09-IPoE配置
本章节下载: 09-IPoE配置 (724.16 KB)
1.7.3 配置动态IPoE个人接入用户的认证用户名的命名规则
1.7.7 配置动态IPoE DHCP个人接入用户的信任Option
1.7.8 配置动态IPoE DHCP个人接入用户的信任认证域
1.7.9 配置动态IPoE未知源个人接入用户的信任IP地址/地址范围
1.7.10 配置动态IPoE个人接入用户与NAT联动失败用户继续上线功能
1.8.5 配置静态IPoE个人接入用户的认证用户名的命名规则
1.14 配置IPoE接入用户的NAS-PORT-ID属性封装
1.19.3 IPv6 ND RS报文触发IPoE接入配置举例
IPoE(IP over Ethernet)是一种常见的IPoX接入方式,有绑定和Web两种认证方式:
· 绑定认证是指BRAS设备根据用户接入的位置信息自动生成用户名和密码进行身份认证的一种认证方式,无需用户输入用户名和密码。
· Web认证是指用户通过访问Web认证服务器的认证页面,交互输入用户名和密码进行身份认证的一种认证方式。
目前设备仅支持绑定认证方式。
IPoE的典型组网方式如下图所示,它由五个基本要素组成:用户主机、BRAS接入设备、AAA服务器、安全策略服务器和DHCP服务器。
图1-1 IPoE系统组成示意图
泛指所有通过局域网或广域网接入宽带接入设备的客户终端。
交换机、路由器等三层宽带接入设备的统称(下文简称为接入设备),主要有三方面的作用:
· 在认证之前,阻止用户访问互联网资源。
· 在认证过程中,与AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的互联网资源。
与接入设备进行交互,完成对用户的认证、授权和计费。目前仅RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器支持对IPoE用户进行认证、授权和计费。
与接入设备进行交互,完成对用户的安全检测,并对用户进行安全授权操作。
与用户主机、接入设备进行交互,完成对用户主机IP地址的管理和分配。
IPoE的接入模式分为二层和三层两种模式,对应的用户分别通过二层网络或三层网络接入。
· 二层接入:用户直接连接接入设备,或通过二层网络设备连接接入设备。接入设备需要识别用户的MAC地址。
· 三层接入:用户流量通过三层网络路由到接入设备,用户可直接连接接入设备或通过三层转发设备连接接入设备。接入设备不关心用户的MAC地址。
需要注意的是,通过三层转发设备接入时,用户报文信息中的源MAC地址为三层网络设备的MAC地址,并非用户的MAC地址,因此该方式下用户的MAC地址不能作为用户的身份标识。
IPoE支持通过IP报文、RS报文和DHCP报文三种触发方式上线。根据用户是否拥有独立的业务属性,IPoE用户可分为个人接入用户、专线接入用户两种类型。
个人接入用户拥有独立的业务属性,接入设备根据用户的位置信息和报文特征对其进行独立的认证、授权和计费。
根据触发上线方式的不同,可以将个人接入用户分为以下两种类型。
· 动态个人接入用户
动态个人接入用户通过IP报文、RS报文或DHCP报文触发上线,且由报文动态触发认证并根据认证结果建立IPoE会话。根据触发上线的方式不同可将动态个人接入用户分为未知源IP接入用户、IPv6 ND RS接入用户和DHCP接入用户。对于DHCP接入用户,还需要与DHCP服务器交互获取IP地址;对于IPv6 ND RS接入用户,还需要与接入设备进行交互获取IPv6地址。
· 静态个人接入用户
静态个人接入用户通过IP或ARP报文触发上线,需要用户报文与手工配置的IPoE会话匹配后才能触发认证。
专线是指将接入设备上的某个接口或接口上的某些系统资源整体出租给一组用户。一条专线下可以接入多个用户,在认证流程中表现为一个用户,也称为专线接入用户。配置专线后,无需用户IP流量触发,接入设备会自动根据命令行配置的专线接入用户的用户名和密码统一进行认证,通过认证后专线用户才可上线。
根据对专线资源的占用情况,可以分为以下几种类型。
· 接口专线用户:一个接口上接入的所有IP用户,该接口上接入的所有用户统一进行认证、授权和计费。
· 子网专线用户:一个接口上接入的指定子网内的所有IP用户,与接口专线用户类似,该接口上接入的所有指定子网的用户统一进行认证、授权和计费。
· L2VPN专线用户:L2VPN组网下,一个接口上接入的所有IP用户,与接口专线用户类似,该接口上接入的所有用户统一进行认证、授权和计费。
一个IPoE会话表示了一个或一组IPoE客户端的所有网络连接,可由客户端的IP报文特征或接入位置信息来标识,用于记录IPoE客户端的身份信息、认证状态、授权属性和DHCP地址分配信息等内容。
根据IPoE会话的触发方式,可以将IPoE会话分为动态IPoE会话和静态IPoE会话两种类型。
由动态个人接入用户触发建立的IPoE会话称为动态IPoE会话。
每个动态IPoE会话都有自己的生存周期,动态IPoE会话将在以下几种情况下被删除:
· AAA服务器授权的在线时长到期。
· AAA服务器强制用户下线。
· 在AAA服务器授权的闲置切断时长内,该会话的用户流量小于授权的流量阈值。
· 接入设备对该会话的在线用户进行探测,探测失败的次数达到最大值。
· 对于DHCP报文触发建立的IPoE会话,DHCP服务器分配的租约时长到期。
· 重启IPoE会话。
· 用户接入接口Down。
由用户的配置触发建立的IPoE会话称为静态IPoE会话,包括以下四种类型:
· 个人静态IPoE会话:仅代表一个指定IP地址的IPoE客户端的所有网络连接,通常用于为IP地址已知的客户端单独提供稳定的接入服务。
· 接口专线IPoE会话:代表一个接口上所有IPoE客户端的网络连接。
· 子网专线IPoE会话:代表一个接口上指定子网内的所有IPoE客户端的网络连接。
· L2VPN专线IPoE会话:代表一个接口上所有IPoE客户端的网络连接。
对于个人静态IPoE会话,又分为以下两种类型:
· 接口个人静态IPoE会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,接入设备会根据配置建立静态IPoE会话,在有IP或ARP流量通过时接入设备会尝试以配置的用户名和密码发起认证。接口个人静态IPoE会话不会因为用户认证失败而被删除,只能通过命令行的方式删除。
· 全局个人静态IPoE会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP或ARP流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立全局个人静态IPoE会话;如果认证未通过,则不建立全局个人静态IPoE会话。
对于接口专线、子网专线和L2VPN专线IPoE会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,接入设备会根据配置建立静态IPoE会话,会话建立成功后无需用户流量触发接入设备会主动尝试以配置的用户名和密码发起认证。
对于通过DHCP报文触发认证的用户,在认证成功之后由DHCP模块为其分配AAA授权的地址池中的地址。若AAA未授权,则使用用户所属认证域中配置的授权地址池;若认证域中未配置授权地址池,则在接口上配置了IP地址的情况下,由DHCP模块分配与接口IP地址同一网段的IP地址给用户。
对于通过RS报文触发认证的用户,在认证成功之后由IPoE为其分配AAA授权的IPv6地址前缀,用户通过获取的前缀生成IPv6地址。若AAA未授权,则选用接口上配置的第一个符合前缀长度为64的IPv6地址前缀。
其它类型的用户,可以通过静态配置或通过DHCP动态分配获得IP地址,但其IP地址的获取与IPoE认证无关。
IPoE绑定认证用户的接入流程主要包括以下几个步骤:
(1) 用户识别与发起认证请求
· 对于动态IPoE会话的用户,当发出的连接请求报文到达接入设备后,接入设备从中获取用户的物理位置等信息生成用户名和密码,向AAA服务器发起认证请求。
· 对于静态IPoE会话的用户,当用户的首报文通过接入设备时,接入设备以配置的认证信息向AAA服务器发起认证请求。
(2) 身份认证
接入设备根据该用户关联的认证域的配置向AAA服务器发起认证请求,并完成认证授权操作,若配置有安全策略服务器,则由安全策略服务器进行安全授权操作。
(3) 地址分配与管理(可选)
对于DHCP接入用户,身份认证通过后,接入设备通知DHCP模块负责为接入用户分配IP地址;对于IPv6 ND RS接入用户,身份认证通过后,IPoE负责为接入用户分配前缀,用户通过此前缀生成IPv6地址;若用户已经获取到IP地址,则无此步骤直接进入步骤(4)。
(4) 接入控制
IP地址分配成功后,接入设备通知用户上线,并根据授权结果对用户进行接入控制,计费等。
下面将详细介绍几种典型的IPoE用户接入流程。
当用户通过DHCP方式动态获取IP地址时,IPoE截获用户的DHCP报文,首先对用户进行身份认证,如果认证通过则可以允许继续申请动态IP地址,否则终止IPoE接入过程。这里以DHCP中继组网环境中的IPv4 DHCP用户的IPoE接入为例,具体流程如图1-2所示。
图1-2 IPv4 DHCP用户接入流程图
IPv4 DHCP报文触发的IPoE接入过程如下:
(1) DHCP客户端发送DHCP-DISCOVER报文;
(2) 接入设备在DHCP-DISCOVER报文中插入Option 82选项,然后把报文交由DHCP中继设备处理;
(3) DHCP中继设备根据DHCP-DISCOVER报文创建一个IPoE会话,并向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如DHCP报文中的Client ID选项、用户报文的源MAC地址;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) DHCP中继获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败;
(6) 如果用户认证通过,DHCP中继将DHCP-DISCOVER报文转发给DHCP服务器。如果认证失败,DHCP中继将丢弃DHCP-DISCOVER报文;
(7) DHCP服务器回应DHCP-OFFER报文。之后,DHCP中继把DHCP-OFFER报文转发给DHCP客户端;
(8) DHCP客户端根据DHCP-OFFER报文选择一个DHCP服务器,发送DHCP-REQUEST报文。之后,DHCP中继把DHCP-REQUEST报文转发给DHCP服务器;
(9) DHCP服务器回应DHCP-ACK报文;
(10) DHCP中继从DHCP-ACK报文中解析出用户的IP地址和其它地址参数信息,更新IPoE会话,并下发User Profile策略,然后将IPoE会话的状态置为在线;
(11) DHCP中继把DHCP-ACK报文转发给DHCP客户端。DHCP客户端根据收到的DHCP-ACK报文获得IP地址以及相关地址参数信息;
(12) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
当用户通过IPv6 ND RS方式动态获取IPv6地址时,IPoE截获用户的IPv6 ND RS报文,首先对用户进行身份认证,如果认证通过则发送IPv6 RA报文给用户,否则终止IPoE接入过程。这里以二层接入组网环境中的IPv6用户的IPoE接入为例,具体流程如图1-3所示。
图1-3 IPv6 ND RS用户接入流程图
IPv6 ND RS报文触发的IPoE接入过程如下:
(1) 用户主机发送IPv6 ND RS报文;
(2) 接入设备根据IPv6 ND RS报文创建一个IPoE会话;
(3) 接入设备向AAA服务器发送认证请求,认证请求消息中的用户名包含了用户信息,如源MAC地址等;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) 接入设备获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败。如果用户认证通过,则根据用户MAC地址和获取到的前缀信息生成用户IPv6地址,更新IPoE会话信息。如果认证失败,接入设备则丢弃收到的IPv6 ND RS报文;
(6) 接入设备发送携带前缀信息的IPv6 ND RA报文给用户主机。用户主机根据IPv6 ND RA报文中携带的前缀信息生成IPv6地址;
(7) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
对于已经通过DHCP、ND RS报文或手工静态配置的方式获取到IP地址的用户,当前接入设备上不存在对应的IPoE会话时,该用户的IP报文会直接触发IPoE认证,具体过程如图1-4所示。
图1-4 未知源IP接入用户触发IPoE接入过程
用户IP报文触发IPoE接入的步骤如下:
(1) 用户主机发送IP报文。
(2) 接入设备收到IP报文后,根据已有的IPoE会话检查该用户是否是新接入的用户。如果用户报文中的用户信息未匹配到相应的IPoE会话,则认为该用户是新用户,并为其创建IPoE会话,记录用户信息;对于匹配上IPoE会话且会话状态为已通过认证的用户报文,直接转发;对于匹配上IPoE会话且会话状态不为已通过认证的所有用户报文,均丢弃。
(3) 接入设备根据获取的用户信息向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如源IP地址或源MAC地址;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) 接入设备收到认证结果。如果用户认证通过,则根据授权信息下发业务策略,将IPoE会话状态置为在线。
(6) 接入设备向AAA服务器发送计费开始报文,开始对该用户进行计费。
静态个人用户的IPoE会话通过配置信息创建,当接口上有指定的IP或ARP报文通过时,将使用配置信息触发认证,认证流程与未知源IP接入方式中的认证流程相同。认证流程完成后,后续对应的用户报文到达设备后,接口直接将其转发。
专线接入用户的IPoE会话通过配置信息创建,无需当前接口上有报文通过,即可自动根据配置的用户名和密码发起认证。除触发认证方式不同外,其余认证流程与未知源IP接入方式中的认证流程相同,这里不再赘述。认证流程完成后,后续对应的用户报文到达设备对应接口后,即可直接转发。
实际组网应用中,接入用户可以属于不同的VPN,且各VPN之间的业务相互隔离。IPoE通过支持MPLS L3VPN,可实现位于不同VPN中的用户都能通过IPoE方式接入到网络中。用户通过AAA授权后,接入设备可以将不同用户划分到不同授权VPN中,实现服务器指定用户的VPN归属。需要注意的是,IPoE专线用户不支持通过AAA授权(包括ISP域和AAA服务器两种授权方式)VPN属性。有关通过ISP域授权VPN属性的相关介绍,请参见“用户接入配置指导”中的“AAA”。
· 当IPoE用户通过授权VPN方式上线时,必须在用户接入接口为用户配置网关IP地址或通过proxy-arp enable命令开启用户接入接口的代理ARP功能,推荐使用代理ARP方式。有关代理ARP的相关介绍,请参见“三层技术-IP业务配置指导”中的“ARP”。
· 在接口绑定VPN的情况下,为保证已经在线的用户流量可以在授权的VPN中正常转发,需要手工清除已有的IPoE会话。
IPoE通过支持ITA(Intelligent Target Accounting,智能靶向计费),可以实现对不同目的地址(如国内,国外等)进行不同的速率限定和计费。
ITA的具体配置请参见“BRAS业务配置指导”中的“ITA”。
· 目前仅CSPEX单板/CEPC类单板支持配置本功能。
· IPoE目前仅支持接口:三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/L3VE子接口
· 不支持同时配置IPoE和IP Source Guard功能。关于IP Source Guard功能的详细介绍,请参见“安全配置指导”中的“IP Source Guard”。
开启IPoE功能并指定用户的接入模式后,可根据实际组网需求配置多种类型的IPoE接入用户。
表1-1 IPoE配置任务简介
配置任务 |
说明 |
详细配置 |
|
开启IPoE功能并指定用户的接入模式 |
必选 |
||
