北京网通5200G开局规范V1.1.doc

1、北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 1 页, 共 17 页北京网通5200G开局规范（V1.1）华为公司北京办事处Huawei Technologies Co., Ltd.2006年11月北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 2 页, 共 17 页目 录1 目的 32 典型网络结构 43 资源管理 53.1 版本统一 53.2 VLAN资源 54 MA5200G配置指导 64.1 MA5200G基本配置 64.1.1 系统命名 64.1.2 时间设置 64.1.

2、3 登录帐号控制 64.1.4 Radius服务器配置 74.1.5 IP POOL配置 .104.1.6 域配置 124.1.7 对接配置 144.1.8 缺省路由配置 154.1.9 snmp配置 .164.1.10 AAA配置 .164.2 配置脚本 17北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 3 页, 共 17 页1 目的针对北京网通5200G BAS组网，指定开局规范，指导开局人员规范操作，防止由于开局不规范导致后期的种种遗留问题发生。北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007

3、-01-04 第 4 页, 共 17 页2 典型网络结构目前，北京网通5200G组网情况如下：北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 5 页, 共 17 页3 资源管理3.1版本统一目前北京网通5200G使用的版本是VRP3.30 2332版本。3.2VLAN资源每个Ethernet端口支持4K VLAN/64K stack VLAN，端口间VLAN可重叠，每板支持 32K VLAN/64K stack VLAN。整机最大支持256K VALN/512K stack VLAN。北京网通 5200G 开局规范 V1.1文档密级：对外

4、公开11/29/20062007-01-04 第 6 页, 共 17 页4 MA5200G配置指导开局前必须对设备状态进行自检，重点检查license是否正确添加，然后才能进行数据配置，下面的数据配置举例中涉及的IP地址，需要根据具体的局点分配的IP配置。4.1MA5200G基本配置4.1.1 系统命名MA5200G名称格式为：5200G+局点名称序号譬如三立局点有一台MA5200G命名为5200GSL01。4.1.2 时间设置 目前MA5200G设定是跟踪ntp server时间，具体配置如下：MA5200Gntp-service source-interface LoopBack0 MA5

5、200Gntp-service unicast-server 61.148.1.2 priority /主用MA5200Gntp-service unicast-server 61.148.1.4 /备用clock timezone BJ add 08:00:00/需要添加东八区时区。备注：配置ntp服务器后，如果发现NTP servr无法同步（display ntp status显示：clock status: unsynchronized）,则需要把系统时间改为北京时间，如果ntp server是同步的，需要更改配置，必须删除所有ntp配置后重新添加，否则不生效。clock datatim

6、e HH:MM:SS YYYY/MM/DD4.1.3 登录帐号控制原则：配置两个本地帐号，一个是Telnet帐号，一个是con口帐号，两个本地帐号的口令和super口令的设置要不同，使用密文格式, Telnet帐号和con帐号的初级权限北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 7 页, 共 17 页为0， 必须通过super才能进入3级权限，Telnet帐号还需要制定限制的ACL。MA5200Gacl number 2999 /number规定为2999 MA5200G-acl2999rule 0 permit source 61.

7、148.238.96 0.0.0.31 MA5200G-acl2999rule 1 permit source 61.148.219.160 0.0.0.31 /开局只加上两个允许网段。 MA5200G-acl2999rule 10 deny MA5200Guser-interface vty 0 4MA5200G-user-interface-vty 0-4 authentication-mode aaaMA5200G-user-interface-vty 0-4 acl 2999 inboundMA5200Guser-interface con 0MA5200G-user-interfac

8、e-con 0 authentication-mode aaaMA5200Glocal-aaa-server MA5200G- local-aaa-serveruser huawei passwordcipher MAF41! authentication-type T level 0/T表示是telnet帐号，初始权限都是0MA5200G- local-aaa-serveruser huawei1 passwordcipher MAF41! authentication-type M level 0/M表示是terminal帐号，也就是con帐号，初始权限都是0MA5200Gsuper pa

