国家 / 地区

H3C CR16000-F路由器 运营商BRAS典型配置举例-R7951P01-6W100

手册下载

H3C运营商BRAS配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W100-20200306

产品版本:Release 7951P01

 

Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



简介

本章介绍了BRASBroadband Remote Access Server,宽带远程接入服务器)特性在运营商应用中的典型配置举例。

配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解IPoEPPPoEIRF、组播、VLAN终结和QinQ等特性。

使用限制

本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。

目前仅CSPEX类单板(除CSPEX-1104-E之外)/CEPC类单板支持配置本特性。

IRF的相关使用限制请参见产品对应版本的IRF配置指导。

BRAS小区网PPPoE配置举例

4.1  组网需求

1所示,某小区中的住户ABC均购买了运营商ISP14Mbps上网套餐,住户D购买了ISP110Mbps上网套餐。Router A作为ISP1的一台BRAS设备,为住户ABC和住户D提供PPPoE方式的接入Internet服务用户主机进行PPPoE拨号时,采用DHCP Relay方式为其动态分配IP地址等参数;同时采用Radius服务器对每个接入用户进行单独认证、授权和计费。

ISP1基于自身业务扩展和安全考虑,同时要求实现如下需求:

·     确保Router A作为BRAS设备的可扩展性,可以充分满足小区A中的其他住户或其它小区(例如小区B)住户购买自己的上网套餐进行PPPoE拨号上网。

·     配置一定的攻击防御策略,防止一些恶意攻击,以便确保网络安全。

图1 BRAS小区网PPPoE配置组网图

 

4.2  配置思路

·     为了保证住户ABC4Mbps带宽和住户D10Mbps带宽需求,直接通过RADIUS服务器为用户授权CAR

·     为了提高BRAS设备的可扩展性,可以在ISP的汇聚层设备(本例为Switch A)上启用QinQ功能(本例外层Tag为运营商VLAN 101),并在BRAS设备相应的用户接入子接口(本例为子接口GigabitEthernet3/1/1.1)上启用VLAN终结功能,从而提高接口的利用率及突破可用VLAN 4094的个数限制。

·     因当PPPoE用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

·     DHCPPPPoE配合使用时,如果设备的DHCP地址池中配置了remote-server命令,则可以认定该设备一定是DHCP中继设备,所以不需要在接口视图下执行dhcp select relay proxy命令。

·     为了确保网络安全,可以从不同的层面部署攻击预防策略,以提供相对全面攻击预防。

攻击防御分类

攻击防御措施

命令

功能描述

链路层攻击防御

PPPoE用户静默功能

pppoe-server connection chasten

为防止大量用户频繁上下线或非法用户通过协议报文发起攻击占用设备大量系统资源,可配置PPPoE用户静默功能。配置本功能后,当某PPPoE用户在检测周期内的上下线次数或请求连接次数达到指定次数时,将被静默一段时间,在静默周期内设备直接丢弃来自此PPPoE用户的报文

PPP用户静默功能

ppp authentication chasten

当某PPP用户在检测周期内连续认证失败达次数达到允许的最大值时,将被静默一段时间,在静默周期内设备直接丢弃来自此PPP用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该PPP用户的认证报文而对设备性能造成影响

IP层攻击防御

URPF检查

ip urpf strict

用于防止基于源地址欺骗的网络攻击行为

ICMP防攻击

ip icmp fast-reply enable

通过设置硬件快回,对ICMP报文直接进行回复,从而避免对设备的冲击

keepalive防攻击

ppp keepalive fast-reply enable

(本功能仅CSPEX类单板(除CSPEX-1204CSPEX-1104-E之外)、CEPC类单板支持,并且仅对从以太网链路收到的keepaliive报文进行快速应答)

通过设置硬件快回,对Echo Request报文直接进行回复,从而避免对设备的冲击

应用层攻击防御

DHCP Flood防攻击

dhcp flood-protection enable

在指定的时间内对某个MAC地址对应DHCP客户端发送的报文数进行统计,当达到配置的最大报文数时,DHCP中继丢弃该DHCP客户端发送的DHCP报文

PPPoE PADI防攻击

pppoe-server padi-limit

在设备重启或者版本升级等情况下,为避免大量PPPoE用户的突发上线请求对设备性能造成影响,同时又确保PPPoE用户能够平稳上线,可以限制指定单板接收PADI报文的速率

基于上线用户的协议限速防攻击

qos car user

(本命令仅CSPEX类单板(CSPEX-1204CSPEX-1104-E除外)和CEPC类单板支持)

控制平面的主要工作是进行协议报文的解析和协议的计算。在设备上,与之相对应的核心物理实体就是CPU,它具备灵活的报文处理能力,但数据吞吐能力有限。如果上送控制平面的报文速率超过了控制平面的处理能力,那么上送控制平面的报文会得不到正确转发或及时处理,从而影响协议的正常运行。为了解决此问题,用户可以在控制平面上配置基于上线用户的流量监管,通过对上送控制平面的报文进行限速处理,达到保护控制平面正常报文的收发、维护控制平面正常处理状态的目的

 

4.3  配置注意事项

授权地址池等属性,如果Radius服务器和ISP域下同时配置,则以Radius服务器授权的为准;idle-cut属性,如果Radius服务器和ISP域下同时配置,则以BRAS设备上ISP域下配置的为准(本例中授权属性均已仅在ISP域下配置的方式进行举例,实际环境请根据需要选择由Radius服务器授权或通过ISP域下配置方式)。

4.4  配置步骤

4.4.1  配置Radius服务器

说明

下面以Linux下的Free Radius服务器为例,说明Radius server的基本配置。

 

# 配置Radius客户端信息。

clients.conf文件中增加如下信息:

client 4.4.4.1/32 {

ipaddr = 4.4.4.1

netmask=32

secret=123456

}

以上信息表示:Radius客户端的IP地址为4.4.4.1,共享密钥为字符串123456

# 配置合法用户信息。

users文件中增加如下信息。

User1@isp1  Cleartext-Password :="pass1"

                     H3C_Input_Average_Rate = 4000000,

                     H3C_Output_Average_Rate = 4000000

User2@isp1  Cleartext-Password :="pass2"

                     H3C_Input_Average_Rate = 4000000,

                     H3C_Output_Average_Rate = 4000000

User3@isp1  Cleartext-Password :="pass3"

                     H3C_Input_Average_Rate = 4000000,

                     H3C_Output_Average_Rate = 4000000

User4@isp1  Cleartext-Password :="pass4"

                     H3C_Input_Average_Rate = 10000000,

                     H3C_Output_Average_Rate = 10000000

以上信息表示:Host A的用户名和密码为User1@isp1/pass1并限速4MbpsHost B的用户名和密码为User2@isp1/pass2并限速4MbpsHost C的用户名和密码为User3@isp1/pass3并限速4MbpsHost D的用户名和密码为User4@isp1/pass4并限速10Mbps

4.4.2  配置IP地址及路由

按照1配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。

4.4.3  配置DHCP服务器

说明

不同DHCP服务器配置可能有所不同,具体配置请以实际设备为准,本节配置仅供参考。

 

# 全局使能DHCP

<DHCP-server> system-view

[DHCP-server] dhcp enable

# 创建名字为pool1地址池并进入其视图。

[DHCP-server] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段3.3.3.0/24,分配的网关地址3.3.3.1DNS服务器地址4.4.4.5

[DHCP-server-pool-pool1] network 3.3.3.0 24

[DHCP-server-pool-pool1] gateway-list 3.3.3.1

[DHCP-server-pool-pool1] dns-list 4.4.4.5

# 3.3.3.1设置为禁止分配地址。

[DHCP-server-pool-pool1] forbidden-ip 3.3.3.1

[DHCP-server-pool-pool1] quit

# 配置到PPPoE Server(即BRAS)的缺省路由。

[DHCP] ip route-static 0.0.0.0 0 4.4.4.1

4.4.4  配置BRAS

1. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRAS] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRAS-radius-rs1] primary authentication 4.4.4.2

[BRAS-radius-rs1] primary accounting 4.4.4.2

[BRAS-radius-rs1] key authentication simple 123456

[BRAS-radius-rs1] key accounting simple 123456

[BRAS-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRAS] radius dynamic-author server

[BRAS-radius-da-server] client ip 4.4.4.2 key simple 123456

[BRAS-radius-da-server] quit

2. 配置DHCP中继

# 全局使能DHCP

[BRAS] dhcp enable

# 启用DHCP中继的用户地址表项记录功能。

[BRAS] dhcp relay client-information record

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool1

[BRAS-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route

[BRAS-dhcp-pool-pool1] remote-server 4.4.4.3

[BRAS-dhcp-pool-pool1] quit

3. 配置认证域

# 创建并进入名字为isp1ISP域。

[BRAS] domain name isp1

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp1] authentication ppp radius-scheme rs1

