百度回应质疑：防御1Tbps DDoS攻击流量是如何做到的？ - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
百度回应质疑：防御1Tbps DDoS攻击流量是如何做到的？
共482483人围观
，发现 27 个不明物体
1Tbps流量——83个春运期间12306官网最高峰值带宽流量；足够让一座城市断网好几次……
当大流量攻击来袭，网站该如何应对？在9.17日百度云安全用一场DDoS攻防实战演练，形象、直观地告诉了我们答案。
不少来自安全圈、IT界的怀疑声音：这么大的流量，是从哪来的？目前全球最高的抗D记录也不过400多G，百度这次声称的流量是真实的吗，攻击的手段是足够“专业”的吗？……
类似的疑问还有很多。
我们就通过技术解析来阐释，百度云安全是如何做到1Tbps压制能力的？
问题一：现场演练中1Tbps攻击流量是怎么来的？
本次演练以流量攻击为主，同时混合了数十万QPS的CC攻击。整个演练过程中模拟了多种专业手段，包括流量攻击与应用层攻击，从强度上也模拟攻击流量不断攀升、波动、区域流量变动、巨大流量突袭等各种形式。让这些攻击特征混在一起，并且在短短的几分钟内呈现出来，的确不是件容易的事情。为此，百度和合作伙伴们一起，确实下了很大功夫。&
为了确保攻击流量“货真价实”， 首先必须要验证合作伙伴乐视云提供的不同服务器的实际发包能力，调试控制不同时间段的发包幅度，并且汇总整体发包数量级，验证流量到达目标的比例等。为此，我们分机房、分比例在指定设备上做测试，分析10%、20%、30%等不同发送流量条件下的攻击流量形态。&
起初我们想偷懒，攻防演练计划以UDP Flood流量型攻击为主（我们听说过的攻击流量最大的几次攻击都是UDP Flood类型的，例如NTP反射），混合10%的SYN Flood流量型攻击。这样做的好处是防御起来相对简单。但是，通过多次调试，我们发现乐视云网络有安全策略，禁止大量发送UDP。在不方便调整乐视网络安全策略的情况下，我们“被迫”采用全SYN Flood流量型攻击，同时混合50万QPS的CC攻击。这对整个攻防演练的防御增加了不少压力。
在正式演练的前一周里，云加速和乐视云的工程师一起熬过了很多不眠之夜，不断调试国内及海外各个机房及服务器集群的发包比例、发包强度，了解每一个机房发出的流量，与能到达演练目标的数量级的关系。最后，我们集结了国内及海外总计127个机房的586台服务器（其中144台是万兆网卡、其余的为双千兆或4千兆网卡），成功地发出了1.4T以上的攻击流量，攻击流量分别覆盖了电信、联通和海外多条线路。&
云加速与乐视云的技术团队，反复尝试了数百次各种攻击手段和流量组合，并制定了精确的攻击演习方案，经过反复修改后形成了自动化的控制脚本。最终，现场演习期间的流量攻击全部通过部署在乐视云全球各个机房服务器上面的自动化控制脚本来精确的完成。小伙伴们纷纷表示，想要干『黑产』做攻击也不是那么容易的。
问题二：百度是如何构建1Tbps防御能力的ADN的？
&在整个攻防演练过程中，最大的技术亮点是单IP 1Tbps的ADN（抗DDoS流量压制网络）。百度云加速是如何做到的？
事实上，针对国内网络环境的特殊情况，安全业界针对DDoS这一行业难题，也曾经有过多种尝试。最早，业界的抗DDoS解决方案是采用硬件设备来清洗流量，业内通常称为ADS（Anti DDoS System）。安全宝最早在中国提出ADC（抗DDoS中心）概念，即用户无需自己购买庞大的带宽储备和昂贵的ADS设备，而是直接租用ADC的防御能力。
众所周知，由于运营商的限制，Anycast技术目前在国内基本没有大规模商用的可能。百度云加速分布式的超级节点对于CDN效果有很大帮助，但虽然这些节点汇总在一起有巨大的带宽，从DDoS攻击清洗的角度看却没有实质意义。这是因为，只有最大节点所拥有的可用带宽才是其防御能力，因此若想清洗1Tb级别的攻击流量，除了建设巨大带宽储备的ADC节点外，也必须在大网层面有相应的手段去支撑。
同时，即使有如此强大的资源和手段，还必须要保证针对复杂混合型攻击特征的准确识别以及清洗效果，这是确保攻击清洗过程中用户实际访问体验的关键因素。&
为了解决这一系列技术难题，百度云加速本次发布会上发布了ADN（Anti DDoS Network），即不但加强自身ADC建设，更重视与合作伙伴共同构建全球合作的防御体系，继续领导DDoS防御领域的发展方向。
随着攻击流量的国际化，防御也必须网络化和全球化。必须引入更多的合作伙伴来共同打造一个完整的防御系统，而不是所有事情自己解决。于是，云加速在防御体系中邀请了电信云堤和CloudFlare，并且与他们一起逐渐勾勒出了整体技术架构，也就是今天我们看到的，具备防御1Tbps DDoS攻击能力的ADN技术方案。&
目前国内有三大流量途径：电信、联通和海外。网站用户通常为了让各条线路的访问速度达到最快，会对自己的网站做分线路的解析。攻击者发起攻击时也同样不会是从单点发起攻击，其发起攻击的“肉鸡”服务器也是遍布全球。如果“肉鸡”依据域名解析实施攻击，则会被三条线路分担流量。在这种情况下，我们通过电信节点来分担电信过来的攻击流量和请求；通过CloudFlare遍布全球的Anycast节点，来分担海外的攻击流量和请求。目前业内能够实现全球防御部署能力的只有百度云加速。
然而，只要攻击没有停止，防御就没有结束。
攻击者的最终目标是让服务器宕机，当他发现攻击没有持续有效时，会进一步分析线路关系，最终定位到一个关键节点上，实施关键节点逐个击破的策略。如果定位到海外，那就让CloudFlare的Anycast节点去消化这些攻击流量；如果是定位到国内，在我们没有Anycast的情况下，需要百度去建立一个远远大于普通CDN节点的“阿尔法”级别的超级抗攻击节点。然而目前城域网能够支撑的出口流量只有几百G，还不足以满足Tbps级别的压制能力。在引入了电信云堤后，这个问题也有了明确的解决思路：通过云堤提供的近源压制策略，在运营商层面使用路由黑洞技术，在各个跨网的关键点上消灭到指定目标的非电信流量。这样一来，我们就可以只建立一个“阿尔法”级ADC即可。事实上，百度也的确在上海电信建成了一个这样带宽高达数百G的“阿尔法”级ADC。
以上这些策略，让我们具备了足以支撑整个抗攻击系统具有1Tbps的清洗能力。
也许有同学会产生疑问：有攻击的时候全扔海外去啊？虽然这样的方式看起来貌似比较简单，但事实上却会大大影响国内用户访问该网站的速度和质量。同时，如果攻击流量也跟随DNS解析到海外，很有可能会造成国际出口带宽的堵塞。通过高质量的抗攻击服务为用户提供更好的安全防护服务，也就成了一句空话。&
基于上述考虑，百度云加速抗攻击系统采用“替身式”防御：
网络层的攻击流量全部会在抗攻击节点上清洗掉，不让攻击流量透到源站；ADN采用两层交换机IP Hash分发机制，建立多个集群去分担流量，实现了流量的负载均衡，极大的保障了服务的高可用性及灵活的扩展性。同时，每个集群内部还有备用机组，采用IP漂移技术，针对有故障的设备，备用机会实时切换接管服务，在保障IP Hash一致性的前提下实现了高可靠性。在攻击流量检测和清洗方面，百度云加速抗攻击系统采用流量指纹模型，实现秒级告警和毫秒级清洗能力。在清洗的方式上，区别于传统的SYN-Proxy模式，百度云加速抗攻击系统建立了IP跟踪定位模型，结合IP白名单、IP线路属性等特征进行甄别，因此在防御DDoS攻击过程中，不影响正常用户的正常访问。
在应用层防御方面，百度云加速的“阿尔法”级ADC实现了高效的源站保护模型，分层清洗CC流量，保障源站服务的持续可用。在这个过程中，所有的CC攻击IP都会被一一定位成功。源站带宽是第一保护对象，确保源站可以正常服务；第二保护对象是节点自身，在攻击流量清洗过程中，会对部分CC攻击IP实施网络层的拦截，降低CC攻击占用带宽。
百度ADN产品架构&
问题三：与真实攻击有区别吗？
当然有！最大的区别是真实攻击我们不知道什么时候会发生，必须有一个机制监测流量并快速做出响应，而攻防演练是知道攻击将要发生的。心里上的差别对于像云加速这样天天帮用户防御攻击的团队影响不大，但不经常遇到这种情况的用户可能就会惊慌。
另一个区别是真实攻击通常会直接打到某一个级别的流量，如果无法成功就直接跳到下一个级别，没有中间过程。而演练由于不确定防御能力的实际效果，也为了让观众看清楚流量的增长，拉长了中间过程。
虽然现场演练的持续时间只有几分钟，但是现场震撼的效果背后，是百度云加速与合作伙伴的工程师辛苦的付出，在百度云加速一直对抗攻击技术孜孜不倦的追求和持续积累的基础上，又花了几个月的时间进行了技术提升和合作协调，并且在演练前的几天进行了密集的训练和讨论，这才保证了这场攻防演练的成功。
*作者：百度云安全，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）
50W QPS的CC，再加上SYN flood，流量能到1.4T，也就是说，所有的SYN 包 playload都满了，这特征.......，OK，我们看看文中吹的牛逼。我们设 乐视云有127个机房，一共打出 1.4T流量，1.4T／127 ＝ 12 G。请问乐视云还干活运营么？好吧，乐视云每个机房20G宽带吧，测试时，能干活正常运行。那我们算算乐视云多有钱。宽带价格按照阿里云计算公式：125 + (n - 5) * 80 ，20G一个月得1638125，一年按照10个月算，得1630W，100个机房那得多少呢。我读书少，算不出来。另外请问大牛们一个问题。我家宽带2M小水龙头，电脑NB，有 4块intel千兆网卡，使用DPDK从网卡向某度发出4G流量，请问这个攻击牛逼么，能打残1s么。
AMD(R)Zen.Team.com.org.cn.net/lo...
这B装的不错,我给1分.
必须您当前尚未登录。
必须（保密）
百度云安全部官方
关注我们 分享每日精选文章
blackscreen
可以给我们打个分吗？您需要通过验证再能继续浏览 3秒后开始验证
丨 粤ICP备号-10 丨 新三板上市公司威锋科技（836555）
增值电信业务经营许可证：
Powered by Discuz!
(C) Joyslink Inc. All rights reserved 保留所有权利您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
电信网络异常流量检测与控制技术要求.pdf 25页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
你可能关注的文档：
··········
··········
中华人民共和国 通信 行业标准
YD/T XXXXX—2012
电信网络异常流量检测与控制技术要求
Abnormal Traffic Detection and Control Guideline for Telecommunication Network
XXXX - XX - XX 发布
XXXX - XX - XX 实施
文中华人民共和国工业和信息化部 发 布
XX/T XXXXX—XXXX
2 规范性引用文件
3 术语和定义 1
4 缩略语 1
5 异常流量对电信网络的影响
5.1 概述 2
5.2 影响网络可用性
5.3 影响业务质量
5.4 影响业务收入
5.5 影响用户感受
6 异常流量检测技术 3
6.1 检测算法 3
6.2 检测方式 4
7 异常流量控制技术 4
7.1 控制方式
7.2 控制粒度
8 监控系统部署模式
8.1 独立清洗部署模式
8.2 采样清洗部署模式
正在加载中，请稍后...拒绝访问 | www.idc889.com | 百度云加速
请打开cookies.
此网站 (www.idc889.com) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(40f7d827cac78baa-ua98).
重新安装浏览器，或使用别的浏览器当前位置： >>
sjzl-ZXR10 T600T1200 (V2.8.22) 电信级高端路由器 用户手册(BRAS业务分册)
ZXR10 T600/T1200电信级高端路由器用户手册BRAS业务分册产品版本：2.8.22中兴通讯股份有限公司 地址：深圳市高新技术产业园科技南路中兴通讯大厦 邮编：518057 电话：(86) 755 -830-1118 传真：(86) 755
技术支持网站：http://support.zte.com.cn 电子邮件：.cn法律声明本资料著作权属中兴通讯股份有限公司所有。未经著作权人书面许可，任何单位或个人不得以任何方 式摘录、复制或翻译。 侵权必究。 “ZTE”和“ZTE中兴”是中兴通讯股份有限公司的注册商标。中兴通讯产品的名称和标志是中兴通 讯的专有标志或注册商标。在本手册中提及的其他产品或公司的名称可能是其各自所有者的商标或商 名。在未经中兴通讯或第三方商标或商名所有者事先书面同意的情况下，本手册不以任何方式授予阅 读者任何使用本手册上出现的任何标记的许可或权利。 本产品符合关于环境保护和人身安全方面的设计要求，产品的存放、使用和弃置应遵照产品手册、相 关合同或相关国法律、法规的要求进行。 如果本产品进行改进或技术变更，恕不另行专门通知。 当出现产品改进或者技术变更时，您可以通过中兴通讯技术支持网站http://support.zte.com.cn查询有关 信息。修订历史资料版本 2.8.22 修订日期
