華為5200配置實例手冊_第1頁
華為5200配置實例手冊_第2頁
華為5200配置實例手冊_第3頁
華為5200配置實例手冊_第4頁
已閱讀5頁,還剩45頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、華為 5200 配置實例手冊sell=XX第 1節(jié) 業(yè)務(wù)介紹1-11.1本文檔的目的1-11.2具體實例內(nèi)容概覽1-1第 2節(jié) PPP 用戶上線配置實例2-22.1PPP 業(yè)務(wù)與組網(wǎng)介紹2-22.2PPP 用戶基本上線實例2-22.3PPP 用戶擴展實2-5第 3節(jié) L2TP 用戶上線實例3-73.1L2TP業(yè)務(wù)與組網(wǎng)介紹3-73.2L2TP用戶上線配置3-8第 4節(jié) 控制組播的實例4-104.1控制組播介紹和組網(wǎng)4-104.2簡單控制組播實例4-114.3對組播源認證的實例4-13第 5節(jié) NAT 業(yè)務(wù)配置實例5-175.1NAT介紹與組網(wǎng)圖5-175.2NAT簡單配置實例5-185.3只替

2、換地址的NAT實例5-20第 6節(jié) PnP 配置實例6-236.1Pnp介紹與組網(wǎng)圖6-236.2 pnp用戶 web認證應(yīng)用實例6-24第 7節(jié) 三層認證與ACL 應(yīng)用配置實例7-277.1三層認證介紹與組網(wǎng)7-277.2三層認證的實例7-27第 8節(jié) dot1x 配置實例8-308.1 dot1x介紹與組網(wǎng)圖8-308.2 dot1x簡單配置實例8-31第 9節(jié) 三層專線配置實例9-339.1三層專線介紹與組網(wǎng)9-339.2實例介紹9-34第 10 節(jié) 二層專線接入實例10-3610.1二層專線介紹與組網(wǎng)圖10-3610.2二層專線 MA5200分配地址的配置實例10-37第 11節(jié) Vl

3、an 透傳專線配置實例11-3911.1Vlan透傳的介紹與組網(wǎng)圖11-3911.2Vlan透傳配置實例11-40第 12節(jié)PPPoE 專線配置實例12-4212.1Pppoe 專線介紹與組網(wǎng)12-4212.2PPPoE 專線配置實例12-42第1節(jié) 業(yè)務(wù)介紹1.1本文檔的目的我們已經(jīng)有了各式各樣開局文檔,包括配置命令,配置指導書等等,目的只有一個:讓開局人員能夠順利的開局,并且解決常見的一些配置問題。本文的目的也不另外,讓大家從一個個具體的配置實例中更感性的認識一下配置過程,本實例基本是實際環(huán)境的運行結(jié)果,簡單的增加了一些解釋與說明,以便更好的理解配置。&說明:對于每個實例,我們盡量

4、給出它的組網(wǎng)圖,以便您更好的理解; 我們重點是各種用戶的上線配置,首先給出最簡單的上線配置,然后給出一些輔助配置項目,也就是下面所謂的擴展對于V100R007B01D015以后的版本做了一些命令的修改1、 PORTVLAN的配置命令格式做了修改,更改的命令格式為:portvlan ethernet ethernet-id | gigabitethernet gigabitethernet-id | trunk trunk-id port-number vlan startvlanid vlan-num 2、增加vt 的批量綁定和反綁定命令pppoe-server bind ethernet I

5、NTEGER<1-24> INTEGER<1-24> | gigabit-etherne INTEGER<25-26> INTEGER<1-2> | trunk INTEGER<1-13> INTEGER<1-13> 3、修改域下配置web 認證服務(wù)器配置命令本文中的配置命令是以 R007B01D006 的版本基礎(chǔ)的,請工程師查閱此文檔時請注意命令行的變化,命令的具體說明請參考相關(guān)版本的開局指導書,這里不再詳細說明。1.2具體實例內(nèi)容概覽本文檔基本以MA5200R007業(yè)務(wù)項目組的業(yè)務(wù)特性為基礎(chǔ),當然還包括其他的相關(guān)特性,

