- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-IPoE配置
本章节下载: 14-IPoE配置 (3.72 MB)
目 录
1.10.8 配置DHCP Option中circuit-id和remote-id解析格式
1.10.11 配置允许DHCP个人接入用户异常下线后通过报文重新触发上线
1.10.12 配置未知源个人接入用户的信任IP地址/地址范围
1.10.14 配置IPoE DHCP接入用户的自动备份功能
1.13.8 配置IPoE Web支持HTTP/HTTPS攻击防范功能
1.21 配置IPoE接入用户的NAS-PORT-ID属性封装
1.30.2 DHCPv4报文触发IPoE接入配置举例(以Option60作为认证域和用户名)
1.30.3 DHCPv4报文触发IPoE接入配置举例(授权DHCP中继地址池)
1.30.4 DHCPv4报文触发IPoE接入配置举例(授权DHCP地址池组)
1.30.5 DHCPv6报文触发IPoE接入配置举例(授权DHCP中继地址池)
1.30.6 DHCPv6报文触发IPoE接入配置举例(BRAS位于DHCP relay和DHCP server之间)
1.30.9 IPv6 ND RS报文触发IPoE接入配置举例(AAA直接授权前缀)
1.30.10 IPv6 ND RS报文触发IPoE接入配置举例(ND前缀池授权前缀)
1.30.11 IPv6 ND RS+DHCPv6(IA_PD)触发IPoE接入配置举例
1.30.13 NS/NA报文触发静态IPoE用户接入配置举例
1.30.14 IPv6 PD前缀用户通过未知源IP报文触发静态IPoE用户接入配置举例
1.30.19 IPoE为接入用户授权地址池和VPN配置举例
1.30.22 IPoE DHCPv4用户普通Web认证配置举例
1.30.23 IPoE DHCPv4多网段用户普通Web认证配置举例(DHCP relay)
1.30.24 IPoE DHCPv6用户普通Web认证配置举例
1.30.25 IPoE NDRS用户普通Web认证配置举例(ND前缀池授权前缀)
1.30.27 IPoE MAC Trigger二层无感知认证配置举例
1.30.28 IPoE MAC Trigger三层无感知认证配置举例
IPoE(IP over Ethernet)是一种常见的IPoX接入方式,目前支持绑定和Web两种认证方式。
· 绑定认证是指BRAS(Broadband Remote Access Server,宽带远程接入服务器)设备根据用户接入的位置信息自动生成用户名和密码进行身份认证的一种认证方式,无需用户输入用户名和密码。
· Web认证是指用户通过访问Web认证服务器的认证页面,交互输入用户名和密码进行身份认证的一种认证方式。
IPoE的典型组网方式如下图所示,它由六个基本要素组成:用户主机、BRAS接入设备、AAA服务器、安全策略服务器、DHCP服务器和Portal服务器。
图1-1 IPoE系统组成示意图
用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行H3C iNode客户端的主机。
提供接入服务的设备,主要有三方面的作用:
· 在认证之前,阻止用户访问互联网资源。
· 在认证过程中,与AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的互联网资源。
与接入设备进行交互,完成对用户的认证、授权和计费。目前仅RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器支持对IPoE用户进行认证、授权和计费。
与接入设备进行交互,完成对用户的安全检测,并对用户进行安全授权操作。
与用户主机、接入设备进行交互,完成对用户主机IP地址的管理和分配。
包括Portal Web服务器和Portal认证服务器。Portal Web服务器负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。Portal认证服务器用于与接入设备交互认证客户端的认证信息。Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统。
IPoE的接入模式分为二层和三层两种模式,对应的用户分别通过二层网络或三层网络接入。
· 二层接入:用户直接连接接入设备,或通过二层网络设备连接接入设备。接入设备需要识别用户的MAC地址。
· 三层接入:用户流量通过三层网络路由到接入设备,用户可直接连接接入设备或通过三层转发设备连接接入设备。接入设备不关心用户的MAC地址。
需要注意的是,通过三层转发设备接入时,用户报文信息中的源MAC地址为三层网络设备的MAC地址,并非用户的MAC地址,因此该方式下用户的MAC地址不能作为用户的身份标识。
IPoE支持通过IP报文、ARP报文、NS报文、NA报文、RS报文和DHCP报文几种触发方式上线。根据用户是否拥有独立的业务属性,IPoE用户可分为个人接入用户、专线接入用户两种类型。
个人接入用户拥有独立的业务属性,接入设备根据用户的位置信息和报文特征对其进行独立的认证、授权和计费。
根据触发上线方式的不同,可以将个人接入用户分为以下两种类型:
· 动态个人接入用户
动态个人接入用户通过IP报文、RS报文或DHCP报文触发上线,且由报文动态触发认证并根据认证结果建立IPoE会话。根据触发上线的方式不同可将动态个人接入用户分为未知源IP接入用户、IPv6 ND RS接入用户和DHCP接入用户。对于DHCP接入用户,还需要与DHCP服务器交互获取IP地址;对于IPv6 ND RS接入用户,还需要与接入设备进行交互获取IPv6地址。
· 静态个人接入用户
静态个人接入用户通过IP、ARP、NS或NA报文触发上线,需要用户报文与手工配置的IPoE会话匹配后才能触发认证。
对于DHCP用户,不是因为接入用户主动释放IP地址引起的用户IPoE会话被删除的情况,在开启DHCP接入用户异常下线后重新上线功能后,当设备再次收到该用户的IP、ARP报文或NS/NA报文时,可恢复用户的IPoE会话,恢复后的IPoE会话仍为DHCP接入类型。有关DHCP接入用户异常下线后重新上线功能的介绍,请参见“1.10.11 配置允许DHCP个人接入用户异常下线后通过报文重新触发上线”。
专线是指将接入设备上的某个接口或接口上的某些系统资源整体出租给一组用户。一条专线下可以接入多个用户,在认证流程中表现为一个用户,也称为专线接入用户。
根据对专线资源的占用情况,可以分为以下几种类型:
· 接口专线用户:一个接口上接入的所有IP用户,该接口上接入的所有用户统一进行认证、授权和计费。
· 子网专线用户:一个接口上接入的指定子网内的所有IP用户,与接口专线用户类似,该接口上接入的所有指定子网的用户统一进行认证、授权和计费。
· L2VPN专线用户:L2VPN组网下,一个接口上接入的所有IP用户,与接口专线用户类似,该接口上接入的所有用户统一进行认证、授权和计费。
· 静态专线用户:静态专线用户是一种特殊的专线,具体表现在如下两个方面:
¡ 在业务属性的独立性方面:类似接口专线,该接口上接入的所有用户统一进行认证、授权和计费。当静态专线会话上线后,任意源IP地址的报文都允许从专线接口通过。
¡ 在触发上线方式方面:类似全局静态个人会话,在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP、ARP、NS或NA流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立静态专线会话;如果认证未通过,则不建立静态专线会话。
因静态专线的特殊性,为便于描述,后续如无特殊说明,专线用户仅指接口专线、子网专线和L2VPN专线,不包括静态专线。
一个IPoE会话表示了一个或一组IPoE客户端的所有网络连接,可由客户端的IP报文特征或接入位置信息来标识,用于记录IPoE客户端的身份信息、认证状态、授权属性和DHCP地址分配信息等内容。
根据IPoE用户类型不同,IPoE会话可分为IPoE个人会话和IPoE专线会话两种类型。
根据IPoE会话的触发方式,可以将IPoE个人会话分为IPoE动态个人会话和IPoE静态个人会话两种类型。
· IPoE动态个人会话
由动态个人接入用户触发建立的IPoE会话称为动态个人会话。
每个动态个人会话都有自己的生存周期,动态个人会话将在以下几种情况下被删除:
¡ AAA服务器授权的在线时长到期。
¡ AAA服务器强制用户下线。
¡ 在AAA服务器授权的闲置切断时长内,该会话的用户流量小于授权的流量阈值。
¡ 接入设备对该会话的在线用户进行探测,对于单协议栈用户,当探测失败的次数达到最大值时会话会被删除,对于双协议栈用户当且仅当双栈都探测失败达到最大值时会话才会被删除。
¡ 对于DHCP报文触发建立的IPoE会话,对于单协议栈用户,当DHCP服务器分配的租约时长到期时会话会被删除,对于双协议栈用户当且仅当DHCP服务器分配的租约时长都到期时会话才会被删除。
¡ 重启IPoE会话。
¡ 用户接入接口Down。
· IPoE静态个人会话
静态个人会话仅代表一个指定IP地址(IPv6或双栈全局静态也可包含前缀)的IPoE客户端的所有网络连接,通常用于为IP地址已知的客户端单独提供稳定的接入服务。
对于IPoE静态个人会话,又分为:
¡ 接口静态个人会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,接入设备会根据配置建立IPoE静态个人会话,在有IP、ARP、NS或NA流量通过时接入设备会尝试以配置的用户名和密码发起认证。
¡ 全局静态个人会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP、ARP、NS或NA流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立全局静态个人会话;如果认证未通过,则不建立全局静态个人会话。
由专线用户的配置触发建立的IPoE会话称为IPoE专线会话,包括以下三种类型:
· 接口专线会话:代表一个接口上所有IPoE客户端的网络连接。
· 子网专线会话:代表一个接口上指定子网内的所有IPoE客户端的网络连接。
· L2VPN专线会话:代表一个接口上所有IPoE客户端的网络连接。
· 静态专线会话:代表一个接口上所有IPoE客户端的网络连接。
对于接口专线会话、子网专线会话和L2VPN专线会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,接入设备会根据配置建立专线会话,会话建立成功后无需用户流量触发,接入设备会主动尝试以配置的用户名和密码发起认证。
静态专线会话是一种特殊的专线,具体表现在如下两个方面:
· 在业务属性的独立性方面:类似接口专线,该接口上接入的所有用户统一进行认证、授权和计费。当静态专线会话上线后,任意源IP地址的报文都允许从专线接口通过。
· 在触发上线方式方面:类似全局静态个人会话,在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP、ARP、NS或NA流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立静态专线会话;如果认证未通过,则不建立静态专线会话。
因静态专线的特殊性,为便于描述,后续如无特殊说明,专线用户仅指接口专线、子网专线和L2VPN专线,不包括静态专线。
对于通过DHCP报文触发认证的用户,在认证成功之后由DHCP模块为其分配AAA授权的地址池中的地址。若AAA未授权,则使用用户所属认证域中配置的授权地址池;若认证域中未配置授权地址池,则在接口上配置了IP地址的情况下,由DHCP模块分配与接口IP地址同一网段的IP地址给用户。
对于通过RS报文触发认证的用户,在认证成功之后,可获得IPv6地址前缀,并通过获得的IPv6地址前缀生成IPv6全球单播地址。IPv6地址前缀的来源有四种:AAA授权的IPv6前缀、AAA授权的ND前缀池中的前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。四种来源的优先级依次降低,AAA授权的IPv6前缀优先级最高。其中:
· AAA授权的IPv6前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀三种方式适用于共享前缀应用场景,该场景中多个用户共用同一个IPv6前缀。
· AAA授权的ND前缀池中的前缀方式适用于每用户每前缀应用场景,该场景中每个用户都独占一个IPv6前缀。
当采用ND前缀池为用户分配前缀(即每用户每前缀应用场景中)时,需要注意:
· 用户接入接口上需配置链路本地地址作为用户网关,不允许配置IPv6全球单播地址作为用户网关。
· 对于IPoE每用户每前缀用户:
¡ 不支持在同一个上线接口的不同VLAN之间进行漫游。
¡ 不支持专线方式(包括接口专线、子网专线和L2VPN专线)。
¡ 不支持ICMPv6探测方式。
¡ 不允许配置和IPoE每用户每前缀用户相同前缀的静态用户。
¡ 不允许在IPoE每用户每前缀用户的上线接口配置和IPoE每用户每前缀用户同网段的IPv6全球单播地址。
其它类型的用户,可以通过静态配置或通过DHCP动态分配获得IP地址,但其IP地址的获取与IPoE认证无关。
IPoE绑定认证用户的接入流程主要包括以下几个步骤:
(1) 用户识别与发起认证请求
¡ 对于动态个人接入用户,当发出的连接请求报文到达接入设备后,接入设备使用从报文中获取用户的物理位置等信息生成用户名和密码或配置的用户名和密码,向AAA服务器发起认证请求。
¡ 对于静态个人接入用户,当用户的首报文通过接入设备时,接入设备以配置的认证信息向AAA服务器发起认证请求。
¡ 对于专线接入用户,无需用户流量触发,接入设备会主动以配置的认证信息向AAA服务器发起认证请求。
(2) 身份认证
接入设备根据该用户关联的认证域的配置向AAA服务器发起认证请求,并完成认证授权操作,若配置有安全策略服务器,则由安全策略服务器进行安全授权操作。
(3) 地址分配与管理(可选)
对于DHCP接入用户,身份认证通过后,接入设备通知DHCP模块负责为接入用户分配IP地址;对于IPv6 ND RS接入用户,身份认证通过后,IPoE负责为接入用户分配前缀,用户通过此前缀生成IPv6地址。若用户已经获取到IP地址,则无此步骤直接进入步骤(4)。
(4) 接入控制
IP地址分配成功后,接入设备通知用户上线,并根据授权结果对用户进行接入控制,计费等。
下面将详细介绍几种典型的IPoE用户接入流程。
当用户通过DHCP方式动态获取IP地址时,IPoE截获用户的DHCP报文,首先对用户进行身份认证,如果认证通过则可以允许继续申请动态IP地址,否则终止IPoE接入过程。这里以DHCP中继组网环境中的IPv4 DHCP用户的IPoE接入为例,具体流程如图1-2所示。
图1-2 IPv4 DHCP用户接入流程图
IPv4 DHCP报文触发的IPoE接入过程如下:
(1) DHCP客户端发送DHCP-DISCOVER报文。
(2) 接入设备在DHCP-DISCOVER报文中插入Option 82选项,然后把报文交由DHCP中继设备处理。
(3) DHCP中继设备根据DHCP-DISCOVER报文创建一个IPoE会话,并向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如DHCP报文中的Client ID选项、用户报文的源MAC地址。
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文。
(5) DHCP中继获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败。
(6) 如果用户认证通过,DHCP中继将DHCP-DISCOVER报文转发给DHCP服务器。如果认证失败,DHCP中继将丢弃DHCP-DISCOVER报文。
(7) DHCP服务器回应DHCP-OFFER报文。之后,DHCP中继把DHCP-OFFER报文转发给DHCP客户端。
(8) DHCP客户端根据DHCP-OFFER报文选择一个DHCP服务器,发送DHCP-REQUEST报文。之后,DHCP中继把DHCP-REQUEST报文转发给DHCP服务器。
(9) DHCP服务器回应DHCP-ACK报文。
(10) DHCP中继从DHCP-ACK报文中解析出用户的IP地址和其它地址参数信息,更新IPoE会话,并下发User Profile策略,然后将IPoE会话的状态置为在线。
(11) DHCP中继把DHCP-ACK报文转发给DHCP客户端。DHCP客户端根据收到的DHCP-ACK报文获得IP地址以及相关地址参数信息。
(12) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
当用户通过DHCP方式动态获取IP地址时,IPoE截获用户的DHCP报文,首先对用户进行身份认证,如果认证通过则可以允许继续申请动态IP地址,否则终止IPoE接入过程。DHCPv6包括IA_NA和IA_PD两种上线方式,其中:IA_NA为主机通过DHCPv6协议申请IPv6全球单播地址,IA_PD为Client端设备通过DHCPv6协议申请代理前缀。
这里以DHCP中继组网环境中的DHCP用户的IPoE接入为例,具体流程如图1-3所示。
图1-3 DHCP双栈用户接入流程图
双协议栈用户DHCP报文触发的IPoE接入过程如下:
(1) DHCPv4客户端发送DHCP-DISCOVER报文。
(2) 接入设备在DHCP-DISCOVER报文中插入Option 82选项,然后把报文交由DHCPv4中继设备处理。
(3) DHCPv4中继设备根据DHCP-DISCOVER报文创建一个IPoE会话,并向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如DHCPv4报文中的Client ID选项、用户报文的源MAC地址。
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文。
(5) DHCPv4中继获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败。
(6) 如果用户认证通过,DHCPv4中继将DHCP-DISCOVER报文转发给DHCP服务器。如果认证失败,DHCPv4中继将丢弃DHCP-DISCOVER报文。
(7) DHCPv4服务器回应DHCP-OFFER报文。之后,DHCPv4中继把DHCP-OFFER报文转发给DHCPv4客户端。
(8) DHCPv4客户端根据DHCP-OFFER报文选择一个DHCPv4服务器,发送DHCP-REQUEST报文。之后,DHCPv4中继把DHCP-REQUEST报文转发给DHCPv4服务器。
(9) DHCPv4服务器回应DHCP-ACK报文。
(10) DHCPv4中继从DHCP-ACK报文中解析出用户的IP地址和其它地址参数信息,更新IPoE会话,并下发User Profile策略,然后将IPoE会话的状态置为在线。
(11) DHCPv4中继把DHCP-ACK报文转发给DHCPv4客户端。DHCPv4客户端根据收到的DHCP-ACK报文获得IP地址以及相关地址参数信息。
(12) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
DHCPv6客户端发送Solicit报文,DHCPv6中继设备根据Solicit报文更新IPoE会话信息。
报文中的IA_NA字段,对应获取IPV6全球单播地址,IA_PD字段,对应获取IPV6地址前缀。
(13) DHCPv6服务器回应Advertise报文。之后,DHCPv6中继把Advertise报文转发给DHCPv6客户端。
(14) DHCPv6客户端根据Advertise报文选择一个DHCPv6服务器,发送Request报文。之后,DHCPv6中继把Request报文转发给DHCPv6服务器。
(15) DHCPv6服务器回应Reply报文。
(16) DHCPv6中继从Reply报文中解析出用户的IPv6地址,IPv6地址前缀和其它地址参数信息,更新IPoE会话。
(17) DHCPv6中继把Reply报文转发给DHCPv6客户端。DHCPv6客户端根据收到的Reply报文获得IPv6地址以及相关地址参数信息。
当用户通过IPv6 ND RS方式动态获取IPv6地址时,IPoE截获用户的IPv6 ND RS报文,首先对用户进行身份认证,如果认证通过则发送IPv6 RA报文给用户,否则终止IPoE接入过程。这里以二层接入组网环境中的IPv6用户的IPoE接入为例,具体流程如图1-4所示。
图1-4 IPv6 ND RS用户接入流程图
IPv6 ND RS报文触发的IPoE接入过程如下:
(1) 用户主机发送IPv6 ND RS报文。
(2) 接入设备根据IPv6 ND RS报文创建一个IPoE会话。
(3) 接入设备向AAA服务器发送认证请求,认证请求消息中的用户名包含了用户信息,如源MAC地址等。
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文。
(5) 接入设备获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败。如果用户认证通过,则根据用户MAC地址和获取到的前缀信息生成用户IPv6地址,更新IPoE会话信息。如果认证失败,接入设备则丢弃收到的IPv6 ND RS报文。
(6) 接入设备发送携带前缀信息的IPv6 ND RA报文给用户主机。用户主机根据IPv6 ND RA报文中携带的前缀信息生成IPv6地址。
(7) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
对于已经通过DHCP、ND RS报文或手工静态配置的方式获取到IP地址的用户,当前接入设备上不存在对应的IPoE会话时,该用户的IP报文会直接触发IPoE认证,具体过程如图1-5所示。
图1-5 未知源IP接入用户触发IPoE接入过程
用户IP报文触发IPoE接入的步骤如下:
(1) 用户主机发送IP报文。
(2) 接入设备收到IP报文后,根据已有的IPoE会话检查该用户是否是新接入的用户。如果用户报文中的用户信息未匹配到相应的IPoE会话,则认为该用户是新用户,并为其创建IPoE会话,记录用户信息;对于匹配上IPoE会话且会话状态为已通过认证的用户报文,直接转发;对于匹配上IPoE会话且会话状态不为已通过认证的所有用户报文,均丢弃。
(3) 接入设备根据获取的用户信息向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如源IP地址或源MAC地址。
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文。
(5) 接入设备收到认证结果。如果用户认证通过,则根据授权信息下发业务策略,将IPoE会话状态置为在线。
(6) 接入设备向AAA服务器发送计费开始报文,开始对该用户进行计费。
静态用户的IPoE会话通过配置信息创建,当接口上有指定的IP、ARP、NS或NA报文通过时,将使用配置信息触发认证,认证流程与未知源IP接入方式中的认证流程相同。认证流程完成后,后续对应的用户报文到达设备后,接口直接将其转发。如果是带指定前缀的全局静态用户,用户上线后,前缀网段的流量也可以直接转发。
专线接入用户的IPoE会话通过配置信息创建,无需接口上有报文通过,即可自动根据配置的用户名和密码发起认证。除触发认证方式不同外,其余认证流程与未知源IP接入方式中的认证流程相同,这里不再赘述。认证流程完成后,后续对应的用户报文到达设备对应接口后,即可直接转发。
IPoE Web认证支持DHCP用户接入、IPv6 ND RS用户接入和静态用户接入,认证过程包含认证前域认证和Web认证两个阶段。
IPoE Web认证用户接入流程主要包括以下几个步骤:
认证前域阶段的用户接入流程与绑定认证的DHCP用户接入和静态用户接入流程相同,具体请参见“1.1.6 1. DHCP单协议栈用户接入流程”、“1.1.6 3. IPv6 ND RS用户接入流程”和“1.1.6 5. 静态接入用户和专线接入用户接入流程”。
用户可以使用浏览器或iNode客户端进行Web认证。
当用户使用浏览器进行Web认证时,可以主动登录Portal Web服务器的Web认证页面。如果认证前域用户访问的不是Portal Web服务器,接入设备会将此HTTP/HTTPS请求重定向到Portal Web服务器的Web认证页面。当用户使用iNode客户端进行Web认证时,可直接打开客户端认证页面,输入认证信息。用户在认证页面中输入认证信息后提交,Portal Web服务器会将用户的认证信息传递给Portal认证服务器,由Portal认证服务器处理并转发给接入设备。接入设备收到用户认证信息后,将用户的认证信息发送给AAA进行认证,认证成功则通知用户上线,并根据授权结果对用户进行接入控制,计费等。在Web认证阶段,接入用户的认证流程基本相同,这里仅以DHCP中继组网环境中的IPoE Web接入为例进行说明,具体流程如图1-6所示。
图1-6 IPoE Web认证用户接入流程
IPoE Web认证用户接入流程(以用户使用浏览器进行Web认证为例):
(1) 客户端发起HTTP/HTTPS请求。
(2) 接入设备根据目的地址判断是否需要重定向:如果HTTP/HTTPS请求的目的地址和Portal Web服务器的地址相同则直接转发,否则将此HTTP/HTTPS请求重定向到Portal Web服务器的Web认证页面。
(3) HTTP/HTTPS请求的目的地址和Portal Web服务器的地址相同时,客户端直接访问Portal Web服务器的Web认证页面。
(4) 对于需要重定向处理的HTTP/HTTPS请求,接入设备将包含Portal Web服务器的Web认证页面URL信息的HTTP/HTTPS报文回复给客户端。
(5) 客户端浏览器自动访问重定向后的URL(即用户配置的Portal Web服务器的Web认证页面)。
(6) Portal Web服务器将Web认证页面内容发送给客户端。
(7) 用户输入用户名和密码,点击登录后将认证信息发送给Portal服务器。
(8) Portal服务器把Web认证信息转发给接入设备。
(9) 接入设备使用从Portal 服务器获取到的用户信息向AAA服务器发送认证请求。
(10) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文。
(11) 接入设备根据从AAA服务器获取到的认证和授权结果,更新IPoE会话的认证状态为通过或失败。
(12) 如果认证授权成功,接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
在IPoE Web认证环境中,为避免在Web认证阶段用户每次上线都需要手工输入认证信息进行认证带来的不便,IPoE Web认证支持快速认证。
对于需要频繁接入网络的合法用户,可以通过基于MAC地址的快速认证功能,使用户无需每次接入网络都手工输入认证信息便可以自动完成Web认证。基于MAC地址的快速认证又称为无感知认证,根据存储用户的认证用户名/密码和用户MAC地址的绑定信息的位置不同,无感知认证分为如下两种方式:
· MAC Trigger无感知认证:该方式需要在网络中部署支持MAC Trigger协议的MAC绑定服务器,MAC绑定服务器用于记录用户的Web认证信息和用户终端的MAC地址,并将二者进行绑定,以便代替用户完成Web认证。
· MAC无感知认证:该方式需要在网络中部署具有将用户的Web认证信息和用户终端的MAC地址进行绑定功能的AAA服务器,以便代替用户完成Web认证。
如果配置了IPoE Web的快速认证,则IPoE在认证前域中收到用户的任意IP报文后,都将先进行MAC绑定查询处理。即相对于未配置IPoE Web的快速认证的情况,对于第一次Web接入的用户,上线过程中增加了一次查询处理。
MAC Trigger无感知功能具体实现过程如下:
(1) 客户端认证前域上线后发起HTTP/HTTPS请求。
(2) 接入设备根据目的地址判断是否需要重定向:如果HTTP/HTTPS请求的目的地址和Portal Web服务器的地址相同则直接转发,访问Portal Web服务器的Web认证页面。
(3) 否则接入设备将向Portal发送绑定查询请求,等待Portal返回查询结果,根据返回结果不同分为如下情况:
· 如果Portal返回的查询结果是用户未绑定,则:
a. 接入设备将后续HTTP/HTTPS请求重定向到Portal Web服务器的Web认证页面,即设备将包含Portal Web服务器的Web认证页面URL信息的HTTP/HTTPS报文回复给客户端。
b. 客户端浏览器自动访问重定向后的URL,即用户配置的Portal Web服务器的Web认证页面。
c. Portal Web服务器将Web认证页面内容发送给客户端。
d. 用户输入用户名和密码,点击登录后将认证信息发送给Portal服务器。
· 如果Portal返回的查询结果是用户已绑定,则继续等待Portal服务器返回Web认证信息。
(4) Portal服务器把Web认证信息转发给接入设备。
(5) 接入设备使用从Portal服务器获取到的用户信息向AAA服务器发送认证请求。
(6) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文。
(7) 接入设备根据从AAA服务器获取到的认证和授权结果,更新IPoE会话的认证状态为通过或失败。
(8) 如果认证授权成功,接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
(9) (本步骤仅适用于用户首次Web认证的情况)用户上线以后,接入设备通知Portal用户已上线,Portal收到用户上线通知后,再通知MAC绑定服务器为用户添加MAC绑定记录;当该用户下线后再接入时,收到用户任意IP报文,接入设备即可根据查询到MAC绑定记录进行快速认证上线。
· 目前,仅IPv4用户支持MAC Trigger无感知认证。
· MAC Trigger无感知认证仅支持使用浏览器触发Web认证,不支持使用iNode客户端。
MAC无感知功能具体实现过程如下(以用户首次登录为例):
(1) 客户端认证前域上线后发起HTTP/HTTPS请求。
(2) 接入设备根据目的地址判断是否需要重定向:如果HTTP/HTTPS请求的目的地址和Portal Web服务器的地址相同则直接转发,访问Portal Web服务器的Web认证页面。
(3) 否则接入设备使用该用户MAC地址作为用户名向AAA服务器发起认证,因用户是首次登录,AAA服务器根据用户MAC地址查询该用户未绑定,返回认证失败。
a. 接入设备将后续HTTP/HTTPS请求重定向到Portal Web服务器的Web认证页面。
b. 客户端浏览器自动访问重定向后的URL,即用户配置的Portal Web服务器的Web认证页面。
c. Portal Web服务器将Web认证页面内容发送给客户端。
(4) 用户输入用户名和密码,点击登录后将认证信息发送给Portal服务器。
(5) Portal服务器把Web认证信息转发给接入设备。
(6) 接入设备使用从Portal服务器获取到的用户信息向AAA服务器发送认证请求。
(7) 用户认证通过,AAA服务器发送认证接受报文,并携带授权信息。
(8) 接入设备根据从AAA服务器获取到的认证和授权结果,更新IPoE会话的认证状态为通过。
(9) 如果认证授权成功,接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
(10) 用户上线以后,接入设备通知AAA服务器用户已上线,AAA服务器为用户添加MAC绑定记录。
(11) 当该用户下线后再接入时,收到用户任意IP报文,接入设备都将直接使用该用户MAC地址作为用户名向AAA服务器发起认证,AAA服务器根据该用户MAC地址查询到MAC绑定记录,返回认证通过,无需用户再此手工输入用户名/密码即可快速上线。
· MAC无感知认证仅支持使用浏览器触发Web认证,不支持使用iNode客户端。
实际组网应用中,接入用户可以属于不同的VPN,且各VPN之间的业务相互隔离。IPoE通过支持MPLS L3VPN,可实现位于不同VPN中的用户都能通过IPoE方式接入到网络中。用户通过AAA授权后,接入设备可以将不同用户划分到不同授权VPN中,实现服务器指定用户的VPN归属。需要注意的是,IPoE专线用户不支持通过AAA授权(包括ISP域和AAA服务器两种授权方式)VPN属性。有关通过ISP域授权VPN属性的相关介绍,请参见“BRAS业务配置指导”中的“AAA”。
· 当未知源IPoE用户通过授权VPN方式上线时,必须在用户接入接口为用户配置网关IP地址或在公网DHCP地址池中通过gateway-list export-route命令发布网关IP地址,推荐采用公网DHCP地址池发布网关IP地址方式。有关gateway-list export-route命令的介绍,请参见“BRAS业务命令参考”中的“DHCP”。
· 当非未知源IPoE用户通过授权VPN方式上线时,必须在用户接入接口为用户配置网关IP地址或通过proxy-arp enable命令开启用户接入接口的代理ARP功能,推荐配置代理ARP。有关代理ARP的相关介绍,请参见“三层技术-IP业务配置指导”中的“ARP”。
· 在接口绑定VPN的情况下,为保证已经在线的用户流量可以在授权的VPN中正常转发,需要手工删除已有的IPoE会话。
ITA(Intelligent Target Accounting,智能靶向计费)表示根据接入用户访问的不同目的地址定义不同的计费级别,实现基于目的地址的差别化计费。例如在校园网中,可以通过在用户的接入设备上应用ITA业务策略对访问教育网内的用户流量不收费或者收很低的费用,而对于访问教育网外Internet的用户流量收取较高的费用。ITA的具体配置请参见“BRAS业务配置指导”中的“ITA业务”。
EDSG是Enhanced Dynamic Service Gateway的简称,是一种将用户的一路流量单独标识出来并独立限速、计费和管理的业务模式。
用户通过RADIUS认证后,若RADIUS服务器为用户授权了EDSG业务策略,设备将使用下发的EDSG业务策略名称查询本地配置的EDSG业务策略,并使用该策略中定义的业务参数对用户提供基于业务的差别化服务。EDSG的具体配置请参见“BRAS业务配置指导”中的“EDSG业务”。
EAP认证仅能与H3C iMC的Portal服务器以及H3C iNode Portal客户端配合使用。
在对接入用户身份可靠性要求较高的网络应用中,传统的基于用户名和口令的用户身份验证方式存在一定的安全问题,基于数字证书的用户身份验证方式通常被用来建立更为安全和可靠的网络接入认证机制。
EAP(Extensible Authentication Protocol,可扩展认证协议)可支持多种基于数字证书的认证方式(例如EAP-TLS),它与IPoE认证相配合,可共同为用户提供基于数字证书的接入认证服务。
图1-7 IPoE支持EAP认证协议交互示意图
如图1-7所示,在IPoE支持EAP认证的实现中,客户端与Portal服务器之间交互EAP认证报文,Portal服务器与接入设备之间交互携带EAP-Message属性的Portal协议报文,接入设备与RADIUS服务器之间交互携带EAP-Message属性的RADIUS协议报文,由具备EAP服务器功能的RADIUS服务器处理EAP-Message属性中封装的EAP报文,并给出EAP认证结果。整个EAP认证过程中,接入设备只是对Portal服务器与RADIUS服务器之间的EAP-Message属性进行透传,并不对其进行任何处理,因此接入设备上无需任何额外配置。
本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。
目前仅SPEX类单板/CSPEX类单板(除CSPEX-1104-E之外)/CEPC类单板支持配置本特性。
不支持同时配置IPoE和IP Source Guard功能。关于IP Source Guard功能的详细介绍,请参见“安全配置指导”中的“IP Source Guard”。
IPoE目前仅支持如下接口:
· 三层以太网接口
· 三层以太网子接口
· 三层聚合接口
· 三层聚合子接口
· L3VE接口
· L3VE子接口
对于IPoE Web认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6 nd ra prefix { ipv6-prefix prefix-length | ipv6-prefix/prefix-length } no-advertise命令禁止终端生成临时IPv6地址。其中,ipv6-prefix prefix-length | ipv6-prefix/prefix-length表示用户所在网段的IPv6地址前缀和前缀长度。有关临时IPv6地址的相关介绍,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
当使用设备作为DHCP Server为IPoE用户分配IP地址时,为确保IPoE功能正常,要求在DHCP地址池中禁用网关地址,具体如下:
· 对于DHCPv4地址池需要通过命令dhcp server forbidden-ip或forbidden-ip配置网关IP地址为不参与自动分配的IP地址。
· 对于DHCPv6地址池需要通过命令ipv6 dhcp server forbidden-address配置网关IPv6地址为不参与自动分配的IPv6地址。
有关配置不参与自动分配IP地址命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”和“DHCPv6”。
对于IPoE DHCP接入用户,如果同时配置了ISP域授权DNS和DHCP Server分配DNS,则:
· 在IPoE设备作为DHCP Server组网中,用户优先使用ISP域授权的DNS。
· 在IPoE设备作为DHCP Relay组网中,用户优先使用DHCP Server分配的DNS。
在DHCP中继组网环境中,需要注意:
· 当IPoE工作在三层接入模式下,并且BRAS设备同时作为DHCP Server时,为确保DHCP接入用户可以正常上线,不允许在接入接口上配置ip subscriber initiator arp enable命令。
· 对于DHCPv4 Relay需要配置如下命令:
¡ 通过dhcp relay client-information record命令开启DHCP中继的用户地址表项记录功能。
¡ 通过undo dhcp relay client-information refresh enable命令关闭DHCP中继动态用户地址表项定时刷新功能。
¡ 通过dhcp select relay proxy命令配置中继接口工作在DHCP代理模式。
· 对于DHCPv6 Relay需通过ipv6 dhcp relay client-information record命令用来开启DHCPv6中继用户表项记录功能。
在IPoE应用中,广告推送功能仅对使用80端口号的HTTP报文和443端口号的HTTPS报文生效。
开启IPoE功能并指定用户的接入模式后,可根据实际组网需求配置多种类型的IPoE接入用户。
IPoE绑定认证接入用户配置任务如下:
(2) (可选)配置IPoE认证方式
(3) 配置IPoE绑定认证接入用户类型
同一接口上,IPoE动态个人接入用户及静态接入用户不能和IPoE专线接入用户共存,只能选择其一;IPoE动态个人接入用户、IPoE静态接入用户可以共存。
(4) (可选)配置IPoE个人会话和专线子用户会话的最大总数目
(5) (可选)配置报文业务识别方式以及与认证域的映射关系
(6) (可选)配置IPoE接入用户的静默功能
(7) (可选)配置IPoE接入用户在线探测功能
(8) (可选)配置接口Down后对IPoE在线用户采取的策略
(9) (可选)配置接口的IPoE接入端口类型
(10) (可选)配置IPoE接入用户的NAS-PORT-ID属性封装
当需要根据NAS-PORT-ID精确获取IPoE用户的接入接口的物理位置信息时需要配置本功能。
(12) 配置IPoE准出认证功能
二次认证组网环境下需要配置本功能。
(13) (可选)配置IPoE会话的流量统计信息的更新时间间隔
(14) (可选)配置IPoE日志及业务维护功能
(15) 配置IPoE个人接入用户漫游功能
在漫游用户组网情况下需要配置本功能。
(16) (可选)配置IPoE用户接入响应延迟时间
(17) (可选)配置IPoE用户接入响应延迟时间
(18) (可选)配置禁止IPoE用户上线功能
IPoE Web认证接入用户配置任务如下:
(1) 配置远程Portal认证服务器
仅当使用HTTPS协议时需要本配置。
仅DHCP接入用户和Portal认证服务器属于不同的VPN时需要本配置。
(5) 配置IPoE认证方式
(6) 配置动态个人会话的触发方式
仅IPv6 ND RS个人接入用户需要本配置。
(7) 配置IPoE静态接入用户
仅IPoE静态个人接入用户需要本配置。
(8) (可选)配置IPoE Web认证高级功能
(9) (可选)配置IPoE个人会话和专线子用户会话的最大总数目
(10) (可选)配置报文业务识别方式以及与认证域的映射关系
(11) (可选)配置IPoE接入用户的静默功能
(12) (可选)配置IPoE接入用户在线探测功能
(13) (可选)配置接口Down后对IPoE在线用户采取的策略
(14) (可选)配置接口的IPoE接入端口类型
(15) (可选)配置IPoE接入用户的NAS-PORT-ID属性封装
当需要根据NAS-PORT-ID精确获取IPoE用户的接入接口的物理位置信息时需要配置本功能。
(17) (可选)配置IPoE会话的流量统计信息的更新时间间隔
(18) (可选)配置IPoE日志及业务维护功能
(19) 配置IPoE Web的快速认证功能
在IPoE Web快速认证组网环境下需要配置本功能。
(20) 配置IPoE个人接入用户漫游功能
在漫游用户组网情况下需要配置本功能。
(21) (可选)配置IPoE用户接入响应延迟时间
(22) (可选)配置IPoE用户接入响应延迟时间
(23) (可选)配置禁止IPoE用户上线功能
IPoE提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠IPoE不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法或本地认证方法,以配合IPoE完成用户的身份认证。IPoE的配置前提如下:
· 若配置的是DHCP触发方式,需要安装并配置好DHCP服务器。如果是DHCP中继组网,接入设备还需启动DHCP中继功能。
· 如果通过远端RADIUS服务器进行身份认证,则首先保证RADIUS服务器已安装并配置成功,其次需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。如果需要通过远端的安全策略服务器进行安全检测和授权,则需要在H3C iMC安全策略服务器上配置相应的安全策略,并在接入设备上指定安全策略服务器的IP地址。RADIUS客户端以及安全策略服务器的具体配置请参见“BRAS业务配置指导”中的“AAA”。
· 如果通过本地设备进行身份认证,则需要在接入设备上配置相关的本地用户及其属性。本地用户的具体配置请参见“BRAS业务配置指导”中的“AAA”。
· 保证用户、接入设备和各服务器之间路由可达。
具体配置请参见“BRAS业务配置指导”中的“Portral”。
具体配置请参见“三层技术-IP业务配置指导”中的“HTTP重定向”。
具体配置请参见“BRAS业务配置指导”中的“Portal”。
不允许直接修改IPoE的接入模式,如需修改IPoE的接入模式必须先关闭IPoE功能之后,再在重新开启IPoE功能时指定新的接入模式。
只有在接口上开启IPv4或IPv6协议栈的IPoE功能后,该协议栈对应的其它IPoE相关配置才能生效。
对于接口专线用户、L2VPN专线用户和双栈静态用户,仅在同时开启IPv4和IPv6协议栈的IPoE功能的情况下,才允许用户上线。
在IPv4网络中,当IPoE工作在二层接入模式时,请采用在DHCP地址池下配置gateway-list export-route命令的方式为用户指定网关地址,不允许采用在接入接口上配置IP地址的方式为用户指定网关地址。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPoE功能,并指定用户接入模式。
ip subscriber { l2-connected | routed } enable [ ipv4 | ipv6 ]
缺省情况下,接口上的IPoE功能处于关闭状态。
执行本命令时,如果未指定ipv4或ipv6参数,则表示将同时开启IPv4和IPv6协议栈的IPoE功能。
目前IPoE支持以下几种认证方式:
· 绑定认证:是指BRAS设备根据用户接入的位置信息自动生成用户名和密码进行身份认证的一种认证方式,无需用户输入用户名和密码。绑定认证适用于所有IPoE接入用户类型。
· Web认证:是指用户通过访问Web认证服务器的认证页面,交互输入用户名和密码进行身份认证的一种认证方式。Web认证适用于IPoE DHCP个人接入用户和IPoE静态个人接入用户。
· Web MAC认证是指用户只需在第一次上网时输入用户名/密码,后续无需输入用户名/密码即可上网的一种快速Web认证方式。
缺省情况下,IPoE接入用户采用绑定认证方式。如果需要对IPoE接入用户进行Web认证,必须配置IPoE用户的认证方式为Web认证。
当由绑定认证方式切换到Web或Web MAC认证方式时,根据不同的IPoE会话触发方式,有以下几种处理机制:
· 对于动态个人会话:将删除当前接口上所有动态触发创建的IPoE会话信息,并强制用户下线。
· 对于接口静态个人会话:当前接口上所有静态个人IPoE会话将被重置到初始化状态,并强制用户下线。
· 对于全局静态个人会话和静态专线会话:将删除基于当前接口创建的所有IPoE全局静态个人会话和静态专线会话,并强制用户下线。
· 对于专线会话:当前接口上IPoE专线会话将被重置到初始化状态,并强制用户下线。
当由Web或Web MAC认证方式切换到绑定认证方式,或在Web和Web MAC两种认证方式之间互切时,将删除当前接口上所有DHCP动态个人会话、全局静态个人会话、静态专线会话和重置当前接口静态个人会话为初始化状态,并强制用户下线。
当接口同时配置IPoE Web认证和Portal功能时,仅IPoE Web功能生效。如果在配置IPoE Web认证前已有Portal用户上线,配置IPoE Web认证后对已上线的Portal用户无影响,当用户下线后则不再支持从该接口通过Portal方式上线。有关Portal的相关介绍,请参见“BRAS业务配置指导”中的“Portal”。
当DHCP接入用户或者静态接入用户采用Web方式上线时,支持普通Web接入、MAC Trigger无感知接入和MAC无感知接入三种接入方式。当同时配置多种接入方式时,按如下原则选择实际采用的接入方式:
· 当接口上配置了Web认证方式时:
¡ 如果未通过portal apply mac-trigger-server命令在接口上应用MAC绑定服务器,则DHCP接入用户或者静态接入用户按普通Web接入流程上线。
¡ 如果通过portal apply mac-trigger-server命令在接口上应用了MAC绑定服务器,则DHCP接入用户或者静态接入用户按MAC Trigger无感知接入流程上线。
· 当接口上配置了Web MAC认证方式时,不论是否通过portal apply mac-trigger-server命令在接口上应用MAC绑定服务器,此时DHCP接入用户或者静态接入用户都将按MAC无感知接入流程上线。
目前,仅DHCP接入用户支持三层无感知,静态接入用户不支持。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPoE接入用户的认证方式。
ip subscriber authentication-method { bind | web [ mac-auth ] }
缺省情况下,IPoE接入用户采用绑定认证。
IPoE动态个人接入用户配置任务如下:
(1) 配置动态个人会话的触发方式
(2) (可选)配置动态个人接入用户的认证用户名的命名规则
(3) (可选)配置动态个人接入用户的认证密码
(4) (可选)配置动态个人接入用户使用的认证域
(5) (可选)配置动态个人会话的最大数目
(6) (可选)配置DHCP个人接入用户的信任Option
(7) (可选)配置DHCP Option中circuit-id和remote-id解析格式
(8) (可选)配置DHCP个人接入用户的信任认证域
(9) (可选)配置DHCP个人接入用户的认证域名生成规则
(10) (可选)配置允许DHCP个人接入用户异常下线后通过报文重新触发上线
(11) (可选)配置未知源个人接入用户的信任IP地址/地址范围
(12) (可选)配置允许动态个人接入用户采用松散模式上线
接口上开启了IPoE功能后,缺省情况下丢弃接收到的用户报文,需要配置IPoE用户触发方式,使指定的用户报文得以处理,后续能够正常使用网络服务。
接口上可同时配置多种触发方式,其中:
· 配置未知源IP触发方式后,IPoE会处理接口上收到的普通IP报文,保存用户信息生成IPoE会话,并进行认证、授权和计费。
· 配置DHCP触发方式后,IPoE会处理接口上收到的DHCP Discover报文、DHCP Solicit或直接申请地址的DHCP Request报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的DHCP报文交互更新用户信息。
· 配置IPv6 ND RS触发方式后,IPoE会处理接口上收到的IPv6 ND RS报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的IPv6 ND报文交互更新用户信息。
使用IPv6 ND RS报文触发方式时,需要注意:
· 开启IPv6 ND RS报文触发方式,需先确认接入设备可发送IPv6 ND RA报文。若接入设备可以发送IPv6 ND RA报文,则建议IPv6 ND RA报文发送间隔不小于6分钟。
· IPv6 ND RS报文触发IPv6 IPoE会话功能仅在二层接入模式下生效。
· Windows系统的PC可能生成两类IPv6地址,一类是随机生成的临时地址,另外一类是通过EUI-64方式生成的公共地址。因临时地址可能发生变化,当采用AAA直接为用户授权前缀(即共享前缀)时,为确保在临时地址发生变化的情况下,用户仍可以使用临时地址接入,建议在接口上同时开启IPv6未知源IP报文触发方式。
为确保IPoE功能正常,在开启下列功能的接口上不允许开启uRPF功能。
· 未知源IPv4报文触发生成IPoE会话功能。
· 未知源IPv6报文触发生成IPoE会话功能。
· IPv6 ND RS报文触发生成IPoE会话功能。
有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4动态个人会话的触发方式。
ip subscriber initiator { dhcp | unclassified-ip } enable
缺省情况下,DHCPv4报文以及未知源IP报文触发生成IPoE会话功能均处于关闭状态。
(4) 配置IPv6动态个人会话的触发方式。
ip subscriber initiator { dhcpv6 | ndrs | unclassified-ipv6 } enable
缺省情况下,DHCPv6报文、ND RS报文以及IPv6未知源IP报文触发生成IPoE会话功能均处于关闭状态。
通过该配置可以指定动态个人接入用户认证使用的用户名的命名规则,并且根据该命名规则获取的用户名必须与认证服务器配置的用户名保持一致,用户才可以认证通过。
绑定认证方式下,动态个人接入用户按如下先后顺序选择认证用户名:
(1) 使用接入用户专有命令指定的用户名。
¡ 对于DHCP接入用户,使用ip subscriber dhcp username命令获取到的用户名作为认证用户名。
¡ 对于ND RS接入用户,使用ip subscriber ndrs username获取到的用户名作为认证用户名。
¡ 对于未知源IP接入用户,使用ip subscriber unclassified-ip username获取到的用户名作为认证用户名。
(2) 使用ip subscriber username命令配置的用户名作为认证用户名。
(3) 使用缺省的用户名。
¡ 对于DHCP接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。
¡ 对于ND RS接入用户,使用报文的源MAC地址作为认证用户名。
¡ 对于未知源IP接入用户,使用报文的源IP地址作为认证用户名。