[BRAS-isp-isp1] authorization ppp radius-scheme rs1

[BRAS-isp-isp1] accounting ppp radius-scheme rs1

# 配置当前isp1域下的用户授权地址池。

[BRAS-isp-isp1] authorization-attribute ip-pool pool1

[BRAS-isp-isp1] quit

4. 配置虚拟模板接口

# 创建虚拟模板接口1,并开启PPP计费统计和CHAP认证功能。

[BRAS] interface virtual-template 1

[BRAS-Virtual-Template1] ppp account-statistics enable

[BRAS-Virtual-Template1] ppp authentication-mode chap domain isp1

[BRAS-Virtual-Template1] quit

5. 配置VLAN终结

# 在用户的接入子接口GigabitEthernet3/1/1.1配置VLAN终结,并绑定虚拟模板接口1

[BRAS] interface gigabitethernet 3/1/1.1

[BRAS-GigabitEthernet3/1/1.1] vlan-type dot1q vid 101 second-dot1q 11 to 14

[BRAS-GigabitEthernet3/1/1.1] pppoe-server bind virtual-template 1

6. 配置攻击预防策略

·     配置PPPoE PADI防攻击

# 配置slot 3每秒最多能够接收500PADI报文(一般建议使用缺省值,本例缺省为500)。根据设备运行的主控板类型不同,缺省情况下单板每秒能够接收PADI报文的最大数目也有所差异,具体请参见产品PPPoE命令手册。

[BRAS] pppoe-server padi-limit slot 3 500

·     配置PPPoE用户静默功能

# 配置当任意某PPPoE用户在600秒内请求连接次数达到100次时,基于MAC地址对该用户静默300秒。

[BRAS] pppoe-server connection chasten 100 600 300

·     配置uRPF检查功能

# 在虚拟模板接口1上开启基于PPPoE普通用户的IPv4 uRPF功能(缺省处于开启状态)。

[BRAS] interface virtual-template 1

[BRAS-Virtual-Template1] ip urpf strict

[BRAS-Virtual-Template1] quit

·     配置ICMP防攻击

# 开启ICMP快速应答功能。

[BRAS] ip icmp fast-reply enable

·     配置keepalive防攻击

# slot 3上开启PPP链路keepalive报文的快速应答功能(缺省处于开启状态)。

[BRAS] ppp keepalive fast-reply enable slot 3

·     配置DHCP Flood防攻击

# 在用户的接入子接口GigabitEthernet3/1/1.1上开启DHCP Flood方攻击功能。

[BRAS] interface gigabitethernet 3/1/1.1

[BRAS-GigabitEthernet3/1/1.1] dhcp flood-protection enable

[BRAS-GigabitEthernet3/1/1.1] quit

4.4.5  配置Switch A

# 创建运营商VLAN 101

<SwitchA> system-view

[SwitchA] vlan 101

[SwitchA-vlan101] quit

# 配置端口GigabitEthernet3/0/1Hybrid模式,并允许运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[SwitchA] interface gigabitethernet 3/0/1

[SwitchA-GigabitEthernet3/0/1] port link-type hybrid

[SwitchA-GigabitEthernet3/0/1] port hybrid vlan 101 tagged

[SwitchA-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchA] interface range gigabitethernet 3/0/2 to gigabitethernet 3/0/3

[SwitchA-if-range] port link-type trunk

[SwitchA-if-range] port trunk permit vlan 101

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3的缺省VLAN为运营商VLAN 101,并启用端口QinQ功能。

[SwitchA-if-range] port trunk pvid vlan 101

[SwitchA-if-range] qinq enable

[SwitchA-if-range] quit

4.4.6  配置Switch B

# 创建用户VLAN 1112

[SwitchB] vlan 11 to 12

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 11VLAN 12的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 11 12

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 11

[SwitchB] interface gigabitethernet 3/0/2

[SwitchB-GigabitEthernet3/0/2] port access vlan 11

[SwitchB-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 12

[SwitchB] interface gigabitethernet 3/0/3

[SwitchB-GigabitEthernet3/0/3] port access vlan 12

[SwitchB-GigabitEthernet3/0/3] quit

4.4.7  配置Switch C

# 创建用户VLAN 1314

[SwitchC] vlan 13 to 14

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 13VLAN 14的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 13 14

[SwitchC-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 13

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] port access vlan 13

[SwitchC-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 14

[SwitchC] interface gigabitethernet 3/0/3

[SwitchC-GigabitEthernet3/0/3] port access vlan 14

[SwitchC-GigabitEthernet3/0/3] quit

4.5  验证配置

# 以用户主机Host A为例:主机安装PPPoE客户端软件后,使用用户名:User1@isp1和密码:pass1便可以拨号接入BRAS设备访问Internet

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

[BRAS] display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

3.3.3.2          e839-3563-fb21   Dynamic     BAS0                  N/A

以上信息表明,用户Host A已动态获取到IP地址。

# 查看用户User1@isp1的详细信息。

[BRAS] display ppp access-user username User1@isp1 verbose

Basic:

  Interface: BAS0

  PPP index: 0x140000105

  User ID: 0x20000001

  Username: User1@isp1                //PPPoE拨号使用的用户名

  Domain: isp1                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  VXLAN ID: -

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 3.3.3.2                 //DHCP Server为用户分配的IP地址

  Primary DNS server: 4.4.4.5

  IPv6 address: -

  IPv6 PD prefix: -

  IPv6 ND prefix: -

  User address type: N/A

  VPN instance: -

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

PPPoE:

  Session ID: 1

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Open

  Realtime accounting interval: 900s

  Login time: 2014-11-6  8:31:31:725

  Accounting start time: 2014-11-6  8:31:32:275

  Online time(hh:mm:ss): 0:3:46

  Accounting state: Accounting

  Acct start-fail action: Online

  Acct update-fail action: Online

  Acct quota-out action: Offline

  Dual-stack accounting mode: Merge

  Idle cut: 0 sec  0 byte, direction: Both

  Session timeout: -

  Time remained: -

  Traffic quota: -

  Traffic remained: -

  Redirect WebURL: -

  ITA policy name: -

  MRU: 1480 bytes

  IPv4 MTU: 1480 bytes

  IPv6 MTU: 1480 bytes

  Subscriber ID: -

 

ACL&QoS:

  User profile: -

  Session group profile: -

  User group acl: -

  Inbound CAR: CIR 4000 kbps PIR 4000 kbps CBS - (active)

  Outbound CAR: CIR 4000 kbps PIR 4000 kbps CBS - (active)

  User inbound priority: -

  User outbound priority: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 508/53292

  IPv4 downlink packets/bytes: 285/26198

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

以上信息表明,Host A成功拨号到BRAS设备并动态获取到IP地址3.3.3.2

# Host A模拟登录失败,在60秒内连续认证失败次数达到3次时,查看BRAS设备上所有的静默PPP用户信息。

[BRAS] display ppp chasten user blocked

Username                         Domain                            Aging(s)

test                             isp1                              280

以上信息表明,Host A因在60检测周期内连续认证失败次数达到3次被静默,剩余老化时间为280秒,在该剩余老化时间超时前设备直接丢弃来自Host A的报文。

# Host A模拟攻击,在600秒内请求连接次数达到100次时,查看BRAS设备上所有的静默PPPoE用户信息。

[BRAS] display pppoe-server chasten user

Type: N-non-Quickoffline   Q-Quickoffline

MAC/Option105     VLAN ID        Interface          Aging(S)  Type  Drops

e839-3563-fb21    101            GE3/1/1.1          288       N     1000

以上信息表明,Host A因在检测周期内请求连接的次数达到指定次数被静默,剩余老化时间为288秒,在该剩余老化时间超时前设备直接丢弃来自Host A的报文。

4.6  配置文件

·     DHCP-server

#

 dhcp enable

#

dhcp server ip-pool pool1

 network 3.3.3.0 mask 255.255.255.0

 dns-list 4.4.4.5

 forbidden-ip 3.3.3.1

 gateway-list 3.3.3.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 4.4.4.3 255.255.255.0

#

ip route-static 0.0.0.0 0 4.4.4.1

#

·     BRAS

#

 ip icmp fast-reply enable

#

dhcp enable

dhcp relay client-information record

#

dhcp server ip-pool pool1

 gateway-list 3.3.3.1 export-route

 remote-server 4.4.4.3

#

interface Virtual-Template1

 ppp authentication-mode chap domain isp1

 ppp account-statistics enable

#

interface GigabitEthernet3/1/2

 port link-mode route

 ip address 5.5.5.1 255.255.255.0

#

interface GigabitEthernet3/1/2

 port link-mode route

#

interface GigabitEthernet3/1/1.1

 vlan-type dot1q vid 101 second-dot1q 11 to 14

 pppoe-server bind virtual-template 1

 dhcp flood-protection enable

#

interface GigabitEthernet3/1/3

 port link-mode route

 ip address 4.4.4.1 255.255.255.0

#

radius scheme rs1

 primary authentication 4.4.4.2

 primary accounting 4.4.4.2

 key authentication cipher $c$3$WyjH/HQEi8lmN/BiIW7W0HS4ewgPHFTlew==

 key accounting cipher $c$3$bbpWnYU4Ynat3ddQB+IPRb3X5FgIsLXUgQ==

#

radius dynamic-author server

 client ip 4.4.4.2 key cipher $c$3$Td30doCnLkhF7bhiYp4bk9DU96+XBStLkA==

#

domain name isp1

 authorization-attribute ip-pool pool1

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

 pppoe-server connection chasten 100 600 300

#

·     Switch A

#

vlan 101

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type hybrid

 port hybrid vlan 101 tagged

 port hybrid vlan 1 untagged

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 101

 port trunk pvid vlan 101

 qinq enable

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 101

 port trunk pvid vlan 101

 qinq enable

#

·     Switch B

#

vlan 11 to 12

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 11 12

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 11

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 12

#

·     Switch C

#

vlan 13 to 14

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 13 14

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 13

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 14

#

PPPoE+IPoE+组播配置举例

5.1  组网需求

2所示,Router ARouter B作为运营商的两台BRAS设备,为家庭用户和企业用户提供接入服务。为了便于管理及提高BRAS设备的可靠性,在Router ARouter B之间建立IRF

Router C通过接口Ten-GigabitEthernet3/1/4连接组播源(Source),组播源向组播组224.1.1.1发送组播数据。Router CIRF设备(Router ARouter B)运行三层组播协议PIM-DMIRF设备上运行IGMPv2Switch A上运行版本2IGMP Snooping,并IRF设备充当IGMP查询器。

要求:

·     家庭用户主机Host A采用PPPoE方式接入,使用User@isp1/radius作为用户名/密码进行认证,限速8Mbps计费

·     机顶盒采用DHCP IPoE方式接入,使用源MAC@iptv/Option 60(本例中假设机顶盒Option 60内容为123-iptv)作为用户名/密码进行认证,限速4Mbps并计费。

·     企业用户主机Host B采用DHCP IPoE方式接入,使用源MAC@isp2/radius作为用户名/密码进行认证,限速10Mbps并计费。同时,Host B需要接收组播组224.1.1.1发送的组播数据。

·     打印机采用静态IPoE方式接入,使用源MAC@print/radius作为用户名/密码进行认证,限速2Mbps但不计费。

·     通过DHCP服务器并采用DHCP Relay方式为PPPoE拨号用户和DHCP IPoE接入用户动态分配IP地址等参数。

图2 PPPoE+IPoE+组播配置组网图

 

