admin 管理员组文章数量: 887017
2024年3月10日发(作者:开源建站工具)
BRAS双机热备配置规范
多对ME60互联地址
注意主备BRAS均需修订
限速设置中,对于上行和下行都设置相同值,在多数情况下,可以将用户上行限速适当调小些,这样可以降低
P2P
类业务上行占资源
的情况
V.6.9.7-降负荷版本配置待补充
V6.9.6 a00版本升级一个问题明确(前期配置应该有,若没有,升级前需增加
升级A00版本,前域用户,必须配置网关的PERMIT。原来DHCP报文上送是不做ACL的,现在续租的报文也会做ACL,不配置就会
被DENY
acl number 6005
rule x permit ip source user-group wlan destination ip-address 127.0.0.1 0
rule y permit ip source ip-address 127.0.0.1 0 destination user-group wlan
V6.9.5调整限速
qos-profile limit-1m
car cir 1024 green pass red discard inbound //用户上行(用户->me60)
car cir 1024 green pass red discard outbound //用户下行(me60->用户)
qos-profile limit-2m
car cir 2048 green pass red discard inbound //用户上行(用户->me60)
car cir 2048 green pass red discard outbound//用户下行(me60->用户)
qos-profile limit-512K
car cir 512 green pass red discard inbound //用户上行(用户->me60)
car cir 512 pir 768green pass yellow pass red discard outbound //用户下行(me60->用户)
V6.9.4调整限速配置,原限速配置突发较大,考虑忙时无线侧拥塞厉害,为避免恶意占用带宽,修改
qos-profile limit-1m
car cir 1024 green pass red discard inbound //用户上行(用户->me60)
car cir 1024 pir 1536 green pass red discard outbound //用户下行(me60->用户)
qos-profile limit-2m
car cir 1536 green pass red discard inbound //用户上行(用户->me60)
car cir 2048 pir 2536 green pass yellow pass red discard outbound//用户下行(me60->用户)
qos-profile limit-512K
car cir 512 green pass red discard inbound //用户上行(用户->me60)
car cir 512 pir 768green pass yellow pass red discard outbound //用户下行(me60->用户)
V6.9.3 删除旧的国漫白名单
211.151.58.233、216.168.253.44
rule x permit ip source user-group wlan destination ip-address 地址A 0
rule y permit ip source ip-address 地址A 0 destination user-group wlan
V6.9.2 修订ME60 全局、分域radius源地址地址
现网配置:
1)全局下radius-server source interface LoopBack0
2)
radius-server group下没有强制要求(3gppaaa-hw, 3gppaaa-zte两个配置了radius-server source interface LoopBack0)
近期发现此方式时radius发起的DM消息,Radius下发消息时目的地址是NASIP(对应loopback100),ME60回复时用loopback0做为原
地址,存在问题;修改配置方案如下
1)第一步:所有的WLAN相关radius-server group下增加radius-server source interface LoopBack0命令.注意西部12地市需根据《关于华为
新AAA割接入网的通知》(SD-098-110830-31)要求在割接到新AAA时修改radius-server group 3gppaaa-hw中radius-server source interface
LoopBack0,9月15日完成
2)第二步:全局下radius-server source interface LoopBack0改为radius-server source interface LoopBack100
3)第三步:修改配置,收到AAA发的DM消息时以server-group 3gppaaa-zte中定义的原地址返回
2015-11-30
华为机密,未经许可不得扩散 第1页, 共17页
radius-server authorization 211.137.187.20 shared-key 88----89 server-group 3gppaaa-hw //信任华为新AAA下发的DM消息,用于踢用户,
新华为AAA.收到AAA发的DM消息时以server-group 3gppaaa-hw中定义的原地址返回
radius-server authorization 211.137.183.67 shared-key 88----89 server-group 3gppaaa-zte //信任中兴AAA下发的DM消息,用于踢用户, 收到
AAA发的DM消息时以server-group 3gppaaa-zte中定义的原地址返回
4)备用ME60按上述步骤修改
修改完毕后测试内容:
1)省内用户
2)省外用户(或电子卡)
3)计费验证
4)省内用户在portal页面自助下线
V6.9 新增白名单数据
根据集团要求国漫新白名单:211.99.206.88、211.99.206.87、202.83.198.71 //20110908
在ACL6005中增加,注意每个地址对应两条策略
rule xyz(根据配置需要定数值) permit ip source user-group wlan destination 0
rule abc(根据配置需要定数值) permit ip source destination user-group wlan
V6.8
6.7日割接后,省内radius/portal根据强制portal页面携带SSID区分是社会热点还是校园热点
1)携带SSID=CMCC-EDU,对外省用户不让使用,有提示语;对省内用户不加后缀;校园用户默认认证后域wlan-sd-new
2)不携带SSID或SSID=CMCC,对外省用户不加后缀,对省内用户加后缀wlan-sd-new,仍然使用wlan-sd-new这个认证后域
由此导致校园与社会热点只能用相同的限速策略。目前存在校园与社会热点只能不同限速策略的需求,需要:
1)BRAS侧先新建一个wlan-moni-jituan域,配置同wlan-sd-new这个域,用于CMCC热点使用模特集团portal时省内用户的认证后域,8.25
日前完成
2)portal侧模拟集团portal页面,对省内用户由加后缀wlan-sd-new改为wlan-moni-jituan(BRAS侧做好后调整,8月底前)
3此后若对校园和社会热点采取不同限速策略,可以在不同的域中修改
domain
wlan-moni-jituan
//WLAN认证后域(省内radius/portal,新的华为radius,模拟集团portal页面用户认证过后进此域)
authentication-scheme cmcc
accounting-scheme cmcc
service-type hsi
radius-server group sd-radius-new
dns primary-ip 211.137.191.26 //优选POOL下的DNS
dns second-ip 218.201.96.130 //优选POOL下的DNS
user-group wlan-after
idle-cut 60 10 //idle rate ,单位是Kbyte
qos-profile limit-2m inbound //或限速1M
qos-profile limit-2m outbound //或限速1M
V6.7
SPC800的命令修改2处地方(在SPC800升级时即修改)
1)AAA视图下http-redirect enable、调整ACL //主备设备均需修改.
2)radius-server source interface 由loopback100改为LoopBack0 //主备设备均需修改
idle-cut 60 10 //idle rate ,单位是Kbyte
V6.5/V6.6—2011.6.10日
1、清理亚信radius/portal退网后的垃圾邮件,主备设备均需
radius-server group sd-radius
domain wlan-before-sd
domain wlan-sd
domain eap-simaka
2、解决SIM认证AAA服务器给ME60下发DM消息失败问题
1)radius-server group 3gppaaa-zte、3gppaaa-hw下
删除radius-attribute translate NAS-Identifier HW-Own-NAS-Identify-SIM send命令
2)每个开启sim认证热点(802.1x)对应的BAS接口下增加nas logic-sysname <热点的NASID>,如nas logic-sysname 0460.
注意如果是双机热备场景 需要保证主备的nas logic-sysname一致
nas logic-sysname与bas-interface-name配置相同即可,若NASID变化,两者均需修改
2015-11-30
华为机密,未经许可不得扩散 第2页, 共17页
版权声明:本文标题:CMNET城域网BRAS配置规范 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1710000939h553591.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论