Web认证方式和Web MAC认证方式下,在认证前域阶段,动态个人接入用户认证用户名的选择原则和绑定模式下认证用户名选择原则相同。
Web认证方式下,在Web认证阶段,动态个人接入用户按如下先后顺序选择认证用户名:
(1) 使用用户登录时输入的用户名作为认证用户名。
(2) 使用ip subscriber username命令配置的用户名作为认证用户名。
(3) 使用缺省用户名。
¡ 对于DHCP接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。
¡ 对于ND RS接入用户,使用报文源MAC地址作为认证用户名。
Web MAC认证方式下,在Web认证阶段,动态个人接入用户按如下先后顺序选择认证用户名:
(1) 使用ip subscriber username命令配置的用户名作为认证用户名
(2) 使用缺省用户名。
¡ 对于DHCP接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。
¡ 对于ND RS接入用户,使用报文源MAC地址作为认证用户名。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置DHCP接入用户的认证用户名。
ip subscriber dhcp username include { circuit-id [ separator separator ] | client-id [ separator separator ] | hostname [ original ] [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ absent-replace | original ] * [ separator separator ] | separator vendor-specific [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,未配置DHCP个人接入用户的认证用户名的命名规则。
对于采用松散模式上线DHCPv4接入用户,因报文中没有携带DHCP Option信息,所以circuit-id、mac、client-id、remote-id、vendor-class、absent-replace、original、vendor-specific这些参数不生效;此时,即使命令中指定上述参数,设备在生成用户名时也会按照未指定的情况处理。DHCPv6接入用户不支持采用松散模式上线。
(4) 配置未知源IP接入用户的认证用户名。
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,未配置未知源IP接入用户的认证用户名的命名规则。
ip subscriber ndrs username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,未配置IPv6 ND RS接入用户的认证用户名的命名规则。
(6) 配置IPoE个人接入用户的认证用户名
ip subscriber username { mac-address [ address-separator address-separator ] [ lowercase | uppercase ] | string string }
缺省情况下,未配置IPoE个人接入用户的认证用户名。
当接口上同时配置多种个人会话的触发方式时,如果管理员想避免为每种触发方式单独配置用户名带来的繁琐操作,可通过本命令一次性为当前接口上所有个人用户配置统一的认证用户名。
本节关于DHCPv4接入用户认证密码的选择原则均是针对采用非松散模式上线的情况。采用松散模式上线时,DHCPv4接入用户认证密码的选择原则请见命令手册。有关松散模式上线的介绍,请参见“1.10.13 配置允许动态个人接入用户采用松散模式上线”。
通过该配置指定IPoE接入用户进行认证时使用的密码,该密码必须与认证服务器配置的密码保持一致,用户才可以认证通过。
绑定认证方式下,动态个人接入用户按如下先后顺序选择认证密码:
(1) 使用ip subscriber dhcp password和ip subscriber dhcpv6 password option16命令获取到的密码作为认证密码。(仅适用于DHCP接入用户)
(2) 使用ip subscriber password命令配置的密码作为认证密码。
(3) 使用字符串“vlan”作为认证密码。
Web认证方式和Web MAC认证方式下,在认证前域阶段,动态个人接入用户认证密码的选择原则和绑定模式下认证密码选择原则相同。
Web认证方式下,在Web认证阶段,动态个人接入用户按如下先后顺序选择认证密码:
(1) 使用用户登录时输入的密码作为认证密码。
(2) 使用ip subscriber password命令配置的密码作为认证密码。
(3) 使用字符串“vlan”作为认证密码。
Web MAC认证方式下,在Web认证阶段,动态个人接入用户按如下先后顺序选择认证密码:
(1) 使用ip subscriber password命令配置的密码作为认证密码。
(2) 使用字符串“vlan”作为认证密码。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置动态个人接入用户的认证密码。
ip subscriber password { mac-address [ address-separator address-separator ] [ lowercase | uppercase ] | { ciphertext | plaintext } string
缺省情况下,动态个人接入用户的认证密码为字符串vlan。
当接口上同时配置多种个人会话的触发方式时,如果管理员想避免为每种触发方式单独配置认证密码带来的繁琐操作,可通过本命令一次性为当前接口上所有个人用户配置统一的认证密码。
(4) 配置DHCPv4个人接入用户使用DHCPv4报文中的信息作为认证密码。
ip subscriber dhcp password { circuit-id mac | option60 [ offset offset ] [ length length ] | user-class } }
缺省情况下,IPv4 DHCP个人接入用户未使用DHCPv4报文中的信息作为认证密码。
若要使用报文中携带的Option 60或Option 77内容作为认证密码,还必须配置信任DHCPv4报文中的Option 60或Option 77字段。信任Option 60或Option 77字段的介绍请参见“1.10.7 配置DHCP个人接入用户的信任Option”。
(5) 配置DHCPv6个人接入用户使用Option 16或者Option 17字段的内容作为认证密码。
ip subscriber dhcpv6 password option16 [ offset offset ] [ length length ]
缺省情况下,DHCPv6个人接入用户未使用Option 16或者Option 17字段的内容作为认证密码。
若要使用报文中携带的Option 16或者Option 17内容作为认证密码,还必须配置信任DHCPv6报文中的Option 16或者Option 17字段。信任Option 16或者Option 17字段的介绍请参见“1.10.7 配置DHCP个人接入用户的信任Option”。
本节关于认证域的选择原则均是针对采用非松散模式上线的IPoE用户。采用松散模式上线时,用户认证域的选择原则请见命令手册。有关松散模式上线的介绍,请参见“1.10.13 配置允许动态个人接入用户采用松散模式上线”。
绑定认证方式下,动态个人接入用户支持通过多种方式获取认证域,并按如下优先顺序选择匹配到可用的认证域进行认证(其中,步骤(1)~(2)仅适用于DHCP接入用户,步骤(3)仅适用于DHCP接入用户和未知源IP接入用户):
(1) 使用ip subscriber dhcp domain命令指定的强制认证域;若该域未创建,则用户上线失败。(仅适用于DHCP接入用户)
(2) 使用Option中的信息作为认证域。(仅适用于DHCP接入用户)
对于DHCPv4接入用户,使用Option中的信息作为认证域的原则如下:
a. 同时满足如下条件时,使用根据ip subscriber dhcp domain include命令配置的域名生成规则生成的认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option60命令;
- 接口上配置了ip subscriber dhcp option60 match命令并且在Option 60中的指定位置能够匹配到ip subscriber dhcp option60 match命令指定的字符串;
- 接口上配置了ip subscriber dhcp domain include命令。
b. 同时满足如下条件时,使用和ip subscriber dhcp option60 match命令指定的信任字符串相匹配的Option 60中字符串作为认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option60命令;
- 接口上配置了ip subscriber dhcp option60 match命令并且在Option 60中的指定位置能够匹配到ip subscriber dhcp option60 match命令指定的字符串。
- 接口上未配置ip subscriber dhcp domain include命令。
c. 在信任Option 60的情况下,如果接口上配置ip subscriber dhcp option60 match命令但在Option 60中的指定位置不能匹配到ip subscriber dhcp option60 match命令指定的字符串,则忽略option60内容,不会使用option60内容作为认证域(即按报文未携带option60选项的情况选择认证域),此时直接跳转到步骤(3)。
d. 同时满足如下条件时,使用根据ip subscriber dhcp domain include命令配置的域名生成规则生成的认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option60命令;
- 接口上未配置ip subscriber dhcp option60 match命令;
- Option 60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”);
- 接口上配置了ip subscriber dhcp domain include命令。
e. 同时满足如下条件时,使用ip subscriber trust option60命令提取的内容作为认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option60命令;
- 接口上未配置ip subscriber dhcp option60 match命令和ip subscriber dhcp domain include命令;
- Option 60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”)。
对于DHCPv6接入用户,使用Option中的信息作为认证域的原则如下:
a. 同时满足如下条件时,使用和ip subscriber dhcp option16 match命令指定的信任字符串相匹配的Option 16中的字符串作为认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option16命令;
- 接口上配置ip subscriber dhcp option16 match命令并且在Option 16中的指定位置能够匹配到ip subscriber dhcp option16 match命令指定的信任字符串。
b. 同时满足如下条件时,使用ip subscriber trust option16命令提取的内容作为认证域;若该域未创建,则跳转到步骤(3)。
- 接口上配置了ip subscriber trust option16命令;
- 接口上未配置ip subscriber dhcp option16 match命令或配置了该命令但在Option 16中的指定位置不能匹配到ip subscriber dhcp option16 match命令指定的信任字符串。
- Option 16内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”)。
(3) 使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。(仅适用于DHCP接入用户和未知源IP接入用户)
(4) 使用动态个人接入用户域配置命令中指定的认证域,具体如下:
¡ 对于DHCP接入用户,使用ip subscriber dhcp domain命令指定的非强制认证域;若该域未创建,则用户上线失败。
¡ 对于未知源IP接入用户,使用ip subscriber unclassified-ip domain命令配置的认证域;若该域未创建,则用户上线失败。
¡ 对于IPv6 ND RS接入用户,使用ip subscriber ndrs domain命令指定的认证域;若该域未创建,则用户上线失败。
(5) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
关于域名生成规则的介绍,请参见“1.10.10 配置DHCP个人接入用户的认证域名生成规则”。
关于如何使用配置的匹配Option 60/Option 16/Option 17中的字符串作为DHCP个人接入用户的认证域,请参见“1.10.9 配置DHCP个人接入用户的信任认证域”。
关于报文业务识别方式映射的认证域的具体配置,请参见“1.16 配置报文业务识别方式以及与认证域的映射关系”。
Web认证方式下,认证域的选择原则请参见“1.13.2 配置Web个人接入用户的认证域”。
如果需要使用Option 60/Option 16/Option 17中的信息作为DHCP个人接入用户的认证域,则需要配置接入设备信任DHCPv4 Option 60/DHCPv6 Option 16/DHCPv6 Option 17中的信息,具体配置请参见“1.10.7 配置DHCP个人接入用户的信任Option”。
为使得用户认证成功,请确保按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置动态个人接入用户使用的认证域。
ip subscriber dhcp domain domain-name [ force ]
ip subscriber { ndrs | unclassified-ip } domain domain-name
缺省情况下,未配置动态个人接入用户使用的认证域。
通过配置动态个人会话的最大数目可以控制系统中的动态个人接入用户总数。
如果接口上配置的IPoE最大会话数目小于当前处于在线状态的动态个人会话数目,则该配置可以执行成功,且在线IPoE用户不受影响,但系统将不允许新的IPoE用户接入。
在双栈IPoE组网应用中,建议:
· 对于DHCP接入用户:DHCPv4和DHCPv6,二者配置相同的最大会话数。
· 对于未知源IP接入用户:未知源IPv4和未知源IPv6,二者配置相同的最大会话数。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置动态个人会话的最大数目。
ip subscriber { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 } max-session max-number
缺省情况下,未配置接口上允许创建的动态个人会话的最大数目。
本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。有关ip subscriber max-session命令的相关介绍,请参见“1.15 配置IPoE个人会话和专线子用户会话的最大总数目”。
在DHCP中继组网环境中,接入设备可以从用户的DHCP报文中提取出相应的DHCP Option,这些Option中携带了用户接入线路的相关信息,例如接入节点的物理位置、线路速率等。如果接入设备信任DHCP报文中的这些Option,则会使用这些Option中的相关内容来封装发往RADIUS服务器的RADIUS属性,远程RADIUS服务器可结合这些属性对用户进行更为灵活的接入管理。
信任的Option和对应的RADIUS属性对应关系为:
· 若信任DHCPv4 Option 82,则其中的Circuit-ID可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv4 Option 82,则其中的Remote-ID可用来封装DSL_AGENT_REMOTE_ID属性。
· 若信任DHCPv6 Option 18,则Option 18可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv6 Option 37,则Option 37可用来封装DSL_AGENT_REMOTE_ID属性。
· 若信任DHCPv6 Option 79,则可以使用Option 79中解析出MAC地址,并将该MAC地址作为一个必要条件来识别一个DHCPv6用户,如果存在同MAC地址的DHCPv4用户,二者可以组成双栈。需要注意:如果IPoE可以同时从Option 79和Client ID字段中解析出用户的MAC地址,则优先使用从Option 79中解析出的用户MAC地址。
缺省情况下,按字符串格式对option82、option18和option37中的circuit-id和remote-id字段进行解析。有关circuit-id和remote-id解析格式的介绍,请参见“1.10.8 配置DHCP Option中circuit-id和remote-id解析格式”。
在DHCP组网环境中,如果接入设备信任DHCPv4 Option 60/DHCPv6 Option 16/DHCPv6 Option 17中的信息,在满足一定的条件时,IPoE用户可以使用Option 60/Option 16/Option 17中的信息作为指定的认证域进行认证。有关认证域的具体选择情况,请参见“1.10.5 配置动态个人接入用户使用的认证域”。
为确保BRAS设备可以收到携带Option 79的DHCPv6报文,要求在DHCPv6客户端发出请求报文后经过的第一个DHCPv6中继上通过ipv6 dhcp relay client-link-address enable命令开启DHCPv6中继支持添加Option 79选项功能。有关ipv6 dhcp relay client-link-address enable命令的介绍,请参见“三层技术-IP业务命令参考”中的“DHCPv6。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任DHCP报文中的指定Option。
ip subscriber trust { option12 | option60 | option77 | option82 | option16 | option17 | option18 | option37 | option79 }
缺省情况下,不信任DHCP报文中的任何Option。
同一接口视图下可以多次执行本命令配置信任DHCP报文中不同的Option,但不允许同时配置信任Option 16和Option 17。
为确保IPoE对circuit-id和remote-id中的信息进行正确解析,需要根据下游设备上送上来的circuit-id和remote-id信息的不同格式,通过本功能为其配置相应的解析格式。
仅在通过ip subscriber trust命令配置了信任相应Option的情况下,本功能配置后才生效。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任DHCP报文中的指定Option。
ip subscriber trust { option82 | option18 | option37 }
缺省情况下,不信任DHCP报文中的任何Option。
(4) 配置IPoE对DHCP Option中circuit-id的解析格式。
ip subscriber access-line-id circuit-id trans-format { ascii | hex }
缺省情况下,IPoE对DHCP Option中circuit-id解析格式为字符串格式。
(5) 配置IPoE对DHCP Option中remote-id的解析格式。
ip subscriber access-line-id remote-id trans-format { ascii | hex }
缺省情况下,IPoE对DHCP Option中remote-id的解析格式为字符串格式。
在一些组网环境中,接口上可能需要同时开启Portal和DHCP报文触发认证的IPoE功能,例如:管理员给门禁、监控摄像头、打印机等哑终端分配动态的IP地址并使用DHCP报文触发IPoE认证,同时宽带拨号用户使用Portal认证;这种组网环境可配置信任DHCPv4 Option 60/DHCPv6 Option 16/DHCPv6 Option 17字段中某些字符串,使设备根据匹配规则从Option 60/Option 16/Option 17字段提取出的字符串中是否存在与配置的信任字符串相同的字符串,分别做如下不同的处理:
· 如果从Option 60/Option 16/Option 17字段提取的字符串中存在与配置的信任字符串相同的字符串,则DHCP报文触发IPoE接入认证,并按如下优先顺序选择第一个匹配到的认证域进行认证。
a. 配置了强制认证域的情况下,使用强制认证域进行认证;若该域未创建,则用户上线失败。
b. 配置了信任Option 60/Option 16/Option 17的情况下,如果配置了域名生成规则,则使用根据域名生成规则生成的认证域;如果未配置域名生成规则,则使用配置的信任字符串作为DHCP个人接入用户的认证域。有关域名生成规则的介绍,请参见“1.10.10 配置DHCP个人接入用户的认证域名生成规则”。
c. 未配置信任Option 60/Option 16/Option 17的情况下,认证域的选择请见1.10.5 配置动态个人接入用户使用的认证域。
d. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
· 如果从Option 60/Option 16/Option 17字段提取的字符串中不存在与配置的信任字符串相同的字符串,则DHCP报文不会触发IPoE接入认证,用户直接进入Portal认证流程。有关Poral认证的相关介绍请参见“BRAS业务配置指导”中的“Portal”。
如果需要使用ip subscriber dhcp option60 match/ip subscriber dhcpv6 { option16 | option17 } match命令匹配到的字符串作为认证域,必须配置信任Option 60/Option 16/Option 17。有关信任Option 60/Option 16/Option 17的具体配置请参见“1.10.7 配置DHCP个人接入用户的信任Option”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置DHCPv4个人接入用户的信任认证域。
ip subscriber dhcp option60 match string [ offset offset ] [ length length ]
缺省情况下,未配置DHCPv4个人接入用户的信任认证域。
(4) 配置DHCPv6个人接入用户的信任认证域。
ip subscriber dhcpv6 { option16 | option17 } match string [ offset offset ] [ length length ]
缺省情况下,未配置DHCPv6个人接入用户的信任认证域。
在一些组网环境中,需要把接入信息和option60的字符拼接后作为认证域来认证。例如:用户A和用户B属于不同的VLAN,但拥有相同的Option60,并通过同一接入接口上线。现要求将用户A和用户B划分到不同的认证域,并根据不同的认证域授权不同的地址池。此时可通过本特性配置VLAN信息参与域名生成,即通过Option60+VLAN组合方式生成不同的域名。
在DHCP接入用户使用Option60中的信息作为认证域的情况下,如果配置了本特性,则配置的参数将参与域名的生成,最终的域名生成规则为:Option60中的作为认证域的字段+命令配置的参数信息。在配置了信任Option60的情况下,Option60中参与域名生成字段的选取规则如下:
· 如果配置了ip subscriber dhcp option60 match命令,并且在Option 60中的指定位置能够匹配到指定的信任字符串,则使用匹配的信任字符串参与域名生成。如果不能匹配到指定的信任字符串,则忽略Option60内容,不会使用Option60内容作为认证域(即按报文未携带option60选项的情况选择认证域)。
· 如果未配置ip subscriber dhcp option60 match命令,则使用ip subscriber trust option60命令提取的内容参与域名生成。
如果需要使用ip subscriber dhcp domain include命令生成认证域名,必须配置信任Option 60。有关信任Option 60的具体配置请参见“1.10.9 配置DHCP个人接入用户的信任认证域”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任DHCP报文中Option60。
ip subscriber trust option60
缺省情况下,不信任DHCP报文中的任何Option。
(4) 配置DHCPv4个人接入用户的信任认证域。
ip subscriber dhcp option60 match string [ offset offset ] [ length length ]
缺省情况下,未配置DHCPv4个人接入用户的信任认证域。
(5) 配置DHCPv4个人接入用户的认证域名生成规则。
ip subscriber dhcp domain include vendor-class [ separator separator ] { second-vlan [ separator separator ] | string string [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,未配置DHCPv4个人接入用户的认证域名生成规则。
对于DHCPv4用户:必须在接口上开启未知源IP报文生成IPoE会话功能或ARP报文触发用户上线功能,BRAS设备才会对该接口上异常下线的DHCP用户进行记录。通过对异常下线的DHCP用户信息进行记录,当设备收到DHCP用户的IP或ARP报文时,可根据DHCP异常下线记录表项恢复该用户的IPoE会话。
对于DHCPv6用户:必须在接口上开启未知源IPv6报文生成IPoE会话功能或NSNA报文触发用户上线功能,BRAS设备才会对该接口上异常下线的DHCPv6用户进行记录。通过对异常下线的DHCPv6用户信息进行记录,当设备收到DHCPv6用户的IPv6或NSNA报文时,可根据DHCPv6异常下线记录表项恢复该用户的IPoE会话。
DHCP用户异常下线是指,不是因为DHCP接入用户主动释放IP地址引起的用户IPoE会话被删除的现象。
当接口收到用户IP、ARP或NSNA报文时,如果该报文可以同时匹配静态IPoE会话和DHCP异常下线记录表项,则按静态IPoE会话方式上线。
为保证用户DHCP接入用户异常下线后可以通过报文重新触发上线,不允许关闭接口上的DHCP报文触发生成IPoE会话的功能并且用户认证域或AAA服务器中需要授权相应的DHCP地址池或地址池组。如果未在用户认证域或AAA服务器中授权相应的DHCP地址池或地址池组,则要求:
· 当BRAS设备作为DHCP server时,必须在接入接口上配置IPv4或IPv6地址,BRAS设备需要根据接入接口IP地址查找同网段的地址池为用户分配IP地址或IPv6 PD前缀。
· 当BRAS设备作为DHCP relay时,必须在接入接口上配置IPv4或IPv6地址,并且通过命令dhcp relay server-address命令或ipv6 dhcp relay server-address指定远端DHCP server的地址。相关命令详细介绍,请参见“BRAS业务命令参考”中的“DHCP”和“DHCPv6”。
Web认证用户异常下线后重新触发上线时只能恢复其在认证前域中的会话;如果该用户需要在Web认证阶段上线,仍需走正常Web认证流程。
需要注意的是,以下任何一种情况都会清除对应接口的异常下线记录表项:
· 对于DHCPv4用户:接口上关闭未知源IP报文生成IPoE会话功能和ARP报文触发用户上线功能。
· 对于DHCPv6用户:接口上关闭未知源IPv6报文生成IPoE会话功能和NSNA报文触发用户上线功能。
· 接口上关闭IPoE功能。
· 接口上关闭DHCP报文触发生成IPoE会话的功能。
· 接口去激活(包括接口所在slot或subslot被拔出、用户上线的全局接口或子接口被删除)。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启未知源IP报文触发生成IPoE会话功能或ARP报文触发用户上线功能。请至少选择其中一项进行配置。
¡ 开启未知源IP报文触发生成IPoE会话功能。
ip subscriber initiator unclassified-ip enable [ matching-user ]
缺省情况下,未知源IP报文触发生成IPoE会话功能处于关闭状态。
在同一接口上不支持同时开启未知源IPv4报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
¡ 开启ARP报文触发用户上线功能。
ip subscriber initiator arp enable
缺省情况下,ARP报文触发用户上线功能处于关闭状态。
(4) 开启未知源IPv6报文触发生成IPoE会话功能或NSNA报文触发用户上线功能。请至少选择其中一项进行配置。
¡ 开启未知源IPv6报文触发生成IPoE会话功能。
ip subscriber initiator unclassified-ipv6 enable [ matching-user ]
缺省情况下,未知源IP报文触发生成IPoE会话功能处于关闭状态。
在同一接口上不支持同时开启未知源IPv6报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
¡ 开启NSNA报文触发用户上线功能。
ip subscriber initiator nsna enable
缺省情况下,NSNA报文触发用户上线功能处于关闭状态。
(5) (可选)配置异常下线用户再次触发上线时租约到期时间为异常下线前的时间。
ip subscriber lease-end-time original
缺省情况下,异常下线用户再次触发上线时租约到期重新开始计算。
在一些组网环境中,接口上可能需要同时开启Portal和未知源IPoE报文触发生成IPoE会话功能,例如:管理员给门禁、监控摄像头、打印机等哑终端分配固定的静态IP地址并使用未知源IPoE触发方式认证,同时宽带拨号用户使用Portal认证;这种组网环境可配置未知源个人接入用户的信任IP地址/地址范围,使设备根据接口上收到的IP报文中源地址是否是信任IP地址,分别做如下不同的处理:
· 如果未知源IP报文能够匹配静态IPoE会话,则不论IP报文中源地址是否是信任的IP地址,都直接走IPoE静态用户上线流程。
· 如果未知源IP报文未能匹配静态IPoE会话,则按如下原则处理:
¡ 如果IP报文中源地址是信任的IP地址,则触发未知源IPoE认证;
¡ 如果IP报文源地址是非信任IP地址,则不会触发IPoE接入认证,用户直接进入Portal认证流程。有关Poral认证的相关介绍请参见“BRAS业务配置指导”中的“Portal”。
需要注意的是,当接口仅开启未知源IP报文触发生成IPoE会话功能,但未开启Portal功能时,如果配置了信任IP地址,设备根据接口上收到的IP报文中源地址是否是信任IP地址,分别做如下不同的处理:
· 如果未知源IP报文能够匹配静态IPoE会话,则不论IP报文中源地址是否是信任的IP地址,都直接走IPoE静态用户上线流程。
· 如果未知源IP报文未能匹配静态IPoE会话,则只有当未知源IP报文的IP地址与配置的信任IP地址匹配时才会触发IPoE接入认证,否则丢弃报文。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任的源IPv4地址/地址范围。
ip subscriber unclassified-ip ip match start-ip-address [ end-ip-address ]
缺省情况下,未配置信任任何源IPv4地址/地址范围。
(4) 配置信任的源IPv6地址/地址范围。
ip subscriber unclassified-ip ipv6 match start-ipv6-address [ end-ipv6-address ]
缺省情况下,未配置信任任何源IPv6地址/地址范围。
因系统或用户接入接口所在Slot重启导致在线IPoE用户的会话被删除时,待系统或用户接入接口所在Slot重启后,对于DHCP用户,因无法感知接入设备或用户接入接口所在Slot的重启,不会再次发送DHCP报文触发上线,导致接入设备无法为其重新生成DHCP类型的IPoE会话。为解决这类问题,IPoE支持用户采用松散模式上线。
采用松散模式上线时,通过全局接口和物理接口上线的用户,对重启的定义不同,具体如下:
· 通过全局接口上线的用户:松散模式上线,是指系统重启后,允许IPoE用户在指定的loose-time/all-time时长内,通过IP和ARP报文触发上线生成DHCP类型的IPoE会话。
· 通过物理接口上线的用户:松散模式上线,是指用户接入接口所在Slot重启后,允许IPoE用户在指定的loose-time/all-time时长内,通过IP和ARP报文触发上线生成DHCP类型的IPoE会话。
在系统或用户接入接口所在Slot重启后的设置时长内,当接口收到用户IP或ARP报文时,按如下先后顺序上线:
· 如果该报文可以匹配静态IPoE会话,则按静态IPoE会话方式上线。
· 如果该报文可以匹配DHCP异常下线记录表项,则按异常下线记录重新上线。
· 如果该报文可以匹配漫游用户,则按漫游流程处理。
· 采用松散模式上线。
对于IPoE DHCP用户,仅在同时满足下列条件时,才支持用户采用松散模式上线:
· 接入接口上配置了二层接入模式。
· 接入接口上开启DHCPv4报文触发生成IPoE会话的功能。
· 通过认证域或AAA服务器为用户授权了DHCPv4地址池。
· 当需要通过IP报文触发上线时,接入接口上必须配置ip subscriber initiator unclassified-ip enable命令,并建议同时指定matching-user参数。在同一接口上不支持同时开启未知源IPv4报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
· 当需要通过ARP报文触发上线时,接入接口上必须同时配置ip subscriber initiator arp enable命令和ip subscriber initiator unclassified-ip enable命令,并建议同时指定matching-user参数。在同一接口上不支持同时开启未知源IPv4报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
目前仅IPv4 IPoE动态个人接入用户支持采用松散模式上线,IPv6 IPoE用户不支持。
对于IPoE Web认证用户,采用松散模式上线时只能重新生成其在认证前域中的会话。如果该用户需要在Web认证阶段上线,仍需走正常Web认证流程。
当IPoE用户采用松散模式上线时,为确保IPoE功能正常,不允许再在采用松散模式上线的接入接口上配置Portal功能。
(1) 进入系统视图。
system-view
(2) 配置松散模式上线功能。
ip subscriber access-trigger loose { loose-time | all-time }
在IPoE DHCP用户接入场景中,设备或用户接入接口所在Slot重启、接入接口Down等故障会导致用户异常下线及用户信息丢失。如果用户未能感知到此故障,待故障恢复后,用户不会重新发送DHCP报文触发上线,这种情况下接入设备将无法恢复异常下线用户的信息。为解决这类问题,设备支持IPoE DHCP用户信息的自动备份功能。
IPoE DHCP用户信息的自动备份功能,是指在用户上线后设备自动对用户信息进行备份,如果出现故障且故障恢复后,设备再根据备份信息自动恢复异常下线用户的上线信息。
对于设备重启的情况,因设备重启后,保存在内存中的备份用户信息会丢失,导致设备无法根据内存中的备份信息恢复异常下线用户的上线信息。因此在计划设备重启前,需要先执行ip subscriber dhcp save-file命令将内存中的备份信息保存一份到指定文件中。待设备重启后,再执行ip subscriber dhcp recover-file命令将文件中的备份信息重新恢复到内存中,设备将会根据内存中的备份用户信息恢复异常下线用户的上线信息。
本功能主要用于在计划内重启设备或接入接口Down等故障的情况下,用来恢复异常下线DHCP用户的IPoE会话信息。
安装补丁包的过程中会涉及进程重启,为避免用户备份数据丢失,建议在安装补丁包前先执行ip subscriber dhcp save-file命令以及时将内存中的备份信息保存一份到指定文件中。有关补丁包安装的介绍,请参见“基础配置指导”中的“软件升级”。
(1) 进入系统视图。
system-view
(2) 开启IPoE DHCP用户信息的自动备份功能,并配置允许自动备份的最大用户数。
ip subscriber dhcp auto-save max-user max-user
缺省情况下,IPoE DHCP用户信息的自动备份功能处于关闭状态。
(3) 开启IPoE DHCP用户的自动恢复功能
ip subscriber dhcp auto-recover enable
缺省情况下,IPoE DHCP用户的自动恢复功能处于关闭状态。
仅在开启了IPoE DHCP用户的自动恢复功能时,当故障恢复后,设备才会根据备份信息自动恢复异常下线用户的上线信息。
(4) (可选)配置IPoE DHCP用户自动恢复上线的速率模式。
ip subscriber dhcp auto-recover speed { fast | normal | slow } [ recover-delay delay-time ]
缺省情况下,IPoE DHCP用户自动恢复上线的速率为normal,延迟恢复时间为5s。
在fast模式下,设备会较高的速率恢复用户的上线信息,在恢复期间会对设备的处理性能有一定的影响,请根据需要选择该模式。
(5) 进入接口视图。
interface interface-type interface-number
(6) (可选)配置自动备份用户下线后再次触发上线后的租约到期时间为自动备份表项记录的租约时间。
ip subscriber lease-end-time original
缺省情况下,自动备份用户下线后再次触发上线后的租约到期时间重新开始计算。
(7) 回退系统视图
quit
(8) 将内存中的备份用户信息保存到指定文件。
ip subscriber dhcp save-file file-path-name
缺省情况下,内存中的备份用户信息不会保存到文件中。
(9) 将指定文件中保存的备份信息恢复到内存中。
ip subscriber dhcp recover-file file-path-name
缺省情况下,文件中的备份用户信息不会恢复到内存中。
如图1-8所示,CPE支持通过NDRA和IA_PD两种方式分别向BRAS申请ND前缀和PD前缀。其中:
· NDRA:CPE主动向BRAS发送ND RS报文,BRAS通过ND RA报文给CPE WAN口分配ND前缀,用于CPE WAN口生成IPv6全球单播地址,该地址可被用于远程管理CPE设备。
· IA_PD:CPE主动向BRAS发送DHCPv6请求报文,BRAS通过DHCPv6(IA_PD)协议给CPE分配PD前缀;CPE将获取到PD前缀通过无状态方式分配给下连的主机,用于主机生成IPv6全球单播地址。
图1-8 NDRA+DHCPv6(IA_PD)方式地址分配组网示意图
在上述组网中,对于同一个CPE下连的Host,如果该CPE未能成功通过IA_PD方式上线,那么这些Host就无法生成IPv6全球单播地址,不能访问网络资源。这种情况下,即使CPE通过NDRA方式成功上线,对Host用户也没有实际意义,同时,维护CPE的NDRS用户表项还会占用BRAS的系统资源。基于上述原因,建议在NDRA+DHCPv6(IA_PD)组网中,通过本命令配置仅在用户以IA_PD方式成功上线的情况下,才允许以NDRS方式上线。
在非NDRA+DHCPv6(IA_PD)组网中,请不要配置本功能,否则会导致用户不能以NDRS方式上线。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 在接口上配置用户以IA_PD方式成功上线后,才允许以NDRS方式上线。
ip subscriber ndrs wait-delegation-prefix
缺省情况下,接口上不限制用户以IA_PD方式和NDRS方式上线的先后顺序。
IPoE静态接入用户配置任务如下:
(1) 配置静态会话的触发方式
(2) 配置静态个人会话
(3) 配置静态专线会话
(4) (可选)配置静态接入用户的认证密码
(5) (可选)配置静态接入用户使用的认证域
配置静态会话时,必须开启未知源IP报文触发生成IPoE会话的功能,才能使IP报文来触发静态会话发起认证。
对于IPv4静态会话,如需通过ARP报文触发用户上线,则需要开启静态接入用户通过ARP报文触发上线功能,此时,当设备收到的ARP报文与手工配置的IPoE会话匹配后才会触发认证。
关闭静态接入用户通过ARP报文触发上线功能时,接口上已由ARP报文触发上线的IPv4静态会话将仍保持其在线状态。
对于IPv6静态会话,如需通过NS或NA报文触发用户上线,则需要开启静态接入用户通过NS/NA报文触发上线功能,此时,当设备收到的NS或NA报文与手工配置的IPoE会话匹配后才会触发认证。
关闭静态接入用户通过NS/NA报文触发上线功能时,接口上已由NS或NA报文触发上线的IPv6静态会话将仍保持其在线状态。
开启静态接入用户通过ARP报文触发上线功能时,请确保给静态接入用户分配的网关地址是用户接入接口的IP地址或DHCP地址池中通过命令gateway-list export-route指定的网关地址,否则即使该用户的ARP报文与手工配置的IPoE会话匹配也无法触发认证。
当需要通过NS或NA报文触发用户上线时,目前支持如下两种触发方式:
· 通过ip subscriber initiator unclassified-ipv6 enable命令配置的未知源IPv6报文触发方式。
· 通过ip subscriber initiator nsna enable命令配置的NS/NA报文触发方式。
当上述两种方式同时配置时,根据IPoE的接入模式不同分为如下两种情况:
· 在IPoE二层接入模式下,当设备收到的NS或NA报文的源IPv6地址是全球单播地址,并且目的IPv6地址非组播地址时,仅按未知源方式处理;除此之外的NS/NA报文,如果满足NS/NA报文触发用户上线功能的条件,则按NS/NA报文触发方式处理,否则丢弃报文。
在IPoE三层接入模式下,NS和NA报文仅支持通过NS/NA报文触发方式上线,不支持通过未知源IPv6报文触发方式上线。
为确保IPoE功能正常,在开启下列功能的接口上不允许开启uRPF功能。
· 未知源IPv4报文触发生成IPoE会话功能。
· 未知源IPv6报文触发生成IPoE会话功能。
· IPv6 ND RS报文触发生成IPoE会话功能。
有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
在配置全局静态指定了IPv6 Delegation前缀的情况下,只有在接口使能二层接入模式且是Bind认证方式时匹配该会话的用户才能上线。
目前仅CSPEX类单板(除CSPEX-1104-E之外)和CEPC类单板支持配置全局静态会话指定IPv6 Delegation前缀功能。
IPv6静态用户配置前缀地址不支持和ND前缀池授权前缀同时配置。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4静态会话的触发方式。请至少选择其中一项进行配置。
¡ 开启未知源IPv4报文触发生成IPoE会话功能。
ip subscriber initiator unclassified-ip enable [ matching-user ]
缺省情况下,未知源IPv4报文触发生成IPoE会话功能处于关闭状态。
¡ 开启ARP报文触发用户上线功能。
ip subscriber initiator arp enable
缺省情况下,ARP报文触发用户上线功能处于关闭状态。
(4) 配置IPv6静态会话的触发方式。请至少选择其中一项进行配置。
¡ ip subscriber initiator unclassified-ipv6 enable [ matching-user ]
缺省情况下,IPv6未知源IP报文触发生成IPoE会话功能处于关闭状态。
¡ 开启NS/NA报文触发用户上线功能。
ip subscriber initiator nsna enable
缺省情况下,NS/NA报文触发用户上线功能处于关闭状态。
管理员手工输入静态个人会话所需的信息(用户IP地址、MAC地址、用户报文的内/外层VLAN)后,接入设备根据这些信息生成对应的静态个人会话。当接口上有与手工配置的静态个人会话相匹配的IP、ARP、NS或NA报文通过时,将触发认证过程。认证成功后,设备对静态个人接入用户下发用户策略,允许该用户报文通过接口并对该用户的流量进行计费。
静态个人会话可在接口上配置,也可以全局配置。当静态个人用户上线时,如果用户报文可同时匹配全局静态个人会话和接口静态个人会话,则优先使用接口静态个人会话上线。
在公网或同一VPN实例中,任意IP地址的IPoE静态会话最多只能存在一条
对于接口静态会话和指定了接口的全局静态会话,在公网和所有VPN实例中,IP地址和接口完全相同的IPoE静态会话最多只能存在一条。
对于未指定接口的全局静态会话,在公网和所有VPN实例中,任意IP地址的全局IPoE静态会话最多只能存在一条。
(1) 进入系统视图。
system-view
(2) (可选)配置设备发送静态个人接入用户上线请求的时间间隔。
ip subscriber static-session request-online interval seconds
缺省情况下,设备发送静态个人接入用户上线请求的时间间隔为180秒。
(3) 进入接口视图。
interface interface-type interface-number
(4) 配置IPv4静态个人会话。
ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ip ipv4-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]
缺省情况下,未配置IPv4静态个人会话。
本命令中的vlan和second-vlan参数仅子接口支持。
(5) 配置IPv6静态个人会话。
ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]
缺省情况下,未配置IPv6静态个人会话。
本命令中的vlan和second-vlan参数仅子接口支持。
(6) 配置双栈静态个人会话。
ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online { ip | ipv6 } ] [ description string ] [ gateway { ip ipv4-address | ipv6 ipv6-address } * ] [ vpn-instance vpn-instance-name ] [ keep-online ]
缺省情况下,未配置双栈静态个人会话。
本命令中的vlan和second-vlan参数仅子接口支持。
(1) 进入系统视图。
system-view
(2) 配置IPv4静态个人会话。
ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online ] ] [ description string ] [ gateway ip ipv4-address ] [ vpn-instance vpn-instance-name ] [ keep-online | support-ds ] [ ignore-ip-conflict ]
缺省情况下,未配置IPv4静态个人会话。
本命令中的vlan和second-vlan参数仅子接口支持。
(3) 配置IPv6静态个人会话。
ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online ] ] [ description string ] [ gateway ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] [ keep-online | support-ds ] [ ignore-ip-conflict ]
缺省情况下,未配置IPv6静态个人会话。
本命令中的vlan和second-vlan参数仅子接口支持。
本命令中的delegation-prefix参数不支持和support-ds参数同时配置。
(4) 配置双栈静态个人会话。
ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online { ip | ipv6 } ] ] [ description string ] [ gateway { ip ipv4-address | ipv6 ipv6-address } * ] [ vpn-instance vpn-instance-name ] [ keep-online ] [ ignore-ip-conflict ]
缺省情况下,未配置双栈静态个人会话。
本命令中的vlan和second-vlan参数仅子接口支持。
(5) (可选)配置设备发送静态个人接入用户上线请求的时间间隔。
ip subscriber static-session request-online interval seconds
缺省情况下,设备发送静态个人接入用户上线请求的时间间隔为180秒。
如图1-9所示,在运营商专线业务中,某企业的三层设备Device下挂多台主机,Device的上行接口Port A需要由运营商分配公网IP地址,并且在BRAS侧需要对Device下挂的所有主机统一进行认证、授权和计费。针对这种情况,在满足专线业务需求的前提下,为便于管理员合理分配和维护公网IP地址,管理员还希望能够在BRAS设备上随时查阅为各个专线业务的Device设备分配的公网IP地址,此时可在BRAS设备上部署IPoE静态专线。
图1-9 IPoE静态专线应用组网示意图
静态专线是一种特殊的专线,具体表现在如下两个方面:
· 在业务属性的独立性方面:类似接口专线,该接口上接入的所有用户统一进行认证、授权和计费。当静态专线会话上线后,任意源IP地址的报文都允许从专线接口通过。
· 在触发上线方式方面:类似全局静态个人会话,在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP、ARP、NS或NA流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立静态专线会话;如果认证未通过,则不建立静态专线会话。
每个接口上只能配置一个静态专线会话。
仅采用绑定认证方式时支持静态专线。
(1) 进入系统视图。
system-view
(2) 配置IPv4 IPoE静态专线会话。
