- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-IPoE配置
本章節下載: 13-IPoE配置 (481.66 KB)
目 錄
1.6.3 配置動態IPoE個人接入用戶的認證用戶名的命名規則
1.6.7 配置動態IPoE DHCP個人接入用戶的信任Option
1.7.4 配置靜態IPoE個人接入用戶的認證用戶名的命名規則
1.14 配置IPoE接入用戶的NAS-PORT-ID屬性封裝
IPoE(IP over Ethernet)是一種常見的IPoX接入方式,BRAS設備根據用戶接入的位置信息自動生成用戶名和密碼進行身份認證的一種認證方式,無需用戶輸入用戶名和密碼。
IPoE的典型組網方式如下圖所示,它由五個基本要素組成:用戶主機、BRAS接入設備、AAA服務器、安全策略服務器和DHCP服務器。
圖1-1 IPoE係統組成示意圖
泛指所有通過局域網或廣域網接入寬帶接入設備的客戶終端。
交換機、路由器等三層寬帶接入設備的統稱(下文簡稱為接入設備),主要有三方麵的作用:
· 在認證之前,阻止用戶訪問互聯網資源。
· 在認證過程中,與AAA服務器交互,完成身份認證/授權/計費的功能。
· 在認證通過後,允許用戶訪問被授權的互聯網資源。
與接入設備進行交互,完成對用戶的認證、授權和計費。目前僅RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器支持對IPoE用戶進行認證、授權和計費。
與接入設備進行交互,完成對用戶的安全檢測,並對用戶進行安全授權操作。
與用戶主機、接入設備進行交互,完成對用戶主機IP地址的管理和分配。
IPoE的接入模式分為二層和三層兩種模式,對應的用戶分別通過二層網絡或三層網絡接入。
· 二層接入:用戶直接連接接入設備,或通過二層網絡設備連接接入設備。接入設備需要識別用戶的MAC地址。
· 三層接入:用戶流量通過三層網絡路由到接入設備,用戶可直接連接接入設備或通過三層轉發設備連接接入設備。接入設備不關心用戶的MAC地址。
需要注意的是,通過三層轉發設備接入時,用戶報文信息中的源MAC地址為三層網絡設備的MAC地址,並非用戶的MAC地址,因此該方式下用戶的MAC地址不能作為用戶的身份標識。
IPoE支持通過IP報文、RS報文和DHCP報文三種觸發方式上線。根據用戶是否擁有獨立的業務屬性,IPoE用戶可分為個人接入用戶、專線接入用戶兩種類型。
個人接入用戶擁有獨立的業務屬性,接入設備根據用戶的位置信息和報文特征對其進行獨立的認證、授權和計費。
根據觸發上線方式的不同,可以將個人接入用戶分為以下兩種類型。
· 動態個人接入用戶
動態個人接入用戶通過IP報文、RS報文或DHCP報文觸發上線,且由報文動態觸發認證並根據認證結果建立IPoE會話。根據觸發上線的方式不同可將動態個人接入用戶分為未知源IP接入用戶、IPv6 ND RS接入用戶和DHCP接入用戶。對於DHCP接入用戶,還需要與DHCP服務器交互獲取IP地址;對於IPv6 ND RS接入用戶,還需要與接入設備進行交互獲取IPv6地址。
· 靜態個人接入用戶
靜態個人接入用戶通過IP報文觸發上線,需要用戶報文與手工配置的IPoE會話匹配後才能觸發認證。
專線是指將接入設備上的某個接口或接口上的某些係統資源整體出租給一組用戶。一條專線下可以接入多個用戶,在認證流程中表現為一個用戶,也稱為專線接入用戶。配置專線後,無需用戶IP流量觸發,接入設備會自動根據命令行配置的專線接入用戶的用戶名和密碼統一進行認證,通過認證後專線用戶才可上線。
根據對專線資源的占用情況,可以分為以下幾種類型。
· 接口專線用戶:一個接口上接入的所有IP用戶,該接口上接入的所有用戶統一進行認證、授權和計費。
· 子網專線用戶:一個接口上接入的指定子網內的所有IP用戶,與接口專線用戶類似,該接口上接入的所有指定子網的用戶統一進行認證、授權和計費。
一個IPoE會話表示了一個或一組IPoE客戶端的所有網絡連接,可由客戶端的IP報文特征或接入位置信息來標識,用於記錄IPoE客戶端的身份信息、認證狀態、授權屬性和DHCP地址分配信息等內容。
根據IPoE會話的觸發方式,可以將IPoE會話分為動態IPoE會話和靜態IPoE會話兩種類型。
由動態個人接入用戶觸發建立的IPoE會話稱為動態IPoE會話。
每個動態IPoE會話都有自己的生存周期,動態IPoE會話將在以下幾種情況下被刪除:
· AAA服務器授權的在線時長到期。
· AAA服務器強製用戶下線。
· 在AAA服務器授權的閑置切斷時長內,該會話的用戶流量小於授權的流量閾值。
· 接入設備對該會話的在線用戶進行探測,探測失敗的次數達到最大值。
· 對於DHCP報文觸發建立的IPoE會話,DHCP服務器分配的租約時長到期。
· 重啟IPoE會話。
· 用戶接入接口Down。
由用戶的配置觸發建立的IPoE會話稱為靜態IPoE會話,包括以下幾種類型:
· 個人靜態IPoE會話:僅代表一個指定IP地址的IPoE客戶端的所有網絡連接,通常用於為IP地址已知的客戶端單獨提供穩定的接入服務。
· 接口專線IPoE會話:代表一個接口上所有IPoE客戶端的網絡連接。
· 子網專線IPoE會話:代表一個接口上指定子網內的所有IPoE客戶端的網絡連接。
對於個人靜態IPoE會話:在接入接口上開啟了IPoE功能、且接口狀態up的情況下,接入設備會根據配置建立靜態IPoE會話,在有IP流量通過時接入設備會嚐試以配置的用戶名和密碼發起認證。個人靜態IPoE會話不會因為用戶認證失敗而被刪除,隻能通過命令行的方式刪除。
對於接口專線和子網專線IPoE會話:在接入接口上開啟了IPoE功能、且接口狀態up的情況下,接入設備會根據配置建立靜態IPoE會話,會話建立成功後無需用戶流量觸發,接入設備會主動嚐試以配置的用戶名和密碼發起認證。
對於通過DHCP報文觸發認證的用戶,在認證成功之後由DHCP模塊為其分配AAA授權的地址池中的地址。若AAA未授權,則使用用戶所屬認證域中配置的授權地址池;若認證域中未配置授權地址池,則在接口上配置了IP地址的情況下,由DHCP模塊分配與接口IP地址同一網段的IP地址給用戶。
對於通過RS報文觸發認證的用戶,在認證成功之後由IPoE為其分配AAA授權的IPv6地址前綴,用戶通過獲取的前綴生成IPv6地址。若AAA未授權,則選用接口上配置的第一個符合前綴長度為64的IPv6地址前綴。
其它類型的用戶,可以通過靜態配置或通過DHCP動態分配獲得IP地址,但其IP地址的獲取與IPoE認證無關。
IPoE認證用戶的接入流程主要包括以下幾個步驟:
(1) 用戶識別與發起認證請求
¡ 對於動態IPoE會話的用戶,當發出的連接請求報文到達接入設備後,接入設備從中獲取用戶的物理位置等信息生成用戶名和密碼,向AAA服務器發起認證請求。
¡ 對於靜態IPoE會話的用戶,當用戶的首報文通過接入設備時,接入設備以配置的認證信息向AAA服務器發起認證請求。
(2) 身份認證
接入設備根據該用戶關聯的認證域的配置向AAA服務器發起認證請求,並完成認證授權操作,若配置有安全策略服務器,則由安全策略服務器進行安全授權操作。
(3) 地址分配與管理(可選)
