华为BAS配置规范.doc

城域网BRAS配置纲目适用的设备版本：ME60 VRP5.5 V100R006C05SPC600MA2500G VRP5.3 V300R003C02SPC1001. 系统基本配置1.1 设备名称配置n 配置内容：配置设备名称n 规范要求：设备名称要求符合配置有关命名规范；n 配置示例： sysname shdong_yt_ME60_XX1.2 系统时间配置n 配置内容：配置系统时间；n 规范要求：系统时间要求采用标准北京时间；n 配置示例： clock datetimeHH:MM:SS YYYY/MM/DD，设置UTC标准时间。 clock timezone time-zone-name add | minus offset，设置所在的时区。1.3 NTP配置n 配置内容： 配置NTP工作模式 配置主备NTP服务器 配置NTP身份验证功能 配置NTP验证密钥 配置NTP源接口 设置NTP主时钟 允许/禁用接收NTP消息 使用访问控制，控制NTPn 规范要求： 城域网BRAS的NTP SERVER指向专用NTP服务器n 配置示例 在ME60A配置NTP主时钟并启动验证功能# 在ME60A上指定使用自己的本地时钟作为参考时钟，层数为2。 system-viewME60A ntp-service refclock-master 2 # 在ME60A上使能NTP验证功能、配置验证密钥并声明该密钥可信。ME60A ntp-service authentication enableME60A ntp-service authentication-keyid 42 authentication-mode md5 HelloME60A ntp-service reliable authentication-keyid 42 注意服务器端与客户端必须配置相同的验证密钥。在ME60B指定NTP服务器并启动验证功能# 在ME60B上使能NTP验证功能、配置验证密钥并声明该密钥可信。 system-viewME60B ntp-service authentication enableME60B ntp-service authentication-keyid 42 authentication-mode md5 HelloME60B ntp-service reliable authentication-keyid 42 # ME60B指定ME60A为NTP服务器，并使用已配置的验证密钥。ME60B ntp-service unicast-server 2.2.2.2 authentication-keyid 42在ME60C指定NTP服务器# ME60C指定ME60B作为自己的NTP服务器。 system-viewME60C ntp-service authentication enableME60C ntp-service authentication-keyid 42 authentication-mode md5 HelloME60C ntp-service reliable authentication-keyid 42ME60C ntp-service unicast-server 10.0.0.1 authentication-keyid 42 在ME60D指定NTP服务器# ME60D指定ME60B作为自己的NTP服务器。 system-viewME60D ntp-service authentication enableME60D ntp-service authentication-keyid 42 authentication-mode md5 HelloME60D ntp-service reliable authentication-keyid 42ME60D ntp-service unicast-server 10.0.0.1 authentication-keyid 421.4 网管系统配置n 配置内容： 启动关闭SNMP代理 配置SNMP版本 配置读写团体名 配置SNMP组 允许/禁止发送TRAP报文 设置TRAP目标主机地址 配置源接口n 规范要求： 要求符合相关维护规范n 配置示例 # 配置SNMP的读团体名。ME60A snmp-agent community read public # 配置SNMP的写团体名。ME60A snmp-agent community write private1.5 信息中心配置n 配置内容： 启动关闭信息中心 配置信息通道的输出内容 配置信息通道的输出方向 配置日志缓存区大小 配置向日志服务器输出日志 配置向日志主机发送日志信息的源地址 设置时间戳 设置输出信息的显示终端 显示和调试Debugn 规范要求： 要求符合相关维护规范n 配置示例 # 开启信息中心。 system-viewQuidway info-center enable # 配置通道允许输出日志信息的模块和严重级别。Quidway info-center source fib channel loghost log level warningsQuidway info-center source ip channel loghost log level warningsQuidway info-center source ppp channel channel6 log level notificationsQuidway info-center source aaa channel channel6 log level notifications 配置发送日志信息的源接口 Quidway info-center loghost source POS1/0/0 配置日志信息输出到指定的日志主机# 指定Server1作为日志服务器、Server3作为备份日志服务器，接收模块为FIB和IP的日志信息，输出语言为英文，使用设备为Local2。