注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

zjc的博客

技术积累

 
 
 

日志

 
 

MA5200G配置 Radius1.1  

2010-02-02 11:01:44|  分类: 华为网络设备配置 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

网络拓扑如下:

MA5200G配置 Radius1.1 - zjcdillion - zjc的博客

 背景:本网络采用大二层方式接入用户,用户认证计费采用PPPoEoVLAN方式,采用该种方式的好处是能够合理利用带宽,防止用户抢占网络资源,同时隔离广播域;Bras作为PPPoE Server终结用户PPP数据报文;防火墙配置防攻击策略,配置NAT及出口路由协议;

设备:1.华为核心交换机S9300;2.华为BRAS MA5200G;3.华为防火墙USG5300

配置:

1.S9300交换机配置:首先是基础配置,管理vlan接口、远程登陆、super密码、透传vlan id、snmp协议,然后配置接口,接入类型为trunk和预先设计的接口vlan。配置脚本如下:
#
 sysname ****9300
#
 super password level 5 cipher $#@!@#$%<1!!
#
 vlan batch 2 to 4094
#
acl number 2001
 rule 2 permit source 10.1.*.* 0.0.0.255
 rule 5 permit source 10.1.*.* 0.0.0.255
 rule 10 deny
#
diffserv domain default
#
 drop-profile default
#
interface Vlanif100
 ip address 10.1.*.* 255.255.255.0
#
interface Vlanif400
 ip address 192.168.*.& 255.255.255.0
#
interface Ethernet0/0/0
#
interface GigabitEthernet1/0/0
 description radius server
 port link-type access
 port default vlan 400
#
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/3
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/4
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/5
 port link-type access
 port default vlan 231
#
interface GigabitEthernet1/0/6
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/7
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/8
 port link-type access
 port default vlan 111
#
interface GigabitEthernet1/0/9
 port link-type access
 port default vlan 321
#
interface GigabitEthernet1/0/10
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/11
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/12
 description pppoe test
 port link-type access
 port default vlan 123
#
interface GigabitEthernet1/0/22
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/23
 description 5200G PPPOE
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet1/0/24
 description manage
 port link-type access
 port default vlan 10
#
aaa
 local-user *** password cipher @!@!!!@BF<1!!
 local-user ***service-type telnet
 local-user *** level 1
 authentication-scheme default
#
2.华为BRAS MA5200G配置:首先是基础配置,管理vlan接口、远程登陆、super密码、snmp协议,然后配置bras接口及相应的上行、下联接口。其中bras接口配置涉及到虚模版配置、radius group配置、授权radius服务器配置、地址池配置、域配置、aaa认证计费模式配置、接口vlan配置;定义icmp报文限速acl以及远程连接控制acl;配置脚本如下:

#
 sysname $$%%^&^%5200
#
 super password level 3 cipher ADFAE《》《》?!!
#
radius-server group abc_radius
 radius-server authentication 192.168.*.@ 1812 weight 0
 radius-server accounting 192.168.*.@ 1813 weight 0
 radius-server shared-key abc12345
 radius-server type plus11
 undo radius-server user-name domain-included
#
radius-server authorization 192.168.*.@ shared-key abc123456 server-group abc_radius
#
acl number 2001
 rule 1 permit source 10.1.*.* 0.0.0.255
 rule 2 permit source 10.1.*.* 0.0.0.255
 rule 5 permit source 10.1.*.* 0.0.0.255
 rule 10 deny
#
acl number 2002
 rule 5 permit source 10.0.*.* 0
#
acl number 6001 match-order auto
 rule 5 permit icmp
#
traffic classifier c operator or
 if-match acl 2002
traffic classifier icmp-car operator or
 if-match acl 6001
#
traffic behavior cb
 traffic-statistic
traffic behavior icmp-car-b
 car cir 16 cbs 10000 pbs 10000 green pass yellow pass red discard
#
traffic policy _remote-defined-policy
traffic policy icmp-car-p
 classifier icmp-car behavior icmp-car-b
#
interface Ethernet1/1/0
#
interface Ethernet1/1/0.1
 vlan-type dot1q 400
 ip address 192.168.*.¥ 255.255.255.0
#
interface Ethernet1/1/0.2
 vlan-type dot1q 100
 ip address 10.1.*.# 255.255.255.0
#
interface Virtual-Template1
#
interface GigabitEthernet1/0/0
 traffic-policy icmp-car-p inbound
#
interface GigabitEthernet1/0/0.1
 pppoe-server bind Virtual-Template 1
 user-vlan 120 4000
 bas
  access-type layer2-subscriber  default-domain  authentication ispabc
#
interface GigabitEthernet1/0/1
 ip address 10.1.*.# 255.255.255.0
#
interface GigabitEthernet1/0/1.2
#
ip pool pool1 local
 gateway 10.10.*.* 255.255.0.0
 section 0 10.10.*.* 10.127.255.254
 dns-server  202.106.0.20
 dns-server  219.141.136.10 secondary
#
aaa
authentication-scheme  auth_abc
authentication-scheme  auth_local
 authentication-mode local
accounting-scheme  acct_abc
 accounting interim interval  1                //每个1分钟发送实时计费报文
 accounting send-update
domain  default0
domain  default1
domain  default_admin
 authentication-scheme   auth_local
domain  ispabc
 authentication-scheme   auth_abc
 accounting-scheme   acct_abc
 flow-statistic  up                     //打开上行流量统计,开始还以为是流量统计打开
 flow-statistic  down                //打开下行流量统计,开始还以为是流量统计关闭
 radius-server group  abc_radius
 ip-pool pool1
#
 ip route-static 0.0.0.0 0.0.0.0 10.1.*.&
#
 其中在与Radius系统配合实现将计时用户踢下线功能耗费1周的时间,华为公司的MA5200G产品在处理session timeout计时结束时,不是立刻将用户踢下线,而是发送实时计费报文询问Radius系统是否要将用户踢下线,如果Radius系统发送的实时计费响应报文中含有session timeout属性且值为“0”则MA5200G才将用户踢下线。为了搞清楚这个流程反复给华为400打电话,还发生投诉技术支持工程师事件(个别技术支持响应时间及其缓慢,而且概念不清楚,看来华为公司在不断扩张的过程中还是要注意人员素质的培养)

 3.华为防火墙USG5300配置:首先是基础配置,管理ip、远程登陆、super密码、snmp协议,然后是NAT配置、路由配置、策略路由配置、域间策略配置l;

经验&教训:

一定要学会与人沟通,在没有解决问题之前尽量不要把关系弄僵;在调试过程中发现问题,尽量规避不要让用户把很小的问题看成致命的问题,同时要引导客户,把不能解决或者很难解决的问题转化为通过其他方式解决的问题。

 

  评论这张
 
阅读(988)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018