- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
16-UCM配置
本章节下载: 16-UCM配置 (256.99 KB)
目 录
UCM(User Connection Management,用户连接管理)是一个统一用户管理组件,用于对各类接入用户的连接进行集中管理,可实现简化用户管理和运维的目的。
如图1-1所示,接入用户认证上线过程中会涉及到5大功能组件。其中UCM组件是其余四个组件之间的桥梁,负责协调各组件间的交互关系并协助完成用户连接的建立、维护和拆除等功能。
图1-1 UCM基本功能结构示意图
本章内容仅介绍各组件的基本功能,各组件详细功能的介绍,请参见相关组件模块手册。
各组件基本功能如下:
· 用户接入识别组件
负责识别和处理用户的各种接入协议报文,并在用户认证过程中获取用户的用户名、密码及物理位置等信息,从而为实现合法用户接入提供信息依据和安全保障。
· UCM组件
是其他四个组件之间的桥梁,负责协调用户接入识别、AAA管理、地址管理等组间之间的交互关系,并协助完成用户连接的建立、维护和拆除等功能。
· AAA组件
负责对用户进行认证、授权和计费。
· 地址管理组件
负责为接入用户分配IP地址,并通过对用户IP地址的统一管理来确保IP地址资源等到合理使用。
· 业务控制组件
负责对用户接入的基本业务和增值业务的访问权限、带宽和QoS策略等进行控制。
根据用户的应用场景不同,UCM可管理用户可分为如下两类:
· 设备管理类用户:用于登录设备,对设备进行配置和监控。此类用户可以提供FTP、HTTP、HTTPS、Telnet、SSH、Terminal和PAD服务。
· 网络接入类用户:用于通过设备接入网络,访问网络资源。此类用户可以提供IPoE、IKE服务。其中,IPoE统称为BRAS特性(Broadband Remote Access Server,宽带远程接入服务器)。
本章内容仅介绍用户接入认证的基本流程,各协议详细接入认证流程的介绍,请参见相关协议模块手册。
(1) 获取认证信息
接入识别组件收到用户终端发出的连接请求报文后,从报文中提取用户名、密码及物理位置等信息,将信息发送给UCM组件要求认证。
(2) 请求认证
UCM组件根据接入限制等条件判断是否允许用户接入。如果允许,则将认证信息转发给AAA组件。
(3) 认证和授权
AAA组件根据AAA方案进行认证和授权,并将认证结果及授权信息返回给UCM组件。
(4) 请求分配IP地址
如果认证成功,UCM组件向地址管理组件申请IP地址。
(5) 分配IP地址
地址管理组件根据用户信息,分配IP地址(远程地址需要到外部的DHCP服务器分配),并将分配结果返回给UCM组件
(6) 允许用户上线
UCM组件将认证结果及申请到的IP地址返回给接入识别组件,接入识别组件允许用户上线。
(7) 计费和控制
用户上线后,AAA组件、业务控制组件共同负责对用户使用的基本业务、增值业务进行计费、带宽限制、QoS等控制。
UCM配置任务如下:
(1) 配置BRAS接入用户特有功能
(2) 配置接入用户公共管理功能
UCM组件是通过协调AAA、地址管理等组件间的交互关系并协助完成用户连接的建立、维护和拆除等功能,从而实现简化用户管理的目的。因此为实现简化用户管理的目的,需要各组件和UCM组件相互配合,并完成如下配置准备:
· 若配置的是DHCP触发方式,需要安装并配置好DHCP服务器。如果是DHCP中继组网,接入设备还需启动DHCP中继功能。
· 如果通过远端RADIUS服务器进行身份认证,则首先保证RADIUS服务器已安装并配置成功,其次需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。如果需要通过远端的安全策略服务器进行安全检测和授权,则需要在H3C iMC安全策略服务器上配置相应的安全策略,并在接入设备上指定安全策略服务器的IP地址。RADIUS客户端以及安全策略服务器的具体配置请参见“安全配置指导”中的“AAA”。
· 如果通过本地设备进行身份认证,则需要在接入设备上配置相关的本地用户及其属性。本地用户的具体配置请参见“安全配置指导”中的“AAA”。
· 保证用户、接入设备和各服务器之间路由可达。
缺省情况下,接口Down时,会强制该接口下的在线用户下线,当接口恢复Up后,下线用户需要重新认证上线。为避免因接口反复进行Up/Down切换导致用户频繁上下线,可通过本命令配置接口Down后,允许用户保持在线状态。
本功能仅适用于IPoE接入用户。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口Down后对BRAS在线用户采取的策略。
user-policy interface-down online [ no-user-detect ]
缺省情况下,接口Down后,强制BRAS用户下线。
在配置接口Down后允许用户保持在线状态的情况下,为避免在接口Down到恢复Up期间,因在线探测失败导致用户被强制下线,可在命令中指定no-user-detect参数。
如果本命令配置的最大接入用户数小于当前接口上(或接口上VLAN内)已经接入的用户数,则该配置可以执行成功,且在线的用户不会受影响,但系统将不允许该接口上(或接口上VLAN内)再接入新的用户。
本命令与认证域下的access-limit命令同时配置时,两者可以同时生效,由于控制的角度不同,因此该接口上(或接口上VLAN内)允许接入的最大BRAS用户数会收到双重限制,即仅在两者均未达到最大用户数限制时才允许接入新的BRAS用户。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口上允许接入的最大用户数。
access-limit user-number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinq qinq-vlan ] ]
缺省情况下,未限制接口上允许接入的最大用户数。
