- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
13-IPoE命令
本章节下载: 13-IPoE命令 (1.06 MB)
1.1.1 display ip subscriber abnormal-logout
1.1.2 display ip subscriber chasten user auth-failed
1.1.3 display ip subscriber chasten user quiet
1.1.4 display ip subscriber interface-leased
1.1.5 display ip subscriber interface-leased statistics
1.1.6 display ip subscriber interface-leased user
1.1.7 display ip subscriber interface-leased user ip-type
1.1.8 display ip subscriber l2vpn-leased
1.1.9 display ip subscriber l2vpn-leased statistics
1.1.10 display ip subscriber offline statistics
1.1.11 display ip subscriber session
1.1.12 display ip subscriber session statistics
1.1.13 display ip subscriber session statistics ip-type
1.1.14 display ip subscriber subnet-leased
1.1.15 display ip subscriber subnet-leased statistics
1.1.16 display ip subscriber subnet-leased user
1.1.17 display ip subscriber subnet-leased user ip-type
1.1.18 display ip subscriber tcp-connection
1.1.19 display trace access-user
1.1.21 ip subscriber access-block
1.1.22 ip subscriber access-delay
1.1.23 ip subscriber access-line-id circuit-id trans-format
1.1.24 ip subscriber access-line-id remote-id trans-format
1.1.25 ip subscriber access-out
1.1.26 ip subscriber access-trigger loose
1.1.27 ip subscriber access-user log enable
1.1.28 ip subscriber authentication chasten
1.1.29 ip subscriber authentication-method
1.1.30 ip subscriber captive-bypass enable
1.1.31 ip subscriber dhcp domain
1.1.32 ip subscriber dhcp domain include
1.1.33 ip subscriber dhcp max-session
1.1.34 ip subscriber dhcp option60 match
1.1.35 ip subscriber dhcp password
1.1.36 ip subscriber dhcp username
1.1.37 ip subscriber dhcpv6 max-session
1.1.38 ip subscriber dhcpv6 match
1.1.39 ip subscriber dhcpv6 password option16
1.1.42 ip subscriber http-fast-reply enable
1.1.44 ip subscriber initiator arp enable
1.1.45 ip subscriber initiator dhcp enable
1.1.46 ip subscriber initiator dhcpv6 enable
1.1.47 ip subscriber initiator ndrs enable
1.1.48 ip subscriber initiator nsna enable
1.1.49 ip subscriber initiator unclassified-ip enable
1.1.50 ip subscriber initiator unclassified-ipv6 enable
1.1.51 ip subscriber interface-leased
1.1.52 ip subscriber l2vpn-leased
1.1.53 ip subscriber lease-end-time original
1.1.54 ip subscriber mac-auth domain
1.1.55 ip subscriber max-session
1.1.56 ip subscriber nas-port-id format
1.1.57 ip subscriber nas-port-id interface
1.1.58 ip subscriber nas-port-id nasinfo-insert
1.1.59 ip subscriber nas-port-type
1.1.60 ip subscriber ndrs domain
1.1.61 ip subscriber ndrs max-session
1.1.62 ip subscriber ndrs username
1.1.64 ip subscriber pre-auth domain
1.1.65 ip subscriber pre-auth track
1.1.66 ip subscriber roaming enable
1.1.67 ip subscriber service-identify
1.1.68 ip subscriber session static (interface view)
1.1.69 ip subscriber session static (system view)
1.1.70 ip subscriber static-session request-online interval
1.1.71 ip subscriber subnet-leased
1.1.72 ip subscriber timer quiet
1.1.73 ip subscriber timer traffic
1.1.75 ip subscriber unclassified-ip domain
1.1.76 ip subscriber unclassified-ip ip match
1.1.77 ip subscriber unclassified-ip ipv6 match
1.1.78 ip subscriber unclassified-ip max-session
1.1.79 ip subscriber unclassified-ip username
1.1.80 ip subscriber unclassified-ipv6 max-session
1.1.82 ip subscriber user-detect ip
1.1.83 ip subscriber user-detect ipv6
1.1.84 ip subscriber user-policy interface-down
1.1.86 ip subscriber web-auth domain
1.1.87 reset ip subscriber abnormal-logout
1.1.88 reset ip subscriber interface-leased
1.1.89 reset ip subscriber interface-leased user
1.1.90 reset ip subscriber interface-leased user ip-type
1.1.91 reset ip subscriber offline statistics
1.1.92 reset ip subscriber session
1.1.93 reset ip subscriber subnet-leased
1.1.94 reset ip subscriber subnet-leased user
1.1.95 reset ip subscriber subnet-leased user ip-type
1.1.96 slot-user-warning-threshold
· 本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。
· 目前仅CSPEX类单板(除CSPEX-1104-E之外)支持配置本特性。
display ip subscriber abnormal-logout命令用来显示异常下线DHCP接入用户的信息。
【命令】
(独立运行模式)
display ip subscriber abnormal-logout [ interface interface-type interface-number ] [ { mac mac-address | ip-type ipv4 } * | ip ipv4-address ] [ verbose ] [ slot slot-number ]
(IRF模式)
display ip subscriber abnormal-logout [ interface interface-type interface-number ] [ { mac mac-address | ip-type ipv4 } * | ip ipv4-address ] [ verbose ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的异常下线DHCP接入用户的信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的异常下线DHCP接入用户的信息。
mac mac-address:显示指定源MAC地址的异常下线DHCP接入用户的信息,mac-address为用户MAC地址,形式为H-H-H。
ip-type:显示指定IP协议类型的异常下线DHCP接入用户的信息。
ipv4:显示异常下线DHCPv4接入用户的信息。
ip ipv4-address:显示指定源IPv4地址的异常下线DHCP接入用户的信息,ipv4-address为指定的IPv4地址。
verbose:显示异常下线DHCP接入用户的详细信息。如果不指定该参数,则只显示异常下线用户的简要信息。
slot slot-number:显示指定单板的异常下线DHCP接入用户的信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的异常下线DHCP接入用户的信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的异常下线DHCP接入用户的信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的异常下线DHCP接入用户的信息。(IRF模式)
【举例】
# 显示接口GE3/1/1上的异常下线DHCP接入用户的简要信息。(独立运行模式)
<Sysname> display ip subscriber abnormal-logout interface gigabitethernet 3/1/1
Slot 3:
Interface IP address MAC address
GE3/1/1 1.1.1.1 000d-88f8-0eab
表1-1 display ip subscriber abnormal-logout命令显示信息描述表
|
字段 |
描述 |
|
Interface |
用户所在的接口名称 |
|
IP address |
用户的IP地址 |
|
MAC address |
用户的MAC地址 |
# 显示所有IPoE个人会话的详细信息。(独立运行模式)
<Sysname> display ip subscriber abnormal-logout verbose
Slot 3:
IP address : 1.1.1.1
MAC address : 000d-88f8-0eab
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
Offline reason : Admin reset
Aging : May 9 10:05:29 2017
表1-2 display ip subscriber abnormal-logout命令显示信息描述表
|
字段 |
描述 |
|
IP address |
用户的IP地址 |
|
MAC address |
用户的MAC地址 |
|
Service-VLAN/Customer-VLAN |
用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
Access interface |
用户接入的接口名称 |
|
Offline reason |
用户的异常下线原因,具体详细下线原因参考IPoE用户上下线日志手册 |
|
Aging |
异常下线用户表项的老化时间点(N/A表示异常下线用户表项永不老化) |
【相关命令】
· ip subscriber initiator arp enable
· ip subscriber initiator dhcp enable
· ip subscriber initiator unclassified-ip enable
· reset ip subscriber abnormal-logout
display ip subscriber chasten user auth-failed命令用来显示有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。
【命令】
(独立运行模式)
display ip subscriber chasten user auth-failed [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ slot slot-number ]
(IRF模式)
display ip subscriber chasten user auth-failed [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。
ip ipv4-address:显示指定源IPv4地址的有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,ipv4-address为指定的IPv4地址。
ipv6 ipv6-address:显示指定源IPv6地址的有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,ipv6-address为指定的IPv6地址。
mac mac-address:显示指定源MAC地址有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,mac-address为用户MAC地址,形式为H-H-H。
user-type:显示指定用户类型的有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。
dhcp:表示DHCPv4接入用户。
dhcpv6:表示DHCPv6接入用户。
ndrs:表示IPv6 ND RS接入用户。
unclassified-ip:表示未知源IPv4接入用户。
unclassified-ipv6:表示未知源IPv6接入用户。
static:表示静态个人接入用户。
slot slot-number:显示指定单板上有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上被有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。(IRF模式)
【举例】
# 显示接口GigabitEthernet3/1/1上有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。
<Sysname> display ip subscriber chasten user auth-failed interface gigabitethernet 3/1/1
Interface IP address MAC address SVLAN/CVLAN Failures
GE3/1/1 6.6.6.2 248c-c3d1-0406 -/- 7
表1-3 display ip subscriber chasten user auth-failed命令显示信息描述表
|
字段 |
描述 |
|
Interface |
用户所在的接口名称 |
|
IP address |
用户的IP地址 |
|
MAC address |
用户的MAC地址 |
|
SVLAN/CVLAN |
用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
Failures |
IPoE用户已连续认证失败的次数(N/A表示待老化表项) |
【相关命令】
· ip subscriber authentication chasten
· ip subscriber timer quiet
display ip subscriber chasten user quiet命令用来显示被静默的IPoE个人接入用户信息。
【命令】
(独立运行模式)
display ip subscriber chasten user quiet [ interface interface-type interface-number] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ verbose ] [ slot slot-number ]
(IRF模式)
display ip subscriber chasten user quiet [ interface interface-type interface-number] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ verbose ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上被静默的IPoE个人接入用户信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上被静默的IPoE个人接入用户信息。
ip ipv4-address:显示指定源IPv4地址的被静默的IPoE个人接入用户信息,ipv4-address为指定的IPv4地址。
ipv6 ipv6-address:显示指定源IPv6地址的被静默IPoE个人接入用户信息,ipv6-address为指定的IPv6地址。
mac mac-address:显示指定源MAC地址被静默的IPoE个人接入用户信息,mac-address为用户MAC地址,形式为H-H-H。
user-type:显示指定用户类型的被静默的IPoE个人接入用户信息。
dhcp:表示DHCPv4接入用户。
dhcpv6:表示DHCPv6接入用户。
ndrs: 表示IPv6 ND RS接入用户。
unclassified-ip:表示未知源IPv4接入用户。
unclassified-ipv6:表示未知源IPv6接入用户。
static:表示静态个人接入用户。
verbose:显示被静默的IPoE个人接入用户的详细信息。如果未指定该参数,则只显示用户的简要信息。
slot slot-number:显示指定单板上被静默的IPoE个人接入用户信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上被静默的IPoE个人接入用户信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板被静默的IPoE个人接入用户信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上被静默的IPoE个人接入用户信息。(IRF模式)
【举例】
# 显示接口GigabitEthernet3/1/1上被静默的IPoE个人接入用户信息。
<Sysname> display ip subscriber chasten user quiet interface gigabitethernet 3/1/1
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type Aging(s)
GE3/1/1 6.6.6.2 248c-c3d1-0406 U 7
表1-4 display ip subscriber chasten user quiet命令显示信息描述表
|
字段 |
描述 |
|
Interface |
用户所在的接口名称 |
|
IP address |
用户的IP地址 |
|
MAC address |
用户的MAC地址 |
|
Type |
IPoE用户类型: · D:DHCP接入用户 · S:静态个人接入用户 · U:未知源IP接入用户 · N:IPv6 ND RS接入用户 |
|
Aging(s) |
静默用户的剩余老化时间,单位为秒 |
# 显示所有被静默的IPoE用户的详细信息。(独立运行模式)
<Sysname> display ip subscriber chasten user quiet verbose
Username : 1.1.1.10
Domain : dm0
IP address : 1.1.1.10
MAC address : 4649-e2cf-0216
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
Service node : Slot 3 CPU 0
Access Type : Unclassified-IP
Aging : 41 sec
表1-5 display ip subscriber chasten user quiet verbose命令显示信息描述表
|
字段 |
描述 |
|
Username |
用户认证时使用的用户名 |
|
Domain |
用户认证时使用的认证域名 |
|
IP address |
用户的IP地址 |
|
MAC address |
用户的MAC地址 |
|
Service-VLAN/Customer-VLAN |
用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
Access interface |
用户接入的接口名称 |
|
Service node |
为用户提供认证服务的节点信息 |
|
Access Type |
IPoE个人接入用户的接入类型: · DHCP:DHCP接入用户 · Unclassified-IP:未知源IP接入用户 · NDRS:IPv6 ND RS 接入用户 · Static:静态个人接入用户 |
|
Aging |
静默用户的剩余老化时间,单位为秒 |
【相关命令】
· ip subscriber timer quiet
display ip subscriber interface-leased命令用来显示IPoE接口专线用户的会话信息。
【命令】
(独立运行模式)
display ip subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ]
(IRF模式)
display ip subscriber interface-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的IPoE接口专线用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE接口专线用户的会话信息。
slot slot-number:显示指定单板的IPoE接口专线用户的会话信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE接口专线用户的会话信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的IPoE接口专线用户的会话信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE接口专线用户的会话信息。(IRF模式)
【举例】
# 显示接口GigabitEthernet3/1/1上的IPoE接口专线用户的会话信息。(独立运行模式)
<Sysname> display ip subscriber interface-leased interface gigabitethernet 3/1/1
Basic:
Access interface : GE3/1/1
VPN instance : N/A
Username : a
User ID : 0x30060000
State : Online
Service node : Slot 3 CPU 0
Domain : radius
Login time : May 14 20:04:42 2014
Online time (hh:mm:ss) : 00:16:37
IPv4 total users : 10
IPv6 total users : 10
AAA:
ITA policy name : ipoe
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses : 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses : 4
IPv6 multicast address list : N/A
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : CIR 1000kbps PIR 2000kbps CBS 4100bytes (active)
Outbound CAR : CIR 3000kbps PIR 4000kbps CBS 4100bytes (active)
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
ITA:
Acct merge : Disabled
Acct quota-out action : Offline
Denied level : None
Level-1 Inbound CAR : CIR 126976000kbps PIR 126976000kbps (active)
Outbound CAR : N/A
Traffic separate : Disabled
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
Level-2 Inbound CAR : N/A
Outbound CAR : N/A
Traffic separate : Disabled
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
表1-6 display ip subscriber interface-leased命令显示信息描述表
|
字段 |
描述 |
|
Basic |
IPoE专线用户会话的基本信息 |
|
Access interface |
用户所在的接口名称 |
|
VPN instance |
用户所属的MPLS L3VPN实例,N/A表示用户属于公网 |
|
Username |
用户认证时使用的用户名 |
|
User ID |
用户ID,只有用户上线后才会由系统分配,0xffffffff表示暂未分配 |
|
State |
用户的会话状态: · Init:初始化 · Offline:正在下线 · Auth:认证中 · AuthFail:认证失败 · AuthPass :认证通过 · AssignedIP:用户已具备IP地址 · Online:用户在线 · Backup:备份状态,表示该用户是由对端备份到本端的 |
|
Service node |
为用户提供认证服务的节点信息 |
|
Domain |
认证使用的认证域名 |
|
Login time |
用户登录时间,即用户授权成功的时间,格式为设备时间,如:MM DD hh:mm:ss YYYY |
|
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
|
IPv4 total users |
当前接口专线上接入的IPv4子用户总数 |
|
IPv6 total users |
当前接口专线上接入的IPv6子用户总数 |
|
Failure reason |
会话下驱动失败的原因(本字段只在会话下驱动失败时才显示): · Not support:驱动不支持 · No resource:硬件资源不足 · Unknown:失败原因未知 |
|
AAA |
IPoE会话的AAA授权信息 |
|
ITA policy name |
AAA授权的ITA(Intelligent Target Accounting,智能靶向计费)策略名称(若未授权,则显示“N/A”) |
|
IP pool |
AAA授权的DHCP地址池名称,N/A表示AAA未授权该属性 |
|
IP pool group |
AAA授权的IPv4 DHCP地址池组名称(该字段仅在AAA授权了IPv4 DHCP地址池组,且未授权IPv4 DHCP地址池的情况下才会显示,不会与IP pool同时显示) |
|
IPv6 pool |
AAA授权的IPv6 DHCP地址池名称(若未授权,则显示“N/A”) |
|
IPv6 pool group |
AAA授权的IPv6 DHCP地址池组名称(该字段仅在AAA授权了IPv6 DHCP地址池组,且未授权IPv6 DHCP地址池的情况下才会显示,不会与IPv6 pool同时显示) |
|
Primary DNS server |
AAA授权的主IPv4 DNS服务器地址(若未授权,则显示“N/A”) |
|
Secondary DNS server |
AAA授权的从IPv4 DNS服务器地址(若未授权,则显示“N/A”) |
|
Primary IPv6 DNS server |
AAA授权的主IPv6 DNS服务器地址(若未授权,则显示“N/A”) |
|
Secondary IPv6 DNS server |
AAA授权的从IPv6 DNS服务器地址(若未授权,则显示“N/A”) |
|
Session idle cut |
用户闲置切断时间和流量(在给定时间范围内流量没超过一定字节数,认为该用户下线并强制下线),单位分别为秒和字节,N/A表示不进行闲置切断 |
|
direction |
设备可基于在给定时间内用户入方向或出方向流量是否超过一定的字节数,来判断是否对用户进行闲置切断(即是否强制用户下线) 用户闲置切断的流量方向包括: · Both:表示基于用户入方向和出方向流量之和进行闲置切断判断 · Inbound:表示基于用户入方向流量进行闲置切断判断 · Outbound:表示基于用户出方向流量进行闲置切断判断 |
|
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未下发会话时长 · Unlimited:表示会话时长无限制 |
|
remaining |
AAA授权的IPoE会话剩余时长 · 当AAA未授权IPoE会话超时时间时,该字段始终显示为N/A · 当AAA授权IPoE会话超时时间时 ¡ 如果用户通过三层以太网接口/三层以太网子接口上线,该字段始终显示具体的剩余时长或Unlimited(表示会话时长无限制) ¡ 如果用户通过三层聚合接口/三层聚合子接口上线,则只有在本命令中指定Service node所在的slot或接口时,才会显示具体的剩余时长或Unlimited(表示会话时长无限制),否则显示为N/A |
|
Traffic quota |
授权流量,单位为字节,N/A表示未对用户指定授权流量 |
|
Traffic remained |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量或者授权流量已经用完 |
|
Acct start-fail action |
计费开始失败时对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
Acct update-fail action |
计费更新失败时对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
Acct quota-out action |
流量耗尽后对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
Dual-stack accounting mode |
双协议栈用户的计费类型: · Merge:统一计费方式,即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器 · Separate:分别计费方式,即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器。 · N/A:表示AAA未授权该属性 |
|
Max IPv4 multicast addresses |
AAA授权用户可加入的IPv4组播组的最大数目 |
|
IPv4 multicast address list |
AAA授权用户可加入的IPv4组播组地址列表(若未授权,则显示“N/A”) |
|
Max IPv6 multicast addresses |
AAA授权用户可加入的IPv6组播组的最大数目 |
|
IPv6 multicast address list |
AAA授权用户可加入的IPv6组播组地址列表(若未授权,则显示“N/A”) |
|
QoS |
IPoE会话的QoS信息 |
|
User profile |
AAA授权的User Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
|
Session group profile |
AAA授权的Session Group Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
|
User group ACL |
AAA授权的User group ACL名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User group ACL成功 · inactive:AAA授权User group ACL失败或者设备上不存在该User group ACL · 授权结果未知 |
|
Inbound CAR |
入方向CAR值(CIR:入方向平均速率,单位为kbps;PIR:入方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte) (若未授权,则显示“N/A”)。授权状态包括如下: · active:表示入方向CAR限速下发成功 · inactive:表示入方向CAR限速下发失败 |
|
Outbound CAR |
出方向CAR值(CIR:出方向平均速率,单位为kbps;PIR:出方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte) (若未授权,则显示“N/A”)。授权状态包括如下: · active:表示出方向CAR限速下发成功 · inactive:表示出方向CAR限速下发失败 |
|
Inbound user priority |
AAA授权的入方向用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权入方向用户优先级成功 · inactive:AAA授权入方向用户优先级失败 |
|
Outbound user priority |
AAA授权的出方向用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权出方向用户优先级成功 · inactive:AAA授权出方向用户优先级失败 |
|
Flow statistic |
IPoE会话的流量统计信息 |
|
Uplink packets/bytes |
计费方式为统一计费时,本字段表示IPv4和IPv6的上行流量报文数/字节数;其余情况均表示IPv4上行流量报文数/字节数 |
|
Downlink packets/bytes |
计费方式为统一计费时,本字段表示IPv4和IPv6的下行流量报文数/字节数;其余情况均表示IPv4下行流量报文数/字节数 |
|
IPv6 uplink packets/bytes |
IPv6上行流量报文数/字节数 |
|
IPv6 downlink packets/bytes |
IPv6下行流量报文数/字节数 |
|
ITA |
IPoE会话的ITA(Intelligent Target Accounting,智能靶向计费)业务流量统计信息 |
|
Acct merge |
ITA统一计费功能的开启状态: · Enabled:开启 · Disabled:关闭 |
|
Denied level |
当前被阻断流量的级别,流量级别取值范围为1~8,当IPoE收到该级别的流量时直接丢弃,None表示没有任何级别的流量被阻断 |
|
Level-n Inbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的入方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 入方向CAR的授权状态如下: · active:授权成功 · inactive:授权失败 · N/A:未授权 |
|
Outbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的出方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 出方向CAR的授权状态如下: · active:授权成功 · inactive:授权失败 · N/A:未授权 |
|
Traffic separate |
ITA流量与用户主计费流量分离功能的开启状态: · Enabled:开启 · Disabled:关闭 |
【相关命令】
· ip subscriber enable
display ip subscriber interface-leased statistics命令用来显示IPoE接口专线用户的会话统计信息。
【命令】
(独立运行模式)
display ip subscriber interface-leased statistics [ domain domain-name ] [ interface interface-type interface-number ] [ slot slot-number ]
(IRF模式)
display ip subscriber interface-leased statistics [ domain domain-name ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
domain domain-name:显示指定ISP域认证的IPoE接口专线用户的会话统计信息,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
interface interface-type interface-number:显示指定接口上的IPoE接口专线用户的会话统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE接口专线用户会话的统计信息。
slot slot-number:显示指定单板上的IPoE接口专线用户的会话统计信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE接口专线用户的会话统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的接口IPoE专线用户的会话统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE接口专线用户的会话统计信息。(IRF模式)
【举例】
# 显示设备上所有IPoE接口专线用户的会话统计信息。
<Sysname> display ip subscriber interface-leased statistics
Total sessions : 100
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-7 display ip subscriber interface-leased statistics命令显示信息描述表
|
字段 |
描述 |
|
Total sessions |
接口专线用户的会话总数 |
|
Init |
处于初始状态的会话数 |
|
Authenticating |
处于正在认证状态的会话数 |
|
Authenticate fail |
处于认证失败状态的会话数 |
|
Authenticate pass |
处于认证成功状态的会话数 |
|
Assigned IP |
处于拥有IP地址状态的会话数 |
|
Online |
处于在线状态的会话数 |
|
Backup |
处于备份状态的会话数 |
【相关命令】
· ip subscriber enable
display ip subscriber interface-leased user命令来显示IPoE接口专线子用户的会话信息。
【命令】
(独立运行模式)
display ip subscriber interface-leased user [ interface interface-type interface-number [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ slot slot-number ]
(IRF模式)
display ip subscriber interface-leased user [ interface interface-type interface-number [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的IPoE接口专线子用户信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE接口专线子用户的会话信息。
ip ipv4-address:显示指定源IPv4地址的IPoE接口专线子用户的会话信息,ipv4-address为指定的IPv4地址。
ipv6 ipv6-address:显示指定源IPv6地址的IPoE接口专线子用户的会话信息,ipv6-address为指定的IPv6地址。
mac mac-address:显示指定源MAC地址的IPoE接口专线子用户的会话信息,mac-address为子用户MAC地址,形式为H-H-H。
s-vlan svlan-id:显示指定服务提供商VLAN的IPoE接口专线子用户的会话信息,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示指定用户VLAN的IPoE接口专线子用户的会话信息,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:显示指定VXLAN的IPoE接口专线子用户的会话信息,vxlan-id表示VXLAN ID,取值范围为0~16777215。
verbose:显示接口上IPoE接口专线子用户的会话的详细信息。如果不指定该参数,则只显示子用户的简要信息。
slot slot-number:显示指定单板的IPoE接口专线子用户的会话信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE接口专线子用户的会话信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上的IPoE接口专线子用户的会话信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE接口专线子用户的会话信息。(IRF模式)
【使用指导】
当且仅当IPoE接口专线用户的接入模式为二层接入模式时,本命令才生效。
【举例】
# 显示接口GigabitEthernet3/1/1上的IPoE接口专线子用户的会话简要信息。
<Sysname> display ip subscriber interface-leased user interface gigabitethernet 3/1/1
Interface IP address MAC address SVLAN/CVLAN User ID
GE3/1/1 100.1.1.3 0010-9400-0003 -/- 0x380800b5
GE3/1/1 100::1 0010-9400-0004 -/- 0x380800b6
表1-8 display ip subscriber interface-leased user命令显示信息描述表
|
字段 |
描述 |
|
Interface |
子用户所在的接口名称 |
|
IP address |
子用户的IP地址 |
|
MAC address |
子用户的MAC地址 |
|
SVLAN/CVLAN |
子用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
User ID |
子用户ID,只有子用户上线后才会由系统分配,0xffffffff表示暂未分配 |
# 显示接口GigabitEthernet3/1/1上的IPoE接口专线子用户的会话详细信息。(独立运行模式)
<Sysname> display ip subscriber interface-leased user interface gigabitethernet 3/1/1 verbose
Interface: Gigabitethernet 3/1/1
IP address : 100.1.1.3
MAC address : 0010-9400-0003
User ID : 0x380800b5
VPN instance : vpn1
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
VPI/VCI(for ATM) : -/-
DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Login time : May 9 08:56:29 2014
Service node : Slot 3 CPU 0
Type : DHCP
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
Interface: Gigabitethernet 3/1/1
IP address : 100::1
MAC address : 0010-9400-0004
User ID : 0x380800b6
VPN instance : vpn1
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
VPI/VCI(for ATM) : -/-
DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Login time : May 9 09:00:02 2014
Service node : Slot 3 CPU 0
Type : DHCP
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
表1-9 display ip subscriber interface-leased user verbose命令显示信息描述表
|
字段 |
描述 |
|
Interface |
子用户所属接口 |
|
IP address |
子用户的IP地址 |
|
MAC address |
子用户的MAC地址 |
|
User ID |
子用户ID,只有子用户上线后才会由系统分配,0xffffffff表示暂未分配 |
|
VPN instance |
子用户所属的MPLS L3VPN实例,N/A表示子用户属于公网 |
|
子用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
|
VPI/VCI(for ATM) |
ATM的PVC信息(“-”表示没有PVC信息) |
|
DNS servers |
实际分配给子用户的DNS地址。当实际分配给子用户的DNS地址个数: · 为0时,本字段显示为N/A,表示无DNS地址 · 为1或2时,本字段按实际情况显示 · 大于2时,本字段仅显示实际分配给子用户的前两个DNS地址 |
|
DHCP服务器分配给子用户的IP地址租约时间,单位为秒 · N/A:表示无DHCP租约 · Unlimited:表示租约无限长 |
|
|
DHCP服务器分配给子用户的IP地址租约剩余时长,单位为秒 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
|
|
子用户登录时间,即子用户授权成功的时间,格式为设备时间,如:MM DD hh:mm:ss YYYY |
|
|
Type |
子用户类型: · Unclassified-IP:未知源报文接入类型,对于接口专线用户,认证通过后接入接口收到子用户始发报文为IP报文时,记录该子用户为Unclassified-IP子用户类型 · DHCP:DHCP报文接入类型,对于接口专线用户,认证通过后接入接口收到子用户始发报文为DHCP请求报文时,记录该子用户为DHCP子用户类型 · NDRS:IPv6 ND RS报文接入类型,对于接口专线用户,认证通过后接入接口收到子用户始发报文为IPv6 ND RS报文时,记录该子用户为IPv6 ND RS子用户类型 |
|
QoS |
IPoE专线子用户的QoS消息 |
|
User profile |
AAA授权的User Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
|
Session group profile |
AAA授权的Session Group Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
|
User group ACL |
AAA授权的User group ACL名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User group ACL成功 · inactive:AAA授权User group ACL失败或者设备上不存在该User group ACL · 授权结果未知 |
|
Inbound user priority |
AAA授权的入方向子用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权入方向子用户优先级成功 · inactive:AAA授权入方向子用户优先级失败 |
|
Outbound user priority |
AAA授权的出方向子用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权出方向子用户优先级成功 · inactive:AAA授权出方向子用户优先级失败 |
【相关命令】
· ip subscriber enable
display ip subscriber interface-leased user ip-type命令用来显示指定IP协议类型的IPoE接口专线子用户的会话信息。
【命令】
(独立运行模式)
display ip subscriber interface-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ slot slot-number ]
(IRF模式)
display ip subscriber interface-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4:显示IPv4类型的IPoE接口专线子用户的会话信息。
ipv6:显示IPv6类型的IPoE接口专线子用户的会话信息。
interface interface-type interface-number:显示指定接口上的IPoE接口专线子用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE接口专线子用户的会话信息。
mac mac-address:显示指定源MAC地址的IPoE接口专线子用户的会话信息,mac-address为子用户MAC地址,形式为H-H-H。
s-vlan svlan-id:显示指定服务提供商VLAN的IPoE接口专线子用户的会话信息,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示指定用户VLAN的IPoE接口专线子用户的会话信息,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:显示指定VXLAN的IPoE接口专线子用户的会话信息,vxlan-id表示VXLAN ID,取值范围为0~16777215。
verbose:显示接口上IPoE接口专线子用户的会话详细信息。如果不指定该参数,则只显示子用户的简要信息。
slot slot-number:显示指定单板的IPoE接口专线子用户的会话信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE接口专线子用户的会话信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的IPoE接口专线子用户的会话信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE接口专线子用户的会话信息。(IRF模式)
【使用指导】
当且仅当IPoE接口专线用户的接入模式为二层接入模式时,本命令才生效。
【举例】
# 显示接口GigabitEthernet3/1/1上的IPv4 IPoE接口专线子用户的会话简要信息。
<Sysname> display ip subscriber interface-leased user ip-type ipv4
Interface IP address MAC address SVLAN/CVLAN User ID
GE3/1/1 100.1.1.3 0010-9400-0003 -/- 0x380800b5
表1-10 display ip subscriber interface-leased user ip-type命令显示信息描述表
|
字段 |
描述 |
|
Interface |
子用户所在的接口名称 |
|
IP address |
子用户的IP地址 |
|
MAC address |
子用户的MAC地址 |
|
SVLAN/CVLAN |
子用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
User ID |
子用户ID,只有子用户上线后才会由系统分配,0xffffffff表示暂未分配 |
# 显示接口GigabitEthernet3/1/1上的IPv4 IPoE接口专线子用户的会话详细信息。(独立运行模式)
<Sysname> display ip subscriber interface-leased user ip-type ipv4 interface gigabitethernet 3/1/1 verbose
Interface: Gigabitethernet 3/1/1
IP address : 100.1.1.3
MAC address : 0010-9400-0003
User ID : 0x380800b5
VPN instance : vpn1
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
VPI/VCI(for ATM) : -/-
DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Login time : May 9 08:56:29 2014
Service node : Slot 3 CPU 0
Type : DHCP
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound user priority : N/A
Outbound user priority : N/A
表1-11 display ip subscriber interface-leased user ip-type ipv4 verbose命令显示信息描述表
|
字段 |
描述 |
|
Interface |
子用户所属接口 |
|
IP address |
子用户的IP地址 |
|
MAC address |
子用户的MAC地址 |
|
User ID |
子用户ID,只有子用户上线后才会由系统分配,0xffffffff表示暂未分配 |
|
VPN instance |
子用户所属的MPLS L3VPN实例,N/A表示子用户属于公网 |
|
Service-VLAN/Customer-VLAN |
子用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
Access interface |
子用户接入的接口名称 |
|
VPI/VCI(for ATM) |
ATM的PVC信息(“-”表示没有PVC信息) |
|
DNS servers |
实际分配给子用户的DNS地址。当实际分配给子用户的DNS地址个数: · 为0时,本字段显示为N/A,表示无DNS地址 · 为1或2时,本字段按实际情况显示 · 大于2时,本字段仅显示实际分配给子用户的前两个DNS地址 |
|
DHCP lease |
DHCP服务器分配给子用户的IP地址租约时间,单位为秒 · N/A:表示无DHCP租约 · Unlimited:表示租约无限长 |
|
DHCP remain lease |
DHCP服务器分配给子用户的IP地址租约剩余时长,单位为秒 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
|
Login time |
子用户登录时间,即子用户授权成功的时间,格式为设备时间,如:MM DD hh:mm:ss YYYY |
|
Service node |
为子用户提供认证服务的节点信息 |
|
Type |
子用户类型: · Unclassified-IP:未知源报文接入类型,对于接口专线用户,认证通过后接入接口收到子用户始发报文为IP报文时,记录该子用户为Unclassified-IP子用户类型 · DHCP:DHCP报文接入类型,对于接口专线用户,认证通过后接入接口收到子用户始发报文为DHCP请求报文时,记录该子用户为DHCP子用户类型 · NDRS:IPv6 ND RS报文接入类型,对于接口专线用户,认证通过后接入接口收到子用户始发报文为IPv6 ND RS报文时,记录该子用户为IPv6 ND RS子用户类型 |
|
