• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

16-BRAS业务命令参考

目录

11-IPoE命令

本章节下载 11-IPoE命令  (1.54 MB)

11-IPoE命令

目  录

1 IPoE

1.1 IPoE配置命令

1.1.1 add interface

1.1.2 display ip subscriber abnormal-logout

1.1.3 display ip subscriber chasten user auth-failed

1.1.4 display ip subscriber chasten user quiet

1.1.5 display ip subscriber auto-save

1.1.6 display ip subscriber auto-save file-status

1.1.7 display ip subscriber auto-save statistics

1.1.8 display ip subscriber http-defense blocked-destination-ip

1.1.9 display ip subscriber http-defense free-destination-ip

1.1.10 display ip subscriber http-defense unblocked-destination-ip

1.1.11 display ip subscriber static-session configuration

1.1.12 display static-user interface-list

1.1.13 ip subscriber 8021p

1.1.14 ip subscriber abnormal-logout max-user

1.1.15 ip subscriber access-block

1.1.16 ip subscriber access-delay

1.1.17 ip subscriber access-line-id circuit-id trans-format

1.1.18 ip subscriber access-line-id remote-id trans-format

1.1.19 ip subscriber access-out

1.1.20 ip subscriber access-trigger loose

1.1.21 ip subscriber authentication chasten

1.1.22 ip subscriber authentication-method

1.1.23 ip subscriber captive-bypass enable

1.1.24 ip subscriber auto-save max-user

1.1.25 ip subscriber auto-save-file

1.1.26 ip subscriber auto-save-file now

1.1.27 ip subscriber auto-recover enable

1.1.28 ip subscriber auto-recover speed

1.1.29 ip subscriber basic-service-ip-type

1.1.30 ip subscriber dhcp domain

1.1.31 ip subscriber dhcp domain include

1.1.32 ip subscriber dhcp max-session

1.1.33 ip subscriber dhcp option60 match

1.1.34 ip subscriber dhcp password

1.1.35 ip subscriber dhcp rate-limit

1.1.36 ip subscriber recover-file

1.1.37 ip subscriber save-file

1.1.38 ip subscriber dhcp username

1.1.39 ip subscriber dhcp-release-ip dot1x-offline

1.1.40 ip subscriber dhcpv6 max-session

1.1.41 ip subscriber dhcpv6 match

1.1.42 ip subscriber dhcpv6 password option16

1.1.43 ip subscriber dhcpv6 rate-limit

1.1.44 ip subscriber dot1x-offline user-offline

1.1.45 ip subscriber dscp

1.1.46 ip subscriber enable

1.1.47 ip subscriber http-defense destination-ip enable

1.1.48 ip subscriber http-defense destination-ip threshold

1.1.49 ip subscriber http-defense free-destination-ip

1.1.50 ip subscriber http-fast-reply enable

1.1.51 ip subscriber if-match

1.1.52 ip subscriber initiator arp enable

1.1.53 ip subscriber initiator ndrs enable

1.1.54 ip subscriber initiator nsna enable

1.1.55 ip subscriber initiator unclassified-ip enable

1.1.56 ip subscriber initiator unclassified-ipv6 enable

1.1.57 ip subscriber interface-leased

1.1.58 ip subscriber l2vpn-leased

1.1.59 ip subscriber lease-end-time original

1.1.60 ip subscriber mac-auth domain

1.1.61 ip subscriber max-session

1.1.62 ip subscriber nas-port-id format

1.1.63 ip subscriber nas-port-id interface

1.1.64 ip subscriber nas-port-id nasinfo-insert

1.1.65 ip subscriber ndrs domain

1.1.66 ip subscriber ndrs max-session

1.1.67 ip subscriber ndrs username

1.1.68 ip subscriber ndrs user-detect-address eui-64

1.1.69 ip subscriber ndrs wait-delegation-prefix

1.1.70 ip subscriber password

1.1.71 ip subscriber pre-auth domain

1.1.72 ip subscriber pre-auth track

1.1.73 ip subscriber reauth

1.1.74 ip subscriber roaming enable

1.1.75 ip subscriber service-identify

1.1.76 ip subscriber session static (interface view)

1.1.77 ip subscriber session static (system view)

1.1.78 ip subscriber session static-leased

1.1.79 ip subscriber session-conflict action offline

1.1.80 ip subscriber static-dot1x-user enable

1.1.81 ip subscriber static-session request-online interval

1.1.82 ip subscriber subnet-leased

1.1.83 ip subscriber timer quiet

1.1.84 ip subscriber trust

1.1.85 ip subscriber unclassified-ip domain

1.1.86 ip subscriber unclassified-ip ip match

1.1.87 ip subscriber unclassified-ip ipv6 match

1.1.88 ip subscriber unclassified-ip max-session

1.1.89 ip subscriber unclassified-ip username

1.1.90 ip subscriber unclassified-ipv6 max-session

1.1.91 ip subscriber username

1.1.92 ip subscriber user-detect ip

1.1.93 ip subscriber user-detect ipv6

1.1.94 ip subscriber vlan

1.1.95 ip subscriber web-auth domain

1.1.96 ip subscriber web-redhcp enable

1.1.97 reset ip subscriber abnormal-logout

1.1.98 reset ip subscriber chasten user auth-failed

1.1.99 reset ip subscriber chasten user quiet

1.1.100 reset ip subscriber http-defense destination-ip

1.1.101 static-user interface-list

1.2 Portal配置命令

1.2.1 aging-time

1.2.2 authentication-timeout

1.2.3 binding-retry

1.2.4 default-logon-page

1.2.5 display portal ip-subscriber message statistics

1.2.6 display portal mac-trigger entry

1.2.7 display portal mac-trigger-server

1.2.8 display portal mac-trigger-server packet statistics

1.2.9 display portal packet statistics

1.2.10 display portal server

1.2.11 display portal session user-type

1.2.12 exclude-attribute

1.2.13 free-traffic threshold

1.2.14 ip (MAC binding server view)

1.2.15 ip (portal authentication server view)

1.2.16 ipv6

1.2.17 logon-page bind

1.2.18 logout-notify

1.2.19 nas-port-type

1.2.20 port (MAC binding server view)

1.2.21 port (portal authentication server view)

1.2.22 portal { bas-ip | bas-ipv6 } (system view/interface view)

1.2.23 portal access-info trust

1.2.24 portal apply mac-trigger-server

1.2.25 portal local-web-server

1.2.26 portal mac-trigger-server

1.2.27 portal server

1.2.28 reset portal ip-subscriber message statistics

1.2.29 reset portal mac-trigger-server packet statistics

1.2.30 reset portal packet statistics

1.2.31 server-detect (portal authentication server view)

1.2.32 server-register

1.2.33 server-type

1.2.34 server-type (MAC binding server view)

1.2.35 tcp-port

1.2.36 user-sync

1.2.37 version


1 IPoE

注意

在转发与控制分离组网中,本设备仅作为UP设备角色,对于本手册中的操作类命令(即display命令除外),需要注意的是:

·     如果命令已标注“(UP设备)”,则表示该类命令仅允许在UP设备上配置,且配置前务必详细了解该配置对当前网络的影响,以免配置错误导致网络故障。

·     如果命令未做任何标注,则表示该类命令缺省仅在CP设备上进行配置,若必须在UP设备上配置,请在专业人士指导下进行,且配置前务必详细了解该配置对当前网络的影响,以免配置错误导致网络故障。

1.1  IPoE配置命令

1.1.1  add interface

add interface命令用来将接口加入到静态用户接口列表。

undo add interface命令用来将指定接口从静态用户接口列表中删除。

【命令】

add interface interface-type interface-number

undo add interface interface-type interface-number

【缺省情况】

未将接口加入到静态用户接口列表。

【视图】

静态用户接口列表视图

【缺省用户角色】

network-admin

【参数】

interface-type interface-number:接口类型和接口编号。

 【使用指导】

当同一地址段的多个IPoE静态用户,需要从指定的多个接入接口进行上线时,需要先执行static-user interface-list创建静态用户接口列表,然后再执行add interface命令将那些允许静态用户接入的接口加入到静态用户接口列表中。

同一个接口最多只允许加入到一个静态用户接口列表。

【举例】

# 将接口Ten-GigabitEthernet3/1/1入到静态用户接口列表2。

<Sysname> system-view

[Sysname] static-user interface-list 2

[Sysname-static-interface-list2] add interface ten-gigabitethernet 3/1/1

【相关命令】

·     display static-user interface-list

·     static-user interface-list

1.1.2  display ip subscriber abnormal-logout

display ip subscriber abnormal-logout命令用来显示IPoE异常下线用户的表项信息。

【命令】

(独立运行模式)

display ip subscriber abnormal-logout [ access-type { dhcpv4 | dhcpv6 | ndrs } | { mac mac-address | ip-type { ipv4 | ipv6 } } * | { ip ipv4-address | ipv6 ipv6-address | ipv6-prefix prefix-address/prefix-length } ] [ verbose ] [ slot slot-number ]

(IRF模式)

display ip subscriber abnormal-logout [ access-type { dhcpv4 | dhcpv6 | ndrs } | { mac mac-address | ip-type { ipv4 | ipv6 } } * | { ip ipv4-address | ipv6 ipv6-address | ipv6-prefix prefix-address/prefix-length } ] [ verbose ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type:显示指定接入类型的异常下线用户的表项信息。

·     dhcpv4:显示DHCPv4类型异常下线用户的表项信息。

·     dhcpv6:显示DHCPv4类型异常下线用户的表项信息。

·     ndrs:显示NDRS类型的异常下线用户的表项信息。

mac mac-address:显示指定源MAC地址的异常下线用户的表项信息,mac-address为用户MAC地址,形式为H-H-H。

ip-type:显示指定IP协议类型的异常下线用户的表项信息。

ipv4:显示IPv4异常下线用户的表项信息。

ipv6:显示IPv6异常下线用户的表项信息。

ip ipv4-address:显示指定源IPv4地址的异常下线用户的表项信息,ipv4-address为指定的IPv4地址。

ipv6 ipv6-address:显示指定源IPv6地址的异常下线用户的表项信息,ipv6-address为指定的IPv6地址。

ipv6-prefix prefix-address/prefix-length:显示指定IPv6前缀的异常下线用户的表项信息,prefix-address表示用户的IPv6地址前缀,prefix-length表示用户的IPv6前缀长度。

verbose:显示异常下线用户的详细表项信息。如果不指定该参数,则只显示异常下线用户的简要表项信息。

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定全局主用主控板。(IRF模式)

【使用指导】

在开启IPoE功能的情况下,因接入接口Down或误操作(例如执行cut access-user命令误删)等原因导致在线IPoE用户的会话被删除时,设备会自动记录异常下线用户的表项信息(可通过display ip subscriber abnormal-logout命令查看)。

为确保用户异常下线后可以通过报文重新触发上线,必须配置相应的报文触发方式,具体配置请参见配置手册中的“配置允许用户异常下线后通过报文重新触发上线”章节。

【举例】

# 显示指定slot上的异常下线用户的简要表项信息。

<Sysname> display ip subscriber abnormal-logout slot 0

Total entries: 2

IP/IPv6 address                               MAC address         S-/C-VLAN

2.2.2.3                                       000c-1983-7712      -/-

2::3                                          000c-1983-7712      -/-

表1-1 display ip subscriber abnormal-logout命令显示信息描述表

字段

描述

Total entries

异常下线用户的表项总个数

针对每个IPoE异常下线用户,最多存在三条异常下线表项,即IPv4、IPv6(包括PD前缀)和NDRS各一个

IP/IPv6 address

用户的IPv4或IPv6地址

MAC address

用户的MAC地址

S-/C-VLAN

用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息)

 

# 显示所有异常下线用户的详细表项信息。

<Sysname> display ip subscriber abnormal-logout verbose

  IP address          : 1.1.1.1

  IPv6 PD Prefix      : -

  IPv6 ND Prefix      : -

  MAC address         : 000d-88f8-0eab

  S-VLAN/C-VLAN       : -/-

  Access type         : DHCPv4

  Access interface    : Ten-GigabitEthernet3/1/1

  Virtual MAC address : -

  Offline reason      : cut command

  Aging               : May 9 10:05:29 2019

  VSRP instance       : N/A

  UP ID               : -

  UP backup profile   : -

 

  IPv6 address        : 1::1

  IPv6 PD Prefix      : -

  IPv6 ND Prefix      : -

  MAC address         : 000d-88f8-0eab

  S-VLAN/C-VLAN         : -/-

  Access type         : DHCPv6

  Access interface    : Ten-GigabitEthernet3/1/1

  Virtual MAC address : -

  Offline reason      : cut command

  Aging               : May 9 10:05:29 2019

  VSRP instance       : N/A

  UP ID               : -

  UP backup profile   : -

表1-2 display ip subscriber abnormal-logout命令显示信息描述表

字段

描述

IP address

用户的IPv4地址

IPv6 address

用户的IPv6地址

IPv6 PD Prefix

用户的IPv6 PD前缀(若不存在,则显示“-”)

IPv6 ND Prefix

用户的IPv6 ND前缀(若不存在,则显示“-”)

MAC address

用户的MAC地址

S-VLAN/C-VLAN

用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息)

Access type

用户的接入类型,取值包括:

·     DHCPv4:DHCPv4接入用户

·     DHCPv6:DHCPv6接入用户

·     NDRS:ND RS接入用户

Access interface

用户的接入接口(在UP备份组网中该字段表示UP备份策略模板中配置的主接口或该主接口对应的子接口)

Virtual MAC address

用户上线接口的虚MAC地址,该字段仅在UP备份组网中的1:N温备负载分担模式下有意义,其它情况下无意义固定显示为“-”

Offline reason

用户的异常下线原因,具体详细下线原因参考UCM用户上下线日志手册

Aging

异常下线用户表项的老化时间点(N/A表示异常下线用户表项永不老化)

需要注意的是,如果在异常下线用户表项老化前,管理员修改了设备的系统时间,为保持表项实际生效的老化时长不变,设备会根据修改后的系统时间自动调整异常下线用户表项的老化时间点

VSRP instance

(暂不支持)多机备份实例名称(“N/A”表示没有VSRP实例)

UP ID

(暂不支持)异常下线用户的UP ID(“-”表示没有UP ID,例如非vBRAS-CP设备)

UP backup profile

(暂不支持)UP备份策略模板编号(“-”表示没有UP backup profile,例如非vBRAS-CP设备)

 

【相关命令】

·     ip subscriber initiator arp enable

·     ip subscriber initiator unclassified-ip enable

·     reset ip subscriber abnormal-logout

1.1.3  display ip subscriber chasten user auth-failed

display ip subscriber chasten user auth-failed命令用来显示有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。

【命令】

(独立运行模式)

display ip subscriber chasten user auth-failed [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ slot slot-number ]

(IRF模式)

display ip subscriber chasten user auth-failed [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口上有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。

ip ipv4-address:显示指定源IPv4地址的有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,ipv4-address为指定的IPv4地址。

ipv6 ipv6-address:显示指定源IPv6地址的有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,ipv6-address为指定的IPv6地址。

mac mac-address:显示指定源MAC地址有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息,mac-address为用户MAC地址,形式为H-H-H。

user-type:显示指定用户类型的有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。

dhcp:表示DHCPv4接入用户。

dhcpv6:表示DHCPv6接入用户。

ndrs:表示IPv6 ND RS接入用户。

unclassified-ip:表示未知源IPv4接入用户。

unclassified-ipv6:表示未知源IPv6接入用户。

static:表示静态接入用户。

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)

【使用指导】

IPoE转发与控制分离组网环境下,本命令仅在CP上执行生效。

【举例】

# 显示接口Ten-GigabitEthernet3/1/1上有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。

<Sysname> display ip subscriber chasten user auth-failed interface ten-gigabitethernet 3/1/1

Interface           IP address           MAC address    SVLAN/CVLAN Failures

XGE3/1/1            6.6.6.2              248c-c3d1-0406 -/-         7

表1-3 display ip subscriber chasten user auth-failed命令显示信息描述表

字段

描述

Interface

用户所在的接口名称

IP address

用户的IP地址

MAC address

用户的MAC地址

SVLAN/CVLAN

用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息)

Failures

IPoE用户已连续认证失败的次数(N/A表示待老化表项)

 

【相关命令】

·     ip subscriber authentication chasten

·     ip subscriber timer quiet

·     reset ip subscriber chasten user auth-failed

1.1.4  display ip subscriber chasten user quiet

display ip subscriber chasten user quiet命令用来显示被静默IPoE用户的信息。

【命令】

(独立运行模式)

display ip subscriber chasten user quiet [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ verbose ] [ slot slot-number ]

(IRF模式)

display ip subscriber chasten user quiet [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address | user-type { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 | static } ] [ verbose ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口上被静默IPoE用户的信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,将显示所有接口上被静默IPoE用户的信息。

ip ipv4-address:显示指定IPv4地址的被静默IPoE用户的信息,ipv4-address表示用户IPv4地址。

ipv6 ipv6-address:显示指定IPv6地址的被静默IPoE个人接入用户信息,ipv6-address表示用户IPv6地址。

mac mac-address:显示指定MAC地址被静默IPoE用户的信息,mac-address表示用户MAC地址,形式为H-H-H。

user-type:显示指定用户类型的被静默IPoE用户的信息。

·     dhcp:表示DHCPv4接入用户。

·     dhcpv6:表示DHCPv6接入用户。

·     ndrs: 表示IPv6 ND RS接入用户。

·     unclassified-ip:表示未知源IPv4接入用户。

·     unclassified-ipv6:表示未知源IPv6接入用户。

·     static:表示静态接入用户。

verbose:显示被静默的IPoE个人接入用户的详细信息。如果未指定该参数,则只显示用户的简要信息。

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)

【使用指导】

IPoE转发与控制分离组网环境下,本命令仅在CP上执行生效。

【举例】

# 显示接口Ten-GigabitEthernet3/1/1上被静默IPoE用户的信息。

<Sysname> display ip subscriber chasten user quiet interface ten-gigabitethernet 3/1/1

Type: D-DHCP   S-Static     U-Unclassified-IP     N-NDRS

Interface           IP address               MAC address     Type Aging(s)

XGE3/1/1            6.6.6.2                  248c-c3d1-0406  U    7

表1-4 display ip subscriber chasten user quiet命令显示信息描述表

字段

描述

Interface

用户所在的接口名称

IP address

用户的IP地址

MAC address

用户的MAC地址

Type

IPoE用户类型:

·     D:DHCP接入用户

·     S:静态接入用户

·     U:未知源IP接入用户

·     N:IPv6 ND RS接入用户

Aging(s)

静默用户的剩余老化时间,单位为秒

 

# 显示接口Ten-GigabitEthernet3/1/1上被静默的IPoE用户的详细信息。(独立运行模式)

<Sysname> display ip subscriber chasten user quiet interface ten-gigabitethernet 3/1/1 verbose

Username                       : 1.1.1.10

  Domain                       : dm0

  IP address                   : 1.1.1.10

  MAC address                  : 4649-e2cf-0216

  Service-VLAN/Customer-VLAN   : -/-

  Access interface             : XGE3/1/1

  Service node                 : Slot 3

  Access Type                  : Unclassified-IP

  Aging                        : 41 sec

表1-5 display ip subscriber chasten user quiet verbose命令显示信息描述表

字段

描述

Username

用户认证时使用的用户名

Domain

用户认证时使用的认证域名

IP address

用户的IP地址

MAC address

用户的MAC地址

Service-VLAN/Customer-VLAN

用户所在的外层VLAN/内层VLAN(“-”表示没有VLAN信息)

Access interface

用户接入的接口名称

Service node

为用户提供认证服务的节点信息

Access Type

IPoE个人接入用户的接入类型:

·     DHCP:DHCP接入用户

·     Unclassified-IP:未知源IP接入用户

·     NDRS:IPv6 ND RS 接入用户

·     Static:静态接入用户

Aging

静默用户的剩余老化时间,单位为秒

 

【相关命令】

·     ip subscriber timer quiet

·     reset ip subscriber chasten user quiet

1.1.5  display ip subscriber auto-save

display ip subscriber auto-save命令用来显示自动备份的IPoE用户信息

【命令】

(独立运行模式)

display ip subscriber auto-save { access-type { dhcpv4 | dhcpv6 | ndrs } | domain domain-name | ip-type { ipv4 | ipv6 | dual-stack } | mac-address mac-address | online | wait-recover } [ interface interface-type interface-number [ s-vlan s-vlan [ c-vlan c-vlan ] ] ] [ slot slot-number ]

(IRF模式)

display ip subscriber auto-save { access-type { dhcpv4 | dhcpv6 | ndrs } | domain domain-name | ip-type { ipv4 | ipv6 | dual-stack } | mac-address mac-address | online | wait-recover } [ interface interface-type interface-number [ s-vlan s-vlan [ c-vlan c-vlan ] ] ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type:显示指定接入类型的IPoE用户的信息。

·     dhcpv4:显示DHCPv4接入用户的信息。

·     dhcpv6:显示DHCPv6接入用户的信息。

·     ndrs:显示ND RS接入用户的信息。

domain domain-name显示指定ISP域中的IPoE用户信息。domain-name表ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

ip-type:显示指定IP协议类型的IPoE用户的信息。

·     ipv4:显示IPv4用户信息。

·     ipv6:显示IPv6用户信息。

·     dual-stack:显示IP类型为双协议栈的用户信息。

mac-address mac-address:显示自动备份的指定MAC地址的IPoE用户的详细信息。mac-address表示用户的MAC地址,形式为H-H-H。

online:显示处于在线状态的IPoE用户的简要信息。

wait-recover:显示处于等待恢复状态的IPoE用户的简要信息。

interface interface-type interface-number:表示指定接口上的IPoE用户。interface-type interface-numbser表示接口类型和接口编号。

·     s-vlan s-vlan:指定服务提供商VLAN的IPoE用户。s-vlan表示VLAN ID,取值范围为1~4094。

·     c-vlan c-vlan:指定用户VLAN的IPoE用户。c-vlan表示VLAN ID,取值范围为1~4094。

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定全局主用主控板。(IRF模式)

【举例】

# 显示自动备份的处于online状态的IPoE用户的简要信息。

<Sysname> display ip subscriber auto-save online

MAC address     IP address       Interface                S-/C-VLAN

                IPv6 address

000c-1983-6712  2.2.2.3          XGE3/1/3                 -/-

                -

000c-1983-6713  2.2.2.4          XGE3/1/3                 -/-

                -

000c-1983-6714  2.2.2.5          XGE3/1/3                 -/-

                -

000c-1983-6715  2.2.2.6          XGE3/1/3                 -/-

                -

a6f7-a29f-0206  2.2.2.11         XGE3/1/2                 -/-

                1::2

表1-6 display ip subscriber auto-save online命令显示信息描述表

字段

描述

MAC address

用户MAC地址

IP address

用户IPv4地址(若不存在,则显示“-”)

Interface

用户接入接口

S-/C-VLAN

用户的外层VLAN/内层VLAN(若不存在,则显示“-/-”)

IPv6 address

用户IPv6地址(若不存在,则显示“-”)

