Amnoon BRAS User Manual(201301)

admin管理员组

文章数量:1532165

2024年1月8日发(作者：)

安朗（Amnoon）宽带接入服务器用户手册

Amnoon BRAS User′s Manual

广州安朗通信科技有限公司

Guangzhou Amnoon Communication Tech. Co. Ltd.

2013-01

版权声明

安朗 AM BRAS宽带接入服务器用户手册(V4.0)

修订日期：20130130

本公司依据中华人民共和国著作权法，享有及保留一切著作之专属权力。未经本公司书面同意，任何人不得对本用户手册的任何部分进行改编、翻印、抄袭、翻译或仿制，否则后果自负。

免责声明

本出版物的内容将做定期性的变动，恕不另行通知。更改的内容将会补充到新修订的手册,并会在本手册发行新版本时予以发布。安朗公司在编写本手册时以尽最大努力保证其内容的准确、可靠，但安朗公司不对本手册中遗漏、不准确或者错误导致的损失承担责任。

商标使用说明

Amnoon是广州安朗通信科技有限公司的注册商标，其它商标及注册商标均属于各其它所属公司。

一、 总述

AM BRAS宽带接入服务器是一款支持多种接入协议的宽带接入路由器。设备支持PPPOE协议，可以实现以太网二层用户认证接入。设备同时支持WebPortal,L2tp和专有客户端软件，可实现用户在三层网络环境的接入。设备支持标准Radius协议，并支持多种厂家私有属性，可以对用户接入行为进行多种控制。

根据设备型号的不同，一台AM BRAS可以同时支持128～20000个用户在线连接。

1.1

软件概述：

AM BRAS宽带接入服务器是一款可以跨三层网络的接入设备，它主要实现以下功能：用户认证（PPPOE,L2tp,Web和私有客户端）、DHCP（动态IP地址分配）、NAT（网络地址转换）、Radius协议支持、Web Portal功能、Filist报文过滤功能、用户控制、和Radius后台系统配合完成用户认证、计费等功能；同时，在原有的网络拓扑不做变动的情况下，使用桥接模式可以实现除NAT（网络地址转换）其它全部功能；您可以利用Console口或者Telnet方式，方便地对服务器进行配置，使其部分或全部实现上述功能要求。

在初步配置好以后，可以直接通过telnet 登录，进行配置和状态查询。通过与Radius后台系统的结合，AM BRAS可以灵活方便的增加用户管理的特性，以及针对不同的环境增加相应的用户策略。AM BRAS还可以实现带宽控制、TCP连接数控制等，在设置用户认证参数时针对不同的服务设定最高带宽限制和TCP连接数控制等。

二、 硬件描述及安装

AM BRAS采用的Intel 系列多核处理器为设备提供了强大的处理能力， 可最多同时支持20000个用户同时在线。采用19英寸标准机箱能方便地安装上架，可以支持交流电源和直流48V电源。AM-BRAS-2208U采用冗余交流电源。

（ 图一：AM-BRAS-2208U）

（ 图二：AM-BRAS-2204U）

（ 图三：AM-BRAS-3210U）

2.1

硬件规范：

AM BRAS系列设计紧凑，可靠性高，其硬件规范如下表：

设备型号

处理器

内存

外观尺寸

网络接口

Console

重量

电源

功耗

工作环境

设备型号

处理器

内存

外观尺寸

网络接口

Console

重量

电源

AM BRAS 2208U

2G DDR3

4个1000M光口（SFP）

4个1000M光口 （SFP）

1个RJ45串口

14KG

220V AC 冗余电源

AM BRAS 3210U

2G DDR3

4个10/100/1000M电口

2个10000M光口（SFP+）

1个RJ45串口

14KG

220V AC 冗余电源

Intel Core I7-2600 3.4G CPU Intel Core I7-2600 3.4G CPU

2U 19″571mm*440mm*90mm机箱 2U 19″571mm*440mm*90mm机箱

AM BRAS 1104U

Intel Atom D525 1.8G CPU

1G DDR3

AM BRAS 2204U

Intel Core I3-2120 3.3GHzCPU

2G DDR3

2个10/100/1000M电口

2个1000M光口 （SFP）

1个RJ45串口

12KG

220V AC 单电源（可选配冗余电源）

250W

温度： 0℃–40℃

湿度： 5﹪–90﹪(非凝结)

1U 19″300mm*440mm*45mm机箱 2U 19″571mm*440mm*90mm机箱

4个10/100/1000M电口

1个RJ45串口

6KG

220V AC 单电源

75W

温度： 0℃–40℃

湿度： 5﹪–90﹪(非凝结)

功耗

工作环境

300W

温度： 0℃–40℃

湿度： 5﹪–90﹪(非凝结)

300W

温度： 0℃–40℃

湿度： 5﹪–90﹪(非凝结)

2.2

硬件安装:

➢ 在安装之前，确认电源开关为未打开。

➢ 机器本身附带有上架设备，按照标准程序把设备固定在机架上。根据设备端口配置情况，用网线或者尾纤连接对应的设备。

➢ 设备附带有一条串行线，可以通过它与设备的Console口相连。

➢ 打开电源，设备启动后可以从Console口通过超级终端登录进入，设备的硬件运行情况可以从前面的指示灯进行观察。

➢ 超级终端登录时使用默认的参数：

速率 9600B/S,数据位8，奇偶校验无，停止位无，流控无。

登录系统的默认用户名是amnoon，密码是eaccess ；进入配置模式（enable模式）的默认密码是amaccess

注意：为了保证系统的安全，建议设备配置完毕后，一定要修改enable模式的密码，密码的设置建议由数字和字母混合组成。

三、 配置AM BRAS（WEB）宽带接入服务器

3.1

基本配置分类：

作为接入设备，每个局点AM BRAS具体的配置应该根据应用环境来设定。AM BRAS的配置可以分为两部分：BRAS自身的配置和与外界进行互连的配置。

3.1.1

服务器自身的配置：

AM BRAS自身的配置包括端口地址和属性的配置，interface（见interface命令详解）对服务器的端口地址和端口属性进行配置。

3.1.2

与外界互连的配置：

与外界互连的配置内容一般包括Radius配置、NAT（网络地址转换）、认证管理、用户管理、缺省路由、域名服务器等内容。

配置过程应该先配置设备端口属性(见dhcp命令)和允许认证的地址范围（见session命令），与外界互连的配置可以根据需求选择进行。

3.2

典型配置例子：

下面以一个较为典型的有线电视网络配置来说明应该进行的配置步骤。

3.2.1

实际环境：

一个有线电视网络，使用cisco7246 CMTS，其下共有1000个左右的Cable Modem用户上网，用户要求访问internet，运营商希望用户上网后第一次访问WEB时打开的页面是/。

因CMTS隔断了二层的以太包，PPPoE的接入方式无法使用，只能使用直接面对

IP包的DHCP＋Radius的接入，用户认证采用WEB和客户端认证，客户端连接服务器地址为接入服务器下行端口地址。

网管中心给上行端口分配到一个IP地址为192.168.1.2，其上行路由指向地址192.168.1.1。域名服务器采用公网上的服务器，其地址为202.104.81.245。

计费认证采用Radius协议，Radius服务器的地址为192.168.1.253，加密密钥为“amnoon”。Radius提供两种服务：local和internet，对应于访问本地和internet的服务类型。

3.2.2

应用分析：

两幢大楼总共有1000左右的用户，所以采用AM BRAS 2204U-Ⅲ型接入服务器，可以同时支持1024用户上线；

自己分配内部地址，分配在10.1.1.2～10.1.4.254；

自己增加一个管理用户以便进行远程管理；

配置Radius认证计费功能；

按要求配置路由和域名服务器；

配置两种服务：local和internet；

给服务器命名为HFC-amnoon。

配置Web Portal登录地址是/

3.2.3

配置及分析：

综合上述分析，我们可以抽象出配置命令如下：

1） 有一个DHCP地址池为10.1.1.2～10.1.4.254；

2） 接入服务器有三个端口，一个配置为上行端口其地址为192.168.1.2，一个为接入端口配置地址为10.1.1.1，客户端连接服务器地址为10.1.1.1，网管端口可配也可不配；

3） Radius认证计费服务器的地址为192.168.1.253，所用的加密Key为“amnoon”，同时允许本地认证；

4） 对10.1.1.1～10.1.4.254之间的用户进行地址转换，将该地址段全部采用端口映射到192.168.1.2地址上；

5） 有一本地用户可以进行管理，名字为“manager”，其密码为“aaa”；

6） 缺省的路由的下一跳IP地址为192.168.1.1；

7） 配置域名服务器为202.104.81.245；

8） 提供两种Service，分别为local和internet（需与Radius Server结合起来）；

9） 接入服务器本身的名字为HFC-amnoon。

10） 配置Web Portal页面为/

针对以上需求，其配置步骤为：

1） 将设备附带的一条串行线，把设备的Console口和电脑的Console口相连。

2） 打开电脑的超级终端，超级终端登录时使用默认的参数：速率 9600B/S,数据位8，奇偶校验无，停止位无，流控无。

3） 设备上电，通过超级终端开始配置设备。

4） 设备启动信息打印在超级终端，如有问题会有相应提示信息。

5） 出现login时，设备正常启动。此时，输入默认的用户名amnoon，回车。

6） 出现passwd时，输入默认密码：eaccess，回车。

7） 出现“amnoon>”表示进入到用户模式，此时，用户只能查看一些基本信息和使用ping和traceroute等命令。需要进入到管理模式下，才拥有配置权限。

8） 在用户模式下输入“enable”然后回车，等待出现“password：”提示，输入默

认密码“amaccess”后回车。如果出现“amnoon#”表示已经进入到管理模式，如果没有出现“#”，请检查enable密码是否正确。

9） 在管理模式下，输入configure terminal 进入到配置模式，出现“amnoon-cfg#”，表示目前在全局配置模式下。

10） 配置服务器上行端口，假设将eth0作为上行端口，在配置模式下输入“interface eth0”，出现“amnoon-cfg-eth0#”进入到eth0配置模式下。

a) 配置eth0为普通路由模式，在eth0配置模式下，输入“mode common-ip”，将eth0端口设置为普通路由模式。

b) 配置eth0的IP地址，每一个端口可以配置两个IP地址，在eth0配置模式下输入“ip address 192.168.1.2 255.255.255.0”(如需要配置第二个地址，见interface命令详解)。

c) 配置完成后，使用“exit”退出eth0配置模式。

11） 配置服务器下行端口，假设eth1作为下行端口（用户接入控制端口），在全局配置模式下输入“interface eth1”，出现“amnoon-cfg-eth1#”进入到eth1配置模式下。

a) 配置eth1作为用户接入控制端口，在eth1配置模式下，输入“mode

subscriber”，将eth1端口作为用户控制端口。

b) 配置eth0的IP地址，每一个端口可以配置两个IP地址，在eth0配置模式下输入“ip address 10.1.1.2 255.255.252.0”(如需要配置第二个地址，见interface命令详解)。

c) 配置完成后，使用“exit”退出eth1配置模式。

12） 配置缺省路由（网关）为192.168.1.1，在全局配置模式下输入“route route

0.0.0.0 0.0.0.0 192.168.1.1”。

13） 配置用户接入地址，在全局配置模式下输入“subscriber network 10.1.1.2

255.255.252.0 ”。

14） 配置DHCP Sever。

a) 启用DHCP功能，在全局配置模式下，输入“dhcp service enable”，启用DHCP Server 功能。

b) 配置DHCP地址池，在全局配置模式下，输入“dhcp pool 192.1.1.20

192.1.1.60 255.255.255.0 192.1.1.1”。

c) 配置IP地址租期，在全局配置模式下，输入“dhcp lease 7200”，配置DHCP协议分配IP地址的租期（分钟）。

d) 配置DHCP Server接入端口，在全局配置模式下，输入“dhcp interface

eth1”，将eth1端口配置为DHCP Server接入端口。

15） 配置NAT（地址转换），在全局配置模式下，输入“nat eth0 map 10.1.1.0/22

192.168.1.2 ”