ip subscriber session static-leased ip ipv4-address interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ip ipv4-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]
缺省情况下,未配置IPv4 IPoE静态专线会话。
(3) 配置IPv6 IPoE静态专线会话。
ip subscriber session static-leased ipv6 ipv6-address interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]
缺省情况下,未配置IPv6 IPoE静态专线会话。
(4) 配置双协议栈IPoE静态专线会话。
ip subscriber session static-leased ip ipv4-address ipv6 ipv6-address interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online { ip | ipv6 } ] [ description string ] [ gateway { ip ipv4-address | ipv6 ipv6-address } * ] [ vpn-instance vpn-instance-name ] [ keep-online ]
缺省情况下,未配置双协议栈IPoE静态专线会话。
通过该配置可以指定静态接入用户认证使用的用户名的命名规则,并且根据该命名规则获取的用户名必须与认证服务器配置的用户名保持一致,用户才可以认证通过。
绑定认证方式下,静态接入用户按如下先后顺序选择认证用户名:
(1) 使用ip subscriber unclassified-ip username获取到的用户名作为认证用户名。
(2) 使用ip subscriber username命令配置的用户名作为认证用户名。
(3) 使用报文的源IP地址作为认证用户名。
Web认证方式和Web MAC认证方式下,在认证前域阶段,静态接入用户按如下先后顺序选择认证用户名:
(1) 使用ip subscriber unclassified-ip username获取到的用户名作为认证用户名。
(2) 使用ip subscriber username命令配置的用户名作为认证用户名。
(3) 使用报文的源IP地址作为认证用户名。
Web认证方式下,在Web认证阶段,静态接入用户按如下先后顺序选择认证用户名:
(1) 使用用户登录时输入的用户名作为认证用户名。
(2) 使用ip subscriber username命令配置的用户名作为认证用户名。
(3) 使用报文的源IP地址作为认证用户名。
Web MAC认证方式下,在Web认证阶段,静态接入用户按如下先后顺序选择认证用户名:
(1) 使用ip subscriber username命令配置的用户名作为认证用户名
(2) 使用报文的源IP地址作为认证用户名。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置未知源IP接入用户的认证用户名。
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,未知源IP接入用户采用用户报文的源IP地址作为认证用户名。
静态接入用户使用接口上配置的IPoE接入用户的认证密码进行认证。通过该配置指定的密码必须与认证服务器配置的密码保持一致,用户才可以认证通过。
绑定认证方式下,静态接入用户按如下先后顺序选择认证密码:
(1) ip subscriber session static命令中指定password mac时,使用用户MAC地址作为认证密码。
(2) 使用ip subscriber password命令配置的密码作为认证密码。
(3) 使用字符串“vlan”作为认证密码。
Web认证方式和Web MAC认证方式下,在认证前域阶段,静态接入用户按如下先后顺序选择认证密码:
(1) ip subscriber session static命令中指定password mac时,使用用户MAC地址作为认证密码。
(2) 使用ip subscriber password命令配置的密码作为认证密码。
(3) 使用字符串“vlan”作为认证密码。
Web认证方式下,在Web认证阶段,静态接入用户按如下先后顺序选择认证密码:
(1) 使用用户登录时输入的密码作为认证密码。
(2) 使用ip subscriber password命令配置的密码作为认证密码。
(3) 使用字符串“vlan”作为认证密码。
Web MAC认证方式下,在Web认证阶段,静态接入用户按如下先后顺序选择认证密码:
(1) 使用ip subscriber password命令配置的密码作为认证密码。
(2) 使用字符串“vlan”作为认证密码。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPoE接入用户的认证密码。
ip subscriber password { ciphertext | plaintext } string
缺省情况下,IPoE接入用户的认证密码为字符串vlan。
绑定认证方式下,IPoE静态接入用户支持通过多种方式获取认证域,具体认证域选择原则如下:
· 采用bind认证方式时,按如下优先顺序选择第一个匹配到的认证域进行认证:
a. 使用ip subscriber session static命令中domain domain-name指定的认证域;若该域未创建,则用户上线失败。
b. 使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。
c. 使用ip subscriber unclassified-ip domain命令配置的认证域;若该域未创建,则用户上线失败。
d. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
· Web认证方式下,认证域的选择原则请参见“1.13.2 配置Web个人接入用户的认证域”。
关于报文业务识别方式映射的认证域的具体配置,请参见“1.16 配置报文业务识别方式以及与认证域的映射关系”。
为使得用户认证成功,请确保按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置未知源IP用户使用的认证域。
ip subscriber unclassified-ip domain domain-name
缺省情况下,未配置未知源IP用户使用的认证域。
IPoE专线接入用户配置任务如下:
(1) 配置IPoE专线接入用户
请选择以下一项任务进行配置:
¡ 配置接口专线用户
¡ 配置子网专线用户
¡ 配置静态专线会话
(2) (可选)配置专线接入用户的认证域
一个IPoE接口专线代表了该接口接入的所有IP用户,接口专线上接入的所有用户统一认证、计费授权。当专线用户在二层接入模式时,从IPoE接口接入的所有IP用户统称为子用户。通过相应的display和reset命令查看或删除指定子用户的信息。有关查看和删除指定子用户信息命令的详细介绍请参见命令手册。
每个接口上只能配置一个接口专线用户。
目前,接口专线的子用户支持通过DHCP报文、未知源IP报文和IPv6 ND RS报文触发上线。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口专线用户。
ip subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情况下,未配置接口专线用户。
一个IPoE接口子网专线代表了该接口上指定子网的所有IP用户,接口子网专线上接入的所有用户统一认证、计费授权。当子网专线用户在二层接入模式时,从IPoE接口接入的指定子网的所有IP用户统称为子用户。通过相应的display和reset命令可查看或删除指定子用户的信息。有关查看和删除指定子用户信息命令的详细介绍请参见命令手册。
一个接口上可以配置多个子网专线用户,但必须保证每个子网的掩码长度一致。每个子网只能配置一个子网专线用户。
目前,子网专线的子用户仅支持通过未知源IP报文触发上线。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4子网专线用户。
ip subscriber subnet-leased ip ip-address { mask | mask-length } username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情况下,未配置IPv4子网专线用户。
(4) 配置IPv6子网专线用户。
ip subscriber subnet-leased ipv6 ipv6-address prefix-length username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情况下,未配置IPv6子网专线用户。
在L2VPN组网下,一个IPoE L2VPN专线用户代表了该接口接入的所有用户,接口上接入的所有用户统一认证、授权和计费。该IPoE专线用户认证成功后,接口上接入的所有L2VPN专线用户流量均允许通过,且共享一个IPoE会话,并基于接口进行授权和计费。
每个接口上只能配置一个L2VPN线用户,该用户对接口上的所有IPv4和IPv6流量进行统一处理。
同一三层以太网子接口下,L2VPN专线用户和以太网子接口/三层聚合子接口的报文统计功能互斥,二者只能配置其一。有关以太网子接口的报文统计功能的详细介绍,请参见“接口管理配置指导”中的“以太网接口”。有关三层聚合子接口的报文统计功能的详细介绍,请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。
本功能和基于接口应用User Profile(通过qos apply user-profile命令配置)互斥,二者只能配置其一。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置L2VPN专线用户。
ip subscriber l2vpn-leased username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情况下,未配置L2VPN专线用户。
专线接入用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个匹配到的认证域进行认证:
(1) 使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。
(2) 使用专线用户配置中指定的认证域,具体如下:
¡ 对于接口专线用户,使用ip subscriber interface-leased命令中domain domain-name指定的认证域;若该域未创建,则用户上线失败。
¡ 对于子网专线用户,使用ip subscriber subnet-leased命令中domain domain-name指定的认证域;若该域未创建,则用户上线失败。
¡ 对于L2VPN专线用户,使用ip subscriber l2vpn-leased命令中domain domain-name指定的认证域;若该域未创建,则用户上线失败。
(3) 使用ip subscriber unclassified-ip domain命令配置的认证域;若该域未创建,则跳用户上线失败。(仅适用于接口专线用户和子网专线用户)
(4) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
关于报文业务识别方式映射的认证域的具体配置,请参见“1.16 配置报文业务识别方式以及与认证域的映射关系”。
为使得用户认证成功,请确保按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置未知源IP用户使用的认证域。
ip subscriber unclassified-ip domain domain-name
缺省情况下,未配置未知源IP用户使用的认证域。
本节中的所有配置均为可选,请根据实际情况选择配置。
· 配置IPoE Web支持HTTP/HTTPS攻击防范功能
· 配置允许DHCP个人接入用户异常下线后通过报文重新触发上线
Web认证包含认证前域认证和Web认证两个阶段。用户必须先通过认证前域的认证,才能进入Web认证阶段。通过认证前域认证的用户可以获得IP地址(对于DHCP接入用户),以及被授予指定认证前域内配置的相关授权属性(例如:User Profile、Session Group Profile、CAR、URL和User group),并根据授权信息获得相应的网络访问权限。之后,如有HTTP/HTTPS报文触发Web认证,则进入Web认证阶段。
用户可以通过配置修改在认证前域阶段所采用的认证域,缺省情况下按照如下先后顺序选择认证前域:
· 对于IPoE静态个人接入用户:
a. 使用ip subscriber session static命令中配置的认证域;若该域未创建,则用户上线失败。
b. 使用ip subscriber pre-auth domain命令配置的Web认证前域;若该域未创建,则用户上线失败。
c. 报文业务识别方式映射的认证域;若该域未创建,则用户上线失败。
d. ip subscriber unclassified-ip domain命令中配置的认证域;若该域未创建,则用户上线失败。
e. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
· 对于IPoE DHCP和ND RS动态个人接入用户:
a. 报文业务识别方式映射的认证域;若该域未创建,则跳转到步骤c。
b. 使用ip subscriber pre-auth domain命令配置的Web认证前域;若该域未创建,则跳转到步骤c。
c. 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
采用Web认证方式时,如果配置了多种认证域,在Web认证阶段,接入用户按如下先后顺序选择认证域:
(2) 使用用户名中携带的域;若该域未创建,则用户上线失败。
(3) 使用ip subscriber web-auth domain命令指定的认证域;若该域未创建,则用户上线失败。
(4) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
采用Web MAC认证方式时,如果配置了多种认证域,在Web认证阶段,接入用户按如下先后顺序选择认证域:
(5) 使用用户名携带的域;若该域未创建,则用户上线失败。
(6) 使用ip subscriber mac-auth domain命令指定的MAC认证域;若该域未创建,则用户上线失败。
(7) 使用ip subscriber web-auth domain命令指定的Web认证域;若该域未创建,则用户上线失败。
(8) 使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。
为确保接入用户在认证前域阶段可以正常进行认证,不允许通过ip subscriber trust命令配置信任DHCPv4为Option 60,DHCPv6为Option 16和Option 17。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置Web认证前域。
ip subscriber pre-auth domain domain-name
缺省情况下,未配置Web认证前域。
(4) 配置MAC认证域。
ip subscriber mac-auth domain domain-name
缺省情况下,未配置MAC认证域。
MAC认证域仅适用于采用Web MAC认证方式的个人接入用户,在Web认证阶段进行MAC无感知认证时使用。
(5) 配置Web认证域。
ip subscriber web-auth domain domain-name
缺省情况下,未配置Web认证域。
Web认证域仅适用于采用Web认证方式和Web MAC认证方式的个人接入用户,在Web认证阶段使用。
缺省情况下,当用户使用浏览器进行Web认证时,如果访问的不是Portal Web服务器,接入设备会将此HTTP请求重定向到CPU,由CPU推送Portal Web服务器的Web认证页面。如果攻击者向设备发送大量的HTTP请求报文,会对设备造成拒绝服务攻击。
开启HTTP报文的快速应答功能后,设备可以通过硬件识别HTTP请求报文并自动回复HTTP应答报文,从而减轻CPU的负担,避免成为拒绝服务攻击的目标。
目前仅CSPEX类单板(除CSPEX-1104-E之外)和CEPC类单板支持本功能。
对于在开启快速应答功能前已经通过认证前域认证上线的用户,本功能开启后不立即生效,当该用户下线后再次通过认证前域上线或者该用户Web上线后再次回到认证前域时本功能才生效。
在同时配置本功能和无感知认证功能的情况下,当用户上线时先尝试按无感知认证方式接入,如果无法无感知(例如:无感知绑定查询请求超时或Portal返回的查询结果是用户未绑定),则由硬件应答推送Web认证页面。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启HTTP报文的快速应答功能。
ip subscriber http-fast-reply enable
缺省情况下,HTTP报文的快速应答功能处于关闭状态。
DHCP个人接入用户通过HTTPS报文触发Web认证时,如果用户不使用默认SSL服务器端策略,而是希望使用自定义的SSL服务器端策略保证HTTPS的交互过程,可以进行本配置。
(1) 配置PKI策略,并成功申请或导入本地证书和CA证书,具体配置请参见“安全配置指导”中的“PKI”。
(2) 配置自定义名称为https_redirect的SSL服务器端策略,并指定使用已配置的PKI域。为避免在用户浏览器和设备建立SSL连接过程中用户浏览器出现“使用的证书不安全”的告警,需在设备上安装用户浏览器信任的证书。具体配置请参见“安全配置指导”中的“SSL”。
根据访问的URL或者用户终端信息的不同,推送不同的认证页面。
重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。
为了让用户能够成功访问重定向后的地址,需要通过认证前域用户组ACL配置Permit规则,放行去往该地址的HTTP或HTTPS请求报文。
与ISP域下web-server { url | ipv6-url }命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而ISP域下web-server { url | ipv6-url }命令一般只用于将用户的HTTP或HTTPS请求重定向到Web服务器进行Web认证。在二者同时存在时,优先使用重定向URL匹配规则进行地址的重定向。
(1) 配置ACL规则,放行去往重定向地址的HTTP或HTTPS请求报文。
ACL配置具体参见“ACL和QoS配置指导”中的“ACL”。
(2) 请依次执行以下命令配置重定向URL匹配规则。
a. 进入系统视图。
system-view
b. 进入接口视图。
interface interface-type interface-number
c. 配置重定向URL匹配规则。
ip subscriber if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent user-agent redirect-url url-string }
缺省情况下,未配置IPoE Web重定向URL的匹配规则。
IOS系统或者部分Android系统的用户接入已开启IPoE Web认证的网络后,设备会主动向这类用户终端推送Web认证页面。开启IPoE被动Web认证功能后,仅在这类用户使用浏览器访问Internet时,设备才会为其推送Web认证页面。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPoE被动Web认证功能。
ip subscriber captive-bypass enable [ android | ios ] [ optimize ]
缺省情况下,IPoE被动Web认证功能处于关闭状态。
多次执行本命令,最后一次执行的命令生效。
Web认证的逃生功能是指当设备探测到Web认证服务器或AAA认证服务器不可达时,可自动打开接口上的网络限制,允许用户不需经过Web认证即可访问网络资源。通过配置逃生用户组与Track项关联,可以实现IPoE用户逃生功能。
缺省情况下,Web认证用户在认证前域上线后所属用户组是用户上线时由AAA服务器直接授权或ISP域下授权的用户组。配置逃生用户组与Track项关联后:
· 当Track项状态变成negative时,接入设备会把当前认证前域中所有在线用户从授权用户组迁移到逃生用户组,允许认证前域用户不经过Web认证即可访问逃生用户组的网络资源,已通过认证的用户不受影响。
· 当Track项变成positive时,接入设备会把当前认证前域中所有在线用户从逃生用户组重新迁移到授权用户组,再重新启动认证前域用户的认证功能,认证前域用户需要通过认证之后才能继续访问网络资源,已通过认证的用户不受影响。
本功能仅对认证前域中的在线用户生效。
配置Web认证的逃生功能需要进行如下配置:
(1) 配置Track项。
Track监测认证服务器状态的支持NQA,BFD等多种方式,具体配置请参见“可靠性配置指导”中的“Track”。
(2) 配置逃生用户组权限。
用户组具体配置请参见“BRAS业务配置指导”中的“AAA”。
(3) 请依次执行以下命令配置逃生用户组与Track项关联。
a. 进入系统视图。
system-view
b. 进入接口视图。
interface interface-type interface-number
c. 配置逃生用户组与Track项关联。
ip subscriber pre-auth track track-entry-number fail-permit user-group group-name
缺省情况下,未配置逃生用户组与Track项关联。
多次执行本命令,最后一次执行的命令生效。
由于某些用户客户端安装了各种工具软件(如百度云等),每种工具软件都可能向某个固定目的IP地址持续发送HTTP/HTTPS请求,这些工具软件产生的大量HTTP/HTTPS请求将导致用户在IPoE Web认证之前设备的资源占用率过高,从而影响正常用户的认证效率,甚至导致用户认证失败。针对上述情况,可开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能。攻击防范功能目前有如下两种应用场景:
· 当希望对那些频繁发起的HTTP/HTTPS请求报文进行限制,以减轻大量HTTP/HTTPS报文对设备资源的占用时,可通过ip subscriber http-defense destination-ip enable action block命令配置当攻击达到阻断条件后,生成防攻击阻断表项,并基于阻断表项阻断发往指定目的IP地址的HTTP/HTTPS请求报文。
· 当仅希望能够及时感知到频繁发起的HTTP/HTTPS请求的目的IP地址,不希望对HTTP/HTTPS请求报文进行阻断,以免影响正常用户对该目的IP地址的访问时,可通过ip subscriber http-defense destination-ip enable action logging命令配置当攻击达到阻断条件后,设备输出攻击日志,并生成仅用于查看阻断用户信息,但不会对攻击报文进行阻断的防攻击阻断表项。设备生成的攻击日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能后,设备会对IPoE Web认证前域用户发往任意目的IP地址的HTTP/HTTPS报文进行监测和统计。如果在一个统计周期内,去往某目的IP地址的HTTP/HTTPS报文总数达到指定的阈值,设备将根据ip subscriber http-defense destination-ip enable命令中指定的动作生成阻断表项阻断攻击报文或者输出攻击日志信息。
在报文阻断周期内设备直接丢弃去往此目的的报文,以降低对用户上线速率的影响。阻断周期后,如果设备再次收到发往该目的的报文,则重新进行监测和统计。
目前仅CSPEX类单板(除CSPEX-1104-E之外)和CEPC类单板支持此功能。
IPoE HTTP/HTTPS攻击防范功能目前仅对已在认证前域上线的IPoE Web用户发送的HTTP/HTTPS报文生效。
如果管理员希望对用户访问某些特定目的IP地址的HTTP/HTTPS报文不进行攻击防范统计,并在用户访问这些目的IP地址时,为用户无条件推送Web认证页面时,可通过命令ip subscriber http-defense free-destination-ip将这些特定目的IP地址配置为白名单地址。
(1) 进入系统视图。
system-view
(2) 开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能。
ip subscriber http-defense destination-ip enable [ action { block [ period blocking-period ] | logging } ]
缺省情况下,基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能处于关闭状态。
(3) (可选)配置IPoE HTTP/HTTPS攻击防范的触发阈值。
ip subscriber http-defense destination-ip threshold packet-number interval interval
缺省情况下,在300秒时间内去往同一目的IP地址的HTTP/HTTPS报文总数达到6000时即认为达到攻击防范的触发阈值
(4) (可选)配置IPoE HTTP/HTTPS攻击防范功能的白名单地址。
ip subscriber http-defense free-destination-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
缺省情况下,未配置IPoE HTTP/HTTPS攻击防范功能的白名单地址。
可通过多次执行本命令,将多个目的IP地址配置为白名单地址。
在使用H3C iMC作为Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是BRAS设备上Portal报文出接口的IP地址,则在用户接入接口上必须通过portal bas-ip命令配置BAS-IP与Portal认证服务器上指定的设备IP一致,否则快速认证功能不生效。有关portal bas-ip命令的详细介绍,请参见“BRAS业务命令参考”中的“Portal”。
MAC绑定服务器的具体配置请参见“BRAS业务配置指导”中的“Portal”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置在IPoE Web认证用户接入接口上应用MAC绑定服务器。
portal apply mac-trigger-server server-name
缺省情况下,未在IPoE Web认证用户接入接口上应用MAC绑定服务器。
本命令的详细介绍请参见“BRAS业务命令参考”中的“Portal”。
Web MAC认证使用的AAA服务器需要支持MAC绑定功能。
具体配置请参见“1.9 配置IPoE认证方式”。
通过配置IPoE个人会话和专线子用户会话的最大总数目可以控制系统中的个人接入用户(包括动态个人和静态个人)和专线子用户的总数。
当接口上已创建的IPoE个人会话和专线子用户会话的总数目达到最大值后,则不允许再创建新的IPoE会话。创建的IPoE会话数目包括IPv4单栈会话数目、IPv6单栈会话数目和双栈会话数目,其中,单栈用户占用一个会话资源,双栈用户占用一个会话资源;如果某单栈用户已经成功上线,那么同一用户的另一协议栈可以直接上线,双栈共用一个会话资源。
如果接口上配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPoE个人会话和专线子用户会话的最大总数目。
ip subscriber max-session max-number
缺省情况下,未配置接口上允许创建的IPoE个人会话和专线子用户会话的最大总数目。
本命令与ip subscriber { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 } max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。有关ip subscriber { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 } max-session命令的相关介绍,请参见“1.10.6 配置动态个人会话的最大数目”。
不同的IP报文携带了不同的报文信息,可以通过配置业务识别方式,根据用户IP报文的内/外层VLAN ID值、内/外层VLAN携带的802.1p值、DSCP值,来决定对该用户使用不同的认证域。
对于DHCPv4接入用户,如果同时配置了信任DHCPv4 Option 60中的信息,则优先使用Option 60中的信息作为指定的认证域。
对于DHCPv6接入用户,如果同时配置了信任DHCPv6 Option 16/Option 17中的信息,则优先使用Option 16/Option 17中的信息作为指定的认证域。
如果配置了某种业务识别方式所映射的认证域,但是没有配置使用该业务识别方式,则前者不生效。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPoE接入用户的业务识别方式。
ip subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan }
(4) 配置IPoE接入用户的IP报文内/外层VLAN值与认证域的映射关系。
ip subscriber vlan vlan-list domain domain-name
(5) 配置IPoE接入用户的IP报文内/外层VLAN tag中802.1p值与认证域的映射关系。
ip subscriber 8021p 8021p-list domain domain-name
(6) 配置IPoE接入用户的IP报文DSCP值与认证域的映射关系。
ip subscriber dscp dscp-value-list domain domain-name
缺省情况下,未配置IPoE接入用户(包括DHCP接入用户、未知源IP接入用户和静态接入用户)使用的业务识别方式,也没有配置与之相映射的认证域。
配置IPoE接入用户的静默功能后,当某IPoE用户在指定检测周期内连续认证失败次数达到允许的最大值时,将被静默一段时间,在静默周期内设备直接丢弃来自此用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该IPoE用户的认证报文而对设备性能造成影响。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
对于未构成双栈IPoE会话的用户,两个协议栈的认证失败次数是分开统计,当且仅当某个协议栈在一个检测周期内连续认证失败次数达到最大值时,该双栈用户才会被静默。对于已构成双栈IPoE会话的用户,两个协议栈的认证失败次数是统一统计,只要该用户在一个检测周期内连续认证失败次数达到最大值,该用户就会被静默。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPoE接入用户的静默功能并指定静默时间。
ip subscriber timer quiet time
缺省情况下,IPoE接入用户的静默时间功能处于关闭状态。
(4) (可选)配置允许IPoE接入用户在指定检测周期内连续认证失败次数的最大值。
ip subscriber authentication chasten auth-failure auth-period
缺省情况下,认证失败一次立即对用户进行静默处理。
接口上开启了IPoE接入用户在线探测功能后,设备在用户上线之后将定时发送探测报文,如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户的报文),则认为此用户不在线,停止发送探测报文并删除用户。
若设备在探测过程中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
设备支持的IPv4探测报文为ARP请求报文和ICMP请求报文,支持的IPv6探测报文为ND协议中的NS报文和ICMPv6请求报文。
本探测功能当前仅支持对个人接入用户和二层接入模式下的专线子用户进行探测。
双协议栈用户统一计费时,以IPv4上行流量和IPv6上行流量统一汇总后的总上行流量作为上行流量是否有更新的判断依据。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPv4接入用户在线探测功能。
ip subscriber user-detect ip { arp | icmp } retry retries interval interval [ no-datacheck ]
缺省情况下,对于专线子用户,在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后都会发送探测报文对用户进行在线探测;对于其它用户,在一个探测的时间间隔内,如果用户上行流量有更新则不发送探测报文,否则,发送ARP请求报文对IPv4接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒。
对于专线子用户配置no-datacheck不生效。
(4) 开启IPv6接入用户在线探测功能。
ip subscriber user-detect ipv6 { icmp | nd } retry retries interval interval [ no-datacheck ]
缺省情况下,对于专线子用户,在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后都会发送探测报文对用户进行在线探测;对于其它用户,在一个探测的时间间隔内,如果用户上行流量有更新则不发送探测报文,否则,发送ND协议中的NS报文对IPv6接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒。
对于专线子用户配置no-datacheck不生效。
为避免因接口反复进行Up/Down切换导致用户频繁上下线,可通过本命令配置接口Down后,允许用户保持在线状态。
在配置接口Down后允许用户保持在线状态的情况下,为避免在接口Down到恢复Up期间,因在线探测失败导致IPoE用户被强制下线,可在命令中指定no-user-detect参数。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口Down后对IPoE在线用户采取的策略。
ip subscriber user-policy interface-down online [ no-user-detect ]
缺省情况下,接口Down后,强制IPoE用户下线。
配置的接入端口类型值将作为接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,用于向RADIUS服务器正确传递IPoE接入用户的接入端口信息。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPoE接入端口类型。
ip subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情况下,IPoE接入端口类型为Ethernet类型。
IPoE用户进行认证时,需要按照运营商要求的封装格式向RADIUS服务器传递NAS-PORT-ID属性,该属性标识了用户所处的物理位置。
NAS-PORT-ID属性支持如下几种封装格式:
· version 1.0:发送给RADIUS服务器的NAS-PORT-ID属性以电信163大后台要求的格式填充。
· version 2.0:发送给RADIUS服务器的NAS-PORT-ID属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。
· version3.0:封装格式为version 3.0。version 3.0封装格式的内容形式为:SlotID/00/IfNO/VlanID,其中“/”符号不显示。
· version4.0:封装格式为version 4.0。其格式为在version3.0的NAS-PORT-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCP Option82的内容,即格式为SlotID/00/IfNO/VlanID/Option82 Circuit-ID,其中“/”符号不显示;对于IPv6用户,此处添加的是DHCP Option18的内容,即格式为SlotID/00/IfNO/VlanID/Option18,其中“/”符号不显示。
· version5.0:封装格式为version 5.0,表示发送给RADIUS服务器的NAS-PORT-ID属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。
在DHCP中继组网环境中,当接入设备采用version 2.0或者version 5.0格式封装RADIUS NAS-PORT-ID属性时,可以配置信任DHCPv4 报文中的Option82或DHCPv6报文中的Option18,并在提取出的Option82 Circuit-ID或Option18中插入NAS信息后,使用该内容填充NAS-PORT-ID属性。插入的新NAS信息标识了用户在本设备上的接入位置。
如果在RADIUS方案视图下配置了attribute 87 format命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由该命令决定,IPoE模块定义的RADIUS NAS-Port-ID属性格式不再生效。有关attribute 87 format命令的详细介绍,请参见“BRAS业务命令参考”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 为IPoE接入用户配置NAS-PORT-ID属性的封装格式。
ip subscriber nas-port-id format cn-telecom { version1.0 | version2.0 | version3.0 | version4.0 | version5.0 }
缺省情况下,按version 1.0格式填充RADIUS的NAS-PORT-ID属性。
(4) (可选)配置信任DHCPv4报文中的Option 82或DHCPv6报文中的Option 18。
ip subscriber trust { option82 | option18 }
缺省情况下,不信任DHCPv4报文中的Option 82和DHCPv6报文中的Option 18。
(5) (可选)配置在提取出的Option 82 Circuit-ID或Option 18内容中插入NAS信息,并使用插入NAS信息后的内容作为NAS-PORT-ID属性。
ip subscriber nas-port-id nasinfo-insert
缺省情况下,如果收到的DHCPv4报文带有Option 82 Circuit-ID,则直接使用该内容作为NAS-PORT-ID属性内容。如果收到的DHCPv6报文带有Option 18,则直接使用该选项内容作为发往RADIUS服务器的NAS-PORT-ID属性内容。
缺省情况下,设备使用用户上线的接口信息填充NAS-PORT-ID属性上送RADIUS服务器。在某些特殊应用中,当需要手工指定用于填充NAS-PORT-ID属性的上线接口信息时,可配置本特性。例如,若RADIUS服务器上限制了用户A只能通过接口A上线,当用户A切换到一个新接口B上线时,若不想更改RADIUS服务器的配置,可通过本特性配置用户A仍使用接口A的信息填充NAS-PORT-ID属性上送RADIUS服务器。
当NAS-PORT-ID属性的封装格式为version 1.0格式时,若配置本特性,将使用本特性的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:chassis=NAS_chassis;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
当NAS-PORT-ID属性的封装格式为version 2.0或者version 5.0格式时,若配置本特性,将使用本特性的配置填充NAS-PORT-ID属性中的如下NAS信息字段:{eth|trunk|atm} NAS_chassis/NAS_slot/NAS_subslot/NAS_port。
当NAS-PORT-ID属性的封装格式为version 3.0格式时,若配置本特性,将使用本特性的配置填充NAS-PORT-ID属性中的如下NAS信息字段:SlotID/IfNO。
当NAS-PORT-ID属性的封装格式为version 4.0格式时,若配置本特性,将使用本特性的配置填充NAS-PORT-ID属性中的如下NAS信息字段:对于IPv4用户为SlotID/IfNO/Option82 Circuit-ID,对于IPv6为SlotID/IfNO/Option18。
如果在RADIUS方案视图下配置了attribute 87 format命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由该命令决定,IPoE模块定义的RADIUS NAS-Port-ID属性格式不再生效。有关attribute 87 format命令的详细介绍,请参见“BRAS业务命令参考”中的“AAA”。
若配置本特性,除使用本特性的配置填充NAS-PORT-ID属性外,还将填充NAS-PORT属性。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 使用指定接口信息填充RADIUS的NAS-PORT-ID属性。
ip subscriber nas-port-id interface interface-type interface-number
缺省情况下,设备使用用户上线的接口信息填充RADIUS的NAS-PORT-ID属性。
本配置用来设置IPoE的准出认证功能,在二次认证组网环境下需要配置本功能。二次认证是指使用两台设备分别作为准入和准出的网关,用于控制用户访问内网和外网,准入设备负责用户接入内网,准出设备负责用户接入外网。用户通过准入认证后,可以访问内网,在访问外网时,报文在准出设备网关触发IPoE认证,认证通过后将用户放行,认证过程中用户不感知。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPoE准出认证功能。
ip subscriber access-out
缺省情况下,IPoE准出认证功能处于关闭状态。
本配置用来设置设备每次更新IPoE会话的流量统计信息的时间间隔。
更新IPoE会话的流量统计信息会占用一定的系统资源,一般情况下建议使用缺省时间间隔。在对IPoE接入用户的流量统计精确度要求较高的环境中,可以配置相对较小的更新时间间隔,以提高设备对流量的统计频率;反之,则可以配置较大的更新时间间隔。
当网络中有大量用户上线时,如果为上线用户授权了idle-cut属性,为避免用户因闲置切断时间超时被下线,可根据授权的idle-cut属性值适当调整更新时间间隔。
(1) 进入系统视图。
system-view
(2) 配置IPoE会话的流量统计信息的更新时间间隔。
ip subscriber timer traffic value
缺省情况下,IPoE会话的流量统计信息的更新时间间隔为1000毫秒。
IPoE接入用户日志是为了满足网络管理员维护的需要,对用户的上线成功、上线失败、正常下线和异常下线的信息进行记录,包括用户名、IP地址、接口名称、两层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的IPoE日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的IPoE日志信息,一般情况下建议不要开启此功能。
(1) 进入系统视图。
system-view
(2) 开启IPoE接入用户日志信息功能。
ip subscriber access-user log enable [ successful-login | failed-login | logout [ normal ] [ abnormal ] ] *
缺省情况下,IPoE接入用户日志信息功能处于关闭状态。
可通过本命令配置每slot接入用户数的告警阈值,使得接入用户数超过某个设定值时能够自动触发告警,便于管理员及时了解现网的在线用户情况。
每slot接入用户数阈值告警功能仅用于对接入的IPoE、PPPoE和L2TP用户数进行统计。其中:
· 对于双栈PPPoE用户,如果配置了统一计费方式,则按一个用户数进行统计;如果配置了分别计费方式,则按两个用户数进行统计。
· 对于双栈IPoE用户,按两个用户数进行统计。
· 对于IPoE专线用户,每个接口专线用户按两个用户数进行统计,每个子网专线用户按一个用户数进行统计。
· 对于IPoE专线子用户,每个子用户按一个用户数进行统计。
· 对于LAC端L2TP用户的用户数统计原则同PPPoE用户;对于LNS端的L2TP用户不计入用户数统计。
假定每slot允许接入的最大用户数为a,配置的告警阈值为b,则:
· 当接入用户数超过告警上限a×b时,将输出对应警告信息。
· 当接入用户数恢复到正常数值范围后,输出恢复信息。
为避免特殊情况下接入用户数在临界区反复变化导致频繁输出告警信息和恢复信息,当接入用户数从阈值上限恢复时,系统内部有一个缓冲区,缓冲区大小为配置的告警阈值的10%,假定为c,c=a×b÷10,仅当接入用户数恢复到小于a×b-c时才会输出恢复信息。
例如,假定a为1000,b为80%,则c=a×b÷10=1000×80%÷10=800÷10=80,则:
· 当接入用户数超过告警上限a×b=1000×80%=800时,输出上限告警信息。
· 当接入用户数恢复到小于a×b-c=800-80=720时,输出恢复信息。
(1) 进入系统视图。
system-view
(2) 配置每slot接入用户数的告警阈值。
slot-user-warning-threshold threshold-value
缺省情况下,每slot接入用户数的告警阈值为100。
(3) 开启每slot接入用户数的Trap告警功能。
snmp-agent trap enable slot-user-warning-threshold
缺省情况下,每slot接入用户数的Trap告警功能处于关闭状态。
业务跟踪对象功能是为了满足网络管理员维护的需要,管理员通过创建业务追踪对象可以追踪接入用户的上下线相关信息,并且通过指定不同的匹配参数,可以实现对特定用户的追踪。
开启本功能会时占用大量系统资源,建议仅在故障诊断时使用,一般情况下不要使用。
当配置输出信息到日志服务器时,请确保设备与指定的日志服务器之间路由可达并且日志服务器配置正确。
主备倒换后业务跟踪对象配置会自动失效,需要重新配置。
(1) 进入系统视图。
system-view
trace access-user object object-id { access-mode ipoe | c-vlan vlan-id | interface interface-type interface-number | ip-address ip-address | mac-address mac-address | s-vlan vlan-id | username user-name } * [ aging time | output { file file-name | syslog-server server-ip-address | vty } ] *
如果指定interface参数,当接入接口所在slot或subslot重启后,业务跟踪对象配置会自动失效,需要重新配置。
上线的IPoE个人接入用户支持在不同接口之间不同VLAN之间进行漫游。
为了减小用户在漫游过程中对其它用户产生影响,可通过漫游组限定用户的漫游范围,即限定上线用户只能在上线接口所属的漫游组中进行漫游。例如:假设用户A和用户B的IP地址均为1.1.1.1/24,并且属于同一个VPN实例,用户A先在接口A上通过未知源方式上线,接口A和接口B均开启了漫游功能但未配置漫游组,此时用户B再在接口B上通过未知源方式上线时,设备将会把用户A下线。此时,如需用户A和用户B同时上线,二者互不影响,可为接口A和接口B配置不同的漫游组,以隔离用户A和用户B的漫游范围。
为保证IPoE用户可以正常漫游,请确保漫游前后用户接入接口上必须开启完全相同协议栈的IPoE功能,并且配置相同的IPoE认证方式、认证域、漫游组和信任Option 79配置(仅对于DHCPv6用户要求漫游前后Option 79配置相同)。
目前常见的支持触发漫游的报文有:ARP报文、IPv4报文、IPv6报文、DHCPv4续约报文和DHCPv6续约报文(包括Renew报文和Rebind报文)等。
在漫游场景中,可能存在漫游用户在物理位置发送变化后发送DHCP报文或IPv6 ND RS报文请求上线的情况,为使这类用户可以按DHCP或IPv6 ND RS报文触发方式重新上线:
· 对于DHCPv4用户:可配置dhcp session-mismatch action fast-renew命令。
· 对于DHCPv6用户:可配置ipv6 dhcp session-mismatch action fast-renew命令。
· 对于ND RS用户:必须采用ND前缀池授权前缀方式,同时需要配置ipv6 dhcp session-mismatch action fast-renew命令。
需要注意的是,如果攻击源伪造MAC地址信息发起DHCP报文请求上线时,会导致正常在线用户掉线,可能存在安全隐患。请确保在当前网络不存在攻击的情况下才配置dhcp session-mismatch action fast-renew或ipv6 dhcp session-mismatch action fast-renew命令。有关命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”和“DHCPv6”。
在IPv4网络中:
· 当需要通过IPv4报文触发漫游时,漫游的目的接口上必须配置ip subscriber initiator unclassified-ip enable matching-user命令。在同一接口上不支持同时开启未知源IPv4报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
· 当需要通过ARP报文触发漫游时,漫游的目的接口上必须同时配置ip subscriber initiator arp enable命令和ip subscriber initiator unclassified-ip enable matching-user命令。在同一接口上不支持同时开启未知源IPv4报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
在IPv4网络漫游中,建议同时配置上述两种触发方式。
在IPv6网络中,当需要通过IPv6报文触发漫游时,漫游的目的接口上必须配置ip subscriber initiator unclassified-ipv6 enable matching-user命令。在同一接口上不支持同时开启未知源IPv6报文触发生成IPoE会话功能和uRPF功能,有关uRPF功能的详细介绍,请参见“安全配置指导”中的“uRPF”。
漫游过程中,以下变化会导致漫游失败,此时用户需在目的接口上重新认证上线:
· 若漫游过程中漫游用户IP地址发生变化,用户将无法继续漫游。
· 若漫游的目的接口上未配置和漫游前相同的IPoE会话触发方式,会导致用户无法漫游到该接口。例如:在接口A上通过DHCP触发方式上线的某用户漫游到接口B时,如果接口B上未配置DHCP触发方式则不允许用户漫游到接口B。
· 若漫游的目的接口和漫游前的上线接口不在同一个漫游组中,则会漫游失败。
· 针对动态个人接入用户:
¡ 在为漫游用户授权VPN的情况下,如果漫游的目的接口绑定了VPN,则要求目的接口绑定的VPN必须和授权的VPN相同,否则不允许用户漫游到该目的接口。
