CMNET城域網(wǎng)BRAS配置規(guī)范

1、BRAS雙機熱備配置規(guī)范多對ME60互聯(lián)地址注意主備BRAS均需修訂限速設(shè)置中，對于上行和下行都設(shè)置相同值，在多數(shù)情況下，可以將用戶上行限速適當調(diào)小些，這樣可以降低P2P類業(yè)務(wù)上行占資源的情況V.6.9.7-降負荷版本配置待補充V6.9.6 a00版本升級一個問題明確（前期配置應(yīng)該有，若沒有，升級前需增加升級A00版本，前域用戶，必須配置網(wǎng)關(guān)的PERMIT。原來DHCP報文上送是不做ACL的，現(xiàn)在續(xù)租的報文也會做ACL，不配置就會被DENY acl number 6005rule x permit ip source user-group wlan destination ip-address

2、 0 rule y permit ip source ip-address 0  destination user-group wlan V6.9.5調(diào)整限速qos-profile limit-1m car cir 1024 green pass red discard inbound /用戶上行(用戶->me60) car cir 1024 green pass red discard outbound /用戶下行(me60->用戶)qos-profile limit-2mcar cir 2048 green pass red d

3、iscard inbound /用戶上行(用戶->me60)car cir 2048 green pass red discard outbound/用戶下行(me60->用戶)qos-profile limit-512K car cir 512 green pass red discard inbound /用戶上行(用戶->me60) car cir 512 pir 768green pass yellow pass red discard outbound /用戶下行(me60->用戶)V6.9.4調(diào)整限速配置，原限速配置突發(fā)較大，考慮忙時無線側(cè)擁塞厲害，為避免惡

4、意占用帶寬，修改qos-profile limit-1m car cir 1024 green pass red discard inbound /用戶上行(用戶->me60) car cir 1024 pir 1536 green pass red discard outbound /用戶下行(me60->用戶)qos-profile limit-2mcar cir 1536 green pass red discard inbound /用戶上行(用戶->me60)car cir 2048 pir 2536 green pass yellow pass red disca

5、rd outbound/用戶下行(me60->用戶)qos-profile limit-512K car cir 512 green pass red discard inbound /用戶上行(用戶->me60) car cir 512 pir 768green pass yellow pass red discard outbound /用戶下行(me60->用戶)V6.9.3 刪除舊的國漫白名單33、4rule x permit ip source user-group wlan destination ip-addre

6、ss 地址A 0rule y permit ip source ip-address 地址A 0 destination user-group wlanV6.9.2 修訂ME60 全局、分域radius源地址地址現(xiàn)網(wǎng)配置：1)全局下radius-server source interface LoopBack02) radius-server group下沒有強制要求(3gppaaa-hw, 3gppaaa-zte兩個配置了radius-server source interface LoopBack0)近期發(fā)現(xiàn)此方式時radius發(fā)起的DM消息，Radius下發(fā)消息時目的地址是NASIP(對

7、應(yīng)loopback100)，ME60回復(fù)時用loopback0做為原地址，存在問題；修改配置方案如下1)第一步:所有的WLAN相關(guān)radius-server group下增加radius-server source interface LoopBack0命令.注意西部12地市需根據(jù)關(guān)于華為新AAA割接入網(wǎng)的通知(SD-098-110830-31)要求在割接到新AAA時修改radius-server group 3gppaaa-hw中radius-server source interface LoopBack0，9月15日完成2)第二步:全局下radius-server source inte

8、rface LoopBack0改為radius-server source interface LoopBack1003)第三步:修改配置,收到AAA發(fā)的DM消息時以server-group 3gppaaa-zte中定義的原地址返回radius-server authorization 0 shared-key 88-89 server-group 3gppaaa-hw /信任華為新AAA下發(fā)的DM消息,用于踢用戶,新華為AAA.收到AAA發(fā)的DM消息時以server-group 3gppaaa-hw中定義的原地址返回radius-server authorizati