表1 IP地址规划表

设备

接口

IP地址

设备

接口

IP地址

RADIUS server

-

4.4.4.2/24

IRF

RGG1

-

DHCP server

-

4.4.4.3/24

 

RGG1.1

-

Source

-

5.5.5.2/24

 

RGG1.2

-

Router C

RGG1023

3.3.3.2/24

 

RGG1023

3.3.3.1/24

 

XGE3/1/1

-

 

XGE1/3/1/1

-

 

XGE3/1/2

-

 

XGE2/3/1/1

-

 

XGE3/1/3

4.4.4.1/24

 

XGE1/3/1/2

-

 

XGE3/1/4

5.5.5.1/24

 

XGE2/3/1/2

-

 

表2 接入用户信息表

用户

接入接口

接入方式

用户名/密码

限速策略

计费策略

Host A

RGG1.1

PPPoE

User@isp1/radius

8Mbps

100/

机顶盒

RGG1.1

DHCP IPoE

78acc09f8592@iptv/123-iptv

4Mbps

150/

Host B

RGG1.2

DHCP IPoE

001b21a80949@isp2/radius

10Mbps

800/

打印机

RGG1.2

静态IPoE

000c29a6b656@print/radius

2Mbps

不计费

 

5.2  配置思路

·     IRF

¡     为避免成员设备的单点故障影响到正常的业务转发,可在IRF中配置跨框聚合端口进行业务转发。

¡     为尽量降低IRF分裂对业务造成的影响,可在IRF中配置LACP MAD检测。LACP MAD检测只需在一个聚合组中配置即可,其他聚合组中无需配置。LACP MAD检测使用的中间设备必须为H3C的设备且使用的软件版本必须能够识别、处理携带了ActiveID值的LACPDU协议报文,在本例中使用Switch A作为LACP MAD检测的中间设备。

·     公共:

¡     为了保证用户的带宽需求,本例通过Radius直接授权的CAR策略

¡     为了提高BRAS设备对家庭用户的可扩展性,可以在ISP的汇聚层设备(本例为Switch A)上启用QinQ功能(本例外层Tag为运营商VLAN 101),并在BRAS设备相应的用户接入子接口(本例为子接口Route-Aggregation1.1)上启用VLAN终结功能,从而提高接口的利用率及突破可用VLAN 4094的个数限制。

¡     BRAS接入用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

·     PPPPoE

¡     DHCPPPPoE配合使用时,如果设备的DHCP中继地址池中配置了remote-server命令,则可以认定该设备一定是DHCP中继设备,所以不需要在接口视图下执行dhcp select relay proxy命令。

¡     使用DHCP地址池为用户分配IP地址,建议在DHCP中继地址池视图下通过命令gateway-list export-route配置网关地址进行IPCP协商,不建议直接在虚拟模板接口下配置IP地址进行IPCP协商。

¡     本例中,PPPoE用户网段地址为1.1.1.0/24,使用的ISP认证域为isp1

·     IPoE

¡     为了DHCP Client异常下线后可通过IP报文重新触发上线,需要配置异常下线后重新上线功能。

¡     为了防止用户不按照常规发送下线请求,异常下线(例如,用户直接拔掉网线)后,接入设备仍然维护该异常下线用户的IPoE会话,并对其进行计费,需要配置动态IPv4 IPoE个人接入用户在线探测功能,对在线用户进行定期探测。

¡     本例中,IPoE用户网段地址2.2.2.0/24,机顶盒、Host B、打印机分别使用ISP认证域为iptvisp2print

·     组播:

¡     为了减轻三层组播设备(本例为Router ARouter B建立的IRF)为所有不同VLANIPoE用户都复制转发组播数据的负担,可以在Switch C上配置组播VLAN,使IRF设备通过组播VLANSwitch C下分属不同用户VLAN的主机分发组播数据。

¡     本文采用基于子VLAN的组播VLAN方式实现组播VLAN功能。

5.3  配置注意事项

·     IRF

¡     设备切换至IRF模式后,CEPC类单板将不可用。

·     公共

¡     授权地址池属性,如果Radius服务器和ISP域下同时配置,则以Radius服务器授权的为准(本例中授权属性均已仅在ISP域下配置的方式进行举例,实际环境请根据需要选择由Radius服务器授权或通过ISP域下配置方式)。

¡     本例中DHCP Server是由设备进行模拟,实际应用H3C建议使用专门的DHCP服务器。

·     IPoE

¡     接口上使能了IPoE功能后,默认丢弃接收到的用户报文,需要配置IPoE用户触发方式,使指定的用户报文得以处理,后续能够正常使用网络服务。

¡     接入设备上配置动态IPoE个人接入用户认证使用的用户名和密码必须与认证服务器配置的用户名保持一致,用户才可以认证通过。缺省情况下,IPv4 DHCP个人接入用户使用报文源MAC地址作为认证用户名,认证密码为字符串vlan

¡     对于与接入接口在同一网段内的动态IPv4 IPoE个人接入用户,可使用ARP请求或ICMP请求报文对用户进行探测;对于与接入接口不在同一网段内的动态IPv4 IPoE个人接入用户,应使用ICMP请求报文对用户进行探测。

¡     接入接口上不能同时启用ARP请求和ICMP请求两种方式对动态IPv4 IPoE个人接入用户进行探测。

¡     DHCPIPoE配合使用时,如果BRAS设备作为DHCP中继,则必须在接入接口(本例为子接口Route-Aggregation1.2)视图下执行dhcp select relay proxy命令配置接口工作在DHCP中继模式。

·     组播

¡     在已使能了组播路由的设备上不建议再配置组播VLAN

¡     要配置为组播VLAN的指定VLAN必须存在。

¡     要添加到组播VLAN内的子VLAN必须存在,且不能是组播VLAN或其它组播VLAN的子VLAN

¡     实现BRAS组播功能时需要配置用户ISP域接入使用STB业务类型,配置后接入模块会开启组播功能,可提高系统处理组播业务的性能。

5.4  配置步骤

5.4.1  搭建IRF

1. Router A的配置

(1)     设置Router A的成员编号为1

<RouterA> system-view

[RouterA] irf member 1

(2)     创建IRF端口2,并将它与物理端口Ten-GigabitEthernet 4/0/1Ten-GigabitEthernet 4/0/2绑定

[RouterA] interface ten-gigabitethernet 4/0/1

[RouterA-Ten-GigabitEthernet4/0/1] port link-mode bridge

[RouterA-Ten-GigabitEthernet4/0/1] quit

[RouterA] interface ten-gigabitethernet 4/0/2

[RouterA-Ten-GigabitEthernet4/0/2] port link-mode bridge

[RouterA-Ten-GigabitEthernet4/0/2] quit

[RouterA] irf-port 2

[RouterA-irf-port2] port group interface ten-gigabitethernet 4/0/1

[RouterA-irf-port2] port group interface ten-gigabitethernet 4/0/2

[RouterA-irf-port2] quit

(3)     将当前配置保存到下次启动配置文件

切换运行模式后,设备会自动重启,使新的运行模式生效。为防止配置丢失,请在切换模式前,保存当前配置。

[RouterA] save

(4)     参照2连接Router ARouter B之间的IRF端口

(5)     Router A的运行模式切换到IRF模式,之后设备会自动重启

[RouterA] chassis convert mode irf

The Router will switch to IRF mode and reboot.

You are recommended to save the current running configuration and specify the co

nfiguration file for the next startup. Continue? [Y/N]:y

Do you want to convert the content of the next startup configuration file cfa0:/

irf.cfg to make it available in stack mode? [Y/N]:y

Now rebooting, please wait...

2. Router B的配置

(1)     设置Router B的成员编号为2

<RouterB> system-view

[RouterB] irf member 2

(2)     创建设备的IRF端口1,并将它与物理端口Ten-GigabitEthernet 4/0/1Ten-GigabitEthernet 4/0/2绑定

[RouterB] interface ten-gigabitethernet 4/0/1

[RouterB-Ten-GigabitEthernet4/0/1] port link-mode bridge

[RouterB-Ten-GigabitEthernet4/0/1] quit

[RouterB] interface ten-gigabitethernet 4/0/2

[RouterB-Ten-GigabitEthernet4/0/2] port link-mode bridge

[RouterB-Ten-GigabitEthernet4/0/2] quit

[RouterB] irf-port 1

[RouterB-irf-port1] port group interface ten-gigabitethernet 4/0/1

[RouterB-irf-port1] port group interface ten-gigabitethernet 4/0/2

[RouterB-irf-port1] quit

(3)     保存配置

[RouterB] save

(4)     参照2连接Router ARouter B之间的IRF端口

(5)     将设备的运行模式切换到IRF模式

[RouterB] chassis convert mode irf

The device will switch to IRF mode and reboot.

You are recommended to save the current running configuration and specify the co

nfiguration file for the next startup. Continue? [Y/N]:y

Do you want to convert the content of the next startup configuration file cfa0:

/irf.cfg to make it available in stack mode? [Y/N]:y

Now rebooting, please wait...

3. LACP MAD配置

说明

本例中的Router AIRF组网中的角色是Master,在PPPoEIPoE组网中的角色是BRAS,为了便于理解,后续配置步骤中在IRF部分Router A描述为IRF,在PPPoEIPoE中描述为BRAS

 

在前面配置完成并重新启动后,IRF已经组建完成,此时可以进行各个业务模块的配置。IRF形成之后,可以从任何一台成员设备登录进行配置,设备名称缺省为Master的名称(此例中为Router A)。

# 创建连接汇聚层交换机Switch A的动态聚合组,编号为1,并使能LACP MAD检测功能。

<IRF> system-view

[IRF] interface route-aggregation 1

[IRF-Route-Aggregation1] link-aggregation mode dynamic

[IRF-Route-Aggregation1] mad enable

You need to assign a domain ID (range: 0-4294967295)

[Current domain is: 0]:

The assigned domain ID is: 0

MAD LACP only enable on dynamic aggregation interface.