 

# 显示自动备份的指定MAC地址的IPoE用户的详细信息。

<Sysname> display ip subscriber auto-save mac-address a6f7-a29f-0206

Basic Info:

  MAC address: a6f7-a29f-0206

  IP address: 2.2.2.11

  IPv6 address: 1::2

  Interface: XGE3/1/2

  Service-VLAN/Customer-VLAN: -/-

  VPN instance: N/A

  Domain: dm1

  Status: Online

DHCPv4 Info:

  DHCP remaining lease: 85557 seconds

DHCPv6 Info:

  DHCPv6 remaining lease: 2588825 seconds

  IPv6 PD prefix: -

  PD prefix length: 0

  IA Type: IANA

  IANA ID: 33554432

  IAPD ID: 0

  Option1:

  0003 0001 a6f7 a29f 0200

# 显示自动备份的指定MAC地址的IPoE用户的详细信息。

<Sysname> display ip subscriber auto-save mac-address 30c8-46a3-0506

Basic Info:

  MAC address: 30c8-46a3-0506

  IP address: -

  IPv6 address: -

  IPv6 ND prefix: 5:6::/64

  Interface: XGE3/1/2

  Service-VLAN/Customer-VLAN: -/-

  VPN instance: N/A

  Domain: dm1

  Status: Online

DHCPv6 Info:

  DHCPv6 remaining lease: 2592000 seconds

  IPv6 PD prefix: 2020:2021::

  PD prefix length: 40

  IA Type: IAPD

  IANA ID: 0

  IAPD ID: 1

  Option1:

  0003 0001 30c8 46a3 0500

表1-7 display ip subscriber auto-save mac-address命令显示信息描述表

字段

描述

Basic Info

自动备份用户的基本信息

MAC address

用户MAC地址

IP address

用户IPv4地址(若不存在,则显示“-”)

IPv6 address

用户IPv6地址(若不存在,则显示“-”)

IPv6 ND prefix

用户IPv6 ND前缀(若不存在,则显示“-”)

Interface

用户接入接口

Service-VLAN/Customer-VLAN

用户的外层VLAN/内层VLAN(若不存在,则显示“-/-”)

VPN instance

用户所属VPN实例(“N/A”表示用户属于公网)

Domain

认证使用的ISP域名

Status

用户的状态:

·     Online:在线状态

·     Wait-Recover:等待恢复上线状态(因故障导致用户异常下线时,设备会将内存中备份的用户状态置为Wait-Recover状态)

DHCPv4 Info

DHCPv4信息(该字段仅在用户获取到IPv4地址时才显示)

DHCP remaining lease

用户的IPv4地址租约剩余时长,单位为秒。其中:

·     “-”:表示无DHCP租约

·     Unlimited:表示租约无限长

Optionn: [m]

DHCPv4 Option信息(该字段仅在用户上线时携带option选项时才显示)。Option内容以十六进制形式显示,n表示option选项的序号,对于存在 子选项的option,m表示该子选项的序号

Optionn取值包括:

·     Option12:DHCPv4 Option12选项内容

·     Option55:DHCPv4 Option55选项内容

·     Option60:DHCPv4 Option60选项内容

·     Option61:DHCPv4 Option61选项内容

·     Option77:DHCPv4 Option77选项内容

·     Option82:DHCPv4 Option82选项内容,包含多个子Option

¡     1:DHCPv4 Option82的第一个子Option

¡     2:DHCPv4 Option82的第二个子Option

¡     9:DHCPv4 Option82的第九个子Option

DHCPv6 Info

DHCPv6信息(该字段仅在用户获取到IPv6全球单播地址或IPv6前缀信息时才显示)

DHCPv6 remaining lease

用户的IPv6地址租约剩余时长,单位为秒。其中:

·     “-”:表示无DHCP租约

·     Unlimited:表示租约无限长

IPv6 PD prefix

用户的IPv6代理前缀(若不存在,则显示“-”)

PD prefix length

用户的IPv6代理前缀长度(若不存在,则显示“-”)

IA type

IA(Identity Association,标识联盟)型:

·     IANA:表示用户通过DHCPv6(IA_NA)方式申请全球单播地址

·     IAPD:表示用户通过DHCPv6(IA_PD)方式申请IPv6代理前缀

·     IANA_IAPD:表示用户通过DHCPv6(IA_NA)方式申请全球单播地址,并通过DHCPv6(IA_PD)方式申请IPv6代理前缀

IANA ID

IANA选项里的ID

IAPD ID

IAPD选项里的ID

Optionn

DHCPv6 Optionn信息,(该字段仅在用户上线时携带option选项时才显示)。Option内容以十六进制形式显示,n表示option选项的序号

Optionn取值包括:

·     Option1:DHCPv6 Option1选项内容

·     Option16:DHCPv6 Option16选项内容

·     Option17:DHCPv6 Option17选项内容

·     Option18:DHCPv6 Option18选项内容

·     Option37:DHCPv6 Option37选项内容

 

【相关命令】

·     access-user auto-save enable(BRAS业务命令参考/AAA)

·     ip subscriber auto-save max-user

1.1.6  display ip subscriber auto-save file-status

display ip subscriber auto-save file-status命令用来显示IPoE用户自动备份功能中的备份文件的状态信息。

【命令】

display ip subscriber auto-save file-status

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

通过本命令可以查看备份文件的存储及恢复信息。例如,在设备重启前,可执行本命令查看内存中的用户数据是否已全部备份到文件中。

从备份文件恢复用户数据时,分为如下两个阶段:

(1)     从备份文件中将用户数据恢复到内存中,并将这些用户状态置为wait-recover。

可执行display ip subscriber auto-save命令并指定wait-recover参数查看处于wait-recover状态用户的详细信息。

(2)     将备份文件中用户数据全部恢复到到内存后,启动延迟恢复定时器(定时器缺省为5秒,可通过ip subscriber auto-recover speed命令中的recover-delay参数配置)。待定时器超时后再将内存中处于wait-recover状态的用户恢复为online状态。

可执行display ip subscriber auto-save命令并指定online参数查看处于online状态用户的详细信息。

本命令显示的数据为全局主用主控板上运行的实时数据,整机重启或主备倒换后该数据将被清除。

【举例】

# 显示IPoE用户自动备份功能中的备份文件的状态信息。

<Sysname> display ip subscriber auto-save file-status

File saving status                                      : Saved

Last file saved users                                   : 1

Last file saved from                                    : 2021-01-24 20:14:22

File recovering status                                  : Recovered

Last file recovered wait-recover users                  : 0

Last file recovered from                                : 2021-01-24 20:08:38

Remaining time to bring wait-recover users online       : 0

表1-8 display ip subscriber auto-save file-status命令显示信息描述表

字段

描述

File saving status

备份文件的存储状态,取值包括:

·     -:系统没有进行过文件备份

·     Saving:正在将内存中的用户数据备份到文件中

·     Saved:已完成将内存中的用户数据备份到文件

Last file saved users

最近一次备份完成后,备份文件中已备份的用户总数

Last file saved from

最近一次备份开始时间(若未进行过文件备份,则显示为“-”)

File recovering status

备份文件的恢复状态,取值包括:

·     -:没有进行过从文件恢复用户的操作

·     Recovering:正在从文件恢复用户

·     Recovered:已完成从文件恢复用户

Last file recovered wait-recover users

最近一次恢复完成后,已从备份文件恢复到内存中的用户总数

Last file recovered from

最近一次从备份文件恢复用户数据的开始时间(若未从文件恢复过数据,则显示为“-”)

Remaining time to bring wait-recover users online

最近一次从文件恢复用户数据到设备内存后,将处于wait-recover状态的用户恢复为online状态前的剩余延迟恢复时间(延迟恢复时间缺省为5秒,可由ip subscriber auto-recover speed命令中的recover-delay参数配置)

 

【相关命令】

·     display ip subscriber auto-save

·     display ip subscriber auto-save statistics

·     ip subscriber auto-recover speed

1.1.7  display ip subscriber auto-save statistics

display ip subscriber auto-save statistics命令用来显示自动备份的IPoE用户的统计信息。

【命令】

(独立运行模式)

display ip subscriber auto-save statistics [ slot slot-number ]

(IRF模式)

display ip subscriber auto-save statistics [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)

【举例】

# 显示自动备份IPoE用户的统计信息。

<Sysname> display ip subscriber auto-save statistics

Max backup users              : 8000

Current online users          : 5

Current wait-recover users    : 4

表1-9 display ip subscriber auto-save statistics命令显示信息描述表

字段

描述

Max backup user number

可自动备份的最大用户数

Current online user number

当前已备份的处于在线状态的用户数

Current wait-recover user number

当前已备份的处于等待恢复上线状态的用户数

 

【相关命令】

·     display ip subscriber auto-save

1.1.8  display ip subscriber http-defense blocked-destination-ip

display ip subscriber http-defense blocked-destination-ip命令用来显示IPoE HTTP/HTTPS防攻击中被阻断的目的IP地址的表项信息。

【命令】

(独立运行模式)

display ip subscriber http-defense blocked-destination-ip [ slot slot-number ]

(IRF模式)

display ip subscriber http-defense blocked-destination-ip [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)

【使用指导】

在IPoE Web组网中,开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能后,设备会对IPoE Web认证前域用户发往任意目的IP地址的HTTP/HTTPS报文进行监测和统计。如果在一个统计周期内,去往某目的IP地址的HTTP/HTTPS报文个数达到被阻断条件,且指定了在达到阻断条件后执行的动作为生成阻断表项,那么设备将生成关于该目的IP地址的阻断表项,阻断时长由ip subscriber http-defense destination-ip enable action block period命令决定。通过本命令可以查看阻断表项的信息。

针对已生成阻断表项的目的IP地址,当阻断时长超时后,设备将删除关于该目的IP地址的阻断表项。

【举例】

# 显示HTTP/HTTPS防攻击中被阻断的目的IP地址的表项信息。(独立运行模式)

<Sysname> display ip subscriber http-defense blocked-destination-ip slot 3

Slot 3:

 Total IPv4 entries: 2

  Destination IPv4 address   Port    VPN instance     Agetime(S)     DrvStatus

  1.1.1.2                    80      aaa              500            Succeeded

  2.2.2.2                    443     bbb              300            Failed

 Total IPv6 entries: 2

  Destination IPv6 address   Port    VPN instance     Agetime(S)     DrvStatus

  1:1::1:2                   80      aaa              500            Succeeded

  2:2::2:2                   443     bbb              300            Failed

表1-10 display ip subscriber http-defense blocked-destination-ip命令显示信息描述表

字段

描述

Total IPv4 entries

IPv4表项总个数

Total IPv6 entries

IPv6表项总个数

Destination IPv4 address

目的IPv4地址

Destination IPv6 address

目的IPv6地址

Port

目的端口号(IPoE HTTP/HTTPS攻击防范功能仅识别和处理目的端口号为知名端口80、8080、443和8443的HTTP/HTTPS报文)

VPN instance

报文所属的VPN实例(若位于公网,则显示“-”)

Agetime(S)

阻断表项的剩余老化时间,单位为秒。老化时间超时后,将解除对发往该目的IP地址的HTTP/HTTPS报文的阻断

DrvStatus

HTTP/HTTPS攻击阻断表项下发驱动硬件的状态,取值包括:

·     Succeeded:成功(底层硬件会直接进行防攻击阻断,报文不会上送CPU)

·     Failed:失败(底层硬件不能进行防攻击阻断,报文上送CPU后,由软件进行防攻击阻断)

·     Incompleted:未完成,平台未收到底层硬件的返回结果(如在底层硬件给平台返回下发成功结果前,用户执行本display ip subscriber http-defense blocked-destination-ip命令时,会显示Incompleted状态)

·     None:阻断表项不下发驱动硬件(如指定攻击达到阻断条件后设备执行的动作为logging时不会将生成的阻断表项下发驱动硬件)

 

【相关命令】

·     ip subscriber http-defense destination-ip enable

·     reset ip subscriber http-defense destination-ip

1.1.9  display ip subscriber http-defense free-destination-ip

display ip subscriber http-defense free-destination-ip命令用来显示配置的IPoE HTTP/HTTPS攻击防范功能的白名单地址。

【命令】

display ip subscriber http-defense free-destination-ip

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示配置的IPoE HTTP/HTTPS攻击防范功能的白名单地址。

<Sysname> display ip subscriber http-defense free-destination-ip

  Destination IPv4 address      VPN instance

  1.1.1.2                       -

  2.2.2.2                       bbb

 Destination IPv6 address       VPN instance

  1:1::1:2                      -

  2:2::2:2                      bbb

表1-11 display ip subscriber http-defense free-destination-ip 命令显示信息描述表

字段

描述

Destination IPv4 address

目的IPv4地址

Destination IPv6 address

目的IPv6地址

VPN instance

目的IP地址所属VPN实例(若位于公网,则显示“-”)

 

【相关命令】

·     ip subscriber http-defense free-destination-ip

1.1.10  display ip subscriber http-defense unblocked-destination-ip

display ip subscriber http-defense unblocked-destination-ip命令用来显示IPoE HTTP/HTTPS防攻击中未被阻断的目的IP地址的表项信息。

【命令】

(独立运行模式)

display ip subscriber http-defense unblocked-destination-ip [ slot slot-number ]

(IRF模式)

display ip subscriber http-defense unblocked-destination-ip [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)

【使用指导】

在IPoE Web组网中,开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能后,设备会对IPoE Web认证前域用户发往任意目的IP地址的HTTP/HTTPS报文进行监测和统计,并为每个目的IP地址分别生成相应的防攻击统计表项。防攻击统计表项用于记录在IPoE HTTP/HTTPS防攻击中未达到被阻断条件的目的IP地址的相关统计信息,包括报文目的IP地址,报文所属VPN实例、访问该目的IP地址的报文个数以及最后一次访问该目的IP地址的时间。可通过本命令查看防攻击统计表项的信息。

针对已生成防攻击统计表项的目的IP地址,当在任意一个报文统计周期内,去往该目的IP地址的HTTP/HTTPS报文个数为0时,设备将删除关于该目的IP地址的防攻击统计表项。

【举例】

# 显示指定slot上IPoE HTTP/HTTPS防攻击中未被阻断的目的IP地址的表项信息。(独立运行模式)

<Sysname> display ip subscriber http-defense unblocked-destination-ip slot 3

Slot 3:

 Total IPv4 entries: 2

  Destination IPv4 address   Port    VPN instance     Count   Last request

  1.1.1.2                    80      aaa              1       17:18:34 11/23/2019

  2.2.2.2                    443     -                23      17:17:25 11/23/2019

 Total IPv6 entries: 2

  Destination IPv6 address   Port    VPN instance     Count   Last request

  1:1::1:2                   80      aaa              1       17:18:34 11/23/2019

  2:2::2:2                   443     -                23      17:17:25 11/23/2019

表1-12 display ip subscriber http-defense unblocked-destination-ip命令显示信息描述表

字段

描述

Total IPv4 entries

IPv4表项总个数

Total IPv6 entries

IPv6表项总个数

Destination IPv4 address

目的IPv4地址

Destination IPv6 address

目的IPv6地址

Port

目的端口号(IPoE HTTP/HTTPS攻击防范功能仅识别和处理目的端口号为知名端口80、8080、443和8443的HTTP/HTTPS报文)

VPN instance

报文所属的VPN实例(若位于公网,则显示“-”)

Count

访问该目的IP地址的HTTP/HTTPS报文个数

Last request

该目的IP地址最后一次被访问的时间

 

【相关命令】

·     ip subscriber http-defense destination-ip enable

·     reset ip subscriber http-defense destination-ip

1.1.11  display ip subscriber static-session configuration

display ip subscriber static-session configuration命令用来显示IPoE静态会话的配置信息。

【命令】

display ip subscriber static-session configuration [ interface interface-type interface-number | { description string | { ip start-ipv4-address [ end-ipv4-address ] | ipv6 start-ipv6-address [ end-ipv6-address ] | delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length } } | domain domain-name ] [ all-vpn-instance | vpn-instance instance-name ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口上IPoE静态会话的配置信息。interface-type interface-number表示接口类型和接口编号。

description string:显示指定描述信息的IPoE静态会话的配置信息,为1~31个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。ip start-ipv4-address [ end-ipv4-address ]:显示指定IPv4地址的IPoE静态会话的配置信息。其中:

·     start-ipv4-address:表示用户的起始IPv4地址。

·     end-ipv4-address:表示用户的结束IPv4地址,不能小于start-ipv4-address。如果不指定本参数或指定的本参数和start-ipv4-address相同时,则表示只有一个用户IPv4地址,即start-ipv4-address;否则,表示start-ipv4-addressend-ipv4-address之间的IPv4地址都是静态用户。

ipv6 start-ipv6-address [ end-ipv6-address ]:显示指定IPv6地址的IPoE静态会话的配置信息。其中:

·     start-ipv6-address:表示用户的起始IPv6地址。

·     end-ipv6-address表示用户的结束IPv6地址,不能小于start-ipv6-address。如果不指定本参数或指定的本参数和start-ipv6-address相同时,则表示只有一个用户IPv6地址,即start-ipv6-address;否则,表示start-ipv6-addressend-ipv6-address之间的IPv6地址都是静态用户。

delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length:显示指定IPv6 Delegation前缀(即PD前缀)的IPoE静态会话的配置信息。其中:

·     start-ipv6-prefix:表示用户的起始IPv6 Delegation前缀。

·     end-ipv6-prefix:表示用户的结束IPv6 Delegation前缀,不能小于start-ipv6-prefix。如果不指定本参数或指定的本参数和start-ipv6-prefix相同时,则表示只有一个用户IPv6 Delegation前缀,即start-ipv6-prefix;否则,表示start-ipv6-prefixend-ipv6-prefix之间的IPv6 Delegation前缀都是静态用户的前缀。需要注意的是,start-ipv6-prefix [ end-ipv6-prefix ]参数中指定的IPv6 Delegation前缀个数必须和start-ipv6-address [ end-ipv6-address ]参数中指定的IPv6地址个数相同。

·     prefix-length:表示用户IPv6 Delegation前缀长度,取值范围为1~120。

·     domain domain-name:显示指定ISP域中的IPoE静态会话的配置信息。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

all-vpn-instance:显示所有指定VPN实例的配置信息。如果all-vpn-instancevpn-instance都未指定,则显示公网中的IPoE静态会话的配置信息。

·     vpn-instance vpn-instance-name:显示指定VPN实例中的IPoE静态会话的配置信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

·     verbose:显示静态会话的详细配置信息。如果不指定该参数,则只显示静态会话的简要配置信息。

【使用指导】

本命令可用于查看IPoE静态个人会话和静态专线会话的信息。

如果未指定任何参数,则显示所有IPoE静态用户的简要配置信息。

为简化管理和维护,管理员可在配置一个新的IPoE静态会话之前,先执行本命令查看指定条件(例如指定IP地址)的静态会话是否已经存在,从而避免重复配置。

【举例】

# 显示接口Ten-GigabitEthernet3/1/1上的所有静态用户的摘要信息。

<Sysname> display ip subscriber static-session configuration interface ten-gigabitethernet 3/1/1

IP address               MAC address                 Interface

IPv6 address             IPv6 PD prefix              SVLAN/CVLAN

                         VPN instance

1.1.1.1                  000d-88f8-0eab              XGE3/1/1

1::1                     10::/64                     -/-

                         -

1.1.1.2                  001d-88f8-0eab              XGE3/1/1

1::2                     11::/64                    -/-

                         -

Total 2 items matched

# 显示所有VPN实例内静态用户的摘要信息。

<Sysname> display ip subscriber static-session configuration all-vpn-instance

VPN instance: vpn1

IP address             MAC address            Interface

IPv6 address           IPv6 PD prefix         SVLAN/CVLAN

                       VPN instance

Total 0 items matched

 

VPN instance: vpn2

IP address             MAC address            Interface

IPv6 address           IPv6 PD prefix         SVLAN/CVLAN

                       VPN instance

2.2.2.2                -                      -

-                      -                      -/-

                       vpn2

2.2.2.3                -                      XGE3/1/2

-                      -                      -/-

                       vpn2

Total 2 items matched

# 显示指定VPN的静态用户的摘要信息。

<Sysname> display ip subscriber static-session configuration vpn-instance vpn2

VPN instance: vpn2

IP address             MAC address            Interface

IPv6 address           IPv6 PD prefix         SVLAN/CVLAN

                       VPN instance

2.2.2.2                -                      -

-                      -                      -/-

                       vpn2

2.2.2.3                -                      XGE3/1/2

-                      -                      -/-

                       vpn2

Total 2 items matched

表1-13 display ip subscriber static-session configuration命令显示信息描述表

字段

描述

IP address

用户的IPv4地址(若不存在,则显示“-”)

IPv6 address

用户的IPv6地址(若不存在,则显示“-”)

MAC address

用户的MAC地址

IPv6 PD prefix

用户的IPv6 PD前缀(若不存在,则显示“-”)

VPN instance

用户所属VPN实例(若位于公网,则显示“-”)

Interface

用户所在的接口名称(若不存在,则显示“-”)

SVLAN/CVLAN

用户所在的外层VLAN/内层VLAN(若不存在,则显示“-”)

Total 2 items matched

按指定条件匹配到的静态会话数

 

# 显示地址为2001::2静态IPv6用户的详细信息。

<Sysname> display ip subscriber static-session configuration ipv6 2001::2 verbose

Interface           : -

UP-backup-interface : -

Interface-list      : -

IP address          : -

IP gateway          : -

IPv6 address        : 2001::2

IPv6 gateway        : FE80::1:2:3:4

IPv6 PD prefix      : -

SVLAN/CVLAN         : -/-

Description         : -

MAC address         : -

Domain              : -

VPN instance        : -

Keep-online         : No

Support-ds          : No

Request-online      : ND

# 显示所有VPN实例内静态用户的详细信息。

<Sysname> display ip subscriber static-session configuration all-vpn-instance verbose

VPN instance: vpn2

Interface           : -

UP-backup-interface : -

Interface-list      : -

IP address          : -

IP gateway          : -

IPv6 address        : 2001::2

IPv6 gateway        : FE80::1:2:3:4

IPv6 PD prefix      : -

SVLAN/CVLAN         : -/-

Description         : -

MAC address         : -

Domain              : -

VPN instance        : 123

Keep-online         : No

Support-ds          : No

Request-online      : ND

表1-14 display ip subscriber static-session configuration verbose命令显示信息描述表

字段

描述

Interface

用户接入接口(若不存在,则显示“-”)

UP-backup-interface

用户的备用接口(若不存在,则显示“-”)

仅在UP备份组网中支持备用接口

Interface-list

静态用户接口列表(若不存在,则显示“-”)

IP address

用户IPv4地址(若不存在,则显示“-”)

IP gateway

用户IPv4网关地址(若不存在,则显示“-”)

IPv6 address

用户IPv6地址(若不存在,则显示“-”)

IPv6 gateway

用户IPv6网关地址(若不存在,则显示“-”)

IPv6 PD prefix

用户的IPv6 PD前缀(若不存在,则显示“-”)

