15-IPoE配置
本章节下载: 15-IPoE配置 (576.43 KB)
目 录
1.6.7 配置DHCP Option中circuit-id和remote-id解析格式
1.6.10 配置允许DHCP个人接入用户异常下线后通过报文重新触发上线
1.12.1 DHCPv4报文触发IPoE接入配置举例(授权远端BAS IP地址池)
1.12.2 DHCPv4报文触发IPoE接入配置举例(授权IP地址池组)
1.12.4 IPv6 ND RS+DHCPv6(IA_PD)触发IPoE接入配置举例
IPoE(IP over Ethernet)是一种常见的IPoX接入方式,目前支持绑定和Web两种认证方式。
· 绑定认证是指BRAS(Broadband Remote Access Server,宽带远程接入服务器)设备根据用户接入的位置信息自动生成用户名和密码进行身份认证的一种认证方式,无需用户输入用户名和密码。
· Web认证是指用户通过访问Web认证服务器的认证页面,交互输入用户名和密码进行身份认证的一种认证方式。
需要注意的是,设备工作模式为广域网SDN模式时:
· 仅支持DHCP IPoE用户类型,不支持其他用户类型。
· 仅支持绑定认证方式,不支持Web认证。
不支持同时配置IPoE和IP Source Guard功能。关于IP Source Guard功能的详细介绍,请参见“安全配置指导”中的“IP Source Guard”。
仅支持AAA模块的认证功能,不支持授权、计费功能。关于AAA功能的详细介绍,请参见“安全配置指导”中的“AAA”。
IPoE目前仅支持如下接口:
· 三层以太网接口
· 三层以太网子接口
· 三层聚合接口
· 三层聚合子接口
· L3VE接口
· L3VE子接口
当使用设备作为DHCP Server为IPoE用户分配IP地址时,为确保IPoE功能正常,要求在IP地址池中禁用网关地址,具体如下:
· 对于IP地址池需要通过命令dhcp server forbidden-ip或forbidden-ip配置网关IP地址为不参与自动分配的IP地址。
· 对于IPv6地址池需要通过命令ipv6 dhcp server forbidden-address配置网关IPv6地址为不参与自动分配的IPv6地址。
有关配置不参与自动分配IP地址命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“DHCP”和“DHCPv6”。
对于IPoE DHCP接入用户,如果同时配置了ISP域授权DNS和DHCP Server分配DNS,则:
· 在IPoE设备作为DHCP Server组网中,用户优先使用ISP域授权的DNS。
· 在IPoE设备作为DHCP Relay组网中,用户优先使用DHCP Server分配的DNS。
在DHCP中继组网环境中,需要注意:
· 当IPoE工作在三层接入模式下,并且BRAS设备同时作为DHCP Server时,为确保DHCP接入用户可以正常上线,不允许在接入接口上配置ip subscriber initiator arp enable命令。
· 对于DHCPv4 Relay需要通过dhcp-proxy enable命令配置中继接口工作在DHCP代理模式。
· 当未采用ISP域下授权地址池方式为用户分配地址,而是采用在接口上配置IP地址、DHCP中继模式(由dhcp select relay命令配置)及中继的服务器地址(由remote-server命令配置)的方式为用户分配地址池时,必须在DHCP中继上创建和DHCP服务器对应的中继地址池。目前支持使用下列类型的IP地址池作为中继地址池。
¡ 远端BAS IP地址池(由ip pool pool-name bas remote命令配置)。
¡ 普通IP地址池(由ip pool pool-name命令配置)。
在BRAS设备作为DHCP relay的中继组网中,涉及下列命令的配置时,要求DHCP relay和远端DHCP server保持一致:
· DHCPv4
¡ network命令(用来配置IP地址池动态分配的IP地址网段)
¡ address range命令(用来配置IP地址池动态分配的IP地址范围)
¡ forbidden-ip命令(用来配置IP地址池中不参与自动分配的IP地址)
上述命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“DHCP”。
· DHCPv6:
¡ network命令(用来配置IPv6地址池动态分配的IPv6地址网段)
¡ address range命令(用来配置地址池中动态分配的IPv6非临时地址范围)
¡ forbidden-address命令(用来配置不参与自动分配的IPv6地址或地址段)
¡ forbidden-prefix命令(用来配置不参与自动分配的IPv6前缀或前缀段)
¡ prefix-pool命令(用来配置地址池引用前缀池,以便从前缀池中动态选择前缀分配给客户端)
上述命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“DHCPv6”。
(2) 配置IPoE动态个人接入用户
(3) (可选)配置IPoE支持DHCP报文限速功能
(4) (可选)配置IPoE接入用户在线探测功能
(5) (可选)配置IPoE用户接入响应延迟时间
(6) (可选)配置禁止IPoE用户上线功能
IPoE提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠IPoE不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法或本地认证方法,以配合IPoE完成用户的身份认证。IPoE的配置前提如下:
· 若配置的是DHCP触发方式,需要安装并配置好DHCP服务器。如果是DHCP中继组网,接入设备还需启动DHCP中继功能。
· 如果通过远端RADIUS服务器进行身份认证,则首先保证RADIUS服务器已安装并配置成功,其次需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。如果需要通过远端的安全策略服务器进行安全检测和授权,则需要在H3C iMC安全策略服务器上配置相应的安全策略,并在接入设备上指定安全策略服务器的IP地址。RADIUS客户端以及安全策略服务器的具体配置请参见“安全配置指导”中的“AAA”。
· 如果通过本地设备进行身份认证,则需要在接入设备上配置相关的本地用户及其属性。本地用户的具体配置请参见“安全配置指导”中的“AAA”。
· 保证用户、接入设备和各服务器之间路由可达。
只有在接口上开启了IPv4和IPv6协议栈的IPoE功能后,该协议栈对应的其他IPoE相关配置才能生效。
在IPv4网络中,当IPoE工作在二层接入模式时,请采用在IP地址池下配置gateway命令的方式为用户指定网关地址,不允许采用在接入接口上配置IP地址的方式为用户指定网关地址。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPoE功能,并指定用户接入模式。
ip subscriber { l2-connected | routed } enable [ ipv4 | ipv6 ]
缺省情况下,接口上的IPoE功能处于关闭状态。
如果未指定ipv4或ipv6参数,则表示将同时开启IPv4和IPv6协议栈的IPoE功能。
不能通过重复执行本命令修改IPoE的接入模式和协议栈类型,如需修改IPoE的接入模式或协议栈类型,请先通过undo ip subscriber enable命令关闭IPoE功能,再执行ip subscriber enable命令。
IPoE动态个人接入用户配置任务如下:
(2) (可选)配置动态个人会话的触发方式
(3) (可选)配置动态个人接入用户的认证用户名的命名规则
(4) (可选)配置动态个人接入用户使用的认证域
(5) (可选)配置DHCP个人接入用户的信任Option
(6) (可选)配置DHCP Option中circuit-id和remote-id解析格式
(7) (可选)配置DHCP个人接入用户的信任认证域
(8) (可选)配置DHCP个人接入用户的认证域名生成规则
(9) (可选)配置允许DHCP个人接入用户异常下线后通过报文重新触发上线
(10) (可选)配置允许DHCP个人接入用户采用松散模式上线
(11) (可选)配置IPoE DHCP接入用户的自动备份功能
(12) (可选)配置IAPD上线后才能上线NDRS用户
接口上开启了IPoE功能后,缺省情况下丢弃接收到的用户报文,需要配置IPoE用户触发方式,使指定的用户报文得以处理,后续能够正常使用网络服务。
接口上可同时配置多种触发方式,其中:
· 配置未知源IP触发方式后,IPoE会处理接口上收到的普通IP报文,保存用户信息生成IPoE会话,并进行认证、授权和计费。
· 配置DHCP触发方式后,IPoE会处理接口上收到的DHCP Discover报文、DHCP Solicit或直接申请地址的DHCP Request报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的DHCP报文交互更新用户信息。
· 配置IPv6 ND RS触发方式后,IPoE会处理接口上收到的IPv6 ND RS报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的IPv6 ND报文交互更新用户信息。
对于未知源IPv4报文触发方式,需要执行dhcp enable命令开启DHCP服务。有关该命令的介绍,请参见“三层技术-IP业务命令参考”中的“DHCP”。
使用IPv6 ND RS报文触发方式时,需要注意:
· 开启IPv6 ND RS报文触发方式,需先确认接入设备可发送IPv6 ND RA报文。若接入设备可以发送IPv6 ND RA报文,则建议IPv6 ND RA报文发送间隔不小于6分钟。
· IPv6 ND RS报文触发IPv6 IPoE会话功能仅在二层接入模式下生效。
· Windows系统的PC可能生成两类IPv6地址,一类是随机生成的临时地址,另外一类是通过EUI-64方式生成的公共地址。因临时地址可能发生变化,当采用AAA直接为用户授权前缀(即共享前缀)时,为确保在临时地址发生变化的情况下,用户仍可以使用临时地址接入,建议在接口上同时开启IPv6未知源IP报文触发方式。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4动态个人会话的触发方式。
