04-IPoE命令
本章节下载: 04-IPoE命令 (451.87 KB)
1.1.1 display ip subscriber interface-leased
1.1.2 display ip subscriber interface-leased statistics
1.1.3 display ip subscriber offline statistics
1.1.4 display ip subscriber session
1.1.5 display ip subscriber session statistics
1.1.6 display ip subscriber subnet-leased
1.1.7 display ip subscriber subnet-leased statistics
1.1.9 ip subscriber access-out
1.1.10 ip subscriber dhcp domain
1.1.11 ip subscriber dhcp max-session
1.1.12 ip subscriber dhcp username
1.1.15 ip subscriber initiator dhcp enable
1.1.16 ip subscriber initiator unclassified-ip enable
1.1.17 ip subscriber interface-leased
1.1.18 ip subscriber nas-port-id format
1.1.19 ip subscriber nas-port-id nasinfo-insert
1.1.20 ip subscriber nas-port-type
1.1.22 ip subscriber service-identify
1.1.23 ip subscriber session static
1.1.24 ip subscriber subnet-leased
1.1.25 ip subscriber timer quiet
1.1.27 ip subscriber unclassified-ip domain
1.1.28 ip subscriber unclassified-ip max-session
1.1.29 ip subscriber unclassified-ip username
1.1.30 ip subscriber user-detect
1.1.32 reset ip subscriber offline statistics
1.1.33 reset ip subscriber session
1.2.1 display ipv6 subscriber interface-leased
1.2.2 display ipv6 subscriber interface-leased statistics
1.2.3 display ipv6 subscriber offline statistics
1.2.4 display ipv6 subscriber session
1.2.5 display ipv6 subscriber session statistics
1.2.6 display ipv6 subscriber subnet-leased
1.2.7 display ipv6 subscriber subnet-leased statistics
1.2.9 ipv6 subscriber access-out
1.2.10 ipv6 subscriber dhcp domain
1.2.11 ipv6 subscriber dhcp max-session
1.2.12 ipv6 subscriber dhcp username
1.2.15 ipv6 subscriber initiator dhcp enable
1.2.16 ipv6 subscriber initiator ndrs enable
1.2.17 ipv6 subscriber initiator unclassified-ip enable
1.2.18 ipv6 subscriber interface-leased
1.2.19 ipv6 subscriber nas-port-id format
1.2.20 ipv6 subscriber nas-port-id nasinfo-insert
1.2.21 ipv6 subscriber nas-port-type
1.2.22 ipv6 subscriber ndrs domain
1.2.23 ipv6 subscriber ndrs max-session
1.2.24 ipv6 subscriber ndrs username
1.2.25 ipv6 subscriber password
1.2.26 ipv6 subscriber service-identify
1.2.27 ipv6 subscriber session static
1.2.28 ipv6 subscriber subnet-leased
1.2.29 ipv6 subscriber timer quiet
1.2.31 ipv6 subscriber unclassified-ip domain
1.2.32 ipv6 subscriber unclassified-ip max-session
1.2.33 ipv6 subscriber unclassified-ip username
1.2.34 ipv6 subscriber user-detect
1.2.36 reset ipv6 subscriber offline statistics
1.2.37 reset ipv6 subscriber session
仅CSPEX-1204单板支持配置本功能。
display ip subscriber interface-leased命令用来显示IPv4接口专线用户信息。
interface interface-type interface-number:显示指定接口上的IPv4接口专线用户信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPv4接口专线用户信息。
slot slot-number:显示指定单板的IPv4接口专线用户信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPv4接口专线用户信息。
# 显示接口GigabitEthernet3/1/1上的IPv4接口专线用户信息。
<Sysname> display ip subscriber interface-leased interface GigabitEthernet 3/1/1
Basic:
Access Interface : GE3/1/1
VPN instance : N/A
Username : a
User ID : 0x38080003
State : Online
Service node : Slot 3 Cpu 0
Domain : radius
Login time : Sep 15 18:54:30 2014
Online time (hh:mm:ss) : 00:16:37
AAA:
IP pool : ipoe
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : h3c (active)
Session group profile : N/A
Inbound CAR : CIR 100000bps PIR 200000bps (active)
Outbound CAR : CIR 300000bps PIR 400000bps (active)
Total traffic statistics:
Uplink packets/bytes : 0/0
DownLink packets/bytes : 0/0
ITA:
Level-1 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-2 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-3 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-4 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-5 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-6 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-7 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-8 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
表1-1 display ip subscriber interface-leased命令显示信息描述表
Basic |
IPoE 会话的基本信息 |
用户所属的MPLS L3VPN,N/A表示用户属于公网 |
|
全局唯一的用户ID,只有用户在线后才会由系统分配,N/A表示暂未分配 |
|
· Invalid:无效状态 · Init:初始化 · Offline:正在下线 · Auth:认证中 · AuthFail:认证失败 · AuthPass :认证通过 · AssignedIP:用户已具备IP地址 · Online:用户在线 · Backup:备份状态,表示该用户是由对端备份到本端的 |
|
Login time |
用户登录时间 |
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
AAA |
IPoE 会话的AAA授权信息 |
IP pool |
AAA授权的DHCP地址池名称,N/A表示AAA未授权该属性 |
Session idle time |
用户闲置切断时间,单位为秒,N/A表示不进行闲置切断 |
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未下发会话时长 · Unlimited:表示会话时长无限 |
remaining |
AAA授权的IPoE会话剩余时长 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
Remaining traffic |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量 |
Max multicast addresses |
AAA授权的用户能加入的组播组的最大数目 |
Multicast address list |
AAA授权的用户允许加入的组播组地址列表,N/A表示AAA未授权该属性 |
QoS |
IPoE 会话的QoS信息 |
AAA授权的User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile |
|
AAA授权的Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile |
|
AAA授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。授权CAR的状态包括如下: · active:AAA授权入方向CAR成功 · inactive:AAA授权入方向CAR失败 · N/A:AAA未授权入方向CAR |
|
AAA授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps) 授权CAR的状态包括如下: · active:AAA授权出方向CAR成功 · inactive:AAA授权出方向CAR失败 · N/A:AAA未授权出方向CAR |
|
Total traffic statistics |
IPoE Session的流量统计信息 |
上行流量报文数/字节数 |
|
下行流量报文数/字节数 |
|
IPoE Session的ITA信息 |
|
计费等级为n的上行流量报文数/字节数,n的取值范围为1~8 |
|
计费等级为n的下行流量报文数/字节数,n的取值范围为1~8 |
display ip subscriber interface-leased statistics命令用来显示已经上线和正在上线的IPv4 IPoE接口专线用户统计信息。
interface interface-type interface-number:显示指定接口上的IPv4 IPoE接口专线用户统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上IPv4 IPoE接口专线用户已经上线和正在上线的统计信息。
slot slot-number:显示指定单板上的IPv4 IPoE接口专线用户统计信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板中在位单板上的IPv4 IPoE接口专线用户统计信息。
# 显示接口GigabitEthernet3/1/1上已经上线和正在上线的IPv4 IPoE接口专线用户统计信息。
<Sysname> display ip subscriber interface-leased statistics interface gigabitethernet 3/1/1
Total : 100
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-2 display ip subscriber interface-leased statistics命令显示信息描述表
成功分配到IP地址的用户数 |
|
display ip subscriber offline statistics命令用来显示IPv4 IPoE用户下线原因的统计信息。
display ip subscriber offline statistics [ interface interface-type interface-number ]
interface interface-type interface-number:显示指定接口上IPoE用户下线原因的统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上IPoE用户下线原因的统计信息。
# 显示接口GigabitEthernet3/1/1上IPv4 IPoE用户下线原因的统计信息。
<Sysname> display ip subscriber offline statistics interface gigabitethernet 3/1/1
Total : 100
User request : 0
DHCP lease expire : 0
AAA lease expire : 0
Command cut : 80
AAA terminate : 0
Authenticate fail : 0
Authorization fail : 0
Idle timeout : 10
Detect fail : 10
Not enough resource : 0
Interface down : 0
Interface shutdown : 0
VSRP event : 0
DHCP notify : 0
Other : 0
表1-3 display ip subscriber offline statistics命令显示信息描述表
DHCP租约到期正常下线的用户数 |
|
AAA租约到期正常下线的用户数 |
|
AAA强制下线的用户数 |
|
因接口状态为down下线的用户数 |
|
主动shutdown接口导致下线的用户数 |
|
VSRP(Virtual Service Redundancy Protocol,虚拟业务冗余协议) 状态变化引发的下线用户数 |
|
DHCP通知下线的用户数 |
|
· reset ip subscriber offline statistics
display ip subscriber session命令用来显示静态配置和动态触发的IPv4个人IPoE会话信息。
interface interface-type interface-number:显示指定接口上的IPv4个人IPoE会话,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPv4个人IPoE会话。
domain domain-name:显示使用指定ISP域认证的IPv4个人IPoE会话,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
ip ip-address:显示指定源IP地址的IPv4个人IPoE会话,ip-address为指定的IPv4地址。
vpn-instance vpn-instance-name:指定用户所属的VPN,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPv4个人 IPoE会话位于公网中。
mac mac-address:显示指定源MAC地址的IPv4个人IPoE会话,形式为H-H-H。
static:显示静态配置的IPv4个人IPoE会话,不指定该参数时将显示静态配置的IPv4个人IPoE会话和动态触发创建的IPv4个人IPoE会话。
username name:显示指定用户名的IPv4个人IPoE会话,其中,name为1~255个字符的字符串,区分大小写。
slot slot-number:显示指定单板的IPv4个人IPoE会话,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPv4个人IPoE会话。
verbose:显示IPv4个人IPoE会话的详细信息。如果不指定该参数,则只显示IPoE会话的简要信息。
# 显示用户IP为200.1.1.1,所属VPN为vpn1的IPv4 IPoE会话简要信息。
<Sysname> display ip subscriber session ip 200.1.1.1 vpn-instance vpn1
Type: D-Dhcp S-Static U-Unclassified-ip N-Ndrs
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/1 200.1.1.1 0010-9400-0002 U Online
# 显示所有静态配置和动态触发的IPv4 IPoE会话的详细信息。
<Sysname> display ip subscriber session verbose
Basic:
Username : 200.1.1.1
Domain : radius
VPN instance : vpn1
IP address : 200.1.1.1
MAC address : 0010-9400-0002
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x38080002
VPI/VCI(for ATM) : 0/0
DHCP lease : N/A
DHCP remain lease : N/A
Login time : Sep 14 18:09:28 2014
Online time (hh:mm:ss) : 00:16:37
Service node : Slot 3 Cpu 0
Type : Unclassified-ip
State : Online
AAA:
IP pool : N/A
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : profile1 (active)
Session group profile : N/A
Inbound CAR : CIR 100000bps PIR 200000bps (active)
Outbound CAR : CIR 300000bps PIR 400000bps (active)
Total traffic statistics:
Uplink packets/bytes : 594341/76075648
DownLink packets/bytes : 0/0
ITA:
Level-1 uplink packets/bytes: 66038/8452864
downLink packets/bytes: 0/0
Level-2 uplink packets/bytes: 66038/8452864
downLink packets/bytes: 0/0
Level-3 uplink packets/bytes: 66038/8452864
downLink packets/bytes: 0/0
Level-4 uplink packets/bytes: 66038/8452864
downLink packets/bytes: 0/0
Level-5 uplink packets/bytes: 66038/8452864
downLink packets/bytes: 0/0
Level-6 uplink packets/bytes: 66038/8452864
downLink packets/bytes: 0/0
Level-7 uplink packets/bytes: 66038/8452864
downLink packets/bytes: 0/0
Level-8 uplink packets/bytes: 66038/8452864
downLink packets/bytes: 0/0
表1-4 display ip subscriber session命令显示信息描述表
Basic |
IPoE Session的基本信息 |
用户所属的MPLS L3VPN,N/A表示用户属于公网 |
|
用户的IP地址 |
|
用户的MAC地址 |
|
服务提供商VLAN/用户VLAN(“-”表示没有VLAN信息) |
|
全局唯一的用户ID,只有用户在线后才会由系统分配,N/A表示暂未分配 |
|
ATM的PVC信息 |
|
DHCP lease |
DHCP服务器分配给用户的IP地址租约时间,单位为秒 · N/A:表示无DHCP租约 · Unlimited:表示租约无限长 |
DHCP remain lease |
DHCP服务器分配给用户的IP地址租约剩余时长,只在service slot上可以看到有效的剩余时长,非service slot显示N/A |
Login time |
用户登录时间 |
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
IPoE会话的创建类型: · DHCP:DHCP报文触发创建 · Unclassified-ip:未知源IP报文触发创建 · Static:静态配置 |
|
· Invalid:无效状态 · Init:初始化 · Offline:正在下线中 · Auth:认证中 · AuthFail:认证失败 · AuthPass:认证通过 · AssignedIP:会话已具备IP地址 · Online:用户在线 · Backup:备份状态,表示该用户是由对端备份到本端的 |
|
AAA |
IPoE Session的AAA授权信息 |
IP pool |
AAA授权的DHCP地址池名称,N/A表示AAA未授权该属性 |