6、具體有:lPPP 用戶基本上線實例。lPPP 用戶上線實例擴展lL2TP 用戶上線實例l下帶 5100的可控組播業(yè)務(wù)簡單實現(xiàn)(組播源不認證)l下帶 5100的可控組播業(yè)務(wù)擴展實現(xiàn)(組播源認證)lNAT業(yè)務(wù)的簡單實現(xiàn)。lNAT業(yè)務(wù)的擴展實現(xiàn)l簡單的 PnP 用戶上線過程。l擴展 Pnp用戶上線過程。ldotlx用戶上線過程l二層專線用戶上線實例l三層專線用戶上線實例lPPPoE 專線用戶上線實例l透傳專線的基本配置實例l代理專線的基本配置實例第 2 節(jié)PPP 用戶上線配置實例2.1 PPP 業(yè)務(wù)與組網(wǎng)介紹MA5200F提供用戶的PPPoE 接入方式,在該接入方式中,用戶采用虛擬撥號的方式接入到M

7、A5200F 中,獲得服務(wù)。 PPPOE接入業(yè)務(wù)的組網(wǎng)主要為通過GE 口或 100M 口接到三層交換機或路由器上,MA5200F 通過 100M下帶 2403F等二層交換機,進行用戶接入和認證,其型組網(wǎng)為:2.2 PPP 用戶基本上線實例& 說明:如下一個 ppp 用戶,從 5200F3 端口 VLANID 為 2 接入, PAP 認證(口令驗證協(xié)議),本地認證,本地分配地址。<MA5200F>disp cu#version 7106sysname MA5200F#system language-mode english#radius-server grouplogin#i

8、nterface Ethernet3pppoe-server bind Virtual-Template 1 【用戶接入端口,需綁定虛模板, 7113 以后的版本,也可以在虛模板的模式下批量增加 PPPOE-SERVER 與端口的綁定關(guān)系】#interface Virtual-Template1【配置虛模板】ppp authentication-mode pap【配置認證方式】#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local#dot1x-template 1#aaaauthentica

9、tion-scheme default1authentication-mode localaccounting-scheme default1accounting-mode localdomain 990ip-pool firstpool1【配置本地地址池】配置地址池的地址段【 aaa 下配置域和認證方式】authentication-scheme default1accounting-scheme default1【域下缺省采用的認證方案與計費方案為default1,此處計費、認證方案也可以不配】#local-aaa-server【由于本地認證配置本地用戶】user user1990 pas

10、sword 123#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 3 2 1access-type layer2-subscriber【配置為二層用戶】#return<MA5200F>2.3 PPP 用戶擴展實例& 說明:如下一個ppp 用戶,從5200F 3端口VLANID為 2 接入, PAP 認證,本地認證,本地分配地址。增加頁面強推和虛模板下的一些配置項<MA5200F>disp cu#version 7106sysname MA5200F#system lang

11、uage-mode english#radius-server grouplogin#interface Ethernet3pppoe-server bind Virtual-Template 1【用戶接入端口,需綁定虛模板,7113 以后的版本,也可以在虛模板的模式下批量增加PPPOE-SERVER與端口的綁定關(guān)系】#interface Ethernet4.0【與一個server相連】#interface Virtual-Template1ppp timer negotiate 8ppp keepalive interval 745 retransmit 7【配置虛模板下的一些參數(shù)】#int

12、erface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local#dot1x-template 1#aaaauthentication-scheme default1authentication-mode localaccounting-scheme default1accounting-mode localdomain 990pppoe-urlip-pool firstpool1#local-aaa-serveruser user1990 password 123authentication-scheme

13、default1【配置本地地址池】aaa 下配置域和認證方式】【 pppoe 強推一個頁面】【由于本地認證配置本地用戶】accounting-scheme default1【域下缺省采用的認證方案與計費方案為default1,此處計費、認證方案也可以不配】#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 3 2 1access-type layer2-subscriberportvlan ethernet 4 0 1#return<MA5200F>【配置為二層用戶】第3節(jié)L2TP用戶上線實例3

14、.1 L2TP業(yè)務(wù)與組網(wǎng)介紹PPP 協(xié)議定義了一種封裝技術(shù),行 PPP 協(xié)議,二層鏈路端點與可以在二層的點到點鏈路上傳輸多種協(xié)議數(shù)據(jù)包, PPP 會話點駐留在相同硬件設(shè)備上。這時用戶與NAS之間運L2TP協(xié)議提供了對PPP 鏈路層數(shù)據(jù)包的通道(Tunnel)傳輸支持,允許二層鏈路端點和PPP 會話點駐留在不同設(shè)備上并且采用包交換網(wǎng)絡(luò)技術(shù)進行信息交互,從而擴展了PPP 模型。 L2TP 協(xié)議結(jié)合了L2F 協(xié)議和 PPTP 協(xié)議的各自優(yōu)點,成為 IETF 有關(guān)二層隧道協(xié)議的工業(yè)標準。具體的組網(wǎng)圖如下:3.2 L2TP用戶上線配置& 說明:。如下一 L2tp 用戶 l2tpisp, 在 aa

