【正文】 DSA4000/8000 寬帶接入服務器 用 戶 手 冊 一、 總述 DSA4000/8000寬帶接入服務器是具有 DHCP+WebPortal+Radius功能的接入設備，可以實現(xiàn)給用戶動態(tài)分配 IP 地址，讓用戶通過 WEB頁面認證后才能上網(wǎng)，而且可 以控制用戶第一次訪問的 WEB 頁面是一個指定的頁面（ WEB Portal）；同時，用戶也可以根據(jù)自己的使用習慣選擇使用專用的客戶端撥號軟件進行認證。 根據(jù)設備型號的不同，一臺 DSA4000/8000 可以同時支持 128～ 8192個用戶在線連接。 硬件概述： 在 DSA4000/8000寬帶接入服務器的前端，有相應的網(wǎng)絡連接狀態(tài)以及電源工作情況的指示燈。如圖 1－ 1所示設備面板布局： 圖 1－ 1 DSA4000/8000前面板 DSA4000/8000的 型號分為 DSA4000系列和 DSA8000系列。這兩個系列設備的主要區(qū)別在于其硬件組成和支持同時在線用戶數(shù)有很大的不同。 根據(jù)使用的軟件版本不同，這兩個系列也可以支持 PPPoE接入，相應的產(chǎn)品為 DSA4000（ PPPoE）和 DSA8000（ PPPoE） 。 DSA4000/8000系列設備前面帶有 2個固定千兆自適應電口和 2 個 GBIC模塊接口（可選配多模、單模、電口模塊），其中 LAN0(對應命令行 e0)默認為上聯(lián)口， LAN1～ LAN3(分別對應命令行 e1,e2,e3)為下聯(lián)口， Console口用于設備管理和配置。 軟件概述： DSA4000/8000寬帶接入服務器是一款可以跨三層 網(wǎng)絡 的接入設備，它主要實現(xiàn)以下功能：用戶認證（ Web和私有客戶端）、 DHCP（動態(tài) IP地址分配）、 NAT（網(wǎng)絡地址轉(zhuǎn)換）、 Radius協(xié)議支持、 Web Portal功能、 Filist報文過濾功能、用戶控制 、和 Radius系統(tǒng)配合完成用戶認證、計費 等 功能 。您可以利用 Console口或者 Tel方式，方便地對服務器進行配置，使其部分或全部實現(xiàn)上述功能要求。 在初步配置好以后，可以直接通過 tel 登 錄，進行配置和狀態(tài)查詢。通過與 Radius的結(jié)合， DSA4000/8000可以靈活方便的增加用戶管理的特性，以及針對不同的環(huán)境增加相應的用戶策略。 DSA4000/8000還可以實現(xiàn)帶寬控制、 TCP連接數(shù)控制等，在設置用戶認證參數(shù)時針對不同的服務設定最高帶寬限制和 TCP連接數(shù)控制等。 DSA4000/8000的典型應用如圖 1－ 4所示： 圖 1－ 4 DLINK DSA4000/8000產(chǎn)品 的典型應用 二、 硬件描述及安裝 DSA4000/8000采用的 Intel 系列 處理器為設備提供了強大的處理能力， 可最多同時支持 8192個用戶同時在線。 采用 19英寸標準機箱能方便地安裝上架 ，可以支持交流電源和直流 48V電源。 硬件規(guī)范： DSA4000/8000系列設計緊湊，可靠性高，其硬件規(guī)范如下表： 設備型號 DSA4000/8000 1103 DSA4000/8000 2204 處理器 Intel PⅢ 866GHz CPU Intel PⅣ至強 CPU 內(nèi)存 256M SDRAM,32M Flash 512M ECC,128M Flash 外觀尺寸 1U 19″標準機箱 2U 19″標準機箱 網(wǎng)絡接口 3個 10/100M RJ45電口 2 個固定 100/1000M RJ45 電口， 2 個GBIC 插槽（可選配多模、單模、電口模塊） Console 1～ 2個 DB9串口 1個 DB9串口 重量 8KG 12KG 電源 220V AC （ 43– 63Hz） 或者－ 48V DC 220V AC （ 43– 63Hz） 或者－ 48V DC （可選配冗余電源） 功耗 60W 300W 工作環(huán)境 溫度： 0℃ – 40℃ 濕度： 5﹪ – 90﹪ (非凝結(jié) ) 溫度： 0℃ – 40℃ 濕度： 5﹪ – 90﹪ (非凝結(jié) ) 硬件安裝 : ? 