SVLAN/CVLAN

用户所在的外层VLAN/内层VLAN(若不存在,则显示“-”)

Description

静态用户会话的描述信息(若不存在,则显示“-”)

MAC address

用户MAC地址(若不存在,则显示“-”)

Domain

指定认证使用的ISP域名(若不存在,则显示“-”)

VPN instance

用户所属VPN实例(若用户属于公网,则显示“N/A”)

Keep-online

配置的静态会话中是否指定了keep-online参数:

·     Yes:是

·     No:否

Support-ds

配置的静态会话中是否指定了support-ds参数:

·     Yes:是

·     No:否

Request-online

配置的静态会话中是否指定了request-online参数:

·     若显示如下取值,则表示指定了该参数:

¡     ARP:表示当前接口为二层接入模式,设备主动发送ARP报文请求IPv4用户上线

¡     ICMP:表示当前接口为三层接入模式,设备主动发送ICMP报文请求IPv4用户上线

¡     ND:表示当前接口为二层接入模式,设备主动发送ND NS报文请求IPv6用户上线

¡     ICMPv6:表示当前接口为三层接入模式,设备主动发送ICMPv6报文请求IPv6用户上线

·     若显示“-”,则表示未指定该参数

 

【相关命令】

·     ip subscriber session static (system view)

·     ip subscriber static-session request-online interval

1.1.12  display static-user interface-list

display static-user interface-list命令用来显示静态用户接口列表的信息。

【命令】

display static-user interface-list [ list-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

list-id:静态用户接口列表的编号,取值范围为1~65535。如果不指定该参数,则显示所有静态用户接口列表的信息。

【举例】

# 显示编号为100的静态用户接口列表的信息。

<Sysname> display static-user interface-list 100

List ID: 100

     Total bound static session configuration entries: 2

     Total interfaces : 2

     Member interfaces:

       Ten-GigabitEthernet3/1/1

       Ten-GigabitEthernet3/1/2

表1-15 display static-user interface-list命令显示信息描述表

字段

描述

List ID

静态用户接口列表的编号

Total bound static session configuration entries

静态用户接口列表绑定的静态会话配置总条数

Total interfaces

静态用户接口列表的成员接口总数

Member interfaces

静态用户接口列表的成员接口

 

【相关命令】

·     add interface

·     static-user interface-list

1.1.13  ip subscriber 8021p

ip subscriber 8021p命令用来配置IPoE接入用户的IP报文的内/外层VLAN tag中的802.1p值与认证域的映射关系。

undo ip subscriber 8021p命令用来删除指定802.1p值与认证域的映射关系。

【命令】

ip subscriber 8021p 8021p-list domain domain-name

undo ip subscriber 8021p 8021p-list

【缺省情况】

未配置IPoE接入用户的IP报文的内/外层VLAN tag中的802.1p值与认证域的映射关系。

【视图】

三层以太网子接口视图

三层聚合子接口视图

L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

8021p-list:802.1p值列表,表示一个或多个802.1p值,表示方式为8021p-list = { 8021p-value [ to 8021p-value ] }&<1-8>,其中,8021p-value为指定8021p的编号,取值范围为0~7。&<1-8>表示前面的参数最多可以输入8次。

domain domain-name:表示与指定的8021p范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

本命令用来配置指定802.1p值范围内的接入用户(包括DHCP接入用户、未知源IP接入用户和IPoE静态接入用户)认证时使用的认证域,通过指定的认证域对用户进行认证、授权、计费。

必须通过ip subscriber service-identify 8021p命令配置使用相应业务识别方式,ip subscriber 8021p命令配置后才生效。

DHCP接入用户认证域的选择原则,请参见ip subscriber dhcp domain命令。

未知源IP接入用户认证域的选择原则,请参见ip subscriber unclassified-ip domain命令。

IPoE静态接入用户认证域的选择原则,请参见ip subscriber session static命令。

IPoE子网专线用户认证域的选择原则,请见ip subscriber subnet-leased命令。

IPoE接口专线用户认证域的选择原则,请见ip subscriber interface-leased命令。

IPoE L2VPN专线用户认证域的选择原则,请见ip subscriber l2vpn-leased命令。

【举例】

# 在子接口Ten-GigabitEthernet3/1/1.100上配置内层VLAN TAG中802.1p值范围为2到5的接入用户认证使用的认证域为1pdm。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.100

[Sysname-Ten-GigabitEthernet3/1/1.100] ip subscriber service-identify 8021p second-vlan

[Sysname-Ten-GigabitEthernet3/1/1.100] ip subscriber 8021p 2 to 5 domain 1pdm

【相关命令】

·     ip subscriber service-identify

1.1.14  ip subscriber abnormal-logout max-user

ip subscriber abnormal-logout max-user命令用来配置设备所能记录IPoE异常下线用户的最大数目。

undo ip subscriber abnormal-logout max-user命令用来恢复缺省情况。

【命令】

ip subscriber abnormal-logout max-user max-user

undo ip subscriber abnormal-logout max-user

【缺省情况】

设备所能记录IPoE异常下线用户的最大数目为512000。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

max-user:设备所能记录IPoE异常下线用户的最大数目,取值范围为1~512000。

【使用指导】

设备根据如下原则唯一标识并记录一个IPoE异常下线用户:

·     对于DHCPv4用户和NDRS用户,设备根据用户MAC地址、内层VLAN ID、外层VLAN ID和接入接口四个字段信息来记录一个IPoE异常下线用户。

·     对于DHCPv6用户,设备根据用户DUID、内层VLAN ID、外层VLAN ID和接入接口四个字段信息来记录一个IPoE异常下线用户。

当设备记录的IPoE异常下线用户达到最大数目后,如有再有新的IPoE异常下线用户需要记录,设备会使用新记录覆盖旧记录。

【举例】

# 配置设备所能记录IPoE异常下线用户的最大数目为100。

<Sysname> system-view

[Sysname] ip subscriber abnormal-logout max-user 100

【相关命令】

·     display ip subscriber abnormal-logout

·     reset ip subscriber abnormal-logout

1.1.15  ip subscriber access-block

ip subscriber access-block命令用来禁止IPoE用户上线。

undo ip subscriber access-block命令用来恢复缺省情况。

【命令】

(独立运行模式)

ip subscriber access-block [ interface interface-type interface-number | slot slot-number ]

undo ip subscriber access-block [ interface interface-type interface-number | slot slot-number ]

(IRF模式)

ip subscriber access-block [ interface interface-type interface-number | chassis chassis-number slot slot-number ]

undo ip subscriber access-block [ interface interface-type interface-number | chassis chassis-number slot slot-number ]

【缺省情况】

允许IPoE用户上线。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:表示指定接口上的IPoE用户,interface-type interface-number表示接口类型和接口编号。

slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【使用指导】

配置本命令后,当设备收到IPoE用户的上线请求报文后会将其直接丢弃,以阻止新的IPoE用户上线。

本命令配置后仅对新接入的IPoE用户生效,对当前已经存在用户(包括认证前域阶段中处于Online状态的IPoE Web用户)无影响。

如果未指定任何参数,将禁止所有新的IPoE用户上线。

在IPoE转发与控制分离组网环境下,本命令仅在CP上配置后才生效。

【举例】

# 禁止所有新的IPoE用户上线。

<Sysname> system-view

[Sysname] ip subscriber access-block

1.1.16  ip subscriber access-delay

ip subscriber access-delay命令用来配置IPoE用户接入响应延迟时间。

undo ip subscriber access-delay命令用来恢复缺省情况。

【命令】

ip subscriber access-delay delay-time [ even-mac | odd-mac ]

undo ip subscriber access-delay

【缺省情况】

对IPoE用户接入响应不延迟。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

delay-time:IPoE用户接入响应延迟时间,取值范围为10~25500,单位为毫秒。

even-mac:表示对MAC地址为偶数的用户执行延时响应。

odd-mac:表示对MAC地址为奇数的用户执行延时响应。

【使用指导】

本命令配置后,系统将按照配置的时间对IPoE用户的上线请求进行延迟响应。

可分别为奇数MAC和偶数MAC配置不同的响应延迟时间。

如果未指定任何参数,配置的响应延迟时间对从当前接口上线的所有用户生效。

如果先配置了携带even-mac(或odd-mac)参数的本命令,再配置未携带任何参数的本命令,则后者会覆盖前者,反之亦然。

本命令仅对IPoE DHCP用户生效。若采用Web认证方式,则本命令仅对认证前域阶段的用户生效,对Web认证阶段的用户无影响。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置IPoE用户接入响应延迟时间为1000毫秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber access-delay 1000

1.1.17  ip subscriber access-line-id circuit-id trans-format

ip subscriber access-line-id circuit-id trans-format命令用来配置IPoE对DHCP Option中circuit-id的解析格式。

undo ip subscriber access-line-id circuit-id trans-format命令用来恢复缺省情况。

【命令】

ip subscriber access-line-id circuit-id trans-format { ascii | hex }

undo ip subscriber access-line-id circuit-id trans-format

【缺省情况】

IPoE对DHCP Option中circuit-id解析格式为字符串格式。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

ascii:表示按字符串格式进行解析。

hex:表示按十六进制格式进行解析。

【使用指导】

为确保IPoE对circuit-id中的信息进行正确解析,请根据下游设备上送上来的circuit-id信息的不同格式,通过本命令为其配置相应的解析格式。

仅在通过ip subscriber trust命令配置了信任相应Option的情况下,ip subscriber access-line-id circuit-id trans-format命令配置后才生效。

【举例】

# 配置IPoE对DHCP Option中circuit-id的解析格式为十六进制格式。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber access-line-id circuit-id trans-format hex

【相关命令】

·     ip subscriber access-line-id remote-id trans-format

·     ip subscriber trust

1.1.18  ip subscriber access-line-id remote-id trans-format

ip subscriber access-line-id remote-id trans-format命令用来配置IPoE对DHCP Option中remote-id的解析格式。

undo ip subscriber access-line-id remote-id trans-format命令用来恢复缺省情况。

【命令】

ip subscriber access-line-id remote-id trans-format { ascii | hex }

undo ip subscriber access-line-id remote-id trans-format

【缺省情况】

IPoE对DHCP Option中remote-id的解析格式为字符串格式。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

ascii:表示按字符串格式进行解析。

hex:表示按十六进制格式进行解析。

【使用指导】

为确保IPoE对remote-id中的信息进行正确解析,请根据下游设备上送上来的remote-id信息的不同格式,通过本命令为其配置相应的解析格式。

仅在通过ip subscriber trust命令配置了信任相应Option的情况下,ip subscriber access-line-id remote-id trans-format命令配置后才生效。

【举例】

# 配置IPoE对DHCP Option中remote-id的解析格式为十六进制格式。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber access-line-id remote-id trans-format hex

【相关命令】

·     ip subscriber access-line-id circuit-id trans-format

·     ip subscriber trust

1.1.19  ip subscriber access-out

ip subscriber access-out命令用来配置IPoE准出认证功能。

undo ip subscriber access-out用来恢复缺省情况。

【命令】

ip subscriber access-out

undo ip subscriber access-out

【缺省情况】

接口上的IPoE准出认证功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

BRAS设备准入准出认证组网中,准出认证设备的接口配置了该命令,将对用户进行准出认证,认证通过后,则允许用户接入,否则不允许用户接入。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置IPoE准出认证功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber access-out

1.1.20  ip subscriber access-trigger loose

ip subscriber access-trigger loose命令用来配置系统重启后允许IPoE用户采用松散模式上线的时长。

undo ip subscriber access-trigger loose命令用来恢复缺省情况。

【命令】

ip subscriber access-trigger loose { loose-time | all-time }

undo ip subscriber access-trigger loose

【缺省情况】

系统重启后不允许IPoE用户采用松散模式上线。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

loose-time:表示系统重启后允许IPoE用户采用松散模式上线的时长,取值范围为1~4294967295,单位为分钟。

all-time:表示系统重启后允许IPoE用户一直采用松散模式上线。

【使用指导】

因系统重启导致在线IPoE用户的会话被删除时,待系统重启后,对于DHCP用户,因无法感知接入设备的重启,不会再次发送DHCP报文触发上线,导致接入设备无法为其重新生成DHCP类型的IPoE会话。为解决这类问题,IPoE支持用户采用松散模式上线。

松散模式上线,是指系统重启后,允许IPoE用户在指定的loose-time/all-time时长内,通过IP、ARP或NS/NA报文触发上线生成DHCP类型的IPoE会话。

对于IPoE DHCP用户,仅在同时满足下列条件时,才支持用户采用松散模式上线:

·     接入接口上配置了二层接入模式。

·     通过认证域或AAA服务器为用户授权了IP地址池。

·     当需要通过IP报文触发上线时,接入接口上必须配置ip subscriber initiator unclassified-ip enable命令,并建议同时指定matching-user参数

·     当需要通过ARP报文触发上线时,接入接口上必须同时配置ip subscriber initiator arp enable命令和ip subscriber initiator unclassified-ip enable命令,并建议同时指定matching-user参数

对于IPoE Web认证用户,采用松散模式上线时只能重新生成其在认证前域中的会话。如果该用户需要在Web认证阶段上线,仍需走正常Web认证流程。

在IPoE转发与控制分离组网环境下,本命令仅在CP上配置后才生效。

【举例】

# 配置系统重启后允许IPoE用户采用松散模式上线的时长为300分钟。

<Sysname> system-view

[Sysname] ip subscriber access-trigger loose 300

【相关命令】

·     ip subscriber dhcp domain

·     ip subscriber dhcp password

·     ip subscriber dhcp username

·     ip subscriber initiator arp enable

·     ip subscriber initiator unclassified-ip enable

1.1.21  ip subscriber authentication chasten

ip subscriber authentication chasten命令用来配置允许IPoE用户在指定检测周期内连续认证失败次数的最大值。

undo ip subscriber authentication chasten命令用来恢复缺省情况。

【命令】

ip subscriber authentication chasten auth-failure auth-period

undo ip subscriber authentication chasten

【缺省情况】

认证失败一次立即对用户进行静默处理。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

auth-failure:表示允许IPoE用户在一个检测周期内连续认证失败次数的最大值,取值范围为1~10000。

auth-period:表示IPoE用户连续认证失败的检测周期,取值范围为1~3600,单位为秒。

【使用指导】

配置本命令后,当前接口上的某IPoE用户在一个检测周期内连续认证失败次数达到允许的最大值时,将被静默一段时间(静默时长由ip subscriber timer quiet命令配置决定),在静默周期内设备直接丢弃来自此用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该IPoE用户的认证报文而对设备性能造成影响。例如:配置用户在60秒检测周期内连续认证失败达到5次时对其进行静默,假设某次认证失败的时间点是第100秒,则从该时间点开始统计,如果最近一个检测周期内(即从第40秒到当前)用户连续认证失败达到5次,将对其进行静默处理。静默期后,如果设备再次收到该IPoE用户的报文,则依然可以对其进行认证处理。

对于未构成双栈IPoE会话的用户,两个协议栈的认证失败次数是分开统计,当且仅当某个协议栈在一个检测周期内连续认证失败次数达到最大值时,该双栈用户才会被静默。对于已构成双栈IPoE会话的用户,两个协议栈的认证失败次数是统一统计,只要该用户在一个检测周期内连续认证失败次数达到最大值,该用户就会被静默。

本命令仅在接口上配置ip subscriber timer quiet命令后才生效。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置IPoE用户在60秒检测周期内连续认证失败达到5次时,将被静默100秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber timer quiet 100

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber authentication chasten 5 60

【相关命令】

·     display ip subscriber chasten user auth-failed

·     display ip subscriber chasten user quiet

·     ip subscriber timer quiet

1.1.22  ip subscriber authentication-method

ip subscriber authentication-method命令用来配置IPoE认证方式。

undo ip subscriber authentication-method命令用来恢复缺省情况。

【命令】

ip subscriber authentication-method { bind | { dot1x [ high-priority ] | web [ mac-auth ] [ basic-service-ipv4 ] [ support-authorized-vpn ] [ inherit-pppoe ] } * }

undo ip subscriber authentication-method

【缺省情况】

IPoE认证方式为绑定认证。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

bind:绑定认证方式。

dot1x:802.1X认证方式。802.1X的详细介绍,请参见“BRAS业务配置指导”中的“802.1X”。本参数与basic-service-ipv4参数互斥。

high-priority:配置802.1X认证优先。如果指定本参数,则表示在IPoE用户的802.1X客户端认证前,不允许该IPoE用户进行认证上线。如果未指定本参数,则不论IPoE用户的802.1X客户端是否已上线,都允许该IPoE用户进行认证上线。当网络中存在使用IOS系统的终端用户,并且用户使用IOS系统自带的802.1X服务进行身份认证时,推荐配置802.1X认证优先,否则可能出现用户无法使用IOS系统自带的802.1X服务进行802.1X认证的情况。

web:Web认证方式。

mac-auth:Web MAC认证方式。

basic-service-ipv4:配置IPv6协议栈依赖于IPv4协议栈。当指定本参数时,仅当IPoE Web用户的IPv4协议栈通过Web认证上线后才允许该用户的IPv6协议栈上线,并且当用户的IPv4协议栈下线或者由后域返回前域时都会强制该用户的IPv6协议栈下线。该参数主要应用在IPv6智能多出口组网中。本参数与dot1x参数互斥。

support-authorized-vpn:表示Web认证后域支持授权VPN功能。如果指定本参数,则表示当IPoE Web用户在后域认证上线时支持为该用户授权VPN;如果未指定本参数,则表示当IPoE Web用户在后域认证上线时不支持为该用户授权VPN,此时即使配置了后域授权VPN也不生效。

inherit-pppoe:表示IPoE Web前域用户继承PPPoE用户信息在后域上线。如果指定本参数,当IPoE Web用户在前域上线后,若存在同MAC地址的在线PPPoE用户,则IPoE Web用户无需通过Web认证,设备直接使用在线PPPoE用户的认证/授权信息让用户在后域上线。如果未指定本参数,则IPoE Web用户需要通过Web认证后才能在后域上线。该参数主要应用于同一接入接口上IPoE Web认证和PPPoE认证共存的场景。

【使用指导】

使用指导公共说明

IPoE主要支持以下几种认证方式:

·     绑定认证是指BRAS设备根据用户接入的位置信息自动生成用户名和密码进行身份认证的一种认证方式,无需用户输入用户名和密码。

·     802.1X认证,是一种通过在802.1X客户端中输入用户名/密码进行认证的一种方式。当需要在三层接口上实现802.1X方式接入时,可以配置802.1X认证方式。

·     Web认证是指用户通过访问Web认证服务器的认证页面,交互输入用户名和密码进行身份认证的一种认证方式。

·     Web MAC认证是指用户只需在第一次上网时输入用户名/密码,后续无需输入用户名/密码即可上网的一种快速Web认证方式。(Web MAC认证是Web认证中的一种,后续如无特殊说明,Web认证均包含Web MAC认证)

IPoE 802.1X认证场景使用指导

IPoE 802.1X认证支持DHCP用户接入、IPv6 ND RS用户接入和全局静态用户接入。对于配置了静态IP地址的用户,如果管理员希望这类用户既可以通过802.1X认证方式上线,同时又无需在BRAS设备上为他们配置对应的IPoE静态用户接入,可开启静态802.1X用户认证功能,具体介绍请见ip subscriber static-dot1x-user enable命令。

当接口上同时配置了802.1X认证和Web认证时,一个用户同一时刻只能选择其中一种认证方式上线,并且802.1X认证的优先级高于Web认证。

配置802.1X认证方式时,需要注意:

·     若设备上存在未指定support-ds参数的全局静态会话,在配置802.1X认证方式之前,请先通过undo ip subscriber session static命令删除所有未指定support-ds参数的全局静态会话后再执行ip subscriber session static命令重新配置全局静态会话并指定support-ds参数。

·     接口静态用户接入不支持802.1X认证方式,在同一接口上不允许同时配置802.1X认证方式和IPoE接口静态个人会话,否则可能会影响该接口上配置的IPoE接口静态个人会话功能的正常使用。

·     同一接口上,802.1X认证方式与IPoE三层接入模式、IPoE接口专线用户、IPoE子网专线用户和L2VPN专线用户的配置互斥。

·     仅当接口工作在IPoE二层接入模式时支持802.1X认证方式。

·     仅三层以太网接口/三层以太网子接口和三层聚合接口/三层聚合子接口支持802.1X认证方式。

IPv6智能多出口场景使用指导

IPv6智能多出口,是指在IPoE Web认证组网中,当双栈用户的IPv4协议栈通过Web认证上线后,BRAS设备根据IPv4协议栈认证上线时AAA授权的属性信息识别该用户所属的运营商,进而为用户分配相应运营商的IPv6地址,以达到不同运营商用户的IPv6流量走各自公网出口的目的。

在IPv6智能多出口应用中,IPoE Web双栈用户的IPv4协议栈采用DHCP方式上线;IPv6协议栈,根据触发IPv6协议栈上线的报文类型不同,分为如下两种:

·     ND RS方式:通过IPv6 ND RS报文触发上线。该方式中,如果在用户的IPv4协议栈通过Web认证上线前,用户的IPv6协议栈发起上线请求,BRAS设备会将收到的ND RS报文缓存起来,待用户的IPv4协议栈通过Web认证上线后再调用缓存的ND RS报文信息完成IPv6协议栈的上线。需要说明的是,缓存的ND RS报文信息有时效性,超时后系统将删除缓存的ND RS报文信息。

·     DHCPv6方式:通过DHCPv6报文触发上线。该方式中,如果在用户的IPv4协议栈通过Web认证上线前,用户的IPv6协议栈发起上线请求,BRAS设备会将收到的DHCPv6请求报文丢弃。由于DHCPv6客户端会不定时发送DHCPv6报文请求地址,因此待用户的IPv4协议栈通过Web认证上线后,BRAS设备收到后续的DHCPv6请求报文时,将会启动该用户的IPv6协议栈上线流程。

Web认证后域支持授权VPN场景使用指导

在IPoE Web认证组网中,如果希望在IPoE Web用户后域认证上线时,通过授权VPN方式实现对上线用户访问权限的差异化管理,可通过指定support-authorized-vpn参数开启Web认证后域支持授权VPN功能。

开启Web认证后域支持授权VPN功能后,当IPoE Web用户在后域认证上线时支持通过AAA为该用户授权相应的VPN实例;授权VPN用户后域上线后,该用户的主机路由会切换至指定VPN实例中,以达到用户只能访问被授权VPN实例中网络资源的目的。

在IPoE Web认证组网中,对于IPoE静态用户,需要注意:

·     如果在该IPoE静态用户的静态会话中指定了vpn-instance参数,则该静态用户不支持后域授权VPN功能。

·     如果在该IPoE静态用户的静态会话中未指定vpn-instance参数,则:

¡     若该静态用户的授权域中配置了strict-check access-interface vpn-instance命令,则该静态用户不支持后域授权VPN功能。

¡     若该静态用户的授权域中未配置strict-check access-interface vpn-instance命令,则该静态用户支持后域授权VPN功能。