16） 配置radius 服务。

a) 启用radius 认证服务器，在全局配置模式下，输入“radius auth enable”。

b) 配置radius认证服务器端口，在全局配置模式下，输入“radius auth port

1812”

c) 配置radius认证服务器地址和密钥，在全局配置模式下，输入“radius

auth 192.168.1.253 amnoon”。

d) 启用radius计费服务器，在全局配置模式下，输入“radius acct enable”。

e) 配置radius认证服务器端口，在全局配置模式下，输入“radius acct port

1813”

f) 配置radius计费服务器地址和密钥，在全局配置模式下，输入“radius

acct 192.168.1.253 amnoon”。

17） 配置客户端控制参数。

a) 配置客户端连接服务器IP地址，在全局配置模式下，输入“client-server

addr 10.1.1.1”。

b) 配置用户不能通过NAT认证，在全局配置模式下，输入“client-server

nat-auth disable”。

c) 配置允许radius认证，在全局配置模式下，输入“client-server

radius-auth enable”。

18） 配置服务internet和local，在全局配置模式下，输入“servicename

internet”和“servicename local”。

19） 配置管理用户，在全局配置模式下，输入“user name manager password

aaa”。

20） 配置DNS服务器，在全局配置模式下，输入“dns primary 202.104.81.245”。

21） 配置强制Web Portal。

a) 打开强制Web Portal开关，在全局配置模式下，输入“portal

redirect-home-url”。

b) 配置Web Portal页面，在全局配置模式下，输入“portal home-url

/”

22） 配置完成，保存配置文件，在全局配置模式下，输入“write”。

3.2.4

补充说明：

用户策略的控制需要与Radius服务器结合起来。其中对用户最高速率的限制是在Radius后台系统设置，通过Radius属性传送到接入服务器实现（参见Radius属性说明）。

对用户服务的控制应该在Radius和AM BRAS同时配置相关的ACL规则。（参见ACL配置命令）

四、 命令详解

在本设备中，命令的操作有四种模式：用户模式、特权模式、全局配置模式、端口配置模式。用户模式以“>”作为命令提示符，特权模式以“＃”作为命令提示符，全局配置模式以“cfg＃”作为命令提示符，端口配置模式以“cfg-ethX＃”作为命令提示符。

用户模式只能查看系统的相关配置，不能进行任何配置操作；配置模式中用户可以实现各种系统功能的操作。从用户模式进入特权模式时，先输入enable，再根据提示输入密码；默认的进入特权模式的密码是amaccess。只有在特权模式下才可以进入到全局配置模式，进入全局配置模式可以在管理模式下输入“configure

terminal”。只有在全局配置模式下才可以进入到端口配置模式下，在全局配置模式下输入“interface ethX”。

系统中支持使用的快捷（热）键包括了：

Moving cursor hotkeys（移动光标快捷键）:

Ctrl-B Moves back a single character, = Left Arrow

Ctrl-F Moves forward a single character, = Right Arrow

Ctrl-A Moves to the beginning of the line, = Home

Ctrl-E Moves to the end of the line, = End

Edit hotkeys（编辑快捷键）:

Ctrl-H Delete the previous character, = Backspace

Ctrl-D Delete current character, = Delete

Issue 'exit' command if line is empty

Ctrl-W Delete last word

Ctrl-K Delete from current position to the end of line

Ctrl-U Delete entire line

History hotkeys（历史命令快捷键）:

Ctrl-P Moves back through history, = Up Arrow

Ctrl-N Moves forword through history, = Down Arrow

Others（其它快捷键）:

Ctrl-L or Ctrl-R Redraw current line

另外在输入命令时可以使用TAB键补全命令

在本设备中，IP地址和掩码一般用4位点分十进制数表示，而掩码有时也用10进制数表示。

各命令具体的解释如下：

4.1

【用法】：?

【权限】：全部权限。

【作用】：显示当前模式下可用命令。

【例如】:

➢ amnoon> ?

enable Enter enable level or modify enable password

exit Exit from current level

help Get help information

hostname Display or set host name

ping ICMP echo test

traceroute Trace routing path

显示当前命令模式下的可用命令。

4.2

access-list

【用法】： access-list 0/1/2/3/4/5/6/7 mode block/only/pass

access-list 0/1/2/3/4/5/6/7 enable/disable

access-list 0/1/2/3/4/5/6/7 get/put

【权限】：全局配置权限。

【作用】：第一条命令定义指定编号的access-list规则的行为是阻止（block）、放行（pass）、只允许（only）。access-list规则由：一个服务名和若干IP地址段组成。如选择block,就是对用户访问规则内地址进行阻止，其他放行；如选择pass,就是对用户访问这些地址放行，并统计流量；如选择only,就是只允许用户访问规则内地址，并统计流量。当用户进行认证时，选择了相应的servicename或由radius后台系统指定，那么该用户就只能根据该servicename相关联的access-list规则进行访问控制。采用该命令控制，可控制用户对网内和网外的访问，并进行流量统计。

第二条命令指定相应的access-list规则是否开启。

第三条命令是从指定的TFTP服务器上下载或者上传对应规则的配置文件。

【例如】：

➢ amnoon-cfg # access-list 0 mode block

配置access-list 0 的工作模式为阻止访问。

➢ amnoon-cfg # access-list 0 enable

配置access-list 0 规制启用。

➢ amnoon-cfg # access-list 0 get 192.168.1.101

将access-list 0 规则的配置文件从TFTP Server 192.168.0.168下载到BRAS.

【注意】：

1、 aclcfg文件的必须是txt文件，命名以能够表明access-list相关内容为原则。

2、 aclcfg文件的格式为：

vod

192.168.2.0 255.255.255.0

其中vod为servicename,192.168.2.0 255.255.255.0是vod服务对应的IP地址。

3、 如果多次上传配置文件，在上传前先执行access-list 0/1/2/3/4/5/6/7

disable命令，上传完文件后再执行enable命令，使新的accesss-list规则生效。

4.3

arp

【用法】：arp bind

arp delete

【权限】：全局配置模式和特权配置模式。

【作用】：绑定、删除ARP表项。特权模式的权限仅有删除ARP绑定功能。

【例如】：

➢ amnoon-cfg # arp bind 192.168.0.1 00:01:02:97:89:25

将192.168.0.1 和它的MAC地址00:01:02:97:89:25绑定，使其成为静态ARP表项。这个命令主要目的是为了防止设备对接时因为ARP协议配合不好而导致通信中断的情况发生，用户可以根据现场具体情况进行配置。注：MAC地址规格是XX:XX:XX:XX:XX:XX。

➢ amnoon-cfg #arp delete 192.168.0.1

删除绑定的ARP表项中关于192.168.0.1的绑定。

【相关命令】：

show、no

注意：no arp bind IP 和 arp delete IP的区别是，no arp bind IP命令会将配置文件（CF卡内）和内存中保存的绑定信息删除，而arp delete IP命令只是将内存中的绑定信息删除。当设备重新启动时，系统还会根据配置文件中是否绑定MAC来起作用。

Arp delete IP 时show arp会发现没有了指定IP的绑定信息，no arp bind IP

时会发现show arp和show running-config都没有了手工绑定的IP信息。

4.4

bonding

【用法】：bonding bond<0-3>

bonding setup max_bonding <1-4> interval

【权限】：全局配置权限。

【作用】：配置BRAS绑定多个物理端口为一个虚拟端口的相关配置.

【例如】：

➢ amnoon-cfg# bonding bond0

amnoon-cfg-bond0#

进入到端口bond0的配置模式

➢ amnoon-cfg# bonding setup max_bonding 1 interval 100

可以配置的虚拟端口数最大为1，端口的检查间隔为100ms。

【注意】：

bonding提供的虚拟端口只支持负载均衡模式，其他模式不提供。BRAS最多只能提供4个虚拟端口。

【相关命令】：

ip-bond、port-bond、mode-bond

4.5

bridge

【用法】：bridge group <0-3> input eth<0-3> output eth<0-3>

bridge mode

bridge group <0-3> port-address

bridge group <0-3> out-address <

ipaddress>

bridge group <0-3> pass-no-ipproto

【权限】：全局配置权限。

【作用】： 配置BRAS的桥工作模式和相关配置.

第一条命令是桥工作模式时桥的入口和出口的对应关系。

第二条命令是桥工作模式是否开启。

第三条命令是桥工作模式时接入端口的IP地址(必须是桥input端口的IP地址)。

第四条命令是桥工作模式下，和出口相连接的相关主机的IP地址。

第五条命令是桥工作模式下，是否允许通过非IP协议栈的数据包通过。

【例如】:

➢ amnoon-cfg # bridge group 0 input eth1 output eth0

配置第0组桥，端口eth1桥接到端口eth0上。

➢ amnoon-cfg # bridge mode enable

将桥模式打开。

➢ amnoon-cfg # bridge group 0 port-address 10.1.1.2

配置第0组桥，桥模式的接入端口地址为10.1.1.2（注：必须是桥input端口的IP地址，且桥input端口端口必须作为认证端口，具体命令详见interface命令详解）。

➢ amnoon-cfg # bridge group 0 out-address 10.1.1.1

配置第0组桥，桥模式的出口连接主机地址10.1.1.1.

➢ amnoon-cfg # bridge group 0 pass-no-ipproto enable

配置第0组桥，桥模式下，允许非IP协议栈数据包通过。

【相关命令】：

interface eth<0-7>、show、no

注意：目前的产品版本支持任意端口作为桥接的输入口或者输出口，早期产品只支持eth0作为输出口，其它口作为输入口。设备支持最多4组桥接模式。

4.6

cfg

【用法】：cfg put|get tftp_server filename cfg restore

cfg irq_smp put|get tftp_server filename

cfg clean_irq_smp

cfg run_irq_smp

【权限】：全局配置权限。

【作用】：从tftp服务器获取或保存配置文件，一般情况下建议从上行接口上传或者下载配置文件。这样能够避免有时配置下行接口为认证口时，而用户没有认证而进行配置文件的上传或者下载导致的失败行为。

从tftp服务器获取或保存设备启动脚本，该脚本文件在设备启动并且配置好参数后运行，主要作用是：指定设备网络端口绑定到不同CPU内核看，提高系统效率。

【例如】：

➢ amnoon-cfg #cfg get 192.168.1.101

从tftp服务器（地址为192.168.1.101）中获取名字为的文件作为自己的配置文件。

注意：如果要使文件生效，你可以在下载完成该文件直接执行reboot命令，使系统重新启动后调用新的配置文件，不要去执行write命令，否则还会把当前使用的配置文件作为启动配置文件来调用。