15、a 本地認證,從端口 2 接入,端口 6 接一 LNS ,地址為隧道不認證,其他為缺省配置。MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#l2tp enable【打開l2tp 開關(guān)】#interface Ethernet1#interface Ethernet2pppoe-server bind Virtual-Template 1【端口綁定虛模板】#interface Ethernet6negotiation auto#interface Ethernet6.0【與LNS連的接口】#interf

16、ace Virtual-Template1#interface NULL0#interface LoopBack0#l2tp-group 1【配置l2tp組和LNS的地址】#interface Nm-Ethernet0#dot1x-template 1#aaa【aaa的配置主要是完成用戶的本地認證】domain ispauthentication-schemedefault0accounting-scheme default0 undo idle-cutl2tp-group1#local-aaa-serveruser l2tpisp password 123 #cluster#user-int

17、erface con 0user-interface vty 0 4#portvlan ethernet 2 0 1 access-type layer2-subscriber portvlan ethernet 6 0 1 access-type interface #returnMA5200F【本地用戶】【 用戶接入端口】第 4 節(jié)控制組播的實例4.1控制組播介紹和組網(wǎng)MA5200在網(wǎng)絡(luò)中的位置是一個處于三層交換機和路由器之下,LanSwitch之上的業(yè)務(wù)會聚和控制設(shè)備。MA5200 V100R007以前版本(R002 、R006 、 R009 )支持的組播功能定位為組播代理(IGMP P

18、roxy ),僅支持不受控的組播業(yè)務(wù)。對于運行商來說,除了在設(shè)備上實現(xiàn)傳統(tǒng)的組播以外,更多的是考慮對組播的受控和運行,傳統(tǒng)的組播方案沒有考慮對用戶進行控制和管理,不能與我司的可運營可管理的思路保持一致。MA5200R007版本在支持傳統(tǒng)的非受控的組播業(yè)務(wù)基礎(chǔ)上,增加了受控組播業(yè)務(wù)特性。具體配置如下:4.2簡單控制組播實例& 說明:。第 5口直接接一個組播服務(wù)器,組播源與受控,組播地址224.2.2.2,一個 PPP 用戶從3 口接入,該口為組播受控,需要認證。MA5100的VLAN 為2MA5200Fdisp cu#version 7106sysname MA5200F#system

19、language-mode english#multicast routing-enable【打開組播功能開關(guān)】igmp proxyigmpdesignated-router11.1.1.101【對于接連的組源本處可配直播不置】#multicast-vlan200010【如是2403等設(shè)備,可不需要配置,只針對5100 】#interface Ethernet1#interface Ethernet2#interface Ethernet3pppoe-server bind Virtual-Template 1#interface Ethernet4#interface Ethernet5ne

20、gotiation auto#interface Ethernet5.0【 與組播服務(wù)器接】#interface Virtual-Template1ppp authentication-mode pap#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【給 ppp 用戶分地址】dns-serverdns-server#dot1x-template 1#aaa【單播用戶的認證計費配置】authentication-schemedefault1authentication-mode loca

21、laccounting-scheme default1accounting-mode localdomain 990ip-pool firstpool1#local-aaa-serveruser user1990 password 123user user1990 multicast-group receive 0,【 單播用戶用戶】【 該用戶有權(quán)接受該組播】【組播地址】#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 3 2 1access-type layer2-subscribermulticast

22、-control【該端口為受控端口,用戶由 此接入】portvlan ethernet 5 0 1access-type interface#returnMA5200F4.3對組播源認證的實例&說明:。對于組播用戶,配置同上,增加對組播源的認證,組網(wǎng)基本同上,只是組播服務(wù)器接在4 口,同時將給組播服務(wù)器配置為一個靜態(tài)用戶,需要綁定認證,同時4 端口也為組播受控端口,對組播源也進行認證MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#radius-servergrouplogin#multica