QoS |
IPoE专线子用户的QoS消息 |
|
User profile |
AAA授权的User Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
|
Session group profile |
AAA授权的Session Group Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未 |
|
User group ACL |
AAA授权的User group ACL名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User group ACL成功 · inactive:AAA授权User group ACL失败或者设备上不存在该User group ACL · 授权结果未知 |
|
Inbound user priority |
AAA授权的入方向子用户优先级,有效值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权入方向子用户优先级成功 · inactive:AAA授权入方向子用户优先级失败 |
|
Outbound user priority |
AAA授权的出方向子用户优先级,有效值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权出方向子用户优先级成功 · inactive:AAA授权出方向子用户优先级失败 |
【相关命令】
· ip subscriber enable
display ip subscriber l2vpn-leased命令用来显示IPoE L2VPN专线用户的会话信息。
【命令】
(独立运行模式)
display ip subscriber l2vpn-leased [ interface interface-type interface-number ] [ slot slot-number ]
(IRF模式)
display ip subscriber l2vpn-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的IPoE L2VPN专线用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE L2VPN专线用户的会话信息。
slot slot-number:显示指定单板上的IPoE L2VPN专线用户的会话信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE L2VPN专线用户的会话信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的IPoE L2VPN专线用户的会话信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有成员设备上的IPoE L2VPN专线用户的会话信息。(IRF模式)
【举例】
# 显示接口GigabitEthernet3/1/1上的IPoE L2VPN专线用户的会话信息。(独立运行模式)
<Sysname> display ip subscriber l2vpn-leased interface gigabitethernet 3/1/1
Basic:
Access interface : GE3/1/1
VPN instance : N/A
Username : a
User ID : 0x30000000
State : Online
Service node : Slot 3 CPU 0
Domain : radius
Login time : May 14 20:04:42 2014
Online time (hh:mm:ss) : 00:16:37
AAA:
ITA policy name : ipoe
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : N/A
Max IPv4 multicast addresses: 0
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 0
IPv6 multicast address list : N/A
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
Flow statistics:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
ITA:
Acct merge : Enabled
Acct quota-out action : Offline
Denied level : N/A
Level-1 Inbound CAR : CIR 126976000kbps PIR 126976000kbps (active)
Outbound CAR : N/A
Traffic separate : Disable
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
Level-2 Inbound CAR : N/A
Outbound CAR : N/A
Traffic separate : Disabled
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
表1-12 display ip subscriber l2vpn-leased命令显示信息描述表
|
字段 |
描述 |
|
Basic |
IPoE用户的会话基本信息 |
|
Access interface |
用户所在的接口名称 |
|
VPN instance |
L2VPN不存在VPN实例,该字段永远显示为N/A |
|
Username |
用户认证时使用的用户名 |
|
User ID |
用户ID,只有用户上线后才会由系统分配,0xffffffff表示暂未分配 |
|
State |
用户的会话状态: · Init:初始化 · Offline:正在下线 · Auth:认证中 · AuthFail:认证失败 · AuthPass :认证通过 · AssignedIP:用户已具备IP地址 · Online:用户在线 · Backup:备份状态,表示该用户是由对端备份到本端的 |
|
Service node |
为用户提供认证服务的节点信息 |
|
Domain |
认证使用的认证域名 |
|
Login time |
用户登录时间,即用户授权成功的时间,格式为设备时间,如:MM DD hh:mm:ss YYYY |
|
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
|
Failure reason |
会话下驱动失败的原因(本字段只在会话下驱动失败时才显示): · Not support:驱动不支持 · No resource:硬件资源不足 · Unknown:失败原因未知 |
|
AAA |
IPoE会话的AAA授权信息 |
|
ITA policy name |
AAA授权的ITA(Intelligent Target Accounting,智能靶向计费)策略名称(若未授权,则显示“N/A”) |
|
IP pool |
AAA授权的IPv4 DHCP地址池名称(若未授权,则显示“N/A”) |
|
IP pool group |
AAA授权的IPv4 DHCP地址池组名称(该字段仅在AAA授权了IPv4 DHCP地址池组,且未授权IPv4 DHCP地址池的情况下才会显示,不会与IP pool同时显示) |
|
IPv6 pool |
AAA授权的IPv6 DHCP地址池名称(若未授权,则显示“N/A”) |
|
IPv6 pool group |
AAA授权的IPv6 DHCP地址池组名称(该字段仅在AAA授权了IPv6 DHCP地址池组,且未授权IPv6 DHCP地址池的情况下才会显示,不会与IPv6 pool同时显示) |
|
Primary DNS server |
AAA授权的主IPv4 DNS服务器地址(若未授权,则显示“N/A”) |
|
Secondary DNS server |
AAA授权的从IPv4 DNS服务器地址(若未授权,则显示“N/A”) |
|
Primary IPv6 DNS server |
AAA授权的主IPv6 DNS服务器地址(若未授权,则显示“N/A”) |
|
Secondary IPv6 DNS server |
AAA授权的从IPv6 DNS服务器地址(若未授权,则显示“N/A”) |
|
Session idle cut |
用户闲置切断时间和流量(在给定时间范围内流量没超过一定字节数,认为该用户下线并强制下线),单位分别为秒和字节,N/A表示不进行闲置切断;L2VPN专线不支持用户闲置切断,该字段永远显示为N/A |
|
direction |
设备可基于在给定时间内用户入方向或出方向流量是否超过一定的字节数,来判断是否对用户进行闲置切断(即是否强制用户下线) 用户闲置切断的流量方向包括: · Both:表示基于用户入方向和出方向流量之和进行闲置切断判断 · Inbound:表示基于用户入方向流量进行闲置切断判断 · Outbound:表示基于用户出方向流量进行闲置切断判断 |
|
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未授权会话时长 · Unlimited:表示会话时长无限制 |
|
Remaining |
AAA授权的IPoE会话剩余时长 · 当AAA未授权IPoE会话超时时间时,该字段始终显示为N/A · 当AAA授权IPoE会话超时时间时 ¡ 如果用户通过三层以太网接口/三层以太网子接口上线,该字段始终显示具体的剩余时长或Unlimited(表示会话时长无限制) ¡ 如果用户通过三层聚合接口/三层聚合子接口上线,则只有在本命令中指定Service node所在的slot或接口时,才会显示具体的剩余时长或Unlimited(表示会话时长无限制),否则显示为N/A |
|
Traffic quota |
授权流量,单位为字节,N/A表示未对用户指定授权流量 |
|
Traffic remained |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量或者授权流量已经用完 |
|
Acct start-fail action |
计费开始失败时对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
Acct update-fail action |
计费更新失败时对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
Acct quota-out action |
流量耗尽后对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
Dual-stack accounting mode |
L2VPN专线不支持双栈计费,该字段永远显示为N/A |
|
Max IPv4 multicast addresses |
AAA授权用户可加入的IPv4组播组的最大数目 |
|
IPv4 multicast address list |
AAA授权用户可加入的IPv4组播组地址列表(若未授权,则显示“N/A”) |
|
Max IPv6 multicast addresses |
AAA授权用户可加入的IPv6组播组的最大数目 |
|
IPv6 multicast address list |
AAA授权用户可加入的IPv6组播组地址列表(若未授权,则显示“N/A”) |
|
QoS |
IPoE会话的QoS信息 |
|
User profile |
AAA授权的User Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
|
Session group profile |
AAA授权的Session Group Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
|
User group ACL |
AAA授权的User group ACL名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User group ACL成功 · inactive:AAA授权User group ACL失败或者设备上不存在该User group ACL · 授权结果未知 |
|
Inbound CAR |
入方向CAR值(CIR:入方向平均速率,单位为kbps;PIR:入方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte) (若未授权,则显示“N/A”)。授权状态包括如下: · active:表示入方向CAR限速下发成功 · inactive:表示入方向CAR限速下发失败 |
|
Outbound CAR |
出方向CAR值(CIR:出方向平均速率,单位为kbps;PIR:出方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte) (若未授权,则显示“N/A”)。授权状态包括如下: · active:表示出方向CAR限速下发成功 · inactive:表示出方向CAR限速下发失败 |
|
Inbound user priority |
AAA授权的入方向用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权入方向用户优先级成功 · inactive:AAA授权入方向用户优先级失败 |
|
Outbound user priority |
AAA授权的出方向用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权出方向用户优先级成功 · inactive:AAA授权出方向用户优先级失败 |
|
Flow statistic |
IPoE会话的流量统计信息 |
|
Uplink packets/bytes |
L2VPN专线不支持双栈计费,该字段表示IPv4上行流量报文数/字节数 |
|
Downlink packets/bytes |
L2VPN专线不支持双栈计费,该字段表示IPv4下行流量报文数/字节数 |
|
IPv6 uplink packets/bytes |
IPv6上行流量报文数/字节数 |
|
IPv6 downlink packets/bytes |
IPv6下行流量报文数/字节数 |
|
ITA |
IPoE会话的ITA(Intelligent Target Accounting,智能靶向计费)业务流量统计信息 |
|
Acct merge |
ITA统一计费功能的开启状态: · Enabled:开启 · Disabled:关闭 |
|
Denied level |
当前被阻断流量的级别,流量级别取值范围为1~8,当IPoE收到该级别的流量时直接丢弃,None表示没有任何级别的流量被阻断 |
|
Level-n Inbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的入方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 入方向CAR的授权状态如下: · active:授权成功 · inactive:授权失败 · N/A:未授权 |
|
Outbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的出方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 出方向CAR的授权状态如下: · active:授权成功 · inactive:授权失败 · N/A:未授权 |
|
Traffic separate |
ITA流量与用户主计费流量分离功能的开启状态: · Enabled:开启 · Disabled:关闭 |
【相关命令】
· ip subscriber enable
display ip subscriber l2vpn-leased statistics命令用来显示IPoE L2VPN专线用户的会话统计信息。
【命令】
(独立运行模式)
display ip subscriber l2vpn-leased statistics [ domain domain-name ] [ interface interface-type interface-number ] [ slot slot-number ]
(IRF模式)
display ip subscriber l2vpn-leased statistics [ domain domain-name ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
domain domain-name:显示指定ISP域认证的IPoE L2VPN专线用户的会话统计信息,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
interface interface-type interface-number:显示指定接口上的IPoE L2VPN专线用户的会话统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE L2VPN专线用户的会话统计信息。
slot slot-number:显示指定单板上的IPoE L2VPN专线用户的会话统计信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE L2VPN专线用户的会话统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的IPoE L2VPN专线用户的会话统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有成员设备上的IPoE L2VPN专线用户的会话统计信息。(IRF模式)
【举例】
# 显示设备上的IPoE L2VPN专线用户的会话统计信息。
<Sysname> display ip subscriber l2vpn-leased statistics
Total sessions : 100
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-13 display ip subscriber l2vpn-leased statistics命令显示信息描述表
|
字段 |
描述 |
|
Total sessions |
L2VPN专线用户的会话总数 |
|
Init |
处于初始状态的会话数 |
|
Authenticating |
处于正在认证状态的会话数 |
|
Authentication fail |
处于认证失败状态的会话数 |
|
Authentication pass |
处于认证成功状态的会话数 |
|
Assigned IP |
处于成功分配到IP地址状态的会话数 |
|
Online |
处于在线状态的会话数 |
|
Backup |
处于备份状态的会话数 |
【相关命令】
· ip subscriber enable
display ip subscriber offline statistics命令用来显示IPoE用户会话下线原因的统计信息。
【命令】
display ip subscriber offline statistics [ bind | web [ pre-auth ] ] [ ip-type { ipv4 | ipv6 } ] [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
bind:显示采用绑定认证方式的IPoE用户会话下线原因统计信息。
web:显示采用Web认证方式和Web MAC认证方式的IPoE用户会话下线原因统计信息。
pre-auth:仅显示认证前域认证阶段的IPoE用户会话下线原因统计信息。如果未指定本参数,将显示认证前域认证和Web认证两个阶段的所有IPoE用户会话下线原因统计信息。
ip-type:显示指定IP协议类型的IPoE用户会话下线原因的统计信息。如果未指定本参数,将显示所有IP协议类型的IPoE用户会话下线原因的统计信息。
ipv4:表示IPv4 IPoE用户会话。
ipv6:表示IPv6 IPoE用户会话。
interface interface-type interface-number:显示指定接口上IPoE用户会话下线原因的统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上IPoE用户会话下线原因的统计信息。
【使用指导】
采用Web认证方式和Web MAC认证方式时包含认证前域认证和Web认证两个阶段。
如果未指定认证方式,将显示所有认证方式的IPoE用户会话下线原因的统计信息。
【举例】
# 显示接口GigabitEthernet3/1/1上IPoE用户会话下线原因的统计信息。
<Sysname> display ip subscriber offline statistics interface gigabitethernet 3/1/1
IP-type : IPv4
Bind:
Total sessions : 100
User request : 0
DHCP lease expire : 0
AAA lease expire : 0
Command cut : 80
AAA terminate : 0
Authenticate fail : 0
Authorization fail : 0
Idle timeout : 10
Detect fail : 10
Not enough resource : 0
Interface down : 0
Interface shutdown : 0
VSRP event : 0
DHCP notify : 0
User Group notify : 0
NAT notify : 0
Other : 0
Web pre-auth:
Total sessions : 0
User request : 0
DHCP lease expire : 0
AAA lease expire : 0
Command cut : 0
AAA terminate : 0
Authenticate fail : 0
Authorization fail : 0
Idle timeout : 0
Detect fail : 0
Not enough resource : 0
Interface down : 0
Interface shutdown : 0
VSRP event : 0
DHCP notify : 0
User Group notify : 0
NAT notify : 0
Other : 0
Web:
Total sessions : 0
User request : 0
DHCP lease expire : 0
AAA lease expire : 0
Command cut : 0
AAA terminate : 0
Authenticate fail : 0
Authorization fail : 0
Idle timeout : 0
Detect fail : 0
Not enough resource : 0
Interface down : 0
Interface shutdown : 0
VSRP event : 0
DHCP notify : 0
User Group notify : 0
NAT notify : 0
Portal notify : 0
Other : 0
IP-type : IPv6
Bind:
Total sessions : 100
User request : 0
DHCP lease expire : 0
AAA lease expire : 0
Command cut : 80
AAA terminate : 0
Authenticate fail : 0
Authorization fail : 0
Idle timeout : 10
Detect fail : 10
Not enough resource : 0
Interface down : 0
Interface shutdown : 0
VSRP event : 0
DHCP notify : 0
User Group notify : 0
NAT notify : 0
Other : 0
Web pre-auth:
Total sessions : 0
User request : 0
DHCP lease expire : 0
AAA lease expire : 0
Command cut : 0
AAA terminate : 0
Authenticate fail : 0
Authorization fail : 0
Idle timeout : 0
Detect fail : 0
Not enough resource : 0
Interface down : 0
Interface shutdown : 0
VSRP event : 0
DHCP notify : 0
User Group notify : 0
NAT notify : 0
Other : 0
Web:
Total sessions : 0
User request : 0
DHCP lease expire : 0
AAA lease expire : 0
Command cut : 0
AAA terminate : 0
Authenticate fail : 0
Authorization fail : 0
Idle timeout : 0
Detect fail : 0
Not enough resource : 0
Interface down : 0
Interface shutdown : 0
VSRP event : 0
DHCP notify : 0
User Group notify : 0
NAT notify : 0
Portal notify : 0
Other : 0
表1-14 display ip subscriber offline statistics命令显示信息描述表
|
字段 |
描述 |
|
IP-type |
IP协议类型: · IPv4:表示IPv4 IPoE用户会话 · IPv6:表示IPv6 IPoE用户会话 |
|
Bind |
绑定认证用户会话的下线原因统计信息 |
|
Web pre-auth |
认证前域认证阶段用户会话的下线原因统计信息 |
|
Web |
Web认证阶段用户会话的下线原因统计信息 |
|
Total sessions |
下线的总会话数 |
|
User request |
用户主动要求下线的会话数 |
|
DHCP lease expire |
DHCP租约到期正常下线的会话数 |
|
AAA lease expire |
AAA租约到期正常下线的会话数 |
|
Command cut |
通过命令行下线的会话数 |
|
AAA terminate |
AAA强制下线的会话数 |
|
Authenticate fail |
认证失败的会话数 |
|
Authorization fail |
授权失败的会话数 |
|
Idle timeout |
用户空闲超时下线的会话数 |
|
Detect fail |
在线探测失败下线的会话数 |
|
Not enough resource |
硬件资源不足下线的会话数 |
|
Interface down |
因接口状态为down下线的会话数 |
|
Interface shutdown |
主动shutdown接口导致下线的会话数 |
|
VSRP event |
(暂不支持)收到VSRP(Virtual Service Redundancy Protocol,虚拟业务冗余协议) 事件通知而下线的会话数 |
|
DHCP notify |
DHCP通知下线的会话数 |
|
User Group notify |
User Group通知下线的会话数 |
|
NAT notify |
NAT通知下线的会话数 |
|
Portal notify |
Portal通知下线的会话数 |
|
Other |
其它状况触发下线的会话数 |
【相关命令】
· reset ip subscriber offline statistics
display ip subscriber session命令用来显示IPoE个人会话信息。
【命令】
(独立运行模式)
display ip subscriber session [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ { { domain domain-name | mac mac-address | static | username name | auth-type { bind | web [ pre-auth | mac-auth | mac-trigger ] } } | ip-type { ipv4 | ipv6 | dual-stack } } * | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ verbose ] [ slot slot-number ]
(IRF模式)
display ip subscriber session [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ { { domain domain-name | mac mac-address | static | username name | auth-type { bind | web [ pre-auth | mac-auth | mac-trigger ] } } | ip-type { ipv4 | ipv6 | dual-stack } } * | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ verbose ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的IPoE个人会话,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE个人会话。
s-vlan svlan-id:显示指定服务提供商VLAN的IPoE动态个人会话,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示指定用户VLAN的IPoE动态个人会话,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:显示指定VXLAN的IPoE个人会话,vxlan-id表示VXLAN ID,取值范围为0~16777215。
domain domain-name:显示使用指定ISP域认证的IPoE个人会话,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
mac mac-address:显示指定源MAC地址的IPoE个人会话,mac-address为用户MAC地址,形式为H-H-H。
static:显示静态配置的IPoE个人会话。不指定该参数时将显示静态配置的IPoE个人会话和动态触发创建的IPoE个人会话。
username name:显示指定用户名的IPoE个人会话,其中,name为1~255个字符的字符串,区分大小写。
auth-type:显示指定用户认证类型的IPoE个人会话信息。
bind:显示采用绑定认证方式的IPoE个人会话信息。
web:显示采用Web认证方式的IPoE个人会话信息。如果pre-auth、mac-auth和mac-trigger均未指定,将显示所有采用Web认证方式(包括普通Web认证、Web MAC认证和MAC Trigger认证)并处于Web认证阶段的IPoE个人会话信息。
pre-auth:仅显示处于认证前域认证阶段的IPoE个人会话信息。
mac-auth:仅显示Web MAC认证中处于Web认证阶段的IPoE个人会话信息。
mac-trigger:仅显示MAC Trigger认证中处于Web认证阶段的IPoE个人会话信息。
ip-type:显示指定IP协议类型的IPoE个人会话信息。
ipv4:仅显示IPv4单栈IPoE个人会话。
ipv6:仅显示IPv6单栈IPoE个人会话。
dual-stack:仅显示双栈IPoE个人会话信息。
ip ipv4-address:显示指定源IPv4地址的IPoE个人会话信息,ipv4-address为指定的IPv4地址。
ipv6 ipv6-address:显示指定源IPv6地址的IPoE个人会话信息,ipv6-address为指定的IPv6地址。
vpn-instance vpn-instance-name:指定用户所属的VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPoE个人用户位于公网中。
verbose:显示IPoE个人会话的详细信息。如果不指定该参数,则只显示IPoE个人会话的简要信息。
slot slot-number:显示指定单板的IPoE个人会话信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE个人会话信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的IPoE个人会话信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE个人会话信息。(IRF模式)
【举例】
# 显示接口GE3/1/1上的IPoE个人会话简要信息。
<Sysname> display ip subscriber session interface gigabitethernet 3/1/1
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1 1.1.1.1 000d-88f8-0eab D/U Online
1::1 -/- -
User1
GE3/1/1 1.1.1.2 001d-88f8-0eab D/U Online
1::2 -/- -
User2
表1-15 display ip subscriber session命令显示信息描述表
|
字段 |
描述 |
|
Interface |
用户所在的接口名称 |
|
Username |
用户认证时使用的用户名 |
|
IP address |
用户的IPv4地址(“-”表示没有IPv4用户上线) |
|
IPv6 address |
用户的IPv6地址(“-”表示没有IPv6用户上线;对于通过ND前缀池授权前缀方式上线的ND RS用户在简要显示信息中该字段表示IPv6 ND前缀,在详细显示信息中不显示该字段) |
|
MAC address |
用户的MAC地址 |
|
SVLAN/CVLAN |
用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
Type |
IPoE用户类型: · D:DHCP接入用户 · S:静态个人接入用户 · U:未知源IP接入用户 · N:IPv6 ND RS接入用户 |
|
VXLAN |
用户所在VXLAN的ID信息(“-”表示没有VXLAN信息) |
|
State |
用户的会话状态: · Init:初始化 · Offline:正在下线中 · Auth:认证中 · AuthFail:认证失败 · AuthPass:认证通过 · AssignedIP:用户已具备IP地址 · Online:用户在线 · Backup:备份状态,表示该用户是由对端备份到本端的 |
# 显示所有IPoE个人会话的详细信息。(ITA)(独立运行模式)
<Sysname> display ip subscriber session verbose
Basic:
Description : -
Username : abc
Domain : radius
VPN instance : vpn1
IP address : 1.1.1.1
IPv6 address : 1::1
User address type : private-ipv4
MAC address : 000d-88f8-0eab
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x380800b5
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : N/A
DHCP remain lease : N/A
DHCPv6 lease : N/A
DHCPv6 remain lease : N/A
Access time : May 9 08:56:29 2014
Online time (hh:mm:ss) : 00:16:37
Service node : Slot 3 CPU 0
Authentication type : Bind
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : N/A
IPv6 detect state : N/A
State : Online
AAA:
ITA policy name : ipoe
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 9 08:56:29 2014
Subscriber ID : -
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : CIR 1000kbps PIR 2000kbps CBS 4100bytes (active)
Outbound CAR : CIR 3000kbps PIR 4000kbps CBS 4100bytes (active)
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
NAT:
Global IP address : 111.8.0.234
Port block : 1024-1033
Extended port block : 2024-2033/3024-3033/4024-4033/5024-5033/6024-6033
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
ITA:
Acct merge : Disabled
Acct quota-out action : Offline
Denied level : None
Level-1 Inbound CAR : CIR 126976000kbps PIR 126976000kbps (active)
Outbound CAR : N/A
Traffic separate : Disabled
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
Level-2 Inbound CAR : N/A
Outbound CAR : N/A
Traffic separate : Disabled
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 显示所有IPoE个人会话的详细信息。(EDSG)(独立运行模式)
<Sysname> display ip subscriber session verbose
Basic:
Description : -
Username : abc
Domain : radius
VPN instance : vpn1
IP address : 1.1.1.1
IPv6 address : 1::1
User address type : private-ipv4
MAC address : 000d-88f8-0eab
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x380800b5
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : N/A
DHCP remain lease : N/A
DHCPv6 lease : N/A
DHCPv6 remain lease : N/A
Access time : May 9 08:56:29 2014
Online time (hh:mm:ss) : 00:16:37
Service node : Slot 3 CPU 0
Authentication type : Bind
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : N/A
IPv6 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 9 08:56:29 2014
Subscriber ID : -
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : CIR 1000kbps PIR 2000kbps CBS 4100bytes (active)
Outbound CAR : CIR 3000kbps PIR 4000kbps CBS 4100bytes (active)
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
NAT:
Global IP address : 111.8.0.234
Port block : 1024-1033
Extended port block : 2024-2033/3024-3033/4024-4033/5024-5033/6024-6033
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
Service policy: s2m
Service ID : 1
Username (EDSG) : 200.1.1.1
Service rate-limit mode : Merge
Traffic statistics mode : Separate
Dual-stack rate limit mode : Merge
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Quota-out action : Service deactivate
Priority : 0
Inbound CAR : CIR 1000kbps PIR 2000kbps CBS 4100bytes EBS 200bytes (active)
Outbound CAR : CIR 1000kbps PIR 2000kbps CBS 4100bytes EBS 200bytes (active)
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
表1-16 display ip subscriber session命令显示信息描述表
|
字段 |
描述 |
|
|
Basic |
IPoE会话的基本信息 |
|
|
Description |
IPoE会话的描述信息(“-”表示没有描述信息) |
|
|
Username |
用户认证时使用的用户名 |
|
|
Domain |
用户认证时使用的认证域名 |
|
|
VPN instance |
用户所属的MPLS L3VPN实例,N/A表示用户属于公网 |
|
|
IP address |
用户的IP地址(对于动态个人会话,本字段仅当IPv4用户上线时才显示;对于静态个人会话,本字段按配置情况显示) |
|
|
IPv6 address |
用户的IPv6地址(对于动态个人会话,本字段仅当IPv6用户上线时才显示;对于静态个人会话,本字段按配置情况显示;对于通过ND前缀池授权前缀方式上线的ND RS用户在简要显示信息中该字段表示IPv6 ND前缀,在详细显示信息中不显示该字段) |
|
|
IPv6 ND Prefix |
用户的IPv6 ND前缀(本子段仅在ND RS用户通过ND前缀池授权前缀方式上线时才显示) |
|
|
IPv6 PD Prefix |
IPv6地址前缀绑定信息(本字段仅在DHCPv6服务器为分配的前缀创建前缀绑定信息时才显示) |
|
|
User address type |
AAA授权的用户地址类型: · private-ds:表示AAA授权的地址类型为私网双栈地址 · private-ipv4:表示AAA授权的地址类型私网IPv4地址 · public-ds:表示AAA授权的地址类型为公网双栈地址 · public-ipv4:表示AAA授权的地址类型为公网IPv4地址 · ds-lite:表示AAA授权的地址类型为轻量级双栈地址 · ipv6:表示AAA授权的地址类型为IPv6地址 · nat64:表示AAA授权的地址类型为NAT64地址 · N/A:表示AAA未授权该属性 |
|
|
MAC address |
用户的MAC地址 |
|
|
Service-VLAN/Customer-VLAN |
用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
|
Access interface |
用户接入的接口名称 |
|
|
User ID |
用户ID,只有用户上线后才会由系统分配,0xffffffff表示暂未分配 |
|
|
VPI/VCI(for ATM) |
ATM的PVC信息(“-”表示没有PVC信息) |
|
|
VSI Index |
VSI的索引 |
|
|
VSI link ID |
VSI link的ID |
|
|
VXLAN ID |
VXLAN的ID |
|
|
DNS servers |
实际分配给用户的DNS地址。当实际分配给用户的DNS地址个数: · 为0时,本字段显示为N/A,表示无DNS地址 · 为1或2时,本字段按实际情况显示 · 大于2时,本字段仅显示实际分配给用户的前两个DNS地址 |
|
|
IPv6 DNS servers |
实际分配给用户的IPv6 DNS地址。当实际分配给用户的IPv6 DNS地址个数: · 为0时,本字段显示为N/A,表示无IPv6 DNS地址 · 为1或2时,本字段按实际情况显示 · 大于2时,本字段仅显示实际分配给用户的前两个IPv6 DNS地址 |
|
|
DHCP lease |
DHCPv4服务器分配给用户的IP地址租约时间,单位为秒 · N/A:表示无DHCP租约 · Unlimited:表示租约无限长 |
|
|
DHCP remain lease |
DHCPv4服务器分配给用户的IP地址租约剩余时长,单位为秒 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
|
|
DHCPv6 lease |
DHCPv6服务器分配给用户的IPv6地址租约时间,单位为秒 · N/A:表示无DHCP租约 · Unlimited:表示租约无限长 |
|
|
DHCPv6 remain lease |
DHCPv6服务器分配给用户的IPv6地址租约剩余时长,单位为秒 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
|
|
Access time |
对于DHCP用户,该时间为分配到IP地址的时间;对于其它用户为用户登录时间 |
|
|
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
|
|
Failure reason |
会话下驱动失败的原因(本字段只在会话下驱动失败时才显示): · Not support:驱动不支持 · No resource:硬件资源不足 · Unknown:失败原因未知 |
|
|
Service node |
为用户提供认证服务的节点信息 |
|
|
Authentication type |
用户认证类型,包含如下取值: · Bind:表示绑定认证 · Web pre-auth:表示认证前域认证 · Web:表示普通Web认证 · Web mac-auth:表示Web MAC认证 · Web mac-trigger:表示MAC Trigger认证 |
|
|
IPv4 access type |
IPv4 IPoE个人会话的创建类型(对于动态个人会话,本字段仅当IPv4用户上线时才显示;对于静态个人会话,本字段无条件显示): · DHCP:DHCP报文触发创建 · Unclassified-IP:未知源IP报文触发创建 · Static:静态配置 |
|
|
IPv6 access type |
IPv6 IPoE个人会话的创建类型(对于动态个人会话,本字段仅当IPv6用户上线时才显示;对于静态个人会话,本字段无条件显示): · DHCP:DHCP报文触发创建 · Unclassified-IP:未知源IP报文触发创建 · Static:静态配置 · NDRS:IPv6 ND RS报文触发创建 |
|
|
IPv4 detect state |
IPv4 IPoE探测状态: · Detecting:探测中 · Failed:探测失败 · N/A:未探测 |
|
|
IPv6 detect state |
IPv6 IPoE探测状态: · Detecting:探测中 · Failed:探测失败 · N/A:未探测 |
|
|
State |
用户的会话状态: · Init:初始化 · Offline:正在下线中 · Auth:认证中 · AuthFail:认证失败 · AuthPass:认证通过 · AssignedIP:用户已具备IP地址 · Online:用户在线 · Backup:备份状态,表示该用户是由对端备份到本端的 |
|
|
AAA |
IPoE会话的AAA授权信息 |
|
|
ITA policy name |
AAA授权的ITA(Intelligent Target Accounting,智能靶向计费)策略名称(若未授权,则显示“N/A”) |
|
|
IP pool |
AAA授权的IPv4 DHCP地址池名称(若未授权,则显示“N/A”) |
|
|
IP pool group |
AAA授权的IPv4 DHCP地址池组名称(该字段仅在AAA授权了IPv4 DHCP地址池组,且未授权IPv4 DHCP地址池的情况下才会显示,不会与IP pool同时显示) |
|
|
IPv6 pool |
AAA授权的IPv6 DHCP地址池名称(若未授权,则显示“N/A”) |
|
|
IPv6 pool group |
AAA授权的IPv6 DHCP地址池组名称(该字段仅在AAA授权了IPv6 DHCP地址池组,且未授权IPv6 DHCP地址池的情况下才会显示,不会与IPv6 pool同时显示) |
|
|
Primary DNS server |
AAA授权的主IPv4 DNS服务器地址(若未授权,则显示“N/A”) |
|
|
Secondary DNS server |
AAA授权的从IPv4 DNS服务器地址(若未授权,则显示“N/A”) |
|
|
Primary IPv6 DNS server |
AAA授权的主IPv6 DNS服务器地址(若未授权,则显示“N/A”) |
|
|
Secondary IPv6 DNS server |
AAA授权的从IPv6 DNS服务器地址(若未授权,则显示“N/A”) |
|
|
Session idle cut |
用户闲置切断时间和流量(在给定时间范围内流量没超过一定字节数,认为该用户下线并强制下线),单位分别为秒和字节,N/A表示不进行闲置切断 |
|
|
direction |
设备可基于在给定时间内用户入方向或出方向流量是否超过一定的字节数,来判断是否对用户进行闲置切断(即是否强制用户下线) 用户闲置切断的流量方向包括: · Both:表示基于用户入方向和出方向流量之和进行闲置切断判断 · Inbound:表示基于用户入方向流量进行闲置切断判断 · Outbound:表示基于用户出方向流量进行闲置切断判断 |
|
|
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未授权会话时长 · Unlimited:表示会话时长无限制 |
|
|
remaining |
AAA授权的IPoE会话剩余时长 · 当AAA未授权IPoE会话超时时间时,该字段始终显示为N/A · 当AAA授权IPoE会话超时时间时 ¡ 如果用户通过三层以太网接口/三层以太网子接口上线,该字段始终显示具体的剩余时长或Unlimited(表示会话时长无限制) ¡ 如果用户通过三层聚合接口/三层聚合子接口上线,则只有在本命令中指定Service node所在的slot或接口时,才会显示具体的剩余时长或Unlimited(表示会话时长无限制),否则显示为N/A |
|
|
Traffic quota |
授权流量,单位为字节,N/A表示未对用户指定授权流量 |
|
|
Traffic remained |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量或者授权流量已经用完 |
|
|
Acct start-fail action |
计费开始失败时对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
|
Acct update-fail action |
计费更新失败时对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
|
Acct quota-out action |
流量耗尽后对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
|
Dual-stack accounting mode |
双协议栈用户的计费类型: · Merge:统一计费,即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器 · Separate:分别计费,即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器 · N/A:表示AAA未授权该属性 |
|
|
Max IPv4 multicast addresses |
AAA授权用户可加入的IPv4组播组的最大数目 |
|
|
IPv4 multicast address list |
AAA授权用户可加入的IPv4组播组地址列表(若未授权,则显示“N/A”) |
|
|
Max IPv6 multicast addresses |
AAA授权用户可加入的IPv6组播组的最大数目 |
|
|
IPv6 multicast address list |
AAA授权用户可加入的IPv6组播组地址列表(若未授权,则显示“N/A”) |
|
|
Accounting start time |
计费开始时间 |
|
|
Redirect URL |
该字段仅在Web认证时才显示(取值为N/A表示未授权URL信息或者授权了URL信息但不满足重定向条件),其中: · 在认证前域阶段,该字段表示向用户推送的Web认证页面URL · 在Web认证阶段,该字段表示向用户推送的重定向URL。重定向URL主要用于Web页面推送,例如,用户认证成功后首次访问网络时用于推送广告、通知类页面 |
|
|
Subscriber ID |
用户的授权Subscriber ID值(若未授权,则显示“-”) |
|
|
QoS |
IPoE会话的QoS信息 |
|
|
User profile |
AAA授权的User Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
|
|
Session group profile |
AAA授权的Session Group Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
|
|
User group ACL |
AAA授权的User group ACL名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User group ACL成功 · inactive:AAA授权User group ACL失败或者设备上不存在该User group ACL · 授权结果未知 |
|
|
Inbound CAR |
入方向CAR值(CIR:入方向平均速率,单位为kbps;PIR:入方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte;EBS:超出突发尺寸,单位为byte) (若未授权,则显示“N/A”)。授权状态包括如下: · active:表示入方向CAR限速下发成功 · inactive:表示入方向CAR限速下发失败 |
|
|
Outbound CAR |
出方向CAR值(CIR:出方向平均速率,单位为kbps;PIR:出方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte;EBS:超出突发尺寸,单位为byte) (若未授权,则显示“N/A”)。授权状态包括如下: · active:表示出方向CAR限速下发成功 · inactive:表示出方向CAR限速下发失败 |
|
|
Inbound user priority |
AAA授权的入方向用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权入方向用户优先级成功 · inactive:AAA授权入方向用户优先级失败 |
|
|
Outbound user priority |
AAA授权的出方向用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权出方向用户优先级成功 · inactive:AAA授权出方向用户优先级失败 |
|
|
NAT |
IPoE会话的NAT信息(本字段仅在与NAT联动时才会显示) |
|
|
Global IP address |
公网IP地址 |
|
|
Port block |
端口块:起始端口-结束端口 |
|
|
Extended port block |
增量端口块:每个增量端口块的起始端口-结束端口,各增量端口块之间通过斜杠分割显示(本字段仅在端口块动态映射方式下,配置了增量端口块时才会显示) |
|
|
Flow statistic |
IPoE会话的流量统计信息 |
|
|
Uplink packets/bytes |
计费方式为统一计费时,本字段表示IPv4和IPv6的上行流量报文数/字节数;其余情况均表示IPv4上行流量报文数/字节数 |
|
|
Downlink packets/bytes |
计费方式为统一计费时,本字段表示IPv4和IPv6的下行流量报文数/字节数;其余情况均表示IPv4下行流量报文数/字节数 |
|
|
IPv6 uplink packets/bytes |
IPv6上行流量报文数/字节数 |
|
|
IPv6 downlink packets/bytes |
IPv6下行流量报文数/字节数 |
|
|
ITA |
IPoE会话的ITA(Intelligent Target Accounting,智能靶向计费)业务流量统计信息 |
|
|
Acct merge |
· ITA统一计费功能的开启状态: · Enabled:开启 · Disabled:关闭 |
|
|
Denied level |
当前被阻断流量的级别,流量级别取值范围为1~8,当IPoE收到该级别的流量时直接丢弃,None表示没有任何级别的流量被阻断 |
|
|
Level-n Inbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的入方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 入方向CAR的授权状态如下: · active:授权成功 · inactive:授权失败 · N/A:未授权 |
