Redback SE800 BRAS操作手册

Redback SE800 BRAS操作手册

日常检测

主要是对设备的工作环境、硬件工作状态、软件工作情况、设备当前工作性能等进行检测,确保及时发现问题消除事故隐患。

一、硬件

1.设备工作环境

对设备工作环境的温度、湿度进行、供电、设备通风等进行检查确认环境不影响设备的运行及设备安全。

2.SmartEdge 800 Status LEDs(SE800机框状态指示灯)

3.SmartEdge 800 Alarm LEDs(机框告警指示灯):

4.Equipment LEDs on Controller Cards(控制卡设备指示灯)

CF

5.Equipment LEDs on Ethernet and Gigabit Ethernet Cards(四端口GE卡设备状态指示灯):

6.Facility LEDs on Gigabit Ethernet Cards(四端口GE卡功能指示灯):

二、软件

查看软件版本、软件文件名及存储位置、配置文件保存、系统性能等。常用命令如下:1.show version

查看硬件平台、软件版本、系统运行时间、系统手册如何重启、交换机序列号、内存等。

2.show process

查看系统进程运行情况,以此判断系统运行负载情况。

3.show configuration

查看系统运行的配置。

4.show memory

用于检查系统空闲内存数量,了解资源使用情况。

三、端口

1.查看端口指示灯,若不正常检查是否是物理链路原因。

2.用命令查看

查看端口状态 show port Slot/Port detail

例如:

[local]jn-hl-se01#show port 1/1 detail

ethernet 1/1 state is Up

Description : to-plmgsr(2/2/1)

Line state : Up

Admin state : Up

Link Dampening : disabled

Undampened line state : Up

Dampening Count : 0

Encapsulation : dot1q

MTU size : 1500 Bytes

NAS Port Type :

Speed : 1 Gbps

Duplex mode : full

MAC address : 00:30:88:01:8a:ad

Media type : 1000Base-LX

Flow control : on

Link Distance : 10000

Loopback : off

Active Alarms : NONE

查看端口流量 show port counters Slot/Port

例如:

[local]jn-hl-se01#show port counters 2/1

Port Type

2/1 ethernet

packets sent : 136******** bytes sent : 7320556180215 packets recvd : 17210531570 bytes recvd : 11224655525023 send packet rate : 37020.13 send bit rate : 157447700.01 (157M的发出流量)

recv packet rate : 54532.62 recv bit rate : 292842175.66 rate refresh interval : 60 seconds

四、路由

1.网络连通性测试

1扩展ping (测试可达性)

[local] se800#ping 192.168.0.1

[local] se800#ping ?

WORD IP address or host name to PING

X:X:X:X::X IPv6 Address to PING

ancp ANCP ping - Send GSMP OAM message

atm ATM ping - Send OAM loopback cells

ipv6 IP Version 6

mpls MPLS ping - LSP verification

2扩展traceroute(测试路径)

[local] se800#traceroute192.168.0.1

2.查看路由协议信息

3Show ip route

Code:C-connected,S-static,R-RIP ,EB-EBGP,IB-IBGP

O-OSPF,IA-OSPF inter area,N1-OSPF NSSA external type 1

N2-N1 –OSPF NSSA external type 2,E1-OSPF external type 1

E2-OSPF external type 2

I-IS-IS,L1-IS-IS level -1,L2-IS-IS level –2

>-Active route

五、日志

1.show log

查看系统日志

[local] se800#show log ?

active Show current event log file Show content of log file | Output Modifiers

数据配置

一、一般配置

设备的一般配置包括主机名,时钟校准,管理员设置,设备启用服务等。

1. 设置主机名

主机名命名规则:地市名缩写-局向缩写-BX(X为序号,如1,2,3,4)[local] se800 (config)#system hostname ***-***-***(名称)

2.时区和时钟校准

设置中国时区;在全局conf模式下:

[local] se800(config)#system clock timezone GMT+8 8 0 local 时钟校准命令如下:

[local] se800#clock set yyyy:mm:dd:hh:mm[:ss]

3. 配置管理员及其密码

[local]se800(config-ctx)#administrator word password word [local]se800(config-ctx-admin)#privil start 10 设置初始化权限

//不建议使用,使用系统缺省即可;

[local]se800(config-ctx-admin)#privil max 15 设置用户最高权限

//不建议使用;使用系统缺省即可;

配置enable secret 密码

[local]se800(config-ctx)# enable password word

4. 启用服务

以下是SE800支持的网络服务:

启用服务命令:service 服务名 client/server

如启用SSH服务器端:service ssh server

关闭服务命令:no service ssh server

5. 对管理员地址范围进行限定

1)定义访问控制列表:

ip access-list admin-acl

description This is a sample access control list

seq 10 permit ip host 10.10.10.2

seq 20 permit ip 10.0.0.0 0.0.0.255

seq 30 deny ip any

2)应用访问控制列表

admin-access-group admin-acl in

6. timeout时间设置

空闲过时设置

[local]SE800(config)#timeout session idle 5

当telnet会话在5分钟内没有输入时timeout退出

7. 登录响应过时设置

[local]SE800(config)#timeout login response 5

当出现login界面5分钟没有进入时timeout退出;

8. ACL设置

(1) 概述

SmartEdge 可以在不同的CONTEXT里面创建相应的ACL列表。

访问控制列表(ACL)是控制包过滤(转发、阻塞、重定向)的列表。系统根据接口或电路的ACL来控制包的转发、阻塞、重定向。下列特性适用于所有ACL:

- 列表包含多个项目。ACL中的每个项目按照先后顺序进行处理

- 每个列表有一个隐含的“deny all else”语句位于列表最后,即:如果包不匹配列表中的任何过滤语句,就被丢弃;

- 所有因ACL被丢弃的包同样被计数;

- 过滤类型包括IP(basic and extended), ICMP, TCP, UDP;

- 支持输入/输出过滤;

- 所有ACL在context内定义;

- 除了permit 和 deny, 过滤功能还支持redirect关键字。匹配的包总被发送到特定的接口(和可以支持ARP的介质的下一条地址),而不管转发表信息。

(2) Admin ACL的设置

SE800可以设置admin ACL,控制外部网络对SE800上任何ip interface的访问。

建立ip access-list

[local]SE800_1(config-ctx)#ip access-list telnet_acl

设置允许和禁止的访问选择

[local] se800 (config-access-list)#seq 10 permit ip 202.101.114.0 0.0.0.31 [local] se800 (config-access-list)#seq 20 permit ip 220.162.198.144 0.0.0.7 [local] se800config-access-list)#seq 30 permit ip host 61.154.18.239

[local] se800 (config-access-list)#seq 40 permit ip host 61.154.18.160

[local] se800 (config-access-list)#seq 50 permit ip host 61.131.11.228

[local] se800 (config-access-list)#seq 60 deny tcp any any eq telnet //限制telnet [local] se800 (config-access-list)#seq 65 deny udp any any eq snmp //限制snm [local] se800 (config-access-list)#seq 66 deny udp any any eq snmptrap p

[local] se800 (config-access-list)#seq 70 deny tcp any any eq ssh //限制ssh连接[local] se800 (config-access-list)#seq 80 permit ip any any

应用到context local下

[local] se800 (config-ctx)# admin-access-group telnet_acl in log

注:ACL的执行是从上到下的,如果要追加访问列表,可通过seq number这个办法来插入到ACL 中,比如在seq 50到seq60之间插入一条,可以在插入的访问列表前加seq 55。如果插入的条目较多,可以通过下面这条命令来整理序号:

[local] se800 (config-ctx)#resequence ip access-list telnet_acl

(3) 普通ACL的设置

1)建立ip access-list

[local] se800 (config-ctx)#ip access-list general_acl

实际应用中可以根据情况进行配置,下面是个例子:

设置允许和禁止的访问选择

seq 10 permit icmp any any icmp-type 8 icmp-code 0

seq 20 permit icmp any any icmp-type 0 icmp-code 0

seq 30 permit icmp any any icmp-type ttl-exceeded

seq 40 permit icmp any any icmp-type packet-too-big

seq 50 deny icmp any any

seq 110 deny udp any any range 135 netbios-ss

seq 120 deny tcp any any range 135 139

seq 130 deny udp any any eq 445

seq 140 deny tcp any any eq 445

seq 150 deny tcp any any eq 1434

seq 160 deny udp any any eq 1434

seq 200 deny ip host 255.255.255.255 any

seq 250 permit ip any any

2)应用到interface或者subscriber下:

interface toT640

ip address 220.162.233.86/30

ip access-group general_acl in count

9.Subscriber(用户)缺省设置

(1) 基本配置:

subscriber default

ip address pool

dns primary 202.102.224.68

dns secondary 202.102.227.68

注:ip address pool 后面可以指定pool,也可以不指定,当一个pool的地址用完后系统会自动到另外一个pool获得地址。建议不指定pool,以免地址不够时,再增加地址需要改动设置,引起用户中断。

(2)可选配置项

用户描述subscriber profile设置,用于限速:

subscriber profile bw_512klimit

qos policy policing bw_512kup //该部分配置见QOS部分;

qos policy metering bw_512kdown

subscriber profile bw_8Mlimit

qos policy policing bw_8Mup

qos policy metering bw_8Mdown

10. 安全的基本配置

为了安全,可以在se800上关闭一些常见的容易受到攻击TCP、UDP端口;

具体配置在相应的VR下执行;

(1) 首先创建访问列表:

[local] se800 (config-ctx)#ip access-list 105

(2) 然后进行ACL的配置:

[local] se800 (config-access-list)#seq 20 deny udp any any eq 1434

[local] se800 (config-access-list)#seq 30 deny udp any any eq 1433

[local] se800config-access-list)#seq 40 deny tcp any any eq 135

[local] se800 (config-access-list)# seq 50 deny udp any any eq 135

[local] se800 (config-access-list)#seq 60 deny tcp any any eq 139

[local] se800 (config-access-list)#seq 80 deny tcp any any eq 445

[local] se800 (config-access-list)#seq 90 deny udp any any eq 445

[local] se800 (config-access-list)#seq 100 deny tcp any any eq 593

[local] se800 (config-access-list)#seq 110 deny udp any any eq 593

[local] se800 (config-access-list)#seq 120 deny tcp any any eq 137

[local] se800 (config-access-list)#seq 140 deny tcp any any eq 138

[local] se800 (config-access-list)#seq 160 deny tcp any any eq 3127

[local] se800 (config-access-list)#seq 170 deny udp any any eq 161

[local] se800 (config-access-list)#seq 260 permit ip any any

(3) 应用到interface:

[local] se800 (config-ctx)# interface connection

[local] se800 (config-if)# ip address 3.1.1.1/30

[local] se800 (config-if)# ip access-group 105 out (在出口方向应用访问列表105)

二、拨号用户数据配置

1.设置PPPOE拨号属性

aaa last-resort context local (设置拨号用户拨入服务器时拨入的默认VR)pppoe services marked-domains(配置SE800不公布domain)

pppoe service-name accept-all(允许PADI和PADR包中带有任意AC-NAME都能接入) pppoe tag ac-name jn-plm-bsn2(设置在PADO和PADS中AC-NAME的名称)

pppoe always-send-padt(设置当PPP协商失败时发送PADT包终止PPPOE链接)

