BRAS配置及其维护.docx
- 文档编号:18288809
- 上传时间:2023-08-15
- 格式:DOCX
- 页数:29
- 大小:57.16KB
BRAS配置及其维护.docx
《BRAS配置及其维护.docx》由会员分享,可在线阅读,更多相关《BRAS配置及其维护.docx(29页珍藏版)》请在冰点文库上搜索。
BRAS配置及其维护
BRAS配置及其维护
本手册分三个部分,第一部分是业务介绍,主要介绍的是设备支持哪些功能。
第二部分是常见配置,有VLAN自动获取IP地址配置(即DHCP),VLAN静态用户配置,强制WEB认证配置,PPPOE配置等。
第三部分是常见故障处理,主要是radius问题,对接设备问题等案例。
1BRAS业务功能
1.1VLAN透传
1.2VLAN用户接入
1.3PPPOE用户接入
1.4强制PORTAL
1.5组播
1.6多网段功能
1.7多域控制
1.8源地址路由功能
1.9Trunk功能
1.10ACL控制
1.11Intergroup组
1.12UCL控制
1.13QOS
1.14NAT
1.15计费
1.16本地计费
1.17radius计费
1.18计费方案
1.19认证
1.20认证方式
WEB认证、pppoe认证、绑定认证;R009还有802.1X认证(支持EAP-SIM和EAP-MD5)。
1.21认证方案
1.22地址管理
1.23本地地址池
1.24外置DHCPServer
1.25内置DHCPServer
1.26RadiusServer
1.27路由
1.28静态路由
1.29动态路由
RIPOSPFISISBGP等
1.30安全性
1.31用户安全
1、每个用户一个VLAN,在二层实现隔离。
2、设置UCL规则,在三层实现隔离。
3、帐号和端口绑定,杜绝地址欺骗。
4、对于VLAN用户数据报文,对其IP地址、MAC地址,VLANID、端口进行绑定验证,抛弃非法报文。
1.32设备安全
1、网络侧通过IP报文攻击BRAS;通过配置可信任IP地址和配置网络侧接入访问限制来解决。
2、用户侧的攻击,系统可以自动识别出有异常的用户(VLAN和MAC),并自动关闭这些用户的业务,但是只能够手动恢复。
设置当系统受到某个MAC的攻击,自动关闭此MAC。
设置当系统受到某个VLAN的攻击,自动关闭此VLAN。
2BRAS常见配置
3.1维护终端的连接和配置
BRAS的控制台提供本地维护和远程维护两种方式。
本地维护采用串口或Telnet方式,远程维护可以采用Telnet方式。
3.1.1串口终端
1、连接方式:
将配置主机串口通过标准的RS232串口线与主控板上的维护串口COM连接:
2、超级终端参数设置:
波特率9600BRASbps,其他参数都采用默认参数即可。
3.1.2Telnet终端
系统默认的维护网口IP地址为**********,子网掩码为********。
1、本地连接:
将配置主机的以太网口和BRAS主控板的维护网口通过局域网连接,此时BRAS使用标准网线与局域网相连,
图3-3
注意:
也可以将配置主机网口与BRAS主控板的维护网口ETH直接连接,但此时要使用交叉网线。
2、远程连接:
将配置主机和BRAS的维护网口通过广域网连接,
图3-4
&说明:
远程管理不一定都连接在的ETH端口上。
3-4只是远程Telnet的一种方法。
还可通过带内方式(使用业务板的业务通道)进行远程维护。
对于Telnet远程维护,必须保证有相应的路由可达BRAS,从维护终端上可以Ping通维护网口地址。
3、登录BRAS设备:
运行Telnet程序,如图3-5所示,在连接窗口中键入BRAS的接口IP地址,建立连接。
输入正确的用户名和口令,然后出现命令行提示符。
图3-5
也可以使用超级终端:
选择“TCP/IP“协议,在“主机地址”处输入BRAS的登录IP地址,如图3-6所示:
图3-6
3.1.3操作用户管理
BRAS系统控制台的登录验证主要对操作用户进行身份校验,通过对操作用户的用户名和密码的匹配识别,来允许或拒绝操作用户的登录。
对于一个操作用户,有帐号(即用户名)、权限、密码、重复登录数(即该帐号可同时登录的个数)等属性。
1、增加操作用户:
删除操作用户:
2、设置用户权限:
3、更改用户密码:
4、更改用户登录次数:
5、显示所有操作用户信息:
6、显示登录的Telnet终端用户信息:
3.1.4Telnet客户端管理
对通过Telnet登录的操作用户,BRAS系统通过对客户端Telnet的IP地址的管理防止非法操作用户登录设备。