ip subscriber initiator unclassified-ip enable
缺省情况下,未知源IP报文触发生成IPoE会话功能处于关闭状态。
(4) 配置IPv6动态个人会话的触发方式。
ip subscriber initiator { ndrs | unclassified-ipv6 } enable
缺省情况下,ND RS报文和IPv6未知源IP报文触发生成IPoE会话功能均处于关闭状态。
通过该配置可以指定动态个人接入用户认证使用的用户名的命名规则,并且根据该命名规则获取的用户名必须与认证服务器配置的用户名保持一致,用户才可以认证通过。
绑定认证方式下,动态个人接入用户按如下先后顺序选择认证用户名:
(1) 使用接入用户专有命令指定的用户名。对于DHCP接入用户,使用ip subscriber dhcp username命令获取到的用户名作为认证用户名。
(2) 使用ip subscriber username命令配置的用户名作为认证用户名。
(3) 使用缺省的用户名。对于DHCP接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置DHCP接入用户的认证用户名。
ip subscriber dhcp username include { circuit-id [ separator separator ] | client-id [ separator separator ] | hostname [ original ] [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ original ] [ separator separator ] | vendor-specific [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,未配置DHCP个人接入用户的认证用户名的命名规则。
对于采用松散模式上线DHCPv4接入用户,因报文中没有携带DHCP Option信息,所以circuit-id、mac、client-id、remote-id、vendor-class、original、vendor-specific这些参数不生效;此时,即使命令中指定上述参数,设备在生成用户名时也会按照未指定的情况处理。DHCPv6接入用户不支持采用松散模式上线。
(4) 配置IPoE个人接入用户的认证用户名
ip subscriber username { mac-address [ address-separator address-separator ] [ lowercase | uppercase ] | string string }
缺省情况下,未配置IPoE个人接入用户的认证用户名。
当接口上同时配置多种个人会话的触发方式时,如果管理员想避免为每种触发方式单独配置用户名带来的繁琐操作,可通过本命令一次性为当前接口上所有个人用户配置统一的认证用户名。
本节关于认证域的选择原则均是针对采用非松散模式上线的IPoE用户。采用松散模式上线时,用户认证域的选择原则请见命令手册。有关松散模式上线的介绍,请参见“1.6.11 配置允许DHCP个人接入用户采用松散模式上线”。
绑定认证方式下,动态个人接入用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个匹配到的认证域进行认证(其中,步骤(1)~(2)仅适用于DHCP接入用户,步骤(3)仅适用于DHCP接入用户和未知源IP接入用户):
(1) 使用ip subscriber dhcp domain命令指定的强制认证域;若该域未创建,则用户上线失败。(仅适用于DHCP接入用户)
(2) 使用Option中的信息作为认证域。(仅适用于DHCP接入用户)
对于DHCPv4接入用户,使用Option中的信息作为认证域的原则如下:
a. 同时满足如下条件时,使用根据ip subscriber dhcp domain include命令配置的域名生成规则生成的认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option60命令;
- 接口上配置了ip subscriber dhcp option60 match命令并且在Option 60中的指定位置能够匹配到ip subscriber dhcp option60 match命令指定的字符串;
- 接口上配置了ip subscriber dhcp domain include命令。
b. 同时满足如下条件时,使用和ip subscriber dhcp option60 match命令指定的信任字符串相匹配的Option 60中字符串作为认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option60命令;
- 接口上配置了ip subscriber dhcp option60 match命令并且在Option 60中的指定位置能够匹配到ip subscriber dhcp option60 match命令指定的字符串。
- 接口上未配置ip subscriber dhcp domain include命令。
c. 在信任Option 60的情况下,如果接口上配置ip subscriber dhcp option60 match命令但在Option 60中的指定位置不能匹配到ip subscriber dhcp option60 match命令指定的字符串,则忽略option60内容,不会使用option60内容作为认证域(即按报文未携带option60选项的情况选择认证域),此时直接跳转到步骤(3)。
d. 同时满足如下条件时,使用根据ip subscriber dhcp domain include命令配置的域名生成规则生成的认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option60命令;
- 接口上未配置ip subscriber dhcp option60 match命令;
- Option 60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”);
- 接口上配置了ip subscriber dhcp domain include命令。
e. 同时满足如下条件时,使用ip subscriber trust option60命令提取的内容作为认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option60命令;
- 接口上未配置ip subscriber dhcp option60 match命令和ip subscriber dhcp domain include命令;
- Option 60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”)。
对于DHCPv6接入用户,使用Option中的信息作为认证域的原则如下:
f. 同时满足如下条件时,使用和ip subscriber dhcpv6 option16 match命令指定的信任字符串相匹配的Option 16中的字符串作为认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option16命令;
- 接口上配置ip subscriber dhcpv6 option16 match命令并且在Option 16中的指定位置能够匹配到ip subscriber dhcpv6 option16 match命令指定的信任字符串。
g. 同时满足如下条件时,使用ip subscriber trust option16命令提取的内容作为认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option16命令;
- 接口上未配置ip subscriber dhcpv6 option16 match命令或配置了该命令但在Option 16中的指定位置不能匹配到ip subscriber dhcpv6 option16 match命令指定的信任字符串。
- Option 16内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”)。
(3) 使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。(仅适用于DHCP接入用户和未知源IP接入用户)
(4) 使用动态个人接入用户域配置命令中指定的认证域,具体如下:
¡ 对于DHCP接入用户,使用ip subscriber dhcp domain命令指定的非强制认证域;若该域未创建,则用户上线失败。
¡ 对于未知源IP接入用户,使用ip subscriber unclassified-ip domain命令配置的认证域;若该域未创建,则用户上线失败。
¡ 对于IPv6 ND RS接入用户,使用ip subscriber ndrs domain命令指定的认证域;若该域未创建,则用户上线失败。
(5) 使用AAA模块选择的认证域,具体请参见“安全配置指导”中的“AAA”。
关于域名生成规则的介绍,请参见“1.6.3 配置动态个人接入用户的认证用户名的命名规则”。
如果需要使用Option 60/Option 16/Option 17中的信息作为DHCP个人接入用户的认证域,则需要配置接入设备信任DHCPv4 Option 60/DHCPv6 Option 16/DHCPv6 Option 17中的信息,具体配置请参见“1.6.6 配置DHCP个人接入用户的信任Option”。
为使得用户认证成功,请确保按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置动态个人接入用户使用的认证域。
ip subscriber dhcp domain domain-name [ force ]
ip subscriber { ndrs | unclassified-ip } domain domain-name
缺省情况下,未配置动态个人接入用户使用的认证域。
通过配置动态个人会话的最大数目可以控制系统中的动态个人接入用户总数。
如果接口上配置的IPoE最大会话数目小于当前处于在线状态的动态个人会话数目,则该配置可以执行成功,且在线IPoE用户不受影响,但系统将不允许新的IPoE用户接入。
在双栈IPoE组网应用中,建议:
· 对于DHCP接入用户:DHCPv4和DHCPv6,二者配置相同的最大会话数。