Session idle time |
用户闲置切断时间,单位为秒,N/A表示不进行闲置切断 |
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未下发会话时长 · Unlimited:表示会话时长无限 |
remaining |
AAA授权的IPoE会话剩余时长 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
Remaining traffic |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量 |
Max multicast addresses |
AAA授权的用户能加入的组播组的最大数目 |
Multicast address list |
AAA授权的用户允许加入的组播组地址列表,N/A表示AAA未授权该属性 |
QoS |
IPoE会话的QoS信息 |
AAA授权的User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
|
AAA授权的Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
|
AAA授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。授权CAR的状态包括如下: · active:AAA授权入方向CAR成功 · inactive:AAA授权入方向CAR失败 · N/A:AAA未授权入方向CAR |
|
AAA授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps) 授权CAR的状态包括如下: · active:AAA授权出方向CAR成功 · inactive:AAA授权出方向CAR失败 · N/A:AAA未授权出方向CAR |
|
Total traffic statistics |
IPoE 会话的流量统计信息 |
上行流量报文数/字节数 |
|
下行流量报文数/字节数 |
|
IPoE Session的ITA信息 |
|
计费等级为n的上行流量报文数/字节数,n的取值范围为1~8 |
|
计费等级为n的下行流量报文数/字节数,n的取值范围为1~8 |
display ip subscriber session statistics命令用来显示已经上线和正在上线的IPv4 IPoE个人用户统计信息。
session-type:用户上线类型。不指定该参数,则表示显示所有类型的IPv4 IPoE个人用户统计信息。
dhcp:表示DHCP用户。
static:表示静态个人用户。
unclassified-ip:表示未知源IP用户。
interface interface-type interface-number:显示指定接口上的IPv4 IPoE个人用户统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上已经上线和正在上线的IPv4 IPoE个人用户统计信息。
slot slot-number:显示指定单板上的IPv4 IPoE个人用户统计信息, slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板中在位单板上的IPv4 IPoE用户统计信息。
# 显示接口GigabitEthernet3/1/1上已经上线和正在上线的IPv4 IPoE个人用户统计信息。
<Sysname> display ip subscriber session statistics session-type dhcp interface gigabitethernet 3/1/1
Total : 100
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-5 display ip subscriber session statistics命令显示信息描述表
成功分配到IP地址的用户数 |
|
display ip subscriber subnet-leased命令用来显示IPv4子网专线用户信息。
interface interface-type interface-number:显示指定接口上的IPv4子网专线用户信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPv4子网专线用户信息。
ip ip-address:显示指定IPv4网段内的IPv4子网专线用户信息。
mask-length:IP地址子网络掩码长度,取值范围为1~31。
slot slot-number:显示指定单板的IPv4子网专线用户信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上在位单板的IPv4子网专线用户信息。
# 显示接口GigabitEthernet3/1/1上的IPv4子网专线用户信息。
<Sysname> display ip subscriber subnet-leased interface GigabitEthernet 3/1/1
Basic:
Access Interface : GE3/1/1
VPN instance : N/A
Username : a
Network : 200.1.1.0/24
User ID : 0x38080004
State : Online
Service node : Slot 3 Cpu 0
Domain : radius
Login time : Sep 15 19:06:38 2014
Online time (hh:mm:ss) : 00:16:37
AAA:
IP pool : N/A
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : cc (active)
Session group profile : N/A
Inbound CAR : CIR 100000bps PIR 200000bps (active)
Outbound CAR : CIR 300000bps PIR 400000bps (active)
Total traffic statistics:
Uplink packets/bytes : 0/0
DownLink packets/bytes : 0/0
ITA:
Level-1 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-2 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-3 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-4 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-5 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-6 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-7 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-8 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
表1-6 display ip subscriber subnet-leased命令显示信息描述表
字段 |
描述 |
IPoE会话的基本信息 |
|
Access interface |
用户所在的接口名称 |
VPN instance |
用户所属的MPLS L3VPN,N/A表示用户属于公网 |
Username |
用户认证时使用的用户名 |
User ID |
全局唯一的用户ID,只有用户在线后才会由系统分配,N/A表示暂未分配 |
State |
用户的认证状态 · Init:初始化 · Offline:正在下线中 · Auth:认证中 · AuthFail:认证失败 · AuthPass :认证通过 · AssignedIP:会话已具备IP地址 · Online:用户在线 · Backup:备份状态 |
Service node |
为用户提供认证服务的节点信息 |
Domain |
认证使用的ISP域名 |
Login time |
用户登录时间 |
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
AAA |
IPoE会话的AAA授权信息 |
IP pool |
AAA授权的DHCP地址池名称,N/A表示AAA未授权该属性 |
Session idle time |
用户闲置切断时间,单位为秒,N/A表示不进行闲置切断 |
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未下发会话时长 · Unlimited:表示会话时长无限 |
remaining |
AAA授权的IPoE会话剩余时长 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
Remaining traffic |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量 |
Max multicast addresses |
AAA授权的用户能加入的组播组的最大数目 |
Multicast address list |
AAA授权的用户允许加入的组播组地址列表,N/A表示AAA未授权该属性 |
QoS |
IPoE会话的QoS信息 |
User profile |
AAA授权的User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
Session group profile |
AAA授权的Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
Inbound CAR |
AAA授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。授权CAR的状态包括如下: · active:AAA授权入方向CAR成功 · inactive:AAA授权入方向CAR失败 · N/A:AAA未授权入方向CAR |
Outbound CAR |
AAA授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps) 授权CAR的状态包括如下: · active:AAA授权出方向CAR成功 · inactive:AAA授权出方向CAR失败 · N/A:AAA未授权出方向CAR |
Total traffic statistics |
IPoE会话的流量统计信息 |
Uplink packets/bytes |
上行流量报文数/字节数 |
Downlink packets/bytes |
下行流量报文数/字节数 |
ITA |
IPoE会话的ITA信息 |
Level-n uplink packets/bytes |
计费等级为n的上行流量报文数/字节数,n的取值范围为1~8 |
downlink packets/bytes |
计费等级为n的下行流量报文数/字节数,n的取值范围为1~8 |
display ip subscriber subnet-leased statistics命令用来显示已经上线和正在上线的IPv4 IPoE子网专线用户统计信息。
interface interface-type interface-number:显示指定接口上的IPv4 IPoE子网专线用户统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上IPv4 IPoE用户已经上线和正在上线的子网专线统计信息。
slot slot-number:显示指定单板上的IPv4 IPoE子网专线用户统计信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板中在位单板上的IPv4 IPoE子网专线用户统计信息。
# 显示接口GigabitEthernet3/1/1上已经上线和正在上线的IPv4 IPoE子网专线用户统计信息。
<Sysname> display ip subscriber subnet-leased statistics interface gigabitethernet 3/1/1
Total : 100
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-7 display ip subscriber subnet-leased statistics命令显示信息描述表
成功分配到IP地址的用户数 |
|
ip subscriber 8021p命令用于配置IPv4未知源IP报文的内/外层VLAN tag中的802.1p值与认证域的映射关系。
undo ip subscriber 8021p命令用来恢复缺省情况。
ip subscriber 8021p 8021p-list domain domain-name
undo ip subscriber 8021p 8021p-list
未指定IPv4未知源IP报文的内/外层VLAN tag中的802.1p值与认证域的映射关系。
三层以太网子接口视图/三层聚合子接口视图
8021p-list:802.1p值列表,表示一个或多个802.1p值,表示方式为8021p-list = { 8021p-value [ to 8021p-value ] }&<1-8>,其中,8021p-value为指定8021p的编号,取值范围为0~7。&<1-8>表示前面的参数最多可以输入8次。
domain domain-name:表示与指定的8021p范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
本命令用来配置指定802.1p值范围内的未知源IP接入用户认证时使用的认证域,通过指定的认证域对进行认证、授权、计费。
# 在子接口GigabitEthernet3/1/1.100上配置内层VLAN TAG中802.1p值范围为2到5的IPv4未知源IP接入用户认证使用的认证域为1pdm。
[Sysname] interface gigabitethernet 3/1/1.100
[Sysname-GigabitEthernet3/1/1.100] ip subscriber service-identify 8021p second-vlan
[Sysname-GigabitEthernet3/1/1.100] ip subscriber 8021p 2 to 5 domain 1pdm
· ip subscriber service-identify
ip subscriber access-out命令用来配置BRAS设备准出认证功能。
undo ip subscriber access-out用来恢复缺省情况。
【命令】
ip subscriber access-out
undo ip subscriber access-out
【缺省情况】
接口上的准出认证功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图/三层聚合口视图/三层聚合子接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
BRAS设备准入准出认证组网中,准出认证设备的接口配置了该命令,将对用户进行准出认证,认证通过后,则允许用户接入,否则不允许用户接入。
【举例】
# 在接口GigabitEthernet3/1/1上配置用户准出认证功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber access-out
ip subscriber dhcp domain命令用来配置IPv4 DHCP个人接入用户使用的认证域。
undo ip subscriber dhcp domain命令用来恢复缺省情况。
ip subscriber dhcp domain domain-name
undo ip subscriber dhcp domain
IPv4 DHCP个人接入用户的认证域为缺省认证域。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
本命令用来配置DHCP报文触发接入的IPv4 IPoE接入用户在认证时使用的域名,该域名必须与认证服务器上配置的域名保持一致。
配置ip subscriber dhcp domain命令后:
· 如果DHCP报文中未携带Option 60,或者Option 60内容不符合域名的格式要求,则IPoE用户使用本命令指定的认证域进行认证;
· 如果DHCP报文中携带Option60,Option60符合域名的格式要求,并且接口配置了ip subscriber trust option60命令,则使用Option60作为指定的认证域进行认证。
如果不配置ip subscriber dhcp domain命令,且DHCP报文中未携带Option 60,则使用缺省认证域认证。
当用户需要将Option60字段中的信息按字符串形式解析时,请确保Option60字段内容中不出现00和不可见字符,否则在生成域名时将产生异常。
# 配置接口GigabitEthernet3/1/1上的IPv4 DHCP个人接入用户使用的认证域为ipoe。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcp domain ipoe
· ip subscriber initiator dhcp enable
ip subscriber dhcp max-session命令用来配置接口上允许DHCPv4报文触发创建的IPv4 IPoE会话的最大数。
undo ip subscriber dhcp max-session命令用来恢复缺省情况。
ip subscriber dhcp max-session max-number
undo ip subscriber dhcp max-session
未限制接口上允许DHCPv4报文触发创建的IPv4 IPoE会话数目。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
max-number:允许DHCPv4报文触发创建的IPv4 IPoE会话最大数,取值范围1~32768。
DHCPv4报文触发创建的IPv4 IPoE会话数目达到最大值后,后续DHCPv4报文不能触发创建IPv4 IPoE会话。
# 配置接口GigabitEthernet3/1/1上允许DHCPv4报文触发创建的IPv4 IPoE会话最大数为100。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcp max-session 100
· display ip subscriber session
· ip subscriber initiator dhcp enable
ip subscriber dhcp username命令用来配置IPv4 DHCP个人接入用户的认证用户名。
undo ip subscriber dhcp username命令用来恢复缺省情况。
ip subscriber dhcp username include { circuit-id | client-id | nas-port-id | port [ separator ] | remote-id | second-vlan [ separator ] | slot [ separator ] | source-mac [ separator separator ] | subslot [ separator ] | sysname [ separator ] | vendor-class | vendor-specific | vlan [ separator ] } *
undo ip subscriber dhcp username
IPv4 DHCP个人接入用户使用报文源MAC地址作为认证用户名。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
circuit-id:表示以DHCP报文中的Interface Identifier Option(Option82 sub-option1)字段中的信息为用户名。
client-id:表示以DHCP报文中的Client Identifier Option(Option61)字段中的信息作为用户名。
nas-port-id:表示以用户认证报文中的nas-port-id属性作为用户名。
port:表示以报文接入的端口号作为用户名。
remote-id:表示以DHCP报文中的Remote Identifier Option(Option82 sub2)字段中的信息作为用户名。
second-vlan:表示以认证报文中的内层VLAN作为用户名。
slot:表示以报文接入的槽位号作为用户名。
source-mac:表示以用户报文的源MAC地址作为用户名。
separator separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。
sublot:表示以报文接入的子卡号作为用户名。
sysname:表示以报文接入设备的设备名作为用户名。
vendor-class:表示以DHCP报文中的Vendor Class Option(Option60)字段中的信息作为用户名。
vendor-specific:表示以DHCP报文中的Vendor Specific Option(Option82 sub9)字段中的信息作为用户名。
vlan:表示以认证报文中的外层VLAN作为用户名。
separator:当前字段的分隔符,字符形式。
该命令用来配置IPv4 DHCP用户在认证时使用的用户名,该用户名必须与认证服务器上配置的用户名保持一致。此类用户进行IPoE认证时使用的密码由ip subscriber password命令配置。
在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。
例如:若配置ip subscriber dhcp username include vendor-class vendor-specific,则用户名为Option60字段内容和Option82 sub9字段内容的拼接,且两个字段之间无分隔符。
当用户需要将Option字段中的信息按字符串形式解析时,请确保Option字段内容中不出现00和不可见字符,否则在生成用户名时将产生异常。
建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
# 配置接口GigabitEthernet3/1/1上IPv4 DHCP个人接入用户使用Client Identifier Option字段中的信息作为用户名。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcp username include client-id
· ip subscriber initiator dhcp enable
ip subscriber dscp命令用来配置IPv4未知源IP报文的DSCP值与认证域的映射关系。
