eFlowPPPoEBRAS用户手册20050624.doc

1、eFlow PPPoE 宽带接入服务器用户手册 Amtium eFlow PPPoE BRAS Users Manual广州安腾计算机网络通信技术有限公司Guangzhou Amtium Computer Network Tech. Co.,Ltd.eFlow PPPoE宽带接入服务器用户手册版本编号：v1.0.3版本修订：20040624本出版物的内容将做定期性的变动，且不另行通知。更改的内容将会补充到本出版物,并会在本手册发行新版本时予以付梓印刷。本公司不做任何明示或默许担保，其中包括用户手册的内容的适应性或符合特定使用目的的默许担保。将下列预留的空白位置，记录下序号、购买日期及机型，序号

2、及机型可以在设备外壳上找到。本公司依据中华人民共和国著作权法，享有及保留一切著作之专属权力。未经本公司书面同意，不得对本用户手册改编、翻印、抄袭、或仿制，否则后果自负。eFlow是广州市安腾计算机网络通信技术有限公司的注册商标。其它商标及注册商标均属于各其它所属公司。一、总述71.1硬件概述：71.2软件概述：8二、硬件描述及安装92.1硬件规范：92.2硬件安装：10三、配置PPPoE宽带接入服务器113.1基本配置分类：113.1.1服务器自身的配置：113.1.2与外界互连的配置：113.2典型配置例子：113.2.1实际环境：123.2.2应用分析：123.2.3配置及分析：133.2

3、.4补充说明：16四、命令详解174.1?174.2accesslist184.3acl194.4aclcfg204.5auth204.6backup214.7cfg224.8ctm224.9debug234.10enable234.11exit244.12filist244.13hostname264.14local264.15nameserver274.16nat274.17no294.18ping304.19pool304.20port314.21proxyarp334.22radius344.23reboot354.24route354.25servicename364.26show3

4、64.27snmp374.28src_route374.29set384.30time404.31tcplimit414.32upgrade424.33user424.34write43五、常见问题445.1如何登录主机？445.2如何进行初始配置？445.3如何取得配置权限？455.4如何配置端口？455.5如何配置IP pool?455.6如何配置Radius?455.7如何配置filist?465.7.1利用filist设置拨号上来的用户互相不能通信475.7.2利用filist限制访问国外站点475.8如何配置NAT ?485.9如何配置VLAN支持 ?495.10如何升级系统的IOS

5、文件？49六、Radius属性支持516.1Radius属性表：516.2与PPPoE相关属性：52本用户手册主要描述eFlow PPPoE接入服务器的软硬件特性和功能，主要目的是为了方便用户自行对设备进行配置和管理。本手册的内容组织如下： 描述PPPoE接入服务器的总体功能，包括软、硬件的大概特性。 描述硬件安装过程及准备。 如何针对具体情况进行配置，并结合典型例子进行说明。 PPPoE BRAS系列的IOS命令详解。 常见问题解答。 Radius属性说明。一、 总述eFlow PPPoE BRAS(以下为了描述的方便，对eFlow PPPoE BRAS简称为PPPoE BRAS或者PPPo

6、E宽带接入服务器)是在以太网结构上运行PPP协议的接入设备。根据设备型号的不同，一台PPPoE BRAS可以同时支持1284096个用户在线连接。1.1 硬件概述：在PPPoE宽带接入服务器的前端，有相应的网络连接状态以及电源工作情况的指示灯（见图11）。 图11 eFlow BRAS 2104P前面板PPPoE BRAS的型号分为eFlow BRAS 1103P系列和eFlow BRAS 2104P系列。这两个系列设备的主要区别在于其硬件组成和支持同时在线用户数有很大的不同。eFlow BRAS 1103P系列设备后面板带有3个RJ45端口，可以接10/100M自适应的端口。其中E0口用来连

7、接上行设备，而E1、E2分别用来连接PPPoE的接入端口，Console用于管理设备（见图12）。 图12 PPPoE BRAS 1103P 后面板eFlow BRAS 2104P系列设备后面带有2个千兆自适应电口和多个千兆多模光口，其中LAN0默认为上联口，LAN1LAN3为下联口，COM1为Console口，用于设备管理和配置。如图13所示： 图13 PPPoE BRAS 2104P 后面板1.2 软件概述：PPPoE宽带接入服务器主要实现以下功能：PPPoE协议解析、NAT（网络地址转换）、VLAN终结、Radius协议支持、路由功能、用户管理等。利用CLI(Command Line I