· 对于未知源IP接入用户:未知源IPv4和未知源IPv6,二者配置相同的最大会话数。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置动态个人会话的最大数目。
ip subscriber { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 } max-session max-number
缺省情况下,未配置接口上允许创建的动态个人会话的最大数目。
在DHCP中继组网环境中,接入设备可以从用户的DHCP报文中提取出相应的DHCP Option,这些Option中携带了用户接入线路的相关信息,例如接入节点的物理位置、线路速率等。如果接入设备信任DHCP报文中的这些Option,则会使用这些Option中的相关内容来封装发往RADIUS服务器的RADIUS属性,远程RADIUS服务器可结合这些属性对用户进行更为灵活的接入管理。
信任的Option和对应的RADIUS属性对应关系为:
· 若信任DHCPv4 Option 82,则其中的Circuit-ID可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv4 Option 82,则其中的Remote-ID可用来封装DSL_AGENT_REMOTE_ID属性。
· 若信任DHCPv6 Option 18,则Option 18可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv6 Option 37,则Option 37可用来封装DSL_AGENT_REMOTE_ID属性。
缺省情况下,按字符串格式对option82、option18和option37中的circuit-id和remote-id字段进行解析。有关circuit-id和remote-id解析格式的介绍,请参见“1.6.7 配置DHCP Option中circuit-id和remote-id解析格式”。
在DHCP组网环境中,如果接入设备信任DHCPv4 Option 60/DHCPv6 Option 16/DHCPv6 Option 17中的信息,在满足一定的条件时,IPoE用户可以使用Option 60/Option 16/Option 17中的信息作为指定的认证域进行认证。有关认证域的具体选择情况,请参见“1.6.4 配置动态个人接入用户使用的认证域”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任DHCP报文中的指定Option。
ip subscriber trust { option12 | option60 | option77 | option82 | option16 | option17 | option18 | option37 }
缺省情况下,不信任DHCP报文中的任何Option。
同一接口视图下可以多次执行本命令配置信任DHCP报文中不同的Option,但不允许同时配置信任Option 16和Option 17。
为确保IPoE对circuit-id和remote-id中的信息进行正确解析,需要根据下游设备上送上来的circuit-id和remote-id信息的不同格式,通过本功能为其配置相应的解析格式。
仅在通过ip subscriber trust命令配置了信任相应Option的情况下,本功能配置后才生效。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任DHCP报文中的指定Option。
ip subscriber trust { option82 | option18 | option37 }
缺省情况下,不信任DHCP报文中的任何Option。
(4) 配置IPoE对DHCP Option中circuit-id的解析格式。
ip subscriber access-line-id circuit-id trans-format { ascii | hex }
缺省情况下,IPoE对DHCP Option中circuit-id解析格式为字符串格式。
(5) 配置IPoE对DHCP Option中remote-id的解析格式。
ip subscriber access-line-id remote-id trans-format { ascii | hex }
缺省情况下,IPoE对DHCP Option中remote-id的解析格式为字符串格式。
配置信任DHCPv4 Option 60/DHCPv6 Option 16/DHCPv6 Option 17字段中某些字符串,使设备根据匹配规则从Option 60/Option 16/Option 17字段提取出的字符串中是否存在与配置的信任字符串相同的字符串,分别做如下不同的处理:
· 如果从Option 60/Option 16/Option 17字段提取的字符串中存在与配置的信任字符串相同的字符串,则DHCP报文触发IPoE接入认证,并按如下优先顺序选择第一个匹配到的认证域进行认证。
a. 配置了强制认证域的情况下,使用强制认证域进行认证;若该域未创建,则用户上线失败。
b. 配置了信任Option 60/Option 16/Option 17的情况下,如果配置了域名生成规则,则使用根据域名生成规则生成的认证域;如果未配置域名生成规则,则使用配置的信任字符串作为DHCP个人接入用户的认证域。有关域名生成规则的介绍,请参见“1.6.9 配置DHCP个人接入用户的认证域名生成规则”。
c. 未配置信任Option 60/Option 16/Option 17的情况下,认证域的选择请见“1.6.4 配置动态个人接入用户使用的认证域”。
d. 使用AAA模块选择的认证域,具体请参见“安全配置指导”中的“AAA”。
· 如果从Option 60/Option 16/Option 17字段提取的字符串中不存在与配置的信任字符串相同的字符串,则DHCP报文不会触发IPoE接入认证。
如果需要使用ip subscriber dhcp option60 match/ip subscriber dhcpv6 { option16 | option17 } match命令匹配到的字符串作为认证域,必须配置信任Option 60/Option 16/Option 17。有关信任Option 60/Option 16/Option 17的具体配置请参见“1.6.6 配置DHCP个人接入用户的信任Option”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置DHCPv4个人接入用户的信任认证域。
ip subscriber dhcp option60 match string [ offset offset ] [ length length ]
缺省情况下,未配置DHCPv4个人接入用户的信任认证域。
(4) 配置DHCPv6个人接入用户的信任认证域。
ip subscriber dhcpv6 { option16 | option17 } match string [ offset offset ] [ length length ]
缺省情况下,未配置DHCPv6个人接入用户的信任认证域。
在一些组网环境中,需要把接入信息和option60的字符拼接后作为认证域来认证。例如:用户A和用户B属于不同的VLAN,但拥有相同的Option60,并通过同一接入接口上线。现要求将用户A和用户B划分到不同的认证域,并根据不同的认证域授权不同的地址池。此时可通过本特性配置VLAN信息参与域名生成,即通过Option60+VLAN组合方式生成不同的域名。
在DHCP接入用户使用Option60中的信息作为认证域的情况下,如果配置了本特性,则配置的参数将参与域名的生成,最终的域名生成规则为:Option60中的作为认证域的字段+命令配置的参数信息。在配置了信任Option60的情况下,Option60中参与域名生成字段的选取规则如下:
· 如果配置了ip subscriber dhcp option60 match命令,并且在Option 60中的指定位置能够匹配到指定的信任字符串,则使用匹配的信任字符串参与域名生成。如果不能匹配到指定的信任字符串,则忽略Option60内容,不会使用Option60内容作为认证域(即按报文未携带option60选项的情况选择认证域)。
· 如果未配置ip subscriber dhcp option60 match命令,则使用ip subscriber trust option60命令提取的内容参与域名生成。
如果需要使用ip subscriber dhcp domain include命令生成认证域名,必须配置信任Option 60。有关信任Option 60的具体配置请参见“1.6.8 配置DHCP个人接入用户的信任认证域”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任DHCP报文中Option60。
ip subscriber trust option60
缺省情况下,不信任DHCP报文中的任何Option。
(4) 配置DHCPv4个人接入用户的信任认证域。
ip subscriber dhcp option60 match string [ offset offset ] [ length length ]
缺省情况下,未配置DHCPv4个人接入用户的信任认证域。
(5) 配置DHCPv4个人接入用户的认证域名生成规则。
ip subscriber dhcp domain include vendor-class [ separator separator ] { second-vlan [ separator separator ] | string string [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,未配置DHCPv4个人接入用户的认证域名生成规则。
因用户接入接口所在Slot重启、接入接口Down、用户在线探测超时或误操作(例如执行cut access-user命令误删)等原因导致在线IPoE用户的会话被删除时,对于DHCP用户,因无法感知接入设备上的故障或误操作,不会再次发送DHCP报文触发上线,导致接入设备无法为其重新生成DHCP类型的IPoE会话。为解决这类问题,IPoE允许DHCP个人接入用户异常下线后通过报文重新触发上线。
