华为5200配置实例手册
[sell=XX]
第1节业务介绍 1-1
1.1 本文档的目的 1-1
1.2 具体实例内容概览 1-1
第2节PPP用户上线配置实例 2-2
2.1 PPP业务与组网介绍 2-2
2.2 PPP用户基本上线实例 2-2
2.3 PPP用户扩展实 2-5
第3节L2TP用户上线实例 3-7
3.1 L2TP业务与组网介绍 3-7
3.2 L2TP用户上线配置 3-8
第4节控制组播的实例 4-10
4.1 控制组播介绍和组网 4-10
4.2 简单控制组播实例 4-11
4.3 对组播源认证的实例 4-13
第5节NAT业务配置实例 5-17
5.1 NAT介绍与组网图 5-17
5.2 NAT简单配置实例 5-18
5.3 只替换地址的NAT实例 5-20
第6节PnP配置实例 6-23
6.1 Pnp介绍与组网图 6-23
6.2 pnp用户web认证应用实例 6-24
第7节三层认证与ACL应用配置实例 7-27
7.1 三层认证介绍与组网 7-27
7.2 三层认证的实例 7-27
第8节dot1x配置实例 8-30
8.1 dot1x介绍与组网图 8-30
8.2 dot1x简单配置实例 8-31
第9节三层专线配置实例 9-33
9.1 三层专线介绍与组网 9-33
9.2 实例介绍 9-34
第10节二层专线接入实例 10-36
10.1 二层专线介绍与组网图 10-36
10.2 二层专线MA5200分配地址的配置实例 10-37
第11节Vlan透传专线配置实例 11-39
11.1 Vlan透传的介绍与组网图 11-39
11.2 Vlan透传配置实例 11-40
第12节PPPoE专线配置实例 12-42
12.1 Pppoe专线介绍与组网 12-42
12.2 PPPoE专线配置实例 12-42
第1节业务介绍
1.1 本文档的目的
我们已经有了各式各样开局文档,包括配置命令,配置指导书等等,目的只有一个:让开局人员能够顺利的开局,并且解决常见的一些配置问题。本文的目的也不另外,让大家从一个个具体的配置实例中更感性的认识一下配置过程,本实例基本是实际环境的运行结果,简单的增加了一些解释与说明,以便更好的理解配置。
& 说明:
对于每个实例,我们尽量给出它的组网图,以便您更好的理解;我们重点是各种用户的上线配置,首先给出最简单的上线配置,然后给出一些辅助配置项目,也就是下面所谓的扩展
对于V100R007B01D015以后的版本做了一些命令的修改
1、PORTVLAN的配置命令格式做了修改,更改的命令格式为:
portvlan { ethernet ethernet-id | gigabitethernet gigabitethernet-id | trunk trunk-id }[ port-number ] vlan startvlanid [ vlan-num ]
2、增加vt的批量绑定和反绑定命令
pppoe-server bind { ethernet INTEGER<1-24> [ INTEGER<1-24> ]
| gigabit-etherne INTEGER<25-26> [ INTEGER<1-2> ] | trunk INTEGER<1-13> [ INTEGER<1-13> ]} 3、修改域下配置web认证服务器配置命令
[ undo ] web-server {X.X.X.X | url
本文中的配置命令是以R007B01D006的版本基础的,请工程师查阅此文档时请注意命令行的变化,命令的具体说明请参考相关版本的开局指导书,这里不再详细说明。
1.2 具体实例内容概览
本文档基本以MA5200R007业务项目组的业务特性为基础,当然还包括其他的相关特性,具体有:
l PPP用户基本上线实例。
l PPP用户上线实例扩展
l L2TP用户上线实例
l 下带5100的可控组播业务简单实现(组播源不认证)
l 下带5100的可控组播业务扩展实现(组播源认证)
l NAT业务的简单实现。
l NAT业务的扩展实现
l 简单的PnP用户上线过程。
l 扩展Pnp用户上线过程。
l dotlx用户上线过程
l 二层专线用户上线实例
l 三层专线用户上线实例
l PPPoE专线用户上线实例
l 透传专线的基本配置实例
l 代理专线的基本配置实例
第2节 PPP用户上线配置实例
2.1 PPP业务与组网介绍
MA5200F提供用户的PPPoE接入方式,在该接入方式中,用户采用虚拟拨号的方式接入到MA5200F中,获得服务。PPPOE接入业务的组网主要为通过GE口或100M口接到三层交换机或路由器上,MA5200F通
2.2 PPP用户基本上线实例
& 说明:
如下一个ppp用户,从5200F3端口VLANID为2接入,PAP认证(口令验证协议),本地认证,本地分配地址。
#
version 7106
sysname MA5200F
#
system language-mode english
#
radius-server group
login
#
interface Ethernet3
pppoe-server bind Virtual-Template 1 【用户接入端口,需绑定虚模板,7113以后的版本,也可以在虚模板的模式下批量增加PPPOE-SERVER与端口的绑定关
系】
#
interface Virtual-Template1 【配置虚模板】
ppp authentication-mode pap 【配置认证方式】
#
interface NULL0
#
interface LoopBack0
#
interface Nm-Ethernet0
#
ip pool pool1 local 【配置本地地址池】
gateway 7.7.7.1 255.255.0.0
section 0 7.7.7.2 7.7.7.100 //配置地址池的地址段
dns-server 202.103.0.117
dns-server 202.103.44.5 secondary
#
dot1x-template 1
#
aaa 【aaa下配置域和认证方式】
authentication-scheme default1
authentication-mode local
accounting-scheme default1
