华为MA5200F业务配置模板(手册)

3/1/2008来源:华为网络人气:6178


  本文档只给出目前各种业务配置的适用模板,不包括telnet、网管、上行口、静态路由等的配置。
一.基础配置

1.Radius-server group的配置

#
radius-server group radius1
radius-server key 123
radius-server authentication 2.111.1.84 1812
radius-server accounting 2.111.1.84 1813
radius-server class-as-car     (由Radius下发每个帐号的带宽)
undo radius-server user-name domain-included
#


#
radius-server group radius_vpdn
radius-server key 222
radius-server authentication xxxx.xxxxx.xxxxx.xxxx
radius-server accounting xxxx.xxxx.xxxx.xxxx
#



2.ip地址池的配置

#
ip pool pppoe local
gateway 2.84.134.1  255.255.254.0
section 0 2.84.134.2   222.84.135.254
dns-server  2.1.2.8
dns-server  2.1.2.6  secondary
#


#
ip pool vlan local
gateway 222.84.136.1   255.255.254.0
section 0 222.84.136.2  222.84.137.254
dns-server  xxxx
dns-server  xxxx secondary
#

#
ip pool wg local
gateway 10.100.3.241   255.255.255.240
section 0 10.100.3.242   10.100.3.254
excluded-ip-address  10.100.3.242  10.100.3.254
#
3.认证方案的配置

#
aaa
authentication-scheme radius
authentication-mode radius
#


#
aaa
authentication-scheme none
authentication-mode none
#



4.计费方案的配置

#
aaa
accounting-scheme radius
accounting-mode radius
accounting interim-fail online
#


#
aaa
accounting-scheme none
accounting-mode none
#


二.业务配置

1.PPPoE业务的配置

PPPoE业务的一般配置流程如下图所示:



假设我们要在1号FE端口的VLAN 2下配置PPPoE业务接入,采用Radius认证和计费(因为Radius认证所以“配置用户”的步骤省略),PPPoE协商方式为CHAP,具体的配置如下(路由配置省略):

a. 配置虚模板并绑定到相应的接口
#
interface Virtual-Template 1
ppp authentication-mode chap
#

#
interface Ethernet 1
pppoe-server bind virtual-template 1
#

b. 配置名称为PPPoE的地址池

c. 配置名称为radius的认证策略

d. 配置名称为radius的计费策略

e. 配置名称为radius1的Radius-server组

f. 配置域
#
aaa
domain pppoe
authentication-scheme   radius
accounting-scheme   radius
user-host-car   8 32       (为了防止PC直接对MA5200F的攻击)
radius-server group  radius1
ip-pool   pppoe
#

g. 配置VLAN端口
#
portvlan ethernet 1 vlan 2
access-type layer2-subscriber
default-domain authentication pppoe
authentication-method pppoe
#


2.VLAN静态业务的配置

VLAN业务的一般配置流程如下图所示:

假设我们要在2号FE端口的VLAN 3下配置静态用户接入,采用不认证、不计费,具体的配置如下(因为不认证不计费所以Radius配置和用户配置省略、VLAN子接口在三层认证时才需要所以也省略、路由配置省略):

a. 配置名称为vlan的地址池

b. 配置名称为none的认证策略

c. 配置名称为none的计费策略

d. 配置域
#
aaa
domain static-user
authentication-scheme   none
accounting-scheme   none
user-host-car   8 32       (为了防止PC直接对MA5200F的攻击)
ip-pool   static
#

e. 配置VLAN端口
#
portvlan ethernet 2 vlan 3
access-type layer2-subscriber
default-domain authentication static-user
authentication-method bind
static-user xxxx detect
# QQread.com 推出各大专业服务器评测 linux服务器的安全性能 SUN服务器 HP服务器 DELL服务器 IBM服务器 联想服务器 浪潮服务器 曙光服务器 同方服务器 华硕服务器 宝德服务器
3.下接DSLAM设备和交换机类静态用户的配置

为了实现对MA5200F下接DSLAM设备和交换机的网管治理,需要将它们配置为MA5200F的静态用户。该类静态用户的配置和“2. VLAN静态业务的配置”完全一致,只不过在域下不需要添加为了防止对MA5200F进行而配置的命令user-host-car 。
假设我们要在3号FE端口的VLAN 4下配置一个静态用于接入交换机,采用不认证、不计费,具体的配置如下(因为不认证不计费所以Radius配置和用户配置省略、VLAN子接口在三层认证时才需要所以也省略、路由配置省略):

a. 配置名称为wg的地址池

b. 配置名称为none的认证策略

c. 配置名称为none的计费策略

d. 配置域
#
aaa
domain wg            不需要配置命令user-host-car 8 32
authentication-scheme   none
accounting-scheme   none
ip-pool   wg
#

e. 配置VLAN端口
#
portvlan ethernet 3 vlan 4
access-type layer2-subscriber
default-domain authentication wg
authentication-method bind
static-user 10.100.3.242  detect
#
QQread.com 推出各大专业服务器评测 Linux服务器的安全性能 SUN服务器 HP服务器 DELL服务器 IBM服务器 联想服务器 浪潮服务器 曙光服务器 同方服务器 华硕服务器 宝德服务器
4.L2TP业务的配置

L2TP业务配置流程如下:
l 启用L2TP
l 创建并配置L2TP组
l 配置虚模板并绑定到相应的接口
l 配置认证策略
l 配置计费策略
l 配置Radius
l 配置域
l 配置VLAN端口

假设我们要在5号FE端口的VLAN 6下配置L2TP接入用户,需要同时在Radius上认证和计费也LNS上认证和计费(本例如此,也可以不在Radius认证和计费),具体的配置如下:

a. 启用L2TP功能
#
l2tp enable
#

b.创建并配置L2TP组
#
l2tp-group 1
tunnel authentication
tunnel passWord simple yancao
tunnel name yancao
start l2tp ip 202.103.228.62
#

c. 配置虚模板并绑定到相应的接口
#
interface Virtual-Template 1
ppp authentication-mode chap
#

#
interface Ethernet 5
pppoe-server bind virtual-template 1
#
    
d. 配置名称为radius的认证策略

e. 配置名称为radius的计费策略

f. 配置名称为radius_vpdn的Radius-server组

g. 配置域
#
aaa
domain l2tp
authentication-scheme   radius
accounting-scheme   radius
user-host-car   8 32
radius-server group radius_vpdn
#

h. 配置VLAN端口
#
portvlan ethernet 5 vlan 6
access-type layer2-subscriber
default-domain authentication l2tp
authentication-method pppoe
l2tp-group 1
#