对于IPoE DHCP用户,在AAA授权VPN的情况下,需要注意:

·     若未配置support-authorized-vpn参数,则不论上线接口是否绑定VPN,都要求前域授权地址池中绑定的VPN和AAA授权VPN相同。

·     若配置了support-authorized-vpn参数,则要求前域授权地址池中绑定的VPN和接口所属VPN相同,即:

¡     如果上线接口绑定了VPN,则前域授权地址池中需要和上线接口绑定相同的VPN。

¡     如果上线接口未绑定任何VPN,则前域授权地址池中也不允许绑定任何VPN。

IPoE Web认证和PPPoE认证共存场景使用指导

在同一接入接口上IPoE Web认证和PPPoE认证共存的组网中,同一个用户可能分别触发IPoE Web认证和PPPoE认证。例如,在用户未主动关闭终端DHCP服务的情况下,用户终端开机后会自动发送DHCP报文触发IPoE Web认证,认证通过(前域一般采用免认证方式,该过程用户无感知)后获取到IP地址并在前域上线。之后,用户未采用IPoE Web认证在后域上线,而是直接通过PPPoE拨号认证上线,PPPoE拨号认证上线后用户也获取到一个IP地址。

缺省情况下,如果用户终端优先采用IPoE Web认证方式获取的IP地址上网,将出现在PPPoE认证通过的情况仍会弹出Web认证页面要求用户再次认证的情况,影响用户上网体验。为解决上述问题,可配置Web前域用户继承同MAC地址的PPPoE用户信息直接在后域上线功能。

配置本功能后,当IPoE Web用户在前域上线后,若存在同MAC地址的在线PPPoE用户,则IPoE Web用户无需通过Web认证,设备直接使用在线PPPoE用户的认证/授权信息让用户在后域上线,该过程用户无感知。对于用户来说,仅通过PPPoE一次认证即可正常上网,提升用户上网体验。

该场景下,需要注意:

·     仅在IPoE二层接入模式下,配置本命令时才支持指定inherit-pppoe参数。

·     仅在PPPoE认证域中通过users-per-account命令配置单个帐号允许接入的最大用户数大于1的情况下,inherit-pppoe参数配置才生效。

·     配置本命令时,不支持同时指定dot1xinherit-pppoe两个参数,二者互斥。

·     IPoE Web前域用户继承同MAC地址的PPPoE用户信息在后域上线后,IPoE模块不负责计费,IPoE模块和PPPoE分别进行流量统计,并由PPPoE模块汇总后统一上送给AAA服务器进行计费,请根据实际需要正确配置PPPoE的AAA认证方案。

·     IPoE Web前域用户继承同MAC地址的在线PPPoE用户信息时,不关心协议栈类型。例如,用户采用IPoE Web认证方式是IPv4协议栈在前域上线,采用PPPoE认证方式是IPv6协议栈上线,此时IPoE用户的IPv4协议栈同样可以继承PPPoE用户的IPv6协议栈信息在后域上线。

·     当PPPoE用户下线时,继承该PPPoE用户信息在后域上线的IPoE用户将由后域返回前域。

·     该场景下,不支持下列功能:

¡     IPoE用户漫游功能。

¡     IPoE Web二次地址分配功能。

¡     IPv6协议栈依赖于IPv4协议栈功能。

¡     IPoE Web认证后域支持授权VPN功能。

¡     IPoE Web无感知认证。

公共注意事项

当执行本命令切换IPoE的认证方式时,根据不同的IPoE会话触发方式,有以下几种处理机制:

·     对于IPoE动态个人会话:将删除当前接口上所有动态触发创建的IPoE会话信息,并强制用户下线。

·     对于IPoE接口静态个人会话:将删除当前接口上所有IPoE静态个人会话,并强制用户下线。

·     对于IPoE全局静态个人会话:将删除所有IPoE全局静态个人会话,并强制用户下线。

·     对于IPoE专线会话(包括静态专线会话):若当前接口上配置了专线会话,则不允许切换。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上IPoE用户采用Web认证方式。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber authentication-method web

The operation may cut all users on this interface. Continue?[Y/N]:y

【相关命令】

·     ip subscriber enable

·     users-per-account(BRAS业务命令参考/AAA)

·      

1.1.23  ip subscriber captive-bypass enable

ip subscriber captive-bypass enable命令用来开启IPoE被动Web认证功能或被动Web认证优化功能。

undo ip subscriber captive-bypass enable命令用来关闭IPoE被动Web认证功能和被动Web认证优化功能。

【命令】

ip subscriber captive-bypass enable [ android | ios ] [ optimize ]

undo ip subscriber captive-bypass enable

【缺省情况】

IPoE被动Web认证功能和被动Web认证优化功能都处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

android:表示Android系统用户。

ios:表示IOS系统用户。

optimize:表示开启IPoE被动Web认证的优化功能。

【使用指导】

应用场景

·     被动Web认证功能

缺省情况下,在无线接入场景中,当用户终端接入已开启IPoE Web认证的网络后,设备会主动向用户终端推送Web认证页面,以便用户终端可以自动弹出Web认证页面。但是,这种自动弹页面的方式需要设备拦截终端的探测报文来实现,有些终端发现网络探测不通,可能会自动断开WI-FI连接,该情况下,因Wi-Fi连接已断开,设备无法向用户推送Web认证页面,导致认证无法完成。

针对上述问题,可开启IPoE被动Web认证功能,让用户使用浏览器访问Internet方式触发设备会向用户推送Web认证页面来完成认证。

·     被动Web认证的优化功能(此功能仅对IOS系统生效)

缺省情况下,苹果终端通过自身的CNA(Captive Network Assistant)工具固定对http://captive.apple.com进行探测,如果网络畅通,那么终端会收到Success回应;反之,则会调用浏览器再次进行探测,实现自动弹出Web认证页面的功能。

但是,下列情况可能导致终端自动弹出Web认证页面的机制失效:

-     如果是HTTPS的页面,并且证书不是终端信任的第三方机构颁发,那么自动弹出Web认证页面的机制就会失效。

-     苹果终端上安装的APP(如Wi-Fi助手)对其自身的探测机制影响很大,可能导致自动探测功能失效,或者导致苹果终端的WI-FI信号无法点亮,Wi-Fi连接断开。

-     用户在未完全探测完成的情况下,直接按home键返回桌面,导致苹果终端的WI-FI信号无法点亮,Wi-Fi连接断开。

针对上述问题,可开启IPoE被动Web认证的优化功能。

工作机制

·     自动弹出Web认证页面功能

用户终端自动弹出Web认证页面的实现原理为:终端关联到SSID后,主动发出HTTP的探测请求报文,检测目的地址(目的地址一般是固定的网址,各终端或APP应用存在差异)是否可达,以及回应的内容是否符合预期,以此来判断接入的网络是否需要进行Web认证:

¡     如果目的地址可达且回应内容符合预期,说明网络畅通,无需进行Web认证。

¡     如果目的地址不可达或回应内容不符合预期,说明需要进行Web认证,那么终端会调用浏览器再次发出HTTP请求,设备拦截到此请求进行重定向,实现用户终端自动弹出Web认证页面的功能。

某些终端可能无法自动弹出Web认证页面,可能的原因有:

¡     终端没有主动发出探测请求报文。

¡     终端可以发出一次探测请求报文,但是由于安装的某些APP影响导致终端无法调用浏览器再次发出请求,导致无法自动弹出Web认证页面。

¡     大部分安卓手机,自动弹Web认证页面功能,依赖用户手动点击ssid界面进行触发。

·     被动Web认证功能

开启被动Web认证功能后,设备不会拦截终端的探测报文,确保终端保持Wi-Fi连接。当用户连接到网络时,设备不会立即向用户推送Web认证页面;仅在用户尝试使用浏览器访问Internet时,设备才会向用户推送Web认证页面,要求用户输入用户名/密码来完成认证。

·     被动Web认证的优化功能

开启IPoE被动Web认证的优化功能后,对于IOS系统用户,当设备收到苹果终端的探测请求报文时,会构造Success回应,让苹果终端认为网络已连通,从而点亮WI-FI信号,并自动弹出Web认证页面。

注意事项

·     IPoE被动Web认证功能,对IOS系统用户和Android系统用户都生效。

·     IPoE被动Web认证优化功能,仅对IOS系统用户有效,对Android系统用户无效。

·     下列命令的配置效果为:

¡     配置ip subscriber captive-bypass enable命令:

-     苹果终端不会自动弹出Web认证页面,直接按home键返回桌面时根据苹果终端软件版本不同,部分终端Wi-Fi连接可能会断开。

-     安卓终端不会自动弹出Web认证页面。

¡     配置ip subscriber captive-bypass enable optimize命令:

-     苹果终端会自动弹出Web认证页面,直接按home键返回桌面时Wi-Fi连接不会断开。

-     安卓终端不会自动弹出Web认证页面。

¡     (推荐)配置ip subscriber captive-bypass enable ios optimize命令:

-     苹果终端会自动弹出Web认证页面,直接按home键返回桌面时Wi-Fi连接不会断开。

-     安卓终端会自动弹出Web认证页面。(缺省情况)

¡     配置ip subscriber captive-bypass enable ios命令:

-     苹果终端不会自动弹出Web认证页面,直接按home键返回桌面时根据苹果终端软件版本不同,部分终端Wi-Fi连接可能会断开。

-     安卓终端会自动弹出Web认证页面。(缺省情况)

¡     配置ip subscriber captive-bypass enable android命令和配置ip subscriber captive-bypass enable android optimize命令效果相同:

-     苹果终端会自动弹出Web认证页面,直接按home键返回桌面时根据苹果终端软件版本不同,部分终端Wi-Fi连接可能会断开。(缺省情况)

-     安卓终端不会自动弹出Web认证页面。

·     多次执行本命令,最后一次执行的命令生效。

【举例】

# 开启被动Web认证功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber captive-bypass enable

# 仅开启IOS系统用户的被动Web认证优化功能(被动Web认证功能未开启)。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber captive-bypass enable ios optimize

# 开启Android系统用户的被动Web认证功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber captive-bypass enable android

1.1.24  ip subscriber auto-save max-user

ip subscriber auto-save max-user命令用来开启IPoE用户信息的自动备份功能,并配置允许自动备份的最大用户数。

undo ip subscriber auto-save命令用来关闭IPoE用户信息的自动备份功能。

【命令】

ip subscriber auto-save max-user max-user

undo ip subscriber auto-save

【缺省情况】

缺省情况下,IPoE用户信息的自动备份功能处于开启状态,允许自动备份的最大用户数512000。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

max-user:允许自动备份的最大IPoE用户数,取值范围为8000~512000。

【使用指导】

在IPoE DHCP或ND RS用户接入场景中,设备或用户接入接口所在Slot重启、接入接口Down等故障会导致用户异常下线及用户信息丢失。如果用户未能感知到此故障,待故障恢复后,用户不会重新发送DHCP或ND RS报文触发上线,这种情况下接入设备将无法恢复异常下线用户的信息。为解决这类问题,设备支持IPoE用户信息的自动备份功能。

IPoE用户信息的自动备份功能,是指在用户上线后设备自动对用户信息进行备份,如果出现故障且故障恢复后,设备再根据备份信息自动恢复异常下线用户的上线信息。

为了实现IPoE用户信息的自动备份功能,除了需要在系统视图下执行ip subscriber auto-save max-user命令,还需要在用户所属ISP域视图下执行access-user auto-save enable命令,否则自动备份功能不生效。

当各ISP域下需要备份的IPoE用户数量之和超过配置的允许自动备份的最大用户数max-user时,超出数量的用户信息将不会被保存。

当同时开启IPoE用户信息的自动备份功能和松散模式功能时,在故障恢复后,当设备收到DHCP用户的IP或ARP报文(ND RS用户收到IP或NS/NA报文时)时,如果故障前已通过自动备份功能备份了该用户的信息,则通过自动恢复功能恢复该用户的上线信息,如果未备份该用户的信息,则通过松散模式恢复该用户的上线信息。

需要注意的是,目前对于ND RS用户,IPoE自动备份功能仅支持每用户每前缀应用场景,不支持共享前缀应用场景。

【举例】

#  配置开启IPoE用户信息的自动备份功能,并配置允许自动备份的最大用户数为9000。

<Sysname> system-view

[Sysname] ip subscriber auto-save max-user 9000

【相关命令】

·     access-user auto-save enable(BRAS业务命令参考/AAA)

1.1.25  ip subscriber auto-save-file

ip subscriber auto-save-file命令用来开启IPoE用户信息的定时自动备份功能。

undo ip subscriber auto-save-file命令用来关闭IPoE用户信息的定时自动备份功能。

【命令】

ip subscriber auto-save-file filename interval interval

undo ip subscriber auto-save-file

【缺省情况】

IPoE用户信息的定时自动备份功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

filename:文件名,文件名必须以“.bak”为后缀,并且包含.bak在内文件名总长度不允许超过128个字符。filename中不允许包含路径,必须为纯文件名,如backup.bak,文件固定保存到所有主控板存储介质的根目录。根目录及路径的详细介绍,请参见“基础配置指导”中的“文件系统管理”。

interval interval:用户信息自动备份周期,取值范围为60~864000,单位为秒。

【使用指导】

设备重启后,内存中保存的IPoE用户信息会丢失,导致设备无法根据内存中的备份信息恢复异常下线用户的上线信息。针对这种情况,可通过本命令开启IPoE用户信息的定时自动备份功能。开启定时备份功能后,设备会自动按照指定的备份周期定时将用户信息保存到指定文件中,并且在设备重启后,设备会自动将备份文件中的用户备份信息重新恢复到内存中。在用户通过ip subscriber auto-recover enable命令了开启IPoE用户的自动恢复功能的情况下,设备会根据内存中的备份用户信息恢复异常下线用户的上线信息。

仅在同时配置了下列命令的情况下,才支持对在线用户进行自动备份:

·     access-user auto-save enable(BRAS业务命令参考/AAA)

·     ip subscriber auto-save max-user

当执行该命令时,设备不会立即执行备份操作,而是在执行该命令后,每隔interval时间自动备份一次。设备进行备份操作时,如果指定的备份文件不存在,则系统会先创建该文件,再执行备份操作。如果指定的备份文件已存在(例如和ip subscriber save-file命令已指定的备份文件相同),则会覆盖该文件。

【举例】

# 配置将内存中的IPoE用户信息定时自动保存到设备文件系统根目录下的backup.bak文件中,自动备份周期为60秒。

<Sysname> system-view

[Sysname] ip subscriber auto-save-file backup.bak interval 60

【相关命令】

·     access-user auto-save enable(BRAS业务命令参考/AAA)

·     ip subscriber auto-recover enable

·     ip subscriber auto-save max-user

·     ip subscriber save-file

1.1.26  ip subscriber auto-save-file now

ip subscriber auto-save-file now命令用来立即将内存中的IPoE用户信息保存到定时自动备份功能指定的文件。

【命令】

ip subscriber auto-save-file now

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

在开启IPoE用户信息的定时自动备份功能的情况下,如果配置的自动备份周期时间间隔较长,在计划内重启设备前,为避免用户信息丢失,可以通过本命令立即执行一次备份操作,把当前内存中最新的备份用户信息保存到备份文件中。

仅在同时配置了下列命令的情况下,ip subscriber auto-save-file now命令才生效。

·     ip subscriber auto-save max-user

·     ip subscriber auto-save-file

本命令是立即生效的执行类命令,不会保存到配置文件中。

【举例】

# 配置将内存中的IPoE用户信息立即保存到备份文件。

<Sysname> system-view

[Sysname] ip subscriber auto-save-file now

【相关命令】

·     ip subscriber auto-save-file

·     ip subscriber auto-save max-user

1.1.27  ip subscriber auto-recover enable

ip subscriber auto-recover enable命令用来开启IPoE用户的自动恢复功能。

undo ip subscriber auto-recover enable命令用来关闭IPoE用户的自动恢复功能。

【命令】

ip subscriber auto-recover enable

undo ip subscriber auto-recover enable

【缺省情况】

缺省情况下,IPoE用户的自动恢复功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

在IPoE DHCP或ND RS用户接入场景中,设备或用户接入接口所在Slot重启、接入接口Down等故障会导致用户异常下线及用户信息丢失。如果用户未能感知到此故障,待故障恢复后,用户不会重新发送DHCP或ND RS报文触发上线,这种情况下接入设备将无法恢复异常下线用户的信息。为解决这类问题,在故障前,需要先备份用户信息;故障恢复后,再根据备份信息自动恢复异常下线用户的上线信息。

仅在通过ip subscriber auto-recover enable命令了开启IPoE用户的自动恢复功能时,当故障恢复后,设备才会根据备份信息自动恢复异常下线用户的上线信息。

仅在同时配置了下列命令的情况下,IPoE用户的自动恢复功能配置后才生效。

·     access-user auto-save enable(BRAS业务命令参考/AAA)

·     ip subscriber auto-save max-user

【举例】

# 开启IPoE用户的自动恢复功能。

<Sysname> system-view

[Sysname] ip subscriber auto-recover enable

【相关命令】

·     access-user auto-save enable(BRAS业务命令参考/AAA)

·     ip subscriber auto-save max-user

1.1.28  ip subscriber auto-recover speed

ip subscriber auto-recover speed命令用来配置IPoE用户自动恢复上线的速率模式。

undo ip subscriber auto-recover speed命令用来恢复缺省情况。

【命令】

ip subscriber auto-recover speed { fast | normal | slow } [ recover-delay delay-time ]

undo ip subscriber auto-recover speed

【缺省情况】

IPoE用户自动恢复上线的速率为normal,延迟恢复时间为5秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

fast:快速模式。

normal:普通模式。

slow:慢速模式。

recover-delay delay-time:延迟恢复时间,取值范围为5~3600,单位为秒,缺省值为5。

【使用指导】

在恢复异常下线用户的上线信息时,可根据实际需要,通过ip subscriber auto-recover speed命令调整用户自动恢复上线的速率以及恢复延迟时间。

如果设备出现故障,则故障恢复后设备不会立即启动恢复操作,而是在延迟指定的delay-time时间后,再根据速率模式启动恢复操作。需要注意:

·     快速模式下,设备会以较高的速率恢复用户的上线信息,在恢复期间会对设备的处理性能有一定的影响,请根据需要选择该模式。

·     在故障恢复后,为避免因网络还未完成收敛(例如OSPF邻居还未达到FULL状态)等原因导致恢复操作失败,请根据网络实际情况合理配置恢复延迟时间。

仅在开启了IPoE用户的自动恢复功能的情况下,ip subscriber auto-recover speed命令配置后才生效。

【举例】

# 配置IPoE用户自动恢复上线的速率模式为快速模式。

<Sysname> system-view

[Sysname] ip subscriber auto-recover speed fast

【相关命令】

·     ip subscriber auto-recover enable

1.1.29  ip subscriber basic-service-ip-type

ip subscriber basic-service-ip-type命令用来配置IPoE用户主业务依赖的IP地址类型。

undo ip subscriber basic-service-ip-type命令用来恢复缺省情况。

【命令】

ip subscriber basic-service-ip-type { ipv4 | ipv6 }

undo ip subscriber basic-service-ip-type

【缺省情况】

IPoE用户主业务不依赖于任何IP地址类型。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

ipv4:IPv4协议栈。指定本参数时,表示IPoE用户的IPv6协议栈依赖于IPv4协议栈,仅IPoE用户的IPv4协议栈认证上线后才允许该用户的IPv6协议栈上线。

ipv6:IPv6协议栈。指定本参数时,表示IPoE用户的IPv4协议栈依赖于IPv6协议栈,仅IPoE用户的IPv6协议栈认证上线后才允许该用户的IPv4协议栈上线。

【使用指导】

应用场景

缺省情况下,设备不限制IPoE用户的IPv4和IPv6两个协议栈上线的先后顺序。

在双栈场景中,如果管理员根据业务需要希望指定某个协议栈作为主业务依赖的协议栈,并且在该主业务依赖的协议栈未上线前不允许用户其它协议栈上线时,可以配置本功能。

工作机制

对于IPoE Bind用户,配置本功能后,仅在用户主业务依赖的协议栈成功上线后,设备才允许用户的另一个协议栈上线。如果用户主业务依赖的协议栈下线,设备强制用户的另一个协议栈也下线,即整个用户下线。

对于IPoE Web用户,配置本功能后,生效原则如下:

·     用户上线:

¡     仅前域上线过程受本功能控制,对后域上线过程无影响。例如,某IPoE用户先在前域上线IPv4协议栈,在用户从前域切后域之前配置主业务依赖IPv6协议栈,该情况下不影响用户的IPv4栈从前域切后域。

¡     仅当IPoE Web用户主业务依赖的协议栈(如IPv4)通过前域上线后才允许该用户的另一个协议栈(如IPv6)上线。

¡     如果另一个协议栈先于主业务依赖的协议栈在后域上线,则整个用户在后域上线。

·     用户下线:

¡     如果用户主业务依赖的协议栈由后域返回前域,则整个用户返回前域。

¡     如果用户主业务依赖的协议栈下线,设备强制用户的另一个协议栈也下线,即整个用户下线。

本功能配置后,对已在线IPoE用户的生效原则如下:

·     如果用户的IPv4协议栈先上线,然后再配置用户主业务依赖IPv6协议栈,那么对已在线的IPv4协议栈无影响,允许IPv4协议栈继续保持在线。反之亦然。

·     如果用户的IPv4和IPv6协议栈先上线,然后再配置用户主业务依赖IPv6协议栈,那么当用户的IPv6协议栈下线时,会同时强制该用户的IPv4协议栈也下线。反之亦然。

注意事项

·     本功能仅适用于IPoE Bind用户和IPoE Web用户。

·     对于IPoE Web用户,如果接口上配置ip subscriber authentication-method web命令时指定了basic-service-ipv4参数,那么该接口上配置的ip subscriber basic-service-ip-type命令将不生效,仅ip subscriber authentication-method web命令的配置生效。

·     为确保IPoE功能正常,若需要在接口上通过ip subscriber basic-service-ip-type命令配置IPoE用户主业务依赖的IP地址类型(IPv4或IPv6),则必须确保该接口上通过ip subscriber enable命令开启了双栈IPoE功能。

·     下列IPoE用户不受本功能的控制,本功能配置后,对于这些IPoE用户上线过程无影响。

¡     IPoE静态用户(包括静态专线用户)。

¡     IPoE接口专线用户(不包括子用户)。

¡     IPoE子网专线用户(包括子用户)。

¡     IPoE L2VPN专线用户。

¡     IPoE三层接入模式下的未知源IP用户(包括IPv4和IPv6)。

·     在漫游场景中,为确保漫游功能正常,要求漫游前后的接入接口上配置相同的IPoE用户主业务依赖的IP地址类型。

【举例】

# 在接口GigabitEthernet1/0/1上配置IPoE用户主业务依赖IPv4协议栈。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber basic-service-ip-type ipv4