修订原因 版本第一次发布资料编号：sjzl 发布日期：目录1 安 全 说 明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-11.1 安全说明 ............................................................................................................1-1 1.2 符号说明 ............................................................................................................1-1BRAS服 2 BRAS 服务 概 述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-12.1 BRAS业务概述 ...................................................................................................2-1 2.2 BRAS中的基本概念 ............................................................................................2-2 2.2.1 虚拟路由域（VRF） .................................................................................2-2 2.2.2 虚拟路由器（VR） ...................................................................................2-2 2.2.3 管理域（DOMAIN） ................................................................................2-2 2.2.4 BRAS虚拟用户侧接口（VBUI） ................................................................2-3 2.2.5 用户 .........................................................................................................2-3 2.2.6 活动用户 ..................................................................................................2-3 2.2.7 端口 .........................................................................................................2-3 2.2.8 电路 .........................................................................................................2-3 2.2.9 绑定 .........................................................................................................2-3 2.2.10 对象间关系说明 ......................................................................................2-43 配 置 接 口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-13.1 物理接口配置 .....................................................................................................3-1 3.1.1 物理接口简介 ...........................................................................................3-1 3.1.2 配置物理接口 ...........................................................................................3-1 3.1.3 物理接口配置实例 ....................................................................................3-3 3.2 用户侧电路接口配置 ...........................................................................................3-3 3.2.1 用户侧电路接口简介 .................................................................................3-3 3.2.2 配置用户侧电路接口 .................................................................................3-4 3.2.3 用户侧电路配置实例 .................................................................................3-7 3.3 用户VBUI接口配置 .............................................................................................3-8 3.3.1 用户VBUI接口简介 ...................................................................................3-83.3.2 配置用户VBUI接口 ...................................................................................3-8 3.3.3 用户VBUI接口配置实例 .......................................................................... 3-114 配 置 管 理 域 和 用 户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-14.1 管理域配置.........................................................................................................4-1 4.1.1 管理域简介 ...............................................................................................4-1 4.1.2 配置管理域 ...............................................................................................4-2 4.1.3 管理域配置实例 ........................................................................................4-7 4.2 域名分隔符配置..................................................................................................4-7 4.2.1 域名分隔符简介 ........................................................................................4-7 4.2.2 配置域名分隔符 ........................................................................................4-7 4.2.3 域名分隔符配置实例 .................................................................................4-8 4.3 服务控制列表（SAL）配置 .................................................................................4-8 4.3.1 服务控制列表简介 ....................................................................................4-8 4.3.2 配置服务控制列表 ....................................................................................4-8 4.3.3 服务控制列表（SAL）配置实例 ............................................................... 4-10 4.4 用户配置 .......................................................................................................... 4-10 4.4.1 用户简介 ................................................................................................ 4-10 4.4.2 配置用户 ................................................................................................ 4-10 4.4.3 用户配置实例 ......................................................................................... 4-12 4.5 域用户模板配置................................................................................................ 4-12 4.5.1 域用户模板简介 ...................................................................................... 4-12 4.5.2 配置域用户模板 ...................................................................................... 4-13 4.5.3 域用户模板配置实例 ............................................................................... 4-14PPPOE配 5 PPPOE 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-15.1 PPPoX概述 .........................................................................................................5-1 5.1.1 PPP简介 ...................................................................................................5-1 5.1.2 PPPoX的含义............................................................................................5-3 5.1.3 PPPoX的分类............................................................................................5-3 5.2 PPPoE配置 .........................................................................................................5-3 5.2.1 PPPoE简介................................................................................................5-3 5.2.2 配置PPPoE................................................................................................5-4 5.2.3 PPPoE配置实例 .........................................................................................5-55.3 PPPoEoV配置 .....................................................................................................5-7 5.3.1 