配置IPoE认证方式 |
可选 |
||
配置IPoE绑定认证接入用户 |
配置动态IPoE个人接入用户 |
同一接口上,IPoE个人接入用户、IPoE接口专线用户、IPoE子网专线用户和IPoE L2VPN专线用户不能共存,只能选其一;动态IPoE个人接入用户、静态IPoE个人用户可以共存 |
|
配置静态IPoE个人接入用户 |
|||
配置IPoE专线用户 |
|||
配置报文业务识别方式以及与认证域的映射关系 |
可选 |
||
配置IPoE接入用户的静默功能 |
可选 |
||
配置IPoE接入用户在线探测功能 |
可选 |
||
配置接口的IPoE接入端口类型 |
可选 |
||
配置IPoE接入用户的NAS-PORT-ID属性封装 |
可选 |
||
配置IPoE准出认证功能 |
可选 |
||
配置IPoE会话的流量统计信息的更新时间间隔 |
可选 |
||
配置IPoE接入用户日志信息功能 |
可选 |
IPoE提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠IPoE不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法或本地认证方法,以配合IPoE完成用户的身份认证。IPoE的配置前提如下:
· 若配置的是DHCP触发方式,需要安装并配置好DHCP服务器。如果是DHCP中继组网,接入设备还需启动DHCP中继功能。
· 如果通过远端RADIUS服务器进行身份认证,则首先保证RADIUS服务器已安装并配置成功,其次需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。如果需要通过远端的安全策略服务器进行安全检测和授权,则需要在H3C IMC安全策略服务器上配置相应的安全策略,并在接入设备上指定安全策略服务器的IP地址。RADIUS客户端以及安全策略服务器的具体配置请参见“用户接入配置指导”中的“AAA”。
· 如果通过本地设备进行身份认证,则需要在接入设备上配置相关的本地用户及其属性。本地用户的具体配置请参见“用户接入配置指导”中的“AAA”。
· 用户、接入设备和各服务器之间路由可达。
只有在接口上开启了IPoE功能后,其它的IPoE相关配置才能生效。
表1-2 开启IPv4 IPoE功能并指定用户的接入模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启IPv4 IPoE功能,并指定用户接入模式 |
ip subscriber { l2-connected | routed } enable |
缺省情况下,接口上的IPv4 IPoE功能处于关闭状态 不允许直接修改IPoE的接入模式,必须关闭IPoE功能之后,重新开启IPoE功能时指定新的接入模式 |
表1-3 开启IPv6 IPoE功能并指定用户的接入模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启IPv6 IPoE功能,并指定用户接入模式 |
ipv6 subscriber { l2-connected | routed } enable |
缺省情况下,接口上的IPv6 IPoE功能处于关闭状态 不允许直接修改IPoE的接入模式,必须关闭IPoE功能之后,重新开启IPoE功能时指定新的接入模式 |
表1-4 配置IPv4 IPoE个人接入用户的认证方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 IPoE个人接入用户的认证方式 |
ip subscriber authentication-method bind |
缺省情况下,IPv4 IPoE个人接入用户采用绑定认证 |
表1-5 配置IPv6 IPoE个人接入用户的认证方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 IPoE个人接入用户的认证方式 |
ipv6 subscriber authentication-method bind |
缺省情况下,IPv6 IPoE个人接入用户采用绑定认证 |
表1-6 动态IPoE个人接入用户配置任务简介
配置任务 |
说明 |
详细配置 |
配置动态IPoE会话的触发方式 |
必选 |
|
配置动态IPoE个人接入用户的认证用户名 |
必选 |
|
配置动态IPoE个人接入用户的认证密码 |
必选 |
|
指定动态IPoE个人接入用户使用的认证域 |
可选 |
|
配置动态IPoE会话的最大数 |
可选 |
|
配置动态IPoE DHCP个人接入用户信任的Option |
可选 |
|
配置动态IPoE DHCP个人接入用户的信任认证域 |
可选 |
|
配置动态IPoE未知源IP个人接入用户的信任IP地址/地址范围 |
可选 |
|
配置动态IPoE个人接入用户与NAT联动失败用户继续上线功能围 |
可选 |
接口上开启了IPoE功能后,默认丢弃接收到的用户报文,需要配置IPoE用户触发方式,使指定的用户报文得以处理,后续能够正常使用网络服务。
· 接口上可同时配置多种触发方式。
· 配置未知源IP触发方式后,IPoE会处理接口上收到的普通IP报文,保存用户信息生成IPoE会话,并进行认证、授权和计费。
· 配置DHCP触发方式后,IPoE会处理接口上收到的DHCP Discover报文、DHCP Solicit或直接申请地址的DHCP Request报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的DHCP报文交互更新用户信息。
· 配置IPv6 ND RS触发方式后,IPoE会处理接口上收到的IPv6 ND RS报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的IPv6 ND报文交互更新用户信息。
需要注意的是:
· 开启IPv6 ND RS报文触发方式,需先确认接入设备可发送IPv6 ND RA报文。若接入设备可以发送IPv6 ND RA报文,则建议IPv6 ND RA报文发送间隔不小于6分钟。
· IPv6 ND RS报文触发IPv6 IPoE会话功能仅在二层接入模式下生效。
· Windows系统的PC可能生成两类IPv6地址,一类是随机生成,另外一类通过EUI-64方式生成。若用户使用随机生成的IPv6地址接入,会触发IPv6未知源IP报文方式的认证;若用户使用EUI-64方式生成的IPv6地址接入,用户报文可直接触发IPv6 ND RS方式的认证。因此,若要保证用户使用任何一种IPv6地址都可接入,建议在接口上同时开启IPv6未知源IP报文触发方式和IPv6 ND RS触发方式。
表1-7 配置动态IPv4 IPoE会话的触发方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置动态IPv4 IPoE会话的触发方式 |
ip subscriber initiator { dhcp | unclassified-ip } enable |
缺省情况下,DHCPv4报文以及未知源IP报文触发生成IPoE会话功能均处于关闭状态 |
表1-8 配置动态IPv6 IPoE会话的触发方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置动态IPv6 IPoE会话的触发方式 |
ipv6 subscriber initiator { dhcp | ndrs | unclassified-ip } enable |
缺省情况下,DHCPv6报文、ND RS报文以及IPv6未知源IP报文触发生成IPoE会话功能均处于关闭状态 |
通过该配置可以指定动态IPoE个人接入用户认证使用的用户名的命名规则,并且根据该命名规则获取的用户名必须与认证服务器配置的用户名保持一致,用户才可以认证通过。
表1-9 配置动态IPv4 IPoE个人接入用户的认证用户名
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 IPoE接入用户的认证用户名 |
ip subscriber dhcp username include { circuit-id [ mac ] [ separator separator ] | client-id [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ separator separator ] | separator vendor-specific [ separator separator ] | vlan [ separator separator ] } * |
缺省情况下,DHCPv4接入用户使用报文源MAC地址作为认证用户名;未知源IP接入用户使用报文源IP地址作为认证用户名 |
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address- separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
表1-10 配置动态IPv6 IPoE个人接入用户的认证用户名
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 IPoE接入用户的认证用户名 |
ipv6 subscriber dhcp username include { circuit-id [ separator separator ] | client-id [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator] | slot [ separator separator] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ separator separator ] | vendor-specific [ separator separator ] | vlan [ separator separator ] } * |
缺省情况下, DHCPv6、IPv6 ND RS接入用户使用报文源MAC地址作为认证用户名;未知源IP接入用户使用报文源IP地址作为认证用户名 |
ipv6 subscriber ndrs username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
||
ipv6 subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
通过该配置指定IPoE接入用户进行认证时使用的密码,该密码必须与认证服务器配置的密码保持一致,用户才可以认证通过。
DHCP个人接入用户进行认证时选择使用密码的顺序为,报文中携带的Option(DHCPv4为Option 60,DHCPv6为Option 16)内容字符串-->接口上指定的IPoE接入用户使用的认证密码-->系统缺省的认证密码。
表1-11 配置动态IPv4 IPoE个人接入用户的认证密码
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 IPoE个人接入用户的认证密码 |
ip subscriber password { ciphertext | plaintext } string |
缺省情况下,IPv4 IPoE个人接入用户的认证密码为字符串vlan |
(可选)配置IPv4 DHCP个人接入用户使用DHCPv4报文中的信息作为认证密码 |
ip subscriber dhcp password { circuit-id mac | option60 [ offset offset ] [ length length ] } |
缺省情况下,IPv4 DHCP个人接入用户未使用DHCPv4报文中的信息作为认证密码
若要使用DHCPv4报文中的信息作为认证密码,还必须配置信任DHCPv4报文中的Option 82或Option 60字段 |
表1-12 配置动态IPv6 IPoE个人接入用户的认证密码
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 IPoE个人接入用户的认证密码 |
ipv6 subscriber password { ciphertext | plaintext } string |
缺省情况下,IPv6 IPoE个人接入用户的认证密码为字符串vlan |
(可选)配置IPv6 DHCP个人接入用户使用Option 16字段的内容作为认证密码 |
ipv6 subscriber dhcp password option16 [ offset offset ] [ length length ] |
缺省情况下,IPv6 DHCP个人接入用户未使用Option 16字段的内容作为认证密码 若要使用报文中携带的Option 16内容作为认证密码,还必须配置信任DHCPv6报文中的Option 16字段 |
从指定接口上接入的动态IPoE个人接入用户将按照如下先后顺序选择认证域:
· 对于DHCP接入用户:配置的匹配Option 60/Option 16/Option 17中的字符串-->自动获取报文中携带的Option(DHCPv4为Option 60,DHCPv6为Option 16和Option 17)内容字符串-->接口上指定的IPoE接入用户使用的认证域-->系统缺省的认证域。
· 对于ND RS接入用户:接口上指定的IPoE接入用户使用的认证域-->系统缺省的认证域。
· 对于未知源IP接入用户:与报文指定业务特征相映射的认证域-->接口上指定的IPoE接入用户使用的认证域-->系统缺省的认证域。
如果需要使用配置的匹配Option 60/Option 16/Option 17中的字符串或自动获取报文中携带的Option 60/Option 16/Option 17中的信息作为DHCP个人接入用户的认证域,则需要配置接入设备信任DHCPv4 Option 60/DHCPv6 Option 16/Option 17中的信息,具体配置请参见“1.7.7 配置动态IPoE DHCP个人接入用户的信任Option”。
有关如何使用配置的匹配Option 60/Option 16/Option 17中的字符串作为DHCP个人接入用户的认证域,请参见“1.7.8 配置动态IPoE DHCP个人接入用户的信任认证域”。
为使得用户认证成功,必须保证按照如上优先顺序选择出的认证域在接入设备上存在且配置完整。其中,关于报文业务识别方式映射的认证域的具体配置,请参见“1.10 配置报文业务识别方式以及与认证域的映射关系”;关于缺省认证域的相关介绍及具体配置请参见“用户接入配置指导”中的“AAA”。
表1-13 配置动态IPv4 IPoE个人接入用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 IPoE接入用户使用的认证域 |
ip subscriber { dhcp | unclassified-ip } domain domain-name |
缺省情况下,IPv4未知源IP接入用户和IPv4 DHCP接入用户的认证域为缺省认证域 |
表1-14 配置动态IPv6 IPoE个人接入用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 IPoE接入用户使用的认证域 |
ipv6 subscriber { dhcp | ndrs | unclassified-ip } domain domain-name |
缺省情况下,IPv6未知源IP接入用户、IPv6 ND RS接入用户和IPv6 DHCP接入用户的认证域为缺省认证域 |
通过配置动态IPoE会话的最大数目可以控制系统中的动态IPoE个人接入用户总数,包括动态IPv4 IPoE个人接入用户和动态IPv6 IPoE个人接入用户。
需要注意的是:
· 如果接口上配置的IPoE最大会话数目小于当前处于在线状态的动态IPoE会话数目,则该配置可以执行成功,且在线IPoE用户不受影响,但系统将不允许新的IPoE用户接入。
· 建议保证所有开启IPoE的接口上配置的最大会话数目之和,不要超过整机IPoE的最大会话数目,否则会有部分IPoE用户因为整机最大用户数已达到而无法上线。