Quidway info-center loghost 10.1.1.1 facility local2 language englishQuidway info-center loghost 10.1.1.2 facility local2 language english # 指定Server2作为日志服务器、Server4作为备份日志服务器，接收模块为PPP和AAA的日志信息，输出语言为英文，使用设备为Local4。Quidway info-center loghost 10.2.1.1 facility local4 language englishQuidway info-center loghost 10.2.1.2 facility local4 language english 配置日志服务器ME60会产生大量的日志信息，而ME60本身的存储空间相对有限，就需要配置日志服务器实现对设备日志的收集。日志服务器可以是安装UNIX或LINUX操作系统的主机，也可以是安装第三方日志软件的主机。在安装UNIX或LINUX的操作系统的主机中，可以通过在系统中启用Syslog后，通过Syslog机制在主机中记录设备的日志信息，实现日志信息的收集功能。以安装LINUX系统主机为例，进行配置举例：建立日志文件，在/var/log目录中通过使用touch loghost.info命令，来建立记录ME60信息的loghost.info文件。编辑配置文件，编辑etc/syslog.conf内容为：loghost.info /var/log/loghost.log，表示主机名称为loghost，把信息等级为info的日志记录到系统下的/var/log/loghost.log中。配置etc/sysconfig/syslog文件，将syslogd_options=-m o,修改为：syslogd_option=-1 m o，使系统可以记录远端设备的日志。启动Syslog服务，使用命令service syslog restart来启动Syslog服务。2. 配置操作用户2.1配置操作用户n 配置内容： 配置AAA 配置增加/删除用户 配置用户认证属性 设置用户访问级别 配置源接口n 规范要求： 根据相关规范配置n 配置示例 system-view，进入系统视图。 local-aaa-server，进入本地AAA视图 user username block，设置操作用户为阻塞态 undo user username block，设置操作用户为激活态 user username authentication-type type-mask，设置操作用户类型 undo user username authentication-type，恢复操作用户类型的缺省值 user username level level，设置操作用户级别 undo user username level，恢复操作用户级别的缺省值 user username password cipher | simple password，设置操作用户密码2.2 配置用户接口n 配置内容： 配置Console接口 配置Aux接口 配置Vty接口 配置用户超时断开 配置用户访问限制n 配置示例 system-view Quidway user-interface vty 0 Quidway-ui-vty0 user privilege level 2 Quidway-ui-vty0 authentication-mode password Quidway-ui-vty0 set authentication password simple huawei Quidway-ui-vty0 idle-timeout 302.3 配置TELNETn 配置内容： 限制TELNET登陆的IP地址； 配置TELNETsession的过期时间；n 规范要求： TELNET密码采用系统全局配置的USERNAME和PASSWORD，密码字符串不要过于简单，一般应由字母、数字及特殊字符等组成，且不能低于6位； 根据实际情况只允许指定的IP地址能TELNET到设备上； 每个TELNETsession的时效一般设定在10分钟左右；n 配置示例 ME60A已经与ME60B连接，能够相互ping通。用户通过Telnet方式从ME60A上Telnet到ME60B。 # 在ME60A上配置 system-viewME60A interface gigabitethernet1/0/0ME60A-GigabitEthernet1/0/0 undo shutdownME60A-GigabitEthernet1/0/0 ip address 1.1.1.1 24 # 在ME60B上配置 system-viewME60B interface gigabitethernet1/0/0ME60B-GigabitEthernet1/0/0 undo shutdownME60B-GigabitEthernet1/0/0 ip address 1.1.1.2 24 # 配置ME60B的Telnet验证方式和密码 system-viewME60B user-interface vty 0 4ME60B-ui-vty0-4 authentication-mode passwordME60B-ui-vty0-4 set authentication password simple 1234562.4 配置SSHn 配置内容： 配置用户接口支持协议 配置RSA 配置SSH用户 配置SSH客户端 配置SSH服务器 配置SSH连接n 规范要求： 要求符合相关规范n 配置示例 ssh user username authentication-type all | password | password-rsa | rsa ，配置SSH用户的认证方式。 