對於DHCP接入用戶,身份認證通過後,接入設備通知DHCP模塊負責為接入用戶分配IP地址;對於IPv6 ND RS接入用戶,身份認證通過後,IPoE負責為接入用戶分配前綴,用戶通過此前綴生成IPv6地址;若用戶已經獲取到IP地址,則無此步驟直接進入步驟(4)。
(4) 接入控製
IP地址分配成功後,接入設備通知用戶上線,並根據授權結果對用戶進行接入控製,計費等。
下麵將詳細介紹幾種典型的IPoE用戶接入流程。
當用戶通過DHCP方式動態獲取IP地址時,IPoE截獲用戶的DHCP報文,首先對用戶進行身份認證,如果認證通過則可以允許繼續申請動態IP地址,否則終止IPoE接入過程。這裏以DHCP中繼組網環境中的IPv4 DHCP用戶的IPoE接入為例,具體流程如圖1-2所示。
圖1-2 IPv4 DHCP用戶接入流程圖
IPv4 DHCP報文觸發的IPoE接入過程如下:
(1) DHCP客戶端發送DHCP-DISCOVER報文;
(2) 接入設備在DHCP-DISCOVER報文中插入Option 82選項,然後把報文交由DHCP中繼設備處理;
(3) DHCP中繼設備根據DHCP-DISCOVER報文創建一個IPoE會話,並向AAA服務器發送認證請求。其中,認證請求消息中的用戶名包含了用戶信息,如DHCP報文中的Client ID選項、用戶報文的源MAC地址;
(4) AAA服務器返回認證結果。若用戶認證通過,則發送認證接受報文,並攜帶授權信息;否則發送認證拒絕報文;
(5) DHCP中繼獲取用戶的認證和授權結果,更新IPoE會話的認證狀態為通過或失敗;
(6) 如果用戶認證通過,DHCP中繼將DHCP-DISCOVER報文轉發給DHCP服務器。如果認證失敗,DHCP中繼將丟棄DHCP-DISCOVER報文;
(7) DHCP服務器回應DHCP-OFFER報文。之後,DHCP中繼把DHCP-OFFER報文轉發給DHCP客戶端;
(8) DHCP客戶端根據DHCP-OFFER報文選擇一個DHCP服務器,發送DHCP-REQUEST報文。之後,DHCP中繼把DHCP-REQUEST報文轉發給DHCP服務器;
(9) DHCP服務器回應DHCP-ACK報文;
(10) DHCP中繼從DHCP-ACK報文中解析出用戶的IP地址和其它地址參數信息,更新IPoE會話,並下發User Profile策略,然後將IPoE會話的狀態置為在線;
(11) DHCP中繼把DHCP-ACK報文轉發給DHCP客戶端。DHCP客戶端根據收到的DHCP-ACK報文獲得IP地址以及相關地址參數信息;
(12) 接入設備向AAA服務器發送計費開始報文,開始對該用戶計費。
當用戶通過IPv6 ND RS方式動態獲取IPv6地址時,IPoE截獲用戶的IPv6 ND RS報文,首先對用戶進行身份認證,如果認證通過則發送IPv6 RA報文給用戶,否則終止IPoE接入過程。這裏以二層接入組網環境中的IPv6用戶的IPoE接入為例,具體流程如圖1-3所示。
圖1-3 IPv6 ND RS用戶接入流程圖
IPv6 ND RS報文觸發的IPoE接入過程如下:
(1) 用戶主機發送IPv6 ND RS報文;
(2) 接入設備根據IPv6 ND RS報文創建一個IPoE會話;
(3) 接入設備向AAA服務器發送認證請求,認證請求消息中的用戶名包含了用戶信息,如源MAC地址等;
(4) AAA服務器返回認證結果。若用戶認證通過,則發送認證接受報文,並攜帶授權信息;否則發送認證拒絕報文;
(5) 接入設備獲取用戶的認證和授權結果,更新IPoE會話的認證狀態為通過或失敗。如果用戶認證通過,則根據用戶MAC地址和獲取到的前綴信息生成用戶IPv6地址,更新IPoE會話信息。如果認證失敗,接入設備則丟棄收到的IPv6 ND RS報文;
(6) 接入設備發送攜帶前綴信息的IPv6 ND RA報文給用戶主機。用戶主機根據IPv6 ND RA報文中攜帶的前綴信息生成IPv6地址;
(7) 接入設備向AAA服務器發送計費開始報文,開始對該用戶計費。
對於已經通過DHCP、ND RS報文或手工靜態配置的方式獲取到IP地址的用戶,當前接入設備上不存在對應的IPoE會話時,該用戶的IP報文會直接觸發IPoE認證,具體過程如圖1-4所示。
圖1-4 未知源IP接入用戶觸發IPoE接入過程
用戶IP報文觸發IPoE接入的步驟如下:
(1) 用戶主機發送IP報文。
(2) 接入設備收到IP報文後,根據已有的IPoE會話檢查該用戶是否是新接入的用戶。如果用戶報文中的用戶信息未匹配到相應的IPoE會話,則認為該用戶是新用戶,並為其創建IPoE會話,記錄用戶信息;對於匹配上IPoE會話且會話狀態為已通過認證的用戶報文,直接轉發;對於匹配上IPoE會話且會話狀態不為已通過認證的所有用戶報文,均丟棄。
(3) 接入設備根據獲取的用戶信息向AAA服務器發送認證請求。其中,認證請求消息中的用戶名包含了用戶信息,如源IP地址或源MAC地址;
(4) AAA服務器返回認證結果。若用戶認證通過,則發送認證接受報文,並攜帶授權信息;否則發送認證拒絕報文;
(5) 接入設備收到認證結果。如果用戶認證通過,則根據授權信息下發業務策略,將IPoE會話狀態置為在線。
(6) 接入設備向AAA服務器發送計費開始報文,開始對該用戶進行計費。
靜態個人用戶的IPoE會話通過配置信息創建,當接口上有指定的IP報文通過時,將使用配置信息觸發認證,認證流程與未知源IP接入方式中的認證流程相同。認證流程完成後,後續對應的用戶報文到達設備後,接口直接將其轉發。
專線接入用戶的IPoE會話通過配置信息創建,無需接口上有報文通過,即可自動根據配置的用戶名和密碼發起認證。除觸發認證方式不同外,其餘認證流程與未知源IP接入方式中的認證流程相同,這裏不再贅述。認證流程完成後,後續對應的用戶報文到達設備對應接口後,即可直接轉發。
實際組網應用中,接入用戶可以屬於不同的VPN,且各VPN之間的業務相互隔離。IPoE通過支持MPLS L3VPN,可實現位於不同VPN中的用戶都能通過IPoE方式接入到網絡中。用戶通過AAA授權後,接入設備可以將不同用戶劃分到不同授權VPN中,實現服務器指定用戶的VPN歸屬。需要注意的是,IPoE專線用戶不支持通過AAA授權(包括ISP域和AAA服務器兩種授權方式)VPN屬性。有關通過ISP域授權VPN屬性的相關介紹,請參見“安全配置指導”中的“AAA”。
在接口綁定VPN的情況下,為保證已經在線的用戶流量可以在授權的VPN中正常轉發,需要手工清除已有的IPoE會話。
IPoE通過支持ITA(Intelligent Target Accounting,智能靶向計費),可以實現對不同目的地址(如國內,國外等)進行不同的速率限定和計費。
ITA的具體配置請參見“安全配置指導”中的“AAA”。
IPoE目前僅支持如下接口:
· 三層以太網接口
· 三層以太網子接口
· 三層聚合接口
· 三層聚合子接口
IPoE認證接入用戶配置任務如下:
(2) 配置IPoE認證接入用戶類型
同一接口上,IPoE個人接入用戶(包括動態個人和靜態個人)和IPoE專線接入用戶不能共存,隻能選擇其一;動態IPoE個人接入用戶、靜態IPoE個人用戶可以共存。
(3) (可選)配置報文業務識別方式以及與認證域的映射關係
(4) (可選)配置IPoE接入用戶的靜默時間
(5) (可選)配置IPoE接入用戶在線探測功能
(6) (可選)配置接口的IPoE接入端口類型