表1-15 配置动态IPv4 IPoE会话的最大数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置动态IPv4 IPoE会话的最大数目 |
ip subscriber { dhcp | unclassified-ip } max-session max-number |
缺省情况下,未配置接口上允许创建的动态IPv4 IPoE会话的最大数目 |
表1-16 配置动态IPv6 IPoE会话的最大数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置动态IPv6 IPoE会话的最大数目 |
ipv6 subscriber { dhcp | ndrs | unclassified-ip } max-session max-number |
缺省情况下,未配置接口上允许创建的动态IPv6 IPoE会话的最大数目 |
在DHCP中继组网环境中,接入设备可以从用户的DHCP报文中提取出相应的DHCP Option,这些Option中携带了用户接入线路的相关信息,例如接入节点的物理位置、线路速率等。如果接入设备信任DHCP报文中的这些Option,则会使用这些Option中的相关子选项内容来封装发往RADIUS服务器的RADIUS属性,远程RADIUS服务器可结合这些属性对用户进行更为灵活的接入管理。
信任的Option和对应的RADIUS属性对应关系为:
· 若信任DHCPv4 Option 82,则其中的Circuit-ID子选项可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv4 Option 82,则其中的Remote-ID子选项可用来封装DSL_AGENT_REMOTE_ID属性。
· 若信任DHCPv6 Option 18,则Option 18可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv6 Option 37,则Option 37可用来封装DSL_AGENT_REMOTE_ID属性。
在DHCP组网环境中,如果接入设备信任DHCPv4 Option 60/DHCPv6 Option 16/Option 17中的信息,在满足一定的条件时,IPoE用户可以使用Option 60/Option 16/Option 17中的信息作为指定的认证域进行认证。有关认证域的具体选择情况,请参见命令手册。
表1-17 配置IPv4 DHCP个人接入用户的信任Option
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置信任DHCPv4报文中的指定Option |
ip subscriber trust { option60 | option82 } |
缺省情况下,不信任DHCPv4报文中的任何Option |
表1-18 配置IPv6 DHCP个人接入用户的信任Option
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置信任DHCPv6报文中的指定Option |
ipv6 subscriber trust { option16 | option17 | option18 | option37 } |
缺省情况下,不信任DHCPv6报文中的任何Option |
在一些组网环境中,接口上可能需要同时开启Portal和DHCP报文触发认证的IPoE功能,例如:管理员给门禁、监控摄像头、打印机等哑终端分配动态的IP地址并使用DHCP报文触发IPoE认证,同时宽带拨号用户使用Portal认证;这种组网环境可配置信任DHCPv4 Option 60/DHCPv6 Option 16/DHCPv6 Option 17字段中某些字符串,使设备根据匹配规则从Option 60/Option 16/Option 17字段提取出的字符串中是否存在与配置的信任字符串相同的字符串,分别做如下不同的处理:
· 如果从Option 60/Option 16/Option 17字段提取的字符串中存在与配置的信任字符串相同的字符串,则DHCP报文触发IPoE接入认证,并使用该信任字符串作为DHCP个人接入用户的认证域;
· 如果从Option 60/Option 16/Option 17字段提取的字符串中不存在与配置的信任字符串相同的字符串,则DHCP报文不会触发IPoE接入认证,用户直接进入Portal认证流程。有关Poral认证的相关介绍请参见“用户接入配置指导”中的“Portal”。
只有在配置了信任Option 60/Option 16/Option 17的情况下,配置的ip subscriber dhcp option60 match/ipv6 subscriber dhcp { option16 | option17 } * match命令才会生效。有关信任Option 60/Option 16/Option 17的具体配置请参见“1.7.7 配置动态IPoE DHCP个人接入用户的信任Option”。
关于动态IPoE DHCP个人接入用户的信任认证域相关命令的详细介绍,请参见命令手册。
表1-19 配置IPv4 DHCP个人接入用户的信任认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
|
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 DHCP个人接入用户的信任认证域 |
ip subscriber dhcp option60 match string [ offset offset ] [ length length ] |
缺省情况下,未配置IPv4 DHCP个人接入用户的信任认证域 |
表1-20 配置IPv6 DHCP个人接入用户的信任认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 DHCP个人接入用户的信任认证域 |
ipv6 subscriber dhcp { option16 | option17 } * match string [ offset offset ] [ length length ] |
缺省情况下,未配置IPv6 DHCP个人接入用户的信任认证域 |
在一些组网环境中,接口上可能需要同时开启Portal和未知源IPoE报文触发生成IPoE会话功能,例如:管理员给门禁、监控摄像头、打印机等哑终端分配固定的静态IP地址并使用未知源IPoE触发方式认证,同时宽带拨号用户使用Portal认证;这种组网环境可配置未知源IPoE个人接入用户的信任IP地址/地址范围,使设备根据接口上收到的IP报文中源地址是否是信任IP地址,分别做如下不同的处理:
· 如果IP报文中源地址是信任的IP地址,则触发未知源IPoE认证;
· 如果IP报文源地址是非信任IP地址,则不会触发IPoE接入认证,用户直接进入Portal认证流程。有关Poral认证的相关介绍请参见“用户接入配置指导”中的“Portal”。
需要注意的是,当接口仅开启未知源IP报文触发生成IPoE会话功能,但未开启Portal功能时,如果配置了信任IP地址,则只有当未知源IP报文的IP地址与配置的信任IP地址匹配时才会触发IPoE接入认证,否则丢弃报文。
表1-21 配置IPv4 IPoE未知源个人接入用户的信任IP地址/地址范围
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
|
进入接口视图 |
interface interface-type interface-number |
- |
配置信任的源IP地址/地址范围 |
ip subscriber unclassified-ip ip match start-ip-address [ end-ip-address ] |
缺省情况下,未配置信任任何源IP地址/地址范围 |
表1-22 配置IPv6 IPoE未知源个人接入用户的信任IPv6地址/地址范围
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置信任的源IPv6地址/地址范围 |
ipv6 subscriber unclassified-ip ip match start-ipv6-address [ end-ipv6-address ] |
缺省情况下,未配置信任任何源IPv6地址/地址范围 |
本配置用来设置动态IPoE个人接入用户(包括未知源IP接入用户、IPv6 ND RS接入用户和DHCP接入用户)与NAT联动失败允许用户继续上线功能。例如:当支持NAT联动功能的单板故障导致联动失败时,如需允许用户继续上线,则可配置本功能。有关NAT的相关介绍,请参见“三层技术-IP业务配置指导”中的“NAT”。
表1-23 配置IPv4 IPoE与NAT联动失败用户继续上线功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启IPoE与NAT联动失败时,允许动态IPv4 IPoE个人接入用户继续上线功能 |
ip subscriber nat-fail online |
缺省情况下,IPoE与NAT联动失败时,允许动态IPv4 IPoE个人接入用户继续上线功能处于关闭状态 |
表1-24 配置IPv6 IPoE与NAT联动失败用户继续上线功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启IPoE与NAT联动失败时,允许动态IPv6 IPoE个人接入用户继续上线功能 |
ipv6 subscriber nat-fail online |
缺省情况下,IPoE与NAT联动失败时,允许动态IPv6 IPoE个人接入用户继续上线功能处于关闭状态 |
配置静态IPoE个人接入用户后,当接口上有与手工配置的静态IPoE会话相匹配的IP或ARP报文通过时,将触发认证过程。认证成功后,设备对静态IPoE个人接入用户下发用户策略,允许该用户报文通过接口并对该用户的流量进行计费。
表1-25 配置静态IPoE个人接入用户配置任务简介
配置任务 |
说明 |
详细配置 |
配置静态IPoE会话触发方式 |
必须 |
|
配置接口个人静态IPoE会话 |
二者至少其一 |
|
配置全局个人静态IPoE会话 |
||
配置静态IPoE个人接入用户的认证用户名 |
必选 |
|
配置静态IPoE个人接入用户的认证密码 |
必选 |
|
配置静态IPoE个人接入用户使用的认证域 |
可选 |
配置静态IPoE会话时,必须开启未知源IP报文触发生成IPoE会话的功能,才能使IP报文来触发静态IPoE会话发起认证。
对于IPv4 IPoE静态会话,如需通过ARP报文触发用户上线,则需要开启静态IPoE个人接入用户通过ARP报文触发上线功能,此时,当设备收到的ARP报文与手工配置的IPoE会话匹配后才会触发认证。需要注意的是:
· 开启静态IPoE个人接入用户通过ARP报文触发上线功能时,请确保给静态IPoE个人接入用户分配的网关地址是用户接入接口的IP地址或DHCP地址池中通过命令gateway-list export-route指定的网关地址,否则即使该用户的ARP报文与手工配置的IPoE会话匹配也无法触发认证。
· 关闭静态IPoE个人接入用户通过ARP报文触发上线功能时,接口上已由ARP报文触发上线的静态IPv4 IPoE会话将仍保持其在线状态。
表1-26 配置静态IPv4 IPoE会话的触发方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置静态IPv4 IPoE会话的触发方式 |
ip subscriber initiator unclassified-ip enable |
二者至少选其一 缺省情况下,未知源IP报文触发生成IPoE会话功能和ARP报文触发IPv4 IPoE静态会话上线功能都处于关闭状态 |
ip subscriber initiator arp enable |
表1-27 配置静态IPv6 IPoE会话的触发方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置静态IPv6 IPoE会话的触发方式 |
ipv6 subscriber initiator unclassified-ip enable |
缺省情况下,IPv6未知源IP报文触发生成IPv6 IPoE会话功能处于关闭状态 |
管理员手工输入静态IPoE会话所需的信息(用户IP地址、MAC地址、用户报文的内/外层VLAN)后,接入设备根据这些信息生成对应的静态IPoE会话。
同一接口下任意IP地址的个人静态IPoE会话最多只能存在一条,并且当静态IPoE个人用户上线时,如果用户报文可同时匹配全局静态个人IPoE会话和接口静态个人IPoE会话,则优先使用接口静态个人IPoE会话上线。
表1-28 配置接口个人静态IPv4 IPoE会话
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置静态IPv4 IPoE会话 |
ip subscriber session static ip start-ip-address [ end-ip-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] |
缺省情况下,未配置静态IPv4 IPoE会话 本命令中的vlan和second-vlan参数仅子接口支持,非子接口不支持 |
退回系统视图 |
quit |
- |
配置设备发送静态IPv4 IPoE个人接入用户上线请求的时间间隔(可选) |
ip subscriber static-session request-oneline interval seconds |
缺省情况下,设备发送静态IPv4 IPoE个人接入用户上线请求的时间间隔为180秒 |
表1-29 配置接口个人静态IPv6 IPoE会话
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置静态IPv6 IPoE会话 |
ipv6 subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] |
缺省情况下,未配置静态IPv6 IPoE会话 本命令中的vlan和second-vlan参数仅子接口支持,非子接口不支持 |
退回系统视图 |
quit |
- |
配置设备发送静态IPv6 IPoE个人接入用户上线请求的时间间隔(可选) |
ipv6 subscriber static-session request-oneline interval seconds |
缺省情况下,设备发送静态IPv6 IPoE个人接入用户上线请求的时间间隔为180秒 |
任意IP地址的全局静态个人IPoE会话最多只能存在一条,并且当静态IPoE个人用户上线时,如果用户报文可同时匹配全局静态个人IPoE会话和接口静态个人IPoE会话,则优先使用接口静态个人IPoE会话上线。
表1-30 配置全局个人静态IPv4 IPoE会话
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置静态IPv4 IPoE会话 |
ip subscriber session static ip start-ip-address [ end-ip-address ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online ] ] |
缺省情况下,未配置静态IPv4 IPoE会话 本命令中的vlan和second-vlan参数仅子接口支持,非子接口不支持 |
配置设备发送静态IPv4 IPoE个人接入用户上线请求的时间间隔(可选) |
ip subscriber static-session request-oneline interval seconds |
缺省情况下,设备发送静态IPv4 IPoE个人接入用户上线请求的时间间隔为180秒 |
表1-31 配置全局个人静态IPv6 IPoE会话
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置静态IPv6 IPoE会话 |