PPPoEoV简介............................................................................................5-7 5.3.2 配置PPPoEoV............................................................................................5-7 5.3.3 PPPoEoV配置实例 .....................................................................................5-9IPOE配 6 IPOE 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-16.1 IPoX概述............................................................................................................6-1 6.1.1 IPoX业务的含义 .......................................................................................6-1 6.1.2 IPoX业务的分类 .......................................................................................6-1 6.2 IPoE配置 ............................................................................................................6-2 6.2.1 IPoE简介 ..................................................................................................6-2 6.2.2 配置IPoE ..................................................................................................6-2 6.2.3 IPoE配置实例 ...........................................................................................6-3 6.3 IPoEoV配置 ........................................................................................................6-4 6.3.1 IPoEoV简介 ..............................................................................................6-4 6.3.2 配置IPoEoV ..............................................................................................6-4 6.3.3 IPoEoV配置实例 .......................................................................................6-5 6.4 PoEoA配置 .........................................................................................................6-6 6.4.1 IPoEoA简介 ..............................................................................................6-6 6.4.2 配置IPoEoA ..............................................................................................6-7 6.4.3 PoEoA配置实例.........................................................................................6-8DHCP配 7 DHCP 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-17.1 DHCP简介 .........................................................................................................7-1 7.1.1 DHCP服务................................................................................................7-1 7.1.2 DHCP 服务器 ...........................................................................................7-2 7.1.3 DHCP 中继 ...............................................................................................7-4 7.2 DHCP Server配置 ................................................................................................7-6 7.2.1 DHCP Server配置简介 ...............................................................................7-6 7.2.2 配置DHCP Server ......................................................................................7-6 7.2.3 DHCP Server配置实例 ...............................................................................7-7 7.3 DHCP Relay配置.................................................................................................7-8 7.3.1 DHCP Relay配置简介 ................................................................................7-8 7.3.2 配置DHCP Relay.......................................................................................7-87.3.3 DHCP Relay配置实例 .............................................................................. 7-10 7.4 DHCP页面访问控制配置................................................................................... 7-10 7.4.1 DHCP页面访问控制简介 ......................................................................... 7-10 7.4.2 配置DHCP页面访问控制 ......................................................................... 7-11 7.4.3 DHCP页面访问控制配置实例 .................................................................. 7-17RADIUS配 8 RADIUS 配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-18.1 RADIUS简介 ......................................................................................................8-1 8.1.1 AAA .........................................................................................................8-1 8.1.2 RADIUS ...................................................................................................8-2 8.2 RADIUS认证配置 ...............................................................................................8-2 8.2.1 RADIUS认证简介 .....................................................................................8-2 8.2.2 配置RADIUS认证 .....................................................................................8-2 8.2.3 RADIUS认证配置实例 ..............................................................................8-6 8.3 RADIUS计费配置 ...............................................................................................8-7 8.3.1 RADIUS计费简介 .....................................................................................8-7 8.3.2 配置RADIUS计费 .....................................................................................8-7 8.3.3 RADIUS计费配置实例 ............................................................................ 8-11 8.4 RADIUS服务器可达性检测配置 ........................................................................ 8-12 8.4.1 RADIUS服务器可达性检测简介............................................................... 8-12 8.4.2 RADIUS服务器可达性检测...................................................................... 8-13 8.4.3 RADIUS服务器可达性配置实例............................................................... 8-13 8.5 本地授权配置 ................................................................................................... 8-14 8.5.1 RADIUS和本地混合授权简介 .................................................................. 8-14 8.5.2 配置本地授权 ......................................................................................... 8-14 8.6 RADIUS授权配置 ............................................................................................. 8-15 8.6.1 RADIUS授权简介 ................................................................................... 