9、on 7 shared-key 88-89 server-group 3gppaaa-zte /信任中興AAA下發(fā)的DM消息,用于踢用戶, 收到AAA發(fā)的DM消息時以server-group 3gppaaa-zte中定義的原地址返回4)備用ME60按上述步驟修改修改完畢后測試內(nèi)容：1)省內(nèi)用戶2)省外用戶(或電子卡)3)計費驗證4)省內(nèi)用戶在portal頁面自助下線V6.9 新增白名單數(shù)據(jù)根據(jù)集團要求國漫新白名單：8、7、1 /20110908在ACL6005中增加，注意每個地址對應(yīng)兩條策略rul

10、e xyz(根據(jù)配置需要定數(shù)值) permit ip source user-group wlan destination ip-address x.x.x.x 0rule abc(根據(jù)配置需要定數(shù)值) permit ip source ip-address x.x.x.x destination user-group wlanV6.8 6.7日割接后,省內(nèi)radius/portal根據(jù)強制portal頁面攜帶SSID區(qū)分是社會熱點還是校園熱點1)攜帶SSID=CMCC-EDU,對外省用戶不讓使用，有提示語；對省內(nèi)用戶不加后綴；校園用戶默認認證后域wlan-sd-new2)不攜帶SSID或SS

11、ID=CMCC，對外省用戶不加后綴，對省內(nèi)用戶加后綴wlan-sd-new，仍然使用wlan-sd-new這個認證后域由此導(dǎo)致校園與社會熱點只能用相同的限速策略。目前存在校園與社會熱點只能不同限速策略的需求，需要：1)BRAS側(cè)先新建一個wlan-moni-jituan域，配置同wlan-sd-new這個域，用于CMCC熱點使用模特集團portal時省內(nèi)用戶的認證后域,8.25日前完成2)portal側(cè)模擬集團portal頁面，對省內(nèi)用戶由加后綴wlan-sd-new改為wlan-moni-jituan(BRAS側(cè)做好后調(diào)整,8月底前)3此后若對校園和社會熱點采取不同限速策略，可以在不同的域中

12、修改domain wlan-moni-jituan /WLAN認證后域（省內(nèi)radius/portal，新的華為radius，模擬集團portal頁面用戶認證過后進此域） authentication-scheme cmcc accounting-scheme cmcc service-type hsiradius-server group sd-radius-newdns primary-ip 6 /優(yōu)選POOL下的DNS dns second-ip 30 /優(yōu)選POOL下的DNS user-group wlan-afteridle-cut

13、60 10 /idle rate ,單位是Kbyte qos-profile limit-2m inbound /或限速1Mqos-profile limit-2m outbound /或限速1MV6.7SPC800的命令修改2處地方（在SPC800升級時即修改）1)AAA視圖下http-redirect enable、調(diào)整ACL /主備設(shè)備均需修改.2)radius-server source interface 由loopback100改為LoopBack0 /主備設(shè)備均需修改idle-cut 60 10 /idle rate ,單位是Kbyte V6.5/V6.62011.6.10日1、

14、清理亞信radius/portal退網(wǎng)后的垃圾郵件,主備設(shè)備均需radius-server group sd-radiusdomain wlan-before-sddomain wlan-sddomain eap-simaka2、解決SIM認證AAA服務(wù)器給ME60下發(fā)DM消息失敗問題1)radius-server group 3gppaaa-zte、3gppaaa-hw下刪除radius-attribute translate NAS-Identifier HW-Own-NAS-Identify-SIM send命令2)每個開啟sim認證熱點(802.1x)對應(yīng)的BAS接口下增加nas lo

15、gic-sysname <熱點的NASID>，如nas logic-sysname 0104054353100460.注意如果是雙機熱備場景 需要保證主備的nas logic-sysname一致nas logic-sysname與bas-interface-name配置相同即可，若NASID變化，兩者均需修改access-type layer2-subscriber bas-interface-name 2300053353100460 default-domain pre-authentication wlan-before-jituan authentication wlan-

