- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-IPoE配置
本章节下载: 05-IPoE配置 (693.64 KB)
目 录
1.5.3 配置动态IPoE个人接入用户的认证用户名的命名规则
1.6.4 配置静态IPoE个人接入用户的认证用户名的命名规则
1.11 配置IPoE接入用户的NAS-PORT-ID属性封装
1.13.3 IPv6 ND RS报文触发IPoE接入配置举例
BRAS(Broadband Remote Access Server,宽带远程接入服务器)系统具有灵活的接入方式、有效的地址管理功能、强大的用户管理功能,并能提供丰富灵活的业务及控制功能,用于实现宽带城域网解决方案。BRAS接入设备可以作为各类接入用户的认证、计费网关,以及用户的业务控制网关。目前的BRAS接入设备主要提供PPPoX和IPoX两种接入服务。其中,PPPoX接入是指用户通过PPP拨号接入,IPoX接入是指通过DHCP报文触发或者IP报文触发等方式接入。IPoE(IP over Ethernet)为IPoX中的一种常见的接入方式。
在IPoE接入方式中,用户从以太网链路接入,用户的IP报文经过以太网封装后到达BRAS接入设备,由BRAS接入设备对用户进行基于接入位置信息或报文特征的身份认证,用户身份认证通过后由AAA服务器授权相应的访问权限。对于IPv4/IPv6接入用户,若用户采用DHCP方式动态获取IP地址,则从DHCP服务器得到分配的IP地址;对于IPv6接入用户,若用户采用无状态自动配置方式获取IP地址,则根据从接入设备获取的IPv6地址前缀生成IPv6地址。用户无需安装客户端软件,无需拨号,认证成功后可以直接访问外网。
IPoE的典型组网方式如下图所示,它由五个基本要素组成:用户主机、BRAS接入设备、AAA服务器、安全策略服务器和DHCP服务器。
图1-1 IPoE系统组成示意图
泛指所有通过局域网或广域网接入宽带接入设备的客户终端。
交换机、路由器等三层宽带接入设备的统称(下文简称为接入设备),主要有三方面的作用:
· 在认证之前,阻止用户访问互联网资源。
· 在认证过程中,与AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的互联网资源。
与接入设备进行交互,完成对用户的认证、授权和计费。目前仅RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器支持对IPoE用户进行认证、授权和计费。
与接入设备进行交互,完成对用户的安全检测,并对用户进行安全授权操作。
与用户主机、接入设备进行交互,完成对用户主机IP地址的管理和分配。
IPoE的接入模式分为二层和三层两种模式,对应的用户分别通过二层网络或三层网络接入。
· 二层接入:用户直接连接接入设备,或通过二层网络设备连接接入设备。接入设备需要识别用户的MAC地址。
· 三层接入:用户流量通过三层网络路由到接入设备,用户可直接连接接入设备或通过三层转发设备连接接入设备。接入设备不关心用户的MAC地址。
需要注意的是,通过三层转发设备接入时,用户报文信息中的源MAC地址为三层网络设备的MAC地址,并非用户的MAC地址,因此该方式下用户的MAC地址不能作为用户的身份标识。
IPoE支持通过IP报文、RS报文和DHCP报文三种触发方式上线。根据用户是否拥有独立的业务属性,IPoE用户可分为个人接入用户、专线接入用户两种类型。
个人接入用户拥有独立的业务属性,接入设备根据用户的位置信息和报文特征对其进行独立的认证、授权和计费。
根据触发上线方式的不同,可以将个人接入用户分为以下两种类型。
· 动态个人接入用户
动态个人接入用户通过IP报文、RS报文或DHCP报文触发上线,且由报文动态触发认证并根据认证结果建立IPoE会话。根据触发上线的方式不同可将动态个人接入用户分为未知源IP接入用户、IPv6 ND RS接入用户和DHCP接入用户。对于DHCP接入用户,还需要与DHCP服务器交互获取IP地址;对于IPv6 ND RS接入用户,还需要与接入设备进行交互获取IPv6地址。
· 静态个人接入用户
静态个人接入用户通过IP报文触发上线,需要用户报文与手工配置的IPoE会话匹配后才能触发认证。
专线是指将接入设备上的某个接口或接口上的某些系统资源整体出租给一组用户。一条专线下可以接入多个用户,在认证流程中表现为一个用户,也称为专线接入用户。专线接入用户通过IP报文触发上线。接口上收到IP报文后,以命令行配置的专线接入用户的用户名和密码统一进行认证,通过认证后专线用户才可上线。
根据对专线资源的占用情况,可以分为以下两种类型。
· 接口专线用户:一个接口上接入的所有IP用户,该接口上接入的所有用户统一进行认证、授权和计费。
· 子网专线用户:一个接口上接入的指定子网内的所有IP用户,与接口专线用户类似,该接口上接入的所有指定子网的用户统一进行认证、授权和计费。
一个IPoE会话表示了一个或一组IPoE客户端的所有网络连接,可由客户端的IP报文特征或接入位置信息来标识,用于记录IPoE客户端的身份信息、认证状态、授权属性和DHCP地址分配信息等内容。
根据IPoE会话的触发方式,可以将IPoE会话分为动态IPoE会话和静态IPoE会话两种类型。
由动态个人接入用户触发建立的IPoE会话称为动态IPoE会话。
每个动态IPoE会话都有自己的生存周期,动态IPoE会话将在以下几种情况下被删除:
· AAA服务器授权的在线时长到期。
· AAA服务器强制用户下线。
· 在AAA服务器授权的闲置切断时长内,该会话的用户流量小于授权的流量阈值。
· 接入设备对该会话的在线用户进行探测,探测失败的次数达到最大值。
· 对于DHCP报文触发建立的IPoE会话,DHCP服务器分配的租约时长到期。
· 重启IPoE会话。
· 用户接入接口Down。
由用户的配置触发建立的IPoE会话称为静态IPoE会话,包括以下三种类型:
· 个人静态IPoE会话:仅代表一个指定IP地址的IPoE客户端的所有网络连接,通常用于为IP地址已知的客户端单独提供稳定的接入服务。
· 接口专线IPoE会话:代表一个接口上所有IPoE客户端的网络连接。
· 子网专线IPoE会话:代表一个接口上指定子网内的所有IPoE客户端的网络连接。
在接入接口上开启了IPoE功能、且接口状态up的情况下,接入设备会根据配置建立静态IPoE会话,在有IP流量通过时接入设备会尝试以配置的用户名和密码发起认证。静态IPoE会话不会因为用户认证失败而被删除。只能通过命令行的方式删除。
对于通过DHCP报文触发认证的用户,在认证成功之后由DHCP模块为其分配AAA授权的地址池中的地址。若AAA未授权,则使用用户所属认证域中配置的授权地址池;若认证域中未配置授权地址池,则在接口上配置了IP地址的情况下,由DHCP模块分配与接口IP地址同一网段的IP地址给用户。
对于通过RS报文触发认证的用户,在认证成功之后由IPoE为其分配AAA授权的IPv6地址前缀,用户通过获取的前缀生成IPv6地址。若AAA未授权,则选用接口上配置的第一个符合前缀长度为64的IPv6地址前缀。
其它类型的用户,可以通过静态配置或通过DHCP动态分配获得IP地址,但其IP地址的获取与IPoE认证无关。
IPoE用户的接入流程主要包括以下几个步骤:
(1) 用户识别与发起认证请求
· 对于动态IPoE会话的用户,当发出的连接请求报文到达接入设备后,接入设备从中获取用户的物理位置等信息生成用户名和密码,向AAA服务器发起认证请求。
· 对于静态IPoE会话的用户,当用户的首报文通过接入设备时,接入设备以配置的认证信息向AAA服务器发起认证请求。
(2) 身份认证
接入设备根据该用户关联的认证域的配置向AAA服务器发起认证请求,并完成认证授权操作,若配置有安全策略服务器,则由安全策略服务器进行安全授权操作。
(3) 地址分配与管理(可选)
对于DHCP接入用户,身份认证通过后,接入设备通知DHCP模块负责为接入用户分配IP地址;对于IPv6 ND RS接入用户,身份认证通过后,IPoE负责为接入用户分配前缀,用户通过此前缀生成IPv6地址;若用户已经获取到IP地址,则无此步骤直接进入步骤(4)。
(4) 接入控制
IP地址分配成功后,接入设备通知用户上线,并根据授权结果对用户进行接入控制,计费等。
下面将详细介绍几种典型的IPoE用户接入流程。
当用户通过DHCP方式动态获取IP地址时,IPoE截获用户的DHCP报文,首先对用户进行身份认证,如果认证通过则可以允许继续申请动态IP地址,否则终止IPoE接入过程。这里以DHCP中继组网环境中的IPv4 DHCP用户的IPoE接入为例,具体流程如图1-2所示。
图1-2 IPv4 DHCP用户接入流程图
IPv4 DHCP报文触发的IPoE接入过程如下:
(2) DHCP客户端发送DHCP-DISCOVER报文;
(3) 接入设备在DHCP-DISCOVER报文中插入Option82选项,然后把报文交由DHCP中继设备处理;
(4) DHCP中继设备根据DHCP-DISCOVER报文创建一个IPoE会话,并向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如DHCP报文中的Client ID选项、用户报文的源MAC地址;
(5) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(6) DHCP中继获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败;
(7) 如果用户认证通过,DHCP中继将DHCP-DISCOVER报文转发给DHCP服务器。如果认证失败,DHCP中继将丢弃DHCP-DISCOVER报文;
(8) DHCP服务器回应DHCP-OFFER报文。之后,DHCP中继把DHCP-OFFER报文转发给DHCP客户端;
(9) DHCP客户端根据DHCP-OFFER报文选择一个DHCP服务器,发送DHCP-REQUEST报文。之后,DHCP中继把DHCP-REQUEST报文转发给DHCP服务器;
(10) DHCP服务器回应DHCP-ACK报文;
(11) DHCP中继从DHCP-ACK报文中解析出用户的IP地址和其它地址参数信息,更新IPoE会话,并下发User Profile策略,然后将IPoE会话的状态置为在线;
(12) DHCP中继把DHCP-ACK报文转发给DHCP客户端。DHCP客户端根据收到的DHCP-ACK报文获得IP地址以及相关地址参数信息;
(13) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
当用户通过IPv6 ND RS方式动态获取IPv6地址时,IPoE截获用户的IPv6 ND RS报文,首先对用户进行身份认证,如果认证通过则发送IPv6 RA报文给用户,否则终止IPoE接入过程。这里以二层接入组网环境中的IPv6用户的IPoE接入为例,具体流程如图1-3所示。
图1-3 IPv6 ND RS用户接入流程图
IPv6 ND RS报文触发的IPoE接入过程如下:
(1) 用户主机发送IPv6 ND RS报文;
(2) 接入设备根据IPv6 ND RS报文创建一个IPoE会话;
(3) 接入设备向AAA服务器发送认证请求,认证请求消息中的用户名包含了用户信息,如源MAC地址等;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) 接入设备获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败。如果用户认证通过,则根据用户MAC地址和获取到的前缀信息生成用户IPv6地址,更新IPoE会话信息。如果认证失败,接入设备则丢弃收到的IPv6 ND RS报文;
(6) 接入设备发送携带前缀信息的IPv6 ND RA报文给用户主机。用户主机根据IPv6 ND RA报文中携带的前缀信息生成IPv6地址;