|
|
Outbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的出方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 出方向CAR的授权状态如下: · active:授权成功 · inactive:授权失败 · N/A:未授权 |
|
|
Traffic separate |
ITA流量与用户主计费流量分离功能的开启状态: · Enabled:开启 · Disabled:关闭 |
|
|
Service policy |
EDSG业务策略名称 |
|
|
Service ID |
EDSG业务策略ID |
|
|
Username (EDSG) |
EDSG业务认证使用的用户名 |
|
|
Service rate-limit mode |
EDSG业务流量限速模式,取值包括: · Merge:带内限速,即在用户可用总带宽内,对EDSG业务流量和普通业务流量同时限速,且优先保证EDSG业务带宽速 · Separate:带外限速,即对EDSG业务流量进行独立限速,用户普通业务流量带宽不受影响 |
|
|
Traffic statistics mode |
EDSG业务流量统计策略,取值包括: · Merge:EDSG业务流量将会纳入用户总流量中进行统计 · Separate:EDSG业务流量与普通业务流量分开统计,并不会纳入用户总流量中统计 |
|
|
Dual-stack rate limit mode |
EDSG双栈业务流量限速模式,取值包括: · Merge:对用户的IPv4流量和IPv6流量合并后进行限速 · Separate:对用户的IPv4流量和IPv6流量分别进行限速 |
|
|
Session duration |
授权的EDSG业务的超时时间,单位为秒 · N/A:表示未下发会话时长 · Unlimited:表示会话时长无限 |
|
|
Quota-out action |
配额耗尽时的动作: · Service deactivate:EDSG业务策略失效,目前只支持业务失效 · Redirect:重定向报文 · Flow drop:丢弃报文 · Flow forward:转发报文 |
|
|
Priority |
EDSG业务的业务优先级,取值范围为0~7,数值越大优先级越高(当前EDSG业务的业务优先级仅支持为0) |
|
【相关命令】
· reset ip subscriber session
display ip subscriber session statistics命令用来显示IPoE个人会话的统计信息。
【命令】
(独立运行模式)
display ip subscriber session statistics [ bind [ session-type { dhcp | dhcpv6 | ndrs | static | unclassified-ip | unclassified-ipv6 } ] | web [ pre-auth | mac-auth | mac-trigger ] ] [ domain domain-name ] [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ slot slot-number ]
(IRF模式)
display ip subscriber session statistics [ bind [ session-type { dhcp | dhcpv6 | ndrs | static | unclassified-ip | unclassified-ipv6 } ] | web [ pre-auth | mac-auth | mac-trigger ] ] [ domain domain-name ] [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
bind:显示采用绑定认证方式的IPoE个人会话统计信息。
session-type:显示指定上线类型的IPoE个人会话统计信息。不指定该参数,则表示显示所有类型的IPoE个人会话统计信息。
dhcp:表示DHCPv4用户。
dhcpv6:表示DHCPv6用户。
ndrs:表示IPv6 ND RS用户。
static:表示静态个人用户。
unclassified-ip:表示未知源IPv4用户。
unclassified-ipv6:表示未知源IPv6用户。
web:显示采用Web认证方式的IPoE个人会话统计信息。如果pre-auth、mac-auth和mac-trigger均未指定,将显示所有采用Web认证方式(包括普通Web认证、Web MAC认证和MAC Trigger认证)并处于认证前域认证阶段或Web认证阶段的IPoE个人会话的统计信息。
pre-auth:仅显示处于认证前域认证阶段的IPoE个人会话统计信息。
mac-auth:仅显示Web MAC认证中处于Web认证阶段的IPoE个人会话统计信息。
mac-trigger:仅显示MAC Trigger认证中处于Web认证阶段的IPoE个人会话统计信息。
domain domain-name:显示指定ISP域认证的IPoE个人会话统计信息,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
interface interface-type interface-number:显示指定接口上的IPoE个人会话统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE个人会话统计信息。
s-vlan svlan-id:显示指定服务提供商VLAN的IPoE动态个人会话,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示指定用户VLAN的IPoE动态个人会话,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:显示指定VXLAN的IPoE个人会话,vxlan-id表示VXLAN ID,取值范围为0~16777215。
slot slot-number:显示指定单板上的IPoE个人会话统计信息, slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE会话统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的IPoE个人会话统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE个人会话统计信息。(IRF模式)
【使用指导】
采用Web认证方式和Web MAC认证方式时包含认证前域认证和Web认证两个阶段。
如果未指定认证方式,将显示所有认证方式的IPoE个人会话统计信息。
【举例】
# 显示接口GigabitEthernet3/1/1上的IPoE个人会话统计信息。
<Sysname> display ip subscriber session statistics interface gigabitethernet 3/1/1
Total sessions : 100
Bind:
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
Web pre-auth:
Init : 0
Authenticating : 0
Authenticate fail : 0
Authenticate pass : 0
Assigned IP : 0
Online : 0
Backup : 0
Web:
Init : 0
Authenticating : 0
Authenticate fail : 0
Authenticate pass : 0
Assigned IP : 0
Online : 0
Backup : 0
# 显示Web MAC认证中处于Web认证阶段的IPoE个人会话统计信息。
<Sysname> display ip subscriber session statistics web mac-auth
Total sessions : 100
Web mac-auth:
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
# 显示MAC Trigger认证中处于Web认证阶段的IPoE个人会话统计信息。
<Sysname> display ip subscriber session statistics web mac-trigger
Total sessions : 100
Web mac-trigger:
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-17 display ip subscriber session statistics命令显示信息描述表
|
字段 |
描述 |
|
Total sessions |
接入的个人会话总数 |
|
Bind |
绑定认证的个人会话统计信息 |
|
Web pre-auth |
认证前域认证阶段的个人会话统计信息 |
|
Web |
所有Web认证中处于Web认证阶段的个人会话统计信息 |
|
Web mac-auth |
Web MAC认证中处于Web认证阶段的个人会话统计信息 |
|
Web mac-trigger |
MAC Trigger认证中处于Web认证阶段的个人会话统计信息 |
|
Init |
处于初始状态的个人会话数 |
|
Authenticating |
处于正在认证状态的个人会话数 |
|
Authenticate fail |
处于认证失败状态的个人会话数 |
|
Authenticate pass |
处于认证成功状态的个人会话数 |
|
Assigned IP |
处于成功分配到IP地址状态的个人会话数 |
|
Online |
处于在线状态的个人会话数 |
|
Backup |
处于备份状态的个人会话数 |
【相关命令】
· reset ip subscriber session
display ip subscriber session statistics ip-type命令用来显示指定IP协议类型的IPoE个人会话统计信息。
【命令】
(独立运行模式)
display ip subscriber session statistics ip-type { ipv4 | ipv6 | dual-stack } [ bind | web [ pre-auth | mac-auth | mac-trigger ] ] [ domain domain-name ] [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ slot slot-number ]
(IRF模式)
display ip subscriber session statistics ip-type { ipv4 | ipv6 | dual-stack } [ bind | web [ pre-auth | mac-auth | mac-trigger ] ] [ domain domain-name ] [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4:显示IPv4 IPoE个人会话的统计信息。
ipv6:显示IPv6 IPoE个人会话的统计信息。
dual-stack:显示双栈IPoE个人会话的统计信息。
bind:显示采用绑定认证方式的IPoE个人会话统计信息。
web:显示采用Web认证方式的IPoE个人会话统计信息。如果pre-auth、mac-auth和mac-trigger均未指定,将显示所有采用Web认证方式(包括普通Web认证、Web MAC认证和MAC Trigger认证)并处于认证前域认证阶段或Web认证阶段的IPoE个人会话的统计信息。
pre-auth:仅显示处于认证前域认证阶段的IPoE个人会话的统计信息。
mac-auth:仅显示Web MAC认证中处于Web认证阶段的IPoE个人会话统计信息。
mac-trigger:仅显示MAC Trigger认证中处于Web认证阶段的IPoE个人会话统计信息。
domain domain-name:显示指定ISP域认证的IPoE个人会话统计信息,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
interface interface-type interface-number:显示指定接口上的IPoE个人会话统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE个人会话统计信息。
s-vlan svlan-id:显示指定服务提供商VLAN的IPoE动态个人会话,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示指定用户VLAN的IPoE动态个人会话,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:显示指定VXLAN的IPoE个人会话,vxlan-id表示VXLAN ID,取值范围为0~16777215。
slot slot-number:显示指定单板上的IPoE个人会话统计信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE个人会话的统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的IPoE个人会话统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE个人会话统计信息。(IRF模式)
【举例】
# 显示接口GigabitEthernet3/1/1上的IPv4 IPoE个人会话统计信息。
<Sysname> display ip subscriber session statistics ip-type ipv4 interface gigabitethernet 3/1/1
Total sessions : 100
Bind:
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
Web pre-auth:
Init : 0
Authenticating : 0
Authenticate fail : 0
Authenticate pass : 0
Assigned IP : 0
Online : 0
Backup : 0
Web:
Init : 0
Authenticating : 0
Authenticate fail : 0
Authenticate pass : 0
Assigned IP : 0
Online : 0
Backup : 0
# 显示Web MAC认证中处于Web认证阶段的IPv4 IPoE个人会话统计信息。
<Sysname> display ip subscriber session statistics ip-type ipv4 web mac-auth
Total sessions : 100
Web mac-auth:
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
# 显示MAC Trigger认证中处于Web认证阶段的IPv4 IPoE个人会话统计信息。
<Sysname> display ip subscriber session statistics ip-type ipv4 web mac-trigger
Total sessions : 100
Web mac-trigger:
Init : 0
Authenticating : 20
Authenticate fail : 0
Authenticate pass : 20
Assigned IP : 10
Online : 50
Backup : 0
表1-18 display ip subscriber session statistics命令显示信息描述表
|
字段 |
描述 |
|
Total sessions |
个人会话总数 |
|
Bind |
绑定认证的个人会话统计信息 |
|
Web pre-auth |
认证前域认证阶段的个人会话统计信息 |
|
Web |
所有Web认证中处于Web认证阶段的个人会话统计信息 |
|
Web mac-auth |
Web MAC认证中处于Web认证阶段的个人会话统计信息 |
|
Web mac-trigger |
MAC Trigger认证中处于Web认证阶段的个人会话统计信息 |
|
Init |
处于初始状态的个人会话数 |
|
Authenticating |
正在认证的个人会话数 |
|
Authenticate fail |
认证失败的个人会话数 |
|
Authenticate pass |
认证成功的个人会话数 |
|
Assigned IP |
成功分配到IP地址的个人会话数 |
|
Online |
在线的个人会话数 |
|
Backup |
处于备份状态的个人会话数 |
【相关命令】
· reset ip subscriber session ip-type
display ip subscriber subnet-leased命令用来显示IPoE子网专线用户的会话信息。
【命令】
(独立运行模式)
display ip subscriber subnet-leased [ interface interface-type interface-number ] [ ip ipv4-address mask-length | ipv6 ipv6-address prefix-length | ip-type { ipv4 | ipv6 } ] [ slot slot-number ]
(IRF模式)
display ip subscriber subnet-leased [ interface interface-type interface-number ] [ ip ipv4-address mask-length | ipv6 ipv6-address prefix-length | ip-type { ipv4 | ipv6 } ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的IPoE子网专线用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE子网专线用户的会话信息。
ip ipv4-address mask-length:显示指定IPv4网段内的IPoE子网专线用户的会话信息,ipv4-address为指定的IPv4地址,mask-length表示IPv4地址子网络掩码长度,取值范围为1~31。
ipv6 ipv6-address prefix-length:显示指定IPv6网段内的IPoE子网专线用户的会话信息,ipv6-address为指定的IPv6地址,prefix-length表示IPv6地址前缀长度,取值范围为1~127。
ip-type:显示指定IP协议类型的IPoE子网专线用户的会话信息。
ipv4:表示IPv4 IPoE子网专线用户。
ipv6:表示IPv6 IPoE子网专线用户。
slot slot-number:显示指定单板的IPoE子网专线用户的会话信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE子网专线用户的会话信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的IPoE子网专线用户的会话信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE子网专线用户的会话信息。(IRF模式)
【举例】
# 显示接口GigabitEthernet3/1/1上的IPoE子网专线用户的会话信息。(独立运行模式)
<Sysname> display ip subscriber subnet-leased interface gigabitethernet 3/1/1
Basic:
Access interface : GE3/1/1
VPN instance : N/A
Username : a
Network : 11.11.11.0/24
User ID : 0x30060001
State : Online
Service node : Slot 3 CPU 0
Domain : radius
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:16:37
IPv4 total users : 10
AAA:
ITA policy name : ipoe
IP pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : N/A
Max IPv4 multicast addresses : 4
IPv4 multicast address list : N/A
QoS:
User profile : cc (active)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : CIR 1000kbps PIR 2000kbps CBS 4100bytes (active)
Outbound CAR : CIR 3000kbps PIR 4000kbps CBS 4100bytes (active)
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
ITA:
Acct merge : Enabled
Acct quota-out action : Offline
Denied level : None
Level-1 Inbound CAR : CIR 126976000kbps PIR 126976000kbps (active)
Outbound CAR : N/A
Traffic separate : Disabled
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
Level-2 Inbound CAR : N/A
Outbound CAR : N/A
Traffic separate : Disabled
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
Basic:
Access interface : GE3/1/1
VPN instance : N/A
Username : a
Network : 11::/64
User ID : 0x30040002
State : Online
Service node : Slot 3 CPU 0
Domain : radius
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:16:37
IPv6 total users : 10
AAA:
ITA policy name : ipoe
IPv6 pool : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : N/A
Max IPv6 multicast addresses : 4
IPv6 multicast address list : N/A
QoS:
User profile : cc (active)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : CIR 1000kbps PIR 2000kbps CBS 4100bytes (active)
Outbound CAR : CIR 3000kbps PIR 4000kbps CBS 4100bytes (active)
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
Flow statistic:
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
ITA:
Acct merge : Enabled
Acct quota-out action : Offline
Denied level : None
Level-1 Inbound CAR : CIR 126976000kbps PIR 126976000kbps (active)
Outbound CAR : N/A
Traffic separate : Disabled
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
Level-2 Inbound CAR : N/A
Outbound CAR : N/A
Traffic separate : Disabled
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
表1-19 display ip subscriber subnet-leased命令显示信息描述表
|
字段 |
描述 |
|
|
Basic |
子网专线用户的会话基本信息 |
|
|
Access interface |
用户所在的接口名称 |
|
|
VPN instance |
用户所属的MPLS L3VPN实例,N/A表示用户属于公网 |
|
|
Username |
用户认证时使用的用户名 |
|
|
Network |
用户所在的子网地址 |
|
|
User ID |
用户ID,只有用户上线后才会由系统分配,0xffffffff表示暂未分配 |
|
|
State |
用户的会话状态 · Init:初始化 · Offline:正在下线中 · Auth:认证中 · AuthFail:认证失败 · AuthPass:认证通过 · AssignedIP:用户已具备IP地址 · Online:用户在线 · Backup:备份状态,表示该用户是由对端备份到本端的 |
|
|
Service node |
为用户提供认证服务的节点信息 |
|
|
Domain |
用户认证时使用的认证域名 |
|
|
Login time |
用户登录时间,即用户授权成功的时间,格式为设备时间,如:MM DD hh:mm:ss YYYY |
|
|
Online time (hh:mm:ss) |
用户本次上线的在线时长 |
|
|
IPv4 total users |
当前子网专线上接入的IPv4子用户总数 |
|
|
IPv6 total users |
当前子网专线上接入的IPv6子用户总数 |
|
|
Failure reason |
会话下驱动失败的原因(本字段只在会话下驱动失败时才显示): · Not support:驱动不支持 · No resource:硬件资源不足 · Unknown:失败原因未知 |
|
|
AAA |
IPoE会话的AAA授权信息 |
|
|
ITA policy name |
AAA授权的ITA(Intelligent Target Accounting,智能靶向计费)策略名称(若未授权,则显示“N/A”) |
|
|
IP pool |
AAA授权的DHCP地址池名称(若未授权,则显示“N/A”) |
|
|
IP pool group |
AAA授权的IPv4 DHCP地址池组名称(该字段仅在AAA授权了IPv4 DHCP地址池组,且未授权IPv4 DHCP地址池的情况下才会显示,不会与IP pool同时显示) |
|
|
IPv6 pool |
AAA授权的IPv6 DHCP地址池名称(若未授权,则显示“N/A”) |
|
|
IPv6 pool group |
AAA授权的IPv6 DHCP地址池组名称(该字段仅在AAA授权了IPv6 DHCP地址池组,且未授权IPv6 DHCP地址池的情况下才会显示,不会与IPv6 pool同时显示) |
|
|
Primary DNS server |
AAA授权的主IPv4 DNS服务器地址(若未授权,则显示“N/A”) |
|
|
Secondary DNS server |
AAA授权的从IPv4 DNS服务器地址(若未授权,则显示“N/A”) |
|
|
Primary IPv6 DNS server |
AAA授权的主IPv6 DNS服务器地址(若未授权,则显示“N/A”) |
|
|
Secondary IPv6 DNS server |
AAA授权的从IPv6 DNS服务器地址(若未授权,则显示“N/A”) |
|
|
Session idle cut |
用户闲置切断时间和流量(在给定时间范围内流量没超过一定字节数,认为该用户下线并强制下线),单位分别为秒和字节,N/A表示不进行闲置切断 |
|
|
direction |
设备可基于在给定时间内用户入方向或出方向流量是否超过一定的字节数,来判断是否对用户进行闲置切断(即是否强制用户下线) 用户闲置切断的流量方向包括: · Both:表示基于用户入方向和出方向流量之和进行闲置切断判断 · Inbound:表示基于用户入方向流量进行闲置切断判断 · Outbound:表示基于用户出方向流量进行闲置切断判断 |
|
|
Session duration |
AAA授权的IPoE会话超时时间,单位为秒 · N/A:表示未授权会话时长 · Unlimited:表示会话时长无限制 |
|
|
Remaining |
AAA授权的IPoE会话剩余时长 · 当AAA未授权IPoE会话超时时间时,该字段始终显示为N/A · 当AAA授权IPoE会话超时时间时 ¡ 如果用户通过三层以太网接口/三层以太网子接口上线,该字段始终显示具体的剩余时长或Unlimited(表示会话时长无限制) ¡ 如果用户通过三层聚合接口/三层聚合子接口上线,则只有在本命令中指定Service node所在的slot或接口时,才会显示具体的剩余时长或Unlimited(表示会话时长无限制),否则显示为N/A |
|
|
Traffic quota |
授权流量,单位为字节,N/A表示未对用户指定授权流量 |
|
|
Traffic remained |
授权的剩余流量,单位为字节,N/A表示未对用户指定授权流量或者授权流量已经用完 |
|
|
Acct start-fail action |
计费开始失败时对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
|
Acct update-fail action |
计费更新失败时对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
|
Acct quota-out action |
流量耗尽后对用户的处理动作: · Online:用户继续在线 · Offline:用户下线 |
|
|
Dual-stack accounting mode |
子网专线不支持双栈计费,该字段永远显示为N/A |
|
|
Max IPv4 multicast addresses |
AAA授权用户可加入的IPv4组播组的最大数目 |
|
|
IPv4 multicast address list |
AAA授权用户可加入的IPv4组播组地址列表(若未授权,则显示“N/A”) |
|
|
Max IPv6 multicast addresses |
AAA授权用户可加入的IPv6组播组的最大数目 |
|
|
IPv6 multicast address list |
AAA授权用户可加入的IPv6组播组地址列表(若未授权,则显示“N/A”) |
|
|
QoS |
IPoE会话的QoS信息 |
|
|
User profile |
AAA授权的User Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
|
|
Session group profile |
AAA授权的Session Group Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
|
|
User group ACL |
AAA授权的User group ACL名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User group ACL成功 · inactive:AAA授权User group ACL失败或者设备上不存在该User group ACL · 授权结果未知 |
|
|
Inbound CAR |
入方向CAR值(CIR:入方向平均速率,单位为kbps;PIR:入方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte) (若未授权,则显示“N/A”)。授权状态包括如下: · active:表示入方向CAR限速下发成功 · inactive:表示入方向CAR限速下发失败 |
|
|
Outbound CAR |
出方向CAR值(CIR:出方向平均速率,单位为kbps;PIR:出方向峰值速率,单位为kbps;CBS:承诺突发尺寸,单位为byte) (若未授权,则显示“N/A”)。授权状态包括如下: · active:表示出方向CAR限速下发成功 · inactive:表示出方向CAR限速下发失败 |
|
|
Inbound user priority |
AAA授权的入方向用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权入方向用户优先级成功 · inactive:AAA授权入方向用户优先级失败 |
|
|
Outbound user priority |
AAA授权的出方向用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权出方向用户优先级成功 · inactive:AAA授权出方向用户优先级失败 |
|
|
Flow statistic |
IPoE会话的流量统计信息 |
|
|
Uplink packets/bytes |
子网专线不支持双栈计费,该字段表示IPv4上行流量报文数/字节数 |
|
|
Downlink packets/bytes |
子网专线不支持双栈计费,该字段表示IPv4下行流量报文数/字节数 |
|
|
IPv6 uplink packets/bytes |
IPv6上行流量报文数/字节数 |
|
|
IPv6 downlink packets/bytes |
IPv6下行流量报文数/字节数 |
|
|
ITA |
IPoE会话的ITA(Intelligent Target Accounting,智能靶向计费)业务流量统计信息 |
|
|
Acct merge |
ITA统一计费功能的开启状态: · Enabled:开启 · Disabled:关闭 |
|
|
Denied level |
当前被阻断流量的级别,流量级别取值范围为1~8,当IPoE收到该级别的流量时直接丢弃,None表示没有任何级别的流量被阻断 |
|
|
Level-n Inbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的入方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 入方向CAR的授权状态如下: · active:授权成功 · inactive:授权失败 · N/A:未授权 |
|
|
Outbound CAR |
AAA为计费级别为n(取值范围为1~8)的流量授权的出方向CAR(CIR:平均速率,单位为kbps;PIR:峰值速率,单位为kbps) 出方向CAR的授权状态如下: · active:授权成功 · inactive:授权失败 · N/A:未授权 |
|
|
Traffic separate |
ITA流量与用户主计费流量分离功能的开启状态: · Enabled:开启 · Disabled:关闭 |
|
【相关命令】
· ip subscriber enable
display ip subscriber subnet-leased statistics命令用来显示IPoE子网专线用户的会话统计信息。
【命令】
(独立运行模式)
display ip subscriber subnet-leased statistics [ domain domain-name ] [ ip-type { ipv4 | ipv6 } ] [ interface interface-type interface-number ] [ slot slot-number ]
(IRF模式)
display ip subscriber subnet-leased statistics [ domain domain-name ] [ ip-type { ipv4 | ipv6 } ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
domain domain-name:显示指定ISP域认证的IPoE子网专线用户的会话统计信息,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
ip-type:显示指定IP协议类型的IPoE子网专线用户的会话统计信息。如果未指定本参数,将显示所有IP协议类型的IPoE子网专线用户的会话统计信息。
ipv4:表示IPv4 IPoE子网专线用户。
ipv6:表示IPv6 IPoE子网专线用户。
interface interface-type interface-number:显示指定接口上的IPoE子网专线用户的会话统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE子网专线用户的会话统计信息。
slot slot-number:显示指定单板上的IPoE子网专线用户的会话统计信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE子网专线用户的会话统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的IPoE子网专线用户的会话统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE子网专线用户的会话统计信息。(IRF模式)
【举例】
# 显示接口GigabitEthernet3/1/1上的IPoE子网专线用户的会话统计信息。
<Sysname> display ip subscriber subnet-leased statistics interface gigabitethernet 3/1/1
IP-type : IPv4
Total sessions : 1
Bind:
Init : 1
Authenticating : 0
Authenticate fail : 0
Authenticate pass : 0
Assigned IP : 0
Online : 0
Backup : 0
IP-type : IPv6
Total sessions : 1
Bind:
Init : 1
Authenticating : 0
Authenticate fail : 0
Authenticate pass : 0
Assigned IP : 0
Online : 0
Backup : 0
表1-20 display ip subscriber subnet-leased statistics命令显示信息描述表
|
字段 |
描述 |
|
IP-type |
IP协议类型: · IPv4:表示IPv4IPoE子网专线用户 · IPv6:表示IPv6IPoE子网专线用户 |
|
Total sessions |
子网专线用户的会话总数 |
|
Bind |
绑定认证子网专线用户统计信息 |
|
Init |
处于初始状态的会话数 |
|
Authenticating |
处于正在认证状态的会话数 |
|
Authenticate fail |
处于认证失败状态的会话数 |
|
Authenticate pass |
处于认证成功状态的会话数 |
|
Assigned IP |
处于成功分配到IP地址状态的会话数 |
|
Online |
处于在线状态的会话数 |
|
Backup |
处于备份状态的会话数 |
【相关命令】
· ip subscriber enable
display ip subscriber subnet-leased user命令用来显示IPoE子网专线子用户的会话信息。
【命令】
(独立运行模式)
display ip subscriber subnet-leased user [ interface interface-type interface-number [ ip { ipv4-address mask-length | ipv4-address } | ipv6 { ipv6-address prefix-length | ipv6-address } | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ slot slot-number ]
(IRF模式)
display ip subscriber subnet-leased user [ interface interface-type interface-number [ ip { ipv4-address mask-length | ipv4-address } | ipv6 { ipv6-address prefix-length | ipv6-address } | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的IPoE子网专线子用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE子网专线子用户的会话信息。
ip ipv4-address mask-length:显示指定IPv4网段内的IPoE子网专线子用户的会话信息,ipv4-address为指定的IPv4地址,mask-length表示IPv4地址子网络掩码长度,取值范围为1~31。
ip ipv4-address:显示指定源IPv4地址的IPoE子网专线子用户的会话信息,ipv4-address为指定的IPv4地址。
ipv6 ipv6-address prefix-length:显示指定IPv6网段内的IPoE子网专线子用户的会话信息,ipv6-address为指定的IPv6地址,prefix-length表示IPv6地址前缀长度,取值范围为1~127。
ipv6 ipv6-address:显示指定源IPv6地址的IPoE子网专线子用户的会话信息,ipv6-address为指定的IPv6地址。
s-vlan svlan-id:显示指定服务提供商VLAN的IPoE子网专线子用户的会话信息,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示指定用户VLAN的IPoE子网专线子用户的会话信息,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:显示指定VXLAN的IPoE子网专线子用户的会话信息,vxlan-id表示VXLAN ID,取值范围为0~16777215。
verbose:显示IPoE子网专线子用户的会话详细信息。如果不指定该参数,则只显示子用户的会话简要信息。
slot slot-number:显示指定单板的IPoE子网专线子用户的会话信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE子网专线子用户的会话信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上的IPoE子网专线子用户的会话信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE子网专线子用户的会话信息。(IRF模式)
【使用指导】
当且仅当用户的接入模式为二层接入模式时,本命令才生效。
【举例】
# 显示接口GigabitEthernet3/1/1上的IPoE子网专线子用户的会话简要信息。
<Sysname> display ip subscriber subnet-leased user interface gigabitethernet 3/1/1
Interface IP address MAC address SVLAN/CVLAN User ID
GE3/1/1 100.1.1.3 0010-9400-0003 -/- 0x380800b5
GE3/1/1 100::4 0010-9400-0004 -/- 0x380800b6
表1-21 display ip subscriber subnet-leased user命令显示信息描述表
|
字段 |
描述 |
|
Interface |
子用户所在的接口名称。 |
|
IP address |
子用户的IP地址 |
|
MAC address |
子用户的MAC地址 |
|
SVLAN/CVLAN |
子用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
User ID |
子用户ID,只有子用户上线后才会由系统分配,0xffffffff表示暂未分配 |
# 显示接口GigabitEthernet3/1/1上的IPoE子网专线子用户的会话详细信息。(独立运行模式)
<Sysname> display ip subscriber subnet-leased user interface gigabitethernet 3/1/1 verbose
Interface: Gigabitethernet 3/1/1
IP address : 100.1.1.3
MAC address : 0010-9400-0003
User ID : 0x380800b5
VPN instance : vpn1
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
VPI/VCI(for ATM) : -/-
DNS servers : N/A
DHCP lease : N/A
DHCP remain lease : N/A
Login time : May 9 08:56:29 2014
Service node : Slot 3 CPU 0
Type : Unclassified-IP
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
Interface: Gigabitethernet 3/1/1
IP address : 100::4
MAC address : 0010-9400-0004
User ID : 0x380800b6
VPN instance : vpn1
Service-VLAN/Customer-VLAN : 100/-
Access interface : GE3/1/1
VPI/VCI(for ATM) : -/-
DNS servers : N/A
DHCP lease : N/A
DHCP remain lease : N/A
Login time : May 9 09:00:02 2014
Service node : Slot 3 CPU 0
Type : Unclassified-IP
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
表1-22 display ip subscriber subnet-leased user verbose命令显示信息描述表
|
字段 |
描述 |
|
Interface |
子用户所属接口 |
|
IP address |
子用户的IP地址 |
|
MAC address |
子用户的MAC地址 |
|
User ID |
子用户ID,只有子用户上线后才会由系统分配,0xffffffff表示暂未分配 |
|
VPN instance |
子用户所属的MPLS L3VPN实例,N/A表示子用户属于公网 |
|
Service-VLAN/Customer-VLAN |
子用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
Access interface |
子用户接入的接口名称 |
|
VPI/VCI(for ATM) |
ATM的PVC信息(“-”表示没有PVC信息) |
|
DNS servers |
实际分配给子用户的DNS地址。当实际分配给子用户的DNS地址个数: · 为0时,本字段显示为N/A,表示无DNS地址 · 为1或2时,本字段按实际情况显示 · 大于2时,本字段仅显示实际分配给子用户的前两个DNS地址 |
|
DHCP lease |
DHCP服务器分配给子用户的IP地址租约时间,单位为秒 · N/A:表示无DHCP租约 · Unlimited:表示租约无限长 |
|
DHCP remain lease |
DHCP服务器分配给子用户的IP地址租约剩余时长,单位为秒 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
|
Login time |
子用户登录时间,即子用户授权成功的时间,格式为设备时间,如:MM DD hh:mm:ss YYYY |
|
Service node |
为子用户提供认证服务的节点信息 |
|
Type |
子用户类型:Unclassified-IP:未知源报文接入类型,对于子网专线用户,认证通过后接入接口收到子用户始发报文为IP报文时,记录该子用户为Unclassified-IP子用户类型 |
|
QoS |
子用户的QoS消息 |
|
User profile |
AAA授权的User Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
|
Session group profile |
AAA授权的Session Group Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未知 |
|
User group ACL |
AAA授权的User group ACL名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User group ACL成功 · inactive:AAA授权User group ACL失败或者设备上不存在该User group ACL · 授权结果未知 |
|
Inbound user priority |
AAA授权的入方向子用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权入方向子用户优先级成功 · inactive:AAA授权入方向子用户优先级失败 |
|
Outbound user priority |
AAA授权的出方向子用户优先级,取值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权出方向子用户优先级成功 · inactive:AAA授权出方向子用户优先级失败 |
【相关命令】
· ip subscriber enable
display ip subscriber subnet-leased user ip-type命令用来显示指定IP协议类型的IPoE子网专线子用户的会话信息。
【命令】
(独立运行模式)
display ip subscriber subnet-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ slot slot-number ]
(IRF模式)
display ip subscriber subnet-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4:显示IPv4 IPoE子网专线子用户的会话信息。
ipv6:显示IPv6 IPoE子网专线子用户的会话信息。
interface interface-type interface-number:显示指定接口上的IPoE子网专线子用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上的IPoE子网专线子用户的会话信息。
s-vlan svlan-id:显示指定服务提供商VLAN的IPoE子网专线子用户的会话信息,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示指定用户VLAN的IPoE子网专线子用户的会话信息,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:显示指定VXLAN的IPoE子网专线子用户的会话信息,vxlan-id表示VXLAN ID,取值范围为0~16777215。
verbose:显示IPoE子网专线子用户的会话详细信息。如果不指定该参数,则只显示子用户的会话简要信息。
slot slot-number:显示指定单板的IPoE子网专线子用户的会话信息,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE子网专线子用户的会话信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的IPoE子网专线子用户的会话信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将显示所有单板上的IPoE子网专线子用户的会话信息。(IRF模式)
【使用指导】
当且仅当用户的接入模式为二层接入模式时,本命令才生效。
【举例】
# 显示接口GigabitEthernet3/1/1上的IPv4 IPoE子网专线子用户的会话简要信息。
<Sysname> display ip subscriber subnet-leased user ip-type ipv4 interface gigabitethernet 3/1/1
Interface IP address MAC address SVLAN/CVLAN User ID
GE3/1/1 100.1.1.3 0010-9400-0003 -/- 0x380800b5
GE3/1/1 100.1.1.4 0010-9400-0004 -/- 0x380800b6
表1-23 display ip subscriber subnet-leased user ip-type命令显示信息描述表
|
字段 |
描述 |
|
Interface |
子用户所在的接口名称 |
|
IP address |
子用户的IP地址 |
|
MAC address |
子用户的MAC地址 |
|
SVLAN/CVLAN |
子用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
User ID |
子用户ID,只有子用户上线后才会由系统分配,0xffffffff表示暂未分配 |
# 显示接口GigabitEthernet3/1/1上的IPv4 IPoE子网专线子用户的会话详细信息。(独立运行模式)
<Sysname> display ip subscriber subnet-leased user ip-type ipv4 interface gigabitethernet 3/1/1 verbose
Interface: Gigabitethernet 3/1/1
IP address : 100.1.1.3
MAC address : 0010-9400-0003
User ID : 0x380800b5
VPN instance : vpn1
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
VPI/VCI(for ATM) : -/-
DNS servers : N/A
DHCP lease : N/A
DHCP remain lease : N/A
Login time : May 9 08:56:29 2014
Service node : Slot 3 CPU 0
Type : Unclassified-IP
QoS:
User profile : abc (active)
Session group profile : N/A
User group ACL : N/A
Inbound user priority : 1 (active)
Outbound user priority : 1 (active)
表1-24 display ip subscriber subnet-leased user ip-type ipv4 verbose命令显示信息描述表
|
字段 |
描述 |
|
Interface |
子用户所属接口 |
|
IP address |
子用户的IP地址 |
|
MAC address |
子用户的MAC地址 |
|
User ID |
子用户ID,只有子用户上线后才会由系统分配,0xffffffff表示暂未分配 |
|
VPN instance |
子用户所属的MPLS L3VPN实例,N/A表示子用户属于公网 |
|
Service-VLAN/Customer-VLAN |
子用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息) |
|
Access interface |
子用户接入的接口名称 |
|
VPI/VCI(for ATM) |
ATM的PVC信息(“-”表示没有PVC信息) |
|
DNS servers |
实际分配给子用户的DNS地址。当实际分配给子用户的DNS地址个数: · 为0时,本字段显示为N/A,表示无DNS地址 · 为1或2时,本字段按实际情况显示 · 大于2时,本字段仅显示实际分配给子用户的前两个DNS地址 |
|
DHCP lease |
DHCP服务器分配给子用户的IP地址租约时间,单位为秒 · N/A:表示无DHCP租约 · Unlimited:表示租约无限长 |
|
DHCP remain lease |
DHCP服务器分配给子用户的IP地址租约剩余时长,单位为秒 只在Service node上可以查看到有效的剩余时长,非Service node上该字段显示为N/A |
|
Login time |
子用户登录时间,即子用户授权成功的时间,格式为设备时间,如:MM DD hh:mm:ss YYYY |
|
Service node |
为子用户提供认证服务的节点信息 |
|
Type |
子用户类型。Unclassified-IP:未知源报文接入类型,对于子网专线用户,认证通过后接入接口收到子用户始发报文为IP报文时,记录该子用户为Unclassified-IP子用户类型 |
|
QoS |
子用户的QoS信息 |
|
User profile |
AAA授权的User Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User Profile成功 · inactive:AAA授权User Profile失败或者设备上不存在该User Profile · 授权结果未知 |
|
Session group profile |
AAA授权的Session Group Profile名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权Session Group Profile成功 · inactive:AAA授权Session Group Profile失败或者设备上不存在该Session Group Profile · 授权结果未 |
|
User group ACL |
AAA授权的User group ACL名称(若未授权,则显示“N/A”)。授权状态包括如下: · active:AAA授权User group ACL成功 · inactive:AAA授权User group ACL失败或者设备上不存在该User group ACL · 授权结果未知 |