DHCP个人接入用户异常下线后通过报文重新触发上线,是指设备通过对异常下线的DHCP用户信息进行记录,当收到异常下线DHCP用户的IP、ARP或NS/NA报文时,根据DHCP异常下线记录表项恢复该用户的IPoE会话。
本功能主要用于在设备不重启的情况下,用来恢复异常下线DHCP用户的IPoE会话信息。
当接口收到用户IP或ARP报文时,如果该报文可以同时匹配静态IPoE会话和DHCP异常下线记录表项,则按静态IPoE会话方式上线。
为保证用户DHCP接入用户异常下线后可以通过报文重新触发上线,需要注意:
· 用户认证域或AAA服务器中需要授权相应的IP地址池。
· 在IPv6组网中,必须在DHCPv6服务器上执行ipv6 dhcp server allow-hint命令开启服务器支持期望地址/前缀分配功能。有关该命令的介绍,请参见“三层技术-IP业务命令参考”中的“DHCPv6”。
需要注意的是,以下任何一种情况都会清除对应接口的异常下线记录表项:
· 接口上关闭IPoE功能。
· 接口所在slot、subslot被拔出或重启。
· 用户上线的全局接口或子接口被删除。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启未知源IP报文触发生成IPoE会话功能或ARP报文触发用户上线功能。请至少选择其中一项进行配置。
¡ 开启未知源IP报文触发生成IPoE会话功能。
ip subscriber initiator unclassified-ip enable [ matching-user ]
缺省情况下,未知源IP报文触发生成IPoE会话功能处于关闭状态。
¡ 开启ARP报文触发用户上线功能。
ip subscriber initiator arp enable
缺省情况下,ARP报文触发用户上线功能处于关闭状态。
(4) 开启IPv6未知源IP报文触发生成IPoE会话功能或NS/NA报文触发用户上线功能。请至少选择其中一项进行配置。
¡ 开启未知源IP报文触发生成IPoE会话功能。
ip subscriber initiator unclassified-ipv6 enable [ matching-user ]
缺省情况下,IPv6未知源IP报文触发生成IPoE会话功能处于关闭状态。
¡ 开启NS/NA报文触发用户上线功能。
ip subscriber initiator nsna enable
缺省情况下,NS/NA报文触发用户上线功能处于关闭状态。
(5) (可选)配置异常下线用户再次触发上线时租约到期时间为异常下线前的时间。
ip subscriber lease-end-time original
缺省情况下,异常下线用户再次触发上线时租约到期重新开始计算。
因系统重启导致在线IPoE用户的会话被删除时,待系统重启后,对于DHCP用户,因无法感知接入设备的重启,不会再次发送DHCP报文触发上线,导致接入设备无法为其重新生成DHCP类型的IPoE会话。为解决这类问题,IPoE支持用户采用松散模式上线。
采松散模式上线,是指系统重启后,允许IPoE用户在指定的loose-time/all-time时长内,通过IP、ARP或NS/NA报文触发上线生成DHCP类型的IPoE会话。
本功能主要用于在设备异常重启的情况下,在指定时间内,用来恢复异常下线DHCP用户的IPoE会话信息。
在系统重启后的设置时长内,当接口收到用户IP、ARP或NS/NA报文时,按如下先后顺序上线:
· 如果该报文可以匹配静态IPoE会话,则按静态IPoE会话方式上线。
· 如果该报文可以匹配DHCP异常下线记录表项,则按异常下线记录重新上线。
· 采用松散模式上线。
对于IPoE DHCP用户,仅在同时满足下列条件时,才支持用户采用松散模式上线:
· 接入接口上配置了二层接入模式。
· 通过认证域或AAA服务器为用户授权了IP地址池。
· 在IPv6组网中,必须在DHCPv6服务器上执行ipv6 dhcp server allow-hint命令开启服务器支持期望地址/前缀分配功能。有关该命令的介绍,请参见“三层技术-IP业务命令参考”中的“DHCPv6”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启未知源IP报文触发生成IPoE会话功能或ARP报文触发用户上线功能。请至少选择其中一项进行配置。
¡ 开启未知源IP报文触发生成IPoE会话功能。
ip subscriber initiator unclassified-ip enable [ matching-user ]
缺省情况下,未知源IP报文触发生成IPoE会话功能处于关闭状态。
¡ 开启ARP报文触发用户上线功能。
ip subscriber initiator arp enable
缺省情况下,ARP报文触发用户上线功能处于关闭状态。
(4) 开启IPv6未知源IP报文触发生成IPoE会话功能或NS/NA报文触发用户上线功能。请至少选择其中一项进行配置。
¡ 开启未知源IP报文触发生成IPoE会话功能。
ip subscriber initiator unclassified-ipv6 enable [ matching-user ]
缺省情况下,IPv6未知源IP报文触发生成IPoE会话功能处于关闭状态。
¡ 开启NS/NA报文触发用户上线功能。
ip subscriber initiator nsna enable
缺省情况下,NS/NA报文触发用户上线功能处于关闭状态。
(5) 回退系统视图
quit
(6) 配置松散模式上线功能。
ip subscriber access-trigger loose { loose-time | all-time }
在IPoE DHCP用户接入场景中,设备或用户接入接口所在Slot重启、接入接口Down等故障会导致用户异常下线及用户信息丢失。如果用户未能感知到此故障,待故障恢复后,用户不会重新发送DHCP报文触发上线,这种情况下接入设备将无法恢复异常下线用户的信息。为解决这类问题,设备支持IPoE DHCP用户信息的自动备份功能。
IPoE DHCP用户信息的自动备份功能,是指在用户上线后设备自动对用户信息进行备份,如果出现故障且故障恢复后,设备再根据备份信息自动恢复异常下线用户的上线信息。
设备重启时,因设备重启后,保存在内存中的备份用户信息会丢失,导致设备无法根据内存中的备份信息恢复异常下线用户的上线信息。针对设备重启的情况,设备支持将内存中的信息保存到指定文件中,待设备重启后再从备份文件恢复用户信息到内存中。根据备份和恢复的方式不同,自动备份功能分为如下两种:
· 手动备份和恢复
在计划设备重启前,需要先执行ip subscriber dhcp save-file命令将内存中的备份信息保存一份到指定文件中。待设备重启后,再执行ip subscriber dhcp recover-file命令将文件中的备份信息重新恢复到内存中,设备将会根据内存中的备份用户信息恢复异常下线用户的上线信息。
· 定时自动备份和恢复:
系统按照指定的备份间隔周期性将设备内存中用户信息保存到处于系统根目录下的备份文件中,并且在设备整机重启后,设备将自行从定时备份所指定备份信息中恢复用户信息。
相比于手动备份功能,自动定时备份功能避免了由于设备随机性的故障而错过手动备份导致用户信息丢失的情况。
本功能主要用于在计划内重启设备或接入接口Down等故障的情况下,用来恢复异常下线DHCP用户的IPoE会话信息。
为了实现IPoE DHCP用户信息的自动备份功能,除了需要在系统视图下执行ip subscriber dhcp auto-save max-user命令,还需要在用户所属ISP域视图下执行access-user dhcp auto-save enable命令,否则自动备份功能不生效。
当各ISP域下需要备份的IPoE DHCP用户数量之和超过配置的允许自动备份的最大用户数max-user时,超出数量的用户信息将不会被保存。
为避免设备频繁对存储介质进行读写,建议适当选择定时自动备份周期。
在开启定时自动备份功能后,用户不可以通过手动自动备份命令ip subscriber dhcp save-file来更新定时自动备份文件。
(1) 进入系统视图。
system-view
(2) 在IPoE DHCP用户所属ISP下开启DHCP用户自动备份功能。
进入ISP视图。
domain name isp-name
开启DHCP用户自动备份功能。
access-user dhcp auto-save enable
缺省情况下,DHCP用户自动备份功能处于关闭状态。
关于该命令的详细介绍,请参见“安全命令参考”中的“AAA”。
(3) 回退系统视图
quit
(4) 开启IPoE DHCP用户信息的自动备份功能,并配置允许自动备份的最大用户数。
ip subscriber dhcp auto-save max-user max-user
缺省情况下,IPoE DHCP用户信息的自动备份功能处于关闭状态。
(5) 开启IPoE DHCP用户的自动恢复功能
ip subscriber dhcp auto-recover enable
缺省情况下,IPoE DHCP用户的自动恢复功能处于关闭状态。
仅在开启了IPoE DHCP用户的自动恢复功能时,当故障恢复后,设备才会根据备份信息自动恢复异常下线用户的上线信息。
(6) (可选)配置IPoE DHCP用户自动恢复上线的速率模式。
ip subscriber dhcp auto-recover speed { fast | normal | slow } [ recover-delay delay-time ]
缺省情况下,IPoE DHCP用户自动恢复上线的速率为normal,延迟恢复时间为5秒。
如果设备出现故障,则故障恢复后设备不会立即启动恢复操作,而是在延迟指定的delay-time时间后,再根据速率模式启动恢复操作。需要注意:
¡ 在fast模式下,设备会以较高的速率恢复用户的上线信息,在恢复期间会对设备的处理性能有一定的影响,请根据需要选择该模式。
¡ 在故障恢复后,为避免因网络还未完成收敛(例如OSPF邻居还未达到FULL状态)等原因导致恢复操作失败,请根据网络实际情况合理配置恢复延迟时间。
(7) 进入接口视图。
interface interface-type interface-number
(8) (可选)配置自动备份用户下线后再次触发上线后的租约到期时间为自动备份表项记录的租约时间。
ip subscriber lease-end-time original
缺省情况下,自动备份用户下线后再次触发上线后的租约到期时间重新开始计算。
(9) 回退系统视图
Quit
(10) 配置将用户信息保持到指定文件。请至少选择其中一项进行配置。
