SE800配置体系结构

SE800配置体系结构SE800做为多服务边缘服务器，能配置诸多虚拟路由器即多个context 。其配置观点是具体业务决定context 的性质；网络规划决定设备的物理连接；设备的物理连接决定cont

SE800配置体系结构

SE800做为多服务边缘服务器，能配置诸多虚拟路由器即多个context 。其配置观点是具体业务决定context 的性质；网络规划决定设备的物理连接；设备的物理连接决定context 的虚拟链路；在确定了context 的虚拟链路连接之后进而可以确定context 的互连接口；之后每个context 就可以像普通路由器一样进行功能配置了；最后一步把context 的具体接口绑定到对应的物理线路接口上。参照聊城BRAS 的改造现做出SE800配置的具体流程： 配置SE800的首要观点：

1、 首先确定哪些业务需要运行在SE800上；在确定之后每个业务具体配置成SE800的具体context ，例如：PPPOE 业务对应SE800的context PPPOE；VPDN 业务对应context VPDN 等等。在这里需要说明的是BGP/MPLS VPN 业务与其他业务有所不同，BGP/MPLS VPN的具体context 与具体的用户对应。

2、 明确同一台SE800不同context 之间是相互隔离的，只有context local可以与其他的context 之间启用静态路由。

3、 context local 是SE800系统默认的context 不能删除， context local 通常都会与其他设备（城域网的核心路由器）之间启用路由协议进行路由转发，可以根据实际情况不同考虑是否启用context local 与其他context 之间的静态路由，前提是local 对其他context 不会指过多的静态路由，所以这种方法主要用在vpdn 这种context 的配置上。

4、 在配置已有的context 时一定注意输入完整的context 名称（context local允许用Tab 键补全），否则系统将生成新的context ，这样就配置了错误的context 。对照所要配置的context 名称最好的办法就是用“show context all”命令，此命令会列出系统已经配置的context 名称，针对具体的context 名称进行配置。例如：我们要配置context vpdn ，为了避免操作错误具体步骤应该是：“show context all”－“config ”－“context vpdn ”即在明确要配置哪个context 之后在“config ”后再输入确认这个context ，这样的操作流程可以有效避免配置context 的错误。

确定SE800的物理连接结构：

以下是聊城SE800的物理连接结构：

1

确定context 的虚拟连接结构：

以下是聊城PPPOE 以及VPDN 业务的逻辑连接结构：（842、822、832、临清、高唐）

以下是聊城PPPOE 以及VPDN 业务的逻辑连接结构：（除842、822、832、临清、高唐以外）

2

确定虚拟链路的interface 和互连地址:

在确定了context 的虚拟链路之后，就可以为虚拟链路制定互连接口了。在此注意interface 的命名最好遵循“context name-To-设备名称”的规则，这样在interface 绑定物理链路的时候更容易区分；互连地址遵循一般性规则即30位掩码的IP 地址。

绑定具体context 的interface 到指定的物理链路上：

针对具体context 的逻辑连接，在指定的物理链路上进行逻辑interface 的绑定。我做了如下总结即：

1、 确定具体业务或功能涉及的设备连接结构，制定出连接的物理端口

2、 确定具体业务或功能对应的context

3、 确定context 中用哪些V ALN 做为虚拟互连链路

4、 确定context 虚拟互连链路的interface 和互连地址

5、 把interface 绑定在步骤1中的物理端口上

3

配置context 的基本功能

配置context 的基本功能同配置普通路由器是一样的，以上既然确定了context 的interface ，同时完成了context interface与指定物理端口的绑定，事实上就已经完成了context 与特定设备的互连，那么针对context 的具体功能就可以进行相关的路由协议配置了。例如聊城现在的context local作为PPPOE 用户的接入虚拟路由器，其基本配置功能就是要与842、822的NE5000E 实现互连同时启用OSPF 路由协议。因此在context local中配置的OSPF 进程，其具体配置过程这里不做描述。为了便于远程用户访问到这个context ，因此还要进行登录用户的相关配置，总结如下：

1、 通过指定端口绑定具体的context interface实现相关设备之间的互连

2、 根据设计目标配置context 的具体路由协议

3、 配置 context的远程登录用户

4、 为了对远程登录用户进行限制以及对某些端口进行过滤，可以配置访问列表进行控制。

配置context 的业务功能：

配置context 的基本功能是为了实现路由，接下来就要对context 进行业务功能的相关配置。以聊城当前的业务举例：

PPPOE 业务：

此业务的实现流程为：用户通过某个VLAN 拨号→SE800的下联端口配置了VLAN →把用户请求传送到context local→context local要求radius 认证→radius 远程对用户进行认证并返回认证参数→SE800检查匹配参数→认证通过→SE800分配用户地址→用户获得地址），从以上流程可以看出context local要实现PPPOE 的功能需要包含以下的配置内容：

