7750BRAS业务开局手册.docx

1、 一、 7750BRAS业务开局手册 1. PPPOE拓扑 通常将7750部署在城域网边缘，上联至城域网汇聚/核心路由器，下联通过二层汇聚网或直挂接入层DSLAM/PON设备，运营商典型的组网图如下； 2. 详细的工作列表 分类 工作项 工作列表 准备工作 获取radius参数 authentication server IP地址 authentication server 通讯端口 authertication server 通讯密匙 accounting server IP地址 accounting server 通讯端口 accounting ser

2、ver 通讯密匙 DNS参数 DNS服务器地址 radius返回7750私有属性需求 subscriber ID sub-profile-string sla-profile-string MSAP-serv-id MSAP-profile-string MSAP-interface DHCP server需求 dhcp server地址，一般使用system接口 IP pool地址 配置工作 DHCP配置 IP pool配置 将DHCP server绑定到system接口 策略配置 Authenticaton policy Radius accounti

3、ng policy Sub-ident-policy Sub-profile Sla-profile PPPOE policy MSAP policy Local-user-db 接口配置 配置物理接口 配置VPLS 配置IES业务并创建对应interface 绑定IP pool 绑定相关策略 接入internet 针对地址池创建黑洞路由 创建策略，并export到BGP 1) IP地址池配置 IP地址池(ip pool)通常配置在BAS本地，认证通过后BAS从IP地址池中选择一个IP地址分配给终端用户，并且生成一条32位掩码的路由，所以在此之前，在BAS必须

4、将IP地址池所在的网段宣告出去，以便终端用户得到IP地址后能够正常通讯。 7750本身可以作为DHCP sever，IP地址池是通过DHCP server部分配置配置的，地址池本身没有区分终端属于PPPOE业务还是DHCP业务，终端用户的类型在业务接口配置中指定。实际上，在同一业务接口中，7750可以同时支持PPPOE用户和DHCP用户。 Dhcp server需要配置地址pool，subnet，DNS等参数，并且与system接口相关联，每一个dhcp server可以配置多个pool，每个pool可以配置多个subnet。 配置如下 A:#configure router dh

5、cp A:config>router>dhcp#info local-dhcp-server "server1" create 创建本地DHCP服务器 use-gi-address 基于DHCP request中的gi地址决定用户分配地址 user-db "pppoe" force-renews IP地址租期到期后更新 pool "pool1" create options lea

6、se-time days 1 配置DHCP租约时间 dns-server 211.138.200.69 211.136.20.203 指定DNS exit subnet 10.1.1.0/24 create 在地址池里定义1个网段 address-range 10.1.1.2 10.1.1.254 指定可分配的地址范围 exit exi

7、t no shutdown exit A:config>router# info interface "system" address 20.1.1.1/32 为本地DHCP服务器指定在SYSTEM接口 local-dhcp-server "server1" 增加本地DHCP服务器的名字 exit 2) 策略配置 策略配置是7750实现PPPOE功能的核心配置，所有的策略都配置在BAS本地，供用户接入时系统调用，触发来源是后台系统或者BRAS本身。7750常用的

8、策略有如下： authentication policy：认证策略，同时定义与radius server通讯参数。 radius accounting policy：计费策略，同时定义与radius accounting server通讯参数。 sub-ident-policy：用户识别策略， 与sla-profile，sub-profile绑定。 sub-profile：用户策略，定义H-qos和计费策略。 sla-profile: 服务级别策略，定义带宽控制策略和ACL策略。 pppoe-policy: pppoe策略，定义pppoe协议参数。 MSAP policy：mul

9、ti-sap策略，定义同一物理接口下sap的共有属性 local-user-db:用户数据库策略，匹配用户的方式实现基于地址池的地址分配 7750对于subscriber的定义，一个subscriber代表在同一站点或使用同一物理线路接入的一组host，host代表终端系统，如主机，视频电话，机顶盒等。例如一个家庭用户在一条ADSL线路上同时开通了VoIP/IPTV/上网三种业务，每种业务都有独立的终端，对于7750来讲，每一个终端即为一个host，而这个家庭用户即为一个subscriber。 7750通过与后台系统配合灵活的赋予每个用户相应的策略，从而实现了PPPOE的相关功能，如限速