¡ 在未为漫游用户授权VPN的情况下,如果漫游前的接口绑定了VPN,则要求漫游的目的接口上必须绑定相同的VPN,否则不允许用户漫游到该目的接口。
· 针对全局静态个人接入用户:
¡ 在为漫游用户授权VPN并且静态会话中未指定VPN参数的情况下,如果漫游的目的接口绑定了VPN,则要求目的接口绑定的VPN必须和授权的VPN相同,否则不允许用户漫游到该目的接口。
¡ 在未为漫游用户授权VPN并且静态会话中未指定VPN参数的情况下,如果漫游前的接口绑定了VPN,则要求漫游的目的接口上必须绑定相同的VPN,否则不允许用户漫游到该目的接口。
· 针对全局静态和动态用户组成的双栈个人接入用户:
¡ 在全局静态会话中指定VPN参数的情况下,如果双栈中的动态个人接入用户进行漫游,则要求目的接口绑定的VPN必须和全局静态会话中指定的VPN相同。如果双栈中的全局静态个人接入用户进行漫游,则漫游的条件和一般的全局静态个人接入用户的漫游条件相同。
对于IPoE静态个人接入用户,漫游功能的生效情况如下:
· 对于接口静态个人接入用户,仅当在接口视图下通过ip subscriber session static命令配置静态IPoE会话时,在不指定VLAN的情况下才支持漫游功能,并且只能在在该接口上的不同VLAN之间进行漫游。
· 对于全局静态个人接入用户或者全局静态和动态用户组成的双栈个人接入用户,在系统视图下配置ip subscriber session static命令时:
¡ 如果指定了用户接入接口但未指定VLAN时,支持在该接入接口上的不同VLAN之间进行漫游。
¡ 如果未指定用户接入接口,用户在某接口上线时,如果该接口开启了漫游功能,则允许用户在所有开启本功能的接口之间进行漫游。
¡ 如果指定了IPv6 Delegation前缀,那么该静态会话中用户将不支持漫游功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPoE个人接入用户漫游功能。
ip subscriber roaming enable [ roam-group roam-group-name ]
缺省情况下,IPoE个人接入用户漫游功能处于关闭状态。
配置IPoE用户接入响应延迟时间后,系统将按照配置的时间对IPoE用户的上线请求进行延迟响应。
可分别为奇数MAC和偶数MAC配置不同的响应延迟时间。
本特性仅对接口上二层接入模式的IPoE用户生效,具体情况如下:
· 若接口上采用绑定认证方式,则本特性仅对IPoE个人接入用户和专线子用户生效。
· 若接口上采用Web认证方式:本特性仅对认证前域阶段的用户生效,对Web认证阶段的用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPoE用户接入响应延迟时间。
ip subscriber access-delay delay-time [ even-mac | odd-mac ]
缺省情况下,对IPoE用户接入响应不延迟。
如果先配置了携带even-mac(或odd-mac)参数的本命令,再配置未携带任何参数的本命令,则后者会覆盖前者,反之亦然。
配置禁止IPoE用户上线功能后,当设备收到IPoE用户的上线请求报文后会将其直接丢弃,以阻止新的IPoE用户上线。
本功能配置后,仅对新接入的IPoE用户生效,对当前已经存在用户(包括认证前域阶段中处于Online状态的IPoE Web用户)无影响。
(1) 进入系统视图。
system-view
(2) 配置IPoE禁止用户上线。
(独立运行模式)
ip subscriber access-block [ interface interface-type interface-number | slot slot-number ]
(IRF模式)
ip subscriber access-block [ interface interface-type interface-number | chassis chassis-number slot slot-number ]
缺省情况下,允许IPoE用户上线。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IPoE的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IPoE统计信息。
表1-1 IPoE显示和维护
|
操作 |
命令 |
|
显示异常下线DHCP接入用户的信息 |
(独立运行模式) display ip subscriber abnormal-logout [ interface interface-type interface-number ] [ { mac mac-address | ip-type { ipv4 | ipv6 } } * | { ip ipv4-address | ipv6 ipv6-address } ] [ verbose ] [ slot slot-number ] (IRF模式) display ip subscriber abnormal-logout [ interface interface-type interface-number ] [ { mac mac-address | ip-type { ipv4 | ipv6 } } * | { ip ipv4-address | ipv6 ipv6-address } ] [ verbose ] [ chassis chassis-number slot slot-number ] |
|
显示被静默的IPoE个人接入用户信息 |
(独立运行模式) display ip subscriber chasten user quiet [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ verbose ] [ slot slot-number ] (IRF模式) display ip subscriber chasten user quiet [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ verbose ] [ chassis chassis-number slot slot-number ] |
|
显示有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息 |
(独立运行模式) display ip subscriber chasten user auth-failed [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ slot slot-number ] (IRF模式) display ip subscriber chasten user auth-failed [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE HTTP/HTTPS防攻击中被阻断的目的IP地址的表项信息 |
(独立运行模式) display ip subscriber http-defense blocked-destination-ip [ slot slot-number ] (IRF模式) display ip subscriber http-defense blocked-destination-ip [ chassis chassis-number slot slot-number ] |
|
显示配置的IPoE HTTP/HTTPS攻击防范功能的白名单地址。 |
display ip subscriber http-defense free-destination-ip |
|
显示IPoE HTTP/HTTPS防攻击中未被阻断的目的IP地址的表项信息 |
(独立运行模式) display ip subscriber http-defense unblocked-destination-ip [ slot slot-number ] (IRF模式) display ip subscriber http-defense unblocked-destination-ip [ chassis chassis-number slot slot-number ] |
|
显示IPoE个人会话和静态专线会话的信息 |
(独立运行模式) display ip subscriber session [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ { { domain domain-name | mac mac-address | static | username name | auth-type { bind | web [ pre-auth | mac-auth | mac-trigger ] } } | ip-type { ipv4 | ipv6 | dual-stack } } * | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ verbose ] [ slot slot-number ] (IRF模式) display ip subscriber session [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ { { domain domain-name | mac mac-address | static | username name | auth-type { bind | web [ pre-auth | mac-auth | mac-trigger ] } } | ip-type { ipv4 | ipv6 | dual-stack } } * | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ verbose ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE静态会话的配置信息 |
display ip subscriber static-session configuration [ interface interface-type interface-number | { description string | { ip start-ipv4-address [ end-ipv4-address ] | ipv6 start-ipv6-address [ end-ipv6-address ] | delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length } } | domain-name domain-name ] [ all-vpn-instance | vpn-instance instance-name ] [ verbose ] |
|
显示IPoE接口专线用户的会话信息 |
(独立运行模式) display ip subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) display ip subscriber interface-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE接口专线子用户的会话信息 |
(独立运行模式) display ip subscriber interface-leased user [ interface interface-type interface-number [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ slot slot-number ] (IRF模式) display ip subscriber interface-leased user [ interface interface-type interface-number [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ chassis chassis-number slot slot-number ] |
|
显示指定IP协议类型的IPoE接口专线子用户的会话信息 |
(独立运行模式) display ip subscriber interface-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ slot slot-number ] (IRF模式) display ip subscriber interface-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE L2VPN专线用户的会话信息 |
(独立运行模式) display ip subscriber l2vpn-leased [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) display ip subscriber l2vpn-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE子网专线用户的会话信息 |
(独立运行模式) display ip subscriber subnet-leased [ interface interface-type interface-number ] [ ip ipv4-address mask-length | ipv6 ipv6-address prefix-length | ip-type { ipv4 | ipv6 } ] [ slot slot-number ] (IRF模式) display ip subscriber subnet-leased [ interface interface-type interface-number ] [ ip ipv4-address mask-length | ipv6 ipv6-address prefix-length | ip-type { ipv4 | ipv6 } ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE子网专线子用户的会话信息 |
(独立运行模式) display ip subscriber subnet-leased user [ interface interface-type interface-number [ ip { ipv4-address mask-length | ipv4-address } | ipv6 { ipv6-address prefix-length | ipv6-address } | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ slot slot-number ] (IRF模式) display ip subscriber subnet-leased user [ interface interface-type interface-number [ ip { ipv4-address mask-length | ipv4-address } | ipv6 { ipv6-address prefix-length | ipv6-address } | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ chassis chassis-number slot slot-number ] |
|
显示指定IP协议类型的IPoE子网专线子用户的会话信息 |
(独立运行模式) display ip subscriber subnet-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ slot slot-number ] (IRF模式) display ip subscriber subnet-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ verbose ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE个人会话和静态专线会话的统计信息 |
(独立运行模式) display ip subscriber session statistics [ bind [ session-type { dhcp | dhcpv6 | ndrs | static | unclassified-ip | unclassified-ipv6 } ] | web [ pre-auth | mac-auth | mac-trigger ] ] [ domain domain-name ] [ interface interface-type interface-number [ all | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ slot slot-number ] (IRF模式) display ip subscriber session statistics [ bind [ session-type { dhcp | dhcpv6 | ndrs | static | unclassified-ip | unclassified-ipv6 } ] | web [ pre-auth | mac-auth | mac-trigger ] ] [ domain domain-name ] [ interface interface-type interface-number [ all | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ chassis chassis-number slot slot-number ] |
|
显示指定IP协议类型的IPoE个人会话和静态专线会话的统计信息 |
(独立运行模式) display ip subscriber session statistics ip-type { ipv4 | ipv6 | dual-stack } [ bind | web [ pre-auth | mac-auth | mac-trigger ] ] [ domain domain-name ] [ interface interface-type interface-number [ all | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ slot slot-number ] (IRF模式) display ip subscriber session statistics ip-type { ipv4 | ipv6 | dual-stack } [ bind | web [ pre-auth | mac-auth | mac-trigger ] ] [ domain domain-name ] [ interface interface-type interface-number [ all | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE接口专线用户的会话统计信息 |
(独立运行模式) display ip subscriber interface-leased statistics [ domain domain-name ] [ interface interface-type interface-number [ all ] ] [ slot slot-number ] (IRF模式) display ip subscriber interface-leased statistics [ domain domain-name ] [ interface interface-type interface-number [ all ] ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE L2VPN专线用户的会话统计信息 |
(独立运行模式) display ip subscriber l2vpn-leased statistics [ domain domain-name ] [ interface interface-type interface-number [ all ] ] [ slot slot-number ] (IRF模式) display ip subscriber l2vpn-leased statistics [ domain domain-name ] [ interface interface-type interface-number [ all ] ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE子网专线用户的会话统计信息 |
(独立运行模式) display ip subscriber subnet-leased statistics [ domain domain-name ] [ ip-type { ipv4 | ipv6 } ] [ interface interface-type interface-number [ all ] ] [ slot slot-number ] (IRF模式) display ip subscriber subnet-leased statistics [ domain domain-name ] [ ip-type { ipv4 | ipv6 } ] [ interface interface-type interface-number [ all ] ] [ chassis chassis-number slot slot-number ] |
|
显示IPoE用户会话下线原因的统计信息 |
display ip subscriber offline statistics [ bind | web [ pre-auth ] ] [ ip-type { ipv4 | ipv6 } ] [ interface interface-type interface-number ] |
|
显示业务跟踪对象的配置信息 |
display trace access-user [ object object-id ] |
|
清除异常下线DHCP接入用户的信息 |
(独立运行模式) reset ip subscriber abnormal-logout [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) reset ip subscriber abnormal-logout [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
清除基于目的IP地址的IPoE HTTP/HTTPS攻击防范表项信息 |
(独立运行模式) reset ip subscriber http-defense destination-ip [ slot slot-number ] [ ip ipv4-address | ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] (IRF模式) reset ip subscriber http-defense destination-ip [ chassis chassis-number slot slot-number ] [ ip ipv4-address | ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] |
|
重置或删除IPoE接口专线用户的会话信息,强制用户下线 |
reset ip subscriber interface-leased [ interface interface-type interface-number ] |
|
删除IPoE接口专线子用户的会话信息,强制用户下线 |
reset ip subscriber interface-leased user [ interface interface-type interface-number [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] |
|
删除指定IP协议类型的IPoE接口专线子用户的会话信息,强制用户下线 |
reset ip subscriber interface-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ mac mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] |
|
重置或删除IPoE子网专线用户的会话信息,强制用户下线 |
reset ip subscriber subnet-leased [ interface interface-type interface-number ] [ ip ipv4-address mask-length | ipv6 ipv6-address prefix-length } | ip-type { ipv4 | ipv6 } ] |
|
删除IPoE子网专线子用户的会话信息,强制用户下线 |
reset ip subscriber subnet-leased user [ interface interface-type interface-number [ ip { ipv4-address mask-length | ipv4-address } | ipv6 { ipv6-address prefix-length | ipv6-address } | s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] |
|
删除指定IP协议类型的IPoE子网专线子用户的会话信息,强制用户下线 |
reset ip subscriber subnet-leased user ip-type { ipv4 | ipv6 } [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] |
|
删除IPoE动态个人会话、全局静态个人会话、静态专线会话和重置IPoE接口静态个人会话,强制用户下线 |
reset ip subscriber session [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] ] [ vxlan vxlan-id ] [ { { domain domain-name | mac mac-address | username name } | ip-type { ipv4 | ipv6 | dual-stack } } * | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] |
|
清除IPoE用户会话下线原因统计信息 |
reset ip subscriber offline statistics [ ip-type { ipv4 | ipv6 } ] [ interface interface-type interface-number ] |
· 用户主机通过手工配置或DHCP获得IP地址,经由三层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
图1-10 未知源IP报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址2.2.2.2,用户密码为字符串radius。
(2) 配置Device
a. 配置各接口IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
d. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber routed enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 2.2.2.2 000c-29a6-b656 U/- Online
- -/- -
- 2.2.2.2
· DHCP client经由二层网络以IPoE方式并通过同一个上线接口接入到BRAS设备。
· BRAS同时作为DHCP server为DHCP client分配IPv4地址。
· DHCP client A的DHCP-DISCOVER报文中携带了有效的Option 60信息,且设备上创建了关于该Option60的认证域,设备提取该Option60信息作为认证域,以“MAC@Option60”作为认证用户名,以接口上指定的密码作为认证密码。(假设Option 60信息为dm1)。
· DHCP client B的DHCP-DISCOVER报文中携带了有效的Option 60信息,但设备上未创建关于该Option60的认证域,以接口上配置的域作为认证域,以“MAC@Option60”作为认证用户名,以接口上指定的密码作为认证密码;设备使用接口上配置的域向AAA服务器发起认证,认证通过后,再由AAA服务器为DHCP client B授权新的用户名。(假设Option 60信息为dm2)。
· DHCP client C的DHCP-DISCOVER报文中未携带Option 60信息,以接口上配置的域作为认证域,以“MAC@接口指定域”作为认证用户名,以接口上指定的密码作为认证密码。
· 采用RADIUS作为认证、授权和计费服务器。本举例以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
(1) 配置RADIUS服务器
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656@dm1 Cleartext-Password := "radius"
000c29a6b657@dm2 Cleartext-Password := "radius"
User-Name =userb
000c29a6b658@dm3 Cleartext-Password := "radius"
以上信息表示:
DHCP client A的用户名为000c29a6b656@dm1,用户密码为字符串radius。
DHCP client B的用户名为000c29a6b657@dm2,用户密码为字符串radius;为该用户授权的新用户名userb。
DHCP client C的用户名为000c29a6b658@dm3,用户密码为字符串radius。
(2) 配置Device
a. 配置DHCP server
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[Device] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[Device] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[Device-dhcp-pool-pool1] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[Device-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route
# 将3.3.3.1设置为禁止地址。
[Device-dhcp-pool-pool1] forbidden-ip 3.3.3.1
[Device-dhcp-pool-pool1] quit
b. 配置RADIUS方案。
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名与用户的输入保持一致。
[Device-radius-rs1] user-name-format keep-original
# 配置接受RADIUS服务器下发的用户名。
[Device-radius-rs1] username-authorization apply
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权DHCP地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ip-pool pool1
[Device-isp-dm1] quit
# 创建并进入名称为dm3的ISP域。
[Device] domain name dm3
# 配置ISP域使用的RADIUS方案rs1,并授权DHCP地址池。
[Device-isp-dm3] authentication ipoe radius-scheme rs1
[Device-isp-dm3] authorization ipoe radius-scheme rs1
[Device-isp-dm3] accounting ipoe radius-scheme rs1
[Device-isp-dm3] authorization-attribute ip-pool pool1
[Device-isp-dm3] quit
d. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm3。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm3
# 配置信任DHCPv4报文中的Option 60。
[Device–GigabitEthernet3/1/2] ip subscriber trust option60
# 配置用户名信息格式为MAC@Option60,在DHCP报文中的DHCPv4 Option60或DHCPv6 Option16字段不存在的情况下,以用户认证域的域名替代不存在的Option作为用户名。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp username include source-mac separator @ vendor-class absent-replace
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 3.3.3.2 000c-29a6-b656 D/- Online
- 44/- -
- 000c29a6b656@dm1
GE3/1/2 3.3.3.3 000c-29a6-b657 D/- Online
- 44/- -
- userb
GE3/1/2 3.3.3.4 000c-29a6-b658 D/- Online
- 44/- -
- 000c29a6b658@dm3
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分配IPv4地址。
· 采用RADIUS作为认证、授权和计费服务器。
· DHCP client异常下线后通过IPv4报文重新触发上线。
图1-11 DHCPv4报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-dhcp-pool-pool1] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-dhcp-pool-pool1] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-dhcp-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为3.3.3.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 配置接口GigabitEthernet3/1/2工作在中继代理模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
[Device–GigabitEthernet3/1/2] quit
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权中继地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ip-pool pool1
[Device-isp-dm1] quit
e. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并配置二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启未知源IP报文触发方式,允许DHCP client异常下线后通过IPv4报文重新触发上线。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3.3.3.2。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 3.3.3.2 000c-29a6-b656 D/- Online
- -/- -
- 000c29a6b656
# 删除IPoE动态个人会话,强制用户下线。
<Device> reset ip subscriber session
# 显示异常下线DHCP接入用户的信息。
<Device> display ip subscriber abnormal-logout
Slot 3:
Interface IP address MAC address
IPv6 PD prefix
GE3/1/2 3.3.3.2 000c-29a6-b656
-
# DHCP异常下线用户通过未知源IP报文重新触发上线,用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3.3.3.2,用户仍为DHCP接入类型。
<Device> display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 3.3.3.2 000c-29a6-b656 D/- Online
- -/- -
- 000c29a6b656
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP地址池组下地址池为用户分配IPv4地址。
· 采用RADIUS作为认证、授权和计费服务器。
· DHCP client异常下线后通过IPv6报文重新触发上线.
图1-12 DHCPv4报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
000c29a6b657 Cleartext-Password :="radius"
……略
以上信息表示:添加用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius等多个用户。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool2地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool2
# 配置地址池动态分配的IP地址网段2.2.2.0/24。
[DHCP-server-dhcp-pool-pool2] network 2.2.2.0 24
# 配置为用户分配的网关地址为2.2.2.1。
[DHCP-server-dhcp-pool-pool2] gateway-list 2.2.2.1
# 将2.2.2.1设置为禁止地址。
[DHCP-server-dhcp-pool-pool2] forbidden-ip 2.2.2.1
[DHCP-server-dhcp-pool-pool2] quit
# 通过配置静态路由,将目的地址为2.2.2.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 2.2.2.0 24 4.4.4.2
# 创建名称为pool3地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool3
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-dhcp-pool-pool3] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-dhcp-pool-pool3] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-dhcp-pool-pool3] forbidden-ip 3.3.3.1
[DHCP-server-dhcp-pool-pool3] quit
# 通过配置静态路由,将目的地址为3.3.3.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 配置接口GigabitEthernet3/1/2工作在中继代理模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
[Device–GigabitEthernet3/1/2] quit
# 创建本地地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] network 1.1.1.0 24 export-route
# 配置为用户分配的网关地址为1.1.1.1。
[Device-dhcp-pool-pool1] gateway-list 1.1.1.1 export-route
# 将1.1.1.1设置为禁止地址。
[Device-dhcp-pool-pool1] forbidden-ip 1.1.1.1
[Device-dhcp-pool-pool1] quit
# 创建中继地址池pool2,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool2
[Device-dhcp-pool-pool2] gateway-list 2.2.2.1 export-route
[Device-dhcp-pool-pool2] remote-server 4.4.4.3
# 在中继地址池中通过network命令和forbidden-ip命令配置和中继地址池关联的DHCP服务器相同的网段和禁止地址信息,以便DHCP地址组能够判断中继地址池关联的DHCP服务器上是否存在可分配的地址资源。
[Device-dhcp-pool-pool2] network 2.2.2.0 24
[Device-dhcp-pool-pool2] forbidden-ip 2.2.2.1
[Device-dhcp-pool-pool2] quit
# 创建中继地址池pool3,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool3
[Device-dhcp-pool-pool3] gateway-list 3.3.3.1 export-route
[Device-dhcp-pool-pool3] remote-server 4.4.4.3
# 在中继地址池中通过network命令和forbidden-ip命令配置和中继地址池关联的DHCP服务器相同的网段和禁止地址信息,以便DHCP地址组能够判断中继地址池关联的DHCP服务器上是否存在可分配的地址资源。
[Device-dhcp-pool-pool3] network 3.3.3.0 24
[Device-dhcp-pool-pool3] forbidden-ip 3.3.3.1
[Device-dhcp-pool-pool3] quit
# 创建DHCP地址池组poolgroup1,并将DHCP地址池pool1、DHCP中继地址池pool2和pool3加入到DHCP地址池组中。
[Device] dhcp pool-group poolgroup1
[Device -dhcp-pool-group-poolgroup1] pool pool1
[Device -dhcp-pool-group-poolgroup1] pool pool2
[Device -dhcp-pool-group-poolgroup1] pool pool3
[Device -dhcp-pool-group-poolgroup1] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权DHCP地址池组。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ip-pool-group poolgroup1
[Device-isp-dm1] quit
e. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并配置二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 先上线253个用户后,显示DHCP本地地址池pool1的统计信息。
[Device] display dhcp server statistics pool pool1
Total IP addresses: 254
Free IP addresses: 0
Used: 253
Pool utilization: 100.00%
Bindings:
Automatic: 253
Manual: 0
Expired: 0
Conflicts: 0
以上信息说明,DHCP本地地址池pool1的地址利用率为100%,已无可分配的IP地址。
# 此时,再有新用户上线,显示所有DHCP中继的用户地址表项信息。
[Device] display dhcp relay client-information
Total number of client-information items: 1
Total number of dynamic items: 1
Total number of temporary items: 0
IP address MAC address Type Interface VPN name
2.1.1.2 000c-29a6-b656 Dynamic GE3/1/2 N/A
以上信息说明,当DHCP本地地址池pool1中的地址资源被耗尽后,如果再有新用户上线,设备将使用中继地址池pool2关联的DHCP服务器上的地址资源为新上线用户分配地址。
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分配IPv6地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-13 DHCPv6报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4::2/64 {
ipaddr6 = 4::2
netmask=64
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4::2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
# 创建名称为pool1的DHCPv6地址池并进入其视图。
<DHCP-server> system-view
[DHCP-server] ipv6 dhcp pool pool1
# 配置地址池动态分配的IPv6地址网段3::0/64,DNS服务器地址为8::8。
[DHCP-server-dhcp6-pool-pool1] network 3::0/64
[DHCP-server-dhcp6-pool-pool1] dns-server 8::8
[DHCP-server-dhcp6-pool-pool1] quit
# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[DHCP-server] interface gigabitethernet 3/1/1
[DHCP-server-GigabitEthernet3/1/1] ipv6 dhcp select server
[DHCP-server-GigabitEthernet3/1/1] quit
# 通过配置静态路由,将目的地址为3::0网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2。
[DHCP-server] ipv6 route-static 3::0 64 4::2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置DHCP relay
# 创建中继地址池pool1,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
<Device> system-view
[Device] ipv6 dhcp pool pool1
[Device-dhcp6-pool-pool1] gateway-list 3::1
[Device-dhcp6-pool-pool1] remote-server 4::3
[Device-dhcp6-pool-pool1] quit
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继模式。
[Device–GigabitEthernet3/1/2] ipv6 dhcp select relay
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
# 开启DHCPv6中继用户表项记录功能。
[Device–GigabitEthernet3/1/2] ipv6 dhcp relay client-information record
# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag
[Device–GigabitEthernet3/1/2] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication ipv6 4::1
[Device-radius-rs1] primary accounting ipv6 4::1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权中继地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ipv6-pool pool1
[Device-isp-dm1] quit
e. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启DHCPv6报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcpv6 enable
# 开启未知源IPv6报文触发方式,允许DHCP client异常下线后通过IPv6报文重新触发上线。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ipv6 enable matching-user
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv6地址为3::2。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 - 000c-29a6-b656 -/D Online
3::2 -/- -
- 000c29a6b656
# 删除IPoE动态个人会话,强制用户下线。
<Device> reset ip subscriber session
# 显示异常下线DHCP接入用户的信息。
<Device> display ip subscriber abnormal-logout
Slot 3:
Interface IP address MAC address
IPv6 PD prefix
GE3/1/2 3::2 000c-29a6-b656
-
# DHCP异常下线用户通过未知源IPv6报文重新触发上线,用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3::2,用户仍为DHCP接入类型。
<Device> display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 - 000c-29a6-b656 -/D Online
3::2 -/- -
- 000c29a6b656
· DHCP client经由三层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分配IPv6地址。
· 采用RADIUS作为认证、授权和计费服务器。
· DHCP client异常下线后通过IPv6报文重新触发上线.