1、 SE800全局下必须配置“service multiple-contexts ”以及“aaa last-resort

context local”。第一个指令允许多个context 配置在SE800上，如果没有此

命令除了context local 之外不能用命令“context contextname ”开放新的

context ；第二个命令的意思是如果用户输入的域名在SE800上找不到，那

么系统就会自动把这类用户转入到context local 中进行处理，由于当前拨

号用户不要求必须带域名，因此对于不带域名进行拨号的用户仍旧会转到

context local下进行处理。

2、 Context local中定义域名，例如“domain e”

3、 注意“interface local-loopback loopback”中要加入“ip source-address radius”

意思是把“interface local-loopback loopback ”作为同远程radius 交互的端

口。

4、 启用radius 认证功能、计费功能并规定与radius 相配合的NAS 属性，例如：

认证功能的相关配置：

aaa authentication subscriber radius none

radius server 61.156.13.83 encrypted-key 216AC477FBDABA3F oldports 4

radius server 61.156.10.83 encrypted-key 216AC477FBDABA3F oldports radius max-retries 3

radius algorithm first

计费功能的相关配置：

aaa accounting subscriber radius

aaa accounting suppress-acct-on-fail

radius accounting server 61.156.13.83 encrypted-key 216AC477FBDABA3F

oldports

radius accounting server 61.156.10.83 encrypted-key 216AC477FBDABA3F

oldports

与radius 相配合的NAS 属性：

radius attribute nas-ip-address interface local-loopback

radius attribute acct-session-id access-request

radius attribute nas-port format physical

radius attribute nas-port-id format all

5、 context local的QOS 配置，在此注意在context local中的QOS 是应用，例

如以下一段：

subscriber profile 1M

qos policy policing up-1M

qos policy metering 1M

以上的QOS 生效关键是要在context local 中定义具体的QOS 策略，如下所示：

qos policy 1M metering

rate 1024 burst 102400

qos policy up-1M policing

rate 1024 burst 102400

6、 配置地址池并做地址池的静态路由，把此静态路由发布到OSPF 中。实现

地址池的回路由，配置如下：

interface POOL-1 multibind

ip address 124.135.228.1/22

ip pool 124.135.228.0/22

ip route 124.135.228.0/22 null0

router ospf 100

router-id 221.2.223.42

area 0.0.0.0

interface local-loopback

passive

interface local-to-822NE5000E

network-type point-to-point

cost 50

interface local-to-842NE5000E

network-type point-to-point

5

7、 cost 50 redistribute static metric-type 1 配置分配给拨号用户的共有属性，配置如下：

subscriber default

ip address pool

ip access-group anti-virus in

dns primary 202.102.152.3

dns secondary 202.102.154.3

L2TP 业务：

此业务的实现流程为：用户通过某个VLAN 拨号（要求必须带域名）→SE800的下联端口配置了VLAN →把用户请求传送到context vpdn →context vpdn 不做认证→context vpdn 要求向远程的LNS 建立隧道→远程LNS 检查隧道名、秘匙等→通过！context vpdn建立隧道→远程LNS 与用户进行交互，从以上流程可以看出context vpdn要实现L2TP 的功能需要包含以下的配置内容：

1、 配置拨号用户的域名，例如：“domain sdticai”。域名可以配置多个。

2、 配置不同域名所属的隧道，配置如下：

l2tp-peer name l2tp-czj media udp-ip remote ip 218.57.22.92 local 221.2.223.43

function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

domain lcczj

domain LCCZJ

!

l2tp-peer name l2tp-lc-general media udp-ip remote ip 218.57.22.92 local 221.2.223.43 function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

domain yinjianju

domain YINJIANJU

!

l2tp-peer name l2tp-lc-haidalongxiang media udp-ip remote ip 218.57.22.92 local 221.2.223.43

function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

domain hdlx

domain HDLX

!

l2tp-peer name l2tp-lc-tc media udp-ip remote ip 218.57.22.92 local 221.2.223.43 function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

6

domain lcsy

domain lcyc

domain taikanglife

domain ncljn

domain tiyucaipiao

domain LCSY

domain LCYC

domain TAIKANGLIFE

domain NCLJN

domain TIYUCAIPIAO

!

l2tp-peer name l2tp-sdcz media udp-ip remote ip 218.57.22.92 local 221.2.223.43 function lac-only

local-name l2tp-lc-bsn

tunnel-auth key sdvpdn

domain sdcz

domain SDCZ

!

l2tp-peer name l2tp-sdticai media udp-ip remote ip 202.102.170.132 local 221.2.223.43

local-name sd-lac

function lac-only

tunnel-auth key 24467766

domain sdticai

domain SDTICAI

!

l2tp-peer name lc-jnlns1 media udp-ip remote ip 218.57.22.17 local 221.2.223.43 function lac-only

local-name lc-jnlns1

domain green

domain sdny

domain GREEN

domain SDNY

在此注意每个隧道的隧道名称、LNS 地址、LAC 的地址要保持一致、秘匙、以及local name的名称。

BGP/MPLS VPN业务：

此业务的配置比较复杂，分为2大部分。第一个部分是在context local中配置的，包括MPLS 的应用、LDP 的应用以及MP-BGP 的应用，其作用是实现PE-PE 、PE-P 之间的IBGP 邻接，其address-family 地址族为ipv4 vpn ；第二个部分是针对具体用户建立具体的context ，其主要作用是：1、对P 路由器转发的ipv4-vpn 的路由通过RT 标识进行识别2、把ipv4-vpn 的路由转换为普通的ipv4与用户交互3、把用户的路由发送到MP-BGP 中。