accounting-mode local
domain 990
authentication-scheme default1
accounting-scheme default1
【域下缺省采用的认证方案与计费方案为default1,此处计费、认证方案也可以不
配】
#
local-aaa-server 【由于本地认证配置本地用户】
user user1@990 password 123
#
cluster
#
user-interface con 0
user-interface vty 0 4
#
portvlan ethernet 3 2 1
access-type layer2-subscriber 【配置为二层用户】
#
return
2.3 PPP用户扩展实例
& 说明:
如下一个ppp用户,从5200F 3端口VLANID为2接入,PAP认证,本地认证,本地分配地址。增加页面强推和虚模板下的一些配置项
#
version 7106
sysname MA5200F
#
system language-mode english
#
radius-server group
login
#
interface Ethernet3
pppoe-server bind Virtual-Template 1 【用户接入端口,需绑定虚模板,7113以后的版本,也可以在虚模板的模式下批量增加PPPOE-SERVER与端口的绑定关
系】
#
interface Ethernet4.0
ip address 11.1.1.200 255.255.0.0 【与一个server 相连】
#
interface Virtual-Template1
ppp timer negotiate 8
ppp keepalive interval 745 retransmit 7 【配置虚模板下的一些参数】
interface NULL0
#
interface LoopBack0
#
interface Nm-Ethernet0
#
ip pool pool1 local 【配置本地地址池】
gateway 7.7.7.1 255.255.0.0
section 0 7.7.7.2 7.7.7.100
dns-server 202.103.0.117
dns-server 202.103.44.5 secondary
#
dot1x-template 1
#
aaa 【aaa下配置域和认证方式】
authentication-scheme default1
authentication-mode local
accounting-scheme default1
accounting-mode local
domain 990
pppoe-url http://11.1.1.101【pppoe强推一个页面】
ip-pool first pool1
#
local-aaa-server 【由于本地认证配置本地用户】
user user1@990 password 123
authentication-scheme default1
accounting-scheme default1
【域下缺省采用的认证方案与计费方案为default1,此处计费、认证方案也可以不配】
#
cluster
#
user-interface con 0
user-interface vty 0 4
#
portvlan ethernet 3 2 1 【配置为二层用户】
access-type layer2-subscriber
portvlan ethernet 4 0 1
access-type interface
#
return
第3节 L2TP用户上线实例
3.1 L2TP业务与组网介绍
PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。
在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。
具体的组网图如下:
3.2 L2TP用户上线配置
& 说明:。
如下一L2tp 用户l2tp@isp,在aaa本地认证,从端口2接入,端口6接一LNS,地址为5.5.5.5,隧道不认证,其他为缺省配置。
[MA5200F]disp cu
#
version 7106
sysname MA5200F
#
system language-mode english
#
l2tp enable 【打开l2tp开关】
#
interface Ethernet1
#
interface Ethernet2
pppoe-server bind Virtual-Template 1 【端口绑定虚模板】
#
interface Ethernet6
negotiation auto
#
interface Ethernet6.0
ip address 5.5.5.1 255.255.0.0 【与LNS连的接
口】
#
interface Virtual-Template1
#
interface NULL0
#
interface LoopBack0
#
l2tp-group 1
start l2tp ip 5.5.5.5 【配置l2tp组和LNS的地址】
#
interface Nm-Ethernet0
#
dot1x-template 1
#
aaa 【aaa的配置主要是完成用户的本地认
authentication-scheme default0
accounting-scheme default0
undo idle-cut
l2tp-group 1
#
local-aaa-server
user l2tp@isp password 123 【本地用户】
#
cluster
#
user-interface con 0
user-interface vty 0 4
#
portvlan ethernet 2 0 1
access-type layer2-subscriber 【用户接入端口】
portvlan ethernet 6 0 1
access-type interface
#
return
[MA5200F]
第4节控制组播的实例
4.1 控制组播介绍和组网