|
Inbound user priority |
AAA授权的入方向子用户优先级,有效值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权入方向子用户优先级成功 · inactive:AAA授权入方向子用户优先级失败 |
|
Outbound user priority |
AAA授权的出方向子用户优先级,有效值范围为0~7、15和N/A,其中15和N/A含义相同,均表示AAA未授权该属性 授权优先级的状态包括如下: · active:AAA授权出方向子用户优先级成功 · inactive:AAA授权出方向子用户优先级失败 |
· ip subscriber enable
display ip subscriber tcp-connection命令用来显示IPoE接入用户建立的TCP连接数信息。
【命令】
display ip subscriber tcp-connection interface interface-type interface-number session-id session-id
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示通过指定接口上线的IPoE接入用户的TCP连接数信息,interface-type interface-number表示用户接入接口的类型和接口编号。
session-id session-id:显示指定会话ID的TCP连接数信息,session-id为IPoE会话ID,取值范围为1-ffffffff。
【举例】
# 显示通过接口GigabitEthernet3/1/1上线的IPoE会话ID为1的接入用户的TCP连接数信息。
<Sysname> display ip subscriber tcp-connection interface gigabitethernet 3/1/1 session-id 1
Total uplink TCP connections: 0
Total downlink TCP connections: 0
表1-25 display ip subscriber tcp-connection命令显示信息描述表
|
字段 |
描述 |
|
Total uplink TCP connections |
IPoE接入用户建立的上行TCP连接总数 |
|
Total downlink TCP connections |
IPoE接入用户建立的下行TCP连接总数 |
display trace access-user命令用来显示业务跟踪对象的配置信息。
【命令】
display trace access-user [ object object-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
object object-id:显示指定业务跟踪对象的配置信息。object-id表示业务跟踪对象的编号,取值范围为1~5。未指定本参数时,将显示所有业务跟踪对象的配置信息。
【使用指导】
本命令仅显示跟踪时间未超时的业务跟踪对象的配置信息。
【举例】
# 显示编号为1的业务跟踪对象的配置信息。
<Sysname> display trace access-user object 1
Object ID: 1
Access mode: IPoE
User name: aaa
Access interface: GigabitEthernet3/1/1.1
IP address: 1.1.1.2
MAC address: 0001-0002-0003
Service VLAN: 3
Customer VLAN: 2
Output direction: VTY
Aging time: 0 min
表1-26 display trace access-user object命令显示信息描述表
|
字段 |
描述 |
|
Object ID |
业务跟踪对象的编号 |
|
Access mode |
业务跟踪对象的接入模式 |
|
User name |
接入用户的用户名 |
|
Access interface |
接入用户接入接口 |
|
IP address |
接入用户的IP地址 |
|
MAC address |
接入用户的MAC地址 |
|
Service VLAN |
接入用户的外层VLAN ID |
|
Customer VLAN |
接入用户的内层VLAN ID |
|
Output direction |
业务跟踪信息的输出位置 |
|
Aging time |
业务跟踪对象的跟踪时间 |
【相关命令】
· trace access-user
ip subscriber 8021p命令用来配置IPoE接入用户的IP报文的内/外层VLAN tag中的802.1p值与认证域的映射关系。
undo ip subscriber 8021p命令用来删除指定802.1p值与认证域的映射关系。
【命令】
ip subscriber 8021p 8021p-list domain domain-name
undo ip subscriber 8021p 8021p-list
【缺省情况】
未配置IPoE接入用户的IP报文的内/外层VLAN tag中的802.1p值与认证域的映射关系。
【视图】
三层以太网子接口视图
三层聚合子接口视图
L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
8021p-list:802.1p值列表,表示一个或多个802.1p值,表示方式为8021p-list = { 8021p-value [ to 8021p-value ] }&<1-8>,其中,8021p-value为指定8021p的编号,取值范围为0~7。&<1-8>表示前面的参数最多可以输入8次。
domain domain-name:表示与指定的8021p范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
本命令用来配置指定802.1p值范围内的接入用户(包括DHCP接入用户、未知源IP接入用户和IPoE静态接入用户)认证时使用的认证域,通过指定的认证域对进行认证、授权、计费。
必须通过ip subscriber service-identify 8021p命令配置使用相应业务识别方式,ip subscriber 8021p命令配置后才生效。
DHCP接入用户认证域的选择原则,请参见ip subscriber dhcp domain命令。
未知源IP接入用户认证域的选择原则,请参见ip subscriber unclassified-ip domain命令。
IPoE静态接入用户认证域的选择原则,请参见ip subscriber session static命令。
IPoE子网专线用户认证域的选择原则,请见ip subscriber subnet-leased命令。
IPoE接口专线用户认证域的选择原则,请见ip subscriber interface-leased命令。
IPoE L2VPN专线用户认证域的选择原则,请见ip subscriber l2vpn-leased命令。
【举例】
# 在子接口GigabitEthernet3/1/1.100上配置内层VLAN TAG中802.1p值范围为2到5的接入用户认证使用的认证域为1pdm。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.100
[Sysname-GigabitEthernet3/1/1.100] ip subscriber service-identify 8021p second-vlan
[Sysname-GigabitEthernet3/1/1.100] ip subscriber 8021p 2 to 5 domain 1pdm
【相关命令】
· ip subscriber service-identify
ip subscriber access-block命令用来禁止IPoE用户上线。
undo ip subscriber access-block命令用来恢复缺省情况。
【命令】
(独立运行模式)
ip subscriber access-block [ interface interface-type interface-number | slot slot-number ]
undo ip subscriber access-block [ interface interface-type interface-number | slot slot-number ]
(IRF模式)
ip subscriber access-block [ interface interface-type interface-number | chassis chassis-number slot slot-number ]
undo ip subscriber access-block [ interface interface-type interface-number | chassis chassis-number slot slot-number ]
【缺省情况】
允许IPoE用户上线。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示指定接口上的IPoE用户,interface-type interface-number表示接口类型和接口编号。
slot slot-number:表示指定单板上的IPoE用户,slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:表示指定成员设备的指定单板上的IPoE用户,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
配置本命令后,当设备收到IPoE用户的上线请求报文后会将其直接丢弃,以阻止新的IPoE用户上线。
本命令配置后仅对新接入的IPoE用户生效,对当前已经存在用户(包括认证前域阶段中处于Online状态的IPoE Web用户)无影响。
如果未指定任何参数,将禁止所有新的IPoE用户上线。
【举例】
# 禁止接口GigabitEthernet3/1/1上的IPoE用户上线。
<Sysname> system-view
[Sysname] ip subscriber access-block interface gigabitethernet 3/1/1
ip subscriber access-delay命令用来配置IPoE用户接入响应延迟时间。
undo ip subscriber access-delay命令用来恢复缺省情况。
【命令】
ip subscriber access-delay delay-time [ even-mac | odd-mac ]
undo ip subscriber access-delay
【缺省情况】
对IPoE用户接入响应不延迟。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
delay-time:IPoE用户接入响应延迟时间,取值范围为10~25500,单位为毫秒。
even-mac:表示对MAC地址为偶数的用户执行延时响应。
odd-mac:表示对MAC地址为奇数的用户执行延时响应。
【使用指导】
本命令配置后,系统将按照配置的时间对IPoE用户的上线请求进行延迟响应。
可分别为奇数MAC和偶数MAC配置不同的响应延迟时间。
如果未指定任何参数,配置的响应延迟时间对从当前接口上线的所有用户生效。
如果先配置了携带even-mac(或odd-mac)参数的本命令,再配置未携带任何参数的本命令,则后者会覆盖前者,反之亦然。
本命令仅对接口上二层接入模式的IPoE用户生效,具体情况如下:
· 若接口上采用绑定认证方式,则本命令仅对IPoE个人接入用户和专线子用户生效。
· 若接口上采用Web认证方式:本命令仅对认证前域阶段的用户生效,对Web认证阶段的用户无影响。
【举例】
# 在接口GigabitEthernet3/1/1上配置IPoE用户接入响应延迟时间为1000毫秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber access-delay 1000
【相关命令】
· ip subscriber enable
ip subscriber access-line-id circuit-id trans-format命令用来配置IPoE对DHCP Option中circuit-id的解析格式。
undo ip subscriber access-line-id circuit-id trans-format命令用来恢复缺省情况。
【命令】
ip subscriber access-line-id circuit-id trans-format { ascii | hex }
undo ip subscriber access-line-id circuit-id trans-format
【缺省情况】
IPoE对DHCP Option中circuit-id解析格式为字符串格式。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
ascii:表示按字符串格式进行解析。
hex:表示按十六进制格式进行解析。
【使用指导】
为确保IPoE对circuit-id中的信息进行正确解析,请根据下游设备上送上来的circuit-id信息的不同格式,通过本命令为其配置相应的解析格式。
仅在通过ip subscriber trust命令配置了信任相应Option的情况下,ip subscriber access-line-id circuit-id trans-format命令配置后才生效。
【举例】
# 配置IPoE对DHCP Option中circuit-id的解析格式为十六进制格式。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber access-line-id circuit-id trans-format hex
【相关命令】
· ip subscriber access-line-id remote-id trans-format
· ip subscriber trust
ip subscriber access-line-id remote-id trans-format命令用来配置IPoE对DHCP Option中remote-id的解析格式。
undo ip subscriber access-line-id remote-id trans-format命令用来恢复缺省情况。
【命令】
ip subscriber access-line-id remote-id trans-format { ascii | hex }
undo ip subscriber access-line-id remote-id trans-format
【缺省情况】
IPoE对DHCP Option中remote-id的解析格式为字符串格式。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
ascii:表示按字符串格式进行解析。
hex:表示按十六进制格式进行解析。
【使用指导】
为确保IPoE对remote-id中的信息进行正确解析,请根据下游设备上送上来的remote-id信息的不同格式,通过本命令为其配置相应的解析格式。
仅在通过ip subscriber trust命令配置了信任相应Option的情况下,ip subscriber access-line-id remote-id trans-format命令配置后才生效。
【举例】
# 配置IPoE对DHCP Option中remote-id的解析格式为十六进制格式。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber access-line-id remote-id trans-format hex
【相关命令】
· ip subscriber access-line-id circuit-id trans-format
· ip subscriber trust
ip subscriber access-out命令用来配置IPoE准出认证功能。
undo ip subscriber access-out用来恢复缺省情况。
【命令】
ip subscriber access-out
undo ip subscriber access-out
【缺省情况】
接口上的IPoE准出认证功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【使用指导】
BRAS设备准入准出认证组网中,准出认证设备的接口配置了该命令,将对用户进行准出认证,认证通过后,则允许用户接入,否则不允许用户接入。
【举例】
# 在接口GigabitEthernet3/1/1上配置IPoE准出认证功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber access-out
ip subscriber access-trigger loose命令用来配置系统或用户接入接口所在Slot重启后允许IPoE用户采用松散模式上线的时长。
undo ip subscriber access-trigger loose命令用来恢复缺省情况。
【命令】
ip subscriber access-trigger loose { loose-time | all-time }
undo ip subscriber access-trigger loose
【缺省情况】
系统或用户接入接口所在Slot重启后不允许IPoE用户采用松散模式上线。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
loose-time:表示系统或用户接入接口所在Slot重启后允许IPoE用户采用松散模式上线的时长,取值范围为1~4294967295,单位为分钟。
all-time:表示系统或用户接入接口所在Slot重启后允许IPoE用户一直采用松散模式上线。
【使用指导】
因系统或用户接入接口所在Slot重启导致在线IPoE用户的会话被删除时,待系统或用户接入接口所在Slot重启后,对于DHCP用户,因无法感知接入设备或用户接入接口所在Slot的重启,不会再次发送DHCP报文触发上线,导致接入设备无法为其重新生成DHCP类型的IPoE会话。为解决这类问题,IPoE支持用户采用松散模式上线。
采用松散模式上线时,通过全局接口和物理接口上线的用户,对重启的定义不同,具体如下:
· 通过全局接口上线的用户:松散模式上线,是指系统重启后,允许IPoE用户在指定的loose-time/all-time时长内,通过IP和ARP报文触发上线生成DHCP类型的IPoE会话。
· 通过物理接口上线的用户:松散模式上线,是指用户接入接口所在Slot重启后,允许IPoE用户在指定的loose-time/all-time时长内,通过IP和ARP报文触发上线生成DHCP类型的IPoE会话。
对于IPoE DHCP用户,仅在同时满足下列条件时,才支持用户采用松散模式上线:
· 接入接口上配置了二层接入模式。
· 接入接口上开启DHCPv4报文触发生成IPoE会话的功能。
· 通过认证域或AAA服务器为用户授权了DHCPv4地址池。
· 当需要通过IP报文触发上线时,接入接口上必须配置ip subscriber initiator unclassified-ip enable命令,并建议同时指定matching-user参数。
· 当需要通过ARP报文触发上线时,接入接口上必须同时配置ip subscriber initiator arp enable命令和ip subscriber initiator unclassified-ip enable命令,并建议同时指定matching-user参数。
目前仅IPv4 IPoE动态个人接入用户支持采用松散模式上线,IPv6 IPoE用户不支持。
对于IPoE Web认证用户,采用松散模式上线时只能重新生成其在认证前域中的会话。如果该用户需要在Web认证阶段上线,仍需走正常Web认证流程。
当IPoE用户采用松散模式上线时,为确保IPoE功能正常,不允许再在采用松散模式上线的接入接口上配置Portal功能。
【举例】
# 配置系统或用户接入接口所在Slot重启后允许IPoE用户采用松散模式上线的时长为300分钟。
<Sysname> system-view
[Sysname] ip subscriber access-trigger loose 300
【相关命令】
· ip subscriber dhcp domain
· ip subscriber dhcp password
· ip subscriber dhcp username
· ip subscriber initiator arp enable
· ip subscriber initiator dhcp enable
· ip subscriber initiator unclassified-ip enable
ip subscriber access-user log enable命令用来开启IPoE接入用户日志信息功能。
undo ip subscriber access-user log enable命令用来关闭IPoE接入用户日志信息功能。
【命令】
ip subscriber access-user log enable [ successful-login | failed-login | logout [ normal ] [ abnormal ] ] *
undo ip subscriber access-user log enable [ successful-login | failed-login | logout [ normal ] [ abnormal ] ] *
【缺省情况】
IPoE接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
successful-login:表示IPoE接入用户上线成功日志功能。
failed-login:表示IPoE接入用户上线失败日志功能。
logout:表示IPoE接用户下线日志功能。
normal:表示IPoE接用户正常下线日志功能。
abnormal:表示IPoE接用户异常下线日志功能。
【使用指导】
为了防止设备输出过多的IPoE日志信息,一般情况下建议不要开启此功能。
IPoE接入用户日志是为了满足网络管理员维护的需要,对用户的上线成功、上线失败、正常下线和异常下线的信息进行记录,包括用户名、IP地址、接口名称、两层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的IPoE日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
配置本命令时,如果未指定任何参数,将同时开启用户的上线成功、上线失败、正常下线和异常下线日志功能。
通过undo命令关闭日志功能时,如果未指定任何参数,将同时关闭用户的上线成功、上线失败、正常下线和异常下线日志功能。
【举例】
# 开启IPoE接入用户日志信息功能。
<Sysname> system-view
[Sysname] ip subscriber access-user log enable
ip subscriber authentication chasten命令用来配置允许IPoE用户在指定检测周期内连续认证失败次数的最大值。
undo ip subscriber authentication chasten命令用来恢复缺省情况。
【命令】
ip subscriber authentication chasten auth-failure auth-period
undo ip subscriber authentication chasten
【缺省情况】
认证失败一次立即对用户进行静默处理。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
auth-failure:表示允许IPoE用户在一个检测周期内连续认证失败次数的最大值,取值范围为1~10000。
auth-period:表示IPoE用户连续认证失败的检测周期,取值范围为1~3600,单位为秒。
【使用指导】
配置本命令后,当前接口上的某IPoE用户在一个检测周期内连续认证失败次数达到允许的最大值时,将被静默一段时间(静默时长由ip subscriber timer quiet命令配置决定),在静默周期内设备直接丢弃来自此用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该IPoE用户的认证报文而对设备性能造成影响。例如:配置用户在60秒检测周期内连续认证失败达到5次时对其进行静默,假设某次认证失败的时间点是第100秒,则从该时间点开始统计,如果最近一个检测周期内(即从第40秒到当前)用户连续认证失败达到5次,将对其进行静默处理。静默期后,如果设备再次收到该IPoE用户的报文,则依然可以对其进行认证处理。
对于未构成双栈IPoE会话的用户,两个协议栈的认证失败次数是分开统计,当且仅当某个协议栈在一个检测周期内连续认证失败次数达到最大值时,该双栈用户才会被静默。对于已构成双栈IPoE会话的用户,两个协议栈的认证失败次数是统一统计,只要该用户在一个检测周期内连续认证失败次数达到最大值,该用户就会被静默。
本命令仅在接口上配置ip subscriber timer quiet命令后才生效。
【举例】
# 在接口GigabitEthernet3/1/1上配置IPoE用户在60秒检测周期内连续认证失败达到5次时,将被静默100秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber timer quiet 100
[Sysname-GigabitEthernet3/1/1] ip subscriber authentication chasten 5 60
【相关命令】
· display ip subscriber chasten user auth-failed
· display ip subscriber chasten user quiet
· ip subscriber timer quiet
ip subscriber authentication-method命令用来配置IPoE认证方式。
undo ip subscriber authentication-method命令用来恢复缺省情况。
【命令】
ip subscriber authentication-method { bind | web [ mac-auth ] }
undo ip subscriber authentication-method
【缺省情况】
IPoE认证方式为绑定认证。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
bind:绑定认证方式。
web:Web认证方式。
mac-auth:Web MAC认证方式。
【使用指导】
绑定认证是指BRAS设备根据用户接入的位置信息自动生成用户名和密码进行身份认证的一种认证方式,无需用户输入用户名和密码。
Web认证是指用户通过访问Web认证服务器的认证页面,交互输入用户名和密码进行身份认证的一种认证方式。
Web MAC认证是指用户只需在第一次上网时输入用户名/密码,后续无需输入用户名/密码即可上网的一种快速Web认证方式。
需要注意的是,当由绑定认证方式切换到Web或Web MAC认证方式时,根据不同的IPoE会话触发方式,有以下几种处理机制:
· 对于IPoE动态个人会话:将删除当前接口上所有动态触发创建的IPoE会话信息,并强制用户下线。
· 对于IPoE接口静态个人会话:当前接口上所有IPoE静态个人会话将被重置到初始化状态,并强制用户下线。
· 对于IPoE全局静态个人会话:将删除基于当前接口创建的所有IPoE全局静态个人会话,并强制用户下线。
· 对于IPoE专线会话:当前接口上IPoE专线会话将被重置到初始化状态,并强制用户下线。
当由Web或Web MAC认证方式切换到绑定认证方式,或在Web和Web MAC两种认证方式之间互切时,将删除当前接口上所有DHCP动态个人会话、全局静态个人会话和重置当前接口静态个人会话为初始化状态,并强制用户下线。
【举例】
# 配置接口GigabitEthernet3/1/1上IPoE用户采用Web认证方式。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
【相关命令】
· ip subscriber enable
ip subscriber captive-bypass enable命令用来开启IPoE被动Web认证功能。
undo ip subscriber captive-bypass enable命令用来关闭IPoE被动Web认证功能。
【命令】
ip subscriber captive-bypass enable [ android | ios ] [ optimize ]
undo ip subscriber captive-bypass enable
【缺省情况】
IPoE被动Web认证功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
android:表示Android系统用户。
ios:表示IOS系统用户。
optimize:表示开启IPoE被动Web认证的优化功能。
【使用指导】
缺省情况下,当使用IOS系统或者部分Android系统的用户接入已开启IPoE Web认证的网络后,设备会主动向这类用户终端推送Web认证页面。开启被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Web认证页面。
IPoE被动Web认证优化功能仅对IOS系统用户有效,对Android系统用户无效。
IPoE被动Web认证优化功能是指,当IOS系统用户使用浏览器访问Internet时会自动弹出Web认证页面,在用户未认证的情况下,直接按home键返回桌面时Wi-Fi连接不会断开。
配置本命令时,如果未指定任何参数,将同时开启Android系统和IOS系统用户的被动Web认证功能。如果仅指定optimize参数,将同时开启Android系统用户的被动Web认证功能和IOS系统用户的被动Web认证优化功能。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启被动Web认证功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber captive-bypass enable
# 开启IOS系统用户的被动Web认证优化功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber captive-bypass enable ios optimize
# 开启Android系统用户的被动Web认证功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber captive-bypass enable android
ip subscriber dhcp domain命令用来配置DHCP个人接入用户使用的认证域。
undo ip subscriber dhcp domain命令用来恢复缺省情况。
【命令】
ip subscriber dhcp domain domain-name [ force ]
undo ip subscriber dhcp domain
【缺省情况】
未配置DHCP个人接入用户使用的认证域。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
force:指定该域为强制认证域,具有最高优先级。如果未指定本参数,则该域为非强制认证域。
【使用指导】
DHCP个人接入用户支持通过多种方式获取认证域。
对于采用松散模式上线的用户,为确保IPoE功能正常,不允许再在采用松散模式上线的接入接口上配置Portal功能。当接口开启DHCPv4报文触发生成IPoE用户功能时,按如下优先顺序选择第一个可用的认证域进行认证:
(1) 使用本命令指定的强制认证域;若该域不存在,则跳转到步骤(4)。
(2) 使用与报文指定业务特征相映射的认证域;若该域不存在,则跳转到步骤(4)。
(3) 使用本命令指定的非强制认证域;若该域不存在,则跳转到步骤(4)。
(4) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
对于采用非松散模式上线的用户,当接口同时开启DHCP报文触发生成IPoE用户功能和Portal功能时,IPv4 DHCP个人接入用户认证域的选择情况,请见ip subscriber dhcp option60 match命令。
对于采用非松散模式上线的用户,当接口开启DHCPv4报文触发生成IPoE用户功能,但未开启Portal功能时,按如下优先顺序选择第一个可用的认证域进行认证:
(1) 使用本命令指定的强制认证域;若该域不存在,则跳转到步骤(9)。
(2) 同时满足如下条件时,使用根据ip subscriber dhcp domain include命令配置的域名生成规则生成的认证域;若该域不存在,则跳转到步骤(7)。
¡ 接口上配置了ip subscriber trust option60命令;
¡ 接口上配置了ip subscriber dhcp option60 match命令并且在Option 60中的指定位置能够匹配到ip subscriber dhcp option60 match命令指定的字符串;
¡ 接口上配置了ip subscriber dhcp domain include命令。
(3) 同时满足如下条件时,使用和ip subscriber dhcp option60 match命令指定的信任字符串相匹配的Option 60中字符串作为认证域;若该域不存在,则跳转到步骤(7)。
¡ 接口上配置了ip subscriber trust option60命令;
¡ 接口上配置了ip subscriber dhcp option60 match命令并且在Option 60中的指定位置能够匹配到ip subscriber dhcp option60 match命令指定的字符串;
¡ 接口上未配置ip subscriber dhcp domain include命令。
(4) 在信任Option 60的情况下,如果接口上配置ip subscriber dhcp option60 match命令但在Option 60中的指定位置不能匹配到ip subscriber dhcp option60 match命令指定的字符串,则忽略option60内容,不会使用option60内容作为认证域(即按报文未携带option60选项的情况选择认证域),此时直接跳转到步骤(7)。
(5) 同时满足如下条件时,使用根据ip subscriber dhcp domain include命令配置的域名生成规则生成的认证域;若该域不存在,则跳转到步骤(7)。
¡ 接口上配置了ip subscriber trust option60命令;
¡ 接口上未配置ip subscriber dhcp option60 match命令;
¡ Option 60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”);
¡ 接口上配置了ip subscriber dhcp domain include命令。
(6) 同时满足如下条件时,使用ip subscriber trust option60命令提取的内容作为认证域;若该域不存在,则跳转到步骤(7)。
¡ 接口上配置了ip subscriber trust option60命令;
¡ 接口上未配置ip subscriber dhcp option60 match命令和ip subscriber dhcp domain include命令;
¡ Option 60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”)。
(7) 使用与报文指定业务特征相映射的认证域;若该域不存在,则跳转到步骤(9)。
(8) 使用本命令指定的非强制认证域;若该域不存在,则跳转到步骤(9)。
(9) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
为使得用户认证成功,必须保证按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
当使用option的内容作为认证域时,该域名必须在接入设备上存在,否则视为不可用的认证域。
本命令用来配置DHCP报文触发接入的IPv4 DHCP个人接入用户在认证时使用的域名,该域名必须在接入设备上存在且配置完整。
为保证设备对Option 60字段中的信息进行正确解析,请确保Option 60字段内容中不出现字符串结束字符和不可见字符,否则可能导致域名匹配不正确。
对于IPoE DHCPv6用户,Option 16和Option 17二者作为认证域的处理原则相同,下面仅以Option 16为例进行介绍。
当接口同时开启DHCPv6报文触发生成IPv6 IPoE用户功能和Portal认证功能时,DHCPv6个人接入用户认证域的选择情况,请见ip subscriber dhcpv6 { option16 | option17 } match命令。
当接口开启DHCPv6报文触发生成IPv6 IPoE用户功能,但未开启Portal功能时,按如下优先顺序选择第一个可用的认证域进行认证:
(1) 使用本命令指定的强制认证域;若该域不存在,则跳转到步骤(7)。
(2) 同时满足如下条件时,使用和ip subscriber dhcpv6 option16 match命令指定的信任字符串相匹配的Option 16中的字符串作为认证域;若该域不存在,则跳转到步骤(5)。
¡ 接口上配置了ip subscriber trust option16命令;
¡ 接口上配置ip subscriber dhcpv6 option16 match命令并且在Option 16中的指定位置能够匹配到ip subscriber dhcpv6 option16 match命令指定的信任字符串。
(3) 在信任Option 16的情况下,如果接口上配置ip subscriber dhcp option16 match命令但在Option 16中的指定位置不能匹配到ip subscriber dhcp option16 match命令指定的字符串,则忽略option16内容,不会使用option16内容作为认证域(即按报文未携带option16选项的情况选择认证域),此时直接跳转到步骤(5)。
(4) 同时满足如下条件时,使用ip subscriber trust option16命令提取的内容作为认证域;若该域不存在,则跳转到步骤(5)。
¡ 接口上配置了ip subscriber trust option16命令;
¡ 接口上未配置ip subscriber dhcpv6 option16 match命令;
¡ Option 16内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”)。
(5) 使用与报文指定业务特征相映射的认证域;若该域不存在,则跳转到步骤(7)。
(6) 使用本命令指定的非强制认证域;若该域不存在,则跳转到步骤(7)。
(7) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
本命令用来配置DHCPv6报文触发接入的IPv6 DHCP个人接入用户在认证时使用的域名,该域名必须在接入设备上存在且配置完整。
为保证设备对Option 16字段中的信息进行正确解析,请确保Option 16字段内容中不出现字符串结束字符和不可见字符,否则可能导致域名匹配不正确。
【举例】
# 配置接口GigabitEthernet3/1/1上的IPv4 DHCP个人接入用户使用的认证域为dm1。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcp domain dm1
【相关命令】
· ip subscriber access-trigger loose
· ip subscriber dhcp domain include
· ip subscriber dhcp option60 match
· ip subscriber dhcpv6 match
· ip subscriber initiator dhcp enable
· ip subscriber trust
ip subscriber dhcp domain include命令用来配置DHCP接入用户的域名生成规则。
undo ip subscriber dhcp domain include命令用来恢复缺省情况。
ip subscriber dhcp domain include vendor-class [ separator separator ] { second-vlan [ separator separator ] | string string [ separator separator ] | vlan [ separator separator ] } *
undo ip subscriber dhcp domain include
【缺省情况】
未配置DHCP接入用户的域名生成规则。
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
vendor-class:表示使用DHCPv4报文中的Option60字段中信任的信息生成域名。
separator separator:字段分隔符,用在当前字段后面以连接后面的一个字段,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
second-vlan:表示以认证报文中的内层VLAN生成域名。
string string:表示以指定的字符串生成域名。string表示域名填充字符串,为1~64个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
vlan:表示以认证报文中的外层VLAN生成域名。
【使用指导】
在DHCP接入用户使用Option60中的信息作为认证域的情况下,当需要对拥有相同Option60,并且从同一接口上线的DHCP接入用户进行区分认证时,可配置本命令。例如:用户A和用户B属于不同的VLAN,但拥有相同的Option60,并通过同一接入接口上线。现要求将用户A和用户B划分到不同的认证域,并根据不同的认证域授权不同的地址池。此时可通过本命令配置VLAN信息参与域名生成,即通过Option60+VLAN组合方式生成不同的域名。
在DHCP接入用户使用Option60中的信息作为认证域的情况下,如果配置了本命令,则本命令中指定的参数将参与域名的生成,最终的域名生成规则为:Option60中的作为认证域的字段+本命令配置的参数信息。有关认证域选择的介绍,请参见ip subscriber dhcp domain命令。
仅在DHCP接入用户使用Option60中的信息作为认证域的情况下,本命令配置后才生效。
为保证设备对Option字段中的信息进行正确解析,请确保Option字段内容中不出现字符串结束符和不可见字符,否则可能生成错误的域名。
# 在接口GigabitEthernet3/1/1.1上配置域名的生成规则为:DHCP报文的Option 60字段中的信任字符串(配置为ipoe)+分隔符(配置为#)+用户VLAN(假设用户VLAN为10),则最终用户使用的认证域为ipoe#10。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.1
[Sysname-GigabitEthernet3/1/1.1] ip subscriber trust option60
[Sysname-GigabitEthernet3/1/1.1] ip subscriber dhcp option60 match ipoe
[Sysname-GigabitEthernet3/1/1.1] ip subscriber dhcp domain include vendor-class separator # vlan
# 在接口GigabitEthernet3/1/1.1上配置域名的生成规则为:信任DHCP报文的整个Option 60(假设Option60中的全部信息为domain123456)+分隔符(配置为#)+用户VLAN(假设用户VLAN为10),则最终用户使用的认证域为domain123456#10。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.1
[Sysname-GigabitEthernet3/1/1.1] ip subscriber trust option60
[Sysname-GigabitEthernet3/1/1.1] ip subscriber dhcp domain include vendor-class separator # vlan
【相关命令】
· ip subscriber dhcp domain
· ip subscriber dhcp option60 match
· ip subscriber trust
ip subscriber dhcp max-session命令用来配置接口上允许DHCPv4报文触发创建的IPoE会话的最大数目。
undo ip subscriber dhcp max-session命令用来恢复缺省情况。
【命令】
ip subscriber dhcp max-session max-number
undo ip subscriber dhcp max-session
【缺省情况】
未配置接口上允许DHCPv4报文触发创建的IPoE会话的最大数目。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
max-number:允许DHCPv4报文触发创建的IPoE会话的最大数目,取值范围为1~64000。
【使用指导】
DHCPv4报文触发创建的IPoE会话数目达到最大值后,后续DHCPv4报文不能触发创建IPoE用户。DHCPv4报文创建的IPoE会话数目包括IPv4单栈会话数目和双栈会话数目。
在双栈IPoE组网应用中,建议本命令和ip subscriber dhcpv6 max-session命令,二者配置相同的最大会话数。
如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。
【举例】
# 配置接口GigabitEthernet3/1/1上允许DHCPv4报文触发创建的IPoE会话的最大数目为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcp max-session 100
【相关命令】
· display ip subscriber session
· ip subscriber initiator dhcp enable
· ip subscriber max-session
· reset ip subscriber session
ip subscriber dhcp option60 match命令用来配置IPv4 DHCP个人接入用户的信任认证域。
undo ip dhcp subscriber option60 match命令用来恢复缺省情况。
【命令】
ip subscriber dhcp option60 match string [ offset offset ] [ length length ]
undo ip subscriber dhcp option60 match string
【缺省情况】
未配置信任DHCP报文中Option 60字段的任何字符串来作为DHCP个人接入用户使用的认证域。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
string:表示在Option 60字段中IPoE信任的字符串,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
offset offset:表示从Option 60首部偏移指定字节后的内容中匹配信任的字符串,offset表示字节偏移量,取值范围为1~63,单位为字节。如果未指定本参数,将从Option 60首部开始匹配信任的字符串。
length length:表示从Option 60首部偏移offset所处的位置开始,取指定长度的字节作为匹配信任字符串的范围,length表示在Option 60中需要匹配的长度,取值范围为1~63,单位为字节。如果未指定本参数,将从Option 60首部偏移offset所处的位置开始在剩余的所有字节中匹配信任的字符串。
【使用指导】
IPv4 DHCP个人接入用户支持通过多种方式获取认证域。
当接口开启DHCPv4报文触发生成IPoE会话功能,但未开启Portal功能时,IPv4 DHCP个人接入用户认证域的选择情况,请见ip subscriber dhcp domain命令。
当接口同时开启DHCPv4报文触发生成IPoE会话功能和Portal功能时:
· 如果从Option 60字段提取的字符串中存在与配置的信任字符串相同的字符串,则DHCP报文触发IPoE接入认证,并按如下优先顺序选择第一个可用的认证域进行认证。
a. 在通过ip subscriber dhcp domain命令配置了强制认证域的情况下,使用强制认证域进行认证;若该域不存在,则跳转到步骤d。
b. 在配置了信任DHCPv4报文中的Option 60的情况下,如果配置了ip subscriber dhcp domain include命令,则使用根据域名生成规则生成的认证域;如果未配置ip subscriber dhcp domain include命令,则使用配置的信任字符串作为DHCP个人接入用户的认证域。
c. 在未配置信任DHCPv4报文中的Option 60的情况下,认证域的选择请见ip subscriber dhcp domain命令。
d. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
· 如果从Option 60字段提取的字符串中不存在与配置的信任字符串相同的字符串,则DHCP报文不会触发IPoE接入认证,用户直接进入Portal认证流程。有关Portal认证的相关介绍请参见“BRAS业务配置指导”中的“Portal”。
为保证设备对Option 60字段中的信息进行正确解析,请确保Option 60字段内容中不出现字符串结束字符和不可见字符,否则可能导致域名匹配不正确。
可通过重复执行该命令,配置多个需要匹配DHCP Option 60的字符串。
【举例】
# 在接口GigabitEthernet3/1/1上配置IPv4 DHCP个人接入用户在DHCP报文的Option 60字段中的信任字符串为ipoe,并使用该字符串作为用户的认证域。ipoe字符串在DHCP报文中Option 60字段的首部偏移1个字节后的10个字节内的任意位置匹配成功即可。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcp option60 match ipoe offset 1 length 10
【相关命令】
· ip subscriber dhcp domain
· ip subscriber dhcp domain include
· ip subscriber trust
ip subscriber dhcp password命令用来配置IPv4 DHCP个人接入用户使用DHCPv4报文中的信息作为认证密码。
undo ip subscriber dhcp password命令用来恢复缺省情况。
【命令】
ip subscriber dhcp password { circuit-id mac | option60 [ offset offset ] [ length length ] | user-class }
undo ip subscriber dhcp password
【缺省情况】
IPv4 DHCP个人接入用户未使用DHCPv4报文中的信息作为认证密码。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
circuit-id:表示DHCPv4报文中的DHCPv4 Option82 sub-option1字段。
mac:表示以Circuit-ID(Option82 sub-option1)字段中的MAC地址信息作为认证密码。
option60:表示使用DHCPv4报文中的Option 60作为认证密码。
offset offset:表示从Option 60首部偏移指定字节后的内容作为认证密码,offset表示字节偏移量,取值范围为1~63,单位为字节。如果未指定本参数,将从Option 60首部后的内容作为认证密码。
length length:表示从Option 60首部偏移offset所处的位置开始,取指定长度的字节作为认证密码,length表示获取字节的长度,取值范围为1~63,单位为字节。如果未指定本参数,将从Option 60首部偏移offset所处的位置开始取剩余的所有内容作为认证密码。
user-class:表示使用DHCPv4报文中的Option 77作为认证密码。
【使用指导】
IPv4 DHCP个人接入用户支持通过多种方式获取认证密码。
对于采用松散模式上线的用户,按如下优先顺序选择第一个可用的认证密码进行认证:
· 使用ip subscriber password命令配置的密码作为认证密码。
· 使用缺省字符串vlan作为认证密码。
对于采用非松散模式上线的用户,按如下优先顺序选择第一个可用的认证密码进行认证:
· 同时满足如下条件时,则使用ip subscriber dhcp password user-class命令配置方式获取的密码作为认证密码:
¡ 接口上配置了ip subscriber dhcp password user-class命令。
¡ 接口上配置了ip subscriber trust option77命令并且DHCPv4报文中携带的Option 77中内容符合可见字符的格式要求。
· 同时满足如下条件时,则使用ip subscriber dhcp password option60命令配置方式获取的密码作为认证密码:
¡ 接口上配置了ip subscriber dhcp password option60命令;
¡ 接口上配置了ip subscriber trust option60命令并且DHCPv4报文中携带的Option 60中内容符合可见字符的格式要求。
· 同时满足如下条件时,则使用ip subscriber dhcp password circuit-id mac命令配置方式获取的密码作为认证密码:
¡ 接口上配置了ip subscriber dhcp password circuit-id mac命令;
¡ 接口上配置了ip subscriber trust option82命令并且DHCPv4报文中携带的Circuit-id中内容符合可见字符的格式要求。
· 使用ip subscriber password命令配置的密码作为认证密码。
· 使用缺省字符串vlan作为认证密码。
ip subscriber dhcp password命令用来配置IPv4 DHCP用户在认证时使用的密码,该密码必须与认证服务器上配置的密码保持一致。
当用户需要将Option 60字段中的信息或者Circuit-ID中的MAC地址信息作为认证密码时,请确保Option 60字段内容和Circuit-ID中的MAC地址信息中不出现字符串结束字符和不可见字符,否则可能在生成用户密码时产生异常。
【举例】
# 配置接口GigabitEthernet3/1/1上的IPv4 DHCP个人接入用户使用从Option 60首部偏移10个字节后的20个字节内容作为认证密码。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcp password option60 offset 10 length 20
【相关命令】
· ip subscriber access-trigger loose
· ip subscriber initiator dhcp enable
· ip subscriber password
· ip subscriber trust
· ip subscriber dhcp username
ip subscriber dhcp username命令用来配置DHCP个人接入用户的认证用户名的命名规则。
undo ip subscriber dhcp username命令用来恢复缺省情况。
【命令】
ip subscriber dhcp username include { circuit-id [ mac ] [ separator separator ] | client-id [ separator separator ] | hostname [ original ] [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [separator separator ] | sysname [separator separator ] | vendor-class [ absent-replace | original ] * [ separator separator ] | vendor-specific [ separator separator ] | vlan [separator separator ] } *
undo ip subscriber dhcp username
【缺省情况】
未配置DHCP个人接入用户的认证用户名的命名规则。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
circuit-id:表示以DHCP报文中的DHCPv4 Option82 sub-option1或DHCPv6 Option18字段中的信息为用户名。
mac:表示以Circuit-ID(Option82 sub-option1)字段中的MAC地址信息作为用户名。如果未指定本参数,表示以整个Circuit-ID(Option82 sub-option1)字段中的信息作为用户名。
client-id:表示以DHCP报文中的DHCPv4 Option61或DHCPv6 Option1字段中的信息作为用户名。
hostname:表示以DHCP报文中的DHCPv4 Option12作为用户名。
nas-port-id:表示以认证报文中的NAS-PORT-ID属性作为用户名。
port:表示以用户接入的端口号作为用户名。
remote-id:表示以DHCP报文中的DHCPv4 Option82 sub-option2或DHCPv6 Option37字段中的信息作为用户名。
second-vlan:表示以认证报文中的内层VLAN作为用户名。
slot:表示以用户接入的槽位号作为用户名。
source-mac:表示以用户报文的源MAC地址作为用户名。
address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
string:表示以指定的字符串作为用户名。
string:用户名字符串,为1~64个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“*”、“?”、“<”、“>”以及“@”字符。