(7) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
对于已经通过DHCP、ND RS报文或手工静态配置的方式获取到IP地址的用户,当前接入设备上不存在对应的IPoE会话时,该用户的IP报文会直接触发IPoE认证,具体过程如图1-4所示。
图1-4 未知源IP接入用户触发IPoE接入过程
用户IP报文触发IPoE接入的步骤如下:
(1) 用户主机发送IP报文。
(2) 接入设备收到IP报文后,根据已有的IPoE会话检查该用户是否是新接入的用户。如果用户报文中的用户信息未匹配到相应的IPoE会话,则认为该用户是新用户,并为其创建IPoE会话,记录用户信息;对于匹配上IPoE会话且会话状态为已通过认证的用户报文,直接转发;对于匹配上IPoE会话且会话状态不为已通过认证的所有用户报文,均丢弃。
(3) 接入设备根据获取的用户信息向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如源IP地址或源MAC地址;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) 接入设备收到认证结果。如果用户认证通过,则根据授权信息下发业务策略,将IPoE会话状态置为在线。
(6) 接入设备向AAA服务器发送计费开始报文,开始对该用户进行计费。
接口专线用户的IPoE会话通过配置信息创建,当接口上有IP报文通过时,将使用配置信息触发认证。触发的认证流程与未知源IP接入方式中的认证流程相同,这里不再赘述。认证流程完成后,后续对应的用户报文到达设备对应接口后,即可直接转发。
子网专线用户的IPoE会话通过配置信息创建,当接口上有指定子网的用户报文通过时,将使用配置信息触发认证,认证流程与未知源IP接入方式中的认证流程相同。认证流程完成后,后续该子网的用户报文到达设备后,接口直接将其转发。
静态个人用户的IPoE会话通过配置信息创建,当接口上有指定的IP报文通过时,将使用配置信息触发认证,认证流程与未知源IP接入方式中的认证流程相同。认证流程完成后,后续对应的用户报文到达设备后,接口直接将其转发。
实际组网应用中,接入用户可以属于不同的VPN,且各VPN之间的业务相互隔离。IPoE通过支持MPLS L3VPN,可实现位于不同VPN中的用户都能通过IPoE方式接入到网络中。用户通过AAA授权后,接入设备可以将不同用户划分到不同授权VPN中,实现服务器指定用户的VPN归属。
在接口绑定VPN的情况下,为保证已经在线的用户流量可以在授权的VPN中正常转发,需要手工清除已有的IPoE会话。
开启IPoE功能并指定用户的接入模式后,可根据实际组网需求配置多种类型的IPoE接入用户。
表1-1 IPoE配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
开启IPoE功能并指定用户的接入模式 |
必选 |
|
|
配置动态IPoE个人接入用户 |
同一接口上,IPoE个人接入用户、IPoE接口专线用户和IPoE子网专线用户不能共存,只能选其一;动态IPoE个人接入用户、静态IPoE个人用户可以共存 |
|
|
配置静态IPoE个人接入用户 |
||
|
配置IPoE专线用户 |
||
|
配置报文业务识别方式以及与认证域的映射关系 |
可选 |
|
|
配置IPoE接入用户的静默时间 |
可选 |
|
|
配置接口的IPoE接入端口类型 |
可选 |
|
|
配置IPoE接入用户的NAS-PORT-ID属性封装 |
可选 |
IPoE提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠IPoE不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法或本地认证方法,以配合IPoE完成用户的身份认证。IPoE的配置前提如下:
· 若配置的是DHCP触发方式,需要安装并配置好DHCP服务器。如果是DHCP中继组网,接入设备还需启动DHCP中继功能。
· 如果通过远端RADIUS服务器进行身份认证,则首先保证RADIUS服务器已安装并配置成功,其次需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。如果需要通过远端的安全策略服务器进行安全检测和授权,则需要在H3C IMC安全策略服务器上配置相应的安全策略,并在接入设备上指定安全策略服务器的IP地址。RADIUS客户端以及安全策略服务器的具体配置请参见“安全配置指导”中的“AAA”。
· 如果通过本地设备进行身份认证,则需要在接入设备上配置相关的本地用户及其属性。本地用户的具体配置请参见“安全配置指导”中的“AAA”。
· 用户、接入设备和各服务器之间路由可达。
只有在接口上开启了IPoE功能后,其它的IPoE相关配置才能生效。
表1-2 开启IPv4 IPoE功能并指定用户的接入模式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
开启IPv4 IPoE功能,并指定用户接入模式 |
ip subscriber { l2-connected | routed } enable |
缺省情况下,接口上的IPv4 IPoE功能处于关闭状态 不允许直接修改IPoE的接入模式,必须关闭IPoE功能之后,重新开启IPoE功能时指定新的接入模式 |
表1-3 开启IPv6 IPoE功能并指定用户的接入模式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
开启IPv6 IPoE功能,并指定用户接入模式 |
ipv6 subscriber { l2-connected | routed } enable |
缺省情况下,接口上的IPv6 IPoE功能处于关闭状态 不允许直接修改IPoE的接入模式,必须关闭IPoE功能之后,重新开启IPoE功能时指定新的接入模式 |
表1-4 动态IPoE个人接入用户配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置动态IPoE会话的触发方式 |
必选 |
|
|
配置动态IPoE个人接入用户的认证用户名 |
必选 |
|
|
配置动态IPoE个人接入用户的认证密码 |
必选 |
|
|
指定动态IPoE个人接入用户使用的认证域 |
可选 |
|
|
配置动态IPoE会话的最大数 |
可选 |
|
|
配置动态IPoE个人接入用户在线探测功能 |
可选 |
|
|
配置动态IPoE DHCP接入用户信任的Option |
可选 |
接口上开启了IPoE功能后,默认丢弃接收到的用户报文,需要配置IPoE用户触发方式,使指定的用户报文得以处理,后续能够正常使用网络服务。
· 接口上可同时配置多种触发方式。
· 配置未知源IP触发方式后,IPoE会处理接口上收到的普通IP报文,保存用户信息生成IPoE会话,并进行认证、授权和计费。
· 配置DHCP触发方式后,IPoE会处理接口上收到的DHCP Discover报文、DHCP Solicit或直接申请地址的DHCP Request报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的DHCP报文交互更新用户信息。
· 配置IPv6 ND RS触发方式后,IPoE会处理接口上收到的IPv6 ND RS报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的IPv6 ND报文交互更新用户信息。
需要注意的是:
· 开启IPv6 ND RS报文触发方式,需先确认接入设备可发送IPv6 ND RA报文。若接入设备可以发送IPv6 ND RA报文,则建议IPv6 ND RA报文发送间隔不小于6分钟。
· IPv6 ND RS报文触发IPv6 IPoE会话功能仅在二层接入模式下生效。
· Windows系统的PC可能生成两类IPv6地址,一类是随机生成,另外一类通过EUI-64方式生成。若用户使用随机生成的IPv6地址接入,会触发IPv6未知源IP报文方式的认证;若用户使用EUI-64方式生成的IPv6地址接入,用户报文可直接触发IPv6 ND RS方式的认证。因此,若要保证用户使用任何一种IPv6地址都可接入,建议在接口上同时开启IPv6未知源IP报文触发方式和IPv6 ND RS触发方式。
表1-5 配置动态IPv4 IPoE会话的触发方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置动态IPv4 IPoE会话的触发方式 |
ip subscriber initiator { dhcp | unclassified-ip } enable |
缺省情况下,DHCPv4报文以及未知源IP报文触发生成IPoE会话功能均处于关闭状态 |
表1-6 配置动态IPv6 IPoE会话的触发方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置动态IPv6 IPoE会话的触发方式 |
ipv6 subscriber initiator { dhcp | ndrs | unclassified-ip } enable |
缺省情况下,DHCPv6报文、ND RS报文以及IPv6未知源IP报文触发生成IPoE会话功能均处于关闭状态 |
通过该配置可以指定动态IPoE个人接入用户认证使用的用户名的命名规则,并且根据该命名规则获取的用户名必须与认证服务器配置的用户名保持一致,用户才可以认证通过。
表1-7 配置动态IPv4 IPoE个人接入用户的认证用户名
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4 IPoE接入用户的认证用户名 |
ip subscriber dhcp username include { circuit-id [ separator separator ] | client-id [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ separator separator ] | separator vendor-specific [ separator separator ] | vlan [ separator separator ] } * |
缺省情况下,DHCPv4接入用户使用报文源MAC地址作为认证用户名;未知源IP接入用户使用报文源IP地址作为认证用户名 |
|
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address- separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
表1-8 配置动态IPv6 IPoE个人接入用户的认证用户名
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6 IPoE接入用户的认证用户名 |
ipv6 subscriber dhcp username include { circuit-id [ separator separator ] | client-id [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator] | slot [ separator separator] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ separator separator ] | vendor-specific [ separator separator ] | vlan [ separator separator ] } * |
缺省情况下, DHCPv6、IPv6 ND RS接入用户使用报文源MAC地址作为认证用户名;未知源IP接入用户使用报文源IP地址作为认证用户名 |
