L2TP 根据通道建立的方式不同可分为静态或动态两种。

静态L2TP 由LAC 侧根据用户名@域名来指定隧道参数，隧道参数在ME60 指定，静态方式下用户只能拨入特定的LAC 侧，此方式适用于拨号地点相对固定的客户；

动态L2TP 方式时LAC 侧将拨号的用户名@域名发送至radius 服务器，由radius 服务器对用户进行认证并下发与用户关联的L2TP 隧道参数给LAC,再由LAC 来为用户建立隧道。

在本期项目中，ME60上的配置参数由RADIUS下发，即动态隧道建立模式。

3.4.4.1 L2TP配置介绍

使能L2TP 功能

步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令l2tp enable，使能L2TP 功能。 ----结束

只有使能L2TP 功能后，L2TP 功能才能使用，否则即便配置了L2TP 的参数，ME60 也 不会提供相关功能。

缺省情况下，ME60 未使能L2TP 功能。

创建L2TP 组

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令l2tp-group group-name，创建L2TP 组并进入L2TP 组视图。

在ME60 上可以有1000 个L2TP 组，除去“default-lns”和“default-lac”，实际可以创建 998 个L2TP 组。

步骤 3 执行命令description text，配置L2TP 组的描述信息（可选）。

设置本端隧道名

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令l2tp-group group-name，进入L2TP 组视图。 步骤 3 执行命令tunnel name name，设置本端隧道名称。

配置LAC 侧的L2TP 连接

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令l2tp-group group-name，进入L2TP 组视图。

步骤 3 执行命令start l2tp [ ip ip-address [ weight weight ] ] &<1-8>，配置LAC 侧的L2TP 连接。

配置隧道源接口

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令l2tp-group group-name，进入L2TP 组视图。

步骤 3 执行命令tunnel source interface-type interface-number，配置隧道源接口。

指定域的L2TP 组

步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令aaa，进入AAA 视图。

步骤 3 执行命令domain domain-name，进入域视图。 步骤 4 执行命令l2tp-group group-name，指定域的L2TP 组。

指定域用户使用RADIUS 下发的L2TP 属性

步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令aaa，进入AAA 视图。

步骤 3 执行命令domain domain-name，进入域视图。

步骤 4 执行命令l2tp-user radius-force，指定域用户使用RADIUS 下发的L2TP 属性。 ----结束

L2TP 组名和隧道类型两个属性必须同时下发，由RADIUS 下发的L2TP 属性方可生效，L2TP 用 户的功能才可以实现。

3.4.4.2 配置范例

l2tp-group czt.ha mandatory-lcp start l2tp ip 10.19.66.82 //简化// tunnel source LoopBack0 //配置L2TP组//

domain czt.ha authentication-scheme radius

accounting-scheme radius radius-server group czt.ha l2tp-group czt.ha l2tp-user radius-force //配置域参数//

3.5 机顶盒业务配置

3.5.1 业务概述

河南全省已开通大量机顶盒业务。威科姆视频服务器目前分布在一级或二级（县局核心）汇聚交换机旁侧。机顶盒上线后首先访问本地门户网站。门户网站根据机顶盒的MAC 地址返回该机顶盒最近边缘服务器（EMS，或LVS）IP 地址。机顶盒根据该地址直接访问EMS。但是如果该EMS 上没有用户需要看的节目则机顶盒会访问中心服务器（CMS）；该节目将在闲时下发到EMS。

该类用户今后可以通过以下两种方式上网：

1) 通过PPPOE 方式，由商务宽带系统承载；这种方式机顶盒要采用PPPOE 模式，且采用户名加域名后缀拨号。由联创radius 系统进行账号认证。建议市区及县城内割接节点下 所有机顶盒用户全部采用PPPOE 方式。