根据实际配置需要，选择如下操作之一： 配置对SSH用户进行Password验证ssh user user-name authentication-type password，对SSH用户配置Password验证。ssh authentication-type default password，对SSH用户配置缺省密码验证。 采用本地认证或HWTACACS服务器认证时，如果用户数量少可以采用第一种配置；如果用户数量比较多，对SSH用户使用缺省密码验证方式可以简化配置。配置对SSH用户进行RSA验证ssh useruser-nameauthentication-type rsa，对SSH用户配置RSA验证。 rsa peer-public-key key-name，进入公共密钥视图。 public-key-code begin，进入公共密钥编辑视图。 输入hex-data，编辑公共密钥。 public-key-code end，退出公共密钥编辑视图。 如果未输入合法的密钥编码hex-data，执行peer-public-key end后，将无法生成密钥；如果第2步中指定的密key-name已经在别的窗口下被删除，再执行peer-public-key end时，系统会提示：密钥已经不存在，此时直接退到系统视图。 peer-public-key end，退出公共密钥视图，回到系统视图。 ssh user user-nameassign rsa-keykey-name，为SSH用户分配公钥。 3. 配置文件系统3.1管理目录n 配置内容： 显示当前工作目录 显示当前文件信息 创建删除目录 改变当前目录 显示当前目录下的文件信息。n 配置示例 dirDirectory of cfcard:/ 0 -rw- 801 Nov 13 2007 10:22:36 vrpcfg.zip 1 drw- - Oct 08 2006 16:11:26 log 2 drw- - Sep 17 2006 09:58:08 bill 3 -rw- 524378 Nov 28 2007 20:19:56 private-data.txt 4 -rw- 1504 May 24 2007 17:37:40 vrpcfg.cfg 5 -rw- 0 Jun 28 2007 10:41:30 patchnpstate.dat 6 -rw- 70565966 Aug 30 2007 16:01:32 me60v100r005c01b027_0815_2.cc7 -rw- 246 Jul 04 2007 16:49:08 patchstate.dat 8 -rw- 68466043 Apr 29 2007 17:09:50 me60_1320.cc 9 -rw- 22560 Jul 04 2007 16:49:08 me60_sd566_dieid.pat 10 -rw- 15177 Mar 28 2007 18:07:34 paf.txt 11 drw- - Aug 23 2007 10:48:26 blackbox 12 -rw- 6420 Mar 28 2007 18:07:44 license.txt 13 -rw- 1477 Nov 16 2007 16:59:46 or10009.dat 14 -rw- 54890099 Mar 01 2007 11:02:16 me60_1222_counter.cc 15 -rw- 78292539 Oct 08 2007 16:13:42 me60_1620_0925.cc 16 -rw- 79303112 Nov 12 2007 13:40:44 me60_1650_nocounter.cc 17 drw- - Aug 23 2007 14:26:22 6f 18 -rw- 1364 Nov 16 2007 16:59:56 or1754.dat 19 -rw- 73 Jun 22 2007 08:44:24 private1-data.txt506368 KB total (161488 KB free)3.2管理文件n 配置内容： 删除文件 恢复删除文件 显示文件内容 重新命名文件 复制文件 移动文件 使用Xmodem加载文件 使用tftp加载文件 使用ftp加载文件n 配置示例 拷贝文件从cfcard:/or1754.dat到cfcard2:/or1754.dat。 copy cfcard:/or1754.dat cfcard2:/or1754.datCopy cfcard:/or1754.dat to cfcard2:/or1754.dat?Y/N:y100% completeInfo:Copied file cfcard:/or1754.dat to cfcard2:/or1754.dat.Done cddirectory，改变当前目录到文件所处的目录。 movesource-filename destination-filename，移动文件。 3.3启动文件管理n 配置内容： 设置启动文件 3.4备份文件n 配置内容： 查看配置文件 使用TFTP备份文件 使用FTP备份文件 保存备份文件 擦除配置文件n 配置示例 set save-configuration intervalinterval，配置定时保存配置的时间间隔。 执行save config-filename 命令，保存当前配置。4.