10、端口绑定等。另外，这些策略也可以同时应用与dhcp. Authentication policy 认证策略相关的参数大致可以分为两类，一类是BAS与radius server通信所需参数，包括radius server的IP地址，通信密码，udp端口号等。另一类是BAS在认证时上送的属性，以及pppoe认证的方式等。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt#authentication-policy "auth-policy-1" create A:>config>subscr-mgmt>auth-pl

11、cy#info radius-authentication-server source-address 20.1.1.1 与radius通讯源地址，一般system地址 server 2 address 211.138.200.18 secret xx 定义radius信息 exit pppoe-access-method pap-chap 终端用户认证方式 include-radius-attribute

12、 定义BAS发送认证报文携带的属性 circuit-id remote-id nas-port-id prefix-string "hsi -" 增加前缀 nas-identifier mac-address exit 注：认证策略在service中的group-interace引用。 Radius accounting policy 计费策略配置内容与认证策略类似，相关参数也大致分为两类，一类是BAS与r

13、adius server通信所需参数，包括radius server的IP地址，通信密码，udp端口号等。另一类是BAS在计费时上送的属性等。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt# radius-accounting-policy "acc-policy-1" create A:>config>subscr-mgmt>acct-plcy#info update-interval 10 定义更新时间为10分钟 includ

14、e-radius-attribute 指定accounting报文携带的属性 framed-ip-addr framed-ip-netmask nas-port-id prefix-string "hsi -" nas-identifier user-name exit session-id-format number 定义session-id的格式 use-std-acct-attribute

15、s 使用标准属性上送计费信息 radius-accounting-server source-address 20.1.1.1 定义与radius通讯的源地址，一般system地址 server 2 address 211.138.200.18 secret xx 定义radius信息 exit 注：计费策略由Sub-profile调用 Sub-ident-policy 用户识别策略与sla-profile，sub-profile关联绑定，定义

16、了用户的带宽，计费策略。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt# sub-ident-policy "sub-ident-local" create A:>config>subscr-mgmt>sub-ident-pol#info sub-profile-map 定义从radius返回的sub-profile-string与本地模板对应关系 use-direct-map-as-default 直接映射本地profile模板方式

17、 exit sla-profile-map 定义从radius返回的sub-profile-string与本地模板对应关系 use-direct-map-as-default 直接映射本地profile模板方式 exit 注：sub-ident-profile策略在msap-policy中调用 Sub-profile sub-profile主要定义两项内容，radius accounting policy和H-Qos policy，在每用户多业务的情况下，总带宽通常被限定，各个业务需要根据优先级动态调整带宽

18、这时会用到H-Qos policy。H-Qos policy需要预先配置，sub-profile通过名字引用。 配置如下 A:>config>subscr-mgmt#sub-profile "sub-pppoe-10M" create A:>config>subscr-mgmt>sub-prof#radius-accounting-policy "acc-policy-1" 引用前面定义的计费策略模板 注：调用sub-profile通过radius返回同名的subscriber-pr

19、of-string完成。 国内PPPOE业务大都每用户一个session，运营商基于session进行带宽限制，在这种情况下，H-Qos policy不用配置，radius服务器仅需返回固定字符串以便调用计费策略即可，session的带宽限制通过调用sla-profile完成。 Sla-profile sla-profile主要定义两项内容，qos policy和ACL，sla-profile分为上行/下行两个方向分别引用sap-ingress/sap-egress qos policy和ACL。在配置过程中首先定义好QOS模板，然后在sla-profile的配置中调用模板。 配置如

20、下 A:# configure qos A:>config>qos# info sap-ingress 10000 create PPPoE用户上行流量10M模板 queue 1 create rate 10000 cir 10000 exit queue 11 multipoint create exit exit sap-egress 10000 create PP

