第10章 专线 业务 的 配置

10.1 二层 专线 的 配置

10.1.1 组网图

『 配置 环境参数』

计算机设置为自动获取 IP 地址的方式

MA5200F 的上行口地址： 200.100.0.1

MA5200F 对端路由器地址： 200.100.0.2

10.1.2 数据 配置 步骤

『 专线 用户的一些概念：』

接入用户的类型可分为两种：个人用户和集团用户。个人用户具有唯一的 IP 地址和 MAC 地址，使用唯一的账号，具有唯一的接入权限。集团用户具有多个 IP 地址和 MAC 地址，使用统一的接入权限。 MA5200 V100R007 为了满足实际组网中集团用户的需求，提出了 专线 接入的概念。 在 MA5200E/F ， 专线 接入泛指同一逻辑端口下的所有用户统一进行 CAR 和流量统计，对 AAA 只表现为一个连接的接入方式。

专线 接入具有如下的特征：

l ? 该 专线 下，所有的用户具有相同的权限；

l ? 该 专线 下，所有的用户统一计费；

l ? 该 专线 下，所有的用户统一做 CAR ；

l ? 该 专线 接入以端口 VLAN 作为标识。

【 配置 专线 用户的接入端口】

这里 配置 vlan 子接口的目的主要是使得这个 vlan 子接口 up 起来。

加入用户从 2 号端口的 1 号 VLAN 接入上来：

[MA5200F]interface Ethernet 2.1

【 配置 地址池】

对于 专线 用户是需要利用 DHCP 协议自动获取 IP 地址的，这个地址是存在一个事先设定好的地址池中的，这个地址池可以存在一个远端的 DHCP 的服务器上面，也可以存在 5200 本机上面，如果地址池是在 5200 上面的话那么首先就要 配置 这个地址池的相关参数。