在安裝之前，確認電源開關為未打開。 ? 機器本身附帶有上架設備，按照標準程序把設備固定在機架上。根據(jù)設備端口配置情況，用網(wǎng)線或者尾纖連接對應的設備。 ? 設備附帶有一條串行線，可以通過它與設備的 Console口相連。 ? 打開電源，設備啟動后可以從 Console口通過超級終端登錄進入，設備的硬件運行情況可以從前面的指示燈進行觀察。 ? 超級終端登錄時使用默認的參數(shù)： 速率 9600B/S,數(shù)據(jù)位 8，奇偶校驗無，停止位無，流控無。 登錄系統(tǒng)的默認用戶名是 admin，密碼是 eflow；進入配置模式（ enable 模式）的默認密碼是 eflow。 注意 ： 為了保證系統(tǒng)的安全，建議設備配置完畢后，一定要修改 enable 模式的密碼，密碼的設置建議由數(shù)字和字母混合組成。 三、 配置 DSA4000/8000寬帶接入服務器 基本配置分類： 作為接入設備，每個局點 DSA4000/8000 具體的配置應該根據(jù)應用環(huán)境來設定。DSA4000/8000的配置可以分為兩部分： BRAS自身的配置和與外界進行互連的配置。 服務器自身的配置： DSA4000/8000 自身的配置包括端口 地址和屬性的配置，分別對應命令 port和 dhcp。port（見 port命令詳解）對服務器的端口地址進行配置， dhcp（見 dhcp命令詳解）對端口的屬性進行配置。 與外界互連的配置： 與外界互連的配置內(nèi)容一般包括 Radius 配置、 NAT（網(wǎng)絡地址轉(zhuǎn)換）、認證管理、用戶管理、缺省路由、域名服務器等內(nèi)容。 配置過程應該先配置設備端口屬性 (見 dhcp 命令 )和允許認證的地址范圍（見 session命令），與外界互連的配置可以根據(jù)需求選擇進行。 典型配置例子： 下面以一個較為典型的有線電視網(wǎng)絡配置來說明應該進行的配置步驟 。 實際環(huán)境： 一個有線電視網(wǎng)絡，使用 cisco7246 CMTS，其下共有 1000個左右的 Cable Modem用戶上網(wǎng)，用戶要求訪問 inter，運營商希望用戶上網(wǎng)后第一次訪問 WEB 時打開的頁面是 因 CMTS隔斷了二層的以太包， PPPoE的接入方式無法使用，只能使用直接面對 IP包的DHCP＋ Radius的接入。 網(wǎng)管中心給上行端口分配到一個 IP 地址為 ，其上行路由指向地址。域名服務器采用公網(wǎng)上的服務器，其地址為 。 計費認證采用 Radius 方式， Radius 服務器的地址為 ，加密密鑰為“DSA4000”。 Radius 提供兩種服務： local 和 inter，對應于訪問本地和 inter 的服務類型。 應用分析： 兩幢大樓總共有 1000 左右的用戶，所以采用 DSA4000/8000 1103Ⅲ型接入服務器，可以同時支持 1024用戶上線； 自己分配內(nèi)部地址，分配在 ～ ； 自己增加一個管理用戶以便進行遠程管理； 配置 Radius認證 計費功能，同時允許管理用戶接入上網(wǎng)； 按要求配置路由和域名服務器； 配置兩種服務： local和 inter； 給服務器命名為 HFChost。 配置 Web Portal登錄地址是 配置及分析： 綜合上述分析，我們可以抽象出配置命令如下： 1） 有一個 DHCP地址池為 ～ ； 2） 接入服務器有三個端口，一個配置為上行端口其地址為 ，一個為接入端口配置地址為 ，網(wǎng)管端口可配也可不配； 3） Radius 認證計費服務 器的地址為 ，所用的加密 Key 為“ DSA4000”，同時允許本地認證； 4） 對 ～ ，將該地址段全部采用端口映射到； 5） 有一本地用戶可以進行管理，名字為“ manager”，其密碼為“ aaa”； 6） 缺省的路由的下一跳 IP地址為 ； 7） 配置域名服務器為 ； 8） 提供兩種 Service，分別為 local和 inter（需與 Radius Server結(jié)合起來）； 9） 接入服務器本 身的名字為 HFChost。 