8-15 8.6.2 配置RADIUS授权 ................................................................................... 8-15BRAS安 9 BRAS 安全 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-19.1 BRAS安全简介 ...................................................................................................9-1 9.2 数据包限速配置..................................................................................................9-1 9.2.1 数据包限速简介 ........................................................................................9-1 9.2.2 配置数据包限速 ........................................................................................9-19.2.3 数据包限速配置实例 .................................................................................9-2 9.3 MAC地址访问控制配置 ......................................................................................9-2 9.3.1 MAC地址访问控制简介.............................................................................9-2 9.3.2 配置MAC地址访问控制.............................................................................9-2 9.3.3 MAC地址访问控制配置实例 ......................................................................9-3 9.4 PPP验证失败管理配置 ........................................................................................9-3 9.4.1 PPP验证失败管理简介 ...............................................................................9-3 9.4.2 配置PPP验证失败管理 ...............................................................................9-3 9.4.3 PPP验证失败管理配置实例 ........................................................................9-4 9.5 安全日志配置 .....................................................................................................9-4 9.5.1 安全日志简介 ...........................................................................................9-4 9.5.2 配置安全日志 ...........................................................................................9-4 9.5.3 安全日志配置实例 ....................................................................................9-5 9.6 防止IP地址欺骗配置 ...........................................................................................9-5 9.6.1 防止IP地址欺骗简介 .................................................................................9-5 9.6.2 配置防止IP地址欺骗 .................................................................................9-5 9.6.3 防止IP地址欺骗配置实例 ..........................................................................9-5BRAS其 1010 BRAS 其他 业 务 配 置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-110.1 PPP快速重拨配置............................................................................................ 10-1 10.1.1 PPP快速重拨简介 .................................................................................. 10-1 10.1.2 配置PPP快速重拨 .................................................................................. 10-1 10.1.3 PPP快速重拨配置实例 ........................................................................... 10-2 10.2 帐号共享配置 ................................................................................................. 10-2 10.2.1 帐号共享简介 ........................................................................................ 10-2 10.2.2 配置帐号共享 ........................................................................................ 10-2 10.2.3 帐号共享配置实例 ................................................................................. 10-3 10.3 断流检测配置 ................................................................................................. 10-3 10.3.1 断流检测简介 ........................................................................................ 10-3 10.3.2 配置断流检测 ........................................................................................ 10-3 10.3.3 断流检测配置实例 ................................................................................. 10-4 10.4 流量统计功能配置........................................................................................... 10-4 10.4.1 流量统计功能简介 ................................................................................. 10-410.4.2 配置流量统计功能 ................................................................................. 10-4 10.4.3 流量统计功能配置实例 .......................................................................... 10-5 10.5 指定电路接入类型配置.................................................................................... 10-5 10.5.1 指定电路接入类型简介 .......................................................................... 10-5 10.5.2 配置指定电路接入类型 .......................................................................... 10-5 10.5.3 指定电路接入类型配置实例 ................................................................... 10-5 10.6 VLAN配置 ...................................................................................................... 10-6 10.6.1 VLAN简介 ............................................................................................ 10-6 10.6.2 配置VLAN ............................................................................................ 10-6 10.6.3 VLAN配置实例 ..................................................................................... 10-7 10.7 QINQ配置 ...................................................................................................... 10-7 10.7.1 QINQ简介 ............................................................................................ 10-7 10.7.2 配置QINQ ............................................................................................ 10-7 10.7.3 QINQ配置实例 ..................................................................................... 10-8图目录 .................................................................................................... I 表 目 录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III 缩略语 ................................................................................................... V前言手册说明本手册为《ZXR10 T600/T1200（V2.8.22）电信级高端路由器用户手册BRAS分册》， 适用于ZXR10 T600/T1200（V2.8.22）电信级高端路由器（简称ZXR10 T600/T1200）。 