|
用华为的NE05 或者接入电信级的5200等来配置。具体可以到华为上面去查查。
[Quidway]disp cur
Now create configuration...
Current configuration
!
version 1.74
local-user cnc service-type exec-administrator password cipher JEXJQ<%DJQ!!
dialer-rule 1 ip permit
firewall disable
encrypt-card fast-switch
!
dhcp server ip-pool 0
network 10.0.0.0 mask 255.255.255.0
gateway-list 10.0.0.254
dns-list 202.99.160.68
domain-name cnc.com
!
acl 1 match-order auto
rule normal permit source 10.0.0.0 0.0.0.255
!
interface Aux0
async mode flow
phy-mru 0
link-protocol ppp
!
interface Ethernet0
pppoe-client dial-bundle-number 1
!
interface Ethernet1
ip address 10.0.0.254 255.255.255.0
!
interface Serial0
link-protocol ppp
!
interface Serial1
link-protocol ppp
!
interface Dialer0
link-protocol ppp
mtu 1450
ppp pap local-user liuzhiguo@adsl password simple cnc
ip address ppp-negotiate
dialer bundle 1
dialer-group 1
nat outbound 1 interface
!
quit
ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60
!
return
[Quidway]
使用2621产品能够提供adsl拨号、和ip地址分配。呵呵,不错。
外接adsl拨号modem,当然也可以使用新推出的adsl模块。
【配置VT(虚模板)】
VT的作用主要是进行PPP拨号时候的LCP协商,比如认证方式(PAP or CHAP),协商超时时间,ppp的二层检测数据等等。因此我们在进行PPPOE业务配置的时候首先就需要配置VT。
1. 创建virtual template:
[MA5200F]interface Virtual-Template 1
2. 配置PPPOE的认证方式(PAP or CHAP):
[MA5200F-Virtual-Template1]ppp authentication-mode chap
这样5200和用户终端之间的PPP协商就采用了chap的方式进行。
【绑定VT到相应的接口】
在PPPOE的配置中我们还需要将VT绑定到相应的接口下面去。假设我们采用2号以太网口接入PPPOE用户,那么我们就需要将VT绑定到2号以太网接口的下面:
1. 进入2号以太网接口的配置视图:
[MA5200F]interface Ethernet 2
2. 将VT绑定到2号以太网接口上面:
[MA5200F-Ethernet2]pppoe-server bind virtual-template 1
这样我们就可以利用2号以太网接口来接入PPPOE用户了。
【配置地址池】
PPPOE用户在进行NCP的协商阶段需要获得一个IP地址,这个地址是存在在一个事先设定好的地址池中的,这个地址池可以存在在一个远端的DHCP服务器上面,也可以存在在5200本机上面,如果地址池是在5200上面的话那么首先就要配置这个地址池的相关参数。
1. 创建一个名为huawei的地址池:
[MA5200F]ip pool huawei local
2. 配置地址池的网关以及掩码:
[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0
3. 配置地址池的地址段:
[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10
注意:
地址池中间还需要根据具体的情况配置相应的DNS服务器。
★ 如果采用的是外置的地址池的话就按照下面的内容进行配置:
注意:
MA5200R007版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立地址池的时候需要将地址池的属性设置为remote,而且地址池中只需要指定gateway,而不需要配置地址段section。同时还需要建立一个DHCP SERVER组,在这个组里面指定外置DHCP SERVER的地址(注意,这里的DHCP SERVER的ip地址并不是地址池中的gateway)
1. 建立外置一个名为remotedhcp的DHCP SERVER组:
[MA5200F]dhcp-server group remotedhcp
2. 设置此DHCP SERVER组:
这里主要是指定此DHCP SERVER组所指向的DHCP SERVER的IP地址。
[MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10
3. 创建一个远端地址池:
[MA5200F]ip pool huaweiremote remote
4. 指定地址池的gateway以及绑定DHCP SERVER组:
[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0
[MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp
好了,现在我们已经给用户配置了一个地址池,接下来我们要为用户设置相应的认证和计费方案。
【配置认证方案】
这里我们配置一个采用radius认证的认证方案,在实际的应用当中认证方案可以是本地的也可以是radius的,如果是采用本地的认证方案,则需要在5200上面生成用户名和密码;如果是采用radius的认证方案,则需要在radius上面生成用户名和密码。
1. 进入AAA视图:
[MA5200F]aaa
2. 添加一个新的认证方案Auth1:
[MA5200F-aaa]authentication-scheme Auth1
这样接下来就进入了相应的认证方案视图。
3. 设置认证方案:
我们已经创建了一个新的认证方案Auth1,接下来我们将定义这个认证方案的具体内容。
[MA5200F-aaa-authen-auth1]authentication-mode radius
这里我们将Auth1这一个认证方案定义为了radius(远端)认证,也就是说采用这样的一个认证方案的用户的帐号是在远端的radius服务器上进行认证的,当然在实际的开局中我们也可以根据实际的情况将认证方案设置为其它的类型,如local,这样的话这个用户的帐号将在5200本地生成并进行认证。
【配置计费方案】
1. 进入AAA视图:
[MA5200F]aaa
2. 添加一个新的计费方案Acct1:
[MA5200F-aaa]accounting-scheme Acct1
3. 设置计费方案:
[MA5200F-aaa-accounting-acct1]accounting-mode radius
