12-H3C vBRAS支持PPP静默功能典型配置举例-5W100
本章节下载: 12-H3C vBRAS支持PPP静默功能典型配置举例-5W100 (166.24 KB)
H3C vBRAS系列虚拟宽带远程接入服务器PPP静默功能典型配置举例
Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
开启PPP用户静默功能后,当某PPP用户在检测周期内连续认证失败达次数达到允许的最大值时,将被静默一段时间,在静默周期内设备直接丢弃来自此PPP用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该PPP用户的认证报文而对设备性能造成影响。静默期后,如果设备再次收到该PPP用户的报文,则依然可以对其进行认证处理。
在设备重启或者版本升级等情况下,为避免大量PPPoE用户的突发上线请求对设备性能造成影响,同时又确保PPPoE用户能够平稳上线,可以通过本命令调整设备接收PADI报文的速率。
在PPPoE链路建立过程的Discovery阶段,PPPoE Client会通过发送PADI/PADR报文寻找可为其提供接入服务的PPPoE Server,并可在PPPoE会话建立起来后的任意时间发送PADT报文终止PPPPoE会话。
为防止大量用户频繁上下线或非法用户通过协议报文发起攻击占用设备大量系统资源,可配置PPPoE用户静默功能。配置本功能后,当某PPPoE用户在检测周期内的上下线次数或请求连接次数达到指定次数时,将被静默一段时间,在静默周期内设备直接丢弃来自此PPPoE用户的报文。静默期后,如果设备再次收到该PPPoE用户的报文,则依然可以对其进行认证处理。
设备目前支持基于MAC地址和基于Option 105两种方式的PPPoE用户静默功能。
· 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
· 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 本文档假设您已了解PPPoE、L2TP等特性。
· 对于用户名相同但属于不同认证域的PPP用户,设备将会对其分别进行认证失败统计,并分别进行静默
· 您既可在系统视图下配置本命令也可在接口视图下配置本命令,前者对所有PPPoE用户生效,后者只对通过该接口接入的PPPoE用户生效。如果在两个视图下都配置本命令,则先达到静默条件的命令生效。
· 开启基于MAC地址的PPPoE静默功能后,设备将根据用户MAC地址、最外层VLAN ID和用户接入接口所在slot三个字段信息唯一标识一个静默用户。
如图1所示,以太网内的主机可以通过PPPoE接入vBRAS,并在vBRAS上开启静默功能。
· HostA和HostB作为PPPoE Client,运行PPPoE客户端拨号软件。
· vBRAS作为PPPoE Server,配置本地CHAP认证,并通过PPP地址池为主机分配IP地址。
· 在vBRAS上开启静默功能后,可以将符合条件的用户静默。
图1 PPP静默功能典型配置举例组网图
本举例是在vBRAS1000_H3C-CMW710-E1116-X64版本上进行配置和验证的。
· PPP静默功能以用户名+域名来区分不同用户。对于用户名相同但属于不同认证域的PPP用户,设备将会对其分别进行认证失败统计,并分别进行静默。
· PPPoE静默表项只存在用户上线的接口板上,不会主备同步,接口板重启后表项会丢失。
· pppoe-server connection chasten可在系统视图下配置也可在接口视图下配置,同时配置时先达到静默条件的配置生效。静默功能以外层VLAN+MAC+SLOT的方式来区分不同的用户,与内层VLAN无关。
# 配置RADIUS认证方案。
[vBRAS] radius scheme rs1
[vBRAS-radius-rs1] primary authentication 10.1.1.2
[vBRAS-radius-rs1] primary accounting 10.1.1.2
[vBRAS-radius-rs1] key authentication simple radius
[vBRAS-radius-rs1] key accounting simple radius
[vBRAS-radius-rs1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端,并使用PPP地址池为对端分配IP地址,并配置为对端指定DNS服务器的IP地址。
[vBRAS] interface virtual-template 1
[vBRAS-Virtual-Template1] ppp authentication-mode chap domain dm1
[vBRAS-Virtual-Template1] remote address pool 1
[vBRAS-Virtual-Template1] quit
# 配置PPP地址池(包含9个可分配的IP地址),和地址池网关地址。
[vBRAS] ip pool 1 1.1.1.2 1.1.1.10
[vBRAS] ip pool 1 gateway 1.1.1.1
# 在接口GigabitEthernet1/0/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface gigabitethernet 1/1/0
[vBRAS-GigabitEthernet1/1/0] pppoe-server bind virtual-template 1
[vBRAS-GigabitEthernet1/1/0] quit
# 创建ISP域dm1,配置域用户使用Radius认证方案。
[vBRAS] domain name dm1
[vBRAS-isp-dm1] authentication ppp radius-scheme rs1
[vBRAS-isp-dm1] authorization ppp radius-scheme rs1
[vBRAS-isp-dm1] accounting ppp radius-scheme rs1
[vBRAS-isp-dm1] quit
# PPPoE用户静默功能与PPP用户静默功能可单独使用的,互不影响。若对vBRAS进行保护,推荐使用PPPoE用户静默功能。若对AAA服务器进行保护,推荐使用PPP用户静默功能。两个功能的配置分别如下:
· 在接口GigabitEthernet1/1/0上启用PPPoE静默功能,当用户在60秒内发起上线请求5次后,将此用户静默600秒。
[vBRAS-GigabitEthernet1/1/0] pppoe-server connection chasten 5 60 600
[vBRAS-GigabitEthernet1/1/0] quit
· 配置PPP用户静默功能,当用户在300秒内连续10次认证失败后,将此用户静默600秒。
[vBRAS] ppp authentication chasten 10 300 600
# 显示GigabitEthernet1/1/0接口上静默功能检测到的PPPoE用户统计信息。
<vBRAS> display pppoe-server chasten statistics interface gigabitethernet 1/1/0
Statistics of users possibly to be blocked:
Non-quickoffline by MAC : 0