MA5200在网络中的位置是一个处于三层交换机和路由器之下,LanSwitch之上的业务会聚和控制设备。MA5200 V100R007 以前版本(R002、R006、R009)支持的组播功能定位为组播代理(IGMP Proxy),仅支持不受控的组播业务。对于运行商来说,除了在设备上实现传统的组播以外,更多的是考虑对组播的受控和运行,传统的组播方案没有考虑对用户进行控制和管理,不能与我司的可运营可管理的思路保持一致。 MA5200R007 版本在支持传统的非受控的组播业务基础上,增加了受控组播业务特性。
具体配置如下:
4.2 简单控制组播实例
& 说明:。
第5口直接接一个组播服务器,组播源与受控,组播地址224.2.2.2,一个PPP用户从3口接入,该口为组播受控,需要认证。MA5100的V LAN为2
[MA5200F]disp cu
#
version 7106
sysname MA5200F
#
system language-mode english
#
multicast routing-enable 【打开组播功能开关】
igmp proxy
igmp designated-router 11.1.1.101 【对于直接连的组播源本处可不配
multicast-vlan 2000 10 【如是2403等设备,可不需要配置,只针对5100】
#
interface Ethernet1
#
interface Ethernet2
#
interface Ethernet3
pppoe-server bind Virtual-Template 1
#
interface Ethernet4
#
interface Ethernet5
negotiation auto
#
interface Ethernet5.0
ip address 11.1.1.200 255.255.0.0 【与组播服务器接】
#
interface Virtual-Template1
ppp authentication-mode pap
#
interface NULL0
#
interface LoopBack0
#
interface Nm-Ethernet0
#
ip pool pool1 local 【给ppp用户分地址】
gateway 7.7.7.1 255.255.0.0
section 0 7.7.7.2 7.7.7.100
dns-server 202.103.0.117
dns-server 202.103.44.5 secondary
#
dot1x-template 1
#
aaa 【单播用户的认证计费配置】
authentication-scheme default1
authentication-mode local
accounting-scheme default1
accounting-mode local
domain 990
ip-pool first pool1
#
user user1@990 password 123 【单播用户用户】
user user1@990 multicast-group receive 0, 【该用户有权接受该组播】
multicast-group 0 224.2.2.2 【组播地址】
#
cluster
#
user-interface con 0
user-interface vty 0 4
#
portvlan ethernet 3 2 1
access-type layer2-subscriber
multicast-control 【该端口为受控端口,用户由此接入】
portvlan ethernet 5 0 1
access-type interface
#
return
[MA5200F]
4.3 对组播源认证的实例
& 说明:。
对于组播用户,配置同上,增加对组播源的认证,组网基本同上,只是组播服务器接在4口,同时将给组播服务器配置为一个静态用户,需要绑定认证,同时4端口也为组播受控端口,对组播源也进行认证[MA5200F]disp cu
#
version 7106
sysname MA5200F
#
system language-mode english
#
radius-server group login
#
multicast routing-enable 【同上】
igmp proxy
#
multicast-vlan 2000 10 【同上】
#
interface Ethernet1
#
interface Ethernet2
#
interface Ethernet3
pppoe-server bind Virtual-Template 1
#
interface Ethernet4
#
interface Ethernet5
negotiation auto
#
interface Ethernet5.0
#
interface Virtual-Template1
ppp authentication-mode pap
#
interface NULL0
#
interface LoopBack0
#
interface Nm-Ethernet0
#
ip pool pool1 local 【单播ppp用户分配地址】
gateway 7.7.7.1 255.255.0.0
section 0 7.7.7.2 7.7.7.100
dns-server 202.103.0.117
dns-server 202.103.44.5 secondary
#
ip pool pool2 local 【组播服务器做为静态用户使用的地址池】
gateway 11.1.1.200 255.255.0.0
section 0 11.1.1.101 11.1.1.105
#
dot1x-template 1
#
aaa 【端单播ppp用户上线配置】
authentication-scheme default0
authentication-mode local
authentication-scheme default1
authentication-mode local
accounting-scheme default0
accounting-mode local
accounting-scheme default1
accounting-mode local