ipv6 subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online ] ] |
缺省情况下,未配置静态IPv6 IPoE会话 本命令中的vlan和second-vlan参数仅子接口支持,非子接口不支持 |
配置设备发送静态IPv6 IPoE个人接入用户上线请求的时间间隔(可选) |
ipv6 subscriber static-session request-oneline interval seconds |
缺省情况下,设备发送静态IPv6 IPoE个人接入用户上线请求的时间间隔为180秒 |
通过该配置可以指定静态IPoE个人接入用户认证使用的用户名的命名规则,并且根据该命名规则获取的用户名必须与认证服务器配置的用户名保持一致,用户才可以认证通过。
表1-32 配置静态IPv4 IPoE个人接入用户的认证用户名
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4未知源IP接入用户的认证用户名 |
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address- separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
缺省情况下,IPv4未知源IP接入用户采用用户报文的源IPv4地址作为认证用户名 |
表1-33 配置静态IPv6 IPoE个人接入用户的认证用户名
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6未知源IP接入用户的认证用户名 |
ipv6 subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
缺省情况下,IPv6未知源IP接入用户采用用户报文的源IPv6地址作为认证用户名 |
静态IPoE个人接入用户使用接口上配置的IPoE个人接入用户的认证密码进行认证。通过该配置指定的密码必须与认证服务器配置的密码保持一致,用户才可以认证通过。
表1-34 配置静态IPv4 IPoE个人接入用户的认证密码
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 IPoE个人接入用户的认证密码 |
ip subscriber password { ciphertext | plaintext } string |
缺省情况下,IPv4 IPoE个人接入用户的认证密码为字符串vlan |
表1-35 配置静态IPv6 IPoE个人接入用户的认证密码
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 IPoE个人接入用户的认证密码 |
ipv6 subscriber password { ciphertext | plaintext } string |
缺省情况下,IPv6 IPoE个人接入用户认证密码为字符串vlan |
静态IPoE个人接入用户将按照接口上的配置选择认证域,认证域优先级顺序从高到低依次为:静态IPoE会话中指定的认证域 > 报文业务识别方式映射的认证域 > 未知源IP用户使用的认证域 >缺省认证域。
为使得用户认证成功,必须保证按照如上优先顺序选择出的认证域在接入设备上存在且配置完整。其中,关于报文业务识别方式映射的认证域的具体配置,请参见 “1.10 配置报文业务识别方式以及与认证域的映射关系”;关于缺省认证域的相关介绍及具体配置请参见“用户接入配置指导”中的“AAA”。
表1-36 配置静态IPv4 IPoE用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4未知源IP用户使用的认证域 |
ip subscriber unclassified-ip domain domain-name |
缺省情况下,IPv4未知源IP用户的认证域为缺省认证域 |
表1-37 配置静态IPv6 IPoE用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6未知源IP用户使用的认证域 |
ipv6 subscriber unclassified-ip domain domain-name |
缺省情况下,IPv6未知源IP用户的认证域为缺省认证域 |
配置IPoE专线用户后,无需接口上有用户流量通过即可自动根据配置的用户名和密码发起认证、授权过程。用户认证成功后,设备基于接口下发用户策略,允许接口下所有符合策略规则的用户流量均通过。同一接口下的所有接入的主机都属于同一IPoE会话,基于接口进行用户流量计费。
表1-38 IPoE专线接入用户配置任务简介
配置任务 |
说明 |
详细配置 |
配置IPoE接口专线用户 |
同一个接口上,三者必选其一 |
|
配置IPoE子网专线用户 |
||
配置IPoE L2VPN专线用户 |
||
配置IPoE专线接入用户的认证域 |
可选 |
一个IPoE接口专线代表了该接口接入的所有IP用户,接口专线上接入的所有用户统一认证、计费授权。当专线用户在二层接入模式时,从IPoE接口接入的所有IP用户统称为子用户。通过相应的display和reset命令查看或清除指定子用户的信息。有关查看和清除指定子用户信息命令的详细介绍请参见命令手册。
每个接口上只能配置一个IPv4接口专线用户和一个IPv6接口专线用户。
目前,接口专线的子用户支持通过DHCP报文、未知源IP报文和IPv6 ND RS报文触发上线。
表1-39 配置IPv4 IPoE接口专线用户
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 IPoE接口专线用户 |
ip subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ] |
缺省情况下,未配置IPv4 IPoE接口专线用户 |
表1-40 配置IPv6 IPoE接口专线用户
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 IPoE接口专线用户 |
ipv6 subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ] |
缺省情况下,未配置IPv6 IPoE接口专线用户 |
一个IPoE接口子网专线代表了该接口上指定子网的所有IP用户,接口子网专线上接入的所有用户统一认证、计费授权。当子网专线用户在二层接入模式时,从IPoE接口接入的指定子网的所有IP用户统称为子用户。通过相应的display和reset命令可查看或清除指定子用户的信息。有关查看和清除指定子用户信息命令的详细介绍请参见命令手册。
一个接口上可以配置多个子网专线用户,但必须保证每个子网的掩码长度一致。每个子网只能配置一个子网专线用户。
目前,子网专线的子用户仅支持通过未知源IP报文触发上线。
表1-41 配置IPv4 IPoE子网专线用户
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 IPoE子网专线用户 |
ip subscriber subnet-leased ip ip-address { mask | mask-length } username name password { ciphertext | plaintext } string [ domain domain-name ] |
缺省情况下,未配置IPv4 IPoE子网专线用户 |
表1-42 配置IPv6 IPoE子网专线用户
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 IPoE子网专线用户 |
ipv6 subscriber subnet-leased ipv6 ipv6-address prefix-length username name password { ciphertext | plaintext } string [ domain domain-name ] |
缺省情况下,未配置IPv6 IPoE子网专线用户 |
在L2VPN组网下,一个IPoE L2VPN专线用户代表了该接口接入的所有用户,接口上接入的所有用户统一认证、授权和计费。该IPoE专线用户认证成功后,接口上接入的所有L2VPN专线用户流量均允许通过,且共享一个IPoE会话,并基于接口进行授权和计费。
每个接口上只能配置一个L2VPN线用户,该用户对接口上的所有IPv4和IPv6流量进行统一处理。
同一三层以太网子接口下,IPoE L2VPN专线用户和以太网子接口的报文统计功能互斥,二者只能配置其一。有关以太网子接口的报文统计功能的详细介绍,请参见“接口管理配置指导”中的“以太网接口”。
表1-43 配置IPoE L2VPN专线用户
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPoE L2VPN专线用户 |
ip subscriber l2vpn-leased username name password { ciphertext | plaintext } string [ domain domain-name ] |
缺省情况下,未配置IPoE L2VPN专线用户 |
IPoE专线接入用户将按照接口上的配置选择认证域,认证域优先级顺序从高到低依次为:IPoE子网/接口专线用户配置中指定的认证域 > 报文业务识别方式映射的认证域 > 未知源IP用户使用的认证域 >系统缺省的认证域。
为使得用户认证成功,必须保证按照如上优先顺序选择出的认证域在接入设备上存在且配置完整。其中,关于报文业务识别方式映射的认证域的具体配置,请参见“1.10 配置报文业务识别方式以及与认证域的映射关系”;关于缺省认证域的相关介绍及具体配置请参见“用户接入配置指导”中的“AAA”。
表1-44 配置IPv4 IPoE专线接入用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4未知源IP用户使用的认证域 |
ip subscriber unclassified-ip domain domain-name |
缺省情况下,IPv4未知源IP用户的认证域为缺省认证域 |
表1-45 配置IPv6 IPoE专线接入用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6未知源IP用户使用的认证域 |
ipv6 subscriber unclassified-ip domain domain-name |
缺省情况下,IPv6未知源IP用户的认证域为缺省认证域 |
不同的IP报文携带了不同的报文信息,可以通过配置业务识别方式,根据用户IP报文的内/外层VLAN ID值、内/外层VLAN携带的802.1p值、DSCP值,来决定对该用户使用不同的认证域。
表1-46 配置IPv4报文业务识别方式以及与认证域的映射关系
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4接入用户的业务识别方式 |
ip subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan } |
缺省情况下,未配置IPv4接入用户(包括DHCPv4接入用户、未知源IP接入用户、静态IPoE接入用户和IPoE子网/接口专线用户)使用的业务识别方式,也没有配置与之相映射的认证域 对于DHCPv4接入用户,如果同时配置了信任DHCPv4 Option 60中的信息,则优先使用Option 60中的信息作为指定的认证域 如果配置了某种业务识别方式所映射的认证域,但是没有配置使用该业务识别方式,则前者不生效 ip subscriber service-identify命令中的8021p、vlan和second-vlan参数仅子接口支持,非子接口不支持 ip subscriber vlan和ip subscriber 8021p命令仅子接口支持,非子接口不支持 |
配置IPv4接入用户的IP报文内/外层VLAN值与认证域的映射关系 |
ip subscriber vlan vlan-list domain domain-name |
|
配置IPv4接入用户的IP报文内/外层VLAN tag中802.1p值与认证域的映射关系 |
ip subscriber 8021p 8021p-list domain domain-name |
|
配置IPv4接入用户的IP报文DSCP值与认证域的映射关系 |
ip subscriber dscp dscp-value-list domain domain-name |
表1-47 配置IPv6报文业务识别方式以及与认证域的映射关系
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6接入用户的业务识别方式 |
ipv6 subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan } |
缺省情况下,未配置IPv6接入用户(包括DHCPv6接入用户、未知源IPv6接入用户、静态IPv6 IPoE接入用户和IPv6 IPoE子网/接口专线用户)使用的业务识别方式,也没有配置与之相映射的认证域 对于DHCPv6接入用户,如果同时配置了信任DHCPv6 Option 16/Option 17中的信息,则优先使用Option 16/Option 17中的信息作为指定的认证域 如果配置了某种业务识别方式所映射的认证域,但是没有配置使用该业务识别方式,则前者不生效 ipv6 subscriber service-identify命令中的8021p、vlan和second-vlan参数仅子接口支持,非子接口不支持 ipv6 subscriber vlan和ipv6 subscriber 8021p命令仅子接口支持,非子接口不支持 |
配置IPv6接入用户的IP报文内/外层VLAN值与认证域的映射关系 |
ipv6 subscriber vlan vlan-list domain domain-name |
|
配置IPv6接入用户的IP报文内/外层VLAN tag中802.1p值与认证域的映射关系 |
ipv6 subscriber 8021p 8021p-list domain domain-name |
|
配置IPv6接入用户的IP报文DSCP值与认证域的映射关系 |
ipv6 subscriber dscp dscp-value-list domain domain-name |
配置IPoE接入用户的静默功能后,当某IPoE用户在指定检测周期内连续认证失败次数达到允许的最大值时,将被静默一段时间,在静默周期内设备直接丢弃来自此用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该IPoE用户的认证报文而对设备性能造成影响。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
表1-48 配置IPv4 IPoE接入用户的静默功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启IPv4 IPoE用户的静默功能并指定静默时间 |
ip subscriber timer quiet time |
缺省情况下,IPv4 IPoE用户的静默时间功能处于关闭状态 |
(可选)配置允许IPv4 IPoE用户在指定检测周期内连续认证失败次数的最大值 |
ip subscriber authentication chasten auth-failure auth-period |
缺省情况下,认证失败一次立即对用户进行静默处理 本命令仅在接口上配置ip subscriber timer quiet后才生效 |
表1-49 配置IPv6 IPoE用户的静默功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启IPv6 IPoE用户的功能并指定静默时间 |
ipv6 subscriber timer quiet time |
缺省情况下, IPv6 IPoE用户的静默时间功能处于关闭状态 |
