SE800配置體系結(jié)構(gòu)SE800做為多服務(wù)邊緣服務(wù)器，能配置諸多虛擬路由器即多個(gè)context 。其配置觀點(diǎn)是具體業(yè)務(wù)決定context 的性質(zhì)；網(wǎng)絡(luò)規(guī)劃決定設(shè)備的物理連接；設(shè)備的物理連接決定cont

SE800配置體系結(jié)構(gòu)

SE800做為多服務(wù)邊緣服務(wù)器，能配置諸多虛擬路由器即多個(gè)context 。其配置觀點(diǎn)是具體業(yè)務(wù)決定context 的性質(zhì)；網(wǎng)絡(luò)規(guī)劃決定設(shè)備的物理連接；設(shè)備的物理連接決定context 的虛擬鏈路；在確定了context 的虛擬鏈路連接之后進(jìn)而可以確定context 的互連接口；之后每個(gè)context 就可以像普通路由器一樣進(jìn)行功能配置了；最后一步把context 的具體接口綁定到對(duì)應(yīng)的物理線路接口上。參照聊城BRAS 的改造現(xiàn)做出SE800配置的具體流程： 配置SE800的首要觀點(diǎn)：

1、 首先確定哪些業(yè)務(wù)需要運(yùn)行在SE800上；在確定之后每個(gè)業(yè)務(wù)具體配置成SE800的具體context ，例如：PPPOE 業(yè)務(wù)對(duì)應(yīng)SE800的context PPPOE；VPDN 業(yè)務(wù)對(duì)應(yīng)context VPDN 等等。在這里需要說(shuō)明的是BGP/MPLS VPN 業(yè)務(wù)與其他業(yè)務(wù)有所不同，BGP/MPLS VPN的具體context 與具體的用戶對(duì)應(yīng)。

2、 明確同一臺(tái)SE800不同context 之間是相互隔離的，只有context local可以與其他的context 之間啟用靜態(tài)路由。

3、 context local 是SE800系統(tǒng)默認(rèn)的context 不能刪除， context local 通常都會(huì)與其他設(shè)備（城域網(wǎng)的核心路由器）之間啟用路由協(xié)議進(jìn)行路由轉(zhuǎn)發(fā)，可以根據(jù)實(shí)際情況不同考慮是否啟用context local 與其他context 之間的靜態(tài)路由，前提是local 對(duì)其他context 不會(huì)指過(guò)多的靜態(tài)路由，所以這種方法主要用在vpdn 這種context 的配置上。

4、 在配置已有的context 時(shí)一定注意輸入完整的context 名稱（context local允許用Tab 鍵補(bǔ)全），否則系統(tǒng)將生成新的context ，這樣就配置了錯(cuò)誤的context 。對(duì)照所要配置的context 名稱最好的辦法就是用“show context all”命令，此命令會(huì)列出系統(tǒng)已經(jīng)配置的context 名稱，針對(duì)具體的context 名稱進(jìn)行配置。例如：我們要配置context vpdn ，為了避免操作錯(cuò)誤具體步驟應(yīng)該是：“show context all”－“config ”－“context vpdn ”即在明確要配置哪個(gè)context 之后在“config ”后再輸入確認(rèn)這個(gè)context ，這樣的操作流程可以有效避免配置context 的錯(cuò)誤。

確定SE800的物理連接結(jié)構(gòu)：

以下是聊城SE800的物理連接結(jié)構(gòu)：

1

確定context 的虛擬連接結(jié)構(gòu)：

以下是聊城PPPOE 以及VPDN 業(yè)務(wù)的邏輯連接結(jié)構(gòu)：（842、822、832、臨清、高唐）

以下是聊城PPPOE 以及VPDN 業(yè)務(wù)的邏輯連接結(jié)構(gòu)：（除842、822、832、臨清、高唐以外）

2

確定虛擬鏈路的interface 和互連地址:

在確定了context 的虛擬鏈路之后，就可以為虛擬鏈路制定互連接口了。在此注意interface 的命名最好遵循“context name-To-設(shè)備名稱”的規(guī)則，這樣在interface 綁定物理鏈路的時(shí)候更容易區(qū)分；互連地址遵循一般性規(guī)則即30位掩碼的IP 地址。