ZXR10 T600/T1200的配套手册有：手册名称 《ZXR10 T600/T1200（V2.8.22）电信级高端路 由器硬件手册》 手册内容 介绍设备的功能、技术特性和参数、工作原 理、硬件结构、控制交换板、线路接口板、电 源模块和风扇插箱 《ZXR10 T600/T1200（V2.8.22）电信级高端路 由器硬件安装手册》 《ZXR10 T600/T1200（V2.8.22）电信级高端路 由器用户手册基本配置分册》 介绍安装工程准备、主设备安装、电源线安装、 线缆安装和硬件安装检查 介绍设备的使用和操作、系统管理、CLI权限分 级配置、各类端口配置、网络协议配置、DHCP 配置、VRRP配置、ACL配置、URPF配置、 防DoS攻击配置、TACACS+配置、QoS配置、 H-QoS配置、网络管理配置、PPP配置 《ZXR10 T600/T1200（V2.8.22）电信级高端路 由器用户手册路由分册》 《ZXR10 T600/T1200（V2.8.22）电信级高端路 由器用户手册IPv6分册》 介绍静态路由配置、RIP配置、OSPF配置、IS-IS 配置、BGP配置、负荷分担配置和组播路由配置 介绍IPv6地址配置、IPv6邻居发现协议配置、 IPv6隧道配置、IPv6静态路由配置、RIPng配 置、OSPFv3配置、IS-ISv6配置和BGP4+配置 《ZXR10 T600/T1200（V2.8.22）电信级高端路 由器用户手册BRAS分册》 介绍BRAS服务概述、PPPoE配置、IPoE配置、 DHCP配置、RADIUS配置、BRAS安全配置、 BRAS其他业务配置 《ZXR10 T600/T1200（V2.8.22）电信级高端路 由器用户手册MPLS分册》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）命令索引分册》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）IPv6分册》 介绍了MPLS基本配置、MPLS二层、三层VPN 配置、MPLS流量工程配置、MPLS负荷分担配置 介绍ZXR10路由器/以太网交换机每条命令对应 的分册、章节 介绍ZXR10路由器/以太网交换机与IPv6相关 的命令手册名称 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）IP路由分册一》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）IP路由分册二》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）MPLS分册》 《ZXR10路由器/以太网交换机命令手册 （V4.8.22）QoS分册》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）安全分册》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）基本配置分册一》手册内容 介绍ZXR10路由器/以太网交换机与RIP、OSPF 和IS-IS路由协议相关的命令 介绍ZXR10路由器/以太网交换机与BGP路由协 议、路由映射和路由策略相关的命令 介绍ZXR10路由器/以太网交换机与MPLS相关 的命令 介绍ZXR10路由器/以太网交换机与QoS相关 的命令 介绍ZXR10路由器/以太网交换机与网络安全 相关的命令 介绍ZXR10路由器/以太网交换机与系统管理、 文件管理、用户界面、日志统计、FTP/TFTP服 务器和IPv4基础协议相关的命令《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）基本配置分册二》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）基本配置分册三》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）网络管理分册》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）以太网交换分册》介绍ZXR10路由器/以太网交换机与接口配置、 DHCP和VRRP相关的命令 介绍ZXR10路由器/以太网交换机与NAT、Time Range、堆叠和DEBUG调试相关的命令 介绍ZXR10路由器/以太网交换机与网络管理 相关的命令 介绍ZXR10路由器/以太网交换机与MAC、 VLAN、SuperVLAN、STP、链路聚合、VBAS、 MAC PING和UDLD相关的命令《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）语音视频分册》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）远程接入分册》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）组播分册》 《ZXR10 路由器/以太网交换机命令手册 （V4.8.22）BRAS分册》介绍ZXR10路由器/以太网交换机与VOIP和 IPTV相关的命令 介绍ZXR10路由器/以太网交换机与远程接入 相关的命令 介绍ZXR10路由器/以太网交换机与组播协议 相关的命令 介绍ZXR10路由器/以太网交换机与BRAS业务 相关的命令ZXR10 T600/T1200（V2.8.22）电信级高端路由器支持的命令是基于统一平台ZXROS V4.8.22版本。内容介绍本手册的章节名及其概要如下：章名 第1章 安全说明 第2章 BRAS服务概述 第3章 配置接口 第4章 配置管理域和用户 第5章 PPPoE配置 第6章 IPoE配置 第7章 DHCP配置 第8章 RADIUS配置 第9章 BRAS安全配置 第10章 BRAS其他业务配置 缩略语 概要 本章介绍了手册相关安全说明 本章介绍了BRAS业务，BRAS中的基本概念 本章介绍了BRAS业务接口在ZXR10 T600/T1200上的相关配置 本章介绍了管理域和用户在ZXR10 T600/T1200上的相关配置 本章介绍了PPPoE及在ZXR10 T600/T1200上的相关配置 本章介绍了IPoE及在ZXR10 T600/T1200上的相关配置 本章介绍了DHCP协议及在ZXR10 T600/T1200上的相关配置 本章介绍了RADIUS及在ZXR10 T600/T1200上的相关配置 本章介绍了BRAS的安全问题及在ZXR10 T600/T1200上的相关配置 本章介绍了BRAS其他业务及在ZXR10 T600/T1200上的相关配置 列举了本手册中常见的缩略语
11.1 安全说明安全说明本章包含如下主题： ? 安全说明 ? 符号说明 1-1 1-1本设备中存在高温和高压，只有经过培训合格的专业人员才能进行安装、操作和维护。 在设备安装、操作和维护中，必须遵守所在地的安全规范和相关操作规程，否则可能会 导致人身伤害或设备损坏。手册中提到的安全注意事项只作为当地安全规范的补充。 中兴通讯不承担任何因违反通用安全操作要求或违反设计、生产和使用设备安全标准而 造成的责任。1.2 符号说明对ZXR10 T600/T1200进行配置操作时需要注意的一些内容，采用如下格式进行说明。注意： 配置操作注意事项。说明： 配置操作的说明。1-1
2BRAS服务概述本章包含如下主题： ? BRAS业务概述 ? BRAS中的基本概念 2-1 2-22.1 BRAS业务概述由于Internet用户爆炸性增长和多媒体业务应用的不断深入，使得整个通信行业发生了翻 天覆地的变化，出现了各种宽带接入技术，同时网络业务也由简单的窄带话音业务发展 到宽带的数据业务。Internet带宽的增加及广泛应用使得IP通信量在不远的将来会远远超 过话音业务收入。 在这种情况下，保障用户的带宽、提高网络安全、达到电信网所要求的故障检测和性能 检测能力是宽带接入设备需要迫切解决的问题。用户对网络带宽、服务和计费方式提出 了比以往更高的要求。为了适应整个社会因特网经济发展的趋势，满足用户的需求，网 络运营商在使用新的技术提高网络带宽的同时，更需要提高对网络的管理，使网上运行 设备具有快速的业务投放和灵活的用户管理能力。此时，服务运营商选择网上宽带运行 设备的具体要求为：用户所需业务的提供方式要简单、高效；用户业务汇聚容易；对于 用户群拓展和业务投放策略能够进行有效的控制。 ZXR10 T600/T1200电信级宽带接入服务器（简称ZXR10 T600/T1200、UAS或BRAS）就 是针对目前中国的宽带网络建设所面临的问题而设计的，可以满足网络运营商对网络更 高层次管理的要求，同时可以有效地向用户提供综合型宽带数据业务，从而为运营商提 供高度可拓展的面向业务的解决方案，使IP网成为一个可运营、可管理的电信网络。另 外，ZXR10 T600/T1200可以使网络运营商具有以简单快速的方式向客户提供高附加值业 务的能力。 BRAS设备主要提供用户接入以及对DSL用户的计费、后台管理等功能（BRAS连接Radius 服务器、用户数据库服务器）。ZXR10 T600/T1200设备就是一种具有路由功能的BRAS 设备。ZXR10 T600/T1200应用于骨干网的边缘层或城域网的汇聚层；提供大量宽带用 户的接入，易于快速扩容和增加新功能，可支持ADSL、LAN、无线接入等多种接入方 式，满足各种不同类型的运营商和服务提供商的需要。具有简单、高效、统一的用户管2-1ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册理模式，提供灵活的多种认证、计费和管理方法。此外，支持IP VPN服务、构建企业内 部Intranet、支持ISP向用户批发业务等应用。2.2 BRAS中的基本概念为了便于理解，这里先介绍ZXR10 T600/T1200中BRAS业务的一些基本概念。2.2.1 虚拟路由域（VRF）VRF代表一个私有IP路由域，使用VPN ID进行标识。在VPN中，每一个VRF可以看作虚 拟的路由器，好像是一台专用的PE设备。虚拟路由器包括如下元素：l l l一张独立的路由表，当然也包括了独立的地址空间。 一组归属于这个VRF的接口的集合。 一组只用于本VRF的路由协议。对于每个PE，可以维护一个或多个VRF，同时维护一个公网的路由表（也叫全局路由 表），多个VRF实例相互分离独立。2.2.2 虚拟路由器（VR）在一个路由器中存在多个以VRF方式存在的私有路由域，每个VRF都存在独立的IP路由 表，互相独立，相当于在一个路由器中存在多个虚拟路由器（VR）。在系统初始化的时 候，系统缺省存在一个全局IP路由域。2.2.3 管理域（DOMAIN）管理域是一个BRAS业务管理特性的集合，具有自己的AAA（认证/授权/计费）体系、合 法的用户群体及其他业务管理策略。 BRAS业务系统采用管理域方式规划用户群，每个管理域可以拥有自己的资源和配置， 主要包括：l l l l l l l l别名：识别用户群 域最大用户数 认证、计费方式 认证、计费服务器组关联 用户缺省模版 关联的VRF 电路认证 混合授权2-22 BRAS 服 务 概 述l l l快速重拨 账号共享 时间段管理2.2.4 BRAS虚拟用户侧接口（VBUI）VBUI是一个IP协议栈三层逻辑接口，只用于BRAS业务。每个VBUI接口可以配置IP地址 /子网掩码、地址池、DNS服务器、ACL参数关联等配置。VBUI支持与多个物理电路进 行一对多的关联。2.2.5 用户用户表示在业务服务和管理实体中可以接入的合法用户。每一个合法用户都有自己的属 性，代表个性化的业务信息，包括配置名字、口令、IP地址或地址分配策略、QoS参数、 ACL参数、MAC信息、电路信息等。2.2.6 活动用户活动用户和用户概念相对应，活动用户是一个动态概念，记录了一个用户接入动态过程 的全部信息，其生命周期就是用户接入的开始和结束。2.2.7 端口端口就是一个实际的物理接口，在BRAS业务中需要对各个端口的接入用户数量进行限 制。2.2.8 电路电路又称虚电路，代表一个逻辑电路，包括DOT1Q VLAN、ATM PVC、没有DOT1Q封 装的以太网端口等。2.2.9 绑定电路、PPP链路只有和VBUI绑定，该电路上的用户才能接入到相应的业务网络，得到相 应的业务服务。绑定体现了接入的概念，这是BRAS业务模型中最核心的概念。 具体应用分成静态绑定和动态绑定两种：l静态绑定 绑定关系可以静态直接指定。l动态绑定 根据用户链路分配到的IP地址（PPP协议），由系统找到对应的接口，从而确定电路 和接口之间的关系。2-3ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册2.2.10 对象间关系说明ZXR10 T600/T1200对象间关系如图2-1所示。图2-1 对象间关系说明2-43配置接口本章包含如下主题： ? 物理接口配置 ? 用户侧电路接口配置 ? 用户VBUI接口配置 3-1 3-3 3-83.1 物理接口配置3.1.1 物理接口简介物理接口是实际存在的接口，如局域网的以太网接口、广域网的POS接口、ATM接口、 CP3接口。3.1.2 配置物理接口配置内容简介配置物理接口包括以下内容：l l l l l使能接口 配置接口与VRF关联 配置接口IP地址 配置接口速率 配置接口双工模式使能接口步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port& ZXR10(config-if)#no shutdown功能 进入配置模式 进入接口模式 使能接口 3-1ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册配置接口与VRF关联步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port& ZXR10(config-if)#ip vrf forwarding & vrf-name&功能 进入配置模式 进入接口模式 配置接口与vrf关联配置接口IP地址步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port& ZXR10(config-if)#ip address & ip-address& & net-mask&功能 进入配置模式 进入配置模式 配置接口ip地址配置接口速率步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port& ZXR10(config-if)#speed { 10| 100| 1000}功能 进入配置模式 进入配置模式 配置接口速率说明： BUIX下不支持该命令。