(可选)配置允许IPv6 IPoE用户在指定检测周期内连续认证失败的最大次数 |
ipv6 subscriber authentication chasten auth-failure auth-period |
缺省情况下,认证失败立即对用户进行静默处理 本命令仅在接口上配置ipv6 subscriber timer quiet后才生效 |
接口上开启了IPoE接入用户在线探测功能后,设备在用户上线之后将定时发送探测报文,如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
· 若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户的报文),则认为此用户不在线,停止发送探测报文并删除用户。
· 若设备在探测过程中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
设备支持的IPv4探测报文为ARP请求报文和ICMP请求报文,支持的IPv6探测报文为ND协议中的NS报文和ICMPv6请求报文。
本探测功能当前仅支持对个人接入用户和二层接入模式下的专线子用户进行探测。
表1-50 配置IPv4 IPoE接入用户在线探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启IPv4 IPoE接入用户在线探测功能 |
ip subscriber user-detect { arp | icmp } retry retries interval interval |
缺省情况下,使用ARP请求报文对IPv4 IPoE接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒 |
表1-51 配置IPv6 IPoE接入用户在线探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启IPv6 IPoE接入用户在线探测功能 |
ipv6 subscriber user-detect { icmpv6 | nd } retry retries interval interval |
缺省情况下,使用ND协议中的NS报文对IPv6 IPoE接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒 |
配置的接入端口类型值将作为接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,用于向RADIUS服务器正确传递IPoE接入用户的接入端口信息。
表1-52 配置接口的IPv4 IPoE接入端口类型
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 IPoE接入端口类型 |
ip subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl } |
缺省情况下,IPv4 IPoE接入端口类型为Ethernet类型 |
表1-53 配置接口的IPv6 IPoE接入端口类型
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 IPoE接入端口类型 |
ipv6 subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl } |
缺省情况下,IPv6 IPoE接入端口类型为Ethernet类型 |
IPoE用户进行认证时,需要按照运营商要求的封装格式向RADIUS服务器传递NAS-PORT-ID属性,该属性标识了用户所处的物理位置。
NAS-PORT-ID属性支持两种封装格式:
· version 1.0:发送给RADIUS服务器的NAS-PORT-ID属性以电信163大后台要求的格式填充。
· version 2.0:发送给RADIUS服务器的NAS-PORT-ID属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。
在DHCP中继组网环境中,当接入设备采用version 2.0格式封装RADIUS NAS-PORT-ID属性时,可以配置信任DHCPv4 报文中的Option82或DHCPv6报文中的Option18,并在提取出的Option82 或Option18的Circuit-ID子选项中插入NAS信息后,使用该子选项内容填充NAS-PORT-ID属性。插入的新NAS信息标识了用户在本设备上的接入位置。
表1-54 配置IPv4 IPoE接入用户的NAS-PORT-ID属性封装
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
为IPv4 IPoE接入用户配置NAS-PORT-ID属性的封装格式 |
ip subscriber nas-port-id format cn-telecom { version1.0 | version2.0 } |
缺省情况下,按version 1.0格式填充RADIUS的NAS-PORT-ID属性 |
(可选)配置信任DHCPv4报文中的Option 82 |
ip subscriber trust option82 |
缺省情况下,不信任DHCPv4报文中的Option 82 |
(可选)配置在提取出的Option 82 Circuit-ID子选项内容中插入NAS信息,并使用插入NAS信息后的内容作为NAS-PORT-ID属性 |
ip subscriber nas-port-id nasinfo-insert |
缺省情况下,如果收到的DHCPv4报文带有Option 82 Circuit-ID子选项,则直接使用该子选项内容作为NAS-PORT-ID属性内容 |
表1-55 配置IPv6 IPoE接入用户的NAS-PORT-ID属性封装
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
为IPv6 IPoE接入用户配置NAS-PORT-ID属性的封装格式 |
ipv6 subscriber nas-port-id format cn-telecom { version1.0 | version2.0 } |
缺省情况下,按version 1.0格式填充RADIUS的NAS-PORT-ID属性 |
(可选)配置信任DHCPv6报文中的Option 18 |
ipv6 subscriber trust option18 |
缺省情况下,不信任DHCPv6报文中的任何Option |
(可选)配置在提取出的Option 18内容中插入NAS信息,并使用插入NAS信息后的内容作为NAS-PORT-ID属性 |
ipv6 subscriber nas-port-id nasinfo-insert |
缺省情况下,如果收到的DHCPv6报文带有Option 18,则直接使用该选项内容作为发往RADIUS服务器的NAS-PORT-ID属性内容 |
本配置用来设置IPoE的准出认证功能,在二次认证组网环境下需要配置本功能。二次认证是指使用两台设备分别作为准入和准出的网关,用于控制用户访问内网和外网,准入设备负责用户接入内网,准出设备负责用户接入外网。用户通过准入认证后,可以访问内网,在访问外网时,报文在准出设备网关触发IPoE认证,认证通过后将用户放行,认证过程中用户不感知。
表1-56 配置IPv4 IPoE准出认证功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4 IPoE准出认证功能 |
ip subscriber access-out |
缺省情况下, IPv4 IPoE准出认证功能处于关闭状态 |
表1-57 配置IPv6 IPoE准出认证功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv6 IPoE准出认证功能 |
ipv6 subscriber access-out |
缺省情况下, IPv6 IPoE准出认证功能处于关闭状态 |
本配置用来设置设备每次更新IPoE会话的流量统计信息的时间间隔。在某些组网环境中,对IPoE接入用户的流量统计精确度要求较高,此时可以配置相对较小的更新时间间隔,以提高设备对流量的统计频率;反之,则可以配置较大的更新时间间隔。
表1-58 配置IPv4 IPoE会话的流量统计信息的更新时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置IPv4 IPoE会话的流量统计信息的更新时间间隔 |
ip subscriber timer traffic |
缺省情况下,IPv4 IPoE会话的流量统计信息的更新时间间隔为180000毫秒 |
表1-59 配置IPv6 IPoE会话的流量统计信息的更新时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置IPv6 IPoE会话的流量统计信息的更新时间间隔 |
ipv6 subscriber timer traffic |
缺省情况下,IPv6 IPoE会话的流量统计信息的更新时间间隔为180000毫秒 |
IPoE接入用户日志是为了满足网络管理员维护的需要,对用户的上线、下线、上线失败的信息进行记录,包括用户名、IP地址、接口名称、两层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的IPoE日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的IPoE日志信息,一般情况下建议不要开启此功能。
表1-60 配置IPv4 IPoE接入用户日志信息功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启IPv4 IPoE接入用户日志信息功能 |
ip subscriber access-user log enable [ successful-login | failed-login | logout ] * |
缺省情况下,IPv4 IPoE接入用户日志信息功能处于关闭状态 |
表1-61 配置IPv6 IPoE接入用户日志信息功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启IPv6 IPoE接入用户日志信息功能 |
ipv6 subscriber access-user log enable [ successful-login | failed-login | logout ] * |
缺省情况下,IPv6 IPoE接入用户日志信息功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后IPoE的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IPoE统计信息。
表1-62 IPv4 IPoE显示和维护
操作 |
命令 |
显示被静默的IPv4 IPoE个人用户信息(独立运行模式) |
display ip subscriber chasten user [ interface interface-type interface-number ] [ ip ip-address | mac mac-address | user-type { dhcp | unclassified-ip | static } ] [ verbose ] [ slot slot-number ] |
显示被静默的IPv4 IPoE个人用户信息(IRF模式) |
display ip subscriber chasten user [ interface interface-type interface-number ] [ ip ip-address | mac mac-address | user-type { dhcp | unclassified-ip | static } ] [ verbose ] [ chassis chassis-number slot slot-number ] |
显示IPv4个人IPoE会话信息(独立运行模式) |
display ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name | user-address-type { private-ds | private-ipv4 | public-ds | public-ipv4 } | auth-type bind ] [ slot slot-number ] [ verbose ] |
显示IPv4个人IPoE会话信息(IRF模式) |
display ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name | user-address-type { private-ds | private-ipv4 | public-ds | public-ipv4 } | auth-type bind ] [ chassis chassis-number slot slot-number ] [ verbose ] |
显示IPv4接口专线用户信息(独立运行模式) |
display ip subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ] |
显示IPv4接口专线用户信息(IRF模式) |
display ip subscriber interface-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
显示IPv4 IPoE接口专线子用户信息(独立运行模式) |
display ip subscriber interface-leased user [ interface interface-type interface-number [ ip ip-address | mac mac-address ] ] [ slot slot-number ] [ verbose ] |
显示IPv4 IPoE接口专线子用户信息(IRF模式) |
display ip subscriber interface-leased user [ interface interface-type interface-number [ ip ip-address | mac mac-address ] ] [ chassis chassis-number slot slot-number ] [ verbose ] |
显示IPv4子网专线用户信息(独立运行模式) |
display ip subscriber subnet-leased [ interface interface-type interface-number ] [ ip ip-address mask-length ] [ slot slot-number ] |
显示IPv4子网专线用户信息(IRF模式) |
display ip subscriber subnet-leased [ interface interface-type interface-number ] [ ip ip-address mask-length ] [ chassis chassis-number slot slot-number ] |
显示IPv4 IPoE子网专线子用户信息(独立运行模式) |
display ip subscriber subnet-leased user [ interface interface-type interface-number [ ip { ip-address mask-length | ip-address } ] ] [ slot slot-number ] [ verbose ] |
显示IPv4 IPoE子网专线子用户信息(IRF模式) |
display ip subscriber subnet-leased user [ interface interface-type interface-number [ ip { ip-address mask-length | ip-address } ] ] [ chassis chassis-number slot slot-number ] [ verbose ] |