16、jituan roam-domain wlan-jituan nas logic-sysname 2300053353100460注意新增CMCC熱點時均需注意此配置注意部分區(qū)域只有CMCC-EDU，因此CMCC-EDU下已配置了sim認證(authentication-method 命令中有802.1x )，此類熱點下也需配置nas logic-sysname; 簡單辦法是凡是authentication-method 命令中有802.1x的熱點都配置nas logic-sysname3、sim認證cui enable功能完善,主備設(shè)備均需在如下6個sim認證相關(guān)domain下增加cui e

17、nable配置domain domain domain domain domain domain 4、5月15-16、6月7日晚割接后均指向省內(nèi)

18、portal、增加參數(shù);portal頁面根據(jù)SSID推送不同portal頁面相關(guān)配置修改6月7日割接工單已要求完成，此處列出考慮完整性列出，詳細參考<省內(nèi)portal模擬集團和校園2個portal頁面以及BRAS側(cè)局數(shù)據(jù)配合說明與注意問題>(附錄)V6.42011.3.7日近期發(fā)現(xiàn)，我方WLAN覆蓋中有部分熱點競爭對手也重點覆蓋，若競爭對手不限速，我方單獨限速，因為WLAN AP頻點有限，會有較多同頻干擾問題。同頻干擾導(dǎo)致多個AP下用戶共享無線信道帶寬，在移動AP與非移動AP同時存在情況下，本質(zhì)上是雙方互相爭搶帶寬關(guān)系。此情況下，針對此類熱點，我方可以靈活采取措施，如取消限速或?qū)⑾?/p>

19、速設(shè)置在比較大的值。ME60支持此功能設(shè)置：1)新建認證后域，配置與普通認證后域相同，只是限速配置不同。建議domain名稱如下domain wlan-sd-nolimit：省內(nèi)radius/portal情況下認證后域,不限速或者限速比較大domain wlan-jituan-nolimit：集團radius/portal情況下認證后域, 不限速或者限速比較大2)在需要特殊限速熱點對應(yīng)的子接口VLAN上，配置即可放開限速設(shè)置是個雙刃劍，對于競爭對手同時重點覆蓋熱點，需注意認真評估對比V6.31)白名單增加網(wǎng)站地址 9,方便未認證用戶直接訪問公司網(wǎng)站2)信任AAA服務(wù)器

20、發(fā)的DM消息radius-server authorization 2 shared-key 88-89 /信任華為AAA下發(fā)的DM消息,用于踢用戶radius-server authorization 7 shared-key 88-89 /信任中興AAA下發(fā)的DM消息,用于踢用戶V6.2 調(diào)整SIM認證配置(原配置影響WLAN國漫來訪)一、新建國漫radius組、域radius-server group roam-radius /WLAN國漫radius,也是集團radius,需要帶域后綴domain wlan-roam-jituan /

21、WLAN國漫域(集團radius/portal）二、考慮是有46000,46002,46007三個網(wǎng)號,需配置如下域,以便當客戶端發(fā)起的報文中攜帶這些后綴賬號時就能匹配到這些域domain domain domain domain domain wlan.mnc007.mcc460.3gppne

22、domain 三、SSID為CMCC子接口下需新增如下命令(其它SSID下對應(yīng)的子接口下不需要添加)1)新增roam-domain wlan-roam-jituan命令 /漫游域設(shè)置，確保國漫賬號送到集團radius2)authentication-method web dot1x 做完后，刪除domain eap-simaka即可v6.1 1、新增華為radius/portal相關(guān)數(shù)據(jù)（CMCC-EDU，取代亞信radius/portal）新建sd-radius-new radius組新增w

23、lan-before-sd-new、wlan-sd-new兩個域（前域、后域）在相應(yīng)的熱點下配置即可（配置時間根據(jù)公司正式割接安排）2、增加策略，防止互聯(lián)網(wǎng)公網(wǎng)->前域用戶這個方向的流量（目前策略只阻止前域用戶->互聯(lián)網(wǎng)公網(wǎng)這個方向的）1)創(chuàng)建新的acl 6006 -若沒有acl 6006就用6006，若有沖突6000-9999范圍內(nèi)任一空閑acl均可。MSE_01acl 6006 MSE_01-acl-ucl-6006rule per ip source any destination user-group wlan2)創(chuàng)建新的traffic policy、traffic cla

