华为MA5200F业务配置模板(手册)

本文档只给出目前各种业务配置的适用模板，不包括telnet、网管、上行口、静态路由等的配置。

一.基础配置

1.Radius-server group的配置

#

radius-server group radius1

radius-server key 123

radius-server authentication 2.111.1.84 1812

radius-server accounting 2.111.1.84 1813

radius-server class-as-car (由Radius下发每个帐号的带宽)

undo radius-server user-name domain-included

#

#

radius-server group radius_vpdn

radius-server key 222

radius-server authentication xxxx.xxxxx.xxxxx.xxxx

radius-server accounting xxxx.xxxx.xxxx.xxxx

#

2.IP地址池的配置

#

ip pool pppoe local

gateway 2.84.134.1 255.255.254.0

section 0 2.84.134.2 222.84.135.254

dns-server 2.1.2.8

dns-server 2.1.2.6 secondary

#

#

ip pool vlan local

gateway 222.84.136.1 255.255.254.0

section 0 222.84.136.2 222.84.137.254

dns-server xxxx

dns-server xxxx secondary

#

#

ip pool wg local

gateway 10.100.3.241 255.255.255.240

section 0 10.100.3.242 10.100.3.254

excluded-ip-address 10.100.3.242 10.100.3.254

#

3.认证方案的配置

#

aaa

authentication-scheme radius

authentication-mode radius

#

#

aaa

authentication-scheme none

authentication-mode none

#

4.计费方案的配置

#

aaa

accounting-scheme radius

accounting-mode radius

accounting interim-fail online

#

#

aaa

accounting-scheme none

accounting-mode none

#

二.业务配置

1.PPPoE业务的配置

PPPoE业务的一般配置流程如下图所示：

假设我们要在1号FE端口的VLAN 2下配置PPPoE业务接入，采用Radius认证和计费（因为Radius认证所以“配置用户”的步骤省略），PPPoE协商方式为CHAP，具体的配置如下（路由配置省略）：

a. 配置虚模板并绑定到相应的接口

#

interface Virtual-Template 1

ppp authentication-mode chap

#

#

interface Ethernet 1

pppoe-server bind virtual-template 1

#

b. 配置名称为PPPoE的地址池

c. 配置名称为radius的认证策略

d. 配置名称为radius的计费策略

e. 配置名称为radius1的Radius-server组

f. 配置域

#

aaa

domain pppoe

authentication-scheme radius

accounting-scheme radius

user-host-car 8 32 (为了防止PC直接对MA5200F的攻击)

radius-server group radius1

ip-pool pppoe

#

g. 配置VLAN端口

#

portvlan ethernet 1 vlan 2

Access-type layer2-subscriber

default-domain authentication pppoe

authentication-method pppoe

#

2.VLAN静态业务的配置

VLAN业务的一般配置流程如下图所示：

假设我们要在2号FE端口的VLAN 3下配置静态用户接入，采用不认证、不计费，具体的配置如下（因为不认证不计费所以Radius配置和用户配置省略、VLAN子接口在三层认证时才需要所以也省略、路由配置省略）：

a. 配置名称为vlan的地址池

b. 配置名称为none的认证策略

c. 配置名称为none的计费策略

d. 配置域

#

aaa

domain static-user

authentication-scheme none

accounting-scheme none

user-host-car 8 32 (为了防止PC直接对MA5200F的攻击)

ip-pool static

#

e. 配置VLAN端口

#

portvlan ethernet 2 vlan 3

access-type layer2-subscriber

default-domain authentication static-user

authentication-method bind

static-user xxxx detect

#

QQread.com

推出各大专业服务器评测 Linux服务器的安全性能

SUN服务器

HP服务器

DELL服务器

IBM服务器

联想服务器

浪潮服务器

曙光服务器

同方服务器

华硕服务器

宝德服务器

3.下接DSLAM设备和交换机类静态用户的配置

为了实现对MA5200F下接DSLAM设备和交换机的网管治理，需要将它们配置为MA5200F的静态用户。该类静态用户的配置和“2. VLAN静态业务的配置”完全一致，只不过在域下不需要添加为了防止对MA5200F进行而配置的命令user-host-car 。

假设我们要在3号FE端口的VLAN 4下配置一个静态用于接入交换机，采用不认证、不计费，具体的配置如下（因为不认证不计费所以Radius配置和用户配置省略、VLAN子接口在三层认证时才需要所以也省略、路由配置省略）：

a. 配置名称为wg的地址池

b. 配置名称为none的认证策略

c. 配置名称为none的计费策略

d. 配置域

#

aaa

domain wg 不需要配置命令user-host-car 8 32

authentication-scheme none

accounting-scheme none

ip-pool wg

#

e. 配置VLAN端口

#

portvlan ethernet 3 vlan 4

access-type layer2-subscriber

default-domain authentication wg

authentication-method bind

static-user 10.100.3.242 detect

#

QQread.com

推出各大专业服务器评测 Linux服务器的安全性能

SUN服务器

HP服务器

DELL服务器

IBM服务器

联想服务器

浪潮服务器

曙光服务器

同方服务器

华硕服务器

宝德服务器

4.L2TP业务的配置

L2TP业务配置流程如下：

l 启用L2TP

l 创建并配置L2TP组

l 配置虚模板并绑定到相应的接口

l 配置认证策略

l 配置计费策略

l 配置Radius

l 配置域

l 配置VLAN端口

假设我们要在5号FE端口的VLAN 6下配置L2TP接入用户，需要同时在Radius上认证和计费也LNS上认证和计费（本例如此，也可以不在Radius认证和计费），具体的配置如下：

a. 启用L2TP功能

#

l2tp enable

#

b.创建并配置L2TP组

#

l2tp-group 1

tunnel authentication

tunnel passWord simple yancao

tunnel name yancao

start l2tp ip 202.103.228.62

#

c. 配置虚模板并绑定到相应的接口

#

interface Virtual-Template 1

ppp authentication-mode chap

#

#

interface Ethernet 5

pppoe-server bind virtual-template 1

#

d. 配置名称为radius的认证策略

e. 配置名称为radius的计费策略

f. 配置名称为radius_vpdn的Radius-server组

g. 配置域

#

aaa

domain l2tp

authentication-scheme radius

accounting-scheme radius

user-host-car 8 32

radius-server group radius_vpdn

#

h. 配置VLAN端口

#

portvlan ethernet 5 vlan 6

access-type layer2-subscriber

default-domain authentication l2tp

authentication-method pppoe

l2tp-group 1

#