[IRF-Route-Aggregation1] quit

# 配置连接Switch A的端口加入聚合组1

[IRF] interface ten-gigabitethernet 1/3/1/1

[IRF-Ten-GigabitEthernet1/3/1/1] port link-aggregation group 1

[IRF-Ten-GigabitEthernet1/3/1/1] quit

[IRF] interface ten-gigabitethernet 2/3/1/1

[IRF-Ten-GigabitEthernet2/3/1/1] port link-aggregation group 1

[IRF-Ten-GigabitEthernet2/3/1/1] quit

4. IRF下行业务配置

(1)     Switch A的配置

# 创建连接IRF的动态聚合组,编号为1,该聚合组同时用于IRFLACP MAD检测。

<SwitchA> system-view

[SwitchA] interface bridge-aggregation 1

[SwitchA-Bridge-Aggregation1] link-aggregation mode dynamic

[SwitchA-Bridge-Aggregation1] quit

# 配置连接IRF的端口加入聚合组1

[SwitchA] interface ten-gigabitethernet 3/0/1

[SwitchA-Ten-GigabitEthernet3/0/1] port link-aggregation group 1

[SwitchA-Ten-GigabitEthernet3/0/1] quit

[SwitchA] interface ten-gigabitethernet 3/0/2

[SwitchA-Ten-GigabitEthernet3/0/2] port link-aggregation group 1

[SwitchA-Ten-GigabitEthernet3/0/2] quit

5. IRF上行业务配置

(1)     IRF的配置

# 创建连接出口路由器Router C的聚合组,编号为1023

[IRF] interface route-aggregation 1023

[IRF-Route-Aggregation1023] quit

# 配置连接Router C的端口加入聚合组1023

[IRF] interface ten-gigabitethernet 1/3/1/2

[IRF-Ten-GigabitEthernet1/3/1/2] port link-aggregation group 1023

[IRF-Ten-GigabitEthernet1/3/1/2] quit

[IRF] interface ten-gigabitethernet 2/3/1/2

[IRF-Ten-GigabitEthernet2/3/1/2] port link-aggregation group 1023

[IRF-Ten-GigabitEthernet2/3/1/2] quit

# 配置与Router C连接的三层聚合组接口IP地址。

[IRF] interface Route-aggregation 1023

[IRF-Route-Aggregation1023] ip address 3.3.3.1 24

[IRF-Route-Aggregation1023] quit

# 配置IRFRouter C之间运行OSPF路由协议。

[IRF] ospf

[IRF-ospf-1] import-route direct

[IRF-ospf-1] area 0

[IRF-ospf-1-area-0.0.0.0] network 3.3.3.0 0.0.0.255

[IRF-ospf-1-area-0.0.0.0] quit

[IRF-ospf-1] quit

(2)     Router C的配置

说明

出口路由器配置本用例只描述与IRF连接的部分,外网使用何种路由协议不予描述。

 

# 创建连接IRF的聚合组,编号为1023

<RouterC> system-view

[RouterC] interface route-aggregation 1023

[RouterC-Route-Aggregation1023] quit

# 配置连接IRF的端口加入聚合组1023

[RouterC] interface ten-gigabitethernet 3/1/1

[RouterC-Ten-GigabitEthernet3/1/1] port link-aggregation group 1023

[RouterC-Ten-GigabitEthernet3/1/1] quit

[RouterC] interface ten-gigabitethernet 3/1/2

[RouterC-Ten-GigabitEthernet3/1/2] port link-aggregation group 1023

[RouterC-Ten-GigabitEthernet3/1/2] quit

# 配置与IRF连接的三层聚合组接口IP地址。

[RouterC] interface route-aggregation 1023

[RouterC-Route-Aggregation1023] ip address 3.3.3.2 24

[RouterC-Route-Aggregation1023] quit

# 配置与服务器区连接的接口IP地址。

[RouterC] interface ten-gigabitethernet 3/1/3

[RouterC-Ten-GigabitEthernet3/1/3] ip address 4.4.4.1 24

[RouterC-Ten-GigabitEthernet3/1/3] quit

# 配置与组播源Source连接的接口IP地址。

[RouterC] interface ten-gigabitethernet 3/1/4

[RouterC-Ten-GigabitEthernet3/1/4] ip address 5.5.5.1 24

[RouterC-Ten-GigabitEthernet3/1/4] quit

# 配置Router CIRF之间运行OSPF路由协议。

[RouterC] ospf

[RouterC-ospf-1] import-route direct

[RouterC-ospf-1] area 0

[RouterC-ospf-1-area-0.0.0.0] network 3.3.3.0 0.0.0.255

[RouterC-ospf-1-area-0.0.0.0] quit

[RouterC-ospf-1] quit

# 配置Router CIPoE用户的静态路由。

[RouterC] ip route-static 2.2.2.0 24 3.3.3.1

6. 验证配置

(1)     验证IRF建立成功

[IRF] display irf

MemberID  Slot  Role    Priority  CPU-Mac         Description

 *+1      0     Master  1         0210-fc01-0000  ---

   2      0     Standby 1         0210-fc02-0000  ---

--------------------------------------------------

 * indicates the device is the master.

 + indicates the device through which the user logs in.

 

 The Bridge MAC of the IRF is: 3822-d60f-2800

 Auto upgrade                : yes

 Mac persistent              : always

 Domain ID                   : 0

 Auto merge                  : no

从命令行的显示看,当前两台设备IRF成功建立。

5.4.2  配置BRAS

1. 配置Radius服务器

说明

·     下面以深澜软件4.1.0版本服务器为例,介绍在Radius server上添加PPPoE用户的基本操作。添加IPoE用户相关操作与添加PPPoE用户操作类似(略)。不同深澜软件版本配置可能有所不同,具体配置请以实际版本及对应版本的深澜服务器手册为准,本节配置仅供参考。

·     各接入用户的相关信息请参见2接入用户信息表

 

(1)     打开浏览器输入http://4.4.4.2:8081,回车后进入如3所示登录页面

图3 计费管理系统登录页面

 

(2)     输入管理员账号、密码及验证码后单击<Login>按钮进入如4所示页面。

图4 登录计费管理系统

 

(3)     依次单击“设备管理”-“添加设备”进入如5所示添加设备页面。

图5 添加设备页面

 

其中(仅列出本例的必选项):

·     设备名称:表示NAS的设备名称(本例NAS的设备名称为BRAS

·     NAS IP:表示NASIP地址(本例为BRAS上的IP地址3.3.3.1

·     我们的IP地址:即深澜软件安装所在的主机IP地址(本例为4.4.4.2

·     NAS类型:选择“华为、H3C、深澜网关”选项

·     RADIUS密钥:NASRADIUS间的通信密钥(本例通信密钥为:123456

(4)     输入添加设备相关信息,如6所示。

图6 完善设备信息

 

(5)     单击<保存>按钮保存配置。

(6)     添加RADIUS属性。

# 点击导航栏“Radius-“添加Radius属性”添加相应的限速属性。

(7)     设置RADIUS信任。

# 点击导航栏“Radius”,选择“Radius信任设置”链接进入RADIUS信任设置界面,持续点击右上角<生成>按钮直到生成成功。

(8)     重启RADIUS服务

生成信任设备表后,需要重启radiusd服务使修改生效。

登录深澜服务器的命令行界面,如7所示,先执行命令killall radiusd关掉radiusd服务,再执行命令/srun3/radius/sbin/radiusd &重启radiusd服务。

图7 重启RADIUS服务

 

(9)     打开浏览器输入https://4.4.4.2:8080,回车后进入如8所示深澜软件登录页面

图8 深澜软件登录页面

 

(10)     输入管理员账号、密码及验证码后单击<登录>按钮进入如9所示页面。

图9 深澜软件欢迎页面

 

(11)     依次单击左侧导航树“策略管理”-“控制策略”-“添加”打开如10所示页面。

图10 添加控制策略页面

 

(12)     输入控制策略名称“限速8M”,选择上下行速率均为“8Mbps”,在页面下方“Radius下发自定义属性”中勾选在步骤(6)添加RADIUS属性。中添加的Radius属性,如1112所示。

图11 完善控制策略

 

图12 勾选自定义属性

 

(13)     其余保持缺省值,如13所示,单击页面最下方的<保存>按钮保存控制策略配置。

图13 保存配置

 

(14)     依次单击左侧导航树中的“计费策略”-“添加”打开如14所示界面。

图14 计费策略页面

 

(15)     输入计费策略名称“包月100元”,计费模式为每月100元,如15所示。

图15 完善计费策略

 

(16)     其余保持缺省值,如16所示,单击页面最下方的<保存>按钮保存计费策略配置。

图16 保存配置

 

(17)     依次单击左侧导航树的“产品策略”-“添加”,在打开的如17页面中输入产品名称“PPPoE用户策略”并勾选前面创建的计费模式“包月100元”和控制策略“限速8M”。

图17 关联计费策略和控制策略

 

(18)     单击左侧导航树的“用户管理”-“添加用户”,并在打开的如18所示页面中输入Host A的用户名/密码:User@isp1/radius

图18 添加用户页面

 

(19)     19所示,在当前页面中选择PPPoE用户所属的组为“pppoe(ID:16)”、勾选“PPPoE用户策略”并输入缴费500元。

图19 完善用户信息

 

(20)     其余保持缺省值,如20所示,单击页面最下方的<保存>按钮保存用户配置。

图20 保存配置

 

2. 配置DHCP服务器

(1)     开启DHCP

# 全局使能DHCP

<DHCP> system-view

[DHCP] dhcp enable

(2)     配置PPPoE接入用户地址池

# 创建名字为pool1地址池并进入其视图。

[DHCP] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段1.1.1.0/24,分配的网关地址1.1.1.1DNS服务器地址8.8.8.8