24、ssfier、traffic behaviorMSE_01traffic classifier wlan-outMSE_01-classifier-wlan-outif-match acl 6006MSE_01traffic behavior wlan-outMSE_01-behavior-wlan-outdenyMSE_01traffic policy wlan-outMSE_01-trafficpolicy-wlan-outclassifier wlan-be-permit behavior perm1 MSE_01-trafficpolicy-wlan-outclassifier wla

25、n-out behavior wlan-out注意順序permit的配置在前，deny的配置在后3)在全局配置出方向的流策略。MSE_01traffic-policy wlan-out outbound v6.0 V1R6版本轉(zhuǎn)換為V6R2版本、增加SIM認證配置(old)新增radius、domainSSID為CMCC子接口下需新增如下命令(其它SSID下對應(yīng)的子接口下不需要添加)1)新增roam-domain eap-simaka命令2)authentication-method web dot1x 注意相關(guān)參數(shù)在主備設(shè)備上配置的一致性版本：V600R002C02SPC200B215地址：

26、BRAS互聯(lián)鏈路/29,各個備份組/29開始S93口字形互聯(lián)：1)要求S93互聯(lián)鏈路必須放在在2個板卡上；2)若萬一都壞，只能人工干預(yù)主備約定：奇數(shù)BRAS主用，偶數(shù)BRAS備用remote-backup-profile以及VRRP熱備數(shù)量規(guī)格變化,詳見下文V600R002C02SPC200B215暫不支持GE捆綁1)BRAS與WLAN匯聚交換機單GE互聯(lián)，不用trunk2)對于流量>850M鏈路需進行VLAN分拆,新增GE鏈路，將部分業(yè)務(wù)VLAN移到新的GE上3)此時BRAS與同一對匯聚交換機多GE互連、不捆綁的情況，BRAS心跳VRRP V

27、LAN從99/98/97順序用，WLAN匯聚交換機側(cè)透傳VLAN修改；需按規(guī)范新增VRRP地址、BFD配置1、user-group描述定義:user-group wlan:WLAN業(yè)務(wù)別的類型業(yè)務(wù)使用別的用戶組，用戶組定義需通俗易懂2、radius-server group描述定義sd-radius:省內(nèi)wlan radius組jituan-radius:集團wlan radius組別的業(yè)務(wù)類型定義別的radius組，定義需通俗易懂,如tietong-radius3、authentication-scheme、accounting-schemeauthentication-scheme cmc

28、c /WLAN認證后域需要認證authentication-scheme none /認證前域引用的策略 authentication-mode noneaccounting-scheme cmcc /WLAN認證后域需要認證accounting-scheme none /認證前域引用的策略accounting-mode none/刪除沒有引用的認證和計費策略，對于不認證，不計費的策略，統(tǒng)一采用authentication-scheme none和accounting-scheme none，其它全部刪除，不要再單獨定義。比如authentication-scheme/ accounting-

29、scheme test、authentication-scheme zczeyacun、wlan-be等。對于Radius認證和計費的，如果Radius一致，不再單獨定義認證和計費策略。4、domaindomain wlan-before-sd：省內(nèi)radius/portal情況下認證前域domain wlan-before-jituan：集團radius/portal情況下認證前域domain wlan-sd：省內(nèi)radius/portal情況下認證后域domain wlan-jituan集團radius/portal情況下認證后域5.若BRAS接小區(qū)寬帶，需在其單獨的radius服務(wù)器視圖