(7) (可選)配置IPoE接入用戶日誌信息功能
(8) (可選)配置IPoE接入用戶的NAS-PORT-ID屬性封裝
IPoE提供了一個用戶身份認證和安全認證的實現方案,但是僅僅依靠IPoE不足以實現該方案。接入設備的管理者需選擇使用RADIUS認證方法或本地認證方法,以配合IPoE完成用戶的身份認證。IPoE的配置前提如下:
· 若配置的是DHCP觸發方式,需要安裝並配置好DHCP服務器。如果是DHCP中繼組網,接入設備還需啟動DHCP中繼功能。
· 如果通過遠端RADIUS服務器進行身份認證,則首先保證RADIUS服務器已安裝並配置成功,其次需要在RADIUS服務器上配置相應的用戶名和密碼,然後在接入設備端進行RADIUS客戶端的相關設置。如果需要通過遠端的安全策略服務器進行安全檢測和授權,則需要在H3C iMC安全策略服務器上配置相應的安全策略,並在接入設備上指定安全策略服務器的IP地址。RADIUS客戶端以及安全策略服務器的具體配置請參見“安全配置指導”中的“AAA”。
· 如果通過本地設備進行身份認證,則需要在接入設備上配置相關的本地用戶及其屬性。本地用戶的具體配置請參見“安全配置指導”中的“AAA”。
· 保證用戶、接入設備和各服務器之間路由可達。
不允許直接修改IPoE的接入模式,如需修改IPoE的接入模式必須先關閉IPoE功能之後,再在重新開啟IPoE功能時指定新的接入模式。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟IPv4 IPoE功能,並指定用戶接入模式。
ip subscriber { l2-connected | routed } enable
缺省情況下,接口上的IPv4 IPoE功能處於關閉狀態。
(4) 開啟IPv6 IPoE功能,並指定用戶接入模式。
ipv6 subscriber { l2-connected | routed } enable
缺省情況下,接口上的IPv6 IPoE功能處於關閉狀態。
動態IPoE個人接入用戶配置任務如下:
(1) 配置動態IPoE會話的觸發方式
(2) (可選)配置動態IPoE個人接入用戶的認證用戶名的命名規則
(3) (可選)配置動態IPoE個人接入用戶的認證密碼
(4) (可選)配置動態IPoE個人接入用戶使用的認證域
(5) (可選)配置動態IPoE會話的最大數目
(6) (可選)配置動態IPoE DHCP個人接入用戶的信任Option
接口上開啟了IPoE功能後,缺省情況下丟棄接收到的用戶報文,需要配置IPoE用戶觸發方式,使指定的用戶報文得以處理,後續能夠正常使用網絡服務。
接口上可同時配置多種觸發方式,其中:
· 配置未知源IP觸發方式後,IPoE會處理接口上收到的普通IP報文,保存用戶信息生成IPoE會話,並進行認證、授權和計費。
· 配置DHCP觸發方式後,IPoE會處理接口上收到的DHCP Discover報文、DHCP Solicit或直接申請地址的DHCP Request報文,保存用戶信息生成IPoE會話,進行認證、授權和計費,並能根據後續的DHCP報文交互更新用戶信息。
· 配置IPv6 ND RS觸發方式後,IPoE會處理接口上收到的IPv6 ND RS報文,保存用戶信息生成IPoE會話,進行認證、授權和計費,並能根據後續的IPv6 ND報文交互更新用戶信息。
開啟IPv6 ND RS報文觸發方式,需先確認接入設備可發送IPv6 ND RA報文。若接入設備可以發送IPv6 ND RA報文,則建議IPv6 ND RA報文發送間隔不小於6分鍾。
IPv6 ND RS報文觸發IPv6 IPoE會話功能僅在二層接入模式下生效。
Windows係統的PC可能生成兩類IPv6地址,一類是隨機生成,另外一類通過EUI-64方式生成。若用戶使用隨機生成的IPv6地址接入,會觸發IPv6未知源IP報文方式的認證;若用戶使用EUI-64方式生成的IPv6地址接入,用戶報文可直接觸發IPv6 ND RS方式的認證。因此,若要保證用戶使用任何一種IPv6地址都可接入,建議在接口上同時開啟IPv6未知源IP報文觸發方式和IPv6 ND RS觸發方式。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置動態IPv4 IPoE會話的觸發方式。
ip subscriber initiator { dhcp | unclassified-ip } enable
缺省情況下,DHCPv4報文以及未知源IP報文觸發生成IPoE會話功能均處於關閉狀態。
(4) 配置動態IPv6 IPoE會話的觸發方式。
ipv6 subscriber initiator { dhcp | ndrs | unclassified-ip } enable
缺省情況下,DHCPv6報文、ND RS報文以及IPv6未知源IP報文觸發生成IPoE會話功能均處於關閉狀態。
通過該配置可以指定動態IPoE個人接入用戶認證使用的用戶名的命名規則,並且根據該命名規則獲取的用戶名必須與認證服務器配置的用戶名保持一致,用戶才可以認證通過。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4 IPoE接入用戶的認證用戶名。
¡ 配置DHCPv4接入用戶的認證用戶名。
ip subscriber dhcp username include { circuit-id [ separator separator ] | client-id [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ separator separator ] | vendor-specific [ separator separator ] | vlan [ separator separator ] } *
缺省情況下,DHCPv4接入用戶使用報文源MAC地址作為認證用戶名。
¡ 配置未知源IP接入用戶的認證用戶名。
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情況下,未知源IP接入用戶使用報文源IP地址作為認證用戶名。
¡ 配置DHCPv6接入用戶的認證用戶名。
ipv6 subscriber dhcp username include { circuit-id [ separator separator ] | client-id [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator] | slot [ separator separator] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ separator separator ] | vendor-specific [ separator separator ] | vlan [ separator separator ] } *
缺省情況下,DHCPv6接入用戶使用報文源MAC地址作為認證用戶名。
¡ IPv6 ND RS接入用戶的認證用戶名
