kl800.com省心范文网

MA5200F配置及其维护宝典V1.0


MA5200F 常见问题宝典

MA5200F 常见问题宝典
本手册分五个部分,第一部分是硬件介绍,主要介绍设备的单板,接口类型,光功率等 介绍。第二部分是业务介绍,主要介绍的是设备常用功能及其应用。第三部分是常见配置, 包括 MA5200F 日常用到的一些业务配置。第四部分是常见 FAQ,主要介绍设备常见的一 些问题,有操作问题,比如如何添加登陆账户,也有一些疑难问题解答。第五部分是常见故 障处理,主要是 radius 问题,对接设备问题等案例。 对本手册如有疑问,请联系华为客服中心,谢谢。

2013-7-22

华为机密,未经许可不得扩散

第 1 页, 共 198 页

MA5200F 常见问题宝典

1

MA5200F 硬件规格 ............................................................................................................... 3
1.1 单板介绍 ................................................................................................................................ 3 1.2 电源及环境参数 ..................................................................................................................... 4 1.3 性能指标 ................................................................................................................................ 5 1.4 接口技术指标 ......................................................................................................................... 8 1.5 MA5200F 的容量 ................................................................................................................. 14 1.6 MA5200F 的协议支持情况 .................................................................................................. 15

2

MA5200F 功能介绍 ............................................................................................................. 15
2.1 接入认证 .............................................................................................................................. 15 2.2 VLAN 透传功能 ................................................................................................................... 15 2.3 链路聚合功能 ....................................................................................................................... 16 2.4 路由管理及其策略路由 ........................................................................................................ 17 2.5 强推 portal 功能 ................................................................................................................... 17 2.6 用户速率限制 ....................................................................................................................... 18 2.7 用户互访及其访问外网限制 ................................................................................................. 18

3

MA5200F 常见业务配置 ..................................................................................................... 19
3.1 维护终端的连接和系统配置 ................................................................................................. 19 3.2 VLAN 静态用户的配置......................................................................................................... 30 3.3 VLAN 绑定用户的配置......................................................................................................... 37 3.4 WEB 认证用户的配置............................................................................................................. 43 3.5 强制 WEB 认证的配置 ......................................................................................................... 53 3.6 PPPOE 认证用户的配置...................................................................................................... 62 3.7 PnP 认证用户的配置 ........................................................................................................... 71 3.8 dot1X 认证用户的配置......................................................................................................... 80 3.9 VPN 用户的配置 .................................................................................................................. 85 3.10 专线业务的配置 ................................................................................................................. 88 3.11 三层认证的配置 ............................................................................................................... 104 3.12NAT 业务的配置 ............................................................................................................... 110

4

MA5200F 常见 FAQ.......................................................................................................... 117
4.1 802.1x 接入业务(WLAN) ................................................................................................... 117 4.2 AAA(ACL/UCL/CAR/本地计费等) ..................................................................................... 118 4.3 HGMP ................................................................................................................................ 124 4.4IPOX 接入业务 ................................................................................................................... 125
2013-7-22 华为机密,未经许可不得扩散 第 2 页, 共 198 页

MA5200F 常见问题宝典

4.5NAT .................................................................................................................................... 126 4.6PPPOX 接入业务 ............................................................................................................... 126 4.7RADIUS.............................................................................................................................. 133 4.8VPN .................................................................................................................................... 142 4.9 动态路由协议 ..................................................................................................................... 145 4.10 接口 ................................................................................................................................. 147 4.11 版本规格 .......................................................................................................................... 149 4.12 硬件系统 .......................................................................................................................... 151 4.13 系统管理 .......................................................................................................................... 153

5

MA5200F 常见故障处理 ................................................................................................... 164
5.1 Radius server 问题 ............................................................................................................ 165 5.2 地址池问题 ........................................................................................................................ 174 5.3 静态用户问题 ..................................................................................................................... 177 5.4web 业务问题 ..................................................................................................................... 182 5.5 l2tp 接入 ............................................................................................................................ 187 5.6 病毒攻击 ............................................................................................................................ 188 5.7 用户不能上网 ..................................................................................................................... 189 5.8 ACL 配置 ........................................................................................................................... 193

2013-7-22

华为机密,未经许可不得扩散

第 3 页, 共 198 页

MA5200F 常见问题宝典

1 MA5200F 硬件规格
1.1 单板介绍
FE FE 板是快速以太网接口板, 每块 FE 板对外提供 6 个 10/100Mbps 兼容的以太 网电接口或 6 个 100Mbps 以太网光接口,系统中配置 1~4 块。 FE 板根据接口类型可以分为以下 3 种:
? ? ?

六路快速以太网电接口板 六路单模快速以太网光接口板(15km) 六路多模快速以太网光接口板(2km)

在系统中可以根据需要选配这 3 种接口板,并可以混合配置。 GE GE 板是千兆以太网接口板,每块 GE 板对外提供 1 个或 2 个 1000M 以太网光 接口,系统内配置 1 块。 GE 板根据接口类型可以分为以下 6 种:
? ? ? ? ? ?

单路单模千兆光接口以太网板(10km) 单路多模千兆光接口以太网板(500m) 双路单模千兆光接口以太网板(10km) 双路多模千兆光接口以太网板(500m) 单路单模千兆光接口以太网板(40km) 单路单模千兆光接口以太网板(70km)

可根据需要选配其中的一种。

1.2 电源及环境参数 1.2.1 电源参数
MA5200F 的电源参数如下表所示。

2013-7-22

华为机密,未经许可不得扩散

第 4 页, 共 198 页

MA5200F 常见问题宝典

项目 AC(Alternating Current) 工作电源 DC(Direct Current) 电源输出电压 额定电流 EMI (Electro Magnetic Interference)滤波 满配置功耗 3.3V 和 12V 3A 传导 辐射 <90W H521SPUC/H521SPUE 板 H521XSMC 板 单板功耗 H521OG2C 板 H521O6FC 板

参数 (110V/220V) ±20%, 频率范围: 47~ 63Hz -48V(-72V~-36V)

Class B Class B

<55W <6W <5W <6W×4=24W

1.2.2

环境参数
MA5200F 的环境参数如下表所示。
项目 长期工作温度 工作温度 短期工作温度 工作湿度 储运条件 湿度 洁净度 10%~90%,无露 直径大于 5μ m 的灰尘浓度≤3×104 粒/m3,灰尘粒子具有非导电、非导 磁和非腐蚀性。 10%~90%,无露 温度 -40℃~70℃ -5℃~55℃ 参数 0℃~45℃

1.3 性能指标
MA5200F 的性能指标如下表所示。
项目 交换容量 RTC 时间精度 2013-7-22 参数 10Gbps 无阻塞共享缓存交换,共享缓存 3MB <2 秒/天 华为机密,未经许可不得扩散 第 5 页, 共 198 页

MA5200F 常见问题宝典

项目 10Base-T/100Base-TX 电接口 或 100Base-FX 光接口 物理接口数目 1000Base-FX 光接口 10Base-T/100Base-TX 维护网 口 虚模板接口 Trunk 接口 逻辑接口 VLAN 子接口 GRE 隧道接口 无 QoS 控制 IP 报文转发率 有 QoS 控制 FE

参数 24 1 或 2(选配) 1 32 13 512 128 3Mpps,线速转发 2Mpps,线速转发 <40μs(64 字节以下报文)

转发时延

<180μs(1518 字节以下报文) GE <40μs

上下线速度 并发用户数

<5s 支持 10%并发用户, 10s 内有 100 MA5200F) 200 MA5200F-2000) 即 ( 或 ( 用户上下线 <1%(3 小时)

掉线率

10%用户在线

<2%(6 小时) <3%(24 小时) <1%(3 小时)

掉线率

100%用户在线

<3%(6 小时) <5%(24 小时)

PPPoE 呼叫平均处理 延迟 TCP/IP

<3s TCP/UDP Socket 总数 路由表容量 静态路由 4096 1k 256 32 个邻居,8 个接口 32 个区域,100 个接口/区域 8 个对等体,32 个 AS

路由

RIP OSPF BGP

2013-7-22

华为机密,未经许可不得扩散

第 6 页, 共 198 页

MA5200F 常见问题宝典

项目 PIM-SM ARP 表项数 ARP/ARP Proxy AIB(ARP Information Base) 表项数

参数 32 个邻居,每接口 8 个邻居,可配 8 个候选 RP(Rendezvous Point) 4k 接入用户+4k 三层路由设备 4k 接入用户+4k 三层路由设备

VLAN 数

每端口 4k VLAN(各端口 VLAN 可重叠) 同时在线用户数 1k (MA5200F) 2k 或 (MA5200F-2000) 128 128(VLAN 专线、Proxy 专线)

用户容量

VLAN 透传数 VLAN 专线数

ISP 数

128 地址池数 总地址数 128 8k 8 1024 5k 70k

IP 地址池 每地址池的最大地址段数 每地址段的最大地址数 本地话单容量 计费 SDRAM Flash 预付费业务的时间精度≤1s 公网地址池数 NAT 连接数 NAT NAT 连接速度 转发速度 吞吐量 支持用户数 出口有 NAT 时,可支持 512 用户 即插即用 转发速度 吞吐量 L2TP 隧道数 VPDN VPDN 用户数 用户多播授权组 多播 用户同时获得多播组 CAR 2013-7-22 带宽范围 华为机密,未经许可不得扩散 4 64kbps~100Mbps(FE) 64kbps~1Gbps(GE) 第 7 页, 共 198 页 1k 256 1.5Mpps 1Gbps 128 16 20k 2k/s 1.5Mpps 1Gbps 出口无 NAT 时,可支持 2k 用户

MA5200F 常见问题宝典

项目 粒度 精度 Rule 数 ACL ACL 数

参数 1kbps ±3% 每条 ACL 可配置 32 个 Rule 标准 ACL 为 99 个(编号 1~99) 高级 ACL 为 100 个(编号 100~199, 其中 198、199 为 HGMP 保留使用) 8

QoS MTBF(Mean Time Between Failures) 内置 Web 认证服务器

用户优先级数 13.3 万小时 支持用户 心跳检测周期 可管理 LAN Switch 数 允许 LAN Switch 级联层数

512 10~60s 300 3 S2403F、S2403H、S3026、S3026V、 S2008、S2016、S2026、S2008B、 S2016B、S2026B 253 可配置 S2403H、S3026、S3026V、S2008、 S2016、S2026 200 20

HGMP V1 支持的 LAN Switch 型号 可管理 LAN Switch 数 HGMP V2 允许 LAN Switch 级联层数 支持的 LAN Switch 型号 最大补丁数 补丁 每补丁最大函数数

1.4 接口技术指标 1.4.1 1000M 以太网光接口技术指标

一般特性
1000M 以太网光接口的一般特性如下表所示。
特性 速率 格式 1250Mbps 1000Base-FX(IEEE802.3z) 指标

2013-7-22

华为机密,未经许可不得扩散

第 8 页, 共 198 页

MA5200F 常见问题宝典

特性 模式 接头 传输距离 多模 光接口标准 环境温度 GPCS 接口 0℃~70℃ 500m 单模/多模 LC 单模

指标

10km、40km、70km

单模技术指标
?

发射器光特性

1000M 以太网单模 10km 光接口发射参数 参数 9mm SMF 输出光功 率 62.5/125mm MMF 50mm MMF 消光比 中心波长 谱宽 rms 光脉冲上升/下降时间 RIN12 在 TP2 点发射器总抖动 符号 POUT POUT POUT 最小值 -9.5 -11.5 -11.5 9 1285 典型值 最大值 -3 -3 -3 单位 dBm dBm dB nm ns rms ns dB/Hz ps 注释 注释 1 注释 1 注释 2

1310

tr/tf

1343 2.8 0.26 -120 227

注释 3, 4

-

-

注释 5

1000M 以太网单模 40km/70km 光接口发射参数 参数 输出光功 率 消光比 中心波长 谱宽 2013-7-22 40km PO 70km Phi/Plo λ C Δ λ 20 -3 9 1480 1550 1580 nm 1.0 第 9 页, 共 198 页 2 dB 符号 最小值 -4 典型值 最大值 1 dBm 单位 注释

华为机密,未经许可不得扩散

MA5200F 常见问题宝典

?

接收器光特性

1000M 以太网单模 10km 光接口接收参数 参数 输入光功率 应变型接收器灵敏度 TP4 点应变型接收器眼图张 开度 中心工作波长 接收器 3dB 带宽上截止频率 回波损耗 符号 PIN 最小值 -20 201 1270 12 1355 1500 典型值 最大值 -3 -14.4 单位 dBm dBm ps nm MHz dB 注释 5 注释 8 注释 9 注释 注释 6

1000M 以太网单模 40km/70km 光接口接收参数 参数 最小输入光 功率 最大输入光功率 应变型接收 器灵敏度 40km 70km 201 1100 12 -23 1600 1500 ps nm MHz dB 40km Pmin 70km Pmax -23 -3 -26 -21 dBm 符号 最小值 -21 典型值 -24 最大值 单位 注释

TP4 点应变型接收器眼图张 开度 中心工作波长 接收器 3dB 带宽上截止频率 回波损耗

多模技术指标
?

发射器光特性

1000M 以太网多模光接口发射参数 参数 输出光功 率 50/125μm, NA=0.20 光纤 符号 POUT 最小值 -9.5 典型值 最大值 -4 单位 dBm 注释 注释 1

2013-7-22

华为机密,未经许可不得扩散

第 10 页, 共 198 页

MA5200F 常见问题宝典

参数 62.5/125μm, NA=0.20 光纤 消光比 中心波长 谱宽 rms 光脉冲上升/下降时间 RIN12 耦合功率比 在 TP2 点发射器总抖动

符号 POUT tr/tf

最小值 -9.5 9 830 -

典型值

最大值 -4 860 0.85 0.26 -117

单位 dBm dB nm ns rms ns dB/Hz dB ps

注释 注释 1 注释 2 注释 3,4

850 -

9

-

CPR

注释 5 注释 6

227

-

-

?

接收器光特性

1000M 以太网多模光接口接收参数 参数 输入光功率 应变型接收器 灵敏度 62.5μm 50μm 符号 PIN 最小值 -17 -9.5 -9.5 201 770 典型值 最大值 0 -12.5 -13.5 单位 dBm dBm dBm ps nm MHz dB 注释 注释 7

-

注释 6

TP4 点应变型接收器眼图张 开度 中心工作波长 接收器 3dB 带宽上截止频率 回波损耗

-

860 1500

注释 8 注释 9

12

-

1.4.2

100M 以太网光接口技术指标

一般特性
100M 以太网光接口一般特性 特性 速率 格式 模式 100Mbps 100Base-FX(IEEE802.3u) 单模/多模 指标

2013-7-22

华为机密,未经许可不得扩散

第 11 页, 共 198 页

MA5200F 常见问题宝典

特性 接头 传输距离 多模 光接口标准 环境温度 SAMI 接口 0℃~70℃ 2km LC 单模 15km

指标

单模技术指标
?

发射器光特性

100M 以太网单模光接口发射参数 参数 供电电流 功率消耗 输出光功率 中心波长 谱宽 消光比 输出光眼图 光脉冲上升时间 光脉冲下降时间 数据输入电流(低) 数据输入电流(高) 数据输入电压(低电平) 数据输入电压(高电平) Icc Pdiss Po λ Δλ Er 符号 最小值 典型值 50 0.17 最大值 120 0.42 -8 1360 7.7 单位 mA W dBm nm nm dB

-15 1261 8.2

-

符合 Bellcore TR-NWT-000253 和 ITU G.957 建议中对眼图摸板 的要求 tR tF IiL IiH ViL-Vcc ViH-Vcc -200 -1.81 -1.17

-

2 2 200 -1.48 -0.88

ns ns mA mA V V

?

接收器光特性

2013-7-22

华为机密,未经许可不得扩散

第 12 页, 共 198 页

MA5200F 常见问题宝典

100M 以太网单模光接口接收参数 参数 供电电流 功率消耗 眼图中央接收机灵敏度 眼图边缘接收机灵敏度 最大输入光功率 工作波长 数据输出电压(低) 数据输出电压(高) 信号监测输出电压(低) 信号监测输出电压(高) 信号监测告警-启动 信号监测告警-关闭 信号监测告警-滞后 信号监测告警启动时间 (从 0 到 1) 信号监测告警关闭时间 (从 1 到 0) 电源噪声抑制 Icc PDISS PIN Min(C) PIN Min(W) PIN Max λ Vol-Vcc VoH-Vcc Vol-Vcc VoH-Vcc PA PD PA-PD AS_Max 符号 最小值 典型值 75 0.26 最大值 100 0.35 -31.8 -31 1360 -1.62 -0.88 -1.62 -0.88 -34 单位 mA W dBm dBm dBm nm v v v v dBm dBm 4 100 dB μ s μ s mV

-8 1261 -1.84 -1.04 -1.84 -1.04 PD+1.5dB -45 0.5 0

-

ANS_Max PSNR

0

350 50

多模技术指标
?

发射器光特性

100M 以太网多模光接口发射参数 参数 输出光功率 BOL PO 符号 最小值 -19 -20 -22.5 -22.5 典型值 -15.7 最大值 -14 单位 dBm

62.5/125μ m,NA=0.275 EOL 输出光功率 BOL

62.5/125μ m,NA=0.20 EOL 消光比

PO

0.05 -50

-14 0.2 -35

dBm % dB

-

-

2013-7-22

华为机密,未经许可不得扩散

第 13 页, 共 198 页

MA5200F 常见问题宝典

参数 "0"码输出光功率 中心波长 谱宽 -FWHM -RMS 光脉冲上升时间 光脉冲下降时间 发射器系统抖动 发射器随机抖动

符号 PO("0") λ
c

最小值

典型值

最大值 -45 1380

单位 dBm nm ns ns ns ns p-p ns p-p

1270

1308 147 63 1.2 2 0.04 0

Δλ tr tf SJ RJ

0.6 0.6

3 3 1.2 0.52

-

?