图1-14 DHCPv6报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4::2/64 {
ipaddr6 = 4::2
netmask=64
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4::2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
# 创建名称为pool1的DHCPv6地址池并进入其视图。
<DHCP-server> system-view
[DHCP-server] ipv6 dhcp pool pool1
# 配置地址池动态分配的IPv6地址网段3::0/64,DNS服务器地址为8::8。
[DHCP-server-dhcp6-pool-pool1] network 3::0/64
[DHCP-server-dhcp6-pool-pool1] dns-server 8::8
[DHCP-server-dhcp6-pool-pool1] quit
# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[DHCP-server] interface gigabitethernet 3/1/1
[DHCP-server-GigabitEthernet3/1/1] ipv6 dhcp select server
[DHCP-server-GigabitEthernet3/1/1] quit
# 通过配置静态路由,将目的地址为3::0网段的DHCPv6应答报文的下一跳指定为BRAS设备和DHCP服务器相连的接口IPv6地址4::2。
[DHCP-server] ipv6 route-static 3::0 64 4::2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication ipv6 4::1
[Device-radius-rs1] primary accounting ipv6 4::1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权中继地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ipv6-pool pool1
[Device-isp-dm1] quit
d. 配置IPoE
# 开启IPoE功能,并配置三层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber routed enable
# 开启DHCPv6报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcpv6 enable
# 开启未知源IPv6报文触发方式,允许DHCP client异常下线后通过IPv6报文重新触发上线。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ipv6 enable matching-user
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
e. 配置用于把DHCP报文上送CPU的ACL规则
# 创建名称为dhcpv6的IPv6高级ACL规则,匹配DHCPv6协议报文。
[Device] acl ipv6 advanced name dhcpv6
[Device-acl-ipv6-adv-dhcpv6] rule 0 permit udp destination-port eq 546
[Device-acl-ipv6-adv-dhcpv6] rule 5 permit udp destination-port eq 547
[Device-acl-ipv6-adv-dhcpv6] quit
# 配置类dhcpv6,匹配IPv6高级ACL dhcpv6。
[Device] traffic classifier dhcpv6 operator or
[Device-classifier-dhcpv6] if-match acl ipv6 name dhcpv6
[Device-classifier-dhcpv6] quit
# 配置流行为dhcpv6,将DHCPv6报文重定向到CPU。
[Device] traffic behavior dhcpv6
[Device-behavior-dhcpv6]] redirect dhcp-to-cpu
[Device-behavior-dhcpv6]] quit
# 配置入方向QoS策略dhcpv6。
[Device] qos policy dhcpv6
[Device-qospolicy-dhcpv6]] classifier dhcpv6 behavior dhcpv6
[Device-qospolicy-dhcpv6]] quit
# 在接口GE3/1/1上应用入方向QoS策略dhcpv6。
[Device] interface gigabitethernet 3/1/1
[Device–GigabitEthernet3/1/1] qos apply policy dhcpv6 inbound
(4) 配置DHCP中继设备
a. 配置各接口IP地址(略)。
b. 配置到达DHCP服务器的静态路由
# 通过配置静态路由,将中继设备的IPv6报文的下一跳指定为BRAS设备和DHCP中继设备相连的接口IPv6地址2::2。
<DHCP-relay> system-view
[DHCP-relay] ipv6 route-static :: 0 2::2
c. 配置DHCP中继设备
# 进入接口GigabitEthernet3/1/2视图。
[DHCP-relay] interface gigabitethernet 3/1/2
# 配置接口工作在中继模式。
[DHCP-relay–GigabitEthernet3/1/2] ipv6 dhcp select relay
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[DHCP-relay–GigabitEthernet3/1/2] ipv6 address auto link-local
# 开启DHCPv6中继用户表项记录功能。
[DHCP-relay–GigabitEthernet3/1/2] ipv6 dhcp relay client-information record
# 配置DHCPv6服务器地址。
[DHCP-relay–GigabitEthernet3/1/2] ipv6 dhcp relay server-address 4::3
# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息
[DHCP-relay–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[DHCP-relay–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag
[DHCP-relay–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag
[DHCP-relay–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv6地址为3::2。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 - 000c-29a6-b656 -/D Online
3::2 -/- -
- 000c29a6b656
# 删除IPoE动态个人会话,强制用户下线。
<Device> reset ip subscriber session
# 显示异常下线DHCP接入用户的信息。
<Device> display ip subscriber abnormal-logout
Slot 3:
Interface IP address MAC address
IPv6 PD prefix
GE3/1/2 3::2 000c-29a6-b656
-
# DHCP异常下线用户通过未知源IPv6报文重新触发上线,用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3::2,用户仍为DHCP接入类型。
<Device> display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 - 000c-29a6-b656 -/D Online
3::2 -/- -
- 000c29a6b656
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分别分配IPv4和IPv6地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-15 IPoE DHCP双栈用户接入配置组网图
此例假设用户通过DHCP方式申请时,DHCP报文中并未携带option60选项。
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
¡ 配置DHCPv4地址池
# 开启DHCP服务。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool1的DHCPv4地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-dhcp-pool-pool1] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-dhcp-pool-pool1] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-dhcp-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为3.3.3.0网段的DHCPv4应答报文的下一跳指定为连接DHCPv4客户端网络的接口IPv4地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
¡ 配置DHCPv6地址池
# 创建名称为pool2的DHCPv6地址池并进入其视图。
[DHCP-server] ipv6 dhcp pool pool2
# 配置地址池动态分配的IPv6地址网段3::0/64。
[DHCP-server-dhcp6-pool-pool2] network 3::0/64
[DHCP-server-dhcp6-pool-pool2] quit
# 将3::1设置为禁止地址。
[DHCP-server] ipv6 dhcp server forbidden-address 3::1
# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[DHCP-server] interface gigabitethernet 3/1/1
[DHCP-server-GigabitEthernet3/1/1] ipv6 dhcp select server
[DHCP-server-GigabitEthernet3/1/1] quit
# 通过配置静态路由,将目的地址为3::0网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2。
[DHCP-server] ipv6 route-static 3::0 64 4::2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置DHCP relay
# 开启DHCP服务。
<Device> system-view
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
# 创建中继地址池pool2,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] ipv6 dhcp pool pool2
[Device-dhcp6-pool-pool2] gateway-list 3::1
[Device-dhcp6-pool-pool2] remote-server 4::3
[Device-dhcp6-pool-pool2] quit
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继代理模式。
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
[Device–GigabitEthernet3/1/2] ipv6 dhcp select relay
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
# 开启DHCPv6中继用户表项记录功能。
[Device–GigabitEthernet3/1/2] ipv6 dhcp relay client-information record
# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag
[Device–GigabitEthernet3/1/2] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权中继地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ip-pool pool1
[Device-isp-dm1] authorization-attribute ipv6-pool pool2
[Device-isp-dm1] quit
e. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启DHCP和DHCPv6报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcpv6 enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv4地址为3.3.3.2,IPv6地址为3::2。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 3.3.3.2 000c-29a6-b656 D/D Online
3::2 -/- -
- 000c29a6b656
· 用户主机采用混合双栈方式上线。其中IPv4协议栈采用全局静态方式上线,IPv6协议栈采用DHCP动态方式上线。
· 用户主机的IPv4地址为3.3.3.2。
· 采用DHCP服务器分别分配IPv6地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-16 IPoE动静态混合双栈用户接入配置组网图
此例假设用户通过DHCP方式申请时,DHCP报文中并未携带option60选项。
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
¡ 配置DHCPv6地址池
# 创建名称为pool1的DHCPv6地址池并进入其视图。
[DHCP-server] ipv6 dhcp pool pool1
# 配置地址池动态分配的IPv6地址网段3::0/64,DNS服务器地址为8::8。
[DHCP-server-dhcp6-pool-pool1] network 3::0/64
[DHCP-server-dhcp6-pool-pool1] dns-server 8::8
[DHCP-server-dhcp6-pool-pool1] quit
# 将3::1设置为禁止地址。
[DHCP-server] ipv6 dhcp server forbidden-address 3::1
# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[DHCP-server] interface gigabitethernet 3/1/1
[DHCP-server-GigabitEthernet3/1/1] ipv6 dhcp select server
[DHCP-server-GigabitEthernet3/1/1] quit
# 通过配置静态路由,将目的地址为3::0网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2。
[DHCP-server] ipv6 route-static 3::0 64 4::2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置DHCP relay
# 创建中继地址池pool1,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] ipv6 dhcp pool pool1
[Device-dhcp6-pool-pool1] gateway-list 3::1
[Device-dhcp6-pool-pool1] remote-server 4::3
[Device-dhcp6-pool-pool1] quit
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继代理模式。
[Device–GigabitEthernet3/1/2] ipv6 dhcp select relay
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
# 开启DHCPv6中继用户表项记录功能。
[Device–GigabitEthernet3/1/2] ipv6 dhcp relay client-information record
# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag
[Device–GigabitEthernet3/1/2] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权中继地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ipv6-pool pool1
[Device-isp-dm1] quit
e. 配置用户网关
# 全局开启DHCP。
[Device] dhcp enable
# 创建地址池pool2,指定用户的网关地址为3.3.3.1。
[Device] dhcp server ip-pool pool2
[Device-dhcp-pool-pool2] gateway-list 3.3.3.1 export-route
[Device-dhcp-pool-pool2] quit
f. 配置IPoE
# 设置IPv4协议栈的全局静态并支持与动态协议栈组成双栈,且认证域为dm1
[Device] ip subscriber session static ip 3.3.3.2 domain dm1 support-ds
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启ARP和DHCPv6报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcpv6 enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 配置动态和全局静态用户的认证用户名均为用户的MAC地址。
[Device-GigabitEthernet3/1/2] ip subscriber username mac-address
# 设置动态和全局静态用户的认证密码均为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户IPv4地址为3.3.3.2,IPv6地址为3::2。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 3.3.3.2 000c-29a6-b656 S/D Online
3::2 -/- -
- 000c29a6b656
· 通过IPv6 ND RS报文触发上线的用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备可以发送IPv6 ND RA报文。
· 采用RADIUS作为认证、授权和计费服务器。
图1-17 IPv6 ND RS报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
Framed-IPv6-Prefix =10::10/64
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius,授权IPv6前缀为10::10/64。
(2) 配置Device
a. 配置各接口的IP地址(略)。
b. 取消对接口GigabitEthernet3/1/2发布IPv6 ND RA消息的抑制。
<Device> system-view
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] quit
c. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
d. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
e. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启IPv6 ND RS报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator ndrs enable
# 设置IPv6 ND RS报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber ndrs domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv6地址为10::20C:29FF:FEA6:B656。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 - 000c-29a6-b656 -/N Online
10::20C:29FF:FEA6:B6 -/- -
56
- 000c29a6b656
· 通过IPv6 ND RS报文触发上线的用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备可以发送IPv6 ND RA报文。
· 采用RADIUS作为认证、授权和计费服务器。
图1-18 IPv6 ND RS报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置Device
a. 配置各接口的IP地址(略)。
b. 取消对接口GigabitEthernet3/1/2发布IPv6 ND RA消息的抑制。
<Device> system-view
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
c. 配置接口GigabitEthernet3/1/2自动生成IPv6链路本地地址。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
[Device–GigabitEthernet3/1/2] quit
d. 配置DHCP服务器
# 创建名称为1的前缀地址池,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[Device] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为pool1的DHCPv6地址池,并引用前缀池1。
[Device] ipv6 dhcp pool pool1
[Device-dhcp6-pool-pool1] prefix-pool 1
[Device-dhcp6-pool-pool1] quit
e. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
f. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,为用户授权ND前缀池及IPv6 DNS地址池信息。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ipv6-nd-prefix-pool pool1
[Device-isp-dm1] authorization-attribute primary-dns ipv6 2:2::3
[Device-isp-dm1] quit
g. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启IPv6 ND RS报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator ndrs enable
# 设置IPv6 ND RS报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber ndrs domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv6前缀为10::。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 - 000c-29a6-b656 -/N Online
10:: -/- -
- 000c29a6b656
CPE支持通过NDRA和IA_PD两种方式分别向BRAS申请ND前缀和PD前缀。其中:
· NDRA:CPE主动向BRAS发送ND RS报文,BRAS通过ND RA报文给CPE WAN口分配ND前缀,用于CPE WAN口生成IPv6全球单播地址,该地址可被用于远程管理CPE设备。
· IA_PD:CPE主动向BRAS发送DHCPv6请求报文,BRAS通过DHCPv6(IA_PD)协议给CPE分配PD前缀;CPE将获取到PD前缀通过无状态方式分配给下连的主机,用于主机生成IPv6全球单播地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-19 IPv6 ND RS+DHCPv6(IA_PD)报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置RouterB
a. 配置各接口的IP地址(略)。
b. 取消对接口GigabitEthernet3/1/2发布IPv6 ND RA消息的抑制。
<RouterB> system-view
[RouterB] interface gigabitethernet 3/1/2
[RouterB–GigabitEthernet3/1/2] undo ipv6 nd ra halt
c. 配置接口GigabitEthernet3/1/2自动生成IPv6链路本地地址。
[RouterB–GigabitEthernet3/1/2] ipv6 address auto link-local
d. # 配置接口GigabitEthernet3/1/2工作在DHCPv6服务器模式。
[RouterB–GigabitEthernet3/1/2] ipv6 dhcp select server
[RouterB–GigabitEthernet3/1/2] quit
e. 配置DHCP服务器
# 创建名称为1的前缀地址池,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[RouterB] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为nd的DHCPv6地址池,并引用前缀池1。
[RouterB] ipv6 dhcp pool nd
[RouterB-dhcp6-pool-nd] prefix-pool 1
[RouterB-dhcp6-pool-nd] quit
# 创建名称为2的前缀地址池,包含的前缀为20::/32,分配的前缀长度为64,即前缀池2包含20::/64~20:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[RouterB] ipv6 dhcp prefix-pool 2 prefix 20::/32 assign-len 64
# 创建名称为pd的DHCPv6地址池,并引用前缀池2。
[RouterB] ipv6 dhcp pool pd
[RouterB-dhcp6-pool-pd] prefix-pool 2
[RouterB-dhcp6-pool-pd] quit
f. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[RouterB] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[RouterB-radius-rs1] primary authentication 4.4.4.1
[RouterB-radius-rs1] primary accounting 4.4.4.1
[RouterB-radius-rs1] key authentication simple radius
[RouterB-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[RouterB-radius-rs1] user-name-format without-domain
[RouterB-radius-rs1] quit
g. 配置认证域
# 创建并进入名称为dm1的ISP域。
[RouterB] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,为用户授权PD前缀池为pd,ND前缀池为nd。
[RouterB-isp-dm1] authentication ipoe radius-scheme rs1
[RouterB-isp-dm1] authorization ipoe radius-scheme rs1
[RouterB-isp-dm1] accounting ipoe radius-scheme rs1
[RouterB-isp-dm1] authorization-attribute ipv6-pool pd
[RouterB-isp-dm1] authorization-attribute ipv6-nd-prefix-pool nd
[RouterB-isp-dm1] quit
h. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[RouterB] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[RouterB–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启IPv6 DHCP报文触发方式。
[RouterB–GigabitEthernet3/1/2] ip subscriber initiator dhcpv6 enable
# 开启IPv6 NDRS报文触发方式。
[RouterB–GigabitEthernet3/1/2] ip subscriber initiator ndrs enable
# 设置IPv6 DHCP报文触发方式使用的认证域为dm1。
[RouterB–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置IPv6 NDRS报文触发方式使用的认证域为dm1。
[RouterB–GigabitEthernet3/1/2] ip subscriber ndrs domain dm1
# 设置用户以IA_PD方式成功上线后,才允许以NDRS方式上线
[RouterB–GigabitEthernet3/1/2] ip subscriber ndrs wait-delegation-prefix
# 设置动态用户的认证密码为明文radius。
[RouterB–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[RouterB–GigabitEthernet3/1/2] quit
(3) 配置RouterA
a. 配置接口GigabitEthernet3/1/1的开启无状态地址自动配置功能,使接口通过无状态自动配置方式生成全球单播地址。
[RouterA] interface gigabitethernet 3/1/1
[RouterA–GigabitEthernet3/1/1] ipv6 address auto
b. # 配置接口GigabitEthernet3/1/1作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA–GigabitEthernet3/1/1] ipv6 dhcp client pd 1
c. # 在接口GigabitEthernet3/1/2上取消对RA消息发布的抑制。
[RouterA] interface gigabitethernet 3/1/2
[RouterA-GigabitEthernet3/1/2] undo ipv6 nd ra halt
d. # 在接口GigabitEthernet3/1/2上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成IPv6地址,并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-GigabitEthernet3/1/2] ipv6 address 1 123::123:1:1/64
[RouterA-GigabitEthernet3/1/2] quit
# 客户端触发NDRS+IAPD报文,用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的nd前缀为10::,pd前缀为20::/64
[RouterB] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 - 000c-29a6-b656 -/N Online
10:: -/- -
20::/64 000c29a6b656
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/64再分配给Host,Host用来生成IPv6全球单播地址。
· 通过ARP报文触发上线的IPoE静态个人接入用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
· 为静态用户分配的网关地址为3.3.3.1。
图1-20 ARP报文触发静态IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
3.3.3.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址3.3.3.2,用户密码为字符串radius。
(2) 配置Device
a. 配置各接口的IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
d. 配置用户网关
# 全局开启DHCP。
[Device] dhcp enable
# 创建地址池pool1,指定用户的网关地址为3.3.3.1。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route
[Device-dhcp-pool-pool1] quit
e. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# IPoE静态个人接入用户通过ARP报文触发上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 配置IP地址为3.3.3.2,认证域为dm1的静态会话。
[Device–GigabitEthernet3/1/2] ip subscriber session static ip 3.3.3.2 domain dm1
# 配置IPoE静态个人接入用户的认证密码为radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 addrss SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 3.3.3.2 147b-1924-0206 S/- Online
- -/- -
- 3.3.3.2
· 通过NS/NA报文触发上线的IPoE静态个人接入用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
图1-21 NS/NA报文触发静态IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4::2/64 {
ipaddr6 = 4::2
netmask=64
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4::2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
3::1 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址3::1,用户密码为字符串radius。
(2) 配置Device
a. 配置各接口的IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication ipv6 4::1
[Device-radius-rs1] primary accounting ipv6 4::1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
d. 配置IPoE
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
# 开启IPoE功能,并指定二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# IPoE静态个人接入用户通过NS/NA报文触发上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator nsna enable
# 配置IPv6地址为3::1,认证域为dm1的静态会话。
[Device–GigabitEthernet3/1/2] ip subscriber session static ipv6 3::1 domain dm1
# 配置IPoE静态个人接入用户的认证密码为radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# NS/NA报文认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 - 0010-9400-0002 -/S Online
3::1 -/- -
- 3::1
· 三层设备Device下挂的Host A和Host B均使用相同的IPv6地址前缀(20::/64)且通过无状态自动配置方式获取IPv6地址。
· BRAS设备上采用IPoE静态用户上线方式实现下挂的主机都可以通过IPv6报文触发上线,并对这些使用相同IPv6地址前缀的用户报文进行统一认证、计费、限速和管理。
· 采用RADIUS作为认证、授权和计费服务器。
图1-22 IPv6 PD前缀用户通过未知源IP报文触发静态IPoE接入配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4::2/64 {
ipaddr6 = 4::2
netmask=64
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4::2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
10::2 Cleartext-Password :="radius"
以上信息表示:静态用户的用户名为10::2,用户密码为字符串radius。
(2) 配置BRAS
a. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<BRAS> system-view
[BRAS] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[BRAS-radius-rs1] primary authentication ipv6 4::1
[BRAS-radius-rs1] primary accounting ipv6 4::1
[BRAS-radius-rs1] key authentication simple radius
[BRAS-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[BRAS-radius-rs1] user-name-format without-domain
[BRAS-radius-rs1] quit
b. 配置认证域
# 创建并进入名称为dm1的ISP域。
[BRAS] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[BRAS-isp-dm1] authentication ipoe radius-scheme rs1
[BRAS-isp-dm1] authorization ipoe radius-scheme rs1
[BRAS-isp-dm1] accounting ipoe radius-scheme rs1
[BRAS-isp-dm1] quit
c. 配置IPoE
# 配置IPoE全局静态会话,允许IPv6地址为10::2和属于前缀网段20::/64的用户触发静态用户上线。
[BRAS] ip subscriber session static ipv6 10::2 delegation-prefix 20:: 64 domain dm1
# 进入接口GigabitEthernet3/1/2视图。
[BRAS] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[BRAS–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# IPoE静态个人接入用户通过NS/NA报文触发上线功能。
[BRAS–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ipv6 enable
# 配置IPoE静态个人接入用户的认证密码为radius。
[BRAS–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[BRAS–GigabitEthernet3/1/2] quit
(3) 配置Device
# 配置引用前缀生成接口上的IPv6地址,并将此前缀分配给终端设备。
<Device> system-view
[Device] ipv6 prefix 1 20::/64
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ipv6 address 1 ::1/64
[Device–GigabitEthernet3/1/2] quit
# HostA发送的IPv6报文认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[BRAS] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 - 0010-9400-0002 -/S Online
10::2 -/- -
- 10::2
· 子网5.5.5.0/24、6.6.6.0/24、7.7.7.0/24的所有用户经由二层网络以IPoE方式接入到BRAS 接入设备。
· 子网专线用户认证时使用的用户名和密码分别为:5.5.5.0/24网段用户名us1、密码pw1;6.6.6.0/24网段用户名us2、密码pw2;7.7.7.0/24网段用户名us3、密码pw3。
· 采用RADIUS作为认证、授权和计费服务器。
图1-23 IPoE子网专线用户接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
us1 Cleartext-Password :="pw1"
us2 Cleartext-Password :="pw2"
us3 Cleartext-Password :="pw3"
以上信息表示:三个子网专线用户的用户名分别为us1、us2、us3,相应的用户密码分别为字符串pw1、pw2、pw3。
(2) 配置Device
a. 配置各接口IP地址以及从IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
d. 配置IPoE认证
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 配置三个子网专线用户。
[Device–GigabitEthernet3/1/2] ip subscriber subnet-leased ip 5.5.5.0 24 username us1 password plaintext pw1 domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber subnet-leased ip 6.6.6.0 24 username us2 password plaintext pw2 domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber subnet-leased ip 7.7.7.0 24 username us3 password plaintext pw3 domain dm1
[Device–GigabitEthernet3/1/2] quit
# 子网专线用户认证通过之后,各子网网段的用户流量能正常转发,可以使用以下的显示命令查看到IPoE用户在线信息。
[Device] display ip subscriber subnet-leased
Basic:
Access interface : GE3/1/2
VPN instance : N/A
Username : us1
Network : 5.5.5.0/24
User ID : 0x38060000
State : Online
Service node : Slot 3 CPU 0
Authorization domain : dm1
Authentication domain : dm1
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:16:37
IPv4 total users : 10
AAA:
ITA policy name : N/A
IP pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : N/A
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 223423/28598144
Downlink packets/bytes : 5802626/742736000
Basic:
Access interface : GE3/1/2
VPN instance : N/A
Username : us2
Network : 6.6.6.0/24
User ID : 0x38060001
State : Online
Service node : Slot 3 CPU 0
Authorization domain : dm1
Authentication domain : dm1
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:10:37
IPv4 total users : 10
AAA:
ITA policy name : N/A
IP pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : N/A
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 223423/28598144
Downlink packets/bytes : 5802626/742736000
Basic:
Access interface : GE3/1/2
VPN instance : N/A
Username : us3
Network : 7.7.7.0/24
User ID : 0x38060002
State : Online
Service node : Slot 3 CPU 0
Authorization domain : dm1
Authentication domain : dm1
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:16:03
IPv4 total users : 10
AAA:
ITA policy name : N/A
IP pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : N/A
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 223423/28598144
Downlink packets/bytes : 5802626/742736000
· 2.2.2.0/24网段内的所有用户经由网关设备以IPoE方式接入到BRAS接入设备。
· 接口专线用户认证时使用的用户名为us1、密码为pw1。
· 采用RADIUS作为认证、授权和计费服务器。
图1-24 IPoE接口专线用户接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
us1 Cleartext-Password :="pw1"
以上信息表示:接口专线用户的用户名为us1,用户密码为字符串pw1。
(2) 配置Device
a. 配置各接口IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
d. 配置IPoE认证
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber routed enable
# 配置接口专线用户,认证使用的用户名为us1,认证使用的密码为明文pw1,使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber interface-leased username us1 password plaintext pw1 domain dm1
[Device–GigabitEthernet3/1/2] quit
# 接口专线用户认证通过之后,后续经由此接口的用户流量都能正常转发,可以使用以下的显示命令查看到IPoE用户在线信息。
[Device] display ip subscriber interface-leased
Basic:
Access interface : GE3/1/2
VPN instance : N/A
Username : us1
User ID : 0x30000000
State : Online
Service node : Slot 3 CPU 0
Authorization domain : dm1
Authentication domain : dm1
Login time : May 14 20:04:42 2014
Online time (hh:mm:ss) : 00:16:37
IPv4 total users : 0
IPv6 total users : 0
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 16734145/2141970560
Downlink packets/bytes : 22314327/2856233728
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· L2VPN专线用户Host A经由二层网络以IPoE方式接入到BRAS设备。
· L2VPN专线用户认证时使用的用户名为us1、密码为pw1。
· 采用RADIUS作为认证、授权和计费服务器。
图1-25 IPoE L2VPN专线用户接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
us1 Cleartext-Password :="pw1"
以上信息表示:接口专线用户的用户名为us1,用户密码为字符串pw1。
(2) 配置PE2
# 配置LSR ID。
[PE2] interface loopback 0
[PE2-LoopBack0] ip address 2.2.2.9 32
[PE2-LoopBack0] quit
[PE2] mpls lsr-id 2.2.2.9
# 使能L2VPN。
[PE2] l2vpn enable
# 全局使能LDP。
[PE2] mpls ldp
[PE2-ldp] quit
# 配置连接PE 1的接口GigabitEthernet3/1/2,在此接口上使能LDP。
[PE2] interface gigabitethernet 3/1/2
[PE2-GigabitEthernet3/1/2] ip address 20.1.1.2 24
[PE2-GigabitEthernet3/1/2] mpls enable
[PE2-GigabitEthernet3/1/2] mpls ldp enable
[PE2-GigabitEthernet3/1/2] quit
# 在PE 2上运行OSPF,用于建立LSP。
[PE2] ospf
[PE2-ospf-1] area 0
[PE2-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[PE2-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0
[PE2-ospf-1-area-0.0.0.0] quit
[PE2-ospf-1] quit
# 在PE 2上创建虚拟交换实例,并配置远端PE。
[PE2] vsi vpn1
[PE2-vsi-vpn1] pwsignaling static
[PE2-vsi-vpn1-static] peer 1.1.1.9 pw-id 3 in-label 100 out-label 100
[PE2-vsi-vpn1-static-1.1.1.9-3] quit
[PE2-vsi-vpn1-static] quit
[PE2-vsi-vpn1] quit
# 在接入CE 2的接口GigabitEthernet3/1/1上关联虚拟交换实例。此接口不需配置IP地址。
[PE2] interface gigabitethernet 3/1/1
[PE2-GigabitEthernet3/1/1] xconnect vsi vpn1
[PE2-GigabitEthernet3/1/1] quit
(3) 配置PE1
a. 配置VPLS
# 配置LSR ID。
<PE1> system-view
[PE1] interface loopback 0
[PE1-LoopBack0] ip address 1.1.1.9 32
[PE1-LoopBack0] quit
[PE1] mpls lsr-id 1.1.1.9
# 使能L2VPN。
[PE1] l2vpn enable
# 全局使能LDP。
[PE1] mpls ldp
[PE1-ldp] quit
# 配置连接PE 2的接口GigabitEthernet3/1/2,在此接口上使能LDP。
[PE1] interface gigabitethernet 3/1/2
[PE1-GigabitEthernet3/1/2] ip address 20.1.1.1 24
[PE1-GigabitEthernet3/1/2] mpls enable
[PE1-GigabitEthernet3/1/2] mpls ldp enable
[PE1-GigabitEthernet3/1/2] quit
# 在PE 1上运行OSPF,用于建立LSP。
[PE1] ospf
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit
# 在PE 1上创建虚拟交换实例,并配置远端PE。
[PE1] vsi vpn1
[PE1-vsi-vpn1] pwsignaling static
[PE1-vsi-vpn1-static] peer 2.2.2.9 pw-id 3 in-label 100 out-label 100
[PE1-vsi-vpn1-static-2.2.2.9-3] quit
[PE1-vsi-vpn1-static] quit
[PE1-vsi-vpn1] quit
# 在接入CE 1的接口GigabitEthernet3/1/1上关联虚拟交换实例。此接口不需配置IP地址。
[PE1] interface gigabitethernet 3/1/1
[PE1-GigabitEthernet3/1/1] xconnect vsi vpn1
[PE1-GigabitEthernet3/1/1] quit
b. 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<PE1> system-view
[PE1] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[PE1-radius-rs1] primary authentication 4.4.4.1
[PE1-radius-rs1] primary accounting 4.4.4.1
[PE1-radius-rs1] key authentication simple radius
[PE1-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[PE1-radius-rs1] user-name-format without-domain
[PE1-radius-rs1] quit
c. 配置认证域
# 创建并进入名字为dm1的ISP域。
[PE1] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[PE1-isp-dm1] authentication ipoe radius-scheme rs1
[PE1-isp-dm1] authorization ipoe radius-scheme rs1
[PE1-isp-dm1] accounting ipoe radius-scheme rs1
[PE1-isp-dm1] quit
d. 配置IPoE认证
# 进入接口GigabitEthernet3/1/1视图。
[PE1] interface gigabitethernet 3/1/1
# 使能IPoE功能,并指定二层接入模式。
[PE1–GigabitEthernet3/1/1] ip subscriber l2-connected enable
# 配置L2VPN专线用户,认证使用的用户名为us1,认证使用的密码为明文pw1,使用的认证域为dm1。
[PE1–GigabitEthernet3/1/1] ip subscriber l2vpn-leased username us1 password plaintext pw1 domain dm1
[PE1–GigabitEthernet3/1/1] quit
# L2VPN专线用户认证通过之后,后续经由此接口的用户流量都能正常转发,可以使用以下的显示命令查看到IPoE用户在线信息。
[PE1] display ip subscriber l2vpn-leased
Basic:
Access interface : GE3/1/1
VPN instance : N/A
Username : us1
User ID : 0x30000000
State : Online
Service node : Slot 3 CPU 0
Authorization domain : dm1
Authentication domain : dm1
Login time : May 14 20:04:42 2014
Online time (hh:mm:ss) : 00:16:37
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : N/A
Max IPv4 multicast addresses: 0
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 0
IPv6 multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 16734145/2141970560
Downlink packets/bytes : 22314327/2856233728
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· 2.2.2.0/24网段内的所有用户经由网关设备以IPoE静态专线方式接入到BRAS接入设备。
· 静态专线会话认证时使用的用户名为us1、密码为pw1。
· 采用RADIUS作为认证、授权和计费服务器。
图1-26 IPoE静态专线用户接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
3.3.3.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址3.3.3.2,用户密码为字符串radius。
(2) 配置Device
a. 配置各接口IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
d. 配置IPoE认证
# 配置IP地址为3.3.3.2,认证域为dm1的静态专线会话,并主动触发用户上线。
[Device] ip subscriber session static-leased ip 3.3.3.2 interface GigabitEthernet 3/1/2 domain dm1 request-online
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber routed enable
[Device–GigabitEthernet3/1/2] quit
# IPoE静态个人接入用户通过未知源报文触发上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable
# 配置IPoE静态个人接入用户的认证密码为radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 静态专线用户认证通过之后,后续经由此接口的用户流量都能正常转发,可以使用以下的显示命令查看到IPoE静态专线用户的在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 addrss SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 3.3.3.2 147b-1924-0206 S/- Online
- -/- -
- 3.3.3.2
· 用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
· vpn1中的用户通过DHCP获取IP地址。
图1-27 IPoE为接入用户授权地址池和VPN配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
H3C-VPN-Instance :="vpn1",
Framed-Pool := " pool1"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius,授权VPN实例名称为vpn1,授权IP地址池名称为pool1。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-dhcp-pool-pool1] network 3.3.3.0 24
# 配置为客户端分配的网关地址为3.3.3.1。
[DHCP-server-dhcp-pool-pool1] gateway-list 3.3.3.1
# 将3.3.3.1设置为例外地址。
[DHCP-server-dhcp-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为3.3.3.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
(3) 配置Device
为保证VPN间流量正常转发,需要配置静态路由和策略路由。
a. 配置各接口IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
d. 创建VPN实例
# 创建一个名为vpn1的VPN实例。
[Device] ip vpn-instance vpn1
[Device-vpn-instance-vpn1] quit
e. 配置DHCP relay
# 全局开启DHCP。
[Device] dhcp enable
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继代理模式。
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
[Device–GigabitEthernet3/1/2] quit
# 创建DHCP地址池pool1,并引用VPN实例vpn1。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] vpn-instance vpn1
# 配置为客户端分配的网关地址为3.3.3.1,且指定导出相应的路由。当本配置生效后,会向vpn1的路由表中添加一条网关地址对应的静态主机路由。
[Device-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route
# 配置远端DHCP服务器地址为4.4.4.3。
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
f. 配置IPoE
# 在接口GigabitEthernet3/1/2上开启IPoE功能,并指定二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态IPoE用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
# 在接口GigabitEthernet3/1/2上开启代理ARP。
[Device–GigabitEthernet3/1/2] proxy-arp enable
[Device–GigabitEthernet3/1/2] quit
h. 配置策略路由
通过配置静态路由,将vpn1内的DHCP请求方向的流量引入到DHCP服务器端
# 配置静态路由。
[Device] ip route-static vpn-instance vpn1 4.4.4.0 24 4.4.4.3 public
通过配置策略路由,将DHCP服务器回应的流量导入到DHCP客户端所在的VPN
# 创建一个策略to_vpn1,其节点序号为0,匹配模式permit,指定报文在vpn1内转发。
[Device] policy-based-route to_vpn1 permit node 0
[Device-pbr-to_vpn1-0] apply access-vpn vpn-instance vpn1
[Device-pbr-to_vpn1-0] quit
# 在以太接口GigabitEthernet3/1/1上应用该策略路由。
[Device] interface gigabitethernet 3/1/1
[Device–GigabitEthernet3/1/1] ip policy-based-route to_vpn1
[Device–GigabitEthernet3/1/1] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 000c29a6b656
Authorization domain : dm1
Authentication domain : dm1
VPN instance : vpn1
IP address : 3.3.3.2
User address type : N/A
MAC address : 000c-29a6-b656
IPv4 DUID : 000c-29a6-b656
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x380800b5
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 18400 sec
Access time : Sep 14 18:09:28 2014
Online time (hh:mm:ss) : 00:16:37
Service node : Slot 3 CPU 0
Authentication type : Bind
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Sep 14 18:09:28 2014 (succeed)
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 594341/76075648
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· 用户主机经由三层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
图1-28 IPoE用户在线探测配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
2.2.2.3 Cleartext-Password :="radius"
2.2.2.4 Cleartext-Password :="radius"
以上信息表示:三个用户的用户名分别为Host的IP地址2.2.2.2、2.2.2.3、2.2.2.4,用户密码均为字符串radius。
(2) 配置Device
a. 配置各接口IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
d. 配置IPoE认证
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber routed enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
# 开启在线用户探测功能,并指定ICMP探测方式,重复尝试次数为2,探测间隔为30秒。
[Device–GigabitEthernet3/1/2] ip subscriber user-detect ip icmp retry 2 interval 30
[Device–GigabitEthernet3/1/2] quit
用户认证通过之后,可以通过显示命令display ip subscriber session查看到对应用户信息,若用户主机离线,则设备会在一定时间后探测到,并删除记录的IPoE用户信息。
· 用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· 由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器和Portal Web服务器的职责。
· FTP server是一台内网服务器。
图1-29 IPoE静态用户普通Web认证配置组网图
(1) 配置Device
a. 配置各接口IP地址(略)
b. 配置Portal认证服务器
# 配置Portal认证服务器:名称为newpt,IP地址为4.4.4.5,密钥为明文123456。
[Device] portal server newpt
[Device-portal-server-newpt] ip 4.4.4.5 key simple 123456
[Device-portal-server-newpt] quit
c. 配置对HTTPS报文进行重定向的内部侦听端口号
# 配置对HTTPS报文进行重定向的内部侦听端口号为11111。
[Device] http-redirect https-port 11111
d. 创建本地用户组
# 创建认证前域用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
e. 配置用于认证前域用户的ACL规则
# 为IPv4高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[Device] acl advanced name web_permit
[Device-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_permit] quit
# 为IPv4高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[Device] acl advanced name neiwang
[Device-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang] quit
# 为IPv4高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[Device] acl advanced name web_http
[Device-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv4-adv-web_http] quit
# 为IPv4高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[Device] acl advanced name web_https
[Device-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv4-adv-web_https] quit
# 为IPv4高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[Device] acl advanced name ip
[Device-acl-ipv4-adv-ip] rule 0 permit ip user-group web
[Device-acl-ipv4-adv-ip] quit
# 为IPv4高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[Device] acl advanced name neiwang_out
[Device-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang_out] quit
# 为IPv4高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[Device] acl advanced name web_out
[Device-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_out] quit
f. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[Device] traffic classifier web_permit operator and
[Device-classifier-web_permit] if-match acl name web_permit
[Device-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[Device] traffic classifier neiwang operator and
[Device-classifier-neiwang] if-match acl name neiwang
[Device-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[Device] traffic classifier web_http operator and
[Device-classifier-web_http] if-match acl name web_http
[Device-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[Device] traffic classifier web_https operator and
[Device-classifier-web_https] if-match acl name web_https
[Device-classifier-web_https] quit
# 配置类web_deny,匹配ACL ip。
[Device] traffic classifier web_deny operator and
[Device-classifier-web_deny] if-match acl name ip
[Device-classifier-web_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[Device] traffic classifier neiwang_out operator and
[Device-classifier-neiwang_out] if-match acl name neiwang_out
[Device-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[Device] traffic classifier web_out operator and
[Device-classifier-web_out] if-match acl name web_out
[Device-classifier-web_out] quit
g. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_permit
[Device-behavior-web_permit] filter permit
[Device-behavior-web_permit] free account
[Device-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[Device] traffic behavior web_http
[Device-behavior-web_http] redirect http-to-cpu
[Device-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[Device] traffic behavior web_https
[Device-behavior-web_https] redirect https-to-cpu
[Device-behavior-web_https] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[Device] traffic behavior web_deny
[Device-behavior-web_deny] filter deny
[Device-behavior-web_deny] free account
[Device-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang_out
[Device-behavior-neiwang_out] filter permit
[Device-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_out
[Device-behavior-web_out] filter permit
[Device-behavior-web_out] free account
[Device-behavior-web_out] quit
h. 配置QoS策略
# 配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文之外,其余报文均禁止通过。
[Device-qospolicy-web] classifier web_permit behavior web_permit
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier web_http behavior web_http
[Device-qospolicy-web] classifier web_https behavior web_https
[Device-qospolicy-web] classifier web_deny behavior web_deny
[Device-qospolicy-web] quit
# 配置出方向QoS策略out
[Device] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文禁止通过。
[Device-qospolicy-out] classifier web_out behavior web_out
[Device-qospolicy-out] classifier neiwang_out behavior neiwang_out
[Device-qospolicy-out] classifier web_deny behavior web_deny
[Device-qospolicy-out] quit
i. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[Device] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[Device] qos apply policy out global outbound
j. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.5
[Device-radius-rs1] primary accounting 4.4.4.5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
k. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置授权用户组。
[Device-isp-dm1] authorization-attribute user-group web
# 配置Web认证页面URL和Web认证服务器IP地址。
[Device-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[Device-isp-dm1] web-server ip 4.4.4.5
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] quit
l. 配置用户网关
# 全局开启DHCP。
[Device] dhcp enable
# 创建地址池pool1,指定用户的网关地址为192.168.0.1。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 192.168.0.1 export-route
[Device-dhcp-pool-pool1] quit
m. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
# 配置IPoE静态用户。
[Device–GigabitEthernet3/1/2] ip subscriber session static ip 192.168.0.2
# 配置IPoE用户采用Web认证方式。
[Device–GigabitEthernet3/1/2] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[Device–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2
[Device–GigabitEthernet3/1/2] quit
(2) 配置RADIUS服务器
# 配置接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入如图1-30所示增加接入设备页面。
¡ 输入共享密钥为:radius。
¡ 其他采用缺省配置。
在该页面中设备列表下方单击<手工增加>,在如图1-31所示页面输入接入设备地址4.4.4.2并单击<确定>。
# 增加接入策略
单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入如图1-32所示增加接入策略页面。
¡ 输入接入策略名为:AccessPolicy。
¡ 其他采用缺省配置。
# 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管
理页面,在该页面中单击<增加>按钮,进入如图1-33所示增加接入服务页面。
¡ 输入服务名为:IPoE_Server
¡ 缺省接入策略选择已创建的策略“AccessPolicy”。
¡ 其他采用缺省配置。
# 在IMC界面增加用户
单击导航树中的[用户管理/增加用户]菜单项,进入如图1-34所示增加用户页面,填写用户姓名和证件号码为:IPoE_Web001和001。
单击<确定>按钮后完成用户的添加。
# 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入如图1-35所示增加接入用户页面。
¡ 用户姓名选择:IPoE_Web001
¡ 帐号名填写为:user1
¡ 密码为:pass1
¡ 接入服务选择之前已创建的IPoE_Server
(3) 配置Portal服务器
# 配置Portal主页。
单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-36所示。
图1-36 Portal服务器配置页面
# 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-37所示。
¡ 输入IP地址组名为“IPoE_Web_User”;
¡ 输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
¡ 其他采用缺省配置;
¡ 单击<确定>按钮完成操作。
图1-37 增加IP地址组配置页面
# 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-38所示。
¡ 输入设备名为“NAS”;
¡ 输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
¡ 输入密钥为“123456”;
¡ 选择组网方式为“直连”;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 配置端口组信息
如图1-39所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-40所示。
¡ 输入端口组名为“group”;
¡ 选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为192.168.0.2。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 192.168.0.2
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : N/A
DHCP remain lease : N/A
Access time : Aug 2 16:51:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : Static
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:51:28 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Redirect IPv6 URL : N/A
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-41所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : user1
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : N/A
DHCP remain lease : N/A
Access time : Aug 2 16:52:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : Static
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。
· 由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器和Portal Web服务器的职责。
· FTP server是一台内网服务器。
图1-42 IPoE DHCPv4用户普通Web认证配置组网图
(1) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段192.168.0.0/24,分配的网关地址192.168.0.1和DNS服务器地址8.8.8.8。
[DHCP-server-dhcp-pool-pool1] network 192.168.0.0 24
[DHCP-server-dhcp-pool-pool1] gateway-list 192.168.0.1
[DHCP-server-dhcp-pool-pool1] dns-list 8.8.8.8
# 将192.168.0.1设置为禁止地址。
[DHCP-server-dhcp-pool-pool1] forbidden-ip 192.168.0.1
[DHCP-server-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为192.168.0.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 192.168.0.0 24 4.4.4.2
(2) 配置Device
a. 配置各接口IP地址(略)
b. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继代理模式。
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
[Device–GigabitEthernet3/1/2] quit
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 192.168.0.1 export-route
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
c. 配置Portal认证服务器
# 配置Portal认证服务器:名称为newpt,IP地址为4.4.4.5,密钥为明文123456。
[Device] portal server newpt
[Device-portal-server-newpt] ip 4.4.4.5 key simple 123456
[Device-portal-server-newpt] quit
d. 配置对HTTPS报文进行重定向的内部侦听端口号
# 配置对HTTPS报文进行重定向的内部侦听端口号为11111。
[Device] http-redirect https-port 11111
e. 创建本地用户组
# 创建认证前域用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
f. 配置用于认证前域用户的ACL规则
# 为IPv4高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[Device] acl advanced name web_permit
[Device-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_permit] quit
# 为IPv4高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[Device] acl advanced name neiwang
[Device-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang] quit
# 为IPv4高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[Device] acl advanced name web_http
[Device-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv4-adv-web_http] quit
# 为IPv4高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[Device] acl advanced name web_https
[Device-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv4-adv-web_https] quit
# 为IPv4高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[Device] acl advanced name ip
[Device-acl-ipv4-adv-ip] rule 0 permit ip user-group web
[Device-acl-ipv4-adv-ip] quit
# 为IPv4高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[Device] acl advanced name neiwang_out
[Device-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang_out] quit
# 为IPv4高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[Device] acl advanced name web_out
[Device-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_out] quit
g. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[Device] traffic classifier web_permit operator and
[Device-classifier-web_permit] if-match acl name web_permit
[Device-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[Device] traffic classifier neiwang operator and
[Device-classifier-neiwang] if-match acl name neiwang
[Device-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[Device] traffic classifier web_http operator and
[Device-classifier-web_http] if-match acl name web_http
[Device-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[Device] traffic classifier web_https operator and
[Device-classifier-web_https] if-match acl name web_https
[Device-classifier-web_https] quit
# 配置类web_deny,匹配ACL ip。
[Device] traffic classifier web_deny operator and
[Device-classifier-web_deny] if-match acl name ip
[Device-classifier-web_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[Device] traffic classifier neiwang_out operator and