2) 延用原来DHCP 方式，机顶盒用户仍通过原汇聚交换机采用DHCP 方式进行地址获取。建议县城以下割接用户采用该方式。

3.5.2 延用DHCP 方式

需要在汇聚交换机上将该类用户进行VLAN 分离；对于QinQ 方式下可以通过增加上联端口即可，使其仍然通过原有方式开通；其优点就是对于割接用户不用到用户家里修改机顶盒配置，减小割接工作量。

3.5.3 采用PPPOE 方式

3.5.3.1 业务概述

1） 机顶盒用户不采用强制客户端（机顶盒不支持）； 2） ME60上创建iptv context 承载机顶盒用户；

3） 机顶盒需要采用PPPOE 方式，采用帐户加后缀域名方式。对于割接的机顶盒，需对每个用户上门服务把机顶盒修改为PPPOE 方式。

4） 割接过程中根据流量情况增加ME60到机顶盒服务器直联的汇聚交换机之间的带宽。

割接完全后需要将机顶盒服务器直接下挂ME60旁侧；避免浪费ME60与交换机之间的带宽。

3.5.3.2 机顶盒业务配置范例

user-group iptv

[定义一个user-group，名称为IPTV，这个USER-GROUP在后面的配置中会和一个用户域相关联，这样在定义访问控制列表的时候就可以引用相应USER-GROUP，也就是代表了一个用户域中的所有用户，从而形成了用户访问控制列表，与普通访问控制列表不同的地方是，用户访问控制列表除了地址、端口号之外，还可以定义某一批用户为源或者目的。在ME60上，用户访问控制列表列表号是在6000以上。对于需要对用户侧下发的访问控制列表，都需要定义这个范围的控制列表，并在全局模式下下发。注意：在用户ACL中，是否定义USER-GROUP是可选项。]

acl number 3001 rule 5 permit ip #

acl number 6000 match-order auto

rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445

rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135

rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434

rule 90 deny ip source user-group help destination ip-address any rule 95 deny ip source user-group iptv destination ip-address any

[ACL6000是一个用户ACL，前面定义了防病毒部分，最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]

acl number 6001

rule 5 permit ip source user-group iptv destination ip-address 202.102.249.0 0.0.0.255

rule 10 permit ip source user-group iptv destination ip-address 61.168.222.0 0.0.1.255

rule 15 permit ip source user-group iptv destination ip-address 61.168.224.0 0.0.3.255

rule 20 permit ip source user-group iptv destination ip-address 61.168.228.0 0.0.1.255

rule 25 permit ip source user-group iptv destination ip-address 61.158.216.0 0.0.1.255

rule 30 permit ip source user-group iptv destination ip-address 61.158.218.0 0.0.0.255

rule 35 permit ip source user-group iptv destination ip-address 202.102.224.68 0

rule 40 permit ip source user-group iptv destination ip-address 202.102.227.68 0

[定义了IPTV用户组里的用户可以访问的地址]

traffic classifier limit operator or if-match acl 6000

traffic classifier action operator or if-match acl 6001

traffic behavior limit deny

traffic behavior action

[定义流量动作，后面定义策略的时候与流量分类相关联]

#

traffic policy limit

classifier action behavior action classifier limit behavior limit

[定义流量策略，第一条名为ACTION的分类中匹配到的报文，执行名为ACTION的流量动作中所定义的动作，就是允许，第二条行为类似，但动作是拒绝。需要注意，两条策略的顺序不能反，否则所有流量都会被拒绝]

traffic-policy limit inbound traffic-policy limit outbound

[由于上述策略都是针对用户侧的用户定义的，所以需要在全局下下发] interface GigabitEthernet1/0/0 mtu 1524

description To-[LY-XiGong-GSR]G1/0/4

ip address 125.45.253.178 255.255.255.252 ospf network-type p2p mpls mpls ldp #

interface GigabitEthernet1/0/1 mtu 1524

description To-[LY-LaoCheng-GSR]G3/0/6 ip address 125.45.253.202 255.255.255.252 ospf network-type p2p mpls