接收器光特性

100M 以太网多模光接口接收参数 参数 输入光功率 最小值(眼图边缘) 输入光功率 最小值(眼图中央) 输入光功率 最大值 工作波长 接收器系统抖动 接收器随机抖动 信号监测告警-启动 信号监测告警-关闭 信号监测告警-滞后 信号监测告警启动时间(从 0 到 1) 信号监测告警关闭时间(从 1 到 0) 符号 PIN Min (W) PIN Min (C) PIN λ SJ RJ PA PD PA-PD
Max

最小值

典型值

最大值 -30 -31

单位 dBm dBm dBm nm nm ns p-p dBm dBm dB μ s μ s

-14 1270

0.2 1

1380 1.2 1.91 -31

PD+1.5d B -45 1.5 0 0

2 5

100 350

-

1.5 MA5200F 的容量
Ma5200f 支持的最大同时在线用户数: Ma5200f 为 1K;ma5200f-2000 为 2K。

2013-7-22

华为机密,未经许可不得扩散

第 14 页, 共 198 页

MA5200F 常见问题宝典

1.6 MA5200F 的协议支持情况
1、 支持的路由协议:RIP V1/V2、OSPF、BGP、静态路由(ma5200f 不支持 等价路由的负载分担)。 2、 支持的网管协议:SNMP V1/V2/V3。 3、 对 nat 的支持:ma5200f 在 7123 版本后开始支持 nat 功能,需要工作在 normal 模式才能支持。 4、 对 vpn 的支持: ma5200f 支持作为 lac 测得 l2tp 拨号, 不支持作为 lns 的 l2tp 连接;ma5200f 不支持 mpls vpn 业务。 5、 对组播的支持:只支持按端口复制的组播,最多 256 个组播组,不支持可 控组播。(如果在 ma5200f 开展组播业务,建议升级到 7149 版本或以上 版本,以前版本可能会出问题。)

2 MA5200F 功能介绍
2.1 接入认证
作为 BAS,MA5200F 支持 PPPOE 接入、VLAN 接入(静态 IP、DHCP 自动获 IP)、WEB 认证(二层 WEB 认证、三层 WEB 认证)、802.1X 接入、专线接 入。 其中专线是指通过二层网络或者三层网络接入的一组用户,该类用户共用一个 业务属性,统一认证和计费。一般是网吧或者集团用户使用此业务,实际中用 得不多。 具体配置见后面配置实例部分

2.2

VLAN 透传功能
MA5200F 支持 VLAN 透传,注意透传只能是点对点的形式,比如 1 端口接入 VLAN20 并从 25 端口透传出去, 就不能再从 2 端口或者其它端口接入 VLAN20 透传到 25 端口了,也不能再将 VLAN 20 从 1 端口透传到其它端口。 配置如下: 这里以配置以太口 1VLAN2 为 vlan 透传专线,透传到端口 2,VLAN ID 为 3,
2013-7-22 华为机密,未经许可不得扩散 第 15 页, 共 198 页

MA5200F 常见问题宝典

设置端口 1 VLAN 2 的 VLAN 透传属性 配置端口 1 的 VLAN 2 为透传方式,输出到出端口 2,出 VLAN ID 为 3; 同时也建立了另外一个方向上的透传, 即从端口 2 输入的带有 VLAN ID 3 的报文也是透传的,透传到端口 1 并带 VLAN ID 2 输出。 [MA5200F] [MA5200F]portvlan ethernet 1 2 [MA5200F-ethernet-1-vlan2-2] access-type relay-leased-line outport ethernet 2 3 default-domain pre-authentication default0 解除某个 VLAN 端口的 VLAN 专线功能: MA5200F-ethernet-1-vlan2-2] undo access-type

配置完后, MA5200F 自动触发这条专线用户进行认证, 使用命令 display relay-leased-line 查看 vlan 专线是否上线成功。 [MA5200F] display relay-leased-line -----------------------------------------------------------------------In-port Portvlan-state In-vlan Out-port Out-vlan

-----------------------------------------------------------------------1 2 2 3 Updated

------------------------------------------------------------------------

经过以上配置成功后,当从端口 1 接收到 VLAN ID 2 的报文时,直接进 行二层转发,从端口 2 发送出去,并把出 VLAN ID 替换为 3。

2.3

链路聚合功能
MA5200F 支持链路聚合,MA5200F 最多可以提供 13 个虚通道,每个通道最 多捆绑 8 个端口,注意 FE 口和 GE 口不可以加入同一个虚通道。 [使用实例] 创建虚通道 1 : [MA5200F]interface Trunk 1 [MA5200F-Trunk1] 删除虚通道 1 : [MA5200F]undo interface Trunk 1
2013-7-22 华为机密,未经许可不得扩散 第 16 页, 共 198 页

MA5200F 常见问题宝典

绑定以太网接口 3 到虚通道 1 [MA5200F-Ethernet3]trunk 1 删除以太网接口 3 跟其所属虚通道的绑定关系: [MA5200F-Ethernet3]undo trunk 完成上述配置后就可以对 Trunk 1 进行其它业务配置了,配置方法跟其它接口 一样,比如配置 IP 地址: [MA5200F]interface Trunk 1.0 [MA5200F-Trunk1.0]ip address 10.105.3.3 255.255.255.0

2.4

路由管理及其策略路由
MA5200F 支持静态路由、 RIP/OSPF/BGP, 实际中大都是配置一条默认路由就 可以了。注意设备不支持等值路由负荷分担,所以双上行,做等值的默认路由, 或者跑 OSPF 等,设备会随机选择一个出口,对出去的报文只会走一个接口, 当然,如果上行设备都有回程路由,对回来的报文可能会从 2 个接口进来。设 备还支持域下的策略路由,就是规定某一个域下的用户从某一个接口出去 设置域 isp1 用户的策略路由的下一跳 IP 地址为 20.1.1.1。 [MA5200F-aaa-domain-isp1] policy-route 20.1.1.1

2.5

强推 portal 功能
强推 Portal 功能就是用户认证后自动弹出一个广告页面,有两种形式,一种形 式是 PPPOE 拨号成功后自动弹出一个页面,这需要 PPPOE 拨号器支持, Windows XP 自带的拨号客户端不支持,而 Ethernet 系列、WinPoE 等软件是 支持的。配置方式: 设置域 isp1 的 PPPoE 用户强制 Portal 业务 URL 为 http://www.isp1.com。 [MA5200F-aaa-domain-isp1] pppoe-url http://www.isp1.com 另外一种形式是在用户打开第一个网页时候,比如输入 www.huawei.com,这时 候用户端弹出的页面不是 huawei 的页面,而是用户的广告页面,后面的就正 常了。跟第一种形式相比,这个过程需要用户打开一个网页,而第一种是拨号 后直接弹出广告页面。所以第二种方式对 VLAN 用户也是支持的。配置如下: [MA5200F-aaa-domain-isp1] portal-server 1.1.1.1 [MA5200F-aaa-domain-isp1] portal-server url http://www.huawei.com

2013-7-22

华为机密,未经许可不得扩散

第 17 页, 共 198 页

MA5200F 常见问题宝典

2.6

用户速率限制
MA5200F radius 认证用户,支持 Radius 下发带宽,如果 Radius 不下发也可 以本地配置,本地配置速率模版时候注意峰值要是平均速率的 5 倍以上。 1、 先定义一个速率,比如 car 2 为 1M 带宽(系统默认是 car 0,基本速率为 10M) [MA5200F] user-car 2 up 1024 1024 102400 down 1024 1024 102400 2、 域下引用速率模版 [MA5200F-aaa-domain-isp1]user-car 2 如果采用本地账户,也可以在添加本地账户后面引用 user-car,如果域下 和本地账户引用不同的 CAR,本地用户优先。

2.7

用户互访及其访问外网限制
在 5200 中,域下面有一个属性 intergroup,同时配置本地认证用户帐号时也有 一个 inter-group 的属性,当用户是启用本地认证时,使用配置在本地用户下面 的组号,其他情况如不认证或远端认证时使用域下面的组号。inter-group 取值 范围 0-255, 所有域和本地用户的缺省 inter-group 是 0。 两个用户之间的互访 由 user-user 类型的 ACL 规则来进行控制。 [使用实例] 1、设置 ppp 域下面的 inter-group 1 [MA5200E-aaa-domain-ppp]intergroup 1 2、设置 pnp 域下面的 inter-group 2 [MA5200E-aaa-domain-pnp]intergroup 2 3、创建 acl 组,组号为 100 [MA5200E]acl num 100 4、设置 ppp 域用户到组 2 不可以访问 [MA5200E-acl-adv-100]rule user-user deny ip source 1 destination 2 [MA5200E-acl-adv-100]rule user-user deny ip source 2 destination 1 5、将 ACL 组 100 应用于指定范围 [MA5200E]access-group 100 Ethernet 1 每个域下面有属性:ucl-group,同时本地用户也有属性 ucl-group,当用户为本地 认证时,先用本地用户的 ucl-group,本地用户未配置情况下用域下面配置的 ucl-group;RADIUS 认证时,先采用 RADIUS 下发的 UCL-GROUP 属性, RADIUS 不下发时采用域用户 RADIUS 用户模板里的 UCL-GROUP。然后在
2013-7-22 华为机密,未经许可不得扩散 第 18 页, 共 198 页

MA5200F 常见问题宝典

user-net 和 net-user 的 acl 规则中对用户和网络间的访问进行控制。 ucl-group 的取值范围为 0-255,默认为 0。 [使用实例] 1、配置域 ppp 的 ucl-group 为 1 [MA5200E-aaa-domain-ppp]uclgroup 1 2、设置用户 user1@ppp 的 ucl-group1: [MA5200E]local-aaa-server [MA5200E-aaa]user user1@ppp ucl-group 1 3、配置 user-net 和 net-user 的 acl 规则,来控制 ucl-group 1 到网络侧 1.1.1.1 的访问 [MA5200E]acl num 100 [MA5200E-acl-adv-100]rule net-user permit ip source 1.1.1.1 0 destination 1 [MA5200E-acl-adv-100]rule user-net permit ip source 1 destination 1.1.1.1 0 4、将 ACL 组 100 应用于指定范围 [MA5200E]access-group 100 Ethernet 1

3 MA5200F 常见业务配置
3.1 3.1.1 维护终端的连接和系统配置 维护终端的连接

系统支持用户进行本地与远程配置,搭建配置环境可通过以下几种方法实现:

1. 通过 Console 口搭建
第一步:建立本地配置环境,只需将微机(或终端)的串口通过标准 RS-232 电缆与设备 的 Console 口连接,如图 1-1 所示。

2013-7-22

华为机密,未经许可不得扩散

第 19 页, 共 198 页

MA5200F 常见问题宝典

图 1-1 通过 Console 口搭建本地配置环境
第二步:在微机上运行终端仿真程序(Win9X 的超级终端等),设置终端通信参数为 9600bps、8 位数据位、1 位停止位、无校验和无流控,并选择终端类型为 VT100,如图 1-2 至图 1-4 所示。

图 1-2 新建连接

图 1-3 连接端口设置

2013-7-22

华为机密,未经许可不得扩散

第 20 页, 共 198 页

MA5200F 常见问题宝典

图 1-4 端口通信参数设置
第三步:设备上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命 令行提示符(如<MA5200E>)。 第四步:键入命令,配置设备或查看设备运行状态,需要帮助可以随时键入“?”,关于 具体的命令请参考以后各章节。

2. 通过 Telnet 搭建
如果不是设备第一次上电,而且用户已经正确配置了设备各接口的 IP 地址,并配置了正 确的登录验证方式和呼入呼出受限规则, 在配置终端与设备之间有可达路由前提下, 可以用 Telnet 通过局域网或广域网登录到设备,然后对设备进行配置。 第一步:如图 1-5 所示,建立本地配置环境,只需将微机以太网口通过局域网与设备的以 太网口连接;如果建立远程配置环境,如图 1-6 所示,需要将微机和设备通过广域网连接。

2013-7-22

华为机密,未经许可不得扩散

第 21 页, 共 198 页

MA5200F 常见问题宝典

图 1-5 通过局域网搭建本地配置环境

图 1-6 通过广域网搭建远程配置环境
第二步:在微机上运行 Telnet 程序,并设置其终端类型为 VT100,如图 1-7、图 1-8 所 示。

2013-7-22

华为机密,未经许可不得扩散

第 22 页, 共 198 页

MA5200F 常见问题宝典

图 1-7 运行 Telnet 程序

图 1-8 与设备建立 Telnet 连接 ? 说明:

图 1-8 中的主机名为远程连接的设备主机名或设备 IP 地址。

第三步:在本地微机上键入设备以太网口 IP 地址(或在远端微机上键入设备广域网口 IP 地址),与设备建立连接,然后出现命令行提示符(如<MA5200E>)或输入用户名或密码 的提示符,如果出现“The user interface is all in used, please try later!”的提示,则请稍 候再连。 第四步:键入命令,配置设备或查看设备运行状态,需要帮助可以随时键入“?”,关于 具体的命令请参考以后各章节。

?

说明:

通过 Telnet 配置设备时, 请不要轻易改变设备的 IP 地址(由于修改可能会导致 Telnet 连接断开)。如有必要修改,须输入设备的新 IP 地址,重新建立连接。
2013-7-22 华为机密,未经许可不得扩散 第 23 页, 共 198 页

MA5200F 常见问题宝典

3.1.2

命令操作

系统向用户提供一系列配置命令以及命令行接口,用户通过该接口可以配置和管理设备。 命令行接口有如下特性: ? ? ? ? ? ? ? ? ? ? ? ? 通过 Console 口进行本地配置。 通过 Telnet 进行本地或远程配置。 提供 User-interface 视图,管理各种终端用户的特定配置。 命令分级保护,不同级别的用户只能执行相应级别的命令。 通过本地、password、AAA 三种验证方式,确保未授权用户无法侵入设备, 保证系统的安全。 用户可以随时键入“?”而获得在线帮助。 提供网络测试命令,如 tracert、ping 等,迅速诊断网络是否正常。 提供种类丰富、内容详尽的调试信息,帮助诊断网络故障。 用 telnet 命令直接登录并管理其它设备。 提供 FTP 服务,方便用户上载、下载文件。 提供类似 DosKey 的功能,可以执行某条历史命令。 命令行解释器提供不完全匹配和上下文关联等多种智能命令解析方法, 最大可 能地方便用户的输入。

1. 命令行视图
系统命令行采用分级保护方式,命令行划分为参观级、监控级、配置级、管理级 4 个级 别,简介如下: ? ? ? ? 参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的 命令等,该级别命令不允许进行配置文件保存的操作。 监控级:用于系统维护、业务故障诊断等,包括 display、debugging 命令, 该级别命令不允许进行配置文件保存的操作。 配置级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提 供直接服务。 管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支 撑作用,包括文件系统、FTP、TFTP、用户管理命令、级别设置命令。

同时对登录用户划分等级,分为 0-3 级,分别与命令级别对应,即不同级别的用户登录 后,只能使用等于或低于自己级别的命令。 为了防止未授权用户的非法侵入,在从低级别用户切换到高级别用户(使用 super user-level)时,要进行用户身份验证,即需要输入高级别用户口令(如果用户设置了 super
2013-7-22 华为机密,未经许可不得扩散 第 24 页, 共 198 页

MA5200F 常见问题宝典

password [ level user-level ] { simple | cipher } text)。为了保密,用户键入的口令在屏幕 上不显示, 如果三次以内输入正确的口令, 则切换到高级别用户, 否则保持原用户级别不变。 各命令视图是针对不同的配置要求实现的,它们之间有联系又有区别,比如,与设备建立 连接即进入用户视图,它只完成查看运行状态和统计信息的简单功能,再键入 system-view 进入系统视图,在系统视图下,键入不同的配置命令进入相应的协议、接口等视图。

2. 命令行在线帮助
命令行接口提供各种在线帮助能够获取到帮助信息,分别描述如下: 1、在任一命令视图下,键入“?”获取该命令视图下所有的命令及其简单描述。 <MA5200E> ? 2、键入一命令,后接以空格分隔的“?”,如果该位置为关键字,则列出全部关键 字及其简单描述。 <MA5200E> display ? 3、键入一命令,后接以空格分隔的“?”,如果该位置为参数,则列出有关的参数 描述。 [MA5200E] interface ? Ethernet GigabitEthernet LoopBack NULL Nm-Ethernet Trunk Tunnel IEEE802.3 GigabitEthernet LoopBack interface NULL interface Net manager interface Trunk interface Tunnel interface

Virtual-Template Virtual template interface [MA5200E] interface Ethernet? <1-24> Ethernet interface number [MA5200E] interface Ethernet 7? <cr>

2013-7-22

华为机密,未经许可不得扩散

第 25 页, 共 198 页

MA5200F 常见问题宝典

其中<cr>表示该位置无参数, 在紧接着的下一个命令行该命令被复述, 直接键入回车即可执 行。 4、键入一字符串,其后紧接“?”,列出以该字符串开头的所有命令。 <MA5200E> d? debugging delete dir disable display

5、 键入一命令,后接一字符串紧接“?”,列出命令以该字符串开头的所有关键字。 <MA5200E> display h? hgmp history-command host-car

6、输入命令的某个关键字的前几个字母,按下<tab>键,可以显示出完整的关键字, 前提是这几个字母可以唯一标示出该关键字,不会与这个命令的其它关键字混淆。 7、以上帮助信息,均可通过执行 switch language-mode chinese 命令切换为中文 显示。

3.1.3

用户管理

1. 用户界面概述
用户界面(User-interface)视图是系统提供的与接口视图平行的一种新的视图,用来配 置和管理所有的物理接口和逻辑接口的配置数据,从而达到统一管理各种用户配置的目的。 目前系统支持的配置方式有: ? ? ? ? ? ? Console 口本地配置。 Telnet 本地或远程登录配置。 与这些配置方式对应的是两种类型的用户界面: CON 口(Console) “控制口” (Console port) 是一种线设备端口, 端口类型为 EIA/TIA-232 DCE, 便于我们进行配置。 虚拟接口(VTY)

“虚拟接口”(Virtual port)属于逻辑终端线,用于对设备进行 Telnet 访问,通常简称 为 VTY。 用户界面的编号有两种方式:绝对编号方式和相对编号方式。
2013-7-22 华为机密,未经许可不得扩散 第 26 页, 共 198 页

MA5200F 常见问题宝典

1. 绝对编号方式 系统的用户界面共分 2 类,并按照一定的先后顺序排列: 分别是控制台(CON)、虚拟接口(VTY)两种类型。控制口只有一个;VTY 类型的用 户界面可能有 5 个,而多个用户界面内部又按照顺序排列。绝对编号的起始编号是 0,依次 类推。绝对编号可以唯一的指定一个用户界面或一组用户界面。

表 1-1 绝对编号示例 绝对编号 Ui0 Ui1 Ui2 用户界面 CON 第一个 VTY 类型用户界面 第二个 VTY 类型用户界面

2. 相对编号方式 相对编号方式的形式是: 用户界面类型+编号。 此编号是每种类型的用户界面的内部编 号。此种编号方式只能唯一指定某种类型的用户界面中的一个或一组,而不能跨类型操作。 相对编号方式遵守的规则如下:
? ?

控制台的编号:con 0; 虚拟线的编号:第一条为 VTY 0,第二条为 VTY 1,依此类推。

2. 用户配置步骤
在系统视图下, 键入相应的命令即进入相应的用户界面视图。 可以进入单一用户界面视 图对一个 User-interface 进行配置,也可以进入多条用户界面视图同时配置多条 User-interface。 用户管理包括用户验证的设置、 用户优先级的设置以及命令优先级的设置。 用户验证的 作用是使合法用户能登录并使用路由器, 非法用户不能通过验证而不能使用路由器。 用户优 先级与命令优先级的关系是: 用户使用的命令的优先级必须小于等于用户的优先级。 用户优 先级和命令优先级同样都分为 0~3 共 4 级。用户优先级的设置使用户具有不同的优先级, 从而可以使用不同优先级的命令。 命令优先级的设置可以改变命令的优先级, 这样该命令就 可以被所有优先级大于等于它的用户使用。

2013-7-22

华为机密,未经许可不得扩散

第 27 页, 共 198 页

MA5200F 常见问题宝典

1. 验证的配置

表 1-2 使能/关闭终端验证 操作
设置进行终端验证 设置不进行终端验证

命令
authentication-mode { password | scheme { list | default } } authentication-mode none

VTY 类型的用户界面缺省为 password 方式验证,其它类型用户界面缺省不进行终端验 证。 password 验证:user-interface 的本地 password 验证。

表 1-3 设置本地验证的口令 操作 命令

设置本地验证的口 set authentication password { simple | cipher } 令 password 取消本地验证的口 undo set authentication password 令

simple 表示配置明文密码,cipher 表示配置密文密码。 !例如:在 user-interface vty 0 上如下配置,则用户从 user-interface vty 0 登录 时,需要输入口令 huawei 才能登录成功。 [MA5200E-ui-vty0] authentication-mode password [MA5200E-ui-vty0] set authentication password simple huawei 在 user-interface vty 0 上配置下面的命令,表示取消验证的口令。 [MA5200E-ui-vty0] undo set authentication password 但是 Telnet 配置用户缺省需要口令的验证, 如果没有配置口令即 password, 则将显示: password required,but none set

2013-7-22

华为机密,未经许可不得扩散

第 28 页, 共 198 页

MA5200F 常见问题宝典

用户界面的 AAA 验证 [MA5200E] login authentication-scheme default local [MA5200E] login local-user root password simple admin] [MA5200E] user-interface vty 0 [MA5200E-ui-vty0] authentication-mode scheme default 不验证 [MA5200E-ui-vty0] authentication-mode none 2. 用户优先级设置 前面讲述了验证方式分为 password、AAA 以及不验证三种方式。 ? 设置从用户界面登录系统的用户所对应的优先级

请在用户界面视图下进行下列配置。

表 1-4 设置用户的优先级 操作
设置登录用户对应的优先级 恢复登录用户对应的缺省优先级

命令
user privilege level level undo user privilege level

CON 口对应的优先级缺省为 3,其它用户界面对应的优先级缺省为 0。 例如:设置从 CON 口用户界面登录的用户对应的优先级为 3,从 VTY 0 用户界面登录的用 户对应的优先级为 2,当同一个用户从 CON 口、VTY 0 分别登录时,其所能访问的命令是不 同的,从 CON 口登录可以使用所有的命令;从 VTY 0 登录时,只能访问 2 级以下的命令。 [MA5200E-ui-console0] user privilege level 3 [MA5200E-ui-vty0] user privilege level 2 ? 设置用户优先级

请在系统视图下进行下列配置。

2013-7-22

华为机密,未经许可不得扩散

第 29 页, 共 198 页

MA5200F 常见问题宝典

表 1-5 设置用户优先级 操作
设置用户优先级

命令
local-user username level level

?

