- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-UCM配置
本章节下载: 13-UCM配置 (475.56 KB)
目 录
1.6.13 配置设备重定向给用户的Web服务器URL中参数部分的转义规则(非vBRAS-CP设备)
1.6.14 配置UP设备在用户上线接口终结的所有VLAN内发送免费ARP报文(UP设备)
1.6.16 配置BRAS设备以计费更新报文的方式通知AAA服务器用户NAT信息变化情况
1.6.17 配置BRAS设备向AAA服务器发送认证报文和计费报文时不携带97号属性
1.6.18 手工切换接入用户的负载分担用户组和NAT实例的绑定关系
UCM(User Connection Management,用户连接管理)是一个统一用户管理组件,用于对各类接入用户的连接进行集中管理,可实现简化用户管理和运维的目的。
如图1-1所示,接入用户认证上线过程中会涉及到5大功能组件。其中UCM组件是其余四个组件之间的桥梁,负责协调各组件间的交互关系并协助完成用户连接的建立、维护和拆除等功能。
图1-1 UCM基本功能结构示意图
本章内容仅介绍各组件的基本功能,各组件详细功能的介绍,请参见相关组件模块手册。
各组件基本功能如下:
· 用户接入识别组件
负责识别和处理用户的各种接入协议报文,并在用户认证过程中获取用户的用户名、密码及物理位置等信息,从而为实现合法用户接入提供信息依据和安全保障。
· UCM组件
是其他四个组件之间的桥梁,负责协调用户接入识别、AAA管理、地址管理等组间之间的交互关系,并协助完成用户连接的建立、维护和拆除等功能。
· AAA组件
负责对用户进行认证、授权和计费。
· 地址管理组件
负责为接入用户分配IP地址,并通过对用户IP地址的统一管理来确保IP地址资源等到合理使用。
· 业务控制组件
负责对用户接入的基本业务和增值业务的访问权限、带宽和QoS策略等进行控制。
根据用户的应用场景不同,UCM可管理用户可分为如下两类:
· 设备管理类用户:用于登录设备,对设备进行配置和监控。此类用户可以提供FTP、HTTP、HTTPS、Telnet等服务。
· 网络接入类用户:用于通过设备接入网络,访问网络资源。此类用户可以提供IPoE、PPPoE、L2TP等服务。其中,IPoE、PPPoE和L2TP统称为BRAS特性(Broadband Remote Access Server,宽带远程接入服务器)。
本章内容仅介绍用户接入认证的基本流程,各协议详细接入认证流程的介绍,请参见相关协议模块手册。
(1) 获取认证信息
接入识别组件收到用户终端发出的连接请求报文后,从报文中提取用户名、密码及物理位置等信息,将信息发送给UCM组件要求认证。
(2) 请求认证
UCM组件根据接入限制等条件判断是否允许用户接入。如果允许,则将认证信息转发给AAA组件。
(3) 认证和授权
AAA组件根据AAA方案进行认证和授权,并将认证结果及授权信息返回给UCM组件。
(4) 请求分配IP地址
如果认证成功,UCM组件向地址管理组件申请IP地址。
(5) 分配IP地址
地址管理组件根据用户信息,分配IP地址(远程地址需要到外部的DHCP服务器分配),并将分配结果返回给UCM组件
(6) 允许用户上线
UCM组件将认证结果及申请到的IP地址返回给接入识别组件,接入识别组件允许用户上线。
(7) 计费和控制
用户上线后,AAA组件、业务控制组件共同负责对用户使用的基本业务、增值业务进行计费、带宽限制、QoS等控制。
为解决传统BRAS(Broadband Remote Access Server,宽带远程接入服务器)中存在的控制平面与转发平面能力不匹配、无法共享资源以及新业务部署不及时等问题,业界提出了基于vBRAS(Virtual Broadband Remote Access Server,虚拟化宽带远程接入服务器)的转发与控制分离方案。
转发与控制分离是指将转发平面与控制平面完全解耦,二者互不约束。在转发与控制分离方案中,包括CP和UP两种角色,由二者共同实现BRAS功能。其中:
· CP(Control Plane,控制平面):负责完成用户身份认证、地址分配与管理等控制平面功能。其中,CP一般由vBRAS系列虚拟宽带远程接入服务器担任。
· UP(User Plane,用户平面):负责完成用户数据流量转发和流量控制等转发平面功能。其中,UP可由路由器或者vBRAS虚拟宽带远程接入服务器担任。
CP和UP之间通过建立如下三条通道实现转发与控制分离功能:
· 管理通道:用作CP和UP之间配置下发的通道。
· 控制通道:用作CP和UP之间表项下发的通道。
· 协议通道:用作CP和UP之间协议报文交互的通道。
在转发与控制分离的组网环境中,BRAS有三种工作模式:普通模式、控制模式和转发模式。其中控制模式和转发模式又统称为转发与控制分离模式。
· 普通模式:本模式下,不区分CP和UP,BRAS模块的控制及数据转发业务均由同一台设备完成。工作在本模式的设备称作一体化设备。
· 控制模式:即session模式:该模式基于远端接口实现CP功能。当CP所连接的UP设备支持IPoE、PPPoE或L2TP功能时,可采用session模式,工作在session模式的CP将会向UP发送BRAS会话信息,UP根据从CP收到的BRAS会话信息指导数据报文转发。有关远端接口的介绍,请参见vBRAS-CP产品配置指导中的“CP-UP连接管理”。
· 转发模式:本模式下,设备仅完成数据转发业务。工作在本模式的设备称作UP。
· 仅IPoE、PPPoE和L2TP三种BRAS接入特性支持转发与控制分离功能。有关IPoE、PPPoE和L2TP在转发与控制分离组网应用中的详细介绍,请参见“BRAS业务配置指导”中的“IPoE”、“PPPoE”和“L2TP”。
· 除特殊说明外,本文中的BRAS均指工作在普通模式的情况。
对于没有采用AAA认证的Telnet用户,不受UCM管理。
当接口上存在上线的UCM用户时,不能对该接口执行以下操作:
· IRF端口和IRF物理端口绑定:port group interface
· 切换以太网接口的工作模式:port link-mode
· 为远程源镜像组配置反射端口:mirroring-group reflect-port
· 将接口加入聚合组:port link-aggregation group
有关IRF端口和IRF物理端口绑定的详细介绍,请参见“虚拟化技术配置指导”中的“IRF”。
有关切换以太网接口的工作模式的详细介绍,请参见“接口管理配置指导”中的“以太网接口”。
有关为远程源镜像组配置反射端口的详细介绍,请参见“网络管理和监控配置指导”中的“镜像”。
有关将接口加入聚合组的详细介绍,请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。
UCM配置任务如下:
(1) 配置转发与控制分离工作模式
(2) 配置BRAS接入用户特有功能
¡ 配置设备重定向给用户的Web服务器URL中参数部分的转义规则(非vBRAS-CP设备)
¡ 配置UP设备在用户上线接口终结的所有VLAN内发送免费ARP报文(UP设备)
¡ 配置BRAS设备以计费更新报文的方式通知AAA服务器用户NAT信息变化情况
¡ 配置BRAS设备向AAA服务器发送认证报文和计费报文时不携带97号属性
(3) 配置接入用户公共管理功能
UCM组件是通过协调AAA、地址管理等组件间的交互关系并协助完成用户连接的建立、维护和拆除等功能,从而实现简化用户管理的目的。因此为实现简化用户管理的目的,需要各组件和UCM组件相互配合,并完成如下配置准备:
· 若配置的是DHCP触发方式,需要安装并配置好DHCP服务器。如果是DHCP中继组网,接入设备还需启动DHCP中继功能。
· 如果通过远端RADIUS服务器进行身份认证,则首先保证RADIUS服务器已安装并配置成功,其次需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。如果需要通过远端的安全策略服务器进行安全检测和授权,则需要在H3C iMC安全策略服务器上配置相应的安全策略,并在接入设备上指定安全策略服务器的IP地址。RADIUS客户端以及安全策略服务器的具体配置请参见“BRAS业务配置指导”中的“AAA”。
· 如果通过本地设备进行身份认证,则需要在接入设备上配置相关的本地用户及其属性。本地用户的具体配置请参见“BRAS业务配置指导”中的“AAA”。
· 保证用户、接入设备和各服务器之间路由可达。
· 在转发分支分离组网环境中,请提前规划好哪些设备作为UP,哪些作为CP。
· 本章内容仅介绍转发与控制分离工作模式的基本配置,各BRAS特性在转控分离组网应用中的详细配置过程,请参见相关BRAS特性模块手册。
· 在转发与控制分离模式下,本设备仅支持作为UP,不支持作为CP。
· 本节仅介绍本设备作为UP时的相关基本配置。有关CP的相关配置,请参见担任CP角色的设备的产品手册。
在转发与控制分离模式组网环境中,当UP上联的CP工作在session模式时,需要通过本节配置指定设备工作在转发模式。
(1) 进入系统视图。
system-view
(2) 配置设备的工作在转发模式。
work-mode user-plane
缺省情况下,BRAS接入设备工作在普通模式。
缺省情况下,接口Down时,会强制该接口下的在线用户下线,当接口恢复Up后,下线用户需要重新认证上线。为避免因接口反复进行Up/Down切换导致用户频繁上下线,可通过本命令配置接口Down后,允许用户保持在线状态。
本功能仅适用于PPPoE和IPoE接入用户。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口Down后对BRAS在线用户采取的策略。
user-policy interface-down online [ no-user-detect ]
缺省情况下,接口Down后,强制BRAS用户下线。
在配置接口Down后允许用户保持在线状态的情况下,为避免在接口Down到恢复Up期间,因在线探测失败导致用户被强制下线,可在命令中指定no-user-detect参数。
在BRAS转发与控制分离组网环境下,本功能仅在CP上配置后才生效。
如果本命令配置的最大接入用户数小于当前接口上(或接口上VLAN内)已经接入的用户数,则该配置可以执行成功,且在线的用户不会受影响,但系统将不允许该接口上(或接口上VLAN内)再接入新的用户。
本命令与pppoe-server session-limit per-vlan、认证域下的access-limit同时配置时,三者可以同时生效,由于控制的角度不同,因此该接口上(或接口上VLAN内)允许接入的最大PPPoE用户数会收到三重限制,即仅在三者均未达到最大用户数限制时才允许接入新的PPPoE用户。
本命令与认证域下的access-limit命令同时配置时,两者可以同时生效,由于控制的角度不同,因此该接口上(或接口上VLAN内)允许接入的最大BRAS用户数会收到双重限制,即仅在两者均未达到最大用户数限制时才允许接入新的BRAS用户。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口上允许接入的最大用户数。
access-limit user-number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinq qinq-vlan ] ]
缺省情况下,未限制接口上允许接入的最大用户数。
通过本配置,管理员可根据实际需要调整设备更新BRAS在线用户流量统计信息的频率。设备目前支持如下三种频率模式:
· fast模式:当对BRAS用户的流量的统计信息的精确度要求较高时,可配置本模式。
· normal模式:当对BRAS用户的流量的统计信息的精确度要求一般时,可配置本模式。
· slow模式:当对BRAS用户的流量的统计信息的精确度要求较低时,可配置本模式。
在BRAS转发与控制分离组网环境下,本功能仅在CP上配置后才生效。
(1) 进入系统视图。
system-view
(2) 配置BRAS在线用户流量统计的频率模式。
flow-statistics frequency { fast | normal | slow }
缺省情况下,BRAS在线用户流量统计的频率模式为normal模式。
接入用户日志是为了满足网络管理员维护的需要,对用户的上线成功、上线失败、正常下线和异常下线的信息进行记录,包括用户名、IP地址、接口名称、内外层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的接入用户日志信息,一般情况下建议不要开启此功能。
在BRAS转发与控制分离组网环境下,本功能仅在CP上配置后才生效。
(1) 进入系统视图。
system-view
(2) 开启接入用户日志信息功能。
access-user log enable [ abnormal-logout | failed-login | normal-logout | successful-login ] *
缺省情况下,BRAS接入用户日志信息功能处于关闭状态。
整机上线接入用户会话数目,是指整个设备上线的IPoE会话、PPPoE会话和L2TP会话的总数目。(独立运行模式)
整机上线接入用户会话数目,是指整个IRF系统上线的IPoE会话、PPPoE会话和L2TP会话的总数目。(IRF模式)
可通过本命令分别配置接入用户会话数的上限、下限告警阈值,使得接入用户会话数目大于或小于某个设定值时能够自动触发告警,便于管理员及时了解现网的在线用户情况。管理员可通过display access-user命令查看当前在线接入用户总数。
用户会话数目告警功能只对占用会话资源的用户会话进行统计。目前仅下列会话会占用会话资源:
· 下列IPoE会话:
¡ 个人接入用户的会话
¡ 接口专线用户的会话
¡ 接口专线子用户的会话
¡ 子网专线用户的会话
¡ 子网专线子用户的会话
¡ L2VPN专线用户的会话
· PPPoE会话
· L2TP会话
其中,单栈用户占用一个会话资源,双栈用户也占用一个会话资源。
假定整机允许上线的接入用户会话的最大数目为a,上限告警阈值为b,下限告警为c,则:
· 当在线接入用户会话数目超过上限a×b或低于下限a×c时,都将输出对应告警信息。
· 当在线接入用户会话数目恢复到正常数值范围后,输出恢复信息。
为避免特殊情况下在线接入用户会话数目在临界区反复变化导致频繁输出告警信息和恢复信息,当在线接入用户会话数目从上限或下限恢复时,系统内部有一个缓冲区,缓冲区大小为在线接入用户会话数目上下限差值的10%,假定为d,d=a×(b-c)÷10,仅当在线接入用户会话数目恢复到小于a×b-d或大于a×c+d时才会输出恢复信息。
例如,假定a为1000,b为80%,c为20%,d=a×(b-c)÷10=1000×(80%-20%)÷10=1000×60%÷10=600÷10=60,则:
· 当在线接入用户会话数目超过上限a×b=1000×80%=800时,输出上限告警信息。当在线接入用户会话数目恢复到小于a×b-d=800-60=740时,输出恢复信息。
· 当在线接入用户会话数目低于下限a×c=1000×20%=200时,输出下限告警信息。当在线接入用户会话数目恢复到大于a×c+d=200+60=260时,输出恢复信息。
输出的上限告警信息和恢复信息均包含日志信息和Trap告警信息。其中:
· 设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
· 为确保Trap告警信息可以正常输出到NMS主机,除了需要正确配置SNMP告警功能外,还需要配置snmp-agent trap enable user-warning-threshold命令。有关SNMP告警功能的介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
配置上限告警阈值必须大于下限告警阈值。
(1) 进入系统视图。
system-view
(2) 配置上线接入用户会话数目的告警阈值。
access-user session-threshold { lower-limit lower-limit-value | upper-limit upper-limit-value }
缺省情况下,上线接入用户会话数目的上限告警阈值为100,下限告警阈值为0。
(3) 开启整机接入用户数的Trap告警功能。
snmp-agent trap enable user-warning-threshold
缺省情况下,整机接入用户数的Trap告警功能处于关闭状态。
可通过本命令配置每slot接入用户数的告警阈值,使得接入用户数超过某个设定值时能够自动触发告警,便于管理员及时了解现网的在线用户情况。
每slot接入用户数阈值告警功能仅用于对接入的IPoE、PPPoE和L2TP用户数进行统计。其中:
· 对于双栈PPPoE用户,按一个用户数进行统计。
· 对于双栈IPoE用户,按一个用户数进行统计。
· 对于IPoE专线用户,每个接口专线用户按一个用户数进行统计,每个子网专线用户按一个用户数进行统计。
· 对于IPoE专线子用户,每个子用户按一个用户数进行统计。
· 对于LAC端L2TP用户的用户数统计原则同PPPoE用户;对于LNS端的L2TP用户,不计入用户数统计。
假定每slot允许接入的最大用户数为a,配置的告警阈值为b,则:
· 当接入用户数超过告警上限a×b时,将输出对应告警信息。
· 当接入用户数恢复到正常数值范围后,输出恢复信息。
为避免特殊情况下接入用户数在临界区反复变化导致频繁输出告警信息和恢复信息,当接入用户数从阈值上限恢复时,系统内部有一个缓冲区,缓冲区大小为配置的告警阈值的10%,假定为c,c=a×b÷10,仅当接入用户数恢复到小于a×b-c时才会输出恢复信息。
例如,假定a为1000,b为80%,则c=a×b÷10=1000×80%÷10=800÷10=80,则:
· 当接入用户数超过告警上限a×b=1000×80%=800时,输出上限告警信息。
· 当接入用户数恢复到小于a×b-c=800-80=720时,输出恢复信息。
输出的上限告警信息和恢复信息均包含日志信息和Trap告警信息。其中:
· 设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
· 为确保Trap告警信息可以正常输出到NMS主机,除了需要正确配置SNMP告警功能外,还需要配置snmp-agent trap enable slot-user-warning-threshold命令。有关SNMP告警功能的介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
(1) 进入系统视图。
system-view
(2) 配置每slot接入用户数的告警阈值。
slot-user-warning-threshold threshold-value
缺省情况下,每slot接入用户数的告警阈值为100。
(3) 开启每slot接入用户数的Trap告警功能。
snmp-agent trap enable slot-user-warning-threshold
缺省情况下,每slot接入用户数的Trap告警功能处于关闭状态。
开启用户上线失败阈值告警功能后,当接入用户上线失败次数在一个告警检测周期内大于某个设定值时能够自动触发告警,便于管理员及时了解现网用户的上线失败情况。管理员可通过display aaa online-fail-record命令查看当前用户上线失败记录。
输出的告警信息包含日志信息和Trap告警信息。其中:
· 设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
· 为确保Trap告警信息可以正常输出到NMS主机,需要正确配置SNMP告警功能。有关SNMP告警功能的介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
(独立运行模式)
接入用户上线失败次数,是指整个设备所有IPoE用户、PPPoE用户和L2TP用户上线失败的总次数。
接入用户上线总次数,是指整个设备所有IPoE用户、PPPoE用户和L2TP用户上线失败和上线成功的总次数。
(IRF模式)
接入用户上线失败次数,是指整个IRF系统所有IPoE用户、PPPoE用户和L2TP用户上线失败的总次数。
接入用户上线总次数,是指整个IRF系统所有IPoE用户、PPPoE用户和L2TP用户上线失败和上线成功的总次数。
针对单个用户,如果多次上线成功或失败,则该用户每次上线成功及失败的次数均会被分别计算到上线成功和上线失败的总次数中。
设备在计算用户上线次数时,根据用户MAC地址、内外层VLAN唯一识别一个用户,其中:
· 对于双栈用户只要其中任意一个协议栈上线成功则判断该用户本次上线成功;当两个协议栈均上线失败时则判断该用户本次上线失败。
· 对于IPoE专线用户,专线主用户和子用户的上线次数分别单独计算。
(1) 进入系统视图。
system-view
(2) 开启用户上线失败阈值告警功能。
access-user online-fail-warning threshold threshold-value period period-value
缺省情况下,用户上线失败阈值告警功能处于关闭状态。
在开启在线用户探测功能的情况下,设备会自动创建时长为30秒的定时器,定时器超时后重新计时。在开启了接入用户探测报文丢包率的阈值告警功能的情况下,如果连续3次定时器超时时计算的丢包率都超过设定的告警阈值,并且每个30秒定时器时长内发包数均大于50时将自动触发告警,或者在输出告警后从高于告警阈值恢复到正常范围(即等于或小于设定的告警阈值)时将自动触发告警,以便管理员能够及时了解现网的在线用户探测报文丢包情况。
本功能中探测报文的丢包率,是指针对每个探测接口,在30秒定时器内该探测接口的(发包数-收包数)占探测报文发包数的百分比,即丢包率=(发包数-收包数)÷发包数。如果在30秒定时器内的某时刻执行display access-user user-detect packet-loss-ratio或display ppp keepalive packet-loss-ratio命令,则查看到的丢包率为这30秒内该时刻统计到的丢包率。例如,在某30秒定时器内的第10秒执行上述display命令,则查看到的丢包率即为这10秒内统计到的丢包率。