7

BGP/MPLS VPN的连接结构如下：

BGP/MPLS VPN的逻辑结构：

RT ：23003:1

RT ：23003:1 RT ：23003:1

context local中的配置：

router mpls

interface local-to-822NE5000E

8

interface local-to-842NE5000E

!

router ldp

interface local-to-822NE5000E

interface local-to-842NE5000E

!

router bgp 65039

router-id 221.2.223.42

!

peer-group lc-mpls internal

update-source local-loopback

next-hop-self

no address-family ipv4 unicast

address-family ipv4 vpn

!

neighbor 221.2.223.1 internal

peer-group lc-mpls

!

neighbor 221.2.223.2 internal

peer-group lc-mpls

此配置是所有VPRN 用户的基础，一旦配置完成测试没有问题今天将不会改动。查看配置是否正确用以下几条命令：

show ldp nei 输出：

[local]LC_R_832_SE800#sh ldp nei

PeerFlags: A - LocalActiveOpen, D - Deleted, R - Reseting, E - OpenExtraDelay

N - OpenNoDelay, P - SetMD5Passwd, T - RetainRoute, F - FlushState X - ExplicitNullEnabled, C - ExplicitNullStatusChanging

G - Graceful Restart Supported, L - Session Life Extended

SHld - Session Holdtime Left, HHld - Hello Holdtime Left

NeighborAddr LDP Identifier State Flag SHld HHld Interface

10.253.105.33 221.2.223.1:0 Oper A 41 11 local-to-842NE5000E

10.253.105.37 221.2.223.2:0 Oper A 44 10 local-to-822NE5000E

show mpls lsp 输出包含：

[local]LC_R_832_SE800#sh mpls lsp

Codes : S - MPLS-Static, R - RSVP, L - LDP, B - BGP

Type Endpoint Direct Next-hop Out Label Adja cency Id

L 221.2.223.38/32 10.253.105.33 1048 0x300015

L 221.2.223.38/32 10.253.105.37 1106 0x230001f

9

L 221.2.223.40/32 10.253.105.33 1089 0x300019 L 221.2.223.40/32 10.253.105.37 1134 0x230001e L 221.2.223.44/32 10.253.105.33 1068 0x30001d L 221.2.223.44/32 10.253.105.37 1133 0x230001d L 221.2.223.48/32 10.253.105.33 1087 0x300017 L 221.2.223.48/32 10.253.105.37 1127 0x2300017 L 221.2.223.50/32 10.253.105.33 1034 0x300033 L 221.2.223.50/32 10.253.105.37 1031 0x2300028 L 221.2.223.52/32 10.253.105.33 1134 0x30002d L 221.2.223.52/32 10.253.105.37 1102 0x2300038 L 221.2.223.54/32 10.253.105.33 1126 0x300027 L 221.2.223.54/32 10.253.105.37 1091 0x230002d L 221.2.223.56/32 10.253.105.33 1102 0x300021 L 221.2.223.56/32 10.253.105.37 1048 0x2300022 L 221.2.223.58/32 10.253.105.33 1106 0x300031 L 221.2.223.58/32 10.253.105.37 1052 0x2300027 L 221.2.223.60/32 10.253.105.33 1128 0x300029 L 221.2.223.60/32 10.253.105.37 1097 0x2300032

Show bgp route ipv4 vpn 输出：

[local]LC_R_832_SE800#sh bgp route ipv4 vpn

Address Family: ipv4 vpn

BGP table version is 356787, local router ID is 221.2.223.42

Status codes: d damped, h history, > best, i internal

Origin codes: i - IGP, e - EGP, ? - incomplete

VPN RD: 65039:23003

Network Next Hop Metric LocPrf Weight Path >i 0.0.0.0/0 221.2.223.38 0 100 100 ? i 221.2.223.38 0 100 100 ? >i 10.10.32.0/24 221.2.223.38 0 100 100 ? i 221.2.223.38 0 100 100 ? >i 10.10.33.0/24 221.2.223.38 0 100 100 ? i 221.2.223.38 0 100 100 ? >i 10.10.34.0/23 221.2.223.40 0 100 100 ? i 221.2.223.40 0 100 100 ? > 10.10.36.0/23 0.0.0.0 0 100 32768 ? >i 10.10.38.0/23 221.2.223.44 0 100 100 ? i 221.2.223.44 0 100 100 ? >i 10.10.42.0/23 221.2.223.48 0 100 100 ? i 221.2.223.48 0 100 100 ? >i 10.10.44.0/23 221.2.223.50 0 100 100 ? i 221.2.223.50 0 100 100 ?

10