1. 创建一个名为 huawei 的地址池：

[MA5200F]ip pool huawei local

2. 配置 地址池的网关以及掩码：

[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0

3. 配置 地址池的地址段：

[MA5200F-ip-pool-huawei]section 0 61.10.1. 2 61.10.1.1 0

★ 如果采用的是外置的地址池的话就按照下面的内容进行 配置 ：

1. 建立外置一个名为 remotedhcp 的 DHCP SERVER 组：

[MA5200F]dhcp-server group remotedhcp

2. 设置此 DHCP SERVER 组：

这里主要是指定此 DHCP SERVER 组所指向的 DHCP SERVER 的 IP 地址。

[MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10

3. 创建一个远端地址池：

[MA5200F]ip pool huaweiremote remote

4. 指定地址池的 gateway 以及绑定 DHCP SERVER 组：

[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0

[MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp

好了，现在我们已经给用户 配置 了一个地址池，接下来我们要为用户设置相应的认证和计费方案。

【 配置 认证方案】

1. 进入 AAA 视图：

[MA5200F]aaa

2. 添加一个新的认证方案 Auth1 ：

[MA5200F-aaa]authentication-scheme Auth1

这样接下来就进入了相应的认证方案视图。

3. 设置认证方案：

我们已经创建了一个新的认证方案 Auth1 ，接下来我们将定义这个认证方案的具体内容。

[MA5200F-aaa-authen-auth1]authentication-mode local

这里我们将 Auth1 这一个认证方案定义为了本地认证，也就是说采用这样的一个认证方案的用户是在 5200 本地进行认证的。

【 配置 计费方案】

1. 进入 AAA 视图：

[MA5200F]aaa

2. 添加一个新的计费方案 Acct1 ：

[MA5200F-aaa]accounting-scheme Acct1

3. 设置计费方案：

[MA5200F-aaa-accounting-acct1]accounting-mode local

这里我们将 Acct1 这一个计费方案定义为了本地计费，也就是说采用这样的一个计费方案的用户是在 5200 本地进行计费的。

【 配置 域】

在 5200 上面每一个用户都是属于一个指定的（或者是默认的）域的，因此，在进行用户的 配置 之前我们首先要 配置 用户所属的域的一些参数。

1. 进入 AAA 视图：

[MA5200F]aaa

2. 新建一个名为 isp 的域：

[MA5200F-aaa]domain isp

接下来便进入了相应的域的 配置 视图。

3. 指定该域所使用的地址池：

[MA5200F-aaa-domain-isp]ip-pool first Huawei

4. 指定该域的认证方案和计费方案：

[MA5200F-aaa-domain-isp]authentication-scheme Auth1

[MA5200F-aaa-domain-isp]accounting-scheme Acct1

这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1 ，分别是本地认证和本地计费。

【添加用户帐号】

1. 进入本地认证管理 配置 视图：

[MA5200F]local-aaa-server

2. 添加用户：

[MA5200F-local-aaa-server]batch-user ethernet 2 1 1 domain isp

这之后便添加了一个用户名为： ma5200f-vlan-01-0001@isp 的用户帐号。

【 配置 VLAN 端口】

配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域，所采用的认证方法。

1. 进入端口 VLAN 的 配置 视图：

[ MA5200F]portvlan ethernet 2 vlan 1 1

这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的 配置 视图。

2. 设置该端口 VLAN 为 专线 用户接入类型，并且 配置 用户认证前所使用的域：

[MA5200F-ethernet-2-vlan1-1]access-type vlan-leased-line default-domain pre-authentication isp

在 access-type 后面有多个选项，其中的 vlan-leased-line 是指的 专线 类型的端口，一般用于接入二层或者三层的 专线 用户。

【 配置 上行接口以及路由】

配置 上行接口的目的是为了和上层的路由器或者交换机相连接，在 配置 上行接口的时候我们首先要将需要 配置 的接口指定为“非管理类型”。

1. 进入端口 VLAN 的 配置 视图：

[MA5200F]portvlan ethernet 24 0 1

2. 设置端口 VLAN 的接入类型为非管理类型：

[MA5200F-ethernet-24-vlan 0 - 0 ]access-type interface

在 access-type 后面有多个选项，其中的 interface 是指的非管理类型的端口，用于连接上层交换机。

3. 创建 VLAN 子接口：

[MA5200F]interface Ethernet 24. 0

这里需要说明一下，创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理类型”，然后再在这个端口上创建此 VLAN 的子接口。这里多了一个概念就是“ VLAN 子接口”。

这样，一个物理端口上就可以创建多个逻辑的 VLAN 子接口，每个子接口可以 配置 不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行，并且带上相应的 VLAN ID ，三层交换机（或者二层交换机）就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。

4. 在 VLAN 子接口下 配置 ip 地址：

[MA5200F-Ethernet24. 0 ]ip address 200.100.0.1 255.255.255.252

5. 配置 默认路由：

对于一般条件的接入 业务 ， 5200 上面只需要 配置 一条指向上行路由器端口的默认路由就可以了：

[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0. 2

10.1.3 测试验证

计算机应该能够获取到 61.10.1.0/24 网段的 IP 地址，此时应该可以 ping 通对端路由器的地址 202.100.0.2 （对端路由器需要做到 MA5200F 下面用户网段的回程路由）。

10.2 三层 专线 的 配置

10.2.1 组网图

『 配置 环境参数』

计算机 IP 地址为： 60.10.1.2/24

MA5200F 的上行口地址： 200.100.0.1

MA5200F 对端路由器地址： 200.100.0.2

MA5200F 上接下端路由器的端口的地址为： 60.11.1.2/30

MA5200F 下连路由器的地址为： 60.11.1.1/30

10.2.2 数据 配置 步骤

『三层 专线 用户的概念』

普通三层接入 VLAN 专线 与普通二层接入 VLAN 专线 的区别在于，普通三层接入 VLAN 专线 下挂的为三层设备，而普通二层接入 VLAN 专线 下挂的为二层设备。

