IP城域网技术学习BAS基础概述和运用

配置地址池 配置认证方案
关 联
设定用户是采用radius 计费还是不计费
设置所采用的radius服 务器的参数
配置计费方案 配置RADIUS
配置域
创建VT接口
VT接口和接口BAS配置
VT接口和实际物理端口进行绑定 绑定VLAN到相应接口 设置接口BAS的接入用户类型
设置接口下用户归属的域
使能用户接口的BAS 功能并进行设置 设置接口BAS的认证方式为PPP
IP业务配置流程
设定用户认证前所归属 的域，以及域下的参数 关 联
配置地址池
用来给用户分配IP地址
配置认证方案 配置计费方案 配置web Server 配置ACL
通常是不认证
通常是不计费 设置web Server相关参数
配置认证前域
设置认证前用户的访问权限
通常是采用radius认证 通常是采用radius计费
一般配置流程
配置地址池 配置认证方案
用来给用户分配IP地址 设定用户是采用radius 认证还是不认证 设定用户是采用radius 计费还是不计费 设置所采用的radius服 务器的参数
关 联
配置计费方案
配置域 配置RADIUS
绑定相应的vlan到接口 设定用户所使用的域， 以及域下的参数
设置接口BAS的接入用户类型
• 配置认证策略和计费策略为Radius认证
[BRAS] aaa [BRAS-aaa] authentication-scheme Auth1 [BRAS-aaa-authen-auth1] authentication-mode radius [BRAS-aaa] accounting-scheme Acct1 [BRAS-aaa-authen-acct1] accounting-mode radius
• 进入实际的物理以太网接口 • 激活接口
配置步骤（四）
[MA5200G] interface ethernet 2/0/1
[MA5200G-Ethernet2/0/1] undo shutdown
• 创建子接口
[MA5200G] interface Ethernet 2/0/1.1
• 将相应的VLAN绑定到子接口
决宽带接入中两个主要问题：用户认证和 地址分配。 • 进入宽带接入时代后，先后有PPPOE、 PPPOA、PPPOEOA、PPPOEOVLAN等方式出 现，现在基本上还在使用的都是 PPPOEOVLAN。即用户的PPP报文封装在以
PPP业务配置流程
设定用户所使用的域， 以及域下的参数
用来给用户分配IP地址 设定用户是采用radius 认证还是不认证
• 配置认证域
[BRAS-aaa] domain isp [BRAS-aaa-domain-isp] authentication-scheme Auth1 [BRAS-aaa-domain-isp] accounting-scheme Acct1 [BRAS-aaa-domain-isp] ip-pool test [BRAS-aaa-domain-isp] radius-server group radius1
authentication isp
[MA5200G-Ethernet2/0/1.1-BAS] authentication-method PPP
第1章 BAS基础工作机制 第2章 PPP业务接入流程 第3章 IP业务接入流程
IP业务简介
• 在PPP接入方式中，用户终端需要创建PPP 连接，如果是宽带的PPPOE，则需要创建 PPPOE宽带连接；对用户而言这有一定的技 术难度。
• 配置ACL用户组
[BRAS] acl 6000
配置步骤（二）
接口BAS配置
设置接口下用户归属的域 使能用户接口的BAS 功能并进行设置
设置接口BAS的认证方式
• 在pppoe、vlan bind、vlan web 等业务配置流程中都 需要配置一些类似的步骤。可以称为公共配置组件。
地址池配置 认证方案配置 计费方案配置 Radius服务器配置
公共配置组件
域配置（引用上面定义的地址池，认证方案，计费方案，Radius服务器配置等）
本地数据库配置
端口BAS属性配置
路由配置
第1章 BAS基础工作机制 第2章 PPP业务接入流程 第3章 IP业务接入流程
PPP业务简介
• 最早在NAS的时代，用户借助modem拨号上 网，在PC与NAS之间，运行的就是PPP。
• PPP协议运行过程中，将经历LCP、CHAP/PAP认证、 IPCP地址协商/分配三个阶段，后两阶段很好解
用户域简介
• BRAS基于域来管理接入用户。每个用户都 归属于某个域，同一个域的用户具有相同 的业务属性。域通常以ISP （Internet Service Provider）名或者ISP 的某种业务名来命名。 一般而言，用户名格式为 “username@domain ”，也可以修改为其他 形式。 • 在BRAS中，所有关于用户管理的命令，都 要关联到某个域下，用户接入到BRAS以后， 根据用户名中携带的域名去查找对应的域
Ethernet
WLAN
HFC
xDSL
PON
接入服务器产品演进
NAS：Network
Access Server
BAS： Broadband
Access Server
BRAS： Broadband
Remote Access Server
Radium8750 ISN8850
MA5200G ME60
• 配置Radius组
配置步骤（三）
[BRAS] radius-server group radius1 [BRAS-radius-radius1] radius-server authentication 192.168.1.249 1812 [BRAS-radius-radius1] radius-server accounting 192.168.1.249 1813 [BRAS-radius-radius1] radius-server share-key hello
• 配置远端地址池
配置步骤（一）
