HiPER 4510NB/HiPER 4520VF/HiPER 4548产品支持802.1Q tag VLAN,在WAN口上可以生成多个VLAN的子接口,向外连接一个带802.1Q tag VLAN的交换机,每个子接口使用不同的MAC地址,彻底地解决了由于运营商宽带接入服务器上限制多条ADSL使用一个MAC地址连接的问题。图一
 |
配置过程:
(一)配置支持802.1Q tag VLAN的交换机:
配置交换机的时候,和HiPER连接的端口配置成tag模式,和ADSL Modem连接的端口配置成untag模式。
例如交换机端口1到端口48分别连接48个ADSL Modem,端口50连接HiPER安全网关,总的配置思路是:
配置一个VLAN ID是10的VLAN,包含端口1和端口50。
配置一个VLAN ID是20的VLAN,包含端口2和端口50。
配置一个VLAN ID是30的VLAN,包含端口3和端口50。
… …
配置一个VLAN ID是480的VLAN,包含端口48和端口50。
交换机的1-48端口配置成untag模式,用来连接ADSL Modem的LAN端口,交换机的50端口配置成tag模式(这个称呼不同的交换机会有些不一样,华为/思科交换机中说的trunk,不用去配置它)。图二
 |
(二)线路连接:
连接交换机的1-48端口(untag模式)到ADSL Modem的的LAN端口。连接交换机的50端口(tag模式)到HiPER安全网关的WAN端口(必须连接在WAN端口)。如下图三:
 |
(三)配置HiPER安全网关:
1、必须通过命令行配置HiPER安全网关的802.1Q tag VLAN模式拨号。
2、通过命令行(附录一)增加连接在交换机1端口的PPPoE线路的连接。图四
 |
PPPoE线路VLAN ID号和交换机VLAN ID之间的对应关系:图五
 |
3、按照上一步的描述,配置连接在交换机其他端口的PPPoE线路的连接(注意:PPPoE连接名称,NAT绑定名称不能重复)。
4、配置HiPER安全网关LAN口的IP地址和子网掩码:
set interface ethernet/1 ip netmask 255.255.255.0
set interface ethernet/1 ip address 192.168.16.1
5、启用HiPER安全网关的分组呼叫功能。
set system dialerGroup enabled
6、允许通过交换机第1端口的PPPoE线路的公网IP地址远程HTTP(8081端口)和TELNET管理HiPER安全网关:
new ip nat static/telnet
set ip nat static/telnet enabled Yes
set ip nat static/telnet dstPort 23
set ip nat static/telnet localPort 23
set ip nat static/telnet localAddress 192.168.16.1
set ip nat static/telnet binding adsl1
set ip nat static/telnet autoLocalIp Yes
new ip nat static/http
set ip nat static/http enabled Yes
set ip nat static/http dstPort 8081
set ip nat static/http localPort 80
set ip nat static/http localAddress 192.168.16.1
set ip nat static/http binding adsl1
set ip nat static/http autoLocalIp Yes
7、保存配置
注意事项
1、 配置线路均衡方式图六
 |
2、 指定局域网内部某个IP地址段固定使用某条线路,可以在NAT绑定上作如下设置:图七
 |
做了上述指定之后,该IP地址段将始终使用指定的线路访问Internet。未指定的用户将按照设备实际配置的均衡方式(NAT会话均衡/IP地址均衡)在所有线路(包括指定IP的线路)之间实现负载均衡。
3、HiPER安全网关在使用了802.1Q tag VLAN功能之后,如果有固定IP接入,可以在“WebUI?高级配置?ISP配置?主线路?固定IP接入”处进行配置,但是固定IP接入的线路必须接在交换机VLAN ID为10的端口上(上图交换机端口1)。
4、部分地区的铁通adsl线路(账号形式一般为***********@**.crcgd)有如下特征:
(1)验证采用CHAP方式,安全网关默认的PAP方式无法完成验证,请在配置时修改。
