CMNET城域网BRAS配置规范.docx
《CMNET城域网BRAS配置规范.docx》由会员分享,可在线阅读,更多相关《CMNET城域网BRAS配置规范.docx(34页珍藏版)》请在冰豆网上搜索。
CMNET城域网BRAS配置规范
BRAS双机热备配置规范
多对ME60互联地址
注意主备BRAS均需修订
限速设置中,对于上行和下行都设置相同值,在多数情况下,可以将用户上行限速适当调小些,这样可以降低P2P类业务上行占资源的情况
V.6.9.7-降负荷版本配置待补充
V6.9.6a00版本升级一个问题明确(前期配置应该有,若没有,升级前需增加
升级A00版本,前域用户,必须配置网关的PERMIT。
原来DHCP报文上送是不做ACL的,现在续租的报文也会做ACL,不配置就会被DENY
aclnumber6005
rulexpermitipsourceuser-groupwlandestinationip-address127.0.0.10
ruleypermitipsourceip-address127.0.0.10 destinationuser-groupwlan
V6.9.5调整限速
qos-profilelimit-1m
carcir1024greenpassreddiscardinbound//用户上行(用户->me60)
carcir1024greenpassreddiscardoutbound//用户下行(me60->用户)
qos-profilelimit-2m
carcir2048greenpassreddiscardinbound//用户上行(用户->me60)
carcir2048greenpassreddiscardoutbound//用户下行(me60->用户)
qos-profilelimit-512K
carcir512greenpassreddiscardinbound//用户上行(用户->me60)
carcir512pir768greenpassyellowpassreddiscardoutbound//用户下行(me60->用户)
V6.9.4调整限速配置,原限速配置突发较大,考虑忙时无线侧拥塞厉害,为避免恶意占用带宽,修改
qos-profilelimit-1m
carcir1024greenpassreddiscardinbound//用户上行(用户->me60)
carcir1024pir1536greenpassreddiscardoutbound//用户下行(me60->用户)
qos-profilelimit-2m
carcir1536greenpassreddiscardinbound//用户上行(用户->me60)
carcir2048pir2536greenpassyellowpassreddiscardoutbound//用户下行(me60->用户)
qos-profilelimit-512K
carcir512greenpassreddiscardinbound//用户上行(用户->me60)
carcir512pir768greenpassyellowpassreddiscardoutbound//用户下行(me60->用户)
V6.9.3删除旧的国漫白名单
211.151.58.233、216.168.253.44
rulexpermitipsourceuser-groupwlandestinationip-address地址A0
ruleypermitipsourceip-address地址A0destinationuser-groupwlan
V6.9.2修订ME60全局、分域radius源地址地址
现网配置:
1)全局下radius-serversourceinterfaceLoopBack0
2)radius-servergroup下没有强制要求(3gppaaa-hw,3gppaaa-zte两个配置了radius-serversourceinterfaceLoopBack0)
近期发现此方式时radius发起的DM消息,Radius下发消息时目的地址是NASIP(对应loopback100),ME60回复时用loopback0做为原地址,存在问题;修改配置方案如下
1)第一步:
所有的WLAN相关radius-servergroup下增加radius-serversourceinterfaceLoopBack0命令.注意西部12地市需根据《关于华为新AAA割接入网的通知》(SD-098-110830-31)要求在割接到新AAA时修改radius-servergroup3gppaaa-hw中radius-serversourceinterfaceLoopBack0,9月15日完成
2)第二步:
全局下radius-serversourceinterfaceLoopBack0改为radius-serversourceinterfaceLoopBack100
3)第三步:
修改配置,收到AAA发的DM消息时以server-group3gppaaa-zte中定义的原地址返回
radius-serverauthorization211.137.187.20shared-key88----89server-group3gppaaa-hw//信任华为新AAA下发的DM消息,用于踢用户,新华为AAA.收到AAA发的DM消息时以server-group3gppaaa-hw中定义的原地址返回
