1、基本业务组网图

『配置环境参数』
计算机的IP地址：自动获取
计算机的网关地址：自动获取
MA5200G的上行口地址：200.100.0.1
MA5200G对端路由器地址：200.100.0.2
2、数据配置步骤
『IPOEOA业务的基本业务流程和报文封装形式』
IPOEOA报文首先在以太网上报文上进行ATM封装，然后再携带IP报文，可以理解为在IPOE的基础上增加了一个ATM的协议层，因此其基本的组网形态就是一台计算机通过一台ATM交换机之后再接在MA5200G的端口上面，从计算机出来的以太网报文首先到达ATM交换机，进行ATM封装之后再送往MA5200G，因此，对于IPOEOA的基本接入流程是：
a． 用户报文到达MA5200G之前被带上了ATM的pvc信息，因此会根据子接口下配置的BAS平面来确定该用户的认证策略。
b． 用户首先根据BAS接口配置找到自己所属的域，根据域下面配置好的认证和计费策略来进行认证和计费，认证通过之后该用户就能正常的上网了。
在了解了用户报文的基本接入流程之后我们就可以开始配置数据了，从上面的接入流程我们可以看出来，比较关键和重要的几个数据是：地址池、域、认证计费策略以及ATM参数和相应BAS平面的数据。
『数据配置流程』
基本数据配置流程：

BAS接口的配置流程：

【配置地址池】
无论是动态获取IP的用户还是采用静态IP地址接入的用户都需要配置地址池。地址池的作用主要是给用户分配地址、分配DNS地址，以及给接入用户提供一个三层接口（gateway）。
MA5200G的地址池分为两种：
一种是本地地址池，这是MA5200G内置DHCP的一种方式；
一种是外置地址池，这是采用外置的DHCP服务器来给用户分配地址的一种方式。
（1）创建一个名为huawei的本地地址池
[MA5200G]ip pool huawei local
（2）设置地址池缺省网关
[MA5200G-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0
（3）创建一个地址段
[MA5200G-ip-pool-huawei]section 0  61.10.1.2  61.10.1.10
?  说明：
地址池中间还需要根据具体的情况配置相应的DNS服务器。
[MA5200G-ip-pool-huawei]dns-server 202.98.3.2
★        如果采用的是外置的地址池的话就按照下面的内容进行配置：
?  说明：
MA5200G在采用外置地址池的情况下也需要在本地配置此地址池，所不同的在建立地址池的时候需要将地址池的属性设置为remote，而且地址池中只需要指定gateway（这里的主要作用就是生成一条用户网关的路由），而不需要配置地址段section。同时还需要建立一个DHCP SERVER组，在这个组里面指定外置DHCP SERVER的地址（注意，这里的DHCP SERVER的ip地址并不是地址池中的gateway）。
（1）配置名为remotedhcp的DHCP服务器组
[MA5200G]dhcp-server group remotedhcp
（2）指定DHCP服务器地址
[MA5200G-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10
（3）创建远端地址池
[MA5200G]ip pool huaweiremote remote
（4）配置远端地址池（指定gateway和绑定DHCP服务器组）
[MA5200G-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0
[MA5200G-ip-pool-huaweiremote]dhcp-server group remotedhcp
好了，现在我们已经给用户配置了一个地址池，接下来我们要为用户设置相应的认证和计费方案。
【配置认证方案】
在这里首先是要配置一个认证方案，然后再为这个认证方案设置相应的认证方法。
（1）进入AAA视图
[MA5200G]aaa
（2）添加一个新的认证方案Auth1
[MA5200G-aaa]authentication-scheme Auth1
（3）配置此认证方案的认证方法为local认证
[MA5200G-aaa-authen-auth1]authentication-mode local
这里我们将Auth1这一个认证方案定义为了local认证，也就是说采用这样的一个认证方案的用户是在MA5200G上进行认证的，一般对于固定IP或者DHCP用户，建议设置为不认证（none）。
【配置计费方案】