通过本配置,管理员可根据实际需要调整设备更新BRAS在线用户流量统计信息的频率。设备目前支持如下三种频率模式:
· fast模式:当对BRAS用户的流量的统计信息的精确度要求较高时,可配置本模式。
· normal模式:当对BRAS用户的流量的统计信息的精确度要求一般时,可配置本模式。
· slow模式:当对BRAS用户的流量的统计信息的精确度要求较低时,可配置本模式。
(1) 进入系统视图。
system-view
(2) 配置BRAS在线用户流量统计的频率模式。
flow-statistics frequency { fast | normal | slow }
缺省情况下,BRAS在线用户流量统计的频率模式为normal模式。
接入用户日志是为了满足网络管理员维护的需要,对用户的上线成功、上线失败、正常下线和异常下线的信息进行记录,包括用户名、IP地址、接口名称、内外层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的接入用户日志信息,一般情况下建议不要开启此功能。
(1) 进入系统视图。
system-view
(2) 开启接入用户日志信息功能。
access-user log enable [ successful-login | failed-login | normal-logout | abnormal-logout ] *
缺省情况下,BRAS接入用户日志信息功能处于关闭状态。
整机上线接入用户会话数目,是指整个设备上线的IPoE会话的总数目。
可通过本命令分别配置接入用户会话数的上限、下限告警阀值,使得接入用户会话数目大于或小于某个设定值时能够自动触发告警,便于管理员及时了解现网的在线用户情况。管理员可通过display access-user命令查看当前在线接入用户总数。
假定整机允许上线的接入用户会话的最大数目为a,上限告警阈值为b,下限告警为c,则:
· 当在线接入用户会话数目超过上限a×b或低于下限a×c时,都将输出对应警告信息。
· 当在线接入用户会话数目恢复到正常数值范围后,输出恢复信息。
为避免特殊情况下在线接入用户会话数目在临界区反复变化导致频繁输出告警信息和恢复信息,当在线接入用户会话数目从上限或下限恢复时,系统内部有一个缓冲区,缓冲区大小为在线接入用户会话数目上下限差值的10%,假定为d,d=a×(b-c)÷10,仅当在线接入用户会话数目恢复到小于a×b-d或大于a×c+d时才会输出恢复信息。
例如,假定a为1000,b为80%,c为20%,d=a×(b-c)÷10=1000×(80%-20%)÷10=1000×60%÷10=600÷10=60,则:
· 当在线接入用户会话数目超过上限a×b=1000×80%=800时,输出上限告警信息。当在线接入用户会话数目恢复到小于a×b-d=800-60=740时,输出恢复信息。
· 当在线接入用户会话数目低于下限a×c=1000×20%=200时,输出下限告警信息。当在线接入用户会话数目恢复到大于a×c+d=200+60=260时,输出恢复信息。
配置上限告警阈值必须大于下限告警阈值。
(1) 进入系统视图。
system-view
(2) 配置上线接入用户会话数目的告警阈值。
access-user session-threshold { lower-limit lower-limit-value | upper-limit upper-limit-value }
缺省情况下,上线接入用户会话数目的上限告警阈值为100,下限告警阈值为0。
可通过本命令配置每slot接入用户数的告警阈值,使得接入用户数超过某个设定值时能够自动触发告警,便于管理员及时了解现网的在线用户情况。
每slot接入用户数阈值告警功能仅用于对接入的IPoE用户数进行统计。其中:
· 对于双栈IPoE用户,按两个用户数进行统计。
假定每slot允许接入的最大用户数为a,配置的告警阈值为b,则:
· 当接入用户数超过告警上限a×b时,将输出对应警告信息。
· 当接入用户数恢复到正常数值范围后,输出恢复信息。
为避免特殊情况下接入用户数在临界区反复变化导致频繁输出告警信息和恢复信息,当接入用户数从阈值上限恢复时,系统内部有一个缓冲区,缓冲区大小为配置的告警阈值的10%,假定为c,c=a×b÷10,仅当接入用户数恢复到小于a×b-c时才会输出恢复信息。
例如,假定a为1000,b为80%,则c=a×b÷10=1000×80%÷10=800÷10=80,则:
· 当接入用户数超过告警上限a×b=1000×80%=800时,输出上限告警信息。
· 当接入用户数恢复到小于a×b-c=800-80=720时,输出恢复信息。
(1) 进入系统视图。
system-view
(2) 配置每slot接入用户数的告警阈值。
slot-user-warning-threshold threshold-value
缺省情况下,每slot接入用户数的告警阈值为100。
(3) 开启每slot接入用户数的Trap告警功能。
snmp-agent trap enable slot-user-warning-threshold
缺省情况下,每slot接入用户数的Trap告警功能处于关闭状态。
本特性用来配置RADIUS认证计费时所携带的nas-port-type属性。关于nas-port-type属性的详细介绍请参见RFC 2865。
本特性配置后仅对新接入的用户生效,对当前已经存在用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口的nas-port-type属性。
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情况下,接口的nas-port-type属性为ethernet。
业务跟踪对象功能是为了满足网络管理员维护的需要,管理员通过创建业务追踪对象可以追踪接入用户的上下线相关信息,并且通过指定不同的匹配参数,可以实现对特定用户的追踪。
开启本功能会时占用大量系统资源,建议仅在故障诊断时使用,一般情况下不要使用。