配置接口双工模式步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port& ZXR10(config-if)#duplex { half | full}功能 进入配置模式 进入配置模式 配置接口双工模式3-23 配置接口说明： BUIX下不支持该命令。3.1.3 物理接口配置实例物理接口配置实例如下：ZXR10#configure terminalZXR10(config)#interface fei_1/2 ZXR10(config-if)#no shutdown ZXR10(config-if)#ip address 10.61.86.88 255.0.0.0 ZXR10(config-if)#speed 100 ZXR10(config-if)#duplex full /*察看接口信息*/ ZXR10(config)#show ip interface fei_1/2 fei_1/2 AdminStatus is up, PhyStatus is up, line protocol is upInternet address is 10.61.86.88/8 Broadcast address is 255.255.255.255 MTU is 1500 bytes ICMP unreachables are always sent ICMP redirects replies are always sent Policy routing is disabled Inbound access list is not set Outgoing access list is not set 0 unicast RPF ACL drop 0 unicast RPF All drop ARP Timeout: 00:10:00 ZXR10(config)#3.2 用户侧电路接口配置3.2.1 用户侧电路接口简介用户侧电路是指与用户端连接的逻辑电路。ZXR10 T600/T1200是基于路由器之上的宽 带接入服务器，本身没有用户侧电路，为了与物理接口区分，采用子接口+bras的方式表 示用户侧电路。。3-3ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册3.2.2 配置用户侧电路接口配置内容简介配置用户侧电路接口包括以下内容：l l l l l l l l l l l l配置用户接入方式 创建PVC 配置PPP封装的电路绑定到使用PPP认证协议的接口上 在一个多封装的电路或以太网接口上指定多绑定 把电路静态绑定到VBUI接口上 为新建的以太网接口添加vlan-id 配置本端口下的DSLAM所在的VLAN和MAC地址 配置BRAS业务接口封装方式 配置用户定位 配置电路接口描述 配置QinQ封装模式下外层VLAN标签的TPID 配置TELNET登录时采用的用户认证方式配置用户接入方式步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#access-type { async | sync | isdn-sync功能 进入配置模式 进入电路接口模式 配置用户接入方式| isdn-async-v120 | isdn-async-v110 | virtual | piafs | hdlc-clear-channel | x25 | x75 | g3fax | sdsl | adsl-cap | adsl-dmt | idsl | ethernet | xdsl | cable | wireless | wireless ieee802-11}创建PVC步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#atm pvc & vpi& & vci&功能 进入配置模式 进入电路接口模式 创建pvc 3-43 配置接口配置PPP封装的电路绑定到使用PPP认证协议的接口上步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#bind authentication { chap | chap-pap | pap功能 进入配置模式 进入电路接口模式 配置PPP封装的电路绑定到使用PPP 认证协议的接口上} [ maximum & numbers& ]在一个多封装的电路或以太网接口上指定多绑定步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#bind multi vbui & VBUI-interface&功能 进入配置模式 进入电路接口模式 配置多绑定authentication { chap | chap-pap | pap } [ maximum & numbers& ]把电路静态绑定到VBUI接口上步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#bind vbui & VBUI-interface& [ maximum &功能 进入配置模式 进入电路接口模式 配置静态绑定numbers& ]为新建的以太网接口添加vlan-id步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#dot1q { & vlan-id & | none }功能 进入配置模式 进入电路接口模式 添加 vlan-id配置本端口下的DSLAM所在的VLAN和MAC地址步骤 1 命令ZXR10#configure terminal功能 进入配置模式 3-5ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册步骤 2 3命令ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#dslam & dslam-name& & vlan-id& &功能 进入电路接口模式 配置本端口下的DSLAM所在的VLAN 和MAC地址vlan-mac-address &配置BRAS业务接口封装方式步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#encapsulation & type&功能 进入配置模式 进入电路接口模式 配置封装方式配置用户定位步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#subscriber location & location&功能 进入配置模式 进入电路接口模式 配置用户定位配置电路接口描述步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#description & string&功能 进入配置模式 进入电路接口模式 配置电路接口描述配置QinQ封装方式下外层VLAN标签的TPID步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot| port.subinterface& bras ZXR10(config-subif)#tpid & 0xHHHH&功能 进入配置模式 进入电路接口模式 配置外层标签的TPID3-63 配置接口配置TELNET登录时采用的用户认证方式步骤 1 2 命令ZXR10#configure terminal ZXR10(config)#user-authentication-type { local | radius & 1~2000&功能 进入配置模式 配置TELNET登录时采用的用户认 证方式[ chap| pap] }3.2.3 用户侧电路配置实例用户侧电路配置实例如下：ZXR10#configure terminalZXR10(config)#interface fei_1/1.1 bras ZXR10(config-subif)#encapsulation multi ZXR10(config-subif)#bind multi vbui vbui1 authentication chap-pap ZXR10(config-subif)#subscriber location dhcp-option82 /*按照option82协议定位用户*/ ZXR10(config-subif)# description zte ZXR10(config-subif)# end ZXR10(config)#show int fei_1/1.1 fei_1/1.1 is up, /*查看子接口配置信息*/line protocol is upDescription is zte Keepalive set:0 sec MAC address is 00d0.d0c0.0c80 The port is electric Duplex half access-type ethernet encapsulation multi bind multi vbui vbui1 authentication chap-pap maximum 8000 ppp idle interval 5 traffic-limit 0 ppp keepalive timer 1 count 10 ARP Timeout:00:00:00 Internet address is unassigned MTU 1500 bytes MRU 1500 bytes ZXR10(config)# BW 10000 Kbits3-7ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册3.3 用户VBUI接口配置3.3.1 用户VBUI接口简介用户VBUI配置包括用户VBUI接口的IP地址，用户使用的地址池，用户使用的DNS等信 息。 下连设备向ZXR10 T600/T1200发送的DHCP包中带有option60属性，一般含有用户名和 口令，可以作开机认证用。ZXR10 T600/T1200在用户上线时根据option60的值来认证用 户，决定是否允许用户上线。 ZXR10 T600/T1200与用户不是直接相连，中间经过DSLAM等设备，为了获得用户的定 位信息，ZXR10 T600/T1200与下接设备间运行VBAS或option82，ZXR10 T600/T1200对 用户上来包中的定位字段进行解析，获得用户定位信息。3.3.2 配置用户VBUI接口配置内容简介配置用户VBUI接口包括以下内容：l l l l l l l l l l l设置ARP表老化时间 配置识别option60 配置信任option82 监控用户idle时间 配置vbui接口地址 配置IP地址池 配置DNS 配置用户开机获取地址阶段就进行认证 配置DHCP接入异常掉线检测 配置强制WEB认证 配置指定WEB服务器设置ARP表老化时间步骤 1 2 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface &功能 进入配置模式 进入配置模式3-83 配置接口步骤 3命令ZXR10(config-if)#arp timeout & seconds&功能 配置arp老化时间配置识别option60步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#dhcp option60功能 进入配置模式 进入配置模式 配置识别option60配置信任option82步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#dhcp trust-option82功能 进入配置模式 进入配置模式 配置信任option82监控DHCP用户空闲时长步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#dhcp idle period & seconds& traffic & kbytes&功能 进入配置模式 进入配置模式 配置监控DHCP用户空闲时长配置VBUI接口地址步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#ip address & ip-address& & net-mask&功能 进入配置模式 进入配置模式 配置vbui接口地址配置IP地址池步骤 1 命令ZXR10#configure terminal功能 进入配置模式 3-9ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册步骤 2 3命令ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#ip pool [ & pool-number& ] & poolname& &功能 进入配置模式 配置IP地址池start-ip& & end-ip& [ dhcp-slot & slot& | domain & domain- number& ]配置主从DNS步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#dns primary & ip-address& ZXR10(config-if)#dns secondary & ip-address&功能 进入配置模式 进入配置模式 配置主DNS 配置从DNS配置用户开机获取地址阶段就进行认证步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#ip dhcp auth-on-up { disable | enable}功能 进入配置模式 进入配置模式 配置DHCP用户开机认证开关配置DHCP接入异常掉线检测步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#dhcp