30、下定義radius sourceRADIUS服務(wù)器的源接口可以配置在系統(tǒng)視圖下，作為全局的RADIUS服務(wù)器源接口，也可以配置在RADIUS服務(wù)器組視圖下，作為該RADIUS服務(wù)器組的源接口。如果RADIUS服務(wù)器組下配置了源接口，則組下RADIUS服務(wù)器與ME60通信時使用該組下配置的源接口，否則使用全局的源接口BRAS<SDZIB-MC-CMNET-RT01-ME60-HGL5>disp cu# sysname SDZIB-MC-CMNET-RT01-ME60-HGL5# super password level 3 cipher IEY#3*09%DJL.:OE)Q!# in

31、fo-center loghost source LoopBack0 /參照CMNET數(shù)據(jù)配置規(guī)范 info-center loghost 2 /參照CMNET數(shù)據(jù)配置規(guī)范 info-center loghost 6 /參照CMNET數(shù)據(jù)配置規(guī)范 info-center timestamp debugging date /參照CMNET數(shù)據(jù)配置規(guī)范# router id 8 /參照CMNET數(shù)據(jù)配置規(guī)范，用loopback0#dhcp through-packet /若不配置此命令,BRAS收到DHCP Discov

32、er、DHCP Offer、DHCP Request等報文時會先讓用戶下線，解決用戶網(wǎng)卡禁用和AP切換時，用戶重新獲取地址不下線。dhcp-decline ip-address idle /配置此命令后,對于decline報文的IP地址標記為idle，不再標記為conflict#user-group wlan /定義wlan業(yè)務(wù)認證前域用戶組，用戶組是用于控制用戶訪問權(quán)限的分組，是進行用戶ACL控制的條件之一。默認WLAN認證用戶都在該用戶組內(nèi)，認證前，只能訪問省內(nèi)DNS、集團DNS、省內(nèi)radius/Portal服務(wù)器、集團radius/portal服務(wù)器、省內(nèi)WLAN自服務(wù)、集團wlan自

33、服務(wù)、國漫白名單user-group wlan-after /定義wlan認證后域用戶組# radius-server source interface LoopBack100 /主備均使用loopback100,全局參數(shù)，radius-server group中配置的話優(yōu)先級高于全局radius-server group jituan-radius /用來設(shè)置wlan web認證業(yè)務(wù)相關(guān)域使用的radius服務(wù)器組（集團） radius-server authentication 38 1645 weight 0 radius-server accounting 221

34、.176.1.138 1646 weight 0 radius-server shared-key 88-89radius-server source interface LoopBack0 /主備均使用loopback0,SPC800版本開始修改 radius-server class-as-car radius-server attribute translate undo radius-server user-name domain-included /不帶域后綴 radius-attribute translate NAS-Identifier HW-Own-NAS-Identify-

35、SIM sendradius-server group 3gppaaa-hw /華為3GPP AAA服務(wù)器,用于SIM認證 radius-server authentication 0 1812 weight 0 /新AAA地址 radius-server accounting 0 1813 weight 0 /新AAA地址 radius-server shared-key 88-89 radius-server source interface LoopBack0 /主備均使用loopback0,SPC800版本開始修改 radius-se

36、rver attribute translate radius-attribute translate NAS-Identifier HW-Own-NAS-Identify-SIM send#radius-server group 3gppaaa-zte /中興3GPP AAA服務(wù)器,用于SIM認證;新AAA地址為9radius-server authentication 7 1812 weight 0radius-server accounting 7 1813 weight 0 radius-server sha

37、red-key 88-89radius-server source interface LoopBack0 /主備均使用loopback0,SPC800版本開始修改radius-server attribute translate radius-attribute translate NAS-Identifier HW-Own-NAS-Identify-SIM send radius-server group sd-radius-new /省內(nèi)新建華為radius系統(tǒng), wlan web認證業(yè)務(wù)相關(guān)域使用 radius-server authentication 05

38、 1812 weight 0 radius-server accounting 05 1813 weight 0 radius-server shared-key 88-89radius-server source interface LoopBack0 /主備均使用loopback0,SPC800版本開始修改 radius-server class-as-car radius-server attribute translate undo radius-server user-name domain-included radius-attribute transla