2.配置RADIUS认证属性

aaa authentication subscriber radius (用户的认证方式设置成radius)

aaa accounting subscriber radius(用户的计费方式设置成radius)

aaa accounting suppress-acct-on-fail(为避免重单而进行的设置)

radius accounting server 61.156.10.83 key 88----89 oldports

radius accounting server 61.156.13.83 key 88----89 oldports

radius server 61.156.10.83 key 88----89 oldports

radius server 61.156.13.83 key 88----89 oldports

radius max-retries 3

radius attribute nas-ip-address interface local-loopback

radius attribute acct-session-id access-request

radius algorithm first

radius attribute nas-port format physical

通过show radius server来查看配置结果:

[local] se800 #show radius server

Authentication Server

======================================================================

Address Port Key State State set time

====================================================================== 61.156.10.83 1645 88----89 Alive Wed May 24 01:42:17 2006 61.156.13.83 1645 88----89 Alive Sun May 28 21:52:24 2006 Algorithm: first

Timeout (in sec.): 10

Max retry: 3

Max outstanding: 256

Server timeout (in sec.): 60

Deadtime (in min.): 5

Accounting Server

======================================================================

Address Port Key State State set time

====================================================================== 61.156.10.83 1646 88----89 Alive Wed May 24 01:42:26 2006 61.156.13.83 1646 88----89 Alive Thu May 25 22:22:30 2006 Algorithm: first

Timeout (in sec.): 10

Max retry: 3

Max outstanding: 256

Server timeout (in sec.): 60

Deadtime (in min.): 5

3.配置用户属性

subscriber default (进入默认用户配置模式)

ip address pool (设置用户获取地址的方式为从地址池获取)

ip access-group anti-virus in

dns primary 202.102.128.68

dns secondary 202.102.134.68

4.添加地址池

分以下两步

在context local模式下新建地址池:

interface PPPOE-POOL-07 multibind (建立地址池接口)

ip address 221.0.16.1/21

ip pool 221.0.16.0/21

然后将地址池路由放入OSPF进程中定义需要重分布的null0路由:

ip route 221.0.16.0/21 null0

三、专线用户数据配置

1.专线业务的开通

context jn-vprn 进入专线用户所在VR

no ip domain-lookup

interface user1 multibind

ip address 10.0.0.1/24

ip arp secured-arp

no logging console

对于ATM线路专线用户做以下配置

port atm 3/1

atm pvc 18 108 profile atm-pro encapsulation bridge1483 bind interface user1 jn-vprn

ip host 10.0.0.0/24

!对于VLAN线路专线用户做以下配置

port Ethernet 3/1;

atm pvc 2036

bind interface user1 jn-vprn

ip host 10.0.0.0/24

2.VPDN用户配置

VPDN开通

SE800作为LAC,在开通新的VPDN连接时请获取以下资料:

2LAC名称和IP地址(IP由我们提供给LNS侧网管)

3LNS名称和IP地址

4L2TP隧道认证字符串

5拨号用户的domain

分以下几步:

A)在jn-vpdn VR模式下创建用户拨号的domain:

如:

context jn-vpdn

domain jnyc

domain l2tptest

domain ncljn

domain sdck

domain sdguard

domain sdpost

domain sdtc

domain taikanglife

domain tiyucaipiao

domain unimart

domain yinbao

domain yinjianju

B)以下语法配置L2TP隧道:

l2tp-peer {default | name l2tp-peer-name media udp-ip remote {ip ip-addr | dns dns-name} |

unnamed} [local ip-addr]

如下例:

l2tp-peer name sd-v-jn1 media udp-ip remote ip 218.57.22.92 local 124.128.40.4

function lac-only

tunnel-auth key sdvpdn

local-name l2tp-jn-se800

domain sdck

domain yinbao

domain sdtc

domain jnyc

domain sdcz

domain tiyucaipiao

domain unimart

domain sdpost

domain sdguard

domain taikanglife

domain l2tptest

domain yinjianju

C)配置用户属性:

aaa authentication subscriber none LAC侧不对用户进行认证

subscriber default

tunnel domain 指定用户通过域名来建立L2TP隧道

3.VPN配置

VPN RD规划

例如:

以下是VPN RD的规划,RD采用本地AS号+区分数值的方式来定义:

RT号采用RD号的后半部分+:1的形式来表示:如jnwater的RT定为10030:1;

4.MPLS vpn配置

新MPLS VPN业务的开通

前期经过MPLS BGP的调试,已经建立全网的BGP邻居,在开通时无需再去调试相关BGP的内容。

开通MPLS VPN时请确定以下内容已经确定好:

1)RD号已经规划,,如有新的业务请顺延RD号码,此号码要保证唯一性;

2)确定新的业务使用的VR名称,所用VR名称与用户拨号后缀保持一致;如tqshihua为VR名

称;

3)确定好用户拨号的地址池;

4)确定好用户专线的IP地址以及PVC号;

以下是以renbao MPLS BGP VPN为例,在125.128.40.1上开通renbao VPN,首先查看并确定好RD和RT号:

renbao RD号:

config

context rebao vpn-rd 65023:10019

(路由区分符见规划)

interface BGP-VPN-INT-1 mul

(建VPN专线网关)

ip address 192.168.100.1/24

ip arp proxy-arp

router bgp vpn

address-family ipv4 unicast

export route-target 10019:1

(用区号的作为隧道区分符)

import route-target 10019:1

redistribute static

redistribute connected

port ethernet 6/1

dot1q pvc 666

bind interface BGP-VPN-INT-1 VPN1 (绑定专线接口到线路) ip host 192.168.100.0/24

系统操作

一、硬件

拔插设备单板请戴好防静电手腕

二、软件

1.软件版本为5.0.3.1p1的查看示例:

[local] se800 #show version

Redback Networks SmartEdge OS Version SEOS-5.0.3.1p1-Release(显示版本号)

Built by sysbuild@@lx-lsf213Wed Apr 12 19:06:17 PDT 2006

Copyright (C) 1998-2006, Redback Networks Inc. All rights reserved.

System Bootstrap version is PowerPC,1.0b1267(Bootstrap的版本号)

Installed minikernel version is 22(minikernel的版本号)

Router Up Time - 29 days, 23 hours 23 minutes 11 secs(设备运行时间)

软件升级过程

分以下几步(如果的双引擎注意所有重启后的操作要等到设备两个引擎完同步后再进行,以免发生升级不成功的情况)

升级bootrom镜像

upgrade bootrom {ftp: | scp: | /md} url

[local] se800 #upgrade bootrom ftp://jsmith@lab//eng/seos/of1267.bin

当升级成功后,按提示选择回答后重启设备,这时,如果是热备的主控板,备板会自动与主控板进行软件同步。

下载新的软件件镜象

release download protocol://username[:passwd]@{ip-addr | hostname} [//directory]/filename.ext

[local]Redback#release download ftp://guest@10.1.1.1/SEOS-2.6.7.tar.gz

删除原软件镜象

当软件下载完毕后,如果存在已经安装的软件镜像,那么就会提示是否需要删除原软件,选择删除。

让设备用通过新系统软件进行重启

release upgrade

按提示选择Y后重启设备

重启结束后通过show release来确定软件版本

通过show chassis来确定是否支持所板卡

如果有板卡在FLAG下面出现M的提示,表示软件对板卡支持可能有问题通过reload fpga slot

来重启该板卡

可以通过show hardware card slot detail来查看软件对板卡的支持情况

升级minikernel 镜象文件

upgrade minikernel {ftp: | scp: | /md} url

当为远程服务器时可通过//username[:passwd]@{ip-addr | hostname}[/directory]/filename.ext

升级完成后按提示重启设备

2.保存配置

Save configuration

3.备份配置

根据提示输入:文件名、tftp服务器地址。

Save configuration tftp

相关文档
最新文档