8、nterface)形式的管理接口， 用户可以方便地对PPPoE宽带接入服务器进行配置和管理。在初步配置好以后，可以直接通过telnet 登录，进行配置和状态查询。通过与Radius Server的结合，PPPoE BRAS可以灵活、方便的管理用户，同时实现用户流量控制，服务定制等各类功能。二、 硬件描述及安装PPPoE的Intel 系列处理器为设备提供了强大的处理能力。 可最多同时支持4096个用户同时在线。 19英寸标准机箱能方便地安装上架。2.1 硬件规范：eFlow PPPoE BRAS设计紧凑，可靠性高，其硬件规范如下表：设备型号 eFlow BRAS 1103P eFlow BRAS

9、 2104P处理器Intel P 1GHz CPUIntel XEON 2.4GHz CPU内存256M SDRAM,32M Flash512M DDR,128M Flash外观尺寸1U 19标准机箱1U或者2U 19标准机箱网络接口3个 10/100M RJ45电口2个（或者4个） 1000M RJ45电口，可选配2个1000M光口Console12个DB9串口12个DB9串口重量8KG12KG电源220V AC （4363Hz）或者48V DC220V AC （4363Hz）或者48V DC功耗150W 150W 或者250W工作环境温度： 040湿度： 590(非凝结)温度： 040湿度

10、： 590(非凝结)2.2 硬件安装： 在安装之前，确认电源开关为未打开。 机器本身附带有上架设备，按照标准程序把设备固定在机架上。根据设备端口配置，用网线或者尾纤连接对应的设备。设备附带有一条串行线，可以通过它与设备的console口相连。注意：eFlow BRAS 2104P的串口为COM1。 打开电源，设备启动后可以从console口通过超级终端登录进入，设备的硬件运行情况可以从前面的指示灯进行观察。 超级终端登录时使用默认的参数：速率 9600B/S,数据位8，奇偶校验无，停止位无，流控无。 登录系统的默认用户名是admin，密码是eflow；进入配 置模式的默认密码是eflow。三、

11、 配置PPPoE宽带接入服务器3.1 基本配置分类：作为网络接入设备，具体的配置应该根据应用环境来设定。PPPoE BRAS的配置可以分为两部分：BRAS自身的配置和与外界进行互连的配置。3.1.1 服务器自身的配置：PPPoE BRAS自身的配置包括地址池和端口的配置，分别对应命令pool和port。pool命令（见pool命令详解）实现地址池的分配和设置，可以根据需要最多配置六个地址池。port（见port命令详解）对服务器的端口属性进行配置，分别可配置为接收PPPoE包的端口或Ethernet包的端口。3.1.2 与外界互连的配置：与外界互连的配置内容一般包括Radius配置、NAT（网

12、络地址转换）、认证管理、用户管理、缺省路由、域名服务器等内容。配置过程应该先配置设备自身的地址池和端口特性，与外界互连的配置可以根据实际需求选择进行。3.2 典型配置例子：下面以一个较为典型的配置来说明应该进行的配置步骤。3.2.1 实际环境：有两幢大楼，分别有800个左右的用户上网，其中一幢大楼的用户只要求互相连接，访问内部网络，另一幢大楼的用户要求访问internet；管理部门申请到一个出口IP为192.168.1.2的地址，其下一跳的地址为192.168.1.1；域名服务器采用公网上的服务器，地址为202.104.81.245。认证计费采用Radius方式，Radius服务器的地址为19

13、2.168.1.253（自己申请或别人提供），加密密钥为“amtium”。Radius提供两种服务：local和internet，对应于访问本地和internet的服务类型。3.2.2 应用分析：两幢大楼总共有800左右的用户，同时上线的用户一般不会超过500个，所以采用eFlow BRAS 1103P-II型接入服务器，可以同时支持512用户上线；自己分配内部地址，每幢大楼分配一个255地址的地址池基本可以满足要求。对不需要访问internet的大楼分配地址范围为10.1.2.010.1.2.255，另外一个大楼的用户分配地址范围为10.1.5.010.1.5.255；自己增加一个本地用户方