推荐使用cisco TFTP Server 软件，传送文件前请先用Ping命令检查网络的连通性，同时要正确设置文件路径和文件名。

➢ amnoon-cfg #cfg put 192.168.1.101

把当前系统的配置文件上传到地址为192.168.1.2的tftp服务器上，并命名为。

➢ amnoon-cfg #cfg restore

将配置文件恢复成出厂默认配置，出厂默认配置是对任何参数都不予以配置（除了系统默认的参数）。

➢ amnoon-cfg #cfg irq_smp get 192.168.1.101

从tftp服务器（地址为192.168.1.101）中获取名字为的文件作为设备启动并配置后的运行脚本。通过show irq_smp可以看文件内容。

➢ amnoon-cfg #cfg clean_irq_smp

删除设备的运行脚本。

➢ amnoon-cfg #cfg run_irq_smp

运行设备的运行脚本。

4.7

client-server

【用法】：client-server addr

client-server nat-auth enable/disable

client-server chg-nat-normal enable/disable

client-server local-auth enable/disable

client-server radius-auth enable/disable

client-server chk-zone enable/disable

client-server chk-version

【权限】：全局配置权限。

【作用】：在使用专有客户端作为认证模式时，对客户端认证相关参数进行配置。

第一条命令是配置相对专有客户端来说的服务器地址。一般情况下，选择和下行端口同样的IP地址，当有多个接入端口或者采用多组桥时，可配置上行端口地址或者IP地址：1.1.1.1。

第二条命令控制是否允许NAT后用户（用户主机地址经过了地址转换）认证。

第三条命令控制是否将NAT后认证用户作为普通用户认证。

第四条命令控制是否允许客户端进行本地认证。

第五条命令控制是否允许客户端进行radius认证。

第六条命令控制是否检查用户输入域名是否是设备配置的服务名

第七条命令控制设备发现客户端软件低于所设置的版本号，要求客户端升级。

【例如】：

➢ amnoon-cfg # client-server addr 10.1.1.1

配置采用客户端认证时服务器的IP地址为10.1.1.1。

➢ amnoon-cfg # client-server nat-auth enable

配置用户使用客户端登录时可以在NAT设备（如小路由等）之后。

➢ amnoon-cfg # client-server chg-nat-normal enable

启用将NAT后认证用户作为普通用户认证功能。

➢ amnoon-cfg # client-server local-auth enable

针对客户端认证，允许本地账户进行认证。

➢ amnoon-cfg # client-server radius-auth enable

允许客户端进行Radius认证。

➢ amnoon-cfg # client-server chk-zone enable

允许客户端进行用户域输入检查。

➢ amnoon-cfg # client-server 3.1.1 192.168.1.99/

检查客户端版本，低于3.1.1到地址192.168.1.99/进行升级。

注：Amnoon后台支持对客户端版本进行检查和要求升级，如果不使用Amnoon后台，可以配置该命令，设备会进行客户端版本检查。

【相关命令】：

show client-server-config，show client-server-statistics

4.8

configure

【用法】：configure terminal

【权限】：管理权限。

【作用】：由特权模式进入到全局配置模式。

【例如】：

➢ amnoon # configure terminal

在特权模式下进入到全局配置模式

4.9

date

【用法】：date

Date

【权限】：全局配置权限。

【作用】：配置和显示BRAS系统时间

【例如】：

➢ amnoon-cfg # date

➢ amnoon-cfg # date .00

设置时间为：2010年01月01日12点00分00秒

【注意】：

系统在运行过程中，不要更改系统时间，用户连接计时同系统时间有关，更改后需要重新启动设备。

4.10

dhcp

【用法】：dhcp interface eth<0-7>

dhcp lease

dhcp pool [lease ]

dhcp service enable/disable/restart

dhcp relay

dhcp relay enable/disable

dhcp vlan-work enable/disable

【权限】：全局配置权限。

【作用】：配置DHCP 相关参数

➢ dhcp interface eth<0-7>

设置DHCP输入端口。当启用DHCP Server功能时，该端口的用户可以通过DHCP分配地址。

➢ dhcp pool [ lease ]

当AM BRAS作为DHCP Server时，配置DHCP地址池中分配给用户的起始IP地址、结束IP地址、掩码、网关等参数。

➢ dhcp lease

设置DHCP协议分配IP地址的租期。

➢ dhcp server enable/disable/restart

开启/关闭/重启AM BRAS的DHCP Server功能。

➢ dhcp relay

不起用本机的DHCP Server，配置将用户主机DHCP请求 relay指向的DHCP

Server IP地址。

➢ dhcp relay enable/disable

开启或者关闭AM BRAS的DHCP relay功能。

➢ dhcp vlan-work enable/disable

配置当接入interface ethx 端口接收的数据打了Vlan标签，为802.1Q数据包时，是否响应DHCP请求。注意：如数据包有vlan标签，DHCP Server缺省是不响应该用户主机DHCP请求。

【例如】：

➢ amnoon-cfg #dhcp interface eth1

设置eth1口为DCHP Server的接入端口，该端口连接的用户可使用DHCP协议进行地址分配。

➢ amnoon-cfg # dhcp address 10.1.1.2 10.1.1.254 255.255.255.0 10.1.1.1

当AM BRAS作为DHCP Server时，分配10.1.1.2开始，到10.1.1.243IP地址分配给用户，该子网的掩码是255.255.255.0，用户网关地址为10.1.1.1。

➢ amnoon-cfg #dhcp relay 192.168.1.1

作为中继网关，向IP地址为192.168.1.1 DHCP Server中继用户的DHCP请求。

➢ amnoon-cfg #dhcp lease 600

设置DHCP分配的IP地址租期为600分钟。

➢ amnoon-cfg dhcp server enable

AM BRAS启用DHCP Server功能。

➢ amnoon-cfg dhcp vlan-work enable

如接入端口打了vlan标签，响应dhcp请求。

【注意】：

A、当配置AM BRAS为DHCP Relay功能时，必须执行dhcp server disable命令。

B、目前的版本只支持一个端口作为dhcp relay，暂不支持多端口作为dhcp relay。

C、当AM BRAS工作在桥接模式下时，目前系统不能作为DHCP Server进行地址分配。

【相关命令】：

subscriber network

show、no

4.11

dns

【用法】：dns primary

dns secondary

【权限】：全局配置权限。

【作用】：配置（主、备）域名服务器，注意该命令只针对Web认证和客户端认证生效，对PPPoE用户不生效。

【例如】：

➢ amnoon-cfg # dns primary 202.96.128.166

➢ amnoon-cfg # dns secondary 202.96.128.86

4.12

enable

【用法】：enable [passwd]

【权限】：用户、全局配置权限。

【作用】：从用户模式进入到特权配置模式，需要输入密码（仅用户模式）。修改enable密码（仅全局配置权限）。

【例如】：

➢ amnoon> enable

进入管理模式。

➢ amnoon-cfg# enable passwd

修改enable的密码，需要输入2次确认。

【注意】:为了保证系统的安全，强烈建议用户修改默认的enable密码。Enable密码修改后，无论是telnet登陆还是console口管理，都必须使用修改后的密码进行登陆。

4.13

exit

【用法】：exit

【权限】：全部权限。

【作用】：退出当前模式。

【例如】:

➢ amnoon# exit

amnoon>

退出管理模式。

4.14

filter

【用法】：filter block/pass in/out interface [protocol] src_ip_pool

[srcport] dst_ip_pool [dstport]

filter set-tos in/out interface [protocol] src_ip_pool [srcport]

dst_ip_pool [dstport] tos_flag

filter flush-rules

src_ip_pool 和dst_ip_pool格式为ip/prefix，其中ip为ip地址段，prefix为地址中网络部分所占位数（十进制表示的掩码位数）。

【权限】：全局配置权限。

【作用】：设置、清除或者显示报文过滤信息，。

【参数说明】：

interface 端口(例如eth0， eth1等）；

block/pass 阻塞/通过；

in/out 进入/输出（针对端口而言）；

protocol 针对的协议(icmp/udp/tcp)；

src 源地址(地址/掩码)；

srcport (可选) 源端口 ；

dst 目的地址(地址/掩码)；

dstport (可选) 目的端口。

tos_flag 设置IP TOS标识(Min-Delay/Max-Throughput/Max-Reliability/

Min-Cost/Normal)最小延时/最大处理量/最大可靠性/最小消耗/普通

【例如】：

➢ amnoon-cfg# filter flush-rules

清除所有过滤规则。

➢ amnoon-cfg# filter pass in eth0 tcp 10.123.15.0/24 0 10.123.15.67 23

在端口eth0上针对出去的tcp数据设置过滤规则，让源地址在10.123.15.1 ～

10.123.15.254网段，目的地址为10.123.15.67、目的端口为23的数据包通过。

➢ amnoon-cfg #

filter block in eth0 tcp any 0 10.123.15.67 23

在端口eth0针对出去的tcp数据设置过滤规则，阻止所有其它任何源IP地址、源端口，目的地址为10.123.15.67、目的端口为23的数据包。

➢ amnoon-cfg #

filter block in eth1 tcp any 0 any 135-139

在端口eth1针对出去的tcp数据设置过滤规则，阻止所有目的端口为135－139的数据包通过。

➢ amnoon-cfg #

filter block in eth1 tcp any 0 any 135-139

在端口eth1针对出去的tcp数据设置过滤规则，阻止所有目的端口为135－139的数据包通过。

➢ amnoon-cfg #

filter set-tos in eth1 tcp 192.168.1.0/24 any

211.147.240.144 80 Min-Delay

在端口eth1上设置192.168.1.0/24 访问211.147.240.144 80端口TOS标识设定为最小延时。

【注意】：

A、当端口为0时表示全部端口。

B、为了保证系统的安全，建议在现场调试时block掉135，137，138，139，445，554，icmp等端口和协议，防止病毒报文的传播。

【相关命令】：

show、no

4.15

ha

【用法】：

ha syn-srv ipaddress key

ha syn-timeout <10-30>

ha syn-session {disable|enable}

ha port eth<0-7> ipaddress [ ref ipaddress]

ha alive-timeout <3-30>

ha mon {disable|enable}

【权限】：全局配置权限。

【作用】：配置热备参数。

【例如】：

➢

amnoon-cfg# ha syn-srv 10.100.1.2 key amnoon

配置主备BRAS相互同步在线用户信息所对应的BRAS IP地址和通信密钥。主备BRAS都需要配置该配置。该功能起作用，需要启动ha, 即配置：ha mon enable.

➢

amnoon-cfg#

ha syn-timeout 15

配置主备设备BRAS同步在线表超时重新连接的时间（时间单位秒）

➢ amnoon-cfg# ha syn-session disable

配置热备设备BRAS同步在线表功能为不启用。

➢ amnoon-cfg# ha port eth2 192.168.1.172 ref 192.168.1.254

配置热备设备监控端口为eth2，监控地址192.168.1.172 网关为192.168.1.254。

➢ amnoon-cfg# ha port eth3 10.1.3.1

配置热备设备监控端口为eth3，监控地址10.1.3.1。

➢ amnoon-cfg# ha alive-timeout 5

配置热备设备监控端时间间隔为5秒。

➢ amnoon-cfg# ha mon enable

配置热备设备BRAS监控启用。

【注意】：

热备功能需要在路由模式下运行。工作原理为：备BRAS启动一个监控程序,

实时监控的主BRAS端口IP地址是否被占用，如果没有占用（主BRAS可能出问题）,同时相连的路由器是在工作，就占用监控的主BRAS的端口IP地址（代替主BRAS）. 否则就保持不断监控状态.

举例如下:

环境假设：

出口网络: 10.10.10.0 255.255.255.0 出口路由: 10.10.10.1

接入网络: 192.168.1.0 255.255.255.0 接入路由: 192.168.1.1

分配给BASE地址: 出口eth0: 10.10.10.128 入口eth1: 192.168.1.128

同时运行: A, B 2个BRAS, A为主, B为备.

