $

$ !

ip multicast-routing //3层接口下开启相关组播功能 router pimsm

interface vbui200 pimsm $

$

router igmp

interface vbui200 $ !

interface gei-0/0/0/3.2001 //配置用户电路 !

vcc-configuration

interface gei-0/0/0/3.2001 bind vbui200

encapsulation ppp-over-ethernet pppox template 1 $ !

vlan-configuration

interface gei-0/0/0/3.2001

qinq range internal-vlan-range 2000-2999 external-vlan-range 2001 $

4. 开启DHCP功能，并在vbui接口启用

dhcp

enable

server update arp !

5. 配置vbui接口，包括认证前域、认证类型、绑定认证前访问白名单、地址池等 vbui-configuration interface vbui100

web-force authentication web-server 1

web-acl WebAuthen_Pre_permission dhcp user-detect count 3 timer 120 //开启异常下线检测，每120秒发送一次arp检测报文，连续3次检测不到就判断用户下线。

ip-pool pool-name pool1_WLAN pool-id 50 access-domain wlan.yn.chntel.com ipoe-dns-server 222.172.200.68

ipoe-dns-server 61.166.150.123 second

pppoe-dns-server 222.172.200.68 //兼容PPPoE拨号接入 pppoe-dns-server 61.166.150.123 second member 1

start-ip 222.219.185.2 end-ip 222.219.185.126 $ $ $ !

6. 用户接入电路配置

vcc-configuration

interface gei-0/0/0/2.600

pre-domain wlan.yn.chntel.com

nas-port-type 802.11 //此属性必须配置，否则会出现帐号错误而认证失败

encapsulation multi //支持用户以DHCP+web或PPPoE方式接入

ip dhcp-v4 authentication-type web pppox template 1 //配置PPPoE模版 bind sal 5 //电路绑定到域 $ !

vlan-configuration

interface gei-0/0/0/2.600

qinq internal-vlanid 600 external-vlanid 1999 $ !

6.4.6.

业务需求说明：

ITMS VPN业务（MPLS L3 VPN）

ITMS是城域网域内基于MPLS L3 VPN的业务，用于管理E8-2终端。E8-2终端以PPPoE方式接入，认证帐号yne82@itms采用BRAS本地帐号，在ITMS VPN中获取IP配置参数后和省中心网管系统通信。

业务配置前提：

1. 调通网络

2. 完成3.3.1 MPLS协议配置 3. 完成3.3.2 MP-iBGP协议配置

配置思路：

1. 2. 3. 4. 5.

具体配置参考：

ip vrf itmsvpn rd 4809:4400000

address-family ipv4

route-target import 4809:440000000 route-target export 4809:440000000 $ !

router bgp 64948

address-family ipv4 vrf itmsvpn redistribute connected $ !

subscriber-manage //进入用户配置模式 authentication-template 4

bind aaa-authen-template 2 //这里使用的是本地认证模板 $

authorization-template 4

bind aaa-author-template 2 $

accounting-template 4

bind aaa-accounting-template 4 $

domain 4

bind authentication-template 4 bind authorization-template 4 bind accounting-template 4 ip vrf itmsvpn alias itms $

3

sal 4 //创建域绑定句柄 default domain itms $

3

创建vrf，设置RD/RT等参数；

进入BGP进程开启vrf的路由发布和接收；

进行DOMAIN相关配置，含aaa模版、domain、sal、本地帐号等； 创建VBUI，配置IP及地址池； 用户电路配置

当拨号帐号带域名时，系统根据域名自动查询到对应的domian；如果帐号不带域名，根据绑定的sal接入

对应的域。

local-subscriber 2 yne82 domain-name itms password yne82 !

interface vbui1000

ip vrf forwarding itmsvpn

ip address 10.124.251.1 255.255.255.0 !

vbui-configuration //进入vbui配置模式 interface vbui1000

ip-pool pool-name pool1-ITMS pool-id 40 access-domain itms

pppoe-dns-server 10.111.0.7 member 1

start-ip 10.124.251.2 end-ip 10.124.251.254 $ $ $ !

interface gei-0/0/0/2.4000 //配置用户接入电路 !

vcc-configuration //VCC的配置需要放在VLAN封装之前。 interface gei-0/0/0/2.4000

encapsulation ppp-over-ethernet //定义接入封装类型

pppox template 1 //绑定pppox模版 bind sal 4 $ !

vlan-configuration

interface gei-0/0/0/2.4000 encapsulation-dot1q 4000 $ !