undo ip subscriber dscp命令用来恢复缺省情况。
ip subscriber dscp dscp-value-list domain domain-name
undo ip subscriber dscp dscp-value-list
未指定IPv4未知源IP报文的DSCP值与认证域的映射关系。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
dscp-value-list:DSCP值列表,表示一个或多个DSCP的值,表示方式为dscp-value-list = dscp-value [ to dscp-value ] }&<1-8>。其中,dscp-value为指定的DSCP的值,取值范围为0~63。&<1-8>表示前面的参数最多可以输入8次。
domain domain-name:表示与指定的DSCP范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
本命令用来配置指定DSCP范围内的IPv4未知源IP报文触发的用户认证时使用的认证域,通过指定的认证域进行认证、授权、计费。
# 在接口GigabitEthernet3/1/1上配置DSCP值范围为1到4的IPv4未知源IP接入用户认证使用的认证域为dscpdm。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber service-identify dscp
[Sysname-GigabitEthernet3/1/1] ip subscriber dscp 1 to 4 domain dscpdm
· ip subscriber service-identify
ip subscriber enable命令用来在接口上使能IPv4 IPoE功能并指定用户的接入模式。
undo ip subscriber enable命令用来恢复缺省情况。
ip subscriber { l2-connected | routed } enable
undo ip subscriber { l2-connected | routed } enable
接口上的IPv4 IPoE功能处于关闭状态。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
l2-connected:指定二层接入模式。
routed:指定三层接入模式。
只有在接口上使能了IPv4 IPoE功能后,其它的IPv4 IPoE相关配置才能生效。
不允许直接修改IPoE的接入模式,必须关闭IPoE功能之后,重新使能IPoE功能时指定新的接入模式。
# 在接口GigabitEthernet3/1/1上使能二层接入模式的IPv4 IPoE功能。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber l2-connected enable
ip subscriber initiator dhcp enable命令用来在接口上使能DHCPv4报文触发生成IPv4 IPoE会话的功能。
undo ip subscriber initiator dhcp enable 命令用来关闭接口上DHCPv4报文触发生成IPv4 IPoE会话的功能。
ip subscriber initiator dhcp enable
undo ip subscriber initiator dhcp enable
DHCPv4报文不能触发生成IPv4 IPoE会话。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
接口上使能该功能后,收到的首个DHCP Discover报文或直接申请地址的DHCP Request报文会触发生成IPv4 IPoE会话;关闭该功能后,该接口上收到的DHCPv4报文不能触发生成IPv4 IPoE会话,已有的由DHCPv4报文触发生成的IPv4 IPoE会话不会被删除。
接口上可同时配置DHCPv4报文和未知源IPv4报文触发生成IPv4 IPoE会话的功能。
# 在接口GigabitEthernet3/1/1上使能DHCPv4报文触发生成IPv4 IPoE会话的功能。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber initiator dhcp enable
· display ip subscriber session
· ip subscriber initiator unclassified-ip enable
ip subscriber initiator unclassified-ip enable命令用来在接口上使能未知源IPv4报文触发生成IPv4 IPoE会话的功能。
undo ip subscriber initiator unclassified-ip enable命令用来关闭接口上的未知源IPv4报文触发生成IPv4 IPoE会话的功能。
ip subscriber initiator unclassified-ip enable
undo ip subscriber initiator unclassified-ip enable
未知源IPv4报文不能触发生成IPv4 IPoE会话。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
接口使能该功能后,收到的未知源IPv4报文会触发生成IPv4 IPoE会话;关闭该功能后,该接口上收到的未知源IPv4报文不能触发生成IPv4 IPoE会话,已有的由未知源IPv4报文触发生成的IPv4 IPoE会话不会被删除。
接口上可同时配置DHCPv4报文和未知源IPv4报文触发生成IPv4 IPoE会话的功能。
# 在接口GigabitEthernet3/1/1上使能未知源IPv4报文触发生成IPv4 IPoE会话的功能。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable
· display ip subscriber session
· ip subscriber initiator dhcp enable
ip subscriber interface-leased命令用来配置IPv4 IPoE接口专线用户。
undo ip subscriber interface-leased命令用来删除已配置的IPv4 IPoE接口专线用户。
undo ip subscriber interface-leased
未配置IPv4 IPoE接口专线用户。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
username name:指定用户认证时使用的用户名,其中name为1~255个字符的字符串,区分大小写。
password:指定用户认证时使用的密码。
ciphertext:表示以密文方式配置用户认证使用的密码。
plaintext:表示以明文方式配置用户认证使用的密码。
password:设置的明文密码或密文密码,区分大小写。密文密码为1~117个字符的字符串;明文密码为1~63个字符的字符串。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。如果未指定该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“安全配置指导”中的 “AAA”。
一个IPv4 IPoE接口专线用户代表了该接口接入的所有IPv4用户,接口上接入的所有IPv4用户统一认证、授权和计费。该IPoE专线用户认证成功后,接口上接入的所有IPv4用户流量均允许通过,且共享一个IPv4 IPoE会话,并基于接口进行授权和计费。
每个接口只能配置一个IPv4 IPoE接口专线用户。
同一接口下,IPoE个人接入用户、IPoE接口专线用户和IPoE子网专线用户的配置互斥,只能选择其中的一种配置。
# 在接口GigabitEthernet3/1/1上配置一个IPv4 IPoE接口专线用户:认证使用的用户名为intuser,认证使用的密码为明文pw123。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber interface-leased username intuser password plaintext pw123
· display ip subscriber interface-leased
ip subscriber nas-port-id format命令用于为IPv4 IPoE接入用户配置nas-port-id属性的封装格式,即IPv4 IPoE接入用户进行认证时,接入设备向RADIUS服务器发送的nas-port-id属性的封装格式。
undo ip subscriber nas-port-id命令用来恢复缺省情况。
ip subscriber nas-port-id format cn-telecom { version1.0 | version2.0 }
undo ip subscriber nas-port-id format
按version 1.0的格式填充RADIUS的nas-port-id属性。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
version1.0:封装格式为version 1.0,表示发送给RADIUS服务器的nas-port-id属性以电信163大后台要求的格式填充。
version2.0:封装格式为version 2.0,表示发送给RADIUS服务器的nas-port-id属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。
(1) version 1.0封装格式:
slot=slot_num;subslot=subslot_num;port=port_num;vlanid=0;
· 三层以太网子接口和三层聚合子接口(携带单层VLAN Tag接入)
slot=slot_num;subslot=subslot_num;port=port_num;vlanid=vlan_id;
· 三层以太网子接口和三层聚合子接口(携带双层VLAN Tag接入)
slot=slot_num;subslot=subslot_num;port=port_num;vlanid=inner-vlan;vlanid2=outer-vlan;
(2) version 2.0封装格式:
其中,{eth|trunk|atm}表示BRAS接入接口的类型,包括以太接口、trunk类型的以太网接口或ATM接口;NAS_slot表示BRAS接入接口的槽位号;NAS_subslot表示BRAS接入接口的子槽位号;NAS_port表示BRAS接入接口的端口号;svlan表示接入用户的SVLAN ID;cvlan表示接入用户的CVLAN ID;AccessNodeIdentifier表示接入节点的标识;ANI_rack表示接入节点机架号;ANI_frame表示接入节点机框号;ANI_slot表示接入节点槽位号;ANI_subslot表示接入节点子槽位号;ANI_port表示接入节点端口号。
# 在接口GigabitEthernet3/1/1上配置设备使用version 2.0格式封装RADIUS的nas-port-id属性。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber nas-port-id format cn-telecom version2.0
l ip subscriber initiator dhcp enable
l ip subscriber nas-port-id nasinfo-insert
ip subscriber nas-port-id nasinfo-insert命令用于配置在提取出的DHCPv4报文的Option 82 Circuit-ID子选项内容中插入NAS信息,并使用插入NAS信息后的内容作为nas-port-id属性。
undo ip subscriber nas-port-id nasinfo-insert命令用来恢复缺省情况。
ip subscriber nas-port-id nasinfo-insert
undo ip subscriber nas-port-id nasinfo-insert
不使用Option 82 Circuit-ID子选项中的内容作为nas-port-id属性字符串。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
在DHCP中继组网环境下,接入设备能捕获用户的DHCPv4报文,并从报文中提取出DHCP Option82 Circuit-ID子选项信息。在配置了本命令且信任DHCP Option 82的情况下,接入设备处理如下:
· 如果收到的DHCP报文带有DHCP Option82 Circuit-ID子选项,则从收到的DHCP报文中解析DHCP Option82 Circuit-ID子选项,并按YDT 2275-2011宽带接入用户线路(端口)标识要求在原有Circuit-ID子选项的内容里插入NAS信息(该信息标识了用户在本设备上的接入位置信息),然后将其作为RADIUS的nas-port-id属性内容。
· 如果收到的DHCP报文不带Option82 Circuit-ID子选项,则按version 2.0格式要求封装,保留该子选项中的原有的NAS信息字段(NAS_slot/NAS_subslot/NAS_port:svlan.cvlan),并将AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分修改为0/0/0/0/0/0。
本功能对原DHCP报文中Option82子选项不产生任何影响,且只在nas-port-id的封装格式为version 2.0时生效。
# 在接口GigabitEthernet3/1/1上配置设备使用DHCPv4客户端上报的Option82信息,并在其中插入NAS信息,然后将其封装为RADIUS的nas-port-id属性。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber nas-port-id nasinfo-insert
· ip subscriber initiator dhcp enable
· ip subscriber nas-port-id format
ip subscriber nas-port-type命令用来配置接口的IPv4 IPoE接入端口类型。
undo ip subscriber nas-port-type命令用来恢复缺省情况。
undo ip subscriber nas-port-type
IPv4 IPoE接入端口类型为Ethernet类型。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
802.11:符合Wireless-IEEE 802.11标准的接口类型,对应的编码值为19。
adsl-cap:ADSL-CAP(Asymmetric DSL,Carrierless Amplitude Phase Modulation)接口类型,对应的编码值为12。
adsl-dmt:ADSL-DMT(Asymmetric DSL,Discrete Multi-Tone)接口类型,对应的编码值为13。
async:Async接口类型,对应的编码值为0。
cable:Cable接口类型,对应的编码值为17。
ethernet:Ethernet接口类型,对应的编码值为15。
g.3-fax:G.3 Fax接口类型,对应的编码值为10。
hdlc:HDLC接口类型,对应的编码值为7。
idsl:IDSL(ISDN Digital Subscriber Line)接口类型,对应的编码值为14。
isdn-async-v110:ISDN Async V.110接口类型,对应的编码值为4。
isdn-async-v120:ISDN Async V.120接口类型,对应的编码值为3。
isdn-sync:ISDN Sync口类型,对应的编码值为2。
piafs:符合PIAFS(PHS(Personal Handyphone System)Internet Access Forum Standard)标准的接口类型,对应的编码值为6。
sdsl:SDSL(Symmetric DSL)接口类型,对应的编码值为11。
sync:Sync接口类型,对应的编码值为1。
virtual:Virtual接口类型,对应的编码值为5。
wireless-other:Wireless-other接口类型,对应的编码值为18。
x.25:X.25接口类型,对应的编码值为8。
x.75:X.75接口类型,对应的编码值为9。
xdsl:XDSL(Digital Subscriber Line of unknown type)接口类型,对应的编码值为16。
此处配置的端口接入类型值将作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,用于向RADIUS服务器正确传递用户的接入端口信息。
# 配置接口GigabitEthernet3/1/1的IPv4 IPoE接入端口类型为SDSL。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber nas-port-type sdsl
ip subscriber password命令用来配置动态IPv4 IPoE个人接入用户的认证密码。
undo ip subscriber password命令用来恢复缺省情况。
ip subscriber password { ciphertext | plaintext } password
动态IPv4 IPoE个人接入用户的认证密码为字符串vlan。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
ciphertext:表示以密文方式配置用户的认证密码。
plaintext:表示以明文方式配置用户的认证密码。
password:设置的明文密码或密文密码,区分大小写。密文密码为1~117个字符的字符串;明文密码为1~63个字符的字符串。
本命令用来配置动态IPv4 IPoE个人接入用户认证时使用的密码,动态IPv4 IPoE个人接入用户是指通过DHCP报文或未知源IPv4报文触发建立IPoE会话并进行认证的IPoE个人接入用户。
# 配置接口GigabitEthernet3/1/1上动态IPoE个人接入用户认证时使用的密码为明文123。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber password plaintext 123
· ip subscriber unclassified-ip username
ip subscriber service-identify命令用来配置IPv4未知源IP接入用户的业务识别方式。
undo ip subscriber service-identify命令用来恢复缺省情况。
三层以太网接口视图/三层聚合口视图
ip subscriber service-identify dscp
undo ip subscriber service-identify
三层以太网子接口视图/三层聚合子接口视图
ip subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan }
undo ip subscriber service-identify
未指定IPv4未知源IP接入用户的业务识别方式。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
8021p second-vlan:表示QinQ模式下基于内层VLAN Tag中的802.1p值识别业务。
8021p vlan:表示基于VLAN Tag中的802.1p值识别业务,QinQ模式下基于外层VLAN Tag中的802.1p值识别业务。
dscp:表示基于DSCP值识别业务。
second-vlan:QinQ模式下基于内层VLAN ID识别业务。
vlan:表示基于VLAN ID识别业务,QinQ模式下基于外层VLAN ID识别业务。
未知源IP用户认证时使用的认证域由报文中携带的业务信息来决定。不同的业务特征可以对应不同的认证域,每一个接口可以指定仅识别某种类型业务的报文。例如,接口上若指定了基于DSCP值识别业务,且通过ip subscriber dscp 1 domain aabcc命令指定了DSCP值1与认证域aabbcc的映射关系,则IP报文DSCP值为1的用户认证时将会使用认证域aabbcc。
需要注意的是:
· 本命令中的8021p second-vlan、8021p vlan、vlan和second-vlan参数仅子接口支持,非子接口不支持。
# 配置接口GigabitEthernet3/1/1上的IPv4未知源IP接入用户认证使用基于DSCP的业务识别方式。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber service-identify dscp
ip subscriber session static命令用来配置静态IPv4 IPoE会话。
undo ip subscriber session static命令用来删除指定的静态IPv4 IPoE会话。
undo ip subscriber session static ip ip-address [ vlan vlan-id [ second-vlan vlan-id ] ]
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
ip ip-address:表示用户的IPv4地址。
vlan vlan-id:表示用户报文的外层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4093。
second-vlan vlan-id:表示用户报文的内层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4093。
mac mac-address:表示用户的MAC地址,形式为H-H-H。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。如果未指定该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“安全配置指导”中的“AAA”。
管理员手工输入静态IPoE会话所需的信息(用户IP地址、MAC地址、用户报文的内/外层VLAN)后,接入设备根据这些信息生成对应的静态IPoE会话。接口上有与静态IPoE会话相匹配的未知源IP报文通过时,将触发认证过程。
· 本命令的vlan和second-vlan参数仅子接口支持,非子接口不支持。
· 静态IPoE会话的匹配优先级高于动态IPoE会话。若已经存在静态IPoE会话,则与之匹配IP报文不会触发新的动态IPoE会话;若存在一个未知源IP报文触发建立的动态IPoE会话,则再配置一个能与该未知源IP报文匹配的静态IPoE会话,会覆盖已经存在的动态IPoE会话。
· 系统支持配置多个静态IPoE会话。