BRAS系统建立一个Telnet客户端控制列表,通过对Telnet客户端IP地址的增加、删除、激活、去激活来管理Telnet操作用户。
Telnet操作用户连接主机后也需要进行身份校验。
&说明
带内:
inband是指通过业务板的接口地址与BRAS互通。
带外:
outband是指通过主控板的维护网口与BRAS互通。
3.2网管工作站配置
在通过网管管理BRAS前,必须先在该BRAS中增加该网管工作站的参数,否则系统将不会处理网管的请求报文,用户将无法通过网管维护该BRAS宽带智能接入服务器
3.2.1增加网管工作站:
1、新加网管:
需要设置网管ip、掩码,网管名称,网管GET/SET团体名,网管维护方式。
2、激活网管工作站:
注意:
在配置网管工作站时应注意以下问题:
增加网管工作站时必须保证同一维护方式下网管IP地址及网管名称唯一。
网管工作站参数增加后必须激活才能生效。
团体名字符串是区别大小写的,即相同字符串但大小写不一致也会认为是两个不同的团体名字符串。
3.3业务配置
BRAS业务安照接入方式可以分为VLAN、PPPOE等,常用的业务配置还有:
L2TP、NAT和专线业务。
3.3.1路由接入
3.3.2静态VLAN用户业务
1、系统组网说明:
(1)PC1接LS的端口3,VLANID为3;
PC2接LS的端口8,VLANID为8;
(2)PC1、PC2通过LS连到业务接入板上的任意一个网口,比如网口0上;
(3)业务接入板的网口0必须设为tagged方式,槽位号为3;
(4)业务接入板的网口7接VODServer服务器,槽位号为1;(这里的vodserver端口可以代表上行口的设置)
(5)PC1、PC2以VLANID认证的方式通过BRAS内虚模板的代理从BRAS内获取预
先绑定的IP地址,从而实现上网、VOD点播等业务,系统基于VLANID对各用户实现管理功能,如认证、开通、计费等;
(6)PC1、PC2为静态VLAN用户,在BRAS内实现基于VLANID、IP地址二者的绑
定,在系统挂有DHCP服务器的时候,所有静态VLAN用户的IP地址必须是DHCP服务器地址池中的IP地址,而且这些地址必须从DHCP服务器地址池中排除,以免DHCP服务器再次分配这些IP地址。
3、系统IP地址规划
业务接入板网口7:
192.9.9.7/24;
虚模板:
152.9.9.52/24;
4、PC设置(静态VLAN用户,必须设置)
PC1:
IP地址:
152.9.9.1/24,网关:
152.9.9.52;
PC2:
IP地址:
152.9.9.12/24,网关:
152.9.9.52;
5、LS的设置
(1)端口3的VLANID为3;
(2)端口8的VLANID为8;
(3)端口25作上行,透传所有用户VLAN。
6、服务器的设置
VODServer:
IP地址:
192.9.9.9/24,网关:
192.9.9.7;
7、系统数据配置
配置虚模板
配置虚模板的IP地址
这里绑定用户vlan,可以分别绑定单个vlan,也可以连续绑定一段vlan,其中包含用户vlan即可)
&说明:
1、由于VLAN端口在每个槽位下唯一,为唯一标识一个VLAN端口,必须具有slot槽位信息。
每个VLAN端口一次只能绑定一个虚模板,即一次只能属于一个网段。
2、当想要改变VLAN端口绑定的虚模板时,必须先解除以前的绑定关系。
3、解绑定操作只有在此VLAN端口下没有任何类型的VLAN用户存在时才能执行成功,即不能有任何获取了合法IP地址的用户(无论上线与否)存在。
(可以通过block该vlan端口的状态实现)
VLAN端口激活配置
VLAN端口认证配置
如果不输入系统默认口令为VLAN
&说明:
系统默认的VLAN端口属性如下:
端口状态为激活;
认证方式是Web认证方式,系统默认密码是“vlan”,快速和绑定认证下上线的用户不使用VLAN端口CAR的标记;
端口下用户数不受控,每端口最多带2048个可获得合法IP地址的用户。
进入VLAN域
激活VLAN域
此处口令与VLAN端口配置一致
激活帐号
配置静态VLAN用户
此处MAC地址可以不输入,如果录入则静态用户只允许带有此MAC地址网卡的PC机使用
配置静态VLAN用户
8、验证
(1)在PC1、PC2上分别Ping虚模板、业务接入板上的各上行口、VODServer服务器
的IP地址,应均能Ping通;
(2)从服务器回PingPC1、PC2,应均能Ping通;
3.3.3内置DHCP业务
1、组网图
内置dhcpserver接入
2、系统组网说明:
(1)PC1接LS的端口3,VLANID为3;
PC2接LS的端口8,VLANID为8;