输出的告警信息仅包含日志信息。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
在转发与控制分离组网中,探测报文的发送和接收是在UP上完成的,故本命令仅在UP上配置生效。需要注意的是,对于L2TP用户,因L2TP用户在UP上没有接口信息,故对于L2TP用户探测报文丢包率是以slot为单位进行统计的。
本功能仅适用于IPoE用户、PPPoE用户和L2TP用户。
(1) 进入系统视图。
system-view
(2) 开启接入用户探测报文丢包率的阈值告警功能。
access-user user-detect packet-loss-ratio-threshold threshold-value
缺省情况下,接入用户探测报文丢包率的阈值告警功能处于关闭状态。
缺省情况下,在设备升级等情况下有计划重启设备(或单独重启slot)时,设备或slot重启过程中不会主动向AAA服务器发送计费停止报文;重启过程中设备会将用户下线,但AAA服务器不感知,认为用户仍在线,在设备或slot重启后,可能导致重启前的原在线用户因被AAA服务器认为仍然在线而短时间内无法再次登录的问题。
为解决上述问题,可通过本命令开启BRAS重启前自动下线用户功能。开启本功能后,在每次执行reboot命令重启设备或slot时,设备都将先禁止新用户上线,并下线所有在线用户(或基于重启slot的在线用户),下线用户时设备会主动向AAA服务器发送计费停止报文。待需要下线的用户全部下线后,设备或slot才会重启。
对于重启slot的情况,仅针对通过该slot上的物理接口上线的用户生效。
如果执行reboot命令时指定了force参数,则设备重启时本命令不生效。
在转发与控制分离组网中,本功能仅在CP上配置才生效。
(1) 进入系统视图。
system-view
(2) 开启BRAS重启前自动下线用户功能。
bras auto-cut-user before-reboot
缺省情况下,BRAS重启前自动下线用户功能处于关闭状态。
在non-realtime工作模式下,BRAS业务模块不会将运行数据实时备份到运行数据库:
· 对于BRAS业务模块的正常进程重启(例如执行process restart命令重启某个进程),在进程重启前,为避免数据丢失,BRAS业务模块会将模块运行数据备份到运行数据库。
· 当主用主控板上BRAS业务模块的进程异常时,BRAS业务模块在当前主用主控板上的数据会丢失,设备会根据是否指定auto-reboot-board参数决定是否强制重启主用主控板。(独立运行模式)
· 当全局主用主控板上BRAS业务模块的进程异常时,BRAS业务模块在当前全局主用主控板上的数据会丢失,设备会根据是否指定auto-reboot-board参数决定是否强制重启全局主用主控板。(IRF模式)
对于auto-reboot-board,必须在双主控环境中配置该参数后,当BRAS业务模块的进程异常时,才会自动进行主备倒换。
· 目前,本功能仅对UCM模块生效。
(1) 进入系统视图。
system-view
(2) 配置BRAS业务模块的数据备份模式。
bras data-backup-mode non-realtime [ auto-reboot-board ]
缺省情况下,BRAS业务模块的数据备份模式为非auto-reboot-board模式。
本特性用来配置RADIUS认证计费时所携带的nas-port-type属性。关于nas-port-type属性的详细介绍请参见RFC 2865。
本特性配置后仅对新接入的用户生效,对当前已经存在用户无影响。
在通过bras compatible old-style-commands enable命令开启了BRAS设备兼容旧风格命令功能的情况下:
· 只允许使用旧风格ip subscriber nas-port-type cable命令配置接口的Cable接口类型。如果希望使用新风格nas-port-type cable命令配置接口的Cable接口类型,请先执行undo bras compatible old-style-commands enable命令关闭BRAS设备兼容旧风格命令功能,然后再执行nas-port-type cable命令。
· 对于除了Cable之外的其它接口类型,仍可以使用新风格nas-port-type命令进行配置。同一接口上,多次执行新风格nas-port-type命令(cable除外)和旧风格ip subscriber nas-port-type cable命令,最后一次执行的命令生效。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口的nas-port-type属性。
nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情况下,接口的nas-port-type属性为ethernet。
转发与控制分离组网中,本命令仅需要在CP设备上配置,无需在UP设备上配置。具体为:CP设备上远端接口的形式为UP ID加接口名称,如Remote-XGE1024/3/1/2,其中1024表示UP ID值,3/1/2表示三维接口名称。缺省情况下,CP设备与AAA服务器交互的过程中,对于涉及到的接口相关信息(如NAS-PORT-ID等),CP设备使用三维接口形式与服务器对接。当需要在AAA服务器上明确接入用户的上线UP时,可以通过本命令配置CP使用四维接口形式与服务器对接。配置本命令后,CP将在原三维接口的基础上新增一维UP ID,形式为up-id/原三维接口。
一体化组网中,缺省情况下,设备与AAA服务器交互的过程中,对于涉及到的接口相关信息(如NAS-PORT-ID等),设备使用不带chassis信息的三维接口形式与服务器对接。在IRF组网中,当需要在AAA服务器上明确接入用户的上线IRF成员设备时,可以通过本命令配置设备使用带chassis信息的四维接口形式与服务器对接。
配置命令行后只对新上线的用户生效。
一体化组网中,本功能仅适用于接入用户通过物理接口上线的情况,不适用于接入用户通过三层聚合接口等全局接口上线的情况。
(1) 进入系统视图。
system-view
(2) 配置设备使用四维接口形式与AAA服务器对接。
access-user four-dimension-mode enable
缺省情况下,设备使用三维接口形式与AAA服务器对接。
在使用URL重定向功能的场景中,如Web认证或广告推送,如果URL参数中包含的特殊字符没有被合理转义,浏览器可能无法识别这些字符,从而无法正常显示Web页面。通过配置本功能,管理员可以根据实际需要自定义URL参数部分的字符转义规则,从而确保设备生成的重定向URL可以在不同的浏览器中被正确解析。
在URL中,问号("?")字符用来分隔URL的路径部分和参数部分。例如,在IPoE Web认证组网中,URL的路径部分由web-server { ip | ipv6 }命令配置,URL的参数部分由web-server url-parameter命令配置。
配置本功能后,系统将按照管理员设置的规则对URL参数部分的字符进行转义,并且仅针对URL中的参数部分进行转义,这部分是问号("?")字符后面的所有内容。
转义过程中,系统不会区分不同的参数字段,而是将整个参数部分中所有匹配的字符进行转义。转义操作遵循的原则是将匹配字符替换为百分号("%")加上该字符的十六进制ASCII码。例如,