【 配置 认证方案】

1. 进入 AAA 视图：

[MA5200F]aaa

2. 添加一个新的认证方案 Auth1 ：

[MA5200F-aaa]authentication-scheme Auth1

这样接下来就进入了相应的认证方案视图。

3. 设置认证方案：

我们已经创建了一个新的认证方案 Auth1 ，接下来我们将定义这个认证方案的具体内容。

[MA5200F-aaa-authen-auth1]authentication-mode local

这里我们将 Auth1 这一个认证方案定义为了本地认证，也就是说采用这样的一个认证方案的用户是在 5200 本地进行认证的，当然在实际的开局中我们也可以根据实际的情况将认证方案设置为其它的类型，如 radius ，这样的话这个用户将会去 radius 服务器进行认证。

【 配置 计费方案】

1. 进入 AAA 视图：

[MA5200F]aaa

2. 添加一个新的计费方案 Acct1 ：

[MA5200F-aaa]accounting-scheme Acct1

3. 设置计费方案：

[MA5200F-aaa-accounting-acct1]accounting-mode local

这里我们将 Acct1 这一个计费方案定义为了本地计费，也就是说采用这样的一个计费方案的用户是在 5200 本地进行计费的，当然在实际的开局中我们也可以根据实际的情况将计费方案设置为其它的类型，如 radius ，这样的话这个用户将会去 radius 服务器进行计费。

【 配置 域】

在 5200 上面每一个用户都是属于一个指定的（或者是默认的）域的，因此，在进行用户的 配置 之前我们首先要 配置 用户所属的域的一些参数。

1. 进入 AAA 视图：

[MA5200F]aaa

2. 新建一个名为 isp 的域：

[MA5200F-aaa]domain isp

接下来便进入了相应的域的 配置 视图。

3. 指定该域的认证方案和计费方案：

[MA5200F-aaa-domain-isp]authentication-scheme Auth1

[MA5200F-aaa-domain-isp]accounting-scheme Acct1

这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1 ，分别是本地认证和本地计费。

【 配置 与下挂路由器相连的接口地址】

[MA5200F]interface Ethernet 2.0

[MA5200F-Ethernet2.0]ip address 60.11.1.2 255.255.255.252

【 配置 到用户网段的路由】

三层 专线 由于是下挂的路由器，一次需要 配置 到用户网段的静态路由，下一跳是下挂路由器的接口地址。同时，通过 配置 到用户网段的静态路由来限制 专线 用户的接入网段。

[MA5200F]ip route-static 61.10.1.2 255.255.255.0 60.11.1.1

【 配置 VLAN 端口】

配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域，所采用的认证方法。

1. 进入端口 VLAN 的 配置 视图（ 0 表示没有 vlan ）：

[MA5200F]portvlan ethernet 2 vlan 0 1

2. 设置该端口 VLAN 为 专线 用户接入类型，以及用户认证前所使用的域：

[MA5200F-ethernet-2-vlan0-0]access-type vlan-leased-line default-domain pre-authentication isp

在 access-type 后面有多个选项，其中的 vlan-leased-line 是指的 专线 类型的端口，一般用于接入二层或者三层的 专线 用户。

3. 配置 端口的认证方法：

[MA5200F-ethernet-2-vlan 0 - 0 ]authentication-method bind

【 配置 上行接口以及路由】

配置 上行接口的目的是为了和上层的路由器或者交换机相连接，在 配置 上行接口的时候我们首先要将需要 配置 的接口指定为“非管理类型”。

1. 进入端口 VLAN 的 配置 视图：

[MA5200F]portvlan ethernet 24 0 1

2. 设置端口 VLAN 的接入类型为非管理类型：

[MA5200F-ethernet-24-vlan 0 - 0 ]access-type interface

在 access-type 后面有多个选项，其中的 interface 是指的非管理类型的端口，用于连接上层交换机。

3. 创建 VLAN 子接口：

[MA5200F]interface Ethernet 24. 0

这里需要说明一下，创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理类型”，然后再在这个端口上创建此 VLAN 的子接口。这里多了一个概念就是“ VLAN 子接口”。

