华为MA5200F业务配置模板(2)

　　user-host-car 8 32 (为了防止PC直接对MA5200F的攻击)

　　ip-pool static

　　#

　　e. 配置VLAN端口

　　#

　　portvlan ethernet 2 vlan 3

　　access-type layer2-subscriber

　　default-domain authentication static-user

　　authentication-method bind

　　static-user xxxx detect

 　为了实现对MA5200F下接DSLAM设备和交换机的网管管理，需要将它们配置为MA5200F的静态用户。该类静态用户的配置和“2. VLAN静态业务的配置”完全一致，只不过在域下不需要添加为了防止对MA5200F进行而配置的命令user-host-car 。

　　假设我们要在3号FE端口的VLAN 4下配置一个静态用于接入交换机，采用不认证、不计费，具体的配置如下（因为不认证不计费所以Radius配置和用户配置省略、VLAN子接口在三层认证时才需要所以也省略、路由配置省略）：

　　a. 配置名称为wg的地址池

　　b. 配置名称为none的认证策略

　　c. 配置名称为none的计费策略

　　d. 配置域

　　#

　　aaa

　　domain wg 不需要配置命令user-host-car 8 32

　　authentication-scheme none

　　accounting-scheme none

　　ip-pool wg

　　#

　　e. 配置VLAN端口

　　#

　　portvlan ethernet 3 vlan 4

　　access-type layer2-subscriber

　　default-domain authentication wg

　　authentication-method bind

　　static-user 10.100.3.242 detect

　　L2TP业务配置流程如下：

　　l 启用L2TP

　　l 创建并配置L2TP组

　　l 配置虚模板并绑定到相应的接口

　　l 配置认证策略

　　l 配置计费策略

　　l 配置Radius

　　l 配置域

　　l 配置VLAN端口

　　假设我们要在5号FE端口的VLAN 6下配置L2TP接入用户，需要同时在Radius上认证和计费也LNS上认证和计费（本例如此，也可以不在Radius认证和计费），具体的配置如下：

　　a. 启用L2TP功能

　　#

　　l2tp enable

　　#

　　b.创建并配置L2TP组

　　#

　　l2tp-group 1

　　tunnel authentication

　　tunnel password simple yancao

　　tunnel name yancao

　　start l2tp ip 202.103.228.62

　　#

　　c. 配置虚模板并绑定到相应的接口

　　#

　　interface Virtual-Template 1

　　pppauthentication-mode chap

　　#

　　#

　　interface Ethernet 5

　　pppoe-server bind virtual-template 1

　　#

　　d. 配置名称为radius的认证策略

　　e. 配置名称为radius的计费策略

　　f. 配置名称为radius_vpdn的Radius-server组

　　g. 配置域

　　#

　　aaa

　　domain l2tp

　　authentication-scheme radius

　　accounting-scheme radius

　　user-host-car 8 32

　　radius-server group radius_vpdn

　　#

　　h. 配置VLAN端口

　　#

　　portvlan ethernet 5 vlan 6

　　access-type layer2-subscriber

　　default-domain authentication l2tp

　　authentication-method pppoe

　　l2tp-group 1