显示已经上线和正在上线的IPv4 IPoE个人用户统计信息(独立运行模式) |
display ip subscriber session statistics [ bind [ session-type { dhcp | static | unclassified-ip } ] ] [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv4 IPoE个人用户统计信息(IRF模式) |
display ip subscriber session statistics [ bind [ session-type { dhcp | static | unclassified-ip } ] ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
显示已经上线和正在上线的IPv4 IPoE接口专线用户统计信息(独立运行模式) |
display ip subscriber interface-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv4 IPoE接口专线用户统计信息(IRF模式) |
display ip subscriber interface-leased statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
显示已经上线和正在上线的IPv4 IPoE子网专线用户统计信息(独立运行模式) |
display ip subscriber subnet-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv4 IPoE子网专线用户统计信息(IRF模式) |
display ip subscriber subnet-leased statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
显示IPv4 IPoE用户下线原因的统计信息 |
display ip subscriber offline statistics [ bind ] [ interface interface-type interface-number ] |
清除IPv4 IPoE接口专线会话信息,强制用户下线 |
reset ip subscriber interface-leased [ interface interface-type interface-number ] |
清除IPv4 IPoE接口专线用户信息,强制用户下线 |
reset ip subscriber interface-leased user [ interface interface-type interface-number [ ip ip-address | mac mac-address ] ] |
清除IPv4 IPoE子网专线会话信息,强制用户下线 |
reset ip subscriber subnet-leased [ interface interface-type interface-number ] [ ip ip-address mask-length ] |
清除IPv4 IPoE子网专线用户信息,强制用户下线 |
reset ip subscriber subnet-leased user [ interface interface-type interface-number [ ip { ip-address mask-length | ip-address } ] ] |
清除动态和全局个人静态IPv4 IPoE会话 |
reset ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | username name ] |
清除IPv4 IPoE用户下线原因统计信息 |
reset ip subscriber offline statistics [ interface interface-type interface-number ] |
表1-63 IPv6 IPoE显示和维护
操作 |
命令 |
显示被静默的IPv6 IPoE个人用户信息(独立运行模式) |
display ipv6 subscriber chasten user [ interface interface-type interface-number ] [ ipv6 ipv6-address | mac mac-address | user-type { dhcp | ndrs | unclassified-ip | static } ] [ verbose ] [ slot slot-number ] |
显示被静默的IPv6 IPoE个人用户信息(IRF模式) |
display ipv6 subscriber chasten user [ interface interface-type interface-number ] [ ipv6 ipv6-address | mac mac-address | user-type { dhcp | ndrs | unclassified-ip | static } ] [ verbose ] [ chassis chassis-number slot slot-number ] |
显示IPv6个人IPoE会话信息(独立运行模式) |
display ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name | user-address-type { ds-lite | ipv6 | nat64 | public-ds } | auth-type bind ] [ slot slot-number ] [ verbose ] |
显示IPv6个人IPoE会话信息(IRF模式) |
display ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name | user-address-type { ds-lite | ipv6 | nat64 | public-ds } | auth-type bind ] [ chassis chassis-number slot slot-number ] [ verbose ] |
显示IPv6接口专线用户信息(独立运行模式) |
display ipv6 subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ] |
显示IPv6接口专线用户信息(IRF模式) |
display ipv6 subscriber interface-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
显示IPv6 IPoE接口专线子用户信息(独立运行模式) |
display ipv6 subscriber interface-leased user [ interface interface-type interface-number [ ipv6 ipv6-address | mac mac-address ] ] [ slot slot-number ] [ verbose ] |
显示IPv6 IPoE接口专线子用户信息(IRF模式) |
display ipv6 subscriber interface-leased user [ interface interface-type interface-number [ ipv6 ipv6-address | mac mac-address ] ] [ chassis chassis-number slot slot-number ] [ verbose ] |
显示IPv6子网专线用户信息(独立运行模式) |
display ipv6 subscriber subnet-leased [ interface interface-type interface-number ] [ ipv6 ipv6-address prefix-length ] [ slot slot-number ] |
显示IPv6子网专线用户信息(IRF模式) |
display ipv6 subscriber subnet-leased [ interface interface-type interface-number ] [ ipv6 ipv6-address prefix-length ] [ chassis chassis-number slot slot-number ] |
显示IPv6 IPoE子网专线子用户信息 |
display ipv6 subscriber subnet-leased user [ interface interface-type interface-number [ ipv6 { ipv6-address prefix-length | ipv6-address } ] ] [ slot slot-number ] [ verbose ] |
显示IPv6 IPoE子网专线子用户信息 |
display ipv6 subscriber subnet-leased user [ interface interface-type interface-number [ ipv6 { ipv6-address prefix-length | ipv6-address } ] ] [ chassis chassis-number slot slot-number ] [ verbose ] |
显示已经上线和正在上线的IPv6 IPoE个人用户统计信息(独立运行模式) |
display ipv6 subscriber session statistics [ bind [ session-type { dhcp | ndrs | static | unclassified-ip } ] ] [ interface interface-type interface-number ] [slot slot-number ] |
显示已经上线和正在上线的IPv6 IPoE个人用户统计信息(IRF模式) |
display ipv6 subscriber session statistics [ bind [ session-type { dhcp | ndrs | static | unclassified-ip } ] ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
显示已经上线和正在上线的IPv6 IPoE接口专线用户统计信息(独立运行模式) |
display ipv6 subscriber interface-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv6 IPoE接口专线用户统计信息(IRF模式) |
display ipv6 subscriber interface-leased statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
显示已经上线和正在上线的IPv6 IPoE子网专线用户统计信息(独立运行模式) |
display ipv6 subscriber subnet-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv6 IPoE子网专线用户统计信息(IRF模式) |
display ipv6 subscriber subnet-leased statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
显示IPv6 IPoE用户下线原因的统计信息 |
display ipv6 subscriber offline statistics [ bind ] [ interface interface-type interface-number ] |
清除IPv6 IPoE接口专线会话信息,强制用户下线 |
reset ipv6 subscriber interface-leased [ interface interface-type interface-number ] |
清除IPv6 IPoE接口专线用户信息,强制用户下线 |
reset ipv6 subscriber interface-leased user [ interface interface-type interface-number [ ipv6 ipv6-address | mac mac-address ] ] |
清除IPv6 IPoE子网专线会话信息,强制用户下线 |
reset ipv6 subscriber subnet-leased [ interface interface-type interface-number ] [ ipv6 ipv6-address prefix-length ] |
清除IPv6 IPoE子网专线用户信息,强制用户下线 |
reset ipv6 subscriber subnet-leased user [ interface interface-type interface-number [ ipv6 { ipv6-address prefix-length | ipv6-address } ] ] |
清除动态和全局个人静态IPv6 IPoE会话 |
reset ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | username name ] |
清除IPv6 IPoE用户下线原因统计信息 |
reset ipv6 subscriber offline statistics [ interface interface-type interface-number ] |
表1-64 IPoE L2VPN专线用户显示和维护
操作 |
命令 |
显示IPoE L2VPN专线用户信息(独立运行模式) |
display ip subscriber l2vpn-leased [ interface interface-type interface-number ] [ slot slot-number ] |
显示IPoE L2VPN专线用户信息(IRF模式) |
display ip subscriber l2vpn-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
显示IPoE L2VPN专线用户的统计信息(独立运行模式) |
display ip subscriber l2vpn-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
显示IPoE L2VPN专线用户的统计信息(IRF模式) |
display ip subscriber l2vpn-leased statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
· 用户主机通过手工配置或DHCP获得IP地址,经由三层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
图1-5 未知源IP报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址2.2.2.2,用户密码为字符串radius。
(2) 配置Device
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber routed enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/2 2.2.2.2 000c-29a6-b656 U Online
· DHCP Client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分配IP地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-6 DHCP报文触发IPoE接入配置组网图