说明:

用户登录路由器时,其所能访问的命令级别取决于自身优先级与用户界面对应优先级的设 置,如果两种优先级同时设置,则根据用户优先级对应的权限访问系统。例如:用户 Tom 优先级是 3,而 VTY 0 用户界面设置的登录用户对应优先级为 1,则 Tom 从 VTY 0 登录系统 时,可以访问 3 级及以下的命令; 3. 查看已经登陆用户

操作 查看已经登陆用户 3.2 VLAN 静态用户的配置

命令 disp users all

3.2.1 组网图

『配置环境参数』

2013-7-22

华为机密,未经许可不得扩散

第 30 页, 共 198 页

MA5200F 常见问题宝典

计算机的 IP 地址:61.10.1.2 计算机的网关地址:61.10.1.1/24 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2

3.2.2 数据配置步骤
『VLAN 用户的接入流程是:』
?

首先一个 VLAN 用户的报文在经过二层交换机的时候就带上了相应的 VLAN ID;

?

用户的报文从 5200 的某一个端口进入的时候 5200 就会根据事先配置好 的 portvlan 的数据来确定这样的一个用户是属于那个域的, 以及采用什么 样的接入方式(bind、web、pppoe);

?

该用户在找到自己所属的域之后就会根据域下面配置好的认证和计费策 略来进行认证和计费,认证通过之后该用户就能正常的上网了。

在了解了用户报文的基本接入流程之后我们就开始来配置数据, 从上面的接入流程我们可 以看出来,比较关键和重要的几个数据是:地址池、域、认证计费策略以及 PORTVLAN 的数 据。 【配置地址池】 现在的版本对于静态用户也是需要配置地址池的, 并且要将静态用户的地址包含进所配置 的地址池中, 同时还要执行禁用的命令, 所以在做静态用户数据的第一步就是生成相应的地 址池。 1. 创建一个名为 huawei 的地址池: [MA5200F]ip pool huawei local 2.配置地址池的网关以及掩码: [MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0 3. 配置地址池的地址段:

2013-7-22

华为机密,未经许可不得扩散

第 31 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10 4.在地址池里面将静态用户的地址去除: MA5200F-ip-pool-huawei]excluded-ip-address 61.10.1.2 另外在实际开局中此处还要配置 DNS 服务器的 IP,但由于是业务配置指导书,此处 DNS 的配置省略, 具体配置可以参考操作指导书中的相关部分, 下面的各配置中地址池的配置与 此相同。 好了, 现在我们已经给静态用户配置了一个地址池, 接下来我们要为静态用户设置相应的 认证和计费方案。 【配置认证方案】 1.进入 AAA 视图: [MA5200F]aaa 2.添加一个新的认证方案 Auth1: [MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3.设置认证方案: 我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内容。 [MA5200F-aaa-authen-auth1]authentication-mode local 这里我们将 Auth1 这一个认证方案定义为了本地认证, 也就是说采用这样的一个认证方案 的用户是在 5200 本地进行认证的,当然在实际的开局中我们也可以根据实际的情况将认证 方案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行认证。 【配置计费方案】 1.进入 AAA 视图: [MA5200F]aaa 2.添加一个新的计费方案 Acct1:

2013-7-22

华为机密,未经许可不得扩散

第 32 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-aaa]accounting-scheme Acct1 3.设置计费方案: [MA5200F-aaa-accounting-acct1]accounting-mode local 这里我们将 Acct1 这一个计费方案定义为了本地计费, 也就是说采用这样的一个计费方案 的用户是在 5200 本地进行计费的,当然在实际的开局中我们也可以根据实际的情况将计费 方案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行计费。 注意: 如果选择的是本地计费的方式,那么话单首先是生成在 cache 里面的,重启之后将会丢失。 而且由于 cache 的容量有限, cache 满了之后将无法进行正常的计费。 当 所以我们需要配置 数据将 cache 里面的话单定时备份出来,我们强烈建议您不要使用本地计费。: 1.设置话单的备份方式: [MA5200F-local-aaa-server]cache-bill backup-mode tftp 2.设置备份的时间间隔(默认是 720 分钟): [MA5200F-local-aaa-server]cache-bill backup-interval 120 3.设置备份话单服务器的参数: [MA5200F-local-aaa-server]bill-server 10.1.1.1 filename bill 【配置域】 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。 1.进入 AAA 视图: [MA5200F]aaa 2.新建一个名为 isp 的域: [MA5200F-aaa]domain isp 接下来便进入了相应的域的配置视图。

2013-7-22

华为机密,未经许可不得扩散

第 33 页, 共 198 页

MA5200F 常见问题宝典

3.指定该域所使用的地址池: [MA5200F-aaa-domain-isp]ip-pool huawei 4. 指定该域的认证方案和计费方案: [MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1, 分别是本地认证和本地计费。 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采 用的认证方法,以及静态用户的数据。 1.进入端口 VLAN 的配置视图: [MA5200F]portvlan ethernet 2 vlan 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2.设置该端口 VLAN 为二层普通用户接入类型: [MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber 在 access-type 后面有多个选项, 其中的 layer-subscriber 是指的普通的二层 VLAN 认证 类型的端口,一般用于接入 VLAN 用户。 3.配置用户所使用的域: [MA5200F-ethernet-2-vlan1-1]default-domain authentication isp 4.配置端口的认证方法: [MA5200F-ethernet-2-vlan1-1]authentication-method bind 5.添加静态用户: [MA5200F-ethernet-2-vlan1-1]static-user 61.10.1.2 detect

2013-7-22

华为机密,未经许可不得扩散

第 34 页, 共 198 页

MA5200F 常见问题宝典

这里的 detect 的含义是:静态用户不绑定 MAC 地址,MA5200 设备主动探测。此应用主要 是在静态用户是二层交换机等需管理设备。 此处配完后可以通过[MA5200F]display static-user Port-type Port-ID VLAN-ID IP-address Static-user-state

-------------------------------------------------------------------------Ethernet 1 1 61.10.1.2 Updated

-------------------------------------------------------------------------Total 4 item(s) 状态为 UPDATED 时表示这个静态用户目前处在预连结状态, 如果为其它的状态的话请检查 自己的数据配置情况。 目前静态用户的配置顺序必须为: 地址池---认证计费策略--- 域---进行 portvlan 的配置并添加静态用户。 【添加用户帐号】 1.进入本地认证管理配置视图: [MA5200F]local-aaa-server 2.添加用户: [MA5200F-local-aaa-server]batch-user ethernet 2 1 1 domain isp 这之后便添加了一个用户名为:ma5200f-vlan-01-0001@isp 的用户帐号。 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我 们首先要将需要配置的接口指定为“非管理类型”。 1.进入端口 VLAN 的配置视图: [MA5200F]portvlan ethernet 24 vlan 0 1 2.设置端口 VLAN 的接入类型为非管理类型:
2013-7-22 华为机密,未经许可不得扩散 第 35 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接 上层交换机。 3.创建 VLAN 子接口: [MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管 理类型”,然后再在这个端口上创建此 VLAN 的子接口。这里多了一个概念就是“VLAN 子接 口”。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。 这样报文在上行的时候就可以根据需要走不同的 ip 上行, 并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4.在 VLAN 子接口下配置 ip 地址: [MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5.配置默认路由: 对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就 可以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2 3.2.3 测试验证

按照条件将计算机设置成相应的地址,此时应该可以 ping 通对端路由器的地址 202.100.0.2(对端路由器需要做到 MA5200F 下面用户网段的回程路由)。 同时可用 display access-user 来查看用户是否上线。

2013-7-22

华为机密,未经许可不得扩散

第 36 页, 共 198 页

MA5200F 常见问题宝典

3.3

VLAN 绑定用户的配置

3.3.1 组网图

『配置环境参数』 计算机设置为自动获取 IP 地址的方式 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2 3.3.2 数据配置步骤

『VLAN 绑定用户的接入流程是:』
?

首先一个 VLAN 用户的报文在经过二层交换机的时候就带上了相应的 VLAN ID;

?

用户的报文从 5200 的某一个端口进入的时候 5200 就会根据事先配置好 的 portvlan 的数据来确定这样的一个用户是属于那个域的, 以及所采用的 接入方式是 bind;

?

该用户在找到自己所属的域之后就会根据域下面设置好的认证和计费策 略来进行认证和计费,认证通过之后,根据域下面配置的地址池分配一个 ip 地址,然后该用户就能正常的上网了。

2013-7-22

华为机密,未经许可不得扩散

第 37 页, 共 198 页

MA5200F 常见问题宝典

在了解了用户报文的基本接入流程之后我们就开始来配置数据, 从上面的接入流程我们可 以看出来,比较关键和重要的几个数据是:地址池、域、认证计费策略以及 PORTVLAN 的数 据。 【配置地址池】 对于动态 VLAN 绑定用户是需要利用 DHCP 协议自动获取 IP 地址的,这个地址是存在一个 事先设定好的地址池中的,这个地址池可以存在一个远端的 DHCP 的服务器上面,也可以存 在 5200 本机上面,如果地址池是在 5200 上面的话那么首先就要配置这个地址池的相关参 数。 1.创建一个名为 huawei 的地址池: [MA5200F]ip pool huawei local 2. 配置地址池的网关以及掩码: [MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0 3. 配置地址池的地址段: [MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10 注意: 地址池中间还需要根据具体的情况配置相应的 DNS 服务器。 ★ 如果采用的是外置的地址池的话就按照下面的内容进行配置:

注意: MA5200R007 版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建 立地址池的时候需要将地址池的属性设置为 remote, 而且地址池中只需要指定 gateway (这 里的主要作用就是生成一条用户网关的路由),而不需要配置地址段 section。同时还需要 建立一个 DHCP SERVER 组,在这个组里面指定外置 DHCP SERVER 的地址(注意,这里的 DHCP SERVER 的 ip 地址并不是地址池中的 gateway)
1.建立外置一个名为 remotedhcp 的 DHCP SERVER 组: [MA5200F]dhcp-server group remotedhcp 2.设置此 DHCP SERVER 组:
2013-7-22 华为机密,未经许可不得扩散 第 38 页, 共 198 页

MA5200F 常见问题宝典

这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。 [MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10 3.创建一个远端地址池: [MA5200F]ip pool huaweiremote remote 4.指定地址池的 gateway 以及绑定 DHCP SERVER 组: [MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0 [MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp 好了, 现在我们已经给用户配置了一个地址池, 接下来我们要为用户设置相应的认证和计费 方案。 【配置认证方案】 1.进入 AAA 视图: [MA5200F]aaa 2.添加一个新的认证方案 Auth1: [MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3.设置认证方案: 我们已经创建了一个新的认证方案 Auth1, 接下来我们将定义这个认证方案的具体内容。 [MA5200F-aaa-authen-auth1]authentication-mode local 这里我们将 Auth1 这一个认证方案定义为了本地认证, 也就是说采用这样的一个认证方案 的用户是在 5200 本地进行认证的,当然在实际的开局中我们也可以根据实际的情况将认证 方案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行认证。 【配置计费方案】 1.进入 AAA 视图:

2013-7-22

华为机密,未经许可不得扩散

第 39 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F]aaa 2.添加一个新的计费方案 Acct1: [MA5200F-aaa]accounting-scheme Acct1 3.设置计费方案: [MA5200F-aaa-accounting-acct1]accounting-mode local 这里我们将 Acct1 这一个计费方案定义为了本地计费, 也就是说采用这样的一个计费方案的 用户是在 5200 本地进行计费的,当然在实际的开局中我们也可以根据实际的情况将计费方 案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行计费。 注意: 如果选择的是本地计费的方式,那么话单首先是生成在 cache 里面的,重启之后将会丢失。 而且由于 cache 的容量有限, cache 满了之后将无法进行正常的计费。 当 所以我们需要配置 数据将 cache 里面的话单定时备份出来: 1. 设置话单的备份方式:

[MA5200F-local-aaa-server]cache-bill backup-mode tftp 2. 设置备份的时间间隔(默认是 720 分钟):

[MA5200F-local-aaa-server]cache-bill backup-interval 120 3. 设置备份话单服务器的参数:

[MA5200F-local-aaa-server]bill-server 10.1.1.1 filename bill 【配置域】 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户 的配置之前我们首先要配置用户所属的域的一些参数。 1.进入 AAA 视图: [MA5200F]aaa 2.新建一个名为 isp 的域:

2013-7-22

华为机密,未经许可不得扩散

第 40 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-aaa]domain isp 接下来便进入了相应的域的配置视图。 3.指定该域所使用的地址池: [MA5200F-aaa-domain-isp]ip-pool huawei 4.指定该域的认证方案和计费方案: [MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1, 分别是本地认证和本地计费。 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采 用的认证方法。 1.进入端口 VLAN 的配置视图: [MA5200F]portvlan ethernet 2 vlan 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2.设置该端口 VLAN 为二层普通用户接入类型: [MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber 在 access-type 后面有多个选项, 其中的 layer-subscriber 是指的普通的二层 VLAN 认证 类型的端口,一般用于接入 VLAN 用户。 3.配置用户所使用的域: [MA5200F-ethernet-2-vlan1-1]default-domain authentication isp 4.配置端口的认证方法: [MA5200F-ethernet-2-vlan1-1]authentication-method bind

2013-7-22

华为机密,未经许可不得扩散

第 41 页, 共 198 页

MA5200F 常见问题宝典

【添加用户帐号】 1.进入本地认证管理配置视图: [MA5200F]local-aaa-server 2.添加用户: [MA5200F-local-aaa-server]batch-user ethernet 2 1 1 domain isp 这之后便添加了一个用户名为:ma5200f-vlan-01-0001@isp 的用户帐号。 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我 们首先要将需要配置的接口指定为“非管理类型”。 1.进入端口 VLAN 的配置视图: [MA5200F]portvlan ethernet 24 0 1 2. 设置端口 VLAN 的接入类型为非管理类型: [MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接 上层交换机。 3.创建 VLAN 子接口: [MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管 理类型”,然后再在这个端口上创建此 VLAN 的子接口。这里多了一个概念就是“VLAN 子接 口”。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。 这样报文在上行的时候就可以根据需要走不同的 ip 上行, 并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4.在 VLAN 子接口下配置 ip 地址:
2013-7-22 华为机密,未经许可不得扩散 第 42 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5.配置默认路由: 对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就 可以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2 3.3.3 测试验证

计算机应该能够获取到 61.10.1.0/24 网段的 IP 地址,此时应该可以 ping 通对端路由器 的地址 202.100.0.2(对端路由器需要做到 MA5200F 下面用户网段的回程路由)。 同时可用 display access-user 来查看用户是否上线。

3.4 WEB 认证用户的配置 3.4.1 组网图

『配置环境参数』 计算机设置为自动获取 IP 地址的方式 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2
2013-7-22 华为机密,未经许可不得扩散 第 43 页, 共 198 页

MA5200F 常见问题宝典

RADIUS SERVER 的 IP 地址:202.10.1.2 WEB SERVER 的 IP 地址:202.11.1.2 3.4.2 数据配置步骤

『WEB 认证用户的接入流程是:』
?

在最开始,我们需要明确,做 WEB 认证的用户必须首先获取 IP 地址,在 5200 上面只有一个合法的用户才能获取到 IP 地址,因此,在用户进行 WEB 认证之前我们需要先让这个用户 “合法化” 使之获取一个 IP 地址。 , 这样我们首先给用户指定一个“认证前”的域,在这个域里面指定用户所 使用的地址池,以及认证策略,同时利用 UCL 将这个域里面的用户的权 限进行限制,使域里面的用户只能访问 WEB 服务器等资源。然后用户就 会到这个指定的 WEB 服务器上进行认证,认证通过之后的用户将属于另 外一个域,我们只需要在这个域里面将用户全部的上网权限打开就可以 了。

?

首先一个用户的报文在经过二层交换机的时候就带上了相应的 VLAN ID;

?

用户的报文从 5200 的某一个端口进入的时候 5200 就会根据事先配置好 的 portvlan 的数据来确定这样的一个用户在认证前和认证后分别是属于 那个域的,在 portvlan 下面还配置了用户的认证方式是采用 WEB 认证;

?

该用户在找到自己所属的域之后就会根据域下面配置的地址池分配一个 ip 地址,随后用户需要登陆一个指定的 WEB 页面上去用自己的用户名和 密码进行认证, 然后根据域下面设置好的认证和计费策略来进行认证和计 费(radius 还是本地),认证通过之后该用户就能正常的上网了。

在了解了用户报文的基本接入流程之后我们就开始来配置数据, 从上面的接入流程我们 可以看出来,比较关键和重要的几个数据是:地址池、域、认证计费策略、PORTVLAN 的数 据以及 RADIUS 数据。 【配置地址池】 对于 WEB 认证的用户是首先要获取 IP 地址的(这个地址可以是动态获取的,也可以是 静态的地址,这里我们利用动态获取地址的方法),这个地址是存在一个事先设定好的地址 池中的,这个地址池可以存在一个远端的 DHCP 服务器上面,也可以存在 5200 本机上面,如 果地址池是在 5200 上面的话那么首先就要配置这个地址池的相关参数。
2013-7-22 华为机密,未经许可不得扩散 第 44 页, 共 198 页

MA5200F 常见问题宝典

1.创建一个名为 huawei 的地址池: [MA5200F]ip pool huawei local 2.配置地址池的网关以及掩码: [MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0 3.配置地址池的地址段: [MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10 注意: 地址池中间还需要根据具体的情况配置相应的 DNS 服务器。 如果采用的是外置的地址池的话就按照下面的内容进行配置: 注意: MA5200R007 版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立 地址池的时候需要将地址池的属性设置为 remote, 而且地址池中只需要指定 gateway (这里 的主要作用就是生成一条用户网关的路由),而不需要配置地址段 section。同时还需要建 立一个 DHCP SERVER 组,在这个组里面指定外置 DHCP SERVER 的地址(注意,这里的 DHCP SERVER 的 ip 地址并不是地址池中的 gateway) 1.建立外置一个名为 remotedhcp 的 DHCP SERVER 组: [MA5200F]dhcp-server group remotedhcp 2.设置此 DHCP SERVER 组: 这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。 [MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10 3.创建一个远端地址池: [MA5200F]ip pool huaweiremote remote 4.指定地址池的 gateway 以及绑定 DHCP SERVER 组: [MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0
2013-7-22 华为机密,未经许可不得扩散 第 45 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp 好了, 现在我们已经给用户配置了一个地址池, 接下来我们要为用户设置相应的认证和计费 方案。 【配置认证方案】 由于在进行 WEB 认证的时候需要配置两个域(认证前域和认证域),所以这里需要分别 设置这两个域里面的认证和计费策略。但是由于第一个域(认证前域)仅仅是用来使用户能 够获取 IP 地址,所以在这个域里面所指定的认证和计费方法可以尽量的简单,可以采用不 认证不计费的方式,仅仅让用户能够正常的上线获取 IP 地址,然后通过 ACL 来限制用户的 上网权限。用户在获取了 IP 地址之后就会到相应的 WEB 服务器上去进行认证,认证的时候 用户将会属于另外一个域(认证域)(通过用户名里面所带的域名或者 5200 上设置的默认 域名来确定用户认证的时候属于哪个域),这样在认证域里面可以采用合适的认证方法(本 地或者 radius)来对用户进行认证。 1.进入 AAA 视图: [MA5200F]aaa 2.添加一个新的认证方案 Auth1: [MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3.设置认证方案: 我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内 容。 [MA5200F-aaa-authen-auth1]authentication-mode radius 这里我们只配置了一个认证方案,这是一个 radius 的认证方案,为什么不配置一个认 证方案给用户在 WEB 认证之前进行地址获取的时候使用呢?因为在 5200F 上面两个默认 的域 default0 和 default1, 这两个域对应的认证和计费策略分别是: 不认证、 不计费和 radius 认证、 radius 计费。 因此我们只需要将 WEB 认证前的用户放到 default0 这个域里面就能够 使得用户不用认证便能获取 IP 地址,进而进行进一步的 WEB 认证。 这里我们将 Auth1 这一个认证方案定义为了 radius(远端)认证,也就是说采用这样 的一个认证方案的用户的帐号是在远端的 radius 服务器上进行认证的,当然在实际的开局

