IP网络设备配置规范书-BRAS分册（201004修订征求意见）(7)

`

key cisco radius accounting server 202.103.194.219 max-sessions 2000 key cisco radius update-source-addr loopback0 5．配置认证计费方式。 aaa accounting interval 15 //配置每隔15分钟上传计费报文 6．配置WLAN VR的缺省路由。 ip route 0.0.0.0 0.0.0.0 116.252.**.** 7．配置拨号模板。 nas-port-type 802.11为将上传数据字段更改为集团公司规定的19。 aaa profile pppoe-wlan nas-port-type atm 19 nas-port-type ethernet 19 profile \ ip unnumbered loopback 1 ip sa-validate ip ignore-df-bit ip policy secondary-input \ ppp authentication pap ppp aaa-profile \8．配置GE子接口用于WLAN VR与互联网的互联。 interface gigabitEthernet 13/0/0.60 ip description TO XXXX //加端口描述 vlan id 60 //子接口vlan为60 ip address 116.252.**.** 255.255.255.252 9．配置SDX/SEA服务器相关数据。 sscc enable cops-pr sscc transportRouter WLAN sscc sourceInterface loopback0 //采用上面配置好的loopback0的地址作为SSCC client的源地址 sscc primary address 124.227.15.9 port 3288 sscc secondary address 124.227.15.10 port 3288 sscc retryTimer 10 //在配置完上面六条命令后，用sh sscc info查看sscc是否已经连接。确认连接建好了，再配置DHCP（第10步）相关内容.。若sscc连接未建好，就不配置DHCP内容，联系NOC或者Juniper进行检查。另外, 请各ERX/E320管理员在配置了SDX后，告知NOC在后台添加相应配置。 使用GRE Tunnel方式与SDX/SEA服务器相连。 配置GE子接口用于通过GRE Tunnle与SDX服务器的重定向“一跳可达”，配置私网地址 1) 首先使用命令: Show tunnel-server config `

根据输出确定tunnel-server所使用的所有端口, 例如13/2/0, 15/2/0

2) 配置启用tunnel-server功能, 建议打开所有端口, 以实现冗余备份 tunnel-server 13/2/0

max-interfaces all-available !

tunnel-server 15/2/0

max-interfaces all-available

3) 配置到重定向服务器所使用的接口

interface tunnel gre:Toredirector1 transport-virtual-router WLAN tunnel source 222.217.**.**

//222.217.**.**即为loopback0的地址 tunnel destination 124.227.15.2 tunnel mtu 1480 tunnel checksum

ip description Tunnel To_HuaWei_Firewall-1 ip address 192.168.107.6 255.255.255.252 //192.168.107.6为第一条tunnle的接口地址

interface tunnel gre:Toredirector2 transport-virtual-router WLAN tunnel source 222.217.**.**

//222.217.**.**即为loopback0的地址 tunnel destination 124.227.15.6 tunnel mtu 1480 tunnel checksum

ip description Tunnel To_HuaWei_Firewall-2 ip address 192.168.207.6 255.255.255.252 //192.168.207.6为第二条tunnle的接口地址 !

请各ERX1440/E320管理员在创建Gre Tunnle时，将本ERX/E320互联网接口地址和自己选定（或由NOC指定）的gre tunnle私网地址告知NOC，由NOC在SDX端的防火墙上添加终结Gre tunnle的配置。

rtr 100

type echo protocol ipIcmpEcho 192.168.107.5 source TUNNEL gre:Toredirector1 receive-interface TUNNEL gre:Toredirector1 frequency 1 rtr 200

type echo protocol ipIcmpEcho 192.168.207.5 source TUNNEL gre:Toredirector2 receive-interface TUNNEL gre:Toredirector2 frequency 1 !

rtr reaction-configuration 100 action-type trapOnly

`

rtr reaction-configuration 200 action-type trapOnly rtr reaction-configuration 100 test-failure 3 rtr reaction-configuration 200 test-failure 3 rtr reaction-configuration 100 test-completion rtr reaction-configuration 200 test-completion rtr schedule 100 life 3 rtr schedule 200 life 3 rtr schedule 100 start-time now rtr schedule 200 start-time now rtr schedule 100 restart-time 1 rtr schedule 200 restart-time 1 路由配置，该主机路由为到重定向的路由。 ip route 192.168.0.0 255.255.0.0 null0 ip route 192.168.254.1 255.255.255.255 192.168.107.5 rtr 100 ip route 192.168.254.1 255.255.255.255 192.168.207.5 rtr 200 10．配置DHCP用户IP地址池。 //可以使用loopback1