domain default0 【静态用户的缺省domain】
ip-pool first pool2
domain 990
ip-pool first pool1
#
user user1@990 password 123
user user1@990 multicast-group receive 0, 【单播用户做为组播接受者】
batch-user ethernet 4 0 1 domain default0【静态用户绑定认证名,同时为组播源】
batch-user ethernet 4 0 1 domain default0 multicast-group source 0 0
multicast-group 0 224.2.2.2 【组播地址】
#
cluster
#
user-interface con 0
user-interface vty 0 4
#
portvlan ethernet 3 2 1 【端口受控,配置一个ppp用户】
access-type layer2-subscriber
multicast-control
portvlan ethernet 4 0 1 【端口受控,配置一个静态用户,绑定认证】
access-type layer2-subscriber
authentication-method bind
multicast-control
static-user 11.1.1.101 11.1.1.101 domain-name default0 detect
portvlan ethernet 5 0 1
access-type interface
#
return
[MA5200F]
第5节 NAT业务配置实例
5.1 NAT介绍与组网图
NAT在进行地址转换时有以下两种方式:
1、通过修改报文头部地址信息实现地址的转换与共享
当报文穿过NAT由私网进入公网时将报文的私网地址转换为NAT拥有的公网地址,当响应报文穿过NAT 由公网进入私网时将报文的公网地址转换为用户主机的私网地址,传统的NAT只对报文的IP地址进行转换,因此同一时刻只能有一个主机访问公网。
2、PAT方式通过使用第四层端口区别报文实现了对公网IP地址的复用
PAT (Port Address Translation:端口地址转换,通过利用多个内部IP地址映射到单一IP地址的不同TCP/UDP端口来实现IP地址的复用)方式利用TCP/UDP报文端口号对拥有相同IP地址报文进行区分,实现多个访问连接使用同一公网IP地址。PAT方式利用TCP/UDP端口与IP地址组合成地址对在NAT两侧分别识别各个连接,同一连接将拥有唯一地址对。PAT方式在报文穿过NAT进入公网时将报文IP地址替换为唯一的公网IP地址,同时为其分配一个四层端口替换原有端口。
简单组网如下:
& 说明:。
一个PPP用户拨号上线,从9.9.0.0网段地址从分配一个地址,在MA5200上做NAT,将所有该网段的地址转化为一个公网地址11.1.1.201;用户访问公网上的一个服务器11.1.1.101,在该服务器上抓包,可以看到用户的地址已经替换.如下的转化,还包括四层端口,其实是一个PAT
[MA5200F]disp cu
#
version 7106
sysname MA5200F
#
system language-mode english
#
nat acl 0 permit 9.9.0.0 0.0.255.255 【需要转化的私网地址】
nat address-group 0 11.1.1.201 11.1.1.201 【对应的公网地址】
nat outbound 0 address-group 0 【两者绑定】
#
interface Ethernet1
pppoe-server bind Virtual-Template 1
#
interface Ethernet2
#
interface Ethernet3
#
interface Ethernet4
negotiation auto
#
interface Ethernet4.0
ip address 11.1.1.200 255.255.0.0
#
interface Virtual-Template1
#
interface NULL0
#
interface LoopBack0
#
interface Nm-Ethernet0
#
ip pool pool1 local 【给ppp用户分配的私网地址】
gateway 9.9.9.1 255.255.0.0
section 0 9.9.9.2 9.9.9.100
dns-server 202.103.0.117
dns-server 202.103.44.5 secondary
#
aaa 【配置ppp用户上线】
authentication-scheme default1
authentication-mode local
accounting-scheme default1
accounting-mode local
domain 990
ip-pool first pool1
#
local-aaa-server
user user1@990 password 123
#
cluster
#
user-interface con 0
user-interface vty 0 4
#
portvlan ethernet 1 0 1
access-type layer2-subscriber
portvlan ethernet 4 0 1
access-type interface
#
return
[MA5200F]
5.3 只替换地址的NAT实例
& 说明:。
一个PPP用户拨号上线,分配地址9.9.9.95,在MA5200上做NAT,将该地址转化为一个公网地址2.2.2.2;用户访问公网上的一个服务器11.1.1.101,在该服务器上抓包,可以看到用户的地址已经替换.如下的转化,只替换三层的ip地址
[MA5200F]disp cu
#
version 7106
sysname MA5200F
#
system language-mode english
#
radius-server group login
#
nat server global 2.2.2.2 inside 9.9.9.95 【对给定地址进行地址转化】