接口配置4.1 Loopback端口配置n 配置内容:配置Loopback端口IP地址和子网掩码n 规范要求:端口子网掩码为32位n 配置示例:4.2 GE端口配置n 配置内容： 配置接口描述 配置自适应模式 配置IP地址 配置接口MTUn 规范要求 端口描述符合有关命名规范； 不同厂家GE口互联应关闭自适应模式 接口MTU配置值n 配置示例 interface gigabitethernet interface-number，进入指定以太网接口的视图。 ip address ip-address ip-mask | ip-mask-length sub ，配置以太网接口的IP地址。 mtu mtu，配置以太网接口的MTU。4.3 10GE接口配置n 配置内容： 配置接口描述 配置自适应模式 配置IP地址 配置接口MTUn 规范要求 端口描述符合有关命名规范； 不同厂家GE口互联应关闭自适应模式 接口MTU配置值n 配置示例 interface gigabitethernet interface-number，进入指定以太网接口的视图。 ip address ip-address ip-mask | ip-mask-length sub ，配置以太网接口的IP地址。 mtu mtu，配置以太网接口的MTU。4.4 POS端口配置n 配置内容: 配置端口描述 配置IP地址 配置加扰方式 配置时钟源 配置帧格式 配置封装格式 配置开销字节 配置接口MTUn 规范要求: 端口描述符合有关命名规范； 接口封装为PPP 路由器间POS口光纤直联时采用主从时钟，与传输互联时钟跟随传输 帧格式为SDHn 配置示例: interface pos interface-number，进入指定POS接口的接口视图。 scramble，使能POS接口的载荷加扰功能。 缺省情况下，POS接口使能对载荷的加扰功能。 clock master | slave ，配置POS接口的时钟模式。 frame-format sdh | sonet ，配置POS接口的帧格式。 mtu mtu，配置POS接口的MTU。4.5 ATM端口配置 n 配置内容： 配置端口描述 子接口配置IP地址 子接口配置MTU 配置PVC参数 配置PVC与IP地址映射n 规范要求： 端口描述符合规范要求 设置为点对点子接口方式 配置oam-pvc manage AAL5 SNAP封装n 配置示例： 4.6 ETH-TRUNK配置n 配置内容： 创建ETH-TRUNK接口 配置ETH-TRUNK接口工作模式 将以太网接口加入ETH-TRUNK接口 配置ETH-TRUNK接口的MTUn 规范要求： 端口描述符合规范要求n 配置示例： system-view，进入系统视图。 interface eth-trunk trunk-id，创建Eth-Trunk。 quit，退回系统视图。 interface gigabitethernet interface-number，进入要捆绑到此Eth-Trunk的以太接口的接口视图。 eth-trunk trunk-id，将当前接口加入Eth-Trunk。 quit，退回系统视图。 interface eth-trunk trunk-id，进入Eth-Trunk视图。 4.7 子接口配置n 配置内容： 创建删除子接口 配置子接口的网络侧VLAN 配置子接口的用户VLAN 配置子接口的QinQVLAN 配置子接口的PVCn 规范要求： 端口描述符合规范要求n 配置示例： system-view，进入系统视图。 interface gigabitethernet interface-number.subinterface-number，创建千兆以太网子接口并进入子接口视图。 vlan-type dot1q vlan-id，设置子接口的封装类型及关联的VLAN ID。 缺省情况下，子接口上没有关联的VLAN ID。在目前的实现中，一个GE子接口只支持1种VLAN类型。 4.8虚模板接口配置n 配置内容： 创建删除虚模板接口 配置虚模板接口的PPP协商参数 配置虚模板接口参数 配置虚模板绑定n 规范要求： 端口描述符合规范要求n 配置示例： 5.路由配置5.1 静态路由配置n 配置内容: 配置静态路由n 规范要求: 根据实际情况在静态路由后增加DISTANCE值，如核心路由器与BAS之间的某个接口作为备份接口时DISTANCE值应大于IGP协议DISTANCE值。n 配置示例: # 在ME60A上配置IPv4缺省路由。 system-viewME60A ip route-static 0.0.0.0 0.0.0.0 1.1.4.25.2 OSPF配置n 配置内容: 配置OSPF进程号 配置ROUTER-ID 配置OSPF区域 配置OSPF区域类型 配置运行OSPF 接口 配置OSPF接口类型 配置路由重分布n 规范要求:n 配置示例: system-view ME60A router id 1.1.1.1 ME60A ospf ME60A-ospf-1 area 0 ME60A-ospf-1-area-0.0.0.0 network 192.168.0.0 0.0.0.255 ME60A-ospf-1-area-0.0.0.0 quit ME60A-ospf-1 area 1 ME60A-ospf-1-area-0.0.0.1 network 192.168.1.0 0.0.0.255 ME60A-ospf-1-area-0.0.0.1 quit5.3 ISIS配置n 配置内容: 配置ISIS进程 配置ISIS链路类型 配置NET地址 接口上启用ISIS路由进程 接口上配置邻接类型n 规范要求: 根据需要制定is-type n 配置示例: system-view ME60A isis 1 ME60A-isis-1 is-level level-1 ME60A-isis-1 network-entity 10.0000.0000.0001.00 