【相关命令】

·     ip subscriber authentication-method

·     ip subscriber enable

·     ip subscriber roaming enable

1.1.30  ip subscriber dhcp domain

ip subscriber dhcp domain命令用来配置DHCP个人接入用户使用的认证域。

undo ip subscriber dhcp domain命令用来恢复缺省情况。

【命令】

ip subscriber dhcp domain domain-name [ force ]

undo ip subscriber dhcp domain

【缺省情况】

未配置DHCP个人接入用户使用的认证域。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

force:指定该域为强制认证域,具有最高优先级。如果未指定本参数,则该域为非强制认证域。

【使用指导】

DHCP个人接入用户支持通过多种方式获取认证域。

对于采用松散模式上线的用户,按如下优先顺序选择第一个匹配到的认证域进行认证:

(1)     使用本命令指定的强制认证域;若该域未创建,则用户上线失败。

(2)     使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。

(3)     使用本命令指定的非强制认证域;若该域未创建,则用户上线失败。

(4)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

对于采用非松散模式上线的用户,按如下优先顺序选择第一个匹配到的认证域进行认证:

(1)     使用本命令指定的强制认证域;若该域未创建,则用户上线失败。

(2)     同时满足如下条件时,使用根据ip subscriber dhcp domain include命令配置的域名生成规则生成的认证域;若该域未创建,则跳转到步骤(7)。

¡     接口上配置了ip subscriber trust option60命令。

¡     接口上配置了ip subscriber dhcp option60 match命令并且在Option60中的指定位置能够匹配到ip subscriber dhcp option60 match命令指定的字符串。

¡     接口上配置了ip subscriber dhcp domain include命令。

(3)     同时满足如下条件时,使用和ip subscriber dhcp option60 match命令指定的信任字符串相匹配的Option60中字符串作为认证域;若该域未创建,则跳转到步骤(7)。

¡     接口上配置了ip subscriber trust option60命令。

¡     接口上配置了ip subscriber dhcp option60 match命令并且在Option60中的指定位置能够匹配到ip subscriber dhcp option60 match命令指定的字符串。

¡     接口上未配置ip subscriber dhcp domain include命令。

(4)     在信任Option60的情况下,如果接口上配置ip subscriber dhcp option60 match命令但在Option60中的指定位置不能匹配到ip subscriber dhcp option60 match命令指定的字符串,则忽略option60内容,不会使用option60内容作为认证域(即按报文未携带option60选项的情况选择认证域),此时直接跳转到步骤(7)。

(5)     同时满足如下条件时,使用根据ip subscriber dhcp domain include命令配置的域名生成规则生成的认证域;若该域未创建,则跳转到步骤(7)。

¡     接口上配置了ip subscriber trust option60命令。

¡     接口上未配置ip subscriber dhcp option60 match命令。

¡     Option60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”)。

¡     接口上配置了ip subscriber dhcp domain include命令。

(6)     同时满足如下条件时,使用ip subscriber trust option60命令提取的内容作为认证域;若该域未创建,则跳转到步骤(7)。

¡     接口上配置了ip subscriber trust option60命令。

¡     接口上未配置ip subscriber dhcp option60 match命令和ip subscriber dhcp domain include命令。

¡     Option60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”)。

(7)     使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。

(8)     使用本命令指定的非强制认证域;若该域未创建,则用户上线失败。

(9)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

为使得用户认证成功,必须保证按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。

当使用option的内容作为认证域时,该域名必须在接入设备上存在,否则视为不可用的认证域。

为保证设备对Option60字段中的信息进行正确解析,请确保Option60字段内容中不出现字符串结束字符和不可见字符,否则可能导致域名匹配不正确。

对于IPoE DHCPv6用户,Option16和Option17二者作为认证域的处理原则相同,下面仅以Option16为例进行介绍。原则为按如下优先顺序选择第一个匹配到的认证域进行认证:

(1)     使用本命令指定的强制认证域;若该域未创建,则用户上线失败。

(2)     同时满足如下条件时,使用和ip subscriber dhcpv6 option16 match命令指定的信任字符串相匹配的Option16中的字符串作为认证域;若该域未创建,则跳转到步骤(5)。

¡     接口上配置了ip subscriber trust option16命令。

¡     接口上配置ip subscriber dhcpv6 option16 match命令并且在Option16中的指定位置能够匹配到ip subscriber dhcpv6 option16 match命令指定的信任字符串。

(3)     在信任Option16的情况下,如果接口上配置ip subscriber dhcpv6 option16 match命令但在Option16中的指定位置不能匹配到ip subscriber dhcpv6 option16 match命令指定的字符串,则忽略option16内容,不会使用option16内容作为认证域(即按报文未携带option16选项的情况选择认证域),此时直接跳转到步骤(5)。

(4)     同时满足如下条件时,使用ip subscriber trust option16命令提取的内容作为认证域;若该域未创建,则跳转到步骤(5)。

¡     接口上配置了ip subscriber trust option16命令。

¡     接口上未配置ip subscriber dhcpv6 option16 match命令。

¡     Option16内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”)。

(5)     使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。

(6)     使用本命令指定的非强制认证域;若该域未创建,则用户上线失败。

(7)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

本命令用来配置DHCPv6报文触发接入的IPv6 DHCP个人接入用户在认证时使用的域名,该域名必须在接入设备上存在且配置完整。

为保证设备对Option16字段中的信息进行正确解析,请确保Option16字段内容中不出现字符串结束字符和不可见字符,否则可能导致域名匹配不正确。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上的IPv4 DHCP个人接入用户使用的认证域为dm1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcp domain dm1

【相关命令】

·     ip subscriber access-trigger loose

·     ip subscriber dhcp domain include

·     ip subscriber dhcp option60 match

·     ip subscriber dhcpv6 match

·     ip subscriber trust

1.1.31  ip subscriber dhcp domain include

ip subscriber dhcp domain include命令用来配置DHCP接入用户的域名生成规则。

undo ip subscriber dhcp domain include命令用来恢复缺省情况。

【命令】

ip subscriber dhcp domain include vendor-class [ separator separator ] second-vlan [ separator separator ] | string string [ separator separator ] | vlan [ separator separator ] } *

undo ip subscriber dhcp domain include

【缺省情况】

未配置DHCP接入用户的域名生成规则。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

vendor-class:表示使用DHCPv4报文中的Option60字段中信任的信息生成域名。

separator separator:字段分隔符,用在当前字段后面以连接后面的一个字段,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

second-vlan:表示以认证报文中的内层VLAN生成域名。

string string:表示以指定的字符串生成域名。string表示域名填充字符串,为1~64个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

vlan:表示以认证报文中的外层VLAN生成域名。

【使用指导】

在DHCP接入用户使用Option60中的信息作为认证域的情况下,当需要对拥有相同Option60,并且从同一接口上线的DHCP接入用户进行区分认证时,可配置本命令。例如:用户A和用户B属于不同的VLAN,但拥有相同的Option60,并通过同一接入接口上线。现要求将用户A和用户B划分到不同的认证域,并根据不同的认证域授权不同的地址池。此时可通过本命令配置VLAN信息参与域名生成,即通过Option60+VLAN组合方式生成不同的域名。

在DHCP接入用户使用Option60中的信息作为认证域的情况下,如果配置了本命令,则本命令中指定的参数将参与域名的生成,最终的域名生成规则为:Option60中的作为认证域的字段+本命令配置的参数信息。有关认证域选择的介绍,请参见ip subscriber dhcp domain命令。

仅在DHCP接入用户使用Option60中的信息作为认证域的情况下,本命令配置后才生效。

为保证设备对Option字段中的信息进行正确解析,请确保Option字段内容中不出现字符串结束符和不可见字符,否则可能生成错误的域名。

【举例】

# 在接口Ten-GigabitEthernet3/1/1.1上配置域名的生成规则为:DHCP报文的Option60字段中的信任字符串(配置为ipoe)+分隔符(配置为#)+用户VLAN(假设用户VLAN为10),则最终用户使用的认证域为ipoe#10。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.1

[Sysname-Ten-GigabitEthernet3/1/1.1] ip subscriber trust option60

[Sysname-Ten-GigabitEthernet3/1/1.1] ip subscriber dhcp option60 match ipoe

[Sysname-Ten-GigabitEthernet3/1/1.1] ip subscriber dhcp domain include vendor-class separator # vlan

# 在接口Ten-GigabitEthernet3/1/1.1上配置域名的生成规则为:信任DHCP报文的整个Option60(假设Option60中的全部信息为domain123456)+分隔符(配置为#)+用户VLAN(假设用户VLAN为10),则最终用户使用的认证域为domain123456#10。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.1

[Sysname-Ten-GigabitEthernet3/1/1.1] ip subscriber trust option60

[Sysname-Ten-GigabitEthernet3/1/1.1] ip subscriber dhcp domain include vendor-class separator # vlan

【相关命令】

·     ip subscriber dhcp domain

·     ip subscriber dhcp option60 match

·     ip subscriber trust

1.1.32  ip subscriber dhcp max-session

ip subscriber dhcp max-session命令用来配置接口上允许DHCPv4报文触发创建的IPoE会话的最大数目。

undo ip subscriber dhcp max-session命令用来恢复缺省情况。

【命令】

ip subscriber dhcp max-session max-number

undo ip subscriber dhcp max-session

【缺省情况】

未配置接口上允许DHCPv4报文触发创建的IPoE会话的最大数目。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

max-number:允许DHCPv4报文触发创建的IPoE会话的最大数目,取值范围为1~64000。

【使用指导】

DHCPv4报文触发创建的IPoE会话数目达到最大值后,后续DHCPv4报文不能触发创建IPoE用户。DHCPv4报文创建的IPoE会话数目包括IPv4单栈会话数目和双栈会话数目。

在双栈IPoE组网应用中,建议本命令和ip subscriber dhcpv6 max-session命令,二者配置相同的最大会话数。

如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。

本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上允许DHCPv4报文触发创建的IPoE会话的最大数目为100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcp max-session 100

【相关命令】

·     display access-user(BRAS业务命令参考/UCM)

·     cut access-user(BRAS业务命令参考/UCM)

·     ip subscriber max-session

1.1.33  ip subscriber dhcp option60 match

ip subscriber dhcp option60 match命令用来配置IPv4 DHCP个人接入用户的信任认证域。

undo ip subscriber dhcp option60 match命令用来恢复缺省情况。

【命令】

ip subscriber dhcp option60 match string [ offset offset ] [ length length ]

undo ip subscriber dhcp option60 match string

【缺省情况】

未配置信任DHCP报文中Option60字段的任何字符串来作为DHCP个人接入用户使用的认证域。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

string:表示在Option60字段中IPoE信任的字符串,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。

offset offset:表示从Option60首部偏移指定字节后的内容中匹配信任的字符串,offset表示字节偏移量,取值范围为1~63,单位为字节。如果未指定本参数,将从Option60首部开始匹配信任的字符串。

length length:表示从Option60首部偏移offset所处的位置开始,取指定长度的字节作为匹配信任字符串的范围,length表示在Option60中需要匹配的长度,取值范围为1~63,单位为字节。如果未指定本参数,将从Option60首部偏移offset所处的位置开始在剩余的所有字节中匹配信任的字符串。

【使用指导】

IPv4 DHCP个人接入用户认证域的选择情况,请见ip subscriber dhcp domain命令。

为保证设备对Option60字段中的信息进行正确解析,请确保Option60字段内容中不出现字符串结束字符和不可见字符,否则可能导致域名匹配不正确。

可通过重复执行该命令,配置多个需要匹配DHCP Option60的字符串。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置IPv4 DHCP个人接入用户在DHCP报文的Option60字段中的信任字符串为ipoe,并使用该字符串作为用户的认证域。ipoe字符串在DHCP报文中Option60字段的首部偏移1个字节后的10个字节内的任意位置匹配成功即可。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcp option60 match ipoe offset 1 length 10

【相关命令】

·     ip subscriber dhcp domain

·     ip subscriber dhcp domain include

·     ip subscriber trust

1.1.34  ip subscriber dhcp password

ip subscriber dhcp password命令用来配置IPv4 DHCP个人接入用户使用DHCPv4报文中的信息作为认证密码。

undo ip subscriber dhcp password命令用来恢复缺省情况。

【命令】

ip subscriber dhcp password { circuit-id mac | option60 [ offset offset ] [ length length ] [ original ] | user-class }

undo ip subscriber dhcp password

【缺省情况】

IPv4 DHCP个人接入用户未使用DHCPv4报文中的信息作为认证密码。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

circuit-id:表示DHCPv4报文中的DHCPv4 Option82 sub-option1字段。

mac:表示以Circuit-ID(Option82 sub-option1)字段中的MAC地址信息作为认证密码。

option60:表示使用DHCPv4报文中的Option60作为认证密码。其中:

·     offset offset:表示从Option60首部偏移指定字节后的内容作为认证密码,offset表示字节偏移量,取值范围为1~254,单位为字节。如果未指定本参数,将从Option60首部后的内容作为认证密码。

·     length length:表示从Option60首部偏移offset所处的位置开始,取指定长度的字节作为认证密码,length表示获取字节的长度,取值范围为1~63,单位为字节。如果未指定本参数,将从Option60首部偏移offset所处的位置开始取剩余的所有内容作为认证密码。

·     original:表示直接将按指定规则(例如指定offsetlength)从Option60中选取的信息作为认证密码,不会对这部分信息进行合法性检查。如果未指定本参数,则设备会对按指定规则从Option60中选取的这部分信息进行合法性检查,仅当这部分信息中不存在字符串结束字符和不可见字符时,设备才会将其作为认证密码,否则,设备不会将其作为认证密码,而是按照认证密码选取原则(具体原则请见下面使用指导)继续查找下一个可用认证密码。

user-class表示使用DHCPv4报文中的Option77作为认证密码。

【使用指导】

应用场景

在运营商组网中,基于安全考虑,可能存在终端(例如IPTV机顶盒)对Option60信息进行加密,中间设备仅做透传,由运营商AAA服务器对加密的Option60信息进行解密后再做认证处理的情况。针对上述情况,在配置使用DHCPv4报文中的Option60作为认证密码时,必须指定original参数,否则可能因合法性检查未通过导致设备未使用Option60中的信息作为认证密码,进而导致终端认证失败。

工作机制

IPv4 DHCP个人接入用户支持通过多种方式获取认证密码。

对于采用松散模式上线的用户,按如下优先顺序选择第一个匹配到的认证密码进行认证:

·     使用ip subscriber password命令配置的密码作为认证密码。

·     使用缺省字符串vlan作为认证密码。

对于采用非松散模式上线的用户,按如下优先顺序选择第一个匹配到的认证密码进行认证:

·     同时满足如下条件时,则使用ip subscriber dhcp password user-class命令配置方式获取的密码作为认证密码:

¡     接口上配置了ip subscriber dhcp password user-class命令。

¡     接口上配置了ip subscriber trust option77命令并且DHCPv4报文中携带的Option77中内容符合可见字符的格式要求。

·     同时满足如下条件时,则使用ip subscriber dhcp password option60命令配置方式获取的密码作为认证密码:

¡     接口上配置了ip subscriber dhcp password option60命令。

¡     接口上配置了ip subscriber trust option60命令并且DHCPv4报文中携带的Option60中内容符合可见字符的格式要求。

·     同时满足如下条件时,则使用ip subscriber dhcp password circuit-id mac命令配置方式获取的密码作为认证密码:

¡     接口上配置了ip subscriber dhcp password circuit-id mac命令。

¡     接口上配置了ip subscriber trust option82命令并且DHCPv4报文中携带的Circuit-id中内容符合可见字符的格式要求。

·     使用ip subscriber password命令配置的密码作为认证密码。

·     使用缺省字符串vlan作为认证密码。

注意事项

ip subscriber dhcp password命令用来配置IPv4 DHCP用户在认证时使用的密码,该密码必须与认证服务器上配置的密码保持一致。

当用户需要将Circuit-ID中的MAC地址信息作为认证密码时,请确保Circuit-ID中的MAC地址信息中不出现字符串结束字符和不可见字符,否则可能在生成用户密码时产生异常。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上的IPv4 DHCP个人接入用户使用从Option60首部偏移10个字节后的20个字节内容作为认证密码。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcp password option60 offset 10 length 20

【相关命令】

·     ip subscriber access-trigger loose

·     ip subscriber password

·     ip subscriber trust

·     ip subscriber dhcp username

1.1.35  ip subscriber dhcp rate-limit

ip subscriber dhcp rate-limit命令用来开启DHCP接入用户的DHCPv4报文限速功能。

undo ip subscriber dhcp rate-limit命令用来关闭DHCP接入用户的DHCPv4报文限速功能。

【命令】

ip subscriber dhcp rate-limit rate

undo ip subscriber dhcp rate-limit

【缺省情况】

DHCP接入用户的DHCPv4报文限速功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rate:每秒接收DHCPv4报文的最大个数,取值范围为1~500000000。

【使用指导】

在大量DHCP用户同时上线的情况下,通过开启本功能可以避免大量DHCP报文导致的拥塞,保证用户正常上线。

开启DHCPv4报文限速功能后,当单板上收到的DHCPv4报文(包括Discover报文和未经认证用户的Request报文)速率超过用户设定的限速值时,该报文会被丢弃。

本命令仅对动态DHCPv4个人接入用户和二层接口专线下的DHCPv4子用户生效。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 开启DHCP接入用户的DHCPv4报文限速功能,限制DHCPv4报文的接收速率为每秒1000个。

<Sysname> system-view

[Sysname] ip subscriber dhcp rate-limit 1000

【相关命令】

·     ip subscriber password

·     ip subscriber trust

·     ip subscriber dhcp username

1.1.36  ip subscriber recover-file

ip subscriber recover-file命令用来将指定文件中保存的备份信息恢复到内存中。

【命令】

ip subscriber recover-file filename

【缺省情况】

文件中的备份用户信息不会恢复到内存中。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

filename:文件名,文件名必须以“.bak”为后缀。如果filename仅包含文件名,如backup.bak,则以主用主控板存储介质根目录下的该文件进行恢复,若该文件不存在,则恢复失败。如果filename中包含了路径,要求路径必须是真实存在的路径,否则恢复失败。文件名取值范围、根目录及路径的详细介绍,请参见“基础配置指导”中的“文件系统管理”。(独立运行模式)

filename:文件名,文件名必须以“.bak”为后缀。如果filename仅包含文件名,如backup.bak,则以全局主用主控板存储介质根目录下的该文件进行恢复,若该文件不存在,则恢复失败。如果filename中包含了路径,要求路径必须是真实存在的路径,否则恢复失败。文件名取值范围、根目录及路径的详细介绍,请参见“基础配置指导”中的“文件系统管理”。(IRF模式)

【使用指导】

设备重启后,内存中的备份用户信息会丢失,导致设备无法根据内存中的备份信息恢复异常下线用户的上线信息。因此在计划设备重启前,需要先执行ip subscriber save-file命令将内存中的备份信息保存一份到指定文件中。待设备重启后,再执行ip subscriber recover-file命令将文件中的备份信息重新恢复到内存中,设备将会根据内存中的备份用户信息恢复异常下线用户的上线信息。

执行ip subscriber recover-file命令时,设备会从指定文件中读取备份用户的信息恢复到内存中,在恢复的过程中不会对内存中已有的备份用户信息产生影响。

【举例】

# 配置将backup.bak文件中保存的备份信息恢复到内存中。

<Sysname> system-view

[Sysname] ip subscriber recover-file backup.bak

It is recommended to delete the file, delete it? [Y/N]: y

【相关命令】

·     ip subscriber save-file

1.1.37  ip subscriber save-file

ip subscriber save-file命令用来立即将内存中的IPoE用户信息保存到指定文件。

【命令】

ip subscriber save-file filename

【缺省情况】      

内存中的IPoE用户信息不会保存到文件中。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

filename:文件名,文件名必须以“.bak”为后缀。如果filename仅包含文件名,如backup.bak,则保存到主用主控板存储介质的根目录。如果filename中包含了路径,要求路径必须是真实存在的路径,否则保存操作将失败。文件名取值范围、根目录及路径的详细介绍,请参见“基础配置指导”中的“文件系统管理”。(独立运行模式)

filename:文件名,文件名必须以“.bak”为后缀。如果filename仅包含文件名,如backup.bak,则保存到全局主用主控板存储介质的根目录。如果filename中包含了路径,要求路径必须是真实存在的路径,否则保存操作将失败。文件名取值范围、根目录及路径的详细介绍,请参见“基础配置指导”中的“文件系统管理”。(IRF模式)

【使用指导】

设备重启后,内存中的备份用户信息会丢失,导致设备无法根据内存中的备份信息恢复异常下线用户的上线信息。因此在计划设备重启前,可以先执行ip subscriber save-file命令将内存中的备份信息保存一份到指定文件中。待设备重启后,再执行ip subscriber recover-file命令将文件中的备份信息重新恢复到内存中。在用户通过ip subscriber auto-recover enable命令了开启IPoE用户的自动恢复功能的情况下,设备会根据内存中的备份用户信息恢复异常下线用户的上线信息。

仅在同时配置了下列命令的情况下,ip subscriber save-file命令配置后才生效。

·     access-user auto-save enable(BRAS业务命令参考/AAA)

·     ip subscriber auto-save max-user

当执行该命令时,设备会立即执行备份操作。设备在进行备份操作时,如果指定的备份文件不存在,则系统会先创建该文件,再执行保存操作。如果指定的备份文件已存在,则会覆盖该文件。需要注意的是,执行本命令前,如果通过ip subscriber auto-save-file命令开启了IPoE用户信息的定时自动备份功能,则本命令指定的备份文件名不能与自动备份功能中指定的文件名称相同,否则本命令执行失败。

本命令是立即生效的执行类命令,不会保存到配置文件中。

【举例】

# 配置将内存中的IPoE用户信息保存到设备文件系统根目录下的backup.bak文件。

<Sysname> system-view

[Sysname] ip subscriber save-file backup.bak

【相关命令】

·     access-user auto-save enable(BRAS业务命令参考/AAA)