14、便管理；配置Radius认证计费，同时允许管理用户接入上网；按要求配置路由和域名服务器；配置两种服务：local和internet；给服务器命名为NAT-host。3.2.3 配置及分析：综合上述分析，我们可以抽象出配置命令如下：1） 有两个地址池，分别为10.1.2.010.1.2.255和10.1.5.010.1.5.255；2） 接入服务器有三个端口，E0配置为上行端口，其地址为给定地址：192.168.1.2，端口E1和E2都配置为PPPoE端口；3） Rasius认证计费服务器的地址为192.168.1.253，所用的加密Key为“amtium”，认证方式采用PAP；4） 对10.1

15、.5.010.1.5.255之间的用户进行地址转换，采用端口映射到192.168.1.2地址上；5） 有一本地用户可以进行管理，名字为“pppoeuser”，其密码为“aaa”；6） 缺省的路由下一跳地址为192.168.1.1；7） 配置域名服务器为202.104.81.245；8） 提供两种Service，分别为local和Internet（需与Radius Server结合起来）；9） 接入服务器本身的名字为NAT-host。针对以上需求，其配置文件内容为(括号内的是注释)：1) !2) pool 0 ip 10.1.2.0 mask 255.255.255.0 （define the

16、pool 0 address from 10.1.2.0 to 10.1.2.255）3) pool 1 ip 10.1.5.0 mask 255.255.255.0 （define the pool 1 address from 10.1.5.0 to 10.1.5.255）4) !5) port enet0 ethernet 192.168.1.2 255.255.255.240 （define the address of ethernet port 0 : 192.168.1.2）6) port enet1 pppoe max_session 256 （port 1 receive t

17、he PPPoE packet）7) port enet2 pppoe max_session 2568) !9) radius auth ip 192.168.1.253 key amtium （define radius server of authentication）10) radius auth enable11) radius auth port 1812 （define auth port is 1812）12) radius acct ip 192.168.1.253 key amtium （define radius server of accounting）13) radi

18、us acct enable14) radius acct port 1813（define acct port is 1813）15) user name pppoeuser passwd aaa （local user）16) !17) local auth enable18) !19) route add 0.0.0.0 0.0.0.0 192.168.1.1 （static default route）20) !21) nat add map enet0 10.1.5.0/24 192.168.1.2/32 portmap （Network Address Translate）22)

19、!23) servicename local24) servicename internet25) !26) hostname NAT-host27) !28) nameserver primary 202.104.81.24529) !30) nameserver secondary 202.104.81.24531) auth pap32) write*行号是为方便说明所加各命令可以解释如下：2） 配置地址池0为10.1.2.010.1.2.255的一段地址，配置为地址池0的用户将从此地址段中取地址。如果需要在此地址段中划出一段给申请了固定地址的用户专用，则可以在此命令后用pool命令再对

20、地址池0进行配置（见pool命令详解）；3） 配置地址池1为10.1.5.010.1.5.255的一段地址，解释同上；5）配置端口0为上行端口，其地址为192.168.1.2，掩码为255.255.255.240；6）7）分别配置端口1、2为PPPoE类型端口；9）14）配置Radius认证计费服务器的地址为192.168.1.253，加密key为“amtium”,认证端口为1812，计费端口为1813。15）增加本地用户，名字为“pppoeuser”，密码为“aaa”；17）配置本地认证，用户认证时先检查本地用户是否符合，符合则认证通过。如果没有，则送往Radius服务器进行认证；19）加入

21、缺省静态路由192.168.1.1；21）加入NAT规则，把10.1.5.010.1.5.255地址段的用户映射到192.168.1.2地址上输出；23）24）分别加入local和internet两个服务；26）配置本机名为NAT-host；28）30）把primary和secondary域名服务器都指向202.104.81.245；31）定义认证类型为pap。32）保存当前的配置文件3.2.4 补充说明：上述配置文件的内容可以直接从console口或telnet登录进入，手工键入。在配置完成后应该用write命令保存（参见write命令详解）。按照此配置，地址池0的用户将拥有10.1.2.0

