2024年1月11日发(作者：仁英华)

一、配置管理接口、配置OLT的读写团体字、创建ems网管管理vlan

vlan 49 standard //配置城域网管理vlan

vlan 307 standard //配置承载网管理vlan

port vlan 49 0/19 0 //配置vlan从上行口透传

port vlan 307 0/19 1

interface vlanif49 //配置私网地址

ip address 60.173.116.26 255.255.255.0

interface vlanif307 //配置私网地址

ip address 10.28.158.121 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 60.173.116.1 /增加默认路由

ip route-static 10.0.0.0 255.0.0.0 10.28.158.1 /增加默认路由

snmp-agent community read xxdx@epon

snmp-agent community write XXdx@gpon

snmp-agent target-host trap-hostname XXdxepon address X.X.X.X udp-port 162

trap-paramsname XXdxepon v1 securityname xxdx@pon

snmp-agent trap enable standard

二、配置OLT的访问 控制

OLT设备R62配置了ACL规则的，通过packet filter在上行口引用，升级到R8版本后会导致不在ACL范围内的专线IP业务不通，如果客户使用ACL目的只是为了进行telnet访问控制限制，

sysman ip-access telnet X.X.X.X（起始网段地址） X.X.X.X（结束网段地址）

sysman ip-access telnet 61.132.246.0（例如） 61.132.246.255（例如）

sysman firewall telnet enable

注意：先允许ip-access再enable，按顺序执行。不然会造成设备管理不通，但不影响业务。

处理方法： 建议升级前删除packet filter以及ACL配置，按照新的方法配置，一定要SAVE保存后再升级。

三、配置全局vlan

vlan 341 to 346 smart //配置smart vlan

vlan attrib 341 to 346 q-in-q //配置QinQ vlan或stacking-vlan均可以。

port vlan 341 to 346 0/19 0 //配置vlan从上行口透传

四、配置OLT语音双上联1+1保护功能、配置OLT上联链路汇聚功能

1、配置OLT语音双上联1+1保护功能

huawei(config-protect)# protect-group first 0/19/1 second 0/20/1 eth workmode

timedelay enable

添加三层接口，将VLAN接口与上层交换机S7806上的VRRP组地址在同一段，如将MA5680T的三层接口的主IP地址设置为10.28.152.244（与上层S7806的IP地址同一网段）

huawei(config)# vlan 464 smart

huawei(config)#port vlan 464 0/19 0

huawei(config)#port vlan 464 0/20 0

huawei(config)#interface vlanif 464

huawei(config-if-vlanif462)# ip address 10.28.152.244 27

开启ARP探测功能，注意该地址为VRRP组的虚地址

huawei(config)# arp-detect epon1 bind peer-ip 10.28.152.193 vlan 464 port 0/19/1

huawei (config-arp-detect-epon1)#detect enable

huawei (config-arp-detect-epon1)#quit

huawei(config)# arp-detect epon2 bind peer-ip 10.28.152.193 vlan 464 port 0/20/1

huawei (config-arp-detect- epon2)#detect enable

huawei (config-arp-detect- epon2)#quit

说明：由于在MA5680T上需要配置一个地址与上行的交换机之间形成ARP探测组与保护组，所以该地址的规划需要同交换机上的VRRP地址在同一段。以上述配置为例，该MA5680T上的语音VLAN为361－364、461－464，可以在这几个Vlan中随便选择一个，如选择VLAN 464段的IP地址10.28.152.244配置在MA5680T上

查询保护对状态：

display arp-detect

MA5680T双上行中的一个端口状态正常情况下为down，对端的S9306的端口状态也为down，不要以为存在故障。测试时在MA5680T上ping承载网地址，同时将MA5680T的主端口尾纤拔掉，备用端口立即up，这是ping会存在两个丢包。

2、配置OLT上联链路汇聚功能

link-aggregation 0/19 0 0/20 0 ingress workmode lacp-static /和汇聚交换接协商使用LACP协议。

五、配置OLT的PON接口板ONU自动发现功能

interface gpon 0/8

port 0 ont-auto-find enable

六、配置OLT的时间、配置OLT的网元名称、配置OLT的上联端口描述

MA5680T(config)#time 2013-03-14 01:02:03

MA5680T(config)#sysname HF_CQ_MA5680T

MA5680T(config)#port desc 0/19/0 description TO_AF_S7806_1GE0/1/1 具体命名规范参见相关文件。

七、创建ONU上行带宽DBA模板、创建ONU下行线路速率模板、创建业务流量模板

1、dba-profile add profile-id 16 profile-name "XX_100M" type3 assure 81920 max 102400