此例假设用户通过DHCP方式申请时,DHCP报文中并未携带option60选项。
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息。
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-pool-pool1] network 3.3.3.0 24
# 将3.3.3.1设置为禁止地址。
[DHCP-server-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-pool-pool1] quit
(3) 配置Device
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置DHCP relay
# 全局开启DHCP。
[Device] dhcp enable
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继模式,并且指定中继服务器的IP地址为4.4.4.3。
[Device–GigabitEthernet3/1/2] dhcp select relay
[Device–GigabitEthernet3/1/2] dhcp relay server-address 4.4.4.3
· 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3.3.3.2。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/2 3.3.3.2 000c-29a6-b656 D Online
· 通过IPv6 ND RS报文触发上线的用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备可以发送IPv6 ND RA报文。
· 采用RADIUS作为认证、授权和计费服务器。
图1-7 IPv6 ND RS报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
Framed-IPv6-Prefix =10::10/64
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius,授权IPv6前缀为10::10/64。
(2) 配置Device
# 配置各接口的IP地址(略)。
# 取消对接口GigabitEthernet3/1/2发布IPv6 ND RA消息的抑制。
<Device> system-view
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] quit
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并制定二层接入模式。
[Device–GigabitEthernet3/1/2] ipv6 subscriber l2-connected enable
# 开启IPv6 ND RS报文触发方式。
[Device–GigabitEthernet3/1/2] ipv6 subscriber initiator ndrs enable
# 设置IPv6 ND RS报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ipv6 subscriber ndrs domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ipv6 subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv6地址为10::20C:29FF:FEA6:B656。
[Device] display ipv6 subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/2 10::20C:29FF:FEA6:B656 000c-29a6-b656 N Online
· 通过ARP报文触发上线的静态IPoE个人接入用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
· 为静态用户分配的网关地址为3.3.3.1。
图1-8 ARP报文触发静态IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
3.3.3.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址3.3.3.2,用户密码为字符串radius。
(2) 配置Device
# 配置各接口的IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 静态IPoE个人接入用户通过ARP报文触发上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 配置IP地址为3.3.3.2,认证域为dm1的静态会话。
[Device–GigabitEthernet3/1/2] ip subscriber session static ip 3.3.3.2 domain dm1
# 配置静态IPoE个人接入用户的认证密码为radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 全局开启DHCP。
[Device] dhcp enable
# 配置为静态用户分配的网关地址为3.3.3.1,且指定导出相应的路由,并将禁止分配静态用户的IP地址3.3.3.2。
[Device] dhcp server ip-pool test
[Device-dhcp-pool-test] gateway-list 3.3.3.1 export-route
[Device-dhcp-pool-test] network 3.3.3.0 24
[Device-dhcp-pool-test] forbidden-ip 3.3.3.2
[Device-dhcp-pool-test] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/2 3.3.3.2 147b-1924-0206 S Online
· 子网5.5.5.0/24、6.6.6.0/24、7.7.7.0/24的所有用户经由二层网络以IPoE方式接入到BRAS 接入设备。
· 子网专线用户认证时使用的用户名和密码分别为:5.5.5.0/24网段用户名us1、密码pw1;6.6.6.0/24网段用户名us2、密码pw2;7.7.7.0/24网段用户名us3、密码pw3。
· 采用RADIUS作为认证、授权和计费服务器。
图1-9 IPoE子网专线用户接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
us1 Cleartext-Password :="pw1"
us2 Cleartext-Password :="pw2"
us3 Cleartext-Password :="pw3"
以上信息表示:三个子网专线用户的用户名分别为us1、us2、us3,相应的用户密码分别为字符串pw1、pw2、pw3。
(2) 配置Device
# 配置各接口IP地址以及从IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 配置三个子网专线用户。
[Device–GigabitEthernet3/1/2] ip subscriber subnet-leased ip 5.5.5.0 24 username us1 password plaintext pw1 domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber subnet-leased ip 6.6.6.0 24 username us2 password plaintext pw2 domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber subnet-leased ip 7.7.7.0 24 username us3 password plaintext pw3 domain dm1
[Device–GigabitEthernet3/1/2] quit
# 子网专线用户认证通过之后,各子网网段的用户流量能正常转发,可以使用以下的显示命令查看到IPoE用户在线信息。
[Device] display ip subscriber subnet-leased
Basic:
Access interface : GE3/1/2
VPN instance : N/A
Username : us1
Network : 5.5.5.0/24
User ID : 0x38060000
State : Online
Service node : Slot 3 CPU 0
Domain : dm1
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:16:37
Total users : 10
AAA:
ITA policyname : N/A
IP pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group acl : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 223423/28598144
Downlink packets/bytes : 5802626/742736000
Basic:
Access interface : GE3/1/2
VPN instance : N/A
Username : us2
Network : 6.6.6.0/24
User ID : 0x38060001
State : Online
Service node : Slot 3 CPU 0
Domain : dm1
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:10:37
Total users : 10
AAA:
ITA policyname : N/A
IP pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group acl : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 223423/28598144
Downlink packets/bytes : 5802626/742736000
Basic:
Access interface : GE3/1/2
VPN instance : N/A
Username : us3
Network : 7.7.7.0/24
User ID : 0x38060002
State : Online
Service node : Slot 3 CPU 0
Domain : dm1
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:16:03
Total users : 10
AAA:
ITA policyname : N/A
IP pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group acl : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 223423/28598144
Downlink packets/bytes : 5802626/742736000
· 2.2.2.0/24网段内的所有用户经由网关设备以IPoE方式接入到BRAS接入设备。
· 接口专线用户认证时使用的用户名为us1、密码为pw1。
· 采用RADIUS作为认证、授权和计费服务器。
图1-10 IPoE接口专线用户接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
us1 Cleartext-Password :="pw1"
以上信息表示:接口专线用户的用户名为us1,用户密码为字符串pw1。
(2) 配置Device
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber routed enable
# 配置接口专线用户,认证使用的用户名为us1,认证使用的密码为明文pw1,使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber interface-leased username us1 password plaintext pw1 domain dm1
[Device–GigabitEthernet3/1/2] quit
# 接口专线用户认证通过之后,后续经由此接口的用户流量都能正常转发,可以使用以下的显示命令查看到IPoE用户在线信息。
[Device] display ip subscriber interface-leased
Basic:
Access interface : GE3/1/2
VPN instance : N/A
Username : us1
User ID : 0x30000000
State : Online
Service node : Slot 3 CPU 0
Domain : dm1
Login time : May 14 20:04:42 2014
Online time (hh:mm:ss) : 00:16:37
Total users : 0
AAA:
ITA policyname : N/A
IP pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group acl : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 16734145/2141970560
Downlink packets/bytes : 22314327/2856233728
· L2VPN专线用户Host A经由二层网络以IPoE方式接入到BRAS设备。
· L2VPN专线用户认证时使用的用户名为us1、密码为pw1。
· 采用RADIUS作为认证、授权和计费服务器。
图1-11 IPoE L2VPN专线用户接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
us1 Cleartext-Password :="pw1"
以上信息表示:接口专线用户的用户名为us1,用户密码为字符串pw1。
(2) 配置PE2
# 配置LSR ID。
[PE2] interface loopback 0
[PE2-LoopBack0] ip address 2.2.2.9 32
[PE2-LoopBack0] quit
[PE2] mpls lsr-id 2.2.2.9
# 使能L2VPN。
# 全局使能LDP。
[PE2-ldp] quit
# 配置连接PE 1的接口GigabitEthernet3/1/2,在此接口上使能LDP。
[PE2] interface gigabitethernet 3/1/2
[PE2-GigabitEthernet3/1/2] ip address 20.1.1.2 24
[PE2-GigabitEthernet3/1/2] mpls enable
[PE2-GigabitEthernet3/1/2] mpls ldp enable
[PE2-GigabitEthernet3/1/2] quit
# 在PE 2上运行OSPF,用于建立LSP。
[PE2-ospf-1] area 0
[PE2-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[PE2-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0
[PE2-ospf-1-area-0.0.0.0] quit
