发布时间 : 星期六 文章电信M新编BRAS开局配置模版及常见业务配置指导更新完毕开始阅读6c655a4dd1d233d4b14e852458fb770bf68a3be7
!
Radius可用性验证:
如果设备的loopback加入了Radius中,采用下面错误的帐号能返回“reject”信息,如提示“unreachable”loopback还未加入Radius,或未生效。 Radius通信异常 authentication-group1testtestchap Pingradiusauthentication-group1withtestat17:58:27! Pingserver1at17:58:27! Pingserver2at17:58:27! .... ! ! Radius可用 authentication-group1testestchap Pingradiusauthentication-group1withtesat17:59:46! Pingserver1at17:59:46! Pingserver2at17:59:46! Replyfromserver2rejectat17:59:46! Replyfromserver1rejectat17:59:46! AAA全局认证、授权、计费基本模版创建
aaa-authentication-template1 . Domain和VCC绑定,通过vcc配置中电路和Sal绑定。 vcc-configuration interfacegei-0/1/0/
encapsulationppp-over-ethernet pppoxtemplate1 bindsal1 $
注:Domain<---->VBUI<---->VCC,所以各模块之间的绑定配置在两个版本之间有较大差异。
Pppoe宽带拨号业务 业务需求说明:
用户以PPPoE方式拨号接入,Radius认证,终结QinQ
业务配置前提:
1. 调通网络
2. 完成基本数据配置
3. 完成全局认证、授权、计费基本配置
配置思路如下:
1. 创建PPPoX模版pppox-cfg1?;
2. 创建用户AAA认证、授权、计费模版; 3. 创建用户域domain1?; 4. 创建域绑定句柄sal1;
5. 创建用户3层逻辑接口vbui1及地址池;
6. 配置用户接入电路,包括子接口、QinQ封装、接入封装类型,并和vbui1及pppox模版绑定。 具体配置如下: subscriber-manage //进入用户配置模式
pppox-cfg1 //创建pppox模版 pppkeepalivetimer60count3 //设置ppp会话保活时间参数 $
authentication-template1 //创建用户认证模版、授权模版、计费模版 bindaaa-authen-template1 $
authorization-template1 bindaaa-author-template1
pppurl-modeportal//此配置用于开启PPPoE用户页面推送功能,推送URL由Radius下发 user-priority-inputinherit-fromout-8021p//从用户接入QinQ外层中继承优先级,并会传递到上行口出口封装的对应标记中,包括EXP、IPP等。
$
accounting-template1
bindaaa-accounting-template1 $
domain1 //创建用户域 bindauthentication-template1 bindauthorization-template1 bindaccounting-template1 aliasdmPPPoE //设置域名
$ sal1 //创建域绑定句柄2 defaultdomaindmPPPoE $
interfacevbui1 //创建3层逻辑接口 ipaddress0 !
vbui-configuration //进入vbui配置模式 interfacevbui1
ip-poolpool-namepool1-PPPoEpool-id1 //配置地址池
access-domaindmPPPoE//配置access-domain后用户才能获取到IP地址 pppoe-dns-server
pppoe-dns-serversecond member1
start-ip2end-ip254 $ $ $ !
interfacegei-0/0/0/ //配置用户接入电路 !
vcc-configuration //VCC的配置需要放在VLAN封装之前。 interfacegei-0/0/0/
encapsulationppp-over-ethernet //定义接入封装类型
pppoxtemplate1 //绑定pppox模版 bindsal1//绑定缺省域 $ !
vlan-configuration interfacegei-0/0/0/
qinqranginternal-vlanid1000-1999external-vlanid1001 //内层vlan1000-1999,外层1001 $ !
VPDN业务(含绿网业务) 业务需求说明:
VPDN用户通过PPPoE方式接入,拨号帐号含域名格式为“username@domain”,BRAS将用户认证信息送给Radius,Radius核对帐号合法性并根据账户属性下发LNS设备IP和隧道密码,BRAS根据下发的信息和LNS建立L2TP隧道,隧道建立成功后BRAS中继ppp会话信息,用户和LNS开始PPP的LCP/AUTH/NCP协商,用户和LNS之间建立PPP会话后完成接入。 此业务一般叠加于普通PPPoE业务。 业务配置前提:
1. 完成普通配置 配置思路:
2
当拨号帐号带域名时,系统根据域名自动查询到对应的domian;如果帐号不带域名,根据绑定的sal接入对应的域。
1. 全局开启vpdn功能,配置相关参数;
2. 配置单独认证模版,上送Radius认证信息需要携带“@域名”; 3. 创建domain?;
4. 修改普通PPPoE的接入sal,允许vpdn接入,同时配置保持域名参数。 5. 创建VPDNgroup,绑定domain?; 具体配置如下: vpdn enable
nocheck-hostname-avp //中兴设备缺省会检测远程主机名和本地配置的remotehost是否一致,但在电信的VPDN业务模型中,此功能需要关闭,否则无法建立L2TP隧道。 !