·     ip subscriber auto-recover enable

·     ip subscriber auto-save max-user

·     ip subscriber recover-file

1.1.38  ip subscriber dhcp username

ip subscriber dhcp username命令用来配置DHCP个人接入用户的认证用户名的命名规则。

undo ip subscriber dhcp username命令用来恢复缺省情况。

【命令】

ip subscriber dhcp username include { circuit-id [ mac ] [ separator separator ] | client-id [ separator separator ] | hostname [ original ] [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [separator separator ] | sysname [separator separator ] | vendor-class [ absent-replace | original ] * [ separator separator ] | vendor-specific [ separator separator ] | vlan [separator separator ] } *

undo ip subscriber dhcp username

【缺省情况】

未配置DHCP个人接入用户的认证用户名的命名规则。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

circuit-id:表示以DHCP报文中的DHCPv4 Option82 sub-option1或DHCPv6 Option18字段中的信息为用户名。

mac:表示以Circuit-ID(Option82 sub-option1)字段中的MAC地址信息作为用户名。如果未指定本参数,表示以整个Circuit-ID(Option82 sub-option1)字段中的信息作为用户名。

client-id:表示以DHCP报文中的DHCPv4 Option61或DHCPv6 Option1字段中的信息作为用户名。

hostname:表示以DHCP报文中的DHCPv4 Option12作为用户名。

nas-port-id:表示以认证报文中的NAS-PORT-ID属性作为用户名。

port:表示以用户接入的端口号作为用户名。

remote-id:表示以DHCP报文中的DHCPv4 Option82 sub-option2或DHCPv6 Option37字段中的信息作为用户名。

second-vlan:表示以认证报文中的内层VLAN作为用户名。

slot:表示以用户接入的槽位号作为用户名。

source-mac:表示以用户报文的源MAC地址作为用户名。

address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。

string:表示以指定的字符串作为用户名。

string:用户名字符串,为1~128个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

subslot:表示以用户接入的子槽位号作为用户名。

sysname:表示以用户接入设备的设备名作为用户名。

vendor-class:表示以DHCP报文中的DHCPv4 Option60或DHCPv6 Option16字段中的信息作为用户名。

absent-replace:表示在DHCP报文中的DHCPv4 Option60或DHCPv6 Option16字段不存在的情况下,以用户认证域的域名替代不存在的Option作为用户名。如果未指定本参数,在DHCP报文中的DHCPv4 Option60或DHCPv6 Option16字段不存在的情况下,以Option作为用户名的部分为空。

vendor-specific:表示以DHCP报文中的DHCPv4 Option82 sub-option9或DHCPv6 Option17字段中的信息作为用户名。

vlan:表示以认证报文中的外层VLAN作为用户名。

original:表示直接将DHCP报文中的DHCPv4 Option12、DHCPv4 Option60或DHCPv6 Option16字段中的信息作为用户名传递给认证服务器进行认证。如果未指定本参数,当option12、option60或Option16中包含不可以见字符时,设备会将不可见字符转换为可见字符后再传递给认证服务器进行认证。

separator separator:当前字段分隔符,用在当前字段后面以连接后面的一个字段,可以为任意可配置的可见字符。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。

【使用指导】

该命令用来配置DHCP用户在认证时使用的用户名的命名规则,根据该命名规则获取的用户名必须与认证服务器上配置的用户名保持一致。

对于采用松散模式上线的DHCPv4接入用户,因报文中没有携带DHCP Option信息,所以circuit-idmacclient-idremote-idvendor-classabsent-replaceoriginalvendor-specific这些参数不生效;此时,即使命令中指定上述参数,设备在生成用户名时也会按照未指定的情况处理DHCPv6接入用户不支持采用松散模式上线。

在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。例如:若配置ip subscriber dhcp username include vendor-class vendor-specific,则IPv4 DHCP用户名为Option60字段内容和Option82 sub9字段内容的拼接,且两个字段之间无分隔符;IPv6 DHCP用户名为Options16字段内容和Option17字段内容的拼接,且两个字段之间无分隔符。

为保证设备对Option字段中的信息进行正确解析,请确保Option字段内容中不出现字符串结束符和不可见字符,否则可能生成错误的用户名。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上DHCP个人接入用户使用Client Identifier Option字段中的信息作为用户名。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcp username include client-id

# 配置接口Ten-GigabitEthernet3/1/1上DHCP个人接入用户使用接入设备的设备名、接入的槽位号、接入的子槽位号、接入的端口号和认证报文中的外层VLAN信息作为用户名,所选用的字段之间均使用#作为分隔符。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcp username include sysname separator # slot separator # subslot separator # port separator # vlan

【相关命令】

·     ip subscriber access-trigger loose

·     ip subscriber password

·     ip subscriber trust

1.1.39  ip subscriber dhcp-release-ip dot1x-offline

ip subscriber dhcp-release-ip dot1x-offline命令用来配置当IPoE用户的IP地址被释放时强制该IPoE用户的802.1X客户端下线。

undo ip subscriber dhcp-release-ip dot1x-offline命令用来恢复缺省情况。

【命令】

ip subscriber dhcp-release-ip dot1x-offline

undo ip subscriber dhcp-release-ip dot1x-offline

【缺省情况】

当IPoE用户的IP地址被释放时允许该用户的802.1X客户端继续保持在线。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合口视图/三层聚合子接口视图

【缺省用户角色】

network-admin

【使用指导】

对于采用802.1X认证方式上线的IPoE用户,该用户的802.1X客户端是指该用户的主机上安装的支持802.1X认证的客户端软件。

缺省情况下,对于IPoE DHCP用户,当用户的IP地址租约期满、续约失败或设备收到用户发送的DHCP-RELEASE、DHCP-DECLINE和DHCP-NAK报文时,设备会将采用802.1X认证方式上线的IPoE用户下线,但会允许该用户的802.1X客户端继续保持在线。如果管理员希望当IPoE用户下线时,同时下线该用户的802.1X客户端,可配置本命令。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置当IPoE用户的IP地址被释放时设备强制该IPoE用户关联的802.1X用户下线。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcp-release-ip dot1x-offline

【相关命令】

·     ip subscriber authentication-method

1.1.40  ip subscriber dhcpv6 max-session

ip subscriber dhcpv6 max-session命令用来配置接口上允许DHCPv6报文触发创建的IPoE会话的最大数目。

undo ip subscriber dhcpv6 max-session命令用来恢复缺省情况。

【命令】

ip subscriber dhcpv6 max-session max-number

undo ip subscriber dhcpv6 max-session

【缺省情况】

未配置接口上允许DHCPv6报文触发创建的IPoE会话的最大数目。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

max-number:允许DHCPv6触发创建的IPoE会话的最大数目,取值范围为1~64000。

【使用指导】

DHCPv6报文触发创建的IPoE会话数目达到最大值后,后续DHCPv6报文不能触发创建IPoE会话。DHCPv6报文创建的IPoE会话数目包括IPv6单栈会话数目和双栈会话数目。

在双栈IPoE组网应用中,建议本命令和ip subscriber dhcp max-session命令,二者配置相同的最大会话数。

如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。

本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上允许DHCPv6报文触发创建的IPoE会话的最大数目为100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcpv6 max-session 100

【相关命令】

·     display access-user(BRAS业务命令参考/UCM)

·     cut access-user(BRAS业务命令参考/UCM)

·     ip subscriber max-session

1.1.41  ip subscriber dhcpv6 match

ip subscriber dhcpv6 match命令用来配置IPv6 DHCP个人接入用户的信任认证域。

undo ip subscriber dhcpv6 match命令用来恢复缺省情况。

【命令】

ip subscriber dhcpv6 { option16 | option17 }  match string [ offset offset ] [ length length ]

undo ip subscriber dhcpv6 { option16 | option17 }  match string

【缺省情况】

未配置信任DHCPv6报文中的Option16和Option17字段中的任何字符串来作为IPv6 DHCP个人接入用户的认证域。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

option16:表示DHCPv6报文中的Option16选项。

option17:表示DHCPv6报文中的Option17选项。

string:表示指定在Option16或Option17字段中需要匹配的字符串,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。

offset offset:表示从Option16或Option17首部偏移指定字节后的内容中匹配指定的字符串,offset表示字节偏移量,取值范围为1~63,单位为字节。如果未指定本参数,将从Option16或Option17首部开始匹配指定的字符串。

length length:表示从Option16或Option17首部偏移offset所处的位置开始,取指定长度的字节作为匹配指定字符串的范围,length表示在Option16或Option17中需要匹配的长度,取值范围为1~63,单位为字节。如果未指定本参数,将从Option16或Option17首部偏移offset所处的位置开始在剩余的所有字节中匹配指定的字符串。

【使用指导】

IPv6 DHCP个人接入用户支持通过多种方式获取认证域。

因Option16和Option17二者作为认证域的处理原则相同,下面仅以Option16为例进行介绍。

IPv6 DHCP个人接入用户认证域的选择情况,请见ip subscriber dhcp domain命令。

可通过重复执行该命令,配置多个需要匹配DHCPv6 Option16的字符串。

设备目前仅支持获取从Option16首部开始的前255个字符作为匹配域,然后根据ip subscriber dhcpv6 option16 match命令的配置从该255个字符中选取相应的字符进行匹配;如果配置的需要匹配的字符串长度加上offset偏移之和超过255个字节,将导致匹配失败。

为保证设备对Option16字段中的信息进行正确解析,请确保Option16字段内容中不出现字符串结束字符和不可见字符,否则可能导致域名匹配不正确。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置IPv6 DHCP个人接入用户在DHCPv6报文的Option16字段中信任的字符串为ipoe,并使用该字符串作为用户的认证域。ipoe字符串在DHCPv6报文中Option16字段的起始处偏移1个字节后的10个字节内任意位置匹配成功即可。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcpv6 option16 match ipoe offset 1 length 10

【相关命令】

·     ip subscriber dhcp domain

·     ip subscriber trust

1.1.42  ip subscriber dhcpv6 password option16

ip subscriber dhcpv6 password option16命令用来配置IPv6 DHCP个人接入用户使用DHCPv6报文中的Option16或者Option17作为认证密码。

undo ip subscriber dhcpv6 password option16命令用来恢复缺省情况。

【命令】

ip subscriber dhcpv6 password option16 [ offset offset ] [ length length ] [ original ]

undo ip subscriber dhcpv6 password option16

【缺省情况】

IPv6 DHCP个人接入用户未使用DHCPv6报文中的Option16或者Option17作为认证密码。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

offset offset:表示从Option16或者Option17首部偏移指定字节后的内容作为认证密码,offset表示字节偏移量,取值范围为1~254,单位为字节。如果未指定本参数,将从Option16或者Option17中起始处后的内容作为认证密码。

length length:表示从Option16或者Option17首部偏移offset所处的位置开始,取指定长度的字节作为认证密码,length表示获取字节的长度,取值范围为1~63,单位为字节。如果未指定本参数,将从Option16或者Option17首部偏移offset所处的位置开始取剩余的所有内容作为认证密码。

original:表示直接将按指定规则(例如指定offsetlength)从Option16或者Option17中选取的信息作为认证密码,不会对这部分信息进行合法性检查。如果未指定本参数,则设备会对按指定规则从Option16或者Option17中选取的这部分信息进行合法性检查,仅当这部分信息中不存在字符串结束字符和不可见字符时,设备才会将其作为认证密码,否则,设备不会将其作为认证密码,而是按照认证密码选取原则(具体原则请见下面使用指导)继续查找下一个可用认证密码。

【使用指导】

应用场景

在运营商组网中,基于安全考虑,可能存在终端对Option16或者Option17信息进行加密,中间设备仅做透传,最后由运营商AAA服务器对加密的Option16或者Option17信息进行解密后再做认证处理的情况。针对上述情况,在配置使用DHCPv6报文中的Option16或者Option17作为认证密码时,必须指定original参数,否则可能因合法性检查未通过导致设备未使用Option16或者Option17中的信息作为认证密码,进而导致终端认证失败。

工作机制

IPv6 DHCP个人接入用户支持通过多种方式获取认证密码,并按如下优先顺序选择第一个匹配到的认证密码进行认证:

·     同时满足如下条件时,使用本命令配置方式获取的密码作为认证密码:

¡     接口上配置了ip subscriber dhcpv6 password option16命令。

¡     接口上配置了ip subscriber trust option16命令并且DHCPv6报文中携带的Option16中内容符合可见字符的格式要求或者接口上配置了ip subscriber trust option17命令并且DHCPv6报文中携带的Option17中内容符合可见字符的格式要求。

·     使用ip subscriber password命令配置的密码作为认证密码。

·     使用缺省字符串vlan作为认证密码。

注意事项

ip subscriber dhcpv6 password option16命令用来配置IPv6 DHCP用户在认证时使用的密码,该密码必须与认证服务器上配置的密码保持一致。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上的IPv6 DHCP个人接入用户使用从Option16或者Option17首部偏移10个字节后的20个字节内容作为认证密码。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dhcpv6 password option16 offset 10 length 20

【相关命令】

·     ip subscriber password

·     ip subscriber trust

·     ip subscriber dhcp username

1.1.43  ip subscriber dhcpv6 rate-limit

ip subscriber dhcpv6 rate-limit命令用来开启DHCP接入用户的DHCPv6报文限速功能。

undo ip subscriber dhcpv6 rate-limit命令用来关闭DHCP接入用户的DHCPv6报文限速功能。

【命令】

ip subscriber dhcpv6 rate-limit rate

undo ip subscriber dhcpv6 rate-limit

【缺省情况】

DHCP接入用户的DHCPv6报文限速功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rate:每秒接收DHCPv6报文的最大个数,取值范围为1~500000000。

【使用指导】

在大量DHCP用户同时上线的情况下,通过开启本功能可以避免大量DHCP报文导致的拥塞,保证用户正常上线。

开启DHCPv6报文限速功能后,当单板上收到的DHCPv6报文(包括Solicit报文和未经认证用户的Request报文)速率超过用户设定的限速值时,该报文会被丢弃。

本命令仅对动态DHCPv6个人接入用户和二层接口专线下的DHCPv6子用户生效。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 开启DHCP接入用户的DHCPv6报文限速功能,限制DHCPv6报文的接收速率为每秒1000个。

<Sysname> system-view

[Sysname] ip subscriber dhcpv6 rate-limit 1000

【相关命令】

·     ip subscriber password

·     ip subscriber trust

·     ip subscriber dhcp username

1.1.44  ip subscriber dot1x-offline user-offline

ip subscriber dot1x-offline user-offline命令用来配置当IPoE用户的802.1X客户端下线时强制该IPoE用户下线。

undo ip subscriber dot1x-offline user-offline命令用来恢复缺省情况。

【命令】

ip subscriber dot1x-offline user-offline

undo ip subscriber dot1x-offline user-offline

【缺省情况】

当IPoE用户的802.1X客户端下线时允许该IPoE用户在前域中继续保持在线。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合口视图/三层聚合子接口视图

【缺省用户角色】

network-admin

【使用指导】

对于采用802.1X认证方式上线的IPoE用户,该用户的802.1X客户端是指该用户的主机上安装的支持802.1X认证的客户端软件。

缺省情况下,对于采用802.1X认证方式上线的IPoE用户,当该用户的802.1X客户端发起下线时,设备会将该IPoE用户从后域返回前域,并在前域中继续保持在线。如果管理员希望当IPoE用户的802.1X客户端发起下线,同时下线该IPoE用户(即清除IPoE用户会话),可配置本命令。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置当IPoE用户的802.1X客户端下线时强制该IPoE用户下线。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dot1x-offline user-offline

【相关命令】

·     ip subscriber authentication-method

1.1.45  ip subscriber dscp

ip subscriber dscp命令用来配置接入用户的IP报文的DSCP值与认证域的映射关系。

undo ip subscriber dscp命令用来删除指定DSCP值与认证域的映射关系。

【命令】

ip subscriber dscp dscp-value-list domain domain-name

undo ip subscriber dscp dscp-value-list

【缺省情况】

未配置接入用户的IP报文的DSCP值与认证域的映射关系。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

dscp-value-list:DSCP值列表,表示一个或多个DSCP的值,表示方式为dscp-value-list = dscp-value [ to dscp-value ] }&<1-8>。其中,dscp-value为指定的DSCP的值,取值范围为0~63。&<1-8>表示前面的参数最多可以输入8次。

domain domain-name:表示与指定的DSCP范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

本命令用来配置指定DSCP范围内的接入用户(包括DHCP接入用户、未知源IP接入用户和IPoE静态接入用户)认证时使用的认证域,通过指定的认证域进行认证、授权、计费。

DHCP接入用户认证域的选择原则,请参见ip subscriber dhcp domain命令。

未知源IP接入用户认证域的选择原则,请参见ip subscriber unclassified-ip domain命令。

IPoE静态接入用户认证域的选择原则,请参见ip subscriber session static命令。

IPoE子网专线用户认证域的选择原则,请见ip subscriber subnet-leased命令。

IPoE接口专线用户认证域的选择原则,请见ip subscriber interface-leased命令。

IPoE L2VPN专线用户认证域的选择原则,请见ip subscriber l2vpn-leased命令。

必须通过ip subscriber service-identify dscp命令配置使用相应业务识别方式,ip subscriber dscp命令配置后才生效。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置DSCP值范围为1到4的接入用户认证使用的认证域为dscpdm。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber service-identify dscp

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber dscp 1 to 4 domain dscpdm

【相关命令】

·     ip subscriber service-identify

1.1.46  ip subscriber enable

ip subscriber enable命令用来在接口上开启IPoE功能并指定用户的接入模式。

undo ip subscriber enable命令用来关闭接口上的IPoE功能。

【命令】

ip subscriber { l2-connected | routed } enable [ ipv4 | ipv6 ]

undo ip subscriber { l2-connected | routed } enable

【缺省情况】

接口上的IPoE功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

l2-connected:指定二层接入模式。

routed:指定三层接入模式。

ipv4:开启IPv4协议栈的IPoE功能。

ipv6:开始IPv6协议栈的IPoE功能。

【使用指导】

只有在接口上开启了IPv4和IPv6协议栈的IPoE功能后,该协议栈对应的其他IPoE相关配置才能生效。

如果未指定IPv4或IPv6参数,则表示将同时开启IPv4和IPv6协议栈的IPoE功能。

对于接口专线用户、L2VPN专线用户和双栈静态用户,仅在同时开启IPv4和IPv6协议栈的IPoE功能的情况下,才允许用户上线。

不能通过重复执行本命令修改IPoE的接入模式。如需修改IPoE的接入模式,请先通过undo ip subscriber enable命令关闭IPoE功能,再执行ip subscriber enable命令。

在IPoE的接入模式不变的情况下,仅支持通过重复执行本命令将单协议栈类型改为双协议栈类型,修改后的命令只对新上线的用户生效。除了上述将单协议栈类型改为双协议栈类型外,其它情况不能通过重复执行本命令修改IPoE的协议栈类型。如需修改IPoE的协议栈类型,请先通过undo ip subscriber enable命令关闭IPoE功能,再执行ip subscriber enable命令。

当设备工作在转发模式(由work-mode user-plane命令配置)时,则不允许在该设备的任意接口上开启IPoE功能。

IPoE功能和qos apply user-profile命令在功能上存在冲突,在接口上开启IPoE功能前,请确保当前接口上未配置qos apply user-profile命令。有关qos apply user-profile命令的介绍,请参见“BRAS业务命令参考”中的“User Profile”。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启二层接入模式的IPoE功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber l2-connected enable

【相关命令】

·     qos apply user-profile(BRAS业务命令参考/User Profile)

1.1.47  ip subscriber http-defense destination-ip enable

ip subscriber http-defense destination-ip enable命令用来开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能。

undo ip subscriber http-defense destination-ip enable命令用来关闭基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能。

【命令】

ip subscriber http-defense destination-ip enable [ action { block [ period blocking-period ] | logging } ]

undo ip subscriber http-defense destination-ip enable

【缺省情况】

基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

action:表示攻击达到阻断条件后设备执行的动作。如果未指定本参数,则表示在攻击达到阻断条件后生成防攻击阻断表项,用于阻断对应的HTTP/HTTPS报文,阻断时长为600秒。

block:表示在达到阻断条件后生成防攻击阻断表项,用于阻断攻击报文,但不输出日志。

period blocking-period:表示对HTTP/HTTPS报文的阻断时长,取值范围为0~3600,单位为秒,缺省值为600。阻断时长为0,表示阻断表项不会自动老化,如需解除阻断,可执行reset ip subscriber http-defense destination-ip命令手动清除阻断表项。

logging:表示在达到阻断条件后输出日志,并生成防攻击阻断表项。需要注意的是,指定本参数时生成的防攻击阻断表项仅用于查看阻断用户信息,但不会对攻击报文进行阻断。

【使用指导】

由于某些用户客户端安装了各种工具软件(如百度云等),每种工具软件都可能向某个固定目的IP地址持续发送HTTP/HTTPS请求,这些工具软件产生的大量HTTP/HTTPS请求将导致用户在IPoE Web认证之前设备的资源占用率过高,从而影响正常用户的认证效率,甚至导致用户认证失败。针对上述情况,可开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能。攻击防范功能目前有如下两种应用场景:

·     当希望对那些频繁发起的HTTP/HTTPS请求报文进行限制,以减轻大量HTTP/HTTPS报文对设备资源的占用时,可通过ip subscriber http-defense destination-ip enable action block命令配置当攻击达到阻断条件后,生成防攻击阻断表项,并基于阻断表项阻断发往指定目的IP地址的HTTP/HTTPS请求报文。

·     当仅希望能够及时感知到频繁发起的HTTP/HTTPS请求的目的IP地址,不希望对HTTP/HTTPS请求报文进行阻断,以免影响正常用户对该目的IP地址的访问时,可通过ip subscriber http-defense destination-ip enable action logging命令配置当攻击达到阻断条件后,设备输出攻击日志,并生成仅用于查看阻断用户信息的防攻击阻断表项(该类防攻击阻断表项不会对攻击报文进行阻断)。设备生成的攻击日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

IPoE HTTP/HTTPS攻击防范功能目前仅对已在认证前域上线的IPoE Web用户发送的HTTP/HTTPS报文生效。

配置或修改本命令后仅对新生成的阻断规则生效,对已生成的阻断规则无影响。

执行undo命令关闭攻击防范功能时,将同时删除所有已生成的防攻击统计表项和防攻击阻断表项。

【举例】

# 开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能,并指定攻击达到阻断条件后的动作为输出攻击日志。

<Sysname> system-view

[Sysname] ip subscriber http-defense destination-ip enable action logging

【相关命令】

·     display ip subscriber http-defense blocked-destination-ip

·     display ip subscriber http-defense unblocked-destination-ip

·     ip subscriber http-defense destination-ip threshold

·     ip subscriber http-defense free-destination-ip

1.1.48  ip subscriber http-defense destination-ip threshold

ip subscriber http-defense destination-ip threshold命令用来配置IPoE HTTP/HTTPS攻击防范的触发阈值。

undo ip subscriber http-defense destination-ip threshold命令用来恢复缺省情况。

【命令】

ip subscriber http-defense destination-ip threshold packet-number interval interval

undo ip subscriber http-defense destination-ip threshold

【缺省情况】

在300秒时间内去往同一目的IP地址的HTTP/HTTPS报文总数达到6000时即认为达到攻击防范的触发阈值。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

packet-number:报文统计个数,取值范围为100~4294967295。需要注意的是,修改本参数取值后,对新生成的和已存在的未被阻断的目的IP地址的表项都生效。

interval interval:报文统计周期,取值范围为60~3600,单位为秒。修改本参数取值后,仅对新生成的未被阻断的目的IP地址的表项生效,对已存在的未被阻断的目的IP地址的表项无影响。

【使用指导】

在IPoE Web组网中,开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能后,设备会对IPoE Web认证前域用户发往任意目的IP地址的HTTP/HTTPS报文进行监测和统计。如果在一个统计周期内,去往某目的IP地址的HTTP/HTTPS报文总数达到指定的阈值,设备将根据ip subscriber http-defense destination-ip enable命令中指定的动作生成阻断表项阻断攻击报文或者输出攻击日志信息。