· 相同IP、外层VLAN、内层VLAN的静态IPoE会话只能存在一条,后配置的不能覆盖已配置的。若要修改相关参数,必须删除当前配置后重新配置。
· 同一接口下,静态IPoE会话、接口专线用户和子网专线用户的配置互斥,只能选择其中的一种配置。
# 在接口GigabitEthernet3/1/1上配置一条静态IPv4 IPoE会话:用户IP地址为1.1.1.1,认证使用的认证域为dm1。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber session static ip 1.1.1.1 domain dm1
· display ip subscriber session
ip subscriber subnet-leased命令用来配置IPv4 IPoE子网专线用户。
undo ip subscriber subnet-leased命令用来删除指定的IPv4 IPoE子网专线用户。
undo ip subscriber subnet-leased ip ip-address { mask | mask-length }
未配置IPv4 IPoE子网专线用户。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
ip ip-address:表示用户的IPv4地址。
mask:IP地址的网络掩码,为点分十进制形式。
mask-length:IP地址的网络掩码长度,取值范围为1~31。
username name:指定用户认证时使用的用户名,其中name为1~255个字符的字符串,区分大小写。
password:指定用户认证时使用的密码。
ciphertext:表示以密文方式配置用户认证使用的密码。
plaintext:表示以明文方式配置用户认证使用的密码。
password:设置的明文密码或密文密码,区分大小写。密文密码为1~117个字符的字符串;明文密码为1~63个字符的字符串。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。如果未指定该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“安全配置指导”中的 “AAA”。
一个IPv4 IPoE子网专线用户代表了该接口接入的所有该子网内IPv4用户,该子网内的所有IPv4用户统一认证、授权和计费。该IPoE专线用户认证成功后,接口上接入的所有该子网内IPv4用户流量均允许通过,且共享一个IPv4 IPoE会话,并基于子网进行授权和计费。
每个子网只能配置一个IPv4 IPoE子网专线用户。
需要注意的是:
· 同一接口下,IPoE个人接入用户、IPoE接口专线用户和IPoE子网专线用户的配置互斥,只能选择其中的一种配置。
· VRRP组网环境下配置IPoE子网专线时,请不要将IPoE子网与VRRP备份组虚拟IP地址配置在同一网段,否则将导致VRRP备份组无法正常工作。VRRP相关的配置请参见“可靠性配置指导”中的“VRRP”。
# 在接口GigabitEthernet3/1/1上配置一个IPv4 IPoE子网专线用户:子网网段为1.1.1.1/24,认证使用的用户名为netuser,认证使用的明文密码为pw123。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber subnet-leased ip 1.1.1.1 24 username netuser password plaintext pw123
· display ip subscriber subnet-leased
ip subscriber timer quiet命令用来配置IPv4 IPoE用户的静默时间。
undo ip subscriber timer quiet命令用来恢复缺省情况。
ip subscriber timer quiet time
undo ip subscriber timer quiet
IPv4 IPoE用户的静默时间功能处于关闭状态。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
time:IPoE用户的静默时间,取值范围为10~3600,单位为秒。
# 在接口GigabitEthernet3/1/1上配置IPv4 IPoE用户的静默时间为100秒。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber timer quiet 100
ip subscriber trust命令用于配置信任DHCPv4报文中指定Option。
undo ip subscriber trust命令用来恢复缺省情况。
ip subscriber trust { option60 | option82 }
undo ip subscriber trust { option60 | option82 }
不信任DHCPv4报文中的任何Option。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
【参数】
option60:表示信任DHCPv4报文中的Option60。
option82:表示信任DHCPv4报文中的Option82。
DHCP组网环境中,如果接入设备信任DHCPv4报文中的Option 60,则:
· 如果Option60内容有效,但没有@字符,以整个Option60的内容作为域名;
· 如果Option60内容中包含了域名分隔符@字符,且@字符后的字符串有效(无非法字符'\','/',':','*','?','\"','<','>','|'等),则以@字符之后的字符串作为域名;
如果不信任DHCPv4报文中的Option 60,则:
· 如果配置了ip subscriber dhcp domain domain-name,则以该命令配置的域名接入;
· 如果接口没有配置缺省DHCPv4接入的domain,则不设置AAA的domain属性,按系统缺省域接入。
DHCP中继组网环境中,接入设备可以提取用户的DHCP-DISCOVER报文中的Option 82信息。如果接入设备信任DHCPv4报文中的Option 82,则:
· 接入设备在采用version 2.0格式封装RADIUS nas-port-id属性时,会根据Option 82信息中的Circuit-ID子选项内容封装发往RADIUS服务器的nas-port-id属性;
· 接入设备会根据Option 82中的Circuit-ID子选项内容封装发往RADIUS服务器的DSL_AGENT_CIRCUIT_ID属性;
· 接入设备会根据Option 82中的Remote-ID子选项内容封装发往RADIUS服务器的DSL_AGENT_REMOTE_ID属性。
如果不信任DHCPv4报文中的Option 82,则接入设备在封装以上RADIUS属性时,不采用Option 82中的任何信息。
# 在接口GigabitEthernet3/1/1上配置设备信任DHCPv4报文中的Option 82。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber trust option82
ip subscriber unclassified-ip domain命令用来配置IPv4未知源IP接入用户使用的认证域。
undo ip subscriber unclassified-ip domain命令用来恢复缺省情况。
ip subscriber unclassified-ip domain domain-name
undo ip subscriber unclassified-ip domain
IPv4未知源IP接入用户的认证域为缺省认证域。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
domain-name:认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
该命令用来配置未知源IP报文触发接入的IPv4 IPoE接入用户在认证时使用的认证域,该域名必须与认证服务器上配置的域名保持一致。
如果指定接口上配置了ip subscriber service-identify,则优先使用ip subscriber service-identify指定的业务识别方式获取对应的认证域。只有在未匹配到ip subscriber service-identify命令指定的认证域时,才使用ip subscriber unclassified-ip domain命令指定的认证域。如果ip subscriber unclassified-ip domain命令也未配置,则使用缺省认证域。
# 配置接口GigabitEthernet3/1/1上的IPv4未知源IP接入用户使用的认证域为ipoe。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ip domain ipoe
· ip subscriber initiator unclassified-ip enable
· ip subscriber service-identify
ip subscriber unclassified-ip max-session命令用来配置接口上允许未知源IPv4报文触发创建的动态IPv4 IPoE会话的最大数。
undo ip subscriber unclassified-ip max-session命令用来恢复缺省情况。
ip subscriber unclassified-ip max-session max-number
undo ip subscriber unclassified-ip max-session
未限制接口上允许未知源IPv4报文创建的动态IPv4 IPoE会话数目。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
max-number:允许未知源IPv4报文触发创建的IPv4 IPoE会话最大数,取值范围为1~32768。
未知源IPv4报文触发创建的IPv4 IPoE会话数目达到最大值后,后续未知源IPv4报文不能触发创建IPv4 IPoE会话。
# 配置接口GigabitEthernet3/1/1上允许未知源IPv4报文触发创建的IPv4 IPoE会话最大数为100。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ip max-session 100
· display ip subscriber session
· ip subscriber initiator unclassified-ip enable
ip subscriber unclassified-ip username命令用来配置IPv4未知源IP接入用户的认证用户名。
undo ip subscriber unclassified-ip username命令用来恢复缺省情况。
undo ip subscriber unclassified-ip username
IPv4未知源IP接入用户采用用户报文的源IPv4地址作为认证用户名。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
nas-port-id:表示使用用户的nas-port-id属性作为用户名。
port:表示以报文接入的端口号作为用户名。
second-vlan:表示以认证报文中的内层VLAN作为用户名。
slot:表示以报文接入的槽位号作为用户名。
source-ip:表示使用用户报文的源IPv4地址作为用户名。
separator separator:IPv4地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如192-168-1-1;若不指定该参数,则用户名为x.x.x.x形式。
source-mac:表示使用用户报文的源MAC地址作为用户名。
separator separator-char:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。
sublot:表示以报文接入的子卡号作为用户名。
sysname:表示以报文接入设备的设备名作为用户名。
vlan:表示以认证报文中的外层VLAN作为用户名。
separator:当前字段的分隔符,字符形式。
本命令用来配置未知源IP报文触发接入的IPv4 IPoE用户在认证时使用的用户名,该用户名必须与认证服务器上配置的用户名保持一致。此类用户进行IPoE认证时使用的密码由ip subscriber password命令配置。
在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。例如:若配置ip subscriber unclassified-ip username include source-ip source-mac,则用户名为源IPv4地址字段和源MAC地址字段内容的拼接,且两个字段之间无分隔符。
建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
# 配置接口GigabitEthernet3/1/1上的未知源IPv4用户使用用户报文的源IPv4地址作为用户名。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ip username include source-ip
· ip subscriber initiator unclassified-ip enable
ip subscriber user-detect命令用来开启静态/动态IPv4 IPoE个人接入用户在线探测功能,并配置其探测方式。
undo ip subscriber user-detect命令用来关闭静态/动态IPv4 IPoE个人接入用户在线探测功能。
ip subscriber user-detect { arp | icmp } retry times interval interval
undo ip subscriber user-detect
静态/动态IPv4 IPoE个人接入用户在线探测功能处于关闭状态。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
arp:表示使用ARP请求报文作为探测报文。
icmp:表示使用ICMP请求报文作为探测报文。
retry times:探测失败后允许重复尝试的最大次数,取值范围为2~5。例如,times值为2表示连续三次失败就认为用户不在线。
interval interval:探测的时间间隔,取值范围为30~1200,单位为秒。
接口上的静态/动态IPoE个人接入用户上线后,设备会定时统计用户流量。若一个探测间隔(interval)内用户流量无变化,则该探测间隔结束后,设备将发送一次探测报文。如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
若设备首次探测失败,将继续做指定次数(times)的重复探测,若全部探测尝试都失败(即一直未收到该用户报文),则认为此用户不在线,停止发送探测报文并删除用户;若设备在探测中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
对于与接口在同一网段内的静态/动态IPv4 IPoE个人接入用户,可使用ARP请求或ICMP请求报文对用户进行探测;对于与接口不在同一网段内的静态/动态IPv4 IPoE个人接入用户,应使用ICMP请求报文对用户进行探测。
接口上不可同时启用两种方式对静态/动态IPv4 IPoE个人接入用户进行探测。
# 开启接口GigabitEthernet3/1/1上使用ARP请求报文对静态/动态IPv4 IPoE个人接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为100秒。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber user-detect arp retry 5 interval 100
ip subscriber vlan命令用于配置IPv4未知源IP报文的内/外层VLAN值与认证域的映射关系。
undo ip subscriber vlan命令用来恢复缺省情况。
ip subscriber vlan vlan-list domain domain-name
undo ip subscriber vlan vlan-list
未指定IPv4未知源IP报文的内/外层VLAN与认证域的映射关系。
三层以太网子接口视图/三层聚合子接口视图
vlan-list:VLAN列表,表示一个或多个VLAN,表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>,其中,vlan-id为指定VLAN的编号,取值范围为1~4093。&<1-10>表示前面的参数最多可以输入10次。
domain domain-name:表示与指定的VLAN范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
本命令用来配置指定VLAN范围内未知源IP接入用户进行认证时使用的认证域,通过指定的认证域进行认证、授权、计费。
# 在子接口GigabitEthernet3/1/1.100上配置内层VLAN ID范围为2到100的IPv4未知源IP接入用户认证使用的认证域为vlandm。
[Sysname] interface gigabitethernet 3/1/1.100
[Sysname-GigabitEthernet3/1/1.100] ip subscriber service-identify second-vlan
[Sysname-GigabitEthernet3/1/1.100] ip subscriber vlan 2 to 100 domain vlandm
· ip subscriber service-identify
reset ip subscriber offline statistics命令用来清除IPv4 IPoE用户下线统计信息。
reset ip subscriber offline statistics [ interface interface-type interface-number ]
interface interface-type interface-number:表示清除指定接口上的IPv4 IPoE用户下线统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将清除所有接口上的IPv4 IPoE用户下线统计信息。
# 清除接口GigabitEthernet3/1/1上的IPv4 IPoE用户下线统计信息。
<Sysname> reset ip subscriber offline statistics interface gigabitethernet 3/1/1
· display ip subscriber offline statistics
reset ip subscriber session命令用来清除动态触发创建的IPv4 IPoE会话,强制用户下线。
interface interface-type interface-number:表示清除指定接口动态触发创建的IPv4 IPoE会话,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将清除所有接口动态触发创建的IPv4 IPoE会话。
domain domain-name:表示清除使用指定ISP域认证的IPv4 IPoE会话,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
ip ip-address:表示清除指定IP地址的IPv4 IPoE会话,ip-address为指定的IPv4地址。
vpn-instance vpn-instance-name:表示清除指定VPN的IPv4 IPoE会话,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPv4 IPoE会话位于公网中。
mac mac-address:表示清除指定源MAC地址的IPv4 IPoE会话,形式为H-H-H。
username name:表示清除指定用户名的IPv4 IPoE会话,name为1~255个字符的字符串,区分大小写。
本命令用来清除动态触发创建的IPv4 IPoE会话信息,并强制用户下线,如果不指定条件,则表示删除所有动态IPv4 IPoE会话。
接口专线用户和静态个人用户不能通过reset ip subscriber session命令强制下线,只能通过相应的undo命令删除配置。
# 清除接口GigabitEthernet3/1/1上动态触发创建的IPv4 IPoE会话,强制用户下线。
<Sysname> reset ip subscriber session interface gigabitethernet 3/1/1
· display ip subscriber session
display ipv6 subscriber interface-leased命令用来显示IPv6接口专线用户信息。
interface interface-type interface-number:显示指定接口上的IPv6接口专线用户信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPv6接口专线用户信息。
slot slot-number:显示指定单板的IPv6接口专线用户信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPv6接口专线用户信息。
# 显示接口GigabitEthernet3/1/1上的IPv6接口专线用户信息。
<Sysname> display ipv6 subscriber interface-leased interface GigabitEthernet 3/1/1
Basic:
Access Interface : GE3/1/1
VPN instance : N/A
Username : a
User ID : 0x48080003
State : Online
Service node : Slot 3 Cpu 0
Domain : radius
Login time : Sep 15 21:17:07 2014
Online time (hh:mm:ss) : 00:16:37
IP pool : ipoe
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : h3c6 (active)
Session group profile : N/A
Inbound CAR : CIR 100000bps PIR 200000bps (active)
Outbound CAR : CIR 300000bps PIR 400000bps (active)
Total traffic statistics:
Uplink packets/bytes : 0/0
DownLink packets/bytes : 0/0
ITA:
Level-1 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-2 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-3 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-4 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-5 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-6 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-7 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-8 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
表1-8 display ipv6 subscriber interface-leased命令显示信息描述表
描述 |
|
Basic |
IPoE会话的基本信息 |
Access interface |
用户所在的接口名称 |
VPN instance |
用户所属的MPLS L3VPN,N/A表示用户属于公网 |
Username |
用户认证时使用的用户名 |
User ID |
全局唯一的用户ID,只有用户在线后才会由系统分配,N/A表示暂未分配 |
State |
用户的认证状态 · Init:初始化 · Offline:正在下线中 · Auth:认证中 · AuthFail:认证失败 · AuthPass :认证通过 · AssignedIP:会话已具备IP地址 · Online:用户在线 · Backup:备份状态 |
Service node |
为用户提供认证服务的节点信息 |
Domain |
认证使用的ISP域名 |
Login time |
用户登录时间 |
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
AAA |
IPoE会话的AAA授权信息 |
IP pool name |
AAA授权的DHCP地址池名称,N/A表示AAA未授权该属性 |
Session idle time |
用户闲置切断时间,单位为秒,N/A表示不进行闲置切断 |
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未下发会话时长 · Unlimited:表示会话时长无限 |
remaining |
AAA授权的IPoE会话剩余时长 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
Remaining traffic |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量 |
Max multicast addresses |
AAA授权的用户能加入的组播组的最大数目 |
Multicast address list |
AAA授权的用户允许加入的组播组地址列表,N/A表示AAA未授权该属性 |
QoS |
IPoE会话的QoS信息 |
User profile |
AAA授权的User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
Session group profile |
AAA授权的Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
Inbound CAR |
AAA授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。授权CAR的状态包括如下: · active:AAA授权入方向CAR成功 · inactive:AAA授权入方向CAR失败 · N/A:AAA未授权入方向CAR |
Outbound CAR |
AAA授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps) 授权CAR的状态包括如下: · active:AAA授权出方向CAR成功 · inactive:AAA授权出方向CAR失败 · N/A:AAA未授权出方向CAR |
Total traffic statistics |
IPoE会话的流量统计信息 |
Uplink packets/bytes |
上行流量报文数/字节数 |
Downlink packets/bytes |
下行流量报文数/字节数 |
ITA |
IPoE会话的ITA信息 |
Level-n uplink packets/bytes |
计费等级为n的上行流量报文数/字节数,n的取值范围为1~8 |
downlink packets/bytes |
计费等级为n的下行流量报文数/字节数,n的取值范围为1~8 |
display ipv6 subscriber interface-leased statistics 命令用来显示已经上线和正在上线的IPv6 IPoE接口专线用户统计信息。
interface interface-type interface-number:显示指定接口上的IPv6 IPoE接口专线用户统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上IPv4 IPoE接口专线用户已经上线和正在上线的统计信息。
slot slot-number:显示指定单板上的IPv6 IPoE接口专线用户统计信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板中在位单板上的IPv6 IPoE接口专线用户统计信息。
# 显示接口GigabitEthernet3/1/1上已经上线和正在上线的IPv6 IPoE接口专线用户统计信息。
<Sysname> display ipv6 subscriber interface-leased statistics interface gigabitethernet 3/1/1
Total : 100
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-9 display ipv6 subscriber interface-leased statistics命令显示信息描述表
成功分配到IP地址的用户数 |
|
display ipv6 subscriber offline statistics 命令用来显示IPv6 IPoE用户下线原因的统计信息。
display ipv6 subscriber offline statistics [ interface interface-type interface-number ]
interface interface-type interface-number:显示指定接口上IPoE用户下线原因的统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上IPoE用户下线原因的统计信息。
# 显示接口GigabitEthernet3/1/1上IPv6 IPoE用户下线原因的统计信息
<Sysname> displsy ipv6 subscriber offline statistics interface gigabitethernet3/1/1
User request : 0
DHCP lease expire : 0
AAA lease expire : 0
Command cut : 80
AAA terminate : 0
Authenticate fail : 0
Authorization fail : 0
Idle timeout : 10
Detect fail : 10
Not enough resource : 0
DHCP request timeout: 0
Interface down : 0
Interface shutdown : 0
VSRP event : 0
DHCP notify : 0
Other : 0
表1-10 display ipv6 subscriber offline statistics命令显示信息描述表
|
|
DHCP租约到期正常下线的用户数 |
|
AAA租约到期正常下线的用户数 |
|
AAA强制下线的用户数 |
|
DHCP请求超时下线的用户数 |
|
因接口状态为down下线的用户数 |
|
主动shutdown接口导致下线的用户数 |
|
VSRP(Virtual Service Redundancy Protocol,虚拟业务冗余协议) 状态变化引发的下线用户数 |
|
DHCP通知下线的用户数 |
|
· reset ipv6 subscriber offline statistics
display ipv6 subscriber session命令用来显示静态配置和动态触发的IPv6个人IPoE会话信息。
interface interface-type interface-number:显示指定接口上的IPv6个人IPoE会话,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPv6个人IPoE会话。
domain domain-name:显示使用指定ISP域认证的IPv6个人IPoE会话,domain-name为1~255个字符的字符串,不区分大小写,不能包括”/”、”\”、”|”、”““、”:”、”*”、”?”、”<“、”>“以及”@”等字符。
ipv6 ipv6-address:显示指定源IP地址的IPv6个人IPoE会话,ipv6-address为指定的IPv6地址。
vpn-instance vpn-instance-name:指定用户所属的VPN,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPv6个人IPoE会话位于公网中。
mac mac-address:显示指定源MAC地址的IPv6个人IPoE会话,形式为H-H-H。
static:显示静态配置的IPv6个人IPoE会话,不指定该参数时将显示动态触发创建的IPv6个人IPoE会话。
username name:显示指定用户名的IPv6个人IPoE会话,其中,name为1~255个字符的字符串,区分大小写。
slot slot-number:显示指定单板的静态配置和动态触发的IPv6个人IPoE会话,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPv6个人IPoE会话。
verbose:显示IPv6个人IPoE会话的详细信息。如果不指定该参数,则只显示IPoE会话的简要信息。
# 显示用户IP为2000::1,所属VPN为vpn1的IPv6 IPoE会话简要信息。
<Sysname> display ipv6 subscriber session ipv6 2000::1 vpn-instance vpn1
Type: D-Dhcp S-Static U-Unclassified-ip N-Ndrs
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/1 2000::1 0010-9400-0002 U Online
# 显示所有静态配置和动态触发的IPv6个人IPoE会话的详细信息。
<Sysname> display ipv6 subscriber session verbose
Basic:
Username : 2000::1
Domain : radius
VPN instance : vpn1
IP address : 2000::1
MAC address : 0010-9400-0002
VLAN : N/A
Secondary VLAN : N/A
Access interface : GE3/1/1
User ID : 0x48080002
VPI/VCI(for ATM) : 0/0
DHCP lease : N/A
DHCP remain lease : N/A
Login time : Sep 15 19:20:13 2017
Online time (hh:mm:ss) : 00:16:37
Service node : Slot 3 Cpu 0
Type : Unclassified-ip
State : Online
AAA:
IP pool : N/A
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : h3c6 (active)
Session group profile : N/A
Inbound CAR : CIR 100000bps PIR 200000bps (active)
Outbound CAR : CIR 300000bps PIR 400000bps (active)
Total traffic statistics:
Uplink packets/bytes : 0/0
DownLink packets/bytes : 0/0
ITA:
Level-1 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-2 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-3 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-4 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-5 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-6 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-7 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-8 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
图1-1 display ipv6 subscriber session命令显示信息描述表
字段 |
描述 |
Basic |
IPoE会话的基本信息 |
Username |
用户认证时使用的用户名 |
Domain |
用户认证时使用的ISP域名 |
VPN instance |
用户所属的MPLS L3VPN,N/A表示用户属于公网 |
IP Address |
用户的IP地址 |
MAC Address |
用户的MAC地址 |
Service-VLAN/Customer-VLAN |
服务提供商VLAN/用户VLAN(“-”表示没有VLAN信息) |
Access interface |
用户接入的接口名称 |
User ID |
全局唯一的用户ID,只有用户在线后才会由系统分配,N/A表示暂未分配 |
VPI/VCI(for ATM) |
ATM的PVC信息 |
DHCP lease |
DHCP服务器分配给用户的IP地址租约时间,单位为秒 · N/A:表示无DHCP租约 · Unlimited:表示租约无限长 |
DHCP remain lease |
DHCP服务器分配给用户的IP地址租约剩余时长 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
Login time |
用户登录时间 |
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
Service node |
为用户提供认证服务的节点信息 |
Type |
IPoE会话的创建类型 · DHCP:DHCP报文触发创建 · Unclassified-ip:未知源IP报文触发创建 · Static:静态配置 · NDRS:ND RS报文触发创建 |
State |
用户的认证状态 · Init:初始化 · Offline:正在下线中 · Auth:认证中 · AuthFail:认证失败 · AuthPass :认证通过 · AssignedIP:会话已具备IP地址 · Online:用户在线 · Backup:备份状态 |
AAA |
IPoE会话的AAA授权信息 |
IP pool |
AAA授权的DHCP地址池名称,N/A表示AAA未授权该属性 |
Session idle time |
用户闲置切断时间,单位为秒,N/A表示不进行闲置切断 |
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未下发会话时长 · Unlimited:表示会话时长无限 |
remaining |
AAA授权的IPoE会话剩余时长 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
Remaining traffic |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量 |
Max multicast addresses |
AAA授权的用户能加入的组播组的最大数目 |
Multicast address list |
AAA授权的用户允许加入的组播组地址列表,N/A表示AAA未授权该属性 |
QoS |
IPoE会话的QoS信息 |
User profile |
AAA授权的User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
Session group profile |
AAA授权的Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
Inbound CAR |
AAA授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。授权CAR的状态包括如下: · active:AAA授权入方向CAR成功 · inactive:AAA授权入方向CAR失败 · N/A:AAA未授权入方向CAR |
Outbound CAR |
AAA授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps) 授权CAR的状态包括如下: · active:AAA授权出方向CAR成功 · inactive:AAA授权出方向CAR失败 · N/A:AAA未授权出方向CAR |
Total traffic statistics: |
IPoE会话的流量统计信息 |
Uplink packets/bytes |
上行流量报文数/字节数 |
Downlink packets/bytes |
下行流量报文数/字节数 |
ITA |
IPoE会话的ITA信息 |
Level-n uplink packets/bytes |
计费等级为n的上行流量报文数/字节数,n的取值范围为1~8 |
downlink packets/bytes |
计费等级为n的下行流量报文数/字节数,n的取值范围为1~8 |
display ipv6 subscriber session statistics 命令用来显示已经上线和正在上线的IPv6 IPoE个人用户统计信息。
session-type:用户上线类型。不指定该参数,则表示显示所有类型的IPv6 IPoE个人用户统计信息。
dhcp:表示DHCP用户。
ndrs:表示RS报文触发认证的用户。
static:表示静态个人用户。
unclassified-ip:表示未知源IP用户。
interface interface-type interface-number:显示指定接口上的IPv6 IPoE个人用户统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上IPv4 IPoE个人用户已经上线和正在上线的统计信息。
slot slot-number:显示指定单板上的IPv6 IPoE个人用户统计信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPv6 IPoE个人用户统计信息。
# 显示接口GigabitEthernet3/1/1上已经上线和正在上线的静态和动态IPv6 IPoE个人用户统计信息。
Total : 100
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-11 display ipv6 subscriber session statistics命令显示信息描述表
成功分配到IP地址的用户数 |
|
· reset ipv6 subscriber session
display ipv6 subscriber subnet-leased命令用来显示IPv6子网专线用户信息。
interface interface-type interface-number:显示指定接口上的IPv6子网专线用户信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPv6子网专线用户信息。
ipv6 ipv6-address:显示指定IPv6网段内的IPv6子网专线用户信息。
prefix-length:IPv6子网前缀长度,取值范围为1~127。
slot slot-number:显示指定单板的IPv6子网专线用户信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上在位单板的IPv6子网专线用户信息。
# 显示接口GigabitEthernet3/1/1上的IPv6子网专线用户信息。
<Sysname> display ipv6 subscriber subnet-leased interface GigabitEthernet 3/1/1
Basic:
Access Interface : GE3/1/1
VPN instance : N/A
Username : a
Network : 2000::/64
User ID : 0x48080004
State : Online
Service node : Slot 3 Cpu 0
Domain : radius
Login time : Sep 15 21:23:07 2014
Online time (hh:mm:ss) : 00:16:37
AAA:
IP pool : ipoe
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : h3c6 (active)
Session group profile : N/A
Inbound CAR : CIR 100000bps PIR 200000bps (active)
Outbound CAR : CIR 300000bps PIR 400000bps (active)
Total traffic statistics:
Uplink packets/bytes : 0/0
DownLink packets/bytes : 0/0
ITA:
Level-1 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-2 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-3 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-4 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-5 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-6 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-7 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
Level-8 uplink packets/bytes: 0/0
downLink packets/bytes: 0/0
表1-12 display ipv6 subscriber subnet-leased命令显示信息描述表
字段 |
描述 |
Basic |
IPoE会话的基本信息 |
Access interface |
用户所在的接口名称 |
VPN instance |
用户所属的MPLS L3VPN,N/A表示用户属于公网 |
Username |
用户认证时使用的用户名 |
User ID |
全局唯一的用户ID,只有用户在线后才会由系统分配,N/A表示暂未分配 |
State |
用户的认证状态 · Init:初始化 · Offline:正在下线中 · Auth:认证中 · AuthFail:认证失败 · AuthPass :认证通过 · AssignedIP:会话已具备IP地址 · Online:用户在线 · Backup:备份状态 |
Service node |
为用户提供认证服务的节点信息 |
Domain |
认证使用的ISP域名 |
Login time |
用户登录时间 |
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
AAA |
IPoE会话的AAA授权信息 |
IP pool |
AAA授权的DHCP地址池名称,N/A表示AAA未授权该属性 |
Session idle time |
用户闲置切断时间,单位为秒,N/A表示不进行闲置切断 |
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未下发会话时长 · Unlimited:表示会话时长无限 |
remaining |
AAA授权的IPoE会话剩余时长 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
Remaining traffic |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量 |
Max multicast addresses |
AAA授权的用户能加入的组播组的最大数目 |
Multicast address list |
AAA授权的用户允许加入的组播组地址列表,N/A表示AAA未授权该属性 |
QoS |
IPoE会话的QoS信息 |
User profile |
AAA授权的User Profile名称。若未授权User Profile,则显示为N/A。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
Session group profile |
AAA授权的Session Group Profile名称。若未授权Session Group Profile,则显示为N/A。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
Inbound CAR |
AAA授权的入方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps)。授权CAR的状态包括如下: · active:AAA授权入方向CAR成功 · inactive:AAA授权入方向CAR失败 · N/A:AAA未授权入方向CAR |
Outbound CAR |
AAA授权的出方向CAR(CIR:平均速率,单位为bps;PIR:峰值速率,单位为bps) 授权CAR的状态包括如下: · active:AAA授权出方向CAR成功 · inactive:AAA授权出方向CAR失败 · N/A:AAA未授权出方向CAR |
Total traffic statistics |
IPoE会话的流量统计信息 |
Uplink packets/bytes |
上行流量报文数/字节数 |
Downlink packets/bytes |
下行流量报文数/字节数 |
ITA |
IPoE会话的ITA信息 |
Level-n uplink packets/bytes |
计费等级为n的上行流量报文数/字节数,n的取值范围为1~8 |
downlink packets/bytes |
计费等级为n的下行流量报文数/字节数,n的取值范围为1~8 |
· ipv6 subscriber enable
display ipv6 subscriber subnet-leased statistics命令用来显示已经上线和正在上线的IPv6 IPoE子网专线用户统计信息。
interface interface-type interface-number:显示指定接口上的IPv6 IPoE子网专线用户统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上IPv4 IPoE子网专线用户已经上线和正在上线的统计信息。
slot slot-number:显示指定单板上的IPv6 IPoE子网专线用户统计信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板中在位单板上的IPv6 IPoE子网专线用户统计信息。
# 显示接口GigabitEthernet3/1/1上已经上线和正在上线的IPv6 IPoE子网专线用户统计信息。
<Sysname> display ipv6 subscriber subnet-leased statistics interface gigabitethernet 3/1/1
Total : 100
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-13 display ipv6 subscriber subnet-leased statistics命令显示信息描述表
成功分配到IP地址的用户数 |
|
ipv6 subscriber 8021p命令用于配置IPv6未知源IP报文的内/外层VLAN tag中的802.1p值与认证域的映射关系。
undo ipv6 subscriber 8021p命令用来恢复缺省情况。
ipv6 subscriber 8021p 8021p-list domain domain-name
undo ipv6 subscriber 8021p 8021p-list
未指定IPv6未知源IP报文的内/外层VLAN tag中的802.1p值与认证域的映射关系。
三层以太网子接口视图/三层聚合子接口视图
8021p-list: 802.1p值列表,表示一个或多个802.1p值,表示方式为8021p-list = { 8021p-value [ to 8021p-value ] }&<1-8>,其中,8021p-value为指定8021p的编号,取值范围为0~7。&<1-8>表示前面的参数最多可以输入8次。
domain domain-name:表示与指定的8021p范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
本命令用来配置指定802.1p值范围内的IPv6未知源IP接入用户认证时使用的认证域,通过指定的认证域进行认证授权。
# 在子接口Gigabitethernet 3/1/1.100上配置内层VLAN TAG中802.1p值范围为2到5的IPv6未知源IP接入用户认证使用的认证域为1pdm。
[Sysname] interface gigabitethernet 3/1/1.100
[Sysname-GigabitEthernet3/1/1.100] ipv6 subscriber service-identify 8021p second-vlan
[Sysname-GigabitEthernet3/1/1.100] ipv6 subscriber 8021p 2 to 5 domain 1pdm
· ipv6 subscriber service-identify
ipv6 subscriber access-out命令用来配置BRAS设备准出认证功能。
undo ipv6 subscriber access-out用来恢复缺省情况。
【命令】
ipv6 subscriber access-out
undo ipv6 subscriber access-out
【缺省情况】
接口上的准出认证功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图/三层聚合口视图/三层聚合子接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
BRAS设备准入准出认证组网中,准出认证设备的接口配置了该命令,将对用户进行准出认证,认证通过后,则允许用户接入,否则不允许用户接入。
【举例】
# 在接口GigabitEthernet3/1/1上配置用户准出认证功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber access-out
ipv6 subscriber dhcp domain命令用来配置IPv6 DHCP个人接入用户使用的认证域。
undo ipv6 subscriber dhcp domain命令用来恢复缺省情况。
ipv6 subscriber dhcp domain domain-name
undo ipv6 subscriber dhcp domain
IPv6 DHCP个人接入用户的认证域为缺省认证域。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
本命令用来配置DHCPv6报文触发接入的IPv6 IPoE接入用户在认证时使用的域名,该域名必须与认证服务器上配置的域名保持一致。
配置ipv6 subscriber dhcp domain命令:
· 如果用户报文中未携带Option 16,或者Option 16内容不符合域名的格式要求,则IPoE接入用户使用本命令指定的缺省域名进行认证;
· 如果DHCPv6报文中携带Option16,Option16符合域名的格式要求,并且接口配置了ip subscriber trust option16命令,则使用Option16作为指定的认证域进行认证。
如果不配置ipv6 subscriber dhcp domain命令,且DHCPv6报文中未携带Option 16,则使用缺省认证域认证。
当用户需要将Option16字段中的信息按字符串形式解析时,请确保Option16字段内容中不出现00和不可见字符,否则在生成域名时将产生异常。
# 配置接口GigabitEthernet3/1/1上IPv6 DHCP个人接入用户使用的认证域为ipoe。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber dhcp domain ipoe
· ipv6 subscriber initiator dhcp enable
· ipv6 subscriber dhcp username
ipv6 subscriber dhcp max-session命令用来配置接口上允许DHCPv6报文触发创建的IPv6 IPoE会话的最大数。
undo ipv6 subscriber dhcp max-session命令用来恢复缺省情况。
ipv6 subscriber dhcp max-session max-number
undo ipv6 subscriber dhcp max-session
未限制接口上允许DHCPv6报文触发创建的IPv6 IPoE会话数目。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
max-number :允许DHCPv6触发创建的IPv6 IPoE会话最大数,取值范围为1~32768。
DHCPv6报文触发创建的IPv6 IPoE会话数目达到最大值后,后续DHCPv6报文不能触发创建IPv6 IPoE会话,未知源IPv6报文等触发创建IPv6 IPoE会话不会受此最大值限制。
# 配置接口GigabitEthernet3/1/1上允许DHCPv6报文触发创建的IPv6 IPoE会话最大数为100。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber dhcp max-session 100
· display ipv6 subscriber session
· ipv6 subscriber initiator dhcp enable
· reset ipv6 subscriber session
ipv6 subscriber dhcp username命令用于配置IPv6 DHCP个人接入用户的认证用户名。
undo ipv6 subscriber dhcp username命令用来恢复缺省情况。
undo ipv6 subscriber dhcp username
IPv6 DHCP个人接入用户使用报文源MAC地址作为认证用户名。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
circuit-id:表示以IPv6 DHCP报文中的Interface Identifier Option(Option18)字段中的信息为用户名。
client-id:表示以IPv6 DHCP报文中的Client Identifier Option(Option1)字段中的信息作为用户名。
nas-port-id:表示以用户认证报文中的nas-port-id属性作为用户名。
port:表示以报文接入的端口号作为用户名。
remote-id:表示以IPv6 DHCP报文中的Remote Identifier Option(Option37)字段中的信息作为用户名。
second-vlan:表示以认证报文中的内层VLAN作为用户名。
slot:表示以报文接入的槽位号作为用户名。
source-mac:表示以用户报文的源MAC地址作为用户名。
separator separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。
sublot:表示以报文接入的子卡号作为用户名。
sysname:表示以报文接入设备的设备名作为用户名。
vendor-class:表示以IPv6 DHCP报文中的Vendor Class Option(Option16)字段中的信息作为用户名。
vendor-specific:表示以IPv6 DHCP报文中的Vendor Specific Option(Option17)字段中的信息作为用户名。
vlan:表示以认证报文中的外层VLAN作为用户名。
separator:当前字段的分隔符,字符形式。
该命令用来配置IPv6 DHCP接入用户在认证时使用的用户名,该用户名必须与认证服务器上配置的用户名保持一致。此类用户进行IPoE认证时使用的密码由ipv6 subscriber password命令配置。
在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。例如:若配置ipv6 subscriber dhcp username include vendor-class vendor-specific,则用户名为Option16字段内容和Option17字段内容的拼接,且两个字段之间无分隔符。
当用户需要将Option字段中的信息按字符串形式解析时,请确保Option字段内容中不出现00和不可见字符,否则在生成用户名时将产生异常。
建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
# 配置接口GigabitEthernet3/1/1上IPv6 DHCP个人接入用户使用Client Identifier Option字段中的信息作为用户名。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber dhcp username include client-id
· ipv6 subscriber initiator dhcp enable
ipv6 subscriber dscp命令用来配置IPv6未知源IP报文的DSCP值与用户认证域的映射关系。
undo ipv6 subscriber dscp命令用来恢复缺省情况。
ipv6 subscriber dscp dscp-value-list domain domain-name
undo ipv6 subscriber dscp dscp-value-list
未指定IPv6未知源IP报文的DSCP值与认证域的映射关系。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
dscp-value-list:DSCP值列表,表示一个或多个DSCP的值,表示方式为dscp-value-list ={ dscp-value [ to dscp-value ] }&<1-8>。其中,dscp-value为指定的DSCP的值,取值范围为0~63。&<1-8>表示前面的参数最多可以输入8次。
domain domain-name:表示与指定的DSCP范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
本命令用来配置指定DSCP范围内的IPv6未知源IP报文触发的用户认证时使用的认证域,通过指定的认证域进行认证授权。
# 在接口GigabitEthernet3/1/1上配置DSCP值范围为1到4的IPv6未知源IP接入用户认证使用的认证域为dscpdm。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber service-identify dscp
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber dscp 1 to 4 domain dscpdm
· ipv6 subscriber service-identify
ipv6 subscriber enable命令用来在接口上使能IPv6 IPoE功能并指定用户的接入模式。
undo ipv6 subscriber enable命令用来恢复缺省情况。
ipv6 subscriber { l2-connected | routed } enable
undo ipv6 subscriber { l2-connected | routed } enable
接口上的IPv6 IPoE功能处于关闭状态。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
l2-connected:指定二层接入模式,表示此接口上用户通过二层网络接入。
routed:指定三层接入模式,表示此接口上用户通过三层网络接入。
只有在接口上使能了IPv6 IPoE功能后,其它的IPv6 IPoE相关配置才能生效。
不允许直接修改IPoE的接入模式,必须关闭IPoE功能之后,重新使能IPoE功能时指定新的接入模式。
# 在接口GigabitEthernet3/1/1上使能二层接入模式的IPv6 IPoE功能。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber l2-connected enable
ipv6 subscriber initiator dhcp enable命令用来在接口上使能DHCPv6报文触发生成IPv6 IPoE会话的功能。
undo ipv6 subscriber initiator dhcp enable命令用来关闭接口上DHCPv6报文触发生成IPv6 IPoE会话的功能。
ipv6 subscriber initiator dhcp enable
undo ipv6 subscriber initiator dhcp enable
DHCPv6报文不能触发生成IPv6 IPoE会话。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
接口上使能该功能后,收到的首个DHCP Solicit报文或直接申请地址的DHCP Request报文会触发生成IPv6 IPoE会话;关闭该功能后,该接口上收到的DHCPv6报文不能触发生成IPv6 IPoE会话,已有的由DHCPv6报文触发生成的IPv6 IPoE会话不会被删除。
接口上可同时配置DHCPv6报文、IPv6 ND RS和未知源IPv6报文触发生成IPv6 IPoE会话的功能。
# 在接口GigabitEthernet3/1/1上使能DHCPv6报文触发生成IPv6 IPoE会话的功能。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber initiator dhcp enable
· display ipv6 subscriber session
· ipv6 subscriber initiator ndrs enable
· ipv6 subscriber initiator unclassified-ip enable
· reset ipv6 subscriber session
ipv6 subscriber initiator ndrs enable命令用来在接口上使能IPV6 ND RS报文触发生成IPv6 IPoE会话的功能。
undo ipv6 subscriber initiator ndrs enable命令用来关闭接口上IPV6 ND RS报文触发生成IPv6 IPoE会话的功能。
ipv6 subscriber initiator ndrs enable
undo ipv6 subscriber initiator ndrs enable
RS报文不能触发生成IPv6 IPoE会话。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
接口上使能该功能后,收到的首个IPV6 ND RS报文会触发生成IPv6 IPoE会话;关闭该功能后,该接口上收到的IPv6 ND RS报文不能触发生成IPv6 IPoE会话,已有的由IPv6 ND RS报文触发生成的IPv6 IPoE会话不会被删除。
接口上可同时配置DHCPv6报文、IPv6 ND RS和未知源IPv6报文触发生成IPv6 IPoE会话的功能。
# 在接口GigabitEthernet3/1/1上使能IPv6 ND RS报文触发生成IPv6 IPoE会话的功能。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber initiator ndrs enable
· display ipv6 subscriber session
· ipv6 subscriber initiator dhcp enable
· ipv6 subscriber initiator unclassified-ip enable
· reset ipv6 subscriber session