在需要对URL参数中ASCII码字符“A”、“B”、“C”进行转义的场景中,由于这些字符对应的十六进制ASCII码分别为41、42、43,管理员应该配置access-user url character-transfer user-defined-characters 41 42 43命令,从而指导系统将这些字符分别转义为%41、%42、%43,以确保URL在各种浏览器中均能被正确解析。其他不在配置中的字符将不会被转义。
· 在配置URL参数的转义规则之前,请确保您已经了解网络中用户使用的所有浏览器是否支持按照规则转义的字符。不同的浏览器可能对转义字符的支持有所不同,这可能影响到重定向URL的正确显示和功能性。
· 设备最多支持通过access-user url character-transfer user-defined-characters命令累计配置145个自定义转义参数,其含义为:
¡ 您最多可以一次配置145个自定义转义参数。
¡ 如果需要,您也可以分多次执行本命令进行累积配置,但需要保证累积的总数不超过145个。
· 在有用户在线的情况下,不推荐执行access-user url character-transfer或undo access-user url character-transfer命令来修改设备重定向给用户的Web服务器URL中参数部分的转义规则。修改转义规则可能会导致在线用户无法按照新的规则正确处理URL,从而造成Web认证页面无法正常弹出。如必须在有用户在线的情况下进行配置更改,为了减少配置更改的影响范围,建议在用户在线数量较少的时段,进行此类配置更改。在更改转义规则后,如果某在线用户无法正常弹出Web认证页面,让该用户先下线再重新上线即可。
(1) 进入系统视图。
system-view
(2) 配置设备重定向给用户的Web服务器URL中参数部分的转义规则。
access-user url character-transfer { none | reserve | unsafe | user-defined-characters character }
缺省情况下,请参见命令手册中该命令的缺省情况描述。
在UP备份组网中,当主UP发生故障时,备用UP会接管故障UP业务成为新的主UP。为确保主备UP切换后,下联设备能够将用户侧的报文正确转发到新主UP,新主UP会发送免费ARP报文来更新下联设备的MAC地址表项。
缺省情况下,为了防止ARP广播风暴,UP设备仅在每个用户上线接口终结的最小VLAN ID内发送免费ARP报文。请根据实际需要,并结合如下场景推荐,决定是否配置本功能。
· 需要配置本功能的场景:如果下联设备使用MAC地址和VLAN ID组合来维护MAC地址表(例如交换机上的MAC地址表,可由display mac-address命令查看),那么在所有VLAN上发送免费ARP是必要的,以确保所有VLAN中的MAC地址表项都得到更新。
· 不需要配置本功能的场景:如果下联设备不区分VLAN,即任何VLAN的流量都能触发接口的MAC地址表刷新(例如L2VPN的MAC地址表信息,可由display l2vpn mac-address命令查看),那么就不需要在所有VLAN上发送免费ARP。
配置本功能后,新主UP将在所有相关VLAN上发送免费ARP报文。这确保了在任何VLAN的下联设备都能及时更新其MAC地址表项,从而在UP设备切换后维持网络的稳定连接。
(1) 进入系统视图。
system-view
(2) 配置UP设备在用户上线接口终结的所有VLAN内发送免费ARP报文。
access-user interface send gratuitous-arp on-all-vlans
缺省情况下,对于不同的VLAN终结方式,设备发送免费ARP报文的原则不同,具体请参见命令手册中该命令的相关描述。
如下图所示,在转发与控制分离组网中,UP设备上用于连接用户侧的接口所在单板为用户侧单板,用于连接网络侧的接口所在单板为网络侧单板。
缺省情况下,当UP设备从CP设备接收到某上线用户的会话信息后,因某单板是否为网络侧单板是纯网络规划层面问题,非功能问题,故UP设备无法区分网络侧单板,为便于用户之间互通,UP设备会在所有单板上都维护一份该用户的会话信息。该情况下虽然解决了用户互通问题,但会占用大量UP设备的内存。
为优化UP设备内存使用,管理员可根据实际网络规划,通过本命令将UP设备上用于连接网络侧的接口所在单板配置为网络侧单板。配置本命令后,当UP设备从CP设备接收到某上线用户的会话信息后,仅会在该用户接入接口所在单板和本命令指定的网络侧单板维护该用户的会话信息,除此之外的其它单板不再维护用户会话信息。
可通过重复执行本命令指定不同的slot作为网络侧单板。
仅支持指定接口板作为网络侧单板,不支持指定主控板作为网络侧单板。
(1) 进入系统视图。
system-view
(2) 配置指定slot为BRAS组网中的网络侧单板。
bras network-board slot slot-number
缺省情况下,未配置BRAS组网中的网络侧单板。
在NAT与BRAS联动的场景中,为满足NAT溯源的需要,缺省情况下,当因CGN故障切换等原因导致某接入用户的NAT信息(仅指公网IP地址和端口块,不包括增量端口块)发生变化时,BRAS设备会通过向AAA服务器先后发送计费停止报文和计费开始报文的方式来通知AAA服务器该用户信息的变化情况,以便AAA服务器能够及时记录并刷新该用户的信息。如果管理员希望在接入用户的NAT信息发生变化时,BRAS设备能够直接发送计费更新报文来向AAA服务器通告用户信息的变化情况,可配置本功能。
配置本功能后,当接入用户的NAT信息(仅指公网IP地址和端口块,不包括增量端口块)发生变化时,BRAS设备直接发送携带H3C私有属性H3C-Nat-Port-Range-Update(该属性取值为3,取值为3表示变更公网IP和端口块)的计费更新报文来向AAA服务器通告用户信息的变化情况。
配置本功能前,请确保和BRAS设备对接的AAA服务器能够识别并支持计费更新报文携带的H3C私有属性H3C-Nat-Port-Range-Update,否则,请使用缺省配置。
在转发与控制分离组网中,如需要,请在CP设备上配置本功能。
(1) 进入系统视图。
system-view
(2) 配置当接入用户的NAT发生信息变化时,BRAS设备向AAA服务器发送一次计费更新报文。
access-user nat-info-change send-accounting-update
缺省情况下,当接入用户的NAT信息发生变化时,BRAS设备先后向AAA服务器发送一次计费停止报文和一次计费开始报文。
97号属性(Framed-IPv6-Prefix)用于表示用户的IPv6前缀信息,前缀长度为64位。
缺省情况下,在IPv6场景中,为方便AAA服务器对用户的IPv6地址进行管理和控制,BRAS设备在向AAA服务器发送认证报文和计费报文时,会将用户IPv6地址的前64位作为前缀填入97号属性中带给AAA服务器。但是,对于某些运营商或应用场景来说,在非ND用户场景中,提供IPv6前缀信息可能并不必要或者不安全,此时可以通过配置access-user authen-and-accounting without-ipv6-prefix命令来禁止携带97号属性。
当配置access-user authen-and-accounting without-ipv6-prefix命令后,BRAS设备在向AAA服务器发送认证报文和计费报文时不再携带97号属性,从而有效禁止传递IPv6前缀信息,减少用户信息泄露风险,增强网络安全性并保护用户隐私。