【举例】

# 配置攻击防范的触发阈值为在360秒时间内去往同一目的IP地址的HTTP/HTTP报文总数达到5000。

<Sysname> system-view

[Sysname] ip subscriber http-defense destination-ip threshold 5000 interval 360

【相关命令】

·     ip subscriber http-defense destination-ip enable

1.1.49  ip subscriber http-defense free-destination-ip

ip subscriber http-defense free-destination-ip命令用来配置IPoE HTTP/HTTPS攻击防范功能的白名单地址。

undo ip subscriber http-defense free-destination-ip命令用来删除指定的IPoE HTTP/HTTPS攻击防范功能的白名单地址。

【命令】

ip subscriber http-defense free-destination-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

undo ip subscriber http-defense free-destination-ip [ { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ]

【缺省情况】

未配置IPoE HTTP/HTTPS攻击防范功能的白名单地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:目的IPv4地址。

ipv6 ipv6-address:目的IPv6地址。

vpn-instance vpn-instance-name:指定目的IP地址所属VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示目的IP地址位于公网中。

【使用指导】

在IPoE Web组网中,缺省情况下,开启基于目的IP地址的IPoE HTTP/HTTPS攻击防范功能后,设备会对IPoE Web认证前域用户发往任意目的IP地址的HTTP/HTTPS报文进行监测和统计。如果管理员希望对用户访问某些特定目的IP地址的HTTP/HTTPS报文不进行攻击防范统计,并在用户访问这些目的IP地址时,为用户无条件推送Web认证页面时,可将这些特定目的IP地址配置为白名单地址。

IPoE HTTP/HTTPS攻击防范功能不会对目的IP地址为白名单地址的HTTP/HTTPS报文进行攻击防范统计和阻断。

可通过多次执行本命令,将多个目的IP地址配置为白名单地址。

执行undo命令时,如果未指定任何参数,将删除公网和所有VPN实例内的白名单地址。

【举例】

# 将目的IP地址1.1.1.2配置为IPoE HTTP/HTTPS攻击防范的白名单地址。

<Sysname> system-view

[Sysname] ip subscriber http-defense free-destination-ip 1.1.1.2

【相关命令】

·     ip subscriber http-defense destination-ip enable

1.1.50  ip subscriber http-fast-reply enable

ip subscriber http-fast-reply enable命令用来开启HTTP报文的快速应答功能。

undo ip subscriber http-fast-reply enable命令用来关闭HTTP报文的快速应答功能。

【命令】

ip subscriber http-fast-reply enable

undo ip subscriber http-fast-reply enable

【缺省情况】

HTTP报文的快速应答功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

当用户使用浏览器进行Web认证时,如果访问的不是Portal Web服务器,接入设备会将此HTTP请求重定向到CPU,由CPU推送Portal Web服务器的Web认证页面。如果攻击者向设备发送大量的HTTP请求报文,会对设备造成拒绝服务攻击。

开启HTTP报文的快速应答功能后,设备将通过硬件识别HTTP请求报文并自动回复HTTP应答报文,从而减轻CPU的负担,避免成为拒绝服务攻击的目标。

对于在开启快速应答功能前已经通过认证前域认证上线的用户,本功能开启后不立即生效,当该用户下线后再次通过认证前域上线或者该用户Web上线后再次回到认证前域时本功能才生效。

在同时配置本功能和无感知认证功能的情况下,当用户上线时先尝试按无感知认证方式接入,如果无法无感知(例如:无感知绑定查询请求超时或Portal返回的查询结果是用户未绑定或AAA服务器返回认证失败),则由硬件应答推送Web认证页面。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启HTTP报文的快速应答功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber http-fast-reply enable

【相关命令】

·     ip subscriber authentication-method

·     work-mode user-plane(BRAS业务命令参考/UCM)

1.1.51  ip subscriber if-match

ip subscriber if-match命令用来配置IPoE Web重定向URL的匹配规则。

undo ip subscriber if-match命令用来删除指定的IPoE Web重定向URL匹配规则。

【命令】

ip subscriber if-match { original-url url-string redirect-url url-string [ url-param-encryption { aes | des } key { cipher | simple } string ] | user-agent user-agent redirect-url url-string }

undo ip subscriber if-match { original-url url-string | user-agent user-agent }

【缺省情况】

未配置IPoE Web重定向URL的匹配规则。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

original-url url-string:根据用户Web访问请求的URL地址进行匹配,其中url-string是Web用户访问请求的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

user-agent user-agent:根据用户HTTP/HTTPS请求报文中的User Agent信息进行匹配,其中user-agent是HTTP/HTTPS User Agent信息内容,为1~255个字符的字符串,区分大小写。HTTP/HTTPS User Agent信息包括硬件厂商信息、软件操作系统信息、浏览器信息、搜索引擎信息等内容。

redirect-url url-string:Web访问请求被重定向后的URL地址,为1~256个字符的字符串,区分大小写。该URL地址必须是以http://或者https://开头的完整URL路径。

url-param-encryption:对设备重定向给用户的URL中携带的所有参数信息进行加密。如果未指定本参数,则表示不对携带的所有参数信息进行加密。

aes:加密算法为AES算法。

des:加密算法为DES算法。

key:设置密钥。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。密钥的长度范围和选择的加密方式有关。具体关系如下:

·     对于des加密方式,明文密钥为8个字符的字符串,密文密钥为41个字符的字符串。

·     对于aes加密方式,明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。

【使用指导】

重定向URL匹配规则用于控制重定向用户的HTTP或HTTPS请求,该匹配规则可匹配用户的Web请求地址或者用户的终端信息。

为了让用户能够成功访问重定向后的地址,需要通过认证前域用户组ACL配置Permit规则,放行去往该地址的HTTP或HTTPS请求报文。

与ISP域下web-server url命令不同的是,重定向匹配规则可以灵活的进行地址的重定向,而ISP域下web-server url命令一般只用于将用户的HTTP或HTTPS请求重定向到Web服务器进行Web认证。在二者同时存在时,优先使用重定向URL匹配规则进行地址的重定向。

在转发与控制分离组网中,本功能仅在UP设备上配置后生效。

【举例】

# 配置URL地址为http://www.example.com的重定向匹配规则,访问此地址的报文被重定向到http://192.168.0.1,对重定向URL中携带的参数按DES算法进行加密。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber if-match original-url http://www.example.com redirect-url http://192.168.0.1 url-param-encryption des key simple 12345678

# 配置用户代理信息为5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36的匹配规则,访问此地址的报文被重定向到http://192.168.0.1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber if-match user-agent 5.0(WindowsNT6.1)AppleWebKit/537.36(KHTML,likeGecko)Chrome/36.0.1985.125Safari/537.36 redirect-url http://192.168.0.1

【相关命令】

·     web-server url(BRAS业务命令参考/AAA)

1.1.52  ip subscriber initiator arp enable

ip subscriber initiator arp enable命令用来开启ARP报文触发用户上线功能。

undo ip subscriber initiator arp enable命令用来关闭ARP报文触发用户上线功能。

【命令】

ip subscriber initiator arp enable

undo ip subscriber initiator arp enable

【缺省情况】

ARP报文触发用户上线功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后,BRAS设备除允许IPoE静态用户通过ARP报文触发上线外,还会根据DHCP异常下线记录恢复用户的IPoE会话。通过对异常下线的DHCP用户信息进行记录,当设备收到DHCP用户的ARP报文时,可根据已记录的异常下线的DHCP用户信息恢复该用户的IPoE会话。

DHCP用户异常下线是指,不是因为DHCP接入用户主动释放IP地址引起的用户IPoE会话被删除的现象。

当接口收到用户ARP报文时,按如下先后顺序选择处理方式:

(1)     匹配了配置的静态IPoE会话,则按静态用户接入处理。

(2)     匹配了可漫游用户,则按漫游流程进行处理。

(3)     匹配了DHCP异常下线记录表项,则根据异常记录信息恢复DHCP异常下线用户的会话信息。

(4)     按松散模式上线。(仅适用于松散模式生效的情况)

(5)     以上均未匹配,则丢弃报文,不允许用户通过ARP报文方式接入。

对于IPoE静态接入用户,如需通过ARP报文触发上线,则必须同时满足以下条件:

·     开启ARP报文触发上线功能,仅当开启本功能后,当设备收到的ARP报文与手工配置的IPoE会话匹配后才会触发认证。

·     请确保给IPoE静态接入用户分配的网关地址是用户接入接口的IP地址,或者是IP地址池下的共享网关地址(例如BAS类型的IP地址池下通过命令gateway指定的网关地址),否则即使该用户的ARP报文与手工配置的IPoE会话匹配也无法触发认证。

关闭该功能后,接口上已由ARP报文触发上线的IPoE静态会话将仍保持其在线状态。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启ARP报文触发用户上线功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber initiator arp enable

【相关命令】

·     ip subscriber access-trigger loose

·     ip subscriber enable

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber initiator unclassified-ipv6 enable

·     ip subscriber initiator ndrs enable

·     ip subscriber roaming enable

1.1.53  ip subscriber initiator ndrs enable

ip subscriber initiator ndrs enable命令用来在接口上开启IPv6 ND RS报文触发生成IPoE会话的功能。

undo ip subscriber initiator ndrs enable命令用来关闭接口上IPv6 ND RS报文触发生成IPoE会话的功能。

【命令】

ip subscriber initiator ndrs enable

undo ip subscriber initiator ndrs enable

【缺省情况】

接口上IPv6 ND RS报文触发生成IPoE会话的功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

接口上开启该功能后,收到的首个IPv6 ND RS报文会触发生成IPoE会话;关闭该功能后,该接口上收到的IPv6 ND RS报文不能触发生成IPoE会话,已有的由IPv6 ND RS报文触发生成的IPoE会话不会被删除。

接口上可同时配置DHCPv6报文、IPv6 ND RS和未知源IP报文等多种报文触发生成IPoE会话的功能。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启IPv6 ND RS报文触发生成IPoE会话的功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber initiator ndrs enable

【相关命令】

·     ip subscriber enable

·     ip subscriber initiator arp enable

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber initiator unclassified-ipv6 enable

1.1.54  ip subscriber initiator nsna enable

ip subscriber initiator nsna enable命令用来开启NS/NA报文触发用户上线功能。

undo ip subscriber initiator nsna enable命令用来关闭NS/NA报文触发用户上线功能。

【命令】

ip subscriber initiator nsna enable

undo ip subscriber initiator nsna enable

【缺省情况】

NS/NA报文触发用户上线功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后,当设备收到NS或NA报文时,如果满足以下条件:

·     对于NS报文,其源地址为全球单播地址。

·     对于NA报文,其源地址为全球单播地址或Target address为全球单播地址。

则按如下先后顺序选择处理方式:

(1)     匹配了配置的静态IPoE会话,则按静态用户接入处理。

(2)     匹配了漫游用户,则按漫游流程进行处理。

(3)     匹配了DHCP异常下线记录表项,则根据异常记录信息恢复DHCP异常下线用户的会话信息。

(4)     匹配了ND RS异常下线记录表项,则根据异常记录信息恢复ND RS异常下线用户的会话信息。

(5)     按松散模式上线。(仅适用于松散模式生效的情况)

(6)     以上均未匹配,则不允许用户通过NS/NA报文触发方式上线。

仅在IPoE二层接入模式下才支持通过NS和NA报文触发用户上线。当需要通过NS或NA报文触发用户上线时,必须通过ip subscriber initiator nsna enable命令开启NS/NA报文触发用户上线功能。

关闭本功能后,对接口上已由NS/NA报文触发上线的用户无影响,仍将保持其在线状态。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启NS/NA报文触发用户上线功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber initiator nsna enable

【相关命令】

·     ip subscriber initiator unclassified-ipv6 enable

·     ip subscriber roaming enable

1.1.55  ip subscriber initiator unclassified-ip enable

ip subscriber initiator unclassified-ip enable命令用来在接口上开启未知源IPv4报文触发生成IPoE会话的功能。

undo ip subscriber initiator unclassified-ip enable命令用来关闭接口上的未知源IPv4报文触发生成IPoE会话的功能。

【命令】

ip subscriber initiator unclassified-ip enable [ matching-user ]

undo ip subscriber initiator unclassified-ip enable

【缺省情况】

接口上的未知源IPv4报文触发生成IPoE会话的功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

matching-user:表示仅允许匹配到的静态用户、DHCP异常下线用户、漫游用户和采用松散模式上线的用户上线。

【使用指导】

对于未知源IPv4报文触发方式,需要执行dhcp enable命令开启DHCP服务。有关该命令的介绍,请参见“BRAS业务命令参考”中的“DHCP”。

开启本功能后,BRAS设备除允许IPoE用户通过未知源IP报文触发上线外,还会根据DHCP异常下线记录恢复用户的IPoE会话。通过对异常下线的DHCP用户信息进行记录,当设备收到DHCP用户的IP报文时,可根据已记录的异常下线的DHCP用户信息恢复该用户的IPoE会话。

DHCP用户异常下线是指,不是因为DHCP接入用户主动释放IP地址引起的用户IPoE会话被删除的现象。

当接口收到用户IP报文时,如果指定了matching-user参数,则按如下先后顺序选择处理方式:

(1)     匹配了配置的静态IPoE会话,则按静态用户接入处理。

(2)     匹配了漫游用户,则按漫游流程进行处理。

(3)     匹配了DHCP异常下线记录表项,则根据异常记录信息恢复该用户的会话信息。

(4)     按松散模式上线。(仅适用于松散模式生效的情况)

(5)     以上均未匹配,则不允许用户通过未知源IP报文触发上线。

如果未指定matching-user参数,则按如下先后顺序选择处理方式:

(1)     匹配配置的静态IPoE会话,则按静态用户接入处理。

(2)     匹配了漫游用户,则按漫游流程进行处理。

(3)     匹配DHCP异常下线记录表项,则根据异常记录信息恢复该用户的会话信息。

(4)     按松散模式上线。(仅适用于松散模式生效的情况)

(5)     以上均未匹配,则按未知源IP报文触发用户上线。

关闭该功能后,该接口上已由未知源IPv4报文触发生成的IPoE会话不会被删除。

接口上可同时配置DHCPv4报文、未知源IPv4报文等多种报文触发生成IPoE会话的功能。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启未知源IPv4报文触发生成IPoE会话的功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable

【相关命令】

·     ip subscriber access-trigger loose

·     ip subscriber enable

·     ip subscriber initiator arp enable

·     ip subscriber initiator unclassified-ipv6 enable

·     ip subscriber initiator ndrs enable

·     ip subscriber roaming enable

1.1.56  ip subscriber initiator unclassified-ipv6 enable

ip subscriber initiator unclassified-ipv6 enable命令用来在接口上开启未知源IPv6报文触发生成IPoE会话的功能。

undo ip subscriber initiator unclassified-ipv6 enable命令用来关闭接口上的未知源IPv6报文触发生成IPoE会话的功能。

【命令】

ip subscriber initiator unclassified-ipv6 enable [ matching-user ]

undo ip subscriber initiator unclassified-ipv6 enable

【缺省情况】

接口上的未知源IPv6报文触发生成IPoE会话的功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

matching-user:表示仅允许匹配到的静态用户、DHCP异常下线用户、ND RS异常下线用户、漫游用户和采用松散模式上线的用户上线。

【使用指导】

开启本功能后,BRAS设备除允许IPoE用户通过未知源IP报文触发上线外,还会根据DHCP异常下线记录恢复用户的IPoE会话。通过对异常下线的DHCP用户信息进行记录,当设备收到DHCP用户的IP报文时,可根据已记录的异常下线的DHCP用户信息恢复该用户的IPoE会话。

DHCP用户异常下线是指,不是因为DHCP接入用户主动释放IP地址引起的用户IPoE会话被删除的现象。

当接口收到用户IP报文时,如果指定了matching-user参数,则按如下先后顺序选择处理方式:

(1)     匹配了配置的静态IPoE会话,则按静态用户接入处理。

(2)     匹配了漫游用户,则按漫游流程进行处理。

(3)     匹配了DHCP异常下线记录表项,则根据异常记录信息恢复该用户的会话信息。

(4)     匹配了ND RS异常下线记录表项,则根据异常记录信息恢复该用户的会话信息。

(5)     按松散模式上线。(仅适用于松散模式生效的情况)

(6)     以上未匹配,则不允许用户通过未知源IPv6报文触发上线。

如果未指定matching-user参数,则按如下先后顺序选择处理方式:

(1)     匹配配置的静态IPoE会话,则按静态用户接入处理。

(2)     匹配了漫游用户,则按漫游流程进行处理。

(3)     匹配了DHCP异常下线记录表项,则根据异常记录信息恢复该用户的会话信息。

(4)     匹配了ND RS异常下线记录表项,则根据异常记录信息恢复该用户的会话信息。

(5)     按松散模式上线。(仅适用于松散模式生效的情况)

(6)     以上未匹配,则按未知源IPv6报文触发用户上线。

当接口收到的IP报文是NS/NA报文时的处理流程,请参见ip subscriber initiator nsna enable命令。

关闭该功能后,该接口上已由未知源IPv6报文触发生成的IPoE会话不会被删除。

接口上可同时配置DHCPv6报文、IPv6 ND RS和未知源IPv6报文等多种报文触发生成IPoE会话的功能。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启未知源IPv6报文触发生成IPoE会话的功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber initiator unclassified-ipv6 enable

【相关命令】

·     ip subscriber initiator nsna enable

·     ip subscriber roaming enable

1.1.57  ip subscriber interface-leased

ip subscriber interface-leased命令用来配置IPoE接口专线用户。

undo ip subscriber interface-leased命令用来恢复缺省情况。

【命令】

ip subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ]

undo ip subscriber interface-leased

【缺省情况】

未配置IPoE接口专线用户。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

【缺省用户角色】

network-admin

【参数】

username name:指定用户认证时使用的用户名,其中name为1~253个字符的字符串,区分大小写。

password:指定用户认证时使用的密码。

ciphertext:以密文方式设置密码。

plaintext:以明文方式设置密码,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

一个IPoE接口专线用户代表了当前接口接入的所有用户。在接入接口上同时开启了IPv4和IPv6协议栈的IPoE功能、且接口状态up的情况下,无需用户流量触发,接入设备会主动尝试以配置的用户名和密码发起认证;用户认证成功后,建立专线会话,接口上接入的所有用户流量均允许通过,且共享一个IPoE会话,并基于接口进行授权和计费。

在先开启IPoE功能,后配置接口专线用户的情况下,必须同时开启IPv4和IPv6协议栈的IPoE功能,才允许配置接口专线用户;在先配置接口专线用户,后开启IPoE功能的情况下,必须同时开启IPv4和IPv6协议栈的IPoE功能,否则不允许开启IPoE功能。

每个接口只能配置一个IPoE接口专线用户,并且不能通过重复执行本命令修改已配置的IPoE接口专线用户的usernamepassworddomain参数。如需修改这些参数,请先通过undo ip subscriber interface-leased命令删除已配置的IPoE接口专线用户,再执行ip subscriber interface-leased命令。

同一接口下,IPoE接口专线用户与IPoE子网专线用户、IPoE L2VPN专线用户、未知源接入用户及静态用户的配置互斥。

如果将某接口添加到了静态用户接口列表,则不允许再在该接口上配置接口专线用户;反之,如果在某接口上配置了接口专线用户,则不允许再将该接口添加到静态用户接口列表。

IPoE接口专线用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个匹配到的认证域进行认证:

(1)     使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。

(2)     使用本命令中domain domain-name指定的认证域;若该域未创建,则用户上线失败。

(3)     使用ip subscriber unclassified-ip domain命令配置的认证域;若该域未创建,则用户上线失败。

(4)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置一个IPoE接口专线用户:认证使用的用户名为intuser,认证使用的密码为明文pw123。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber interface-leased username intuser password plaintext pw123

1.1.58  ip subscriber l2vpn-leased

ip subscriber l2vpn-leased命令用来配置IPoE L2VPN专线用户。

undo ip subscriber l2vpn-leased命令用来恢复缺省情况。

【命令】

ip subscriber l2vpn-leased username name password { ciphertext | plaintext } string [ domain domain-name ]

undo ip subscriber l2vpn-leased

【缺省情况】

未配置IPoE L2VPN专线用户。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

【缺省用户角色】

network-admin

【参数】

username name:指定用户认证时使用的用户名,其中name为1~253个字符的字符串,区分大小写。

password:指定用户认证时使用的密码。

ciphertext:表示以密文方式配置用户认证使用的密码。

plaintext:表示以明文方式配置用户认证使用的密码。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

一个IPoE L2VPN专线用户代表了该接口接入的所有用户,接口上接入的所有用户统一认证、授权和计费。该IPoE专线用户认证成功后,接口上接入的所有L2VPN专线用户流量均允许通过,且共享一个IPoE会话,并基于接口进行授权和计费。

在先开启IPoE功能,后配置L2VPN专线用户的情况下,必须同时开启IPv4和IPv6协议栈的IPoE功能,才允许配置L2VPN专线用户;在先配置L2VPN专线用户,后开启IPoE功能的情况下,必须同时开启IPv4和IPv6协议栈的IPoE功能,否则不允许开启IPoE功能。

每个接口只能配置一个IPoE L2VPN专线用户,并且不能通过重复执行本命令修改已配置的IPoE L2VPN专线用户的usernamepassworddomain参数。如需修改这些参数,请先通过undo ip subscriber l2vpn-leased命令删除已配置的IPoE L2VPN专线用户,再执行ip subscriber l2vpn-leased命令。

同一接口下,IPoE L2VPN专线用户与IPoE接口专线用户、IPoE子网专线用户及静态用户的配置互斥。

同一三层以太网子接口下,IPoE L2VPN专线用户和以太网子接口/三层聚合子接口的报文统计功能互斥,二者只能配置其一。有关以太网子接口的报文统计功能的详细介绍,请参见“接口管理配置指导”中的“以太网接口”。有关三层聚合子接口的报文统计功能的详细介绍,请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。

IPoE L2VPN专线用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个匹配到的认证域进行认证:

(1)     使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。

(2)     使用本命令中domain domain-name指定的认证域;若该域未创建,则用户上线失败。

(3)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置一个IPoE L2VPN专线用户:认证使用的用户名为intuser,认证使用的密码为明文pw123。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber l2vpn-leased username intuser password plaintext pw123

1.1.59  ip subscriber lease-end-time original

ip subscriber lease-end-time original命令用来配置IPoE用户下线后再次触发上线时租约到期时间为下线前的时间。

undo subscriber lease-end-time original命令用来恢复缺省情况。

【命令】

ip subscriber lease-end-time original

undo ip subscriber lease-end-time original

【缺省情况】

IPoE用户下线后再次触发上线时租约到期重新开始计算。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,异常下线用户和自动备份用户下线后再次触发上线的租约到期时间会重新开始计算。配置此命令后,当故障恢复客户端重新触发上线时:

·     对于异常下线用户,BRAS记录的租约到期时间与客户端记录的租约到期时间保持一致。

·     对于自动备份用户,BRAS记录的租约到期时间为自动备份表项记录的租约时间。

本命令仅适用于异常下线的IPoE DHCP用户和自动备份的IPoE DHCP用户。

【举例】

# 配置IPoE用户下线后再次触发上线时租约到期时间为下线前的时间。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber lease-end-time original

【相关命令】

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber initiator unclassified-ipv6 enable