9、ssword level 3 cipher V,C!3X*&a_a/-1U%!/super密码显示必须为密文模式：cipher4.1.4 Radius 服务器配置BRAS的主备DNS和Radius按照以下规则配置： 二、三、八 和北边六个郊区分（昌平、怀柔、顺义、延庆、密云、平谷）公司的BRAS主用均为电报局，四、五、七区和+南边四个郊区分公司(房山、大兴、门头沟、通州)主用均为国际局。电报局Radius： 202.106.46.43，DNS： 202.106.46.151国际局Radius： 202.106.0.66， DNS： 202.106.195.68。北京网通 5200G 开局规范

10、V1.1文档密级：对外公开11/29/20062007-01-04 第 8 页, 共 17 页/说明：Radius服务器的状态在系统中有两种状态标记：UP和DOWN。初始时所有的Radius服务器的状态都是UP的。DOWN状态的含义是：BAS系统向某个Radius服务器连续发送N个报文，在超时间隔内均收不到该Radius服务器的回应，则BAS系统认为该Radius服务器已经DOWN掉，相应的会将其状态置为DOWN标记。在MA5200中，N可以通过命令radius-server dead-count countvalue配置，默认为10次。服务器状态变为DOWN以后，过一定的时间后BAS系统会把

11、该服务重新设为UP状态，在MA5200中，该时间间隔的值可以通过命令radius-server dead-time time-value设置，time-value值的单位为分钟。默认为3分钟。服务器状态变为DOWN以后，如果已有用户选择使用该服务器发送报文，发送超时但是还没有达到设定的重传次数，则会继续使用该服务器发送报文。MA5200中，超时时间（报文再次发送的重传时间间隔）和重传次数可以在Radius服务器视图下通过命令radius-server time-out value（value的单位为秒）和radius-server retransmit times来设置。radius grou

12、p下配置的超时时间和重传次数，对组下的每个服务器生效，一个服务器发送次数超过重传次数将继续选择下一个服务器。这样如果服务器组下设置的重传次数为N，服务器个数为3，则某个用户的报文的重传次数为3N。MA5200Ginterface LoopBack0MA5200G-LoopBack0ip address 61.148.2.117 255.255.255.255/每个局点Loopback根据分配的地址配置。MA5200Gradius-server source interface LoopBack0/MA5200G和Radius通信使用LoopBack 0MA5200Gradius-server

13、group yaxin/ADSL用户使用的Radius server命名为yaxinMA5200G-radius-asian-info radius-server authentication 北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 9 页, 共 17 页202.106.0.66 1645 weight 100/weight 100表示主用，weight 0表示备用。MA5200G-radius-asian-inforadius-server authentication 202.106.46.43 1645 weight 0MA

14、5200G-radius-asian-info radius-server accounting 202.106.0.66 1646 weight 100MA5200G-radius-asian-inforadius-server accounting 202.106.46.43 1646 weight 0MA5200G-radius-asian-inforadius-server shared-key eq_05200gMA5200G-radius-asian-inforadius-server timeout 10MA5200G-radius-asian-infoundo radius-s

15、erver user-name domain-included/ADSL域帐号送给Radius服务器不带域名。MA5200Gradius-server group itellin/201用户使用的Radius server命名为itellinMA5200G-radius-asian-itellinradius-server authentication 61.49.7.151 1812 weight 100MA5200G-radius-asian-itellinradius-server accounting 61.49.7.151 1813 weight 100MA5200G-radius-

16、asian-itellinradius-server shared-key f9k8y2m8MA5200G-radius-asian-itellinradius-server retransmit 5 timeout 10MA5200Gradius-server group bbnworld/IP TV用户使用的Radius server命名为bbnworldMA5200G-radius-asian-info radius-server authentication 202.106.0.66 1645 weight 100MA5200G-radius-asian-inforadius-serv