具体配置：

采用主备方式,出入口还需要挑选2个地址为启动地址.（用interface命令配置）

入口选: A配置eth1 192.168.1.129 B配置eth1 192.168.1.130

出口选: A配置eth0 10.10.10.129 B配置eth0 10.10.10.130

A BRAS:

ha port eth0 192.168.1.128 ref 192.168.1.1

机器启动eth1用: 192.168.1.129地址, 然后查看192.168.1.128 是否没有被主机占用, 而192.168.1.1(ref) 被其他主机占用, 如果条件合适, 将配置eth1为: 192.168.1.128

ha port eth1 10.10.10.128 ref 10.10.10.1

入口ref可以不配置,不过,出口必须配置

ha mon enable

B BRAS(同A一样):

ha port eth0 192.168.1.128 ref 192.168.1.1

ha port eth1 10.10.10.128 ref 10.10.10.1

ha mon enable

如果想让备BRAS（B）实时同步主BRAS(A)在线用户信息，需要配置：

建议在第eth3端口, 配置A, B BRAS通起来, 也可以用eth0, eth1地址,不过需要用ha port监控的地址.

A BRAS:

ha syn-srv

ha syn-session enable

B BRAS:

ha syn-srv

ha syn-session enable

说明：

client server 配置实际地址. 也就是: 192.168.1.128 或者 10.10.10.128

interface ethx 配置启动地址,不要同 ha 监控占用地址一样.

主备BRAS不能一起启动,需要错开1分钟以上时间。

可以配置ha syn-session disable, 当备BRAS 代理主BRAS时，用户需要重新认证. 一般环境, 建议不启动同步在线用户信息, 比较浪费资源.

4.16

help

【用法】：help

help

【权限】：全部权限。

【作用】： 显示帮助和命令帮助。

【例如】：

amnoon＃help configure

Usage:

configure terminal

4.17

hostname

【用法】：hostname

【权限】：全部权限。

【作用】：显示本机器的名字（其它权限）、配置本机器的名字（全局配置权限）。

【例如】：

➢ amnoon-cfg# hostname bras

bras-cfg#

定义主机名为 bras。

➢ bras# hostname

bras

显示主机名。

4.18

interface

【用法】：interface eth<0-7>

【权限】：全局配置权限。

【作用】：进入到端口配置模式。

【例如】：

➢ amnoon-cfg#inerface eth0

amnoon-cfg-eth0#

进入到端口eth0的配置模式

【相关命令】：

ip、mode、vlan-tag，swmod, pppoe_server等

4.19

ip-bond

【用法】：ip-bond address [secondary]

【权限】：虚拟端口配置权限。

【作用】：配置虚拟端口的IP地址。

【例如】：

➢ amnoon-cfg-bond0# ip-bond address 192.168.1.1 255.255.255.0

【相关命令】：

bonding

4.20

ip

【用法】：ip address [secondary]

【权限】：端口配置权限。

【作用】：配置端口的IP地址。

【例如】：

➢ amnoon-cfg-eth0# ip address 192.168.1.1 255.255.255.0

【相关命令】：

interface

4.21

license

【用法】：license get

license limit_get

【权限】：全局配置模式。

【作用】：获取新的正式和临时license。

【例如】：

➢ amnoon-cfg# license get 10.243.1.100 lic090301

从IP地址为10.243.1.100的TFTP服务器上获取文件名为lic090301的license文件。

【注意】：

请不要随意使用该命令，请在技术支持工程师的协助下升级license，避免您的设备无法正常工作。

4.22

local-user

【用法】：local-user authentication enable/disable

local-user name password

【权限】：全局配置模式。

【作用】：本地认证用户功能开启和配置。

【例如】：

➢ amnoon-cfg# local-user authentication enable

开启本地用户认证功能。

➢ amnoon-cfg# local-user name test1 password test1

配置用户名为test1密码为test1的本地认证用户。

【注意】：

本地认证用户配置只与用户接入认证（Web，PPPoE，Client）相关，本地认证用户不能作为本设备的管理账户来使用。

【相关命令】：

no、show、client-server。

4.23

logger

【用法】：logger enable/disable

Logger

【权限】：全局配置模式。

【作用】：上网日志功能开启/关闭和配置相关命令。

【例如】：

➢ amnoon-cfg# logger enable

开启本地用户认证功能。

➢ amnoon-cfg# logger 192.168.1.100 eth3 00:90:0b:10:30:e0

指定eth3作为日志信息发送端口，日志接收服务器的IP为192.168.1.100，连接eth3的设备为00:90:0b:10:30:e0（如果直接连接(中间接了交换也算)日志服务器为日志服务器端口MAC地址，如果不是，就是连接BRAS到日志服务器的路由器端口MAC地址。

4.24

l2tp_server

【用法】：l2tp_server {disable|enable}

【权限】：端口配置模式。

【作用】：在端口配置l2tp server是否启用。

【例如】：

➢ amnoon-cfg-eth1# l2tp_server enable

在端口eth1上开启l2tp_server。

4.25

m_routing

【用法】：m_routing gw1 eth<0-8> weight <1-252> gw2

eth<0-8> weight <1-252>

【权限】：全局配置模式。

【作用】：配置多路由出口的配置相关命令。

【例如】：

➢ amnoon-cfg# m_routing gw1 <192.168.1.254> eth0 weight 100 gw2

172.16.1.1 eth1 weight 100

配置多出口路由，第一个出口网关是在eth0 上，地址是192.168.1.254 权重为100，第二个出口网关是在eth1口上，地址是172.16.1.1 权重也是100

【注意】：

weight是配置的权重，如果两个权重相同的话，会在两个出口之间均衡选择；如果那个路由权重较高，会优先选择权重高的出口路由。

4.26

mode

【用法】： mode

【权限】：端口配置模式。

【作用】：配置端口的工作模式。

【例如】：

➢ amnoon-cfg-eth0#mode command-ip

把eth0端口配置成普通路由工作模式，用于设备间的互联。

➢ amnoon-cfg-eth1# mode subscriber

把eth1端口配置成用户接入模式，即该端口作为认证用户接入的端口。

【注意】:

请确定好上行和下行端口后，再进行该命令配置。否则容易出现设备无法接入网络或者无法进行用户控制。在subscriber工作模式下，一定要对所控制的接入用户网段进行配置（命令详见 subscriber命令详解）。

【相关命令】：

interface、subscriber

4.27

mode-bond

【用法】：mode-bond

【权限】：虚拟端口配置模式。

【作用】：配置虚拟端口的工作模式。

【例如】：

➢ amnoon-cfg-bond0# mode-bond command-ip

把bond0端口配置成普通路由工作模式，用于设备间的互联。

➢ amnoon-cfg-bond1# mode-bond subscriber

把bond1端口配置成用户接入模式，即该端口作为认证用户接入的端口。

【注意】：

请确定好上行和下行端口后，再进行该命令配置。否则容易出现设备无法接入网络或者无法进行用户控制。在subscriber工作模式下，一定要对所控制的接入用户网段进行配置（命令详见 subscriber命令详解）。

【相关命令】：

bonding、subscriber

4.28

multicast

【用法】： multicast {upstream|downstream} eth<0-7>

multicast upstream network

multicast igmp-proxy {enable|disable}

【权限】：全局配置模式。

【作用】：配置组播。

【例如】：

➢ amnoon-cfg# multicast upstream eth0

配置组播上行端口为eth0

➢ amnoon-cfg# multicast downstream eth1

配置组播下行端口为eth1

➢ amnoon-cfg# multicast upstream 192.168.1.0 255,255.255.0

对于组播源和bras的上行端口不在一个网段的，配置组播服务器地址

➢ amnoon-cfg# multicast igmp-proxy enable

启用组播功能。

4.29

nat

【用法】：nat map/redirect [srcport port]

[dstport port]

nat flush-rules

src_ip_pool 和map_ip_pool格式为ip/prefix，其中ip为子网地址，prefix为地址中网络部分所占位数（即10进制表示的掩码长度）。

【权限】：全局配置模式。

【作用】：配置地址转换表。该命令应该完成interface相关配置之后进行设置。一般地， src_ip_pool是某个地址池中的一段地址。

map是对源地址进行映射，改变数据包的源地址，对数据的目的地址不做任何改变,就是常说的动态NAT。

redirect是对目的地址进行改变，重新定向数据的目的地址，对数据的源地址不做任何改变（有的也称静态NAT，或者反向NAT）。

【注意】：

使用redirect规则时，重定向的地址只能是一个，因此掩码都应该是32。并且src_ip_pool地址应该是外部地址，为内部地址。

【参数说明】：

interface 端口(例如eth0， eth1等）；

map/redirect 映射/重定向；

src_ip_pool 源ip地址(ip/mask)；

srcport port (用于redirect规则，指定目的地址的端口，可选)；

map_ip_pool 目的ip地址(ip/mask)；

dstport port (用于redirect规则，指定转向后的端口， 可选)；

【例如】:

➢ amnoon-cfg# nat eth0 map 10.1.1.0/24 192.168.1.2

在绑定了端口eth0的上行接口上，将地址为10.1.1.0到10.1.1.255的地址转换为192.168.1.2的地址上。

➢ amnoon-cfg# nat eth0 redirect tcp 192.168.1.2/32 2323 10.1.1.33 23

在eth0端口上，把所有访问192.168.1.2的2323端口的数据包重定向到10.1.1.33的23端口去。

➢ amnoon-cfg# nat flush-rules

删除所有nat规则和连接。

4.30

no

【用法】：no arp bind 删除arp绑定

no bonding setup max_bonding <1-4> interval

删除虚拟端口和相关配置

no bridge out-address 删除桥接模式下对应出口地址

no dhcp interface eth<0-7> 删除DHCPServer输入端口

no dhcp pool < begin_ip >

删除DHCP地址池

no filter interface block/pass in/out [protocol]

src_ip_pool [srcport] dst_ip_pool [dstport]

地址

规则

删除filter规制

no ha port eth<0-7> [ref] [ip address]

删除热备参数

no m_routing gw1 eth<0-8> weight <1-252> gw2

eth<0-8> weight <1-252>

删除多出口路由配置

no multicast downstream eth<0-7> 删除组播下行端口配置

no local-user name 删除本地认证用户

no nat map/redirect [srcport port]

[dstport port]

删除NAT规则

no ntpdate 删除网络时间协议配置

no ntpserver upaddr 删除的上一级ntp server no ntpserver allow 删除ntpserver的访问no oe_session 删除指定IP地址的用户连接

（强制用户下线，只针对pppoe认证用户）

no pnp interface eth<1-1> 删除端口PNP（即插即用）配置

no policy_rt table 删除名字为word策略路由表

no policy_rt rule pref <1-32765> 删除优先级为<1-32765>策略路由规则

no pppoe pool <0-7> 删除pppoe地址池

no pppoe pool <0-7> [fix] [ip address] [num]

删除pppoe地址池的绑定ip信息

no radius vlan <1-4095> 删除认证vlan用户信息

no route 删除静态路由

no servicename 删除服务名

no session 删除指定IP地址的用户连接（强制用户下线，只针对web认证用户和客户端认证用户）

no snmp trap 删除snmp服务器信息

no subscriber network/pass/free-dst/port-pass

删除用户（IP地址）控制信息

no syslog remote 删除远程日志服务器地址

no user name 删除管理用户

【权限】：全局配置模式

【作用】：删除相关配置。

➢ no user/servicename name

删除本地用户认证用户，删除配置的服务名的参数。

➢ no bridge out-address ipaddress

删除桥模式下和出口连接的指定地址。

➢ no dhcp interface eth1

删除端口eth1作为DHCP入口。

➢ no session ip

强制指定IP地址的用户下线

【例如】:

➢ amnoon# no user admin

删除用户名为admin的本地用户。

➢ amnoon# no servicename serv1

删除名字为serv1的服务。

➢ amnoon#no snmp trap 192.168.1.100

删除snmp 服务器 192.168.1.100。

➢ amnoon#no session 10.1.2.23

强制在线用户10.1.2.23下线。

【相关命令】

arp、bonding、bridge、dhcp、filter、ha、local-user、m_routing、multicastnat、ntpdate、ntpserver、oe_session、pnp、policy_rt、pppoe、radius、route、servicename、session、snmp、subscriber、syslog、user。

4.31

ntpdate

【用法】：ntpdate {enable|disable}

ntpdate interval

【权限】：全局配置权限。

【作用】：启动ntp协议，作为ntp的客户端，向远端ntp服务器同步时间。

【例如】:

➢ amnoon# ntpdate enable

启动ntp客户端。

➢ amnoon# ntpdate 192.168.1.100 interval 1

每小时向ntpserver 192.168.1.100 同步一次时间。

【相关命令】：

ntpserver。

【注意】：

ntpserver和ntpdate不能同时enable。

4.32

ntpserver

【用法】：ntpserver {enable|disable}

ntpserver upaddr

ntpserver alllw all

ntpserver alllw

【权限】：全部权限。

【作用】：配置BRAS作为ntpserver及其相关配置。

【例如】:

➢ amnoon-cfg#ntpserver enable

启动ntpserver。

➢ amnoon-cfg#ntpserver upaddr 192.168.21.100

设置ntpserver的上一级ntp server地址为192.168.21.100

➢ amnoon-cfg#ntpserver allow all

设置ntpserver 允许所有地址访问（同步时间）

➢ amnoon-cfg#ntpserver allow 192.168.1.0/24

设置ntpserver允许192.168.1.0/24地址端访问ntpserver。

【相关命令】：

ntpdate。

【注意】：

ntpserver和ntpdate不能同时enable；默认ntpserver允许所有地址访问。

4.33

ping

【用法】：ping [-size] [0-65535] –count [0-100]

【权限】：全部权限。

【作用】：检测目标地址的连通性。在运行本命令之前，必须先配置好设备的接口地址或者地址池，并且要检查filter中是否禁用了icmp协议。

【例如】:

➢ amnoon# ping 202.96.196.5

检测目标地址为202.96.196.5的连通性。

【相关命令】：

interface、filter。

4.34

pnp

【用法】：pnp interface eth1

pnp enable|disable

【权限】：全局配置模式。

【作用】：PnP功能配置。

【例如】：

➢ amnoon-cfg# pnp enable

使能PnP功能。

➢ amnoon-cfg# pnp interface eth1

只能在端口eth1上启用PnP功能。

【注意】：

PNP功能会自动学习用户网络配置，然后进行对应配置，让用户配置任何IP地址都能上网，而不用修改机器网络配置。该功能不适合大量用户接入使用，只适合移动办公小型环境使用。

4.35

policy_rt

【用法】：policy_rt table <1-252>

policy_rt table replace <1-252> < table_name>

policy_rt rule

pref <1-32765>

policy_rt rule mark pref <1-32765>

policy_rt flush-rules

【权限】：全局配置模式。

【作用】：配置策略路由。

【例如】：

➢ amnoon-cfg# policy_rt table 1 edu 192.168.1.1

配置策略路由表1的名称edu，缺省网关为192.168.1.1。

➢ amnoon-cfg# policy_rt table replace 1 edu 192.168.1.254

更新策略路由表1的名称edu ,缺省网关为192.168.1.254。

➢ amnoon-cfg# policy_rt rule edu from 172.16.1.0/24 pref 10000

配置策略路由规则从ip地址从172.16.1.0/24来的数据包，从名称为edu路由表

处理（通过edu的缺省网关）。优先级为：10000

➢ amnoon-cfg# policy_rt edu mark 1 pref 10000

配置对打了标签数值为1的数据包，采用edu路由表。数据包打标签，可以根据物理端口号和用户服务名来指定。服务名如何设置mark看servicname命令。对于pppoe接入用户，系统自动对物理端口打标签：20＋端口id, 比如：在物理端口eth1接入的pppoe用户的数据包打标签为：20＋1＝21。

【注意】：

在配置策略路由时，需要先给策略路由配置路由表，路由表名称不能为main，default，以避免和系统冲突。

配置策略路由规则时，可以选择from、to或者from和to全部选择。

系统优先查找高优先级策略路由。

4.36

portal

【用法】：portal home-url

portal home-ext0-url

portal home-ext1-url

portal home-ext2-url

portal req_mac disable|enable

portal redirect-home-url enable|disable

portal redirect-user-url enable|disable

portal ls

portal rm

portal put|get tffp-server portal-file

portal outside enable|disable

【权限】：全局配置模式。

【作用】：配置用户认证通过后强制登录指定url，查看相关portal文件，上传或者下载相关portal文件。

【例如】：

➢ amnoon-cfg# portal outside enable

支持外置Portal认证。

➢ amnoon-cfg# portal home-url

用户认证后强制登录。

➢ amnoon-cfg# portal redirect-home-url enable

启用用户认证后强制页面。

➢ amnoon-cfg# portal get 192.168.1.1

从TFTP Server 192.168.1.1 下载portal页面文件

➢ amnoon-cfg# portal ls

显示所有portal相关文件的清单。

➢ amnoon-cfg# portal rm

删除文件。

➢ amnoon-cfg# portal home-ext2-url /

设备支持多个外置portal服务器，并且可以自动进行负载分担，该命令配置位置第二个服务器地址。

➢ amnoon-cfg# portal req-mac enable

该命令扩展了标准外置Portal协议，在定向地址中加入了用户MAC地址。注意：用户在二层环境才有意义。

➢ amnoon-cfg# portal redirect-user-url enable

用户认证成功后，定向地址为用户初次输入地址。

【注意】：

当配置了使用外置Web Portal认证，portal home-url 需要定义为外置portal的URL地址。

【相关命令】：

no、show

4.37

port-bond

【用法】：

port-bond eth<0-7>

【权限】：虚拟配置模式。

【作用】：配置加入虚拟端口的物理端口。

【例如】：

➢ amnoon-cfg-bond0# port-bond eth0

将物理端口eth0加入到虚拟端口bond0上。

【注意】：

物理端口的工作模式只能是common-ip才可以加入虚拟端口，加入到虚拟端口后，原物理端口所有的配置均被清空。

4.38

pppoe

【用法】：pppoe pool <0-7> address [dns ]

[]

pppoe pool <0-7> fix ip address

pppoe qinq enable|disable

pppoe qinq etype <0x8100>

pppoe lcp {echo_timeout|echo_interval|die_timeout}

pppoe check_mac {enable|disable}

pppoe ctrl_clone {enable|disable}

pppoe cache_auth {enable|disable}

pppoe auth_mode {pap|chap}

pppoe init_sessio <1-4096>

pppoe ipcp {main_dns|second_dns}

pppoe web_portal {enable|disable}

pppoe web_user enable|disable

pppoe web_intervale

pppoe web_durtaion

pppoe hostname

pppoe max_nat_session <0-512>

pppoe chk_srv enable|disable

pppoe ctrl_mark_pool_grp disable|enable

pppoe acct_alive_interval

【权限】：全局配置模式。

【作用】：配置PPPoE相关参数。

【例如】：

➢ amnoon-cfg# pppoe pool 0 address 172.16.0.0 255.255.255.0

配置pppoe pool 0 ，pppoe网关为 172.16.0.0 掩码为255.255.255.0。

➢ amnoon-cfg# pppoe pool 0 fix 172.16.0.1

在pppoe pool 0中配置172.16.0.1地址为固定地址（通过和radius授权使用，对某些有特殊用途的账户分配固定IP）。

➢ amnoon-cfg# pppoe lcp echo_timeout 90

配置pppoe lcp echo_timeout 时间为 90秒，即用户90秒无数据流量，BRAS发送echo数据包给用户，查看用户是否回应echo reply数据包。

➢ amnoon-cfg# pppoe lcp echo_interval 10

配置pppoe lcp echo_interval 时间为 10秒。即用户超时无数据流量，BRAS每隔10秒发送echo数据给用户，直到用户有回应或判断用户已断开连接。

➢ amnoon-cfg# pppoe lcp die_timeout 180

配置pppoe lcp die_timeoute 时间为180秒。即用户超时无数据流量，BRAS发送echo数据给用户无回应，如时间到180秒，主动断开用户连接。

➢ amnoon-cfg# pppoe chechk_mac enable

配置pppoe认证时，检查是否有同一mac地址重复发送拨号请求。此功能可以避免单个MAC地址发出过多的pppoe连接请求，默认为enable。

➢ amnoon-cfg# pppoe cache_auth disable

配置pppoe认证时，关闭缓存功能。

➢ amnoon-cfg# pppoe auth_mode chap

配置pppoe认证时，采用chap认证方式，一般系统默认为chap认证方式。

➢ amnoon-cfg# pppoe init_session 64

配置pppoe server对每个用户的初始化连接状态的最多连接数为64个，用来防止PPPoE攻击。

➢ amnoon-cfg# pppoe ipcp main_dns 202.100.192.68

配置pppoe server提供的DNS为202.100.192.68，配置该参数时必须根据网络实际情况，配置当地可靠的主备DNS服务器。

➢ amnoon-cfg# pppoe hostname amnoon

配置pppoe serve discovery 主机名为amnoon，该参数即为pppoe协议中的AC-Name。

➢ pppoe ctrl_clone enable

打开pppoe防代理功能，该功能需要和pppoe 上网助手软件以及Radius Server配合灵活控制用户是否可以进行PPPoE代理或者小路由器拨号。

➢ pppoe web_portal enable

配置pppoe用户拨号上网后的首页重定向功能打开。

➢ pppoe web_user enable

配置pppoe用户拨号上网后的首页重定向地址带用户信息。

➢ pppoe web_intervale 60

配置pppoe用户拨号上网后，每隔60分钟进行从定向。修改数据包mark为102，需要用iptables配置相应的定向地址（用启动脚本配置）。该项配置为外部插入广告接口，需要同外部广告插入服务器配合使用。

➢ pppoe web_durtaion 30

配置pppoe用户拨号上网后,定向操作时间最大30秒。

➢ pppoe qinq enable

配置端口支持接收打双层Vlan-tag QinQ数据包。

➢ pppoe qinq etype 0x8100

配置QinQ端口第一层打Vlan-tag 数据包的类型为：0x8100。需要同连续设备保持一致。

➢ pppoe chk_srv enable

配置pppoe检查用户是否正确选择服务。

➢ pppoe acct_alive_interval 1200

配置pppoe session 定期发送计费Alive数据包。

➢ pppoe ctrl_mark_pool_grp enable

该项配置把pppoe session 指定服务的mark设置为用户需要选择的pool组ID。通过该配置，可以由后台指定用户服务，从而指定用户可以从多个pool里面选择地址。 同时通过设置服务mark的策略路由，可以配置用户使用不同的出口路由。