[Device-classifier-neiwang_out] if-match acl name neiwang_out
[Device-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[Device] traffic classifier web_out operator and
[Device-classifier-web_out] if-match acl name web_out
[Device-classifier-web_out] quit
h. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_permit
[Device-behavior-web_permit] filter permit
[Device-behavior-web_permit] free account
[Device-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[Device] traffic behavior web_http
[Device-behavior-web_http] redirect http-to-cpu
[Device-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[Device] traffic behavior web_https
[Device-behavior-web_https] redirect https-to-cpu
[Device-behavior-web_https] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[Device] traffic behavior web_deny
[Device-behavior-web_deny] filter deny
[Device-behavior-web_deny] free account
[Device-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang_out
[Device-behavior-neiwang_out] filter permit
[Device-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_out
[Device-behavior-web_out] filter permit
[Device-behavior-web_out] free account
[Device-behavior-web_out] quit
i. 配置QoS策略
# 配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文均禁止通过。
[Device-qospolicy-web] classifier web_permit behavior web_permit
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier web_http behavior web_http
[Device-qospolicy-web] classifier web_https behavior web_https
[Device-qospolicy-web] classifier web_deny behavior web_deny
[Device-qospolicy-web] quit
# 配置出方向QoS策略out
[Device] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。
[Device-qospolicy-out] classifier web_out behavior web_out
[Device-qospolicy-out] classifier neiwang_out behavior neiwang_out
[Device-qospolicy-out] classifier web_deny behavior web_deny
[Device-qospolicy-out] quit
j. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[Device] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[Device] qos apply policy out global outbound
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.5
[Device-radius-rs1] primary accounting 4.4.4.5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
l. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置认证前域授权地址池以及用户组。
[Device-isp-dm1] authorization-attribute user-group web
[Device-isp-dm1] authorization-attribute ip-pool pool1
# 配置Web认证页面URL。
[Device-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] quit
m. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 配置IPoE用户采用Web认证方式。
[Device–GigabitEthernet3/1/2] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[Device–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2
[Device–GigabitEthernet3/1/2] quit
(3) 配置RADIUS服务器
# 配置接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入如图1-43所示增加接入设备页面。
¡ 输入共享密钥为:radius。
¡ 其他采用缺省配置。
在该页面中设备列表下方单击<手工增加>,在如图1-44所示页面输入接入设备地址4.4.4.2并单击<确定>。
# 增加接入策略
单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入如图1-45所示增加接入策略页面。
¡ 输入接入策略名为:AccessPolicy。
¡ 其他采用缺省配置。
# 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管
理页面,在该页面中单击<增加>按钮,进入如图1-46所示增加接入服务页面。
¡ 输入服务名为:IPoE_Server
¡ 缺省接入策略选择已创建的策略“AccessPolicy”。
¡ 其他采用缺省配置。
# 在IMC界面增加用户
单击导航树中的[用户管理/增加用户]菜单项,进入如图1-47所示增加用户页面,填写用户姓名和证件号码为:IPoE_Web001和001。
单击<确定>按钮后完成用户的添加。
# 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入如图1-48所示增加接入用户页面。
¡ 用户姓名选择:IPoE_Web001
¡ 帐号名填写为:user1
¡ 密码为:pass1
¡ 接入服务选择之前已创建的IPoE_Server
(4) 配置Portal服务器
# 配置Portal主页。
单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-49所示。
图1-49 Portal服务器配置页面
# 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-50所示。
¡ 输入IP地址组名为“IPoE_Web_User”;
¡ 输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
¡ 其他采用缺省配置;
¡ 单击<确定>按钮完成操作。
图1-50 增加IP地址组配置页面
# 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-51所示。
¡ 输入设备名为“NAS”;
¡ 输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
¡ 输入密钥为“123456”;
¡ 选择组网方式为“直连”;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 配置端口组信息
如图1-52所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-53所示。
¡ 输入端口组名为“group”;
¡ 选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为192.168.0.2。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Access time : Aug 2 16:51:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:51:28 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Redirect IPv6 URL : N/A
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-54所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : user1
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Access time : Aug 2 16:52:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· Host A属于VLAN 100,网段为192.168.100.0/24,并通过BRAS上的GigabitEthernet3/1/2.100接口上线。
· Host B属于VLAN 200,网段为192.168.200.0/24,并通过BRAS上的GigabitEthernet3/1/2.200接口上线。
· Host A和Host B均作为DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。
· 由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器和Portal Web服务器的职责。
· FTP server是一台内网服务器。
图1-55 IPoE DHCPv4多网段用户普通Web认证配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。
(1) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段192.168.100.0/24,分配的网关地址192.168.100.1和DNS服务器地址8.8.8.8。
[DHCP-server-ip-pool-pool1] network 192.168.100.0 24
[DHCP-server-ip-pool-pool1] gateway-list 192.168.100.1
[DHCP-server-ip-pool-pool1] dns-list 8.8.8.8
# 将192.168.100.1设置为禁止地址。
[DHCP-server-ip-pool-pool1] forbidden-ip 192.168.100.1
[DHCP-server-ip-pool-pool1] quit
# 创建名称为pool2地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool2
# 配置地址池动态分配的IP地址网段192.168.200.0/24,分配的网关地址192.168.200.1和DNS服务器地址8.8.8.8。
[DHCP-server-ip-pool-pool2] network 192.168.200.0 24
[DHCP-server-ip-pool-pool2] gateway-list 192.168.200.1
[DHCP-server-ip-pool-pool2] dns-list 8.8.8.8
# 将192.168.200.1设置为禁止地址。
[DHCP-server-ip-pool-pool2] forbidden-ip 192.168.200.1
[DHCP-server-ip-pool-pool2] quit
# 通过配置静态路由,将目的地址为192.168.100.0网段和192.168.200.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 192.168.100.0 24 4.4.4.2
[DHCP-server] ip route-static 192.168.200.0 24 4.4.4.2
(2) 配置Device
a. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 配置接口GigabitEthernet3/1/2.100的IP地址为192.168.100.1,配置接口工作在DHCP中继代理模式,并指定DHCP服务器地址为4.4.4.3。
[Device] interface gigabitethernet 3/1/2.100
[Device–GigabitEthernet3/1/2.100] ip address 192.168.100.1 24
[Device–GigabitEthernet3/1/2.100] dhcp select relay proxy
[Device–GigabitEthernet3/1/2.100] dhcp relay server-address 4.4.4.3
[Device–GigabitEthernet3/1/2.100] quit
# 配置接口GigabitEthernet3/1/2.200的IP地址为192.168.200.1,配置接口工作在DHCP中继模式,并指定DHCP服务器地址为4.4.4.3。
[Device] interface gigabitethernet 3/1/2.200
[Device–GigabitEthernet3/1/2.200] ip address 192.168.200.1 24
[Device–GigabitEthernet3/1/2.200] dhcp select relay proxy
[Device–GigabitEthernet3/1/2.200] dhcp relay server-address 4.4.4.3
[Device–GigabitEthernet3/1/2.200] quit
b. 配置VLAN终结
# 配置子接口GigabitEthernet3/1/2.100能够终结最外层VLAN ID为100的VLAN报文。
[Device] interface gigabitethernet 3/1/2.100
[Device–GigabitEthernet3/1/2.100] vlan-type dot1q vid 100
[Device–GigabitEthernet3/1/2.100] quit
# 配置子接口GigabitEthernet3/1/2.200能够终结最外层VLAN ID为200的VLAN报文。
[Device] interface gigabitethernet 3/1/2.200
[Device–GigabitEthernet3/1/2.200] vlan-type dot1q vid 200
[Device–GigabitEthernet3/1/2.200] quit
c. 配置Portal认证服务器
# 配置Portal认证服务器:名称为newpt,IP地址为4.4.4.5,密钥为明文123456。
[Device] portal server newpt
[Device-portal-server-newpt] ip 4.4.4.5 key simple 123456
[Device-portal-server-newpt] quit
d. 配置对HTTPS报文进行重定向的内部侦听端口号
# 配置对HTTPS报文进行重定向的内部侦听端口号为11111。
[Device] http-redirect https-port 11111
e. 创建本地用户组
# 创建认证前域用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
f. 配置用于认证前域用户的ACL规则
# 为IPv4高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[Device] acl advanced name web_permit
[Device-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_permit] quit
# 为IPv4高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[Device] acl advanced name neiwang
[Device-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang] quit
# 为IPv4高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[Device] acl advanced name web_http
[Device-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv4-adv-web_http] quit
# 为IPv4高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[Device] acl advanced name web_https
[Device-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv4-adv-web_https] quit
# 为IPv4高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[Device] acl advanced name ip
[Device-acl-ipv4-adv-ip] rule 0 permit ip user-group web
[Device-acl-ipv4-adv-ip] quit
# 为IPv4高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[Device] acl advanced name neiwang_out
[Device-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang_out] quit
# 为IPv4高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[Device] acl advanced name web_out
[Device-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_out] quit
g. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[Device] traffic classifier web_permit operator and
[Device-classifier-web_permit] if-match acl name web_permit
[Device-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[Device] traffic classifier neiwang operator and
[Device-classifier-neiwang] if-match acl name neiwang
[Device-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[Device] traffic classifier web_http operator and
[Device-classifier-web_http] if-match acl name web_http
[Device-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[Device] traffic classifier web_https operator and
[Device-classifier-web_https] if-match acl name web_https
[Device-classifier-web_https] quit
# 配置类web_deny,匹配ACL ip。
[Device] traffic classifier web_deny operator and
[Device-classifier-web_deny] if-match acl name ip
[Device-classifier-web_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[Device] traffic classifier neiwang_out operator and
[Device-classifier-neiwang_out] if-match acl name neiwang_out
[Device-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[Device] traffic classifier web_out operator and
[Device-classifier-web_out] if-match acl name web_out
[Device-classifier-web_out] quit
h. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_permit
[Device-behavior-web_permit] filter permit
[Device-behavior-web_permit] free account
[Device-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[Device] traffic behavior web_http
[Device-behavior-web_http] redirect http-to-cpu
[Device-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[Device] traffic behavior web_https
[Device-behavior-web_https] redirect https-to-cpu
[Device-behavior-web_https] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[Device] traffic behavior web_deny
[Device-behavior-web_deny] filter deny
[Device-behavior-web_deny] free account
[Device-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang_out
[Device-behavior-neiwang_out] filter permit
[Device-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_out
[Device-behavior-web_out] filter permit
[Device-behavior-web_out] free account
[Device-behavior-web_out] quit
i. 配置QoS策略
# 配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文均禁止通过。
[Device-qospolicy-web] classifier web_permit behavior web_permit
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier web_http behavior web_http
[Device-qospolicy-web] classifier web_https behavior web_https
[Device-qospolicy-web] classifier web_deny behavior web_deny
[Device-qospolicy-web] quit
# 配置出方向QoS策略out
[Device] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。
[Device-qospolicy-out] classifier web_out behavior web_out
[Device-qospolicy-out] classifier neiwang_out behavior neiwang_out
[Device-qospolicy-out] classifier web_deny behavior web_deny
[Device-qospolicy-out] quit
j. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[Device] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[Device] qos apply policy out global outbound
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.5
[Device-radius-rs1] primary accounting 4.4.4.5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
# (可选)开启RADIUS session control功能(使用iMC作为RADIUS服务器时建议配置该功能)。
[Device] radius session-control enable
l. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置认证前域授权用户组。
[Device-isp-dm1] authorization-attribute user-group web
# 配置Web认证页面URL和Web认证服务器IP地址。
[Device-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[Device-isp-dm1] web-server ip 4.4.4.5
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] quit
m. 配置IPoE
# 在子接口GigabitEthernet3/1/2.100和子接口GigabitEthernet3/1/2.200上开启IPoE功能,并配置二层接入模式。
[Device] interface range gigabitethernet 3/1/2.100 gigabitethernet 3/1/2.200
[Device–if-range] ip subscriber l2-connected enable
# 配置IPoE用户采用Web认证方式。
[Device–if-range] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[Device–if-range] ip subscriber pre-auth domain dm1
[Device–if-range] ip subscriber web-auth domain dm2
[Device–if-range] quit
(3) 配置RADIUS服务器和Portal服务器
请参照“IPoE DHCPv4用户普通Web认证配置举例”中相关配置。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为192.168.0.2。
[Device] display ip subscriber session interface gigabitethernet 3/1/2.100 verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.100.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : 100/-
Access interface : GE3/1/2.100
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Access time : Aug 2 16:51:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:51:28 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Redirect IPv6 URL : N/A
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-54所示。
图1-56 登录Web页面
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session interface gigabitethernet 3/1/2.100 verbose
Basic:
Description : -
Username : user1
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.100.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : 100/-
Access interface : GE3/1/2.100
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Access time : Aug 2 16:52:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
Router A为某学校的一台BRAS设备,为学校用户提供IPoE接入服务。要求:
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。
· 由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器和Portal Web服务器的职责。
· FTP server是一台内网服务器。
· Web认证通过后限速5Mbps。
图1-57 IPoE DHCPv6用户普通Web认证配置组网图
(1) 配置IP地址及路由
配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。
(2) 设置DNS服务器
请正确设置DNS服务器,以便服务器可以根据Web认证页面http://www.abc.web.com解析出对应的IPv6 URL地址。DNS服务器具体设置过程略。
(3) 配置DHCP服务器
# 创建名称为pool1的DHCPv6地址池并进入其视图。
<DHCP-server> system-view
[DHCP] ipv6 dhcp pool pool1
# 配置地址池动态分配的IPv6地址网段192::0/64和DNS服务器地址8::8。
[DHCP-dhcp6-pool-pool1] network 192::0/64
[DHCP-dhcp6-pool-pool1] dns-server 8::8
[DHCP-dhcp6-pool-pool1] quit
# 将192::1设置为禁止地址。
[DHCP] ipv6 dhcp server forbidden-address 192::1
# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[DHCP] interface gigabitethernet 3/1/1
[DHCP-GigabitEthernet3/1/1] ipv6 dhcp select server
[DHCP-GigabitEthernet3/1/1] quit
# 通过配置静态路由,将目的地址为192::0网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2。
[DHCP] ipv6 route-static 192::0 64 4::2
(4) 配置Device
a. 配置DHCP中继
# 创建中继地址池pool1,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
<Device> system-view
[Device] ipv6 dhcp pool pool1
[Device-dhcp6-pool-pool1] gateway-list 192::1
[Device-dhcp6-pool-pool1] remote-server 4::3
[Device-dhcp6-pool-pool1] quit
# 配置接口自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
# 配置接口工作在DHCPv6中继模式,开启DHCPv6中继用户表项记录功能。
[Device–GigabitEthernet3/1/2] ipv6 dhcp select relay
[Device–GigabitEthernet3/1/2] ipv6 dhcp relay client-information record
# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag
# 为避免终端使用临时IPv6地址进行认证,从而导致认证失败,在用户上线接口配置前缀不在RA消息中发布,从而避免终端使用前缀生成临时IPv6地址。
[Device–GigabitEthernet3/1/2] ipv6 nd ra prefix 192::/64 no-advertise
[Device–GigabitEthernet3/1/2] quit
b. 配置Portal认证服务器
# 配置IPv6 Portal认证服务器:名称为newpt1,IPv6地址为4::5,密钥为明文123456。
[Device] portal server newpt1
[Device-portal-server-newpt1] ipv6 4::5 key simple 123456
[Device-portal-server-newpt1] quit
c. 配置HTTPS的内部侦听端口
# 配置HTTPS的内部侦听端口,端口不要跟已有端口冲突即可。
[Device] http-redirect https-port 11111
d. 创建本地用户组
# 创建认证前域用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
e. 配置用于认证前域用户的ACL规则
# 分别IPv6高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[Device] acl ipv6 advanced name web_permit
[Device-acl-ipv6-adv-web_permit] rule 0 permit ipv6 destination 4::5 128 user-group web
[Device-acl-ipv6-adv-web_permit] quit
# 分别IPv6高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[Device] acl ipv6 advanced name neiwang
[Device-acl-ipv6-adv-neiwang] rule 0 permit ipv6 destination 4::1 128 user-group web
[Device-acl-ipv6-adv-neiwang] quit
# 分别IPv6高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[Device] acl ipv6 advanced name web_http
[Device-acl-ipv6-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv6-adv-web_http] quit
# 分别IPv6高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[Device] acl ipv6 advanced name web_https
[Device-acl-ipv6-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv6-adv-web_https] quit
# 分别IPv6高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[Device] acl ipv6 advanced name ip
[Device-acl-ipv6-adv-ip] rule 0 permit ipv6 user-group web
[Device-acl-ipv6-adv-ip] quit
# 分别IPv6高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[Device] acl ipv6 advanced name neiwang_out
[Device-acl-ipv6-adv-neiwang_out] rule 0 permit ipv6 source 4::1 128 user-group web
[Device-acl-ipv6-adv-neiwang_out] quit
# 分别IPv6高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[Device] acl ipv6 advanced name web_out
[Device-acl-ipv6-adv-web_out] rule 0 permit ipv6 source 4::5 128 user-group web
[Device-acl-ipv6-adv-web_out] quit
f. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[Device] traffic classifier web_permit operator or
[Device-classifier-web_permit] if-match acl ipv6 name web_permit
[Device-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[Device] traffic classifier neiwang operator or
[Device-classifier-neiwang] if-match acl ipv6 name neiwang
[Device-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[Device] traffic classifier web_http operator or
[Device-classifier-web_http] if-match acl ipv6 name web_http
[Device-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[Device] traffic classifier web_https operator or
[Device-classifier-web_https] if-match acl ipv6 name web_https
[Device-classifier-web_https] quit
# 配置类web_deny,匹配ACL ip。
[Device] traffic classifier web_deny operator or
[Device-classifier-web_deny] if-match acl ipv6 name ip
[Device-classifier-web_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[Device] traffic classifier neiwang_out operator or
[Device-classifier-neiwang_out] if-match acl ipv6 name neiwang_out
[Device-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[Device] traffic classifier web_out operator or
[Device-classifier-web_out] if-match acl ipv6 name web_out
[Device-classifier-web_out] quit
g. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_permit
[Device-behavior-web_permit] filter permit
[Device-behavior-web_permit] free account
[Device-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[Device] traffic behavior web_http
[Device-behavior-web_http] redirect http-to-cpu
[Device-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[Device] traffic behavior web_https
[Device-behavior-web_https] redirect https-to-cpu
[Device-behavior-web_https] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[Device] traffic behavior web_deny
[Device-behavior-web_deny] filter deny
[Device-behavior-web_deny] free account
[Device-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang_out
[Device-behavior-neiwang_out] filter permit
[Device-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_out
[Device-behavior-web_out] filter permit
[Device-behavior-web_out] free account
[Device-behavior-web_out] quit
h. 配置QoS策略
# 配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文均禁止通过。
[Device-qospolicy-web] classifier web_permit behavior web_permit
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier web_http behavior web_http
[Device-qospolicy-web] classifier web_https behavior web_https
[Device-qospolicy-web] classifier web_deny behavior web_deny
[Device-qospolicy-web] quit
# 配置出方向QoS策略out
[Device] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。
[Device-qospolicy-out] classifier web_out behavior web_out
[Device-qospolicy-out] classifier neiwang_out behavior neiwang_out
[Device-qospolicy-out] classifier web_deny behavior web_deny
[Device-qospolicy-out] quit
i. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[Device] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[Device] qos apply policy out global outbound
j. 查看应用的策略是否生效
# 查看入方向QoS策略的配置信息和运行情况。
[Device] display qos policy global slot 3 inbound
Direction: Inbound
Policy: web
Classifier: web_permit
Operator: OR
Rule(s) :
If-match acl ipv6 name web_permit
Behavior: web_permit
Filter enable: Permit
Free account enable
Classifier: neiwang
Operator: OR
Rule(s) :
If-match acl ipv6 name neiwang
Behavior: neiwang
Filter enable: Permit
Classifier: web_http
Operator: OR
Rule(s) :
If-match acl ipv6 name web_http
Behavior: web_http
Redirecting:
Redirect http to CPU
Classifier: web_https
Operator: OR
Rule(s) :
If-match acl ipv6 name web_https
Behavior: web_https
Redirecting:
Redirect https to CPU
Classifier: web_deny
Operator: OR
Rule(s) :
If-match acl ipv6 name ip
Behavior: web_deny
Filter enable: Deny
Free account enable
# 查看出方向QoS策略的配置信息和运行情况。
[Device] display qos policy global slot 3 outbound
Direction: Outbound
Policy: out
Classifier: web_out
Operator: OR
Rule(s) :
If-match acl ipv6 name web_out
Behavior: web_out
Filter enable: Permit
Free account enable
Classifier: neiwang_out
Operator: OR
Rule(s) :
If-match acl ipv6 name neiwang_out
Behavior: neiwang_out
Filter enable: Permit
Classifier: web_deny
Operator: OR
Rule(s) :
If-match acl ipv6 name ip
Behavior: web_deny
Filter enable: Deny
Free account enable
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication ipv6 4::5
[Device-radius-rs1] primary accounting ipv6 4::5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
# 设置RADIUS DAE客户端的IP地址为4::5,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。
[Device] radius dynamic-author server
[Device-radius-da-server] client ipv6 4::5 key simple radius
[Device-radius-da-server] quit
l. 配置User Profile
# 配置名称为car的User Profile对上线用户发送的报文进行流量监管。报文正常流速为5210kbps,允许325625byte的突发流量通过,速率小于等于5210kbps时正常发送,大于5210kbps时,报文被丢弃。
[Device] user-profile car
[Device-user-profile-car] qos car inbound any cir 5210 cbs 325625
[Device-user-profile-car] quit
m. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置前域授权用户组和地址池。
[Device-isp-dm1] authorization-attribute user-group web
[Device-isp-dm1] authorization-attribute ipv6-pool pool1
# 配置Web认证页面URL。
[Device-isp-dm1] web-server ipv6-url http://www.abc.web.com
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] authorization-attribute user-profile car
[Device-isp-dm2] quit
n. 配置IPoE
# 开启IPv6协议栈的IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable ipv6
# 配置IPoE用户采用Web认证方式。
[Device–GigabitEthernet3/1/2] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[Device–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2
[Device–GigabitEthernet3/1/2] quit
(5) 配置RADIUS服务器
下面以iMC为例,说明RADIUS服务器的基本配置。不同iMC版本配置可能有所不同,具体配置请以实际版本及对应版本的iMC服务器手册为准,本节配置仅供参考。
a. 配置接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入如图1-58所示增加接入设备页面。
- 输入共享密钥为:radius。
- 其他采用缺省配置。
在该页面中设备列表下方单击<增加IPv6设备>,在如图1-59所示页面输入接入设备地址4::2并单击<确定>。
b. 增加接入策略
单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入如图1-60所示增加接入策略页面。
- 输入接入策略名为:AccessPolicy。
- 其他采用缺省配置。
c. 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管
理页面,在该页面中单击<增加>按钮,进入如图1-61所示增加接入服务页面。
- 输入服务名为:IPoE_Server
- 缺省接入策略选择已创建的策略“AccessPolicy”。
- 其他采用缺省配置。
d. 在IMC界面增加用户
单击导航树中的[用户管理/增加用户]菜单项,进入如图1-62所示增加用户页面,填写用户姓名和证件号码为:IPoE_Web001和001。
单击<确定>按钮后完成用户的添加。
e. 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入如图1-63所示增加接入用户页面。
- 用户姓名选择:IPoE_Web001
- 帐号名填写为:user1
- 密码为:pass1
- 接入服务选择之前已创建的IPoE_Server
(6) 配置Portal服务器
下面以iMC为例,说明Portal服务器的基本配置。不同iMC版本配置可能有所不同,具体配置请以实际版本及对应版本的iMC服务器手册为准,本节配置仅供参考。
a. 配置Portal主页。
单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-64所示。
图1-64 Portal服务器配置页面
b. 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-65所示。
- 输入IP地址组名为“IPoE_Web_User-2”;
- IPv6选项框选择“是”;
- 输入起始地址为“192::1”、终止地址为“192::FFFF”。用户主机IPv6地址必须包含在该IP地址组范围内;
- 其他采用缺省配置;
- 单击<确定>按钮完成操作。
图1-65 增加IP地址组配置页面(IPv6)
c. 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-66所示。
- 输入设备名为“NAS-2”;
- 版本选择“Portal 3.0”;
- 输入IP地址为“4::2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
- 输入密钥为“123456”;
- 选择组网方式为“直连”;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
d. 配置端口组信息
如图1-67所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-68所示。
- 输入端口组名为“group-2”;
- 选择IP地址组为“IPoE_Web_User-2”,用户接入网络时使用的IPv6地址必须属于所选的IPv6地址组;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv6地址为192::2。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 001b21a80949
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IPv6 address : 192::2
User address type : N/A
MAC address : 001b-21a8-0949
IPv6 DUID : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : 8::8
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591981 sec
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : May 27 00:48:51 2018
Online time(hh:mm:ss) : 00:00:19
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv6 access type : DHCP
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : pool1
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 27 00:48:51 2018 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : http://www.abc.web.com
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-69所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : user1@dm2
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IPv6 address : 192::2
User address type : N/A
MAC address : 001b-21a8-0949
IPv6 DUID : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : 8::8
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591954 sec
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : May 27 00:48:51 2018
Online time(hh:mm:ss) : 00:00:04
Service node : Slot 3 CPU 0
Authentication type : Web
IPv6 access type : DHCP
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : pool1
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : 86400 sec, remaining: 86395 sec
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 27 00:49:32 2018 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : car (active)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 14/6204
Downlink packets/bytes : 8/7666
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· 通过IPv6 ND RS报文触发上线的用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备可以发送IPv6 ND RA报文。
· 由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器和Portal Web服务器的职责。
图1-70 IPoE NDRS用户普通Web认证配置组网图
(1) 配置IP地址及路由
按照图1-70配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。
(2) 配置Device
a. 取消对接口GigabitEthernet3/1/2发布IPv6 ND RA消息的抑制。
<Device> system-view
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
b. 配置接口GigabitEthernet3/1/2自动生成IPv6链路本地地址。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
[Device–GigabitEthernet3/1/2] quit
c. 配置DHCP服务器
# 创建名称为1的前缀地址池,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[Device] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为pool1的DHCPv6地址池,并引用前缀池1。
[Device] ipv6 dhcp pool pool1
[Device-dhcp6-pool-pool1] prefix-pool 1
[Device-dhcp6-pool-pool1] quit
d. 配置Portal认证服务器
# 配置IPv6 Portal认证服务器:名称为newpt2,IPv6地址为4::5,密钥为明文123456。
[Device] portal server newpt2
[Device-portal-server-newpt2] ipv6 4::5 key simple 123456
[Device-portal-server-newpt2] quit
e. 创建本地用户组
# 创建认证前域用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
f. 配置用于认证前域用户的ACL规则
# 为IPv6高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[Device] acl ipv6 advanced name web_permit
[Device-acl-ipv6-adv-web_permit] rule 0 permit ipv6 destination 4::5 128 user-group web
[Device-acl-ipv6-adv-web_permit] quit
#为IPv6高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[Device] acl ipv6 advanced name neiwang
[Device-acl-ipv6-adv-neiwang] rule 0 permit ipv6 destination 4::1 128 user-group web
[Device-acl-ipv6-adv-neiwang] quit
# 为IPv6高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[Device] acl ipv6 advanced name web_http
[Device-acl-ipv6-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv6-adv-web_http] quit
# 为IPv6高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[Device] acl ipv6 advanced name web_https
[Device-acl-ipv6-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv6-adv-web_https] quit
# 为IPv6高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[Device] acl ipv6 advanced name ip
[Device-acl-ipv6-adv-ip] rule 0 permit ipv6 user-group web
[Device-acl-ipv6-adv-ip] quit
# 为IPv6高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[Device] acl ipv6 advanced name neiwang_out
[Device-acl-ipv6-adv-neiwang_out] rule 0 permit ipv6 source 4::1 128 user-group web
[Device-acl-ipv6-adv-neiwang_out] quit
# 为IPv6高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[Device] acl ipv6 advanced name web_out
[Device-acl-ipv6-adv-web_out] rule 0 permit ipv6 source 4::5 128 user-group web
[Device-acl-ipv6-adv-web_out] quit
g. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[Device] traffic classifier web_permit operator or
[Device-classifier-web_permit] if-match acl ipv6 name web_permit
[Device-classifier-web_permit] quit
# 配置类web_http,匹配ACL web_http。
[Device] traffic classifier web_http operator or
[Device-classifier-web_http] if-match acl ipv6 name web_http
[Device-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[Device] traffic classifier web_https operator or
[Device-classifier-web_https] if-match acl ipv6 name web_https
[Device-classifier-web_https] quit
# 配置类web_deny,匹配ACL ip。
[Device] traffic classifier web_deny operator or
[Device-classifier-web_deny] if-match acl ipv6 name ip
[Device-classifier-web_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[Device] traffic classifier neiwang_out operator or
[Device-classifier-neiwang_out] if-match acl ipv6 name neiwang_out
[Device-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[Device] traffic classifier web_out operator or
[Device-classifier-web_out] if-match acl ipv6 name web_out
[Device-classifier-web_out] quit
h. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_permit
[Device-behavior-web_permit] filter permit
[Device-behavior-web_permit] free account
[Device-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[Device] traffic behavior web_http
[Device-behavior-web_http] redirect http-to-cpu
[Device-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[Device] traffic behavior web_https
[Device-behavior-web_https] redirect https-to-cpu
[Device-behavior-web_https] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[Device] traffic behavior web_deny
[Device-behavior-web_deny] filter deny
[Device-behavior-web_deny] free account
[Device-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang_out
[Device-behavior-neiwang_out] filter permit
[Device-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_out
[Device-behavior-web_out] filter permit
[Device-behavior-web_out] free account
[Device-behavior-web_out] quit
i. 配置QoS策略
# 配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文均禁止通过。
[Device-qospolicy-web] classifier web_permit behavior web_permit
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier web_http behavior web_http
[Device-qospolicy-web] classifier web_https behavior web_https
[Device-qospolicy-web] classifier web_deny behavior web_deny
[Device-qospolicy-web] quit
# 配置出方向QoS策略out
[Device] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器IP地址的报文通过,其余报文均禁止通过。
[Device-qospolicy-out] classifier web_out behavior web_out
[Device-qospolicy-out] classifier neiwang_out behavior neiwang_out
[Device-qospolicy-out] classifier web_deny behavior web_deny
[Device-qospolicy-out] quit
j. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[Device] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[Device] qos apply policy out global outbound
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication ipv6 4::5
[Device-radius-rs1] primary accounting ipv6 4::5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
l. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置前域授权用户组、授权ND前缀池及IPv6 DNS地址池信息。
[Device-isp-dm1] authorization-attribute user-group web
[Device-isp-dm1] authorization-attribute ipv6-nd-prefix-pool pool1
[Device-isp-dm1] authorization-attribute primary-dns ipv6 2:2::3
# 配置Web认证页面URL。
[Device-isp-dm1] web-server ipv6-url http://[4::5]:8080/portal
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] quit
m. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 配置IPoE用户采用Web认证方式。
[Device–GigabitEthernet3/1/2] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
# 开启IPv6 ND RS报文触发生成IPoE会话的功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator ndrs enable
# 配置Web认证前域为dm1,Web认证域为dm2。
[Device–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2
[Device–GigabitEthernet3/1/2] quit
(3) 配置RADIUS服务器和Portal服务器
请参照“IPoE双栈用户普通Web认证配置举例”中相关配置。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv6前缀为10::。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 001b21a80949
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IPv6 ND Prefix : 10::/64
User address type : N/A
MAC address : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : 2:2::3
DHCPv6 lease : N/A
DHCPv6 remain lease : N/A
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : Jan 30 16:09:55 2019
Online time(hh:mm:ss) : 00:00:19
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv6 access type : NDRS
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : N/A
IPv6 nd preifx pool : pool1
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : 2:2::3
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Jan 30 16:17:21 2019 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-71所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : user1@dm2
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IPv6 ND Prefix : 10::/64
User address type : N/A
MAC address : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 2:2::3
IPv6 DNS servers : N/A
DHCPv6 lease : N/A
DHCPv6 remain lease : N/A
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : Jan 30 16:20:35 2019
Online time(hh:mm:ss) : 00:00:04
Service node : Slot 3 CPU 0
Authentication type : Web
IPv6 access type : NDRS
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : N/A
IPv6 pool : N/A
IPv6 nd preifx pool : pool1
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : 2:2::3
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Jan 30 16:22:21 2019 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
Router A为某学校的一台BRAS设备,为学校用户提供IPoE接入服务。要求:
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。
· 由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器和Portal Web服务器的职责。
· FTP server是一台内网服务器。
· Web认证通过后限速5Mbps。
图1-72 IPoE双栈用户普通Web认证配置组网图
(1) 配置IP地址及路由
配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。
(2) 设置DNS服务器
请正确设置DNS服务器,以便服务器可以根据IPoE双栈用户先上线的协议栈类型,解析出Web认证页面http://www.abc.web.com对应的IPv4 URL地址或IPv6 URL地址。DNS服务器具体设置过程略。
(3) 配置DHCP服务器
a. 配置DHCPv4地址池
# 开启DHCP服务。
<DHCP> system-view
[DHCP] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP] dhcp server request-ip-address check
# 创建名称为pool1的DHCPv4地址池并进入其视图。
[DHCP] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段192.168.0.0/24。
[DHCP-dhcp-pool-pool1] network 192.168.0.0 24
# 配置为用户分配的网关地址为192.168.0.1和DNS服务器地址8.8.8.8。
[DHCP-dhcp-pool-pool1] gateway-list 192.168.0.1
[DHCP-dhcp-pool-pool1] dns-list 8.8.8.8
# 将192.168.0.1设置为禁止地址。
[DHCP-dhcp-pool-pool1] forbidden-ip 192.168.0.1
[DHCP-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为192.168.0.0网段的DHCPv4应答报文的下一跳指定为连接DHCPv4客户端网络的接口IPv4地址4.4.4.2。
[DHCP] ip route-static 192.168.0.0 24 4.4.4.2
b. 配置DHCPv6地址池
# 创建名称为pool2的DHCPv6地址池并进入其视图。
[DHCP] ipv6 dhcp pool pool2
# 配置地址池动态分配的IPv6地址网段192::0/64和DNS服务器地址8::8。
[DHCP-dhcp6-pool-pool2] network 192::0/64
[DHCP-dhcp6-pool-pool2] dns-server 8::8
[DHCP-dhcp6-pool-pool2] quit
# 将192::1设置为禁止地址。
[DHCP] ipv6 dhcp server forbidden-address 192::1
# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[DHCP] interface gigabitethernet 3/1/1
[DHCP-GigabitEthernet3/1/1] ipv6 dhcp select server
[DHCP-GigabitEthernet3/1/1] quit
# 通过配置静态路由,将目的地址为192::0网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2。
[DHCP] ipv6 route-static 192::0 64 4::2
(4) 配置Device
a. 配置DHCP中继
# 全局开启DHCP。
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 192.168.0.1 export-route
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
# 创建中继地址池pool2,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] ipv6 dhcp pool pool2
[Device-dhcp6-pool-pool2] gateway-list 192::1
[Device-dhcp6-pool-pool2] remote-server 4::3
[Device-dhcp6-pool-pool2] quit
# 配置接口工作在DHCPv4中继代理模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
# 配置接口工作在DHCPv6中继模式,开启DHCPv6中继用户表项记录功能。
[Device–GigabitEthernet3/1/2] ipv6 dhcp select relay
[Device–GigabitEthernet3/1/2] ipv6 dhcp relay client-information record
# 配置清除用户表项时通知DHCPv6服务器释放租约。
[Device–GigabitEthernet3/1/2] ipv6 dhcp relay release-agent
# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag
# 为避免终端使用临时IPv6地址进行认证,从而导致认证失败,在用户上线接口配置前缀不在RA消息中发布,从而避免终端使用前缀生成临时IPv6地址。
[Device–GigabitEthernet3/1/2] ipv6 nd ra prefix 192::/64 no-advertise
[Device–GigabitEthernet3/1/2] quit
b. 配置Portal认证服务器
# 配置IPv4 Portal认证服务器:名称为newpt1,IP地址为4.4.4.5,密钥为明文123456。
[Device] portal server newpt1
[Device-portal-server-newpt1] ip 4.4.4.5 key simple 123456
[Device-portal-server-newpt1] quit
# 配置IPv6 Portal认证服务器:名称为newpt2,IPv6地址为4::5,密钥为明文123456。
[Device] portal server newpt2
[Device-portal-server-newpt2] ipv6 4::5 key simple 123456
[Device-portal-server-newpt2] quit
c. 配置HTTPS的内部侦听端口
# 配置HTTPS的内部侦听端口,端口不要跟已有端口冲突即可。
[Device] http-redirect https-port 11111
d. 创建本地用户组
# 创建认证前域用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
e. 配置用于认证前域用户的ACL规则
# 分别为IPv4和IPv6高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[Device] acl advanced name web_permit
[Device-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_permit] quit
[Device] acl ipv6 advanced name web_permit
[Device-acl-ipv6-adv-web_permit] rule 0 permit ipv6 destination 4::5 128 user-group web
[Device-acl-ipv6-adv-web_permit] quit
# 分别为IPv4和IPv6高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[Device] acl advanced name neiwang
[Device-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.1 0 user-group web
[Device-acl-ipv4-adv-neiwang] quit
[Device] acl ipv6 advanced name neiwang
[Device-acl-ipv6-adv-neiwang] rule 0 permit ipv6 destination 4::1 128 user-group web
[Device-acl-ipv6-adv-neiwang] quit
# 分别为IPv4和IPv6高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[Device] acl advanced name web_http
[Device-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv4-adv-web_http] quit
[Device] acl ipv6 advanced name web_http
[Device-acl-ipv6-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv6-adv-web_http] quit
# 分别为IPv4和IPv6高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[Device] acl advanced name web_https
[Device-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv4-adv-web_https] quit
[Device] acl ipv6 advanced name web_https
[Device-acl-ipv6-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv6-adv-web_https] quit
# 分别为IPv4和IPv6高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[Device] acl advanced name ip
[Device-acl-ipv4-adv-ip] rule 0 permit ip user-group web
[Device-acl-ipv4-adv-ip] quit
[Device] acl ipv6 advanced name ip
[Device-acl-ipv6-adv-ip] rule 0 permit ipv6 user-group web
[Device-acl-ipv6-adv-ip] quit
# 分别为IPv4和IPv6高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[Device] acl advanced name neiwang_out
[Device-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.1 0 user-group web
[Device-acl-ipv4-adv-neiwang_out] quit
[Device] acl ipv6 advanced name neiwang_out
[Device-acl-ipv6-adv-neiwang_out] rule 0 permit ipv6 source 4::1 128 user-group web
[Device-acl-ipv6-adv-neiwang_out] quit
# 分别为IPv4和IPv6高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[Device] acl advanced name web_out
[Device-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_out] quit
[Device] acl ipv6 advanced name web_out
[Device-acl-ipv6-adv-web_out] rule 0 permit ipv6 source 4::5 128 user-group web
[Device-acl-ipv6-adv-web_out] quit
f. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[Device] traffic classifier web_permit operator or
[Device-classifier-web_permit] if-match acl name web_permit
[Device-classifier-web_permit] if-match acl ipv6 name web_permit
[Device-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[Device] traffic classifier neiwang operator or
[Device-classifier-neiwang] if-match acl name neiwang
[Device-classifier-neiwang] if-match acl ipv6 name neiwang
[Device-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[Device] traffic classifier web_http operator or
[Device-classifier-web_http] if-match acl name web_http
[Device-classifier-web_http] if-match acl ipv6 name web_http
[Device-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[Device] traffic classifier web_https operator or
[Device-classifier-web_https] if-match acl name web_https
[Device-classifier-web_https] if-match acl ipv6 name web_https
[Device-classifier-web_https] quit
# 配置类web_deny,匹配ACL ip。
[Device] traffic classifier web_deny operator or
[Device-classifier-web_deny] if-match acl name ip
[Device-classifier-web_deny] if-match acl ipv6 name ip
[Device-classifier-web_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[Device] traffic classifier neiwang_out operator or
[Device-classifier-neiwang_out] if-match acl name neiwang_out
[Device-classifier-neiwang_out] if-match acl ipv6 name neiwang_out
[Device-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[Device] traffic classifier web_out operator or
[Device-classifier-web_out] if-match acl name web_out
[Device-classifier-web_out] if-match acl ipv6 name web_out
[Device-classifier-web_out] quit
g. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_permit
[Device-behavior-web_permit] filter permit
[Device-behavior-web_permit] free account
[Device-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[Device] traffic behavior web_http
[Device-behavior-web_http] redirect http-to-cpu
[Device-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[Device] traffic behavior web_https
[Device-behavior-web_https] redirect https-to-cpu
[Device-behavior-web_https] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[Device] traffic behavior web_deny
[Device-behavior-web_deny] filter deny
[Device-behavior-web_deny] free account
[Device-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang_out
[Device-behavior-neiwang_out] filter permit
[Device-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_out
[Device-behavior-web_out] filter permit
[Device-behavior-web_out] free account
[Device-behavior-web_out] quit
h. 配置QoS策略
# 配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文均禁止通过。
[Device-qospolicy-web] classifier web_permit behavior web_permit
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier web_http behavior web_http
[Device-qospolicy-web] classifier web_https behavior web_https
[Device-qospolicy-web] classifier web_deny behavior web_deny
[Device-qospolicy-web] quit