[DHCP-dhcp-pool-pool1] network 1.1.1.0 24

[DHCP-dhcp-pool-pool1] gateway-list 1.1.1.1

[DHCP-dhcp-pool-pool1] dns-list 8.8.8.8

# 2.2.2.1设置为禁止分配地址。

[DHCP-dhcp-pool-pool1] forbidden-ip 1.1.1.1

[DHCP-dhcp-pool-pool1] quit

(3)     配置IPoE接入用户地址池

# 创建名字为pool2地址池并进入其视图。

[DHCP] dhcp server ip-pool pool2

# 配置地址池动态分配的IP地址网段2.2.2.1.0/24,分配的网关地址2.2.2.1DNS服务器地址8.8.8.8

[DHCP-dhcp-pool-pool2] network 2.2.2.0 24

[DHCP-dhcp-pool-pool2] gateway-list 2.2.2.1

[DHCP-dhcp-pool-pool2] dns-list 8.8.8.8

# 将网关地址2.2.2.1和打印机地址2.2.2.252设置为禁止分配地址。

[DHCP-dhcp-pool-pool2] forbidden-ip 2.2.2.1

[DHCP-dhcp-pool-pool2] forbidden-ip 2.2.2.252

[DHCP-dhcp-pool-pool2] quit

(4)     配置DHCP ServerBRAS的路由

# 配置到BRAS的静态路由,保证DHCP ServerBRAS路由可达。

[DHCP] ip route-static 1.1.1.0 24 4.4.4.1

[DHCP] ip route-static 2.2.2.0 24 4.4.4.1

3. 配置PPPoEIPoE公共配置

(1)     配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRAS] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRAS-radius-rs1] primary authentication 4.4.4.2

[BRAS-radius-rs1] primary accounting 4.4.4.2

[BRAS-radius-rs1] key authentication simple 123456

[BRAS-radius-rs1] key accounting simple 123456

# 配置与Router C连接的三层聚合组接口1023IP地址作为设备发送RADIUS报文使用的源地址。

[BRAS-radius-rs1] nas-ip 3.3.3.1

[BRAS-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRAS] radius dynamic-author server

[BRAS-radius-da-server] client ip 4.4.4.2 key simple 123456

[BRAS-radius-da-server] quit

(2)     配置DHCP中继

# 全局使能DHCP

[BRAS] dhcp enable

# 启用DHCP中继的用户地址表项记录功能。

[BRAS] dhcp relay client-information record

# 启用关闭DHCP中继动态用户地址表项定时刷新功能

[BRAS] undo dhcp relay client-information refresh enable

# PPPoE用户创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool1

[BRAS-dhcp-pool-pool1] gateway-list 1.1.1.1 export-route

[BRAS-dhcp-pool-pool1] remote-server 4.4.4.3

[BRAS-dhcp-pool-pool1] quit

# IPoE用户创建中继地址池pool2,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool2

[BRAS-dhcp-pool-pool2] gateway-list 2.2.2.1 export-route

[BRAS-dhcp-pool-pool2] remote-server 4.4.4.3

[BRAS-dhcp-pool-pool2] quit

(3)     配置认证域

·     配置PPPoE用户的认证域

# 创建并进入名字为isp1ISP域。

[BRAS] domain name isp1

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp1] authentication ppp radius-scheme rs1

[BRAS-isp-isp1] authorization ppp radius-scheme rs1

[BRAS-isp-isp1] accounting ppp radius-scheme rs1

# 配置当前isp1域下的用户授权地址池pool1

[BRAS-isp-isp1] authorization-attribute ip-pool pool1

[BRAS-isp-isp1] quit

·     配置IPoE用户的认证域

# 为机顶盒创建名字为iptvISP域进入该域视图。

[BRAS] domain name iptv

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-iptv] authentication ipoe radius-scheme rs1

[BRAS-isp-iptv] authorization ipoe radius-scheme rs1

[BRAS-isp-iptv] accounting ipoe radius-scheme rs1

# 配置当前ISP域下的用户授权地址池pool2

[BRAS-isp-iptv] authorization-attribute ip-pool pool2

[BRAS-isp-iptv] quit

# Host B用户创建名字为isp2ISP域并进入该域视图。

[BRAS] domain name isp2

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp2] authentication ipoe radius-scheme rs1

[BRAS-isp-isp2] authorization ipoe radius-scheme rs1

[BRAS-isp-isp2] accounting ipoe radius-scheme rs1

# 配置当前ISP域下的用户授权地址池pool2

[BRAS-isp-isp2] authorization-attribute ip-pool pool2

[BRAS-isp-isp2] quit

# 为打印机创建名字为printISP域并进入该域视图。

[BRAS] domain name print

# 配置ISP域认证和授权使用的Radius方案rs1,但不计费。

[BRAS-isp-print] authentication ipoe radius-scheme rs1

[BRAS-isp-print] authorization ipoe radius-scheme rs1

[BRAS-isp-print] accounting ipoe none

[BRAS-isp-print] quit

4. 配置家庭用户PPPoE用户接入

(1)     配置虚拟模板接口

# 创建虚拟模板接口1,并开启PPP计费统计和CHAP认证功能。

[BRAS] interface virtual-template 1

[BRAS-Virtual-Template1] ppp account-statistics enable

[BRAS-Virtual-Template1] ppp authentication-mode chap domain isp1

[BRAS-Virtual-Template1] quit

# 创建三层聚合子接口1.1,并进入子接口视图。

[BRAS] interface route-aggregation 1.1

# 在子接口1.1上启用PPPoE Server协议,将该接口与虚拟模板接口1绑定。

[BRAS-Route-Aggregation1.1] pppoe-server bind virtual-template 1

[BRAS-Route-Aggregation1.1] quit

(2)     配置VLAN终结

# 在家庭用户的接入三层聚合子接口1.1配置PPPoE用户的VLAN终结。

[BRAS] interface route-aggregation 1.1

[BRAS-Route-Aggregation1.1] user-vlan dot1q vid 101 second-dot1q 11

[BRAS-Route-Aggregation1.1] quit

5. 配置机顶盒IPoE接入

(1)     配置IPv4 DHCP接入方式IPoE

# 创建三层聚合子接口1.1,并进入子接口视图。

[BRAS] interface route-aggregation 1.1

# 使能IPoE功能,并配置二层接入模式。

[BRAS–Route-Aggregation1.1] ip subscriber l2-connected enable

# 使能DHCP报文触发方式。

[BRAS–Route-Aggregation1.1] ip subscriber initiator dhcp enable

# 配置设备信任DHCPv4报文中的Option 60

[BRAS–Route-Aggregation1.1] ip subscriber trust option60

# 配置在DHCP报文的Option 60字段中的信任字符串为iptv,并使用该字符串作为机顶盒用户的认证域。

[BRAS–Route-Aggregation1.1] ip subscriber dhcp option60 match iptv

# 配置IPv4 DHCP个人接入用户的认证用户名为用户报文的源MAC地址(缺省配置,该步骤可选)。

[BRAS–Route-Aggregation1.1] ip subscriber dhcp username include source-mac

# 配置机顶盒使用Option 60中的所有内容作为认证密码,此处Option 60中的内容为123-iptv

[BRAS–Route-Aggregation1.1] ip subscriber dhcp password option60

# 配置接口工作在DHCP中继模式

[BRAS–Route-Aggregation1.1] dhcp select relay proxy

(2)     配置未知源IPv4接入方式IPoE

# 使能未知源IP报文触发方式。

[BRAS–Route-Aggregation1.1] ip subscriber initiator unclassified-ip enable matching-user

# 设置IPv4未知源IP接入用户的认证密码为明文123-iptv

[BRAS–Route-Aggregation1.1] ip subscriber password plaintext 123-iptv

(3)     配置VLAN终结

# 在家庭用户的接入三层聚合子接口1.1配置IPoE接入用户的VLAN终结。

[BRAS-Route-Aggregation1.1] user-vlan dot1q vid 101 second-dot1q 12

# 配置允许当前接口发送广播和组播报文

[BRAS-Route-Aggregation1.1] vlan-termination broadcast enable

# 开启当前接口上的本地代理ARP功能和代理ARP功能,实现用户间互访。

[BRAS-Route-Aggregation1.1] local-proxy-arp enable

[BRAS-Route-Aggregation1.1] proxy-arp enable

[BRAS-Route-Aggregation1.1] quit

6. 配置企业用户IPoE接入

(1)     配置IPv4 DHCP接入方式IPoE

# 创建三层聚合子接口1.2,并进入子接口视图。

[BRAS] interface route-aggregation 1.2

# 使能IPoE功能,并配置二层接入模式。

[BRAS–Route-Aggregation1.2] ip subscriber l2-connected enable

# 使能DHCP报文触发方式。

[BRAS–Route-Aggregation1.2] ip subscriber initiator dhcp enable

# 设置DHCP报文触发方式使用的认证域为isp2

[BRAS–Route-Aggregation1.2] ip subscriber dhcp domain isp2

# 配置IPv4 DHCP个人接入用户的认证用户名为用户报文的源MAC地址(缺省配置,该步骤可选)。

[BRAS–Route-Aggregation1.2] ip subscriber dhcp username include source-mac

# 设置动态用户的认证密码为明文radius

[BRAS–Route-Aggregation1.2] ip subscriber password plaintext radius

# 配置接口工作在DHCP中继模式

[BRAS–Route-Aggregation1.2] dhcp select relay proxy

(2)     配置未知源IPv4接入方式IPoE

# 使能未知源IP报文触发方式。

[BRAS–Route-Aggregation1.2] ip subscriber initiator unclassified-ip enable matching-user

# 设置IPv4未知源IP接入用户的认证密码为明文radius

[BRAS–Route-Aggregation1.2] ip subscriber password plaintext radius

(3)     配置静态IPoE用户接入

# 为企业用户打印机配置IP地址为2.2.2.252,认证域为print的静态会话。

[BRAS–Route-Aggregation1.2] ip subscriber session static ip 2.2.2.252 domain print