或使用BRAS中原普通用户地址池。此为wlan用户的dhcp地址池，dhcp的地址池的首地址一般作为default-router。把作为default-router的dhcp的地址池的首地址排除，不让用户获取此地址。

ip local pool pppoe-wlan ip local pool pppoe-wlan 116.252.**.** 116.252.**.** ! Interface loopback1 ip address 116.252.**.** 255.255.255.255 //loopback1是DHCP的unnumber地址，拿DHCP地址池的第一个地址来做 service dhcp-local equal-access ip dhcp-local pool WLAN network 116.252.**.** 255.255.255.0 dns-server 202.103.224.68 202.103.225.68 default-router 116.252.**.** lease 0 0 2 server-address 116.252.**.** ip dhcp-local excluded-address 116.252.**.** 11配置业务测试子接口。 interface gigabitEthernet */*/*.3400 vlan id 3400 ip description WLAN-liuzhou-starbuck //ip description是WLAN用户获得服务的必要条件，其格式为WLAN-city-site，WLAN要大写 ip unnumber loopback1 ip auto-configure ip-subscriber exclude-primary pppoe pppoe sessions 10 pppoe auto-configure `

pppoe profile any \ //WLAN业务没必要做QinQ

3、中兴设备

ip dhcp enable //使能dhcp

radius authentication-group 1 server 1 X.X.X.X key XXX port 1812 //配置radius认证服务器，端口缺省为1812 nas-port-id-format chinatel-wlan //配置nas-port-id格式 radius accounting-group 1 server 1 X.X.X.X key XXX port 1813 //配置radius计费服务器，端口缺省为1813 nas-port-id-format chinatel-wlan //配置nas-port-id格式 bras

node-ip X.X.X.X //配置node-ip为机架的loopback地址 special-acl X

permit X.X.X.X //允许DHCP用户认证前可以访问Web服务器地址

domain X accounting-group X //引用计费组 accounting-type radius //采用radius计费 authentication-group X //引用认证组 authentication-type radius //采用radius认证 alias zte.com //配置域名

interface vbuiX ip address X.X.X.X X.X.X.X

ip dhcp mode server //配置DHCP工作模式 ip dhcp server gateway X.X.X.X //配置网关

special-acl 1 //引用special-acl web authentication subscriber web force //配置web强推 web server 202.92.38.180 port 1814 //配置web服务器地址，端口缺省为1814 url http://202.92.38.180 //配置强推出的认证页面地址 $

ip pool XXX X.X.X.X X.X.X.X dhcp-slot X priority X unlock //配置DHCP地址池

interface gei_X/X. X bras dot1Q XX //配置单层VLAN qinq XX second-dot1q XX //配置双层VLAN

access-type ethernet encapsulation dot1q ip-over-ethernet //配置封装方式 bind vbui vbuiX maximum 16000 //绑定用户接口

`

interface gei_X/X. ip address X.X.X.X X.X.X.X //配置连接网络侧的接口地址 第5节 二层VPN

5.1 L2TP

■ 配置内容：

配置VPDN认证Raidus组 配置二层VPN认证域； 配置VPDN L2TP组 ■ 规范要求：

1、二层VPN的认证首选通过rdiaus下发L2TP参数

2、VPDN域名设置，按照“VPN实例命名规则（附件三）”来执行 3、VPDN 隧道建立源IP 首选使用设备loopback0端口。

4、juniper设备的VPDN数据默认不需要配置，但是在开启伪认证时候需要批量倒入用户数据，在关闭伪认证时，删除数据。 ■ 配置示例： 1、华为设备

radius-server group XXX //配置radius radius-server authentication X.X.X.X XXXX radius-server accounting X.X.X.X XXXX radius-server shared-key XXX #

interface GigabitEtherneX/X/X.XX //配置子接口 pppoe-server bind Virtual-Template 1 user-vlan X qinq Y bas

access-type layer2-subscriber #

l2tp-group XXX //配置L2TP组

tunnel password simple quidway1 //配置TUNNEL密码 tunnel name XXX //配置TUNNEL名称 start l2tp ip X.X.X.X //配置发起会话的LNS地址

tunnel source LoopBack0 //TUNNEL使用设备loopback0端口 # aaa

domain domain1

authentication-scheme default0 accounting-scheme default0 radius-server group XXX

l2tp-group XXX //域下绑定相关L2TP组