2、ont-lineprofile epon profile-id 2 profile-name "MA5620E"

llid dba-profile-id 11 //MA5620E引用dba模板，用来对MA5620E的上行限速

commit

3、traffic table ip index 30 name "FTTHG20MGXU" cir 24576 cbs 788432 pir 49152 pbs 1574864

priority user-cos 0 inner-priority user-cos 0 priority-policy tag-in-package

以上命令为实例，具体参数参见相关规范。

八、配置OLT的MAC地址过滤功能

security mac-filter source 00e0-fcaf-eae2 //对于MAC地址过滤，建议开启，能防范环路，对于公网、私网建议都开启。

九、配置OLT的广播包抑制功能

默认情况下不需要改动。如需要变动使用一下命令：

traffic-suppress 0/2 broadcast value 5

十、配置OLT的环路检测功能

ring check enable //OLT开启环路检测，对于MDU设备不建议开启。

十一、配置OLT的防攻击功能（防DOS攻击、ICMP攻击、ARP攻击、BPDU攻击

security anti-dos disable //对于如下防攻击开关，建议关闭。

security anti-icmpattack disable

security anti-ipattack disable

security anti-ipspoofing disable

security anti-macspoofing disable

security arp-detect disable

十二：添加ONU的LOID，并配置ONU名称、类型及描述（当采用LOID方式认证时）绑定ONU线路模板、绑定ONU业务模板。

ONU注册举例；

interface gpon 0/7

ont add 2 122 loid-auth 340563LLPRGVUE292717267 always-on omci ont-lineprofile-name

FTTH_GPON_ONUGX_LINE ont-srvprofile-name FTTH_GPON_ONUGX_SRV

traffic-limit ont 0/4/0 0 down-stream traffic-table index 6

tcont bind-profile 2 122 1 profile-name FTTHG20MGXU

service-port vlan 1825 port 0/12/2 ont 122 multi-service user-vlan 41 tag-transform

translate-and-add inner-vlan 1964 inbound traffic-table name DEFAULT_SCOS0_CCOS0

outbound traffic-table name DEFAULT_SCOS0_CCOS0

service-port vlan 1825 port 0/12/2 ont 122 multi-service user-vlan 43 tag-transform

translate-and-add inner-vlan 2964 inbound traffic-table name DEFAULT_SCOS5_CCOS5

outbound traffic-table name DEFAULT_SCOS5_CCOS5

service-port vlan 1825 port 0/12/2 ont 122 multi-service user-vlan 45 tag-transform

default inbound traffic-table name DEFAULT_SCOS6_CCOS6 outbound traffic-table name

DEFAULT_SCOS6_CCOS6

service-port vlan 1825 port 0/12/2 ont 122 multi-service user-vlan 47 tag-transform

default inbound traffic-table name DEFAULT_SCOS4_CCOS4 outbound traffic-table name

DEFAULT_SCOS4_CCOS4

2024年1月11日发(作者：仁英华)

一、配置管理接口、配置OLT的读写团体字、创建ems网管管理vlan

vlan 49 standard //配置城域网管理vlan

vlan 307 standard //配置承载网管理vlan

port vlan 49 0/19 0 //配置vlan从上行口透传

port vlan 307 0/19 1

interface vlanif49 //配置私网地址

ip address 60.173.116.26 255.255.255.0

interface vlanif307 //配置私网地址

ip address 10.28.158.121 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 60.173.116.1 /增加默认路由

ip route-static 10.0.0.0 255.0.0.0 10.28.158.1 /增加默认路由

snmp-agent community read xxdx@epon

snmp-agent community write XXdx@gpon

snmp-agent target-host trap-hostname XXdxepon address X.X.X.X udp-port 162

trap-paramsname XXdxepon v1 securityname xxdx@pon

snmp-agent trap enable standard

二、配置OLT的访问 控制

OLT设备R62配置了ACL规则的，通过packet filter在上行口引用，升级到R8版本后会导致不在ACL范围内的专线IP业务不通，如果客户使用ACL目的只是为了进行telnet访问控制限制，

sysman ip-access telnet X.X.X.X（起始网段地址） X.X.X.X（结束网段地址）

sysman ip-access telnet 61.132.246.0（例如） 61.132.246.255（例如）

sysman firewall telnet enable

注意：先允许ip-access再enable，按顺序执行。不然会造成设备管理不通，但不影响业务。

处理方法： 建议升级前删除packet filter以及ACL配置，按照新的方法配置，一定要SAVE保存后再升级。

三、配置全局vlan

vlan 341 to 346 smart //配置smart vlan

vlan attrib 341 to 346 q-in-q //配置QinQ vlan或stacking-vlan均可以。

port vlan 341 to 346 0/19 0 //配置vlan从上行口透传

四、配置OLT语音双上联1+1保护功能、配置OLT上联链路汇聚功能

1、配置OLT语音双上联1+1保护功能

huawei(config-protect)# protect-group first 0/19/1 second 0/20/1 eth workmode

timedelay enable

添加三层接口，将VLAN接口与上层交换机S7806上的VRRP组地址在同一段，如将MA5680T的三层接口的主IP地址设置为10.28.152.244（与上层S7806的IP地址同一网段）