subslot:表示以用户接入的子卡号作为用户名。
sysname:表示以用户接入设备的设备名作为用户名。
vendor-class:表示以DHCP报文中的DHCPv4 Option60或DHCPv6 Option16字段中的信息作为用户名。
absent-replace:表示在DHCP报文中的DHCPv4 Option60或DHCPv6 Option16字段不存在的情况下,以用户认证域的域名替代不存在的Option作为用户名。如果未指定本参数,在DHCP报文中的DHCPv4 Option60或DHCPv6 Option16字段不存在的情况下,以Option作为用户名的部分为空。
vendor-specific:表示以DHCP报文中的DHCPv4 Option82 sub-option9或DHCPv6 Option17字段中的信息作为用户名。
vlan:表示以认证报文中的外层VLAN作为用户名。
original:表示直接将DHCP报文中的DHCPv4 Option12、DHCPv4 Option60或DHCPv6 Option16字段中的信息作为用户名传递给认证服务器进行认证。如果未指定本参数,当option12、option60或Option16中包含不可以见字符时,设备会将不可见字符转换为可见字符后再传递给认证服务器进行认证。
separator separator:当前字段分隔符,用在当前字段后面以连接后面的一个字段,可以为任意可配置的可见字符。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
【使用指导】
该命令用来配置DHCP用户在认证时使用的用户名的命名规则,根据该命名规则获取的用户名必须与认证服务器上配置的用户名保持一致。
对于采用松散模式上线的DHCPv4接入用户,因报文中没有携带DHCP Option信息,所以circuit-id、mac、client-id、remote-id、vendor-class、absent-replace、original、vendor-specific这些参数不生效;此时,即使命令中指定上述参数,设备在生成用户名时也会按照未指定的情况处理。DHCPv6接入用户不支持采用松散模式上线。
在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。例如:若配置ip subscriber dhcp username include vendor-class vendor-specific,则IPv4 DHCP用户名为Option60字段内容和Option82 sub9字段内容的拼接,且两个字段之间无分隔符;IPv6 DHCP用户名为Options16字段内容和Option17字段内容的拼接,且两个字段之间无分隔符。
为保证设备对Option字段中的信息进行正确解析,请确保Option字段内容中不出现字符串结束符和不可见字符,否则可能生成错误的用户名。
【举例】
# 配置接口GigabitEthernet3/1/1上DHCP个人接入用户使用Client Identifier Option字段中的信息作为用户名。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcp username include client-id
# 配置接口GigabitEthernet3/1/1上DHCP个人接入用户使用接入设备的设备名、接入的槽位号、接入的子卡号、接入的端口号和认证报文中的外层VLAN信息作为用户名,所选用的字段之间均使用#作为分隔符。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcp username include sysname separator # slot separator # subslot separator # port separator # vlan
【相关命令】
· ip subscriber access-trigger loose
· ip subscriber initiator dhcp enable
· ip subscriber initiator dhcpv6 enable
· ip subscriber password
· ip subscriber trust
ip subscriber dhcpv6 max-session命令用来配置接口上允许DHCPv6报文触发创建的IPoE会话的最大数目。
undo ip subscriber dhcpv6 max-session命令用来恢复缺省情况。
【命令】
ip subscriber dhcpv6 max-session max-number
undo ip subscriber dhcpv6 max-session
【缺省情况】
未配置接口上允许DHCPv6报文触发创建的IPoE会话的最大数目。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
max-number:允许DHCPv6触发创建的IPoE会话的最大数目,取值范围为1~64000。
【使用指导】
DHCPv6报文触发创建的IPoE会话数目达到最大值后,后续DHCPv6报文不能触发创建IPoE会话。DHCPv6报文创建的IPoE会话数目包括IPv6单栈会话数目和双栈会话数目。
在双栈IPoE组网应用中,建议本命令和ip subscriber dhcp max-session命令,二者配置相同的最大会话数。
如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。
【举例】
# 配置接口GigabitEthernet3/1/1上允许DHCPv6报文触发创建的IPoE会话的最大数目为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcpv6 max-session 100
【相关命令】
· display ip subscriber session
· ip subscriber initiator dhcpv6 enable
· ip subscriber max-session
· reset ip subscriber session
ip subscriber dhcpv6 match命令用来配置IPv6 DHCP个人接入用户的信任认证域。
undo ip subscriber dhcpv6 match命令用来恢复缺省情况。
【命令】
ip subscriber dhcpv6 { option16 | option17 } match string [ offset offset ] [ length length ]
undo ip subscriber dhcpv6 { option16 | option17 } match string
【缺省情况】
未配置信任DHCPv6报文中的Option 16和Option 17字段中的任何字符串来作为IPv6 DHCP个人接入用户的认证域。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
option16:表示DHCPv6报文中的Option16选项。
option17:表示DHCPv6报文中的Option17选项。
string:表示指定在Option 16或Option17字段中需要匹配的字符串,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
offset offset:表示从Option 16或Option17首部偏移指定字节后的内容中匹配指定的字符串,offset表示字节偏移量,取值范围为1~63,单位为字节。如果未指定本参数,将从Option 16或Option17首部开始匹配指定的字符串。
length length:表示从Option 16或Option17首部偏移offset所处的位置开始,取指定长度的字节作为匹配指定字符串的范围,length表示在Option 16或Option17中需要匹配的长度,取值范围为1~63,单位为字节。如果未指定本参数,将从Option 16或Option17首部偏移offset所处的位置开始在剩余的所有字节中匹配指定的字符串。
【使用指导】
IPv6 DHCP个人接入用户支持通过多种方式获取认证域。
因Option16和Option17二者作为认证域的处理原则相同,下面仅以Option16为例进行介绍。
当接口开启DHCPv6报文触发生成IPv6 IPoE会话功能,但未开启Portal功能时,IPv6 DHCP个人接入用户认证域的选择情况,请见ip subscriber dhcp domain命令。
当接口同时开启DHCPv6报文触发生成IPv6 IPoE会话功能和Portal功能时:
· 如果从Option 16字段提取的字符串中存在与配置的信任字符串相同的字符串,则DHCPv6报文触发IPoE接入认证,并按如下优先顺序选择第一个可用的认证域进行认证。
a. 在通过ip subscriber dhcp domain命令配置了强制认证域的情况下,使用强制认证域进行认证;若该域不存在,则跳转到步骤d。
b. 在配置了信任DHCPv6报文中的Option 16的情况下,使用配置的信任字符串作为IPv6 DHCP个人接入用户的认证域。
c. 在未配置信任DHCPv6报文中的Option 16的情况下,认证域的选择请见ip subscriber dhcp domain命令。
d. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
· 如果从Option 16字段提取的字符串中不存在与配置的信任字符串相同的字符串,则DHCPv6报文不会触发IPoE接入认证,用户直接进入Portal认证流程。有关Portal认证的相关介绍请参见“BRAS业务配置指导”中的“Portal”。
可通过重复执行该命令,配置多个需要匹配DHCPv6 Option 16的字符串。
设备目前仅支持获取从Option 16首部开始的前255个字符作为匹配域,然后根据ip subscriber dhcpv6 option16 match命令的配置从该255个字符中选取相应的字符进行匹配;如果配置的需要匹配的字符串长度加上offset偏移之和超过255个字节,将导致匹配失败。
为保证设备对Option 16字段中的信息进行正确解析,请确保Option 16字段内容中不出现字符串结束字符和不可见字符,否则可能导致域名匹配不正确。
【举例】
# 在接口GigabitEthernet3/1/1上配置IPv6 DHCP个人接入用户在DHCPv6报文的Option 16字段中信任的字符串为ipoe,并使用该字符串作为用户的认证域。ipoe字符串在DHCPv6报文中Option 16字段的起始处偏移1个字节后的10个字节内任意位置匹配成功即可。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcpv6 option16 match ipoe offset 1 length 10
· ip subscriber dhcp domain
· ip subscriber trust
ip subscriber dhcpv6 password option16命令用来配置IPv6 DHCP个人接入用户使用DHCPv6报文中的Option 16或者Option 17作为认证密码。
undo ip subscriber dhcpv6 password option16命令用来恢复缺省情况。
【命令】
ip subscriber dhcpv6 password option16 [ offset offset ] [ length length ]
undo ip subscriber dhcpv6 password option16
【缺省情况】
IPv6 DHCP个人接入用户未使用DHCPv6报文中的Option 16或者Option 17作为认证密码。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
offset offset:表示从Option 16或者Option 17首部偏移指定字节后的内容作为认证密码,offset表示字节偏移量,取值范围为1~63,单位为字节。如果未指定本参数,将从Option 16或者Option 17中起始处后的内容作为认证密码。
length length:表示从Option 16或者Option 17首部偏移offset所处的位置开始,取指定长度的字节作为认证密码,length表示获取字节的长度,取值范围为1~63,单位为字节。如果未指定本参数,将从Option 16或者Option 17首部偏移offset所处的位置开始取剩余的所有内容作为认证密码。
【使用指导】
IPv6 DHCP个人接入用户支持通过多种方式获取认证密码,并按如下优先顺序选择第一个可用的认证密码进行认证:
· 同时满足如下条件时,使用本命令配置方式获取的密码作为认证密码:
¡ 接口上配置了ip subscriber dhcpv6 password option16命令;
¡ 接口上配置了ip subscriber trust option16命令并且DHCPv6报文中携带的Option 16中内容符合可见字符的格式要求或者接口上配置了ip subscriber trust option17命令并且DHCPv6报文中携带的Option 17中内容符合可见字符的格式要求。
· 使用ip subscriber password命令配置的密码作为认证密码。
· 使用缺省字符串vlan作为认证密码。
ip subscriber dhcpv6 password option16命令用来配置IPv6 DHCP用户在认证时使用的密码,该密码必须与认证服务器上配置的密码保持一致。
当用户需要将Option 16或者Option 17字段中的信息作为认证密码时,请确保Option 16或者Option17字段内容中不出现字符串结束字符和不可见字符,否则在生成用户密码时将产生异常。
【举例】
# 配置接口GigabitEthernet3/1/1上的IPv6 DHCP个人接入用户使用从Option 16或者Option 17首部偏移10个字节后的20个字节内容作为认证密码。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber dhcpv6 password option16 offset 10 length 20
【相关命令】
· ip subscriber initiator dhcpv6 enable
· ip subscriber password
· ip subscriber trust
· ip subscriber dhcp username
ip subscriber dscp命令用来配置接入用户的IP报文的DSCP值与认证域的映射关系。
undo ip subscriber dscp命令用来删除指定DSCP值与认证域的映射关系。
【命令】
ip subscriber dscp dscp-value-list domain domain-name
undo ip subscriber dscp dscp-value-list
【缺省情况】
未配置接入用户的IP报文的DSCP值与认证域的映射关系。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
dscp-value-list:DSCP值列表,表示一个或多个DSCP的值,表示方式为dscp-value-list = dscp-value [ to dscp-value ] }&<1-8>。其中,dscp-value为指定的DSCP的值,取值范围为0~63。&<1-8>表示前面的参数最多可以输入8次。
domain domain-name:表示与指定的DSCP范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
本命令用来配置指定DSCP范围内的接入用户(包括DHCP接入用户、未知源IP接入用户和IPoE静态接入用户)认证时使用的认证域,通过指定的认证域进行认证、授权、计费。
DHCP接入用户认证域的选择原则,请参见ip subscriber dhcp domain命令。
未知源IP接入用户认证域的选择原则,请参见ip subscriber unclassified-ip domain命令。
IPoE静态接入用户认证域的选择原则,请参见ip subscriber session static命令。
IPoE子网专线用户认证域的选择原则,请见ip subscriber subnet-leased命令。
IPoE接口专线用户认证域的选择原则,请见ip subscriber interface-leased命令。
IPoE L2VPN专线用户认证域的选择原则,请见ip subscriber l2vpn-leased命令。
必须通过ip subscriber service-identify dscp命令配置使用相应业务识别方式,ip subscriber dscp命令配置后才生效。
【举例】
# 在接口GigabitEthernet3/1/1上配置DSCP值范围为1到4的接入用户认证使用的认证域为dscpdm。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber service-identify dscp
[Sysname-GigabitEthernet3/1/1] ip subscriber dscp 1 to 4 domain dscpdm
【相关命令】
· ip subscriber service-identify
ip subscriber enable命令用来在接口上开启IPoE功能并指定用户的接入模式。
undo ip subscriber enable命令用来关闭接口上的IPoE功能。
【命令】
ip subscriber { l2-connected | routed } enable [ ipv4 | ipv6 ]
undo ip subscriber { l2-connected | routed } enable
【缺省情况】
接口上的IPoE功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
l2-connected:指定二层接入模式。
routed:指定三层接入模式。
ipv4:开启IPv4协议栈的IPoE功能。
ipv6:开启IPv6协议栈的IPoE功能。
【使用指导】
如果未指定ipv4或ipv6参数,则表示将同时开启IPv4和IPv6协议栈的IPoE功能。
只有在接口上开启了IPv4或IPv6协议栈的IPoE功能后,该协议栈对应的其它IPoE相关配置才能生效。需要注意的是,对于接口专线用户、L2VPN专线用户和双栈静态用户,仅在同时开启IPv4和IPv6协议栈的IPoE功能的情况下,才允许用户上线。
不能通过重复执行本命令修改IPoE的接入模式。如需修改IPoE的接入模式,请先通过undo ip subscriber enable命令关闭IPoE功能,再执行ip subscriber enable命令。
在IPoE的接入模式不变的情况下,可通过重复执行本命令修改已开启的IPoE功能的协议栈类型:
· 单栈改为双栈:无论当前协议栈是否存在在线IPoE会话,均可直接执行本命令将当前协议栈修改为双栈。
· 双栈改为单栈/IPv4单栈改为IPv6单栈/IPv6单栈改为IPv4单栈:如果当前协议栈不存在IPoE会话,可直接执行本命令将当前协议栈修改为指定的协议栈。
· 双栈改为单栈/IPv4单栈改为IPv6单栈/IPv6单栈改为IPv4单栈:如果当前协议栈有在线IPoE会话,则需要依次执行以下操作:
¡ 执行ip subscriber access-block命令禁止新的IPoE用户上线。
¡ 对于个人接入用户,执行相应的reset命令重置或删除当前协议栈中所有的IPoE个人会话;对于专线接入用户,执行相应的undo命令删除专线用户的配置。
¡ 执行ip subscriber enable命令开启指定协议栈的IPoE功能。
¡ 执行undo ip subscriber access-block命令允许新的IPoE用户上线。
对于双栈改为IPv4单栈或IPv6单栈改为IPv4单栈,只要接口上存在下列任意一种情况,即认为当前协议栈中存在IPoE会话。
· 存在任意状态的接口专线会话、L2VPN专线会话、IPv6子网专线会话、IPv6动态个人会话(包括双栈)或IPv6全局静态个人会话(包括双栈)。
· 存在任意非Init状态的IPv6接口静态个人会话(包括双栈)。
对于双栈改为IPv6单栈或IPv4单栈改为IPv6单栈,只要接口上存在下列任意一种情况,即认为当前协议栈中存在IPoE会话。
· 存在任意状态的接口专线会话、L2VPN专线会话、IPv4子网专线会话、IPv4动态个人会话(包括双栈)或IPv4全局静态个人会话(包括双栈)。
· 存在任意非Init状态的IPv4接口静态个人会话(包括双栈)。
在聚合接口视图下开启IPoE功能时,必须同时通过service命令指定聚合接口下流量的业务处理板;否则会产生无法统计用户流量的现象。有关service命令的详细介绍请参见“二层技术-以太网交换命令参考”中的“以太网链路聚合”。
IPoE功能和qos apply user-profile命令在功能上存在冲突,在接口上开启IPoE功能前,请确保当前接口上未配置qos apply user-profile命令。有关qos apply user-profile命令的介绍,请参见“BRAS业务命令参考”中的“User Profile”。
【举例】
# 在接口GigabitEthernet3/1/1上同时开启二层接入模式的IPv4和IPv6协议栈的IPoE功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber l2-connected enable
【相关命令】
· qos apply user-profile(BRAS业务命令参考/User Profile)
· reset ip subscriber interface-leased
· reset ip subscriber session
· reset ip subscriber subnet-leased
· service(二层技术-以太网交换命令参考/以太网链路聚合)
ip subscriber http-fast-reply enable命令用来开启HTTP报文的快速应答功能。
undo ip subscriber http-fast-reply enable命令用来关闭HTTP报文的快速应答功能。
【命令】
ip subscriber http-fast-reply enable
undo ip subscriber http-fast-reply enable
【缺省情况】
HTTP报文的快速应答功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
【缺省用户角色】
network-admin
【使用指导】
当用户使用浏览器进行Web认证时,如果访问的不是Portal Web服务器,接入设备会将此HTTP请求重定向到CPU,由CPU推送Portal Web服务器的Web认证页面。如果攻击者向设备发送大量的HTTP请求报文,会对设备造成拒绝服务攻击。
开启HTTP报文的快速应答功能后,设备将通过硬件识别HTTP请求报文并自动回复HTTP应答报文,从而减轻CPU的负担,避免成为拒绝服务攻击的目标。
目前仅CSPEX类单板(除CSPEX-1204和CSPEX-1104-E之外)支持本功能。
对于在开启快速应答功能前已经通过认证前域认证上线的用户,本功能开启后不立即生效,当该用户下线后再次通过认证前域上线或者该用户Web上线后再次回到认证前域时本功能才生效。
在同时配置本功能和无感知认证功能的情况下,当用户上线时先尝试按无感知认证方式接入,如果无法无感知(例如:无感知绑定查询请求超时或Portal返回的查询结果是用户未绑定或AAA服务器返回认证失败),则由硬件应答推送Web认证页面。
【举例】
# 在接口GigabitEthernet3/1/1上开启HTTP报文的快速应答功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber http-fast-reply enable
【相关命令】
· ip subscriber authentication-method
ip subscriber if-match命令用来配置IPoE Web重定向URL的匹配规则。
undo ip subscriber if-match命令用来删除指定的IPoE Web重定向URL匹配规则。
【命令】
ip subscriber if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent user-agent redirect-url url-string }
undo ip subscriber if-match { original-url url-string | user-agent user-agent }
【缺省情况】
未配置IPoE Web重定向URL的匹配规则。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
original-url url-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是Web用户访问请求的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。
user-agent user-agent:根据用户HTTP/HTTPS请求报文中的User Agent信息进行匹配,其中user-agent是HTTP/HTTPS User Agent信息内容,为1~255个字符的字符串,区分大小写。HTTP/HTTPS User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。
redirect-url url-string:Web访问请求被重定向后的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。
url-param-encryption:对设备重定向给用户的URL中携带的所有参数信息进行加密。如果未指定本参数,则表示不对携带的所有参数信息进行加密。
aes:加密算法为AES算法。
des:加密算法为DES算法。
key:设置密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:
· 对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。
· 对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。
【使用指导】
重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。
为了让用户能够成功访问重定向后的地址,需要通过认证前域用户组ACL配置Permit规则,放行去往该地址的HTTP或HTTPS请求报文。
与ISP域下web-server url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而ISP域下web-server url命令一般只用于将用户的HTTP或HTTPS请求重定向到Web服务器进行Web认证。在二者同时存在时,优先使用重定向URL匹配规则进行地址的重定向。
【举例】
# 配置URL地址为http://www.abc.com.cn的重定向匹配规则,访问此地址的报文被重定向到http://192.168.0.1,对重定向URL中携带的参数按DES算法进行加密。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber if-match original-url http://www.abc.com.cn redirect-url http://192.168.0.1 url-param-encryption des key simple 12345678
# 配置用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1
【相关命令】
· web-server url(BRAS业务命令参考/AAA)
ip subscriber initiator arp enable命令用来开启ARP报文触发用户上线功能。
undo ip subscriber initiator arp enable命令用来关闭ARP报文触发用户上线功能。
【命令】
ip subscriber initiator arp enable
undo ip subscriber initiator arp enable
【缺省情况】
ARP报文触发用户上线功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,BRAS设备除允许IPoE静态用户通过ARP报文触发上线外,还会对该接口上异常下线的DHCP用户进行记录。通过对异常下线的DHCP用户信息进行记录,当设备收到DHCP用户的ARP报文时,可根据已记录的异常下线的DHCP用户信息恢复该用户的IPoE会话。
DHCP用户异常下线是指,不是因为DHCP接入用户主动释放IP地址引起的用户IPoE会话被删除的现象。
当接口收到用户ARP报文时,按如下先后顺序选择处理方式:
(1) 匹配了配置的静态IPoE会话,则按静态用户接入处理。
(2) 匹配了DHCP异常下线记录表项,则根据异常记录信息恢复DHCP异常下线用户的会话信息。
(3) 匹配了可漫游用户,则按漫游流程进行处理。
(4) 按松散模式上线。(仅适用于松散模式生效的情况)
(5) 以上均未匹配,则丢弃报文,不允许用户通过ARP报文方式接入。
对于IPoE静态个人接入用户,如需通过ARP报文触发上线,则必须同时满足以下条件:
· 开启ARP报文触发上线功能,仅当开启本功能后,当设备收到的ARP报文与手工配置的IPoE会话匹配后才会触发认证。
· 请确保给IPoE静态个人接入用户分配的网关地址是用户接入接口的IP地址,或者是DHCP地址池中通过命令gateway-list export-route指定的网关地址,否则即使该用户的ARP报文与手工配置的IPoE会话匹配也无法触发认证。
关闭该功能后,接口上已由ARP报文触发上线的IPoE静态个人会话将仍保持其在线状态。
需要注意的是,如果静态会话中指定了VPN或者为静态用户授权了VPN,则必须在用户接入接口上同时开启代理ARP功能(由proxy-arp enable命令配置)。
【举例】
# 在接口GigabitEthernet3/1/1上开启ARP报文触发用户上线功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber initiator arp enable
【相关命令】
· display ip subscriber session
· ip subscriber access-trigger loose
· ip subscriber enable
· ip subscriber initiator dhcp enable
· ip subscriber initiator dhcpv6 enable
· ip subscriber initiator unclassified-ip enable
· ip subscriber initiator unclassified-ipv6 enable
· ip subscriber initiator ndrs enable
· ip subscriber roaming enable
· reset ip subscriber session
ip subscriber initiator dhcp enable命令用来在接口上开启DHCPv4报文触发生成IPoE会话的功能。
undo ip subscriber initiator dhcp enable 命令用来关闭接口上DHCPv4报文触发生成IPoE会话的功能。
【命令】
ip subscriber initiator dhcp enable
undo ip subscriber initiator dhcp enable
【缺省情况】
接口上DHCPv4报文触发生成IPoE会话的功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【使用指导】
接口上开启该功能后,收到的首个DHCP Discover报文或直接申请地址的DHCP Request报文会触发生成IPoE会话;关闭该功能后,该接口上收到的DHCPv4报文不能触发生成IPoE会话,已有的由DHCPv4报文触发生成的IPoE会话不会被删除。
接口上可同时配置DHCPv4报文、未知源IPv4报文等多种报文触发生成IPoE会话的功能。
【举例】
# 在接口GigabitEthernet3/1/1上开启DHCPv4报文触发生成IPoE会话的功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber initiator dhcp enable
【相关命令】
· display ip subscriber session
· ip subscriber enable
· ip subscriber initiator arp enable
· ip subscriber initiator dhcpv6 enable
· ip subscriber initiator unclassified-ip enable
· ip subscriber initiator unclassified-ipv6 enable
· ip subscriber initiator ndrs enable
· reset ip subscriber session
ip subscriber initiator dhcpv6 enable命令用来在接口上开启DHCPv6报文触发生成IPoE会话的功能。
undo ip subscriber initiator dhcpv6 enable命令用来关闭接口上DHCPv6报文触发生成IPoE会话的功能。
【命令】
ip subscriber initiator dhcpv6 enable
undo ip subscriber initiator dhcpv6 enable
【缺省情况】
接口上DHCPv6报文触发生成IPoE会话的功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【使用指导】
接口上开启该功能后,收到的首个DHCP Solicit报文或直接申请地址的DHCP Request报文会触发生成IPoE会话;关闭该功能后,该接口上收到的DHCPv6报文不能触发生成IPoE会话,已有的由DHCPv6报文触发生成的IPoE会话不会被删除。
接口上可同时配置DHCPv6报文、IPv6 ND RS和未知源IPv6报文等多种报文触发生成IPoE会话的功能。
【举例】
# 在接口GigabitEthernet3/1/1上开启DHCPv6报文触发生成IPoE会话的功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber initiator dhcpv6 enable
【相关命令】
· display ip subscriber session
· ip subscriber enable
· ip subscriber initiator arp enable
· ip subscriber initiator dhcp enable
· ip subscriber initiator unclassified-ip enable
· ip subscriber initiator unclassified-ipv6 enable
· ip subscriber initiator ndrs enable
· reset ip subscriber session
ip subscriber initiator ndrs enable命令用来在接口上开启IPv6 ND RS报文触发生成IPoE会话的功能。
undo ip subscriber initiator ndrs enable命令用来关闭接口上IPv6 ND RS报文触发生成IPoE会话的功能。
【命令】
ip subscriber initiator ndrs enable
undo ip subscriber initiator ndrs enable
【缺省情况】
接口上IPv6 ND RS报文触发生成IPoE会话的功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【使用指导】
接口上开启该功能后,收到的首个IPv6 ND RS报文会触发生成IPoE会话;关闭该功能后,该接口上收到的IPv6 ND RS报文不能触发生成IPoE会话,已有的由IPv6 ND RS报文触发生成的IPoE会话不会被删除。
接口上可同时配置DHCPv6报文、IPv6 ND RS和未知源IP报文等多种报文触发生成IPoE会话的功能。
在同一接口上不支持同时开启IPv6 ND RS报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
【举例】
# 在接口GigabitEthernet3/1/1上开启IPv6 ND RS报文触发生成IPoE会话的功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber initiator ndrs enable
【相关命令】
· display ip subscriber session
· ip subscriber enable
· ip subscriber initiator arp enable
· ip subscriber initiator dhcp enable
· ip subscriber initiator dhcpv6 enable
· ip subscriber initiator unclassified-ip enable
· ip subscriber initiator unclassified-ipv6 enable
· reset ip subscriber session
ip subscriber initiator nsna enable命令用来开启NS/NA报文触发用户上线功能。
undo ip subscriber initiator nsna enable命令用来关闭NS/NA报文触发用户上线功能。
【命令】
ip subscriber initiator nsna enable
undo ip subscriber initiator nsna enable
【缺省情况】
NS/NA报文触发用户上线功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当设备收到NS或NA报文时,如果满足以下条件:
· 对于NS报文,其源地址为全球单播地址。
· 对于NA报文,其源地址为全球单播地址或Target address为全球单播地址。
则按如下先后顺序选择处理方式:
(1) 匹配了配置的静态IPoE会话,则按静态用户接入处理。
(2) 匹配了漫游用户,则按漫游流程进行处理。
(3) 以上均未匹配,则不允许用户通过NS/NA报文触发方式上线。
当需要通过NS或NA报文触发用户上线时,目前支持如下两种触发方式:
· 通过ip subscriber initiator unclassified-ipv6 enable命令配置的未知源IPv6报文触发方式。
· 通过ip subscriber initiator nsna enable命令配置的NS/NA报文触发方式。
当上述两种方式同时配置时,根据IPoE的接入模式不同分为如下两种情况:
· 在IPoE二层接入模式下,当设备收到的NS或NA报文的源IPv6地址是全球单播地址,并且目的IPv6地址非组播地址时,仅按未知源方式处理;除此之外的NS/NA报文,如果满足NS/NA报文触发用户上线功能的条件,则按NS/NA报文触发方式处理,否则丢弃报文。
· 在IPoE三层接入模式下,NS和NA报文仅支持通过NS/NA报文触发方式上线,不支持通过未知源IPv6报文触发方式上线。
关闭本功能后,对接口上已由NS/NA报文触发上线的用户无影响,仍将保持其在线状态。
在同一接口上不支持同时开启NS/NA报文触发用户上线功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
【举例】
# 在接口GigabitEthernet3/1/1上开启NS/NA报文触发用户上线功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber initiator nsna enable
【相关命令】
· display ip subscriber session
· ip subscriber initiator unclassified-ipv6 enable
· ip subscriber roaming enable
· reset ip subscriber session
ip subscriber initiator unclassified-ip enable命令用来在接口上开启未知源IPv4报文触发生成IPoE会话的功能。
undo ip subscriber initiator unclassified-ip enable命令用来关闭接口上的未知源IPv4报文触发生成IPoE会话的功能。
【命令】
ip subscriber initiator unclassified-ip enable [ matching-user ]
undo ip subscriber initiator unclassified-ip enable
【缺省情况】
接口上的未知源IPv4报文触发生成IPoE会话的功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
matching-user:表示仅允许匹配到的静态用户、DHCP异常下线用户、漫游用户和采用松散模式上线的用户上线。
【使用指导】
开启本功能后,BRAS设备除允许IPoE用户通过未知源IP报文触发上线外,还会对该接口上异常下线的DHCP用户进行记录。通过对异常下线的DHCP用户信息进行记录,当设备收到DHCP用户的IP报文时,可根据已记录的异常下线的DHCP用户信息恢复该用户的IPoE会话。
DHCP用户异常下线是指,不是因为DHCP接入用户主动释放IP地址引起的用户IPoE会话被删除的现象。
当接口收到用户IP报文时,如果指定了matching-user参数,则按如下先后顺序选择处理方式:
(1) 匹配了配置的静态IPoE会话,则按静态用户接入处理。
(2) 匹配了DHCP异常下线记录表项,则根据异常记录信息恢复该用户的会话信息。
(3) 匹配了可漫游用户,则按漫游流程进行处理。
(4) 按松散模式上线。(仅适用于松散模式生效的情况)
(5) 以上均未匹配,则丢弃报文,不允许用户通过未知源IP报文触发上线。
如果未指定matching-user参数,则按如下先后顺序选择处理方式:
(1) 匹配配置的静态IPoE会话,则按静态用户接入处理。
(2) 匹配DHCP异常下线记录表项,则根据异常记录信息恢复该用户的会话信息。
(3) 匹配了可漫游用户,则按漫游流程进行处理。
(4) 按松散模式上线。(仅适用于松散模式生效的情况)
(5) 以上均未匹配,则按未知源IP报文触发用户上线。
关闭该功能后,该接口上已由未知源IPv4报文触发生成的IPoE会话不会被删除。
接口上可同时配置DHCPv4报文、未知源IPv4报文等多种报文触发生成IPoE会话的功能。
在同一接口上不支持同时开启未知源IPv4报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
【举例】
# 在接口GigabitEthernet3/1/1上开启未知源IPv4报文触发生成IPoE会话的功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable
【相关命令】
· display ip subscriber session
· ip subscriber access-trigger loose
· ip subscriber enable
· ip subscriber initiator arp enable
· ip subscriber initiator dhcp enable
· ip subscriber initiator dhcpv6 enable
· ip subscriber initiator unclassified-ipv6 enable
· ip subscriber initiator ndrs enable
· ip subscriber roaming enable
· reset ip subscriber session
ip subscriber initiator unclassified-ipv6 enable命令用来在接口上开启未知源IPv6报文触发生成IPoE会话的功能。
undo ip subscriber initiator unclassified-ipv6 enable命令用来关闭接口上的未知源IPv6报文触发生成IPoE会话的功能。
【命令】
ip subscriber initiator unclassified-ipv6 enable [ matching-user ]
undo ip subscriber initiator unclassified-ipv6 enable
【缺省情况】
接口上的未知源IPv6报文触发生成IPoE会话的功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
matching-user:表示仅允许匹配到的静态用户和漫游用户上线。
【使用指导】
开启本功能后,BRAS设备仅允许IPoE用户通过未知源IP报文触发上线,暂不支持对该接口上异常下线的DHCPv6用户记录。
当接口收到用户IP报文时,如果指定了matching-user参数,则按如下先后顺序选择处理方式:
(1) 匹配了配置的静态IPoE会话,则按静态用户接入处理。
(2) 匹配了漫游用户,则按漫游流程进行处理。
(3) 以上未匹配,则不允许用户通过未知源IPv6报文触发上线。
如果未指定matching-user参数,则按如下先后顺序选择处理方式:
(1) 匹配配置的静态IPoE会话,则按静态用户接入处理。
(2) 匹配了漫游用户,则按漫游流程进行处理。
(3) 以上未匹配,则按未知源IPv6报文触发用户上线。
当接口收到的IP报文是NS/NA报文时的处理流程,请参见ip subscriber initiator nsna enable命令。
关闭该功能后,该接口上已由未知源IPv6报文触发生成的IPoE会话不会被删除。
接口上可同时配置DHCPv6报文、IPv6 ND RS和未知源IPv6报文等多种报文触发生成IPoE会话的功能。
在同一接口上不支持同时开启未知源IPv6报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
【举例】
# 在接口GigabitEthernet3/1/1上开启未知源IPv6报文触发生成IPoE会话的功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber initiator unclassified-ipv6 enable
【相关命令】
· display ip subscriber session
· ip subscriber initiator nsna enable
· ip subscriber roaming enable
· reset ip subscriber session
ip subscriber interface-leased命令用来配置IPoE接口专线用户。
undo ip subscriber interface-leased命令用来恢复缺省情况。
【命令】
ip subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ]
undo ip subscriber interface-leased
【缺省情况】
未配置IPoE接口专线用户。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
username name:指定用户认证时使用的用户名,其中name为1~255个字符的字符串,区分大小写。
password:指定用户认证时使用的密码。
ciphertext:以密文方式设置密码。
plaintext:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“BRAS业务配置指导”中的“AAA”。
【使用指导】
一个IPoE接口专线用户代表了当前接口接入的所有用户。在接入接口上同时开启了IPv4和IPv6协议栈的IPoE功能、且接口状态up的情况下,接入设备会根据ip subscriber interface-leased命令的配置建立IPoE接口专线会话,会话建立成功后无需用户流量触发,接入设备会主动尝试以配置的用户名和密码发起认证;用户认证成功后,接口上接入的所有用户流量均允许通过,且共享一个IPoE会话,并基于接口进行授权和计费。
每个接口只能配置一个IPoE接口专线用户,并且不能通过重复执行本命令修改已配置的IPoE接口专线用户的username、password或domain参数。如需修改这些参数,请先通过undo ip subscriber interface-leased命令删除已配置的IPoE接口专线用户,再执行ip subscriber interface-leased命令。
同一接口下,IPoE个人接入用户、IPoE接口专线用户、IPoE子网专线用户和IPoE L2VPN专线用户的配置互斥,四者只能选择其中的一种配置。
IPoE接口专线用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个可用的认证域进行认证:
(1) 使用与报文指定业务特征相映射的认证域;若该域不存在,则跳转到步骤(4)。
(2) 使用本命令中domain domain-name指定的认证域;若该域不存在,则跳转到步骤(4)。
(3) 使用ip subscriber unclassified-ip domain命令配置的认证域;若该域不存在,则跳转到步骤(4)。
(4) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
【举例】
# 在接口GigabitEthernet3/1/1上配置一个IPoE接口专线用户:认证使用的用户名为intuser,认证使用的密码为明文pw123。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber interface-leased username intuser password plaintext pw123
【相关命令】
· display ip subscriber interface-leased
ip subscriber l2vpn-leased命令用来配置IPoE L2VPN专线用户。
undo ip subscriber l2vpn-leased命令用来恢复缺省情况。
【命令】
ip subscriber l2vpn-leased username name password { ciphertext | plaintext } string [ domain domain-name ]
undo ip subscriber l2vpn-leased
【缺省情况】
未配置IPoE L2VPN专线用户。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
username name:指定用户认证时使用的用户名,其中name为1~255个字符的字符串,区分大小写。
password:指定用户认证时使用的密码。
ciphertext:表示以密文方式配置用户认证使用的密码。
plaintext:表示以明文方式配置用户认证使用的密码。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“BRAS业务配置指导”中的“AAA”。
【使用指导】
一个IPoE L2VPN专线用户代表了该接口接入的所有用户,接口上接入的所有用户统一认证、授权和计费。该IPoE专线用户认证成功后,接口上接入的所有L2VPN专线用户流量均允许通过,且共享一个IPoE会话,并基于接口进行授权和计费。
L2VPN专线用户仅在同时开启IPv4和IPv6协议栈的IPoE功能的情况下,才允许用户上线。
每个接口只能配置一个IPoE L2VPN专线用户,并且不能通过重复执行本命令修改已配置的IPoE L2VPN专线用户的username、password或domain参数。如需修改这些参数,请先通过undo ip subscriber l2vpn-leased命令删除已配置的IPoE L2VPN专线用户,再执行ip subscriber l2vpn-leased命令。
同一接口下,IPoE L2VPN专线用户、IPoE个人接入用户、IPoE接口专线用户和IPoE子网专线用户的配置互斥,只能选择其中的一种配置。
同一三层以太网子接口下,IPoE L2VPN专线用户和以太网子接口/三层聚合子接口的报文统计功能互斥,二者只能配置其一。有关以太网子接口的报文统计功能的详细介绍,请参见“接口管理配置指导”中的“以太网接口”。有关三层聚合子接口的报文统计功能的详细介绍,请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。
IPoE L2VPN专线用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个可用的认证域进行认证:
(1) 使用与报文指定业务特征相映射的认证域;若该域不存在,则跳转到步骤(3)。
(2) 使用本命令中domain domain-name指定的认证域;若该域不存在,则跳转到步骤(3)。
(3) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
【举例】
# 在接口GigabitEthernet3/1/1上配置一个IPoE L2VPN专线用户:认证使用的用户名为intuser,认证使用的密码为明文pw123。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber l2vpn-leased username intuser password plaintext pw123
ip subscriber lease-end-time original命令用来配置异常下线用户再次触发上线时租约到期时间为异常下线前的时间。
undo subscriber lease-end-time original命令用来恢复缺省情况。
【命令】
ip subscriber lease-end-time original
undo ip subscriber lease-end-time original
【缺省情况】
异常下线用户再次触发上线时租约到期重新开始计算。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,BRAS设备对异常下线后再次触发上线的IPoE用户的租约,在用户上线后重新开始计时。配置此命令后,当故障恢复客户端重新触发上线时,BRAS记录的租约到期时间与客户端记录的租约到期时间保持一致。
【举例】
# 配置异常下线用户再次触发上线时租约到期时间为异常下线前的时间。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber lease-end-time original
【相关命令】
· ip subscriber initiator unclassified-ip enable
· ip subscriber initiator unclassified-ipv6 enable
· display ip subscriber abnormal-logout
ip subscriber mac-auth domain命令用来配置MAC认证域。
undo ip subscriber mac-auth domain命令用来恢复缺省情况。
【命令】
ip subscriber mac-auth domain domain-name
undo ip subscriber mac-auth domain
【缺省情况】
未配置MAC认证域。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
采用Web MAC认证方式时,如果配置了多种认证域,在Web认证阶段,接入用户按如下先后顺序选择认证域:
(1) 若通过ip subscriber mac-auth domain命令指定了MAC认证域,则先获取用户名中的域,然后进行如下判断:
¡ 如用户名中携带域,且该域存在,则使用用户名携带的域;若该域不存在,则跳转到步骤(3)。
¡ 若用户名中未携带域,则使用ip subscriber mac-auth domain命令指定的MAC认证域;若该域不存在,则跳转到步骤(3)。
若未指定MAC认证域,则查询下一步。
(2) 若通过ip subscriber web-auth domain命令指定了Web认证域,则先获取用户名中的域,然后进行如下判断:
¡ 如用户名中携带域,且该域存在,则使用用户名携带的域;若该域不存在,则跳转到步骤(3)。
¡ 若用户名中未携带域,则使用ip subscriber web-auth domain命令指定的Web认证域;若该域不存在,则跳转到步骤(3)。
若未指定MAC认证域和Web认证域,则查询下一步。
(3) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
采用Web认证方式时,在Web认证阶段,多种认证域的选择原则请参见ip subscriber web-auth domain命令。
MAC认证域仅适用于采用Web MAC认证方式的个人接入用户,在Web认证阶段进行MAC无感知认证时使用。
修改MAC认证域域名或域中的配置仅对新接入用户生效,对当前已通过该认证域上线的用户无影响。
【举例】
# 在接口GigabitEthernet3/1/1上配置MAC认证域为dm1。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber mac-auth domain dm1
【相关命令】
· ip subscriber authentication-method
· ip subscriber web-auth domain
ip subscriber max-session命令用来配置接口上允许创建的IPoE个人会话和专线子用户会话的最大总数目。
undo ip subscriber max-session命令用来恢复缺省情况。
【命令】
ip subscriber max-session max-number
undo ip subscriber max-session
【缺省情况】
未配置接口上允许创建的IPoE个人会话和专线子用户会话的最大总数目。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
max-number:允许创建的IPoE个人会话和专线子用户会话的最大总数目,取值范围为1~64000。
【使用指导】