在这里首先是要配置一个计费方案，然后再为这个计费方案设置相应的计费方法。
（1）进入AAA视图
[MA5200G]aaa
（2）添加一个新的计费方案Acct1
[MA5200G-aaa] accounting-scheme  Acct1
（3）配置此计费方案的计费方法为radius计费
[MA5200G-aaa-authen-acct1] accounting-mode none
这里我们将Acct1这一个计费方案定义为了none计费，也就是说采用这样的一个计费方案的用户是不进行计费的，一般对于固定IP或者DHCP用户，建议设置为不计费（none）。MA5200G不支持本地计费。
【配置域】
在MA5200G上面每一个用户都是属于一个指定的（或者是默认的）域的，因此，在进行用户的配置之前我们首先要配置用户所属的域的一些参数。主要配置相应的认证计费策略、IP地址池以及radius服务器等等。此业务中为本地认证不计费，所以不需要配置radius服务器。
在MA5200G上面有两个默认的域default0和default1，这两个域只能修改不能删除。其中default0的默认策略是不认证不计费，default1的默认策略是radius认证radius计费。
（1）配置认证域
[MA5200G-aaa]domain isp
（2）指定认证域内的认证方案和计费方案
[MA5200G-aaa-domain-isp]authentication-scheme Auth1
[MA5200G-aaa-domain-isp]accounting-scheme Acct1
（3）指定该域使用的地址池
[MA5200G-aaa-domain-isp]ip-pool huawei
?  说明：
如果只建立了一个域，而没有指定认证计费策略的话，默认情况下该域所采用的是radius认证radius计费的策略。
【创建VE接口】
由于用户是从ATM口接入的，用户的报文到达NA5200G之后，报文的ATM部分先被剥离了，然后剩下的就是以太网部分；但是由于是ATM接口，无法对报文中的以太网部分进行处理，所以这里需要创建一个虚拟以太网接口VE，用来终结以太网的报文头。
[MA5200G]interface Virtual-Ethernet 4/0/1
?  说明：
1、创建的虚拟以太网接口VE的时候需要和ATM单板的槽位号相同。
2、由于IPOEOA这里没有实际的以太网口存在，因此建议在这里给VE配置一个MAC地址，这个MAC地址将作为MA5200G发给用户的报文的源MAC地址：
[MA5200G-Virtual-Ethernet2/0/0]mac-address xxxx-xxxx-xxxx
【创建PVC】
创建pvc的目的是为了识别下层ATM交换机送上来的ATM报文。这里创建的pvc应该是下层交换机到MA5200G的pvc。
（1）进入ATM接口并激活
[MA5200G]interface atm 4/0/1
[MA5200G-Atm4/0/1]undo shutdown
（2）创建PVC，假定从下层的ATM设备上来用户的PVC是1/100
[MA5200G-Atm4/0/1]pvc 1/100
?  说明：
1、这里创建PVC可以在主接口下创建，也可以在子接口下创建，二者的效果是一样的。但是同一个物理接口下面的主接口、子接口下面的PVC不能重复。
2、创建PVC的时候可以只创建一条，也可以进行批量创建，如：
[MA5200G-Atm4/0/1]pvc 1/100 1/200
【桥接VE与PVC以及设置ATM的封装类型】
（1）将PVC与虚拟以太网接口桥接
[MA5200G-atm-pvc-Atm4/0/1-1/100-1/100-0]map bridge Virtual-Ethernet 4/0/1
（2）设置PVC的ATM封装类型为aal5snap
[MA5200G-atm-pvc-Atm4/0/1-1/100-1/100-0]encapsulation aal5snap
（3）激活该PVC
[MA5200G-atm-pvc-Atm4/0/1-1/100-1/100-0]undo shutdown
?  说明：
PVC创建之后缺省的状态是关闭的，以上（1）（2）的配置必须在PVC是关闭的状态下完成，所以激活PVC的操作只能在最后进行。
【BAS接口的相关配置】
（1）进入BAS接口视图
[MA5200G-Atm4/0/1]bas
（2）设置端口下的用户为二层用户
[MA5200G-Atm4/0/1-BAS] access-type layer2-subscriber
（3）设置用户的认证前域和认证域
[MA5200G-Atm4/0/1-BAS]default-domain authentication isp