17、er authentication 202.106.46.43 1645 weight 0MA5200G-radius-asian-info radius-server accounting 北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 10 页, 共 17 页202.106.0.66 1646 weight 100MA5200G-radius-asian-inforadius-server accounting 202.106.46.43 1646 weight 0MA5200G-radius-asian-inforadius-ser

18、ver shared-key eq_05200gMA5200G-radius-asian-inforadius-server timeout 10MA5200Gradius-server group yaxin-bbn/bbn漫游用户使用的radius server命名为yaxin-bbnMA5200G-radius-asian-info radius-server authentication 202.106.0.66 1645 weight 100MA5200G-radius-asian-inforadius-server authentication 202.106.46.43 1645

19、 weight 0MA5200G-radius-asian-info radius-server accounting 202.106.0.66 1646 weight 100MA5200G-radius-asian-inforadius-server accounting 202.106.46.43 1646 weight 0MA5200G-radius-asian-inforadius-server shared-key eq_05200gMA5200G-radius-asian-inforadius-server timeout 104.1.5 IP POOL 配置IP POOL分为三类

20、，一类作为普通PPPOE用户使用，一类给企业用户用，一类给网管用。网管IP POOL配置：由于5200G和4507互连需要占用8个地址，所以网管 dslam-pool的地址段一般都是分开的，不是连续的C。MA5200Gip pool dslam-pool1 localMA5200G-ip-pool-dslam-pool1gateway 219.158.254.17 255.255.255.240 MA5200G-ip-pool-dslam-pool1section 0 219.158.254.18 219.158.254.30 北京网通 5200G 开局规范 V1.1文档密级：对外公开11/2

21、9/20062007-01-04 第 11 页, 共 17 页MA5200G-ip-pool-dslam-pool1excluded-ip-address 219.158.254.18 219.158.254.30MA5200Gip pool dslam-pool2 localMA5200G-ip-pool-dslam-pool2gateway 219.158.254.33 255.255.255.224 MA5200G-ip-pool-dslam-pool2section 0 219.158.254.34 219.158.254.62MA5200G-ip-pool-dslam-pool2ex

22、cluded-ip-address 219.158.254.34 219.158.254.62MA5200Gip pool dslam-pool3 localMA5200G-ip-pool-dslam-pool3gateway 219.158.254.65 255.255.255.192 MA5200G-ip-pool-dslam-pool3section 0 219.158.254.66 219.158.254.126MA5200G-ip-pool-dslam-pool3excluded-ip-address 219.158.254.66 219.158.254.126MA5200Gip p

23、ool dslam-pool4 localMA5200G-ip-pool-dslam-pool4gateway 219.158.254.129 255.255.255.128 MA5200G-ip-pool-dslam-pool4section 0 219.158.254.130 219.158.254.254MA5200G-ip-pool-dslam-pool4excluded-ip-address 219.158.254.130 219.158.254.255由于dslam pool分割剩下了16个地址给互连用，4507只用了8个，还剩下8个5200G没有路由，为了防止路由振荡，需要配置黑

24、洞路由。MA5200G ip route-stati 219.158.254.0 255.255.255.0 NULL 0/每台设备根据具体的dslam pool地址池配置黑洞路由，如果没有分割地址池，则不需要配置。北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 12 页, 共 17 页企业用户IP POOLMA5200Gip pool fixed-ip-pool1 remoteMA5200G-ip-pool-fixed-ip-pool1gateway 222.128.10.1 255.255.255.192MA5200G-ip-pool

25、-fixed-ip-pool1dns-server 202.106.46.151MA5200G-ip-pool-fixed-ip-pool1dns-server 202.106.195.68 secondary普通用户IP POOLMA5200Gip pool pool1 localMA5200G-ip-pool-pool1 gateway 222.129.32.1 255.255.240.0MA5200G-ip-pool-pool1 section 0 222.129.32.2 222.129.35.254MA5200G-ip-pool-pool1 section 1 222.129.36.