ipv6 subscriber ndrs username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情況下,IPv6 ND RS接入用戶使用報文源MAC地址作為認證用戶名。
¡ 配置未知源IP接入用戶的認證用戶名。
ipv6 subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情況下,未知源IP接入用戶使用報文源IP地址作為認證用戶名。
通過該配置指定IPoE接入用戶進行認證時使用的密碼,該密碼必須與認證服務器配置的密碼保持一致,用戶才可以認證通過。
DHCP個人接入用戶進行認證時選擇使用密碼的順序為,報文中攜帶的Option(DHCPv4為Option 60,DHCPv6為Option 16)內容字符串-->接口上指定的IPoE接入用戶使用的認證密碼-->係統缺省的認證密碼。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4 IPoE接入用戶的認證密碼。
¡ 配置IPv4 IPoE個人接入用戶的認證密碼。
ip subscriber password { ciphertext | plaintext } string
缺省情況下,IPv4 IPoE個人接入用戶的認證密碼為字符串vlan。
¡ 配置IPv4 DHCP個人接入用戶使用Option 60字段的內容作為認證密碼。
ip subscriber dhcp password option60 [ offset offset ] [ length length ]
缺省情況下,IPv4 DHCP個人接入用戶未使用Option 60字段的內容作為認證密碼。
若要使用報文中攜帶的Option 60內容作為認證密碼,還必須配置信任DHCPv4報文中的Option 60字段。信任Option 60字段的介紹請參見“1.6.7 配置動態IPoE DHCP個人接入用戶的信任Option”。
(4) 配置IPv6 IPoE個人接入用戶的認證密碼。
¡ 配置IPv6 IPoE個人接入用戶的認證密碼。
ipv6 subscriber password { ciphertext | plaintext } string
缺省情況下,IPv6 IPoE個人接入用戶的認證密碼為字符串vlan。
¡ 配置IPv6 DHCP個人接入用戶使用Option 16字段的內容作為認證密碼。
ipv6 subscriber dhcp password option16 [ offset offset ] [ length length ]
缺省情況下,IPv6 DHCP個人接入用戶未使用Option 16字段的內容作為認證密碼。
若要使用報文中攜帶的Option 16內容作為認證密碼,還必須配置信任DHCPv6報文中的Option 16字段。信任Option 16字段的介紹請參見“1.6.7 配置動態IPoE DHCP個人接入用戶的信任Option”。
從指定接口上接入的動態IPoE個人接入用戶將按照如下先後順序選擇認證域:
· 對於DHCP接入用戶:報文中攜帶的Option(DHCPv4為Option 60,DHCPv6為Option 16)內容字符串 > 接口上指定的IPoE接入用戶使用的認證域 > 係統缺省的認證域。
· 對於ND RS接入用戶:接口上指定的IPoE接入用戶使用的認證域 > 係統缺省的認證域。
· 對於未知源IP接入用戶:與報文指定業務特征相映射的認證域 > 接口上指定的IPoE接入用戶使用的認證域 > 係統缺省的認證域。
關於報文業務識別方式映射的認證域的具體配置,請參見“1.9 配置報文業務識別方式以及與認證域的映射關係”。
關於缺省認證域的相關介紹及具體配置請參見“安全配置指導”中的“AAA”。
如果需要使用報文中攜帶的Option 60/Option 16中的信息作為DHCP個人接入用戶的認證域,則需要配置接入設備信任DHCPv4 Option 60/DHCPv6 Option 16中的信息,具體配置請參見“1.6.7 配置動態IPoE DHCP個人接入用戶的信任Option”。
為使得用戶認證成功,必須保證按照認證域優先順序選擇出的認證域在接入設備上存在且配置完整。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4 IPoE接入用戶使用的認證域。
ip subscriber { dhcp | unclassified-ip } domain domain-name
缺省情況下,IPv4未知源IP接入用戶和IPv4 DHCP接入用戶的認證域為缺省認證域。
(4) 配置IPv6 IPoE接入用戶使用的認證域。
ipv6 subscriber { dhcp | ndrs | unclassified-ip } domain domain-name
缺省情況下,IPv6未知源IP接入用戶、IPv6 ND RS接入用戶和IPv6 DHCP接入用戶的認證域為缺省認證域。
通過配置動態IPoE會話的最大數目可以控製係統中的動態IPoE個人接入用戶總數,包括動態IPv4 IPoE個人接入用戶和動態IPv6 IPoE個人接入用戶。
如果接口上配置的IPoE最大會話數目小於當前處於在線狀態的動態IPoE會話數目,則該配置可以執行成功,且在線IPoE用戶不受影響,但係統將不允許新的IPoE用戶接入。
建議保證所有開啟IPoE的接口上配置的最大會話數目之和,不要超過整機IPoE的最大會話數目(整機IPoE的最大會話數目由設備的缺省規格或授權的License規格決定),否則會有部分IPoE用戶因為整機最大用戶數已達到而無法上線。
如果安裝的License規格小於係統當前處於在線狀態的動態IPoE會話數目,則該License可以安裝成功,且在線IPoE用戶不受影響,但係統將不允許新的IPoE用戶接入。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置動態IPv4 IPoE會話的最大數目。
ip subscriber { dhcp | unclassified-ip } max-session max-number
缺省情況下,未配置接口上允許創建的動態IPv4 IPoE會話的最大數目。
(4) 配置動態IPv6 IPoE會話的最大數目。
ipv6 subscriber { dhcp | ndrs | unclassified-ip } max-session max-number
缺省情況下,未配置接口上允許創建的動態IPv6 IPoE會話的最大數目。
在DHCP中繼組網環境中,接入設備可以從用戶的DHCP報文中提取出相應的DHCP Option,這些Option中攜帶了用戶接入線路的相關信息,例如接入節點的物理位置、線路速率等。如果接入設備信任DHCP報文中的這些Option,則會使用這些Option中的相關子選項內容來封裝發往RADIUS服務器的RADIUS屬性,遠程RADIUS服務器可結合這些屬性對用戶進行更為靈活的接入管理。
信任的Option和對應的RADIUS屬性對應關係為:
· 若信任DHCPv4 Option 82,則其中的Circuit-ID子選項可用來封裝NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID屬性。