|
ipv6 subscriber ndrs username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
||
|
ipv6 subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
通过该配置指定IPoE接入用户进行认证时使用的密码,该密码必须与认证服务器配置的密码保持一致,用户才可以认证通过。
DHCP个人接入用户进行认证时选择使用密码的顺序为,报文中携带的Option(DHCPv4为Option 60,DHCPv6为Option 16)内容字符串-->接口上指定的IPoE接入用户使用的认证密码-->系统缺省的认证密码。
表1-9 配置动态IPv4 IPoE个人接入用户的认证密码
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4 IPoE个人接入用户的认证密码 |
ip subscriber password { ciphertext | plaintext } string |
缺省情况下,IPv4 IPoE个人接入用户的认证密码为字符串vlan |
|
(可选)配置IPv4 DHCP个人接入用户使用Option 60字段的内容作为认证密码 |
ip subscriber dhcp password option60 [ offset offset ] [ length length ] |
缺省情况下,IPv4 DHCP个人接入用户未使用Option 60字段的内容作为认证密码 若要使用报文中携带的Option 60内容作为认证密码,还必须配置信任DHCPv4报文中的Option 60字段 |
表1-10 配置动态IPv6 IPoE个人接入用户的认证密码
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6 IPoE个人接入用户的认证密码 |
ipv6 subscriber password { ciphertext | plaintext } string |
缺省情况下,IPv6 IPoE个人接入用户的认证密码为字符串vlan |
|
(可选)配置IPv6 DHCP个人接入用户使用Option 16字段的内容作为认证密码 |
ipv6 subscriber dhcp password option16 [ offset offset ] [ length length ] |
缺省情况下,IPv6 DHCP个人接入用户未使用Option 16字段的内容作为认证密码 若要使用报文中携带的Option 16内容作为认证密码,还必须配置信任DHCPv6报文中的Option 16字段 |
从指定接口上接入的动态IPoE个人接入用户将按照如下先后顺序选择认证域:
· 对于DHCP接入用户:报文中携带的Option(DHCPv4为Option 60,DHCPv6为Option 16)内容字符串-->接口上指定的IPoE接入用户使用的认证域-->系统缺省的认证域。
· 对于ND RS接入用户:接口上指定的IPoE接入用户使用的认证域-->系统缺省的认证域。
· 对于未知源IP接入用户:与报文指定业务特征相映射的认证域-->接口上指定的IPoE接入用户使用的认证域-->系统缺省的认证域。
如果需要使用Option 60/Option 16中的信息作为DHCP个人接入用户的认证域,则需要配置接入设备信任DHCPv4 Option 60/DHCPv6 Option 16中的信息,具体配置请参见“1.5.8 配置动态IPoE个人接入用户的信任Option”。
为使得用户认证成功,必须保证按照如上优先顺序选择出的认证域在接入设备上存在且配置完整。其中,关于报文业务识别方式映射的认证域的具体配置,请参见“1.8 配置报文业务识别方式以及与认证域的映射关系”;关于缺省认证域的相关介绍及具体配置请参见“安全配置指导”中的“AAA”。
表1-11 配置动态IPv4 IPoE个人接入用户使用的认证域
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4 IPoE接入用户使用的认证域 |
ip subscriber { dhcp | unclassified-ip } domain domain-name |
缺省情况下,IPv4未知源IP接入用户和IPv4 DHCP接入用户的认证域为缺省认证域 |
表1-12 配置动态IPv6 IPoE个人接入用户使用的认证域
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6 IPoE接入用户使用的认证域 |
ipv6 subscriber { dhcp | ndrs | unclassified-ip } domain domain-name |
缺省情况下,IPv6未知源IP接入用户、IPv6 ND RS接入用户和IPv6 DHCP接入用户的认证域为缺省认证域 |
通过配置动态IPoE会话的最大数目可以控制系统中的动态IPoE个人接入用户总数,包括动态IPv4 IPoE个人接入用户和动态IPv6 IPoE个人接入用户。
需要注意的是:
· 如果接口上配置的IPoE最大会话数目小于当前处于在线状态的动态IPoE会话数目,则该配置可以执行成功,且在线IPoE用户不受影响,但系统将不允许新的IPoE用户接入。
· 建议保证所有开启IPoE的接口上配置的最大会话数目之和,不要超过整机IPoE的最大会话数目(整机IPoE的最大会话数目由设备的缺省规格或授权的License规格决定),否则会有部分IPoE用户因为整机最大用户数已达到而无法上线。
· 如果安装的License规格小于系统当前处于在线状态的动态IPoE会话数目,则该License可以安装成功,且在线IPoE用户不受影响,但系统将不允许新的IPoE用户接入。
表1-13 配置动态IPv4 IPoE会话的最大数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置动态IPv4 IPoE会话的最大数目 |
ip subscriber { dhcp | unclassified-ip } max-session max-number |
缺省情况下,未配置接口上允许创建的动态IPv4 IPoE会话的最大数目 |
表1-14 配置动态IPv6 IPoE会话的最大数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置动态IPv6 IPoE会话的最大数目 |
ipv6 subscriber { dhcp | ndrs | unclassified-ip } max-session max-number |
缺省情况下,未配置接口上允许创建的I动态Pv6 IPoE会话的最大数目 |
接口上开启了动态IPoE个人接入用户在线探测功能后,设备在用户上线之后,会定时统计该用户的流量。若在一个探测间隔(interval)内发现用户流量无变化,则该探测间隔结束后,将向用户发送一次探测报文。如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
· 若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户的报文),则认为此用户不在线,停止发送探测报文并删除用户。
· 若设备在探测过程中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
设备支持的IPv4探测报文为ARP请求报文和ICMP请求报文,支持的IPv6探测报文为ND协议中的NS报文和ICMPv6请求报文。
表1-15 配置动态IPv4 IPoE个人接入用户在线探测功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
开启动态IPv4 IPoE个人接入用户在线探测功能 |
ip subscriber user-detect { arp | icmp } retry retries interval interval |
缺省情况下,动态IPv4 IPoE个人接入用户在线探测功能处于关闭状态 |
表1-16 配置动态IPv6 IPoE个人接入用户在线探测功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
开启动态IPv6 IPoE个人接入用户在线探测功能 |
ipv6 subscriber user-detect { icmpv6 | nd } retry retries interval interval |
缺省情况下,动态IPv6 IPoE个人接入用户在线探测功能处于关闭状态 |
在DHCP中继组网环境中,接入设备可以从用户的DHCP报文中提取出相应的DHCP Option,这些Option中携带了用户接入线路的相关信息,例如接入节点的物理位置、线路速率等。如果接入设备信任DHCP报文中的这些Option,则会使用这些Option中的相关子选项内容来封装发往RADIUS服务器的RADIUS属性,远程RADIUS服务器可结合这些属性对用户进行更为灵活的接入管理。
信任的Option和对应的RADIUS属性对应关系为:
· 若信任DHCPv4 Option 82,则其中的Circuit-ID子选项可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv4 Option 82,则其中的Remote-ID子选项可用来封装DSL_AGENT_REMOTE_ID属性。
· 若信任DHCPv6 Option 18,则Option 18可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv6 Option 37,则Option 37可用来封装DSL_AGENT_REMOTE_ID属性。
在DHCP组网环境中,如果接入设备信任DHCPv4 Option 60/DHCPv6 Option 16中的信息,则IPoE用户使用Option 60/Option 16中的信息作为指定的认证域进行认证。
表1-17 配置动态IPoE DHCPv4个人接入用户的信任Option
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置信任DHCPv4报文中的指定Option |
ip subscriber trust { option60 | option82 } |
缺省情况下,不信任DHCPv4报文中的任何Option |
表1-18 配置动态IPoE DHCPv6个人接入用户的信任Option
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置信任DHCPv6报文中的指定Option |
ipv6 subscriber trust { option16 | option18 | option37 } |
缺省情况下,不信任DHCPv6报文中的任何Option |
配置静态IPoE个人接入用户后,当接口上有与手工配置的静态IPoE会话相匹配的IP报文通过时,将触发认证过程。认证成功后,设备对静态IPoE个人接入用户下发用户策略,允许该用户报文通过接口并对该用户的流量进行计费。
表1-19 配置静态IPoE个人接入用户配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置静态IPoE会话触发方式 |
必须 |
|
|
配置静态IPoE会话 |
必选 |
|
|
配置静态IPoE个人接入用户的认证用户名 |
必选 |
|
|
配置静态IPoE个人接入用户的认证密码 |
必选 |
|
|
配置静态IPoE个人接入用户使用的认证域 |
可选 |
|
|
配置静态IPoE个人接入用户在线探测功能 |
可选 |