· 本功能仅适用于非ND用户场景。例如,IPoE未知源IPv6用户、DHCPv6用户、静态用户等。
· 对于ND用户场景,例如ND共享前缀场景或ND每用户每前缀场景,当BRAS设备向AAA服务器发送认证报文和计费报文时固定会携带97号属性,且无法通过本命令配置为禁止携带97号属性。
· 如果AAA服务器需要获取用户设备的IPv6前缀信息,禁止发送97号属性可能会导致AAA认证失败或账号计费错误,因此应根据具体场景进行选择。
(1) 进入系统视图。
system-view
(2) 配置BRAS设备向AAA服务器发送认证报文和计费报文时不携带97号属性。
access-user authen-and-accounting without-ipv6-prefix
缺省情况下,BRAS设备向AAA服务器发送认证报文和计费报文时会携带97号属性。
在采用全局NAT且NAT与BRAS联动的场景中,当用户流量转发不通时,可执行本命令将用户手工切换到其它业务正常的CGN单板,便于管理员排查用户当前所在的CGN单板是否故障:
· 若切换后,用户流量转发正常,则可能是原有CGN单板故障,请排查CGN单板是否故障。
· 若切换后,用户流量转发仍不通,则可能是NAT相关配置问题,请检查NAT配置是否正确。
执行本命令时,BRAS设备会根据本命令中指定的负载分担用户组和NAT实例的绑定关系重新为用户分配公网IP地址和端口块等信息,并刷新用户会话信息,整个过程均由设备自动完成,不影响用户在线状态,用户保持在线。
可通过display access-user命令可以查看接入用户的user-id信息和公网IP地址等信息。
执行本命令前,请确保:
· 本命令中指定的NAT实例和用户组已在用户认证域视图下通过user-group bind nat-instance命令配置为一对负载分担用户组和NAT实例的绑定关系,否则本命令执行失败。
· 本命令中指定的NAT实例有效(例如要求NAT实例相关的配置正确、CGN单板在位、有可用的IP地址及端口块资源等),否则执行本命令可能会导致该用户下线。
本命令是一次性生效命令,不会被保存在配置文件中;执行本命令后,若用户下线后再上线,在用户重新上线后,如仍需要切换接入用户的负载分担用户组和NAT实例的绑定关系,则需要重新执行本命令。
在转发与控制分离组网中,如需手工切换接入用户的负载分担用户组和NAT实例的绑定关系,请在CP设备上配置本功能。
(1) 进入系统视图。
system-view
(2) 手工切换接入用户的负载分担用户组和NAT实例的绑定关系。
access-user change user-id user-id nat-instance nat-instance-name user-group user-group-name
为了满足业务发展需要,有时需要升级BRAS设备的软件版本以实现新的功能需求。在软件版本升级后,一些功能命令的形式可能会发生变化。如果管理员希望在不升级BRAS设备的网管软件的前提下,仍能够使用该网管软件对升级后的BRAS设备进行管理,可配置本功能。
开启BRAS设备兼容旧风格命令功能后,BRAS设备可以兼容旧风格命令,当管理员使用旧风格命令对设备进行管理时,BRAS设备能够识别这些旧风格的命令并进行相应的处理。
· 推荐仅在网管软件不支持新风格命令,且希望能够使用旧风格命令对BRAS设备进行管理的情况下开启本功能。
· 当配置了旧风格的ip subscriber nas-port-type cable命令且该命令功能生效时,不允许关闭BRAS设备兼容旧风格命令功能。
· 当配置了新风格的nas-port-type命令且该命令功能生效时,不允许开启BRAS设备兼容旧风格命令功能。
(1) 进入系统视图。
system-view
(2) 开启BRAS设备兼容旧风格命令功能。
bras compatible old-style-commands enable
缺省情况下,BRAS设备兼容旧风格命令功能处于关闭状态。
业务跟踪对象功能是为了满足网络管理员维护的需要,管理员通过创建业务追踪对象可以追踪接入用户的上下线相关信息,并且通过指定不同的匹配参数,可以实现对特定用户的追踪。
开启本功能会时占用大量系统资源,建议仅在故障诊断时使用,一般情况下不要使用。
当配置输出信息到日志服务器时,请确保设备与指定的日志服务器之间路由可达并且日志服务器配置正确。
主备倒换(主用主控板和备用主控板之间)后本命令的配置自动失效,需要重新配置。(独立运行模式)
主备倒换(全局主用主控板和全局备用主控板之间)后本命令的配置自动失效,需要重新配置。(IRF模式)
(1) 进入系统视图。
system-view
(2) 配置业务跟踪对象功能。
trace access-user object object-id { access-mode { ipoe | lns | pppoe } | c-vlan vlan-id | interface interface-type interface-number | ip-address ip-address | mac-address mac-address | s-vlan vlan-id | tunnel-id tunnel-id | username user-name } * [ aging time | output { file file-name | syslog-server server-ip-address | vty } ] *
trace access-user object object-id [ access-mode { ipoe | lns | pppoe } | c-vlan vlan-id | interface interface-type interface-number | ip-address ip-address | mac-address mac-address | s-vlan vlan-id | tunnel-id tunnel-id | username user-name ] * calling-station-id calling-station-id
如果指定interface参数,当接入接口所在slot或subslot重启后,业务跟踪对象配置会自动失效,需要重新配置。
在完成上述配置后,在任意视图下执行display命令可以显示配置后UCM的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行cut和reset命令可以清除UCM统计信息。
表1-1 UCM显示和维护
|
操作 |
命令 |
|
显示接入用户的信息 |