2013-7-22

华为机密,未经许可不得扩散

第 46 页, 共 198 页

MA5200F 常见问题宝典

中我们也可以根据实际的情况将认证方案设置为其它的类型,如 local,这样的话这个用户 的帐号将在 5200 本地生成并进行认证。 【配置计费方案】 1.进入 AAA 视图: [MA5200F]aaa 2.添加一个新的计费方案 Acct1: [MA5200F-aaa]accounting-scheme Acct1 3.设置计费方案: [MA5200F-aaa-accounting-acct1]accounting-mode radius 同样,我们这里也是只配置了一个计费方案,而对于 WEB 认证之前用户获取地址的时 候使用的也是 default0 里面的计费策略――不计费。 这里我们将 Acct1 这一个计费方案定义为了 radius(远端)计费,也就是说采用这样 的一个计费方案的用户是在远端计费服务器上进行计费的, 当然在实际的开局中我们也可以 根据实际的情况将计费方案设置为其它的类型,如 local,这样的话这个用户将会在 5200 本地进行计费。 【配置 radius 服务器】 我们既然采用了 radius 的认证和计费方式,那么我们就需要在 5200 上面配置有关 radius 服务器的参数,这些参数包括了:服务器的地址、计费和认证端口、密钥等等。 1.进入 radius 服务器配置视图: [MA5200F]radius-server group radius1 其中的“radius1”是 5200 上面 radius 配置项的名字,长度不能超过 32 个字符。 2.配置主备用 radius 服务地址和端口号: 配置主用 radius 服务器地址和端口号 [MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812 配置备用 radius 服务器地址和端口号(如果没有备用服务器这一步可以不配)
2013-7-22 华为机密,未经许可不得扩散 第 47 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-radius-radius1]radius-server authentication 218.18.1.18 1812 secondary 3.配置主备用计费服务地址和端口号: 配置主用计费服务器地址和端口号 [MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813 配置备用计费服务器地址和端口号(如果没有备用服务器这一步可以不配) [MA5200F-radius-radius1]radius-server accounting 218.18.1.18 1813 secondary 4.配置共享密钥: 共享密钥是 5200 和 radius 之间进行报文加密交互的重要参数, 两端一定要设置的一致, 因 此在设置共享密钥之前需要和 radius 方面进行协商,这里我们假定共享密钥是 huawei。 [MA5200F-radius-radius1]radius-server key Huawei 【配置 WEB 认证服务器】 WEB 认证服务器就是平常说的 portal 服务器,是用来提供用户认证页面等功能的。它和 radius 可以是同一个服务器,也可以是不同的服务器。 配置 WEB 认证服务器主要是配置服务器的 IP 地址和密钥 1.配置 WEB 认证服务器以及相关参数: [MA5200F] web-auth-server 202.11.1.2 key huawei 注意: 不论是 portal v1 还是 portal v2 版本这里都需要配置 web-auth-server,对于 portal v1 的版本这里只需要配置一个地址就可以了。

【配置认证前的域】 这里是给 WEB 认证前的域(default0)添加地址池。 1.配置域里面的地址池:

2013-7-22

华为机密,未经许可不得扩散

第 48 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-aaa-domain-isp]ip-pool huawei 对于该域的认证和计费策略这里不用配置,采用默认的设置(不认证不计费)就可以了。 2.配置域下面用户所属的 UCL 组: [MA5200F-aaa-domain-default0]ucl-group 1 【配置认证时的域】 这里配置的是进行 WEB 认证的时候所使用的域,用户在获取 IP 地址的时候使用的是 default0 的默认域。 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。 1.进入 AAA 视图: [MA5200F]aaa 2.新建一个名为 isp 的域: [MA5200F-aaa]domain isp 接下来便进入了相应的域的配置视图。 3.指定该域的认证方案和计费方案: [MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1,分 别是 radius 认证和 radius 计费。 4.指定该域所使用的 raidus 服务器 [MA5200F-aaa-domain-isp]radius-server group radius1 这里我们就将先前配置的 radius 服务器 radius1 指定为了此 isp 域所使用的 radius 服务器。 这样属于 isp 域的用户都将到这样的一个 radius 服务器上进行认证。 【配置系统的 ACL 策略】
2013-7-22 华为机密,未经许可不得扩散 第 49 页, 共 198 页

MA5200F 常见问题宝典

这里所配置的 ACL 策略主要是针对认证前和认证后的用户来说的, 上面我们以及在认证前和 认证时的域里面指定了用户分别在认证前后属于不同的 UCL 组, 现在我们就要针对这些不同 的 UCL 组来进行 ACL 的控制, 使得进行 WEB 认证前的用户只能访问 WEB 服务器, WEB 认证 而 后的用户能够访问所有的资源。 1.进入增强型 ACL 配置视图,采用默认匹配模式: [MA5200F]acl number 101 match-order auto 提示: 100 到 199 是增强型 ACL 组,采用五元组进行控制。1 到 99 是普通型的 ACL 组,采用三元组 进行控制。 2. 配置对于 WEB 认证前的用户只能访问 WEB 服务器和 DNS 服务器: [MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 202.11.1.2 [MA5200F-acl-adv-101]rule net-user permit ip source 202.11.1.2 0 destination [MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 192.168.8.188 0 [MA5200F-acl-adv-101]rule net-user permit ip source 192.168.8.188 0 destination 1 以上的配置指定了 UCL group 1 的用户能够访问 WEB 服务器,下面我们需要禁止 UCL group 1 的用户访问其它的地址。 [MA5200F-acl-adv-101]rule user-net deny ip source 1 3.将 101 的 ACL 引用到全局: [MA5200F]access-group 101 这样,用户在仅仅获取了 IP 地址的情况下就只能访问 WEB 服务器了。 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采用 的认证方法。 1.进入端口 VLAN 的配置视图:
2013-7-22 华为机密,未经许可不得扩散 第 50 页, 共 198 页

0 1

MA5200F 常见问题宝典

[MA5200F]portvlan ethernet 2 vlan 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2.设置该端口 VLAN 为二层普通用户接入类型: [MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber 在 access-type 后面有多个选项,其中的 layer-subscriber 是指的普通的二层认证类型的 端口,一般用于接入 VLAN 用户。 3.配置用户所使用的域: [MA5200F-ethernet-2-vlan1-1]default-domain authentication isp 这里只配置了认证时的域为 isp, 对于认证前的域系统在默认的情况下使用 default0 这个域, 所以可以不用配置。 4.配置端口的认证方法: [MA5200F-ethernet-2-vlan1-1]authentication-method web 注意: 这里和前面的绑定认证所不同的是将端口的认证方法指定为了 WEB, 这样从 2 号以太网端口 上来的 VLAN ID 为 1 的用户就是采用的 WEB 认证的方式。 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候 我们首先要将需要配置的接口指定为“非管理类型”。 1.进入端口 VLAN 的配置视图: [MA5200F]portvlan ethernet 24 0 1 2.设置端口 VLAN 的接入类型为非管理类型: [MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连 接上层交换机。

2013-7-22

华为机密,未经许可不得扩散

第 51 页, 共 198 页

MA5200F 常见问题宝典

3.创建 VLAN 子接口: [MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非 管理类型”,然后再在这个端口上创建此 VLAN 的子接口。这里多了一个概念就是“VLAN 子 接口”。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同 的 ip 地址。 这样报文在上行的时候就可以根据需要走不同的 ip 上行, 并且带上相应的 VLAN ID,三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径 的转发了。增强了转发的灵活性。如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4.在 VLAN 子接口下配置 ip 地址: [MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5.配置默认路由: 对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由 就可以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2

3.4.3

测试验证

计算机应该能够获取到 61.10.1.0/24 网段的 IP 地址,此时应该只可以 ping 通用户的 网关地址 61.10.1.1; 之后用户利用在 IE 的地址栏里面输入实际的 WEB 服务器的 IP 地址登 陆到 WEB SERVER 上区进行 WEB 认证,认证通过之后应该能够 ping 通对端路由器的地址 202.100.0.2(对端路由器需要做到 MA5200F 下面用户网段的回程路由)。 同时可用 display access-user 来查看用户是否上线。

2013-7-22

华为机密,未经许可不得扩散

第 52 页, 共 198 页

MA5200F 常见问题宝典

3.5

强制 WEB 认证的配置

3.5.1 组网图

『配置环境参数』 计算机设置为自动获取 IP 地址的方式 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2 RADIUS SERVER 的 IP 地址:202.10.1.2 WEB SERVER 的 IP 地址:202.11.1.2

3.5.2 数据配置步骤

『强制 WEB 认证用户的接入流程是:』 ? 在最开始,我们需要明确,做 WEB 认证的用户必须首先获取 IP 地址,在 5200 上面 只有一个合法的用户才能获取到 IP 地址,因此,在用户进行 WEB 认证之前我们需要先让这 个用户“合法化”,使之获取一个 IP 地址。这样我们首先给用户指定一个“认证前”的域,
2013-7-22 华为机密,未经许可不得扩散 第 53 页, 共 198 页

MA5200F 常见问题宝典

在这个域里面指定用户所使用的地址池,强制 WEB 的服务器地址,以及认证策略,同时利用 UCL 将这个域里面的用户的权限进行限制,使域里面的用户只能访问 WEB 服务器等资源。然 后用户在获取了地址之后在浏览器的地址栏里无论输入任何的地址都会被强制到这个指定 的 WEB 服务器上进行认证, 认证通过之后的用户将属于另外一个域, 我们只需要在这个域里 面将用户全部的上网权限打开就可以了。 ? 首先一个用户的报文在经过二层交换机的时候就带上了相应的 VLAN ID;

? 用户的报文从 5200 的某一个端口进入的时候 5200 就会根据事先配置好的 portvlan 的数据来确定这样的一个用户在认证前和认证后分别是属于那个域的,在 portvlan 下面还 配置了用户的认证方式是采用 WEB 认证; ? 该用户在找到自己所属的域之后就会根据域下面配置的地址池分配一个 ip 地址,随 后用户需要登陆一个指定的 WEB 页面上去用自己的用户名和密码进行认证, 然后根据域下面 设置好的认证和计费策略来进行认证和计费(radius 还是本地),认证通过之后该用户就 能正常的上网了。 在了解了用户报文的基本接入流程之后我们就开始来配置数据, 从上面的接入流程我们可以 看出来,比较关键和重要的几个数据是:地址池、域、认证计费策略、PORTVLAN 的数据以 及 RADIUS 数据。 【配置地址池】 对于 WEB 认证的用户是首先要获取 IP 地址的(这个地址可以是动态获取的,也可以是静态 的地址,这里我们利用动态获取地址的方法),这个地址是存在在一个事先设定好的地址池 中的,这个地址池可以存在一个远端的 DHCP 服务器上面,也可以存在 5200 本机上面,如果 地址池是在 5200 上面的话那么首先就要配置这个地址池的相关参数。 1. 创建一个名为 huawei 的地址池:

[MA5200F]ip pool huawei local 2. 配置地址池的网关以及掩码:

[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0 3. 配置地址池的地址段:

[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10 注意:

2013-7-22

华为机密,未经许可不得扩散

第 54 页, 共 198 页

MA5200F 常见问题宝典

地址池中间还需要根据具体的情况配置相应的 DNS 服务器。 ★ 如果采用的是外置的地址池的话就按照下面的内容进行配置: 注意: MA5200R007 版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立 地址池的时候需要将地址池的属性设置为 remote, 而且地址池中只需要指定 gateway (这里 的主要作用就是生成一条用户网关的路由),而不需要配置地址段 section。同时还需要建 立一个 DHCP SERVER 组,在这个组里面指定外置 DHCP SERVER 的地址(注意,这里的 DHCP SERVER 的 ip 地址并不是地址池中的 gateway) 1. 建立外置一个名为 remotedhcp 的 DHCP SERVER 组:

[MA5200F]dhcp-server group remotedhcp 2. 设置此 DHCP SERVER 组:

这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。 [MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10 3. 创建一个远端地址池:

[MA5200F]ip pool huaweiremote remote 4. 指定地址池的 gateway 以及绑定 DHCP SERVER 组:

[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0 [MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp 好了, 现在我们已经给用户配置了一个地址池, 接下来我们要为用户设置相应的认证和计费 方案。 【配置认证方案】 由于在进行 WEB 认证的时候需要配置两个域, 所以这里需要分别设置这两个域里面的认证和 计费策略。但是由于第一个域仅仅是用来使用户能够获取 IP 地址,所以在这个域里面所指 定的认证和计费方法可以尽量的简单, 可以采用不认证不计费的方式, 仅仅让用户能够正常 的上线获取 IP 地址,然后在这个域中通过 UCL 来限制用户的上网权限。用户在获取了 IP 地址之后就会到相应的 WEB 服务器上去进行认证, 认证的时候用户将会属于另外一个域 (通
2013-7-22 华为机密,未经许可不得扩散 第 55 页, 共 198 页

MA5200F 常见问题宝典

过用户名里面所带的域名或者 5200 上设置的默认域名来确定用户认证的时候属于哪个域) , 这样在第二个域里面可以采用合适的认证方法(本地或者 radius)来对用户进行认证。 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的认证方案 Auth1:

[MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3. 设置认证方案:

我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内容。 [MA5200F-aaa-authen-auth1]authentication-mode radius 这里我们只配置了一个认证方案,这是一个 radius 的认证方案,为什么不配置一个认证方 案给用户在 WEB 认证之前进行地址获取的时候使用呢?因为在 5200F 上面两个默认的域 default0 和 default1,这两个域对应的认证和计费策略分别是:不认证、不计费和 radius 认证、 radius 计费。 因此我们只需要将 WEB 认证前的用户放到 default0 这个域里面就能够 使得用户不用认证便能获取 IP 地址,进而进行进一步的 WEB 认证。 这里我们将 Auth1 这一个认证方案定义为了 radius(远端)认证,也就是说采用这样的一 个认证方案的用户的帐号是在远端的 radius 服务器上进行认证的,当然在实际的开局中我 们也可以根据实际的情况将认证方案设置为其它的类型,如 local,这样的话这个用户的帐 号将在 5200 本地生成并进行认证。 【配置计费方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的计费方案 Acct1:

[MA5200F-aaa]accounting-scheme Acct1 3. 设置计费方案:

[MA5200F-aaa-accounting-acct1]accounting-mode radius
2013-7-22 华为机密,未经许可不得扩散 第 56 页, 共 198 页

MA5200F 常见问题宝典

同样,我们这里也是只配置了一个计费方案,而对于 WEB 认证之前用户获取地址的时候使 用的也是 default0 里面的计费策略――不计费。 这里我们将 Acct1 这一个计费方案定义为了 radius(远端)计费,也就是说采用这样的一 个计费方案的用户是在远端计费服务器上进行计费的, 当然在实际的开局中我们也可以根据 实际的情况将计费方案设置为其它的类型,如 local,这样的话这个用户将会在 5200 本地 进行计费。 【配置 radius 服务器】 我们既然采用了 radius 的认证和计费方式,那么我们就需要在 5200 上面配置有关 radius 服务器的参数,这些参数包括了:服务器的地址、计费和认证端口、密钥等等。 1. 进入 radius 服务器配置视图:

[MA5200F]radius-server group radius1 其中的“radius1”是 5200 上面 radius 配置项的名字,长度不能超过 32 个字符。 2. 配置主备用 radius 服务地址和端口号:

配置主用 radius 服务器地址和端口号 [MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812 配置备用 radius 服务器地址和端口号(如果没有备用服务器这一步可以不配) [MA5200F-radius-radius1]radius-server authentication 218.18.1.18 1812 secondary 3. 配置主备用计费服务地址和端口号:

配置主用计费服务器地址和端口号 [MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813 配置备用计费服务器地址和端口号(如果没有备用服务器这一步可以不配) [MA5200F-radius-radius1]radius-server accounting 218.18.1.18 1813 secondary 4. 配置共享密钥:

共享密钥是 5200 和 radius 之间进行报文加密交互的重要参数, 两端一定要设置的一致, 因 此在设置共享密钥之前需要和 radius 方面进行协商,这里我们假定共享密钥是 huawei。
2013-7-22 华为机密,未经许可不得扩散 第 57 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-radius-radius1]radius-server key Huawei 【配置 WEB 认证服务器】 WEB 认证服务器就是平常说的 portal 服务器,是用来提供用户认证页面等功能的。它和 radius 可以是同一个服务器,也可以是不同的服务器。配置 WEB 认证服务器主要是配置服 务器的 IP 地址和密钥 1. 配置 WEB 认证服务器以及相关参数:

[MA5200F] web-auth-server 202.11.1.2 key huawei 注意: 不论是 portal v1 还是 portal v2 版本这里都需要配置 web-auth-server,对于 portal v1 的版本这里只需要配置一个地址就可以了。 【配置认证前的域】 这里是给 WEB 认证前的域(default0)添加地址池。 1. 配置域里面的地址池:

[MA5200F-aaa-domain-isp]ip-pool huawei 对于该域的认证和计费策略这里不用配置,采用默认的设置(不认证不计费)就可以了。 2. 配置域下面用户所属的 UCL 组:

[MA5200F-aaa-domain-default0]ucl-group 1 3. 配置强制 WEB 认证的 WEB 服务器地址:

[MA5200F-aaa-domain-default0]web-server 202.11.1.2 【配置认证时的域】 这里配置的是进行 WEB 认证的时候所使用的域,用户在获取 IP 地址的时候使用的是 default0 的默认域。 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。

2013-7-22

华为机密,未经许可不得扩散

第 58 页, 共 198 页

MA5200F 常见问题宝典

1.

进入 AAA 视图:

[MA5200F]aaa 2. 新建一个名为 isp 的域:

[MA5200F-aaa]domain isp 接下来便进入了相应的域的配置视图。 3. 指定该域的认证方案和计费方案:

[MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1,分 别是 radius 认证和 radius 计费。 4. 指定该域所使用的 raidus 服务器

[MA5200F-aaa-domain-isp]radius-server group radius1 这里我们就将先前配置的 radius 服务器 radius1 指定为了此 isp 域所使用的 radius 服务器。 这样属于 isp 域的用户都将到这样的一个 radius 服务器上进行认证。 【配置系统的 ACL 策略】 这里所配置的 ACL 策略主要是针对认证前和认证后的用户来说的, 上面我们以及在认证前和 认证时的域里面指定了用户分别在认证前后属于不同的 UCL 组, 现在我们就要针对这些不同 的 UCL 组来进行 ACL 的控制, 使得进行 WEB 认证前的用户只能访问 WEB 服务器, WEB 认证 而 后的用户能够访问所有的资源。 1. 进入增强型 ACL 配置视图,采用默认匹配模式:

[MA5200F]acl number 101 match-order auto 提示: 100 到 199 是增强型 ACL 组,采用五元组进行控制。1 到 99 是普通型的 ACL 组,采用三元组 进行控制。 2. 配置对于 WEB 认证前的用户只能访问 WEB 服务器和 DNS 服务器:
2013-7-22 华为机密,未经许可不得扩散 第 59 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 202.11.1.2 [MA5200F-acl-adv-101]rule net-user permit ip source 202.11.1.2 0 destination [MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 192.168.8.188 0 [MA5200F-acl-adv-101]rule net-user permit ip source 192.168.8.188 0 destination 1

0 1

以上的配置指定了 UCL group 1 的用户能够访问 WEB 服务器,下面我们需要禁止 UCL group 1 的用户访问其它的地址。 [MA5200F-acl-adv-101]rule user-net deny ip source 1 3. 将 101 的 ACL 引用到全局:

[MA5200F]access-group 101 这样,用户在仅仅获取了 IP 地址的情况下就只能访问 WEB 服务器了。 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采用 的认证方法。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 2 vlan 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2. 设置该端口 VLAN 为二层普通用户接入类型:

[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber 在 access-type 后面有多个选项,其中的 layer-subscriber 是指的普通的二层认证类型的 端口,一般用于接入 VLAN 用户。 3. 配置用户所使用的域:

[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp

2013-7-22

华为机密,未经许可不得扩散

第 60 页, 共 198 页

MA5200F 常见问题宝典

这里只配置了认证时的域为 isp, 对于认证前的域系统在默认的情况下使用 default0 这个域, 所以可以不用配置。 4. 配置端口的认证方法:

[MA5200F-ethernet-2-vlan1-1]authentication-method web 注意: 这里和前面的绑定认证所不同的是将端口的认证方法指定为了 WEB, 这样从 2 号以太网端口 上来的 VLAN ID 为 1 的用户就是采用的 WEB 认证的方式。 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我们 首先要将需要配置的接口指定为“非管理类型”。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 24 0 1 2. 设置端口 VLAN 的接入类型为非管理类型:

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接上 层交换机。 3. 创建 VLAN 子接口:

[MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理 类型” 然后再在这个端口上创建此 VLAN 的子接口。 , 这里多了一个概念就是 “VLAN 子接口” 。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4. 在 VLAN 子接口下配置 ip 地址:

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252
2013-7-22 华为机密,未经许可不得扩散 第 61 页, 共 198 页

MA5200F 常见问题宝典

5.