· 若信任DHCPv4 Option 82,則其中的Remote-ID子選項可用來封裝DSL_AGENT_REMOTE_ID屬性。
· 若信任DHCPv6 Option 18,則Option 18可用來封裝NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID屬性。
· 若信任DHCPv6 Option 37,則Option 37可用來封裝DSL_AGENT_REMOTE_ID屬性。
在DHCP組網環境中,如果接入設備信任DHCPv4 Option 60/DHCPv6 Option 16中的信息,在滿足一定的條件時,IPoE用戶可以使用Option 60/Option 16中的信息作為指定的認證域進行認證。有關認證域的具體選擇情況,請參見“1.6.5 配置動態IPoE個人接入用戶使用的認證域”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置信任DHCPv4報文中的指定Option。
ip subscriber trust { option60 | option82 }
缺省情況下,不信任DHCPv4報文中的任何Option。
(4) 配置信任DHCPv6報文中的指定Option。
ipv6 subscriber trust { option16 | option18 | option37 }
缺省情況下,不信任DHCPv6報文中的任何Option。
靜態IPoE個人接入用戶配置任務如下:
(1) 配置靜態IPoE會話的觸發方式
(2) 配置靜態IPoE會話
(3) (可選)配置靜態IPoE個人接入用戶的認證用戶名的命名規則
(4) (可選)配置靜態IPoE個人接入用戶的認證密碼
(5) (可選)配置靜態IPoE個人接入用戶使用的認證域
(6) (可選)配置靜態IPoE白名單功能
配置靜態IPoE會話時,必須開啟未知源IP報文觸發生成IPoE會話的功能,才能使IP報文來觸發靜態IPoE會話發起認證。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置靜態IPv4 IPoE會話的觸發方式。
ip subscriber initiator unclassified-ip enable
缺省情況下,未知源IP報文觸發生成IPoE會話功能處於關閉狀態。
(4) 配置靜態IPv6 IPoE會話的觸發方式。
ipv6 subscriber initiator unclassified-ip enable
缺省情況下,IPv6未知源IP報文觸發生成IPv6 IPoE會話功能處於關閉狀態。
管理員手工輸入靜態IPoE會話所需的信息(用戶IP地址、MAC地址、用戶報文的內/外層VLAN)後,接入設備根據這些信息生成對應的靜態IPoE會話。當接口上有與手工配置的靜態IPoE會話相匹配的IP報文通過時,將觸發認證過程。認證成功後,設備對靜態IPoE個人接入用戶下發用戶策略,允許該用戶報文通過接口並對該用戶的流量進行計費。
同一接口下任意IP地址的個人靜態IPoE會話最多隻能存在一條。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置靜態IPv4 IPoE會話。
ip subscriber session static ip ip-address [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ description string ]
缺省情況下,未配置靜態IPv4 IPoE會話。
本命令中的vlan和second-vlan參數僅子接口支持,非子接口不支持。
(4) 配置靜態IPv6 IPoE會話。
ipv6 subscriber session static ipv6 ipv6-address [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ description string ]
缺省情況下,未配置靜態IPv6 IPoE會話。
本命令中的vlan和second-vlan參數僅子接口支持,非子接口不支持。
通過該配置可以指定靜態IPoE個人接入用戶認證使用的用戶名的命名規則,並且根據該命名規則獲取的用戶名必須與認證服務器配置的用戶名保持一致,用戶才可以認證通過。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4未知源IP接入用戶的認證用戶名。
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情況下,IPv4未知源IP接入用戶采用用戶報文的源IPv4地址作為認證用戶名。
(4) 配置IPv6未知源IP接入用戶的認證用戶名。
ipv6 subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情況下,IPv6未知源IP接入用戶采用用戶報文的源IPv6地址作為認證用戶名。
靜態IPoE個人接入用戶使用接口上配置的IPoE個人接入用戶的認證密碼進行認證。通過該配置指定的密碼必須與認證服務器配置的密碼保持一致,用戶才可以認證通過。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4 IPoE個人接入用戶的認證密碼。
ip subscriber password { ciphertext | plaintext } string
缺省情況下,IPv4 IPoE個人接入用戶的認證密碼為字符串vlan。
(4) 配置IPv6 IPoE個人接入用戶的認證密碼。
ipv6 subscriber password { ciphertext | plaintext } string
缺省情況下,IPv6 IPoE個人接入用戶認證密碼為字符串vlan。
靜態IPoE個人接入用戶將按照接口上的配置選擇認證域,認證域優先級順序從高到低依次為:靜態IPoE會話中指定的認證域 > 報文業務識別方式映射的認證域 > 未知源IP用戶使用的認證域 >缺省認證域。其中,關於報文業務識別方式映射的認證域的具體配置,請參見“1.9 配置報文業務識別方式以及與認證域的映射關係”。關於缺省認證域的相關介紹及具體配置請參見“安全配置指導”中的“AAA”。
為使得用戶認證成功,必須保證按照認證域優先順序選擇出的認證域在接入設備上存在且配置完整。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4未知源IP用戶使用的認證域。
ip subscriber unclassified-ip domain domain-name
缺省情況下,IPv4未知源IP用戶的認證域為缺省認證域。
(4) 配置IPv6未知源IP用戶使用的認證域。
ipv6 subscriber unclassified-ip domain domain-name
缺省情況下,IPv6未知源IP用戶的認證域為缺省認證域。
在一些組網環境中,接口上可能需要同時開啟IPoE和Portal功能,例如:監控攝像頭等啞終端使用IPoE進行免認證上線,同時寬帶撥號用戶使用Portal進行Web認證上線;這種組網環境可配置IPoE白名單功能。
