7750BRAS业务开局手册.docx

一、 7750BRAS业务开局手册 1. PPPOE拓扑 通常将7750部署在城域网边缘，上联至城域网汇聚/核心路由器，下联通过二层汇聚网或直挂接入层DSLAM/PON设备，运营商典型的组网图如下； 2. 详细的工作列表 分类 工作项 工作列表 准备工作 获取radius参数 authentication server IP地址 authentication server 通讯端口 authertication server 通讯密匙 accounting server IP地址 accounting server 通讯端口 accounting server 通讯密匙 DNS参数 DNS服务器地址 radius返回7750私有属性需求 subscriber ID sub-profile-string sla-profile-string MSAP-serv-id MSAP-profile-string MSAP-interface DHCP server需求 dhcp server地址，一般使用system接口 IP pool地址 配置工作 DHCP配置 IP pool配置 将DHCP server绑定到system接口 策略配置 Authenticaton policy Radius accounting policy Sub-ident-policy Sub-profile Sla-profile PPPOE policy MSAP policy Local-user-db 接口配置 配置物理接口 配置VPLS 配置IES业务并创建对应interface 绑定IP pool 绑定相关策略 接入internet 针对地址池创建黑洞路由 创建策略，并export到BGP 1) IP地址池配置 IP地址池(ip pool)通常配置在BAS本地，认证通过后BAS从IP地址池中选择一个IP地址分配给终端用户，并且生成一条32位掩码的路由，所以在此之前，在BAS必须将IP地址池所在的网段宣告出去，以便终端用户得到IP地址后能够正常通讯。 7750本身可以作为DHCP sever，IP地址池是通过DHCP server部分配置配置的，地址池本身没有区分终端属于PPPOE业务还是DHCP业务，终端用户的类型在业务接口配置中指定。实际上，在同一业务接口中，7750可以同时支持PPPOE用户和DHCP用户。 Dhcp server需要配置地址pool，subnet，DNS等参数，并且与system接口相关联，每一个dhcp server可以配置多个pool，每个pool可以配置多个subnet。 配置如下 A:#configure router dhcp A:config>router>dhcp#info local-dhcp-server "server1" create 创建本地DHCP服务器 use-gi-address 基于DHCP request中的gi地址决定用户分配地址 user-db "pppoe" force-renews IP地址租期到期后更新 pool "pool1" create options lease-time days 1 配置DHCP租约时间 dns-server 211.138.200.69 211.136.20.203 指定DNS exit subnet 10.1.1.0/24 create 在地址池里定义1个网段 address-range 10.1.1.2 10.1.1.254 指定可分配的地址范围 exit exit no shutdown exit A:config>router# info interface "system" address 20.1.1.1/32 为本地DHCP服务器指定在SYSTEM接口 local-dhcp-server "server1" 增加本地DHCP服务器的名字 exit 2) 策略配置 策略配置是7750实现PPPOE功能的核心配置，所有的策略都配置在BAS本地，供用户接入时系统调用，触发来源是后台系统或者BRAS本身。7750常用的策略有如下： authentication policy：认证策略，同时定义与radius server通讯参数。 radius accounting policy：计费策略，同时定义与radius accounting server通讯参数。 sub-ident-policy：用户识别策略， 与sla-profile，sub-profile绑定。 sub-profile：用户策略，定义H-qos和计费策略。 sla-profile: 服务级别策略，定义带宽控制策略和ACL策略。 pppoe-policy: pppoe策略，定义pppoe协议参数。 MSAP policy：multi-sap策略，定义同一物理接口下sap的共有属性 local-user-db:用户数据库策略，匹配用户的方式实现基于地址池的地址分配 7750对于subscriber的定义，一个subscriber代表在同一站点或使用同一物理线路接入的一组host，host代表终端系统，如主机，视频电话，机顶盒等。例如一个家庭用户在一条ADSL线路上同时开通了VoIP/IPTV/上网三种业务，每种业务都有独立的终端，对于7750来讲，每一个终端即为一个host，而这个家庭用户即为一个subscriber。 7750通过与后台系统配合灵活的赋予每个用户相应的策略，从而实现了PPPOE的相关功能，如限速，端口绑定等。另外，这些策略也可以同时应用与dhcp. Authentication policy 认证策略相关的参数大致可以分为两类，一类是BAS与radius server通信所需参数，包括radius server的IP地址，通信密码，udp端口号等。另一类是BAS在认证时上送的属性，以及pppoe认证的方式等。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt#authentication-policy "auth-policy-1" create A:>config>subscr-mgmt>auth-plcy#info radius-authentication-server source-address 20.1.1.1 与radius通讯源地址，一般system地址 server 2 address 211.138.200.18 secret xx 定义radius信息 exit pppoe-access-method pap-chap 终端用户认证方式 include-radius-attribute 定义BAS发送认证报文携带的属性 circuit-id remote-id nas-port-id prefix-string "hsi -" 增加前缀 nas-identifier mac-address exit 注：认证策略在service中的group-interace引用。 Radius accounting policy 计费策略配置内容与认证策略类似，相关参数也大致分为两类，一类是BAS与radius server通信所需参数，包括radius server的IP地址，通信密码，udp端口号等。另一类是BAS在计费时上送的属性等。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt# radius-accounting-policy "acc-policy-1" create A:>config>subscr-mgmt>acct-plcy#info update-interval 10 定义更新时间为10分钟 include-radius-attribute 指定accounting报文携带的属性 framed-ip-addr framed-ip-netmask nas-port-id prefix-string "hsi -" nas-identifier user-name exit session-id-format number 定义session-id的格式 use-std-acct-attributes 使用标准属性上送计费信息 radius-accounting-server source-address 20.1.1.1 定义与radius通讯的源地址，一般system地址 server 2 address 211.138.200.18 secret xx 定义radius信息 exit 注：计费策略由Sub-profile调用 Sub-ident-policy 用户识别策略与sla-profile，sub-profile关联绑定，定义了用户的带宽，计费策略。