綁定具體context 的interface 到指定的物理鏈路上：

針對(duì)具體context 的邏輯連接，在指定的物理鏈路上進(jìn)行邏輯interface 的綁定。我做了如下總結(jié)即：

1、 確定具體業(yè)務(wù)或功能涉及的設(shè)備連接結(jié)構(gòu)，制定出連接的物理端口

2、 確定具體業(yè)務(wù)或功能對(duì)應(yīng)的context

3、 確定context 中用哪些V ALN 做為虛擬互連鏈路

4、 確定context 虛擬互連鏈路的interface 和互連地址

5、 把interface 綁定在步驟1中的物理端口上

3

配置context 的基本功能

配置context 的基本功能同配置普通路由器是一樣的，以上既然確定了context 的interface ，同時(shí)完成了context interface與指定物理端口的綁定，事實(shí)上就已經(jīng)完成了context 與特定設(shè)備的互連，那么針對(duì)context 的具體功能就可以進(jìn)行相關(guān)的路由協(xié)議配置了。例如聊城現(xiàn)在的context local作為PPPOE 用戶的接入虛擬路由器，其基本配置功能就是要與842、822的NE5000E 實(shí)現(xiàn)互連同時(shí)啟用OSPF 路由協(xié)議。因此在context local中配置的OSPF 進(jìn)程，其具體配置過(guò)程這里不做描述。為了便于遠(yuǎn)程用戶訪問(wèn)到這個(gè)context ，因此還要進(jìn)行登錄用戶的相關(guān)配置，總結(jié)如下：

1、 通過(guò)指定端口綁定具體的context interface實(shí)現(xiàn)相關(guān)設(shè)備之間的互連

2、 根據(jù)設(shè)計(jì)目標(biāo)配置context 的具體路由協(xié)議

3、 配置 context的遠(yuǎn)程登錄用戶

4、 為了對(duì)遠(yuǎn)程登錄用戶進(jìn)行限制以及對(duì)某些端口進(jìn)行過(guò)濾，可以配置訪問(wèn)列表進(jìn)行控制。

配置context 的業(yè)務(wù)功能：

配置context 的基本功能是為了實(shí)現(xiàn)路由，接下來(lái)就要對(duì)context 進(jìn)行業(yè)務(wù)功能的相關(guān)配置。以聊城當(dāng)前的業(yè)務(wù)舉例：

PPPOE 業(yè)務(wù)：

此業(yè)務(wù)的實(shí)現(xiàn)流程為：用戶通過(guò)某個(gè)VLAN 撥號(hào)→SE800的下聯(lián)端口配置了VLAN →把用戶請(qǐng)求傳送到context local→context local要求radius 認(rèn)證→radius 遠(yuǎn)程對(duì)用戶進(jìn)行認(rèn)證并返回認(rèn)證參數(shù)→SE800檢查匹配參數(shù)→認(rèn)證通過(guò)→SE800分配用戶地址→用戶獲得地址），從以上流程可以看出context local要實(shí)現(xiàn)PPPOE 的功能需要包含以下的配置內(nèi)容：

1、 SE800全局下必須配置“service multiple-contexts ”以及“aaa last-resort

context local”。第一個(gè)指令允許多個(gè)context 配置在SE800上，如果沒(méi)有此

命令除了context local 之外不能用命令“context contextname ”開(kāi)放新的

context ；第二個(gè)命令的意思是如果用戶輸入的域名在SE800上找不到，那

么系統(tǒng)就會(huì)自動(dòng)把這類用戶轉(zhuǎn)入到context local 中進(jìn)行處理，由于當(dāng)前撥

號(hào)用戶不要求必須帶域名，因此對(duì)于不帶域名進(jìn)行撥號(hào)的用戶仍舊會(huì)轉(zhuǎn)到

context local下進(jìn)行處理。

2、 Context local中定義域名，例如“domain e”

3、 注意“interface local-loopback loopback”中要加入“ip source-address radius”

意思是把“interface local-loopback loopback ”作為同遠(yuǎn)程radius 交互的端

口。

4、 啟用radius 認(rèn)證功能、計(jì)費(fèi)功能并規(guī)定與radius 相配合的NAS 屬性，例如：

認(rèn)證功能的相關(guān)配置：

aaa authentication subscriber radius none

radius server 61.156.13.83 encrypted-key 216AC477FBDABA3F oldports 4

radius server 61.156.10.83 encrypted-key 216AC477FBDABA3F oldports radius max-retries 3

radius algorithm first

計(jì)費(fèi)功能的相關(guān)配置：

aaa accounting subscriber radius

aaa accounting suppress-acct-on-fail

radius accounting server 61.156.13.83 encrypted-key 216AC477FBDABA3F

oldports

radius accounting server 61.156.10.83 encrypted-key 216AC477FBDABA3F

oldports

與radius 相配合的NAS 屬性：

radius attribute nas-ip-address interface local-loopback

radius attribute acct-session-id access-request

radius attribute nas-port format physical

radius attribute nas-port-id format all

5、 context local的QOS 配置，在此注意在context local中的QOS 是應(yīng)用，例

如以下一段：

subscriber profile 1M

qos policy policing up-1M

qos policy metering 1M

以上的QOS 生效關(guān)鍵是要在context local 中定義具體的QOS 策略，如下所示：

qos policy 1M metering

rate 1024 burst 102400

qos policy up-1M policing

rate 1024 burst 102400

6、 配置地址池并做地址池的靜態(tài)路由，把此靜態(tài)路由發(fā)布到OSPF 中。實(shí)現(xiàn)