（4）设置端口下用户采用的认证方式
[MA5200G-Atm4/0/1-BAS]authentication-method bind
?  说明：
bas可以在主接口下配置也可以在子接口下配置，其作用范围就是相应的接口下创建的PVC。
【添加用户帐号】
（1） 进入本地认证管理配置视图：
[MA5200G]local-aaa-server
（2） 添加用户：
[MA5200G-local-aaa-server]user MA5200G-04001000100100@isp password cipher vlan
这样就在系统中添加了一个VLAN帐号：“MA5200G-04001000100100@isp”，密码为“vlan”密文显示。
?  说明：
虽然在这里设置了帐号，但此帐号是不需要客户端输入的用户端是感觉不到认证的过程的。
对于2117以及2117以下的版本，格式为：
如果是ATM接入的话：主机名-2位槽位号＋2位端口号＋3位vpi＋4位vci@域名  
如果是VLAN接入的话：主机名-2位槽位号＋2位端口号＋7位vlanid@域名
对于2117以上的版本，默认的情况下是采用下面的新格式，但是可以用命令调整为老的格式（主要是为了适应新的atm单板和QinQ的需要）：
如果是ATM接入的话：主机名-2位槽位号+1位的子槽号＋2位端口号＋4位vpi＋0＋4位vci@域名
如果是vlan接入的话：主机名-2位槽位号+1位的子槽号＋2位端口号＋4位外层vlanid＋0＋4位内层vlanid@域名
这里的外层vlanid和内层vlanid主要是给QinQ用的，如果没有QinQ的话就是外层vlanid起作用。密码统一为“vlan”（小写）。
调整的命令是：[MA5200G-aaa]vlanpvc-to-username 后面的参数version10表示的是老的格式，version20表示的是新的格式。
如果认证计费策略设置为不认证不计费，则此步不需要配置。如果是radius认证计费则需要在radius端设置此格式的帐号，密码为“vlan” （小写）。
【配置上行接口地址】
（1）进入上行接口配置视图
[MA5200G]interface Ethernet1/0/15
（2）激活上行接口
[MA5200G- Ethernet1/0/15]undo shutdown
（3）配置IP地址
[MA5200G- Ethernet1/0/15]ip address 200.100.0.1 255.255.255.252
（4）配置默认路由
对于一般条件的接入业务，MA5200G上面只需要配置一条指向上行路由器端口的默认路由就可以了：
[MA5200G]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2
3、测试验证
计算机应该能够获取到61.10.1.0/24网段的IP地址，此时应该可以ping通对端路由器的地址200.100.0.2（对端路由器需要做到MA5200G下面用户网段的回程路由）。同时可用display access-user来查看用户是否上线。
4、固定IP地址的配置方法
如果客户端需要配置固定IP，则首先需要在对应的地址池中将客户端要使用的IP地址剔除掉，在系统中单独添加静态用户，其他配置同上面的DHCP配置。
例：在上例的基础上，要配置一个地址为61.10.1.3的固定IP用户，基本配置和上例配置一致，配置区别如下：
【配置地址池】
（1）创建一个名为huawei的本地地址池
[MA5200G]ip pool huawei local
（2）设置地址池缺省网关
[MA5200G-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0
（3）创建一个地址段
[MA5200G-ip-pool-huawei]section 0 61.10.1.2  61.10.1.10
（4）在地址池中将此地址剔除掉：
[MA5200G-ip-pool-huawei]excluded-ip-address 61.10.1.3
【配置静态用户】
在系统视图下配置静态用户，设置对应的端口号，用户域。参数“detect”表示配置此静态用户后MA5200G会主动发送arp请求探测此用户。
[MA5200G] static-user 61.10.1.3 interface atm 4/0/1 pvc 1/100 domain-name isp detect
目前静态用户的配置顺序必须为：地址池－－－认证计费策略－－－域－－－进行bas接口的配置―――系统视图下添加静态用户。