ipv6 subscriber initiator unclassified-ip enable命令用来在接口上使能未知源IPv6报文触发生成IPv6 IPoE会话的功能。
undo ipv6 subscriber initiator unclassified-ip enable命令用来关闭接口上的未知源IPv6报文触发生成IPv6 IPoE会话的功能。
ipv6 subscriber initiator unclassified-ip enable
undo ipv6 subscriber initiator unclassified-ip enable
未知源IPv6报文不能触发生成IPv6 IPoE会话。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
接口使能该功能后,收到的未知源IPv6报文会触发生成IPv6 IPoE会话;关闭该功能后,该接口上收到的未知源IPv6报文不能触发生成IPv6 IPoE会话,已有的由未知源IPv6报文触发生成的IPv6 IPoE会话不会被删除。
接口上可同时配置DHCPv6报文、IPv6 ND RS和未知源IPv6报文触发生成IPv6 IPoE会话的功能。
# 在接口GigabitEthernet3/1/1上使能未知源IPv6报文触发生成IPv6 IPoE会话的功能。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber initiator unclassified-ip enable
· display ipv6 subscriber session
· ipv6 subscriber initiator dhcp enable
· ipv6 subscriber initiator ndrs enable
· reset ipv6 subscriber session
ipv6 subscriber interface-leased命令用来配置IPv6接口专线用户。
undo ipv6 subscriber interface-leased命令用来删除已配置的IPv6接口专线用户。
undo ipv6 subscriber interface-leased
未配置IPv6接口专线用户。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
username name:指定用户认证时使用的用户名,其中name为1~255个字符的字符串,区分大小写。
password:指定用户认证时使用的密码。
ciphertext:表示以密文方式配置用户认证使用的密码。
plaintext:表示以明文方式配置用户认证使用的密码。
password:设置的明文密码或密文密码,区分大小写。密文密码为1~117个字符的字符串;明文密码为1~63个字符的字符串。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符,如果未配置该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“安全配置指导”中的 “AAA”。
一个IPv6 IPoE接口专线用户代表了该接口接入的所有IPv6用户,接口上接入的所有IPv6用户统一认证、授权和计费。该IPoE专线用户认证成功后,接口上接入的所有IPv6用户流量均允许通过,且共享一个IPv6 IPoE会话,并基于接口进行授权和计费。
每个接口只能配置一个IPv6 IPoE接口专线用户。
同一接口下,IPoE个人接入用户、IPoE接口专线用户和IPoE子网专线用户的配置互斥,只能选择其中的一种配置。
# 在接口GigabitEthernet3/1/1上配置一个IPv6 IPoE接口专线用户:认证使用的用户名为intuser,认证使用的密码为明文pw123。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber interface-leased username intuser password plaintext pw123
· display ipv6 subscriber interface-leased
ipv6 subscriber nas-port-id format命令用于为IPv6 IPoE接入用户配置nas-port-id属性封装格式,即在IPv6 IPoE接入用户进行认证时,接入设备向RADIUS服务器发送的nas-port-id属性的封装格式。
undo ipv6 subscriber nas-port-id format命令用来恢复缺省情况。
ipv6 subscriber nas-port-id format cn-telecom { version1.0 | version2.0 }
undo ipv6 subscriber nas-port-id format
按version 1.0的格式要求填充发往RADIUS服务器的nas-port-id属性内容。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
version1.0:填充格式为version 1.0,表示发送给RADIUS服务器的nas-port-id属性以电信163大后台要求的格式填充。
version2.0:填充格式为version 2.0,表示发送给RADIUS服务器的nas-port-id属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。
(1) version 1.0封装格式:
slot=slot_num;subslot=subslot_num;port=port_num;vlanid=0;
· 三层以太网子接口和三层聚合子接口(携带单层VLAN Tag接入)
slot=slot_num;subslot=subslot_num;port=port_num;vlanid=vlan_id;
· 三层以太网子接口和三层聚合子接口(携带双层VLAN Tag接入)
slot=slot_num;subslot=subslot_num;port=port_num;vlanid=inner-vlan;vlanid2=outer-vlan;
(2) version 2.0封装格式:
其中,{eth|trunk|atm}表示BRAS接入接口的类型,包括以太接口、trunk类型的以太网接口或ATM接口;NAS_slot表示BRAS接入接口的槽位号;NAS_subslot表示BRAS接入接口的子槽位号;NAS_port表示BRAS接入接口的端口号;svlan表示接入用户的SVLAN ID;cvlan表示接入用户的CVLAN ID;AccessNodeIdentifier表示接入节点的标识;ANI_rack表示接入节点机架号;ANI_frame表示接入节点机框号;ANI_slot表示接入节点槽位号;ANI_subslot表示接入节点子槽位号;ANI_port表示接入节点端口号。
# 在接口GigabitEthernet3/1/1上配置设备使用RADIUS的nas-port-id属性封装格式为version 2.0。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber nas-port-id format cn-telecom version2.0
· ipv6 subscriber initiator dhcp enable
· ipv6 subscriber nas-port-id nasinfo-insert
ipv6 subscriber nas-port-id nasinfo-insert命令用于配置在提取出的DHCPv6报文的Option 18 Circuit-ID子选项内容中插入NAS信息,并使用插入NAS信息后的内容作为nas-port-id属性。
undo ipv6 subscriber nas-port-id nasinfo-insert命令用来恢复缺省情况。
ipv6 subscriber nas-port-id nasinfo-insert
undo ipv6 subscriber nas-port-id nasinfo-insert
不使用Option18选项中的内容作为nas-port-id属性字符串。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
在DHCP中继组网环境下,接入设备能捕获用户的DHCPv6报文,并从报文中提取出DHCPv6 Option18选项信息。在配置了本命令且信任DHCP Option 18的情况下,接入设备处理如下:
· 如果收到的DHCPv6报文带有DHCP Option18选项,则从收到的DHCPv6报文中解析DHCP Option18选项,并按YDT 2275-2011宽带接入用户线路(端口)标识要求在原有Option18内容里插入NAS信息(该信息标识了用户在本设备上的接入位置信息),然后将其作为RADIUS的nas-port-id属性内容。
· 如果收到的DHCPv6报文不带Option18选项,则按version 2.0格式要求封装,保留该子选项中的原有的NAS信息字段(NAS_slot/NAS_subslot/NAS_port:svlan.cvlan),并将AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分修改为0/0/0/0/0/0。
本功能对原DHCPv6报文中Option18选项不产生任何影响,且只在nas-port-id的封装格式为version 2.0时生效。
# 在接口GigabitEthernet3/1/1上配置设备使用DHCPv6客户端上报的Option18信息,并在其中插入NAS信息,然后将其封装为RADIUS的nas-port-id属性。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber nas-port-id format cn-telecom version2.0
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber trust option18
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber nas-port-id nasinfo-insert
· ipv6 subscriber initiator dhcp enable
· ipv6 subscriber nas-port-id format
ipv6 subscriber nas-port-type命令用来配置接口的IPv6 IPoE接入端口类型。
undo ipv6 subscriber nas-port-type命令用来恢复缺省情况。
undo ipv6 subscriber nas-port-type
IPv6 IPoE接入端口类型为Ethernet类型。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
802.11:符合Wireless-IEEE 802.11标准的接口类型,对应的编码值为19。
adsl-cap:ADSL-CAP(Asymmetric DSL,Carrierless Amplitude Phase Modulation)接口类型,对应的编码值为12。
adsl-dmt:ADSL-DMT(Asymmetric DSL,Discrete Multi-Tone)接口类型,对应的编码值为13。
async:Async接口类型,对应的编码值为0。
cable:Cable接口类型,对应的编码值为17。
ethernet:Ethernet接口类型,对应的编码值为15。
g.3-fax:G.3 Fax接口类型,对应的编码值为10。
hdlc:HDLC接口类型,对应的编码值为7。
idsl:IDSL(ISDN Digital Subscriber Line)接口类型,对应的编码值为14。
isdn-async-v110:ISDN Async V.110接口类型,对应的编码值为4。
isdn-async-v120:ISDN Async V.120接口类型,对应的编码值为3。
isdn-sync:ISDN Sync口类型,对应的编码值为2。
piafs:符合PIAFS(PHS(Personal Handyphone System)Internet Access Forum Standard)标准的接口类型,对应的编码值为6。
sdsl:SDSL(Symmetric DSL)接口类型,对应的编码值为11。
sync:Sync接口类型,对应的编码值为1。
virtual:Virtual接口类型,对应的编码值为5。
wireless-other:Wireless-other接口类型,对应的编码值为18。
x.25:X.25接口类型,对应的编码值为8。
x.75:X.75接口类型,对应的编码值为9。
xdsl:XDSL(Digital Subscriber Line of unknown type)接口类型,对应的编码值为16。
此处配置的端口接入类型值将作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,用于向RADIUS服务器正确传递用户的接入端口信息。
# 配置接口GigabitEthernet3/1/1的IPv6 IPOE接入端口类型为SDSL。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber nas-port-type sdsl
ipv6 subscriber ndrs domain命令用来配置IPv6 ND RS个人接入用户使用的认证域。
undo ipv6 subscriber ndrs domain命令用来恢复缺省情况。
ipv6 subscriber ndrs domain domain-name
undo ipv6 subscriber ndrs domain
IPv6 ND RS个人接入用户使用缺省认证域作为认证域。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
本命令用来配置IPv6 ND RS报文触发接入的IPv6 IPoE接入用户在认证时使用的域名,该域名必须与认证服务器上配置的域名保持一致。
配置ipv6 subscriber ndrs domain命令后,对于IPv6 ND RS报文触发认证的IPoE接入用户使用本命令指定的域名进行认证,否则使用缺省认证域认证。
# 配置接口GigabitEthernet3/1/1上IPv6 ND RS接入用户使用的认证域为ipoe。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber ndrs domain ipoe
ipv6 subscriber initiator ndrs enable
ipv6 subscriber ndrs max-session命令用来配置接口上允许RS报文触发创建的IPv6 IPoE会话的最大数。
undo ipv6 subscriber ndrs max-session命令用来恢复缺省情况。
ipv6 subscriber ndrs max-session max-number
undo ipv6 subscriber ndrs max-session
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
max-number:允许RS触发创建的IPv6 IPoE会话最大数,取值范围为1~32768。
RS报文触发创建的IPv6 IPoE会话数目达到最大值后,后续RS报文不能触发创建IPv6 IPoE会话,DHCPv6报文、未知源IPv6报文等触发创建IPv6 IPoE会话不会受此最大值限制。
# 配置接口GigabitEthernet3/1/1上允许RS报文触发创建的IPv6 IPoE会话最大数为100。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber ndrs max-session 100
display ipv6 subscriber session
ipv6 subscriber initiator ndrs enable
ipv6 subscriber ndrs username命令用来配置IPv6 ND RS接入用户的认证用户名。
undo ipv6 subscriber ndrs username命令用来恢复缺省情况。
undo ipv6 subscriber ndrs username
IPv6 ND RS接入用户采用用户报文的源MAC地址作为认证用户名。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
nas-port-id:表示使用用户的nas-port-id属性作为用户名。
port:表示以报文接入的端口号作为用户名。
second-vlan:表示以认证报文中的内层VLAN作为用户名。
slot:表示以报文接入的槽位号作为用户名。
source-mac:表示使用用户报文的源MAC地址作为用户名。
separator separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。
sublot:表示以报文接入的子卡号作为用户名。
sysname:表示以报文接入设备的设备名作为用户名。
vlan:表示以认证报文中的外层VLAN作为用户名。
separator:当前字段的分隔符,字符形式。
本命令用来配置IPv6 RS报文触发接入的IPv6 IPoE接入用户在认证时使用的用户名,该用户名必须与认证服务器上配置的用户名保持一致。此类用户进行IPoE认证时使用的密码由ipv6 subscriber password命令配置。
在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。
建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
# 配置接口GigabitEthernet3/1/1上的IPv6 ND RS接入用户使用用户报文的源MAC地址作为用户名。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber ndrs username include source-mac
ipv6 subscriber initiator ndrs enable
ipv6 subscriber password命令用来配置动态IPv6 IPoE个人接入用户的认证密码。
undo ipv6 subscriber password命令用来恢复缺省情况。
ipv6 subscriber password { ciphertext | plaintext } password
动态IPv6 IPoE个人接入用户的认证密码为字符串vlan。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
ciphertext:表示以密文方式配置用户的认证密码。
plaintext:表示以明文方式配置用户的认证密码。
password:设置的明文密码或密文密码,区分大小写。密文密码为1~117个字符的字符串;明文密码为1~63个字符的字符串。
本命令用来配置动态IPv6 IPoE个人接入用户认证时使用的密码,动态IPv6 IPoE个人接入用户是指通过DHCPv6报文或未知源IPv6报文触发建立IPoE会话并进行认证的IPoE个人接入用户。
# 配置接口GigabitEthernet3/1/1上动态IPoE个人接入用户认证时使用的密码为明文的123。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber password plaintext 123
· ipv6 subscriber dhcp username
· ipv6 subscriber unclassified-ip username
ipv6 subscriber service-identify命令用来配置IPv6未知源IP接入用户的业务识别方式。
undo ipv6 subscriber service-identify命令用来恢复缺省情况。
三层以太网接口视图/三层聚合口视图
ipv6 subscriber service-identify dscp
undo ip subscriber service-identify
三层以太网子接口视图/三层聚合子接口视图
ipv6 subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan }
undo ip subscriber service-identify
未指定IPv6未知源IP接入用户的业务识别方式。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
8021p second-vlan:表示QinQ模式下基于内层VLAN Tag中的802.1p值识别业务。
8021p vlan:表示基于VLAN Tag中的802.1p值识别业务,QinQ模式下基于外层VLAN Tag中的802.1p值识别业务。
dscp:表示基于DSCP值识别业务。
second-vlan:QinQ模式下基于内层VLAN ID识别业务。
vlan:表示基于VLAN ID识别业务,QinQ模式下基于外层VLAN ID识别业务。
对于未知源IPv6用户认证时使用的认证域由报文中携带的业务信息来决定。不同的业务特征可以对应不同的认证域,每一个接口可以指定仅识别某种类型业务的报文。例如,接口上若指定了基于DSCP值识别业务,且通过ipv6 subscriber dscp 1 domain aabcc命令指定了DSCP值1与认证域aabbcc的映射关系,则IPv6报文DSCP值为1的用户认证时将会使用认证域aabbcc。
需要注意的是:
· 本命令中的8021p vlan、8021p second-vlan、vlan和second-vlan参数仅子接口支持,非子接口不支持。
# 配置接口GigabitEthernet3/1/1上的IPv6未知源IP接入用户认证使用基于DSCP的业务识别方式
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber service-identify dscp
· ipv6 subscriber 8021p
· ipv6 subscriber dscp
· ipv6 subscriber vlan
ipv6 subscriber session static命令用来配置静态IPv6 IPoE会话。
undo ipv6 subscriber session static命令用来删除指定的静态IPv6 IPoE会话。
undo ipv6 subscriber session static ipv6 ipv6-address [ vlan vlan-id [ second-vlan vlan-id ] ]
未配置静态IPv6 IPoE会话。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
ipv6 ipv6-address:表示用户的IP地址。
vlan vlan-id:表示用户报文的外层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4093。