ME60A-isis-1 quit ME60A interface pos 1/0/0 ME60A-Pos1/0/0 isis enable 1 ME60A-Pos1/0/0 quit5.4 BGP配置n 配置内容: 配置BGP AS进程 配置BGP peer对等体组 配置BGP AS 号 配置BGP 邻居IP地址、AS号及描述 配置对外广播网段 配置相应静态路由n 规范要求: 非直连接口配置EBGP-MULTIHOP 记录BGP邻居状态变化 BGP邻居间采用密码验证 取消BGP同步 取消自动汇总 根据需要配置ROUTE-MAP 城域网以ORIGIN IGP的方式对外发布路由 配置BGP DAMPING，避免路由波动的冲击n 配置示例: ME60B bgp 65009 ME60B-bgp router-id 2.2.2.2 ME60B-bgp peer 9.1.1.2 as-number 65009 ME60B-bgp peer 9.1.3.2 as-number 650095.5 路由策略配置n 配置内容：n 规范要求n 配置示例 # 在ME60A上配置地址前缀列表a2b。ME60A ip ip-prefix a2b index 10 permit 172.1.17.0 24ME60A ip ip-prefix a2b index 20 permit 172.1.18.0 24ME60A ip ip-prefix a2b index 30 permit 172.1.19.0 24 # 在ME60A上配置发布策略，引用地址前缀列表a2b进行过滤。ME60A ospfME60A-ospf-1 filter-policy ip-prefix a2b export static5.6 MPLS配置n 配置内容: 配置Lsr-id 配置激活MPLS 配置激活MPLS LDP 配置接口下MPLS LDPn 规范要求: 要求符合相关规范n 配置示例: mpls lsr-id 1.1.1.9 mpls # mpls ldp # interface Pos1/0/0 link-protocol ppp ip address 172.1.1.1 255.255.255.0 mpls mpls ldp mpls ldp frr nexthop 172.3.1.26. BRAS业务功能配置6.1 配置AAAn 配置内容： 配置AAA认证方案 配置AAA计费方案 配置CAR级别n 规范要求： 要求AAA认证方案有：不认证、认证、本地认证、远端认证。 要求AAA计费方案有：不计费、计费、远端计费。 CAR用来限制用户上网访问网络时的速率。n 配置示例 system-view，进入系统视图。 aaa，进入AAA视图。 authentication-scheme scheme-name，创建认证方案。 accounting-scheme scheme-name，创建计费方案。 accounting-mode hwtacacs | none | radius ，配置计费模式。6.2 配置RADIUSn 配置内容： 创建RADIUS服务器组 设置RADIUS服务器负载方式 配置RADIUS认证服务器 配置RADIUS计费服务器 配置RADIUS服务器协议版本 配置RADIUS服务器密钥 配置RADIUS用户名格式 配置RADIUS重传参数 配置RADIUS属性携带CARn 规范要求： 要求符合相关规范n 配置示例 配置ME60# 进入AAA视图。Quidway aaa # 配置认证方案auth1，认证模式为RADIUS认证。Quidwayaaa authentication-scheme auth1Quidway-aaa-authen-auth1 authentication-mode radiusQuidway-aaa-authen-auth1 quit # 配置计费方案acct1，计费模式为RADIUS计费。Quidwayaaa accounting-scheme acct1Quidwayaaa-accounting-acct1 accounting-mode radiusQuidwayaaa-accounting-acct1 quitQuidwayaaa quit # 配置RADIUS服务器组。Quidway radius-server group huawei # 配置RADIUS服务器的选择算法。Quidway-radius-huawei radius-server algorithm master-backup # 配置RADIUS主认证、计费服务器和端口。Quidway-radius-huawei radius-server authentication 129.7.66.66 1812Quidway-radius-huawei radius-server accounting 129.7.66.66 1813 # 配置RADIUS备认证、计费服务器和端口。Quidway-radius-huawei radius-server authentication 129.7.66.67 1812Quidway-radius-huawei radius-server accounting 129.7.66.67 1813 # 配置RADIUS服务器组的其他参数。Quidway-radius-huawei radius-server type standardQuidway-radius-huawei radius-server retransmit 2Quidway-radius-huawei radius-server shared-key helloQuidway-radius-huawei quit # 配置isp1域。