#
interface Ethernet1
pppoe-server bind Virtual-Template 1
#
interface Ethernet3
#
interface Ethernet4
negotiation auto
#
interface Ethernet4.0
ip address 11.1.1.200 255.255.0.0
#
interface Virtual-Template1
#
interface NULL0
#
interface LoopBack0
#
interface Nm-Ethernet0
#
ip pool pool1 local 【配置ppp用户上线使用地址池】gateway 9.9.9.1 255.255.0.0
section 0 9.9.9.2 9.9.9.100
dns-server 202.103.0.117
dns-server 202.103.44.5 secondary
#
dot1x-template 1
#
aaa 【配置ppp用户上线】authentication-scheme default1
authentication-mode local
accounting-scheme default1
accounting-mode local
domain 990
ip-pool first pool1
#
local-aaa-server
user user1@990 password 123
#
cluster
#
user-interface con 0
user-interface vty 0 4
#
portvlan ethernet 1 0 1
portvlan ethernet 4 0 1
access-type interface
#
return
[MA5200F]
第6节 PnP配置实例
6.1 Pnp介绍与组网图
简单组网图:
6.2 pnp用户web认证应用实例
& 说明:。
一个PnP用户,从端口2接入,配置为web认证,预连接通过,分配一个地址池地址,然后用户通过web 页面输入用户名密码认证后上线,可以访问服务器
[MA5200F]disp cu
#
version 7106
sysname MA5200F
#
system language-mode english
#
radius-server group login
#
web-server 【配置的内置web】
directory flash:/webfile
default-page
/index.html
#
interface Ethernet1
#
interface Ethernet1.0
ip address 3.3.3.2 255.0.0.0
#
interface Ethernet2
negotiation auto
#
interface Ethernet3
#
interface Ethernet4
negotiation auto
#
interface Ethernet4.0 【与Server相连】
ip address 11.1.1.200 255.255.0.0
#
#
interface Nm-Ethernet0
#
ip pool pool1 local 【给pnp 用户分配的中间合法地址】
gateway 9.9.9.1 255.255.0.0
section 0 9.9.9.2 9.9.9.100 、
dns-server 202.103.0.117
dns-server 202.103.44.5 secondary
#
dot1x-template 1
#
aaa 【配置aaa】
authentication-scheme default1
authentication-mode local
accounting-scheme default1
accounting-mode local
domain default0 【做为预连接域】
web-server 127.0.0.1 【配置内置web地址】
ip-pool first pool1 【配置使用的地址池做为中间地址】
domain 990
authentication-scheme default0
accounting-scheme default0
#
local-aaa-server 【web认证的用户名】
user user1@990 password 123
#
cluster
#
user-interface con 0
user-interface vty 0 4
#
portvlan ethernet 1 0 1
access-type interface
portvlan ethernet 2 0 1 【配置的pnp用户】
access-type layer2-subscriber
default-domain pre-authentication default0 authentication-method web 【只能是web认证】
pnp 【PnP用户】
portvlan ethernet 4 0 1
access-type interface
#
return
第7节三层认证与ACL应用配置实例
7.1 三层认证介绍与组网
7.2 三层认证的实例
& 说明:。
为测试三层认证情况,我们在端口6下接一个路由器,路由器下带一个用户,端口6配置为三层认证;端口1做为网络侧接口接一个服务器。
该三层用户通过内置的web进行认证,在预连接域下做ACL,强制进行web认证,认证完后,用户可以访问服务器
[MA5200F]disp cu
#
version 7106
sysname MA5200F
#
system language-mode english
#
radius-server group login
#
web-server 【内置web配置】
directory flash:/webfile
default-page /index.html
#
interface Ethernet1
negotiation auto
#
interface Ethernet1.0 【与服务器接口】
ip address 1.1.1.1 255.255.0.0
#
interface Ethernet2