second-vlan vlan-id:表示用户报文的内层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4093。
mac mac-address:表示用户的MAC地址,形式为H-H-H。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。如果未指定该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“安全配置指导”中的 “AAA”。
管理员手工输入静态IPoE会话所需的信息(用户IP地址、MAC地址、用户报文的内/外层VLAN)后,接入设备根据这些信息生成对应的静态IPoE会话。接口上有与静态IPoE会话相匹配的未知源IP报文通过时,将触发认证过程。
· 本命令的vlan和second-vlan参数仅子接口支持,非子接口不支持。
· 静态IPoE会话的匹配优先级高于动态IPoE会话。若已经存在静态IPoE会话,则与之匹配IP报文不会触发新的动态IPoE会话;若存在一个未知源IP报文触发建立的动态IPoE会话,则再配置一个能与该未知源IP报文匹配的静态IPoE会话,会覆盖已经存在的动态IPoE会话。
· 系统支持配置多个静态IPoE会话。
· 相同IP、外层VLAN、内层VLAN的静态IPoE会话只能存在一条,后配置的不能覆盖已配置的。若要修改相关参数,必须删除当前配置后重新配置。
· 同一接口下,静态IPoE会话、接口专线用户和子网专线用户的配置互斥,只能选择其中的一种配置。
# 在接口GigabitEthernet3/1/1上配置一条静态IPv6 IPoE会话:用户IPv6地址为2000::1,认证使用的认证域为dm1。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber session static ipv6 2000::1 domain dm1
· display ipv6 subscriber session
ipv6 subscriber subnet-leased 命令用来配置IPv6 IPoE子网专线用户。
undo ipv6 subscriber subnet-leased 命令用来删除指定的IPv6 IPoE子网专线用户。
undo ipv6 subscriber subnet-leased ipv6 ipv6-address prefix-length
未配置IPv6 IPoE子网专线用户。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
ipv6 ipv6-address:表示用户的IPv6地址。
prefix-length:IPv6子网前缀长度,取值范围为1~127。
username name:指定用户认证时使用的用户名,其中name为1~255个字符的字符串,区分大小写。
password:指定用户认证时使用的密码。
ciphertext:表示以密文方式配置用户认证使用的密码。
plaintext:表示以明文方式配置用户认证使用的密码。
password:设置的明文密码或密文密码,区分大小写。密文密码为1~117个字符的字符串;明文密码为1~63个字符的字符串。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符,如果未配置该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“安全配置指导”中的 “AAA”。
一个IPv6 IPoE子网专线用户代表了该接口接入的所有该子网内IPv6用户,该子网内的所有IPv6用户统一认证、授权和计费。该IPoE专线用户认证成功后,接口上接入的所有该子网内IPv6用户流量均允许通过,且共享一个IPv6 IPoE会话,并基于子网进行授权和计费。
每个子网只能配置一个IPv6 IPoE子网专线用户。
需要注意的是:
· 同一接口下,IPoE个人接入用户、IPoE接口专线用户和IPoE子网专线用户的配置互斥,只能选择其中的一种配置。
· VRRP组网环境下配置IPoE子网专线时,请不要将IPoE子网与VRRP备份组虚拟IP地址配置在同一网段,否则将导致VRRP备份组无法正常工作。VRRP相关的配置请参见“可靠性配置指导”中的“VRRP”。
# 在接口GigabitEthernet3/1/1上配置一个IPv6 IPoE子网专线用户:用户IPv6地址和前缀为2001:10::100/64,认证使用的用户名为netuser,认证使用的密码为明文pw123。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber subnet-leased ipv6 2001:10::100 64 username netuser password plaintext pw123
· display ipv6 subscriber subnet-leased
ipv6 subscriber timer quiet命令用来配置IPv6 IPoE用户的静默时间。
undo ipv6 subscriber timer quiet命令用来恢复缺省情况。
ipv6 subscriber timer quiet time
undo ipv6 subscriber timer quiet
IPv6 IPoE用户的静默时间功能处于关闭状态。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
time:IPoE用户的静默时间,取值范围为10~3600,单位为秒。
# 在接口GigabitEthernet3/1/1上配置IPv6 IPoE用户的静默时间为100秒。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber timer quiet 100
· ipv6 subscriber initiator dhcp enable
· ipv6 subscriber initiator unclassified-ip enable
ipv6 subscriber trust命令用于配置信任DHCPv6报文中的指定Option。
undo ipv6 subscriber trust命令用来恢复缺省情况。
ipv6 subscriber trust { option16 | option18 | option37 }
undo ipv6 subscriber trust { option16 | option18 | option37 }
不信任DHCPv6报文中的任何Option。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
option16:表示信任DHCPv6报文中的Option16。
option18:表示信任DHCPv6报文中的Option18。
option37:表示信任DHCPv6报文中的Option37。
DHCP组网环境中,如果接入设备信任DHCPv6报文中的Option 16,则:
· 如果Option16内容有效,但没有@字符,以整个Option16的内容作为域名;
· 如果Option16内容中包含了域名分隔符@字符,且@字符后的字符串有效(无非法字符'\','/',':','*','?','\"','<','>','|'等),则以@字符之后的字符串作为域名;
如果不信任DHCPv6报文中的Option 16,则:
· 如果配置了ipv6 subscriber dhcp domain domain-name,则以该命令配置的域名接入;
· 如果接口没有配置缺省DHCPv6接入的domain,则不设置AAA的domain属性,按系统缺省域接入。
DHCP中继组网环境中,接入设备可以提取用户DHCPv6报文中的指定Option信息。如果接入设备信任DHCPv6报文中的Option 18,则:
· 接入设备在采用version 2.0格式封装RADIUS nas-port-id属性时,会根据Option 18信息中的Circuit-ID子选项内容封装发往RADIUS服务器的nas-port-id属性;
· 接入设备会根据Option 18中的Circuit-ID子选项内容封装发往RADIUS服务器的DSL_AGENT_CIRCUIT_ID属性。
如果接入设备信任DHCPv6报文中的Option 37,则接入设备会根据Option 37中的Remote-ID子选项内容封装发往RADIUS服务器的DSL_AGENT_REMOTE_ID属性。
# 在接口GigabitEthernet3/1/1上配置设备信任DHCPv6报文中的Option18。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber trust option18
ipv6 subscriber initiator dhcp enable
ipv6 subscriber nas-port-id format
ipv6 subscriber nas-port-id nasinfo-insert
ipv6 subscriber unclassified-ip domain命令用来配置IPv6未知源IP接入用户使用的认证域。
undo ipv6 subscriber unclassified-ip domain命令用来恢复缺省情况。
ipv6 subscriber unclassified-ip domain domain-name
undo ipv6 subscriber unclassified-ip domain
IPv6未知源IP接入用户的认证域为缺省认证域。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
domain-name:认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
该命令用来配置未知源IPv6报文触发接入的IPv6 IPoE接入用户在认证时使用的缺省域名,该域名必须与认证服务器上配置的域名保持一致。
如果指定接口上配置了ipv6 subscriber service-identify,则优先使用ipv6 subscriber service-identify指定的业务识别方式获取对应的认证域。只有在未匹配到ipv6 subscriber service-identify命令指定的认证域时,才使用ipv6 subscriber unclassified-ip domain命令指定的认证域。如果 ipv6 subscriber unclassified-ip domain命令也未配置,则使用缺省认证域。
# 配置接口GigabitEthernet3/1/1上的IPv6未知源IP接入用户使用的认证域为ipoe。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber unclassified-ip domain ipoe
· ipv6 subscriber initiator unclassified-ip enable
· ipv6 subscriber service-identify
ipv6 subscriber unclassified-ip max-session命令用来配置接口上允许未知源IPv6报文触发创建的动态IPv6 IPoE会话的最大数。
undo ipv6 subscriber unclassified-ip max-session命令用来恢复缺省情况。
ipv6 subscriber unclassified-ip max-session max-number
undo ipv6 subscriber unclassified-ip max-session
未限制接口上允许未知源IPv6报文创建的动态IPv6 IPoE会话数目。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
max-number :允许未知源IPv6报文触发创建的IPv6 IPoE会话最大数,取值范围为1~32768。
未知源IPv6报文触发创建的IPv6 IPoE会话数目达到最大值后,后续未知源IPv6报文不能触发创建IPv6 IPoE会话。DHCPv6报文触发创建IPv6 IPoE会话不会受此最大值限制。
# 配置接口GigabitEthernet3/1/1上允许未知源IPv6报文触发创建的IPv6 IPoE会话最大数为100。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber unclassified-ip max-session 100
· display ipv6 subscriber session
· ipv6 subscriber initiator unclassified-ip enable
· reset ipv6 subscriber session
ipv6 subscriber unclassified-ip username命令用来配置IPv6未知源IP接入用户的认证用户名。
undo ipv6 subscriber unclassified-ip username命令用来恢复缺省情况。
undo ipv6 subscriber unclassified-ip username
IPv6未知源IP接入用户采用用户报文的源IPv6地址作为认证用户名。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
nas-port-id:表示使用用户的nas-port-id属性作为用户名。
port:表示以报文接入的端口号作为用户名。
second-vlan:表示以认证报文中的内层VLAN作为用户名。
slot:表示以报文接入的槽位号作为用户名。
source-ip:表示使用用户报文的源IPv6地址作为用户名。
separator separator:IPv6地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如1-2-3;若不指定该参数,则用户名形如1::2:3。
source-mac:表示使用用户报文的源MAC地址作为用户名。
separator separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。
sublot:表示以报文接入的子卡号作为用户名。
sysname:表示以报文接入设备的设备名作为用户名。
vlan:表示以认证报文中的外层VLAN作为用户名。
separator:当前字段的分隔符,字符形式。
本命令用来配置未知源IPv6报文触发接入的IPv6 IPoE用户在认证时使用的用户名,该用户名必须与认证服务器上配置的用户名保持一致。此类用户进行IPoE认证时使用的密码由ipv6 subscriber password命令配置。
在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。例如:若配置ipv6 subscriber unclassified-ip username include source-ip source-mac,则用户名为源IPv6地址字段和源MAC地址字段内容的拼接,且两个字段之间无分隔符。
建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
# 配置接口GigabitEthernet3/1/1上的未知源IPv6用户使用用户报文的源IPv6地址作为用户名。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber unclassified-ip username include source-ip
· ipv6 subscriber initiator unclassified-ip enable
ipv6 subscriber user-detect命令用来开启静态/动态IPv6 IPoE个人接入用户在线探测功能,并配置其探测方式。
undo ipv6 subscriber user-detect命令用来关闭静态/动态IPv6 IPoE个人接入用户在线探测功能。
ipv6 subscriber user-detect { icmpv6 | nd } retry times interval interval
undo ipv6 subscriber user-detect
静态/动态IPoE个人接入用户在线探测功能处于关闭状态。
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图
icmpv6:表示使用ICMPv6请求报文作为探测报文。
nd:表示使用ND NS报文作为探测报文。
retry times:探测失败后允许重复尝试的最大次数,取值范围为2~5。例如,times值为2表示连续三次失败就认为用户不在线。
interval interval:探测的时间间隔,取值范围为30~1200,单位为秒。
接口上的静态/动态IPv6 IPoE个人接入用户上线后,设备会定时统计用户流量。若一个探测间隔(interval)内用户流量无变化,则该探测间隔结束后,设备将发送一次探测报文。如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
若设备首次探测失败,将继续做指定次数(times)的重复探测,若全部探测尝试都失败(即一直未收到该用户报文),则认为此用户不在线,停止发送探测报文并删除用户;若设备在探测中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
对于与接口在同一网段内的静态/动态IPv6 IPoE个人接入用户,可使用IPv6 ND NS或ICMPv6请求报文对用户进行探测;对于与接口不在同一网段内的静态/动态IPv6 IPoE个人接入用户,应使用ICMPv6请求报文对用户进行探测。
接口上不可同时启用两种方式对IPv6 IPoE个人接入用户进行探测。
# 配置接口GigabitEthernet3/1/1上使用IPv6 ND NS报文对静态/动态IPv6 IPoE个人接入用户进行在线检测,探测失败后允许重复尝试3次,探测的时间间隔为50秒。
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ipv6 subscriber user-detect nd retry 3 interval 50
ipv6 subscriber vlan命令用于配置IPv6未知源IP报文的内/外层VLAN值与认证域的映射关系。
undo ipv6 subscriber vlan命令用来恢复缺省情况。
ipv6 subscriber vlan vlan-list domain domain-name
undo ipv6 subscriber vlan vlan-list
未指定IPv6未知源IP报文的内/外层VLAN与认证域的映射关系。
三层以太网子接口视图/三层聚合子接口视图
vlan-list:VLAN列表,表示一个或多个VLAN,表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>,其中,vlan-id为指定VLAN的编号,取值范围为1~4093。&<1-10>表示前面的参数最多可以输入10次。
domain domain-name:表示与指定的VLAN范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
本命令用来配置指定VLAN范围内未知源IPv6接入用户进行认证时使用的认证域,通过指定的认证域进行认证授权。
# 在子接口GigabitEthernet 3/1/1.100上配置内层VLAN ID范围为2到100的IPv6未知源IP接入用户认证使用的认证域为vlandm。
[Sysname] interface gigabitethernet 3/1/1.100
[Sysname-GigabitEthernet3/1/1.100] ipv6 subscriber service-identify second-vlan
[Sysname-GigabitEthernet3/1/1.100] ipv6 subscriber vlan 2 to 100 domain vlandm
· ipv6 subscriber service-identify
reset ipv6 subscriber offline statistics命令用来清除IPv6 IPoE用户下线统计信息。
reset ipv6 subscriber offline statistics [ interface interface-type interface-number ]
interface interface-type interface-number:表示清除指定接口上的IPv6 IPoE用户下线统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将清除所有接口上的IPv6 IPoE用户下线统计信息。
# 清除所有接口上的IPv6 IPoE用户的下线统计信息。
<Sysname> reset ipv6 subscriber offline statistics
· display ipv6 subscriber offline statistics
reset ipv6 subscriber session命令用来清除动态触发创建的IPv6 IPoE会话,强制用户下线。
interface interface-type interface-number:表示清除指定接口动态触发创建的IPv6 IPoE会话,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将清除所有接口动态触发创建的IPv6 IPoE会话。
domain domain-name:表示清除使用指定ISP域认证的IPv6 IPoE会话,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
ipv6 ipv6-address:表示清除指定IP地址的IPv6 IPoE会话,ipv6-address为指定的IPv6地址。
vpn-instance vpn-instance-name:表示清除指定VPN的IPv6 IPoE会话,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPv6 IPoE会话位于公网中。
mac mac-address:表示清除指定源MAC地址的IPv6 IPoE会话,形式为H-H-H。
username name:表示清除指定用户名的IPv6 IPoE会话,name为1~255个字符的字符串,区分大小写。
本命令用来清除动态触发创建的IPv6 IPoE会话信息,并强制用户下线,如果不指定条件,则表示删除所有动态IPv6 IPoE会话。
接口专线用户和静态个人用户不能通过reset ipv6 subscriber session命令强制下线,只能通过相应的undo命令删除配置。
# 清除接口GigabitEthernet3/1/1上动态触发创建的IPv6 IPoE会话,强制用户下线。
<Sysname> reset ipv6 subscriber session interface gigabitethernet 3/1/1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!