huawei(config)# vlan 464 smart

huawei(config)#port vlan 464 0/19 0

huawei(config)#port vlan 464 0/20 0

huawei(config)#interface vlanif 464

huawei(config-if-vlanif462)# ip address 10.28.152.244 27

开启ARP探测功能，注意该地址为VRRP组的虚地址

huawei(config)# arp-detect epon1 bind peer-ip 10.28.152.193 vlan 464 port 0/19/1

huawei (config-arp-detect-epon1)#detect enable

huawei (config-arp-detect-epon1)#quit

huawei(config)# arp-detect epon2 bind peer-ip 10.28.152.193 vlan 464 port 0/20/1

huawei (config-arp-detect- epon2)#detect enable

huawei (config-arp-detect- epon2)#quit

说明：由于在MA5680T上需要配置一个地址与上行的交换机之间形成ARP探测组与保护组，所以该地址的规划需要同交换机上的VRRP地址在同一段。以上述配置为例，该MA5680T上的语音VLAN为361－364、461－464，可以在这几个Vlan中随便选择一个，如选择VLAN 464段的IP地址10.28.152.244配置在MA5680T上

查询保护对状态：

display arp-detect

MA5680T双上行中的一个端口状态正常情况下为down，对端的S9306的端口状态也为down，不要以为存在故障。测试时在MA5680T上ping承载网地址，同时将MA5680T的主端口尾纤拔掉，备用端口立即up，这是ping会存在两个丢包。

2、配置OLT上联链路汇聚功能

link-aggregation 0/19 0 0/20 0 ingress workmode lacp-static /和汇聚交换接协商使用LACP协议。

五、配置OLT的PON接口板ONU自动发现功能

interface gpon 0/8

port 0 ont-auto-find enable

六、配置OLT的时间、配置OLT的网元名称、配置OLT的上联端口描述

MA5680T(config)#time 2013-03-14 01:02:03

MA5680T(config)#sysname HF_CQ_MA5680T

MA5680T(config)#port desc 0/19/0 description TO_AF_S7806_1GE0/1/1 具体命名规范参见相关文件。

七、创建ONU上行带宽DBA模板、创建ONU下行线路速率模板、创建业务流量模板

1、dba-profile add profile-id 16 profile-name "XX_100M" type3 assure 81920 max 102400

2、ont-lineprofile epon profile-id 2 profile-name "MA5620E"

llid dba-profile-id 11 //MA5620E引用dba模板，用来对MA5620E的上行限速

commit

3、traffic table ip index 30 name "FTTHG20MGXU" cir 24576 cbs 788432 pir 49152 pbs 1574864

priority user-cos 0 inner-priority user-cos 0 priority-policy tag-in-package

以上命令为实例，具体参数参见相关规范。

八、配置OLT的MAC地址过滤功能

security mac-filter source 00e0-fcaf-eae2 //对于MAC地址过滤，建议开启，能防范环路，对于公网、私网建议都开启。

九、配置OLT的广播包抑制功能

默认情况下不需要改动。如需要变动使用一下命令：

traffic-suppress 0/2 broadcast value 5

十、配置OLT的环路检测功能

ring check enable //OLT开启环路检测，对于MDU设备不建议开启。

十一、配置OLT的防攻击功能（防DOS攻击、ICMP攻击、ARP攻击、BPDU攻击

security anti-dos disable //对于如下防攻击开关，建议关闭。

security anti-icmpattack disable

security anti-ipattack disable

security anti-ipspoofing disable

security anti-macspoofing disable

security arp-detect disable

十二：添加ONU的LOID，并配置ONU名称、类型及描述（当采用LOID方式认证时）绑定ONU线路模板、绑定ONU业务模板。

ONU注册举例；

interface gpon 0/7

ont add 2 122 loid-auth 340563LLPRGVUE292717267 always-on omci ont-lineprofile-name

FTTH_GPON_ONUGX_LINE ont-srvprofile-name FTTH_GPON_ONUGX_SRV

traffic-limit ont 0/4/0 0 down-stream traffic-table index 6

tcont bind-profile 2 122 1 profile-name FTTHG20MGXU

service-port vlan 1825 port 0/12/2 ont 122 multi-service user-vlan 41 tag-transform

translate-and-add inner-vlan 1964 inbound traffic-table name DEFAULT_SCOS0_CCOS0

outbound traffic-table name DEFAULT_SCOS0_CCOS0

service-port vlan 1825 port 0/12/2 ont 122 multi-service user-vlan 43 tag-transform

translate-and-add inner-vlan 2964 inbound traffic-table name DEFAULT_SCOS5_CCOS5

outbound traffic-table name DEFAULT_SCOS5_CCOS5

service-port vlan 1825 port 0/12/2 ont 122 multi-service user-vlan 45 tag-transform

default inbound traffic-table name DEFAULT_SCOS6_CCOS6 outbound traffic-table name

DEFAULT_SCOS6_CCOS6

service-port vlan 1825 port 0/12/2 ont 122 multi-service user-vlan 47 tag-transform

default inbound traffic-table name DEFAULT_SCOS4_CCOS4 outbound traffic-table name

DEFAULT_SCOS4_CCOS4