23、st routing-enable【同上】igmp proxy#multicast-vlan 2000 10【同上】#interface Ethernet1#interface Ethernet2#interface Ethernet3pppoe-server bind Virtual-Template 1#interface Ethernet4negotiation auto#interface Ethernet5negotiation auto#interface Ethernet5.0#interface Virtual-Template1ppp authentication-mode

24、pap#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【單播ppp 用戶分配地址】#ip poolpool2local【組播服務(wù)器做為靜態(tài)用戶使用的地址池】gateway 11.1.1.200 255.255.0.0section 0 11.1.1.101 11.1.1.105#dot1x-template 1#aaa【端單播 ppp 用戶上線配置】authentication-scheme default0authentication-mode localauthentication

25、-scheme default1authentication-mode localaccounting-schemedefault0accounting-mode localaccounting-schemedefault1accounting-mode localdomain default0【靜態(tài)用戶的缺省domain 】ip-pool firstpool2domain 990ip-pool firstpool1#local-aaa-serveruser user1990 password 123user user1990 multicast-group receive 0,【單播用戶做為

26、組播接受者】batch-user ethernet 4 0 1 domain default0【 靜 態(tài) 用 戶 綁 定 認 證 名 , 同 時 為 組 播源】batch-user ethernet 4 0 1 domain default0 multicast-group source 0 0multicast-group 0 224.2.2.2【組播地址】#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 3 2 1【端口受控,配置一個ppp 用戶】access-type layer2-subscrib

27、ermulticast-controlportvlanethernet4 01【 端口受控 , 配置一個靜態(tài)用戶 ,綁定認證】access-type layer2-subscriberauthentication-method bindmulticast-controlportvlan ethernet 5 0 1access-type interface#returnMA5200F第 5 節(jié) NAT 業(yè)務(wù)配置實例5.1 NAT介紹與組網(wǎng)圖NAT 在進行地址轉(zhuǎn)換時有以下兩種方式:1、通過修改報文頭部地址信息實現(xiàn)地址的轉(zhuǎn)換與共享當報文穿過NAT 由私網(wǎng)進入公網(wǎng)時將報文的私網(wǎng)地址轉(zhuǎn)換為NAT 擁有

28、的公網(wǎng)地址,當響應(yīng)報文穿過NAT由公網(wǎng)進入私網(wǎng)時將報文的公網(wǎng)地址轉(zhuǎn)換為用戶主機的私網(wǎng)地址,傳統(tǒng)的NAT 只對報文的IP 地址進行轉(zhuǎn)換,因此同一時刻只能有一個主機訪問公網(wǎng)。2、 PAT 方式通過使用第四層端口區(qū)別報文實現(xiàn)了對公網(wǎng)IP 地址的復(fù)用PAT ( Port Address Translation:端口地址轉(zhuǎn)換,通過利用多個內(nèi)部IP 地址映射到單一IP 地址的不同TCP/UDP 端口來實現(xiàn)IP 地址的復(fù)用)方式利用TCP/UDP 報文端口號對擁有相同IP 地址報文進行區(qū)分,實現(xiàn)多個訪問連接使用同一公網(wǎng)IP 地址。 PAT 方式利用TCP/UDP端口與IP 地址組合成地址對在NAT 兩側(cè)分別

29、識別各個連接,同一連接將擁有唯一地址對。PAT 方式在報文穿過NAT 進入公網(wǎng)時將報文IP 地址替換為唯一的公網(wǎng)IP 地址,同時為其分配一個四層端口替換原有端口。簡單組網(wǎng)如下:5.2 NAT簡單配置實例& 說明:。一個 PPP 用戶撥號上線, 從 9.9.0.0 網(wǎng)段地址從分配一個地址,在 MA5200上做 NAT, 將所有該網(wǎng)段的地址轉(zhuǎn)化為一個公網(wǎng)地址11.1.1.201 ;用戶訪問公網(wǎng)上的一個服務(wù)器11.1.1.101,在該服務(wù)器上抓包,可以看到用戶的地址已經(jīng)替換.如下的轉(zhuǎn)化,還包括四層端口,其實是一個PATMA5200Fdisp cu#version 7106sysname MA

30、5200F#system language-mode english#nat acl 0 permit 9.9.0.0 0.0.255.255【需要轉(zhuǎn)化的私網(wǎng)地址】nat address-group 0 11.1.1.201 11.1.1.201【對應(yīng)的公網(wǎng)地址】nat outbound 0 address-group 0【兩者綁定】#interface Ethernet1pppoe-server bind Virtual-Template 1#interface Ethernet2#interface Ethernet3#interface Ethernet4negotiation auto