配置静态IPoE会话时,必须开启未知源IP报文触发生成IPoE会话的功能,才能使报文来触发静态IPoE会话发起认证。
表1-20 配置静态IPv4 IPoE会话的触发方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置静态IPv4 IPoE会话的触发方式 |
ip subscriber initiator unclassified-ip enable |
缺省情况下,未知源IP报文触发生成IPoE会话功能处于关闭状态 |
表1-21 配置静态IPv6 IPoE会话的触发方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置静态IPv6 IPoE会话的触发方式 |
ipv6 subscriber initiator unclassified-ip enable |
缺省情况下,IPv6未知源IP报文触发生成IPv6 IPoE会话功能处于关闭状态 |
管理员手工输入静态IPoE会话所需的信息(用户IP地址、MAC地址、用户报文的内/外层VLAN)后,接入设备根据这些信息生成对应的静态IPoE会话。
表1-22 配置静态IPv4 IPoE会话
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置静态IPv4 IPoE会话 |
ip subscriber session static ip ip-address [ mac mac-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ domain domain-name ] |
缺省情况下,未配置静态IPv4 IPoE会话 本命令中的vlan和second-vlan参数仅子接口支持,非子接口不支持 |
表1-23 配置静态IPv6 IPoE会话
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置静态IPv6 IPoE会话 |
ipv6 subscriber session static ipv6 ipv6-address [ mac mac-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ domain domain-name ] |
缺省情况下,未配置静态IPv6 IPoE会话 本命令中的vlan和second-vlan参数仅子接口支持,非子接口不支持 |
通过该配置可以指定静态IPoE个人接入用户认证使用的用户名的命名规则,并且根据该命名规则获取的用户名必须与认证服务器配置的用户名保持一致,用户才可以认证通过。
表1-24 配置静态IPv4 IPoE个人接入用户的认证用户名
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4未知源IP接入用户的认证用户名 |
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address- separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
缺省情况下,IPv4未知源IP接入用户采用用户报文的源IPv4地址作为认证用户名 |
表1-25 配置静态IPv6 IPoE个人接入用户的认证用户名
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6未知源IP接入用户的认证用户名 |
ipv6 subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } * |
缺省情况下,IPv6未知源IP接入用户采用用户报文的源IPv6地址作为认证用户名 |
静态IPoE个人接入用户使用接口上配置的IPoE个人接入用户的认证密码进行认证。通过该配置指定的密码必须与认证服务器配置的密码保持一致,用户才可以认证通过。
表1-26 配置静态IPv4 IPoE个人接入用户的认证密码
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4 IPoE个人接入用户的认证密码 |
ip subscriber password { ciphertext | plaintext } string |
缺省情况下,IPv4 IPoE个人接入用户的认证密码为字符串vlan |
表1-27 配置静态IPv6 IPoE个人接入用户的认证密码
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6 IPoE个人接入用户的认证密码 |
ipv6 subscriber password { ciphertext | plaintext } string |
缺省情况下,IPv6 IPoE个人接入用户认证密码为字符串vlan |
静态IPoE个人接入用户将按照接口上的配置选择认证域,认证域优先级顺序从高到低依次为:静态IPoE会话中指定的认证域 > 报文业务识别方式映射的认证域 > 未知源IP用户使用的认证域 >缺省认证域。
为使得用户认证成功,必须保证按照如上优先顺序选择出的认证域在接入设备上存在且配置完整。其中,关于报文业务识别方式映射的认证域的具体配置,请参见 “1.8 配置报文业务识别方式以及与认证域的映射关系”;关于缺省认证域的相关介绍及具体配置请参见“安全配置指导”中的“AAA”。
表1-28 配置静态IPv4 IPoE用户使用的认证域
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4未知源IP用户使用的认证域 |
ip subscriber unclassified-ip domain domain-name |
缺省情况下,IPv4未知源IP用户的认证域为缺省认证域 |
表1-29 配置静态IPv6 IPoE用户使用的认证域
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6未知源IP用户使用的认证域 |
ipv6 subscriber unclassified-ip domain domain-name |
缺省情况下,IPv6未知源IP用户的认证域为缺省认证域 |
接口上开启了静态IPoE个人接入用户在线探测功能后,设备在用户上线之后,会定时统计该用户的流量。若在一个探测间隔(interval)内发现用户流量无变化,则该探测间隔结束后,将向用户发送一次探测报文。如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
· 若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户的报文),则认为此用户不在线,停止发送探测报文并删除用户。
· 若设备在探测过程中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
设备支持的IPv4探测报文为ARP请求报文和ICMP请求报文,支持的IPv6探测报文为ND协议中的NS报文和ICMPv6请求报文。
表1-30 配置静态IPv4 IPoE个人接入用户在线探测功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
开启静态IPv4 IPoE个人接入用户在线探测功能 |
ip subscriber user-detect { arp | icmp } retry retries interval interval |
缺省情况下,静态IPv4 IPoE个人接入用户在线探测功能处于关闭状态 |
表1-31 配置静态IPv6 IPoE个人接入用户在线探测功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
开启静态IPv6 IPoE个人接入用户在线探测功能 |
ipv6 subscriber user-detect { icmpv6 | nd } retry retries interval interval |
缺省情况下,静态IPv6 IPoE个人接入用户在线探测功能处于关闭状态 |
配置IPoE专线用户后,当接口上有用户流量通过时触发认证、授权过程。用户认证成功后,设备基于接口下发用户策略,允许接口下所有符合策略规则的用户流量均通过。同一接口下的所有接入的主机都属于同一IPoE会话,基于接口进行用户流量计费。
需要注意的是,IPoE专线用户不支持通过ISP域或AAA服务器授权VPN属性。有关通过ISP域授权VPN属性的相关介绍,请参见“安全配置指导”中的“AAA”。
表1-32 IPoE专线接入用户配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置IPoE接口专线用户 |
同一个接口上,二者必选其一 |
|
|
配置IPoE子网专线用户 |
||
|
配置IPoE专线接入用户的认证域 |
可选 |
一个IPoE接口专线代表了该接口接入的所有IP用户,接口专线上接入的所有用户统一认证、计费授权。
每个接口上只能配置一个IPv4接口专线用户和一个IPv6接口专线用户。
表1-33 配置IPv4 IPoE接口专线用户
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4 IPoE接口专线用户 |
ip subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ] |
缺省情况下,未配置IPv4 IPoE接口专线用户 |
表1-34 配置IPv6 IPoE接口专线用户
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6 IPoE接口专线用户 |
ipv6 subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ] |
缺省情况下,未配置IPv6 IPoE接口专线用户 |
一个IPoE接口子网专线代表了该接口上指定子网的所有IP用户,接口子网专线上接入的所有用户统一认证、计费授权。
一个接口上可以配置多个子网专线用户,但必须保证每个子网的掩码长度一致。每个子网只能配置一个子网专线用户。
表1-35 配置IPv4 IPoE子网专线用户
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4 IPoE子网专线用户 |
ip subscriber subnet-leased ip ip-address { mask | mask-length } username name password { ciphertext | plaintext } string [ domain domain-name ] |
缺省情况下,未配置IPv4 IPoE子网专线用户 |
表1-36 配置IPv6 IPoE子网专线用户
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6 IPoE子网专线用户 |
ipv6 subscriber subnet-leased ipv6 ipv6-address prefix-length username name password { ciphertext | plaintext } string [ domain domain-name ] |
缺省情况下,未配置IPv6 IPoE子网专线用户 |
IPoE专线接入用户将按照接口上的配置选择认证域,认证域优先级顺序从高到低依次为:IPoE子网/接口专线用户配置中指定的认证域 > 报文业务识别方式映射的认证域 > 未知源IP用户使用的认证域 >系统缺省的认证域。
为使得用户认证成功,必须保证按照如上优先顺序选择出的认证域在接入设备上存在且配置完整。其中,关于报文业务识别方式映射的认证域的具体配置,请参见“1.8 配置报文业务识别方式以及与认证域的映射关系”;关于缺省认证域的相关介绍及具体配置请参见“安全配置指导”中的“AAA”。