user-detect timer & user-detect-interval& &功能 进入配置模式 进入配置模式 配置DHCP接入异常掉线检测user-detect-times &配置强制WEB认证步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#web authentication subscriber { none | web [功能 进入配置模式 进入配置模式 配置强制WEB认证force] } 3-103 配置接口配置指定WEB服务器步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface vbui& VBUI-interface & ZXR10(config-if)#web server & ip-addr& [ port & udp-port& ]功能 进入配置模式 进入配置模式 配置WEB服务器3.3.3 用户VBUI接口配置实例用户VBUI接口配置实例如下：ZXR10#configure terminal ZXR10(config)#interface vbui100 ZXR10(config-if)#arp timeout 5000 ZXR10(config-if)#dhcp option60 ZXR10(config-if)#dhcp trust-option82 /*下连设备使用option82上报用户定位信息时需要在ZXR10 T600/T1200上配置*/ ZXR10(config-if)#ip address 100.100.128.100 255.0.0.0 ZXR10(config-if)#ip pool abc 100.100.128.1 100.100.128.254ZXR10(config-if)#dhcp idle period 180 traffic 50 ZXR10(config-if)#dns primary 200.101.1.10 ZXR10(config-if)#web authentication subscriber web force ZXR10(config-if)#web server 10.61.96.90 ZXR10(config-if)#ip dhcp auth-on-up enable ZXR10(config-if)#dhcp user－detect /* 设置DHCP用户的探测次数和间隔，该功能对IPoA封装类型的用户不适用*/3-11
4配置管理域和用户本章包含如下主题： ? 管理域配置 ? 域名分隔符配置 ? 服务控制列表（SAL）配置 ? 用户配置 ? 域用户模板配置 4-1 4-7 4-8 4-10 4-124.1 管理域配置4.1.1 管理域简介ZXR10 T600/T1200系统采用管理域方式规划用户群，每个管理域可以拥有自己的资源和 配置，主要包括：l l l l l l l l l l l l l别名 本地用户 认证计费方式 与认证计费服务器组关联 用户缺省模版 域最大并发用户数目 关联的VRF 电路认证 快速重拨 计费更新 域名说明 账号共享 混合授权4-1ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册l时间管理器4.1.2 配置管理域配置内容简介配置管理域包括以下内容：l l l l l l l l l l l l l l l l l设置管理域 配置管理域的别名 设置域关联的计费服务器组 设置域中用户的计费方式 设置域关联的认证服务器组 设置用户的认证模式 设置向用户强推WEB页面 设置是否实施L2TP计费 设置电路认证 配置管理域和VRF关联 设置域中可接入的最大用户数 设置域中快速重拨 设置域中计费更新 设置域中域名说明 设置域中账号共享 设置域中混合授权 设置域中时间管理器设置管理域步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number&功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式4-24 配置管理域和用户配置管理域的别名步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#alias & name& [ advertise]功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置管理域的别名设置域关联的认证服务器组步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#authentication-group & group-number&功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域关联的认证服务器组设置域中用户的认证方式步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#authentication-type { none | local |功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域中用户的认证方式radius | local-radius | radius-local | radius-none}设置域关联的计费服务器组步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#accounting-group & group-number & [功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域关联的计费服务器组second]4-3ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册设置域中用户的计费方式步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#accounting-type { none | radius}功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域中用户的计费方式设置向用户强推WEB页面步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#ppp web-force timer & time& count &功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置向用户强推WEB页面times&设置是否实施L2TP计费步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#l2tp-accounting { class1 | class2 | none}功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置实施L2TP计费设置电路认证步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#circuit-authentication { enable | disable}功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置电路认证4-44 配置管理域和用户配置管理域和VRF关联步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#ip vrf & vrf-name&功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置管理域和vrf关联设置域中可接入的最大用户数步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#max-subscriber & number&功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域中可接入的最大用户数设置域中快速重拨步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#quick-redial{ enable| disable}功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域中快速重拨设置域中计费更新步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#accounting-update { & accounting-period&功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域中计费更新| ipcp-up}4-5ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册设置域中域名说明步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#pppoe motm & str&功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 建立备忘录设置域中计费共享步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#account-share { enable| disable}功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域中账号共享设置域中混合授权步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#mix-authorization { enable | disable}功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域中混合授权设置域中时间管理器步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-2)#timer-container-apply & &功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 配置域中时间管理器{ enable | disable}4-64 配置管理域和用户4.1.3 管理域配置实例管理域配置实例如下：ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)# ZXR10(config-bras)#domain 2 ZXR10(config-domain-2)#alias zte.com ZXR10(config-domain-2)#accounting-group 8 ZXR10(config-domain-2)#accounting-type radius ZXR10(config-domain-2)#authentication-group 10 ZXR10(config-domain-2)#authentication-type radius ZXR10(config-domain-2)#l2tp-accounting class1 /*打开l2tp计费，根据需要选配*/ ZXR10(config-domain-2)#ppp web-force timer 5 count 2 /*设置向域内用户强推WEB页面，根据需要选配*/ ZXR10(config-domain-2)#circuit-authentication enable ZXR10(config-domain-2)#max-subscriber 10004.2 域名分隔符配置4.2.1 域名分隔符简介域名分隔符是用户名和域名之间的分隔符。4.2.2 配置域名分隔符配置内容简介配置域名分隔符包括以下内容：l配置域名分隔符配置域名分隔符步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain-delimiter & delimiter&功能 进入配置模式 进入bras配置模式 配置域名分隔符4-7ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册4.2.3 域名分隔符配置实例域名分隔符配置实例如下：ZXR10(config)#bras ZXR10(config-bras)# domain-delimiter @4.3 服务控制列表（SAL）配置4.3.1 服务控制列表简介当电路（PPP或multi封装）应用SAL时，系统将允许或阻止某些PPP支持的域和该电路上 的IP接入服务器。