26、1 222.129.39.254MA5200G-ip-pool-pool1 section 2 222.129.40.1 222.129.43.254MA5200G-ip-pool-pool1 section 3 222.129.44.1 222.129.47.254MA5200G-ip-pool-pool1 dns-server 202.106.46.151MA5200G-ip-pool-pool1dns-server 202.106.195.68 secondary/举例中只写了一个pool1，现网配置中需要把所有分配的pool都加上。4.1.6 域配置域分为五类，一类作为普通PPPOE用

27、户使用，一类给201用户用，一类给漫游用户用，一类给网管用，一类给telnet用户用。网管IP POOLMA5200Gdomain dslamMA5200G-domain-dslamauthentication-scheme none-authMA5200G-domain-dslamaccounting-scheme none-acctMA5200G-domain-dslamip-pool dslam-pool1MA5200G-domain-dslamip-pool dslam-pool2MA5200G-domain-dslamip-pool dslam-pool3北京网通 5200G 开局规

28、范 V1.1文档密级：对外公开11/29/20062007-01-04 第 13 页, 共 17 页MA5200G-domain-dslamip-pool dslam-pool4/现网配置中需要把相关的pool都加上。201用户域MA5200Gdomain 201MA5200G-domain-201authentication-scheme radius-authMA5200G-domain-201accounting-scheme 201-acctMA5200G-domain-201radius-server group itellinMA5200G-domain-201idle-cut 6

29、0 1MA5200G-domain-201ip-pool pool1/现网配置中需要把相关的pool都加上。普通用户域MA5200Gdomain adslMA5200G-domain-adslauthentication-scheme radius-authMA5200G-domain-adslaccounting-scheme radius-acctMA5200G-domain-adslradius-server group asian-infoMA5200G-domain-adslidle-cut 60 1MA5200G-domain-adslip-pool pool1MA5200G-do

30、main-adslip-pool fixed-ip-pool1/现网配置中需要把相关的pool都加上。MA5200Gdomain bbnMA5200G-domain-adslauthentication-scheme radius-authMA5200G-domain-adslaccounting-scheme radius-acctMA5200G-domain-adslradius-server group yaxin-bbnMA5200G-domain-adslidle-cut 60 1MA5200G-domain-adslip-pool pool1MA5200G-domain-adsli

31、p-pool fixed-ip-pool1/现网配置中需要把相关的pool都加上。telnet 5200G用户域MA5200Gdomain default_admin北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 14 页, 共 17 页MA5200G-domain-default_adminauthentication-scheme local-authMA5200G-domain-default_adminaccounting-scheme none-acct4.1.7 对接配置5200G和4507对接分为2部分，一个互连ip对接，一

32、个是用户QinQ对接互连对接（有2个GE口，下面只写出一个，另一个配置方法一致）MA5200Ginterface GigabitEthernet4/1/0.8MA5200G-GigabitEthernet3/0/0.8description /To ciqu_cisco4507_GE_1/3/端口描述包括对端设备名和相应的端口号。MA5200G-GigabitEthernet3/0/0.8vlan-type dot1q vid 8MA5200G-GigabitEthernet3/0/0.8mtu 1600MA5200G-GigabitEthernet3/0/0.8undo shutdownMA

33、5200G-GigabitEthernet3/0/0.8ip address 219.158.192.249 255.255.255.252PPPOE用户对接MA5200Ginterface GigabitEthernet3/0/0.10/子接口的编号和QINQ所带外层标签一致。MA5200G-GigabitEthernet3/0/0.10qinq-vlan 10MA5200G-GigabitEthernet3/0/0.10user-vlan 10 521MA5200G-GigabitEthernet3/0/0.10pppoe-server bind virtual-template 1MA5

34、200G-GigabitEthernet3/0/0.10description to_xinkangmokuai1MA5200G-GigabitEthernet3/0/0.10undo shutdownMA5200G-GigabitEthernet3/0/0.10basMA5200G-GigabitEthernet3/0/0.10-basaccess-type layer2-subscriber default-domain authentication adslnas-port-type adsl-dmt北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-