当配置输出信息到日志服务器时,请确保设备与指定的日志服务器之间路由可达并且日志服务器配置正确。
设备重启后本命令的配置自动失效,需要重新配置。
主备倒换(主用主控板和备用主控板之间)后本命令的配置自动失效,需要重新配置。
(1) 进入系统视图。
system-view
(2) 配置业务跟踪对象功能。
trace access-user object object-id { access-mode ipoe | c-vlan vlan-id | interface interface-type interface-number | ip-address ip-address | mac-address mac-address | s-vlan vlan-id | tunnel-id tunnel-id | username user-name } * [ aging time | output { file file-name | syslog-server server-ip-address | vty } ] *
trace access-user object object-id [ access-mode ipoe | c-vlan vlan-id | interface interface-type interface-number | ip-address ip-address | mac-address mac-address | s-vlan vlan-id | tunnel-id tunnel-id | username user-name ] *
如果指定interface参数,当接入接口所在slot或subslot重启后,业务跟踪对象配置会自动失效,需要重新配置。
在完成上述配置后,在任意视图下执行display命令可以显示配置后UCM的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行cut和reset命令可以清除UCM统计信息。
表1-1 UCM显示和维护
|
操作 |
命令 |
|
显示接入用户的信息 |
display access-user [ [ { { auth-type { admin | bind } | domain domain-name | interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] | ip-pool pool-name | ip-pool-group ip-pool-groupname | ip-type { dual-stack | ipv4 | ipv6 } | ipv6-address-protocol { dhcpv6 | nd } | ipv6-pool pool-name | ipv6-pool-group ipv6-pool-groupname | mac-address mac-address | | start-time start-time start-date end-time end-time end-date | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | username user-name | vpn-instance vpn-instance-name | slot slot-id } * | time time [ slot slot-number ] } [ count | verbose ] | { { ip-address ipv4-address | ipv6-address ipv6-address } [ vpn-instance vpn-instance-name ] | user-id user-id } [ slot slot-number ] [ verbose ] ] | { count | verbose } ] |
|
显示接入用户下线原因的统计信息 |
display access-user offline-reason statistics [ verbose ] |
|
清除接入用户下线原因的统计信息 |
reset access-user offline-reason statistics |
|
显示用户数峰值的历史信息 |
display max-user history [ slot slot-number ] |
|
显示业务跟踪对象的配置信息 |
display trace access-user [ object object-id ] |
|
强制接入用户下线 |
cut access-user [ { domain domain-name | interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] | ip-pool pool-name | ip-type { dual-stack | ipv4 | ipv6 } | | ipv6-pool pool-name | mac-address mac-address | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | username user-name | vpn-instance vpn-instance-name | slot slot-number } * | { { ip-address ipv4-address | ipv6-address ipv6-address | ipv6-prefix prefix-address/prefix-length } [ vpn-instance vpn-instance-name ] | user-id user-id } ] |
|
清除用户数峰值的历史信息 |
reset max-user history [ slot slot-number ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