配置默认路由:

对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就可 以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2 3.5.3 测试验证

计算机应该能够获取到 61.10.1.0/24 网段的 IP 地址,此时应该只可以 ping 通用户的网关 地址 61.10.1.1; 之后用户在 IE 的地址栏里面输入任意的 IP 地址, 然后就会强制登陆到 WEB SERVER 上区进行 WEB 认证,认证通过之后应该能够 ping 通对端路由器的地址 202.100.0.2 (对端路由器需要做到 MA5200F 下面用户网段的回程路由)。 同时可用 display access-user 来查看用户是否上线

3.6

PPPOE 认证用户的配置

3.6.1 组网图

『配置环境参数』 计算机上需要安装相应的 PPPOE 拨号软件 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2
2013-7-22 华为机密,未经许可不得扩散 第 62 页, 共 198 页

MA5200F 常见问题宝典

RADIUS SERVER 的 IP 地址:202.10.1.2 3.6.2 数据配置步骤

『PPPOE 认证用户的接入流程是:』 ? 在进行 PPPOE 接入业务的时候, 和前面的 VLAN 业务相比较多了了 一个 VT(virtual template)的概念,在 VT 下面指定了关于 PPP 协 商的一些数据。因此,用户在进行 PPPOE 拨号的时候首先就是根据 VT 下面所配置的协商数据进行 LCP 的协商。 用户的报文从 5200 的某一个端口进入的时候 5200 就会根据事先 配置好的 portvlan 的数据来确定这样的一个用户是属于哪个域的, 在 portvlan 下面还配置了用户的认证方式是采用 PPPOE 认证; 该用户在找到自己所属的域之后就会根据域下面配置的地址池分 配一个 ip 地址,然后根据域下面设置好的认证和计费策略来进行认 证和计费(radius 还是本地),认证通过之后该用户就能正常的上 网了。

?

?

在了解了用户报文的基本接入流程之后我们就开始来配置数据, 从上面的接入流程我们可以 看出来,比较关键和重要的几个数据是:VT、地址池、域、认证计费策略、PORTVLAN 的数 据以及 RADIUS 数据。 【配置 VT(虚模板)】 VT 的作用主要是进行 PPP 拨号时候的 LCP 协商,比如认证方式(PAP or CHAP),协商超时 时间, 的二层检测数据等等。 ppp 因此我们在进行 PPPOE 业务配置的时候首先就需要配置 VT。 1. 创建 virtual template:

[MA5200F]interface Virtual-Template 1 2. 配置 PPPOE 的认证方式(PAP or CHAP):

[MA5200F-Virtual-Template1]ppp authentication-mode chap 这样 5200 和用户终端之间的 PPP 协商就采用了 chap 的方式进行。 【绑定 VT 到相应的接口】

2013-7-22

华为机密,未经许可不得扩散

第 63 页, 共 198 页

MA5200F 常见问题宝典

在 PPPOE 的配置中我们还需要将 VT 绑定到相应的接口下面去。假设我们采用 2 号以太网口 接入 PPPOE 用户,那么我们就需要将 VT 绑定到 2 号以太网接口的下面: 1. 进入 2 号以太网接口的配置视图:

[MA5200F]interface Ethernet 2 2. 将 VT 绑定到 2 号以太网接口上面:

[MA5200F-Ethernet2]pppoe-server bind virtual-template 1 这样我们就可以利用 2 号以太网接口来接入 PPPOE 用户了。 【配置地址池】 PPPOE 用户在进行 NCP 的协商阶段需要获得一个 IP 地址,这个地址是存在在一个事先设定 好的地址池中的,这个地址池可以存在在一个远端的 DHCP 服务器上面,也可以存在在 5200 本机上面,如果地址池是在 5200 上面的话那么首先就要配置这个地址池的相关参数。 1. 创建一个名为 huawei 的地址池:

[MA5200F]ip pool huawei local 2. 配置地址池的网关以及掩码:

[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0 3. 配置地址池的地址段:

[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10 注意: 地址池中间还需要根据具体的情况配置相应的 DNS 服务器。 ★ 如果采用的是外置的地址池的话就按照下面的内容进行配置: 注意: MA5200R007 版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立 地址池的时候需要将地址池的属性设置为 remote, 而且地址池中只需要指定 gateway, 而不 需要配置地址段 section。 同时还需要建立一个 DHCP SERVER 组, 在这个组里面指定外置 DHCP SERVER 的地址(注意,这里的 DHCP SERVER 的 ip 地址并不是地址池中的 gateway)
2013-7-22 华为机密,未经许可不得扩散 第 64 页, 共 198 页

MA5200F 常见问题宝典

1.

建立外置一个名为 remotedhcp 的 DHCP SERVER 组:

[MA5200F]dhcp-server group remotedhcp 2. 设置此 DHCP SERVER 组:

这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。 [MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10 3. 创建一个远端地址池:

[MA5200F]ip pool huaweiremote remote 4. 指定地址池的 gateway 以及绑定 DHCP SERVER 组:

[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0 [MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp 好了, 现在我们已经给用户配置了一个地址池, 接下来我们要为用户设置相应的认证和计费 方案。 【配置认证方案】 这里我们配置一个采用 radius 认证的认证方案,在实际的应用当中认证方案可以是本地的 也可以是 radius 的,如果是采用本地的认证方案,则需要在 5200 上面生成用户名和密码; 如果是采用 radius 的认证方案,则需要在 radius 上面生成用户名和密码。 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的认证方案 Auth1:

[MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3. 设置认证方案:

我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内容。

2013-7-22

华为机密,未经许可不得扩散

第 65 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-aaa-authen-auth1]authentication-mode radius 这里我们将 Auth1 这一个认证方案定义为了 radius(远端)认证,也就是说采用这样的一 个认证方案的用户的帐号是在远端的 radius 服务器上进行认证的,当然在实际的开局中我 们也可以根据实际的情况将认证方案设置为其它的类型,如 local,这样的话这个用户的帐 号将在 5200 本地生成并进行认证。 【配置计费方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的计费方案 Acct1:

[MA5200F-aaa]accounting-scheme Acct1 3. 设置计费方案:

[MA5200F-aaa-accounting-acct1]accounting-mode radius 这里我们将 Acct1 这一个计费方案定义为了 radius(远端)计费,也就是说采用这样的一 个计费方案的用户是在远端计费服务器上进行计费的, 当然在实际的开局中我们也可以根据 实际的情况将计费方案设置为其它的类型,如 local,这样的话这个用户将会在 5200 本地 进行计费。 【配置 radius 服务器】 注意: 如果前面配置的认证方案是本地认证的话这一步可以不用配置。 我们既然采用了 radius 的认证和计费方式,那么我们就需要在 5200 上面配置有关 radius 服务器的参数,这些参数包括了:服务器的地址、计费和认证端口、密钥等等。 1. 进入 radius 服务器配置视图:

[MA5200F]radius-server group radius1 其中的“radius1”是 5200 上面 radius 配置项的名字,长度不能超过 32 个字符。 2. 配置主备用 radius 服务地址和端口号:
2013-7-22 华为机密,未经许可不得扩散 第 66 页, 共 198 页

MA5200F 常见问题宝典

配置主用 radius 服务器地址和端口号 [MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812 配置备用 radius 服务器地址和端口号(如果没有备用服务器这一步可以不配) [MA5200F-radius-radius1]radius-server authentication 218.18.1.18 1812 secondary 3. 配置主备用计费服务地址和端口号:

配置主用计费服务器地址和端口号 [MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813 配置备用计费服务器地址和端口号(如果没有备用服务器这一步可以不配) [MA5200F-radius-radius1]radius-server accounting 218.18.1.18 1813 secondary 4. 配置共享密钥:

共享密钥是 5200 和 radius 之间进行报文加密交互的重要参数, 两端一定要设置的一致, 因 此在设置共享密钥之前需要和 radius 方面进行协商,这里我们假定共享密钥是 huawei。 [MA5200F-radius-radius1]radius-server key Huawei 【配置域】 这里配置的是进行 PPPOE 认证的时候所使用的域,在域里面需要指定用户所使用的地址池, 认证和计费方案等参数。 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。 1. 进入 AAA 视图:

[MA5200F]aaa 2. 新建一个名为 isp 的域:

[MA5200F-aaa]domain isp 接下来便进入了相应的域的配置视图。

2013-7-22

华为机密,未经许可不得扩散

第 67 页, 共 198 页

MA5200F 常见问题宝典

3.

指定该域的认证方案和计费方案:

[MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1,分 别是 radius 认证和 radius 计费。 4. 指定该域所使用的 raidus 服务器(如果是采用本地认证这一步可以不用配置):

[MA5200F-aaa-domain-isp]radius-server group radius1 这里我们就将先前配置的 radius 服务器 radius1 指定为了此 isp 域所使用的 radius 服务器。 这样属于 isp 域的用户都将到这样的一个 radius 服务器上进行认证。 5. 配置域里面的地址池:

[MA5200F-aaa-domain-isp]ip-pool huawei 这里就使用了“huawei”这个地址池为 PPPOE 用户分配地址。 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采用 的认证方法。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 2 vlan 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2. 设置该端口 VLAN 为二层普通用户接入类型:

[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber 在 access-type 后面有多个选项,其中的 layer-subscriber 是指的普通的二层认证类型的 端口,一般用于接入 VLAN 用户。 3. 配置用户所使用的域:

[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp
2013-7-22 华为机密,未经许可不得扩散 第 68 页, 共 198 页

MA5200F 常见问题宝典

这里只配置了认证时的域为 isp, 对于认证前的域系统在默认的情况下使用 default0 这个域, 所以可以不用配置。 4. 配置端口的认证方法:

[MA5200F-ethernet-2-vlan1-1]authentication-method pppoe 注意: 这里和前面的绑定认证以及 WEB 认证所不同的是将端口的认证方法指定为了 pppoe, 这样从 2 号以太网端口上来的 VLAN ID 为 1 的用户就是采用的 pppoe 认证的方式。 【配置本地用户参数】 注意: 如果是采用 radius 认证请跳过这一步。 1. 进入[local-aaa-server]的视图:

[MA5200F]local-aaa-server 2. 添加用户:

[MA5200F-local-aaa-server]user hua@isp password 123 这样我们就添加了一个用户名为 hua@isp,密码为 123 的本地用户。 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我们 首先要将需要配置的接口指定为“非管理类型”。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 24 0 1 2. 设置端口 VLAN 的接入类型为非管理类型:

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接上 层交换机。
2013-7-22 华为机密,未经许可不得扩散 第 69 页, 共 198 页

MA5200F 常见问题宝典

3.

创建 VLAN 子接口:

[MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理 类型” 然后再在这个端口上创建此 VLAN 的子接口。 , 这里多了一个概念就是 “VLAN 子接口” 。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4. 在 VLAN 子接口下配置 ip 地址:

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5. 配置默认路由:

对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就可 以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2

3.6.3 测试验证

用户终端利用 PPPOE 拨号器能够正常进行拨号认证,认证通过之后应该能够 ping 通对端路 由器的地址 202.100.0.2(对端路由器需要做到 MA5200F 下面用户网段的回程路由)。 同时可用 display access-user 来查看用户是否上线。

2013-7-22

华为机密,未经许可不得扩散

第 70 页, 共 198 页

MA5200F 常见问题宝典

3.7

PnP 认证用户的配置

3.7.1 组网图

『配置环境参数』 计算机的网络配置要保证在其它地方能够正常上网 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2 RADIUS SERVER 的 IP 地址:202.10.1.2 WEB SERVER 的 IP 地址:202.11.1.2

3.7.2 数据配置步骤

『PnP 认证用户的接入流程是:』 ? 我们首先需要了解的是什么是 PnP 接入。所谓的 PnP 就是指即插 即用业务,也就是说不管用户端的网络设置如何,只要按照用户现 在的网络设置在别的地方能够上网,那么接在 5200 下面就能够接入 网络。PnP 大大的方便了用户的接入,减少了运营商的维护工作量, 广泛的应用于酒店以及移动办公区域的宽待接入。
华为机密,未经许可不得扩散 第 71 页, 共 198 页

2013-7-22

MA5200F 常见问题宝典

?

用户接入的基本条件是:1 用户必须配置了地址;2 用户必须配 置了网关;3 用户必须配置了 DNS 服务器地址。 或者用户配置的是 通 DHCP 得到地址,那么上述三个条件都能够通过 DHCP 得到。 用户在接入网络的时候任何一个报文都可以触发 PnP 的过程,此 时 MA5200F 将会给用户分配一个实际的 IP 地址(这个地址用户可能 是看不见的),然后在 5200 上面建立了一个用户实际的 IP 地址和 原来的 IP 地址的对应关系,这样用户就可以正常的认证和接入网络 了。

?

【配置地址池】 对于 PnP 认证的用户是首先要获取 IP 地址的(这个地址可以是动态获取的,也可以是静态 的地址,这里我们利用动态获取地址的方法),这个地址是存在在一个事先设定好的地址池 中的,这个地址池可以存在在一个远端的 DHCP 服务器上面,也可以存在在 5200 本机上面, 如果地址池是在 5200 上面的话那么首先就要配置这个地址池的相关参数。 1. 创建一个名为 huawei 的地址池:

[MA5200F]ip pool huawei local 2. 配置地址池的网关以及掩码:

[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0 3. 配置地址池的地址段:

[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10 注意: 地址池中间还需要根据具体的情况配置相应的 DNS 服务器。 ★ 如果采用的是外置的地址池的话就按照下面的内容进行配置: 注意: MA5200R007 版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立 地址池的时候需要将地址池的属性设置为 remote, 而且地址池中只需要指定 gateway (这里 的主要作用就是生成一条用户网关的路由),而不需要配置地址段 section。同时还需要建 立一个 DHCP SERVER 组,在这个组里面指定外置 DHCP SERVER 的地址(注意,这里的 DHCP SERVER 的 ip 地址并不是地址池中的 gateway)
2013-7-22 华为机密,未经许可不得扩散 第 72 页, 共 198 页

MA5200F 常见问题宝典

1.

建立外置一个名为 remotedhcp 的 DHCP SERVER 组:

[MA5200F]dhcp-server group remotedhcp 2. 设置此 DHCP SERVER 组:

这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。 [MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10 3. 创建一个远端地址池:

[MA5200F]ip pool huaweiremote remote 4. 指定地址池的 gateway 以及绑定 DHCP SERVER 组:

[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0 [MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp 好了, 现在我们已经给用户配置了一个地址池, 接下来我们要为用户设置相应的认证和计费 方案。 【配置认证方案】 由于在进行 PnP 认证的时候需要配置两个域, 所以这里需要分别设置这两个域里面的认证和 计费策略。但是由于第一个域仅仅是用来使用户能够获取 IP 地址,所以在这个域里面所指 定的认证和计费方法可以尽量的简单, 可以采用不认证不计费的方式, 仅仅让用户能够正常 的上线获取 IP 地址,然后在这个域中通过 UCL 来限制用户的上网权限。用户在获取了 IP 地址之后就会到相应的 WEB 服务器上去进行认证, 认证的时候用户将会属于另外一个域 (通 过用户名里面所带的域名或者 5200 上设置的默认域名来确定用户认证的时候属于哪个域) , 这样在第二个域里面可以采用合适的认证方法(本地或者 radius)来对用户进行认证。 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的认证方案 Auth1:

[MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。
2013-7-22 华为机密,未经许可不得扩散 第 73 页, 共 198 页

MA5200F 常见问题宝典

3.

设置认证方案:

我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内容。 [MA5200F-aaa-authen-auth1]authentication-mode radius 这里我们只配置了一个认证方案,这是一个 radius 的认证方案,为什么不配置一个认证方 案给用户在 WEB 认证之前进行地址获取的时候使用呢?因为在 5200F 上面两个默认的域 default0 和 default1,这两个域对应的认证和计费策略分别是:不认证、不计费和 radius 认证、radius 计费。因此我们只需要将 PnP 认证前的用户放到 default0 这个域里面就能够 使得用户不用认证便能获取 IP 地址,进而进行进一步的 WEB 认证。 这里我们将 Auth1 这一个认证方案定义为了 radius(远端)认证,也就是说采用这样的一 个认证方案的用户的帐号是在远端的 radius 服务器上进行认证的,当然在实际的开局中我 们也可以根据实际的情况将认证方案设置为其它的类型,如 local,这样的话这个用户的帐 号将在 5200 本地生成并进行认证。 【配置计费方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的计费方案 Acct1:

[MA5200F-aaa]accounting-scheme Acct1 3. 设置计费方案:

[MA5200F-aaa-accounting-acct1]accounting-mode radius 同样,我们这里也是只配置了一个计费方案,而对于 PnP 认证之前用户获取地址的时候使 用的也是 default0 里面的计费策略――不计费。 这里我们将 Acct1 这一个计费方案定义为了 radius(远端)计费,也就是说采用这样的一 个计费方案的用户是在远端计费服务器上进行计费的, 当然在实际的开局中我们也可以根据 实际的情况将计费方案设置为其它的类型,如 local,这样的话这个用户将会在 5200 本地 进行计费。 【配置 radius 服务器】

2013-7-22

华为机密,未经许可不得扩散

第 74 页, 共 198 页

MA5200F 常见问题宝典

我们既然采用了 radius 的认证和计费方式,那么我们就需要在 5200 上面配置有关 radius 服务器的参数,这些参数包括了:服务器的地址、计费和认证端口、密钥等等。 1. 进入 radius 服务器配置视图:

[MA5200F]radius-server group radius1 其中的“radius1”是 5200 上面 radius 配置项的名字,长度不能超过 32 个字符。 2. 配置主备用 radius 服务地址和端口号:

配置主用 radius 服务器地址和端口号 [MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812 配置备用 radius 服务器地址和端口号(如果没有备用服务器这一步可以不配) [MA5200F-radius-radius1]radius-server authentication 218.18.1.18 1812 secondary 3. 配置主备用计费服务地址和端口号:

配置主用计费服务器地址和端口号 [MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813 配置备用计费服务器地址和端口号(如果没有备用服务器这一步可以不配) [MA5200F-radius-radius1]radius-server accounting 218.18.1.18 1813 secondary 4. 配置共享密钥:

共享密钥是 5200 和 radius 之间进行报文加密交互的重要参数, 两端一定要设置的一致, 因 此在设置共享密钥之前需要和 radius 方面进行协商,这里我们假定共享密钥是 huawei。 [MA5200F-radius-radius1]radius-server key Huawei 【配置 WEB 认证服务器】 WEB 认证服务器就是平常说的 portal 服务器,是用来提供用户认证页面等功能的。它和 radius 可以是同一个服务器,也可以是不同的服务器。 PnP 用户需要进行 WEB 认证,这里首先要配置 WEB 认证服务器。

2013-7-22

华为机密,未经许可不得扩散

第 75 页, 共 198 页

MA5200F 常见问题宝典

配置 WEB 认证服务器主要是配置服务器的 IP 地址和密钥 1. 配置 WEB 认证服务器以及相关参数:

[MA5200F] web-auth-server 202.11.1.2 key huawei 【配置认证前的域】 这里是给 PnP 认证前的域(default0)添加地址池。 1. 配置域里面的地址池:

[MA5200F-aaa-domain-isp]ip-pool huawei 这里就使用了“Huawei”这个地址池为 PnP 用户分配地址,无论这个用户的计算机终端配 置的是什么样的情况 (静态地址、 DHCP 动态获取) 都能为该用户分配一个可用的 IP 地址。 对于该域的认证和计费策略这里不用配置,采用默认的设置(不认证不计费)就可以了。 2. 配置域下面用户所属的 UCL 组:

[MA5200F-aaa-domain-default0]ucl-group 1 3. 配置强制 WEB 认证的 WEB 服务器地址:

[MA5200F-aaa-domain-default0]web-server 202.11.1.2 【配置认证时的域】 这里配置的是 PnP 用户认证的时候所使用的域,用户在获取 IP 地址的时候使用的是 default0 的默认域。 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。 1. 进入 AAA 视图:

[MA5200F]aaa 2. 新建一个名为 isp 的域:

[MA5200F-aaa]domain isp

2013-7-22

华为机密,未经许可不得扩散

第 76 页, 共 198 页

MA5200F 常见问题宝典

接下来便进入了相应的域的配置视图。 3. 指定该域的认证方案和计费方案:

[MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1,分 别是 radius 认证和 radius 计费。 4. 指定该域所使用的 raidus 服务器

[MA5200F-aaa-domain-isp]radius-server group radius1 这里我们就将先前配置的 radius 服务器 radius1 指定为了此 isp 域所使用的 radius 服务器。 这样属于 isp 域的用户都将到这样的一个 radius 服务器上进行认证。 【配置系统的 ACL 策略】 这里所配置的 ACL 策略主要是针对认证前和认证后的用户来说的, 上面我们以及在认证前和 认证时的域里面指定了用户分别在认证前后属于不同的 UCL 组, 现在我们就要针对这些不同 的 UCL 组来进行 ACL 的控制, 使得进行 WEB 认证前的用户只能访问 WEB 服务器, WEB 认证 而 后的用户能够访问所有的资源。 1. 进入增强型 ACL 配置视图,采用默认匹配模式:

[MA5200F]acl number 101 match-order auto 提示: 100 到 199 是增强型 ACL 组,采用五元组进行控制。1 到 99 是普通型的 ACL 组,采用三元组 进行控制。 2. 配置对于 WEB 认证前的用户只能访问 WEB 服务器和 DNS 服务器: 0 1

[MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 202.11.1.2 [MA5200F-acl-adv-101]rule net-user permit ip source 202.11.1.2 0 destination [MA5200F-acl-adv-101]rule user-net permit ip source 1 destination 192.168.8.188 0
2013-7-22 华为机密,未经许可不得扩散 第 77 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-acl-adv-101]rule net-user permit ip source 192.168.8.188 0 destination 1 以上的配置指定了 UCL group 1 的用户能够访问 WEB 服务器,下面我们需要禁止 UCL group 1 的用户访问其它的地址。 [MA5200F-acl-adv-101]rule user-net deny ip source 1 3. 将 101 的 ACL 引用到全局:

[MA5200F]access-group 101 这样,用户在仅仅获取了 IP 地址的情况下就只能访问 WEB 服务器了。 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采用 的认证方法。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 2 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2. 设置该端口 VLAN 为二层普通用户接入类型:

[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber 在 access-type 后面有多个选项,其中的 layer-subscriber 是指的普通的二层认证类型的 端口,一般用于接入 VLAN 用户。 3. 配置用户所使用的域:

[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp 这里只配置了认证时的域为 isp, 对于认证前的域系统在默认的情况下使用 default0 这个域, 所以可以不用配置。 4. 配置端口的认证方法:

[MA5200F-ethernet-2-vlan1-1]authentication-method web

2013-7-22

华为机密,未经许可不得扩散

第 78 页, 共 198 页

MA5200F 常见问题宝典

5.