35、01-04 第 15 页, 共 17 页MA5200G-GigabitEthernet3/0/0.10access-limit 1 start-vlan 10 end-vlan 521/一个VLAN一个用户必须配置接入限制。网管用户对接MA5200Ginterface GigabitEthernet3/0/0.3014/子接口的编号3000QinQ外层标签。MA5200G-GigabitEthernet3/0/0.3014qinq-vlan 14MA5200G-GigabitEthernet3/0/0.3014user-vlan 9MA5200G-GigabitEthernet3/0/0.30

36、14description to_kuan_HOUSE_BMA5200G-GigabitEthernet3/0/0.3014undo shutdownMA5200G-GigabitEthernet3/0/0.3014basMA5200G-GigabitEthernet3/0/0.3014-basaccess-type layer2-subscriber default-domain authentication dslamMA5200G-GigabitEthernet3/0/0.3014authentication-method bind/网管的认证方式为bind9）5200G上行对接配置(有

37、2个口配置，只写一个，另一个配置方式一致)MA5200Ginterface GigabitEthernet4/0/0MA5200G-GigabitEthernet4/0/0description To ShangDi_NE40E_G1/0/4 /端口描述包括对端设备名和相应的端口号。MA5200G-GigabitEthernet4/0/0undo shutdownMA5200G-GigabitEthernet4/0/0ip address 202.106.49.14 255.255.255.2524.1.8 缺省路由配置MA5200Gip route-static 0.0.0.0 0.0.0.

38、0 202.106.49.13MA5200Gip route-static 0.0.0.0 0.0.0.0 61.148.40.1/配置2条缺省路由是为了上行负载分担，如果以后由于业务调整需要主北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 16 页, 共 17 页备分担，可以更改缺省路由的preference值，静态路由的preference缺省是60，值越小越优。4.1.9 snmp 配置MA5200Gsnmp-agent local-engineid 800007DB0300E0FC6FF132MA5200Gsnmp-agent c

39、ommunity read SJZX-R acl 2999/ACL用规划的2999，只允许读，不允许写。MA5200Gsnmp-agent sys-info contact 8008302118 0755-28560000MA5200Gsnmp-agent sys-info location eq_xsq_officeMA5200Gsnmp-agent sys-info version allMA5200Gsnmp-agent target-host trap address udp-domain 61.148.238.124 params securityname SJZX-R v2cMA5

40、200Gsnmp-agent target-host trap address udp-domain 61.148.238.99 params securityname SJZX-R v2cMA5200Gsnmp-agent trap enable ldpMA5200Gsnmp-agent trap enable configurationMA5200Gsnmp-agent trap enable systemMA5200Gsnmp-agent trap enable standardMA5200Gsnmp-agent trap enable lspMA5200Gsnmp-agent trap

41、 enable vrrpMA5200Gsnmp-agent trap enable bgpMA5200Gsnmp-agent trap source LoopBack04.1.10 AAA 配置MA5200GaaaMA5200G-aaaauthentication-scheme local-authMA5200G-aaa-authen-local-authauthentication-mode local/本地认证方案北京网通 5200G 开局规范 V1.1文档密级：对外公开11/29/20062007-01-04 第 17 页, 共 17 页MA5200G-aaaauthentication

42、-scheme none_authMA5200G-aaa-authen-none-authauthentication-mode none/不认证方案MA5200G-aaaauthentication-scheme radius-auth/radius认证方案MA5200G-aaaauthentication-scheme bbnworld/bbnworld认证方案，目前没有使用MA5200G-aaaaccounting-scheme none-acctMA5200G-aaa-accout-none-acctaccounting-mode none/不计费方案MA5200G-aaaaccounting-scheme radius-acct/radius计费方案MA5200G-aaaaccounting-scheme 201-acctMA5200G-aaa-accout-201-acctaccounting interim interval 15/201计费方案，时时计费间隔是15分钟，缺省不进行时时计费。4.2配置脚本