31、#interface Ethernet4.0ip address 11.1.1.200 255.255.0.0#interface Virtual-Template1#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【給ppp 用戶分配的私網(wǎng)地址】#dot1x-template 1#aaa【配置ppp 用戶上線】authentication-scheme default1authentication-mode localaccounting-scheme default1accounti

32、ng-mode localdomain 990ip-pool first#pool1local-aaa-serveruser user1990 password 123#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 1 0 1access-type layer2-subscriberportvlan ethernet 4 0 1access-type interface#returnMA5200F5.3只替換地址的NAT 實例&說明:。一個PPP 用戶撥號上線,分配地址,在MA5200上做NAT

33、,將該地址轉(zhuǎn)化為一個公網(wǎng)地址;用戶訪問公網(wǎng)上的一個服務(wù)器只替換三層的ip 地址在該服務(wù)器上抓包,可以看到用戶的地址已經(jīng)替換.如下的轉(zhuǎn)化,MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#radius-server group login#interface Ethernet1pppoe-server bind Virtual-Template 1#interface Ethernet2【對給定地址進行地址轉(zhuǎn)化】#interface Ethernet3#interface Ethernet4negoti

34、ation auto#interface Ethernet4.0#interface Virtual-Template1#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【配置 ppp 用戶上線使用地址池】gateway#dot1x-template 1#aaa【配置ppp 用戶上線】authentication-scheme default1authentication-mode localaccounting-scheme default1accounting-mode locald

35、omain 990ip-pool first#pool1local-aaa-serveruser user1990 password 123#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 1 0 1access-type layer2-subscriberportvlan ethernet 4 0 1access-type interface#returnMA5200F第 6 節(jié) PnP 配置實例6.1 Pnp介紹與組網(wǎng)圖簡單組網(wǎng)圖:6.2 pnp用戶 web 認證應(yīng)用實例& 說明:。一個 Pn

36、P 用戶 ,從端口2 接入,配置為web 認證,預(yù)連接通過,分配一個地址池地址,然后用戶通過web頁面輸入用戶名密碼認證后上線,可以訪問服務(wù)器MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#radius-server group login#web-server【配置的內(nèi)置web 】directory flash:/webfiledefault-page/index.html#interface Ethernet1#interface Ethernet1.0#interface Ethernet2n

37、egotiation auto#interface Ethernet3#interface Ethernet4negotiation auto#interface Ethernet4.0【與 Server相連】#interface LoopBack0#interface Nm-Ethernet0#ip pool pool1 local【給pnp用戶分配的中間合法地址】、#dot1x-template 1#aaa【配置 aaa 】authentication-schemedefault1authentication-mode localaccounting-scheme default1acco

38、unting-mode localdomain default0【做為預(yù)連接域】web-server127.0.0.1【配置內(nèi)置web 地址】ip-pool firstpool1【配置使用的地址池做為中間地址】domain 990authentication-schemedefault0accounting-schemedefault0#local-aaa-server【 web 認證的用戶名】user user1990 password 123#cluster#user-interface con 0user-interface vty 0 4#portvlan ethernet 1 0 1

39、access-type interfaceportvlan ethernet 2 0 1【配置的pnp 用戶】access-type layer2-subscriberdefault-domain pre-authentication default0authentication-method web【只能是web 認證】pnp【PnP 用戶】portvlan ethernet 4 0 1access-type interface#returnMA5200F第 7 節(jié)三層認證與ACL 應(yīng)用配置實例7.1三層認證介紹與組網(wǎng)7.2三層認證的實例& 說明:。為測試三層認證情況,我們在端口6

40、下接一個路由器,路由器下帶一個用戶,端口6 配置為三層認證;端口 1 做為網(wǎng)絡(luò)側(cè)接口接一個服務(wù)器。該三層用戶通過內(nèi)置的web 進行認證,在預(yù)連接域下做ACL, 強制進行web 認證,認證完后,用戶可以訪問服務(wù)器MA5200Fdisp cu#version 7106sysname MA5200F#system language-mode english#radius-server group login#web-server【內(nèi)置web 配置】directory flash:/webfiledefault-page /index.html#interface Ethernet1negotiation auto#interface Ethernet1.0【與服務(wù)器接口】#interfa

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論