39、te NAS-Identifier HW-Own-NAS-Identify-SIM sendradius-server group roam-radius /WLAN國漫radius,也是集團radius,需要帶域后綴radius-server shared-key 88-89 radius-server authentication 38 1645 weight 0 radius-server accounting 38 1646 weight 0 radius-server source interface LoopBack0 /主備均使用loo

40、pback0,SPC800版本開始修改radius-server class-as-car radius-server attribute translate radius-server user-name domain-included該命令為默認配置。 radius-attribute translate NAS-Identifier HW-Own-NAS-Identify-SIM sendradius-server authorization 05 shared-key 88-89 /信任radius下發(fā)的DM消息,用于踢用戶;沒有綁定server-group,

41、以配置全局radius-server源地址返回DM消息#radius-server authorization 2 shared-key 88-89 /信任華為AAA下發(fā)的DM消息,用于踢用戶, 老華為AAA地址,割到新AAA后可以刪除radius-server authorization 0 shared-key 88-89 server-group 3gppaaa-hw /信任華為新AAA下發(fā)的DM消息,用于踢用戶,新華為AAA.收到AAA發(fā)的DM消息時以server-group 3gppaaa-hw中定義的原地址返回radius-ser

42、ver authorization 7 shared-key 88-89 server-group 3gppaaa-zte /信任中興AAA下發(fā)的DM消息,用于踢用戶, 收到AAA發(fā)的DM消息時以server-group 3gppaaa-zte中定義的原地址返回mpls lsr-id 8 /雙機認證需要MPLS-TE隧道 mpls mpls templs rsvp-templs ldp#acl number 2000 /參照CMNET數(shù)據(jù)配置規(guī)范，配置SNMP ACL rule 0 permit source 0.

43、0.0.63 rule 5 permit source 5 rule 500 deny# acl number 2007 rule 1 permit source 5 rule 5 permit source 6 rule 10 permit source 5rule 15permit source 省網(wǎng)互連地址段 /互聯(lián)地址網(wǎng)段，詳見集成方案附錄3rule 20 permit source 本設(shè)備所在地市城域網(wǎng)互連地址段 /地

44、址段詳見集成方案附錄3，4臺省網(wǎng)匯接不必配置rule 30 地市維護終端地址rule 35地市維護終端地址rule 500 deny any any /Deny其它訪問 #acl number 6004 /定義user-group用戶的權(quán)限r(nóng)ule 3 permit ip source user-group wlan destination user-group wlan /限制認證前域用戶互訪rule 4 permit ip source user-group wlan destination user-group wlan-after /限制認證前域與認證后域用戶互訪 rule 5 per

45、mit ip source user-group wlan destination ip-address any#acl number 6005/定義user-group用戶的權(quán)限，需按如下原則重新定義rule 5 permit ip source user-group wlan destination ip-address 6 0rule 10 permit ip source ip-address 6 0 destination user-group wlan 按照此原則重復(fù)如下地址1)DNS地址(集團2個：07、

46、03,省內(nèi)兩個:6,30)2)42（集團portal自服務(wù)頁面）、47（省portal自服務(wù)頁面）3)國漫白名單4、33(20111103刪除)國漫新白名單：8、7、1 /201109084)省內(nèi)radius,portal地址（06/107）；下載服務(wù)器地址085)集團radius,portal地址(2

47、38, 40)6)網(wǎng)站地址 9,方便未認證用戶直接訪問公司網(wǎng)站7)下述策略需要增加，以rule xyz(根據(jù)配置需要定數(shù)值) permit ip source user-group wlan destination ip-address 0rule abc(根據(jù)配置需要定數(shù)值) permit ip source ip-address 0 destination user-group wlanacl number 6006 /定義ACL 源地址為any，目的為前域用戶 rule 5 per