set connection/adslx encaps send authtype CHAP
(2)铁通线路对于连接在服务器上的拨号用户,会主动将连接到固定时长(一般是24小时)的用户挂断,但没有采用标准挂断,不向安全网关发消息,挂断后安全网关内看拨号用户信息如下:图八
 |
此时该PPPoE连接既不能挂断也不能拨出,需要重启安全网关。
解决办法:配置连接的会话时间为20小时(72000秒)自动断线一次,配置之后,系统会在该PPPoE线路连续连接达到20小时后自动断开重新拨号。
set connection/adslx dial sessionTimeout 72000
附录1 怎样进入命令行
1通过超级终端进入
(1)将串口线和计算机串口相连。
(2)运行windows->单击开始―>程序―>附件―>通讯―>超级终端,即可进入超级终端窗口。
(3)进入后超级终端后,请输入新建连接名称,单击确定。
(4)进入下一窗口,在“连接时使用”一项根据实际连接状况选择,单击确定。
(5)进入下一窗口,单击还原为默认值,如下:
每秒位数(B) 9600
数据位(D) 8
奇偶校验(P) 无
停止位(S) 1
数据流控制(F) 无
(6)进入下一窗口,直接输入回车键后,系统会显示欢迎信息和Login:提示符,输入正确的用户名和密码后,系统会显示提示符号和输入光标(hiper%_),表示登录成功。如输入错误的用户名/口令,系统会再次提示要求输入用户名/口令;如用户连续3 次输入用户名/口令错误,系统会断开本次连接。
系统缺省的超级用户名为Default (区分大小写), 口令为空(或者用户自定义的密码),该用户拥有最高的权限。输入正确用户名和密码后,回车进入安全网关配置界面。
2通过Telnet方式进入
将控制PC的IP地址设置成和HiPER安全网关(出厂IP地址:192.168.16.1)在同一个网段,在DOS提示符下输入telnet 192.168.16.1(安全网关的LAN口IP地址或者用户自定义的LAN口的IP地址),系统会显示欢迎信息和Login:提示符,输入正确的用户名和密码后,系统会显示提示符号和输入光标(hiper%_),表示登录成功。如输入错误的用户名/口令,系统会再次提示要求输入用户名/口令;如用户连续3 次输入用户名/口令错误,系统会断开本次连接。
系统缺省的超级用户名为Default (区分大小写), 口令为空(或者用户自定义的密码),该用户拥有最高的权限。输入正确用户名和密码后,回车进入安全网关配置界面。
附录2 PPPoE线路拨号排错
线路故障
输入show session history命令,出现提示:图九
 |
出现Call Terminated意味着物理线路无法连接,请检查接入线路是否有故障。
用户名/密码/验证方式错误
输入show session history命令,出现提示图十
 |
(1)使用以下命令查看更改PPPoE线路用户名
查看PPPoE连接配置的用户名是否正确:
show connection/adslx encaps send name
修改PPPoE连接配置的用户名(下次拨号时生效):
set connection/adslx encaps send name PPPOE线路用户名
(2)使用以下命令查看更改PPPoE线路密码
查看PPPoE连接配置的用户名是否正确:
show connection/adslx encaps send pw
修改PPPoE连接配置的用户名(下次拨号时生效):
set connection/adslx encaps send pw PPPOE线路密码
(3)使用以下命令查看更改PPPoE线路验证方式
查看PPPoE连接配置的用户名是否正确:
show connection/adslx encaps send authtype
修改PPPoE线路验证方式为PAP(下次拨号时生效):
set connection/adslx encaps send authtype pap
修改PPPoE线路验证方式为CHAP(下次拨号时生效):
set connection/adslx x encaps send authtype chap
修改PPPoE线路验证方式为不验证(下次拨号时生效):
set connection/adslx encaps send authtype none
附录3 PPPoE拨号状态
show session userinfo
// 显示线路的拨号状态图十一
 |
show ip router table
*/显示路由表图十二
 |
show ip nat summary
*/显示NAT绑定列表图十三
 |
show ip nat translation
*/显示NAT会话列表图十四
 |