这里我们将Acct1这一个计费方案定义为了radius(远端)计费,也就是说采用这样的一个计费方案的用户是在远端计费服务器上进行计费的,当然在实际的开局中我们也可以根据实际的情况将计费方案设置为其它的类型,如local,这样的话这个用户将会在5200本地进行计费。
【配置radius服务器】
注意:
如果前面配置的认证方案是本地认证的话这一步可以不用配置。
我们既然采用了radius的认证和计费方式,那么我们就需要在5200上面配置有关radius服务器的参数,这些参数包括了:服务器的地址、计费和认证端口、密钥等等。
1. 进入radius服务器配置视图:
[MA5200F]radius-server group radius1
其中的“radius1”是5200上面radius配置项的名字,长度不能超过32个字符。
2. 配置主备用radius服务地址和端口号:
配置主用radius服务器地址和端口号
[MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812
配置备用radius服务器地址和端口号(如果没有备用服务器这一步可以不配)
[MA5200F-radius-radius1]radius-server authentication 218.18.1.18 1812 secondary
3. 配置主备用计费服务地址和端口号:
配置主用计费服务器地址和端口号
[MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813
配置备用计费服务器地址和端口号(如果没有备用服务器这一步可以不配)
[MA5200F-radius-radius1]radius-server accounting 218.18.1.18 1813 secondary
4. 配置共享密钥:
共享密钥是5200和radius之间进行报文加密交互的重要参数,两端一定要设置的一致,因此在设置共享密钥之前需要和radius方面进行协商,这里我们假定共享密钥是huawei。
[MA5200F-radius-radius1]radius-server key Huawei
【配置域】
这里配置的是进行PPPOE认证的时候所使用的域,在域里面需要指定用户所使用的地址池,认证和计费方案等参数。
在5200上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的配置之前我们首先要配置用户所属的域的一些参数。
1. 进入AAA视图:
[MA5200F]aaa
2. 新建一个名为isp的域:
[MA5200F-aaa]domain isp
接下来便进入了相应的域的配置视图。
3. 指定该域的认证方案和计费方案:
[MA5200F-aaa-domain-isp]authentication-scheme Auth1
[MA5200F-aaa-domain-isp]accounting-scheme Acct1
这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案Auth1和Acct1,分别是radius认证和radius计费。
4. 指定该域所使用的raidus服务器(如果是采用本地认证这一步可以不用配置):
[MA5200F-aaa-domain-isp]radius-server group radius1
这里我们就将先前配置的radius服务器radius1指定为了此isp域所使用的radius服务器。这样属于isp域的用户都将到这样的一个radius服务器上进行认证。
5. 配置域里面的地址池:
[MA5200F-aaa-domain-isp]ip-pool huawei
这里就使用了“huawei”这个地址池为PPPOE用户分配地址。
【配置VLAN端口】
配置VLAN端口的目的是指定某个端口的某些指定的VLAN用户认证前后所使用的域,所采用的认证方法。
1. 进入端口VLAN的配置视图:
[MA5200F]portvlan ethernet 2 vlan 1 1
这里的含义是进入了2号以太网端口的从1开始总共1个VLAN ID的配置视图。
2. 设置该端口VLAN为二层普通用户接入类型:
[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber
在access-type后面有多个选项,其中的layer-subscriber是指的普通的二层认证类型的端口,一般用于接入VLAN用户。
3. 配置用户所使用的域:
[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp
这里只配置了认证时的域为isp,对于认证前的域系统在默认的情况下使用default0这个域,所以可以不用配置。
4. 配置端口的认证方法:
[MA5200F-ethernet-2-vlan1-1]authentication-method pppoe
注意:
这里和前面的绑定认证以及WEB认证所不同的是将端口的认证方法指定为了pppoe,这样从2号以太网端口上来的VLAN ID为1的用户就是采用的pppoe认证的方式。
【配置本地用户参数】
注意:
如果是采用radius认证请跳过这一步。
1. 进入[local-aaa-server]的视图:
[MA5200F]local-aaa-server
2. 添加用户:
[MA5200F-local-aaa-server]user hua@isp password 123
这样我们就添加了一个用户名为hua@isp,密码为123的本地用户。
【配置上行接口以及路由】
配置上行接口的目的是为了和上层的路由器或者交换机相连接,在配置上行接口的时候我们首先要将需要配置的接口指定为“非管理类型”。
1. 进入端口VLAN的配置视图:
[MA5200F]portvlan ethernet 24 0 1
2. 设置端口VLAN的接入类型为非管理类型:
[MA5200F-ethernet-24-vlan0-0]access-type interface
在access-type后面有多个选项,其中的interface是指的非管理类型的端口,用于连接上层交换机。
3. 创建VLAN子接口:
[MA5200F]interface Ethernet 24.0
这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非管理类型”,然后再在这个端口上创建此VLAN的子接口。这里多了一个概念就是“VLAN子接口”。
这样,一个物理端口上就可以创建多个逻辑的VLAN子接口,每个子接口可以配置不同的ip地址。这样报文在上行的时候就可以根据需要走不同的ip上行,并且带上相应的VLAN ID,三层交换机(或者二层交换机)就可以根据这样的VLAN ID对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的VLAN子接口设置为0的话就是不带 VLAN ID上去。
4. 在 VLAN子接口下配置ip地址:
[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252
5. 配置默认路由:
对于一般条件的接入业务,5200上面只需要配置一条指向上行路由器端口的默认路由就可以了:
好像现在ISA2004也可以做了吧
[此贴子已经被作者于2005-3-1 22:49:28编辑过]
| 
转播
分享
淘帖
分享到新浪微博