4.39

pppoe_server

【用法】：pppoe_server {disable|enable}

pppoe_server max_connect

【权限】：端口配置模式。

【作用】：在端口配置pppoe server是否启用，以及该pppoe server支持的最大连接数。

【例如】：

➢ amnoon-cfg-eth1# pppoe_server enable

在端口eth1上开启pppoe_server。

➢ amnoon-cfg-eth1# pppoe_server max_connect 4096

在端口eth1上，配置pppoe_server 最大连接数为4096个。在启动pppoe server后，系统默认连接数为1024个。

注意：所有端口的用户接入数（包括PPPoE,Client，Portal认证）的总和不能超过该设备允许的最大License数（show version命令可以看到该参数）。

4.40

radius

【用法】: radius auth/acct

radius auth/acct zone prefix/suffix

radius bauth/bacct

radius auth/acct port

radius auth/acct timeout

radius auth/acct retry

radius auth/acct enable/disable

radius nas-ip-address

radius nas-identifier

radius nas-port-type <0-255>

radius vlan <1-4095> nas-identifier

radius called-station-id

radius mon-down enable/disable

radius down-threshold

radius switch-threshold

radius check-main enable/disable

radius main-interval

radius use-long-name enable/disable

radius client-userip enable/disable

radius std-vendor-ext enable/disable

radius send-ext-attr enable/disable

radius free-auth enable/disable

radius decrypt-spec-pwd enable/disable

radius force-ctrl-clone enable/disable

【权限】：全局配置模式。

【作用】：配置远程拨入用户认证服务器和计费服务器相关参数和Radius主备切换功能。

【例如】:

➢ amnoon-cfg#radius auth enable

采用radius认证。

➢ amnoon-cfg#radius auth 202.96.196.2 amnoon

配置认证服务器IP 地址为202.96.196.2, 通信密钥为amnoon。

➢ amnoon-cfg#radius auth zone 192.168.1.9 prefix 130 131

配置当用户名前面含有130和131字符的用户去到192.168.1.9的认证服务器认证。

➢ amnoon-cfg#radius acct 202.96.196.2 amnoon

配置计费服务器IP 地址为202.96.196.2, 通信密钥为amnoon。

➢ amnoon-cfg#radius acct zone 192.168.1.9 prefix 130 131

配置当用户名前面含有130和131字符的用户去到192.168.1.9的计费服务器计费。

➢ amnoon-cfg# radius auth timeout 10

认证请求如10秒没收到应答, 将重发该报文，系统默认的时间为5秒。

➢ amnoon-cfg# radius auth retry 5

当认证报文没有收到Radius Server的响应报文时，AM BRAS 重新发送的认证报文的次数，系统默认的重发次数是3次。

➢ amnoon-cfg# radius auth port 1812

配置认证服务的认证端口为1812。

➢ amnoon-cfg# radius acct port 1813

配置认证服务的认证端口为1813。

➢ amnoon-cfg# radius auth enable

启用raidus认证服务。

➢ amnoon-cfg# radius acct enable

启用radius计费服务。

➢ amnoon-cfg# radius bauth 192.168.1.5

配置radius备份认证服务器IP地址（注：端口和密钥和主认证服务器相同）。

➢ amnoon-cfg# radius bacct 192.168.1.5

启用radius备份计费服务器ip地址（注：端口和密钥和主认证服务器相同）。

➢ amnoon-cfg# radius nas-ip-address 192.168.1.2(连接RADIUS的那个接口的IP)

配置radius服务接入服务器IP地址为192.168.1.2。注：这个会与认证和计费服务相关，请与BRAS其中一个端口的IP地址相同

➢ amnoon-cfg# radius nas-identifier HFC-host

配置radius服务中接入服务器ID为HFC-host。注：这个会与认证和计费服务相关，请与BRAS的hostnam一致。

➢ amnoon-cfg# radius nas-port-type 15

配置radius服务中接入服务器nas-port-type为15， 15为以太网端口类型。

➢ amnoon-cfg# radius valn 100 nas-identifier HFC－test

配置radius服务中对应vlan 100 的用户的接入服务器ID为HFC-host。注：这个会与认证和计费服务相关，请注意配置。

➢ amnoon-cfg# radius mon-down enable

启用监控radius服务器是否在正常工作功能。如果发现radius server不能正常工作，BRAS将不验证用户密码，直接让用户上网。

➢ amnoon-cfg# radius down-threshold 8

配置radius server连续8次无响应，认为radius server故障。

➢ amnoon-cfg# radius switch-threshold 5

配置radius server连续出5次无回应，进行主备radius server切换。

➢ amnoon-cfg# radius check-main enable

配置如用备radius server, 不断监控主radius server 是否恢复工作，如恢复转到主Radius。

➢ amnoon-cfg# radius main-interval 30

每隔30秒监控主radius server是否恢复工作。

➢ amnoon-cfg# radius use-long-name enable

radius转送用户名采用后缀服务名的长格式：用户名@服务名。

➢ amnoon-cfg# radius client-userip enable

启用用户IP地址使用客户端上传IP地址。注：此项功能只用在使用私有客户端认证才有效,当用户在NAT后上网，可以知道用户主机实际IP地址。

➢ amnoon-cfg# radius std-vendor-ext enable

启用在标准属性26上，传送企业私有属性，默认关闭。

➢ amnoon-cfg# radius free-auth enable

启用免认证功能，默认关闭。

➢ amnoon-cfg# radius decrypt-spec-pwd enable

当采用公司专有PPPOE客户端软件时,对特殊加密的用户认证数据进行解码。使用该功能和公司专有客户端配合,可以限制用户必须使用专有客户端PPPOE软件。

➢ amnoon-cfg# radius force-ctrl-clone enable

当采用公司专有客户端软件时,强制启用防克隆功能。主要是在使用第三方AAA软件时采用。

【注意】

当配置radius认证时，需要配置认证、计费服务器的地址、通信密钥、端口号，并且要打开 AM BRAS的认证、计费功能。

比如配置radius-server为192.168.0.111,通信密钥为“amnoon”。

➢ amnoon-cfg# radius auth 192.168.0.111 amnoon

➢ amnoon-cfg# radius auth port 1812

➢ amnoon-cfg# radius auth enable

➢ amnoon-cfg# radius acct 192.168.0.111 amnoon

➢ amnoon-cfg# radius acct port 1813

➢ amnoon-cfg# radius acct enable

在和Radius Server配合时，要配置正确的认证、计费端口。旧的Radius协议定义的认证、计费端口为1645、1646，而新的Radius协议采用的认证、计费端口为1812、1813。

➢ amnoon-cfg# radius switch-threshold 5

设置当有5个用户认证不成功时，将用户认证从主Radius切换到备用Radius。同样当有5个用户认证不成功时用户计费将从主Radius转换到备用Radius。

➢ amnoon-cfg# radius check-main enable

打开主Radius工作状态监控开关，主要作用是当主Radius服务器工作异常时BRAS根据radius main-interval 命令设置的时间间隔定期检测主Radius服务器是否恢复正常工作。当配置一个Radius服务器时，BRAS也认为其是主Radius服务器。BRAS判断主Radius服务器恢复正常的依据是：BRAS发送的account-on报文得到主Radius 服务器的响应。

网络管理员需要根据现场实际环境进行灵活设置。

BRAS支持厂家私有控制属性,需要的用户同技术支持联系.

4.41

reboot

【用法】：reboot

【权限】：特权模式。

【作用】：重启机器。在改变某些敏感配置（例如端口地址或者端口属性）后或根据需要重新启动服务器。

【例如】:

➢ amnoon# reboot

重启机器。

注意：reboot命令执行前，请注意用write命令保存相关配置，以免修改的配置没有保存好。

4.42

route

【用法】：route

【权限】：全局配置模式。

【作用】：配置静态路由表。当在网络实际环境使用时，需要加入若干静态路由或者缺省路由到AM BRAS中，使数据包可以正确到达目的地址。

【例如】:

➢ amnoon-cfg#route 0.0.0.0 0.0.0.0 202.96.196.5

增加缺省静态路由，所有数据包都送到下一跳202.96.196.5。

【相关命令】：

no、show

4.43

servicename

【用法】：servicename [mark <0-19>]

【权限】：全局配置模式。

【作用】：定义服务的名称。

【例如】:

➢ amnoon-cfg# servicename local

定义服务的名称为local

➢ amnoon-cfg# servicename internet mark 2

定义服务的名称为internet， 当接入用户的服务为internet时，用户发送数据包打标志为2。该配置需要同策略路由配合使用。

【相关命令】：

no、show

4.44

show

【用法】：show

【权限】：全部权限。

【作用】：显示系统的各种参数，该命令最为常用。

【例如】:

➢ amnoon# show ?

列出可以显示的各种系统参数。

➢ amnoon# show access-list-config

显示access-list 配置信息。

➢ amnoon# show arp

显示arp表信息。

➢ amnoon# show client-server-config

显示客户端服务配置信息。

➢ amnoon# show client-server-statistics

显示客户端服务统计信息。

➢ amnoon# show cpu_stat

显示系统CPU使用情况。

➢ amnoon# show dhcp-config

显示DHCP配置信息。

➢ amnoon# show fastpath-stat

显示快速路由转发状态。

➢ amnoon# show filter

显示filter（过滤规制）信息。

➢ amnoon# show hardware

显示硬件信息（主要是网卡MAC地址）。

➢ amnoon# show icmp

显示ICMP统计信息。

➢ amnoon# show interface

显示端口配置信息。

➢ amnoon# show interrupts

显示系统终端调用情况。

➢ amnoon# show ip statistics

显示IP统计信息。

➢ amnoon# show ip interface

显示端口的IP地址信息。

➢ amnoon# show ipses-configuration

显示IP Session（用户控制）的配置信息。

➢ amnoon# show local-user

显示本地认证用户。

➢ amnoon# show memory

显示内存使用情况。

➢ amnoon# show nat

显示NAT（地址转换信息）。

➢ amnoon# show netstat

显示网络工作状态（和Linux和 Windows命令相似）。

➢ amnoon# show pnp-config

显示PNP（即插即用）功能配置信息。

➢ amnoon# show portal-config

显示portal（首页重定向功能）配置信息。

➢ amnoon# show radius-config

显示radius配置信息。

➢ amnoon# show radius-statistics

显示radius统计信息。

➢ amnoon# show route

显示路由信息。

➢ amnoon# show running-config

显示正在运行的全部配置信息。

➢ amnoon# show servicename-config

显示服务名配置信息。

➢ amnoon# show ses-list

显示登录用户session。

➢ amnoon# show session

显示单个IP地址的session信息。只显示最后登录10个session信息

➢ amnoon# show ses-statistics

显示session统计信息。

➢ amnoon# show startup-config

显示开机时读入的配置信息。

➢ amnoon# show subscriber-config

显示用户控制配置信息。

➢ amnoon# show system

显示系统信息。

➢ amnoon# show tcp statistics

显示TCP情况统计信息。

➢ amnoon# show udp statistics

显示UDP情况统计信息。

➢ amnoon# show version

显示版本信息。

4.45

snmp

【用法】：snmp community name read|write

snmp sysLocation

snmp sysContact

snmp sysObjectID

snmp trap host [port <1-65535>] community v1|v2c

【权限】：全局配置模式权限。

【作用】：配置snmp协议community及读写权限，trap报文发送的地址和报文的版本号。

【例如】：

➢ amnoon-cfg# snmpcommunity amnoon read

设置设备snmp协议的community参数为amnoon，只有读的权限。

➢ amnoon-cfg# snmp com amnoon write

设置设备snmp协议的community参数为amnoon，具有写的权限。

➢ amnoon-cfg# snmp sysLocation amnoon-network

设置设备snmp 标准MIB库的系统位置信息为: amnoon-network。

➢ amnoon-cfg# snmp trap host 192.168.0.100 community amnoon v2c

将snmp 相关trap信息发送到管理主机192.168.0.100。

【注意】：

BRAS支持厂家的私有MIB库,需要的用户同技术支持联系.