開啟 IPoE白名單功能後,僅匹配到靜態IPoE會話的IP流量才會觸發IPoE認證,其餘流量IPoE不做任何處理,均直接放行。
當接口同時開啟IPv4 IPoE白名單功能和Portal功能時:
· 如果用戶IPv4流量可以匹配到靜態IPv4 IPoE會話,則按靜態IPv4 IPoE認證流程處理。當需要對IPoE用戶進行免認證時,domain認證域下的IPoE認證及授權方式必須配置為none。
· 如果用戶IPv4流量未匹配任何靜態IPv4 IPoE會話,則進入Portal認證流程處理。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4 IPoE白名單功能。
ip subscriber whitelist enable
缺省情況下,IPv4 IPoE白名單功能為關閉狀態。
(4) 配置IPv6 IPoE白名單功能。
ipv6 subscriber whitelist enable
缺省情況下,IPv6 IPoE白名單功能為關閉狀態。
IPoE專線接入用戶配置任務如下:
(1) 配置IPoE專線接入用戶
請選擇以下一項任務進行配置:
(2) (可選)配置IPoE專線接入用戶的認證域
一個IPoE接口專線代表了該接口接入的所有IP用戶,接口專線上接入的所有用戶統一認證、計費授權。
每個接口上隻能配置一個IPv4接口專線用戶和一個IPv6接口專線用戶。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4 IPoE接口專線用戶。
ip subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情況下,未配置IPv4 IPoE接口專線用戶。
(4) 配置IPv6 IPoE接口專線用戶。
ipv6 subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情況下,未配置IPv6 IPoE接口專線用戶。
一個IPoE接口子網專線代表了該接口上指定子網的所有IP用戶,接口子網專線上接入的所有用戶統一認證、計費授權。
一個接口上可以配置多個子網專線用戶,但必須保證每個子網的掩碼長度一致。每個子網隻能配置一個子網專線用戶。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4 IPoE子網專線用戶。
ip subscriber subnet-leased ip ip-address { mask | mask-length } username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情況下,未配置IPv4 IPoE子網專線用戶。
(4) 配置IPv6 IPoE子網專線用戶。
ipv6 subscriber subnet-leased ipv6 ipv6-address prefix-length username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情況下,未配置IPv6 IPoE子網專線用戶。
IPoE專線接入用戶將按照接口上的配置選擇認證域,認證域優先級順序從高到低依次為:IPoE子網/接口專線用戶配置中指定的認證域 > 與報文指定業務特征相映射的認證域 > 未知源IP用戶使用的認證域 >係統缺省的認證域。其中,關於報文業務識別方式映射的認證域的具體配置,請參見“1.9 配置報文業務識別方式以及與認證域的映射關係”。關於缺省認證域的相關介紹及具體配置請參見“安全配置指導”中的“AAA”。
為使得用戶認證成功,必須保證按照認證域優先順序選擇出的認證域在接入設備上存在且配置完整。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4未知源IP用戶使用的認證域。
ip subscriber unclassified-ip domain domain-name
缺省情況下,IPv4未知源IP用戶的認證域為缺省認證域。
(4) 配置IPv6未知源IP用戶使用的認證域。
ipv6 subscriber unclassified-ip domain domain-name
缺省情況下,IPv6未知源IP用戶的認證域為缺省認證域。
不同的IP報文攜帶了不同的報文信息,可以通過配置業務識別方式,根據用戶IP報文的內/外層VLAN ID值、內/外層VLAN攜帶的802.1p值、DSCP值,來決定對該用戶使用不同的認證域。
對於DHCPv4接入用戶,如果同時配置了信任DHCPv4 Option 60中的信息,則優先使用Option 60中的信息作為指定的認證域。
對於DHCPv6接入用戶,如果同時配置了信任DHCPv6 Option 16中的信息,則優先使用Option 16中的信息作為指定的認證域。
如果配置了某種業務識別方式所映射的認證域,但是沒有配置使用該業務識別方式,則前者不生效。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4接入用戶的業務識別方式。
ip subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan }
(4) 配置IPv4接入用戶的報文與認證域的映射關係。
¡ 配置IPv4接入用戶的IP報文內/外層VLAN值與認證域的映射關係。
ip subscriber vlan vlan-list domain domain-name
¡ 配置IPv4接入用戶的IP報文內/外層VLAN tag中802.1p值與認證域的映射關係。
ip subscriber 8021p 8021p-list domain domain-name
¡ 配置IPv4接入用戶的IP報文DSCP值與認證域的映射關係。
ip subscriber dscp dscp-value-list domain domain-name
缺省情況下,未配置IPv4接入用戶(包括DHCPv4接入用戶、未知源IP接入用戶、靜態IPoE接入用戶和IPoE子網/接口專線用戶)使用的業務識別方式,也沒有配置與之相映射的認證域。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv6接入用戶的業務識別方式。
ipv6 subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan }
(4) 配置IPv6接入用戶的報文與認證域的映射關係。
¡ 配置IPv6接入用戶的IP報文內/外層VLAN值與認證域的映射關係。
ipv6 subscriber vlan vlan-list domain domain-name
¡ 配置IPv6接入用戶的IP報文內/外層VLAN tag中802.1p值與認證域的映射關係。
ipv6 subscriber 8021p 8021p-list domain domain-name
¡ 配置IPv6接入用戶的IP報文DSCP值與認證域的映射關係。
ipv6 subscriber dscp dscp-value-list domain domain-name