subscriber-manage
authentication-template3 bindaaa-authen-template3 $
authorization-template3 bindaaa-author-template3
user-priority-inputinherit-fromout-8021p//从用户接入QinQ外层中继承优先级,并会传递到上行口出口封装的对应标记中,包括EXP、IPP等。
l2tptunnel-client-endpointip2//指定隧道源地址使用loopback地址
$
accounting-template3
bindaaa-accounting-template3
$
domain3
bindauthentication-template3 bindauthorization-template3 bindaccounting-template3 aliasdmVPDN $ sal1
defaultdomaindmPPPoE permitdomaindmVPDN permitdomaindmPPPoE
nonedomaindmVPDNkeep//如果接入帐号所带域名在本地查不到,就放入dmVPDN中接入,且保持原始帐号域名上送给Radius。
$ !
vpdn-groupvgVPDN1 domaindmVPDN
l2tptunnelauthentication source-ip-addr !
特殊说明:
对于大量突发性拨号接入的VPDN业务,建议单独为其建立vpdn-group,因为这种突发性拨号会在设备上形成较长的处理队列,处理队列过长会使session长期处于wait-reply状态而无法建立L2TP链接影响业务。
云南电信现网中可能存在E8-2猫的管理连接以VPDN方式接入的情况,如果BAS上行网络意外中断将导致下挂所有E8-2猫的接入L2TP会话中断,所有E8-2猫将同时进入重建管理连接的拨号过程,形成较长的VPDN拨号队列。为不影响其他VPDN业务,需要单独为E8-2猫建立vpdn-group,具体配置如下:
vpdn-groupitms domainitms
l2tptunnelauthentication
max-session-per-tunnel50//每个隧道可容纳50个会话,当会话超出后会为新会话建立新隧道。 source-ip-addr
!
下面是隧道建立情况,和edatahome_se800建立的即为E8-2管理通道。
showvpdntunnelbrief L2TPTunnelInfomation[Totaltunnels:33][Totalsessions:519] ======================================================== LTIDRTIDRemoteNameStateRemoteAddrRemotePortSessions 139394njshebaoEST17016 42RA12-MR01EST17019 38847EST17013 6KM33R7206-Ticai-LNS2EST17014 6IC-Data-Route1EST17011 79BBMS_SE800EST17014 240635nEST17016 68edatahome_se800EST170150 75edatahome_se800EST170150 84edatahome_se800EST170150 30edatahome_se800EST170150 02edatahome_se800EST170124 IPTV业务
业务需求说明:
IPTV机顶盒使用本地iptv@iptv/iptv3360612帐号采用PPPoE方式接入,内层vlan2000-2999,外层vlan2001。通过网络访问白名单限制iptv只能访问IPTV业务平台。
业务配置前提:
1. 调通网络
2. 完成基本数据配置
3. 完成全局认证、授权、计费基本配置 4. 完成组播协议基本配置
配置思路:
1. 开启用户侧IGMP功能;
2. 创建用于IPTV业务的AAA认证、授权、计费模版; 3. 创建网络访问白名单;
4. 创建IPTV用户域domain2?;
5. 创建域绑定句柄sal2(可选);
6. 创建IPTV用户3层逻辑接口vbui3及地址池,开启接口下的IGMP功能;
7. 配置用户接入电路,包括子接口、QinQ封装、接入封装类型,并和vbui3及pppox模版绑定。 具体配置如下:
ipv4-access-listACL_IPTV_permission //白名单地址段,其中组播地址断根据地市修改,IPTV平台业务段也需要加入。
rule20permitipany//本地市的组播频道地址 rule30permitipany rule40permitipany rule50permitipany rule60permitipany rule70permitipany rule80permitipany rule90permitipany rule100permitipany rule110permitipany //地市本地IPTV业务平台地址 rule130permitipany rule140permitipany