1、CMNET城域网BRAS配置规范BRAS双机热备配置规范多对ME60互联地址注意主备BRAS均需修订限速设置中,对于上行和下行都设置相同值,在多数情况下,可以将用户上行限速适当调小些,这样可以降低P2P类业务上行占资源的情况V.6.9.7-降负荷版本配置待补充V6.9.6 a00版本升级一个问题明确(前期配置应该有,若没有,升级前需增加升级A00版本,前域用户,必须配置网关的PERMIT。原来DHCP报文上送是不做ACL的,现在续租的报文也会做ACL,不配置就会被DENY acl number 6005rule x permit ip source user-group wlan destin
2、ation ip-address 127.0.0.1 0 rule y permit ip source ip-address 127.0.0.1 0 destination user-group wlan V6.9.5调整限速qos-profile limit-1m car cir 1024 green pass red discard inbound /用户上行(用户-me60) car cir 1024 green pass red discard outbound /用户下行(me60-用户)qos-profile limit-2mcar cir 2048 green pass red
3、 discard inbound /用户上行(用户-me60)car cir 2048 green pass red discard outbound/用户下行(me60-用户)qos-profile limit-512K car cir 512 green pass red discard inbound /用户上行(用户-me60) car cir 512 pir 768green pass yellow pass red discard outbound /用户下行(me60-用户)V6.9.4调整限速配置,原限速配置突发较大,考虑忙时无线侧拥塞厉害,为避免恶意占用带宽,修改qos-pr
4、ofile limit-1m car cir 1024 green pass red discard inbound /用户上行(用户-me60) car cir 1024 pir 1536 green pass red discard outbound /用户下行(me60-用户)qos-profile limit-2mcar cir 1536 green pass red discard inbound /用户上行(用户-me60)car cir 2048 pir 2536 green pass yellow pass red discard outbound/用户下行(me60-用户)q
5、os-profile limit-512K car cir 512 green pass red discard inbound /用户上行(用户-me60) car cir 512 pir 768green pass yellow pass red discard outbound /用户下行(me60-用户)V6.9.3 删除旧的国漫白名单211.151.58.233、216.168.253.44rule x permit ip source user-group wlan destination ip-address 地址A 0rule y permit ip source ip-add
6、ress 地址A 0 destination user-group wlanV6.9.2 修订ME60 全局、分域radius源地址地址现网配置:1)全局下radius-server source interface LoopBack02) radius-server group下没有强制要求(3gppaaa-hw, 3gppaaa-zte两个配置了radius-server source interface LoopBack0)近期发现此方式时radius发起的DM消息,Radius下发消息时目的地址是NASIP(对应loopback100),ME60回复时用loopback0做为原地址,存
7、在问题;修改配置方案如下1)第一步:所有的WLAN相关radius-server group下增加radius-server source interface LoopBack0命令.注意西部12地市需根据关于华为新AAA割接入网的通知(SD-098-110830-31)要求在割接到新AAA时修改radius-server group 3gppaaa-hw中radius-server source interface LoopBack0,9月15日完成2)第二步:全局下radius-server source interface LoopBack0改为radius-server source
8、interface LoopBack1003)第三步:修改配置,收到AAA发的DM消息时以server-group 3gppaaa-zte中定义的原地址返回radius-server authorization 211.137.187.20 shared-key 88-89 server-group 3gppaaa-hw /信任华为新AAA下发的DM消息,用于踢用户,新华为AAA.收到AAA发的DM消息时以server-group 3gppaaa-hw中定义的原地址返回radius-server authorization 211.137.183.67 shared-key 88-89 ser
9、ver-group 3gppaaa-zte /信任中兴AAA下发的DM消息,用于踢用户, 收到AAA发的DM消息时以server-group 3gppaaa-zte中定义的原地址返回4)备用ME60按上述步骤修改修改完毕后测试内容:1)省内用户2)省外用户(或电子卡)3)计费验证4)省内用户在portal页面自助下线V6.9 新增白名单数据根据集团要求国漫新白名单:211.99.206.88、211.99.206.87、202.83.198.71 /20110908在ACL6005中增加,注意每个地址对应两条策略rule xyz(根据配置需要定数值) permit ip source user
10、-group wlan destination ip-address x.x.x.x 0rule abc(根据配置需要定数值) permit ip source ip-address x.x.x.x destination user-group wlanV6.8 6.7日割接后,省内radius/portal根据强制portal页面携带SSID区分是社会热点还是校园热点1)携带SSID=CMCC-EDU,对外省用户不让使用,有提示语;对省内用户不加后缀;校园用户默认认证后域wlan-sd-new2)不携带SSID或SSID=CMCC,对外省用户不加后缀,对省内用户加后缀wlan-sd-new,
11、仍然使用wlan-sd-new这个认证后域由此导致校园与社会热点只能用相同的限速策略。目前存在校园与社会热点只能不同限速策略的需求,需要:1)BRAS侧先新建一个wlan-moni-jituan域,配置同wlan-sd-new这个域,用于CMCC热点使用模特集团portal时省内用户的认证后域,8.25日前完成2)portal侧模拟集团portal页面,对省内用户由加后缀wlan-sd-new改为wlan-moni-jituan(BRAS侧做好后调整,8月底前)3此后若对校园和社会热点采取不同限速策略,可以在不同的域中修改domain wlan-moni-jituan /WLAN认证后域(省内
12、radius/portal,新的华为radius,模拟集团portal页面用户认证过后进此域) authentication-scheme cmcc accounting-scheme cmcc service-type hsiradius-server group sd-radius-newdns primary-ip 211.137.191.26 /优选POOL下的DNS dns second-ip 218.201.96.130 /优选POOL下的DNS user-group wlan-afteridle-cut 60 10 /idle rate ,单位是Kbyte qos-profile
13、 limit-2m inbound /或限速1Mqos-profile limit-2m outbound /或限速1MV6.7SPC800的命令修改2处地方(在SPC800升级时即修改)1)AAA视图下http-redirect enable、调整ACL /主备设备均需修改.2)radius-server source interface 由loopback100改为LoopBack0 /主备设备均需修改idle-cut 60 10 /idle rate ,单位是Kbyte V6.5/V6.62011.6.10日1、清理亚信radius/portal退网后的垃圾邮件,主备设备均需radius
14、-server group sd-radiusdomain wlan-before-sddomain wlan-sddomain eap-simaka2、解决SIM认证AAA服务器给ME60下发DM消息失败问题1)radius-server group 3gppaaa-zte、3gppaaa-hw下删除radius-attribute translate NAS-Identifier HW-Own-NAS-Identify-SIM send命令2)每个开启sim认证热点(802.1x)对应的BAS接口下增加nas logic-sysname ,如nas logic-sysname 010405
15、4353100460.注意如果是双机热备场景 需要保证主备的nas logic-sysname一致nas logic-sysname与bas-interface-name配置相同即可,若NASID变化,两者均需修改access-type layer2-subscriber bas-interface-name 2300053353100460 default-domain pre-authentication wlan-before-jituan authentication wlan-jituan roam-domain wlan-jituan nas logic-sysname 2300053353100460注意新增CMCC热点时均需注意此配置注意部分区域只有CMCC-EDU,因此CMCC-EDU下已配置了sim认证(authentication-method 命令中有802.1x ),此类热点下也需配置nas logic-sysname; 简单办法是凡是authentication-method 命令中有802.1x的热点都配置nas logic-sysname3、sim认证cui enable功能完善,主备设备均需在如下6个sim认证
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1