radius-serverauthorization211.137.183.67shared-key88----89server-group3gppaaa-zte//信任中兴AAA下发的DM消息,用于踢用户,收到AAA发的DM消息时以server-group3gppaaa-zte中定义的原地址返回
4)备用ME60按上述步骤修改
修改完毕后测试内容:
1)省内用户
2)省外用户(或电子卡)
3)计费验证
4)省内用户在portal页面自助下线
V6.9新增白名单数据
根据集团要求国漫新白名单:
211.99.206.88、211.99.206.87、202.83.198.71//20110908
在ACL6005中增加,注意每个地址对应两条策略
rulexyz(根据配置需要定数值)permitipsourceuser-groupwlandestinationip-addressx.x.x.x0
ruleabc(根据配置需要定数值)permitipsourceip-addressx.x.x.xdestinationuser-groupwlan
V6.8
6.7日割接后,省内radius/portal根据强制portal页面携带SSID区分是社会热点还是校园热点
1)携带SSID=CMCC-EDU,对外省用户不让使用,有提示语;对省内用户不加后缀;校园用户默认认证后域wlan-sd-new
2)不携带SSID或SSID=CMCC,对外省用户不加后缀,对省内用户加后缀wlan-sd-new,仍然使用wlan-sd-new这个认证后域
由此导致校园与社会热点只能用相同的限速策略。
目前存在校园与社会热点只能不同限速策略的需求,需要:
1)BRAS侧先新建一个wlan-moni-jituan域,配置同wlan-sd-new这个域,用于CMCC热点使用模特集团portal时省内用户的认证后域,8.25日前完成
2)portal侧模拟集团portal页面,对省内用户由加后缀wlan-sd-new改为wlan-moni-jituan(BRAS侧做好后调整,8月底前)
3此后若对校园和社会热点采取不同限速策略,可以在不同的域中修改
domainwlan-moni-jituan//WLAN认证后域(省内radius/portal,新的华为radius,模拟集团portal页面用户认证过后进此域)
authentication-schemecmcc
accounting-schemecmcc
service-typehsi
radius-servergroupsd-radius-new
dnsprimary-ip211.137.191.26//优选POOL下的DNS
dnssecond-ip218.201.96.130//优选POOL下的DNS
user-groupwlan-after
idle-cut6010//idlerate,单位是Kbyte
qos-profilelimit-2minbound//或限速1M
qos-profilelimit-2moutbound//或限速1M
V6.7
SPC800的命令修改2处地方(在SPC800升级时即修改)
1)AAA视图下http-redirectenable、调整ACL//主备设备均需修改.
2)radius-serversourceinterface由loopback100改为LoopBack0//主备设备均需修改
idle-cut6010//idlerate,单位是Kbyte
V6.5/V6.6—2011.6.10日
1、清理亚信radius/portal退网后的垃圾邮件,主备设备均需
radius-servergroupsd-radius
domainwlan-before-sd
domainwlan-sd
domaineap-simaka
2、解决SIM认证AAA服务器给ME60下发DM消息失败问题
1)radius-servergroup3gppaaa-zte、3gppaaa-hw下
删除radius-attributetranslateNAS-IdentifierHW-Own-NAS-Identify-SIMsend命令
2)每个开启sim认证热点(802.1x)对应的BAS接口下增加naslogic-sysname<热点的NASID>,如naslogic-sysname0104054353100460.
注意如果是双机热备场景需要保证主备的naslogic-sysname一致
naslogic-sysname与bas-interface-name配置相同即可,若NASID变化,两者均需修改
access-typelayer2-subscriberbas-interface-name2300053353100460default-domainpre-authenticationwlan-before-jituanauthenticationwlan-jituanroam-domainwlan-jituan
naslogic-sysname2300053353100460
注意新增CMCC热点时均需注意此配置
注意部分区域只有CMCC-EDU,因此CMCC-EDU下已配置了sim认证(authentication-method命令中有802.1x),此类热点下也需配置naslogic-sysname;简单办法是凡是authentication-method命令中有802.1x的热点都配置naslogic-sysname
3、sim认证cuienable功能完善,主备设备均需
在如下6个sim认证
升级会员 