这样，一个物理端口上就可以创建多个逻辑的 VLAN 子接口，每个子接口可以 配置 不同的 ip 地址。这样报文在上行的时候就可以根据需要走不同的 ip 上行，并且带上相应的 VLAN ID ，三层交换机（或者二层交换机）就可以根据这样的 VLAN ID 对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的 VLAN 子接口设置为 0 的话就是不带 VLAN ID 上去。

4. 在 VLAN 子接口下 配置 ip 地址：

[MA5200F-Ethernet24. 0 ]ip address 200.100.0.1 255.255.255.252

5. 配置 默认路由：

对于一般条件的接入 业务 ， 5200 上面只需要 配置 一条指向上行路由器端口的默认路由就可以了：

[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0. 2

10.2.3 测试验证

用户计算机此时应该可以 ping 通对端路由器的地址 202.100.0.2 （对端路由器需要做到 MA5200F 下面用户网段的回程路由）。

}}-->

10.3 PROXY 专线 的 配置

10.3.1 组网图

『 配置 环境参数』

计算机设置为自动获取 IP 地址的方式

MA5200F 的上行口地址： 200.100.0.1

MA5200F 对端路由器地址： 200.100.0.2

10.3.2 数据 配置 步骤

『 PROXY 专线 用户的一些概念：』

PROXY 专线 具有二层 专线 的所有的特性。同时 PROXY 专线 在用户的认证方式上更为灵活，可以采用 WEB ， DOT1X 等认证策略，二普通的二层 专线 用户只能进行 BIND 认证。

PROXY 专线 的数据 配置 和一般的接入用户的数据 配置 是基本相同的，只是在 portvlan 里面所指定的接入类型不同罢了。

我们这里以静态用户为例子说明 PROXY 专线 是如何 配置 的，当然 PROXY 专线 用户也可以 配置 为动态用户或者 WEB 认证用户。

【 配置 地址池】

PROXY 专线 用户首先 配置 地址池。现在的版本对于静态用户也是需要 配置 地址池的，并且要将静态用户的地址包含进所 配置 的地址池中，同时还要执行禁用的命令，所以在做静态用户数据的第一步就是生成相应的地址池。

1. 创建一个名为 huawei 的地址池：

[MA5200F]ip pool huawei local

2. 配置 地址池的网关以及掩码：

[MA5200F-ip-pool-huawei]gateway 61 .1 0 .1.1 255.255.255.0

3. 配置 地址池的地址段：

[MA5200F-ip-pool-huawei]section 0 61 .1 0 .1.2 61 .1 0 .1.10

4. 在地址池里面将静态用户的地址去除：

MA5200F-ip-pool-huawei]excluded-ip-address 61.10.1.2

另外在实际开局中此处还要 配置 DNS 服务器的 IP ，但由于是 业务 配置 指导书，此处 DNS 的 配置 省略，具体 配置 可以参考开局指导书中的相关部分，下面的各 配置 中地址池的 配置 与此相同。

好了，现在我们已经给静态用户 配置 了一个地址池，接下来我们要为静态用户设置相应的认证和计费方案。

【 配置 认证方案】

1. 进入 AAA 视图：

[MA5200F]aaa

2. 添加一个新的认证方案 Auth1 ：

[MA5200F-aaa]authentication-scheme Auth1

这样接下来就进入了相应的认证方案视图。

3. 设置认证方案：

我们已经创建了一个新的认证方案 Auth1 ，接下来我们将定义这个认证方案的具体内容。

[MA5200F-aaa-authen-auth1]authentication-mode local

这里我们将 Auth1 这一个认证方案定义为了本地认证，也就是说采用这样的一个认证方案的用户是在 5200 本地进行认证的，当然在实际的开局中我们也可以根据实际的情况将认证方案设置为其它的类型，如 radius ，这样的话这个用户将会去 radius 服务器进行认证。