22、10.1.2.255之间的内部地址；地址池1的用户将拥有10.1.5.010.1.5.255之间的地址。由于对地址池1的地址进行了NAT映射，所以此类用户可以直接对外部网络进行访问，而地址池0的用户没有进行NAT 映射，就只能访问内部网络资源。用户策略的控制需要与Radius服务器结合起来。其中对用户最高速率的限制是在Radius端设置，通过Radius属性传递到接入服务器实现（参见Radius属性说明）。如果要实现对VLAN支持，则用port命令对PPPoE属性的端口封装时应该用trunk_pppoe代替参数pppoe（参见port命令详解）。四、 命令详解在本设备中，命令的操作有两种模式：

23、用户模式和配置模式，分别用和作为命令提示符。用户模式只能查看系统的相关配置，不能进行任何配置操作；配置模式中用户可以实现各种系统功能的操作。从用户模式进入配置模式时，先输入enable，再根据提示输入密码，默认的进入配置模式的密码是eflow；从配置模式退回用户模式，可以输入exit退出。系统支持上、下箭头对命令的调用，backsapce键对输错的字母进行删除。所有设置的查看都可以用命令加相应的参数（show或list）完成。如果命令没有此类参数，则可以通过show命令后跟相应的命令参数来实现。命令语法举例：port enet0/1/2/3 ethernet 在此命令中port， enet，e

24、thernet为命令关键字，是必须输入的。 表示必选参数，而/表示多个候选参数中选择一个，表示需要输入的参数。在本设备中，IP地址和掩码一般用4位点分十进制数表示，而掩码有时也用10进制数表示。各具体命令的详细解释如下：4.1 ?【用法】：?【作用】：显示可用命令。【例如】: amtium ?show show system informationping test networkenable get full right显示当前命令模式下的可用命令。4.2 acl【用法】： acl 0/1/2/3/4/5/6/7 block/pass/onlyacl 0/1/2/3/4/5/6/7 enab

25、le/disable/show【作用】：第一条命令定义指定编号的acl规则的行为是阻止（block）、放行（pass）、只允许（only）。acl规则是用来开展服务定制的(该功能必须和Radius server相配合)，它定义了一组IP地址和该acl规则的行为。当用户进行认证时，选择了相应的service，那么该用户就只能根据相关联的acl规则进行访问。 第二条命令指定相应的acl规则是否开启和查看acl设置。【例如】： amtium # acl 0 block amtium # acl 0 enable amtium # acl 0 showThe ACL 0 ListService:amt

26、iumnetwork address network netmask-192.168.1.0 255.255.255.0 该命令显示了acl 0设定的IP地址范围是192.168.1.0，该规则和service amtium相关联。当用户认证时选择的服务是amtium时，该用户不能访问192.168.1.0子网，但是可以访问其他子网。【相关命令】： aclcfg 0/1/2/3/4/5/6/7 get/put tftp_server filename show config4.3 aclcfg【用法】：aclcfg 0/1/2/3/4/5/6/7 get/put tftp_server fil

27、ename【作用】：下载或者上传acl配置文件。【例如】： amtium # aclcfg 0 get 192.168.0.168 acl0.txt将acl0规则的文件acl0.txt从TFTP Server 192.168.0.168下载到BRAS。 amtium # aclcfg 0 put 192.168.0.168 acl0.txt将acl0规则的文件从BRAS上传到TFTP Server 192.168.0.168并命名为 acl0.txt。【相关命令】： acl 0/1/2/3/4/5/6/7 enable/disable/show acl 0/1/2/3/4/5/6/7 bloc

28、k/pass/only【注意事项】：1、 aclcfg文件的必须是txt文件，命名以能够表明acl相关内容为原则。2、 aclcfg文件的格式为：vod192.168.2.0 255.255.255.0其中vod为servicename,192.168.2.0 255.255.255.0是vod服务对应的IP地址。4.4 auth【用法】：auth chap/pap【作用】：定义PPPoE拨号时的认证类型。【例如】： amtium # auth pap定义PPPoE拨号时的认证类型为PAP（Password Authentication Protocol）。 amtium # auth cha