¡ 配置手动保存。
将内存中的备份用户信息保存到指定文件。
ip subscriber dhcp save-file filename
缺省情况下,内存中的备份用户信息不会保存到文件中。
将指定文件中保存的备份信息恢复到内存中。
ip subscriber dhcp recover-file filename
缺省情况下,文件中的备份用户信息不会恢复到内存中。
¡ 配置定时自动保存。
开启IPoE DHCP用户信息自动定时备份功能。
ip subscriber dhcp auto-save-file file-name interval interval
缺省情况下,IPoE DHCP用户信息自动定时备份功能处于关闭状态。
定时自动备份功能的自动恢复功能,仅适用于设备整机重启的情况。
(可选)立即保存IPoE DHCP 用户信息到定时自动备份功能所指定的备份文件中。
ip subscriber dhcp auto-save-file update now
在开启IPoE DHCP用户信息的定时自动备份功能的情况下,如果配置的自动备份周期时间间隔较长,在计划内重启设备前,为避免用户信息丢失,可以通过本命令立即执行一次备份操作,把当前最新的备份用户信息保存到定时自动备份所指定的备份文件中。
如图1-1所示,CPE支持通过NDRA和IA_PD两种方式分别向BRAS申请ND前缀和PD前缀。其中:
· NDRA:CPE主动向BRAS发送ND RS报文,BRAS通过ND RA报文给CPE WAN口分配ND前缀,用于CPE WAN口生成IPv6全球单播地址,该地址可被用于远程管理CPE设备。
· IA_PD:CPE主动向BRAS发送DHCPv6请求报文,BRAS通过DHCPv6(IA_PD)协议给CPE分配PD前缀;CPE将获取到PD前缀通过无状态方式分配给下连的主机,用于主机生成IPv6全球单播地址。
图1-1 NDRA+DHCPv6(IA_PD)方式地址分配组网示意图
在上述组网中,对于同一个CPE下连的Host,如果该CPE未能成功通过IA_PD方式上线,那么这些Host就无法生成IPv6全球单播地址,不能访问网络资源。这种情况下,即使CPE通过NDRA方式成功上线,对Host用户也没有实际意义,同时,维护CPE的NDRS用户表项还会占用BRAS的系统资源。基于上述原因,建议在NDRA+DHCPv6(IA_PD)组网中,通过本命令配置仅在用户以IA_PD方式成功上线的情况下,才允许以NDRS方式上线。
在非NDRA+DHCPv6(IA_PD)组网中,请不要配置本功能,否则会导致用户不能以NDRS方式上线。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 在接口上配置用户以IA_PD方式成功上线后,才允许以NDRS方式上线。
ip subscriber ndrs wait-delegation-prefix
缺省情况下,接口上不限制用户以IA_PD方式和NDRS方式上线的先后顺序。
在大量DHCP用户同时上线的情况下,通过开启本功能可以避免大量DHCP报文导致的拥塞,保证用户正常上线。
开启DHCPv4报文限速功能后,当设备上收到的DHCPv4报文(包括Discover报文和未经认证用户的Request报文)速率超过用户设定的限速值时,该报文会被丢弃。
开启DHCPv6报文限速功能后,当设备上收到的DHCPv6报文(包括Solicit报文和未经认证用户的Request报文)速率超过用户设定的限速值时,该报文会被丢弃。
(1) 进入系统视图。
system-view
(2) 开启DHCP接入用户的DHCPv4报文限速功能。
ip subscriber dhcp rate-limit rate
缺省情况下,DHCP接入用户的DHCPv4报文限速功能处于关闭状态。
多次执行本命令,最后一次执行的命令生效。
(3) 开启DHCP接入用户的DHCPv6报文限速功能。
ip subscriber dhcpv6 rate-limit rate
缺省情况下,DHCP接入用户的DHCPv6报文限速功能处于关闭状态。
多次执行本命令,最后一次执行的命令生效。
接口上开启了IPoE接入用户在线探测功能后,设备在用户上线之后将定时发送探测报文,如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户的报文),则认为此用户不在线,停止发送探测报文并删除用户。
若设备在探测过程中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
设备支持的IPv4探测报文为ARP请求报文和ICMP请求报文,支持的IPv6探测报文为ND协议中的NS报文和ICMPv6请求报文。
本探测功能当前仅支持对个人接入用户和二层接入模式下的专线子用户进行探测。
双协议栈用户统一计费时,以IPv4上行流量和IPv6上行流量统一汇总后的总上行流量作为上行流量是否有更新的判断依据。
探测报文的源IP地址,必须和探测的目的IP地址属于同一个VPN实例或均处于公网中,否则探测功能不可用。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPv4接入用户在线探测功能。
ip subscriber user-detect ip { arp | icmp } retry retries interval interval [ no-datacheck ]
缺省情况下,对于专线子用户,在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后都会发送探测报文对用户进行在线探测;对于其它用户,在一个探测的时间间隔内,如果用户上行流量有更新则不发送探测报文,否则,发送ARP请求报文对IPv4接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒。
对于专线子用户配置no-datacheck不生效。
(4) 开启IPv6接入用户在线探测功能。
ip subscriber user-detect ipv6 { icmp | nd } retry retries interval interval [ no-datacheck ]
缺省情况下,对于专线子用户,在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后都会发送探测报文对用户进行在线探测;对于其它用户,在一个探测的时间间隔内,如果用户上行流量有更新则不发送探测报文,否则,发送ND协议中的NS报文对IPv6接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒。
对于专线子用户配置no-datacheck不生效。
配置IPoE用户接入响应延迟时间后,系统将按照配置的时间对IPoE用户的上线请求进行延迟响应。
可分别为奇数MAC和偶数MAC配置不同的响应延迟时间。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPoE用户接入响应延迟时间。
ip subscriber access-delay delay-time [ even-mac | odd-mac ]
缺省情况下,对IPoE用户接入响应不延迟。
如果先配置了携带even-mac(或odd-mac)参数的本命令,再配置未携带任何参数的本命令,则后者会覆盖前者,反之亦然。
配置禁止IPoE用户上线功能后,当设备收到IPoE用户的上线请求报文后会将其直接丢弃,以阻止新的IPoE用户上线。
本功能配置后,仅对新接入的IPoE用户生效,对当前已经存在用户无影响。
(1) 进入系统视图。
system-view
(2) 配置IPoE禁止用户上线。
ip subscriber access-block [ interface interface-type interface-number | slot slot-number ]
缺省情况下,允许IPoE用户上线。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IPoE的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IPoE统计信息。
表1-1 IPoE显示和维护
操作 |
命令 |
显示异常下线DHCP接入用户的信息 |
display ip subscriber abnormal-logout [ interface interface-type interface-number ] [ { mac mac-address | ip-type { ipv4 | ipv6 } } * | { ip ipv4-address | ipv6 ipv6-address } ] [ verbose ] [ slot slot-number ] |
显示自动备份的IPoE DHCP用户信息 |
display ip subscriber dhcp auto-save { mac-address mac-address [ interface interface-type interface-number [ s-vlan s-vlan [ c-vlan c-vlan ] ] ] | online | wait-recover } [ slot slot-number ] |
显示自动备份的DHCP用户的统计信息 |
display ip subscriber dhcp auto-save statistics [ slot slot-number ] |
清除异常下线DHCP接入用户的信息 |
reset ip subscriber abnormal-logout [ interface interface-type interface-number ] |
清除有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息 |
reset ip subscriber chasten user auth-failed [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address ] |
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分配IPv4地址。
· 采用RADIUS作为认证、授权和计费服务器。
· DHCP client异常下线后通过IPv4报文重新触发上线。