10） 配置 Web Portal頁面為 針對以上需求，其配置文件內(nèi)容為 (括號內(nèi)的是注釋 )： 1) port e0 ether （ define e0 address） 2) port e1 ether mask （ define e1 address） 3) dhcp e1 input (define e1 for user access port) 4) dhcp address 1000 （ config dhcp server parmater ： allow ip from to ,default gateway ） 5) dhcp server enable 6) session address 1000 （ define legal ip address for access） 7) radius auth ip key DSA4000 （ define radius server of authentication） 8) radius auth enable 9) radius acct ip key DSA4000 （ define radius server of accounting） 10) radius acct enable 11) user name manager passwd aaa （ define local user and password） 12) local auth enable 13) route add （ config static default route） 14) nat add map e0 （ config Network Address Translate function） 15) nat add map e0 16) servicename local 17) servicename inter 18) hostname HFChost 19) nameserver primary 20) nameserver secondary 21) auth pap 22) Webp url 行號是為方便說明所加 各命令可以解釋如下： 1） 1， 2兩條命令分別配置上行端口和接入端口的 IP 地址。 2） 第 3條命令配置 e1為認 證端口 3） 配置 DHCP 地址池為 ～ 1000個地址，該地址段的網(wǎng)關是 。 4） 啟用 DHCP功能 5） 允許 1000個地址進行接入，即使用戶配置固定的 IP 地址在這一段也可以認證上網(wǎng) 6）－ 9）配置 Radius認證計費服務器的地址為 ，加密 key為“ DSA4000”（ 這里使用默認的 Radius 認證、計費端口 1812， 1813。如果后臺 Radius Server 使用 1645，1646作為認證、計費端口，請 配置相應的命令 radius auth port 1645,radius acct port 1646）； 10）增加本地用戶，名字為“ manager”，密碼為“ aaa”； 11）配置本地認證，檢查本地用戶是否符合，如果符合則通過本地認證，否則在 Radius 服務器上認證； 12）加入缺省靜態(tài)路由 ； 13） 14） 加入 NAT規(guī)則，把 ～ 地址上輸出；其中（ 13）的規(guī)則進行端口轉(zhuǎn)換，（ 14）的規(guī)則不進行端口轉(zhuǎn)換，若無（ 14）規(guī)則 icmp無法轉(zhuǎn)換 ping不出去； 15） 16）分別加入 local和 inter兩個服務； 17）配置本機名為 HFChost； 18） 19）把 primary和 secondary域名服務器都指向 ； 20）定義認證類型為 pap； 21）設置 Web Portal頁面，用戶認證通過后強制登錄 補充說明： 上述配置文件的內(nèi)容可以直接從 Console 口或 Tel登錄進入，手工鍵入。在配置完成后應該用 write命令保存（參見 write命令詳解）。 用戶策略的控制需要與 Radius 服務器結(jié)合起來。其中對用戶最高速率的限制是在Radius端設置，通過 Radius屬性傳送到接入服務器實現(xiàn)（參見 Radius屬性說明）。 對用戶服務的控制應該在 Radius 和 DSA4000/8000 同時配置相關的 ACL 規(guī)則。（參見ACL配置命令） 四、 命