(4)     配置VLAN终结

# 在用户的接入三层聚合子接口1.2配置IPoE接入用户的VLAN终结。

[BRAS-Route-Aggregation1.2] user-vlan dot1q vid 13 14

# 配置允许当前接口发送广播和组播报文

[BRAS-GigabitEthernet3/1/1.1] vlan-termination broadcast enable

# 开启当前接口上的本地代理ARP功能和代理ARP功能,实现用户间互访。

[BRAS-GigabitEthernet3/1/1.1] local-proxy-arp enable

[BRAS-GigabitEthernet3/1/1.1] proxy-arp enable

[BRAS-Route-Aggregation1.2] quit

7. 配置Switch A

# 创建运营商VLAN 101

<SwitchA> system-view

[SwitchA] vlan 101

[SwitchA-vlan101] quit

# 创建企业用户VLAN 13VLAN 14

[SwitchA] vlan 13 to 14

# 配置二层聚合接口1Trunk模式,并允许企业用户VLAN 13VLAN 14及运营商VLAN 101的报文通过。

[SwitchA] interface bridge-aggregation 1

[SwitchA-Bridge-Aggregation1] port link-type trunk

[SwitchA-Bridge-Aggregation1] port trunk permit vlan 13 to 14 101

[SwitchA-Bridge-Aggregation1] quit

# 为保证成员端口Ten-GigabitEthernet3/0/1Ten-GigabitEthernet3/0/2成为聚合组的选中端口,配置成员端口与二层聚合接口1具有相同的属性类配置。

[SwitchA] interface range ten-gigabitethernet 3/0/1 to ten-gigabitethernet 3/0/2

[SwitchA-if-range] port link-type trunk

[SwitchA-if-range] port trunk permit vlan 13 to 14 101

[SwitchA-if-range] quit

# 配置端口Ten-GigabitEthernet3/0/3Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchA] interface ten-gigabitethernet 3/0/3

[SwitchA-Ten-GigabitEthernet3/0/3] port link-type trunk

[SwitchA-Ten-GigabitEthernet3/0/3] port trunk permit vlan 101

# 配置端口Ten-GigabitEthernet3/0/3的缺省VLAN为运营商VLAN 101,并启用端口QinQ功能。

[SwitchA-Ten-GigabitEthernet3/0/3] port trunk pvid vlan 101

[SwitchA-Ten-GigabitEthernet3/0/3] qinq enable

[SwitchA-Ten-GigabitEthernet3/0/3] quit

# 配置端口Ten-GigabitEthernet3/0/4Trunk模式,并允许企业用户VLAN 13VLAN 14的报文通过。

[SwitchA] interface ten-gigabitethernet 3/0/4

[SwitchA-Ten-GigabitEthernet3/0/4] port link-type trunk

[SwitchA-Ten-GigabitEthernet3/0/4] port trunk permit vlan 13 14

[SwitchA-Ten-GigabitEthernet3/0/4] quit

8. 配置Switch B

# 创建家庭用户VLAN 11VLAN 12

[SwitchB] vlan 11 to 12

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许家庭用户VLAN 11VLAN 12的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 11 12

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 11

[SwitchB] interface gigabitethernet 3/0/2

[SwitchB-GigabitEthernet3/0/2] port access vlan 11

[SwitchB-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 12

[SwitchB] interface gigabitethernet 3/0/3

[SwitchB-GigabitEthernet3/0/3] port access vlan 12

[SwitchB-GigabitEthernet3/0/3] quit

9. 配置Switch C

# 创建企业用户VLAN 1314

[SwitchC] vlan 13 to 14

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许企业用户VLAN 13VLAN 14的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 13 14

[SwitchC-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 13

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] port access vlan 13

[SwitchC-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 14

[SwitchC] interface gigabitethernet 3/0/3

[SwitchC-GigabitEthernet3/0/3] port access vlan 14

[SwitchC-GigabitEthernet3/0/3] quit

10. BRAS基础验证配置

(1)     PPPoE接入用户Host A验证

# Host A主机安装PPPoE客户端软件后,使用用户名:User@isp1和密码:radius便可以拨号接入BRAS设备访问Internet

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

[BRAS] display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

1.1.1.2          e839-3563-fb21   Dynamic     BAS0                  N/A

以上信息表明,用户Host A已动态获取到IP地址。

# 查看用户User@isp1的详细信息。

[BRAS] display ppp access-user username User@isp1 verbose

Basic:

  Interface: BAS0

  PPP index: 0x140000105

  User ID: 0x20000001

  Username: User@isp1                //PPPoE拨号使用的用户名

  Domain: isp1                        //PPPoE用户所属的认证域

  Access interface: RAGG1.1           //PPPoE用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //PPPoE用户数据封装的运营商VLAN/用户VLAN

  VXLAN ID: -

  MAC address: e839-3563-fb21         //PPPoE用户的主机MAC地址

  IP address: 1.1.1.2                 //DHCP Server为用户分配的IP地址

  Primary DNS server: 8.8.8.8

  IPv6 address: -

  IPv6 PD prefix: -

  IPv6 ND prefix: -

  User address type: N/A

  VPN instance: -

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

PPPoE:

  Session ID: 1

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Open

  Realtime accounting interval: 720s

  Login time: 2016-03-21  12:06:40:886

  Accounting start time: 2016-03-21  12:06:41:614

  Online time(hh:mm:ss): 00:01:45

  Accounting state: Accounting

  Acct start-fail action: Online

  Acct update-fail action: Online

  Acct quota-out action: Offline

  Dual-stack accounting mode: Merge

  Idle cut: 0 sec  0 byte, direction: Both

  Session timeout: -

  Time remained: -

  Traffic quota: -

  Traffic remained: -

  Redirect WebURL: -

  ITA policy name: -

  MRU: 1480 bytes

  IPv4 MTU: 1480 bytes

  IPv6 MTU: 1480 bytes

  Subscriber ID: -

 

ACL&QoS:

  User profile: -

  Session group profile: -

  User group acl: -

  Inbound CAR: CIR 8000kbps PIR 8000kbps CBS - (active)

  Outbound CAR: CIR 8000kbps PIR 8000kbps CBS - (active)

  User inbound priority: -

  User outbound priority: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 508/53292

  IPv4 downlink packets/bytes: 285/26198

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

以上信息表明,Host B成功拨号到BRAS设备并动态获取到IP地址1.1.1.2

(2)     IPoE DHCP接入用户机顶盒验证

# 机顶盒加电启动后自动进行IPoE认证,认证通过后获取DHCP地址。

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

[BRAS] display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

2.2.2.2          78ac-c09f-8592   Dynamic     RAGG1.1              N/A

以上信息表明,机顶盒已通过认证并动态获取到IP地址。

# 查看IPoE机顶盒用户的详细信息。

[BRAS] display ip subscriber session username 001b21a80949 verbose

Basic:

  Description                 : -

  Username                    : 78acc09f8592@iptv     //机顶盒用户使用的用户名

  Domain                      : iptv             //机顶盒用户所属的认证域

  VPN instance                : N/A

  IP address                  : 2.2.2.2          //机顶盒用户获取的IP地址

  User address type           : N/A

  MAC address                 : 78ac-c09f-8592  //机顶盒用户的MAC地址

  Service-VLAN/Customer-VLAN  : 101/12          //机顶盒用户数据封装的运营商VLAN/用户VLAN

  Access interface            : RAGG1.1         //机顶盒用户的接入接口

  User ID                     : 0x38080003

  VPI/VCI(for ATM)            : -/-

  VSI Index                   : -

  VSI link ID                 : -

  VXLAN ID                    : -

  DNS servers                 : 8.8.8.8

  IPv6 DNS servers            : N/A

  DHCP lease                  : 86400 sec

  DHCP remain lease           : N/A

  Access time                  : Mar 21 13:38:02 2016

  Online time(hh:mm:ss)       : 00:19:36

  Service node                : Chassis 1 Slot 3 CPU 0

  Authentication type         : Bind

  IPv4 access type            : DHCP                        //机顶盒用户的IPoE接入类型

  IPv4 detect state           : Detecting

  State                       : Online

 

AAA:

  ITA policy name             : N/A

  IP pool                     : pool2  //机顶盒用户的地址池

  IPv6 pool                   : N/A

  IPv6 nd preifx pool         : N/A

  Primary DNS server          : N/A

  Secondary DNS server        : N/A

  Primary IPv6 DNS server     : N/A

  Secondary IPv6 DNS server   : N/A

  Session idle cut            : N/A

  Session duration            : N/A, remaining: N/A

  Traffic quota               : N/A

  Traffic remained            : N/A

  Acct start-fail action      : Online

  Acct update-fail action     : Online

  Acct quota-out action       : Offline

  Dual-stack accounting mode  : Merge

  Max IPv4 multicast addresses: 4

  IPv4 multicast address list : N/A

  Max IPv6 multicast addresses: 4

  IPv6 multicast address list : N/A

  Accounting start time       : Mar 21 13:38:02 2016

  Subscriber ID               : -

 

QoS:

  User profile                : N/A

  Session group profile       : N/A

  User group ACL              : N/A

  Inbound CAR                 : CIR 4000kbps PIR 4000kbps CBS N/A (active)

  Outbound CAR                : CIR 4000kbps PIR 4000kbps CBS N/A (active)

  Inbound user priority       : N/A

  Outbound user priority      : N/A

 

Flow statistic:

  Uplink   packets/bytes      : 43/5179

  Downlink packets/bytes      : 0/0

  IPv6 uplink   packets/bytes : 0/0

  IPv6 downlink packets/bytes : 0/0

(3)     IPoE DHCP接入用户Host B验证

# 启动Host B主机网卡后自动进行IPoE认证,认证通过后获取DHCP地址。

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

[BRAS] display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

2.2.2.3          001b-21a8-0949   Dynamic     RAGG1.2              N/A

以上信息表明,用户Host B已通过认证并动态获取到IP地址。

# 查看IPoE用户Host B的详细信息。

[BRAS] display ip subscriber session username 001b21a80949 verbose

Basic:

  Description                 : -

  Username                    : 001b21a80949@isp2     //HostB用户使用的用户名

  Domain                      : isp2             //HostB用户所属的认证域

  VPN instance                : N/A

  IP address                  : 2.2.2.3          //HostB用户获取的IP地址

  User address type           : N/A

  MAC address                 : 001b-21a8-0949  //HostB用户的MAC地址

  Service-VLAN/Customer-VLAN  : 13/-          //HostB用户VLAN

  Access interface            : RAGG1.2         //HostB用户的接入接口

  User ID                     : 0x38080002

  VPI/VCI(for ATM)            : -/-

  VSI Index                   : -

  VSI link ID                 : -

  VXLAN ID                    : -

  DNS servers                 : 8.8.8.8

  IPv6 DNS servers            : N/A

  DHCP lease                  : 86400 sec

  DHCP remain lease           : N/A

  Access time                 : Mar 21 13:38:02 2016

  Online time(hh:mm:ss)       : 00:19:36

  Service node                : Chassis 1 Slot 3 CPU 0

  Authentication type         : Bind

  IPv4 access type            : DHCP                        //HostB用户的IPoE接入类型

  IPv4 detect state           : Detecting

  State                       : Online

 