配置接入类型为 PnP 类型:

[MA5200F-ethernet-2-vlan1-1]pnp 注意: 这里和前面的强制 WEB 认证所不同的是在端口指定了 PnP 的接入类型, 这样从 2 号以太网端 口上来的 VLAN ID 为 1 的用户就是采用的 PnP 接入的方式。 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我们 首先要将需要配置的接口指定为“非管理类型”。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 24 0 1 2. 设置端口 VLAN 的接入类型为非管理类型:

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接上 层交换机。 3. 创建 VLAN 子接口:

[MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理 类型” 然后再在这个端口上创建此 VLAN 的子接口。 , 这里多了一个概念就是 “VLAN 子接口” 。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4. 在 VLAN 子接口下配置 ip 地址:

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5. 配置默认路由:
2013-7-22 华为机密,未经许可不得扩散 第 79 页, 共 198 页

MA5200F 常见问题宝典

对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就可 以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2 3.7.3 验证测试

分为两种情况来验证: 1. 将计算机设置为自动获取 IP 地址的方式。 此时计算机接入网络之 后打开 IE 浏览器输入任意的地址,就能强制到 WEB 服务器上去进行 认证, 认证通过之后应该能够 ping 通对端路由器的地址 202.100.0.2 (对端路由器需要做到 MA5200F 下面用户网段的回程路由)。 在计算机上设置固定的 IP 地址和网关,设置好 DNS。此时计算机 接入网络之后打开 IE 浏览器输入任意的地址,就能强制到 WEB 服务 器上去进行认证,认证通过之后应该能够 ping 通对端路由器的地址 202.100.0.2(对端路由器需要做到 MA5200F 下面用户网段的回程路 由)。 同时可用 display access-user 来查看用户是否上线。

2.

3.

3.8

dot1X 认证用户的配置

3.8.1 组网图

『配置环境参数』
2013-7-22 华为机密,未经许可不得扩散 第 80 页, 共 198 页

MA5200F 常见问题宝典

计算机要安装相应的 802.1X 拨号软件 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2 RADIUS SERVER 的 IP 地址:202.10.1.2 3.8.2 数据配置步骤

【创建 DOT1X 模板】 在进行 802.1X 业务配置的时候引入了 DOT1X 模板的概念, 将关于 802.1X 的特性配置统一到 了这一个模板之下来进行(包括:用户协商的超时时间间隔和协商报文的重发次数;用户在 上线后是否进行二层握手以及握手的时间间隔和握手超时次数; 用户上线后是否进行重认证 以及重认证的时间间隔等等)。之后只需要在相应的域里面去引用该模板就可以了。利用以 下的命令来创建一个 802.1X 模板: [MA5200F]dot1x-template 1 这里就创建了一个编号为 1 的 802.1X 模板, 在这个模板里面可以配置关于 802.1X 的一些协 商和认证参数,这里我们采用默认的设置就可以了。 【配置内置地址池】 1. 创建一个名为 huawei 的地址池:

[MA5200F]ip pool huawei local 2. 配置地址池的网关以及掩码:

[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0 3. 配置地址池的地址段:

[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10 注意: 地址池中间还需要根据具体的情况配置相应的 DNS 服务器。 ★ 如果采用的是外置的地址池的话就按照下面的内容进行配置:
2013-7-22 华为机密,未经许可不得扩散 第 81 页, 共 198 页

MA5200F 常见问题宝典

注意: MA5200R007 版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立 地址池的时候需要将地址池的属性设置为 remote, 而且地址池中只需要指定 gateway (这里 的主要作用就是生成一条用户网关的路由),而不需要配置地址段 section。同时还需要建 立一个 DHCP SERVER 组,在这个组里面指定外置 DHCP SERVER 的地址(注意,这里的 DHCP SERVER 的 ip 地址并不是地址池中的 gateway) 1. 建立外置一个名为 remotedhcp 的 DHCP SERVER 组:

[MA5200F]dhcp-server group remotedhcp 2. 设置此 DHCP SERVER 组:

这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。 [MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10 3. 创建一个远端地址池:

[MA5200F]ip pool huaweiremote remote 4. 指定地址池的 gateway 以及绑定 DHCP SERVER 组:

[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0 [MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp 好了, 现在我们已经给用户配置了一个地址池, 接下来我们要为用户设置相应的认证和计费 方案。 【配置认证和计费策略】 系统里面天然存在两个默认的计费和认证策略,default0 和 default1,分别是不认证不计 费以及 radius 认证 radius 计费,在缺省的情况下一个域里面默认引用的是 default1 的认 证和计费策略。所以这里我们只需要将 default1 的认证和计费策略改为本地认证和本地计 费就可以了: [MA5200F-aaa-authen-default1]authentication-mode local [MA5200F-aaa-accounting-default1]accounting-mode local 【配置域】
2013-7-22 华为机密,未经许可不得扩散 第 82 页, 共 198 页

MA5200F 常见问题宝典

1.

配置一个名为 isp 的域提供给 802.1X 接入的用户使用:

[MA5200F-aaa]domain isp 2. 接下来我们需要指定域下面使用的地址池:

[MA5200F-aaa-domain-isp]ip-pool huawei 3. 配置域下面的用户的 802.1X 报文的终结方式:

[MA5200F-aaa-domain-isp]eap-end chap 这样就指定了该域下对用户的 802.1X 报文采用终结方式和 chap 认证。 这样的配置就使得用 户的 802.1X 认证报文在 5200 上面进行了终结,而不是透传到远端的认证服务器上面去。 【域内绑定 DOT1X 模板】 我们需要在域内绑定事先配置好的 DOT1X 模板,这样该域的用户就使用了模板里所配置的 DOT1X 属性: [MA5200F-aaa-domain-isp]dot1x-template 1 【添加本地用户】 由于这里是在 5200 本地进行用户的认证,所以用户的帐号和密码应该在本地添加,如果是 在 radius 上认证的话用户的帐号和密码是在 radius 上进行统一管理的。 1. 首先进入本地用户的配置视图:

[MA5200F]local-aaa-server 2. 添加一个名为 hua@isp 的用户,密码为 123: 123

[MA5200F-local-aaa-server]user hua@isp password 这样我们就完成了本地用户帐号的添加。 【配置 VLAN 端口】

在这里我们所要做的就是在相应的用户的 VLAN 端口下指定该用户所采用的认证和接入方式 是 802.1X 的方式。 1. 进入相应的用户的 VLAN 端口,这里我们假设用户是从 2 号端口 VLAN ID=1 接入的:
2013-7-22 华为机密,未经许可不得扩散 第 83 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F]portvlan ethernet 2 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2. 设置该端口 VLAN 为二层普通用户接入类型:

[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber 在 access-type 后面有多个选项,其中的 layer-subscriber 是指的普通的二层认证类型的 端口,一般用于接入 VLAN 用户。 3. 配置端口的认证方法为 dot1x:

[MA5200F-ethernet-2-vlan1-1]authentication-method dot1x 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我们 首先要将需要配置的接口指定为“非管理类型”。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 24 0 1 2. 设置端口 VLAN 的接入类型为非管理类型:

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接上 层交换机。 3. 创建 VLAN 子接口:

[MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理 类型” 然后再在这个端口上创建此 VLAN 的子接口。 , 这里多了一个概念就是 “VLAN 子接口” 。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。
2013-7-22 华为机密,未经许可不得扩散 第 84 页, 共 198 页

MA5200F 常见问题宝典

4.

在 VLAN 子接口下配置 ip 地址:

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5. 配置默认路由:

对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就可 以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2

3.8.3 测试验证

此时计算机接入网络之后打开 802.1X 拨号器进行拨号认证, 认证能够通过, 能够 ping 通对 端路由器的地址 202.100.0.2(对端路由器需要做到 MA5200F 下面用户网段的回程路由)。 同时可用 display access-user 来查看用户是否上线。

3.9

VPN 用户的配置

3.9.1 组网图

『配置环境参数』 计算机安装了相应的 L2TP 拨号软件 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2

2013-7-22

华为机密,未经许可不得扩散

第 85 页, 共 198 页

MA5200F 常见问题宝典

RADIUS SERVER 的 IP 地址:202.10.1.2 WEB SERVER 的 IP 地址:202.11.1.2 3.9.2 数据配置步骤

『关于 L2TP 的一些介绍』 L2TP 协议提供了对 PPP 链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和 PPP 会话点驻留在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了 PPP 模型。 L2TP 协议结合了 L2F 协议和 PPTP 协议的各自优点,成为 IETF 有关二层隧道协议的工业标 准。 L2TP 旨在建立一条安全,经济的 VPN 通道,5200 能够提供 L2TP 的接入服务,在整个 L2TP 网络中处于 LAC 的位置。 5200 上面的 L2TP 的实现有两种方式: 1. L2TP 的呼叫由 5200 主动发起;

对于这种方式用户的认证由 5200 来完成,5200 在进行用户的认证的时候就会发现此用户是 一个 L2TP 的用户,这个时候 5200 就会向 LNS 发起隧道连接请求。 2. L2TP 的呼叫由客户端发起。

对于这样一种方式用户按照一般的认证流程(vlan 或者 web)在 5200 上面进行认证之后如 果要想接入 L2TP 网络则直接在客户端向 LNS 发起拨号连接请求, 这个时候 5200 所做的事情 只是将用户的报文进行续传,不需要启动 L2TP 的功能。 因此,在这里我们主要是介绍第一种方式的数据配置情况。 5200 在对一个用户进行 L2TP 接入的时候首先还是要对该用户使用 L2TP 隧道的合法性进行 验证,因此在数据配置的时候同样也是按照一般用户认证的流程来进行配置。 【启动 L2TP 功能开关】 [MA5200F]l2tp enable 【配置虚模板】 [MA5200F]interface Virtual-Template 1

2013-7-22

华为机密,未经许可不得扩散

第 86 页, 共 198 页

MA5200F 常见问题宝典

【接入端口下绑定虚模板】 [MA5200F-Ethernet2]pppoe-server bind virtual-template 1 【配置 L2TP 组】 [MA5200F]l2tp-group 1 【指定 LNS 的地址】 [MA5200F-l2tp1]start l2tp ip 5.5.5.5 【配置用户认证使用的域】 [MA5200F-aaa]domain isp 这样就建立了一个 isp 的域, 由于用户的地址分配是在 LNS 上面完成的, 因此这里我们将用 户的认证和计费策略都配置为不认证不计费: [MA5200F-aaa-domain-isp]authentication-scheme default0 [MA5200F-aaa-domain-isp]accounting-scheme default0 【在域里面绑定 L2TP 组】 [MA5200F-aaa-domain-isp]l2tp-group 1 这样,采用 isp 域上来的用户都是 L2TP 的接入用户。 【配置 VLAN 端口】 在这里我们所要做的就是在相应的用户的 VLAN 端口下指定该用户所采用的认证和接入方 式。 1. 进入相应的用户的 VLAN 端口,这里我们假设用户是从 2 号端口 VLAN ID=1 接入的:

[MA5200F]portvlan ethernet 2 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2. 设置该端口 VLAN 为二层普通用户接入类型:

[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber
2013-7-22 华为机密,未经许可不得扩散 第 87 页, 共 198 页

MA5200F 常见问题宝典

在 access-type 后面有多个选项,其中的 layer-subscriber 是指的普通的二层认证类型的 端口。

3.9.3 测试验证 用户进行拨号认证,此时用户能够获取到 LNS 上面分配的地址,并且能够访问 LNS 后面网 络的资源。

3.10 专线业务的配置 3.10.1二层专线的配置
1) 组网图

『配置环境参数』 计算机设置为自动获取 IP 地址的方式 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2 2) 数据配置步骤 『专线用户的一些概念:』

2013-7-22

华为机密,未经许可不得扩散

第 88 页, 共 198 页

MA5200F 常见问题宝典

接入用户的类型可分为两种:个人用户和集团用户。个人用户具有唯一的 IP 地址和 MAC 地 址,使用唯一的账号,具有唯一的接入权限。集团用户具有多个 IP 地址和 MAC 地址,使用 统一的接入权限。MA5200 V100R007 为了满足实际组网中集团用户的需求,提出了专线接入 的概念。 在 MA5200E/F,专线接入泛指同一逻辑端口下的所有用户统一进行 CAR 和流量统 计,对 AAA 只表现为一个连接的接入方式。 专线接入具有如下的特征: ? ? ? ? 该专线下,所有的用户具有相同的权限; 该专线下,所有的用户统一计费; 该专线下,所有的用户统一做 CAR; 该专线接入以端口 VLAN 作为标识。

【配置专线用户的接入端口】 这里配置 vlan 子接口的目的主要是使得这个 vlan 子接口 up 起来。 加入用户从 2 号端口的 1 号 VLAN 接入上来: [MA5200F]interface Ethernet 2.1 【配置地址池】 对于专线用户是需要利用 DHCP 协议自动获取 IP 地址的, 这个地址是存在一个事先设定好的 地址池中的, 这个地址池可以存在一个远端的 DHCP 的服务器上面, 也可以存在 5200 本机上 面,如果地址池是在 5200 上面的话那么首先就要配置这个地址池的相关参数。 1. 创建一个名为 huawei 的地址池:

[MA5200F]ip pool huawei local 2. 配置地址池的网关以及掩码:

[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0 3. 配置地址池的地址段:

[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10 注意:
2013-7-22 华为机密,未经许可不得扩散 第 89 页, 共 198 页

MA5200F 常见问题宝典

地址池中间还需要根据具体的情况配置相应的 DNS 服务器。 ★ 如果采用的是外置的地址池的话就按照下面的内容进行配置: 注意: MA5200R007 版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立 地址池的时候需要将地址池的属性设置为 remote, 而且地址池中只需要指定 gateway (这里 的主要作用就是生成一条用户网关的路由),而不需要配置地址段 section。同时还需要建 立一个 DHCP SERVER 组,在这个组里面指定外置 DHCP SERVER 的地址(注意,这里的 DHCP SERVER 的 ip 地址并不是地址池中的 gateway) 1. 建立外置一个名为 remotedhcp 的 DHCP SERVER 组:

[MA5200F]dhcp-server group remotedhcp 2. 设置此 DHCP SERVER 组:

这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。 [MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10 3. 创建一个远端地址池:

[MA5200F]ip pool huaweiremote remote 4. 指定地址池的 gateway 以及绑定 DHCP SERVER 组:

[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0 [MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp 好了, 现在我们已经给用户配置了一个地址池, 接下来我们要为用户设置相应的认证和计费 方案。 【配置认证方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的认证方案 Auth1:

2013-7-22

华为机密,未经许可不得扩散

第 90 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3. 设置认证方案:

我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内容。 [MA5200F-aaa-authen-auth1]authentication-mode local 这里我们将 Auth1 这一个认证方案定义为了本地认证, 也就是说采用这样的一个认证方案的 用户是在 5200 本地进行认证的。 【配置计费方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的计费方案 Acct1:

[MA5200F-aaa]accounting-scheme Acct1 3. 设置计费方案:

[MA5200F-aaa-accounting-acct1]accounting-mode local 这里我们将 Acct1 这一个计费方案定义为了本地计费, 也就是说采用这样的一个计费方案的 用户是在 5200 本地进行计费的。 【配置域】 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。 1. 进入 AAA 视图:

[MA5200F]aaa 2. 新建一个名为 isp 的域:

[MA5200F-aaa]domain isp

2013-7-22

华为机密,未经许可不得扩散

第 91 页, 共 198 页

MA5200F 常见问题宝典

接下来便进入了相应的域的配置视图。 3. 指定该域所使用的地址池:

[MA5200F-aaa-domain-isp]ip-pool huawei 4. 指定该域的认证方案和计费方案:

[MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1,分 别是本地认证和本地计费。 【添加用户帐号】 1. 进入本地认证管理配置视图:

[MA5200F]local-aaa-server 2. 添加用户:

[MA5200F-local-aaa-server]batch-user ethernet 2 1 1 domain isp 这之后便添加了一个用户名为:ma5200f-vlan-01-0001@isp 的用户帐号。 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采用 的认证方法。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 2 vlan 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2. 设置该端口 VLAN 为专线用户接入类型,并且配置用户认证前所使用的域:

[MA5200F-ethernet-2-vlan1-1]access-type vlan-leased-line default-domain pre-authentication isp

2013-7-22

华为机密,未经许可不得扩散

第 92 页, 共 198 页

MA5200F 常见问题宝典

在 access-type 后面有多个选项,其中的 vlan-leased-line 是指的专线类型的端口,一般 用于接入二层或者三层的专线用户。 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我们 首先要将需要配置的接口指定为“非管理类型”。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 24 0 1 2. 设置端口 VLAN 的接入类型为非管理类型:

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接上 层交换机。 3. 创建 VLAN 子接口:

[MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理 类型” 然后再在这个端口上创建此 VLAN 的子接口。 , 这里多了一个概念就是 “VLAN 子接口” 。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4. 在 VLAN 子接口下配置 ip 地址:

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5. 配置默认路由:

对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就可 以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2

2013-7-22

华为机密,未经许可不得扩散

第 93 页, 共 198 页

MA5200F 常见问题宝典

3) 测试验证 计算机应该能够获取到 61.10.1.0/24 网段的 IP 地址,此时应该可以 ping 通对 端路由器的地址 202.100.0.2 (对端路由器需要做到 MA5200F 下面用户网段的 回程路由)。

3.10.2三层专线的配置
1) 组网图

『配置环境参数』 计算机 IP 地址为:60.10.1.2/24 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2 MA5200F 上接下端路由器的端口的地址为:60.11.1.2/30 MA5200F 下连路由器的地址为:60.11.1.1/30 2) 数据配置步骤 『三层专线用户的概念』 普通三层接入 VLAN 专线与普通二层接入 VLAN 专线的区别在于,普通三层接入 VLAN 专线下 挂的为三层设备,而普通二层接入 VLAN 专线下挂的为二层设备。

2013-7-22

华为机密,未经许可不得扩散

第 94 页, 共 198 页

MA5200F 常见问题宝典

【配置认证方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的认证方案 Auth1:

[MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3. 设置认证方案:

我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内容。 [MA5200F-aaa-authen-auth1]authentication-mode local 这里我们将 Auth1 这一个认证方案定义为了本地认证, 也就是说采用这样的一个认证方案的 用户是在 5200 本地进行认证的,当然在实际的开局中我们也可以根据实际的情况将认证方 案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行认证。 【配置计费方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的计费方案 Acct1:

[MA5200F-aaa]accounting-scheme Acct1 3. 设置计费方案:

[MA5200F-aaa-accounting-acct1]accounting-mode local 这里我们将 Acct1 这一个计费方案定义为了本地计费, 也就是说采用这样的一个计费方案的 用户是在 5200 本地进行计费的,当然在实际的开局中我们也可以根据实际的情况将计费方 案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行计费。 【配置域】

2013-7-22

华为机密,未经许可不得扩散

第 95 页, 共 198 页

MA5200F 常见问题宝典

在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。 1. 进入 AAA 视图:

[MA5200F]aaa 2. 新建一个名为 isp 的域:

[MA5200F-aaa]domain isp 接下来便进入了相应的域的配置视图。 3. 指定该域的认证方案和计费方案:

[MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1,分 别是本地认证和本地计费。 【配置与下挂路由器相连的接口地址】 [MA5200F]interface Ethernet 2.0 [MA5200F-Ethernet2.0]ip address 60.11.1.2 255.255.255.252 【配置到用户网段的路由】 三层专线由于是下挂的路由器, 一次需要配置到用户网段的静态路由, 下一跳是下挂路由器 的接口地址。同时,通过配置到用户网段的静态路由来限制专线用户的接入网段。 [MA5200F]ip route-static 61.10.1.2 255.255.255.0 60.11.1.1 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采用 的认证方法。 1. 进入端口 VLAN 的配置视图(0 表示没有 vlan):

[MA5200F]portvlan ethernet 2 vlan 0 1
2013-7-22 华为机密,未经许可不得扩散 第 96 页, 共 198 页

MA5200F 常见问题宝典

2.