[PE2-ospf-1] quit
# 在PE 2上创建虚拟交换实例,并配置远端PE。
[PE2-vsi-svc] pwsignaling static
[PE2-vsi-svc-static] peer 1.1.1.9 pw-id 3 in-label 100 out-label 100
[PE2-vsi-svc-static-1.1.1.9-3] quit
[PE2-vsi-svc-static] quit
[PE2-vsi-svc] quit
# 在接入CE 2的接口GigabitEthernet3/1/1上关联虚拟交换实例。此接口不需配置IP地址。
[PE2] interface gigabitethernet 3/1/1
[PE2-GigabitEthernet3/1/1] xconnect vsi svc
[PE2-GigabitEthernet3/1/1] quit
(3) 配置PE1
# 配置LSR ID。
<PE1> system-view
[PE1] interface loopback 0
[PE1-LoopBack0] ip address 1.1.1.9 32
[PE1-LoopBack0] quit
[PE1] mpls lsr-id 1.1.1.9
# 使能L2VPN。
# 全局使能LDP。
[PE1-ldp] quit
# 配置连接PE 2的接口GigabitEthernet3/1/2,在此接口上使能LDP。
[PE1] interface gigabitethernet 3/1/2
[PE1-GigabitEthernet3/1/2] ip address 20.1.1.1 24
[PE1-GigabitEthernet3/1/2] mpls enable
[PE1-GigabitEthernet3/1/2] mpls ldp enable
[PE1-GigabitEthernet3/1/2] quit
# 在PE 1上运行OSPF,用于建立LSP。
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit
# 在PE 1上创建虚拟交换实例,并配置远端PE。
[PE1-vsi-svc] pwsignaling static
[PE1-vsi-svc-static] peer 2.2.2.9 pw-id 3 in-label 100 out-label 100
[PE1-vsi-svc-static-2.2.2.9-3] quit
[PE1-vsi-svc-static] quit
[PE1-vsi-svc] quit
# 在接入CE 1的接口GigabitEthernet3/1/1上关联虚拟交换实例。此接口不需配置IP地址。
[PE1] interface gigabitethernet 3/1/1
[PE1-GigabitEthernet3/1/1] xconnect vsi svc
[PE1-GigabitEthernet3/1/1] quit
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<PE1> system-view
[PE1] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[PE1-radius-rs1] primary authentication 4.4.4.1
[PE1-radius-rs1] primary accounting 4.4.4.1
[PE1-radius-rs1] key authentication simple radius
[PE1-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[PE1-radius-rs1] user-name-format without-domain
[PE1-radius-rs1] quit
# 使能RADIUS session control功能。
[PE1] radius session-control enable
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[PE1] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[PE1-isp-dm1] authentication ipoe radius-scheme rs1
[PE1-isp-dm1] authorization ipoe radius-scheme rs1
[PE1-isp-dm1] accounting ipoe radius-scheme rs1
[PE1-isp-dm1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet3/1/1视图。
[PE1] interface gigabitethernet 3/1/1
# 使能IPoE功能,并指定三层接入模式。
[PE1–GigabitEthernet3/1/1] ip subscriber routed enable
# 配置L2VPN专线用户,认证使用的用户名为us1,认证使用的密码为明文pw1,使用的认证域为dm1。
[PE1–GigabitEthernet3/1/1] ip subscriber l2vpn-leased username us1 password plaintext pw1 domain dm1
[PE1–GigabitEthernet3/1/1] quit
# L2VPN专线用户认证通过之后,后续经由此接口的用户流量都能正常转发,可以使用以下的显示命令查看到IPoE用户在线信息。
[PE1] display ip subscriber l2vpn-leased
Basic:
Access interface : GE3/1/1
VPN instance : N/A
Username : us1
User ID : 0x30000000
State : Online
Service node : Slot 3 CPU 0
Domain : dm1
Login time : May 14 20:04:42 2014
Online time (hh:mm:ss) : 00:16:37
Total users : 0
AAA:
ITA policyname : N/A
IP pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Max multicast addresses : 0
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group acl : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 16734145/2141970560
Downlink packets/bytes : 22314327/2856233728
· 用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
· vpn1中的用户通过DHCP获取IP地址。
图1-12 IPoE为接入用户授权地址池和VPN配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
Huawei-VPN-Instance :="vpn1",
Framed-Pool := " pool1"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius,授权VPN实例名称为vpn1,授权IP地址池名称为pool1。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-pool-pool1] network 3.3.3.0 24
# 将3.3.3.1设置为例外地址。
[DHCP-server-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-pool-pool1] quit
# 通过配置静态路由,将目的地址为3.3.3.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
(3) 配置Device
为保证VPN间流量正常转发,需要配置静态路由和策略路由。
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置DHCP relay
# 全局开启DHCP。
[Device] dhcp enable
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继模式。
[Device–GigabitEthernet3/1/2] dhcp select relay
[Device–GigabitEthernet3/1/2] quit
# 创建DHCP地址池pool1,并引用VPN实例vpn1。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] vpn-instance vpn1
# 配置为客户端分配的网关地址为3.3.3.1,且指定导出相应的路由。当本配置生效后,会向vpn1的路由表中添加一条网关地址对应的静态主机路由。
[Device-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route
# 配置远端DHCP服务器地址为4.4.4.3。
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
· 配置IPoE
# 在接口GigabitEthernet3/1/2上开启IPoE功能,并指定二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态IPoE用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
· 配置代理ARP
# 在接口GigabitEthernet3/1/2上开启代理ARP。
[Device–GigabitEthernet3/1/2] proxy-arp enable
[Device–GigabitEthernet3/1/2] quit
· 通过配置静态路由,将vpn1内的DHCP请求方向的流量引入到DHCP服务器端
# 配置静态路由。
[Device] ip route-static vpn-instance vpn1 4.4.4.0 24 4.4.4.3 public
· 通过配置策略路由,将DHCP服务器回应的流量导入到DHCP客户端所在的VPN
# 创建一个策略to_vpn1,其节点序号为0,匹配模式permit,指定报文在vpn1内转发。
[Device] policy-based-route to_vpn1 permit node 0
[Device-pbr-to_vpn1-0] apply access-vpn vpn-instance vpn1
[Device-pbr-to_vpn1-0] quit
# 在以太接口GigabitEthernet3/1/1上应用该策略路由。
[Device] interface gigabitethernet 3/1/1
[Device–GigabitEthernet3/1/1] ip policy-based-route to_vpn1
[Device–GigabitEthernet3/1/1] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Username : 000c29a6b656
Domain : dm1
VPN instance : vpn1
IP address : 3.3.3.2
User address type : N/A
MAC address : 000c-29a6-b656
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x380800b5
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VxLAN ID : -
DHCP lease : 86400 sec
DHCP remain lease : 18400 sec
Access time : May 9 08:56:29 2014
Online time (hh:mm:ss) : 00:16:37
Service node : Slot 3 CPU 0
Authentication type : Bind
Type : DHCP
State : Online
AAA:
ITA policyname : N/A
IP pool : pool1
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Max multicast addresses : 4
Multicast address list : N/A
Accounting start time : Sep 14 18:09:28 2014
QoS:
User profile : N/A
Session group profile : N/A
User group acl : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 594341/76075648
Downlink packets/bytes : 0/0
· 用户主机经由三层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
图1-13 IPoE用户在线探测配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
2.2.2.3 Cleartext-Password :="radius"
2.2.2.4 Cleartext-Password :="radius"
以上信息表示:三个用户的用户名分别为Host的IP地址2.2.2.2、2.2.2.3、2.2.2.4,用户密码均为字符串radius。
(2) 配置Device
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber routed enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
# 开启在线用户探测功能,并指定ICMP探测方式,重复尝试次数为2,探测间隔为30秒。
[Device–GigabitEthernet3/1/2] ip subscriber user-detect icmp retry 2 interval 30
[Device–GigabitEthernet3/1/2] quit
用户认证通过之后,可以通过显示命令display ip subscriber session查看到对应用户信息,若用户主机离线,则设备会在一定时间后探测到,并删除记录的IPoE用户信息。
网络连接正常且接口上的IPoE配置正确的情况下,某些DHCP客户端无法正常进行认证。
· 当DHCP客户端发送的报文里携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16和Option 17)时,若该Option内容对应的ISP域在接入设备上不存在,则无法进行认证。
· 当接口上指定了IPoE用户认证时使用的ISP域,且DHCP客户端发送的报文里未携带指定的Option时,若接口上指定的ISP域在接入设备上不存在,则无法进行认证。
通过调试信息或抓包工具查看DHCP客户端报文中是否携带Client-ID Option:
(1) 若报文中携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16和Option 17),则查看其内容,并在接入设备上配置与之同名的ISP域。
(2) 若报文中未携带指定的Option,则查看接口上是否指定了ISP域。若指定了ISP域,则在接入设备上配置与之同名的ISP域。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!