当接口上已创建的IPoE个人会话和专线子用户会话的总数目达到最大值后,则不允许再创建新的IPoE会话。创建的IPoE会话数目包括IPv4单栈会话数目、IPv6单栈会话数目和双栈会话数目,其中,单栈用户占用一个会话资源,双栈用户占用一个会话资源;如果某单栈用户已经成功上线,那么同一用户的另一协议栈可以直接上线,双栈共用一个会话资源。
如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
本命令与ip subscriber { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 } max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。
【举例】
# 配置接口GigabitEthernet3/1/1上允许创建的IPoE个人会话和专线子用户会话的最大总数目为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber max-session 100
【相关命令】
· ip subscriber dhcp max-session
· ip subscriber dhcpv6 max-session
· ip subscriber ndrs max-session
· ip subscriber unclassified-ip max-session
· ip subscriber unclassified-ipv6 max-session
ip subscriber nas-port-id format命令用来配置IPoE接入用户进行认证时,接入设备向RADIUS服务器发送的NAS-PORT-ID属性的封装格式。
undo ip subscriber nas-port-id format命令用来恢复缺省情况。
【命令】
ip subscriber nas-port-id format cn-telecom { version1.0 | version2.0 | version3.0 | version4.0 | version5.0 }
undo ip subscriber nas-port-id format
【缺省情况】
按version 1.0的格式填充RADIUS的NAS-PORT-ID属性。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
VSI虚接口视图
【缺省用户角色】
network-admin
【参数】
version1.0:封装格式为version 1.0,表示发送给RADIUS服务器的NAS-PORT-ID属性以电信163大后台要求的格式填充。不同接口类型的封装内容形式有所不同,具体请参见表1-27。其中,封装内容中的各参数含义为:
· NAS_slot:表示BRAS接入接口的槽位号。
· NAS_subslot:表示BRAS接入接口的子槽位号。
· NAS_port:表示BRAS接入接口的端口号。
· vlan_id:表示接入用户的VLAN ID。
· inner-vlan:表示接入用户的内层VLAN ID。
· outer-vlan:表示接入用户的外层VLAN ID。
· vpi:表示BRAS接入接口的VPI。
· vci:表示BRAS接入接口的VCI。
|
接口类型 |
封装内容形式 |
|
三层以太网接口和三层聚合接口 |
slot=NAS_slot;subslot=NAS_subslot;port=NAS_port;vlanid=0 |
|
三层以太网子接口和三层聚合子接口(携带单层VLAN Tag接入) |
slot=NAS_slot;subslot=NAS_subslot;port=NAS_port;vlanid=vlan_id |
|
三层以太网子接口和三层聚合子接口(携带双层VLAN Tag接入) |
slot=NAS_slot;subslot=NAS_subslot;port=NAS_port;vlanid=inner-vlan;vlanid2=outer-vlan |
如果未配置aaa nas-port-id vlanid uppercase命令,表1-27中的vlanid和vlanid2为小写;如果配置了aaa nas-port-id vlanid uppercase命令,则为大写的VLANID和VLANID2。有关aaa nas-port-id vlanid uppercase命令的介绍,请参见“BRAS业务命令参考”中的“AAA”。
version2.0:封装格式为version 2.0,表示发送给RADIUS服务器的NAS-PORT-ID属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。
当收到的DHCPv4报文带有Option 82 Circuit-ID并且信任Option 82或当收到的DHCPv6报文带有Option 18并且信任Option 18时,version 2.0封装格式的内容形式请参见ip subscriber nas-port-id nasinfo-insert命令,否则按version 2.0格式{eth|trunk|atm} NAS_slot/NAS_subslot/NAS_port:svlan.cvlan AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port封装,填充NAS-PORT-ID属性中的NAS信息字段(NAS_slot/NAS_subslot/NAS_port:svlan.cvlan),并将AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分修改为0/0/0/0/0/0。
其中,各字段的含义请参见表1-28:
|
字段 |
描述 |
|
{eth|trunk|atm} |
表示BRAS接入接口的类型,包括以太接口、trunk类型的以太网接口或ATM接口 |
|
NAS_slot |
表示BRAS接入接口的槽位号 |
|
NAS_subslot |
表示BRAS接入接口的子槽位号 |
|
NAS_port |
表示BRAS接入接口的端口号 |
|
svlan |
表示接入用户的SVLAN ID |
|
cvlan |
表示接入用户的CVLAN ID |
|
AccessNodeIdentifier |
表示接入节点的标识 |
|
ANI_rack |
表示接入节点机架号 |
|
ANI_frame |
表示接入节点机框号 |
|
ANI_slot |
表示接入节点槽位号 |
|
ANI_subslot |
表示接入节点子槽位号 |
|
ANI_port |
表示接入节点端口号 |
需要注意的是,version 2.0封装格式中,不带VLAN的接入用户,svlan和cvlan均固定为4096;如果携带单层VLAN,则svlan固定为4096,cvlan为用户实际携带的VLAN。详解请见举例。
version3.0:封装格式为version 3.0。version 3.0封装格式的内容形式为:SlotID/00/IfNO/VlanID,其中“/”符号不显示。各字段的含义请参见表1-29:
|
字段 |
描述 |
|
SlotID |
表示用户接入的槽位号,至少占2位,不足2位使用0补充 |
|
00 |
表示规范要求的特定字段 |
|
IFNO |
表示用户接入的接口编号,至少占3位,不足3位使用0补充 |
|
VlanID |
表示用户接入的VLAN ID,至少占9位,不足9位使用0补充 |
需要注意的是,version 3.0封装格式中,不带VLAN的接入用户,VlanID固定为0;如果携带单层VLAN,则VlanID为VlanID;如果携带双层VLAN,则VlanID为CVLAN ID。详解请见举例。
version4.0:
· 如果未配置Option82或Option18,或配置了信任Option82或Option18,但不能提取出信息时,其格式与version 3.0封装格式完全相同;
· 信任Option82或Option18时,封装格式为version 4.0。其格式为在version3.0的NAS-PORT-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCP Option82 Circuit-ID的内容,即格式为SlotID/00/IfNO/VlanID/Option82 Circuit-ID,其中“/”符号不显示;对于IPv6用户,此处添加的是DHCP Option18的内容,即格式为SlotID/00/IfNO/VlanID/Option18,其中“/”符号不显示。
version5.0:封装格式为version 5.0,表示发送给RADIUS服务器的NAS-PORT-ID属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。Option18与Option 82处理原则相同,下面以Option 82为例进行介绍。
· 如果未配置Option 82,或配置了信任Option 82,但不能提取出信息则按照未携带Option82 Circuit-ID的情况,以version 2.0格式封装(即AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分将被填充为0/0/0/0/0/0)。
· 如果配置了信任Option 82,且能提取出信息,这种情况version 5.0封装格式请见ip subscriber nas-port-id nasinfo-insert命令。
【举例】
· 不带VLAN Tag接入
# 在聚合接口1上配置设备使用version 1.0格式封装RADIUS的NAS-PORT-ID属性,不携带VLAN Tag接入。
<Sysname> system-view
[Sysname] interface route-aggregation 1
[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version1.0
[Sysname-Route-Aggregation1] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
RAGG1 4.4.4.4 1a65-c9ac-0206 S/- Online
- -/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="slot=0;subslot=0;port=1;vlanid=0;"
· 携带单层VLAN Tag接入
# 在接口GigabitEthernet3/1/1.2上配置设备使用version 1.0格式封装RADIUS的NAS-PORT-ID属性,携带单层VLAN Tag接入。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.2
[Sysname-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version1.0
[Sysname-GigabitEthernet3/1/1.2] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1.2 4.4.4.4 1a65-c9ac-0209 S/- Online
- 400/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="slot=3;subslot=1;port=1;vlanid=400;"
· 携带双层VLAN Tag接入
# 在接口GigabitEthernet3/1/1.2上配置设备使用version 1.0格式封装RADIUS的NAS-PORT-ID属性,携带双层VLAN Tag接入。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.2
[Sysname-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version1.0
[Sysname-GigabitEthernet3/1/1.2] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1.2 4.4.4.4 1a65-c9ac-0209 S/- Online
- 400/500 -
4.4.4.4
Radius debug信息中NAS-Port-Id="slot=3;subslot=1;port=1;vlanid=500;vlanid2=400;"
· 不携带VLAN Tag接入
¡ 三层聚合接口上线
# 在聚合接口1上配置设备使用version 2.0格式封装RADIUS的NAS-PORT-ID属性,不携带VLAN Tag接入。
<Sysname> system-view
[Sysname] interface route-aggregation 1
[Sysname-Route-Aggregation1] undo ip subscriber trust option82
[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version2.0
[Sysname-Route-Aggregation1] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
RAGG1 4.4.4.4 1a65-c9ac-0206 D/- Online
- -/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="trunk 0/0/1:4096.4096 0/0/0/0/0/0"
¡ 三层以太网接口上线
# 在接口GigabitEthernet3/1/1上配置设备使用version 2.0格式封装RADIUS的NAS-PORT-ID属性,不携带VLAN Tag接入。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] undo ip subscriber trust option82
[Sysname-GigabitEthernet3/1/1] ip subscriber nas-port-id format cn-telecom version2.0
[Sysname-GigabitEthernet3/1/1] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1 4.4.4.4 1a65-c9ac-0209 D/- Online
- -/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="eth 3/1/1:4096.4096 0/0/0/0/0/0"
· 携带单层VLAN Tag接入
# 在接口GigabitEthernet3/1/1.2上配置设备使用version 2.0格式封装RADIUS的NAS-PORT-ID属性,携带单层VLAN Tag接入。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.2
[Sysname-GigabitEthernet3/1/1.2] undo ip subscriber trust option82
[Sysname-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version2.0
[Sysname-GigabitEthernet3/1/1.2] quit
[Sysname]display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1.2 4.4.4.4 1a65-c9ac-0209 D/- Online
- 400/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="eth 3/1/1:4096.400 0/0/0/0/0/0"
· 携带双层VLAN Tag接入
# 在接口GigabitEthernet3/1/1.2上配置设备使用version 2.0格式封装RADIUS的NAS-PORT-ID属性,携带双层VLAN Tag接入。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.2
[Sysname-GigabitEthernet3/1/1.2] undo ip subscriber trust option82
[Sysname-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version2.0
[Sysname-GigabitEthernet3/1/1.2] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1.2 4.4.4.4 1a65-c9ac-0209 D/- Online
- 400/500 -
4.4.4.4
Radius debug信息中NAS-Port-Id="eth 3/1/1:400.500 0/0/0/0/0/0"
· 不携带VLAN Tag接入
# 在聚合接口1上配置设备使用version 3.0格式封装RADIUS的NAS-PORT-ID属性,不携带VLAN Tag接入。
<Sysname> system-view
[Sysname] interface route-aggregation 1
[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version3.0
[Sysname-Route-Aggregation1] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
RAGG1 4.4.4.4 1a65-c9ac-0206 S/- Online
- -/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="0000001000000000"
· 携带单层VLAN Tag接入
# 在接口GigabitEthernet3/1/1.2上配置设备使用version 3.0格式封装RADIUS的NAS-PORT-ID属性,携带单层VLAN Tag接入。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.2
[Sysname-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version3.0
[Sysname-GigabitEthernet3/1/1.2] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1.2 4.4.4.4 1a65-c9ac-0209 S/- Online
- 400/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="0300001000000400"
· 携带双层VLAN Tag接入
# 在接口GigabitEthernet3/1/1.2上配置设备使用version 3.0格式封装RADIUS的NAS-PORT-ID属性,携带双层VLAN Tag接入。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.2
[Sysname-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version3.0
[Sysname-GigabitEthernet3/1/1.2] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1.2 4.4.4.4 1a65-c9ac-0209 S/- Online
- 400/500 -
4.4.4.4
Radius debug信息中NAS-Port-Id="0300001000000500"
# 在接口GigabitEthernet3/1/1.2上配置设备使用version 4.0格式封装RADIUS的NAS-PORT-ID属性,携带双层VLAN Tag接入,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.2
[Sysname-GigabitEthernet3/1/1.2] ip subscriber trust option82
[Sysname-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version4.0
[Sysname-GigabitEthernet3/1/1.2] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1.2 4.4.4.4 1a65-c9ac-0209 D/- Online
- 400/500 -
4.4.4.4
Radius debug信息中NAS-Port-Id="0300001000000500aaa be cd ef g"
DHCP报文中未携带Option82 Circuit-ID或未配置信任Option82时,version 5.0格式和version 2.0格式完全相同,具体请见version 2.0格式举例。
DHCP报文带有Option82 Circuit-ID并且信任Option 82时,version 5.0格式举例请见ip subscriber nas-port-id nasinfo-insert命令中举例。
【相关命令】
· aaa nas-port-id vlanid-uppercase(BRAS业务命令参考/AAA)
· dp(BRAS业务命令参考/AAA)
· ip subscriber initiator dhcp enable
· ip subscriber initiator dhcpv6 enable
· ip subscriber trust
· ip subscriber nas-port-id interface
· ip subscriber nas-port-id nasinfo-insert
ip subscriber nas-port-id interface命令用来配置设备使用指定接口信息填充RADIUS的NAS-PORT-ID属性。
undo ip subscriber nas-port-id interface命令用来恢复缺省情况
【命令】
ip subscriber nas-port-id interface interface-type interface-number
undo ip subscriber nas-port-id interface
【缺省情况】
设备使用用户上线的接口信息填充RADIUS的NAS-PORT-ID属性。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
interface-type:表示BRAS接入接口的类型。指定的接口必须是IPoE用户的接入接口。
interface-number:表示BRAS接入接口的编号。当前接口编号仅支持一维、二维、三维和四维接口,且每维接口编号的取值范围都是0~65534。例如三维接口,最小接口编号为0/0/0,最大接口编号为65534/65534/65534。请根据实际情况合理配置接口编号。
【使用指导】
缺省情况下,设备使用用户上线的接口信息填充NAS-PORT-ID属性上送RADIUS服务器。在某些特殊应用中,当需要手工指定用于填充NAS-PORT-ID属性的上线接口信息时,可配置本命令。例如,若RADIUS服务器上限制了用户A只能通过接口A上线,当用户A切换到一个新接口B上线时,若不想更改RADIUS服务器的配置,可通过本命令配置用户A仍使用接口A的信息填充NAS-PORT-ID属性上送RADIUS服务器。
当NAS-PORT-ID属性的封装格式为version 1.0格式时,若配置本命令,将使用本命令的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:chassis=NAS_chassis;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
当NAS-PORT-ID属性的封装格式为version 2.0或者version 5.0格式时,若配置本命令,将使用本命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:{eth|trunk|atm} NAS_chassis/NAS_slot/NAS_subslot/NAS_port。
当NAS-PORT-ID属性的封装格式为version 3.0格式时,若配置本命令,将使用本命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:SlotID/IfNO。
当NAS-PORT-ID属性的封装格式为version 4.0格式时,若配置本命令,将使用本命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:对于IPv4用户为SlotID/IfNO/Option82,对于IPv6为SlotID/IfNO/Option18。
【举例】
# 配置设备使用接口GigabitEthernet3/1/1.2信息填充RADIUS的NAS-PORT-ID属性,NAS-PORT-ID属性的封装格式为version 1.0格式,携带单层VLAN Tag接入。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/2.1
[Sysname-GigabitEthernet3/1/2.1] ip subscriber nas-port-id interface gigabitethernet 3/1/1.2
[Sysname-GigabitEthernet3/1/2.1] ip subscriber nas-port-id format cn-telecom version1.0
[Sysname-GigabitEthernet3/1/2.1] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
GE3/1/1.2 4.4.4.4 1a65-c9ac-0209 S/- Online
- 400/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="slot=3;subslot=1;port=1;vlanid=400;"
【相关命令】
· ip subscriber nas-port-id format
ip subscriber nas-port-id nasinfo-insert命令用来配置设备提取出DHCPv4报文的Option 82 Circuit-ID内容或DHCPv6报文中Option18内容,并和NAS信息一起作为NAS-PORT-ID属性字符串。
undo ip subscriber nas-port-id nasinfo-insert命令用来恢复缺省情况。
【命令】
ip subscriber nas-port-id nasinfo-insert
undo ip subscriber nas-port-id nasinfo-insert
【缺省情况】
如果收到的DHCPv4报文带有Option 82 Circuit-ID,则直接使用该内容作为NAS-PORT-ID属性字符串。如果收到的DHCPv6报文带有Option18选项,则直接使用该选项的内容作为NAS-PORT-ID属性字符串。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【使用指导】
在DHCP中继组网环境下,接入设备能捕获用户的DHCP报文,并从报文中提取出DHCPv4 Option82 Circuit-ID信息和DHCPv6 Option18选项信息。在配置了NAS-PORT-ID属性的封装格式为version 2.0格式,且信任DHCPv4 Option 82或DHCPv6 Option18的情况下:
· 若配置了本命令,则接入设备处理如下:
¡ 如果收到的DHCPv4报文带有Option82 Circuit-ID,则从收到的DHCPv4报文中解析Option82 Circuit-ID,跳过Circuit-ID信息中前两个空格提取后面的信息,并按version 2.0格式要求将提取出的内容和NAS信息一起作为RADIUS的NAS-PORT-ID属性内容;若不能提取出信息则按照不携带Option82 Circuit-ID时,version 2.0格式封装。
¡ 如果收到的DHCPv6报文带有Option18,则从收到的DHCPv6报文中解析Option18,跳过Option18信息中前两个空格提取后面的信息,并按version 2.0格式要求将提取出的内容和NAS信息一起作为RADIUS的NAS-PORT-ID属性内容;若不能提取出信息则按照不携带Option18时,version 2.0格式封装。
¡ 如果收到的DHCPv4报文不带Option82 Circuit-ID,则按version 2.0格式要求封装,填充NAS-PORT-ID属性中的NAS信息字段(NAS_slot/NAS_subslot/NAS_port:svlan.cvlan),并将AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分修改为0/0/0/0/0/0。
¡ 如果收到的DHCPv6报文不带Option18,则按version 2.0格式要求封装,填充NAS-PORT-ID属性中的NAS信息字段(NAS_slot/NAS_subslot/NAS_port:svlan.cvlan),并将AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分修改为0/0/0/0/0/0。
¡ 若未配置本命令,则按缺省情况处理。
在配置了NAS-PORT-ID属性的封装格式为version 5.0格式,且信任DHCPv4 Option 82或DHCPv6 Option18的情况下:
· 若配置了本命令,则接入设备处理如下:
¡ 如果收到的DHCPv4报文带有Option82 Circuit-ID并且信任Option 82,则从收到的DHCPv4报文中解析Option82 Circuit-ID,提取Circuit-ID的全部信息,并按version 2.0格式要求将提取出的内容(用于填充AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port)和NAS信息一起作为RADIUS的NAS-PORT-ID属性内容;若不能提取出信息则按照未携带Option82 Circuit-ID的情况,以version 2.0格式封装(即AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分将被填充为0/0/0/0/0/0)。
¡ 如果收到的DHCPv6报文带有Option18并且信任Option 18,则从收到的DHCPv6报文中解析Option18,提取Option18的全部信息,并按version 2.0格式要求将提取出的内容(用于填充AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port)和NAS信息一起作为RADIUS的NAS-PORT-ID属性内容;若不能提取出信息则按照未携带Option18的情况,以version 2.0格式封装(即AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分将被填充为0/0/0/0/0/0)。
¡ 若未配置本命令,则按缺省情况处理。
本功能对原DHCPv4报文中Option82和原DHCPv6报文中Option18选项不产生任何影响。
本功能仅在通过ip subscriber trust命令配置了信任Option82或Option18的情况下,对Option82或Option18才生效。
【举例】
# 在聚合接口1上配置设备使用DHCPv4客户端上报的Option82信息,并在其中插入NAS信息,然后将其封装为RADIUS的NAS-PORT-ID属性(信任Option82,NAS-PORT-ID属性的封装格式为version 2.0格式,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”)。
<Sysname> system-view
[Sysname] interface route-aggregation 1
[Sysname-Route-Aggregation1] ip subscriber nas-port-id nasinfo-insert
[Sysname-Route-Aggregation1] ip subscriber trust option82
[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version2.0
[Sysname-Route-Aggregation1] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
RAGG1 4.4.4.4 1a65-c9ac-0206 D/- Online
- -/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="trunk 0/0/1:4096.4096 cd ef g"
# 在聚合接口1上不配置ip subscriber nas-port-id nasinfo-insert命令,信任Option82,NAS-PORT-ID属性的封装格式为version 2.0格式,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”。
<Sysname> system-view
[Sysname] interface route-aggregation 1
[Sysname-Route-Aggregation1] undo ip subscriber nas-port-id nasinfo-insert
[Sysname-Route-Aggregation1] ip subscriber trust option82
[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version2.0
[Sysname-Route-Aggregation1] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
RAGG1 4.4.4.4 1a65-c9ac-0206 D/- Online
- -/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="aaa be cd ef g"
# 在聚合接口1上配置设备使用DHCPv4客户端上报的Option82信息,并在其中插入NAS信息,然后将其封装为RADIUS的NAS-PORT-ID属性(信任Option82,NAS-PORT-ID属性的封装格式为version 5.0格式,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”)。
<Sysname> system-view
[Sysname] interface route-aggregation 1
[Sysname-Route-Aggregation1] ip subscriber nas-port-id nasinfo-insert
[Sysname-Route-Aggregation1] ip subscriber trust option82
[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version5.0
[Sysname-Route-Aggregation1] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
RAGG1 4.4.4.4 1a65-c9ac-0206 D/- Online
- -/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="trunk 0/0/1:4096.4096 aaa be cd ef g"
# 在聚合接口1上不配置ip subscriber nas-port-id nasinfo-insert命令,信任Option82,NAS-PORT-ID属性的封装格式为version 5.0格式,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”。
<Sysname> system-view
[Sysname] interface route-aggregation 1
[Sysname-Route-Aggregation1] undo ip subscriber nas-port-id nasinfo-insert
[Sysname-Route-Aggregation1] ip subscriber trust option82
[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version5.0
[Sysname-Route-Aggregation1] quit
[Sysname] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
RAGG1 4.4.4.4 1a65-c9ac-0206 D/- Online
- -/- -
4.4.4.4
Radius debug信息中NAS-Port-Id="aaa be cd ef g"
【相关命令】
· ip subscriber initiator dhcpv4 enable
· ip subscriber initiator dhcpv6 enable
· ip subscriber trust
· ip subscriber nas-port-id format
ip subscriber nas-port-type命令用来配置接口的IPoE接入端口类型。
undo ip subscriber nas-port-type命令用来恢复缺省情况。
【命令】
ip subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
undo ip subscriber nas-port-type
【缺省情况】
IPoE接入端口类型为Ethernet类型。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
802.11:符合Wireless-IEEE 802.11标准的接口类型,对应的编码值为19。
adsl-cap:ADSL-CAP(Asymmetric DSL,Carrierless Amplitude Phase Modulation)接口类型,对应的编码值为12。
adsl-dmt:ADSL-DMT(Asymmetric DSL,Discrete Multi-Tone)接口类型,对应的编码值为13。
async:Async接口类型,对应的编码值为0。
cable:Cable接口类型,对应的编码值为17。
ethernet:Ethernet接口类型,对应的编码值为15。
g.3-fax:G.3 Fax接口类型,对应的编码值为10。
hdlc:HDLC接口类型,对应的编码值为7。
idsl:IDSL(ISDN Digital Subscriber Line)接口类型,对应的编码值为14。
isdn-async-v110:ISDN Async V.110接口类型,对应的编码值为4。
isdn-async-v120:ISDN Async V.120接口类型,对应的编码值为3。
isdn-sync:ISDN Sync口类型,对应的编码值为2。
piafs:符合PIAFS(PHS(Personal Handyphone System)Internet Access Forum Standard)标准的接口类型,对应的编码值为6。
sdsl:SDSL(Symmetric DSL)接口类型,对应的编码值为11。
sync:Sync接口类型,对应的编码值为1。
virtual:Virtual接口类型,对应的编码值为5。
wireless-other:Wireless-other接口类型,对应的编码值为18。
x.25:X.25接口类型,对应的编码值为8。
x.75:X.75接口类型,对应的编码值为9。
xdsl:XDSL(Digital Subscriber Line of unknown type)接口类型,对应的编码值为16。
【使用指导】
此处配置的端口接入类型值将作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,用于向RADIUS服务器正确传递用户的接入端口信息。
【举例】
# 配置接口GigabitEthernet3/1/1的IPoE接入端口类型为SDSL。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber nas-port-type sdsl
ip subscriber ndrs domain命令用来配置IPv6 ND RS个人接入用户使用的认证域。
undo ip subscriber ndrs domain命令用来恢复缺省情况。
【命令】
ip subscriber ndrs domain domain-name
undo ip subscriber ndrs domain
【缺省情况】
未配置IPv6 ND RS个人接入用户使用的认证域。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
本命令用来配置IPv6 ND RS报文触发接入的IPoE接入用户在认证时使用的域名,该域名必须与认证服务器上配置的域名保持一致。
IPv6 ND RS个人接入用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个可用的认证域进行认证:
(1) 使用ip subscriber ndrs domain命令指定的认证域;若该域不存在,则跳转到步骤(2)。
(2) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
【举例】
# 配置接口GigabitEthernet3/1/1上IPv6 ND RS接入用户使用的认证域为dm1。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber ndrs domain dm1
【相关命令】
· ip subscriber initiator ndrs enable
ip subscriber ndrs max-session命令用来配置接口上允许RS报文触发创建的IPoE会话的最大数目。
undo ip subscriber ndrs max-session命令用来恢复缺省情况。
【命令】
ip subscriber ndrs max-session max-number
undo ip subscriber ndrs max-session
【缺省情况】
未配置接口上允许RS报文创建的IPoE会话的最大数目
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
max-number:允许RS触发创建的IPv6 IPoE会话的最大数目,取值范围为1~64000。
【使用指导】
RS报文触发创建的IPoE会话数目达到最大值后,后续RS报文不能触发创建IPoE会话。RS报文创建的IPoE会话数目包括IPv6单栈会话数目和双栈会话数目。
如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。
【举例】
# 配置接口GigabitEthernet3/1/1上允许RS报文触发创建的IPoE会话的最大数目为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber ndrs max-session 100
【相关命令】
· display ip subscriber session
· ip subscriber initiator ndrs enable
· ip subscriber max-session
· reset ip subscriber session
ip subscriber ndrs username命令用来配置IPv6 ND RS接入用户的认证用户名的命名规则。
undo ip subscriber ndrs username命令用来恢复缺省情况。
【命令】
ip subscriber ndrs username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | string string [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
undo ip subscriber ndrs username
【缺省情况】
未配置IPv6 ND RS接入用户的认证用户名的命名规则。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
nas-port-id:表示使用用户的NAS-PORT-ID属性作为用户名。
port:表示以用户接入的端口号作为用户名。
second-vlan:表示以认证报文中的内层VLAN作为用户名。
slot:表示以用户接入的槽位号作为用户名。
source-mac:表示使用用户报文的源MAC地址作为用户名。
address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
string:表示以指定的字符串作为用户名。
string:用户名字符串,为1~64个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“*”、“?”、“<”、“>”以及“@”字符。
subslot:表示以用户接入的子卡号作为用户名。
sysname:表示以用户接入设备的设备名作为用户名。
vlan:表示以认证报文中的外层VLAN作为用户名。
separator separator:当前字段分隔符,用在当前字段后面以连接后面的一个字段,可以为任意可配置的可见字符。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
【使用指导】
本命令用来配置IPv6 RS报文触发接入的IPoE接入用户在认证时使用的用户名的命名规则,根据该命名规则获取的用户名必须与认证服务器上配置的用户名保持一致。此类用户进行IPoE认证时使用的密码由ip subscriber password命令配置。
在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。例如:若配置ip subscriber ndrs username include nas-port-id source-mac,则用户名为NAS-PORT-ID属性字段和源MAC地址字段内容的拼接,且两个字段之间无分隔符
【举例】
# 配置接口GigabitEthernet3/1/1上的IPv6 ND RS接入用户使用用户报文的源MAC地址作为用户名。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber ndrs username include source-mac
# 配置接口GigabitEthernet3/1/1上IPv6 ND RS接入用户使用接入设备的设备名、接入的槽位号、接入的子卡号、接入的端口号和认证报文中的外层VLAN信息作为用户名,所选用的字段之间均使用#作为分隔符。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber ndrs username include sysname separator # slot separator # subslot separator # port separator # vlan
【相关命令】
· ip subscriber initiator ndrs enable
· ip subscriber password
ip subscriber password命令用来配置IPoE个人接入用户的认证密码。
undo ip subscriber password命令用来恢复缺省情况。
【命令】
ip subscriber password { mac-address [ address-separator address-separator ] [ lowercase | uppercase ] | { ciphertext | plaintext } string
undo ip subscriber password
【缺省情况】
未配置IPoE个人接入用户的认证密码。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
mac-address:表示以MAC地址作为密码,优先使用用户MAC地址,如果用户MAC地址无法获取,则使用报文源MAC地址。缺省情况下,MAC地址中的字母为小写且不带连字符。
address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则密码形式如xxxx-xxxx-xxxx;若不指定该参数,则密码为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的密码在AAA服务器端不能被正确解析。
lowercase:表示MAC地址中的字母为小写。
uppercase:表示MAC地址中的字母为大写。
ciphertext:以密文方式设置密码。
plaintext:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
【使用指导】
当接口上同时配置多种个人会话的触发方式时,如果管理员想避免为每种触发方式单独配置认证密码带来的繁琐操作,可通过本命令一次性为当前接口上所有个人用户配置统一的认证密码。
绑定认证方式下,个人接入用户按如下先后顺序选择认证密码:
(1) 使用ip subscriber dhcp password和ip subscriber dhcpv6 password option16命令获取到的密码作为认证密码。(仅适用于DHCP接入用户)
(2) ip subscriber session static命令中指定password mac时,使用用户MAC地址作为认证密码。(仅适用于静态接入用户)
(3) 使用ip subscriber password命令配置的密码作为认证密码。
(4) 使用字符串“vlan”作为认证密码。
Web认证方式和Web MAC认证方式下,在认证前域阶段,个人接入用户认证密码的选择原则和绑定模式下认证密码选择原则相同。
Web认证方式下,在Web认证阶段,个人接入用户按如下先后顺序选择认证密码:
(1) 使用用户登录时输入的密码作为认证密码。
(2) 使用ip subscriber password命令配置的密码作为认证密码。
(3) 使用字符串“vlan”作为认证密码。
Web MAC认证方式下,在Web认证阶段,个人接入用户按如下先后顺序选择认证密码:
(1) 使用ip subscriber password命令配置的密码作为认证密码。
(2) 使用字符串“vlan”作为认证密码。
【举例】
# 配置接口GigabitEthernet3/1/1上IPoE个人接入用户认证时使用的密码为明文123。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber password plaintext 123
【相关命令】
· ip subscriber dhcp username
· ip subscriber unclassified-ip username
· ip subscriber dhcp password
· ip subscriber dhcpv6 password option16
ip subscriber pre-auth domain命令用来配置Web认证前域。
undo ip subscriber pre-auth domain命令用来恢复缺省情况。
【命令】
ip subscriber pre-auth domain domain-name
undo ip subscriber pre-auth domain
【缺省情况】
未配置Web认证前域。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
本命令仅对采用Web认证方式和Web MAC认证方式的IPoE DHCP个人接入用户和IPoE静态个人接入用户生效。
用户可以通过配置修改在认证前域阶段所采用的认证域,缺省情况下按照如下先后顺序选择认证前域:
· 对于IPoE DHCP动态个人接入用户:
a. 报文业务识别方式映射的认证域;若该域不存在,则跳转到步骤c。
b. 使用ip subscriber pre-auth domain命令配置的Web认证前域;若该域不存在,则跳转到步骤c。
c. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
· 对于IPoE静态个人接入用户:
a. 使用ip subscriber session static命令中配置的认证域;若该域不存在,则跳转到步骤e。
b. 使用ip subscriber pre-auth domain命令配置的Web认证前域;若该域不存在,则跳转到步骤e。
c. 报文业务识别方式映射的认证域;若该域不存在,则跳转到步骤e。
d. ip subscriber unclassified-ip domain命令中配置的认证域;若该域不存在,则跳转到步骤e。
e. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
在采用Web认证的接口上配置认证前使用的认证域(简称为认证前域)后,在此接口上接入的用户必须先通过认证前域的认证处理,只有通过认证前域认证的用户才可以获得IP地址(仅对DHCP接入用户),并被授予指定认证前域内配置的相关授权属性(例如:User Profile、Session Group Profile、CAR、URL和User group),并根据授权信息获得相应的网络访问权限。
若此用户后续触发了Web认证,则认证成功之后会被AAA下发新的授权信息。
Web用户下线后,重新回到认证前域,重新进行认证和授权处理。若重新认证失败,将删除用户信息。
如果认证前域的域名发生变化,或者修改当前认证前域中的配置,新配置仅对新接入的用户生效,对当前已经存在用户无影响。
对于Web认证用户,必须在认证前域中配置Web服务器URL,并且给用户授权用户组,以保证在用户访问Web页面时能够向用户推送Web认证页面。有关Web服务器URL和用户组的详细介绍,请参见“BRAS业务配置指导”中的“AAA”。
【举例】
# 在接口GigabitEthernet3/1/1上配置Web认证前域为dm1。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber pre-auth domain dm1
【相关命令】
· authorization-attribute user-group(BRAS业务命令参考/AAA)
· domain default enable(BRAS业务命令参考/AAA)
· ip subscriber authentication-method
· web-server url(BRAS业务命令参考/AAA)
ip subscriber pre-auth track命令用来配置逃生用户组与Track项关联。
undo ip subscriber pre-auth track命令用来恢复缺省情况。
【命令】
ip subscriber pre-auth track track-entry-number fail-permit user-group group-name
undo ip subscriber pre-auth track
【缺省情况】
未配置逃生用户组与Track项关联。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
track track-entry-number:Track项的序号,取值范围为1~1024。
user-group group-name:表示逃生用户组。其中,group-name表示用户组名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当设备探测到Web认证服务器或AAA认证服务器不可达时,可自动打开接口上的网络限制,允许用户不需经过Web认证即可访问网络资源,这一过程称为IPoE用户逃生。
通过配置逃生用户组与Track项关联,可以实现IPoE用户逃生功能。
缺省情况下,Web认证用户在认证前域上线后所属用户组是用户上线时由AAA服务器直接授权或ISP域下授权的用户组。配置逃生用户组与Track项关联后:
· 当Track项状态变为Negative时,接入设备会把当前认证前域中所有在线用户从授权用户组迁移到逃生用户组,用户根据逃生用户组的权限访问网络资源。
· 当Track项状态变为Positive时,接入设备会把当前认证前域中所有在线用户从逃生用户组重新迁移到授权用户组,用户需通过Web认证后才可访问网络资源。
如果需要同时对多个服务器状态进行监控,可配置Track监测对象列表。Track的详细介绍请参见“可靠性配置指导”中的“Track”。
本命令仅对认证前域中的在线用户生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在接口GigabitEthernet3/1/1上配置逃生用户组与Track项1关联。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber pre-auth track 1 fail-permit user-group web
【相关命令】
· authorization-attribute user-group(BRAS业务命令参考/AAA)
ip subscriber roaming enable命令用来开启IPoE个人接入用户漫游功能。
undo ip subscriber roaming enable命令用来关闭IPoE个人接入用户漫游功能。
【命令】
ip subscriber roaming enable [ roam-group roam-group-name ]
undo ip subscriber roaming enable
【缺省情况】
IPoE个人接入用户漫游功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
roam-group roam-group-name:指定接口所属的漫游组,其中roam-group-name表示漫游组的组名,为1~15个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定本参数,则认为所有开启漫游功能的接口属于同一个缺省漫游组,缺省漫游组名没有名称。
【使用指导】
上线的IPoE个人接入用户支持在不同接口之间和同一子接口的不同VLAN之间进行漫游。
为了减小用户在漫游过程中对其它用户产生影响,可通过漫游组限定用户的漫游范围,即限定上线用户只能在上线接口所属的漫游组中进行漫游。例如:假设用户A和用户B的IP地址均为1.1.1.1/24,并且属于同一个VPN实例,用户A先在接口A上通过未知源方式上线,接口A和接口B均开启了漫游功能但未配置漫游组,此时用户B再在接口B上通过未知源方式上线时,设备将会把用户A下线。此时,如需用户A和用户B同时上线,二者互不影响,可为接口A和接口B配置不同的漫游组,以隔离用户A和用户B的漫游范围。