图1-2 DHCPv4报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] ip pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-ip-pool-pool1] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-ip-pool-pool1] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-ip-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-ip-pool-pool1] quit
# 通过配置静态路由,将目的地址为3.3.3.0/24网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 配置接口GigabitEthernet3/1/2工作在中继代理模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] dhcp-proxy enable
[Device–GigabitEthernet3/1/2] quit
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将3.3.3.1设置为禁止地址,并指定远端BAS IP地址池对应的DHCP服务器地址。
[Device] ip pool pool1 bas remote
[Device-ip-pool-pool1] gateway 3.3.3.1 24
[Device-ip-pool-pool1] forbidden-ip 3.3.3.1
[Device-ip-pool-pool1] remote-server 4.4.4.3
[Device-ip-pool-pool1] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权远端BAS IP地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ip-pool pool1
[Device-isp-dm1] quit
e. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启未知源IP报文触发方式,允许DHCP client异常下线后通过IPv4报文重新触发上线。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3.3.3.2。
[Device] display access-user interface gigabitethernet 3/1/2
UserID Interface IP address MAC address S-/C-VLAN
Username IPv6 address Access type
0x5c GE3/1/2 3.3.3.2 000c-29a6-b656 -/-
000c29a6b656 - L2 IPoE dynamic
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用IP地址池组下地址池为用户分配IPv4地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-3 DHCPv4报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
000c29a6b657 Cleartext-Password :="radius"
以上信息表示:添加用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius等多个用户。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool2地址池并进入其视图。
[DHCP-server] ip pool pool2
# 配置地址池动态分配的IP地址网段2.2.2.0/24。
[DHCP-server-ip-pool-pool2] network 2.2.2.0 24
# 配置为用户分配的网关地址为2.2.2.1。
[DHCP-server-ip-pool-pool2] gateway-list 2.2.2.1
# 将2.2.2.1设置为禁止地址。
[DHCP-server-ip-pool-pool2] forbidden-ip 2.2.2.1
[DHCP-server-ip-pool-pool2] quit
# 通过配置静态路由,将目的地址为2.2.2.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 2.2.2.0 24 4.4.4.2
# 创建名称为pool3地址池并进入其视图。
[DHCP-server] ip pool pool3
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-ip-pool-pool3] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-ip-pool-pool3] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-ip-pool-pool3] forbidden-ip 3.3.3.1
[DHCP-server-ip-pool-pool3] quit
# 通过配置静态路由,将目的地址为3.3.3.0/24网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 配置接口GigabitEthernet3/1/2工作在中继代理模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] dhcp-proxy enable
[Device–GigabitEthernet3/1/2] quit
# 创建本地BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址。
[Device] ip pool pool1 bas local
[Device-ip-pool-pool1] gateway 1.1.1.1 24
# 将1.1.1.1设置为禁止地址。
[Device-ip-pool-pool1] forbidden-ip 1.1.1.1
[Device-ip-pool-pool1] quit
# 创建远端BAS IP地址池pool2,指定匹配该地址池的DHCPv4客户端所在的网段地址,将2.2.2.1设置为禁止地址,并指定远端BAS IP地址池对应的DHCP服务器地址。
[Device] ip pool pool2 bas remote
[Device-ip-pool-pool2] gateway 2.2.2.1 24
[Device-ip-pool-pool2] forbidden-ip 2.2.2.1
[Device-ip-pool-pool2] remote-server 4.4.4.3
[Device-ip-pool-pool2] quit
# 创建远端BAS IP地址池pool3,指定匹配该地址池的DHCPv4客户端所在的网段地址,将3.3.3.1设置为禁止地址,并指定远端BAS IP地址池对应的DHCP服务器地址。
[Device] ip pool pool3 bas remote
[Device-ip-pool-pool3] gateway 3.3.3.1 24
[Device-ip-pool-pool3] forbidden-ip 3.3.3.1
[Device-ip-pool-pool3] remote-server 4.4.4.3
[Device-ip-pool-pool3] quit
# 创建IP地址池组poolgroup1,并将本地BAS IP地址池pool1、远端BAS IP地址池pool2和pool3加入到IP地址池组中。
[Device] ip pool-group poolgroup1
[Device -ip-pool-group-poolgroup1] pool pool1
[Device -ip-pool-group-poolgroup1] pool pool2
[Device -ip-pool-group-poolgroup1] pool pool3
[Device -ip-pool-group-poolgroup1] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权IP地址池组。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ip-pool-group poolgroup1
[Device-isp-dm1] quit
e. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 先上线253个用户后,显示DHCP本地地址池pool1的统计信息。
[Device] display dhcp server statistics pool pool1
Total IP addresses: 254
Free IP addresses: 0
Used: 253
Pool utilization: 100.00%
Bindings:
Automatic: 253
Manual: 0
Expired: 0
Conflicts: 0
以上信息说明,DHCP本地地址池pool1的地址利用率为100%,已无可分配的IP地址。
如果再有新用户上线,设备将使用远端BAS IP地址池pool2关联的DHCP服务器上的地址资源为新上线用户分配地址。
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分配IPv6地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-4 DHCPv6报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4::2/64 {
ipaddr6 = 4::2
netmask=64
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4::2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