缺省情況下,未配置IPv6接入用戶(包括DHCPv6接入用戶、未知源IPv6接入用戶、靜態IPv6 IPoE接入用戶和IPv6 IPoE子網/接口專線用戶)使用的業務識別方式,也沒有配置與之相映射的認證域。
本配置用來設置IPoE用戶認證失敗以後,設備需要等待的時間間隔。在靜默期間,設備不對來自認證失敗用戶的報文進行認證處理,直接丟棄,可以防止該類用戶報文持續發送給服務器認證而對設備性能造成影響。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4 IPoE用戶的靜默時間。
ip subscriber timer quiet time
缺省情況下, IPv4 IPoE用戶的靜默時間功能處於關閉狀態。
(4) 配置IPv6 IPoE用戶的靜默時間。
ipv6 subscriber timer quiet time
缺省情況下, IPv6 IPoE用戶的靜默時間功能處於關閉狀態。
接口上開啟了IPoE接入用戶在線探測功能後,設備在用戶上線之後將定時發送探測報文,如果設備在探測間隔內未收到用戶的報文,則認為一次探測失敗。
若設備首次探測失敗,將繼續做指定次數(retries)的重複探測,若全部探測嚐試都失敗(即一直未收到該用戶的報文),則認為此用戶不在線,停止發送探測報文並刪除用戶。
若設備在探測過程中收到用戶的報文,則認為用戶在線,重置探測定時器並開始下一次探測。
設備支持的IPv4探測報文為ARP請求報文和ICMP請求報文,支持的IPv6探測報文為ND協議中的NS報文和ICMPv6請求報文。
本探測功能當前僅支持對個人接入用戶進行探測。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟IPv4 IPoE接入用戶在線探測功能。
ip subscriber user-detect { arp | icmp } retry retries interval interval
缺省情況下,IPv4 IPoE接入用戶在線探測功能處於關閉狀態。
(4) 開啟IPv6 IPoE接入用戶在線探測功能。
ipv6 subscriber user-detect { icmpv6 | nd } retry retries interval interval
缺省情況下,IPv6 IPoE接入用戶在線探測功能處於關閉狀態。
配置的接入端口類型值將作為接入設備向RADIUS服務器發送的RADIUS請求報文的NAS-Port-Type屬性值,用於向RADIUS服務器正確傳遞IPoE接入用戶的接入端口信息。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv4 IPoE接入端口類型。
ip subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情況下,IPv4 IPoE接入端口類型為Ethernet類型。
(4) 配置IPv6 IPoE接入端口類型。
ipv6 subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情況下,IPv6 IPoE接入端口類型為Ethernet類型。
IPoE接入用戶日誌是為了滿足網絡管理員維護的需要,對用戶的上線成功、上線失敗、正常下線和異常下線的信息進行記錄,包括用戶名、IP地址、接口名稱、兩層VLAN、MAC地址、上線失敗原因、下線原因等。設備生成的IPoE日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
為了防止設備輸出過多的IPoE日誌信息,一般情況下建議不要開啟此功能。
(1) 進入係統視圖。
system-view
(2) 開啟IPv4 IPoE接入用戶日誌信息功能。
ip subscriber access-user log enable [ successful-login | failed-login | logout [ normal ] [ abnormal ] ] *
缺省情況下,IPv4 IPoE接入用戶日誌信息功能處於關閉狀態。
(3) 開啟IPv6 IPoE接入用戶日誌信息功能。
ipv6 subscriber access-user log enable [ successful-login | failed-login | logout [ normal ] [ abnormal ] ] *
缺省情況下,IPv6 IPoE接入用戶日誌信息功能處於關閉狀態。
IPoE用戶進行認證時,需要按照運營商要求的封裝格式向RADIUS服務器傳遞NAS-PORT-ID屬性,該屬性標識了用戶所處的物理位置。
NAS-PORT-ID屬性支持兩種封裝格式:
· version 1.0:發送給RADIUS服務器的NAS-PORT-ID屬性以電信163大後台要求的格式填充。
· version 2.0:發送給RADIUS服務器的NAS-PORT-ID屬性以YDT 2275-2011寬帶接入用戶線路(端口)標識要求的格式填充。
在DHCP中繼組網環境中,當接入設備采用version 2.0格式封裝RADIUS NAS-PORT-ID屬性時,可以配置信任DHCPv4 報文中的Option82或DHCPv6報文中的Option18,並在提取出的Option82 或Option18的Circuit-ID子選項中插入NAS信息後,使用該子選項內容填充NAS-PORT-ID屬性。插入的新NAS信息標識了用戶在本設備上的接入位置。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 為IPv4 IPoE接入用戶配置NAS-PORT-ID屬性的封裝格式。
ip subscriber nas-port-id format cn-telecom { version1.0 | version2.0 }
缺省情況下,按version 1.0格式填充RADIUS的NAS-PORT-ID屬性。
(4) (可選)配置信任DHCPv4報文中的Option 82。
ip subscriber trust option82
缺省情況下,不信任DHCPv4報文中的Option 82。
(5) (可選)配置在提取出的Option 82 Circuit-ID子選項內容中插入NAS信息,並使用插入NAS信息後的內容作為NAS-PORT-ID屬性。
ip subscriber nas-port-id nasinfo-insert
缺省情況下,如果收到的DHCPv4報文帶有Option 82 Circuit-ID子選項,則直接使用該子選項內容作為NAS-PORT-ID屬性內容。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 為IPv6 IPoE接入用戶配置NAS-PORT-ID屬性的封裝格式。
ipv6 subscriber nas-port-id format cn-telecom { version1.0 | version2.0 }
缺省情況下,按version 1.0格式填充RADIUS的NAS-PORT-ID屬性。