地址池的回路由，配置如下：

interface POOL-1 multibind

ip address 124.135.228.1/22

ip pool 124.135.228.0/22

ip route 124.135.228.0/22 null0

router ospf 100

router-id 221.2.223.42

area 0.0.0.0

interface local-loopback

passive

interface local-to-822NE5000E

network-type point-to-point

cost 50

interface local-to-842NE5000E

network-type point-to-point

5

7、 cost 50 redistribute static metric-type 1 配置分配給撥號(hào)用戶的共有屬性，配置如下：

subscriber default

ip address pool

ip access-group anti-virus in

dns primary 202.102.152.3

dns secondary 202.102.154.3

L2TP 業(yè)務(wù)：

此業(yè)務(wù)的實(shí)現(xiàn)流程為：用戶通過(guò)某個(gè)VLAN 撥號(hào)（要求必須帶域名）→SE800的下聯(lián)端口配置了VLAN →把用戶請(qǐng)求傳送到context vpdn →context vpdn 不做認(rèn)證→context vpdn 要求向遠(yuǎn)程的LNS 建立隧道→遠(yuǎn)程LNS 檢查隧道名、秘匙等→通過(guò)！context vpdn建立隧道→遠(yuǎn)程LNS 與用戶進(jìn)行交互，從以上流程可以看出context vpdn要實(shí)現(xiàn)L2TP 的功能需要包含以下的配置內(nèi)容：

1、 配置撥號(hào)用戶的域名，例如：“domain sdticai”。域名可以配置多個(gè)。

2、 配置不同域名所屬的隧道，配置如下：

l2tp-peer name l2tp-czj media udp-ip remote ip 218.57.22.92 local 221.2.223.43

function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

domain lcczj

domain LCCZJ

!

l2tp-peer name l2tp-lc-general media udp-ip remote ip 218.57.22.92 local 221.2.223.43 function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

domain yinjianju

domain YINJIANJU

!

l2tp-peer name l2tp-lc-haidalongxiang media udp-ip remote ip 218.57.22.92 local 221.2.223.43

function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

domain hdlx

domain HDLX

!

l2tp-peer name l2tp-lc-tc media udp-ip remote ip 218.57.22.92 local 221.2.223.43 function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

6

domain lcsy

domain lcyc

domain taikanglife

domain ncljn

domain tiyucaipiao

domain LCSY

domain LCYC

domain TAIKANGLIFE

domain NCLJN

domain TIYUCAIPIAO

!

l2tp-peer name l2tp-sdcz media udp-ip remote ip 218.57.22.92 local 221.2.223.43 function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

domain sdcz

domain SDCZ

!

l2tp-peer name l2tp-sdticai media udp-ip remote ip 202.102.170.132 local 221.2.223.43

local-name sd-lac

function lac-only

tunnel-auth key 24467766

domain sdticai

domain SDTICAI

!

l2tp-peer name lc-jnlns1 media udp-ip remote ip 218.57.22.17 local 221.2.223.43 function lac-only

local-name lc-jnlns1

domain green

domain sdny

domain GREEN

domain SDNY

在此注意每個(gè)隧道的隧道名稱、LNS 地址、LAC 的地址要保持一致、秘匙、以及l(fā)ocal name的名稱。

BGP/MPLS VPN業(yè)務(wù)：

此業(yè)務(wù)的配置比較復(fù)雜，分為2大部分。第一個(gè)部分是在context local中配置的，包括MPLS 的應(yīng)用、LDP 的應(yīng)用以及MP-BGP 的應(yīng)用，其作用是實(shí)現(xiàn)PE-PE 、PE-P 之間的IBGP 鄰接，其address-family 地址族為ipv4 vpn ；第二個(gè)部分是針對(duì)具體用戶建立具體的context ，其主要作用是：1、對(duì)P 路由器轉(zhuǎn)發(fā)的ipv4-vpn 的路由通過(guò)RT 標(biāo)識(shí)進(jìn)行識(shí)別2、把ipv4-vpn 的路由轉(zhuǎn)換為普通的ipv4與用戶交互3、把用戶的路由發(fā)送到MP-BGP 中。