AAA:

  ITA policy name             : N/A

  IP pool                     : pool2  //HostB用户的地址池

  IPv6 pool                   : N/A

  IPv6 nd preifx pool         : N/A

  Primary DNS server          : N/A

  Secondary DNS server        : N/A

  Primary IPv6 DNS server     : N/A

  Secondary IPv6 DNS server   : N/A

  Session idle cut            : N/A

  Session duration            : N/A, remaining: N/A

  Traffic quota               : N/A

  Traffic remained            : N/A

  Acct start-fail action      : Online

  Acct update-fail action     : Online

  Acct quota-out action       : Offline

  Dual-stack accounting mode  : Merge

  Max IPv4 multicast addresses: 4

  IPv4 multicast address list : N/A

  Max IPv6 multicast addresses: 4

  IPv6 multicast address list : N/A

  Accounting start time       : Mar 21 13:38:02 2016

  Subscriber ID               : -

 

QoS:

  User profile                : N/A

  Session group profile       : N/A

  User group ACL              : N/A

  Inbound CAR                 : CIR 10000kbps PIR 10000kbps CBS N/A (active)

  Outbound CAR                : CIR 10000kbps PIR 10000kbps CBS N/A (active)

  Inbound user priority       : N/A

  Outbound user priority      : N/A

 

Flow statistic:

  Uplink   packets/bytes      : 43/5179

  Downlink packets/bytes      : 0/0

  IPv6 uplink   packets/bytes : 0/0

  IPv6 downlink packets/bytes : 0/0

(4)     IPoE静态接入用户打印机验证

# 查看IPoE静态用户打印机的详细信息。

[BRAS] dislay ip subscriber session static verbose

Basic:

  Description                 : -

  Username                    : 000c29a6b656@print       //打印机使用的用户名

  Domain                      : print               //打印机所属的认证域

  VPN instance                : N/A

  IP address                  : 2.2.2.252         //打印机的静态IP地址

  User address type           : N/A

  MAC address                 : 000c-29a6-b656    //打印机的MAC地址

  Service-VLAN/Customer-VLAN  : 14/-            //打印机VLAN

  Access interface            : RAGG1.2           //打印机的接入接口

  User ID                     : 0x38080000

  VPI/VCI(for ATM)            : -/-

  VSI Index                   : -

  VSI link ID                 : -

  VXLAN ID                    : -

  DNS servers                 : N/A

  IPv6 DNS servers            : N/A

  DHCP lease                  : N/A

  DHCP remain lease           : N/A

  Access time                 : Mar 21 13:27:21 2016

  Online time(hh:mm:ss)       : 00:00:49

  Service node                : Chassis 1 Slot 3 CPU 0

  Authentication type         : Bind

  IPv4 access type            : Static                  //打印机用户的IPoE接入类型

  IPv4 detect state           : Detecting

  State                       : Online

 

AAA:

  ITA policy name             : N/A

  IP pool                     : N/A

  IPv6 pool                   : N/A

  IPv6 nd preifx pool         : N/A

  Primary DNS server          : N/A

  Secondary DNS server        : N/A

  Primary IPv6 DNS server     : N/A

  Secondary IPv6 DNS server   : N/A

  Session idle cut            : N/A

  Session duration            : N/A, remaining: N/A

  Traffic quota               : N/A

  Traffic remained            : N/A

  Acct start-fail action      : Online

  Acct update-fail action     : Online

  Acct quota-out action       : Offline

  Dual-stack accounting mode  : Merge

  Max IPv4 multicast addresses: 4

  IPv4 multicast address list : N/A

  Max IPv6 multicast addresses: 4

  IPv6 multicast address list : N/A

  Accounting start time       : Mar 21 13:38:02 2016

  Subscriber ID               : -

 

QoS:

  User profile                : N/A

  Session group profile       : N/A

  User group ACL              : N/A

  Inbound CAR                 : CIR 2000kbps PIR 2000kbps CBS N/A (active)

  Outbound CAR                : CIR 2000kbps PIR 2000kbps CBS N/A (active)

  Inbound user priority       : N/A

  Outbound user priority      : N/A

 

Flow statistic:

  Uplink   packets/bytes      : 43/5179

  Downlink packets/bytes      : 0/0

  IPv6 uplink   packets/bytes : 0/0

  IPv6 downlink packets/bytes : 0/0

5.4.3  配置IP组播

1. 配置Router C

# 使能IP组播路由。

[RouterC] multicast routing

[RouterC-mrib] quit

# 在连接组播源的接口Ten-GigabitEthernet3/1/4上使能PIM-DM

[RouterC] interface ten-gigabitethernet 3/1/4

[RouterC-Ten-GigabitEthernet3/1/4] pim dm

[RouterC-Ten-GigabitEthernet3/1/4] quit

# 在连接BRAS的三层聚合接口1023上使能PIM-DM

[RouterC] interface route-aggregation 1023

[RouterC-Route-Aggregation1023] pim dm

[RouterC-Route-Aggregation1023] quit

2. 配置BRAS

# 配置isp2域下的用户业务类型为STB终端业务

[BRAS] domain name isp2

[BRAS-isp-isp2] service-type stb

[BRAS-isp-isp2] quit

# 在连接Router C的三层聚合接口1023上使能PIM-DM

[BRAS] interface route-aggregation 1023

[BRAS-Route-Aggregation1023] pim dm

[BRAS-Route-Aggregation1023] quit

# 在为IPoE用户提供接入服务的三层聚合子接口1.2使能IGMP功能

[BRAS] interface route-aggregation 1.2

[BRAS-Route-Aggregation1.2] igmp enable

# 在用户的接入三层聚合子接口1.2配置终结组播VLAN 201

[BRAS-Route-Aggregation1.2] user-vlan dot1q vid 201

[BRAS-Route-Aggregation1.2] quit

# 用户的接入三层聚合子接口1.2上配置可控组播功能,并配置按会话记录用户加入的组播组。

[RouterA] interface route-aggregation 1.2

[BRAS-Route-Aggregation1.2] igmp authorization-enable

[BRAS-Route-Aggregation1.2] igmp join-by-session

[BRAS-Route-Aggregation1.2] quit

3. 配置Switch A

# 创建组播VLAN 201

[SwitchA] vlan 201

# 配置二层聚合接口1允许组播VLAN 201的报文通过。

[SwitchA] interface bridge-aggregation 1

[SwitchA-Bridge-Aggregation1] port trunk permit vlan 201

[SwitchA-Bridge-Aggregation1] quit

# 为保证成员端口Ten-GigabitEthernet3/0/1Ten-GigabitEthernet3/0/2成为聚合组的选中端口,配置成员端口与二层聚合接口1具有相同的属性类配置。

[SwitchA] interface range ten-gigabitethernet 3/0/1 to ten-gigabitethernet 3/0/2

[SwitchA-if-range] port trunk permit vlan 201

[SwitchA-if-range] quit

# 配置端口Ten-GigabitEthernet3/0/4允许组播VLAN 201的报文通过。

[SwitchA] interface ten-gigabitethernet 3/0/4

[SwitchA-Ten-GigabitEthernet3/0/4] port trunk permit vlan 201

[SwitchA-Ten-GigabitEthernet3/0/4] quit

# 全局使能IGMP Snooping

[SwitchA] igmp-snooping

[SwitchA-igmp-snooping] quit

# VLAN 13内使能IGMP Snooping

[SwitchA] vlan 13

[SwitchA-vlan13] igmp-snooping enable

[SwitchA-vlan13] quit

# VLAN 201内使能IGMP Snooping

[SwitchA] vlan 201

[SwitchA-vlan201] igmp-snooping enable

[SwitchA-vlan201] quit

4. 配置Switch C

# 全局使能IGMP Snooping

[SwitchC] igmp-snooping

[SwitchC-igmp-snooping] quit

# 将端口GigabitEthernet3/0/2加入VLAN 13并在该VLAN内使能IGMP Snooping

[SwitchC] vlan 13

[SwitchC-vlan13] port gigabitethernet 3/0/2

[SwitchC-vlan13] igmp-snooping enable

[SwitchC-vlan13] quit

# 创建VLAN 201并在该VLAN内使能IGMP Snooping

[SwitchC] vlan 201

[SwitchC-vlan201] igmp-snooping enable

[SwitchC-vlan201] quit

# 配置端口GigabitEthernet3/0/1允许VLAN 201的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 201

[SwitchC-GigabitEthernet3/0/1] quit

# 配置VLAN 201为组播VLAN并把VLAN 13配置为该组播VLAN的子VLAN

[SwitchC] multicast-vlan 201

[SwitchC-mvlan-201] subvlan 13

[SwitchC-mvlan-201] quit

5. BRAS组播验证配置

# Host B用户通过IPoE认证并获取到IP地址后,Host B申请加入组播组224.1.1.1

(1)     Router C上验证配置

# 查看Router C上的PIM路由表信息。

<RouterC> display pim routing-table

 Total 0 (*, G) entry; 1 (S, G) entry

 

 (5.5.5.2, 224.1.1.1)

     Protocol: pim-dm, Flag: LOC ACT

     UpTime: 00:17:16

     Upstream interface: Ten-GigabitEthernet3/1/4

         Upstream neighbor: NULL

         RPF prime neighbor: NULL

     Downstream interface(s) information:

     Total number of downstreams: 1

         1: Route-Aggregation1023

             Protocol: pim-dm, UpTime: 00:01:43, Expires: -

以上信息表明,Router C已学习到一条关于组播组(5.5.5.2, 224.1.1.1)的PIM路由,该路由的上游接口为连接组播源的接口Ten-GigabitEthernet3/1/3,下游接口为连接BRASRoute-Aggregation1023

(2)     BRAS上验证配置

# 查看BRAS上的PIM路由表信息。

[BRAS] display pim routing-table

 Total 1 (*, G) entry; 1 (S, G) entry

 