(4) (可選)配置信任DHCPv6報文中的Option 18。
ipv6 subscriber trust option18
缺省情況下,不信任DHCPv6報文中的任何Option。
(5) (可選)配置在提取出的Option 18內容中插入NAS信息,並使用插入NAS信息後的內容作為NAS-PORT-ID屬性。
ipv6 subscriber nas-port-id nasinfo-insert
缺省情況下,如果收到的DHCPv6報文帶有Option 18,則直接使用該選項內容作為發往RADIUS服務器的NAS-PORT-ID屬性內容。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IPoE的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除IPoE統計信息。
表1-1 IPv4 IPoE顯示和維護
|
操作 |
命令 |
|
顯示IPv4個人IPoE會話信息 |
display ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name ] [ slot slot-number ] [ verbose ] |
|
顯示IPv4 IPoE接口專線用戶信息 |
display ip subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示IPv4 IPoE子網專線用戶信息 |
display ip subscriber subnet-leased [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示已經上線和正在上線的IPv4 IPoE個人用戶統計信息 |
display ip subscriber session statistics [ session-type { dhcp | static | unclassified-ip } ] [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示已經上線和正在上線的IPv4 IPoE接口專線用戶統計信息 |
display ip subscriber interface-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示已經上線和正在上線的IPv4 IPoE子網專線用戶統計信息 |
display ip subscriber subnet-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示IPv4 IPoE用戶下線原因的統計信息 |
display ip subscriber offline statistics [ interface interface-type interface-number ] |
|
清除動態個人IPv4 IPoE會話,強製用戶下線 |
reset ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | username name ] |
|
清除IPv4 IPoE用戶下線原因統計信息 |
reset ip subscriber offline statistics [ interface interface-type interface-number ] |
表1-2 IPv6 IPoE顯示和維護
|
操作 |
命令 |
|
顯示IPv6個人IPoE會話信息 |
display ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name ] [ slot slot-number ] [ verbose ] |
|
顯示IPv6 IPoE接口專線用戶信息 |
display ipv6 subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示IPv6 IPoE子網專線用戶信息 |
display ipv6 subscriber subnet-leased [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示已經上線和正在上線的IPv6 IPoE個人用戶統計信息 |
display ipv6 subscriber session statistics [ session-type { dhcp | ndrs | static | unclassified-ip } ] [ interface interface-type interface-number ] [slot slot-number ] |
|
顯示已經上線和正在上線的IPv6 IPoE接口專線用戶統計信息 |
display ipv6 subscriber interface-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示已經上線和正在上線的IPv6 IPoE子網專線用戶統計信息 |
display ipv6 subscriber subnet-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示IPv6 IPoE用戶下線原因的統計信息 |
display ipv6 subscriber offline statistics [ interface interface-type interface-number ] |
|
清除動態個人IPv6 IPoE會話,強製用戶下線 |
reset ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | username name ] |
|
清除IPv6 IPoE用戶下線原因統計信息 |
reset ipv6 subscriber offline statistics [ interface interface-type interface-number ] |
網絡連接正常且接口上的IPoE配置正確的情況下,某些DHCP客戶端無法正常進行認證。
· 當DHCP客戶端發送的報文裏攜帶了指定的Option(DHCPv4為Option 60,DHCPv6為Option 16)時,若該Option內容對應的ISP域在接入設備上不存在,則無法進行認證。
· 當接口上指定了IPoE用戶認證時使用的ISP域,且DHCP客戶端發送的報文裏未攜帶指定的Option時,若接口上指定的ISP域在接入設備上不存在,則無法進行認證。
通過調試信息或抓包工具查看DHCP客戶端報文中是否攜帶Client-ID Option:
(1) 若報文中攜帶了指定的Option(DHCPv4為Option 60,DHCPv6為Option 16),則查看其內容,並在接入設備上配置與之同名的ISP域。
(2) 若報文中未攜帶指定的Option,則查看接口上是否指定了ISP域。若指定了ISP域,則在接入設備上配置與之同名的ISP域。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