4.46

subscriber

【用法】：

subscriber network

subscriber pass in/out rate-limit <

Downrate>

[vlan ]

subscriber free-dst

subscriber intra-addr [group ]

subscriber intra-grp rate srv

subscriber rctrl-intra-grp enable|disable

subscriber rate-limit

subscriber intra-rate-limit

subscriber ctrl-access-list enable/disable

subscriber access-list-flow all/up/down

subscriber ctrl-rdr-web enable/disable

subscriber ctrl-clone enable/disable

subscriber ctrl-pass-acct enable/disable

subscriber ctrl-grp enable/disable

subscriber ctrl-pass-icmp enable/disable

subscriber ctrl-chk-idle-pass enable/disable

subscriber max-init-session

subscriber ctrl-idle-timeout enable/disable

subscriber idle-timeout

subscriber ctrl-connection-limit enable/disable

subscriber connection-limit

subscriber web-connection-limit

subscriber local-connection-limit

subscriber web-rdr-conn-limit

subscriber port-pass in/out tcp/udp

subscriber close-limit

subscriber icmp-pass

subscriber free-intra-flow enable/disable

subscriber outside-network-pass enable/disable

subscriber close-same-name-ses enable/disable

subscriber flow-time <0-3>

subscriber fastpath enable|disable

subscriber allow-time

subscriber rm-zone enable|disable

subscriber ctrl-zone-srv enable|disable

【权限】：全局配置模式权限。

【作用】：配置用户控制功能，包括所控制IP地址。

【例如】：

➢ amnoon-cfg# subscriber network 192.168.1.1 255.255.255.0

配置192.168.1.0/24为用户接入网段，注意这个地址可以配置的范围比较大。如果接入网段有直通用户，一定也要包含在该地址段内。

➢ amnoon-cfg# subscriber pass in 192.168.1.200 192.168.1.254 rate-limit

1024 2048

配置免认证地址192.168.1.200-192.168.1.254的上下行带宽为1024kbps和2048kbps。该地址段可以从接入口触发建立session，而当配置为subscriber

pass out 192.168.1.200 192.168.1.254 rate-limit 1024 2048时允许从上行方向触发该地址建立session（一般情况下配置out的地址段都是服务器类机器）。

➢ amnoon-cfg#subscriber free-dst 192.168.2.1 255.255.255.0

配置192.168.2.0/24网段为免费访问的地址段，此时用户访问该地址段时带宽不予限制，同时也不需要进行认证。该地址段通常为内部服务器的地址段。免计费和带宽控制地址对pppoe, 专有客户端,webPortal等接入用户都有效.

➢ amnoon-cfg#subscriber intra-addr 192.168.1.0 255.255.255.0 group 1

配置192.168.1.0 255.255.255.0 为内网地址,同时定义为组1。内网地址控制对pppoe, 专有客户端,webPortal等接入用户都有效.

➢ amnoon-cfg#subscriber intra-grp 1 rate 5120 5120 srv vod

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

配置内网地址组1的速度为：5Mbps和5Mbps, 并且定义该组服务名为vod.后台可以传送服务名串（用，号隔离），来定义用户需要控制的内网带宽。

amnoon-cfg#subscriber rctrl-intra-grp enable

设置是否启动后台控制内网组带宽。

amnoon-cfg#subscriber rate-limit 1024 2048

设置所有用户默认上行带宽和下行带宽为1Mbps和2Mbps。如果Radiuis服务器对用户有控制,以Radius服务器返回控制优先.

amnoon-cfg#subscriber intra-rate-limit 10240 10240

配置访问内网地址的上行带宽和下行带宽为10Mbps和10Mbps。

amnoon-cfg#subscriber ctrl-access-list enable

打开用户访问控制列表控制功能。缺省为关.

amnoon-cfg#

subscriber access-list-flow all

对访问列表的地址进行双向控制。

注意：上述两个命令和access-list命令密切关联，必须在配置时候进行仔细检查。

amnoon-cfg#

subscriber ctrl-rdr-web enable

是否控制用户认证后引导用户到新的URL地址。该命令只对web认证用户有效.

PPPOE用户需要采用命令 pppoe web_portal enable进行控制.专有客户端用户通过radius 后台系统指定.

amnoon-cfg#

subscriber ctrl-clone enable

打开防止用户克隆PC网卡功能。改控制需要同专有客户端或PPPOE上网助手配合使用.

amnoon-cfg#

subscriber ctrl-idle-timeout enable

打开对专有客户端上网用户的空闲流量检查控制。webPortal上网用户自动进行空闲流量检查.

amnoon-cfg#

subscriber idle-timeout 180 64

如果客户端和Portal认证用户180秒内流量小于64kbyte，就认为其已经离线。

amnoon-cfg#

subscriber ctrl-connection-limit enable

对用户网络连接数进行限制。需要启动NAT模块.

amnoon-cfg#

subscriber connection-limit 25

每个用户网络连接数限制为25. 需要启动NAT模块.

amnoon-cfg#

subscriber web-connection-limit 128

每个用户的WEB连接数控制到128个。需要启动NAT模块.

amnoon-cfg#

subscriber local-connection-limit 32

每个用户访问设备应用程序可以建立32个连接。需要启动NAT模块.

amnoon-cfg#

subscriber web-rdr-conn-limit 12

每个用户访问内置或外置Portal 最多12个连接。不需要启动NAT模块.控制用户对webPortal 服务器的冲击.

amnoon-cfg#

subscriber port-pass out tcp 23

允许外部用户可以可以访问直通用户的TCP 23端口。

注意：该命令通常用于设备管理，如将SNMP协议所使用的一些端口免于认证进行访问。

amnoon-cfg#

subscriber ctrl-pass-acct disable

对免认证用户不发送计费系统

amnoon-cfg#

subscriber ctrl-chk-idle-pass disable

对免认证用户不进行空闲流量检查,始终保持用户连接.

➢ amnoon-cfg#

subscriber ctrl-pass-icmp enable

对非PPPOE接入用户, 对ICMP数据包不进行任何控制.

➢ amnoon-cfg#

subscriber max-init-session 256

对非PPPOE接入用户,处在Init状态下用户不多于256个.该控制可以防止用户攻击认证系统.

➢ amnoon-cfg#

subscriber ctrl-grp enable

启动对属于用户组单个用户带宽或该组所有用户总带宽的控制. 该控制需要同radius后台系统配合使用.该控制对：pppoe, webPort,专有客户端接入用户都有效。

➢ amnoon-cfg#

subscriber close-limit 32

控制单位时间内对接入用户断开连接最大数目。该控制可以防止太多用户一起断开连接从而造成计费系统阻塞。

➢ amnoon-cfg#

subscriber icmp-pass 10

每秒用户能够保证通过的ICMP数据包为10个，该控制对：PPPOE，webPortal，专有客户端都有效。

➢ amnoon-cfg#

subscriber allow-time 1,2,3,4,5 06:30 23:00

➢ amnoon-cfg#

subscriber allow-time 0,6 03:30 23:00

上面2条命令配置星期天和星期六，3点30分到23点30分可以上网，星期一到星期五6点30分到23点可以上网。注：可以配置多条形成复杂方案；0表示星期天，1到6表示星期一到星期六；设备时间需要配置对。

➢ amnoon-cfg# subscriber rm-zone enable

配置启动去掉用户帐号的用户域，例如：用户输入帐号为：name@zone，如果rm-zone启动，radius client转送用户名为：name。

➢ amnoon-cfg#

subscriber ctrl-zone-srv enable

配置是否将用户域作为用户的服务名。

➢ amnoon-cfg#

subscriber fastpath enable

配置是否启动快速转发。配置完以后，会自动设置路由配置,如果不成功，内核不会正确设置。 可以通过：show fastpath-stat看结果

注意：如果修改了路由和网络接口地址，需要重新运行该命令。

注意：修改路由和端口地址的时候，最好先：subs fastpath disable

注意： 配置的策略路由，路由ID必须是：1,2,3。 配置的策略路由，目前支持源地址和服务mark几种方式。

注意：fastpath启动的时候，必须学会了路由的mac地址。 目前情况下，最好将路由器IP的mac地址直接用命令arp配置好。

【相关命令】：no ，show

4.47

swmode

【用法】：

swmode auto|force

swmode force speed 10M|100M|1000M duplex half|full

【权限】：端口配置模式权限。

【作用】：配置系统物理端口参数。

【用法】：

➢ amnoon-cfg-eth1# swmode auto

配置物理端口eth1为auto模式，自动协商物理参数。

➢ amnoon-cfg-eth1#swmode force speed 1000M duplex full

配置物理端口eth1为强制模式，端口速率为1000M 全双工工作。

4.48

syslog

【用法】：

syslog lever {debug|info|notice|warning|err|crit|alert|emerg}

syslog remote

【权限】：全局配置模式权限。

【作用】：配置系统日志参数。

【用法】：

➢ amnoon-cfg# syslog lever debug

配置系统日志等级为debug等级。

➢ amnoon-cfg#syslog remote 192.168.1.1 514

配置远程日志服务器地址为192.168.1.1 端口为514。

4.49

telnet

【用法】：telnet ipaddress/hostname [port]

【权限】：管理权限。

【作用】：远程登录指定的主机，可以指定端口。

【用法】：

➢ amnoon#telnet 192.168.0.189

通过telnet登录192.168.0.189的设备。

4.50

terminal

【用法】：terminal timeout

【权限】：全局配置模式权限。

【作用】：配置终端闲置超时时间。

【例如】：

➢ amnoon-cfg# terminal timeout 30

配置通过终端管理设备时，超过30分钟后终端自动断开。

4.51

traceroute

【用法】：traceroute ipaddress/hostname。

【权限】：管理权限、全局配置权限、端口配置权限。

【作用】：进行路由追踪。

【例如】:

➢ amnoon# traceroute 202.100.192.68

追踪202.100.192.68路由情况。

4.52

upgrade

【用法】：

upgrade tftp_server file_name

upgrade base_os tftp_server file_name

【权限】：全局配置权限。

【作用】：通过tftp server 升级系统和基本系统。

【例如】:

➢ amnoon# upgrade 202.96.196.3 ios

到ip 地址为202.96.196.3 的 tftp server, 下载文件名为ios文件作为系统新版本。

➢ amnoon# upgrade base_os 202.96.196.3

到ip 地址为202.96.196.3 的 tftp server, 下载文件名为文件作为基本系统新版本。

【相关命令】:

reboot

4.53

user

【用法】：user name password

【权限】：全局配置权限。

【作用】：增加本地用户，用于管理登录（telnet或者串口方式）。

【例如】:

➢ amnoon-cfg# user name admin password pass

增加一个名字为admin密码为pass 的本地用户。

4.54

vlan-tag

【用法】：

vlan-tag enable/disable

vlan-tag remove enable/disable

【权限】：端口配置模式

【作用】：配置端口是否支持（tag）vlan，只针对客户端认证或者Web认证有效。

【例如】：

➢ amnoon-cfg-eth1#vlan-tag enable

在端口eth1上启用支持tag vlan。

➢ amnoon-cfg-eth1#vlan-tag remove enable

在端口eth1上启用剥除vlan tag的功能。

4.55

write

【用法】：write

【权限】：全局配置权限。

【作用】：存储配置参数到flash memory 中。

【例如】:

➢ amnoon-cfg# write

将当前配置文件存储到flash memory。注：请在退出全局配置模式前使用该命令保存。

五、 常见问题

5.1

如何登录主机？

从串口连入主机, 以用户名amnoon密码eaccess 登录主机。

telnet登录主机, 必须是以机器设置的管理用户登录。

5.2

如何进行初始配置？

具体情况可以参见本手册第三章。

一般来说，登录进入服务器以后，最开始的配置是对端口的配置（参见interface命令详解）。在进行这个配置后，先用write把配置保存起来，然后重新启动机器(reboot)使配置生效；

然后，重新登录进去，这时系统最基本配置已经生效，根据情况可以配置如下：















路由配置（参见route命令详解）；

Radius以及本地认证配置（参见radius、auth、local等命令详解）；

管理用户配置（参见user命令详解）；

NAT配置（参见NAT命令详解）；

主机名配置（参见hostname命令详解）；

服务配置（参见servicename命令详解）；

域名服务器配置（参见dns命令详解）；

还有一种方式可以进行配置。用cfg命令从tftp服务器上把适合自己的配置文件download下来，然后reboot既可。

在配置完成后，可以用write命令把所有命令保存起来。

5.3

如何取得配置权限？

从串口连入主机, 键入enable,默认的密码为amaccess。

telnet 登录主机, 必须是设置的enable 密码。

建议：配置好文件后修改默认的enable密码，以保证安全。

5.4

如何配置端口？

假设端口0使用以太网协议，ip地址为202.96.196.1 掩码为 255.255.255.0。

配置方法：

amnoon-cfg# interface eth0

amnoon-cfg-eth0# ip address 202.96.196.1 255.255.255.0

注：每个端口可以配置两个地址，在掩码后增加参数secondary

5.5

如何配置Radius?

假设Radius服务器IP地址为172.18.86.189，key为“amnoon”，认证和记费功能均为打开。

配置方法：

➢

➢

➢

amnoon-cfg#radius auth 172.18.86.189 amnoon

amnoon-cfg#radius auth enable

amnoon-cfg#radius acct 172.18.86.189 amnoon

➢ amnoon-cfg#radius acct enable

【注意】：认证和计费端口的配置根据Radius系统实际使用的端口进行配置。老的Radius标准使用的认证、计费端口是1645、1646，新的Radius认证、计费端口是1812，1813。

5.6

如何配置filter?

filter主要针对过滤规则进行设置，可以对地址和端口进行特定的过滤，控制用户对网络的访问。

假设用户的地址在10.1.1.0 ～ 10.1.1.255网段，通过端口eth1拨入，需要过滤掉所有用户的icmp数据。

设置如下：

amnoon-cfg#filist block in eth0 icmp 10.1.1.0/24 0.0.0.0/0

➢

➢

➢

如果要阻塞所有的包，则现在暂时不能使用ip协议，需要三条规则分别针对tcp,udp,icmpamnoon-cfg#filist block out eth0 tcp 10.1.1.0/24 192.168.1.2/32

amnoon-cfg#filist block out eth0 udp 10.1.1.0/24 192.168.1.2/32

amnoon-cfg#filist block out eth0 icmp 10.1.1.0/24 192.168.1.2/32

协议。假设需要阻塞所有从地址10.1.1.0 ～ 10.1.1.255到地址192.168.1.2的数据，设置如下：

5.6.1 利用filist设置拨号上来的用户互相不能通信

假设有一个接入端口(eth1)10.1.1.0 ～ 10.1.1.255，要让拨号上来的用户互相不能通信，只能访问外面，配置如下：

➢

➢

➢

amnoon-cfg#filist block in eth1 tcp 10.1.1.0/24 10.1.1.0/24

amnoon-cfg#filsit block in eth1 udp 10.1.1.0/24 10.1.1.0/24

amnoon-cfg#filist block in eth1 icmp 10.1.1.0/24 10.1.1.0/24

5.6.2 利用filist限制访问国外站点

假设eth1（10.1.1.0 ～ 10.1.1.255）的用户不允许访问国外站点，（设国内的站点是以61或210、202开始的地址，DNS假设为202.96.128.68），eth0为上行端口。配置如下：

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

➢

amnoon-cfg#filist pass out eth0 tcp 10.1.1.0/24 61.0.0.0/8

amnoon-cfg#filist pass out eth0 udp 10.1.1.0/24 61.0.0.0/8

amnoon-cfg#filist pass out eth0 icmp 10.1.1.0/24 61.0.0.0/8

amnoon-cfg#filist pass out eth0 tcp 10.1.1.0/24 202.0.0.0/8

amnoon-cfg#filist pass out eth0 udp 10.1.1.0/24 202.0.0.0/8

amnoon-cfg#filist pass out eth0 icmp 10.1.1.0/24 202.0.0.0/8

amnoon-cfg#filist pass out eth0 tcp 10.1.1.0/24 210.0.0.0/8

amnoon-cfg#filist pass out eth0 udp 10.1.1.0/24 210.0.0.0/8

amnoon-cfg#filist pass out eth0 icmp 10.1.1.0/24 210.0.0.0/8

amnoon-cfg#filist block out eth0 tcp 10.1.1.0/24 0.0.0.0/0

amnoon-cfg#filist block out eth0 udp 10.1.1.0/24 0.0.0.0/0

amnoon-cfg#filist block out eth0 icmp 10.1.1.0/24 0.0.0.0/0

5.7

如何配置nat ?

nat有几种规则：第一种是把一段地址映射到一段地址，只是地址改变，通讯端口保持不变。第二种是把一段地址映射到一个地址，所有的内部地址使用同一个出口地址，在此地址上进行端口映射。第三种是前面两种的结合，把一个地址映射到另外一个地址，或者针对端口进行转换。

假设端口0为上行端口并且使用以太网协议，ip地址为202.96.196.3掩码为

255.255.255.128。内部用户使用地址为 10.1.1.0 到10.1.1.255，进行第二种转换。

配置方法：

➢

➢

➢

➢

➢

➢

amnoon-cfg#interface eth0

amnoon-cfg-eth0#ip address 202.96.196.3 255.255.255.128

amnoon-cfg-eth0#mode command-ip

amnoon-cfg-eth0#exit

amnoon-cfg# subscriber network 10.1.1.0 255.255.255.0

amnoon-cfg#nat eth0 map 10.1.1.0/24 202.96.196.3/32

假设分配一个专用的地址给用户，用户的内部地址为10.1.1.2，给他分配一个固定的外部地址192.168.1.1。

配置如下：

➢

➢

➢

amnoon-cfg#nat eth0 map 10.1.1.2/32 192.168.1.1/32

amnoon-cfg#nat eth0 redirect 192.168.1.1/32 10.1.1.2/32

假设要把所有访问192.168.1.89的数据重新定向到10.1.1.1上，可以配置如下：

amnoon-cfg#nat eth0 redirect 192.168.1.89/32 10.1.1.1/32

六、 Radius属性支持

6.1

Radius属性表：

属性名

PW_USER_NAME

PW_PASSWORD

PW_CHAP_PASSWORD

PW_NAS_IP

PW_NAS_PORT

PW_SERVICE_TYPE

PW_FRAMED_PROTOCOL

PW_FRAMED_ADDRESS

PW_FRAMED_NETMASK

PW_FRAMED_ROUTING

PW_FRAMED_FILTER_ID

PW_FRAMED_MTU

PW_FRAMED_COMPRESSION

PW_LOGIN_HOST

PW_LOGIN_SERVICE

PW_LOGIN_TCP_PORT

PW_OLD_PASSWORD

PW_PORT_MESSAGE

PW_DIALBACK_NO

PW_DIALBACK_NAME

PW_EXPIRATION

PW_FRAMED_ROUTE

PW_FRAMED_IPXNET

PW_STATE

属性值 描述

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

用户名

密码

PW_SESSION_TIMEOUT

PW_CALLED_STATION_ID

PW_CALLING_STATION_ID

PW_ACCT_STATUS_TYPE

PW_ACCT_DELAY_TIME

PW_ACCT_INPUT_OCTETS

PW_ACCT_OUTPUT_OCTETS

PW_ACCT_SESSION_ID

PW_ACCT_AUTHENTIC

PW_ACCT_SESSION_TIME

PW_ACCT_INPUT_PACKETS

PW_ACCT_OUTPUT_PACKETS

PW_ACCT_DOWN_CAUSE

PW_ACCESS_IBYTES

PW_ACCESS_OBYTES

PW_OVER_BYTES

PW_OVER_IBYTES

PW_OVER_OBYTES

PW_MAX_UPRATE

PW_MAX_DOWNRATE

PW_VLAN-ID

PW_Service-Name

PW_POOL_ID

PW_Tcp-Limit

PW_Check_Cyc

PW_Amt-Version

PW_Amt-HttpUrl

PW_AMT_NAT

PW_AMT_PROXY

PW_AMT_CLIMODE

PW_CLI_PORTAL_URL

PW_USER_SELF_SER

PW_OVER_ACCESS_FLOWK

PW_OVER_FLOWK

PW_CLI_ALLOWP2P

PW_ClI_ALLOWCLONE

PW_CLI_VPNCTRL

PW_CLI_ADDR_TYPE

PW_CLI_TYPE

PW_GRP_ID

PW_GRP_UPRATE

PW_GRP_DOWNRATE

PW_GRP_P2PUP

PW_GRP_P2PDOWN

27

30

31

40

41

42

43

44

45

46

47

48

49

190

191

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

Acl列表入流量Kbytes/s

Acl列表出流量Kbytes/s

最大流量 Bytes

最大入流量Bytes

最大出流量Bytes

上行带宽Kbits/s

下行带宽Kbits/s

vlan-id

服务名

拨号地址池

Tcp连接数限制

新版本不支持该属性

客户端版本信息

客户端升级URL地址

客户端是否在NAT后

是否允许用户使用代理

用户上网方法

用户上网后强制页面

用户自服务地址

Acl列表最大流量 Kbytes

最大流量 Kbytes

P2P控制开关

克隆控制开关

是否不需要KeepAlive

用户地址类型

用户客户端类型

用户组ID

用户组上行带宽

用户组下行带宽

用户组p2p上行带宽

用户组p2p下行带宽

PW_P2P_UPRATE

PW_P2P_DOWNRATE

PW_SPEC_ATTR

223

224

254

用户p2p上行带宽

用户p2p2下行带宽

用户防火墙控制

6.2

与AM BRAS相关属性：

在BRAS接入服务器中除了常用的属性外，用到了Radius的几个私有属性，需要进行支持。

 最大上行速率：

在Radius端可以针对不同类型的服务，限制最大的上行速率，通过AM BRAS接入服务器来实现。相应的Radius属性名为PW_MAX_UP_RATE。

 最大下行速率：

在Radius端可以针对不同类型的服务，限制最大的下行速率，通过BRAS接入服务器来实现。相应的Radius属性名为PW_MAX_DOWN_RATE。







服务名称：

对应于所定义的服务类型。相应的Radius属性名为PW_SVR_NAME。

Tcp连接数限制:

用于控制用户建立的TCP连接数，相应的Radius属性名为PW_Tcp_Limit。

用户VLAN_ID:

提供用户所在的VLAN_ID信息，从而进行用户名、密码和VLAN进行绑定，对应的Radius属性名为PW_VLAN_ID。

本文标签： 配置用户端口地址模式