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt# sub-ident-policy "sub-ident-local" create A:>config>subscr-mgmt>sub-ident-pol#info sub-profile-map 定义从radius返回的sub-profile-string与本地模板对应关系 use-direct-map-as-default 直接映射本地profile模板方式 exit sla-profile-map 定义从radius返回的sub-profile-string与本地模板对应关系 use-direct-map-as-default 直接映射本地profile模板方式 exit 注：sub-ident-profile策略在msap-policy中调用 Sub-profile sub-profile主要定义两项内容，radius accounting policy和H-Qos policy，在每用户多业务的情况下，总带宽通常被限定，各个业务需要根据优先级动态调整带宽，这时会用到H-Qos policy。H-Qos policy需要预先配置，sub-profile通过名字引用。 配置如下 A:>config>subscr-mgmt#sub-profile "sub-pppoe-10M" create A:>config>subscr-mgmt>sub-prof#radius-accounting-policy "acc-policy-1" 引用前面定义的计费策略模板 注：调用sub-profile通过radius返回同名的subscriber-prof-string完成。 国内PPPOE业务大都每用户一个session，运营商基于session进行带宽限制，在这种情况下，H-Qos policy不用配置，radius服务器仅需返回固定字符串以便调用计费策略即可，session的带宽限制通过调用sla-profile完成。 Sla-profile sla-profile主要定义两项内容，qos policy和ACL，sla-profile分为上行/下行两个方向分别引用sap-ingress/sap-egress qos policy和ACL。在配置过程中首先定义好QOS模板，然后在sla-profile的配置中调用模板。 配置如下 A:# configure qos A:>config>qos# info sap-ingress 10000 create PPPoE用户上行流量10M模板 queue 1 create rate 10000 cir 10000 exit queue 11 multipoint create exit exit sap-egress 10000 create PPPoE用户下行流量10M模板 queue 1 create rate 10000 cir 10000 exit exit A:#configure subscriber-mgmt A:>config>subscr-mgmt#sla-profile "sla-pppoe-10M" create A:>config>subscr-mgmt>sla-prof# ingress qos 10000 shared-queuing 调用用户上行流量QOS模板，并使用共享Q exit exit egress qos 10000 调用用户下行流量QOS exit exit 注：调用sla-profile通过radius返回同名sla-prof-string完成。 PPPOE-profile pppoe-profile定义与pppoe协议相关的参数。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt#pppoe-policy "pppoe-policy-1" create A:>config>subscr-mgmt>pppoe-policy#ppp-authentication pap 指定认证方式 注：pppoe-profle在service下面的group-interace引用。 MSAP-policy Msap-policy为简化配置而设置，策略的目的是为同一物理端口下的多sap提供统一的策略模板。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt#msap-policy "msap-pppoe" create A:>config>subscr-mgmt>msap-policy#info sub-sla-mgmt def-sub-profile "sub-pppoe-10M" 默认的sub-profile def-sla-profile "sla-pppoe-10M" 默认的sla-profile sub-ident-policy "sub-ident-local" 调用sub-ident-policy multi-sub-sap limit 20000 支持的SAP数量 single-sub-parameters profiled-traffic-only 仅通过业务流量 no shutdown exit 注: 默认的sub-profile和sla-profile是在radius返回的string中无法匹配预设置的模板时调用。sub-sla-mgmt必须进行no shutdown操作。 local-user-db local-user-db策略是为某一组用户实现通过基于pool分配地址，目前将所有用户分到统一的default组。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt# local-user-db "pppoe" create A:>config>subscr-mgmt> local-user-db #info pppoe match-list mac 匹配用户上线的MAC地址 host "default" create 将所有用户都归到default组 address pool "hsi-1" 从地址池his-1中分配地址 no shutdown exit exit no shutdown exit 3) 业务接口配置 在IP地址池，策略配置完成后，使用MSAP方式开通业务。两部分工作：在IES业务创建业务接口，使用subscriber-interface来调用模板中预先定义的策略，使用VPLS配捕获PPPOE报文的port，从而开启PPPOE业务。 配置如下 A:# configure service A:>config>service#info vpls 1105 customer 20 create 为PON所在接口创建VPLS stp shutdown exit sap 1/1/5:* capture-sap create 接受本端口所有Q-tag，并捕获PPPoE报文 default-msap-policy "msap-pppoe" 调用MSAP-policy模板 trigger-packet pppoe 配置何种业务触发端口 pppoe-policy "pppoe-policy-1" 调用PPPOE-policy模板 authentication-policy "auth-policy-1" 调用验证策略模板 exit no shutdown exit ies 3000 customer 10 create subscriber-interface "pppoe" create address 10.1.1.1/24 指定subscriber-interface网关 dhcp gi-address 10.1.1.1 使用GI地址来获取IP pool exit group-interface "hsi – 1/1/5" create 要和radius返回msap-interface一致 arp-populate dhcp server 20.1.1.1 指定本接口使用的DHCP server trusted 保证在dhcp-request中携带gi地址 client-applications pppoe 指定使用DHCP用户业务类型 no shutdown exit authentication-policy "auth-policy-1" 调用预设置的验证模板 pppoe pppoe-policy "pppoe-policy-1" 调用预设置的PPPoE模板 session-limit 32767 session数量限制开到最大 sap-session-limit 32767 session数量限制开到最大 no shutdown exit exit exit no shutdown exit 注：IES中group-interface名称和VPLS靠radius返回的msap-interface值来关联，而该值为7750送给radius的NAS-PORT-ID字段中截取的，radius截取的规则是Q-tag前面的字段，即NAS-PORT-ID的前缀加上port号。 