表1-37 配置IPv4 IPoE专线接入用户使用的认证域
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4未知源IP用户使用的认证域 |
ip subscriber unclassified-ip domain domain-name |
缺省情况下,IPv4未知源IP用户的认证域为缺省认证域 |
表1-38 配置IPv6 IPoE专线接入用户使用的认证域
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6未知源IP用户使用的认证域 |
ipv6 subscriber unclassified-ip domain domain-name |
缺省情况下,IPv6未知源IP用户的认证域为缺省认证域 |
不同的IP报文携带了不同的报文信息,可以通过配置业务识别方式,根据用户IP报文的内/外层VLAN ID值、内/外层VLAN携带的802.1p值、DSCP值,来决定对该用户使用不同的认证域。
表1-39 配置IPv4报文业务识别方式以及与认证域的映射关系
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4未知源IP接入用户的业务识别方式 |
ip subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan } |
缺省情况下,未配置IPv4未知源IP接入用户使用的业务识别方式,也没有配置与之相映射的认证域 如果配置了某种业务识别方式所映射的认证域,但是没有配置使用该业务识别方式,则前者不生效 ip subscriber service-identify命令中的8021p、vlan和second-vlan参数仅子接口支持,非子接口不支持 ip subscriber vlan和ip subscriber 8021p命令仅子接口支持,非子接口不支持 |
|
配置IPv4未知源IP报文内/外层VLAN值与认证域的映射关系 |
ip subscriber vlan vlan-list domain domain-name |
|
|
配置IPv4未知源IP报文内/外层VLAN tag中802.1p值与认证域的映射关系 |
ip subscriber 8021p 8021p-list domain domain-name |
|
|
配置IPv4未知源IP报文DSCP值与认证域的映射关系 |
ip subscriber dscp dscp-value-list domain domain-name |
表1-40 配置IPv6报文业务识别方式以及与认证域的映射关系
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6未知源IP接入用户的业务识别方式 |
ipv6 subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan } |
缺省情况下,未配置IPv6未知源IP接入用户使用的业务识别方式,也没有配置与之相映射的认证域 如果配置了某种业务识别方式所映射的认证域,但是没有配置使用该业务识别方式,则前者不生效 ipv6 subscriber service-identify命令中的8021p、vlan和second-vlan参数仅子接口支持,非子接口不支持 ipv6 subscriber vlan和ipv6 subscriber 8021p命令仅子接口支持,非子接口不支持 |
|
配置IPv6未知源IP报文内/外层VLAN值与认证域的映射关系 |
ipv6 subscriber vlan vlan-list domain domain-name |
|
|
配置IPv6未知源IP报文内/外层VLAN tag中802.1p值与认证域的映射关系 |
ipv6 subscriber 8021p 8021p-list domain domain-name |
|
|
配置IPv6未知源IP报文DSCP值与认证域的映射关系 |
ipv6 subscriber dscp dscp-value-list domain domain-name |
本配置用来设置IPoE用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃,可以防止该类用户报文持续发送给服务器认证而对设备性能造成影响。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
表1-41 配置动态IPv4 IPoE接入用户的静默时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4 IPoE用户的静默时间 |
ip subscriber timer quiet time |
缺省情况下, IPv4 IPoE用户的静默时间功能处于关闭状态 |
表1-42 配置IPv6 IPoE用户的静默时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6 IPoE用户的静默时间 |
ipv6 subscriber timer quiet time |
缺省情况下, IPv6 IPoE用户的静默时间功能处于关闭状态 |
配置的接入端口类型值将作为接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,用于向RADIUS服务器正确传递IPoE接入用户的接入端口信息。
表1-43 配置接口的IPv4 IPoE接入端口类型
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv4 IPoE接入端口类型 |
ip subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl } |
缺省情况下,IPv4 IPoE接入端口类型为Ethernet类型 |
表1-44 配置接口的IPv6 IPoE接入端口类型
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
配置IPv6 IPoE接入端口类型 |
ipv6 subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl } |
缺省情况下,IPv6 IPoE接入端口类型为Ethernet类型 |
IPoE用户进行认证时,需要按照运营商要求的封装格式向RADIUS服务器传递NAS-PORT-ID属性,该属性标识了用户所处的物理位置。
NAS-PORT-ID属性支持两种封装格式:
· version 1.0:发送给RADIUS服务器的NAS-PORT-ID属性以电信163大后台要求的格式填充。
· version 2.0:发送给RADIUS服务器的NAS-PORT-ID属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。
在DHCP中继组网环境中,当接入设备采用version 2.0格式封装RADIUS NAS-PORT-ID属性时,可以配置信任DHCPv4 报文中的Option82或DHCPv6报文中的Option18,并在提取出的Option82 或Option18的Circuit-ID子选项中插入NAS信息后,使用该子选项内容填充NAS-PORT-ID属性。插入的新NAS信息标识了用户在本设备上的接入位置。
表1-45 配置IPv4 IPoE接入用户的NAS-PORT-ID属性封装
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
为IPv4 IPoE接入用户配置NAS-PORT-ID属性的封装格式 |
ip subscriber nas-port-id format cn-telecom { version1.0 | version2.0 } |
缺省情况下,按version 1.0格式填充RADIUS的NAS-PORT-ID属性 |
|
(可选)配置信任DHCPv4报文中的Option 82 |
ip subscriber trust option82 |
缺省情况下,不信任DHCPv4报文中的Option 82 |
|
(可选)配置在提取出的Option 82 Circuit-ID子选项内容中插入NAS信息,并使用插入NAS信息后的内容作为NAS-PORT-ID属性 |
ip subscriber nas-port-id nasinfo-insert |
缺省情况下,如果收到的DHCPv4报文带有Option 82 Circuit-ID子选项,则直接使用该子选项内容作为NAS-PORT-ID属性内容 |
表1-46 配置IPv6 IPoE接入用户的NAS-PORT-ID属性封装
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/L3VE接口/VEth接口/VEth子接口 |
|
为IPv6 IPoE接入用户配置NAS-PORT-ID属性的封装格式 |
ipv6 subscriber nas-port-id format cn-telecom { version1.0 | version2.0 } |
缺省情况下,按version 1.0格式填充RADIUS的NAS-PORT-ID属性 |
|
(可选)配置信任DHCPv6报文中的Option 18 |
ipv6 subscriber trust option18 |
缺省情况下,不信任DHCPv6报文中的任何Option |
|
(可选)配置在提取出的Option 18内容中插入NAS信息,并使用插入NAS信息后的内容作为NAS-PORT-ID属性 |
ipv6 subscriber nas-port-id nasinfo-insert |
缺省情况下,如果收到的DHCPv6报文带有Option 18,则直接使用该选项内容作为发往RADIUS服务器的NAS-PORT-ID属性内容 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后IPoE的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IPoE统计信息。
表1-47 IPv4 IPoE显示和维护
|
操作 |
命令 |
|
显示IPv4个人IPoE会话信息(独立运行模式) |
display ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name ] [ slot slot-number ] [ verbose ] |
|
显示IPv4个人IPoE会话信息(IRF模式) |
display ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name ] [ chassis chassis-number slot slot-number ] [ verbose ] |
|
显示IPv4接口专线用户信息(独立运行模式) |
display ip subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ] |
|
显示IPv4接口专线用户信息(IRF模式) |
display ip subscriber interface-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示IPv4子网专线用户信息(独立运行模式) |
display ip subscriber subnet-leased [ interface interface-type interface-number ] [ slot slot-number ] |
|
显示IPv4子网专线用户信息(IRF模式) |