设置该端口 VLAN 为专线用户接入类型,以及用户认证前所使用的域:

[MA5200F-ethernet-2-vlan0-0]access-type vlan-leased-line default-domain pre-authentication isp 在 access-type 后面有多个选项,其中的 vlan-leased-line 是指的专线类型的端口,一般 用于接入二层或者三层的专线用户。 3. 配置端口的认证方法:

[MA5200F-ethernet-2-vlan0-0]authentication-method bind 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我们 首先要将需要配置的接口指定为“非管理类型”。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 24 0 1 2. 设置端口 VLAN 的接入类型为非管理类型:

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接上 层交换机。 3. 创建 VLAN 子接口:

[MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理 类型” 然后再在这个端口上创建此 VLAN 的子接口。 , 这里多了一个概念就是 “VLAN 子接口” 。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4. 在 VLAN 子接口下配置 ip 地址:

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252
2013-7-22 华为机密,未经许可不得扩散 第 97 页, 共 198 页

MA5200F 常见问题宝典

5.

配置默认路由:

对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就可 以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2 3) 测试验证 用户计算机此时应该可以 ping 通对端路由器的地址 202.100.0.2(对端路由器需要做到 MA5200F 下面用户网段的回程路由)。

3.10.3PROXY 专线的配置
1)组网图

『配置环境参数』 计算机设置为自动获取 IP 地址的方式 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2 2) 数据配置步骤 『PROXY 专线用户的一些概念:』

2013-7-22

华为机密,未经许可不得扩散

第 98 页, 共 198 页

MA5200F 常见问题宝典

PROXY 专线具有二层专线的所有的特性。同时 PROXY 专线在用户的认证方式上更为灵活,可 以采用 WEB,DOT1X 等认证策略,二普通的二层专线用户只能进行 BIND 认证。 PROXY 专线的数据配置和一般的接入用户的数据配置是基本相同的,只是在 portvlan 里面 所指定的接入类型不同罢了。 我们这里以静态用户为例子说明 PROXY 专线是如何配置的, 当然 PROXY 专线用户也可以配置 为动态用户或者 WEB 认证用户。 【配置地址池】 PROXY 专线用户首先配置地址池。现在的版本对于静态用户也是需要配置地址池的,并且要 将静态用户的地址包含进所配置的地址池中, 同时还要执行禁用的命令, 所以在做静态用户 数据的第一步就是生成相应的地址池。 1. 创建一个名为 huawei 的地址池:

[MA5200F]ip pool huawei local 2. 配置地址池的网关以及掩码:

[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0 3. 配置地址池的地址段:

[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10 4. 在地址池里面将静态用户的地址去除:

MA5200F-ip-pool-huawei]excluded-ip-address 61.10.1.2 另外在实际开局中此处还要配置 DNS 服务器的 IP,但由于是业务配置指导书,此处 DNS 的配置省略, 具体配置可以参考开局指导书中的相关部分, 下面的各配置中地址池的配置与 此相同。 好了, 现在我们已经给静态用户配置了一个地址池, 接下来我们要为静态用户设置相应的认 证和计费方案。 【配置认证方案】 1. 进入 AAA 视图:

[MA5200F]aaa
2013-7-22 华为机密,未经许可不得扩散 第 99 页, 共 198 页

MA5200F 常见问题宝典

2.

添加一个新的认证方案 Auth1:

[MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3. 设置认证方案:

我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内容。 [MA5200F-aaa-authen-auth1]authentication-mode local 这里我们将 Auth1 这一个认证方案定义为了本地认证, 也就是说采用这样的一个认证方案的 用户是在 5200 本地进行认证的,当然在实际的开局中我们也可以根据实际的情况将认证方 案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行认证。 【配置计费方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的计费方案 Acct1:

[MA5200F-aaa]accounting-scheme Acct1 3. 设置计费方案:

[MA5200F-aaa-accounting-acct1]accounting-mode local 这里我们将 Acct1 这一个计费方案定义为了本地计费, 也就是说采用这样的一个计费方案的 用户是在 5200 本地进行计费的,当然在实际的开局中我们也可以根据实际的情况将计费方 案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行计费。 注意: 如果选择的是本地计费的方式,那么话单首先是生成在 cache 里面的,重启之后将会丢失。 而且由于 cache 的容量有限, cache 满了之后将无法进行正常的计费。 当 所以我们需要配置 数据将 cache 里面的话单定时备份出来: 4. 设置话单的备份方式:

[MA5200F-local-aaa-server]cache-bill backup-mode tftp
2013-7-22 华为机密,未经许可不得扩散 第 100 页, 共 198 页

MA5200F 常见问题宝典

5.

设置备份的时间间隔(默认是 720 分钟):

[MA5200F-local-aaa-server]cache-bill backup-interval 120 6. 设置备份话单服务器的参数:

[MA5200F-local-aaa-server]bill-server 10.1.1.1 filename bill 【配置域】 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。 1. 进入 AAA 视图:

[MA5200F]aaa 2. 新建一个名为 isp 的域:

[MA5200F-aaa]domain isp 接下来便进入了相应的域的配置视图。 3. 指定该域所使用的地址池:

[MA5200F-aaa-domain-isp]ip-pool huawei 4. 指定该域的认证方案和计费方案:

[MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1,分 别是本地认证和本地计费。 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采用 的认证方法,以及静态用户的数据。 1. 进入端口 VLAN 的配置视图:

2013-7-22

华为机密,未经许可不得扩散

第 101 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F]portvlan ethernet 2 vlan 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2. 设置该端口 VLAN 为二层普通用户接入类型:

[MA5200F-ethernet-2-vlan1-1] access-type proxy-leased-line 在 access-type 后面有多个选项,其中的 proxy-leased-line 是指的 PROXY 专线用户。 注意: 在一个 portvlan 下面指定了接入类型为 proxy-leased-line 之后, 这个 portvlan 下面就只 能接入一个用户了。 3. 配置用户所使用的域:

[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp 4. 配置端口的认证方法:

[MA5200F-ethernet-2-vlan1-1]authentication-method bind 5. 添加静态用户:

[MA5200F-ethernet-2-vlan1-1]static-user 61.10.1.2 detect 这里的 detect 的含义是:静态用户不绑定 MAC 地址,MA5200 设备主动探测。此应用主要是 在静态用户是二层交换机等需管理设备。 此处配完后可以通过[MA5200F]display static-user Port-type Port-ID VLAN-ID IP-address Static-user-state

--------------------------------------------------------------------------Ethernet 1 1 61.10.1.2 Updated

--------------------------------------------------------------------------Total 4 item(s)

2013-7-22

华为机密,未经许可不得扩散

第 102 页, 共 198 页

MA5200F 常见问题宝典

状态为 UPDATED 时表示这个静态用户目前处在预连结状态, 如果为其它的状态的话请检查自 己的数据配置情况。 目前静态用户的配置顺序必须为: 地址池---认证计费策略---域 ---进行 portvlan 的配置并添加静态用户。 【添加用户帐号】 1. 进入本地认证管理配置视图:

[MA5200F]local-aaa-server 2. 添加用户:

[MA5200F-local-aaa-server]batch-user ethernet 2 1 1 domain isp 这之后便添加了一个用户名为:ma5200f-vlan-01-0001@isp 的用户帐号。 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我们 首先要将需要配置的接口指定为“非管理类型”。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 24 vlan 0 1 2. 设置端口 VLAN 的接入类型为非管理类型:

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接上 层交换机。 3. 创建 VLAN 子接口:

[MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理 类型” 然后再在这个端口上创建此 VLAN 的子接口。 , 这里多了一个概念就是 “VLAN 子接口” 。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。
2013-7-22 华为机密,未经许可不得扩散 第 103 页, 共 198 页

MA5200F 常见问题宝典

4.

在 VLAN 子接口下配置 ip 地址:

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5. 配置默认路由:

对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就可 以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2 3) 测试验证

按照条件将计算机设置成相应的地址, 此时应该可以 ping 通对端路由器的地址 202.100.0.2 (对端路由器需要做到 MA5200F 下面用户网段的回程路由)。 同时可用 display access-user 来查看用户是否上线。

3.11 三层认证的配置 3.11.1组网图

『配置环境参数』 计算机 IP 地址为:60.10.1.2/24 MA5200F 的上行口地址:200.100.0.1
2013-7-22 华为机密,未经许可不得扩散 第 104 页, 共 198 页

MA5200F 常见问题宝典

MA5200F 对端路由器地址:200.100.0.2 MA5200F 上接下端路由器的端口的地址为:60.11.1.2/30 MA5200F 下连路由器的地址为:60.11.1.1/30 采用 M5200F 内置 portal 页面进行认证,请首先加载内置 WEB 页面 3.11.2 数据配置步骤

【配置认证方案】 由于在进行强制 WEB 认证的时候需要配置两个域, 所以这里需要分别设置这两个域里面的认 证和计费策略。但是由于第一个域仅仅是用来使用户能够获取 IP 地址,所以在这个域里面 所指定的认证和计费方法可以尽量的简单, 可以采用不认证不计费的方式, 仅仅让用户能够 正常的上线获取 IP 地址,然后在这个域中通过 UCL 来限制用户的上网权限。用户在获取了 IP 地址之后就会到相应的 WEB 服务器上去进行认证,认证的时候用户将会属于另外一个域 (通过用户名里面所带的域名或者 5200 上设置的默认域名来确定用户认证的时候属于哪个 域),这样在第二个域里面可以采用合适的认证方法(本地或者 radius)来对用户进行认 证。 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的认证方案 Auth1:

[MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3. 设置认证方案:

我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内容。 [MA5200F-aaa-authen-auth1]authentication-mode local 【配置计费方案】 1. 进入 AAA 视图:

[MA5200F]aaa
2013-7-22 华为机密,未经许可不得扩散 第 105 页, 共 198 页

MA5200F 常见问题宝典

2.

添加一个新的计费方案 Acct1:

[MA5200F-aaa]accounting-scheme Acct1 3. 设置计费方案:

[MA5200F-aaa-accounting-acct1]accounting-mode local 【内置 WEB 服务器的配置】 在配置内置 WEB 服务器之前首先要夹在内置 WEB 的页面文件, 详细请参见 《升级指导书》 1. 进入 WEB SEVER 的配置视图

[MA5200F]web-server 2. 指定 WEB 文件的路径

[MA5200F-web-server]directory flash:/webfile 3. 指定默认页面

[MA5200F-web-server]default-page /index.html 【配置认证前的域】 对于该域的认证和计费策略这里不用配置,采用默认的设置(不认证不计费)就可以了。 1. 配置域下面用户所属的 UCL 组:

[MA5200F-aaa-domain-default0]ucl-group 1 2. 配置强制 WEB 认证的 WEB 服务器地址:

[MA5200F-aaa-domain-default0]web-server 127.0.0.1 【配置认证时的域】 这里配置的是进行 WEB 认证的时候所使用的域,用户在获取 IP 地址的时候使用的是 default0 的默认域。 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。
2013-7-22 华为机密,未经许可不得扩散 第 106 页, 共 198 页

MA5200F 常见问题宝典

1.

进入 AAA 视图:

[MA5200F]aaa 2. 新建一个名为 isp 的域:

[MA5200F-aaa]domain isp 接下来便进入了相应的域的配置视图。 3. 指定该域的认证方案和计费方案:

[MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1,分 别是 LOCAL 认证和 LOCAL 计费。 【添加本地用户帐号】 [MA5200F-local-aaa-server]user test@isp password test 【配置系统的 ACL 策略】 这里所配置的 ACL 策略主要是针对认证前和认证后的用户来说的, 上面我们以及在认证前和 认证时的域里面指定了用户分别在认证前后属于不同的 UCL 组, 现在我们就要针对这些不同 的 UCL 组来进行 ACL 的控制, 使得进行 WEB 认证前的用户不能访问其它资源, WEB 认证后 而 的用户能够访问所有的资源。 1. 进入增强型 ACL 配置视图,采用默认匹配模式:

[MA5200F]acl number 101 match-order auto 提示: 100 到 199 是增强型 ACL 组,采用五元组进行控制。1 到 99 是普通型的 ACL 组,采用三元组 进行控制。 2. 配置对于 WEB 认证前的用户只能访问 WEB 服务器和 DNS 服务器:

[MA5200F-acl-adv-101] rule 0 user-net deny ip source 1

2013-7-22

华为机密,未经许可不得扩散

第 107 页, 共 198 页

MA5200F 常见问题宝典

以上的配置限制了 UCL group 1 的用户不能访问其它资源。 3. 将 101 的 ACL 引用到全局:

[MA5200F]access-group 101 【配置与下挂路由器相连的接口地址】 [MA5200F]interface Ethernet 2.1 [MA5200F-Ethernet2.1]ip address 60.11.1.2 255.255.255.252 这里需要说明一下,如果 MA5200F 下挂的路由器或者交换机是带了 vlan 上来的话,那么这 里就要配置相应的 VLAN 子接口,否则这里的子接口设置为 0(也就是没有 vlan)即可。 【配置到用户网段的路由】 三层认证由于是下挂的路由器, 一次需要配置到用户网段的静态路由, 下一跳是下挂路由器 的接口地址。同时,通过配置到用户网段的静态路由来限制专线用户的接入网段。 [MA5200F]ip route-static 61.10.1.2 255.255.255.0 60.11.1.1 【配置三层认证用户所对应的网段和预连接的域】 [MA5200F]layer3-subscriber 61.10.1.2 61.10.1.10 domain-name default0 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采用 的认证方法。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 2 1 1 2. 设置该端口 VLAN 为三层认证用户接入类型:

[MA5200F-ethernet-2-vlan1-1]access-type layer3-subscriber 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我们 首先要将需要配置的接口指定为“非管理类型”。
2013-7-22 华为机密,未经许可不得扩散 第 108 页, 共 198 页

MA5200F 常见问题宝典

1.

进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 24 0 1 2. 设置端口 VLAN 的接入类型为非管理类型:

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接上 层交换机。 3. 创建 VLAN 子接口:

[MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理 类型” 然后再在这个端口上创建此 VLAN 的子接口。 , 这里多了一个概念就是 “VLAN 子接口” 。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4. 在 VLAN 子接口下配置 ip 地址:

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5. 配置默认路由:

对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就可 以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2 3.11.3 测试验证

用户在 IE 的地址栏里面输入任意的 IP 地址, 然后就会强制登陆到 WEB SERVER 上区进行 WEB 认证,认证通过之后应该能够 ping 通对端路由器的地址 202.100.0.2(对端路由器需要做 到 MA5200F 下面用户网段的回程路由)。

2013-7-22

华为机密,未经许可不得扩散

第 109 页, 共 198 页

MA5200F 常见问题宝典

3.12 NAT 业务的配置 3.12.1 组网图

『配置环境参数』 计算机设置为自动获取 IP 地址的方式 MA5200F 的上行口地址:200.100.0.1 MA5200F 对端路由器地址:200.100.0.2 3.12.2 数据配置步骤

『关于 NAT 的一些概念:』
2013-7-22 华为机密,未经许可不得扩散 第 110 页, 共 198 页

MA5200F 常见问题宝典

NAT 地址转换,又称地址代理,用来实现私有网络地址与公有网络地址之间的转换。 普通的 INTERNET 接入方式要求每个主机拥有全球唯一的 IP 地址,当 INTERNET 的用户大量 增加时 IP 地址空间已无法满足新增用户的需求。NAT 地址转换技术通过使同一子网内的不 同主机在访问 INTERNET 时共享同一 IP 地址解决了 IPV4 地址空间不足的问题,同时通过地 址转换一定程度的解决了网络安全的问题。 我们这里以动态 vlan 用户为例子,介绍 nat 的配置流程和注意事项。 【配置地址池】 对于动态 VLAN 绑定用户是需要利用 DHCP 协议自动获取 IP 地址的,这个地址是存在一个事 先设定好的地址池中的,这个地址池可以存在一个远端的 DHCP 的服务器上面,也可以存在 5200 本机上面, 如果地址池是在 5200 上面的话那么首先就要配置这个地址池的相关参数。 1. 创建一个名为 huawei 的地址池:

[MA5200F]ip pool huawei local 2. 配置地址池的网关以及掩码:

[MA5200F-ip-pool-huawei]gateway 10.10.1.1 255.255.255.0 3. 配置地址池的地址段:

[MA5200F-ip-pool-huawei]section 0 10.10.1.2 10.10.1.10 注意: 地址池中间还需要根据具体的情况配置相应的 DNS 服务器。 ★ 如果采用的是外置的地址池的话就按照下面的内容进行配置: 注意: MA5200R007 版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立 地址池的时候需要将地址池的属性设置为 remote, 而且地址池中只需要指定 gateway (这里 的主要作用就是生成一条用户网关的路由),而不需要配置地址段 section。同时还需要建 立一个 DHCP SERVER 组,在这个组里面指定外置 DHCP SERVER 的地址(注意,这里的 DHCP SERVER 的 ip 地址并不是地址池中的 gateway) 5. 建立外置一个名为 remotedhcp 的 DHCP SERVER 组:
2013-7-22 华为机密,未经许可不得扩散 第 111 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F]dhcp-server group remotedhcp 6. 设置此 DHCP SERVER 组:

这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。 [MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10 7. 创建一个远端地址池:

[MA5200F]ip pool huaweiremote remote 8. 指定地址池的 gateway 以及绑定 DHCP SERVER 组:

[MA5200F-ip-pool-huaweiremote]gateway 10.10.1.1 255.255.255.0 [MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp 好了, 现在我们已经给用户配置了一个地址池, 接下来我们要为用户设置相应的认证和计费 方案。 【配置认证方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的认证方案 Auth1:

[MA5200F-aaa]authentication-scheme Auth1 这样接下来就进入了相应的认证方案视图。 3. 设置认证方案:

我们已经创建了一个新的认证方案 Auth1,接下来我们将定义这个认证方案的具体内容。 [MA5200F-aaa-authen-auth1]authentication-mode local 这里我们将 Auth1 这一个认证方案定义为了本地认证, 也就是说采用这样的一个认证方案的 用户是在 5200 本地进行认证的,当然在实际的开局中我们也可以根据实际的情况将认证方 案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行认证。

2013-7-22

华为机密,未经许可不得扩散

第 112 页, 共 198 页

MA5200F 常见问题宝典

【配置计费方案】 1. 进入 AAA 视图:

[MA5200F]aaa 2. 添加一个新的计费方案 Acct1:

[MA5200F-aaa]accounting-scheme Acct1 3. 设置计费方案:

[MA5200F-aaa-accounting-acct1]accounting-mode local 这里我们将 Acct1 这一个计费方案定义为了本地计费, 也就是说采用这样的一个计费方案的 用户是在 5200 本地进行计费的,当然在实际的开局中我们也可以根据实际的情况将计费方 案设置为其它的类型,如 radius,这样的话这个用户将会去 radius 服务器进行计费。 注意: 如果选择的是本地计费的方式,那么话单首先是生成在 cache 里面的,重启之后将会丢失。 而且由于 cache 的容量有限, cache 满了之后将无法进行正常的计费。 当 所以我们需要配置 数据将 cache 里面的话单定时备份出来: 4. 设置话单的备份方式:

[MA5200F-local-aaa-server]cache-bill backup-mode tftp 5. 设置备份的时间间隔(默认是 720 分钟):

[MA5200F-local-aaa-server]cache-bill backup-interval 120 6. 设置备份话单服务器的参数:

[MA5200F-local-aaa-server]bill-server 10.1.1.1 filename bill

【配置域】 在 5200 上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的 配置之前我们首先要配置用户所属的域的一些参数。

2013-7-22

华为机密,未经许可不得扩散

第 113 页, 共 198 页

MA5200F 常见问题宝典

1.