4.3.2 配置服务控制列表配置内容简介l l l l l l配置SAL的别名 配置用户接入的缺省域名 配置禁止域接入 配置允许域接入 配置翻译用户的域名 配置在接口上应用SAL配置SAL的别名步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#sal & sal- number& ZXR10(config-sal-1)#alias & name&功能 进入配置模式 进入bras配置模式 配置sal，并进入sal配置模式 配置sal的别名配置用户接入的缺省域名步骤 1 2 命令ZXR10#configure terminal ZXR10(config)#bras功能 进入配置模式 进入bras配置模式 4-84 配置管理域和用户步骤 3 4命令ZXR10(config-bras)#sal & sal- number& ZXR10(config-sal-1)#default domain & domain-name&功能 配置sal，并进入sal配置模式 配置用户接入的缺省域名配置禁止域接入步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#sal & sal- number& ZXR10(config-sal-1)#deny { domain & domain-name& | any}功能 进入配置模式 进入bras配置模式 配置sal，并进入sal配置模式 配置禁止域接入配置允许域接入步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#sal & sal- number& ZXR10(config-sal-1)#permit { domain & domain-name& | any}功能 进入配置模式 进入bras配置模式 配置sal，并进入sal配置模式 配置允许域接入配置翻译用户的域名步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#sal & sal- number& ZXR10(config-sal-1)#translate { src-domain & src-domain& | any}功能 进入配置模式 进入bras配置模式 配置sal，并进入sal配置模式 配置翻译用户的域名des-domain & dest-domain&配置在接口上应用SAL步骤 1 2 3 命令ZXR10#configure terminal ZXR10(config)#interface & type slot/port.subinterface& bras ZXR10(config-subif)#sal & sal- number&功能 进入配置模式 进入电路接口模式 在接口上应用SAL 4-9ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册4.3.3 服务控制列表（SAL）配置实例服务控制列表（SAL）配置实例如下：ZXR10(config)#bras ZXR10(config-bras)#sal 1 ZXR10(config-sal-1)#alias special-sal ZXR10(config-sal-1)#default domain zte.com.cn /*此处zte.com.cn为已经创建好的domain的别名*/ ZXR10(config-sal-1)#deny domain 8 ZXR10(config-sal-1)#permit domain another.com.cn /*此处another.com.cn为已经创建好的domain的别名*/ ZXR10(config-sal-1)#translate src-domain zte.com.cn des-domain another.com.cn ZXR10(config)#int fei_1/1.1 bras ZXR10(config-subif)#sal 14.4 用户配置4.4.1 用户简介ZXR10 T600/T1200用户配置主要是配置接入用户的用户名和密码等基本信息。4.4.2 配置用户配置内容简介配置用户包括以下内容：l l l l l配置用户获取IP地址方式 配置接入用户的密码 配置用户接入使用的电路或者物理位置 配置用户接入使用的网卡MAC地址 配置允许的TCP连接参数配置用户获取IP地址方式步骤 1 2 命令ZXR10#configure terminal ZXR10(config)#bras功能 进入配置模式 进入bras配置模式 4-104 配置管理域和用户步骤 3 4命令ZXR10(config-bras)#subscriber & name& & domain& ZXR10(config-sub-loyalty)#ip address { ip-address | pool &功能 进入用户配置模式 配置用户获取ip地址方式pool-name& | interface & interface-name& | vrf}配置接入用户的密码步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#subscriber & name& & domain& ZXR10(config-sub-loyalty)#password & str&功能 进入配置模式 进入bras配置模式 进入用户配置模式 配置接入用户的密码配置用户接入使用的电路或者物理位置步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#subscriber & name& & domain& ZXR10(config-sub-loyalty)#cir-bind { bras & slot/port& [ vlan &功能 进入配置模式 进入bras配置模式 进入用户配置模式 配置用户接入位置vlan& | pvc & vpi& & vci& ] | dslam & slot/port& [ vlan & vlan& ] }配置用户接入使用的网卡MAC地址步骤 1 2 3 4 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#subscriber & name& & domain& ZXR10(config-sub-loyalty)#mac-bind & mac&功能 进入配置模式 进入bras配置模式 进入用户配置模式 配置接入用户使用的网卡mac地址配置允许的TCP连接参数步骤 1 2 命令ZXR10#configure terminal ZXR10(config)#bras功能 进入配置模式 进入bras配置模式 4-11ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册步骤 3 4命令ZXR10(config-bras)#subscriber & name& & domain& ZXR10(config-sub-loyalty)#tcp-limit mode { mon-sum-rate功能 进入用户配置模式 配置用户TCP建链模式| monitor | monitor-rate | monitor-summary| rate| summary| summary-rate} 5 6ZXR10(config-sub-loyalty)#tcp-limit rate & tcp-limit-rate& ZXR10(config-sub-loyalty)#tcp-limit num & tcp-limit-number&配置用户TCP速率 配置用户TCP连接数目4.4.3 用户配置实例用户配置实例如下：ZXR10#configure terminalZXR10(config)#bras ZXR10(config-bras)#subscriber loyalty domain-name zte.com.cn /*此处zte.com.cn为某一已经创建的domain的别名*/ ZXR10(config-sub-loyalty)#ip address pool tele-pool ZXR10(config-sub-loyalty)#tcp-limit mode /*设置用户TCP建链模式*/ ZXR10(config-sub-loyalty)#tcp-limit rate 800 /*设置用户TCP速率限制*/ ZXR10(config-sub-loyalty)#tcp-limit num 10 /*设置用户TCP连接数目*/ ZXR10(config-sub-loyalty)#cir-bind bras 1 10 vlan 10 /*限定用户接入位置*/ ZXR10(config-sub-loyalty)#password loyal ZXR10(config-sub-loyalty)#pppoe url http：//www.zte.com.cn/ mon-sum-rate4.5 域用户模板配置4.5.1 域用户模板简介配置域用户模板是为了简化用户的配置。针对不同的用户配置不同的模板，以便于使用 时直接引用，而不是每次都要重新配置用户资源。4-124 配置管理域和用户4.5.2 配置域用户模板配置内容简介配置域用户模板包括以下内容：l l l l l配置用户模板关联的上行ACL号 配置用户模板关联的下行ACL号 配置用户获取IP地址方式 配置PPPoE用户在会话建立后自动把WEB浏览器指向一个指定的URL 设置PPP会话或PPPoE会话的绝对超时时间配置用户模板关联的上行ACL号步骤 1 2 3 4 5 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-10)#subscriber-template ZXR10(config-domain-subtmp)#access-list { & acl-name& | &功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 进入域用户模板配置模式 配置用户模板关联的aclacl-number& }配置用户模板关联的下行ACL号步骤 1 2 3 4 5 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-10)#subscriber-template ZXR10(config-domain-subtmp)#access-list-outside { & acl-name&功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 进入域用户模板配置模式 配置用户模板关联的下行acl| & acl-number& }配置用户获取IP地址方式步骤 1 命令ZXR10#configure terminal功能 进入配置模式 4-13ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册步骤 2 3 4 5命令ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-10)#subscriber-template ZXR10(config-domain-subtmp)#ip address { pool & pool-name& |功能 进入bras配置模式 创建管理域，并进入domain配置模式 进入域用户模板配置模式 配置用户获取ip地址方式interface & interface-name& | vrf }配置PPPoE用户在会话建立后自动把WEB浏览器指向一个指定的URL步骤 1 2 3 4 5 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-10)#subscriber-template ZXR10(config-domain-subtmp)#ppp url & url&功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 进入域用户模板配置模式 配置PPPoE用户在会话建立后自动把 WEB浏览器指向一个指定的URL设置PPP会话或PPPoE会话的绝对超时时间步骤 1 2 3 4 5 命令ZXR10#configure terminal ZXR10(config)#bras ZXR10(config-bras)#domain & domain-number& ZXR10(config-domain-10)#subscriber-template ZXR10(config-domain-subtmp)#timeout absolute & seconds&功能 进入配置模式 进入bras配置模式 创建管理域，并进入domain配置模式 进入域用户模板配置模式 配置PPP会话或PPPoE会话的绝对超 时时间4.5.3 域用户模板配置实例域用户模板配置实例如下：ZXR10#config terminal ZXR10(config)#bras ZXR10(config-bras)#domain 10 ZXR10(config-domain-10)#subscriber-template4-144 配置管理域和用户ZXR10(config-domain-subtmp)#ip address pool my-pool ZXR10(config-domain-subtmp)#ppp url http：//www.zte.com.cn/ ZXR10(config-domain-subtmp)#timeout absolute 2004-15
5PPPOE配置本章包含如下主题： ? PPPoX概述 ? PPPoE配置 ? PPPoEoV配置 5-1 5-3 5-75.1 PPPoX概述5.1.1 PPP简介PPP概述PPP是在点到点链路上承载网络层数据包的一种链路层协议，由于它能够提供用户验证， 易于扩充，并且支持同异步通信，因而获得广泛应用。 PPP定义了一整套协议，包括链路控制协议LCP（Link Control Protocol）、网络层控制协 议NCP（Network Control Protocol）和验证协议PAP/CHAP。l l lLCP：用来协商链路的一些参数，负责创建并维护链路。 NCP：用来协商网络层协议的参数。 PAP/CHAP：用于对用户身份进行验证。PPP的验证方式ZXR10 T600/T1200目前支持2种验证方式：PAP和CHAP。 1. PAP PAP（Password Authentication Protocol）验证为两次握手验证，密码为明文，PAP验证 的过程如下： a. b. 被验证方发送用户名和密码到验证方。 验证方根据用户配置查看是否有此用户以及密码是否正确，然后返回不同的响应 （Acknowledge or Not Acknowledge）。5-1ZXR10 T600/T1200 电信级高端路由器 用户手册BRAS业务分册2.CHAP CHAP（Challenge Handshake Authentication Protocol