display ip subscriber subnet-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示已经上线和正在上线的IPv4 IPoE个人用户统计信息(独立运行模式) |
display ip subscriber session statistics [ session-type { dhcp | static | unclassified-ip } ] [ interface interface-type interface-number ] [ slot slot-number ] |
|
显示已经上线和正在上线的IPv4 IPoE个人用户统计信息(IRF模式) |
display ip subscriber session statistics [ session-type { dhcp | static | unclassified-ip } ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示已经上线和正在上线的IPv4 IPoE接口专线用户统计信息(独立运行模式) |
display ip subscriber interface-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
|
显示已经上线和正在上线的IPv4 IPoE接口专线用户统计信息(IRF模式) |
display ip subscriber interface-leased statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示已经上线和正在上线的IPv4 IPoE子网专线用户统计信息(独立运行模式) |
display ip subscriber subnet-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
|
显示已经上线和正在上线的IPv4 IPoE子网专线用户统计信息(IRF模式) |
display ip subscriber subnet-leased statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示IPv4 IPoE用户下线原因的统计信息 |
display ip subscriber offline statistics [ interface interface-type interface-number ] |
|
清除动态触发创建的IPv4 IPoE会话 |
reset ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | username name ] |
|
清除IPv4 IPoE用户下线原因统计信息 |
reset ip subscriber offline statistics [ interface interface-type interface-number ] |
表1-48 IPv6 IPoE显示和维护
|
操作 |
命令 |
|
显示IPv6个人IPoE会话信息(独立运行模式) |
display ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name ] [ slot slot-number ] [ verbose ] |
|
显示IPv6个人IPoE会话信息(IRF模式) |
display ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name ] [ chassis chassis-number slot slot-number ] [ verbose ] |
|
显示IPv6接口专线用户信息(独立运行模式) |
display ipv6 subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ] |
|
显示IPv6接口专线用户信息(IRF模式) |
display ipv6 subscriber interface-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示IPv6子网专线用户信息(独立运行模式) |
display ipv6 subscriber subnet-leased [ interface interface-type interface-number ] [ slot slot-number ] |
|
显示IPv6子网专线用户信息(IRF模式) |
display ipv6 subscriber subnet-leased [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示已经上线和正在上线的IPv6 IPoE个人用户统计信息(独立运行模式) |
display ipv6 subscriber session statistics [ session-type { dhcp | ndrs | static | unclassified-ip } ] [ interface interface-type interface-number ] [slot slot-number ] |
|
显示已经上线和正在上线的IPv6 IPoE个人用户统计信息(IRF模式) |
display ipv6 subscriber session statistics [ session-type { dhcp | ndrs | static | unclassified-ip } ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示已经上线和正在上线的IPv6 IPoE接口专线用户统计信息(独立运行模式) |
display ipv6 subscriber interface-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
|
显示已经上线和正在上线的IPv6 IPoE接口专线用户统计信息(IRF模式) |
display ipv6 subscriber interface-leased statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示已经上线和正在上线的IPv6 IPoE子网专线用户统计信息(独立运行模式) |
display ipv6 subscriber subnet-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
|
显示已经上线和正在上线的IPv6 IPoE子网专线用户统计信息(IRF模式) |
display ipv6 subscriber subnet-leased statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示IPv6 IPoE用户下线原因的统计信息 |
display ipv6 subscriber offline statistics [ interface interface-type interface-number ] |
|
清除动态触发创建的IPv6 IPoE会话 |
reset ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | username name ] |
|
清除IPv6 IPoE用户下线原因统计信息 |
reset ipv6 subscriber offline statistics [ interface interface-type interface-number ] |
· 用户主机通过手工配置或DHCP获得IP地址,经由三层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
图1-5 未知源IP报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址2.2.2.2,用户密码为字符串radius。
(2) 配置Device
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE
# 进入接口GigabitEthernet2/1/2视图。
[Device] interface gigabitethernet 2/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet2/1/2] ip subscriber routed enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet2/1/2] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet2/1/2] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet2/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet2/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE2/1/2 2.2.2.2 000c-29a6-b656 U Online
· DHCP Client经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用DHCP服务器分配IP地址。
· 采用RADIUS作为认证、授权和计费服务器。
图1-6 DHCP报文触发IPoE接入配置组网图
此例假设用户通过DHCP方式申请时,DHCP报文中并未携带option60选项。
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息。
000c29a6b656 Cleartext-Password :="radius"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-pool-pool1] network 3.3.3.0 24
# 将3.3.3.1设置为禁止地址。
[DHCP-server-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-pool-pool1] quit
(3) 配置Device
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置DHCP relay
# 全局开启DHCP。
[Device] dhcp enable
# 进入接口GigabitEthernet2/1/2视图。
[Device] interface gigabitethernet 2/1/2
# 配置接口工作在中继模式,并且指定中继服务器的IP地址为4.4.4.3。
[Device–GigabitEthernet2/1/2] dhcp select relay
[Device–GigabitEthernet2/1/2] dhcp relay server-address 4.4.4.3
· 配置IPoE
# 开启IPoE功能,并配置二层接入模式。
[Device–GigabitEthernet2/1/2] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet2/1/2] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet2/1/2] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet2/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet2/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3.3.3.2。