1. 用户地址段的发布 通过策略将PPPoE用户路由通告出去，保证用户上网正常 配置如下 A:#config router A:>config>router#static-route 10.0.0.0/24 black-hole preference 240 A:>config>router#policy-options A:>config>router> policy-options# info begin 开始编辑策略 prefix-list "ies2bgp" 创建前缀列表策略，将用户路由放入列表中 prefix 10.1.1.0/24 exact exit policy-statement "ies2bgp" 创建策略 entry 10 from prefix-list "ies2bgp" exit to protocol bgp exit action accept next-hop-self exit exit default-action reject exit commit 结束策略编辑 exit 在BGP路由协议中使用export命令将编辑的策略进行应用 A:>config>router#bgp group "PgRR_L2" export "ies2bgp" l 注意事项 1、终端如果不能上网，检查终端的验证方式，拨号终端用PAP验证。 2、检查IP pool 的地址占用情况 show router dhcp local-dhcp-server server1 summary 3、常用show 命令 show service active-subscribers summary show service active-subscribers detail show service id 3000 pppoe session detail show service id 3000 subscriber-hosts 二、 配置模板 1. 基本配置 1) 上连接口 interface "to-changsha-radius" address 58.20.230.92/26 port 1/1/1 exit static-route 0.0.0.0/0 next-hop 58.20.230.65 interface "system" address 10.10.10.1/32 exit 2) DHCP地址池 ===================================dhcp模板 router interface "dhcp" address 10.10.10.2/32 loopback local-dhcp-server "xiangtan-dhcp" exit dhcp local-dhcp-server "xiangtan-dhcp" create use-gi-address pool "pool-1" create options dns-server 58.20.127.170 exit subnet 110.52.127.128/25 create address-range 110.52.127.130 110.52.127.150 exit exit no shutdown exit exit exit 3) 认证模板 a) radius模板 subscriber-mgmt authentication-policy "changsha-radius" create description "radius-policy" radius-authentication-server source-address 58.20.230.92 server 1 address 119.39.227.35 secret "itellin" hash2 port 1812 exit pppoe-access-method pap-chap include-radius-attribute circuit-id remote-id nas-port-id nas-identifier pppoe-service-name access-loop-options exit exit b) accounting模板 subscriber-mgmt radius-accounting-policy "changsha-account" create update-interval 10 include-radius-attribute framed-ip-addr framed-ip-netmask subscriber-id circuit-id remote-id nas-port-id nas-identifier sub-profile sla-profile exit use-std-acct-attributes radius-accounting-server timeout 10 source-address 58.20.230.92 server 1 address 119.39.227.35 secret itellin port 1813 exit exit c) sla模板 configure qos sap-ingress 1000 create queue 1 create rate 1000 cir 1000 exit exit sap-ingress 2000 create queue 1 create rate 2000 cir 2000 exit exit sap-egress 1000 create queue 1 create rate 1000 cir 1000 exit exit sap-egress 2000 create queue 1 create rate 2000 cir 2000 exit exit sla-profile "sla-prof-1M" create ingress qos 1000 exit exit egress qos 1000 exit exit exit sla-profile "sla-prof-4M" create ingress qos 2000 exit exit egress qos 2000 exit exit exit d) sub模板 sub-profile "data" create radius-accounting-policy "changsha-account" exit e) ident模板 sub-ident-policy "sub-ident-local" create sub-profile-map entry key "Data" sub-profile "data" exit sla-profile-map entry key "sla-prof-1M" sla-profile "sla-prof-1M" entry key "sla-prof-4M" sla-profile "sla-prof-4M" exit exit pppoe-policy "xiangtan-test" create