【 配置 计费方案】

1. 进入 AAA 视图：

[MA5200F]aaa

2. 添加一个新的计费方案 Acct1 ：

[MA5200F-aaa]accounting-scheme Acct1

3. 设置计费方案：

[MA5200F-aaa-accounting-acct1]accounting-mode local

这里我们将 Acct1 这一个计费方案定义为了本地计费，也就是说采用这样的一个计费方案的用户是在 5200 本地进行计费的，当然在实际的开局中我们也可以根据实际的情况将计费方案设置为其它的类型，如 radius ，这样的话这个用户将会去 radius 服务器进行计费。

【 配置 域】

在 5200 上面每一个用户都是属于一个指定的（或者是默认的）域的，因此，在进行用户的 配置 之前我们首先要 配置 用户所属的域的一些参数。

1. 进入 AAA 视图：

[MA5200F]aaa

2. 新建一个名为 isp 的域：

[MA5200F-aaa]domain isp

接下来便进入了相应的域的 配置 视图。

3. 指定该域所使用的地址池：

[MA5200F-aaa-domain-isp]ip-pool first Huawei

4. 指定该域的认证方案和计费方案：

[MA5200F-aaa-domain-isp]authentication-scheme Auth1

[MA5200F-aaa-domain-isp]accounting-scheme Acct1

这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案 Auth1 和 Acct1 ，分别是本地认证和本地计费。

【 配置 VLAN 端口】

配置 VLAN 端口的目的是指定某个端口的某些指定的 VLAN 用户认证前后所使用的域，所采用的认证方法，以及静态用户的数据。

1. 进入端口 VLAN 的 配置 视图：

[MA5200F]portvlan ethernet 2 vlan 1 1

这里的含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的 配置 视图。

2. 设置该端口 VLAN 为二层普通用户接入类型：

[MA5200F-ethernet-2-vlan1-1] access-type proxy-leased-line

在 access-type 后面有多个选项，其中的 proxy-leased-line 是指的 PROXY 专线 用户。

3. 配置 用户所使用的域：

[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp

4. 配置 端口的认证方法：

[MA5200F-ethernet-2-vlan1-1]authentication-method bind

5. 添加静态用户：

[MA5200F-ethernet-2-vlan1-1]static-user 61 .1 0 .1.2 detect

这里的 detect 的含义是： 静态用户不绑定 MAC 地址， MA5200 设备主动探测。此应用主要是在静态用户是二层交换机等需管理设备。

此处配完后可以通过 [MA5200F]display static-user

Port-type Port-ID VLAN-ID IP-address Static-user-state

---------------------------------------------------------------------------

Ethernet 1 1 61.10.1.2 Updated

---------------------------------------------------------------------------

Total 4 item(s)

状态为 UPDATED 时表示这个静态用户目前处在预连结状态，如果为其它的状态的话请检查自己的数据 配置 情况。 目前静态用户的 配置 顺序必须为：地址池－－－认证计费策略－－－域－－－进行 portvlan 的 配置 并添加静态用户。

【添加用户帐号】

1. 进入本地认证管理 配置 视图：

[MA5200F]local-aaa-server

2. 添加用户：

[MA5200F-local-aaa-server]batch-user ethernet 2 1 1 domain isp

这之后便添加了一个用户名为： ma5200f-vlan-01-0001@isp 的用户帐号。

【 配置 上行接口以及路由】

配置 上行接口的目的是为了和上层的路由器或者交换机相连接，在 配置 上行接口的时候我们首先要将需要 配置 的接口指定为“非管理类型”。

1. 进入端口 VLAN 的 配置 视图：

[MA5200F]portvlan ethernet 24 vlan 0 1

2. 设置端口 VLAN 的接入类型为非管理类型：

[MA5200F-ethernet-24-vlan 0 - 0 ]access-type interface

在 access-type 后面有多个选项，其中的 interface 是指的非管理类型的端口，用于连接上层交换机。

3. 创建 VLAN 子接口：

[MA5200F]interface Ethernet 24. 0

这里需要说明一下，创建上行接口的步骤是先将一个端口上的某一个 VLAN 指定为“非管理类型”，然后再在这个端口上创建此 查看更多关于第10章专线业务的配置的详细内容...