21、PoE用户下行流量10M模板 queue 1 create rate 10000 cir 10000 exit exit A:#configure subscriber-mgmt A:>config>subscr-mgmt#sla-profile "sla-pppoe-10M" create A:>config>subscr-mgmt>sla-prof# ingress qos 10000 shared-queuing 调用用户上行流量QOS模板，并使用共享Q exit

22、 exit egress qos 10000 调用用户下行流量QOS exit exit 注：调用sla-profile通过radius返回同名sla-prof-string完成。 PPPOE-profile pppoe-profile定义与pppoe协议相关的参数。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt#pppoe-policy "pppoe-policy-1" cr

23、eate A:>config>subscr-mgmt>pppoe-policy#ppp-authentication pap 指定认证方式 注：pppoe-profle在service下面的group-interace引用。 MSAP-policy Msap-policy为简化配置而设置，策略的目的是为同一物理端口下的多sap提供统一的策略模板。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt#msap-policy "msap-pppoe" create A:>config>subscr-mg

24、mt>msap-policy#info sub-sla-mgmt def-sub-profile "sub-pppoe-10M" 默认的sub-profile def-sla-profile "sla-pppoe-10M" 默认的sla-profile sub-ident-policy "sub-ident-local" 调用sub-ident-policy multi-sub-sap limi

25、t 20000 支持的SAP数量 single-sub-parameters profiled-traffic-only 仅通过业务流量 no shutdown exit 注: 默认的sub-profile和sla-profile是在radius返回的string中无法匹配预设置的模板时调用。sub-sla-mgmt必须进行no shutdown操作。 local-user-db local-user-db

26、策略是为某一组用户实现通过基于pool分配地址，目前将所有用户分到统一的default组。 配置如下 A:#configure subscriber-mgmt A:>config>subscr-mgmt# local-user-db "pppoe" create A:>config>subscr-mgmt> local-user-db #info pppoe match-list mac 匹配用户上线的MAC地址 host "default" create

27、 将所有用户都归到default组 address pool "hsi-1" 从地址池his-1中分配地址 no shutdown exit exit no shutdown exit 3) 业务接口配置 在IP地址池，策略配置完成后，使用MSAP方式开通业务。两部分工作：在IES业务创建业务接口，使用subscriber-interface来调用模板中预先定义的策略，使用VPLS配捕获PPPOE报文的p

28、ort，从而开启PPPOE业务。 配置如下 A:# configure service A:>config>service#info vpls 1105 customer 20 create 为PON所在接口创建VPLS stp shutdown exit sap 1/1/5:* capture-sap create 接受本端口所有Q-tag，并捕获PPPoE报文 default-msap-policy "msap-pppoe"

29、 调用MSAP-policy模板 trigger-packet pppoe 配置何种业务触发端口 pppoe-policy "pppoe-policy-1" 调用PPPOE-policy模板 authentication-policy "auth-policy-1" 调用验证策略模板 exit no shutdown exit ies 3000 customer

30、 10 create subscriber-interface "pppoe" create address 10.1.1.1/24 指定subscriber-interface网关 dhcp gi-address 10.1.1.1 使用GI地址来获取IP pool exit group-interface "hsi – 1/1/5" create 要和radius返回msap-interface一致

31、 arp-populate dhcp server 20.1.1.1 指定本接口使用的DHCP server trusted 保证在dhcp-request中携带gi地址 client-applications pppoe 指定使用DHCP用户业务类型 no shutdown exit

32、 authentication-policy "auth-policy-1" 调用预设置的验证模板 pppoe pppoe-policy "pppoe-policy-1" 调用预设置的PPPoE模板 session-limit 32767 session数量限制开到最大 sap-session-limit 32767 session数量限制开到最大