(独立运行模式) display access-user [ [ { { [ all-vpn-instance | public-instance | vpn-instance vpn-instance-name ] | auth-type { admin | bind | dot1x [ with-address | without-address ] | ppp | pre-auth | web-auth [ inherit-pppoe | non-inherit-pppoe ] } | domain domain-name [ authorization | authentication ] | interface interface-type interface-number [ all | s-vlan svlan-id [ c-vlan cvlan-id ] ] | ip-pool pool-name | ip-pool-group ip-pool-groupname | ip-type { dual-stack | ipv4 | ipv6 } | ipv6-address-protocol { dhcpv6 | dhcpv6-pd | nd } | ipv6-cpe-mode { ipv6 | ipv6-pd } | ipv6-pool pool-name | ipv6-pool-group ipv6-pool-groupname | lac-ip lac-ip-address | lns-ip lns-ip-address | mac-address mac-address | pppoe-agency-state no-online | remote-name tunnel-name | start-time start-time start-date end-time end-time end-date | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-group user-group-name | user-type { lac | leased | lns | pppoe | pppoea } | username user-name | vxlan vxlan-id [ vxlan-id-max ] | slot slot-number [ cpu cpu-number ] } * | time time [ slot slot-number [ cpu cpu-number ] ] } [ count | verbose ] | { { ip-address ipv4-address | ipv6-address ipv6-address | ipv6-prefix ipv6-prefix/prefix-length | public-ip-address public-ip-address } [ all-vpn-instance | public-instance | vpn-instance vpn-instance-name ] | user-id user-id } [ slot slot-number [ cpu cpu-number ] ] [ verbose ] ] | { count | verbose } ] (IRF模式) display access-user [ [ { { [ all-vpn-instance | public-instance | vpn-instance vpn-instance-name ] | auth-type { admin | bind | dot1x [ with-address | without-address ] | ppp | pre-auth | web-auth [ inherit-pppoe | non-inherit-pppoe ] } | domain domain-name [ authorization | authentication ] | interface interface-type interface-number [ all | s-vlan svlan-id [ c-vlan cvlan-id ] ] | ip-pool pool-name | ip-pool-group ip-pool-groupname | ip-type { dual-stack | ipv4 | ipv6 } | ipv6-address-protocol { dhcpv6 | dhcpv6-pd | nd } | ipv6-cpe-mode { ipv6 | ipv6-pd } | ipv6-pool pool-name | ipv6-pool-group ipv6-pool-groupname | lac-ip lac-ip-address | lns-ip lns-ip-address | mac-address mac-address | pppoe-agency-state no-online | remote-name tunnel-name | start-time start-time start-date end-time end-time end-date | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-group user-group-name | user-type { lac | leased | lns | pppoe | pppoea } | username user-name | vxlan vxlan-id [ vxlan-id-max ] | chassis chassis-number slot slot-number [ cpu cpu-number ] } * | time time [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] } [ count | verbose ] | { { ip-address ipv4-address | ipv6-address ipv6-address | ipv6-prefix ipv6-prefix/prefix-length | public-ip-address public-ip-address } [ all-vpn-instance | public-instance | vpn-instance vpn-instance-name ] | user-id user-id } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ] ] | { count | verbose } ] |
|
显示各slot上接入用户的备份状态 |
display access-user backup-state |
|
显示接入用户下线原因的统计信息 |
display access-user offline-reason statistics [ verbose ] |
|
显示UP上的接入用户信息 |
(独立运行模式) display access-user user-plane [ [ all-vpn-instance | public-instance | vpn-instance vpn-instance-name ] | auth-type { bind | ppp | pre-auth | web-auth } | interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] | { ip-address ipv4-address | ipv6-address ipv6-address } | ip-type { dual-stack | ipv4 | ipv6 } | lac-ip lac-ip-address | lns-ip lns-ip-address | mac-address mac-address | slot slot-number [ cpu cpu-number ] | user-type { lac | lns | pppoe } | user-id user-id ] * [ count | verbose ] |
|
显示接入用户的在线探测报文的丢包率统计信息 |