Quidway aaaQuidwayaaa domain isp1Quidway-aaa-domain-isp1 authentication-scheme auth1Quidway-aaa-domain-isp1 accounting-scheme acct1Quidway-aaa-domain-isp1 radius-server group huawei6.3配置地址池n 配置内容： 创建地址池 设置地址池属性 设置地址池保护 设置地址池租期 配置DHCP服务器组 关联远端地址池和DHCP服务器 设置DHCP选项 设置VPN实例 配置地址池DNSn 规范要求： 要求符合相关规范n 配置示例 Quidway ip pool pool1 local Quidway-ip-pool-pool1 gateway 172.82.0.1 255.255.255.0 Quidway-ip-pool-pool1 section 0 172.82.0.2 172.82.0.200 Quidway-ip-pool-pool1 dns-server 192.168.7.252 Quidway-ip-pool-pool1 quit6.4配置域n 配置内容： 创建域 配置域的认证、授权和计费方式 配置域的RADIUS服务器组 配置域的CAR级别 配置域的接入限制策略 配置域的用户组 配置域的地址池 配置域的DNS 设置VPN实例n 规范要求： 要求符合相关规范n 配置示例 配置VPN实例。 system-viewQuidway ip vpn-instance vpn1Quidway-vpn-instance-vpn1 route-distinguisher 100:1Quidway-vpn-instance-vpn1 vpn-target 100:1 bothQuidway-vpn-instance-vpn1 quit 配置认证方案。Quidway aaaQuidway-aaa authentication-scheme auth1Quidway-aaa-authen-auth1 authentication-mode radiusQuidway-aaa-authen-auth1 quit 配置计费方案。Quidway-aaa accounting-scheme acct1Quidway-aaa-accounting-acct1 accounting-mode radiusQuidway-aaa-accounting-acct1 quitQuidway-aaa quit 配置Web认证服务器。Quidway web-auth-server 192.168.8.251 key webvlan 配置RADIUS服务器组。Quidway radius-server group rd1Quidway-radius-rd1 radius-server authentication 192.168.8.249 1812Quidway-radius-rd1 radius-server accounting 192.168.8.249 1813Quidway-radius-rd1 radius-server type standardQuidway-radius-rd1 radius-server shared-key helloQuidway-radius-rd1 quit 配置DHCP服务器组。Quidway dhcp-server group dg1Quidway-dhcp-server-group-dg1 dhcp-server 192.168.8.252Quidway-dhcp-server-group-dg1 quit 配置ACL，使用户Web认证前只能访问Web服务器# 配置用户组Quidway user-group Huawei# 配置ACL规则Quidway acl 6000 match-order autoQuidway-acl-ucl-6000 rule deny ip source user-group huawei destination ip-address anyQuidway-acl-ucl-6000 rule permit ip source user-group huawei destination ip-addRess 192.168.8.251 0.0.0.255Quidway-acl-ucl-6000 quit# 配置流分类器Quidway traffic classifier c1Quidway-classifier-c1 if-match acl 6000Quidway-classifier-c1 quit# 配置流动作Quidway traffic behavior b1Quidway-behavior-b1 permitQuidway-behavior-b1 quit# 配置流量策略Quidway traffic policy policyQuidway-trafficpolicy-policy classifier c1 behavior b1Quidway-trafficpolicy-policy quit# 全局下应用流量策略Quidway traffic-policy policy inboundQuidway traffic-policy policy outbound 配置地址池。