29、p定义PPPoE拨号时认证类型为CHAP（Challenge Handshake Authentication Protocol） 【注意】：系统默认情况下的认证类型是PAP。4.5 backup【用法】：backup【作用】：备份系统IOS软件，当系统启动失败时可以使用flash中备份的IOS软件进行工作。【例如】: amtium # backup将当前系统的IOS软件备份到内存中。【注意】：当升级IOS失败时，可以在系统启动时按任意键停止自动引导过程，按b从备份的IOS引导系统：Press any key to stop auto-boot. 4amtium ?c - run iosb -

30、 run backup iosamtium4.6 cfg【用法】：cfg put|get tftp_server filename cfg restore【作用】：利用tftp服务器获取或保存配置文件。【例如】: amtium #cfg get 192.168.1.2 PPPoE_1_0从tftp服务器（地址为192.168.1.2）中获取名字为PPPoE_1_0的文件作为BRAS的配置文件。【注意】：要使下载的配置文件在系统重新启动时生效，直接输入reboot命令即可，不要在配置文件下载完成后再次执行write命令。 amtium #cfg put 192.168.1.2 PPPoE_1_0

31、把系统当前的配置文件保存在地址为192.168.1.2的tftp服务器上，并命名为PPPoE_1_0。 amtium #cfg restore将配置文件恢复成出厂默认配置。4.7 ctm【用法】：ctm ctm enable/disablectm show【作用】：管理用户连接设备的时间，这个功能适用于学校等单位控制用户定时上网或者检查系统运行时间用。【例如】： amtium #ctm 6:30 23:30设置从6点30分到23点30分用户可以接入。 amtium #ctm enable打开ctm功能。 amtium# ctm show显示ctm的配置。4.8 debug【用法】：debug

32、lcp/ipcp/radius on/off debug nat debug show【作用】：配置调试开关，检查相关模块的调试信息【例如】: amtium# debug radius on打开RADIUS 调试开关。 amtium#debug show显示各调试开关的设置。 amtium#debug nat 显示NAT资源的使用情况。【注意事项】：debug开关注意是给技术人员判断网络故障用的，正常情况下该功能应该关闭。4.9 enable【用法】：enable【作用】：从普通模式进入到配置模式，需要输入使能的密码。【例如】: amtium enable进入配置模式。 amtium# ena

33、ble passwd修改enable的密码，需要输入2次确认。 【注意】：所有配置命令只有在配置模式下执行，此时提示命令提示符变为#。为保证系统的安全，强烈建议管理员在系统配置时修改默认的enale密码。4.10 exit【用法】：exit【作用】：退出配置和监控。【例如】: amtium# exit amtium退出配置模式。4.11 filist 【用法】：filist add/del port block/pass in/out protocol src srcport scmp port dst dstport dcmp port quickfilist flush/listsrc 和

34、dst格式为ip/prefix，其中ip为ip地址段或者ip地址，prefix为地址中网络部分所占位数（十进制表示的掩码位数）。【作用】：设置报文过滤信息。【参数说明】：add/del增加/删除port端口(例如enet0， enet1等）block/pass阻塞/通过in/out进入/输出protocol针对的协议(icmp/udp/tcp)src源地址(地址/掩码)srcport scmp port(可选) 源端口 格式：srcport (= = 1024 192.168.1.168/32 dstport = 23 quick在端口enet0上针对出去的tcp数据设置过滤规则，阻塞源地址在

35、10.1.1.1 10.1.1.254网段，源端口大于1024，目的地址为192.168.1.168，目的端口为23的数据包。在匹配规则后，不再进行往下匹配。 amtium#filist add enet0 pass out tcp 0.0.0.0/0 0.0.0.0/0在端口enet0针对出去的tcp数据设置通过规则，让所有的TCP数据通过。 amtium#filist add enet0 pass out udp 0.0.0.0/0 0.0.0.0/0在端口enet0针对出去的udp数据设置通过规则，让所有UDP的数据通过。 amtium# filist add enet0 pass ou