注意：这里domain 4配置为本地认证方式，终端的接入帐号必须和本地帐号匹配，否则可能导致终端无法通过认证，但终端又是具备自动拨号能力的设备，这可能导致BRAS设备不停接受终端发出的认证请求而消耗BRAS设备CPU资源。解决此问题的快捷办法是把域认证方式改为“不认证”。

6.4.7.

业务需求说明：

FTTH语音业务

FTTH语音是城域网域内基于MPLS L3 VPN的业务。一般建议在SR上开此业务，如果一定要在BRAS上开，建议使用”DHCP+电路认证”方式对该业务进行接入。采用认证方式接入，主要是可以对用户电路进行相关授权操作，比如可以对带宽适当进行限制和QoS配置。 业务配置前提：

4. 调通网络

5. 完成3.3.1 MPLS协议配置 6. 完成3.3.2 MP-iBGP协议配置

配置思路：

6. 创建vrf，设置RD/RT等参数；

7. 进入BGP进程开启vrf的路由发布和接收；

8. 进行DOMAIN相关配置，含aaa模版、domain、sal、本地帐号、帐号绑

定到接入电路等； 9. 配置dhcp；

10. 创建VBUI，配置IP及地址池； 11. 用户电路配置

12. 开启arp-proxy，确保同网段用户之间可以相互通话。

具体配置参考：

//创建VPN

ip vrf CTVPN-FTTH rd 4809:4480001

address-family ipv4

route-target import 4809:448000100 route-target export 4809:448000100 !

router bgp 64948

address-family ipv4 vrf CTVPN-FTTH redistribute connected !

subscriber-manage

authentication-template 10

bind aaa-authen-template 2 //本地认证模板 $

authorization-template 10 bind aaa-author-template 2

sub-car-output ipv4 cir 1000 cbs 125 //将FTTH语音业务上下行都限制在1M

sub-car-input ipv4 cir 1000 cbs 125

user-priority-input inherit-from out-8021p $

domain 10

bind authentication-template 10 bind authorization-template 10 alias dmFTTH $

sal 10

default domain 10 $

local-subscriber 10 ftth domain-name dmFTTH password 123 //创建本地帐号 $

circuit-map eth-cir external-vlan 3999 internal-vlan-range 3001-3999 interface gei-0/0/0/2.3999 ftth dmFTTH 123 //电路绑定到本地帐号 !

interface vbui1100

ip vrf forwarding CTVPN-FTTH

ip address 172.24.255.1 255.255.255.0 ! dhcp

server max-user 32000 enable

server update arp

!

vbui-configuration interface vbui1100

dhcp user-detect count 3 timer 120

ip-pool pool-name vb1100-1 pool-id 1100 access-domain dmFTTH pool-type dhcp

dhcp-leasetime 7200 member 1

start-ip 172.24.255.2 end-ip 172.24.255.254 $ $ $ !

interface gei-0/0/0/2.3999 !

vcc-configuration

interface gei-0/0/0/2.3999

encapsulation ip-over-ethernet

ip dhcp-v4 authentication-type cir-map //开启电路认证接入方式 bind sal 10 $ !

//开启arp-proxy arp

interface vbui1100 proxy $

interface gei-0/0/0/2.3999 proxy

local-proxy-arp $ !

6.4.8.

需求说明： 配置思路： 具体配置参考： 1、 基本配置

VPLS业务（MPLS L2 VPN）

a) 开启MPLS L2VPN功能；

mpls l2vpn enable

b) 建立remote ldp连接；

mpls ldp instance 1

target-session 220.165.16.120

2、 创建VPLS实例并创建PW

sdu sdu1 vpls tongjiju sdu sdu1

neighbour 220.165.16.120 1

3、 配置AC电路并绑定到VPLS

vpls tongjiju

sac gei-0/0/0/12.2040 service-define ethernet

全局MPLS LDP实例建立：

mpls ldp instance 1 router-id loopback1 access-fec host-route-only target-session 220.165.16.120 interface gei-0/0/0/1 $ 要求配置后能与对端建立LDP邻居； 2、VPLS实例建立：（省略VLAN封装配置）

mpls l2vpn enable sdu sdu1 mpls l2vpn enable vpls tongjiju sdu sdu1 neighbour 220.165.16.120 1 //“1”对应于华为设备上VSI-ID值；对端设备不需配置negotiation-vc-id值；如果对端华为设备配置了： undo remote-ip pwe3在neighbour采用encapsulation raw（默认）；如果未配置，我司设备需要在neighbour配置encapsulation tagged； $ $ sac gei-0/0/0/12.2040 service-define ethernet $ $ ! ********************************************************* ME60上对应配置： vsi tongjiju static pwsignal ldp vsi-id 1 peer 61.166.48.248 （此处添加配置negotiation-vc-id 202会不通） encapsulation ethernet # # mpls ldp remote-peer 61.166.48.248 remote-ip 61.166.48.248 undo remote-ip pwe3 # 另外，如果ME60上配置MTU值，M6000上也需在VPLS实例下做相应配置。 在M6000上挂载PC测试，设备IP、网关及DNS后，以ping通DNS为准；