# 配置出方向QoS策略out
[Device] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。
[Device-qospolicy-out] classifier web_out behavior web_out
[Device-qospolicy-out] classifier neiwang_out behavior neiwang_out
[Device-qospolicy-out] classifier web_deny behavior web_deny
[Device-qospolicy-out] quit
i. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[Device] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[Device] qos apply policy out global outbound
j. 查看应用的策略是否生效
# 查看入方向QoS策略的配置信息和运行情况。
[Device] display qos policy global slot 3 inbound
Direction: Inbound
Policy: web
Classifier: web_permit
Operator: OR
Rule(s) :
If-match acl name web_permit
If-match acl ipv6 name web_permit
Behavior: web_permit
Filter enable: Permit
Free account enable
Classifier: neiwang
Operator: OR
Rule(s) :
If-match acl name neiwang
If-match acl ipv6 name neiwang
Behavior: neiwang
Filter enable: Permit
Classifier: web_http
Operator: OR
Rule(s) :
If-match acl name web_http
If-match acl ipv6 name web_http
Behavior: web_http
Redirecting:
Redirect http to CPU
Classifier: web_https
Operator: OR
Rule(s) :
If-match acl name web_https
If-match acl ipv6 name web_https
Behavior: web_https
Redirecting:
Redirect https to CPU
Classifier: web_deny
Operator: OR
Rule(s) :
If-match acl name ip
If-match acl ipv6 name ip
Behavior: web_deny
Filter enable: Deny
Free account enable
# 查看出方向QoS策略的配置信息和运行情况。
[Device] display qos policy global slot 3 outbound
Direction: Outbound
Policy: out
Classifier: web_out
Operator: OR
Rule(s) :
If-match acl name web_out
If-match acl ipv6 name web_out
Behavior: web_out
Filter enable: Permit
Free account enable
Classifier: neiwang_out
Operator: OR
Rule(s) :
If-match acl name neiwang_out
If-match acl ipv6 name neiwang_out
Behavior: neiwang_out
Filter enable: Permit
Classifier: web_deny
Operator: OR
Rule(s) :
If-match acl name ip
If-match acl ipv6 name ip
Behavior: web_deny
Filter enable: Deny
Free account enable
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.5
[Device-radius-rs1] primary accounting 4.4.4.5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
# 设置RADIUS DAE客户端的IP地址为4.4.4.5,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。
[Device] radius dynamic-author server
[Device-radius-da-server] client ip 4.4.4.5 key simple radius
[Device-radius-da-server] quit
l. 配置User Profile
# 配置名称为car的User Profile对上线用户发送的报文进行流量监管。报文正常流速为5210kbps,允许325625byte的突发流量通过,速率小于等于5210kbps时正常发送,大于5210kbps时,报文被丢弃。
[Device] user-profile car
[Device-user-profile-car] qos car inbound any cir 5210 cbs 325625
[Device-user-profile-car] quit
m. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置前域授权用户组和地址池。
[Device-isp-dm1] authorization-attribute user-group web
[Device-isp-dm1] authorization-attribute ip-pool pool1
[Device-isp-dm1] authorization-attribute ipv6-pool pool2
# 配置Web认证页面URL。
[Device-isp-dm1] web-server url http://www.abc.web.com
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] authorization-attribute user-profile car
[Device-isp-dm2] quit
n. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 配置IPoE用户采用Web认证方式。
[Device–GigabitEthernet3/1/2] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[Device–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2
[Device–GigabitEthernet3/1/2] quit
(5) 配置RADIUS服务器
下面以iMC为例,说明RADIUS服务器的基本配置。不同iMC版本配置可能有所不同,具体配置请以实际版本及对应版本的iMC服务器手册为准,本节配置仅供参考。
a. 配置接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入如图1-73所示增加接入设备页面。
- 输入共享密钥为:radius。
- 其他采用缺省配置。
在该页面中设备列表下方单击<手工增加>,在如图1-74所示页面输入接入设备地址4.4.4.2并单击<确定>。
b. 增加接入策略
单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入如图1-75所示增加接入策略页面。
- 输入接入策略名为:AccessPolicy。
- 其他采用缺省配置。
c. 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管
理页面,在该页面中单击<增加>按钮,进入如图1-76所示增加接入服务页面。
- 输入服务名为:IPoE_Server
- 缺省接入策略选择已创建的策略“AccessPolicy”。
- 其他采用缺省配置。
d. 在IMC界面增加用户
单击导航树中的[用户管理/增加用户]菜单项,进入如图1-77所示增加用户页面,填写用户姓名和证件号码为:IPoE_Web001和001。
单击<确定>按钮后完成用户的添加。
e. 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入如图1-78所示增加接入用户页面。
- 用户姓名选择:IPoE_Web001
- 帐号名填写为:user1
- 密码为:pass1
- 接入服务选择之前已创建的IPoE_Server
(6) 配置Portal服务器
下面以iMC为例,说明Portal服务器的基本配置。不同iMC版本配置可能有所不同,具体配置请以实际版本及对应版本的iMC服务器手册为准,本节配置仅供参考。
a. 配置Portal主页。
单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-79所示。
图1-79 Portal服务器配置页面
b. 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-80所示。
- 输入IP地址组名为“IPoE_Web_User”;
- 输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
- 其他采用缺省配置;
- 单击<确定>按钮完成操作。
图1-80 增加IP地址组配置页面(IPv4)
如图1-81所示,继续上述操作添加IPv6地址组。
- 输入IP地址组名为“IPoE_Web_User-2”;
- IPv6选项框选择“是”;
- 输入起始地址为“192::1”、终止地址为“192::FFFF”。用户主机IPv6地址必须包含在该IP地址组范围内;
- 其他采用缺省配置;
- 单击<确定>按钮完成操作。
图1-81 增加IP地址组配置页面(IPv6)
c. 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-82所示。
- 输入设备名为“NAS”;
- 输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
- 输入密钥为“123456”;
- 选择组网方式为“直连”;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
如图1-83所示,继续上述操作添加设备的IPv6信息。
- 输入设备名为“NAS-2”;
- 版本选择“Portal 3.0”;
- 输入IP地址为“4::2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
- 输入密钥为“123456”;
- 选择组网方式为“直连”;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
d. 配置端口组信息
如图1-84所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-85所示。
- 输入端口组名为“group”;
- 选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
如图1-86所示,继续上述操作添加端口组的IPv6信息。
- 输入端口组名为“group-2”;
- 选择IP地址组为“IPoE_Web_User-2”,用户接入网络时使用的IPv6地址必须属于所选的IPv6地址组;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv4地址为192.168.0.2,IPv6地址为192::2。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 001b21a80949
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
IPv6 address : 192::2
User address type : N/A
MAC address : 001b-21a8-0949
IPv4 DUID : 001b-21a8-0949
IPv6 DUID : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : 8::8
DHCP lease : 86400 sec
DHCP remain lease : 86383 sec
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591981 sec
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : May 27 00:48:51 2018
Online time(hh:mm:ss) : 00:00:19
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : Detecting
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : pool2
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 27 00:48:51 2018 (succeed)
Redirect URL : http://www.abc.web.com
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-87所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : user1@dm2
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
IPv6 address : 192::2
User address type : N/A
MAC address : 001b-21a8-0949
IPv4 DUID : 001b-21a8-0949
IPv6 DUID : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : 8::8
DHCP lease : 86400 sec
DHCP remain lease : 86356 sec
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591954 sec
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : May 27 00:48:51 2018
Online time(hh:mm:ss) : 00:00:04
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : Detecting
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : pool2
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : 86400 sec, remaining: 86395 sec
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 27 00:49:32 2018 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : car (active)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。
· 由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器、Portal Web服务器以及MAC绑定服务器的职责。
· FTP server是一台内网服务器。
图1-88 IPoE MAC Trigger二层无感知认证配置组网图
(1) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段192.168.0.0/24,分配的网关地址192.168.0.1和DNS服务器地址8.8.8.8。
[DHCP-server-dhcp-pool-pool1] network 192.168.0.0 24
[DHCP-server-dhcp-pool-pool1] gateway-list 192.168.0.1
[DHCP-server-dhcp-pool-pool1] dns-list 8.8.8.8
# 将192.168.0.1设置为禁止地址。
[DHCP-server-dhcp-pool-pool1] forbidden-ip 192.168.0.1
[DHCP-server-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为192.168.0.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 192.168.0.0 24 4.4.4.2
(2) 配置Device
a. 配置各接口IP地址(略)
b. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继代理模式。
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
[Device–GigabitEthernet3/1/2] quit
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 192.168.0.1 export-route
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
c. 配置Portal认证服务器
# 配置Portal认证服务器:名称为newpt,IP地址为4.4.4.5,密钥为明文123456。
[Device] portal server newpt
[Device-portal-server-newpt] ip 4.4.4.5 key simple 123456
[Device-portal-server-newpt] quit
d. 配置对HTTPS报文进行重定向的内部侦听端口号
# 配置对HTTPS报文进行重定向的内部侦听端口号为11111。
[Device] http-redirect https-port 11111
e. 创建本地用户组
# 创建认证前域用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
f. 配置用于认证前域用户的ACL规则
# 为IPv4高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[Device] acl advanced name web_permit
[Device-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_permit] quit
# 为IPv4高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[Device] acl advanced name neiwang
[Device-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang] quit
# 为IPv4高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[Device] acl advanced name web_http
[Device-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv4-adv-web_http] quit
# 为IPv4高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[Device] acl advanced name web_https
[Device-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv4-adv-web_https] quit
# 为IPv4高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[Device] acl advanced name ip
[Device-acl-ipv4-adv-ip] rule 0 permit ip user-group web
[Device-acl-ipv4-adv-ip] quit
# 为IPv4高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[Device] acl advanced name neiwang_out
[Device-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang_out] quit
# 为IPv4高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[Device] acl advanced name web_out
[Device-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_out] quit
g. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[Device] traffic classifier web_permit operator and
[Device-classifier-web_permit] if-match acl name web_permit
[Device-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[Device] traffic classifier neiwang operator and
[Device-classifier-neiwang] if-match acl name neiwang
[Device-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[Device] traffic classifier web_http operator and
[Device-classifier-web_http] if-match acl name web_http
[Device-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[Device] traffic classifier web_https operator and
[Device-classifier-web_https] if-match acl name web_https
[Device-classifier-web_https] quit
# 配置类ip_cpu,匹配ACL ip。
[Device] traffic classifier ip_cpu operator and
[Device-classifier-ip_cpu] if-match acl name ip
[Device-classifier-ip_cpu] quit
# 配置类ip_deny,匹配ACL ip。
[Device] traffic classifier ip_deny operator and
[Device-classifier-ip_deny] if-match acl name ip
[Device-classifier-ip_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[Device] traffic classifier neiwang_out operator and
[Device-classifier-neiwang_out] if-match acl name neiwang_out
[Device-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[Device] traffic classifier web_out operator and
[Device-classifier-web_out] if-match acl name web_out
[Device-classifier-web_out] quit
h. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_permit
[Device-behavior-web_permit] filter permit
[Device-behavior-web_permit] free account
[Device-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[Device] traffic behavior web_http
[Device-behavior-web_http] redirect http-to-cpu
[Device-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[Device] traffic behavior web_https
[Device-behavior-web_https] redirect https-to-cpu
[Device-behavior-web_https] quit
# 配置流行为web_cpu,对用户组web中用户的所有IP报文都重定向到CPU。
[Device] traffic behavior web_cpu
[Device-behavior-web_cpu] redirect cpu
[Device-behavior-web_cpu] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[Device] traffic behavior web_deny
[Device-behavior-web_deny] filter deny
[Device-behavior-web_deny] free account
[Device-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang_out
[Device-behavior-neiwang_out] filter permit
[Device-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_out
[Device-behavior-web_out] filter permit
[Device-behavior-web_out] free account
[Device-behavior-web_out] quit
i. 配置QoS策略
# 配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文都重定向到CPU,如果重定向无感知认证失败,则丢弃报文。
[Device-qospolicy-web] classifier web_permit behavior web_permit
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier web_http behavior web_http
[Device-qospolicy-web] classifier web_https behavior web_https
[Device-qospolicy-web] classifier ip_cpu behavior web_cpu
[Device-qospolicy-web] classifier ip_deny behavior web_deny
[Device-qospolicy-web] quit
# 配置出方向QoS策略out
[Device] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。
[Device-qospolicy-out] classifier web_out behavior web_out
[Device-qospolicy-out] classifier neiwang_out behavior neiwang_out
[Device-qospolicy-out] classifier ip_deny behavior web_deny
[Device-qospolicy-out] quit
j. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[Device] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[Device] qos apply policy out global outbound
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.5
[Device-radius-rs1] primary accounting 4.4.4.5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
l. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置授权地址池以及用户组。
[Device-isp-dm1] authorization-attribute user-group web
[Device-isp-dm1] authorization-attribute ip-pool pool1
# 配置Web认证页面URL。
[Device-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] quit
m. 配置IPoE无感知认证基本功能
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 配置IPoE用户采用Web认证方式。
[Device–GigabitEthernet3/1/2] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[Device–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2
[Device–GigabitEthernet3/1/2] quit
n. (可选)配置IPoE DHCP用户异常下线后重新上线功能
· 在允许DHCP用户异常下线后通过报文重新触发上线的组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户异常下线后重新上线的关键配置。相关原理及配置限制和指导请参见“1.10.11 配置允许DHCP个人接入用户异常下线后通过报文重新触发上线”。
# 开启DHCP报文触发方式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
[Device–GigabitEthernet3/1/2] quit
o. (可选)配置IPoE DHCP用户漫游功能
· 在漫游组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户漫游功能的关键配置。相关原理及配置限制和指导请参见“1.26 配置IPoE个人接入用户漫游功能”。漫游功能举例请参见“1.30.33 IPoE个人用户漫游配置举例”。
# 开启DHCP报文触发方式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
# 开启IPoE个人接入用户漫游功能。
[Device–GigabitEthernet3/1/2] ip subscriber roaming enable
# 在接口上配置DHCP收到物理位置发生变化、MAC地址不变的上线用户发送的DHCP-DISCOVER报文后,先释放将对应MAC地址的已在线租约,再为该用户分配IP地址。
[Device–GigabitEthernet3/1/2] dhcp session-mismatch action fast-renew
[Device–GigabitEthernet3/1/2] quit
p. (可选)配置IPoE DHCP用户采用松散模式上线功能
· 在接入设备或用户接入接口所在Slot的重启后,允许重启前在线用户重新触发上线的组网中配置本功能。
· 本节仅列出IPoE DHCP用户采用松散模式上线功能的关键配置。相关原理及配置限制和指导请参见“1.10.13 配置允许动态个人接入用户采用松散模式上线”。
# 开启DHCP报文触发方式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
[Device–GigabitEthernet3/1/2] quit
# 开启系统或用户接入接口所在Slot重启后允许IPoE用户一直采用松散模式上线功能。
[Device] ip subscriber access-trigger loose all-time
q. 配置Portal基于MAC地址的快速认证
# 创建MAC绑定服务器mts。
[Device] portal mac-trigger-server mts
# 配置MAC绑定服务器的地址为4.4.4.5
[Device-portal-mac-trigger-server-mts] ip 4.4.4.5
[Device-portal-mac-trigger-server-mts] quit
# 在接口GigabitEthernet3/1/2上应用MAC绑定服务器mts。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] portal apply mac-trigger-server mts
[Device–GigabitEthernet3/1/2] quit
(3) 配置RADIUS服务器
# 配置接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入如图1-89所示增加接入设备页面。
¡ 输入共享密钥为:radius。
¡ 其他采用缺省配置。
在该页面中设备列表下方单击<手工增加>,在如图1-90所示页面输入接入设备地址4.4.4.2并单击<确定>。
# 增加接入策略
单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入如图1-91所示增加接入策略页面。
¡ 输入接入策略名为:AccessPolicy。
¡ 其他采用缺省配置。
# 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管
理页面,在该页面中单击<增加>按钮,进入如图1-92所示增加接入服务页面。
¡ 输入服务名为:IPoE_Server
¡ 缺省接入策略选择已创建的策略“AccessPolicy”。
¡ 其他采用缺省配置。
# 在IMC界面增加用户
单击导航树中的[用户管理/增加用户]菜单项,进入如图1-93所示增加用户页面,填写用户姓名和证件号码为:IPoE_Web001和001。
单击<确定>按钮后完成用户的添加。
# 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入如图1-94所示增加接入用户页面。
¡ 用户姓名选择:IPoE_Web001
¡ 帐号名填写为:user1
¡ 密码为:pass1
¡ 接入服务选择之前已创建的IPoE_Server
(4) 配置Portal服务器(iMC PLAT 7.1)
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303)、iMC EIA 7.1(F0303)、iMC EIP 7.1(F0303))说明Portal server的基本配置。
# 配置Portal主页。
单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-95所示。
图1-95 Portal服务器配置页面
# 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-96所示。
¡ 输入IP地址组名为“IPoE_Web_User”;
¡ 输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
¡ 其他采用缺省配置;
¡ 单击<确定>按钮完成操作。
图1-96 增加IP地址组配置页面
# 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-97所示。
¡ 输入设备名为“NAS”;
¡ 输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
¡ 输入密钥为“123456”;
¡ 选择组网方式为“直连”;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 配置端口组信息
如图1-98所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-99所示。
¡ 输入端口组名为“group”;
¡ 选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
¡ 无感知认证选择“支持”。
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
(5) 配置MAC绑定服务器(iMC PLAT 7.1)
# 增加接入策略
单击导航树中的[接入策略管理/接入策略管理]菜单项,并点击<增加>按钮,进入如图1-100所示增加接入策略页面。
¡ 填写接入策略名。
¡ 选择业务分组。
¡ 其它参数可采用缺省配置。
# 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,并点击<增加>按钮,进入如图1-101所示增加接入服务配置页面。
¡ 填写服务名。
¡ 勾选“Portal无感知认证”。
¡ 其它参数可采用缺省配置。
# 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,并点击<增加>按钮,进入如图1-102所示增加接入用户页面。在接入信息部分:
¡ 选择可接入的用户。
¡ 设置密码。
¡ 设置“Portal无感知认证最大绑定数”。
# 配置系统参数
单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,并点击[终端管理参数配置]对应的<配置>按钮,进入终端管理参数配置页面。
“非智能终端Portal无感知认证”可根据实际需要启用或禁用,本例中为启用。
图1-103 配置终端管理参数
单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,点击[终端老化时长]对应的<配置>按钮后点击<修改>,进入终端老化时长配置页面。
根据实际需要配置终端老化时间,本例中采用缺省值。
图1-104 配置终端老化时长
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上配置生效。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为192.168.0.2。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:51:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:51:28 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-105所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : user1
Domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:52:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:28 2016 (succeed)
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 点击<下线>按钮,通过显示命令查看,此时用户返回认证前域状态
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:52:59 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:59 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 重新打开浏览器,任意输入访问地址http://63.1.1.240,通过显示命令查看,用户IPoE Web上线
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:53:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web mac-trigger
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:53:28 2016 (succeed)
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· DHCP client经由三层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备同时作为DHCP服务器。
· 由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器、Portal Web服务器以及MAC绑定服务器的职责。
· FTP server是一台内网服务器。
图1-106 IPoE MAC Trigger三层无感知认证配置组网图
(1) 配置DHCP中继
# 全局开启DHCP。
<RouterA> system-view
[RouterA] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[RouterA] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[RouterA] undo dhcp relay client-information refresh enable
# 配置接口工作在中继代理模式,并指定DHCP服务器地址。
[RouterA] interface gigabitethernet 3/1/1
[RouterA–GigabitEthernet3/1/1] dhcp select relay proxy
[RouterA–GigabitEthernet3/1/1] dhcp relay server-address 2.2.2.2
[RouterA–GigabitEthernet3/1/1] quit
# 配置DHCP中继到BRAS侧的缺省路由。
[RouterA] ip route-static 0.0.0.0 24 2.2.2.2
(2) 配置RouterB
a. 配置各接口IP地址(略)
b. 配置DHCP服务器
# 全局开启DHCP。
<RouterB> system-view
[RouterB] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[RouterB] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[RouterB] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段192.168.0.0/24,分配的网关地址192.168.0.1和DNS服务器地址8.8.8.8。
[RouterB-dhcp-pool-pool1] network 192.168.0.0 24
[RouterB-dhcp-pool-pool1] gateway-list 192.168.0.1
[RouterB-dhcp-pool-pool1] dns-list 8.8.8.8
# 将192.168.0.1设置为禁止地址。
[RouterB-dhcp-pool-pool1] forbidden-ip 192.168.0.1
[RouterB-dhcp-pool-pool1] quit
# 配置到DHCP中继的路由。
[RouterB] ip route-static 192.168.0.0 24 2.2.2.1
c. 配置Portal认证服务器
# 配置Portal认证服务器:名称为newpt,IP地址为4.4.4.5,密钥为明文123456。
[RouterB] portal server newpt
[RouterB-portal-server-newpt] ip 4.4.4.5 key simple 123456
[RouterB-portal-server-newpt] quit
d. 配置对HTTPS报文进行重定向的内部侦听端口号
# 配置对HTTPS报文进行重定向的内部侦听端口号为11111。
[RouterB] http-redirect https-port 11111
e. 创建本地用户组
# 创建认证前域用户组,名称为web。
[RouterB] user-group web
New user group added.
[RouterB-ugroup-web] quit
f. 配置用于认证前域用户的ACL规则
# 为IPv4高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[RouterB] acl advanced name web_permit
[RouterB-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web
[RouterB-acl-ipv4-adv-web_permit] quit
# 为IPv4高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[RouterB] acl advanced name neiwang
[RouterB-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web
[RouterB-acl-ipv4-adv-neiwang] quit
# 为IPv4高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[RouterB] acl advanced name web_http
[RouterB-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[RouterB-acl-ipv4-adv-web_http] quit
# 为IPv4高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[RouterB] acl advanced name web_https
[RouterB-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[RouterB-acl-ipv4-adv-web_https] quit
# 为IPv4高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[RouterB] acl advanced name ip
[RouterB-acl-ipv4-adv-ip] rule 0 permit ip user-group web
[RouterB-acl-ipv4-adv-ip] quit
# 为IPv4高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[RouterB] acl advanced name neiwang_out
[RouterB-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.6 0 user-group web
[RouterB-acl-ipv4-adv-neiwang_out] quit
# 为IPv4高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[RouterB] acl advanced name web_out
[RouterB-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web
[RouterB-acl-ipv4-adv-web_out] quit
g. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[RouterB] traffic classifier web_permit operator and
[RouterB-classifier-web_permit] if-match acl name web_permit
[RouterB-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[RouterB] traffic classifier neiwang operator and
[RouterB-classifier-neiwang] if-match acl name neiwang
[RouterB-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[RouterB] traffic classifier web_http operator and
[RouterB-classifier-web_http] if-match acl name web_http
[RouterB-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[RouterB] traffic classifier web_https operator and
[RouterB-classifier-web_https] if-match acl name web_https
[RouterB-classifier-web_https] quit
# 配置类ip_cpu,匹配ACL ip。
[RouterB] traffic classifier ip_cpu operator and
[RouterB-classifier-ip_cpu] if-match acl name ip
[RouterB-classifier-ip_cpu] quit
# 配置类ip_deny,匹配ACL ip。
[RouterB] traffic classifier ip_deny operator and
[RouterB-classifier-ip_deny] if-match acl name ip
[RouterB-classifier-ip_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[RouterB] traffic classifier neiwang_out operator and
[RouterB-classifier-neiwang_out] if-match acl name neiwang_out
[RouterB-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[RouterB] traffic classifier web_out operator and
[RouterB-classifier-web_out] if-match acl name web_out
[RouterB-classifier-web_out] quit
h. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[RouterB] traffic behavior web_permit
[RouterB-behavior-web_permit] filter permit
[RouterB-behavior-web_permit] free account
[RouterB-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[RouterB] traffic behavior neiwang
[RouterB-behavior-neiwang] filter permit
[RouterB-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[RouterB] traffic behavior web_http
[RouterB-behavior-web_http] redirect http-to-cpu
[RouterB-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[RouterB] traffic behavior web_https
[RouterB-behavior-web_https] redirect https-to-cpu
[RouterB-behavior-web_https] quit
# 配置流行为web_cpu,对用户组web中用户的所有IP报文都重定向到CPU。
[RouterB] traffic behavior web_cpu
[RouterB-behavior-web_cpu] redirect cpu
[RouterB-behavior-web_cpu] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[RouterB] traffic behavior web_deny
[RouterB-behavior-web_deny] filter deny
[RouterB-behavior-web_deny] free account
[RouterB-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[RouterB] traffic behavior neiwang_out
[RouterB-behavior-neiwang_out] filter permit
[RouterB-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[RouterB] traffic behavior web_out
[RouterB-behavior-web_out] filter permit
[RouterB-behavior-web_out] free account
[RouterB-behavior-web_out] quit
i. 配置QoS策略
# 配置入方向QoS策略web
[RouterB] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文都重定向到CPU,如果重定向无感知认证失败,则丢弃报文。
[RouterB-qospolicy-web] classifier web_permit behavior web_permit
[RouterB-qospolicy-web] classifier neiwang behavior neiwang
[RouterB-qospolicy-web] classifier web_http behavior web_http
[RouterB-qospolicy-web] classifier web_https behavior web_https
[RouterB-qospolicy-web] classifier ip_cpu behavior web_cpu
[RouterB-qospolicy-web] classifier ip_deny behavior web_deny
[RouterB-qospolicy-web] quit
# 配置出方向QoS策略out
[RouterB] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。
[RouterB-qospolicy-out] classifier web_out behavior web_out
[RouterB-qospolicy-out] classifier neiwang_out behavior neiwang_out
[RouterB-qospolicy-out] classifier ip_deny behavior web_deny
[RouterB-qospolicy-out] quit
j. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[RouterB] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[RouterB] qos apply policy out global outbound
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[RouterB] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[RouterB-radius-rs1] primary authentication 4.4.4.5
[RouterB-radius-rs1] primary accounting 4.4.4.5
[RouterB-radius-rs1] key authentication simple radius
[RouterB-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[RouterB-radius-rs1] user-name-format without-domain
[RouterB-radius-rs1] quit
l. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ipoe none
[RouterB-isp-dm1] authorization ipoe none
[RouterB-isp-dm1] accounting ipoe none
# 配置授权地址池以及用户组。
[RouterB-isp-dm1] authorization-attribute user-group web
[RouterB-isp-dm1] authorization-attribute ip-pool pool1
# 配置Web认证页面URL。
[RouterB-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[RouterB-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[RouterB] domain name dm2
[RouterB-isp-dm2] authentication ipoe radius-scheme rs1
[RouterB-isp-dm2] authorization ipoe radius-scheme rs1
[RouterB-isp-dm2] accounting ipoe radius-scheme rs1
[RouterB-isp-dm2] quit
m. 配置IPoE无感知认证基本功能
# 开启IPoE功能,并配置三层接入模式。
[RouterB] interface gigabitethernet 3/1/1
[RouterB–GigabitEthernet3/1/1] ip subscriber routed enable
# 配置IPoE用户采用Web认证方式。
[RouterB–GigabitEthernet3/1/1] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[RouterB–GigabitEthernet3/1/1] ip subscriber pre-auth domain dm1
[RouterB–GigabitEthernet3/1/1] ip subscriber web-auth domain dm2
# 开启在线用户探测功能,并指定ICMP探测方式,重复尝试次数为5,探测间隔为120秒。
缺省为ARP探测方式,三层无感知时,需使用ICMP探测方式或关闭探测功能。
[RouterB–GigabitEthernet3/1/1] ip subscriber user-detect ip icmp retry 5 interval 120
[RouterB–GigabitEthernet3/1/1] quit
n. (可选)配置IPoE DHCP用户异常下线后重新上线功能
· 在允许DHCP用户异常下线后通过报文重新触发上线的组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户异常下线后重新上线的关键配置。相关原理及配置限制和指导请参见“1.10.11 配置允许DHCP个人接入用户异常下线后通过报文重新触发上线”。
# 开启DHCP报文触发方式。
[RouterB] interface gigabitethernet 3/1/1
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable matching-user
[RouterB–GigabitEthernet3/1/1] quit
o. (可选)配置IPoE DHCP用户漫游功能
· 在漫游组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户漫游功能的关键配置。相关原理及配置限制和指导请参见“1.26 配置IPoE个人接入用户漫游功能”。漫游功能举例请参见“1.30.33 IPoE个人用户漫游配置举例”。
# 开启DHCP报文触发方式。
[RouterB] interface gigabitethernet 3/1/1
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable matching-user
# 开启IPoE个人接入用户漫游功能。
[RouterB–GigabitEthernet3/1/1] ip subscriber roaming enable
# 在接口上配置DHCP收到物理位置发生变化、MAC地址不变的上线用户发送的DHCP-DISCOVER报文后,先释放将对应MAC地址的已在线租约,再为该用户分配IP地址。
[RouterB–GigabitEthernet3/1/1] dhcp session-mismatch action fast-renew
[RouterB–GigabitEthernet3/1/1] quit
p. 配置Portal基于MAC地址的快速认证
# 创建MAC绑定服务器mts。
[RouterB] portal mac-trigger-server mts
# 配置MAC绑定服务器的地址为4.4.4.5
[RouterB-portal-mac-trigger-server-mts] ip 4.4.4.5
[RouterB-portal-mac-trigger-server-mts] quit
# 在接口GigabitEthernet3/1/1上应用MAC绑定服务器mts。
[RouterB] interface gigabitethernet 3/1/1
[RouterB–GigabitEthernet3/1/1] portal apply mac-trigger-server mts
[RouterB–GigabitEthernet3/1/1] quit
(3) 配置RADIUS服务器
# 配置接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入如图1-107所示增加接入设备页面。
¡ 输入共享密钥为:radius。
¡ 其他采用缺省配置。
在该页面中设备列表下方单击<手工增加>,在如图1-108所示页面输入接入设备地址4.4.4.2并单击<确定>。
# 增加接入策略
单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入如图1-109所示增加接入策略页面。
¡ 输入接入策略名为:AccessPolicy。
¡ 其他采用缺省配置。
# 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管
理页面,在该页面中单击<增加>按钮,进入如图1-110所示增加接入服务页面。
¡ 输入服务名为:IPoE_Server
¡ 缺省接入策略选择已创建的策略“AccessPolicy”。
¡ 其他采用缺省配置。
# 在IMC界面增加用户
单击导航树中的[用户管理/增加用户]菜单项,进入如图1-111所示增加用户页面,填写用户姓名和证件号码为:IPoE_Web001和001。
单击<确定>按钮后完成用户的添加。
# 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入如图1-112所示增加接入用户页面。
¡ 用户姓名选择:IPoE_Web001
¡ 帐号名填写为:user1
¡ 密码为:pass1
¡ 接入服务选择之前已创建的IPoE_Server
(4) 配置Portal服务器(iMC PLAT 7.1)
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303)、iMC EIA 7.1(F0303)、iMC EIP 7.1(F0303))说明Portal server的基本配置。
# 配置Portal主页。
单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-113所示。
图1-113 Portal服务器配置页面
# 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-114所示。
¡ 输入IP地址组名为“IPoE_Web_User”;
¡ 输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
¡ 其他采用缺省配置;
¡ 单击<确定>按钮完成操作。
图1-114 增加IP地址组配置页面
# 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-115所示。
¡ 输入设备名为“NAS”;
¡ 输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/2的IP地址;
¡ 输入密钥为“123456”;
¡ 选择组网方式为“直连”;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 配置端口组信息
如图1-116所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-117所示。
¡ 输入端口组名为“group”;
¡ 选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
¡ 无感知认证选择“支持”。
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
(5) 配置MAC绑定服务器(iMC PLAT 7.1)
# 增加接入策略
单击导航树中的[接入策略管理/接入策略管理]菜单项,并点击<增加>按钮,进入如图1-118所示增加接入策略页面。
¡ 填写接入策略名。
¡ 选择业务分组。
¡ 其它参数可采用缺省配置。
# 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,并点击<增加>按钮,进入如图1-119所示增加接入服务配置页面。
¡ 填写服务名。
¡ 勾选“Portal无感知认证”。
¡ 其它参数可采用缺省配置。
# 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,并点击<增加>按钮,进入如图1-120所示增加接入用户页面。在接入信息部分:
¡ 选择可接入的用户。
¡ 设置密码。
¡ 设置“Portal无感知认证最大绑定数”。
# 配置系统参数
单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,并点击[终端管理参数配置]对应的<配置>按钮,进入终端管理参数配置页面。
“非智能终端Portal无感知认证”可根据实际需要启用或禁用,本例中为启用。
图1-121 配置终端管理参数
单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,点击[终端老化时长]对应的<配置>按钮后点击<修改>,进入终端老化时长配置页面。
根据实际需要配置终端老化时间,本例中采用缺省值。
图1-122 配置终端老化时长
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上配置生效。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为192.168.0.2。
[RouterB] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:51:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:51:28 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-123所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[RouterB] display ip subscriber session verbose
Basic:
Description : -
Username : user1
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:52:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 点击<下线>按钮,通过显示命令查看,此时用户返回认证前域状态
[RouterB] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:52:59 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:59 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 重新打开浏览器,任意输入访问地址http://63.1.1.240,通过显示命令查看,用户IPoE Web上线
[RouterB] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:53:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web mac-trigger
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:53:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。
· 由一台安装了H3C iMC的服务器同时承担Portal认证服务器和Portal Web服务器的职责。
· 由一台支持MAC绑定功能的RADIUS服务器同时承担认证、授权和计费服务器以及MAC绑定服务器的职责。
· FTP server是一台内网服务器。
图1-124 IPoE MAC二层无感知认证配置组网图
(1) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段192.168.0.0/24,分配的网关地址192.168.0.1和DNS服务器地址8.8.8.8。
[DHCP-server-dhcp-pool-pool1] network 192.168.0.0 24
[DHCP-server-dhcp-pool-pool1] gateway-list 192.168.0.1
[DHCP-server-dhcp-pool-pool1] dns-list 8.8.8.8
# 将192.168.0.1设置为禁止地址。
[DHCP-server-dhcp-pool-pool1] forbidden-ip 192.168.0.1
[DHCP-server-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为192.168.0.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 192.168.0.0 24 4.4.4.2
(2) 配置Device
a. 配置各接口IP地址(略)
b. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继代理模式。
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
[Device–GigabitEthernet3/1/2] quit
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 192.168.0.1 export-route
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
c. 配置Portal认证服务器
# 配置Portal认证服务器:名称为newpt,IP地址为4.4.4.5,密钥为明文123456。
[Device] portal server newpt
[Device-portal-server-newpt] ip 4.4.4.5 key simple 123456
[Device-portal-server-newpt] quit
d. 配置对HTTPS报文进行重定向的内部侦听端口号
# 配置对HTTPS报文进行重定向的内部侦听端口号为11111。
[Device] http-redirect https-port 11111
e. 创建本地用户组
# 创建认证前域用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
f. 配置用于认证前域用户的ACL规则
# 为IPv4高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[Device] acl advanced name web_permit
[Device-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_permit] quit
# 为IPv4高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[Device] acl advanced name neiwang
[Device-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang] quit
# 为IPv4高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[Device] acl advanced name web_http
[Device-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv4-adv-web_http] quit
# 为IPv4高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[Device] acl advanced name web_https
[Device-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv4-adv-web_https] quit
# 为IPv4高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[Device] acl advanced name ip
[Device-acl-ipv4-adv-ip] rule 0 permit ip user-group web
[Device-acl-ipv4-adv-ip] quit
# 为IPv4高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[Device] acl advanced name neiwang_out
[Device-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang_out] quit
# 为IPv4高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[Device] acl advanced name web_out
[Device-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_out] quit
g. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[Device] traffic classifier web_permit operator and
[Device-classifier-web_permit] if-match acl name web_permit
[Device-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[Device] traffic classifier neiwang operator and
[Device-classifier-neiwang] if-match acl name neiwang
[Device-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[Device] traffic classifier web_http operator and
[Device-classifier-web_http] if-match acl name web_http
[Device-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[Device] traffic classifier web_https operator and
[Device-classifier-web_https] if-match acl name web_https
[Device-classifier-web_https] quit
# 配置类ip_cpu,匹配ACL ip。
[Device] traffic classifier ip_cpu operator and
[Device-classifier-ip_cpu] if-match acl name ip
[Device-classifier-ip_cpu] quit
# 配置类ip_deny,匹配ACL ip。
[Device] traffic classifier ip_deny operator and
[Device-classifier-ip_deny] if-match acl name ip
[Device-classifier-ip_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[Device] traffic classifier neiwang_out operator and
[Device-classifier-neiwang_out] if-match acl name neiwang_out
[Device-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[Device] traffic classifier web_out operator and
[Device-classifier-web_out] if-match acl name web_out
[Device-classifier-web_out] quit
h. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_permit
[Device-behavior-web_permit] filter permit
[Device-behavior-web_permit] free account
[Device-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[Device] traffic behavior web_http
[Device-behavior-web_http] redirect http-to-cpu
[Device-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[Device] traffic behavior web_https
[Device-behavior-web_https] redirect https-to-cpu
[Device-behavior-web_https] quit
# 配置流行为web_cpu,对用户组web中用户的所有IP报文都重定向到CPU。
[Device] traffic behavior web_cpu
[Device-behavior-web_cpu] redirect cpu
[Device-behavior-web_cpu] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[Device] traffic behavior web_deny
[Device-behavior-web_deny] filter deny
[Device-behavior-web_deny] free account
[Device-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang_out
[Device-behavior-neiwang_out] filter permit
[Device-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_out
[Device-behavior-web_out] filter permit
[Device-behavior-web_out] free account
[Device-behavior-web_out] quit
i. 配置QoS策略
# 配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文都重定向到CPU,如果重定向无感知认证失败,则丢弃报文。
[Device-qospolicy-web] classifier web_permit behavior web_permit
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier web_http behavior web_http
[Device-qospolicy-web] classifier web_https behavior web_https
[Device-qospolicy-web] classifier ip_cpu behavior web_cpu
[Device-qospolicy-web] classifier ip_deny behavior web_deny
[Device-qospolicy-web] quit
# 配置出方向QoS策略out
[Device] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。
[Device-qospolicy-out] classifier web_out behavior web_out
[Device-qospolicy-out] classifier neiwang_out behavior neiwang_out
[Device-qospolicy-out] classifier ip_deny behavior web_deny
[Device-qospolicy-out] quit
j. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[Device] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[Device] qos apply policy out global outbound
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
l. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置授权地址池以及用户组。
[Device-isp-dm1] authorization-attribute user-group web
[Device-isp-dm1] authorization-attribute ip-pool pool1
# 配置Web认证页面URL。
[Device-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] quit
m. 配置IPoE无感知认证基本功能
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 配置IPoE用户采用Web MAC认证方式。
[Device–GigabitEthernet3/1/2] ip subscriber authentication-method web mac-auth
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[Device–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2
[Device–GigabitEthernet3/1/2] quit
n. (可选)配置IPoE DHCP用户异常下线后重新上线功能
· 在允许DHCP用户异常下线后通过报文重新触发上线的组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户异常下线后重新上线的关键配置。相关原理及配置限制和指导请参见“1.10.11 配置允许DHCP个人接入用户异常下线后通过报文重新触发上线”。
# 开启DHCP报文触发方式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
[Device–GigabitEthernet3/1/2] quit
o. (可选)配置IPoE DHCP用户漫游功能
· 在漫游组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户漫游功能的关键配置。相关原理及配置限制和指导请参见“1.26 配置IPoE个人接入用户漫游功能”。漫游功能举例请参见“1.30.33 IPoE个人用户漫游配置举例”。
# 开启DHCP报文触发方式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
# 开启IPoE个人接入用户漫游功能。
[Device–GigabitEthernet3/1/2] ip subscriber roaming enable
# 在接口上配置DHCP收到物理位置发生变化、MAC地址不变的上线用户发送的DHCP-DISCOVER报文后,先释放将对应MAC地址的已在线租约,再为该用户分配IP地址。
[Device–GigabitEthernet3/1/2] dhcp session-mismatch action fast-renew
[Device–GigabitEthernet3/1/2] quit
p. (可选)配置IPoE DHCP用户采用松散模式上线功能
· 在接入设备或用户接入接口所在Slot的重启后,允许重启前在线用户重新触发上线的组网中配置本功能。
· 本节仅列出IPoE DHCP用户采用松散模式上线功能的关键配置。相关原理及配置限制和指导请参见“1.10.13 配置允许动态个人接入用户采用松散模式上线”。
# 开启DHCP报文触发方式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
[Device–GigabitEthernet3/1/2] quit
# 开启系统或用户接入接口所在Slot重启后允许IPoE用户一直采用松散模式上线功能。
[Device] ip subscriber access-trigger loose all-time
(3) 配置RADIUS服务器
对于RADIUS服务器上AAA和MAC绑定配置,具体需要参见RADIUS server的配置说明书。
(4) 配置Portal服务器
# 配置Portal主页。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-125所示。
图1-125 Portal服务器配置页面
# 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-126所示。
¡ 输入IP地址组名为“IPoE_Web_User”;
¡ 输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
¡ 其他采用缺省配置;
¡ 单击<确定>按钮完成操作。
图1-126 增加IP地址组配置页面
# 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-127所示。
¡ 输入设备名为“NAS”;
¡ 输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
¡ 输入密钥为“123456”;
¡ 选择组网方式为“直连”;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 配置端口组信息
如图1-128所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-129所示。
¡ 输入端口组名为“group”;
¡ 选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为192.168.0.2。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Access time : Aug 2 16:51:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:51:28 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-130所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : user1
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Access time : Aug 2 16:52:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 点击<下线>按钮,通过显示命令查看,此时用户返回认证前域状态
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPV4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:52:59 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:59 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 重新打开浏览器,任意输入访问地址http://63.1.1.240,通过显示命令查看,用户IPoE Web 上线
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : web
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPV4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:53:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web mac-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:53:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· DHCP client经由三层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备同时作为DHCP服务器。
· 由一台安装了H3C iMC的服务器同时承担Portal认证服务器和Portal Web服务器的职责。
· 由一台支持MAC绑定功能的RADIUS服务器同时承担认证、授权和计费服务器以及MAC绑定服务器的职责。
· FTP server是一台内网服务器。
图1-131 IPoE MAC三层无感知认证配置组网图
(1) 配置DHCP中继
# 全局开启DHCP。
<RouterA> system-view
[RouterA] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[RouterA] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[RouterA] undo dhcp relay client-information refresh enable
# 配置接口工作在中继代理模式,并指定DHCP服务器地址。
[RouterA] interface gigabitethernet 3/1/1
[RouterA–GigabitEthernet3/1/1] dhcp select relay proxy
[RouterA–GigabitEthernet3/1/1] dhcp relay server-address 2.2.2.2
[RouterA–GigabitEthernet3/1/1] quit
# 配置DHCP中继到BRAS侧的缺省路由。
[RouterA] ip route-static 0.0.0.0 24 2.2.2.2
(2) 配置RouterB
a. 配置各接口IP地址(略)
b. 配置DHCP服务器
# 全局开启DHCP。
<RouterB> system-view
[RouterB] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[RouterB] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[RouterB] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段192.168.0.0/24,分配的网关地址192.168.0.1和DNS服务器地址8.8.8.8。
[RouterB-dhcp-pool-pool1] network 192.168.0.0 24
[RouterB-dhcp-pool-pool1] gateway-list 192.168.0.1
[RouterB-dhcp-pool-pool1] dns-list 8.8.8.8
# 将192.168.0.1设置为禁止地址。
[RouterB-dhcp-pool-pool1] forbidden-ip 192.168.0.1
[RouterB-dhcp-pool-pool1] quit
# 配置到DHCP中继的路由。
[RouterB] ip route-static 192.168.0.0 24 2.2.2.1
c. 配置Portal认证服务器
# 配置Portal认证服务器:名称为newpt,IP地址为4.4.4.5,密钥为明文123456。
[RouterB] portal server newpt
[RouterB-portal-server-newpt] ip 4.4.4.5 key simple 123456
[RouterB-portal-server-newpt] quit
d. 配置对HTTPS报文进行重定向的内部侦听端口号
# 配置对HTTPS报文进行重定向的内部侦听端口号为11111。
[RouterB] http-redirect https-port 11111
e. 创建本地用户组
# 创建认证前域用户组,名称为web。
[RouterB] user-group web
New user group added.