进入 AAA 视图:

[MA5200F]aaa 2. 新建一个名为 isp 的域:

[MA5200F-aaa]domain isp 接下来便进入了相应的域的配置视图。 3. 指定该域所使用的地址池:

[MA5200F-aaa-domain-isp]ip-pool huawei 4. 指定该域的认证方案和计费方案:

[MA5200F-aaa-domain-isp]authentication-scheme Auth1 [MA5200F-aaa-domain-isp]accounting-scheme Acct1 这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1,分 别是本地认证和本地计费。 【配置 VLAN 端口】 配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域, 所采用 的认证方法。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 2 vlan 1 1 这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。 2. 设置该端口 VLAN 为二层普通用户接入类型:

[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber 在 access-type 后面有多个选项, 其中的 layer-subscriber 是指的普通的二层 VLAN 认证类 型的端口,一般用于接入 VLAN 用户。 3. 配置用户所使用的域:

2013-7-22

华为机密,未经许可不得扩散

第 114 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp 4. 配置端口的认证方法:

[MA5200F-ethernet-2-vlan1-1]authentication-method bind 【添加用户帐号】 1. 进入本地认证管理配置视图:

[MA5200F]local-aaa-server 2. 添加用户:

[MA5200F-local-aaa-server]batch-user ethernet 2 1 1 domain isp 这之后便添加了一个用户名为:ma5200f-vlan-01-0001@isp 的用户帐号。 【NAT 的相关配置】 1. 首先配置一个公网地址池用作 NAT 地址转换的公网地址:

[MA5200F]nat address-group 0 61.10.1.1 61.10.1.1 2. 配置用户私网网段的接入列表: 0.0.0.255

[MA5200F]nat acl 0 permit 10.10.1.0 3.

绑定地址转换所用的公网地址池和私网列表

[MA5200F]nat outbound 0 address-group 0 这样就完成了 NAT 转换的主要配置。10.10.1.0 网段的用户在报文发出 5200 的时候源地址 就变成了 61.10.1.1 注意: NAT 配置中间有一些值得注意的地方: 1. 使用 NAT 功能的时候需要调整单个用户允许的 NAT 连接数,建议值为 100

[MA5200F]nat connection-limit 100

2013-7-22

华为机密,未经许可不得扩散

第 115 页, 共 198 页

MA5200F 常见问题宝典

2.

调整 NAT 用户所在的 DOMAIN 下的连接监控数,建议值为 100

[MA5200F-aaa-domain-isp] connection-limit 100 3. 如果是本地用户,调整 NAT 用户连接监控数,建议值为 100

[MA5200F-local-aaa-server] user test@pppoe connection-limit 100 4. 设置系统 TCP、UDP 老化时间

[MA5200F]nat aging-time udp 60 [MA5200F]nat aging-time tcp 90 【配置上行接口以及路由】 配置上行接口的目的是为了和上层的路由器或者交换机相连接, 在配置上行接口的时候我们 首先要将需要配置的接口指定为“非管理类型”。 1. 进入端口 VLAN 的配置视图:

[MA5200F]portvlan ethernet 24 0 1 2. 设置端口 VLAN 的接入类型为非管理类型:

[MA5200F-ethernet-24-vlan0-0]access-type interface 在 access-type 后面有多个选项, 其中的 interface 是指的非管理类型的端口, 用于连接上 层交换机。 3. 创建 VLAN 子接口:

[MA5200F]interface Ethernet 24.0 这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理 类型” 然后再在这个端口上创建此 VLAN 的子接口。 , 这里多了一个概念就是 “VLAN 子接口” 。 这样,一个物理端口上就可以创建多个逻辑的 VLAN 子接口,每个子接口可以配置不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行,并且带上相应的 VLAN ID, 三层交换机(或者二层交换机)就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转 发了。 增强了转发的灵活性。 如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。 4. 在 VLAN 子接口下配置 ip 地址:
2013-7-22 华为机密,未经许可不得扩散 第 116 页, 共 198 页

MA5200F 常见问题宝典

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 5. 配置默认路由:

对于一般条件的接入业务,5200 上面只需要配置一条指向上行路由器端口的默认路由就可 以了: [MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2 3.12.3 测试验证

计算机应该能够获取到 10.10.1.0/24 网段的 IP 地址,此时应该可以 ping 通对端路由器的 地址 202.100.0.2(对端路由器需要做到 MA5200F 下面用户网段的回程路由)。

4 MA5200F 常见 FAQ
4.1802.1x 接入业务(WLAN) 4.1.1FAQ-MA5200F 开 WLAN 业务如何给 WEB 认证服务器送 AC NAME 和用 户 IP 参数
Q: 版本:MA5200?MA2.10-71XX MA5200F 开 WLAN 业务对接,亚信做 web 认证服务器,用户在进行 WEB 认证时要求给 WEB 认证服务器送 AC?NAME 和用户 IP 两个参数。现在用户在认证时,页面提示非法用 户,从 WEB 认证服务器上看,没有收到这两个参数,导致 WEB 认证不成功,那么如何配 置 MA5200F 给 WEB 认证服务器送这两个参数呢? A: 要送 AC?NAME 和 USER?IP 给 WEB 认证服务器, MA5200F 下必须要满足以下配置才可以 1、配置了 NAS-SERIAL [MA5200F-aaa]nas-serial?ABCDEFG 2、使能了 EAP-SIM-PARAMETER [MA5200F-aaa-domain-test]eap-sim-parameter 3、强制 WEB 认证为 POST 方式 [MA5200F-aaa-domain-default0]web-server?mode?post

2013-7-22

华为机密,未经许可不得扩散

第 117 页, 共 198 页

MA5200F 常见问题宝典

4.2AAA(ACL/UCL/CAR/本地计费等) 4.2.1 FAQ-MA5200 如何清空历史最大在线用户数
Q: MA5200F 如何清空历史最大在线用户数? A: MA5200F:MA2.10-7149 以前版本无法使用命令来清除,只能复位系统才可以清空。 MA2.10-7149 以后可以使用 reset most-onlineuser 清除。

4.2.2 FAQ-MA5200F 如何限制某类用户(如网吧用户)在规定时间内无法上网
Q: MA5200F 如何限制某类用户(如网吧用户)在规定时间内无法上网? A: [MA5200F] time-range night 00:01 to 8:00 working-day //定义一个时间范围列表 [MA5200F] acl number 100 match-order auto [MA5200F-acl-adv-100] rule user-net deny ip source 10 destination any time-range night // ACL 中引用时间范围列表 [MA5200F] access-group 100 //在全局使用 acl 100 设置上述数据后,对于 ucl-group 为 10 的用户,在工作日(周一到周五)的 00:01 至 8:00 之间将无法上网。 在

4.2.3 FAQ-为什么 MA5200F MA2.10-7123 及以后版本中不能限制用户连接数 (connection-limit)
Q: 为什么 MA5200F MA2.10-7123 及以后版本中不能限制用户账号连接数 (connection-limit) ? A: 这个和版本有关。在 7123 以后版本中,版本有 normal 后 simple 的区别。 MA2.10-71xx normal 版本在原来 R006 版本的基础上增加了专线、可控组播、NAT、多媒体 承 载 、 VPN 承 载 、 OSPF 、 BGP 、 即 插 即 用 、 VPDN 、 用 户 访 问 日 志 等 功 能 特 性 ; MA2.10-71xx simple 在简化功能的基础上对 R007 的性能进行了优化,该软件版本不支持 NAT、即插即用、多媒体承载功能、用户连接数限制和用户访问日志功能。所以当使用的
2013-7-22 华为机密,未经许可不得扩散 第 118 页, 共 198 页

MA5200F 常见问题宝典

版本是 simple 版本时,MA5200F 将不支持限制用户连接数的设置,需要使用 normal 版本才 支持。 使用如下命令可以切换 simple/normal 版本: [MA5200F]bootload ? STRING<1-127> File name normal-version The normal version simple-version The simple version 注意:使用这条命令后必须重启系统才能生效。

4.2.4 FAQ-关于 MA5200F 备份话单失败告警的处理
Q: MA5200 MA2.10-71xx 版本,系统日志中有备份话单失败的告警是什么原因?如何处理? A: 使用命令 display trap 查看系统告警,有很多如下告警: [10/23/2005 20:14:16-] LAM-5-0706200a: Failed to TFTP out the bills in Flash(at relative 0 block) MA5200F 默认的话单生成后保存在 cache 中,系统默认的每隔 1440 分钟(也就是一天)话 单由 cache 向 flash 备份, 同样的 flash 默认每隔 1440 分钟向 tftp 服务器备份一次话单, 但是 如果系统没有配置 tftp 服务器,导致 MA5200F 无法找到 tftp 服务器,就会打印此告警,这 个告警是无法屏蔽的。但是可以通过以下方法避免此告警的频繁出现: 1、增大 Flash memory 话单自动备份的时间间隔。 例:配置 Flash memory 话单自动备份的时间间隔为 3000 分钟: [MA5200F-local-aaa-server]flash-bill backup-interval 3000 (最大可以设置 65535 分钟) 2、配置系统的 tftp 服务器。 a. 设置话单的备份方式: [MA5200F-local-aaa-server]cache-bill backup-mode tftp b. 设置备份的时间间隔(默认是 720 分钟): [MA5200F-local-aaa-server]cache-bill backup-interval 120 c. 设置备份话单服务器的参数: [MA5200F-local-aaa-server]bill-server 10.1.1.1 filename bill 3、如果 display trap 时,此告警打印的非常频繁,比如 1 分钟一次,则是话单池满了,可以 配置 tftp 服务器将话单导出,也可以清除话单池的告警,命令如下: [MA5200F-local-aaa-server]reset flash-bill

2013-7-22

华为机密,未经许可不得扩散

第 119 页, 共 198 页

MA5200F 常见问题宝典

4.2.5 FAQ-MA5200 MA2.10-71xx 版本做 connection-limit 限制的时候为什么能 打开超过限制数量的网页
Q: MA5200 R007 版本做 connection-limit 限制的时候,实际上用户能打开的网页数量远远超过 connection-limit 的限制,这是为什么? A: Connection-limit 是指用户可以并发使用的联接数,但并不是说用户的 connection-limit 限制 为 1 时,用户只能打开一个网页,举个例子来说,一个用户的 connection 限制为 2,当用户 访问网络一个新的地址建立需要建立一个 connection 的时候,我们查到用户还有空余的 connection,我们就会新建一个 connection,如果用户已经访问过多个地址,已经占用了两个 connection,用户再访问一个新地址时,我们就不会新建立一个 connection,而是把用户已经 用的 2 个 connection 中的一个老化用以给用户访问新的地址。所以说即使用户的 connection 限制为 1,用户也可以打开多个页面。我们联接限制的作用表现在,如果用户使用超过 connection-limit 的联接时,用户要不断的老化旧的联接,这样不断的切换会造成用户上网性 能的大幅下降,从而达到防止用户私接代理的目的。 如何来查看 connection-limit 的作用,简单的测试方法:把一个用户的 connection 限制为 1, 从用户同时 ping 3 个或多个地址,会发现 3 个 ping 进程会间隔出现时延较大的情况,就是 因为要不断的老化 connection 来给 3 个进程使用。 在实际使用中,除了 connetion-limit 做连接数限制外,还需要做 user-host-car 限制,控制单 位实际内能够发起的连接数,从而可以有效地控制。经过实际测试,建议使用 8 64 作为推 荐参数。这样,既控制住用户总的连接数,也控制住单位时间内的可以建立的连接数,从而 比较有限地控制。

4.2.6 FAQ-MA5200F/G 如何为用户设置带宽
Q: MA5200F/G 如何为用户设置带宽? A: 总体上讲,为用户配置带宽分为两个步骤:定义带宽级别和引用带宽级别。 1、MA5200F/G 系统自带了 32 个 user-car 的流量控制级别(0~31),可以用来定义不同的 流量控制级别,系统默认情况下,上线用户会引用 user-car 0 级别,带宽为 10M。 2、对于定义 user-car 的级别,配置命令在系统视图下,例:
2013-7-22 华为机密,未经许可不得扩散 第 120 页, 共 198 页

MA5200F 常见问题宝典

[MA5200G]user-car 31 up 1024 1024 5120 down 1024 1024 5120 ( 此 配 置 MA5200F 与 MA5200G 一样) 此配置是定义了一个上下行均为 1M 的流量控制级别, 命令“up”和“down”后的参数分别代表 基本速率、平均速率和峰值速率,建议值:基本速率和平均速率一致,峰值速率为基本速率 的 5 倍。 3、user-car 定义的范围:可以为某个域下的用户统一定义带宽,也可以对某个用户单独配置 带宽。 对域下的用户定义带宽配置如下: [MA5200G-aaa]domain aaa [MA5200G-aaa-domain-aaa]user-car 31 (此配置 MA5200F 与 MA5200G 一样) 对于某个用户配置带宽: a、为本地用户配置,MA5200F 的 vlan 用户配置为: [MA5200F-local-aaa-server]batch-user ethernet 1 10 1 domain aaa user-car 31 此配置是对以太网口 1 接入的 vlanid 为 10、 用户域为 aaa 的 vlan 用户设置了 31 的流量控制 级别。 MA5200G 的 vlan 用户配置为: [MA5200G-local-aaa-server]user MA5200G-010200000000010@aaa user-car 31 此配置是对 1 槽位 2 端口接入的 vlanid 为 10、 用户域为 aaa 的 vlan 用户设置了 31 的流量控 制级别(pvc 用户配置相同,只是帐号格式不同)。 普通帐号配置为: [MA5200G-local-aaa-server]user 123@aaa user-car 31(此配置 MA5200F 与 MA5200G 一样) 此配置是对帐号为 123@aaa 的用户设置了设置了 31 的流量控制级别。 b、对于 radius 认证的用户,一般由 RADIUS 下发带宽,CAR 属性可以在 radius 属性 25 号 (class)或者 26-1 到 26-6 号属性中下发, 在相应的 radius 组中通过 radius-server class-as-car 命令配置是否使用 class 属性携带 CAR 值。 如果不使用 class 属性可以使用自定义 26 号属性 下发带宽,26-1 到 26-6 的 6 个属性分别对应着上行峰值速率、上行平均速率、上行基本 速率、下行峰值速率、下行平均速率以及下行基本速率。如果一个报文即带有 25 号又带有 26 号属性时,而且配置 class-as-car,则以后面的属性为准。

4.2.7 FAQ-MA5200F 产品本地帐号的配置和检查要点
Q: 在 MA5200F 设备上进行本地帐号配置的时候需要注意的地方。 A: 1、首先进入 local-aaa-server 的视图,在系统视图下面敲入:[MA5200]local-aaa-server
2013-7-22 华为机密,未经许可不得扩散 第 121 页, 共 198 页

MA5200F 常见问题宝典

2、如果是绑定认证用户批量生成帐号,请使用命令:[MA5200-local-aaa-server]batch-user 进行批量帐号生成,使用的时候需要指定生成帐号的端口、vlan 等信息。这样最后就会生成 格式为:系统名-vlan-端口号-vlanid@default-domain 的用户名。 3、如果是普通用户认证帐号的话,请使用命令:[MA5200-local-aaa-server]user 进行生成, 使用的时候需要指定相应的用户名,密码等参数。 4、利用[MA5200]disp user 查询已经配置好的用户的状态是否正常,在显示的列表中主要要 注意用户的状态(state)是否是 active(显示为 A),以及该帐号是否进行了接入限制 (Access-Limit 项)。

4.2.8 FAQ-MA5200F 对用户帐号字符的处理方式。
Q: MA5200F 对用户帐号字符的处理方式 A: 1、MA5200F 在处理本地帐号的时候,是不区分大小写的,所以本地帐号输入帐号时,无论 大小写是否正确,只要帐号字符与本地服务器的帐号正确匹配就可以通过认证。 2、MA5200F 在处理 radius 帐号的时候,客户端输入什么样的帐号,MA5200F 就会发送与 客户端输入一致的帐号信息送往 radius 端认证。

4.2.9 FAQ-MA5200F 按流量预付费帐号流量不足的下线原因是 AAA

FLOW LIMIT
Q: MA5200F 按流量预付费帐号流量不足的下线原因是 AAA FLOW LIMIT A: MA5200F 按流量预付费帐号流量不足的下线原因是 AAA FLOW LIMIT。 当预付费按流量帐 号中的流量已经使用完, 被设备 cut 下线的时候设备会记录 AAA FLOW LIMIT 的下线原因。

4.2.10 FAQ-MA5200F 中 ACL 规则自动匹配和顺序匹配的区别
Q: MA5200F 中 ACL 规则自动匹配和顺序匹配的区别是什么?
2013-7-22 华为机密,未经许可不得扩散 第 122 页, 共 198 页

MA5200F 常见问题宝典

A: 在进行 ACL 配置的时候,会出现匹配方式的选项,下面介绍这两种匹配方式的区别 [MA5200G]acl 2050 match-order auto Auto order

config Config order 其中 config 是指按照顺序进行匹配,auto 是指自动进行匹配。 按照顺序进行匹配:顾名思义就是先配置的规则在前面,后配置的规则在后面。配置顺序的 ACL 的规则在手工指明规格编号时,按照编号大小由小到大进行排序。编号小的靠前面且 被优先被命中。 不指定编号时根据步长由系统从小到大自动生成规则编号 (从已有的最大编 号开始)。如果输入 rule 编号与已有的 rule 相同,新配置的 rule 会替代原编好相同的 rule。 自动匹配: 自动排序的原则是按深度优先进行排序匹配的。 什么叫深度优先?说的简单点就 是:范围越精确(越小)的规则,优先级越高,排在前面(对照 FIB)。由于自动排序时是不 容许输入 rule 的编号的,所以看到的 ACL 的编号是系统自动排序后根据步长自动生成的, 注意这一点与刚才的顺序匹配不一样。

4.2.11 FAQ-为什么 MA5200F

基本 ACL 无法限制外网对用户的访问?

Q: 为什么 MA5200F 基本 ACL 无法限制外网对用户的访问? A: 基本的 ACL(basic ACL)配置是指的网络侧到网络侧的控制,如果要控制网络到用户侧的 ACL(advanced ACL) , 配 置 命 令 为 : 访 问 , 应 当 使 用 高 级 口 VLAN 即可。 如果不指定 net-user/user-net/user-user,那么缺省 ACL 类型是网络侧对网络侧的。

[MA5200F-acl-adv-103]rule 1 net-user deny ip,然后把这个 ACL 应用到全局、具体端口或端

4.2.12 FAQ-配置了 acl 后,虽然 PC 地址添加到了访问列表中,为什么仍然无法 telnet 登陆
Q: 配置了 acl 并且在全局下引用,虽然 PC 地址添加到了 ACL 允许的地址列表中,但在 telnet 主机时候仍然提示无法登录。 A:
2013-7-22 华为机密,未经许可不得扩散 第 123 页, 共 198 页

MA5200F 常见问题宝典

1、 检查 PC 的地址确实已经添加到了访问列表中, 并且该访问列表确实添加到了 vty 设置中。 2、再次添加一个地址,并尝试访问,但系统提示拒绝; 3、检查 acl 配置,发现配置 acl 时没有指定匹配顺序,系统默认匹配顺序为 config; 4、用户先前在该 acl 中配置了相关的 rule,并且在最后添加了 rule deny。但是用户后来将其 中的某些 rule 删除了,然后重新添加上来,这个时候,MA5200F 系统仍然给这些新添加的 rule 分配原先空闲的 rule 编号。所以此时看到的 acl 配置中,rule deny 仍然是最后一条,但 是这条数据却不是最后配置的一条。此时,做过删除并重新添加的 rule

赞助商链接