在DHCP中继组网环境下,需要在DHCP中继接口上通过dhcp select relay proxy命令配置DHCP中继支持代理功能。有关DHCP中继的相关介绍,请参见“BRAS业务配置指导”中的“DHCP”。
为保证IPoE用户可以正常漫游,请确保漫游前后用户接入接口上必须开启完全相同协议栈的IPoE功能,并且配置相同的IPoE认证方式、认证域和漫游组。
漫游过程中,以下变化会导致漫游失败,此时用户需在目的接口上重新认证上线:
· 若漫游过程中漫游用户IP地址发生变化,用户将无法继续漫游。
· 若漫游的目的接口上未配置和漫游前相同的IPoE会话触发方式,会导致用户无法漫游到该接口。例如:在接口A上通过DHCP触发方式上线的某用户漫游到接口B时,如果接口B上未配置DHCP触发方式则不允许用户漫游到接口B。
· 若漫游的目的接口和漫游前的上线接口不在同一个漫游组中,则漫游失败。
· 针对动态个人接入用户:
¡ 在为漫游用户授权VPN的情况下,如果漫游的目的接口绑定了VPN,则要求目的接口绑定的VPN必须和授权的VPN相同,否则不允许用户漫游到该目的接口。
¡ 在未为漫游用户授权VPN的情况下,如果漫游前的接口绑定了VPN,则要求漫游的目的接口上必须绑定相同的VPN,否则不允许用户漫游到该目的接口。
· 针对全局静态个人接入用户:
¡ 在为漫游用户授权VPN并且静态会话中未指定VPN参数的情况下,如果漫游的目的接口绑定了VPN,则要求目的接口绑定的VPN必须和授权的VPN相同,否则不允许用户漫游到该目的接口。
¡ 在未为漫游用户授权VPN并且静态会话中未指定VPN参数的情况下,如果漫游前的接口绑定了VPN,则要求漫游的目的接口上必须绑定相同的VPN,否则不允许用户漫游到该目的接口。
对于静态IPoE个人接入用户,漫游功能的生效情况如下:
· 对于接口静态IPoE个人接入用户,仅当在子接口视图下通过ip subscriber session static命令配置静态IPoE会话时,在不指定VLAN的情况下才支持漫游功能,并且只能在在该子接口上的不同VLAN之间进行漫游。
· 对于全局静态IPoE个人接入用户,在系统视图下配置ip subscriber session static命令时:
¡ 如果指定了用户接入接口但未指定VLAN时,支持在该接入接口上的不同VLAN之间进行漫游。
¡ 如果未指定用户接入接口,用户在某接口上线时,如果该接口开启了漫游功能,则允许用户在所有开启本功能的接口之间进行漫游。
【举例】
# 在子接口GigabitEthernet3/1/1.1上开启IPoE漫游功能,并指定子接口所属漫游组为roam1。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.1
[Sysname-GigabitEthernet3/1/1.1] ip subscriber roaming enable roam-group roam1
【相关命令】
· ip subscriber initiator arp enable
· ip subscriber initiator unclassified-ip enable
· ip subscriber initiator unclassified-ipv6 enable
ip subscriber service-identify命令用来配置接入用户的业务识别方式。
undo ip subscriber service-identify命令用来恢复缺省情况。
【命令】
三层以太网接口视图/三层聚合口视图
L3VE接口视图
ip subscriber service-identify dscp
undo ip subscriber service-identify
三层以太网子接口视图
三层聚合子接口视图
L3VE子接口视图
ip subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan }
undo ip subscriber service-identify
【缺省情况】
未配置接入用户的业务识别方式。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
8021p second-vlan:表示QinQ模式下基于内层VLAN Tag中的802.1p值识别业务。
8021p vlan:表示基于VLAN Tag中的802.1p值识别业务,QinQ模式下基于外层VLAN Tag中的802.1p值识别业务。
dscp:表示基于DSCP值识别业务。
second-vlan:QinQ模式下基于内层VLAN ID识别业务。
vlan:表示基于VLAN ID识别业务,QinQ模式下基于外层VLAN ID识别业务。
【使用指导】
接入用户(包括DHCPv4接入用户、DHCPv6接入用户、未知源IP接入用户和IPoE静态接入用户)认证时使用的认证域由报文中携带的业务信息来决定。不同的业务特征可以对应不同的认证域,每一个接口可以指定仅识别某种类型业务的报文。例如,接口上若指定了基于DSCP值识别业务,且通过ip subscriber dscp 1 domain aabcc命令指定了DSCP值1与认证域aabbcc的映射关系,则IP报文DSCP值为1的用户认证时将会使用认证域aabbcc。
对于DHCPv4接入用户,如果同时配置了信任DHCPv4 Option 60中的信息,则优先使用Option 60中的信息作为指定的认证域。
对于DHCPv6接入用户,如果同时配置了信任DHCPv6 Option 16/Option 17中的信息,则优先使用Option 16/Option 17中的信息作为指定的认证域。
一个接口上只能指定一个业务识别方式。
【举例】
# 配置接口GigabitEthernet3/1/1上的IPv4接入用户认证使用基于DSCP的业务识别方式。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber service-identify dscp
【相关命令】
· ip subscriber 8021p
· ip subscriber dscp
· ip subscriber vlan
ip subscriber session static命令用来配置IPoE接口静态个人会话。
undo ip subscriber session static命令用来删除指定的IPoE接口静态个人会话。
【命令】
配置IPv4 IPoE接口静态个人会话:
ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ip ipv4-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]
undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ vpn-instance vpn-instance-name ]
配置IPv6 IPoE接口静态个人会话:
ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]
undo ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ vpn-instance vpn-instance-name ]
配置双协议栈IPoE接口静态个人会话:
ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online { ip | ipv6 } ] [ description string ] [ gateway { ip ipv4-address | ipv6 ipv6-address } * ] [ vpn-instance vpn-instance-name ] [ keep-online ]
undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置IPoE接口静态个人会话。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
start-ipv4-address:表示用户的起始IPv4地址。
end-ipv4-address:表示用户的结束IPv4地址,不能小于start-ipv4-address。如果不指定本参数或指定的本参数和start-ipv4-address相同时,则表示只有一个用户IPv4地址,即start-ipv4-address;否则,表示start-ipv4-address到end-ipv4-address之间的IPv4地址都是静态用户。
start-ipv6-address:表示用户的起始IPv6地址。
end-ipv6-address:表示用户的结束IPv6地址,不能小于start-ipv6-address。如果不指定本参数或指定的本参数和start-ipv6-address相同时,则表示只有一个用户IPv6地址,即start-ipv6-address;否则,表示start-ipv6-address到end-ipv6-address之间的IPv6地址都是静态用户。
vlan vlan-id:表示用户报文的外层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。
second-vlan vlan-id:表示用户报文的内层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。
mac mac-address:表示用户的MAC地址,mac-address为用户MAC地址,形式为H-H-H。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
password:指定用户认证时使用的密码。
mac:表示以用户的MAC地址作为认证密码,密码格式为HH:HH:HH:HH:HH:HH。
request-online:表示设备主动发送ARP报文、ICMP报文、ND NS报文或ICMPv6报文请求用户上线。如果未指定本参数,则表示需用户主动发送ARP报文、ND NS报文、IPv4报文或IPv6报文才可以触发用户上线。
ip:表示使用IPv4协议栈进行主动探测,二层接入的情况下使用ARP报文,三层接入使用ICMP报文。
ipv6:表示使用IPv6协议栈进行主动探测,二层接入的情况下使用ND NS报文,三层接入使用ICMPv6报文。
description string:指定静态会话的描述信息,为1~31个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,则静态会话无描述信息。
gateway:表示指定用户的网关地址。设备主动发送探测报文请求用户上线时,会优先使用该地址作为探测报文的源IP地址。如果未指定本参数,将使用默认网关地址作为探测报文的源IP地址。需要注意的是,仅在指定request-online的情况下,本参数配置后才生效。
ip ipv4-address:指定IPv4协议栈的网关地址。该地址必须是用户接入接口的IPv4地址,或者是DHCPv4地址池中通过命令gateway-list export-route指定的网关地址,否则会导致设备无法主动发送探测报文请求用户上线。
ipv6 ipv6-address:指定IPv6协议栈的网关地址。二层接入模式下,该地址必须是用户接入接口的全球单播地址或链路本地地址,三层接入模式下该地址必须是用户接入接口的全球单播地址,否则会导致设备无法主动发送探测报文请求用户上线。
vpn-instance vpn-instance-name:指定接口静态用户绑定的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPoE静态个人用户位于公网中。
keep-online:表示即使在开启探测功能的情况下,也不对用户进行在线探测。如果未指定本参数,当用户在线探测失败时,将被强制下线。
【使用指导】
对于双栈静态用户,仅在同时开启IPv4和IPv6协议栈的IPoE功能的情况下,才允许用户上线。
IPoE静态会话的匹配优先级高于IPoE动态会话。若已经存在IPoE静态会话,则与之匹配的IP报文不会触发新的IPoE动态会话;若存在一个未知源IP报文、DHCP报文或ND RS报文触发建立的IPoE动态会话,则再配置一个能与该未知源IP报文、DHCP接入用户IP报文或ND RS接入用户IP报文匹配的IPoE静态会话,会覆盖已经存在的IPoE动态会话。
当静态会话中指定的IP地址与DHCP地址池中可分配的IP地址存在交集时,则:
· 对于DHCPv4地址池需要通过命令dhcp server forbidden-ip或forbidden-ip配置交集IP地址为不参与自动分配的IP地址。
· 对于DHCPv6地址池需要通过命令ipv6 dhcp server forbidden-address配置交集IPv6地址为不参与自动分配的IPv6地址。
有关配置不参与自动分配IP地址命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”和“DHCPv6”。
在公网或同一VPN实例中,任意IP地址的IPoE静态会话最多只能存在一条,并且不能通过重复执行本命令修改该IPoE静态会话中已配置的mac、domain、request-online参数。如需修改mac、domain、request-online参数,请先通过undo ip subscriber session static命令删除指定IPoE静态会话对应的当前配置后再执行ip subscriber session static命令。
对于接口静态会话和指定了接口的全局静态会话,在公网和所有VPN实例中,IP地址和接口完全相同的IPoE静态会话最多只能存在一条。
同一接口下,IPoE静态个人接入用户、接口专线用户、子网专线用户和L2VPN专线用户的配置互斥,只能选择其中的一种配置。
配置IPoE静态个人会话时,若指定了一个IP地址范围,则该配置生效后,系统将自动生成多条单IP地址的IPoE静态会话配置。
当需要设备主动探测触发用户上线时,则接口上必须配置携带request-online参数的IPoE静态会话,并且:
· 对于单栈IPv4静态用户:
¡ 在二层接入模式下,设备固定使用ARP报文触发用户上线,此时必须开启ARP报文触发IPoE静态个人会话上线功能。
¡ 在三层接入模式下,设备固定使用ICMP报文触发用户上线,此时必须开启未知源IPv4报文触发生成IPoE会话功能以及用户上线接口需配置IPv4地址。
· 对于单栈IPv6静态用户:
¡ 在二层接入模式下,设备固定使用ND NS报文触发用户上线,此时必须开启IPv6未知源IP报文触发生成IPoE会话功能或NS/NA报文触发IPoE静态个人会话上线功能。
¡ 在三层接入模式下,设备固定使用ICMPv6报文触发用户上线,此时开启IPv6未知源IP报文触发生成IPoE会话功能以及用户上线接口需配置IPv6地址。
· 对于双栈静态用户:
¡ 当配置的主动探测协议栈是IP时,在二层接入模式下,设备固定使用ARP报文触发用户上线,此时必须开启ARP报文触发IPoE静态个人会话上线功能;在三层接入模式下,设备固定使用ICMP报文触发用户上线,此时必须开启未知源IPv4报文触发生成IPoE会话功能以及用户上线接口需配置IPv4地址。
¡ 当配置的主动探测协议栈是IPv6时,在二层接入模式下,设备固定使用ND NS报文触发用户上线,此时必须开启IPv6未知源IP报文触发生成IPoE会话功能或NS/NA报文触发IPoE静态个人会话上线功能;在三层接入模式下,设备固定使用ICMPv6报文触发用户上线,此时必须开启IPv6未知源IP报文触发生成IPoE会话功能以及用户上线接口需配置IPv6地址。
· 对于子接口下的IPoE静态用户,如果子接口上配置了模糊的Dot1q终结或者模糊的QinQ终结功能,为保证静态用户可以通过主动探测方式正常上线,在配置静态会话时必须指定VLAN或在子接口下配置vlan-termination broadcast enable。推荐使用在静态会话中指定VLAN方式。
当需要对双栈用户进行统一计费时,必须在一条ip subscriber session-static命令中同时指定双栈用户的IPv4和IPv6地址,并且IPv4和IPv6地址需一一对应;配置后,设备将按配置顺序把配置的第一个IPv4地址和第一个IPv6地址组成一个双协议栈静态个人会话,把配置的第二个IPv4地址和第二个IPv6地址组成第二个双协议栈静态个人会话,依次类推。
IPoE静态个人接入用户支持通过多种方式获取认证域,具体认证域选择原则如下:
· 采用bind认证方式时,按如下优先顺序选择第一个可用的认证域进行认证:
a. 使用本命令中domain domain-name指定的认证域;若该域不存在,则跳转到步骤d。
b. 使用与报文指定业务特征相映射的认证域;若该域不存在,则跳转到步骤d。
c. 使用ip subscriber unclassified-ip domain命令配置的认证域;若该域不存在,则跳转到步骤d。
d. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
· 采用Web认证方式时:
¡ 前域阶段认证域的选择原则,请参见ip subscriber pre-auth domain命令。
¡ Web阶段认证域的选择原则,请见ip subscriber web-auth domain命令。
IPoE静态个人接入用户支持通过多种方式获取认证密码,并按如下优先顺序选择第一个可用的认证密码进行认证:
· 本命令中指定password mac时,使用用户MAC地址作为认证密码。
· 使用ip subscriber password命令配置的密码作为认证密码。
· 使用缺省字符串vlan作为认证密码。
目前支持以下几种方式为IPoE静态用户绑定VPN实例:
· 通过本命令指定vpn-instance参数。
· 通过AAA为静态用户授权VPN实例。
· 通过ip binding vpn-instance命令在上线接口绑定VPN实例。
需要注意的是,前两种方式同时配置时,请确保二者指定的VPN实例相同,否则会导致用户无法上线。如果前两种方式指定的VPN实例和第三种方式指定的VPN实例不相同时,以前两种方式指定的VPN实例为准。
【举例】
# 在接口GigabitEthernet3/1/1上配置一条IPoE静态个人会话:用户IP地址为1.1.1.1,认证使用的认证域为dm1。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber session static ip 1.1.1.1 domain dm1
【相关命令】
· display ip subscriber session
· ip subscriber password
· ip subscriber initiator arp enable
· ip subscriber initiator unclassified-ip enable
· ip subscriber static-session request-online interval
ip subscriber session static命令用来配置IPoE全局静态个人会话。
undo ip subscriber session static命令用来删除指定的IPoE全局静态个人会话。
【命令】
配置IPv4 IPoE全局静态个人会话:
ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online ] ] [ description string ] [ gateway ip ipv4-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]
undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ interface interface-type interface-number ] [ vpn-instance vpn-instance-name ]
配置IPv6 IPoE全局静态个人会话:
ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online ] ] [ description string ] [ gateway ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]
undo ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ interface interface-type interface-number ] [ vpn-instance vpn-instance-name ]
配置双协议栈IPoE全局静态个人会话:
ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online { ip | ipv6 } ] ] [ description string ] [ gateway { ip ipv4-address | ipv6 ipv6-address } * ] [ vpn-instance vpn-instance-name ] [ keep-online ]
undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ interface interface-type interface-number ] [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置IPoE全局静态个人会话。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
start-ipv4-address:表示用户的起始IPv4地址。
end-ipv4-address:表示用户的结束IPv4地址,不能小于start-ipv4-address。如果不指定本参数或指定的本参数和start-ipv4-address相同时,则表示只有一个用户IPv4地址,即start-ipv4-address;否则,表示start-ipv4-address到end-ipv4-address之间的IPv4地址都是静态用户。
start-ipv6-address:表示用户的起始IPv6地址。
end-ipv6-address:表示用户的结束IPv6地址,不能小于start-ipv6-address。如果不指定本参数或指定的本参数和start-ipv6-address相同时,则表示只有一个用户IPv6地址,即start-ipv6-address;否则,表示start-ipv6-address到end-ipv6-address之间的IPv6地址都是静态用户。
mac mac-address:表示用户的MAC地址,mac-address为用户MAC地址,形式为H-H-H。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“BRAS业务配置指导”中的“AAA”。
password:指定用户认证时使用的密码。
mac:表示以用户的MAC地址作为认证密码,密码格式为HH:HH:HH:HH:HH:HH。
interface interface-type interface-number:表示用户的接入接口。如果指定本参数,则表示仅从该指定接口收到的报文与手工配置的全局IPoE静态会话相匹配时,才可触发上线认证。如果未指定本参数,则表示从任意接口收到的报文与手工配置的全局IPoE静态会话相匹配时,均可触发上线认证。需要注意的是,当指定本参数时,同一IP地址的全局IPoE静态会话和接口IPoE会话,二者只能配置其一。
vlan vlan-id:表示用户报文的外层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。
second-vlan vlan-id:表示用户报文的内层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。
request-online:表示允许设备主动发送上线请求报文请求用户上线。如果未指定本参数,则表示仅用户主动发送的ARP或IP报文可以触发用户上线。
ip:表示使用IPv4协议栈进行主动探测,二层接入的情况下使用ARP报文,三层接入使用ICMP报文。
ipv6:表示使用IPv6协议栈进行主动探测,二层接入的情况下使用ND NS报文,三层接入使用ICMPv6报文。
description string:指定静态会话的描述信息,为1~31个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,则静态会话无描述信息。
gateway:表示指定用户的网关地址。设备主动发送探测报文请求用户上线时,会优先使用该地址作为探测报文的源IP地址。如果未指定本参数,将使用默认网关地址作为探测报文的源IP地址。需要注意的是,仅在指定request-online的情况下,本参数配置后才生效。
ip ipv4-address:指定IPv4协议栈的网关地址。该地址必须是用户接入接口的IPv4地址,或者是DHCPv4地址池中通过命令gateway-list export-route指定的网关地址,否则会导致设备无法主动发送探测报文请求用户上线。
ipv6 ipv6-address:指定IPv6协议栈的网关地址。二层接入模式下,该地址必须是用户接入接口的全球单播地址或链路本地地址,三层接入模式下该地址必须是用户接入接口的全球单播地址,否则会导致设备无法主动发送探测报文请求用户上线。
vpn-instance vpn-instance-name:指定接口静态用户绑定的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPoE静态个人用户位于公网中。
keep-online:表示即使在开启探测功能的情况下,也不对用户进行在线探测。如果未指定本参数,当用户在线探测失败时,将被强制下线。
【使用指导】
对于双栈静态用户,仅在同时开启IPv4和IPv6协议栈的IPoE功能的情况下,才允许用户上线。
IPoE静态会话的匹配优先级高于IPoE动态会话。若已经存在IPoE静态会话,则与之匹配的IP报文不会触发新的IPoE动态会话;若存在一个未知源IP报文、DHCP报文或ND RS报文触发建立的IPoE动态会话,则再配置一个能与该未知源IP报文、DHCP接入用户IP报文或ND RS接入用户IP报文匹配的IPoE静态会话,会覆盖已经存在的IPoE动态会话。
当静态会话中指定的IP地址与DHCP地址池中可分配的IP地址存在交集时,则:
· 对于DHCPv4地址池需要通过命令dhcp server forbidden-ip或forbidden-ip配置交集IP地址为不参与自动分配的IP地址。
· 对于DHCPv6地址池需要通过命令ipv6 dhcp server forbidden-address配置交集IPv6地址为不参与自动分配的IPv6地址。
有关配置不参与自动分配IP地址命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”和“DHCPv6”。
在公网或同一VPN实例中,任意IP地址的IPoE静态会话最多只能存在一条,并且不能通过重复执行本命令修改该IPoE静态会话中已配置的mac、domain、interface、request-online参数。如需修改mac、domain、interface、request-online参数,请先通过undo ip subscriber session static命令删除指定IPoE静态会话对应的当前配置后再执行ip subscriber session static命令。
对于接口静态会话和指定了接口的全局静态会话,在公网和所有VPN实例中,IP地址和接口完全相同的IPoE静态会话最多只能存在一条。
对于未指定接口的全局静态会话,在公网和所有VPN实例中,任意IP地址的全局IPoE静态会话最多只能存在一条。
执行undo ip subscriber session static命令删除指定的全局个人静态IPoE会话时,指定的地址/地址范围必须与执行ip subscriber session static命令时指定的地址/地址范围保持一致。如果需要删除的全局个人静态IPoE会话的IP地址为某一地址范围,则只能同时取消该地址范围内所有全局个人静态IPoE会话的配置,不能单独取消其中某个全局个人静态IPoE会话的配置。
当IPoE静态个人用户上线时,如果用户报文可同时匹配全局静态个人会话和接口静态个人会话,则优先使用接口静态个人会话上线。
当需要设备主动探测触发用户上线时,则必须配置携带interface和request-online参数的IPoE静态会话,并且:
· 对于单栈IPv4静态用户:
¡ 在二层接入模式下,设备固定使用ARP报文触发用户上线,此时必须开启ARP报文触发IPoE静态个人会话上线功能。
¡ 在三层接入模式下,设备固定使用ICMP报文触发用户上线,此时必须开启未知源IPv4报文触发生成IPoE会话功能以及用户上线接口需配置IPv4地址。
· 对于单栈IPv6静态用户:
¡ 在二层接入模式下,设备固定使用ND NS报文触发用户上线,此时必须开启IPv6未知源IP报文触发生成IPoE会话功能或NS/NA报文触发IPoE静态个人会话上线功能。
¡ 在三层接入模式下,设备固定使用ICMPv6报文触发用户上线,此时开启IPv6未知源IP报文触发生成IPoE会话功能以及用户上线接口需配置IPv6地址。
· 对于双栈静态用户:
¡ 当配置的主动探测协议栈是IP时,在二层接入模式下,设备固定使用ARP报文触发用户上线,此时必须开启ARP报文触发IPoE静态个人会话上线功能;在三层接入模式下,设备固定使用ICMP报文触发用户上线,此时必须开启未知源IPv4报文触发生成IPoE会话功能以及用户上线接口需配置IPv4地址。
¡ 当配置的主动探测协议栈是IPv6时,在二层接入模式下,设备固定使用ND NS报文触发用户上线,此时必须开启IPv6未知源IP报文触发生成IPoE会话功能或NS/NA报文触发IPoE静态个人会话上线功能;在三层接入模式下,设备固定使用ICMPv6报文触发用户上线,此时必须开启IPv6未知源IP报文触发生成IPoE会话功能以及用户上线接口需配置IPv6地址。
· 对于指定了子接口的IPoE静态用户,如果子接口上配置了模糊的Dot1q终结或者模糊的QinQ终结功能,为保证静态用户可以通过主动探测方式正常上线,在配置静态会话时必须指定VLAN或在子接口下配置vlan-termination broadcast enable。推荐在静态会话中指定VLAN方式。
当需要对双栈用户进行统一计费时,必须在一条ip subscriber session-static命令中同时指定双栈用户的IPv4和IPv6地址,并且IPv4和IPv6地址需一一对应;配置后,设备将按配置顺序把配置的第一个IPv4地址和第一个IPv6地址组成一个双协议栈静态个人会话,把配置的第二个IPv4地址和第二个IPv6地址组成第二个双协议栈静态个人会话,依次类推。
IPoE静态个人接入用户支持通过多种方式获取认证域,具体认证域选择原则如下:
· 采用bind认证方式时,按如下优先顺序选择第一个可用的认证域进行认证:
a. 使用本命令中domain domain-name指定的认证域;若该域不存在,则跳转到步骤d。
b. 使用与报文指定业务特征相映射的认证域;若该域不存在,则跳转到步骤d。
c. 使用ip subscriber unclassified-ip domain命令配置的认证域;若该域不存在,则跳转到步骤d。
d. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
· 采用Web认证方式时:
¡ 前域阶段认证域的选择原则,请参见ip subscriber pre-auth domain命令。
¡ Web阶段认证域的选择原则,请见ip subscriber web-auth domain命令。
IPoE静态个人接入用户支持通过多种方式获取认证密码,并按如下优先顺序选择第一个可用的认证密码进行认证:
· 本命令中指定password mac时,使用用户MAC地址作为认证密码。
· 使用ip subscriber password命令配置的密码作为认证密码。
· 使用缺省字符串vlan作为认证密码。
目前支持以下几种方式为IPoE静态用户绑定VPN实例:
· 通过本命令指定vpn-instance参数。
· 通过AAA为静态用户授权VPN实例。
· 通过ip binding vpn-instance命令在上线接口绑定VPN实例。
需要注意的是,前两种方式同时配置时,请确保二者指定的VPN实例相同,否则会导致用户无法上线。如果前两种方式指定的VPN实例和第三种方式指定的VPN实例不相同时,以前两种方式指定的VPN实例为准。
【举例】
# 在系统视图下配置一条IPoE静态个人会话:用户IP地址为1.1.1.1,认证使用的认证域为dm1。
<Sysname> system-view
[Sysname] ip subscriber session static ip 1.1.1.1 domain dm1
【相关命令】
· display ip subscriber session
· ip subscriber password
· ip subscriber initiator arp enable
· ip subscriber initiator unclassified-ip enable
· ip subscriber static-session request-online interval
ip subscriber static-session request-online interval命令用来配置设备发送IPoE静态个人接入用户上线请求的时间间隔。
undo ip subscriber static-session request-online interval命令用来恢复缺省情况。
【命令】
ip subscriber static-session request-online interval seconds
undo ip subscriber static-session request-online interval
【缺省情况】
设备发送IPoE静态个人接入用户上线请求的时间间隔为180秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:设备发送IPoE静态个人接入用户上线请求的时间间隔,取值范围为60~3600,单位为秒。
【使用指导】
当设备主动请求IPoE静态个人接入用户上线时,将以本命令配置的参数为周期向接口上的用户发送ARP报文、ICMP报文、ND NS报文和ICMPv6报文。设备是否主动发起上线请求由系统视图或接口上的ip subscriber session static命令决定。
【举例】
# 配置设备发送IPoE静态个人接入用户上线请求的时间间隔为60秒。
<Sysname> system-view
[Sysname] ip subscriber static-session request-online interval 60
【相关命令】
· ip subscriber session static
ip subscriber subnet-leased命令用来配置IPoE子网专线用户。
undo ip subscriber subnet-leased命令用来删除指定的IPoE子网专线用户。
【命令】
ip subscriber subnet-leased ip ipv4-address { mask | mask-length } username name password { ciphertext | plaintext } string [ domain domain-name ]
undo ip subscriber subnet-leased ip ipv4-address { mask | mask-length }
ip subscriber subnet-leased ipv6 ipv6-address prefix-length username name password { ciphertext | plaintext } string [ domain domain-name ]
undo ip subscriber subnet-leased ipv6 ipv6-address prefix-length
【缺省情况】
未配置IPoE子网专线用户。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:表示用户的IPv4地址。
mask:IPv4地址的网络掩码,为点分十进制形式。
mask-length:IPv4地址的网络掩码长度,取值范围为1~31。
ipv6 ipv6-address:表示用户的IPv6地址。
prefix-length:IPv6地址前缀长度,取值范围为1~127。
username name:指定用户认证时使用的用户名,其中name为1~255个字符的字符串,区分大小写。
password:指定用户认证时使用的密码。
ciphertext:以密文方式设置密码。
plaintext:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“BRAS业务配置指导”中的“AAA”。
【使用指导】
一个IPoE子网专线用户代表了当前接口接入的所有该子网内的用户。
在接入接口上开启了IPv4或IPv6协议栈的IPoE功能、且接口状态up的情况下,接入设备会根据ip subscriber subnet-leased命令的配置建立IPoE子网专线会话,会话建立成功后无需用户流量触发,接入设备会主动尝试以配置的用户名和密码发起认证;认证成功后,接口上接入的所有该子网内用户流量均允许通过,且共享一个IPoE会话,并基于子网进行授权和计费。
每个子网只能配置一个IPoE子网专线用户。
同一接口下,IPoE个人接入用户、IPoE接口专线用户、IPoE子网专线用户和IPoE L2VPN专线用户的配置互斥,四者只能选择其中的一种配置。
IPoE子网专线用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个可用的认证域进行认证:
(1) 使用与报文指定业务特征相映射的认证域;若该域不存在,则跳转到步骤(4)。
(2) 使用本命令中domain domain-name指定的认证域;若该域不存在,则跳转到步骤(4)。
(3) 使用ip subscriber unclassified-ip domain命令配置的认证域;若该域不存在,则跳转到步骤(4)。
(4) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
【举例】
# 在接口GigabitEthernet3/1/1上配置一个IPoE子网专线用户:子网网段为1.1.1.1/24,认证使用的用户名为netuser,认证使用的明文密码为pw123。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber subnet-leased ip 1.1.1.1 24 username netuser password plaintext pw123
【相关命令】
· display ip subscriber subnet-leased
ip subscriber timer quiet命令用来开启IPoE用户的静默功能并指定静默时间。
undo ip subscriber timer quiet命令用来关闭IPoE用户的静默功能。
【命令】
ip subscriber timer quiet time
undo ip subscriber timer quiet
【缺省情况】
IPoE用户的静默功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
time:IPoE用户的静默时间,取值范围为10~3600,单位为秒。
【使用指导】
开启本功能后,当用户连续认证失败次数达到指定值时,会对该用户进行静默处理。在静默期间设备直接丢弃来自认证失败用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该IPoE用户的认证报文而对设备性能造成影响。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
当通过全局口上线的用户被静默时,如果静默用户的会话所在slot发生切换,设备将重新触发该静默用户的认证;如果用户在连续认证失败次数达到指定值之前某次认证成功,则解除该用户的静默状态,否则将重新对该用户进行静默。
【举例】
# 在接口GigabitEthernet3/1/1上开启IPoE用户的静默功能并指定静默时间为100秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber timer quiet 100
【相关命令】
· display ip subscriber chasten user auth-failed
· display ip subscriber chasten user quiet
· ip subscriber authentication chasten
ip subscriber timer traffic命令用来配置IPoE会话的流量统计信息的更新时间间隔。
undo ip subscriber timer traffic命令用来恢复缺省情况。
【命令】
ip subscriber timer traffic value
undo ip subscriber timer traffic
【缺省情况】
IPoE会话的流量统计信息的更新时间间隔为1000毫秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
value:IPoE会话的流量统计信息的更新时间间隔,取值范围为100~1200000,单位为毫秒,步长为100,即本参数值只支持配置为100的整数倍。
【使用指导】
本命令对所有动态和IPoE静态会话均生效,并且设备会根据配置的时间间隔定期更新IPoE会话的流量统计信息。
更新IPoE会话的流量统计信息会占用一定的系统资源,一般情况下建议使用缺省时间间隔。在对IPoE接入用户的流量统计精确度要求较高的环境中,可以配置相对较小的更新时间间隔,以提高设备对流量的统计频率;反之,则可以配置较大的更新时间间隔。
当网络中有大量用户上线时,如果为上线用户授权了idle-cut属性,为避免用户因闲置切断时间超时被下线,可根据授权的idle-cut属性值适当调整更新时间间隔。
【举例】
# 配置IPoE会话的流量统计信息的更新时间间隔为300毫秒。
<Sysname> system-view
[Sysname] ip subscriber timer traffic 300
ip subscriber trust命令用来配置信任DHCP报文中的指定Option。
undo ip subscriber trust命令用来取消信任DHCP报文中指定的Option。
【命令】
ip subscriber trust { option12 | option60 | option77 | option82 | option16 | option17 | option18 | option37 }
undo ip subscriber trust { option12 | option60 | option77 | option82 | option16 | option17 | option18 | option37 }
【缺省情况】
不信任DHCP报文中的任何Option。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
option12:表示信任DHCPv4报文中的Option 12。
option60:表示信任DHCPv4报文中的Option 60。
option77:表示信任DHCPv4报文中的Option 77。
option82:表示信任DHCPv4报文中的Option 82。
option16:表示信任DHCPv6报文中的Option 16。
option17:表示信任DHCPv6报文中的Option17。
option18:表示信任DHCPv6报文中的Option18。
option37:表示信任DHCPv6报文中的Option37。
【使用指导】
DHCPv4组网环境中,接入设备可以提取用户的DHCP-DISCOVER报文中的Option 60信息。如果接入设备信任DHCPv4报文中的Option 60信息,并且未配置ip subscriber dhcp domain命令和ip subscriber dhcp option60 match命令,则:
· 在Option 60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”等),且没有域名分隔符@字符的情况下,IPoE用户使用整个Option 60的内容作为指定的认证域进行认证。
· 在Option 60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”等),且其中包含了域名分隔符@字符的情况下,IPoE用户使用@字符之后的字符串作为指定的认证域进行认证。如果在Option 60内容中包括多个@字符,则使用最后一个@字符之后的字符串作为IPoE用户的认证域名。
在使用ip subscriber trust option60命令提取的内容作为认证域的情况下,如果配置了ip subscriber dhcp domain include命令,则最终使用根据域名生成规则生成的认证域,具体域名生成规则请见ip subscriber dhcp domain include命令。
配置ip subscriber dhcp domain命令时认证域的选择情况,请见ip subscriber dhcp domain命令。
配置ip subscriber dhcp option60 match命令时认证域的选择情况,请见ip subscriber dhcp option60 match命令。
接入设备不信任DHCPv4报文中的Option 60信息时认证域的选择情况,请见ip subscriber dhcp domain命令。
DHCP中继组网环境中,接入设备可以提取用户的DHCP-DISCOVER报文中的Option 82信息。如果接入设备信任DHCPv4报文中的Option 82,则按配置的解析格式(缺省为字符串解析格式)对Option 82的内容进行解析,并且:
· 接入设备在采用version 2.0或者version 5.0格式封装RADIUS NAS-PORT-ID属性时,会根据Option 82信息中的Circuit-ID内容封装发往RADIUS服务器的NAS-PORT-ID属性;
· 接入设备会根据Option 82中的Circuit-ID内容封装发往RADIUS服务器的DSL_AGENT_CIRCUIT_ID属性;
· 接入设备会根据Option 82中的Remote-ID内容封装发往RADIUS服务器的DSL_AGENT_REMOTE_ID属性。
如果不信任DHCPv4报文中的Option 82,则接入设备在封装以上RADIUS属性时,不采用Option 82中的任何信息。
DHCPv6组网环境中,接入设备可以提取用户DHCPv6报文中的Option 16信息或Option 17信息作为认证域。因Option 16和Option 17二者作为认证域的处理原则相同,下面仅以Option 16为例进行介绍。
如果接入设备信任DHCPv6报文中的Option 16信息,并且未配置ip subscriber dhcp domain命令和ip subscriber dhcpv6 option16 match命令(或配置了该命令但匹配信任字符串失败时),则:
· 在Option 16内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”等),且没有域名分隔符@字符的情况下,IPoE用户使用整个Option 16的内容作为指定的认证域进行认证。
· 在Option 16内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”等),且其中包含了域名分隔符@字符的情况下,IPoE用户使用@字符之后的字符串作为指定的认证域进行认证。如果在Option 16内容中包括多个@字符,则使用最后一个@字符之后的字符串作为IPoE用户的认证域名。
配置ip subscriber dhcp domain命令时认证域的选择情况,请见ip subscriber dhcp domain命令。
配置ip subscriber dhcpv6 option16 match命令时认证域的选择情况,请参见ip subscriber dhcpv6 option16 match命令。
接入设备不信任DHCPv6报文中的Option 16信息时认证域的选择情况,请见ip subscriber dhcp domain命令。
DHCP中继组网环境中,接入设备可以提取用户DHCPv6报文中的指定Option信息。如果接入设备信任DHCPv6报文中的Option 18,则按配置的解析格式(缺省为字符串解析格式)对Option 18的内容进行解析,并且:
· 接入设备在采用version 2.0或者version 5.0格式封装RADIUS NAS-PORT-ID属性时,会根据Option 18选项内容封装发往RADIUS服务器的NAS-PORT-ID属性;
· 接入设备会根据Option 18选项的内容封装发往RADIUS服务器的DSL_AGENT_CIRCUIT_ID属性。
如果接入设备信任DHCPv6报文中的Option 37,则按配置的解析格式(缺省为字符串解析格式)对Option 37的内容进行解析,并且接入设备会根据Option 37选项的内容封装发往RADIUS服务器的DSL_AGENT_REMOTE_ID属性。
同一接口视图下可以多次执行本命令配置信任DHCP报文中不同的Option,但不允许同时配置信任Option 16和Option 17。例如如果先配置了信任Option 16,则不允许再配置信任Option 17。
【举例】
# 在接口GigabitEthernet3/1/1上配置设备信任DHCPv4报文中的Option 82。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber trust option82
【相关命令】
· ip subscriber access-line-id circuit-id trans-format
· ip subscriber access-line-id remote-id trans-format
· ip subscriber dhcp domain
· ip subscriber dhcp domain include
· ip subscriber dhcp option60 match
· ip subscriber dhcpv6 { option16 | option17 } match
· ip subscriber initiator dhcp enable
· ip subscriber nas-port-id format
· ip subscriber nas-port-id nasinfo-insert
ip subscriber unclassified-ip domain命令用来配置接入用户使用的认证域。
undo ip subscriber unclassified-ip domain命令用来恢复缺省情况。
【命令】
ip subscriber unclassified-ip domain domain-name
undo ip subscriber unclassified-ip domain
【缺省情况】
未配置接入用户使用的认证域。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
该命令用来配置IP报文触发接入的接入用户(包括未知源IP接入用户、IPoE静态接入用户和IPoE子网/接口专线用户)在认证时使用的认证域。
对于未知源IP接入用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个可用的认证域进行认证:
(1) 使用与报文指定业务特征相映射的认证域;若该域不存在,则跳转到步骤(3)。
(2) 使用ip subscriber unclassified-ip domain命令配置的认证域;若该域不存在,则跳转到步骤(3)。
(3) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
IPoE静态接入用户认证域的选择原则,请见ip subscriber session static命令。
IPoE子网专线用户认证域的选择原则,请见ip subscriber subnet-leased命令。
IPoE接口专线用户认证域的选择原则,请见ip subscriber interface-leased命令。
【举例】
# 配置接口GigabitEthernet3/1/1上的接入用户使用的认证域为dm1。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ip domain dm1
【相关命令】
· ip subscriber initiator unclassified-ip enable
· ip subscriber service-identify
ip subscriber unclassified-ip ip match命令用来配置未知源IP报文触发认证时信任的用户IP地址/地址范围。
undo ip subscriber unclassified-ip ip match命令用来恢复缺省情况。
【命令】
ip subscriber unclassified-ip ip match start-ip-address [ end-ip-address ]
undo ip subscriber unclassified-ip ip match start-ip-address [ end-ip-address ]
【缺省情况】
未配置信任任何未知源IP报文的源IP地址,接口开启未知源IP报文触发方式后,接口上收到的所有未知源IP报文都会触发IPoE认证。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
start-ip-address:需要IPoE认证的用户的起始IPv4地址。
end-ip-address:需要IPoE认证的用户的结束IPv4地址,不能小于start-ip-address。如果不指定本参数或指定的本参数和start-ip-address相同时,则表示只有一个用户IPv4地址,即start-ip-address;否则,表示start-ip-address到end-ip-address之间的IPv4地址均需要IPoE认证。
【使用指导】
当接口同时开启Portal功能和未知源IPv4报文触发生成IPoE会话功能时,如果未知源IP报文能够匹配静态IPoE会话,则直接走IPoE静态用户上线流程,否则按如下原则处理:
· 如果配置了ip subscriber unclassified-ip ip match命令,则只有当未知源IP报文的IP地址与ip subscriber unclassified-ip ip match命令指定的IP地址匹配时,未知源IP报文才会触发IPoE接入认证,否则报文走Portal流程。有关Portal的相关介绍请参见“BRAS业务配置指导”中的“Portal”。
· 如果未配置ip subscriber unclassified-ip ip match命令,则IP报文不会触发IPoE接入认证,报文走Portal流程。
当接口仅开启未知源IPv4报文触发生成IPv4 IPoE会话功能,但未开启Portal功能时,如果未知源IP报文能够匹配静态IPoE会话,则直接走IPoE静态用户上线流程,否则按如下原则处理:
· 如果配置了ip subscriber unclassified-ip ip match命令,则只有当未知源IP报文的IP地址与ip subscriber unclassified-ip ip match命令指定的IP地址匹配时,未知源IP报文才会触发IPoE接入认证,否则丢弃报文。
· 如果未配置ip subscriber unclassified-ip ip match命令,则按未知源IP接入用户上线流程处理。
执行undo ip subscriber unclassified-ip ip match命令取消IPoE认证信任的IP地址/地址范围时,指定的地址/地址范围必须与执行ip subscriber unclassified-ip ip match命令时指定的地址/地址范围保持一致。如果需要取消已配置IPoE认证的IP地址为某一地址范围,则只能同时取消该地址范围内所有IP地址的配置,不能单独取消其中某个IP地址的配置。
多次执行ip subscriber unclassified-ip ip match命令,可以配置多个IPoE认证时信任的IP地址/地址范围。
【举例】
# 在接口GigabitEthernet3/1/1上配置只有IP地址在192.168.1.10~192.168.1.100地址范围的IPv4个人用户需要进行IPoE认证。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ip ip match 192.168.1.10 192.168.1.100
【相关命令】
· ip subscriber initiator unclassified-ip enable
ip subscriber unclassified-ip ipv6 match命令用来配置未知源IPv6报文触发认证时信任的用户IPv6地址/地址范围。
undo ip subscriber unclassified-ip ipv6 match命令用来恢复缺省情况。
【命令】
ip subscriber unclassified-ip ipv6 match start-ipv6-address [ end-ipv6-address ]
undo ip subscriber unclassified-ip ipv6 match start-ipv6-address [ end-ipv6-address ]
【缺省情况】
未配置信任任何未知源IPv6报文的源IPv6地址,接口开启未知源IPv6报文触发方式后,接口上收到的所有未知源IPv6报文都会触发IPoE认证。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
start-ipv6-address:需要IPoE认证的用户的起始IPv6地址。
end-ipv6-address:需要IPoE认证的用户的结束IPv6地址,不能小于start-ipv6-address。如果不指定本参数或指定的本参数和start-ipv6-address相同时,则表示只有一个用户IPv6地址,即start-ipv6-address;否则,表示start-ipv6-address到end-ipv6-address之间的IPv6地址均需要IPoE认证。
【使用指导】
当接口同时开启Portal功能和未知源IPv6报文触发生成IPoE会话功能时:
· 如果配置了ip subscriber unclassified-ip ipv6 match命令,则只有当未知源IPv6报文的IPv6地址与ip subscriber unclassified-ip ipv6 match命令指定的IPv6地址匹配时,未知源IPv6报文才会触发IPoE接入认证,否则报文走Portal流程。有关Portal的相关介绍请参见“BRAS业务配置指导”中的“Portal”。