7

BGP/MPLS VPN的連接結(jié)構(gòu)如下：

BGP/MPLS VPN的邏輯結(jié)構(gòu)：

RT ：23003:1

RT ：23003:1 RT ：23003:1

context local中的配置：

router mpls

interface local-to-822NE5000E

8

interface local-to-842NE5000E

!

router ldp

interface local-to-822NE5000E

interface local-to-842NE5000E

!

router bgp 65039

router-id 221.2.223.42

!

peer-group lc-mpls internal

update-source local-loopback

next-hop-self

no address-family ipv4 unicast

address-family ipv4 vpn

!

neighbor 221.2.223.1 internal

peer-group lc-mpls

!

neighbor 221.2.223.2 internal

peer-group lc-mpls

此配置是所有VPRN 用戶的基礎(chǔ)，一旦配置完成測(cè)試沒(méi)有問(wèn)題今天將不會(huì)改動(dòng)。查看配置是否正確用以下幾條命令：

show ldp nei 輸出：

[local]LC_R_832_SE800#sh ldp nei

PeerFlags: A - LocalActiveOpen, D - Deleted, R - Reseting, E - OpenExtraDelay

N - OpenNoDelay, P - SetMD5Passwd, T - RetainRoute, F - FlushState X - ExplicitNullEnabled, C - ExplicitNullStatusChanging

G - Graceful Restart Supported, L - Session Life Extended

SHld - Session Holdtime Left, HHld - Hello Holdtime Left

NeighborAddr LDP Identifier State Flag SHld HHld Interface

10.253.105.33 221.2.223.1:0 Oper A 41 11 local-to-842NE5000E

10.253.105.37 221.2.223.2:0 Oper A 44 10 local-to-822NE5000E

show mpls lsp 輸出包含：

[local]LC_R_832_SE800#sh mpls lsp

Codes : S - MPLS-Static, R - RSVP, L - LDP, B - BGP

Type Endpoint Direct Next-hop Out Label Adja cency Id

L 221.2.223.38/32 10.253.105.33 1048 0x300015

L 221.2.223.38/32 10.253.105.37 1106 0x230001f

9

L 221.2.223.40/32 10.253.105.33 1089 0x300019 L 221.2.223.40/32 10.253.105.37 1134 0x230001e L 221.2.223.44/32 10.253.105.33 1068 0x30001d L 221.2.223.44/32 10.253.105.37 1133 0x230001d L 221.2.223.48/32 10.253.105.33 1087 0x300017 L 221.2.223.48/32 10.253.105.37 1127 0x2300017 L 221.2.223.50/32 10.253.105.33 1034 0x300033 L 221.2.223.50/32 10.253.105.37 1031 0x2300028 L 221.2.223.52/32 10.253.105.33 1134 0x30002d L 221.2.223.52/32 10.253.105.37 1102 0x2300038 L 221.2.223.54/32 10.253.105.33 1126 0x300027 L 221.2.223.54/32 10.253.105.37 1091 0x230002d L 221.2.223.56/32 10.253.105.33 1102 0x300021 L 221.2.223.56/32 10.253.105.37 1048 0x2300022 L 221.2.223.58/32 10.253.105.33 1106 0x300031 L 221.2.223.58/32 10.253.105.37 1052 0x2300027 L 221.2.223.60/32 10.253.105.33 1128 0x300029 L 221.2.223.60/32 10.253.105.37 1097 0x2300032

Show bgp route ipv4 vpn 輸出：

[local]LC_R_832_SE800#sh bgp route ipv4 vpn

Address Family: ipv4 vpn

BGP table version is 356787, local router ID is 221.2.223.42

Status codes: d damped, h history, > best, i internal

Origin codes: i - IGP, e - EGP, ? - incomplete

VPN RD: 65039:23003

Network Next Hop Metric LocPrf Weight Path >i 0.0.0.0/0 221.2.223.38 0 100 100 ? i 221.2.223.38 0 100 100 ? >i 10.10.32.0/24 221.2.223.38 0 100 100 ? i 221.2.223.38 0 100 100 ? >i 10.10.33.0/24 221.2.223.38 0 100 100 ? i 221.2.223.38 0 100 100 ? >i 10.10.34.0/23 221.2.223.40 0 100 100 ? i 221.2.223.40 0 100 100 ? > 10.10.36.0/23 0.0.0.0 0 100 32768 ? >i 10.10.38.0/23 221.2.223.44 0 100 100 ? i 221.2.223.44 0 100 100 ? >i 10.10.42.0/23 221.2.223.48 0 100 100 ? i 221.2.223.48 0 100 100 ? >i 10.10.44.0/23 221.2.223.50 0 100 100 ? i 221.2.223.50 0 100 100 ?

10