(2)PC1、PC2通过LS连到业务接入板上的任意一个网口,比如网口0上;
(3)业务接入板的网口0必须设为tagged方式;
(4)业务接入板的网口7接VODServer服务器;
(5)PC1、PC2以VLANID认证的方式通过BRAS内虚模板代理的DHCPServer动态地获取IP地址,从而实现上网、VOD点播等业务,系统基于VLANID对各用户实现管理等功能,如认证、开通、计费等;
3、系统IP地址规划
业务接入板网口7:
192.9.9.7/24;
虚模板:
152.9.9.1/24;
4、PC设置
PC1:
自动获取IP地址;
PC2:
自动获取IP地址。
5、LS的设置
(1)端口3的VLANID为3;
(2)端口8的VLANID为8;
(3)端口25的端口类型为tagged,透传所有业务VLAN;
6、服务器的设置
VODServer:
IP地址:
192.9.9.9/24,网关:
192.9.9.7;
7、系统数据配置
配置VOD服务器接口的IP地址
配置虚模板的IP地址
配置内置DHCP服务器的IP地址)
绑定vlanbindvlan(这里绑定用户vlan,可以分别绑定单个vlan,也可以连续绑定一段vlan,其中包含用户vlan即可)
配置内置DHCP服务器的IP地址池
配置地址池网关地址及掩码
注意:
网关ip地址和掩码用于检查地址段的地址是否和网关在一个子网内;如果一个地址池中存有地址,就不能够修改这个参数;网关地址应该和相应的虚模板的地址相同,如果不一样,在使用中会出现问题
配置地址池的IP地址段
配置DNS服务器的IP地址
激活VLAN端口VLAN端口认证配置
设置域及生成并激活用户的帐号
进入VLAN域
激活VLAN域
8、PC验证
(1)在PC1、PC2上分别可以获取IP地址;
(2)在PC1、PC2上分别Ping虚模板、业务接入板上的各上行口、各服务器的IP地址,应均能Ping通;
(3)从各服务器回PingPC1、PC2,应均能Ping通;
(4)从BRAS上PingPC1、PC2,应均能Ping通;
3.3.4WEB认证业务
1、系统组网说明:
(1)PC1接LS的端口3,VLANID为3;
PC2接LS的端口8,VLANID为8;
(2)PC1、PC2通过LS连到业务接入板上的任意一个网口,比如网口0上;
(3)业务接入板的网口0必须设为tagged方式;
(4)业务接入板的网口7接WEBServer服务器;
(5)PC1、PC2以VLANID认证的方式通过BRAS内虚模板的代理从DHCPServer动态地获取IP地址。
2、系统IP地址规划
业务接入板网口7:
192.9.9.7/24;
虚模板:
152.9.9.1/24;
3、PC设置
PC1:
自动获取IP地址;
PC2:
自动获取IP地址。
4、LS的设置
(1)端口3的VLANID为3;
(2)端口8的VLANID为8;
(3)端口25的
5、服务器的设置
WEBServer:
IP地址:
192.9.9.9/24,网关:
192.9.9.7;
6、数据配置
配置WEB服务器接口的IP地址
配置默认路由
配置虚模板的IP地址
配置内置DHCP服务器的IP地址
绑定用户vlanbindvlan3
绑定用户vlan,可以分别绑定单个vlan,也可以连续绑定一段vlan,其中包含用户vlan即可
配置强制web服务器地址
配置内置DHCP服务器的IP地址池
配置地址池网关地址及掩码
配置地址池的IP地址段
(配置DNS服务器的IP地址
激活VLAN端口
这里配置dns地址
定义用户认证前可以访问web服务器和DNS服务器
配置认证方案,采用本地认证
配置计费方案,不计费
进入域配置,假设域名为beier
绑定认证方案
绑定计费方案
激活域
添加用户
如果采用radius认证计费需要作如下修改:
新建或进入一个RADIUS策略
设置RADIUS服务器的主IP
设置RADIUS服务器的备用IP设置RADIUS服务器的密钥
绑定域和radius服务器
Radius认证时需要在radius服务器上设置用户的帐号、密码。
7、验证
(1)在PC1、PC2上分别可以获取IP地址;
(2)在PC1、PC2上分别Ping虚模板、业务接入板上的各上行口,应均能Ping通。
此时上行口如果接到其它设备上(如三层交换机,路由器),从PC机上应PING不通其它设备的IP地址,原因是在没有进行认证。
(3)打开IE浏览器,弹出WEB服务器IP地址,输入帐号、密码,认证通过后可以上网,也可以ping通其他上层设备地址。
3.3.5PPPOE业务
1、系统组网说明
(1)LS此时当作HUB使用;
(2)PC1接LS的任意端口如3,PC2接LS的任意端口如8;