Quick-offline by MAC : 0
Non-quickoffline by Option105 : 0
Quick-offline by Option105 : 0
Statistics of users blocked:
Non-quickoffline by MAC : 0
Quickoffline by MAC : 1
Non-quickoffline by Option105 : 0
Quickoffline by Option105 : 0
表1 display pppoe-server chasten statistics命令显示信息描述表
字段 |
描述 |
Statistics of users possibly to be blocked |
可能被静默的PPPoE用户的统计信息 |
Statistics of users blocked |
被静默的PPPoE用户统计信息 |
Non-quickoffline by MAC |
基于MAC地址并因在检测周期内请求连接的次数达到指定次数被静默的用户总数 |
Quick-offline by MAC |
基于MAC地址并因在检测周期内上线后立即下线的次数达到指定次数被静默的用户总数 |
Non-quickoffline by Option105 |
基于Option105并因在检测周期内请求连接的次数达到指定次数被静默的用户总数 |
Quick-offline by Option105 |
基于Option105并因在检测周期内上线后立即下线的次数达到指定次数被静默的用户总数 |
# 显示所有的静默PPPoE用户信息。
<vBRAS> display pppoe-server chasten user slot 1
Slot 1:
Type: N-non-Quickoffline Q-Quickoffline
MAC/Option105 VLAN ID Interface Aging(S) Type Drops
0001-0001-0001 N/A GE1/1/0 89 N 1000
circuitid:123 N/A GE1/1/0 10 Q 1000
remoteid:abcde
表2 display pppoe-server chasten user命令显示信息描述表
字段 |
描述 |
MAC/Option105 |
基于MAC地址或Option105被静默的PPPoE用户,其中: · 基于MAC地址被静默时显示为被静默用户的MAC地址 · 基于Option05被静默时显示为被静默用户的Circuit ID和Remote ID |
VLAN ID |
用户VLAN信息,当用户包含多层VLAN时,本字段仅显示最外层VLAN信息(“N/A”表示用户没有VLAN信息,例如,当用户基于Option105被静默时就没有VLAN信息) |
Interface |
被静默用户的上线接入接口 |
Aging(S) |
工作在普通模式和转控分离控制模式下的设备,本字段表示被静默用户的剩余老化时间;工作在转发模式下的设备,本字段没有意义,统一显示为0 |
Type |
被静默用户的类型,基于MAC地址和基于Option105被静默的静默类型含义有所不同,具体如下: · 对于基于MAC地址被静默的用户: ¡ N:表示用户因在检测周期内请求连接的次数达到指定次数被静默 ¡ Q:表示用户因在检测周期内上线后立即下线的次数达到指定次数被静默 · 对于基于Option105被静默的用户: ¡ N:表示用户因在检测周期内请求连接的次数达到指定次数被静默 ¡ Q:表示用户因在检测周期内上线后立即下线的次数达到指定次数被静默 |
Drops |
设备当前已经丢弃该静默用户的PPPoE协议报文数 |
# 显示PPP静默功能检测到的用户统计信息。
<vBRAS> display ppp chasten statistics
Blocked users : 1
Auth-failed users : 1
表3 display ppp chasten statistics命令显示信息描述表
字段 |
描述 |
Blocked users |
处于静默状态的PPP用户总数 |
Auth-failed users |
已检测到认证失败记录但尚未达到静默条件的PPP用户总数 |
# 显示处于静默状态的PPP用户信息。
<vBRAS> display ppp chasten user blocked
Username Domain Aging(S)
aaa aaa 34
# 显示已有认证失败记录但尚未达到静默条件的PPP用户信息。
<vBRAS> display ppp chasten user auth-failed
Username Domain Auth-failures
bbb bbb 5
表4 display ppp chasten user命令显示信息描述表
字段 |
描述 |
Username |
已检测到的PPP用户的用户名 |
Domain |
PPP用户所属的认证域 |
Aging(S) |
对于已被静默的PPP用户,此字段表示该静默用户的剩余老化时间,单位为秒 |
Auth-failures |
对于检测周期内已有认证失败记录但尚未达到静默条件的PPP用户,此字段表示在检测周期内该用户已连续认证失败次数 |
#
sysname vBRAS
#
ip pool 1 1.1.1.2 1.1.1.10
ip pool 1 gateway 1.1.1.1
ppp authentication chasten 10 300 600
#
interface Virtual-Template1
ppp authentication-mode chap domain dm1
remote address pool 1
#
interface GigabitEthernet1/1/0
port link-mode route
pppoe-server connection chasten 5 60 600
pppoe-server bind virtual-template 1
#
interface GigabitEthernet1/2/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
radius scheme rs1
primary authentication 10.1.1.2
primary accounting 10.1.1.2
key authentication simple radius
key accounting simple radius
#
domain name dm1
authentication ipoe radius-scheme rs1
authorization ipoe radius-scheme rs1
accounting ipoe radius-scheme rs1
#
return
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/jsp/ir/fileList.do?classID=103&fileID=165210配置指导
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/jsp/ir/fileList.do?classID=103&fileID=165210命令参考
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!