[Device] display ip subscriber session
Type: D-DHCP S-Static U-Unclassified-IP
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE2/1/2 3.3.3.2 000c-29a6-b656 D Online
· 通过IPv6 ND RS报文触发上线的用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· BRAS接入设备可以发送IPv6 ND RA报文。
· 采用RADIUS作为认证、授权和计费服务器。
图1-7 IPv6 ND RS报文触发IPoE接入配置组网图
(1) 配置RADIUS服务器
下面以Linux下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
Framed-IPv6-Prefix =10::10/64
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius,授权IPv6前缀为10::10/64。
(2) 配置Device
# 配置各接口的IP地址(略)。
# 取消对接口GigabitEthernet2/1/2发布IPv6 ND RA消息的抑制。
<Device> system-view
[Device] interface gigabitethernet 2/1/2
[Device–GigabitEthernet2/1/2] undo ipv6 nd ra halt
[Device–GigabitEthernet2/1/2] quit
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE
# 进入接口GigabitEthernet2/1/2视图。
[Device] interface gigabitethernet 2/1/2
# 开启IPoE功能,并制定二层接入模式。
[Device–GigabitEthernet2/1/2] ipv6 subscriber l2-connected enable
# 开启IPv6 ND RS报文触发方式。
[Device–GigabitEthernet2/1/2] ipv6 subscriber initiator ndrs enable
# 设置IPv6 ND RS报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet2/1/2] ipv6 subscriber ndrs domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet2/1/2] ipv6 subscriber password plaintext radius
[Device–GigabitEthernet2/1/2] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv6地址为10::20C:29FF:FEA6:B656。
[Device] display ipv6 subscriber session
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE2/1/2 10::20C:29FF:FEA6:B656 000c-29a6-b656 N Online
· 子网5.5.5.0/24、6.6.6.0/24、7.7.7.0/24的所有用户经由二层网络以IPoE方式接入到BRAS 接入设备。
· 子网专线用户认证时使用的用户名和密码分别为:5.5.5.0/24网段用户名us1、密码pw1;6.6.6.0/24网段用户名us2、密码pw2;7.7.7.0/24网段用户名us3、密码pw3。
· 采用RADIUS作为认证、授权和计费服务器。
图1-8 IPoE子网专线用户接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
us1 Cleartext-Password :="pw1"
us2 Cleartext-Password :="pw2"
us3 Cleartext-Password :="pw3"
以上信息表示:三个子网专线用户的用户名分别为us1、us2、us3,相应的用户密码分别为字符串pw1、pw2、pw3。
(2) 配置Device
# 配置各接口IP地址以及从IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet2/1/2视图。
[Device] interface gigabitethernet 2/1/2
# 开启IPoE功能,并指定二层接入模式。
[Device–GigabitEthernet2/1/2] ip subscriber l2-connected enable
# 配置三个子网专线用户。
[Device–GigabitEthernet2/1/2] ip subscriber subnet-leased ip 5.5.5.0 24 username us1 password plaintext pw1 domain dm1
[Device–GigabitEthernet2/1/2] ip subscriber subnet-leased ip 6.6.6.0 24 username us2 password plaintext pw2 domain dm1
[Device–GigabitEthernet2/1/2] ip subscriber subnet-leased ip 7.7.7.0 24 username us3 password plaintext pw3 domain dm1
[Device–GigabitEthernet2/1/2] quit
# 子网专线用户认证通过之后,各子网网段的用户流量能正常转发,可以使用以下的显示命令查看到IPoE用户在线信息。
[Device] display ip subscriber subnet-leased
Basic:
Access interface : GE2/1/2
VPN instance : N/A
Username : us1
Network : 5.5.5.0/24
User ID : 0x38020000
State : Online
Service node : Slot 1 CPU 0
Domain : dm1
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:16:37
AAA:
IP pool : N/A
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Flow statistic:
Uplink packets/bytes : 223423/28598144
Downlink packets/bytes : 5802626/742736000
Basic:
Access interface : GE2/1/2
VPN instance : N/A
Username : us2
Network : 6.6.6.0/24
User ID : 0x38020001
State : Online
Service node : Slot 1 CPU 0
Domain : dm1
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:10:37
AAA:
IP pool : N/A
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Flow statistic:
Uplink packets/bytes : 223423/28598144
Downlink packets/bytes : 5802626/742736000
Basic:
Access interface : GE2/1/2
VPN instance : N/A
Username : us3
Network : 7.7.7.0/24
User ID : 0x38020002
State : Online
Service node : Slot 1 CPU 0
Domain : dm1
Login time : May 14 20:08:35 2014
Online time (hh:mm:ss) : 00:16:03
AAA:
IP pool : N/A
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Flow statistic:
Uplink packets/bytes : 223423/28598144
Downlink packets/bytes : 5802626/742736000
· 2.2.2.0/24网段内的所有用户经由网关设备以IPoE方式接入到BRAS接入设备。
· 接口专线用户认证时使用的用户名为us1、密码为pw1。
· 采用RADIUS作为认证、授权和计费服务器。
图1-9 IPoE接口专线用户接入配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
us1 Cleartext-Password :="pw1"
以上信息表示:接口专线用户的用户名为us1,用户密码为字符串pw1。
(2) 配置Device
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet2/1/2视图。
[Device] interface gigabitethernet 2/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet2/1/2] ip subscriber routed enable
# 配置接口专线用户,认证使用的用户名为us1,认证使用的密码为明文pw1,使用的认证域为dm1。
[Device–GigabitEthernet2/1/2] ip subscriber interface-leased username us1 password plaintext pw1 domain dm1
[Device–GigabitEthernet2/1/2] quit
# 接口专线用户认证通过之后,后续经由此接口的用户流量都能正常转发,可以使用以下的显示命令查看到IPoE用户在线信息。
[Device] display ip subscriber interface-leased
Basic:
Access interface : GE2/1/2
VPN instance : N/A
Username : us1
User ID : 0x30000000
State : Online
Service node : Slot 1 CPU 0
Domain : dm1
Login time : May 14 20:04:42 2014
Online time (hh:mm:ss) : 00:16:37
AAA:
IP pool : N/A
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Flow statistic:
Uplink packets/bytes : 16734145/2141970560
Downlink packets/bytes : 22314327/2856233728
· 用户主机经由二层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
· vpn1中的用户通过DHCP获取IP地址。