# 创建名称为pool1的IPv6地址池并进入其视图。
<DHCP-server> system-view
[DHCP-server] ipv6 pool pool1
# 配置地址池动态分配的IPv6地址网段3::0/64,DNS服务器地址为8::8。
[DHCP-server-ipv6-pool-pool1] network 3::0/64
[DHCP-server-ipv6-pool-pool1] dns-server 8::8
[DHCP-server-ipv6-pool-pool1] quit
# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[DHCP-server] interface gigabitethernet 3/1/1
[DHCP-server-GigabitEthernet3/1/1] ipv6 dhcp select server
[DHCP-server-GigabitEthernet3/1/1] quit
# 通过配置静态路由,将目的地址为3::0/64网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2。
[DHCP-server] ipv6 route-static 3::0 64 4::2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置DHCP relay
# 创建IPv6远端地址池pool1,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定IPv6远端地址池对应的DHCP服务器地址。
<Device> system-view
[Device] ipv6 pool pool1
[Device-ipv6-pool-pool1] gateway-list 3::1
[Device-ipv6-pool-pool1] network 3::0/64
[Device-ipv6-pool-pool1] remote-server 4::3
[Device-ipv6-pool-pool1] quit
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继模式。
[Device–GigabitEthernet3/1/2] ipv6 dhcp select relay
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag
[Device–GigabitEthernet3/1/2] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication ipv6 4::1
[Device-radius-rs1] primary accounting ipv6 4::1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权IPv6远端地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ipv6-pool pool1
[Device-isp-dm1] quit
e. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv6地址为3::2。
[Device] display access-user interface gigabitethernet 3/1/2
UserID Interface IP address MAC address S-/C-VLAN
Username IPv6 address Access type
0x2c2 GE3/1/2 - 000c-29a6-b656 -/-
000c29a6b656 3::2 L2 IPoE dynamic
CPE支持通过NDRA和IA_PD两种方式分别向BRAS申请ND前缀和PD前缀。其中:
· NDRA:CPE主动向BRAS发送ND RS报文,BRAS通过ND RA报文给CPE WAN口分配ND前缀,用于CPE WAN口生成IPv6全球单播地址,该地址可被用于远程管理CPE设备。
· IA_PD:CPE主动向BRAS发送DHCPv6请求报文,BRAS通过DHCPv6(IA_PD)协议给CPE分配PD前缀;CPE将获取到PD前缀通过无状态方式分配给下连的主机,用于主机生成IPv6全球单播地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-5 IPv6 ND RS+DHCPv6(IA_PD)报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
6a4c310a0207 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址6a4c310a0207,用户密码为字符串radius。
(2) 配置RouterB
a. 配置各接口的IP地址(略)。
b. 取消对接口GigabitEthernet3/1/2发布IPv6 ND RA消息的抑制。
<RouterB> system-view
[RouterB] interface gigabitethernet 3/1/2
[RouterB–GigabitEthernet3/1/2] undo ipv6 nd ra halt
c. 配置接口GigabitEthernet3/1/2自动生成IPv6链路本地地址。
[RouterB–GigabitEthernet3/1/2] ipv6 address auto link-local
d. # 配置接口GigabitEthernet3/1/2工作在DHCPv6服务器模式。
[RouterB–GigabitEthernet3/1/2] ipv6 dhcp select server
[RouterB–GigabitEthernet3/1/2] quit
e. 配置DHCP服务器
# 创建名称为1的前缀地址池,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[RouterB] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为nd的DHCPv6地址池,并引用前缀池1。
[RouterB] ipv6 pool nd
[RouterB-ipv6-pool-nd] prefix-pool 1
[RouterB-ipv6-pool-nd] quit
# 创建名称为2的前缀地址池,包含的前缀为20::/32,分配的前缀长度为64,即前缀池2包含20::/64~20:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[RouterB] ipv6 dhcp prefix-pool 2 prefix 20::/32 assign-len 64
# 创建名称为pd的DHCPv6地址池,并引用前缀池2。
[RouterB] ipv6 pool pd
[RouterB-ipv6-pool-pd] prefix-pool 2
[RouterB-ipv6-pool-pd] quit
f. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[RouterB] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[RouterB-radius-rs1] primary authentication 4.4.4.1
[RouterB-radius-rs1] primary accounting 4.4.4.1
[RouterB-radius-rs1] key authentication simple radius
[RouterB-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[RouterB-radius-rs1] user-name-format without-domain
[RouterB-radius-rs1] quit
g. 配置认证域
# 创建并进入名称为dm1的ISP域。
[RouterB] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,为用户授权PD前缀池为pd,ND前缀池为nd。
[RouterB-isp-dm1] authentication ipoe radius-scheme rs1
[RouterB-isp-dm1] authorization ipoe radius-scheme rs1
[RouterB-isp-dm1] accounting ipoe radius-scheme rs1
[RouterB-isp-dm1] authorization-attribute ipv6-pool pd
[RouterB-isp-dm1] authorization-attribute ipv6-nd-prefix-pool nd
[RouterB-isp-dm1] quit
h. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[RouterB] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[RouterB–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启IPv6 NDRS报文触发方式。
[RouterB–GigabitEthernet3/1/2] ip subscriber initiator ndrs enable
# 设置IPv6 DHCP报文触发方式使用的认证域为dm1。
[RouterB–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置IPv6 NDRS报文触发方式使用的认证域为dm1。
[RouterB–GigabitEthernet3/1/2] ip subscriber ndrs domain dm1
# 设置用户以IA_PD方式成功上线后,才允许以NDRS方式上线
[RouterB–GigabitEthernet3/1/2] ip subscriber ndrs wait-delegation-prefix