(独立运行模式) display access-user user-detect packet-loss-ratio [ interface interface-type interface-number [ s-vlan svlan-id ] ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display access-user user-detect packet-loss-ratio [ interface interface-type interface-number [ s-vlan svlan-id ] ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示接口上的BRAS配置及用户数信息 |
display bras-interface [ interface-type interface-number ] access-user-count |
|
显示接口上的BRAS相关配置及运行信息 |
(独立运行模式) display bras-interface [ interface-type interface-number ] configuration [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display bras-interface [ interface-type interface-number ] configuration [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
按VLAN显示指定接口上的BRAS用户数信息 |
display bras-interface interface-type interface-number users-by-vlan [ s-vlan s-vlan-id [ c-vlan c-vlan-id ] ] |
|
显示用户数峰值的历史信息 |
(独立运行模式) display max-user history [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display max-user history [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示业务跟踪对象的配置信息 |
display trace access-user [ object object-id ] |
|
强制接入用户下线 |
(独立运行模式) cut access-user [ { auth-type { admin | bind | dot1x [ with-address | without-address ] | ppp | pre-auth | web-auth [ inherit-pppoe | non-inherit-pppoe ] } | domain domain-name [ authorization | authentication ] | interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] | ip-pool pool-name | ip-type { dual-stack | ipv4 | ipv6 } | ipv6-pool pool-name | mac-address mac-address | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-profile profile-name [ both | inbound | outbound ] | username user-name | vpn-instance vpn-instance-name | vxlan vxlan-id [ vxlan-id-max ] | slot slot-number [ cpu cpu-number ] } * | { { ip-address ipv4-address | ipv6-address ipv6-address | ipv6-prefix prefix-address/prefix-length } [ vpn-instance vpn-instance-name ] | user-id user-id } ] (IRF模式) cut access-user [ { auth-type { admin | bind | dot1x [ with-address | without-address ] | ppp | pre-auth | web-auth [ inherit-pppoe | non-inherit-pppoe ] } | domain domain-name [ authorization | authentication ] | interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] ] | ip-pool pool-name | ip-type { dual-stack | ipv4 | ipv6 } | ipv6-pool pool-name | mac-address mac-address | user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 } | user-profile profile-name [ both | inbound | outbound ] | username user-name | vpn-instance vpn-instance-name | vxlan vxlan-id [ vxlan-id-max ] | chassis chassis-number slot slot-number [ cpu cpu-number ] } * | { { ip-address ipv4-address | ipv6-address ipv6-address | ipv6-prefix prefix-address/prefix-length } [ vpn-instance vpn-instance-name ] | user-id user-id } ] |
|
清除接入用户下线原因的统计信息 |
reset access-user offline-reason statistics |
|
清除设备上接入用户在线探测报文的丢包率统计信息 |
(独立运行模式) reset access-user user-detect packet-loss-ratio [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset access-user user-detect packet-loss-ratio [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除用户数峰值的历史信息 |
(独立运行模式) reset max-user history [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset max-user history [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