[BRAS] dhcp-server group remotedhcp \\创建远端DHCP 服务器组 [BRAS-dhcp-server-group-remotedhcp] dhcp-server 202.2.2.252 \\配置远端DHCP服务器的IP地址 [BRAS] ip pool testremote remote [BRAS-ip-pool-testremote] gateway 172.15.2.1 24 [BRAS-ip-pool-huaweiremote] dhcp-server group remotedchp \\把地址池与远端的DHCP服务器相关联
设定用户认证后所归属 的域，以及域下的参数 关 联
配置认证方案 配置计费方案 配置RADIUS
配置认证域
设置所采用的radius服务器 的参数
使能用户接口的BAS 功能并进行设置
绑定相应的vlan到接口 设置接口BAS的接入用户类型
接口BAS配置
设置接口下用户归属的认证前 域、认证域 设置接口BAS的认证方式web、 bind、fast
•用户带宽限制 •访问限制控制 •QoS属性控制 •路由策略授权
AAA
BRAS产品功能-地址分配与管 理
DHCP 客户端
DHCP 中继
BRAS
DHCP 服务器
BRAS产品功能-业务控制
基本接入业务 业务策略 增值业务 动态业务选择
BRAS特性支持多种基本 接入业务，并可以对各 接入业务按用户实施计 费、访问权限、流量监 管等业务策略。
BRAS
LanSwitch
VLAN1 VLAN2 PVC1 PVC2
• •
• • • •
PUPV：Per User Per VLAN，离用户最近的L2 或 DSLAM 为用户标记 VLAN ID 用户标识：帐号＋接入位置（BRAS设备＋槽位＋端口＋VLAN）＋用户终端标 识（IP、MAC地址） 用户安全性：通过VLAN 隔离，防DHCP、ARP、PPPoE欺骗，防IP地址盗用 私接用户防止：一个物理位置接入用户数限制 帐号安全性：用户帐号和指定端口绑定 网络攻击定位：每个用户的接入位置唯一，对网络的恶意攻击不可抵赖
A8010
ESR8825
MA5200
MA5200F
BRAS产品框架
DHCP 服务器 策略服务器
地址分配与管理
业务控制Biblioteka Baidu
BRAS
连接管理
用户报文
用户接入识别
AAA及用户管理
AAA 服务器
BRAS产品功能
•用户接入识别 •AAA和用户 管理 •业务控制
•地址分配与管理
BRAS产品功能-用户接入识别
[BRAS-Virtual-Template1] ppp authentication-mode pap
注意： 对于PPP的验证方式可以设置为PAP，也可以设置为CHAP，推荐 使用CHAP。
• 配置本地地址池
配置步骤（二）
[BRAS] ip pool test local [BRAS-ip-pool-test] gateway 172.16.0.1 255.255.0.0 [BRAS-ip-pool-test] section 0 172.16.0.2 172.16.0.100 [BRAS-ip-pool-test] dns-server 202.1.1.252
IP城域网技术学习BAS基础概述和运用
中国电信云网络运行维护部
第1章 BAS基础工作机制 第2章 PPP业务接入流程 第3章 IP业务接入流程
BAS在运营商宽带城域网中的位置
骨干网
认证计费平台 网管平台 核心CR 出口CR
业务平台 SR BAS
L2
LanSwitch
AP
CMTS
IPDSLAM
OLT
• 创建VT接口
配置步骤（一）
– VT接口主要是用来对报文的PPP协议层进行处理的，因此 在配置PPP接入业务的时候我们首先要创建VT接口，并且 在接口下面指定相应的PPP验证方式（是PAP还是CHAP） [BRAS] interface Virtual-Template 1
• 设置PPP的验证方式
BRAS特性还支持Movie、 Gaming、Triple-Play等增 值业务，并为用户提供动 态业务选择的功能，用户 可以在Portal页面上选择 自己感兴趣的业务。
标识并定位用户的方法－PUPV
BRAS
PORT1 PORT2 PORT1 +VLAN1 PORT1 PORT2 +VLAN2 +VLAN1 PORT2 +VLAN2
[MA5200G-Ethernet2/0/1.1] user-vlan 2 3
• 绑定VT到子接口
[MA5200G-Ethernet2/0/1.1] pppoe-server bind virtualtemplate 1
• BAS接口配置
配置步骤（五）
[MA5200G-Ethernet2/0/1.1] bas [MA5200G-Ethernet2/0/1.1-BAS] access-type layer2subscriber [MA5200G-Ethernet2/0/1.1-BAS] default-domain
• 因此可以考虑使用更简单的方式让用户接入到网 络中。可以考虑用DHCP的方式分配地址（支
持静态地址配置），再另外解决认证的问 题。 • 在IPOEOVLAN业务接入中，有VLAN web、 VLAN bind和VLAN fast三种方案。
IP业务三种认证方式的区别
• 一、VLAN web认证，指用户先获得IP地址 （通常用DHCP的方式），再打开指定的 web页面，输入用户名口令进行认证。 • 二、VLAN bind认证，指用户获得IP地址之 后，即由BRAS设备自动生成用户名及口令 并通过认证，不需要用户的参与。 • 三、VLAN fast认证，指用户先获得IP地址， 然后打开指定的web页面，直接点连接通过 认证，用户名口令由BRAS自动生成，不需 要用户输入。
PPP Web
802.1X
Authentication-method
Fast Bind
BRAS产品功能- AAA和用户管 理
Accounting
Authentication •不认证 •本地 •远端 •本地-远端 •远端-本地 •远端-不认证
•不计费 •远端计费 •实时计费
Authorization