· 如果未配置ip subscriber unclassified-ip ipv6 match命令,则IPv6报文不会触发IPoE接入认证,报文走Portal流程。
当接口仅开启未知源IPv6报文触发生成IPoE会话功能,但未开启Portal功能时,如果配置了ip subscriber unclassified-ip ipv6 match命令,则只有当未知源IPv6报文的IPv6地址与ip subscriber unclassified-ip ipv6 match命令指定的IPv6地址匹配时,未知源IPv6报文才会触发IPoE接入认证,否则丢弃报文。
执行undo ip subscriber unclassified-ip ipv6 match命令取消IPoE认证信任的IPv6地址/地址范围时,指定的地址/地址范围必须与执行ip subscriber unclassified-ip ipv6 match命令时指定的地址/地址范围保持一致。如果需要取消已配置IPoE认证的IPv6地址为某一地址范围,则只能同时取消该地址范围内所有IPv6地址的配置,不能单独取消其中某个IPv6地址的配置。
多次执行ip subscriber unclassified-ip ipv6 match命令,可以配置多个IPoE认证时信任的IPv6地址/地址范围。
【举例】
# 在接口GigabitEthernet3/1/1上配置只有IPv6地址在2001::1:10~2001::1:100地址范围的IPv6个人用户需要进行IPoE认证。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ip ipv6 match 2001::1:10 2001::1:100
【相关命令】
· ip subscriber initiator unclassified-ipv6 enable
ip subscriber unclassified-ip max-session命令用来配置接口上允许未知源IPv4报文触发创建的IPoE动态会话的最大数目。
undo ip subscriber unclassified-ip max-session命令用来恢复缺省情况。
【命令】
ip subscriber unclassified-ip max-session max-number
undo ip subscriber unclassified-ip max-session
【缺省情况】
未配置接口上允许未知源IPv4报文创建的IPoE动态会话的最大数目。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
max-number:允许未知源IPv4报文触发创建的IPoE会话的最大数目,取值范围为1~64000。
【使用指导】
未知源IPv4报文触发创建的IPoE会话数目达到最大值后,后续未知源IPv4报文不能触发创建IPoE会话。未知源IPv4报文创建的IPoE会话数目包括IPv4单栈会话数目和双栈IPoE会话数目。
在双栈IPoE组网应用中,建议本命令和ip subscriber unclassified-ipv6 max-session命令,二者配置相同的最大会话数。
如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。
【举例】
# 配置接口GigabitEthernet3/1/1上允许未知源IPv4报文触发创建的IPoE会话的最大数目为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ip max-session 100
【相关命令】
· display ip subscriber session
· ip subscriber initiator unclassified-ip enable
· ip subscriber max-session
· reset ip subscriber session
ip subscriber unclassified-ip username命令用来配置未知源IP接入用户和静态个人用户的认证用户名的命名规则。
undo ip subscriber unclassified-ip username命令用来恢复缺省情况。
【命令】
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separato ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
undo ip subscriber unclassified-ip username
【缺省情况】
未配置未知源IP接入用户和静态个人用户的认证用户名的命名规则。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
nas-port-id:表示使用用户的NAS-PORT-ID属性作为用户名。
port:表示以用户接入的端口号作为用户名。
second-vlan:表示以认证报文中的内层VLAN作为用户名。
slot:表示以用户接入的槽位号作为用户名
source-ip:表示使用用户报文的源IP地址作为用户名。
address-separator address-separator:IP地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则对于IPv4用户名形如192-168-1-1,若不指定该参数,则用户名为x.x.x.x形式;对于IPv6用户名形如1-2-3;若不指定该参数,则用户名形如1::2:3。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
source-mac:表示使用用户报文的源MAC地址作为用户名。
address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
string:表示以指定的字符串作为用户名。
string:用户名字符串,为1~64个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“*”、“?”、“<”、“>”以及“@”字符。
subslot:表示以用户接入的子卡号作为用户名。
sysname:表示以用户接入设备的设备名作为用户名。
vlan:表示以认证报文中的外层VLAN作为用户名。
separator separator:当前字段分隔符,用在当前字段后面以连接后面的一个字段,可以为任意可配置的可见字符。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
【使用指导】
本命令用来配置未知源IP接入用户和静态个人用户在认证时使用的用户名的命名规则,根据该命名规则获取的用户名必须与认证服务器上配置的用户名保持一致。
在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。例如:若配置ip subscriber unclassified-ip username include source-ip source-mac,则用户名为源IP地址字段和源MAC地址字段内容的拼接,且两个字段之间无分隔符。
【举例】
# 配置接口GigabitEthernet3/1/1上的未知源IP接入用户和静态个人用户使用用户报文的源IP地址作为用户名。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ip username include source-ip
# 配置接口GigabitEthernet3/1/1上的未知源IP接入用户和静态个人用户使用接入设备的设备名、接入的槽位号、接入的子卡号、接入的端口号和认证报文中的外层VLAN信息作为用户名,所选用的字段之间均使用#作为分隔符。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ip username include sysname separator # slot separator # subslot separator # port separator # vlan
【相关命令】
· ip subscriber initiator unclassified-ip enable
· ip subscriber initiator unclassified-ipv6 enable
· ip subscriber password
ip subscriber unclassified-ipv6 max-session命令用来配置接口上允许未知源IPv6报文触发创建的IPoE动态会话的最大数目。
undo ip subscriber unclassified-ipv6 max-session命令用来恢复缺省情况。
【命令】
ip subscriber unclassified-ipv6 max-session max-number
undo ip subscriber unclassified-ipv6 max-session
【缺省情况】
未配置接口上允许未知源IPv6报文创建的IPoE动态会话的最大数目。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
max-number :允许未知源IPv6报文触发创建的IPoE会话的最大数目,取值范围为1~64000。
【使用指导】
未知源IPv6报文触发创建的IPoE会话数目达到最大值后,后续未知源IPv6报文不能触发创建IPoE会话。未知源IPv6报文创建的IPoE会话数目包括IPv6单栈会话数目和双栈会话数目。
在双栈IPoE组网应用中,建议本命令和ip subscriber unclassified-ip max-session命令,二者配置相同的最大会话数。
如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。
【举例】
# 配置接口GigabitEthernet3/1/1上允许未知源IPv6报文触发创建的IPoE会话的最大数目为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber unclassified-ipv6 max-session 100
【相关命令】
· display ip subscriber session
· ip subscriber initiator unclassified-ipv6 enable
· ip subscriber max-session
· reset ip subscriber session
ip subscriber username命令用来配置IPoE个人接入用户的认证用户名。
undo ip subscriber username命令用来恢复缺省情况。
【命令】
ip subscriber username { mac-address [ address-separator address-separator ] [ lowercase | uppercase ] | string string }
undo ip subscriber username
【缺省情况】
未配置IPoE个人接入用户的认证用户名。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
mac-address:表示以MAC地址作为用户名,优先使用用户MAC地址,如果用户MAC地址无法获取,则使用报文源MAC地址。缺省情况下,MAC地址中的字母为小写且不带连字符。
address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形式如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。
lowercase:表示MAC地址中的字母为小写。
uppercase:表示MAC地址中的字母为大写。
string string:表示以指定的字符串作为用户名,string表示用户名字符串,为1~64个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
当接口上同时配置多种个人会话的触发方式时,如果管理员想避免为每种触发方式单独配置用户名带来的繁琐操作,可通过本命令一次性为当前接口上所有个人用户配置统一的认证用户名。
绑定认证方式下,个人接入用户按如下先后顺序选择认证用户名:
(1) 使用接入用户专有命令指定的用户名。
¡ 对于DHCP接入用户,使用ip subscriber dhcp username命令获取到的用户名作为认证用户名。
¡ 对于ND RS接入用户,使用ip subscriber ndrs username获取到的用户名作为认证用户名。
¡ 对于未知源IP接入用户和静态接入用户,使用ip subscriber unclassified-ip username获取到的用户名作为认证用户名。
(2) 使用ip subscriber username命令配置的用户名作为认证用户名。
(3) 使用缺省的用户名。
¡ 对于DHCP接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。
¡ 对于ND RS接入用户,使用报文的源MAC地址作为认证用户名。
¡ 对于未知源IP接入用户和静态接入用户,使用报文的源IP地址作为认证用户名。
Web认证方式和Web MAC认证方式下,在认证前域阶段,个人接入用户认证用户名的选择原则和绑定模式下认证用户名选择原则相同。
Web认证方式下,在Web认证阶段,个人接入用户按如下先后顺序选择认证用户名:
(1) 使用用户登录时输入的用户名作为认证用户名。
(2) 使用ip subscriber username命令配置的用户名作为认证用户名。
(3) 使用缺省用户名。
¡ 对于DHCP个人接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。
¡ 对于ND RS个人接入用户,使用报文源MAC地址作为认证用户名。
¡ 对于静态个人接入用户,使用报文源IP地址作为认证用户名。
Web MAC认证方式下,在Web认证阶段,个人接入用户按如下先后顺序选择认证用户名:
(1) 使用ip subscriber username命令配置的用户名作为认证用户名。
(2) 使用缺省用户名。
¡ 对于DHCP个人接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。
¡ 对于ND RS个人接入用户,使用报文源MAC地址作为认证用户名。
¡ 对于静态个人接入用户,使用报文源IP地址作为认证用户名。
【举例】
# 在接口GigabitEthernet3/1/1上配置IPoE个人接入用户的认证用户名为MAC地址。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber username mac-address
ip subscriber user-detect ip命令用来开启IPv4协议栈接入用户在线探测功能,并配置其探测方式。
undo ip subscriber user-detect ip命令用来关闭IPv4协议栈接入用户在线探测功能。
【命令】
ip subscriber user-detect ip { arp | icmp } retry retries interval interval [ no-datacheck ]
undo ip subscriber user-detect ip
【缺省情况】
对于专线子用户,在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后都会发送探测报文对用户进行在线探测;对于其它用户,在一个探测的时间间隔内,如果用户上行流量有更新则不发送探测报文,否则,发送ARP请求报文对IPv4协议栈接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
arp:表示使用ARP请求报文作为探测报文。
icmp:表示使用ICMP请求报文作为探测报文。
retry retries:探测失败后允许重复尝试的最大次数,取值范围为2~255。例如,retries值为2表示连续三次失败就认为用户不在线。
interval interval:探测的时间间隔,取值范围为30~1200,单位为秒。
no-datacheck:表示在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后都会发送探测报文对用户进行在线探测。如果未指定本参数,则表示在一个探测的时间间隔内,如果用户上行流量有更新,则interval超时后不发送探测报文,否则发送探测报文。需要注意的是,双协议栈用户统一计费时,以IPv4上行流量和IPv6上行流量统一汇总后的总上行流量作为上行流量是否有更新的判断依据。对于专线子用户,本参数配置后不生效。
【使用指导】
接口上的IPv4协议栈接入用户上线后设备将定时发送探测报文,如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户报文),则认为此用户不在线,停止发送探测报文并删除用户;若设备在探测中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
对于与接口在同一网段内的IPv4协议栈接入用户,可使用ARP请求或ICMP请求报文对用户进行探测;对于与接口不在同一网段内的IPv4协议栈接入用户,应使用ICMP请求报文对用户进行探测。
接口上不可同时启用两种方式对IPv4协议栈接入用户进行探测。
本探测功能中的IPv4协议栈包括单IPv4协议栈和双栈中的IPv4协议栈。对于单IPv4协议栈,目前仅支持对个人接入用户和二层接入模式下的专线子用户进行探测。对于双栈,目前仅支持对双栈IPoE个人接入用户进行探测。
【举例】
# 开启接口GigabitEthernet3/1/1上使用ARP请求报文对IPv4协议栈接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为100秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber user-detect ip arp retry 5 interval 100
【相关命令】
· ip subscriber enable
ip subscriber user-detect ipv6命令用来开启IPv6协议栈接入用户在线探测功能,并配置其探测方式。
undo ip subscriber user-detect ipv6命令用来关闭IPv6协议栈接入用户在线探测功能。
【命令】
ip subscriber user-detect ipv6 { icmp | nd } retry retries interval interval [ no-datacheck ]
undo ip subscriber user-detect ipv6
【缺省情况】
对于专线子用户,在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后都会发送探测报文对用户进行在线探测;对于其它用户,在一个探测的时间间隔内,如果用户上行流量有更新则不发送探测报文,否则,发送ND NS(Neighbor Solicitation,邻居请求消息)报文对IPv6协议栈接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
icmp:表示使用ICMPv6请求报文作为探测报文。采用该方式时,必须在接入接口上配置全球单播地址,否则会导致探测失败。
nd:表示使用ND NS报文作为探测报文。
retry retries:探测失败后允许重复尝试的最大次数,取值范围为2~255。例如,retries值为2表示连续三次失败就认为用户不在线。
interval interval:探测的时间间隔,取值范围为30~1200,单位为秒。
no-datacheck:表示在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后都会发送探测报文对用户进行在线探测。如果未指定本参数,则表示在一个探测的时间间隔内,如果用户上行流量有更新,则interval超时后不发送探测报文,否则发送探测报文。需要注意的是,双协议栈用户统一计费时,以IPv4上行流量和IPv6上行流量统一汇总后的总上行流量作为上行流量是否有更新的判断依据。对于专线子用户,本参数配置后不生效。
【使用指导】
接口上的IPv6协议栈接入用户上线后将定时发送探测报文,如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户报文),则认为此用户不在线,停止发送探测报文并删除用户;若设备在探测中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
对于与接口在同一网段内的IPv6协议栈接入用户,可使用IPv6 ND NS或ICMPv6请求报文对用户进行探测;对于与接口不在同一网段内的IPv6协议栈接入用户,应使用ICMPv6请求报文对用户进行探测。
接口上不可同时启用两种方式对IPv6协议栈接入用户进行探测。
本探测功能中的IPv6协议栈包括单IPv6协议栈和双栈中的IPv6协议栈。对于单IPv6协议栈,目前仅支持对个人接入用户和二层接入模式下的专线子用户进行探测。对于双栈,目前仅支持对双栈IPv6 IPoE个人接入用户进行探测。
【举例】
# 配置接口GigabitEthernet3/1/1上使用IPv6 ND NS报文对IPv6协议栈接入用户进行在线检测,探测失败后允许重复尝试3次,探测的时间间隔为50秒。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber user-detect ipv6 nd retry 3 interval 50
【相关命令】
· ip subscriber enable
· ip subscriber user-policy interface-down
ip subscriber user-policy interface-down命令用来配置接口Down后对IPoE在线用户采取的策略。
undo ip subscriber user-policy interface-down命令用来恢复缺省情况。
【命令】
ip subscriber user-policy interface-down online [ no-user-detect ]
undo ip subscriber user-policy interface-down
【缺省情况】
接口Down后,强制IPoE用户下线。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
online:当接口Down后,允许用户保持在线状态。
no-user-detect:当接口Down后,该接口上的IPoE用户在线探测功能将不再生效,不会对用户进行在线探测。如果未指定本参数,当接口Down后,该接口上的IPoE用户在线探测功能依然生效,在线探测失败时强制用户下线。
【使用指导】
为避免因接口反复进行Up/Down切换导致用户频繁上下线,可通过本命令配置接口Down后,允许用户保持在线状态。
在配置接口Down后允许用户保持在线状态的情况下,为避免在接口Down到恢复Up期间,因在线探测失败导致IPoE用户被强制下线,可在命令中指定no-user-detect参数。
【举例】
# 在接口GigabitEthernet3/1/1上配置接口Down后,允许IPoE用户保持在线状态。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber user-policy interface-down online
【相关命令】
· ip subscriber user-detect ip
· ip subscriber user-detect ipv6
ip subscriber vlan命令用来配置接入用户的IP报文的内/外层VLAN值与认证域的映射关系。
undo ip subscriber vlan命令用来删除指定内/外层VLAN值与认证域的映射关系。
【命令】
ip subscriber vlan vlan-list domain domain-name
undo ip subscriber vlan vlan-list
【缺省情况】
未配置IPv4接入用户的IP报文的内/外层VLAN与认证域的映射关系。
【视图】
三层以太网子接口视图
三层聚合子接口视图
L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表,表示一个或多个VLAN,表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>,其中,vlan-id为指定VLAN的编号,取值范围为1~4094。&<1-10>表示前面的参数最多可以输入10次。
domain domain-name:表示与指定的VLAN范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
本命令用来配置指定VLAN范围内接入用户(包括DHCP接入用户、未知源IP接入用户和IPoE静态接入用户)进行认证时使用的认证域,通过指定的认证域进行认证、授权、计费。
DHCP接入用户认证域的选择原则,请参见ip subscriber dhcp domain命令。
未知源IP接入用户认证域的选择原则,请参见ip subscriber unclassified-ip domain命令。
IPoE静态接入用户认证域的选择原则,请参见ip subscriber session static命令。
IPoE子网专线用户认证域的选择原则,请见ip subscriber subnet-leased命令。
IPoE接口专线用户认证域的选择原则,请见ip subscriber interface-leased命令。
IPoE L2VPN专线用户认证域的选择原则,请见ip subscriber l2vpn-leased命令。
必须通过ip subscriber service-identify { second-vlan | vlan }命令配置使用相应业务识别方式,ip subscriber vlan命令配置后才生效。
【举例】
# 在子接口GigabitEthernet3/1/1.100上配置内层VLAN ID范围为2到100的接入用户认证使用的认证域为vlandm。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1.100
[Sysname-GigabitEthernet3/1/1.100] ip subscriber service-identify second-vlan
[Sysname-GigabitEthernet3/1/1.100] ip subscriber vlan 2 to 100 domain vlandm
【相关命令】
· ip subscriber service-identify
ip subscriber web-auth domain命令用来配置Web认证域。
undo ip subscriber web-auth domain命令用来恢复缺省情况。
【命令】
ip subscriber web-auth domain domain-name
undo ip subscriber web-auth domain
【缺省情况】
未配置Web认证域。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
L3VE接口视图/L3VE子接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
采用Web认证方式时,如果配置了多种认证域,在Web认证阶段,接入用户按如下先后顺序选择认证域:
(1) 若通过ip subscriber web-auth domain命令指定了Web认证域,则先获取用户名中的域,然后进行如下判断:
¡ 如用户名中携带域,且该域存在,则使用用户名携带的域;若该域不存在,则跳转到步骤(2)。
¡ 若用户名中未携带域,则使用ip subscriber web-auth domain命令指定的认证域;若该域不存在,则跳转到步骤(2)。
若未指定Web认证域,则查询下一步。
(2) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
采用Web MAC认证方式时,在Web认证阶段,多种认证域的选择原则请参见ip subscriber mac-auth domain命令。
Web认证域仅适用于采用Web认证方式和Web MAC认证方式的个人接入用户,在Web认证阶段使用。
修改Web认证域域名或域中的配置仅对新接入用户生效,对当前已通过该认证域上线的用户无影响。
【举例】
# 在接口GigabitEthernet3/1/1上配置Web认证域为dm1。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip subscriber web-auth domain dm1
【相关命令】
· ip subscriber authentication-method
· ip subscriber mac-auth domain
reset ip subscriber abnormal-logout命令用来清除异常下线DHCP接入用户的信息。
【命令】
(独立运行模式)
reset ip subscriber abnormal-logout [ interface interface-type interface-number ] [ slot slot-number ]
(IRF模式)
reset ip subscriber abnormal-logout [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示清除指定接口的异常下线DHCP接入用户的信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将清除所有接口的异常下线DHCP接入用户的信息。
slot slot-number:清除指定单板的异常下线DHCP接入用户的信息,slot-number表示单板所在的槽位号。如果未指定本参数,将清除所有单板上的异常下线DHCP接入用户的信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的异常下线DHCP接入用户的信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,将清除所有单板上的异常下线DHCP接入用户的信息。(IRF模式)
【使用指导】
本命令用来清除异常下线DHCP接入用户的信息,如果不指定条件,则表示清除所有异常下线DHCP接入用户的信息。
【举例】
# 清除接口GigabitEthernet3/1/1上异常下线DHCP接入用户的信息。
<Sysname> reset ip subscriber abnormal-logout interface gigabitethernet 3/1/1
【相关命令】
· display ip subscriber abnormal-logout
reset ip subscriber interface-leased命令用来重置或删除IPoE接口专线用户的会话,强制用户下线。
【命令】
reset ip subscriber interface-leased [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示重置或删除指定接口的IPoE接口专线用户的会话,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将重置或删除所有接口上IPoE接口专线用户的会话。
【使用指导】
执行本命令后IPoE接口专线用户的会话将会被重置到初始状态,并强制用户下线,然后IPoE接口专线用户会根据ip subscriber interface-leased命令配置的用户名和密码自动重新进行认证上线。
【举例】
# 重置或删除接口GigabitEthernet3/1/1上IPoE接口专线用户的会话,强制用户下线。
<Sysname> reset ip subscriber interface-leased interface gigabitethernet 3/1/1
【相关命令】
· display ip subscriber interface-leased
reset ip subscriber interface-leased user命令用来删除IPoE接口专线子用户的会话信息,强制用户下线。
【命令】
reset ip subscriber interface-leased user [ interface interface-type interface-number [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示删除指定接口上IPoE接口专线子用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将删除所有接口上IPoE接口专线子用户的会话信息。
ip ipv4-address:表示删除指定IPv4地址的IPoE接口专线子用户的会话信息,ipv4-address为指定的IPv4地址。
ipv6 ipv6-address:表示删除指定IPv6地址的IPoE接口专线子用户的会话信息,ipv6-address为指定的IPv6地址。
mac mac-address:表示删除指定源MAC地址的IPoE接口专线子用户的会话信息,mac-address为用户MAC地址,形式为H-H-H。
s-vlan svlan-id:表示删除指定服务提供商VLAN的IPoE接口专线子用户的会话信息,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:表示删除指定用户VLAN的IPoE接口专线子用户的会话信息,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:表示删除指定VXLAN的IPoE接口专线子用户的会话信息,vxlan-id表示VXLAN ID,取值范围为0~16777215。
【使用指导】
当且仅当用户的接入模式为二层接入模式时,本命令才生效。
如果不指定任何参数,则表示删除所有IPoE接口专线子用户的会话信息,并强制用户下线。
【举例】
# 删除接口GigabitEthernet3/1/1上IPoE接口专线子用户的会话信息,并强制用户下线。
<Sysname> reset ip subscriber interface-leased user interface gigabitethernet 3/1/1
· display ip subscriber interface-leased user
reset ip subscriber interface-leased user ip-type命令用来删除指定IP协议类型的IPoE接口专线子用户的会话信息,强制用户下线。
【命令】
reset ip subscriber interface-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ipv4:IPv4 IPoE接口专线子用户。
ipv6:IPv6 IPoE接口专线子用户。
interface interface-type interface-number:表示删除指定接口上指定IP协议类型的IPoE接口专线子用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将删除所有接口上指定IP类型的IPoE接口专线子用户的会话信息。
mac mac-address:表示删除指定IP协议类型的源MAC地址的IPoE接口专线子用户的会话信息,mac-address为用户MAC地址,形式为H-H-H。若果未指定本参数,将删除指定接口下的指定IP协议类型的所有IPoE接口专线子用户的会话信息。
s-vlan svlan-id:表示删除指定服务提供商VLAN的IPoE接口专线子用户的会话信息,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:表示删除指定用户VLAN的IPoE接口专线子用户的会话信息,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:表示删除指定VXLAN的IPoE接口专线子用户的会话信息,vxlan-id表示VXLAN ID,取值范围为0~16777215。
【使用指导】
当且仅当用户的接入模式为二层接入模式时,本命令才生效。
如果不指定任何参数,则表示删除指定IP协议类型的所有IPoE接口专线子用户的会话信息,并强制用户下线。
【举例】
# 删除接口GigabitEthernet3/1/1上指定IPv4类型的IPoE接口专线子用户的会话信息,并强制用户下线。
<Sysname> reset ip subscriber interface-leased user ip-type ipv4 interface gigabitethernet 3/1/1
【相关命令】
· display ip subscriber interface-leased user ip-type
reset ip subscriber offline statistics命令用来清除IPoE用户会话下线原因的统计信息。
【命令】
reset ip subscriber offline statistics [ ip-type { ipv4 | ipv6 } ] [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ip-type:清除指定IP协议类型的IPoE用户会话下线原因的统计信息。如果未指定本参数,将清除所有IP协议类型的IPoE用户会话下线原因的统计信息。
ipv4:表示IPv4 IPoE用户。
ipv6:表示IPv4 IPoE用户。
interface interface-type interface-number:表示清除指定接口上的IPoE用户会话下线原因的统计信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将清除所有接口上的IPoE用户会话下线原因的统计信息。
【举例】
# 清除接口GigabitEthernet3/1/1上的IPoE用户会话下线原因的统计信息。
<Sysname> reset ip subscriber offline statistics interface gigabitethernet 3/1/1
【相关命令】
· display ip subscriber offline statistics
reset ip subscriber session命令用来删除IPoE动态个人会话、全局静态个人会话和重置IPoE接口静态个人会话,强制用户下线。
【命令】
reset ip subscriber session [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ { { domain domain-name | mac mac-address | username name } | ip-type { ipv4 | ipv6 | dual-stack } } * | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示删除指定接口的IPoE动态个人会话、全局静态个人会话和和重置指定接口的IPoE接口静态个人会话,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将删除所有接口的IPoE动态个人会话、全局静态个人会话和重置所有的接口静态个人会话。
s-vlan svlan-id:表示删除指定服务提供商VLAN的IPoE动态个人会话、全局静态个人会话和重置指定VLAN的IPoE接口静态个人会话,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:表示删除指定用户VLAN的IPoE动态个人会话、全局静态个人会话和重置指定VLAN的IPoE接口静态个人会话,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:表示删除指定VXLAN的IPoE动态个人会话、全局静态个人会话和重置指定VLAN的IPoE接口静态个人会话,vxlan-id表示VXLAN ID,取值范围为0~16777215。
domain domain-name:表示删除使用指定ISP域认证的IPoE动态个人会话、全局静态个人会话和重置使用指定ISP域认证的IPoE接口静态个人会话,domain-name为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
mac mac-address:表示删除指定源MAC地址的IPoE动态个人会话、全局静态个人会话和重置指定源MAC地址的IPoE接口静态个人会话,mac-address为用户MAC地址,形式为H-H-H。
username name:表示删除指定用户名的IPoE动态个人会话、全局静态个人会话和重置指定用户名的IPoE接口静态个人会话,name为1~255个字符的字符串,区分大小写。
ip-type:删除指定IP协议类型的IPoE动态个人会话、全局静态个人会话和重置指定IP协议类型的IPoE接口静态个人会话。如果未指定该参数,将删除所有IP协议类型的IPoE动态个人会话、全局静态个人会话和重置所有IP协议类型的IPoE接口静态个人会话。
ipv4:IPv4 IPoE动态个人会话、全局静态个人会话和接口静态个人会话。
ipv6:IPv6 IPoE动态个人会话、全局静态个人会话和接口静态个人会话。
dual-stack:双栈IPoE动态个人会话、全局静态个人会话和接口静态个人会话。
ip ipv4-address:表示删除指定IPv4地址的IPoE动态个人会话、全局静态个人会话和重置指定IPv4地址的IPoE接口静态个人会话,ipv4-address为指定的IPv4地址。
ipv6 ipv6-address:表示删除指定IPv6地址的IPoE动态个人会话、全局静态个人会话和重置指定IPv6地址的IPoE接口静态个人会话,ipv6-address为指定的IPv6地址。
vpn-instance vpn-instance-name:表示删除指定VPN实例的IPoE动态个人会话、全局静态个人会话和重置指定VPN实例的IPoE接口静态个人会话,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPoE用户位于公网中。
【使用指导】
本命令用来删除IPoE动态个人会话、全局静态个人会话和重置IPoE接口静态个人会话,并强制用户下线,如果不指定条件,则表示删除所有IPoE动态个人会话、全局静态个人会话和重置所有IPoE接口静态个人会话。
【举例】
# 删除接口GigabitEthernet3/1/1上IPoE动态个人会话、全局静态个人会话和重置接口GigabitEthernet3/1/1上IPoE接口静态个人会话,强制用户下线。
<Sysname> reset ip subscriber session interface gigabitethernet 3/1/1
【相关命令】
· display ip subscriber session
reset ip subscriber subnet-leased命令用来重置或删除IPoE子网专线用户的会话,强制用户下线。
【命令】
reset ip subscriber subnet-leased [ interface interface-type interface-number ] [ ip ipv4-address mask-length | ipv6 ipv6-address prefix-length } | ip-type { ipv4 | ipv6 } ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:重置或删除指定接口的IPoE子网专线用户的会话,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将重置或删除所有接口的IPoE子网专线用户的会话。
ip ipv4-address mask-length:表示重置或删除指定IPv4网段内的IPoE子网专线用户的会话,ipv4-address为指定的IPv4地址,mask-length表示IPv4地址子网络掩码长度,取值范围为1~31。
ipv6 ipv6-address prefix-length:表示重置或删除指定IPv6网段内的IPoE子网专线用户的会话,ipv6-address为指定的IPv6地址,prefix-length表示IPv6地址前缀长度,取值范围为1~127。
ip-type:表示重置或删除指定IP协议类型的IPoE子网专线用户的会话。如果未指定该参数,将重置或删除所有IP协议类型的IPoE子网专线用户的会话。
ipv4:表示IPv4 IPoE子网专线用户。
ipv6:表示IPv6 IPoE子网专线用户。
【使用指导】
执行本命令后IPoE子网专线用户的会话将会被重置到初始状态,并强制用户下线,然后IPoE子网专线用户会根据ip subscriber subnet-leased命令配置的用户名和密码自动重新进行认证上线。
【举例】
# 重置或删除接口GigabitEthernet3/1/1上IPoE子网专线用户的会话,强制用户下线。
<Sysname> reset ip subscriber subnet-leased interface gigabitethernet 3/1/1
【相关命令】
· display ip subscriber subnet-leased
reset ip subscriber subnet-leased user命令用来删除IPoE子网专线子用户的会话信息,强制用户下线。
【命令】
reset ip subscriber subnet-leased user [ interface interface-type interface-number [ ip { ipv4-address mask-length | ipv4-address } | ipv6 { ipv6-address prefix-length | ipv6-address } | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:删除指定接口的IPoE子网专线子用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将删除所有接口的IPoE子网专线子用户的会话信息。
ip ipv4-address mask-length:表示删除指定IPv4网段内的IPoE子网专线子用户的会话信息,ipv4-address表示用户的IPv4地址,mask-length表示IPv4地址子网络掩码长度,取值范围为1~31。
ip ipv4-address:表示删除指定IPv4地址的IPoE子网专线子用户的会话信息,ipv4-address表示用户的IPv4地址。
ipv6 ipv6-address prefix-length:表示删除指定IPv6网段内的IPoE子网专线子用户的会话信息,ipv6-address表示用户的IPv6地址,prefix-length表示IPv6地址前缀长度,取值范围为1~127。
ipv6 ipv6-address:表示删除指定IPv6地址的IPoE子网专线子用户的会话信息,ipv6-address表示用户的IPv6地址。
s-vlan svlan-id:表示删除指定服务提供商VLAN的IPoE子网专线子用户的会话信息,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:表示删除指定用户VLAN的IPoE子网专线子用户的会话信息,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:表示删除指定VXLAN的IPoE子网专线子用户的会话信息,vxlan-id表示VXLAN ID,取值范围为0~16777215。
【使用指导】
当且仅当用户的接入模式为二层接入模式时,本命令才生效。
如果不指定任何参数,则表示所有IPoE子网专线子用户的会话信息,并强制用户下线。
【举例】
# 删除接口GigabitEthernet3/1/1上IPoE子网专线子用户的会话信息,并强制用户下线。
<Sysname> reset ip subscriber subnet-leased user interface gigabitethernet 3/1/1
【相关命令】
· display ip subscriber subnet-leased user
reset ip subscriber subnet-leased user ip-type命令用来删除指定IP协议类型的IPoE子网专线子用户的会话信息,强制用户下线。
【命令】
reset ip subscriber subnet-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ipv4:IPv4 IPoE子网专线子用户。
ipv6:IPv6 IPoE子网专线子用户。
interface interface-type interface-number:删除指定接口上指定IP协议类型的IPoE子网专线子用户的会话信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将删除所有接口上指定IP协议类型的IPoE子网专线子用户的会话信息。
s-vlan svlan-id:表示删除指定服务提供商VLAN的IPoE子网专线子用户的会话信息,svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:表示删除指定用户VLAN的IPoE子网专线子用户的会话信息,cvlan-id表示VLAN ID,取值范围为1~4094。
vxlan vxlan-id:表示删除指定VXLAN的IPoE子网专线子用户的会话信息,vxlan-id表示VXLAN ID,取值范围为0~16777215。
【使用指导】
当且仅当用户的接入模式为二层接入模式时,本命令才生效。
【举例】
# 删除接口GigabitEthernet3/1/1上IPv4协议类型的IPoE子网专线子用户的会话信息,并强制用户下线。
<Sysname> reset ip subscriber subnet-leased user ip—type ipv4 interface gigabitethernet 3/1/1
【相关命令】
· display ip subscriber subnet-leased user ip-type
slot-user-warning-threshold命令用来配置每slot接入用户数的告警阈值。
undo slot-user-warning-threshold命令用来恢复缺省情况。
【命令】
slot-user-warning-threshold threshold-value
undo slot-user-warning-threshold
【缺省情况】
每slot接入用户数的告警阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:告警阈值,即每slot接入用户数占该slot允许接入的最大用户数的百分比,取值范围为1~100。
【使用指导】
可通过本命令配置每slot接入用户数的告警阈值,使得接入用户数超过某个设定值时能够自动触发告警,便于管理员及时了解现网的在线用户情况。
每slot接入用户数阈值告警功能仅用于对接入的IPoE和PPPoE用户数进行统计。其中:
· 对于双栈PPPoE用户,按一个用户数进行统计。
· 对于双栈IPoE用户,按两个用户数进行统计。
· 对于IPoE专线用户,每个接口专线用户按两个用户数进行统计,每个子网专线用户按一个用户数进行统计。
· 对于IPoE专线子用户,每个子用户按一个用户数进行统计。
假定每slot允许接入的最大用户数为a,配置的告警阈值为b,则:
· 当接入用户数超过告警上限a×b时,将输出对应警告信息。
· 当接入用户数恢复到正常数值范围后,输出恢复信息。
为避免特殊情况下接入用户数在临界区反复变化导致频繁输出告警信息和恢复信息,当接入用户数从阈值上限恢复时,系统内部有一个缓冲区,缓冲区大小为配置的告警阈值的10%,假定为c,c=a×b÷10,仅当接入用户数恢复到小于a×b-c时才会输出恢复信息。
例如,假定a为1000,b为80%,则c=a×b÷10=1000×80%÷10=800÷10=80,则:
· 当接入用户数超过告警上限a×b=1000×80%=800时,输出上限告警信息。
· 当接入用户数恢复到小于a×b-c=800-80=720时,输出恢复信息。
输出的上限告警信息和恢复信息均包含日志信息和Trap告警信息。需要注意的是,为确保Trap告警信息可以正常输出到NMS主机,除了需要正确配置SNMP告警功能外,还需要配置snmp-agent trap enable slot-user-warning-threshold命令。
【举例】
# 配置每slot接入用户数的告警阈值为80。
<Sysname> system-view
[Sysname] slot-user-warning-threshold 80
【相关命令】
· snmp-agent trap enable slot-user-warning-threshold
snmp-agent trap enable slot-user-warning-threshold命令用来开启每slot接入用户数的Trap告警功能。
undo snmp-agent trap enable slot-user-warning-threshold命令用来关闭每slot接入用户数的Trap告警功能。
【命令】
snmp-agent trap enable slot-user-warning-threshold
undo snmp-agent trap enable slot-user-warning-threshold
【缺省情况】
每slot接入用户数的Trap告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启每slot接入用户数的Trap告警功能后,当每slot接入的用户数比例超过设定阈值或恢复到正常数值范围时都会产生对应的Trap告警信息。生成的告警信息将被送到设备的SNMP模块,通过设置SNMP中的告警信息的发送参数,来决定告警信息输出的相关属性。有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
本功能仅在配置了每slot接入用户数的告警阈值的情况下才生效。
【举例】
# 开启每slot接入用户数的Trap告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable slot-user-warning-threshold
【相关命令】
· slot-user-warning-threshold
trace access-user命令用来创建业务跟踪对象。
undo trace access-user命令用来删除指定的业务跟踪对象。
【命令】
trace access-user object object-id { access-mode ipoe | c-vlan vlan-id | interface interface-type interface-number | ip-address ip-address | mac-address mac-address | s-vlan vlan-id | username user-name } * [ aging time | output { file file-name | syslog-server server-ip-address | vty } ] *
undo trace access-user { all | object object-id }
【缺省情况】
不存在业务跟踪对象。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
object object-id:表示业务跟踪对象的编号,取值范围为1~5。
access-mode ipoe:表示基于IPoE接入模式创建跟踪对象。
c-vlan vlan-id:表示基于内层VLAN创建跟踪对象。vlan-id表示接入用户的内层VLAN,取值范围为1~4094。
interface interface-type interface-number:表示基于接入接口创建跟踪对象。interface-type interface-number表示用户接入接口的类型和接口编号。如果指定本参数,当接入接口所在slot或subslot重启后,业务跟踪对象配置会自动失效,需要重新配置。
ip-address ip-address:表示基于用户IP地址创建跟踪对象。ip-address表示用户的IP地址。
mac-address mac-address:表示基于用户MAC地址创建跟踪对象。mac-address表示用户的MAC地址。
s-vlan vlan-id:表示基于外层VLAN创建跟踪对象。vlan-id表示接入用户的外层VLAN,取值范围为1~4094。
username user-name:表示基于用户名创建跟踪对象。user-name表示用户的名称,为1~253个字符的字符串,区分大小写。
aging time:指定跟踪时间,取值范围为0~60,单位为分钟,缺省值为15。跟踪时间从命令配置后开始计算,跟踪时间超时后将不再对业务对象进行跟踪。当超时时间设置为0时,表示设备将一直对业务对象进行跟踪永不超时;如需停止跟踪,可通过undo命令删除该业务跟踪对象或关闭配置该命令的VTY。
output:指定业务跟踪信息的输出位置,缺省输出到VTY监视终端。
file file-name:表示业务跟踪信息输出到设备Flash存储介质的根目录下。file-name表示业务跟踪信息在存储设备中的存储文件名,为1~63个字符的字符串,区分大小写。
syslog-server server-ip-address:表示业务跟踪信息输出到日志服务器。server-ip-address表示日志服务器的IP地址。
vty:表示业务跟踪信息输出到当前VTY监视终端。
all:表示删除所有业务追踪对象。
【使用指导】
通过创建业务追踪对象可以追踪接入用户的上下线相关信息。通过指定不同的匹配参数,可以实现对特定用户的追踪。
使用本命令时占用大量系统资源,建议仅在故障诊断时使用,一般情况下不要使用本命令。
当配置输出信息到日志服务器时,请确保设备与指定的日志服务器之间路由可达并且日志服务器配置正确。
主备倒换后本命令的配置自动失效,需要重新配置。
【举例】
# 创建编号为1的业务跟踪对象。
<Sysname> system-view
[Sysname] trace access-user object 1 access-mode ipoe interface gigabitethernet 3/1/1.1 ip-address 1.1.1.2 mac-address 1-2-3 c-vlan 2 s-vlan 3
【相关命令】
· display trace access-user
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