(3)PC1、PC2通过LS连到业务接入板上的任意一个网口,比如网口0上;
(4)业务接入板的网口0此时设为untagged方式;
(5)业务接入板的网口4接RadiusServer服务器;
业务接入板的网口7接VODServer服务器;
2、系统IP地址规划
业务接入板网口4:
10.10.2.7/24;
业务接入板网口7:
192.9.9.7/24;
PC1、PC2所在的IP地址池的网段:
152.3.3.0255.255.255.0
3、PC设置
PC1:
自动获取IP地址;
PC2:
自动获取IP地址。
4、LS的设置
(1)LS当HUB使用时,下带业务报文不带任何VLAN,则业务接入端口应为untagged方式。
(2)如果LS下带业务有VLAN时,则3、8端口分别配置各自的VLAN,上行口25口透传所有用户VLAN。
业务接入板的端口设为tagged方式;其他配置与untagged相同
5、服务器的设置
RadiusServer:
IP地址:
10.10.2.9/24,网关:
10.10.2.7;
VODServer:
IP地址:
192.9.9.9/24,网关:
192.9.9.7;
6、系统数据配置
配置Radius服务器的接口IP地址
配置VOD服务器的接口IP地址
配置业务接入板的接口属性
配置虚模板的IP地址)
配置VPDN组1
配置内置DHCP服务器的IP地址池
配置地址池网关地址及掩码
配置地址池的IP地址段)
配置DNS服务器的IP地址
配置RAIDUS服务器
要与RAIDUS侧设成一样的密钥)
配置认证方案
配置计费方案
配置一个域
配置该域的地址池
7、验证:
(1)在PC1、PC2上分别运行pppoe程序可以拨号上网,获取相应的IP地址;
(2)在PC1、PC2上分别Ping虚模板、业务接入板上的各上行口、各服务器的IP地址,应均能Ping通;
3BRAS常见FAQ
3.1为什么修改了BRAS的主机名后VLAN绑定用户不能上网?
VLAN绑定用户的帐号格式为:
主机名-vlan-槽位号-vlan号@vlan。
因为修改BRAS主机名的时候不能同时更新VLAN用户帐号中相应的主机名,当用户上线的时候携带过来的帐号中的主机名就成了修改以后的主机名了,与原先配置的VLAN用户账号不相同,所以无法通过认证上网。
解决方式有:
恢复原来的主机名,或者删除并重新添加相应的VLAN帐号。
3.2告警PAYLOADOFPPPOVERFLOW的意思?
某些拨号用户发送的报文长度超出了1492字节而被BRAS丢弃(正常PPP报文小于1492),对正常业务没有影响。
3.3地址池中还有剩余地址可以分配,但经常有告警无空余地址可分配。
由于域中设置了多个地址池,在上网高峰期的时候,如果某个地址池的地址分配完了过后,就会有此告警。
因为BRAS并不知道这个地址池被PPPOE用户还是VLAN用户在使用,也不知道这个地址池分配完后会不会有第二个地址池供分配,所以一旦地池分配完后就会打印这个告警!
3.4是否可以查看pppoe拨号用户上网时间?
对于在线用户,可以参考使用命令行********************查看具体xxx用户的上线时间及时长;对于RADIUS认证计费用户,还可以在RADIUS服务器上进行相关查询。
3.5BRAS下带交换机是否可以配置成VLAN1的静态用户?
可以。
将VLAN1的数据包透传送到BRAS处理即可。
3.6VLAN用户强制PORTAL认证需要做哪些配置?
<1>指定portal服务器地址:
<2>设置portal协议的共享密钥:
3.7不删除数据,如何禁止某些VLAN用户上网?
方法很多,比如block相应的VLAN端口、VLAN用户的账号,删除虚模板中绑定的VLAN等。
如果block相应的VLAN域,则所有的VLANbind或fast用户就都不能上网了
3.8什么是ARP探测机制?
BRAS中对于VLAN用户有一个ARP探测机制。
当用户在线时,每隔15-20秒向VLAN用户发送一个ARP探测(ARP请求),如果收到用户的响应,则表明用户在线;如果BRAS没有收到ARP的响应,则每隔5秒向用户发送一个ARP探测报文,如果在经过一组探测的后(此次数可设),仍没有回应,则BRAS将断开用户的连接。
如果配置中的ARP探测次数设置为20,当用户异常下线后(拔网线或关机),将至少要经过5*20=100秒后,BRAS才切断用户的连接。
如果是RADIUS认证计费,此时才向radius-server发送计费结束请求报文(code=4)。
在这100秒的时间内用户仍然在线。
3.9如何禁用地址池中的某个地址?