#
interface Ethernet3
#
interface Ethernet4
#
interface Ethernet5
#
interface Ethernet6
#
interface Ethernet6.0 【下带路由器】
ip address 6.6.6.1 255.255.0.0
#
acl number 111 【配置的acl规则】
#
interface Nm-Ethernet0
#
dot1x-template 1
#
aaa
authentication-scheme default1
authentication-mode local
accounting-scheme default1
accounting-mode local
domain default0 【预连接域】
web-server 127.0.0.1 【内置web地址】
ucl-group 10 【该域下用户必须强制web认
证】
domain 990
#
local-aaa-server
user user1@990 password 123 【web认证的用户名】
#
cluster
#
ip route-static 202.119.1.0 255.255.255.0 1.1.1.2 【必须配置的路由】
#
access-group 111 Ethernet 6 【acl应用到对应端口】
#
user-interface con 0
user-interface vty 0 4
# 【指定三层用户对应的网段和预连接
域】
layer3-subscriber 202.119.1.1 202.119.1.200 domain-name default0
portvlan ethernet 1 0 1
access-type interface
portvlan ethernet 6 0 1
access-type layer3-subscriber 【为三层认证】
#
return
[MA5200F]
第8节 dot1x配置实例
8.1 dot1x介绍与组网图
MA5200E/F用户提供802.1x认证方式,在该认证方式中,用户通过802.1x认证的方式获得授权,同时通过DHCP过程获取合法的地址,以获得MA5200F的服务。802.1x认证具有十分灵活的应用,可以通过对设备的配置达到用户一定要认证通过,才能进行地址的协商,达到了对地址池的保护;同样也可以通过配置使用户在获取到合法的地址后在采用802.1x认证或者WEB认证,使认证方式更加灵活。802.1x 认证的组网主要为通过GE口或100M口接到三层交换机或路由器上,MA5200E/F通过100M下带2403F 等二层交换机,进行用户接入和认证,其典型组网为:
8.2 dot1x简单配置实例
& 说明:。
从组网图可以看出,dot1x的配置很简单,基本用缺省配置,用户从端口6接入,该端口配置为二层认证,认证方法为dot1x;aaa的domain下配置eap-end,chap认证,进行本地认证,配置本地地址池和本地用户名,一切就ok啦
[MA5200F]disp cu
#
version 7106
sysname MA5200F
#
system language-mode english
#
interface Ethernet1
negotiation auto
#
interface Ethernet1.0 【接服务器】
ip address 11.1.1.1 255.255.255.0
#
interface Ethernet2
#
interface Ethernet3
#
interface Ethernet4
#
interface Ethernet5
#
interface Ethernet6
negotiation auto
#
interface LoopBack0
#
interface Nm-Ethernet0
#
ip pool pool1 local 【为dot1x用户分配的地址池】
gateway 9.9.9.1 255.255.0.0
section 0 9.9.9.2 9.9.9.10
dns-server 202.103.0.117
dns-server 202.103.44.5 secondary
#
dot1x-template 1
#
aaa
authentication-mode none
accounting-scheme default1
accounting-mode none
domain dot1x
eap-end chap 【为本地终结chap认证】
ip-pool first pool1
#
local-aaa-server 【本地用户名】
user dot@dotlx password dot
#
cluster
#
user-interface con 0
user-interface vty 0 4
#
portvlan ethernet 1 0 1
access-type interface
portvlan ethernet 6 0 1
access-type layer2-subscriber 【为二层认证】
authentication-method dot1x 【为dot1x认证】
#
return
[MA5200F]
第9节三层专线配置实例
9.1 三层专线介绍与组网
接入用户的类型可分为两种:个人用户和集团用户。个人用户具有唯一的IP地址和MAC地址,使用唯一的账号,具有唯一的接入权限。集团用户具有多个IP地址和MAC地址,使用统一的接入权限。MA5200 V100R007为了满足实际组网中集团用户的需求,提出了专线接入的概念。在MA5200E/F,专线接入泛指同一逻辑端口下的所有用户统一进行CAR和流量统计,对AAA只表现为一个连接的接入方式。
典型组网:
9.2 实例介绍
& 说明:。
三层专线类似于三层认证,6口下接一个路由器,路由器下带用户,用户报文通过路由器送MA5200, MA5200进行绑定认证,同时在5200F上需要配置到用户网段的路由
[MA5200F]disp cu
#
version 7106
sysname MA5200F
#
system language-mode english
#
interface Ethernet1