 (*, 224.1.1.1)

     Protocol: pim-dm, Flag: WC

     UpTime: 00:00:43

     Upstream interface: NULL

         Upstream neighbor: NULL

         RPF prime neighbor: NULL

     Downstream interface(s) information:

     Total number of downstreams: 1

         1: Route-Aggregation1.2

             Protocol: igmp, UpTime: 00:00:43, Expires: -

 

 (5.5.5.2, 224.1.1.1)

     Protocol: pim-dm, Flag: ACT

     UpTime: 00:00:47

     Upstream interface: Route-Aggregation1023

         Upstream neighbor: 3.3.3.2

         RPF prime neighbor: 3.3.3.2

     Downstream interface(s) information:

     Total number of downstreams: 1

         1: Route-Aggregation1.2

             Protocol: pim-dm, UpTime: 00:00:43, Expires: -

以上信息表明,BRAS已学习到一条关于组播组(5.5.5.2, 224.1.1.1)的PIM路由,该路由的上游接口为连接Router C的接口Route-Aggregation1023,下游接口为连接Switch ARoute-Aggregation1.2

# 查看BRAS上动态加入的所有IGMP组播组信息。

[BRAS] display igmp group

IGMP groups in total: 1

 Route-Aggregation1.2(2.2.2.1):

  IGMP groups reported in total: 1

   Group address   Last reporter   Uptime      Expires

   224.1.1.1       0.0.0.0         00:00:41    00:04:10

以上信息表明,BRAS维护了一条组播组224.1.1.1IGMP组播表项。

(3)     Switch C上验证配置

# 查看Switch C上组播VLAN的组播组表项信息。

[SwitchC] dislay multicast-vlan group

Total 1 entries.

 

Multicast VLAN 201: Total 1 entries.

  (0.0.0.0, 224.1.1.1)

    Sub-VLANs (1 in total):

      VLAN 13

以上信息表明,组播VLANVLAN 201)在子VLANVLAN 13)内维护了一条关于组播组224.1.1.1的表项。

# 查看Switch C上动态IGMP Snooping转发表的信息。

[SwitchC] display igmp-snooping group

Total 1 entries.

 

VLAN 13: Total 1 entries.

  (0.0.0.0, 224.1.1.1)

    Host slots (1 in total):

      3

    Host ports (1 in total):

      GE3/0/2

以上信息表明,IGMP Snooping在子VLAN 13中对成员端口进行维护。

(4)     Switch A上验证配置

# 查看Switch A上动态IGMP Snooping转发表的信息。

<SwitchA> display igmp-snooping group

Total 1 entries.

 

VLAN 13: Total 1 entries.

  (0.0.0.0, 224.1.1.1)

    Host slots (1 in total):

      3

    Host ports (1 in total):

      XGE3/0/4

以上信息表明,Switch A的端口Ten-GigabitEthernet3/0/4下有接收组播组224.1.1.1的组播数据的成员。

5.4.4  配置文件

(1)     DHCP Server

#

dhcp server ip-pool pool1

 gateway-list 1.1.1.1

 network 1.1.1.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 1.1.1.1

#

dhcp server ip-pool pool2

 gateway-list 2.2.2.1

 network 2.2.2.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 2.2.2.1

 forbidden-ip 2.2.2.252

#

ip route-static 1.1.1.0 24 4.4.4.1

ip route-static 2.2.2.0 24 4.4.4.1

#

(2)     Router C

#

ospf 1

 import-route direct

 area 0.0.0.0

  network 3.3.3.0 0.0.0.255

#

interface Route-Aggregation1023

 ip address 3.3.3.2 255.255.255.0

 pim dm

#

interface GigabitEthernet3/1/1

 port link-mode route

 port link-aggregation group 1023

#

interface GigabitEthernet3/1/2

 port link-mode route

 port link-aggregation group 1023

#

interface GigabitEthernet3/1/3

 port link-mode route

 ip address 5.5.5.1 255.255.255.0

 pim dm

#

interface GigabitEthernet3/1/4

 port link-mode route

 ip address 4.4.4.1 255.255.255.0

#

 ip route-static 2.2.2.0 24 3.3.3.1

#

(3)     IRFBRAS):

#

irf mac-address persistent always

irf auto-update enable

undo irf auto-merge enable

undo irf link-delay

irf member 1 priority 1

irf member 2 priority 1

#

ospf 1

 import-route direct

 area 0.0.0.0

  network 3.3.3.0 0.0.0.255

#

irf-port 1/2

 port group interface Ten-GigabitEthernet1/4/0/1 mode enhanced

 port group interface Ten-GigabitEthernet1/4/0/2 mode enhanced

#

irf-port 2/1

 port group interface Ten-GigabitEthernet2/4/0/1 mode enhanced

 port group interface Ten-GigabitEthernet2/4/0/2 mode enhanced

#

 dhcp enable

 dhcp relay client-information record

 undo dhcp relay client-information refresh enable

#

dhcp server ip-pool pool1

 gateway-list 1.1.1.1 export-route

 remote-server 4.4.4.3

#

dhcp server ip-pool pool2

 gateway-list 2.2.2.1 export-route

 remote-server 4.4.4.3

#

interface Route-Aggregation1

 link-aggregation mode dynamic

 mad enable

#

interface Route-Aggregation1.1

 local-proxy-arp enable

 proxy-arp enable

 user-vlan dot1q vid 101 second-dot1q 11 to 12

 vlan-termination broadcast enable

 dhcp select relay proxy

 ip subscriber l2-connected enable

 ip subscriber initiator dhcp enable

 ip subscriber initiator unclassified-ip enable matching-user

 ip subscriber dhcp option60 match iptv

 ip subscriber password ciphertext $c$3$K4YiOJPhlxilNR5LbAr2jOjP+D2oRLhL52da

 ip subscriber trust option60

 ip subscriber dhcp password option60

 pppoe-server bind virtual-template 1

#

interface Route-Aggregation1.2

 igmp enable

 igmp authorization-enable

 igmp join-by-session

 local-proxy-arp enable

 proxy-arp enable

 user-vlan dot1q vid 13 to 14 201

 vlan-termination broadcast enable

 dhcp select relay proxy

 ip subscriber l2-connected enable

 ip subscriber initiator dhcp enable

 ip subscriber initiator unclassified-ip enable matching-user

 ip subscriber session static ip 2.2.2.252 domain print

 ip subscriber password ciphertext $c$3$VyjjKbLmGkl2e5tr3bbD3Nnqr3w92metEg==

 ip subscriber dhcp domain isp2

#

interface Route-Aggregation1023

 ip address 3.3.3.1 255.255.255.0

 pim dm

#

interface Virtual-Template1

 ppp authentication-mode chap domain isp1

 ppp account-statistics enable

#

interface GigabitEthernet1/3/1/1

 port link-mode route

 port link-aggregation group 1

#

interface GigabitEthernet2/3/1/1

 port link-mode route

 port link-aggregation group 1

#

interface GigabitEthernet1/3/1/2

 port link-mode route

 port link-aggregation group 1023

#

interface GigabitEthernet2/3/1/2

 port link-mode route

 port link-aggregation group 1023

#

interface GigabitEthernet1/4/0/1

 port link-mode bridge

#

interface GigabitEthernet1/4/0/2

 port link-mode bridge

#

interface GigabitEthernet2/4/0/1

 port link-mode bridge

#

interface GigabitEthernet2/4/0/2

 port link-mode bridge

#

radius dynamic-author server

client ip 4.4.4.2 key cipher $c$3$v9W8uxVRmgEYm3/+nd2BDrXhoy0k9QFp7A==

#

radius scheme rs1

 primary authentication 4.4.4.2

 primary accounting 4.4.4.2

 key authentication cipher $c$3$98Vn/yhByI68yXPWNUreQMTJiExXY3qh2A==

 key accounting cipher $c$3$o6R4Igbso45dIblM3ga4uuRIll3zmjPcLw==

 nas-ip 3.3.3.1

#

domain name iptv

 authorization-attribute ip-pool pool2

 authentication ipoe radius-scheme rs1

 authorization ipoe radius-scheme rs1

 accounting ipoe radius-scheme rs1

#

domain name isp1

 authorization-attribute ip-pool pool1

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

domain name isp2

 authorization-attribute ip-pool pool2

 service-type stb

 authentication ipoe radius-scheme rs1

 authorization ipoe radius-scheme rs1

 accounting ipoe radius-scheme rs1

#

domain name print

 authentication ipoe radius-scheme rs1

 authorization ipoe radius-scheme rs1

 accounting ipoe radius-scheme none

#

(4)     Switch A

#

igmp-snooping

#

vlan 13

 igmp-snooping enable

#

vlan 14

#

vlan 101

#

vlan 201

 igmp-snooping enable

#

interface Bridge-Aggregation1

 port link-type trunk

 port trunk permit vlan 1 13 to 14 101 201

 link-aggregation mode dynamic

#

interface Ten-GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 13 to 14 101 201

 port link-aggregation group 1

#

interface Ten-GigabitEthernet3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 13 to 14 101 201

 port link-aggregation group 1

#

interface Ten-GigabitEthernet3/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 101

 port trunk pvid vlan 101

 qinq enable

#

interface Ten-GigabitEthernet3/0/4

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 13 to 14 201

#

(5)     Switch B:

#

vlan 11

#

vlan 12

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 11 to 12

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 11

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 12

#

(6)     Switch C

#

igmp-snooping

#

vlan 13

 igmp-snooping enable

#

vlan 14

#

vlan 201

 igmp-snooping enable

#

multicast-vlan 201

 subvlan 13

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 13 to 14 201

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 13

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 14

#

相关资料

·     H3C CR16000-F路由器 BRAS业务配置指导-R7951P01

·     H3C CR16000-F路由器 BRAS业务命令参考-R7951P01

·     H3C CR16000-F路由器 虚拟化技术配置指导-R7951P01

·     H3C CR16000-F路由器 虚拟化技术命令参考-R7951P01

·     H3C CR16000-F路由器 IP组播配置指导-R7951P01

·     H3C CR16000-F路由器 IP组播命令参考-R7951P01