33、 no shutdown exit exit exit no shutdown exit 注：IES中group-interface名称和VPLS靠radius返回的msap-interface值来关联，而该值为7750送给radius的NAS-PORT-ID字段中截取的，radius截取的规则是Q-tag前面的字段，即NAS-PORT-ID的前缀加上port号。 1. 用户地址段的发布 通过策略将PPPoE用户路由通告出去，保证用户上网正常 配置如下 A:#config router A:>

34、config>router#static-route 10.0.0.0/24 black-hole preference 240 A:>config>router#policy-options A:>config>router> policy-options# info begin 开始编辑策略 prefix-list "ies2bgp" 创建前缀列表策略，将用户路由放入列表中 prefix 10.1.1.0/24 exa

35、ct exit policy-statement "ies2bgp" 创建策略 entry 10 from prefix-list "ies2bgp" exit to protocol bgp exit action accept next-hop-self exit exit default-ac

36、tion reject exit commit 结束策略编辑 exit 在BGP路由协议中使用export命令将编辑的策略进行应用 A:>config>router#bgp group "PgRR_L2" export "ies2bgp" l 注意事项 1、终端如果不能上网，检查终端的验证方式，拨号终端用PAP验证。 2、检查IP pool 的地址占用情况 show router dhcp local-dhcp-server

37、 server1 summary 3、常用show 命令 show service active-subscribers summary show service active-subscribers detail show service id 3000 pppoe session detail show service id 3000 subscriber-hosts 二、 配置模板 1. 基本配置 1) 上连接口 interface "to-changsha-radius" address 58.20.230.92/26

38、 port 1/1/1 exit static-route 0.0.0.0/0 next-hop 58.20.230.65 interface "system" address 10.10.10.1/32 exit 2) DHCP地址池 ===================================dhcp模板 router interface "dhcp" address 1

39、0.10.10.2/32 loopback local-dhcp-server "xiangtan-dhcp" exit dhcp local-dhcp-server "xiangtan-dhcp" create use-gi-address pool "pool-1" create options

40、 dns-server 58.20.127.170 exit subnet 110.52.127.128/25 create address-range 110.52.127.130 110.52.127.150 exit exit no shutdown exit exit

41、 exit 3) 认证模板 a) radius模板 subscriber-mgmt authentication-policy "changsha-radius" create description "radius-policy" radius-authentication-server source-address 58.20.230.92 server 1 address 119.39.227.35 secret

42、"itellin" hash2 port 1812 exit pppoe-access-method pap-chap include-radius-attribute circuit-id remote-id nas-port-id nas-identifier pppoe-service-name

43、 access-loop-options exit exit b) accounting模板 subscriber-mgmt radius-accounting-policy "changsha-account" create update-interval 10 include-radius-attribute framed-ip-addr

44、 framed-ip-netmask subscriber-id circuit-id remote-id nas-port-id nas-identifier sub-profile sla-profile exit use-std-acct-attributes ra

45、dius-accounting-server timeout 10 source-address 58.20.230.92 server 1 address 119.39.227.35 secret itellin port 1813 exit exit c) sla模板 configure qos sap-ingress 1000 create queue 1 create

46、 rate 1000 cir 1000 exit exit sap-ingress 2000 create queue 1 create rate 2000 cir 2000 exit exit sap-egress 1000 create queue 1 create rate 1000 cir 1000

47、 exit exit sap-egress 2000 create queue 1 create rate 2000 cir 2000 exit exit sla-profile "sla-prof-1M" create ingress qos 1000 exit exit

48、 egress qos 1000 exit exit exit sla-profile "sla-prof-4M" create ingress qos 2000 exit exit egress qos 2000 exit

49、 exit exit d) sub模板 sub-profile "data" create radius-accounting-policy "changsha-account" exit e) ident模板 sub-ident-policy "sub-ident-local" create sub-profile-map entry key "Data" sub-profile

50、"data" exit sla-profile-map entry key "sla-prof-1M" sla-profile "sla-prof-1M" entry key "sla-prof-4M" sla-profile "sla-prof-4M" exit exit pppoe-policy "xiangtan-test" create