48、mit ip destination user-group wlanacl number 6008 /定義80/8080端口的策略 /SPC800新增策略，優(yōu)化HTTP重定向性能 rule 5 permit tcp source user-group wlan destination-port eq www rule 10 permit tcp source user-group wlan destination-port eq 8080#traffic classifier wlan-out operator or if-match acl 6006traffic classifier wl

49、an-be-permit operator or /流分類引用，定義user-group用戶的權(quán)限 if-match acl 6005traffic classifier wlan-be-deny operator or /流分類引用，定義user-group用戶的權(quán)限 if-match acl 6004traffic classifier redirect operator or /SPC800新增策略，優(yōu)化HTTP重定向性能 if-match acl 6008#traffic behavior perm1/流動作 hitcounttraffic behavior deny1/流動作 den

50、y hitcounttraffic behavior wlan-out /流動作，拒絕互聯(lián)網(wǎng)公網(wǎng)->前域用戶方向 denytraffic behavior redirect /SPC800新增策略，優(yōu)化HTTP重定向性能 http-redirect#traffic policy wlan-out /注意順序permit的配置在前，deny的配置在后 share-mode classifier wlan-be-permit behavior perm1 classifier wlan-out behavior wlan-outtraffic policy wlan /策略流分類關(guān)聯(lián)動作，定

51、義WLAN用戶認證前權(quán)限classifier wlan-be-permit behavior perm1classifier redirect behavior redirect /SPC800新增策略，優(yōu)化HTTP重定向性能classifier wlan-be-deny behavior deny1traffic-policy wlan inbound/全局下發(fā)策略，WLAN用戶認證前，只能訪問指定地址(前域用戶->互聯(lián)網(wǎng)方向)traffic-policy wlan-out outbound /全局下發(fā)策略，WLAN用戶認證前，只能訪問指定地址(互聯(lián)網(wǎng)方向->前域用戶)#diff

52、serv domain default# qos-profile default# session-group-profile default# family-profile default#interface Aux0/0/1#interface Virtual-Template0#interface Virtual-Template1 /PPPOE用戶終結(jié)模版，終結(jié)PPP報文 ppp authentication-mode pap#interface NULL0#interface LoopBack0 /作為城域網(wǎng)設(shè)備互訪地址使用 ip address 8 255

53、.255.255.255#interface LoopBack100 /作為與radius和protal交互時的source-ip、nas-ip使用 ip address 0 55#interface Tunnel2/0/0 /雙機熱備使用，隧道作為用戶流量回程使用。 ip address unnumbered interface LoopBack0 tunnel-protocol mpls te destination 9 mpls te tunnel-id 1 mpls te commit# l2tp-group

54、 default-lac tunnel name Quidway#l2tp-group default-lns tunnel name Quidway#ip pool user-pool1 local /定義用戶地址池POOL，user-pool1、user-pool2形式；BRAS上定義的地址池最大16*C為單位分配，如96*C分成6個POOL,BRAS同一域下多個POOL可以共用、順序分配使用gateway section 0 54 /多組VRRP情況下,可以分成2個section,備用secti

55、on0用后半段,setion1用前半段如果不同的remote-backup-server綁定相同的ip-pool。則在配置pool時，不能把pool歸到一個section0中，而是要把pool配置section0和section1兩個（建議section0與section1的大小一致）。主設(shè)備section0的地址同備設(shè)備section1的地址范圍相同；主設(shè)備section1的地址同備設(shè)備section0的地址范圍相同。 dns-server 6 30 /注意順序代表主備lease 1 0 0reserved ip-address lease /當用戶的租期未到時一直為該用戶預(yù)留IP地址.當用戶下線后，如果沒有超過Dhcp的租約期，保持該地址此命令暫時不配置#iptn# dpi pts# dpi global-policy# dpi dsu-mac#dpi restricted-policy# ancp neighbor-profile default-neighbor#配置CBS和PBS后限速不太準確，優(yōu)化改為設(shè)定CIR和PIR下述限速設(shè)置中，對于上行和下行都設(shè)置相同值，在多數(shù)情況下，可以將用戶上行限速適當調(diào)小些