36、t icmp 0.0.0.0/0 0.0.0.0/0在端口enet0针对出去的icmp数据设置通过规则，让所有ICMP的数据通过。 amtium#filist add pool0 block out tcp 10.1.1.0/24 192.168.1.168/32在端口pool0（po0）设置tcp数据的过滤规则，阻塞源地址为10.1.1.0 10.1.1.255网段，目的地址为192.168.1.168的数据。4.12 hostname【用法】：hostname 【作用】：配置主机名参数。【例如】: amtium# hostname bras bras#定义主机名为 bras4.13 loc

37、al【用法】: local auth enable/disable【作用】：配置是否进行本地认证，可以和Radius结合形成完整的认证系统。如果只有Radius认证没有设置本地认证，则系统的管理员用户不能telnet登陆系统。【例如】: amtium# local auth enable允许本地认证。 amtium# local auth disable禁止本地认证。【注意事项】：用户在进行认证时，系统首先检测BRAS配置的本地认证用户名和密码，如果没有发现该用户就将用户名和密码信息发送到Radius Server进行认证。也就是说：在eFlow BRAS系统中用户认证时本地认证要优先于Rad

38、ius认证。【参考命令】：radius、user4.14 logger【用法】: logger on IP PORT logger off【作用】： 日志功能模块的开启或者关闭【例如】: amtium# logger on 192.168.1.100 12000将日志报文发向192.168.1.100,接收端口为固定为12000。日志报文的接收和分析必须和安腾日志管理软件配套使用。 amtium# logger off关闭日志功能。4.15 nameserver【用法】：nameserver primary/secondary 【作用】：配置DNS服务器【例如】: amtium#nameser

39、ver primary 192.168.1.2把第一域名服务器指向地址192.168.1.2 amtium# nameserver secondary 192.168.1.88把第二域名服务器指向地址192.168.1.884.16 nat【用法】：nat add/del map/rdr srcport port dstport port portmapnat list/flushsrc_ip_pool 和map_ip_pool格式为ip/prefix，其中ip为子网地址，prefix为地址中网络部分所占位数。【作用】：配置地址转换表。应该在pool和port命令之后进行设置。一般地，参数是网

40、络端口号，src_ip_pool是某个地址池中的一段地址。（pool和port命令参见各自的命令详解）。map是对源地址进行映射，改变数据包的源地址，对数据的目的地址不做任何改变。rdr是对目的地址进行改变，重新定向数据的目的地址，对数据的源地址不做任何改变（有的也称静态NAT，或者反向NAT）。【注意】：使用rdr规则时，重定向的地址只能是一个，因此掩码都应该是32。【参数说明】：add/del增加/删除map/rdr映射/重定向port端口src_ip_pool源ip地址(ip/mask)srcport port(用于rdr规则，指定目的地址的端口，可选)map_ip_pool目的ip地址

41、(ip/mask)dstport port(用于rdr规则，指定转向后的端口， 可选)portmap （用于map规则，可选）【例如】: amtium# nat add map enet0 10.1.1.0/24 202.96.196.32/30在绑定了端口名字为enet0的上行接口上，将地址为10.1.1.0到10.1.1.255的地址转换为202.96.196.32到202.96.196.35的一段地址上。 amtium# nat add rdr pool0 10.1.1.2/32 192.168.1.2/32在pool0(pool0)端口上，把所有访问10.1.1.2的数据映射到192.

42、168.1.2上去。 amtium# nat add rdr pool0 10.1.1.2/32 srcport 23 192.168.1.2/32 dstport 23在pool0(po0)端口上，把所有到10.1.1.2的23端口的数据映射到192.168.1.2的23端口上。 amtium#nat add map enet0 10.1.1.0/24 202.96.196.3/32 portmap在绑定了端口名字为enent0的接口上, 将地址为10.1.1.0 到 10.1.1.255 的地址转换到地址202.96.196.3上去，并在此地址上进行端口转换。 amtium# nat de

43、l map enet0 10.1.1.0/24 202.96.196.32/30删除“enet0的端口上，将地址为10.1.1.0到10.1.1.255的地址转换为202.96.196.32到202.96.196.35的一段地址”这样一条规则。 amtium# nat list显示所有nat有效规则。 amtium# nat flush删除所有nat规则和连接。4.17 no【用法】：no user/servicename/snmp nameno session 【作用】：删除用户，服务，snmp的community参数，强制指定的用户下线。【例如】: amtium# no user admin删除