13-H3C vBRAS支持Session级IPoE功能典型配置举例-5W100
本章节下载: 13-H3C vBRAS支持Session级IPoE功能典型配置举例-5W100 (156.84 KB)
H3C vBRAS系列虚拟宽带远程接入服务器Session级IPoE功能典型配置举例
Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
目 录
在某些IPTV业务场景下,机项盒会将用户名和密码加密之后,放入option60中,之后通过dhcp discover报文携带给vBras。用户名密码经过加密后,是一串无规律的符号,通过AAA认证之后,可以解密出用户名密码,AAA会将用户名返回给vBras。在此过程中,vBras必须要透传option60中的字符,不能做任何修改,否则就会产生认证失败,另外需要vBras将IPTV的用户名替换为AAA返回用用户名。
Session级,非Session级IPoE的区别在于在哪里发起认证。如果BRAS设备不针对IPoE用户做认证,比如认证是在DHCP server上完成的,那么就是非session级IPoE。如果在BRAS设备上发起认证,就是Session级IPoE。
· 本文档不严格与具体软、硬件版本对应(此文档基于B75软件版本,与B59版本有差异),如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
· 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 本文档假设您已了解IPoE、DHCP等特性。
· 进行本特性配置前,请先确认使用的AAA服务器是否支持解密机项盒加密后的字符以及是否支持返回用户名的功能。
如图1所示,用户通过机项盒观看IPTV电视:
· 机顶盒作为DHCP Client通过DHCP Server获取IP地址,并且经由二层网络以IPoE方式接入到vBRAS。
· vBRAS作为DHCP Server。
· RADIUS作为认证、授权和计费服务器。
图1 Session级IPoE功能典型配置举例组网图
某些型号的机顶盒会将用户名密码加密后生成的字符串放在DHCP报文的option60字段中,而加密后的字符串很可能携带携带特殊字符00(字符串结束符NULL)。当DCHP报文发送给vBRAS时,vBRAS会将option60字段中的00作为结束符,并将00之后的字符全部丢弃,从而导致vBRAS转发给AAA服务器的字符不完整。AAA服务器无法正常解密,用户将认证失败。通过本文配置,可以保证vBRAS收到option60信息后原封不动的转发给AAA服务器。
本举例是在vBRAS1000_H3C-CMW710-E1116-X64版本上进行配置和验证的。
<DHCP-server> system-view
[DHCP-server] dhcp enable
[DHCP-server] dhcp server ip-pool pool1
[DHCP-server-pool-1] gateway-list 24.1.0.1 export-route
[DHCP-server-pool-1] network 24.1.0.0 mask 255.255.0.0
[DHCP-server-pool-1] forbidden-ip 24.1.0.1
(1) 配置各接口IP地址。
<vBRAS> system-view
[vBRAS] interface gigabitethernet 1/4/0
[vBRAS-GigabitEthernet1/4/0] ip address 24.1.0.1 255.255.0.0
[vBRAS-GigabitEthernet1/4/0] interface gigabitethernet 1/1/0
[vBRAS-GigabitEthernet1/1/0] ip address 172.16.17.24 255.255.0.0
[vBRAS-GigabitEthernet1/1/0] quit
(2) 配置RADIUS方案。
# 创建名称为rs的RADIUS方案并进入该方案视图。
[vBRAS] radius scheme rs
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[vBRAS-radius-rs] primary authentication 172.16.17.17 key simple 123456
[vBRAS-radius-rs] primary accounting 172.16.17.17 key simple 123456
# 配置发送给RADIUS服务器的用户名与用户的输入保持一致。必须配置,否则用户名信息有可能被修改,发到AAA认证时无法解析。
[vBRAS-radius-rs] user-name-format keep-original
# 配置接受RADIUS服务器下发的用户名。必须配置,否则无法更改IPoE用户名为新授权用户名。
[vBRAS-radius-rs] username-authorization apply
[vBRAS-radius-rs] quit
(3) 配置认证域。
# 创建ISP域iptv,并配置该域使用RADIUS方案rs。
[vBRAS] domain iptv
[vBRAS-isp-iptv] authentication ipoe radius-scheme rs
[vBRAS-isp-iptv] authorization ipoe radius-scheme rs
[vBRAS-isp-iptv] accounting ipoe radius-scheme rs
[vBRAS-isp-iptv] quit
(4) 配置IPoE。
# 开启IPoE功能,并配置二层接入模式。
[vBRAS] interface gigabitethernet 1/4/0
[vBRAS–GigabitEthernet1/4/0] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[vBRAS–GigabitEthernet1/4/0] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为iptv,不使用option60中的字符作为认证域。必须配置force参数,否则会将option60作为认证域。
[vBRAS–GigabitEthernet1/4/0] ip subscriber dhcp domain iptv force
# 设置动态用户的认证用户名,直接将DHCP报文中的Vendor Class Option(Option60)字段中的信息作为用户名传递给认证服务器进行认证。此配置的作用是将用户的mac和携带的option60以mac@option60的格式作为用户名发送给AAA进行解密。
[vBRAS–GigabitEthernet1/4/0] ip subscriber dhcp username include source-mac separator @ vendor-class original
# 设置信任option60,提取用户报文中的option60字段。
[vBRAS–GigabitEthernet1/4/0] ip subscriber trust option60
# 设置动态用户的认证密码为明文123546。
[vBRAS–GigabitEthernet1/4/0] ip subscriber password plaintext 123456
[vBRAS–GigabitEthernet1/4/0] quit
使用机项盒可以正常观看电视,在vBRAS上通过display ip subscriber session可以看到用户名为AAA下发的用户名。
[vBRAS]display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE1/4/0 23.0.10.2 000c-2935-8358 D/- Online
- -/- -
a9C123@vod
#
sysname vBRAS
#
dhcp enable
#
dhcp server ip-pool 2
gateway-list 23.0.10.1 export-route
network 23.0.10.0 mask 255.255.255.0
forbidden-ip 23.0.10.1
#
interface GigabitEthernet1/4/0
port link-mode route
ip address 23.0.10.1 255.255.255.0
ip subscriber l2-connected enable
ip subscriber initiator dhcp enable
ip subscriber dhcp username include source-mac separator @ vendor-class original
ip subscriber password ciphertext $c$3$g4M1dc5An6nwIMgJldq2n6Y6o3WAJA==
ip subscriber dhcp domain iptv force
#
radius scheme rs
primary authentication 172.16.17.17 key cipher $c$3$xbim8brzCEhCJU4S5elciYd6NX1N9MZfJg==
primary accounting 172.16.17.17 key cipher $c$3$Y8h3ucCtJv8bjQmr/4EyqcD6zEy5zIcUNw==
user-name-format keep-original
username-authorization apply
#
domain name iptv
authentication ipoe radius-scheme rs
authorization ipoe radius-scheme rs
accounting ipoe radius-scheme rs
#
return
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/jsp/ir/fileList.do?classID=103&fileID=165210配置指导
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/jsp/ir/fileList.do?classID=103&fileID=165210命令参考
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!