使用命令:
*************
3.10如何限制用户的接入数?
VLAN用户可以通过限制VLAN的接入数和限制VLAN帐号的接入数来确定,取交集为实际允许用户的接入数;PPPOE拨号用户只在账号中进行限制。
3.11如果不同L2交换机送到同一BRAS的VLAN相同的话,是否会有问题?
没有问题,因为VLAN与BRAS上具体的物理端口没有关系。
如果是VLAN用户,只是将VLAN绑定到某个虚模板上;如果用户端采用PPPOE拨号上网,则BRAS根本不处理VLAN信息。
3.12局域网内用户能否通过代理服务器进行WEB认证上网?
不可以。
代理服务器可以实现WEB认证上网,但局域网内的用户不能实现。
3.13局域网内用户能否通过代理服务器进行WEB认证上网?
不可以。
代理服务器可以实现WEB认证上网,但局域网内的用户不能实现。
3.14能否用HUB代替Lanswitch开VLAN业务?
不可以,因为HUB不能处理VLAN标记。
3.15虚模板能否配置第二个IP地址?
不能,只能配置一个IP地址!
3.16如何通过BRAS管理下带的设备?
将下带的设备当作一个VLAN静态用户即可,BRAS上只需要做VLAN静态用户的相关数据。
3.17BRAS双上行组网问题?
BRAS可以使用双上行的组网方式。
在BRAS上可以做一条默认路由,在相应的域中也可以设置源地址路由,这样可以实现不同域的用户使用不同的出口访问网络。
3.18上行的主备用路由如何实现?
使用双上行的组网方式,做两条默认路由,并指定不同的preference即可实现路由备份。
3.19如何修改RADIUS-SERVER的IP地址?
首先切断所有使用该RADIUS-SERVER进行认证计费的所有用户,确认无任何和该RADIUS-SERVER进行交换的RADIUS报文,然后即可以修改其IP地址。
3.20如何修改地址池router-ip的IP地址?
首先切断用户的连接,收回该地址池中的所有IP地址,然后即可以直接修改IP地址。
3.21如何修改虚模板的IP地址?
首先切断所有与此虚模板有关的用户连接,删除所有VLAN静态用户数据,然后即可修改此虚模板的IP地址。
3.22当域中配置多个地址池后,能否通过radius属性让用户从指定地址池中获取IP地址?
在RADIUS协议中,可以通过88号属性(framepool)让用户从指定的地址池中获取IP地址,是否可以通过WEB页面修改用户的口令?
通常Portal(WEB)认证的用户可以通过portal页面修改其密码,但普通的VLAN用户、拨号用户不能在web页面修改口令。
3.23用户之间如何实现互通?
假设BRAS上没有设置ACL等访问控制。
有如下几种可能:
<1>用户采用PPPOE拨号上网。
此时两个用户只要通过认证上网,那么他们就可以互访;
<2>VLAN用户,属于不同VLAN,不同网段。
只要用户的PC上网关设置正确即可互通;
<3>VLAN用户,属于不同VLAN,相同网段。
在BRAS上打开ARP代理:
(config)#proxy-arpenable即可。
<4>VLAN用户,属于相同VLAN,相同网段。
用户通过二层交换机即可互访。
3.24BRAS下的用户如果出现打不开某些网站或某些业务不正常的时候如何处理?
A:
出现这类问题一般有两类情况:
1)NAT用户2)VPN(L2tp)用户
对于出现只有个别网站打不开或是某些业务不正常时,一般都是由于报文分片造成的,由于NAT\POS\L2TP都不支持分片,如果报务器送回来的报文超过一定的长度,在网络上传输时被分片了,这些报文在经过BRAS时就会被丢弃,从而导致业务不正常。
出现这类问题时,可以通过修改客户端的MSS值使得传输的报文长度减小达到不分片的效果。
(相应的软件可以到互联网上搜索如irad.exe等)
3.25BRAS的用户分别通过什么样的流程分配IP?
Answer:
对VLAN用户:
VLAN用户发起DHCP会带上用户的VLAN信息,BRAS首先根据此VLAN在哪个虚模板下绑定来找到对应的虚模板,再查看虚模板下的DHCP服务器的地址,如果是非BRAS接口地址或环回地址则把DHCP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- BRAS 配置 及其 维护