6.5. 用户侧链路捆绑配置

需求说明：BRAS下行接汇聚交换机或OLT，必要时需要通过链路捆绑技术扩充带宽、冗余链路能力，中兴M6000支持用户侧链路捆绑。

配置局限：当前版本，M6000只支持同一块子卡上端口的捆绑，暂不支持跨槽位、跨子卡的链路捆绑。 配置思路：

1. 创建smartgroup接口；

2. 进入LACP配置模式设置LACP相关参数； 3. 把物理接口加入到smartgroup接口并激活； 4. 根据业务类型及需要配置用户VCC。

具体配置参考：

interface smartgroup10 description <电路描述> ! lacp

interface smartgroup10

lacp mode 802.3ad //建议使用动态协议，也可以配置为静态方式 lacp load-balance per-destination //负载均衡方式 $

interface gei-0/1/0/2

smartgroup 10 mode active lacp timeout short $

interface gei-0/1/0/1

smartgroup 10 mode active lacp timeout short

$ !

后续电路配置参考前面业务配置部分在smartgroup接口配置，如： 物理接口配置

interface gei-0/0/0/3.1001 //配置用户接入电路 !

vcc-configuration //VCC的配置需要放在VLAN封装之前。 interface gei-0/0/0/3.1001

encapsulation ppp-over-ethernet //定义接入封装类型

pppox template 1 //绑定pppox模版 bind sal 1 $ !

vlan-configuration

interface gei-0/0/0/3.1001

qinq rang internal-vlanid 1000-1999 external-vlanid 1001 //内层vlan1000-1999，外层1001 $ !

对应捆绑链路配置如下：

interface smartgroup10.1001 //配置用户接入电路 !

vcc-configuration //VCC的配置需要放在VLAN封装之前。 interface smartgroup10.1001

encapsulation ppp-over-ethernet //定义接入封装类型

pppox template 1 //绑定pppox模版 bind sal 1 $ !

vlan-configuration

interface smartgroup10.1001

qinq rang internal-vlanid 1000-1999 external-vlanid 1001 //内层vlan1000-1999，外层1001 $ !

6.6. 其他特殊需求配置

特殊需求配置一般指未按电信统一规范规划业务的配置要求，常见于建网初期形成的不规范问题，一般情况下不建议按此部分模式进行配置，仅用于特殊情况下的参考。

6.6.1. PPPoE宽带业务叠加IPTV业务

原PPPoE宽带使用的地址不能正常访问IPTV平台，需要重新申请一段地址。

这部分配置在原PPPoE接入数据、IPTV接入数据配置基础上添加，基本PPPoE配置请参考6.4.1节：Pppoe宽带拨号业务，基本IPTV业务配置请参考6.4.3节：IPTV业务

配置思路如下：

1. 普通拨号的电路允许iptv接入，通过修改sal的允许域配置 ; 2. 普通拨号vbui接口添加secondry网关，配置IPTV地址池； 3. 普通拨号vbui接口开启组播功能。 具体配置如下：

subscriber-manage sal 1

permit domain iptv //允许普通宽带电路接入IPTV业务 !

interface vbui1

ip address 182.244.117.1 255.255.255.0 secondary //配置IPTV业务网关 !

vbui-configuration interface vbui1

ip-pool pool-name pl2-IPTV pool-id 2

access-domain iptv //指定iptv域用户可以从此地址池获取IP地址 pppoe-dns-server 222.172.200.68

pppoe-dns-server 61.166.150.123 second member 1

start-ip 182.244.117.2 end-ip 182.244.117.254 //配置IPTV地址池 $ $ $ !

//vbui1接口开启组播功能 ip multicast-routing router pimsm

interface vbui1 pimsm $ $

router igmp

interface vbui1 $ !

完成以上配置，原接入宽带拨号用户的电路就可以接入IPTV业务了，机顶盒用iptv@iptv帐号进行拨号，拨号后能接入到iptv域，获取到iptv的地址，正常访问IPTV业务。但由于接入层VLAN是普通宽带的VLAN 1000-1999，接入层的QoS将得不到保障。

现网配置实例：

6.6.2.