[RouterB-ugroup-web] quit
f. 配置用于认证前域用户的ACL规则
# 为IPv4高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[RouterB] acl advanced name web_permit
[RouterB-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web
[RouterB-acl-ipv4-adv-web_permit] quit
# 为IPv4高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[RouterB] acl advanced name neiwang
[RouterB-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web
[RouterB-acl-ipv4-adv-neiwang] quit
# 为IPv4高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[RouterB] acl advanced name web_http
[RouterB-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[RouterB-acl-ipv4-adv-web_http] quit
# 为IPv4高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[RouterB] acl advanced name web_https
[RouterB-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[RouterB-acl-ipv4-adv-web_https] quit
# 为IPv4高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[RouterB] acl advanced name ip
[RouterB-acl-ipv4-adv-ip] rule 0 permit ip user-group web
[RouterB-acl-ipv4-adv-ip] quit
# 为IPv4高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[RouterB] acl advanced name neiwang_out
[RouterB-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.6 0 user-group web
[RouterB-acl-ipv4-adv-neiwang_out] quit
# 为IPv4高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[RouterB] acl advanced name web_out
[RouterB-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web
[RouterB-acl-ipv4-adv-web_out] quit
g. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[RouterB] traffic classifier web_permit operator and
[RouterB-classifier-web_permit] if-match acl name web_permit
[RouterB-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[RouterB] traffic classifier neiwang operator and
[RouterB-classifier-neiwang] if-match acl name neiwang
[RouterB-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[RouterB] traffic classifier web_http operator and
[RouterB-classifier-web_http] if-match acl name web_http
[RouterB-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[RouterB] traffic classifier web_https operator and
[RouterB-classifier-web_https] if-match acl name web_https
[RouterB-classifier-web_https] quit
# 配置类ip_cpu,匹配ACL ip。
[RouterB] traffic classifier ip_cpu operator and
[RouterB-classifier-ip_cpu] if-match acl name ip
[RouterB-classifier-ip_cpu] quit
# 配置类ip_deny,匹配ACL ip。
[RouterB] traffic classifier ip_deny operator and
[RouterB-classifier-ip_deny] if-match acl name ip
[RouterB-classifier-ip_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[RouterB] traffic classifier neiwang_out operator and
[RouterB-classifier-neiwang_out] if-match acl name neiwang_out
[RouterB-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[RouterB] traffic classifier web_out operator and
[RouterB-classifier-web_out] if-match acl name web_out
[RouterB-classifier-web_out] quit
h. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[RouterB] traffic behavior web_permit
[RouterB-behavior-web_permit] filter permit
[RouterB-behavior-web_permit] free account
[RouterB-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[RouterB] traffic behavior neiwang
[RouterB-behavior-neiwang] filter permit
[RouterB-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[RouterB] traffic behavior web_http
[RouterB-behavior-web_http] redirect http-to-cpu
[RouterB-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[RouterB] traffic behavior web_https
[RouterB-behavior-web_https] redirect https-to-cpu
[RouterB-behavior-web_https] quit
# 配置流行为web_cpu,对用户组web中用户的所有IP报文都重定向到CPU。
[RouterB] traffic behavior web_cpu
[RouterB-behavior-web_cpu] redirect cpu
[RouterB-behavior-web_cpu] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[RouterB] traffic behavior web_deny
[RouterB-behavior-web_deny] filter deny
[RouterB-behavior-web_deny] free account
[RouterB-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[RouterB] traffic behavior neiwang_out
[RouterB-behavior-neiwang_out] filter permit
[RouterB-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[RouterB] traffic behavior web_out
[RouterB-behavior-web_out] filter permit
[RouterB-behavior-web_out] free account
[RouterB-behavior-web_out] quit
i. 配置QoS策略
# 配置入方向QoS策略web
[RouterB] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文都重定向到CPU,如果重定向无感知认证失败,则丢弃报文。
[RouterB-qospolicy-web] classifier web_permit behavior web_permit
[RouterB-qospolicy-web] classifier neiwang behavior neiwang
[RouterB-qospolicy-web] classifier web_http behavior web_http
[RouterB-qospolicy-web] classifier web_https behavior web_https
[RouterB-qospolicy-web] classifier ip_cpu behavior web_cpu
[RouterB-qospolicy-web] classifier ip_deny behavior web_deny
[RouterB-qospolicy-web] quit
# 配置出方向QoS策略out
[RouterB] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。
[RouterB-qospolicy-out] classifier web_out behavior web_out
[RouterB-qospolicy-out] classifier neiwang_out behavior neiwang_out
[RouterB-qospolicy-out] classifier ip_deny behavior web_deny
[RouterB-qospolicy-out] quit
j. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[RouterB] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[RouterB] qos apply policy out global outbound
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[RouterB] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[RouterB-radius-rs1] primary authentication 4.4.4.1
[RouterB-radius-rs1] primary accounting 4.4.4.1
[RouterB-radius-rs1] key authentication simple radius
[RouterB-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[RouterB-radius-rs1] user-name-format without-domain
[RouterB-radius-rs1] quit
l. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ipoe none
[RouterB-isp-dm1] authorization ipoe none
[RouterB-isp-dm1] accounting ipoe none
# 配置授权地址池以及用户组。
[RouterB-isp-dm1] authorization-attribute user-group web
[RouterB-isp-dm1] authorization-attribute ip-pool pool1
# 配置Web认证页面URL。
[RouterB-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[RouterB-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[RouterB] domain name dm2
[RouterB-isp-dm2] authentication ipoe radius-scheme rs1
[RouterB-isp-dm2] authorization ipoe radius-scheme rs1
[RouterB-isp-dm2] accounting ipoe radius-scheme rs1
[RouterB-isp-dm2] quit
m. 配置IPoE无感知认证基本功能
# 开启IPoE功能,并配置三层接入模式。
[RouterB] interface gigabitethernet 3/1/1
[RouterB–GigabitEthernet3/1/1] ip subscriber routed enable
# 配置IPoE用户采用Web MAC认证方式。
[RouterB–GigabitEthernet3/1/1] ip subscriber authentication-method web mac-auth
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[RouterB–GigabitEthernet3/1/1] ip subscriber pre-auth domain dm1
[RouterB–GigabitEthernet3/1/1] ip subscriber web-auth domain dm2
# 开启在线用户探测功能,并指定ICMP探测方式,重复尝试次数为5,探测间隔为120秒。
缺省为ARP探测方式,三层无感知时,需使用ICMP探测方式或关闭探测功能。
[RouterB–GigabitEthernet3/1/1] ip subscriber user-detect ip icmp retry 5 interval 120
[RouterB–GigabitEthernet3/1/1] quit
n. (可选)配置IPoE DHCP用户异常下线后重新上线功能
· 在允许DHCP用户异常下线后通过报文重新触发上线的组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户异常下线后重新上线的关键配置。相关原理及配置限制和指导请参见“1.10.11 配置允许DHCP个人接入用户异常下线后通过报文重新触发上线”。
# 开启DHCP报文触发方式。
[RouterB] interface gigabitethernet 3/1/1
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable matching-user
[RouterB–GigabitEthernet3/1/1] quit
o. (可选)配置IPoE DHCP用户漫游功能
· 在漫游组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户漫游功能的关键配置。相关原理及配置限制和指导请参见“1.26 配置IPoE个人接入用户漫游功能”。漫游功能举例请参见“1.30.33 IPoE个人用户漫游配置举例”。
# 开启DHCP报文触发方式。
[RouterB] interface gigabitethernet 3/1/1
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[RouterB–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable matching-user
# 开启IPoE个人接入用户漫游功能。
[RouterB–GigabitEthernet3/1/1] ip subscriber roaming enable
# 在接口上配置DHCP收到物理位置发生变化、MAC地址不变的上线用户发送的DHCP-DISCOVER报文后,先释放将对应MAC地址的已在线租约,再为该用户分配IP地址。
[RouterB–GigabitEthernet3/1/1] dhcp session-mismatch action fast-renew
[RouterB–GigabitEthernet3/1/1] quit
(3) 配置RADIUS服务器
对于RADIUS服务器上AAA和MAC绑定配置,具体需要参见RADIUS server的配置说明书。
(4) 配置Portal服务器
# 配置Portal主页。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-132所示。
图1-132 Portal服务器配置页面
# 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-133所示。
¡ 输入IP地址组名为“IPoE_Web_User”;
¡ 输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
¡ 其他采用缺省配置;
¡ 单击<确定>按钮完成操作。
图1-133 增加IP地址组配置页面
# 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-134所示。
¡ 输入设备名为“NAS”;
¡ 输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/2的IP地址;
¡ 输入密钥为“123456”;
¡ 选择组网方式为“直连”;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 配置端口组信息
如图1-135所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-136所示。
¡ 输入端口组名为“group”;
¡ 选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为192.168.0.2。
[RouterB] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Access time : Aug 2 16:51:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:51:28 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-137所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[RouterB] display ip subscriber session verbose
Basic:
Description : -
Username : user1
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86380 sec
Access time : Aug 2 16:52:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 点击<下线>按钮,通过显示命令查看,此时用户返回认证前域状态
[RouterB] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:52:59 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:59 2016 (succeed)
Redirect URL : http://4.4.4.5:8080/portal/
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 重新打开浏览器,任意输入访问地址http://63.1.1.240,通过显示命令查看,用户IPoE Web 上线
[RouterB] display ip subscriber session verbose
Basic:
Description : -
Username : web
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/1
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:53:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web mac-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:53:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
如图1-138所示:Router A为某学校的一台BRAS设备,为学校用户提供IPoE接入服务。要求:
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。
· 由一台安装了H3C iMC的服务器同时承担Portal认证服务器和Portal Web服务器的职责。
· 由一台支持MAC绑定功能的RADIUS服务器同时承担认证、授权和计费服务器以及MAC绑定服务器的职责。
· FTP server是一台内网服务器。
· Web认证通过后限速5Mbps。
图1-138 IPoE双栈用户MAC无感知认证配置组网图
(1) 配置IP地址及路由
按照图1-138配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。
(2) 设置DNS服务器
请正确设置DNS服务器,以便服务器可以根据IPoE双栈用户先上线的协议栈类型,解析出Web认证页面http://www.abc.web.com对应的IPv4 URL地址或IPv6 URL地址。DNS服务器具体设置过程略。
(3) 配置DHCP服务器
a. 配置DHCPv4地址池
# 开启DHCP服务。
<DHCP> system-view
[DHCP] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP] dhcp server request-ip-address check
# 创建名称为pool1的DHCPv4地址池并进入其视图。
[DHCP] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段192.168.0.0/24。
[DHCP-dhcp-pool-pool1] network 192.168.0.0 24
# 配置为用户分配的网关地址为192.168.0.1。
[DHCP-dhcp-pool-pool1] gateway-list 192.168.0.1
# 将192.168.0.1设置为禁止地址。
[DHCP-dhcp-pool-pool1] forbidden-ip 192.168.0.1
[DHCP-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为192.168.0.0网段的DHCPv4应答报文的下一跳指定为连接DHCPv4客户端网络的接口IPv4地址4.4.4.2。
[DHCP] ip route-static 192.168.0.0 24 4.4.4.2
b. 配置DHCPv6地址池
# 创建名称为pool2的DHCPv6地址池并进入其视图。
[DHCP] ipv6 dhcp pool pool2
# 配置地址池动态分配的IPv6地址网段192::0/64。
[DHCP-dhcp6-pool-pool2] network 192::0/64
[DHCP-dhcp6-pool-pool2] quit
# 将192::1设置为禁止地址。
[DHCP] ipv6 dhcp server forbidden-address 192::1
# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[DHCP] interface gigabitethernet 3/1/1
[DHCP-GigabitEthernet3/1/1] ipv6 dhcp select server
[DHCP-GigabitEthernet3/1/1] quit
# 通过配置静态路由,将目的地址为192::0网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2。
[DHCP] ipv6 route-static 192::0 64 4::2
a. 配置DHCP中继
# 全局开启DHCP。
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 192.168.0.1 export-route
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
# 创建中继地址池pool2,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] ipv6 dhcp pool pool2
[Device-dhcp6-pool-pool2] gateway-list 192::1
[Device-dhcp6-pool-pool2] remote-server 4::3
[Device-dhcp6-pool-pool2] quit
# 配置接口工作在DHCPv4中继代理模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[Device–GigabitEthernet3/1/2] ipv6 address auto link-local
# 配置接口工作在DHCPv6中继模式,开启DHCPv6中继用户表项记录功能。
[Device–GigabitEthernet3/1/2] ipv6 dhcp select relay
[Device–GigabitEthernet3/1/2] ipv6 dhcp relay client-information record
# 配置清除用户表项时通知DHCPv6服务器释放租约。
[Device–GigabitEthernet3/1/2] ipv6 dhcp relay release-agent
# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息
[Device–GigabitEthernet3/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag
[Device–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag
# 为避免终端使用临时IPv6地址进行认证,从而导致认证失败,在用户上线接口配置前缀不在RA消息中发布,从而避免终端使用前缀生成临时IPv6地址。
[Device–GigabitEthernet3/1/2] ipv6 nd ra prefix 192::/64 no-advertise
[Device–GigabitEthernet3/1/2] quit
b. 配置Portal认证服务器
# 配置IPv4 Portal认证服务器:名称为newpt1,IP地址为4.4.4.5,密钥为明文123456。
[Device] portal server newpt1
[Device-portal-server-newpt1] ip 4.4.4.5 key simple 123456
[Device-portal-server-newpt1] quit
# 配置IPv6 Portal认证服务器:名称为newpt2,IPv6地址为4::5,密钥为明文123456。
[Device] portal server newpt2
[Device-portal-server-newpt2] ipv6 4::5 key simple 123456
[Device-portal-server-newpt2] quit
c. 配置HTTPS的内部侦听端口
# 配置HTTPS的内部侦听端口,端口不要跟已有端口冲突即可。
[Device] http-redirect https-port 11111
d. 创建本地用户组
# 创建认证前域用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
e. 配置用于认证前域用户的ACL规则
# 分别为IPv4和IPv6高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[Device] acl advanced name web_permit
[Device-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_permit] quit
[Device] acl ipv6 advanced name web_permit
[Device-acl-ipv6-adv-web_permit] rule 0 permit ipv6 destination 4::5 128 user-group web
[Device-acl-ipv6-adv-web_permit] quit
# 分别为IPv4和IPv6高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。
[Device] acl advanced name neiwang
[Device-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang] quit
[Device] acl ipv6 advanced name neiwang
[Device-acl-ipv6-adv-neiwang] rule 0 permit ipv6 destination 4::6 128 user-group web
[Device-acl-ipv6-adv-neiwang] quit
# 分别为IPv4和IPv6高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[Device] acl advanced name web_http
[Device-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv4-adv-web_http] quit
[Device] acl ipv6 advanced name web_http
[Device-acl-ipv6-adv-web_http] rule 0 permit tcp destination-port eq www user-group web
[Device-acl-ipv6-adv-web_http] quit
# 分别为IPv4和IPv6高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[Device] acl advanced name web_https
[Device-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv4-adv-web_https] quit
[Device] acl ipv6 advanced name web_https
[Device-acl-ipv6-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web
[Device-acl-ipv6-adv-web_https] quit
# 分别为IPv4和IPv6高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。
[Device] acl advanced name ip
[Device-acl-ipv4-adv-ip] rule 0 permit ip user-group web
[Device-acl-ipv4-adv-ip] quit
[Device] acl ipv6 advanced name ip
[Device-acl-ipv6-adv-ip] rule 0 permit ipv6 user-group web
[Device-acl-ipv6-adv-ip] quit
# 分别为IPv4和IPv6高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。
[Device] acl advanced name neiwang_out
[Device-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang_out] quit
[Device] acl ipv6 advanced name neiwang_out
[Device-acl-ipv6-adv-neiwang_out] rule 0 permit ipv6 source 4::6 128 user-group web
[Device-acl-ipv6-adv-neiwang_out] quit
# 分别为IPv4和IPv6高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[Device] acl advanced name web_out
[Device-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web
[Device-acl-ipv4-adv-web_out] quit
[Device] acl ipv6 advanced name web_out
[Device-acl-ipv6-adv-web_out] rule 0 permit ipv6 source 4::5 128 user-group web
[Device-acl-ipv6-adv-web_out] quit
f. 配置用于认证前域用户的类
# 配置类web_permit,匹配ACL web_permit。
[Device] traffic classifier web_permit operator or
[Device-classifier-web_permit] if-match acl name web_permit
[Device-classifier-web_permit] if-match acl ipv6 name web_permit
[Device-classifier-web_permit] quit
# 配置类neiwang,匹配ACL neiwang。
[Device] traffic classifier neiwang operator or
[Device-classifier-neiwang] if-match acl name neiwang
[Device-classifier-neiwang] if-match acl ipv6 name neiwang
[Device-classifier-neiwang] quit
# 配置类web_http,匹配ACL web_http。
[Device] traffic classifier web_http operator or
[Device-classifier-web_http] if-match acl name web_http
[Device-classifier-web_http] if-match acl ipv6 name web_http
[Device-classifier-web_http] quit
# 配置类web_https,匹配ACL web_https。
[Device] traffic classifier web_https operator or
[Device-classifier-web_https] if-match acl name web_https
[Device-classifier-web_https] if-match acl ipv6 name web_https
[Device-classifier-web_https] quit
# 配置类ip_cpu,匹配ACL ip。
[Device] traffic classifier ip_cpu operator or
[Device-classifier-ip_cpu] if-match acl name ip
[Device-classifier-ip_cpu] if-match acl ipv6 name ip
[Device-classifier-ip_cpu] quit
# 配置类ip_deny,匹配ACL ip。
[Device] traffic classifier ip_deny operator or
[Device-classifier-ip_deny] if-match acl name ip
[Device-classifier-ip_deny] if-match acl ipv6 name ip
[Device-classifier-ip_deny] quit
# 配置类neiwang_out,匹配ACL neiwang_out。
[Device] traffic classifier neiwang_out operator or
[Device-classifier-neiwang_out] if-match acl name neiwang_out
[Device-classifier-neiwang_out] if-match acl ipv6 name neiwang_out
[Device-classifier-neiwang_out] quit
# 配置类web_out,匹配ACL web_out。
[Device] traffic classifier web_out operator or
[Device-classifier-web_out] if-match acl name web_out
[Device-classifier-web_out] if-match acl ipv6 name web_out
[Device-classifier-web_out] quit
g. 配置流行为
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_permit
[Device-behavior-web_permit] filter permit
[Device-behavior-web_permit] free account
[Device-behavior-web_permit] quit
# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[Device] traffic behavior web_http
[Device-behavior-web_http] redirect http-to-cpu
[Device-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[Device] traffic behavior web_https
[Device-behavior-web_https] redirect https-to-cpu
[Device-behavior-web_https] quit
# 配置流行为web_cpu,对用户组web中用户的所有IP报文都重定向到CPU。
[Device] traffic behavior web_cpu
[Device-behavior-web_cpu] redirect cpu
[Device-behavior-web_cpu] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[Device] traffic behavior web_deny
[Device-behavior-web_deny] filter deny
[Device-behavior-web_deny] free account
[Device-behavior-web_deny] quit
# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。
[Device] traffic behavior neiwang_out
[Device-behavior-neiwang_out] filter permit
[Device-behavior-neiwang_out] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[Device] traffic behavior web_out
[Device-behavior-web_out] filter permit
[Device-behavior-web_out] free account
[Device-behavior-web_out] quit
h. 配置QoS策略
# 配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为Portal服务器和内网服务器IP地址的报文通过;
对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;
除上述报文外,其余报文都重定向到CPU,如果重定向无感知认证失败,则丢弃报文。
[Device-qospolicy-web] classifier web_permit behavior web_permit
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier web_http behavior web_http
[Device-qospolicy-web] classifier web_https behavior web_https
[Device-qospolicy-web] classifier ip_cpu behavior web_cpu
[Device-qospolicy-web] classifier ip_deny behavior web_deny
[Device-qospolicy-web] quit
# 配置出方向QoS策略out
[Device] qos policy out
# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。
[Device-qospolicy-out] classifier web_out behavior web_out
[Device-qospolicy-out] classifier neiwang_out behavior neiwang_out
[Device-qospolicy-out] classifier ip_deny behavior web_deny
[Device-qospolicy-out] quit
i. 配置应用策略
# 对接收的用户流量应用QoS策略,策略名为web。
[Device] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[Device] qos apply policy out global outbound
j. 查看应用的策略是否生效
# 查看入方向QoS策略的配置信息和运行情况。
[Device] display qos policy global slot 3 inbound
Direction: Inbound
Policy: web
Classifier: web_permit
Operator: OR
Rule(s) :
If-match acl name web_permit
If-match acl ipv6 name web_permit
Behavior: web_permit
Filter enable: Permit
Free account enable
Classifier: neiwang
Operator: OR
Rule(s) :
If-match acl name neiwang
If-match acl ipv6 name neiwang
Behavior: neiwang
Filter enable: Permit
Classifier: web_http
Operator: OR
Rule(s) :
If-match acl name web_http
If-match acl ipv6 name web_http
Behavior: web_http
Redirecting:
Redirect http to CPU
Classifier: web_https
Operator: OR
Rule(s) :
If-match acl name web_https
If-match acl ipv6 name web_https
Behavior: web_https
Redirecting:
Redirect https to CPU
Classifier: ip_cpu
Operator: OR
Rule(s) :
If-match acl name ip
If-match acl ipv6 name ip
Behavior: web_cpu
Redirecting:
Redirect to the CPU
Classifier: ip_deny
Operator: OR
Rule(s) :
If-match acl name ip
If-match acl ipv6 name ip
Behavior: web_deny
Filter enable: Deny
Free account enable
# 查看出方向QoS策略的配置信息和运行情况。
[Device] display qos policy global slot 3 outbound
Direction: Outbound
Policy: out
Classifier: web_out
Operator: OR
Rule(s) :
If-match acl name web_out
If-match acl ipv6 name web_out
Behavior: web_out
Filter enable: Permit
Free account enable
Classifier: neiwang_out
Operator: OR
Rule(s) :
If-match acl name neiwang_out
If-match acl ipv6 name neiwang_out
Behavior: neiwang_out
Filter enable: Permit
Classifier: ip_deny
Operator: OR
Rule(s) :
If-match acl name ip
If-match acl ipv6 name ip
Behavior: web_deny
Filter enable: Deny
Free account enable
k. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
# 设置RADIUS DAE客户端的IP地址为4.4.4.1,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。
[Device] radius dynamic-author server
[Device-radius-da-server] client ip 4.4.4.1 key simple radius
[Device-radius-da-server] quit
l. 配置User Profile
# 配置名称为car的User Profile对上线用户发送的报文进行流量监管。报文正常流速为5210kbps,允许325625byte的突发流量通过,速率小于等于5210kbps时正常发送,大于5210kbps时,报文被丢弃。
[Device] user-profile car
[Device-user-profile-car] qos car inbound any cir 5210 cbs 325625
[Device-user-profile-car] quit
m. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置前域授权用户组和地址池。
[Device-isp-dm1] authorization-attribute user-group web
[Device-isp-dm1] authorization-attribute ip-pool pool1
[Device-isp-dm1] authorization-attribute ipv6-pool pool2
# 配置Web认证页面URL。
[Device-isp-dm1] web-server url http://www.abc.web.com
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] authorization-attribute user-profile car
[Device-isp-dm2] quit
n. 配置IPoE无感知认证基本功能
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 配置IPoE用户采用Web MAC认证方式。
[Device–GigabitEthernet3/1/2] ip subscriber authentication-method web mac-auth
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域和Web MAC认证域均为dm2。
[Device–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2
[Device–GigabitEthernet3/1/2] ip subscriber mac-auth domain dm2
[Device–GigabitEthernet3/1/2] quit
o. (可选)配置IPoE DHCP用户异常下线后重新上线功能
· 在允许DHCP用户异常下线后通过报文重新触发上线的组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户异常下线后重新上线的关键配置。相关原理及配置限制和指导请参见“1.10.11 配置允许DHCP个人接入用户异常下线后通过报文重新触发上线”。
# 开启DHCP报文触发方式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
[Device–GigabitEthernet3/1/2] quit
p. (可选)配置IPoE DHCP用户漫游功能
· 在漫游组网中需要配置本功能。
· 本节仅列出IPoE DHCP用户漫游功能的关键配置。相关原理及配置限制和指导请参见“1.26 配置IPoE个人接入用户漫游功能”。漫游功能举例请参见“1.30.33 IPoE个人用户漫游配置举例”。
# 开启DHCP报文触发方式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IPv4报文和IPv6报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ipv6 enable matching-user
# 开启IPoE个人接入用户漫游功能。
[Device–GigabitEthernet3/1/2] ip subscriber roaming enable
# 在接口上配置DHCP收到物理位置发生变化、MAC地址不变的上线用户发送的DHCP报文后,先释放将对应MAC地址的已在线租约,再为该用户分配IP地址。
[Device–GigabitEthernet3/1/2] dhcp session-mismatch action fast-renew
[Device–GigabitEthernet3/1/2] ipv6 dhcp session-mismatch action fast-renew
[Device–GigabitEthernet3/1/2] quit
q. (可选)配置IPoE DHCP用户采用松散模式上线功能
· 在接入设备或用户接入接口所在Slot的重启后,允许重启前在线用户重新触发上线的组网中配置本功能。
· 本节仅列出IPoE DHCP用户采用松散模式上线功能的关键配置。相关原理及配置限制和指导请参见“1.10.13 配置允许动态个人接入用户采用松散模式上线”。
# 开启DHCP报文触发方式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
[Device–GigabitEthernet3/1/2] quit
# 开启系统或用户接入接口所在Slot重启后允许IPoE用户一直采用松散模式上线功能。
[Device] ip subscriber access-trigger loose all-time
(5) 配置RADIUS服务器
对于RADIUS服务器上AAA和MAC绑定配置,具体需要参见RADIUS server的配置说明书。
(6) 配置Portal服务器
下面以iMC为例,说明Portal服务器的基本配置。不同iMC版本配置可能有所不同,具体配置请以实际版本及对应版本的iMC服务器手册为准,本节配置仅供参考。
a. 配置Portal主页。
单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-139所示。
图1-139 Portal服务器配置页面
b. 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-140所示。
- 输入IP地址组名为“IPoE_Web_User”;
- 输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
- 其他采用缺省配置;
- 单击<确定>按钮完成操作。
图1-140 增加IP地址组配置页面(IPv4)
如图1-141所示,继续上述操作添加IPv6地址组。
- 输入IP地址组名为“IPoE_Web_User-2”;
- IPv6选项框选择“是”;
- 输入起始地址为“192::1”、终止地址为“192::FFFF”。用户主机IPv6地址必须包含在该IP地址组范围内;
- 其他采用缺省配置;
- 单击<确定>按钮完成操作。
图1-141 增加IP地址组配置页面(IPv6)
c. 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-142所示。
- 输入设备名为“NAS”;
- 输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
- 输入密钥为“123456”;
- 选择组网方式为“直连”;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
如图1-143所示,继续上述操作添加设备的IPv6信息。
- 输入设备名为“NAS-2”;
- 版本选择“Portal 3.0”;
- 输入IP地址为“4::2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
- 输入密钥为“123456”;
- 选择组网方式为“直连”;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
d. 配置端口组信息
如图1-144所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-145所示。
- 输入端口组名为“group”;
- 选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
如图1-146所示,继续上述操作添加端口组的IPv6信息。
- 输入端口组名为“group-2”;
- 选择IP地址组为“IPoE_Web_User-2”,用户接入网络时使用的IPv6地址必须属于所选的IPv6地址组;
- 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv4地址为192.168.0.2,IPv6地址为192::2。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 001b21a80949
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
IPv6 address : 192::2
User address type : N/A
MAC address : 001b-21a8-0949
IPv4 DUID : 001b-21a8-0949
IPv6 DUID : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86383 sec
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591981 sec
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : May 27 00:48:51 2018
Online time(hh:mm:ss) : 00:00:19
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : Detecting
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : pool2
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 27 00:48:51 2018 (succeed)
Redirect URL : http://www.abc.web.com
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,登录Web页面,如图1-147所示。
# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : user1@dm2
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
IPv6 address : 192::2
User address type : N/A
MAC address : 001b-21a8-0949
IPv4 DUID : 001b-21a8-0949
IPv6 DUID : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86356 sec
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591954 sec
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : May 27 00:49:20 2018
Online time(hh:mm:ss) : 00:00:04
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : Detecting
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : pool2
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : 86400 sec, remaining: 86395 sec
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 27 00:49:20 2018 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : car (active)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 点击<下线>按钮,通过显示命令查看,此时用户返回认证前域状态
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 001b21a80949
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
IPv6 address : 192::2
User address type : N/A
MAC address : 001b-21a8-0949
IPv4 DUID : 001b-21a8-0949
IPv6 DUID : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86383 sec
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591981 sec
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : May 27 00:49:30 2018
Online time(hh:mm:ss) : 00:00:19
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : Detecting
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : pool2
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 27 00:49:30 2018 (succeed)
Redirect URL : http://www.abc.web.com
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 重新打开浏览器,任意输入访问地址http://63.1.1.240,通过显示命令查看,用户IPoE Web上线
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : web
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
IPv6 address : 192::2
User address type : N/A
MAC address : 001b-21a8-0949
IPv4 DUID : 001b-21a8-0949
IPv6 DUID : 001b-21a8-0949
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x30000004
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86356 sec
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591954 sec
DHCPv6 PD lease : N/A
DHCPv6 PD remain lease : N/A
Access time : May 27 00:50:01 2018
Online time(hh:mm:ss) : 00:00:04
Service node : Slot 3 CPU 0
Authentication type : Web mac-auth
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : Detecting
IPv6 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : pool2
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : 86400 sec, remaining: 86395 sec
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : May 27 00:50:01 2018 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : car (active)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。
· 由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器和Portal Web服务器的职责。
图1-148 IPoE Web支持EAP认证配置组网图
(1) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段192.168.0.0/24,分配的网关地址192.168.0.1
[DHCP-server-dhcp-pool-pool1] network 192.168.0.0 24
[DHCP-server-dhcp-pool-pool1] gateway-list 192.168.0.1
# 将192.168.0.1设置为禁止地址。
[DHCP-server-dhcp-pool-pool1] forbidden-ip 192.168.0.1
[DHCP-server-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为192.168.0.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 192.168.0.0 24 4.4.4.2
(2) 配置Device
a. 配置各接口IP地址(略)
b. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 进入接口GigabitEthernet3/1/2视图。
[Device] interface gigabitethernet 3/1/2
# 配置接口工作在中继代理模式。
[Device–GigabitEthernet3/1/2] dhcp select relay proxy
[Device–GigabitEthernet3/1/2] quit
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 192.168.0.1 export-route
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
c. 配置Portal认证服务器
# 配置Portal认证服务器:名称为newpt,IP地址为4.4.4.1,密钥为明文123456。
[Device] portal server newpt
[Device-portal-server-newpt] ip 4.4.4.1 key simple 123456
[Device-portal-server-newpt] quit
d. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple 123456
[Device-radius-rs1] key accounting simple 123456
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
e. 配置认证前域和Web认证域
# 配置IPoE用户认证前使用的认证域。
[Device] domain dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置授权地址池以及用户组。
[Device-isp-dm1] authorization-attribute ip-pool pool1
# 配置Web认证页面URL和Web认证服务器IP地址。
[Device-isp-dm1] web-server url http://4.4.4.1:8080/portal/
[Device-isp-dm1] web-server ip 4.4.4.1
[Device-isp-dm1] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[Device] domain dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
[Device-isp-dm2] quit
f. 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/2
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 配置IPoE用户采用Web认证方式。
[Device–GigabitEthernet3/1/2] ip subscriber authentication-method web
The operation may cut all users on this interface. Continue?[Y/N]:y
# 配置Web认证前域为dm1,Web认证域为dm2。
[Device–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1
[Device–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2
[Device–GigabitEthernet3/1/2] quit
(3) 配置RADIUS服务器
# 配置接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入如图1-149所示增加接入设备页面。
¡ 输入共享密钥为:radius。
¡ 其他采用缺省配置。
在该页面中设备列表下方单击<手工增加>,在如图1-150所示页面输入接入设备地址4.4.4.2并单击<确定>。
# 增加接入策略
单击导航树中的[接入策略管理/接入策略管理]菜单项,并点击<增加>按钮,进入“增加接入策略”页面。
¡ 填写接入策略名。
¡ 证书认证选择EAP证书认证,证书类型根据实际情况进行选择。
¡ 其它参数可采用缺省配置。
# 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,并点击<增加>按钮,进入“增加接入服务配置”页面。
¡ 填写服务名。
¡ 缺省接入策略选择已创建的策略“AccessPolicy”。
¡ 其它参数可采用缺省配置。
图1-151 增加接入服务配置
# 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,并点击<增加>按钮,进入增加接入用户页面。在接入信息部分:
¡ 选择可接入的用户。
¡ 设置密码。
图1-152 增加接入用户
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上配置生效。
(4) 配置Portal服务器(iMC PLAT 7.1)
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303)、iMC EIA 7.1(F0303)、iMC EIP 7.1(F0303))说明Portal server的基本配置。
# 配置Portal主页。
单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如图1-153所示。
图1-153 Portal服务器配置页面
# 配置Portal认证的地址组范围
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如图1-154所示。
¡ 输入IP地址组名为“IPoE_Web_User”;
¡ 输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;
¡ 其他采用缺省配置;
¡ 单击<确定>按钮完成操作。
图1-154 增加IP地址组配置页面
# 增加Portal接入设备信息
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如图1-155所示。
¡ 输入设备名为“NAS”;
¡ 输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/1的IP地址;
¡ 输入密钥为“123456”;
¡ 选择组网方式为“直连”;
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 配置端口组信息
如图1-156所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。
在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如图1-157所示。
¡ 输入端口组名为“group”;
¡ 选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;
¡ 认证方式选择EAP认证。
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为192.168.0.2。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:51:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:51:28 2016 (succeed)
Redirect URL : http://4.4.4.1:8080/portal/
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户认证前域认证通过之后,打开iNode的登录页面,输入服务器地址、和用户名和密码,如图1-158所示。
# 在iNode客户端属性设置里面选择证书认证,选择证书,并勾选<验证服务器证书>,如图1-159所示。
图1-159 设置iNode客户端属性
# iNode客户端属性设置完成后,单击<确定>按钮返回iNode客户端认证页面。
# 在iNode认证页面单击<连接>按钮进行EAP认证,认证成功后可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : client
Authorization domain : dm2
Authentication domain : dm2
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:52:28 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:28 2016 (succeed)
Redirect URL : N/A
Redirect IPv6 URL : -
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 点击<断开>按钮,通过显示命令查看,此时用户返回认证前域状态
[Device] display ip subscriber session verbose
Basic:
Description : -
Username : 0015e947f4d4
Authorization domain : dm1
Authentication domain : dm1
VPN instance : N/A
IP address : 192.168.0.2
User address type : N/A
MAC address : 0015-e947-f4d4
IPv4 DUID : 0015-e947-f4d4
Service-VLAN/Customer-VLAN : -/-
Access interface : GE3/1/2
User ID : 0x3808001c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 8.8.8.8
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Aug 2 16:52:59 2016
Online time(hh:mm:ss) : 00:00:20
Service node : Slot 3 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Aug 2 16:52:59 2016 (succeed)
Redirect URL : http://4.4.4.1:8080/portal/
Redirect IPv6 URL : http://[4::5]:8080/portal
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· DHCP client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分配IP地址。
· 允许用户进行漫游。例如:当用户从区域A漫游到区域B时,始终保持用户在线状态。
· 采用RADIUS作为认证、授权和计费服务器。
图1-160 DHCP报文触发IPoE漫游接入配置组网图
此例假设用户通过DHCP方式申请时,DHCP报文中并未携带option60选项
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 配置当DHCP客户端请求的新地址与之前使用的地址不同或该地址对应的租约不存在时,DHCP服务器直接回复NAK报文的功能。
[DHCP-server] dhcp server request-ip-address check
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-dhcp-pool-pool1] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-dhcp-pool-pool1] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-dhcp-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-dhcp-pool-pool1] quit
# 通过配置静态路由,将目的地址为3.3.3.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
(3) 配置Device
a. 配置各接口IP地址(略)。
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
c. 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain name dm1
# 配置ISP域使用的RADIUS方案rs1,并授权中继地址池。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] authorization-attribute ip-pool pool1
[Device-isp-dm1] quit
d. 配置DHCP relay
# 开启DHCP服务。
[Device] dhcp enable
# 启用DHCP中继的用户地址表项记录功能。
[Device] dhcp relay client-information record
# 关闭DHCP中继动态用户地址表项定时刷新功能。
[Device] undo dhcp relay client-information refresh enable
# 进入接口GigabitEthernet3/1/1和GigabitEthernet3/1/2视图。
[Device] interface range gigabitethernet 3/1/1 gigabitethernet 3/1/2
# 配置接口工作在中继代理模式。
[Device–if-range] dhcp select relay proxy
# 在接口上配置DHCP收到物理位置发生变化、MAC地址不变的上线用户发送的DHCP-DISCOVER报文后,先释放将对应MAC地址的已在线租约,再为该用户分配IP地址。
如果攻击源伪造MAC地址信息发起DHCP-DISCOVER报文请求上线时,会导致正常在线用户掉线,可能存在安全隐患。请确保在当前网络不存在攻击的情况下才配置本功能。
[Device–if-range] dhcp session-mismatch action fast-renew
[Device–if-range] quit
# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
[Device-dhcp-pool-pool1] quit
e. 配置IPoE
# 在GigabitEthernet3/1/1开启IPoE功能,并配置二层接入模式。
[Device] interface gigabitethernet 3/1/1
[Device–GigabitEthernet3/1/1] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet3/1/1] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable matching-user
# 开启IPoE个人接入用户漫游功能。
[Device–GigabitEthernet3/1/1] ip subscriber roaming enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/1] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/1] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/1] quit
# 在GigabitEthernet3/1/2开启IPoE功能,并配置二层接入模式。
[Device–GigabitEthernet3/1/2] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator dhcp enable
# 开启ARP报文触发用户上线功能。
[Device–GigabitEthernet3/1/2] ip subscriber initiator arp enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable matching-user
# 开启IPoE个人接入用户漫游功能。
[Device–GigabitEthernet3/1/2] ip subscriber roaming enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet3/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet3/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet3/1/2] quit
# 用户在区域A认证通过之后,查看IPoE用户在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/1 3.3.3.2 000c-29a6-b656 D/- Online
- -/- -
- 000c29a6b656
# 然后当用户漫游到区域B时,再次查看IPoE用户在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
IPv6 PD Prefix Username
GE3/1/2 3.3.3.2 000c-29a6-b656 D/- Online
- -/- -
- 000c29a6b656
以上信息标明,用户上线接入接口已从GigabitEthernet3/1/1切换为GigabitEthernet3/1/2,即用户已从区域A漫游到区域B。
网络连接正常且接口上的IPoE配置正确的情况下,某些DHCP客户端无法正常进行认证。
· 当DHCP客户端发送的报文里携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16和Option 17)时,若该Option内容对应的ISP域在接入设备上不存在,则无法进行认证。
· 当接口上指定了IPoE用户认证时使用的ISP域,且DHCP客户端发送的报文里未携带指定的Option时,若接口上指定的ISP域在接入设备上不存在,则无法进行认证。
通过调试信息或抓包工具查看DHCP客户端报文中是否携带Client-ID Option:
(1) 若报文中携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16和Option 17),则查看其内容,并在接入设备上配置与之同名的ISP域。
(2) 若报文中未携带指定的Option,则查看接口上是否指定了ISP域。若指定了ISP域,则在接入设备上配置与之同名的ISP域。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