图1-10 IPoE为接入用户授权地址池和VPN配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
000c29a6b656 Cleartext-Password :="radius"
Huawei-VPN-Instance :="vpn1",
Framed-Pool := " pool1"
以上信息表示:用户名为Host的MAC地址000c29a6b656,用户密码为字符串radius,授权VPN实例名称为vpn1,授权IP地址池名称为pool1。
(2) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] dhcp server ip-pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-pool-pool1] network 3.3.3.0 24
# 将3.3.3.1设置为例外地址。
[DHCP-server-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-pool-pool1] quit
# 通过配置静态路由,将目的地址为3.3.3.0网段的DHCP应答报文的下一跳指定为连接DHCP客户端网络的接口IP地址4.4.4.2。
[DHCP-server] ip route-static 3.3.3.0 24 4.4.4.2
(3) 配置Device
为保证VPN间流量正常转发,需要配置静态路由和策略路由。
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置DHCP relay
# 全局开启DHCP。
[Device] dhcp enable
[Device] interface gigabitethernet 2/1/2
# 配置接口工作在中继模式。
[Device–GigabitEthernet2/1/2] dhcp select relay
[Device–GigabitEthernet2/1/2] quit
# 创建DHCP地址池pool1,并引用VPN实例vpn1。
[Device] dhcp server ip-pool pool1
[Device-dhcp-pool-pool1] vpn-instance vpn1
# 配置为客户端分配的网关地址为3.3.3.1,且指定导出相应的路由。当本配置生效后,会向vpn1的路由表中添加一条网关地址对应的静态主机路由。
[Device-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route
# 配置远端DHCP服务器地址为4.4.4.3。
[Device-dhcp-pool-pool1] remote-server 4.4.4.3
· 配置IPoE
# 在接口GigabitEthernet2/1/2上开启IPoE功能,并指定二层接入模式。
[Device] interface gigabitethernet 2/1/2
[Device–GigabitEthernet2/1/2] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[Device–GigabitEthernet2/1/2] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet2/1/2] ip subscriber dhcp domain dm1
# 设置动态IPoE用户的认证密码为明文radius。
[Device–GigabitEthernet2/1/2] ip subscriber password plaintext radius
[Device–GigabitEthernet2/1/2] quit
· 通过配置静态路由,将vpn1内的DHCP请求方向的流量引入到DHCP服务器端
# 配置静态路由。
[Device] ip route-static vpn-instance vpn1 4.4.4.0 24 4.4.4.3 public
· 通过配置策略路由,将DHCP服务器回应的流量导入到DHCP客户端所在的VPN
# 创建一个策略to_vpn1,其节点序号为0,匹配模式permit,指定报文在vpn1内转发。
[Device] policy-based-route to_vpn1 permit node 0
[Device-pbr-to_vpn1-0] apply access-vpn vpn-instance vpn1
[Device-pbr-to_vpn1-0] quit
# 在以太接口GigabitEthernet2/1/1上应用该策略路由。
[Device] interface gigabitethernet 2/1/1
[Device–GigabitEthernet2/1/1] ip policy-based-route to_vpn1
[Device–GigabitEthernet2/1/1] quit
# 用户认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display ip subscriber session verbose
Basic:
Username : 000c29a6b656
Domain : dm1
VPN instance : vpn1
IP address : 3.3.3.2
MAC address : 000c-29a6-b656
Service-VLAN/Customer-VLAN : -/-
Access interface : GE2/1/2
User ID : 0x380800b5
VPI/VCI(for ATM) : -/-
DHCP lease : 86400 sec
DHCP remain lease : 18400 sec
Login time : May 9 08:56:29 2014
Online time (hh:mm:ss) : 00:16:37
Service node : Slot 1 CPU 0
Type : DHCP
State : Online
AAA:
IP pool : pool1
Session idle time : N/A
Session duration : N/A, remaining: N/A
Remaining traffic : N/A
Max multicast addresses : 4
Multicast address list : N/A
QoS:
User profile : N/A
Session group profile : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Flow statistic:
Uplink packets/bytes : 594341/76075648
Downlink packets/bytes : 0/0
· 用户主机经由三层网络以IPoE方式接入到BRAS接入设备。
· 采用RADIUS作为认证、授权和计费服务器。
图1-11 IPoE用户在线探测配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
2.2.2.3 Cleartext-Password :="radius"
2.2.2.4 Cleartext-Password :="radius"
以上信息表示:三个用户的用户名分别为Host的IP地址2.2.2.2、2.2.2.3、2.2.2.4,用户密码均为字符串radius。
(2) 配置Device
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.1
[Device-radius-rs1] primary accounting 4.4.4.1
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication ipoe radius-scheme rs1
[Device-isp-dm1] authorization ipoe radius-scheme rs1
[Device-isp-dm1] accounting ipoe radius-scheme rs1
[Device-isp-dm1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet2/1/2视图。
[Device] interface gigabitethernet 2/1/2
# 开启IPoE功能,并指定三层接入模式。
[Device–GigabitEthernet2/1/2] ip subscriber routed enable
# 开启未知源IP报文触发方式。
[Device–GigabitEthernet2/1/2] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Device–GigabitEthernet2/1/2] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Device–GigabitEthernet2/1/2] ip subscriber password plaintext radius
# 开启在线用户探测功能,并指定ICMP探测方式,重复尝试次数为2,探测间隔为30秒。
[Device–GigabitEthernet2/1/2] ip subscriber user-detect icmp retry 2 interval 30
[Device–GigabitEthernet2/1/2] quit
用户认证通过之后,可以通过显示命令display ip subscriber session查看到对应用户信息,若用户主机离线,则设备会在一定时间后探测到,并删除记录的IPoE用户信息。
网络连接正常且接口上的IPoE配置正确的情况下,某些DHCP客户端无法正常进行认证。
· 当DHCP客户端发送的报文里携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16)时,若该Option内容对应的ISP域在接入设备上不存在,则无法进行认证。
· 当接口上指定了IPoE用户认证时使用的ISP域,且DHCP客户端发送的报文里未携带指定的Option时,若接口上指定的ISP域在接入设备上不存在,则无法进行认证。
通过调试信息或抓包工具查看DHCP客户端报文中是否携带Client-ID Option:
(1) 若报文中携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16),则查看其内容,并在接入设备上配置与之同名的ISP域。
(2) 若报文中未携带指定的Option,则查看接口上是否指定了ISP域。若指定了ISP域,则在接入设备上配置与之同名的ISP域。
网络连接正常且接口上的IPoE配置正确的情况下,用户上线后,当用户的初始流量从Slot1的聚合组成员端口进入并跨板转发到Slot2,并从Slot2的非此聚合接口转发出去时,设备可以正常统计用户流量;但是,由于Slot1的聚合组成员端口Down掉等原因导致用户的后续流量从Slot2的聚合组成员接口进入,在这种情况下,就会出现无法进行用户流量统计的现象。
首先聚合组成员端口属于不同的slot,其次用户初始流量是跨板转发。
导致这种现象产生的原因是,当IPoE用户在聚合接口上线后,流量统计只能在用户认证成功的slot上进行,其它slot上的该用户流量不会被统计。
在该接入场景下,需要通过service命令指定聚合接口下流量的slot,以此来保证用户流量统计功能的正常运行。但是,当指定的slot若不在位时,则会导致用户流量中断。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