业务配置前提：

PPPoE宽带业务叠加静态IP专线业务

1. 调通网络

2. 完成基本PPPoE业务配置

配置思路：

1. 创建用户授权模版，需要使用授权模版进行速率限制； 2. PPPoE业务的vbui接口下剔除静态IP地址； 3. 配置用户接入电路，包括子接口、QinQ封装、接入封装类型，并和vbui

绑定。

具体配置参考：

1. 创建用户授权模版，需要使用授权模版进行速率限制；

subscriber-manage

authorization-template 1004

description Author-template_for_4M sub-car-output ipv4 cir 4000 cbs 500 sub-car-input ipv4 cir 4000 cbs 500

user-priority-input inherit-from out-8021p //从用户接入QinQ外层VLAN 802.1p中继承优先级，并会传递到上行口出口封装的对应标记中，包括EXP、IPP等。

$

authorization-template 1008

description Author-template_for_8M sub-car-output ipv4 cir 8000 cbs 1000 sub-car-input ipv4 cir 8000 cbs 1000

user-priority-input inherit-from out-8021p //从用户接入QinQ外层VLAN 802.1p中继承优先级，并会传递到上行口出口封装的对应标记中，包括EXP、IPP等。 $

authorization-template 1010

description Author-template_for_10M sub-car-output ipv4 cir 10000 cbs 1250 sub-car-input ipv4 cir 10000 cbs 1250

user-priority-input inherit-from out-8021p //从用户接入QinQ外层VLAN 802.1p中继承优先级，并会传递到上行口出口封装的对应标记中，包括EXP、IPP等。

$

authorization-template 1020

description Author-template_for_20M sub-car-output ipv4 cir 20000 cbs 2500 sub-car-input ipv4 cir 20000 cbs 2500

user-priority-input inherit-from out-8021p //从用户接入QinQ外层VLAN 802.1p中继承优先级，并会传递到上行口出口封装的对应标记中，包括EXP、IPP等。

$

authorization-template 1030

description Author-template_for_30M sub-car-output ipv4 cir 30000 cbs 3750 sub-car-input ipv4 cir 30000 cbs 3750

user-priority-input inherit-from out-8021p //从用户接入QinQ外层VLAN 802.1p中继承优先级，并会传递到上行口出口封装的对应标记中，包括EXP、IPP等。

$

iphost online-detect //静态IP用户缺省情况下不检测用户在线状态，一般不建议开启

速率模版中cir和cbs的换算关系是cbs=cir/8*rrd，其中：

2) rrd是与网络延迟相关的参数，一般取1~1.5，这里取rrd=1。 3) 这条命令中cir的单位是kbps，cbs的单位是kbyte，其他命令中cbs可能是byte，配置时请注意

2. PPPoE业务的vbui接口下剔除静态IP地址；

vbui-configuration //进入vbui配置模式 interface vbui1

ip-pool pool-name pool1-PPPoE pool-id 1 //配置地址池 member 1

static-ip 182.244.76.253 182.244.76.254 //将IP指定为静态IP $ $ $ !

vbui-configuration interface vbui1

ip-host 182.244.76.253 182.244.76.254 gei-0/0/0/2.100 vlan 100 author-temp-no 1010 //配置IP-HOST，限速10M $ !

3. 配置用户接入电路，包括子接口、QinQ封装、接入封装类型，并和vbui绑定。 interface gei-0/0/0/2.100 !

vcc-configuration

interface gei-0/0/0/2.100

encapsulation ip-over-ethernet $ !

vlan-configuration

interface gei-0/0/0/2.100 encapsulation-dot1q 100 ! 附：

使用PC测试IPTV组播业务方法

XP系统默认使用IGMP v3协议发送组播加入请求，通过修改注册表可以使用IGMPv2发送组播加入请求。

修改Windows系统注册表，使能发送IGMP v2报文。

应用此修补程序后，您必须配置以下的 Windows 注册表项，以启用 IGMP 支持所需的版本。这些步骤，然后退出注册表编辑器：

1. 单击 开始、 单击 运行，键入 regedit，然后单击 确定。 2. 找到并单击下面的项在注册表中：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

3. 在 编辑 菜单上指向 新建，然后单击 DWORD 值。 4. 键入 IGMPVersion，然后按 ENTER 键。 5. 在 编辑 菜单上单击 修改。 6. 键入 3，然后单击 确定。 IGMPVersion

注册表项采用下列值：

值 IGMP 版本支持

2

1

3 2

4 3 （默认值）

本文来源：https://www.bwwdw.com/article/7rfr.html