# 设置动态用户的认证密码为明文radius。
[RouterB–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[RouterB–GigabitEthernet3/1/2] quit
(3) 配置RouterA
a. 配置接口GigabitEthernet3/1/1的开启无状态地址自动配置功能,使接口通过无状态自动配置方式生成全球单播地址
[RouterA] interface gigabitethernet 3/1/1
[RouterA–GigabitEthernet3/1/1] ipv6 address auto
b. # 配置接口GigabitEthernet3/1/1作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA–GigabitEthernet3/1/1] ipv6 dhcp client pd 1
c. # 在接口GigabitEthernet3/1/2上取消对RA消息发布的抑制。
[RouterA] interface gigabitethernet 3/1/2
[RouterA-GigabitEthernet3/1/2] undo ipv6 nd ra halt
d. # 在接口GigabitEthernet3/1/2上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成IPv6地址,并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-GigabitEthernet3/1/2] ipv6 address 1 123::123:1:1/64
[RouterA-GigabitEthernet3/1/2] quit
# 客户端触发NDRS+IAPD报文,用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的nd前缀为10::,pd前缀为20::/64。
[RouterB] display access-user verbose
Basic:
Description: N/A
User ID: 0x1d
Username: 6a4c310a0207
Authorization domain : dm1
Authentication domain: dm1
Interface: GE3/1/2
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 6a4c-310a-0207
IP address: -
IP pool: -
Primary DNS server: -
Secondary DNS server: -
IPv6 address: 10::684C:31FF:FE0A:207
IPv6 pool: pd
Primary IPv6 DNS server: -
Secondary IPv6 DNS server: -
IPv6 PD prefix: 20::/64
IPv6 ND prefix: 10::/64
……略
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分别分配IPv4和IPv6地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-6 DHCP报文触发IPoE接入配置组网图
此例假设用户通过DHCP方式申请时,DHCP报文中并未携带option60选项。
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
¡ 配置IP地址池
# 开启DHCP服务。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool1的IP地址池并进入其视图。
[DHCP-server] ip pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-ip-pool-pool1] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-ip-pool-pool1] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-ip-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-ip-pool-pool1] quit
# 通过配置静态路由,将目的地址为3.3.3.0/24网段的DHCPv4应答报文的下一跳指定为连接DHCPv4客户端网络的接口IPv4地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
¡ 配置IPv6地址池
# 创建名称为pool2的IPv6地址池并进入其视图。
[DHCP-server] ipv6 pool pool2
# 配置地址池动态分配的IPv6地址网段3::0/64。
[DHCP-server-ipv6-pool-pool2] network 3::0/64
[DHCP-server-ipv6-pool-pool2] quit
# 将3::1设置为禁止地址。
[DHCP-server] ipv6 dhcp server forbidden-address 3::1
# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[DHCP-server] interface gigabitethernet 3/1/1
[DHCP-server-GigabitEthernet3/1/1] ipv6 dhcp select server
[DHCP-server-GigabitEthernet3/1/1] quit
# 通过配置静态路由,将目的地址为3::0/64网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2。
[DHCP-server] ipv6 route-static 3::0 64 4::2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置DHCP relay
# 开启DHCP服务。
<Device> system-view
[Device] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将3.3.3.1设置为禁止地址,并指定远端BAS IP地址池对应的DHCP服务器地址。
[Device] ip pool pool1 bas remote
[Device-ip-pool-pool1] gateway 3.3.3.1 24
[Device-ip-pool-pool1] forbidden-ip 3.3.3.1
[Device-ip-pool-pool1] remote-server 4.4.4.3
[Device-ip-pool-pool1] quit
# 创建IPv6远端地址池pool2,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定IPv6远端地址池对应的DHCP服务器地址。
[Device] ipv6 pool pool2
[Device-ipv6-pool-pool2] gateway-list 3::1
[Device-ipv6-pool-pool2] network 3::0/64
[Device-ipv6-pool-pool2] remote-server 4::3
[Device-ipv6-pool-pool2] quit
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继代理模式。
[Device–GigabitEthernet3/1/2] dhcp-proxy enable
[Device–GigabitEthernet3/1/2] ipv6 dhcp select relay
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag
[Device–GigabitEthernet3/1/2] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权中继地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ip-pool pool1
[Device-isp-dm1] authorization-attribute ipv6-pool pool2
[Device-isp-dm1] quit
e. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv4地址为3.3.3.2,IPv6地址为3::2。
[Device] display access-user interface gigabitethernet 3/1/2
UserID Interface IP address MAC address S-/C-VLAN
Username IPv6 address Access type
0x2c2 GE3/1/2 3.3.3.2 000c-29a6-b656 -/-
000c29a6b656 3::2 L2 IPoE dynamic
网络连接正常且接口上的IPoE配置正确的情况下,某些DHCP客户端无法正常进行认证。
· 当DHCP客户端发送的报文里携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16和Option 17)时,若该Option内容对应的ISP域在接入设备上未创建,则无法使用该域进行认证。
· 当接口上指定了IPoE用户认证时使用的ISP域,且DHCP客户端发送的报文里未携带指定的Option时,若接口上指定的ISP域在接入设备上未创建,则无法进行认证。
通过调试信息或抓包工具查看DHCP客户端报文中是否携带Client-ID Option:
(1) 若报文中携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16和Option 17),则查看其内容,并在接入设备上配置与之同名的ISP域。
(2) 若报文中未携带指定的Option,则查看接口上是否指定了ISP域。若指定了ISP域,则在接入设备上配置与之同名的ISP域。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!