Quidway ip pool pool1 localQuidway-ip-pool-pool1 gateway 172.82.1.1 255.255.255.0Quidway-ip-pool-pool1 section 0 172.82.1.2 172.82.1.200Quidway-ip-pool-pool1 excluded-ip-address 172.82.1.100Quidway-ip-pool-pool1 vpn-instance vpn1Quidway-ip-pool-pool1 quitQuidway ip pool pool2 remoteQuidway-ip-pool-pool2 gateway 172.82.2.1 255.255.255.0Quidway-ip-pool-pool2 dhcp-server 192.168.8.252Quidway-ip-pool-pool2 vpn-instance vpn1Quidway-ip-pool-pool2 quit 配置域。# 配置认证前域default0。Quidway aaaQuidway-aaa domain default0Quidway-aaa-domain-default0 ip-pool pool1Quidway-aaa-domain-default0 ip-pool pool2Quidway-aaa-domain-default0 user-group huaweiQuidway-aaa-domain-default0 vpn-instance vpn1Quidway-aaa-domain-default0 quit# 配置认证后域isp1。Quidway-aaa domain isp1Quidway-aaa-domain-isp1 authentication-scheme auth1Quidway-aaa-domain-isp1 accounting-scheme acct1Quidway-aaa-domain-isp1 radius-server group rd1Quidway-aaa-domain-isp1 vpn-instance vpn1Quidway-aaa-domain-isp1 quitQuidway-aaa quit6.5配置BAS接口n 配置内容： 创建BAS接口 配置BAS接口描述 配置BAS接口接入用户类型 配置BAS接口的认证方式 配置BAS接口的缺省值 配置BAS接口允许接入域 配置BAS接口的VPN实例n 规范要求： 要求符合相关规范 接入类型为：L2VPN、二层用户、二层专线用户、二层透传用户、三层用户n 配置示例 system-view，进入系统视图。 interface interface-type interface-number，进入接口视图。 bas，创建BAS接口。 access-type layer2-subscriber bas-interface-name name | default-domain pre-authentication domain-name | authentication force | replace domain-name * | accounting-copy radius-server radius-name * ，配置二层普通用户接入类型及相关属性。 或access-type layer2-leased-line user-name username password bas-interface-name name | default-domain authentication domain-name | accounting-copy radius-server radius-name | nas-port-type type *，配置二层专线用户接入类型及相关属性。 或access-type layer3-leased-line user-name username password bas-interface-name name | default-domain authentication domain-name | accounting-copy radius-server radius-name | nas-port-type type *，配置三层专线用户接入类型及相关属性。 在设置BAS接口的用户接入类型时，还可以一起设置和该种用户类型相关的业务属性，这些属性也可以在后续的配置中逐项配置。对于已经被Eth-Trunk接口包含的以太网接口，不能配置其用户接入类型，而只能在相应的Eth-Trunk接口下配置用户接入类型。有用户在线时，只有当用户类型是专线用户时，可以在线修改BAS接口的用户接入类型，其他情况不能修改。当用户类型配置为专线用户后，ME60立即对该专线用户进行认证。6.6配置强制PORTALn 配置内容： 配置Portal服务器的IP地址 配置强制重定向的次数限制 配置强制Portal服务器的URLn 规范要求： 要求符合相关规范n 配置示例7. BRAS业务配置7.1 配置PPPOEn 配置内容： 配置虚模板接口 配置认证方式 配置计费方式 配置RADIUS 配置地址池 配置域 配置子接口指定虚模板 配置子接口绑定VLAN 配置BAS接口n 规范要求： 要求符合相关规范n 配置示例 配置认证方案。 system-viewQuidway aaaQuidway-aaa authentication-scheme auth1Quidway-aaa-authen-auth1 authentication-mode radiusQuidway-aaa-authen-auth1 quit 配置计费方案。Quidway-aaa accounting-scheme acct1Quidway-aaa-accounting-acct1 accounting-mode radiusQuidway-aaa-accounting-acct1 quitQuidway-aaa quit 配置RADIUS服务器组。Quidway radius-server group rd1Quidway-radius-rd1 radius-server authentication 192.168.7.