·     display ip subscriber abnormal-logout

1.1.60  ip subscriber mac-auth domain

ip subscriber mac-auth domain命令用来配置MAC认证域。

undo ip subscriber mac-auth domain命令用来恢复缺省情况。

【命令】

ip subscriber mac-auth domain domain-name

undo ip subscriber mac-auth domain

【缺省情况】

未配置MAC认证域。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

采用Web MAC认证方式时,如果配置了多种认证域,在Web认证阶段,接入用户按如下先后顺序选择认证域:

(1)     使用用户名中携带的域;若该域未创建,则用户上线失败。

(2)     使用ip subscriber mac-auth domain命令指定的MAC认证域;若该域未创建,则用户上线失败。

(3)     使用ip subscriber web-auth domain命令指定的Web认证域;若该域未创建,则用户上线失败。

(4)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

采用Web认证方式时,在Web认证阶段,多种认证域的选择原则请参见ip subscriber web-auth domain命令。

MAC认证域仅适用于采用Web MAC认证方式的个人接入用户,在Web认证阶段进行MAC无感知认证时使用。

修改MAC认证域域名或域中的配置仅对新接入用户生效,对当前已通过该认证域上线的用户无影响。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置MAC认证域为dm1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber mac-auth domain dm1

【相关命令】

·     ip subscriber authentication-method

·     ip subscriber web-auth domain

1.1.61  ip subscriber max-session

ip subscriber max-session命令用来配置接口上允许创建的IPoE个人会话和专线子用户会话的最大总数目。

undo ip subscriber max-session命令用来恢复缺省情况。

【命令】

ip subscriber max-session max-number

undo ip subscriber max-session

【缺省情况】

未配置接口上允许创建的IPoE个人会话和专线子用户会话的最大总数目。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

max-number:允许创建的IPoE个人会话和专线子用户会话的最大总数目,取值范围为1~64000。

【使用指导】

当接口上已创建的IPoE个人会话和专线子用户会话的总数目达到最大值后,则不允许再创建新的IPoE会话。创建的IPoE会话数目包括IPv4单栈会话数目、IPv6单栈会话数目和双栈会话数目,其中,单栈用户占用一个会话资源,双栈用户占用一个会话资源;如果某单栈用户已经成功上线,那么同一用户的另一协议栈可以直接上线,双栈共用一个会话资源。

如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。

本命令与ip subscriber { dhcp | dhcpv6 | ndrs | unclassified-ip | unclassified-ipv6 } max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上允许创建的IPoE个人会话和专线子用户会话的最大总数目为100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber max-session 100

【相关命令】

·     ip subscriber dhcp max-session

·     ip subscriber dhcpv6 max-session

·     ip subscriber ndrs max-session

·     ip subscriber unclassified-ip max-session

·     ip subscriber unclassified-ipv6 max-session

1.1.62  ip subscriber nas-port-id format

ip subscriber nas-port-id format命令用来配置IPoE接入用户进行认证时,接入设备向RADIUS服务器发送的NAS-PORT-ID属性的封装格式。

undo ip subscriber nas-port-id format命令用来恢复缺省情况。

【命令】

ip subscriber nas-port-id format cn-telecom { version1.0 | version2.0 | version3.0 | version4.0 | version5.0 }

undo ip subscriber nas-port-id format

【缺省情况】

按version 1.0的格式填充RADIUS的NAS-PORT-ID属性。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

version1.0:封装格式为version 1.0,表示发送给RADIUS服务器的NAS-PORT-ID属性以电信163大后台要求的格式填充。不同接口类型的封装内容形式有所不同,具体请参见表1-16。其中,封装内容中的各参数含义为:

·     NAS_slot:表示BRAS接入接口的槽位号。

·     NAS_subslot:表示BRAS接入接口的子槽位号。

·     NAS_port:表示BRAS接入接口的端口号。

·     vlan_id:表示接入用户的VLAN ID。

·     inner-vlan:表示接入用户的内层VLAN ID。

·     outer-vlan:表示接入用户的外层VLAN ID。

·     vpi:表示BRAS接入接口的VPI。

·     vci:表示BRAS接入接口的VCI。

表1-16 version 1.0封装格式

接口类型

封装内容形式

三层以太网接口和三层聚合接口

slot=NAS_slot;subslot=NAS_subslot;port=NAS_port;vlanid=0

三层以太网子接口和三层聚合子接口(携带单层VLAN Tag接入)

slot=NAS_slot;subslot=NAS_subslot;port=NAS_port;vlanid=vlan_id

三层以太网子接口和三层聚合子接口(携带双层VLAN Tag接入)

slot=NAS_slot;subslot=NAS_subslot;port=NAS_port;vlanid=inner-vlan;vlanid2=outer-vlan

 

version2.0:封装格式为version 2.0,表示发送给RADIUS服务器的NAS-PORT-ID属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。

·     当收到的DHCPv4报文带有Option82 Circuit-ID并且信任Option82或当收到的DHCPv6报文带有Option18并且信任Option18时,version 2.0封装格式的内容形式请参见ip subscriber nas-port-id nasinfo-insert命令。

·     其余情况下,则均按version 2.0格式{eth|trunk|atm} NAS_slot/NAS_subslot/NAS_port:svlan.cvlan AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port封装,填充NAS-PORT-ID属性中的NAS信息字段(NAS_slot/NAS_subslot/NAS_port:svlan.cvlan),并将AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分修改为0/0/0/0/0/0。其中,各字段的含义请参见表1-17

表1-17 version 2.0封装格式

字段

描述

{eth|trunk|atm}

表示BRAS接入接口的类型,包括以太接口、trunk类型的以太网接口或ATM接口

NAS_slot

表示BRAS接入接口的槽位号

NAS_subslot

表示BRAS接入接口的子槽位号

NAS_port

表示BRAS接入接口的端口号

svlan

表示接入用户的SVLAN ID

cvlan

表示接入用户的CVLAN ID

AccessNodeIdentifier

表示接入节点的标识

ANI_rack

表示接入节点机架号

ANI_frame

表示接入节点机框号

ANI_slot

表示接入节点槽位号

ANI_subslot

表示接入节点子槽位号

ANI_port

表示接入节点端口号

 

需要注意的是,version 2.0封装格式中,不带VLAN的接入用户,svlan和cvlan均固定为4096;如果携带单层VLAN,则svlan固定为4096,cvlan为用户实际携带的VLAN。详解请见举例。

version3.0:封装格式为version 3.0。version 3.0封装格式的内容形式为:SlotID/00/IfNO/VlanID,其中“/”符号不显示。各字段的含义请参见表1-18

表1-18 version 3.0封装格式

字段

描述

SlotID

表示用户接入的槽位号,至少占2位,不足2位使用0补充

00

表示规范要求的特定字段

IFNO

表示用户接入的接口编号,至少占3位,不足3位使用0补充

VlanID

表示用户接入的VLAN ID,至少占9位,不足9位使用0补充

 

需要注意的是,version 3.0封装格式中,不带VLAN的接入用户,VlanID固定为0;如果携带单层VLAN,则VlanID为VlanID;如果携带双层VLAN,则VlanID为CVLAN ID。详解请见举例。

version4.0:封装格式为version 4.0。

·     当收到的DHCPv4报文带有Option82 Circuit-ID并且信任Option82或当收到的DHCPv6报文带有Option18并且信任Option18时,其格式为在version3.0的NAS-PORT-ID内容后面添加用户DHCP报文中指定Option的内容:对于IPv4用户,此处添加的是DHCP Option82 Circuit-ID的内容,即格式为SlotID/00/IfNO/VlanID/Option82 Circuit-ID,其中“/”符号不显示;对于IPv6用户,此处添加的是DHCP Option18的内容,即格式为SlotID/00/IfNO/VlanID/Option18,其中“/”符号不显示。

·     其余情况下,version 4.0封装格式与version 3.0封装格式完全相同。

version5.0:封装格式为version 5.0,表示发送给RADIUS服务器的NAS-PORT-ID属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。Option18与Option82处理原则相同,下面以Option82为例进行介绍。

·     如果未配置信任Option82,或配置了信任Option82,但不能提取出信息则按照未携带Option82 Circuit-ID的情况,以version 2.0格式封装(即AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分将被填充为0/0/0/0/0/0)。

·     如果配置了信任Option82,且能提取出信息,这种情况version 5.0封装格式请见ip subscriber nas-port-id nasinfo-insert命令。

【使用指导】

在转发与控制分离组网中:

·     如果采用version 1.0封装格式且配置了access-user four-dimension-mode enable命令,当IPoE用户从某UP接入时,将在封装格式中的slot前加上UP的ID信息。例如,对于三层以太网接口,在转发与控制分离组网中,version 1.0封装格式的内容形式为:chassis=UP_ID;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port;vlanid=0。

·     如果采用version 2.0封装格式且配置了access-user four-dimension-mode enable命令,当IPoE用户从某UP接入时,将在封装格式中的NAS_slot前加上UP的ID信息,即此时version 2.0封装格式的内容形式为:{eth|trunk|atm} UP_ID/NAS_slot/NAS_subslot/NAS_port:svlan.cvlan AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port。

·     如果采用version 3.0或version 4.0封装格式,则内容形式与普通组网相同。

【举例】

1. version 1.0格式

·     不带VLAN Tag接入

# 在聚合接口1上配置设备使用version 1.0格式封装RADIUS的NAS-PORT-ID属性,不携带VLAN Tag接入。

<Sysname> system-view

[Sysname] interface route-aggregation 1

[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version1.0

[Sysname-Route-Aggregation1] quit

[Sysname] display access-user

UserID      Interface            IP address              MAC address     S-/C-VLAN

            Username             Access type

            IPv6 address

0x33e       RAGG1                3.3.3.3                 001b-21a8-0949  -/-

            3.3.3.3              L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="slot=0;subslot=0;port=1;vlanid=0;"

·     携带单层VLAN Tag接入

# 在接口Ten-GigabitEthernet3/1/1.2上配置设备使用version 1.0格式封装RADIUS的NAS-PORT-ID属性,携带单层VLAN Tag接入。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.2

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version1.0

[Sysname-Ten-GigabitEthernet3/1/1.2] quit

[Sysname] display access-user

UserID      Interface            IP address              MAC address     S-/C-VLAN

            Username             Access type

            IPv6 address

0x33e       XGE3/1/1.2            3.3.3.3                 001b-21a8-0949  400/-

            3.3.3.3              L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="slot=3;subslot=1;port=1;vlanid=400;"

·     携带双层VLAN Tag接入

# 在接口Ten-GigabitEthernet3/1/1.2上配置设备使用version 1.0格式封装RADIUS的NAS-PORT-ID属性,携带双层VLAN Tag接入。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.2

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version1.0

[Sysname-Ten-GigabitEthernet3/1/1.2] quit

[Sysname] display access-user

UserID      Interface            IP address              MAC address     S-/C-VLAN

            Username             Access type

            IPv6 address

0x33e       XGE3/1/1.2            3.3.3.3                 001b-21a8-0949  400/500

            3.3.3.3              L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="slot=3;subslot=1;port=1;vlanid=500;vlanid2=400;"

2. version 2.0格式

·     不携带VLAN Tag接入

¡     三层聚合接口上线

# 在聚合接口1上配置设备使用version 2.0格式封装RADIUS的NAS-PORT-ID属性,不携带VLAN Tag接入。

<Sysname> system-view

[Sysname] interface route-aggregation 1

[Sysname-Route-Aggregation1] undo ip subscriber trust option82

[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version2.0

[Sysname-Route-Aggregation1] quit

[Sysname] display access-user

UserID      Interface            IP address            MAC address     S-/C-VLAN

            Username             Access type

            IPv6 address

0x33e       RAGG1                3.3.3.3               001b-21a8-0949  -/-

            3.3.3.3              L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="trunk 0/0/1:4096.4096 0/0/0/0/0/0"

¡     三层以太网接口上线

# 在接口Ten-GigabitEthernet3/1/1上配置设备使用version 2.0格式封装RADIUS的NAS-PORT-ID属性,不携带VLAN Tag接入。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] undo ip subscriber trust option82

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber nas-port-id format cn-telecom version2.0

[Sysname-Ten-GigabitEthernet3/1/1] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       XGE3/1/1            3.3.3.3                001b-21a8-0949  -/-

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="eth 3/1/1:4096.4096 0/0/0/0/0/0"

·     携带单层VLAN Tag接入

# 在接口Ten-GigabitEthernet3/1/1.2上配置设备使用version 2.0格式封装RADIUS的NAS-PORT-ID属性,携带单层VLAN Tag接入。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.2

[Sysname-Ten-GigabitEthernet3/1/1.2] undo ip subscriber trust option82

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version2.0

[Sysname-Ten-GigabitEthernet3/1/1.2] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       XGE3/1/1.2           3.3.3.3                001b-21a8-0949  400/-

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="eth 3/1/1:4096.400 0/0/0/0/0/0"

·     携带双层VLAN Tag接入

# 在接口Ten-GigabitEthernet3/1/1.2上配置设备使用version 2.0格式封装RADIUS的NAS-PORT-ID属性,携带双层VLAN Tag接入。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.2

[Sysname-Ten-GigabitEthernet3/1/1.2] undo ip subscriber trust option82

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version2.0

[Sysname-Ten-GigabitEthernet3/1/1.2] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       XGE3/1/1.2           3.3.3.3                001b-21a8-0949  400/500

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="eth 3/1/1:400.500 0/0/0/0/0/0"

3. version 3.0格式

·     不携带VLAN Tag接入

# 在聚合接口1上配置设备使用version 3.0格式封装RADIUS的NAS-PORT-ID属性,不携带VLAN Tag接入。

<Sysname> system-view

[Sysname] interface route-aggregation 1

[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version3.0

[Sysname-Route-Aggregation1] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       RAGG1               3.3.3.3                001b-21a8-0949  -/-

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="0000001000000000"

·     携带单层VLAN Tag接入

# 在接口Ten-GigabitEthernet3/1/1.2上配置设备使用version 3.0格式封装RADIUS的NAS-PORT-ID属性,携带单层VLAN Tag接入。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.2

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version3.0

[Sysname-Ten-GigabitEthernet3/1/1.2] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       XGE3/1/1.2           3.3.3.3                001b-21a8-0949  400/-

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="0300001000000400"

·     携带双层VLAN Tag接入

# 在接口Ten-GigabitEthernet3/1/1.2上配置设备使用version 3.0格式封装RADIUS的NAS-PORT-ID属性,携带双层VLAN Tag接入。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.2

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version3.0

[Sysname-Ten-GigabitEthernet3/1/1.2] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       XGE3/1/1.2           3.3.3.3                001b-21a8-0949  400/500

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="0300001000000500"

4. version 4.0格式

# 在接口Ten-GigabitEthernet3/1/1.2上配置设备使用version 4.0格式封装RADIUS的NAS-PORT-ID属性,携带双层VLAN Tag接入,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.2

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber trust option82

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version4.0

[Sysname-Ten-GigabitEthernet3/1/1.2] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       XGE3/1/1.2           3.3.3.3                001b-21a8-0949  400/500

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="0300001000000500aaa be cd ef g"

5. version 5.0格式

DHCP报文中未携带Option82 Circuit-ID或未配置信任Option82时,version 5.0格式和version 2.0格式完全相同,具体请见version 2.0格式举例。

DHCP报文带有Option82 Circuit-ID并且信任Option82时,version 5.0格式举例请见ip subscriber nas-port-id nasinfo-insert命令中举例。

【相关命令】

·     access-user four-dimension-mode enable(BRAS业务命令参考/UCM)

·     ip subscriber trust

·     ip subscriber nas-port-id interface

·     ip subscriber nas-port-id nasinfo-insert

1.1.63  ip subscriber nas-port-id interface

ip subscriber nas-port-id interface命令用来配置设备使用指定接口信息填充RADIUS的NAS-PORT-ID属性。

undo ip subscriber nas-port-id interface命令用来恢复缺省情况

【命令】

ip subscriber nas-port-id interface interface-type interface-number

undo ip subscriber nas-port-id interface

【缺省情况】

设备使用用户上线的接口信息填充RADIUS的NAS-PORT-ID属性。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

interface-type:表示BRAS接入接口的类型。指定的接口必须是IPoE用户的接入接口。

interface-number:表示BRAS接入接口的编号。当前接口编号仅支持一维、二维、三维和四维接口,且每维接口编号的取值范围都是0~65534。例如三维接口,最小接口编号为0/0/0,最大接口编号为65534/65534/65534。请根据实际情况合理配置接口编号。

【使用指导】

缺省情况下,设备使用用户上线的接口信息填充NAS-PORT-ID属性上送RADIUS服务器。在某些特殊应用中,当需要手工指定用于填充NAS-PORT-ID属性的上线接口信息时,可配置本命令。例如,若RADIUS服务器上限制了用户A只能通过接口A上线,当用户A切换到一个新接口B上线时,若不想更改RADIUS服务器的配置,可通过本命令配置用户A仍使用接口A的信息填充NAS-PORT-ID属性上送RADIUS服务器。

在转发与控制分离组网环境中,本命令中指定的接口必须是UP上IPoE用户的接入接口,接口编号形式为UP ID/UP上实际接入接口编号,例如用户通过UP 1024上的Ten-GigabitEthernet3/1/1接口接入,则本命令中指定的接口编号应为1024/3/1/1。

当NAS-PORT-ID属性的封装格式为version 1.0格式且配置了ip subscriber nas-port-id interface命令时:

·     若同时配置了access-user four-dimension-mode enable命令,将使用ip subscriber nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:

¡     非转发与控制分离组网:chassis=NAS_chassis;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。

¡     转发与控制分离组网:chassis=UP_ID;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。

·     若未配置access-user four-dimension-mode enable命令,将使用ip subscriber nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。

当NAS-PORT-ID属性的封装格式为version 2.0格式且配置了ip subscriber nas-port-id interface命令时:

·     若同时配置了access-user four-dimension-mode enable命令,将使用本命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:

¡     非转发与控制分离组网:{eth|trunk|atm} NAS_chassis/NAS_slot/NAS_subslot/NAS_port。

¡     转发与控制分离组网:{eth|trunk|atm} UP_ID/NAS_slot/NAS_subslot/NAS_port。

·     若未配置access-user four-dimension-mode enable命令,将使用本命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:{eth|trunk|atm} NAS_slot/NAS_subslot/NAS_port。

当NAS-PORT-ID属性的封装格式为version 3.0格式时,若配置本命令,将使用本命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:SlotID/IfNO。

当NAS-PORT-ID属性的封装格式为version 4.0格式时,若配置本命令,将使用本命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:对于IPv4用户为SlotID/IfNO/Option82,对于IPv6为SlotID/IfNO/Option18。

【举例】

# 配置设备使用接口Ten-GigabitEthernet3/1/1信息填充RADIUS的NAS-PORT-ID属性,NAS-PORT-ID属性的封装格式为version 1.0格式,携带单层VLAN Tag接入。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.2

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber nas-port-id interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1.2] ip subscriber nas-port-id format cn-telecom version1.0

[Sysname-Ten-GigabitEthernet3/1/1.2] qui

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       XGE3/1/1.2           3.3.3.3                001b-21a8-0949  400/-

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="slot=3;subslot=1;port=1;vlanid=400;"

【相关命令】

·     access-user four-dimension-mode enable(BRAS业务命令参考/UCM)

·     ip subscriber nas-port-id format

1.1.64  ip subscriber nas-port-id nasinfo-insert

ip subscriber nas-port-id nasinfo-insert命令用来配置设备提取出DHCPv4报文的Option82 Circuit-ID内容或DHCPv6报文中Option18内容,并和NAS信息一起作为NAS-PORT-ID属性字符串。

undo ip subscriber nas-port-id nasinfo-insert命令用来恢复缺省情况。

【命令】

ip subscriber nas-port-id nasinfo-insert

undo ip subscriber nas-port-id nasinfo-insert

【缺省情况】

如果收到的DHCPv4报文带有Option82 Circuit-ID,则直接使用该内容作为NAS-PORT-ID属性字符串。如果收到的DHCPv6报文带有Option18选项,则直接使用该选项的内容作为NAS-PORT-ID属性字符串。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

在DHCP中继组网环境下,接入设备能捕获用户的DHCP报文,并从报文中提取出DHCPv4 Option82 Circuit-ID信息和DHCPv6 Option18选项信息。在配置了NAS-PORT-ID属性的封装格式为version 2.0格式,且信任DHCPv4 Option82或DHCPv6 Option18的情况下:

·     若配置了本命令,则接入设备处理如下:

¡     如果收到的DHCPv4报文带有Option82 Circuit-ID,则从收到的DHCPv4报文中解析Option82 Circuit-ID,跳过Circuit-ID信息中前两个空格提取后面的信息,并按version 2.0格式要求将提取出的内容和NAS信息一起作为RADIUS的NAS-PORT-ID属性内容;若不能提取出信息则按照不携带Option82 Circuit-ID时,version 2.0格式封装。

¡     如果收到的DHCPv6报文带有Option18,则从收到的DHCPv6报文中解析Option18,跳过Option18信息中前两个空格提取后面的信息,并按version 2.0格式要求将提取出的内容和NAS信息一起作为RADIUS的NAS-PORT-ID属性内容;若不能提取出信息则按照不携带Option18时,version 2.0格式封装。

¡     如果收到的DHCPv4报文不带Option82 Circuit-ID,则按version 2.0格式要求封装,填充NAS-PORT-ID属性中的NAS信息字段(NAS_slot/NAS_subslot/NAS_port:svlan.cvlan),并将AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分修改为0/0/0/0/0/0。

¡     如果收到的DHCPv6报文不带Option18,则按version 2.0格式要求封装,填充NAS-PORT-ID属性中的NAS信息字段(NAS_slot/NAS_subslot/NAS_port:svlan.cvlan),并将AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分修改为0/0/0/0/0/0。

·     若未配置本命令,则按缺省情况处理。

在配置了NAS-PORT-ID属性的封装格式为version 5.0格式,且信任DHCPv4 Option82或DHCPv6 Option18的情况下:

·     若配置了本命令,则接入设备处理如下:

¡     如果收到的DHCPv4报文带有Option82 Circuit-ID并且信任Option82,则从收到的DHCPv4报文中解析Option82 Circuit-ID,提取Circuit-ID的全部信息,并按version 2.0格式要求将提取出的内容(用于填充AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port)和NAS信息一起作为RADIUS的NAS-PORT-ID属性内容;若不能提取出信息则按照未携带Option82 Circuit-ID的情况,以version 2.0格式封装(即AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分将被填充为0/0/0/0/0/0)。

¡     如果收到的DHCPv6报文带有Option18并且信任Option18,则从收到的DHCPv6报文中解析Option18,提取Option18的全部信息,并按version 2.0格式要求将提取出的内容(用于填充AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port)和NAS信息一起作为RADIUS的NAS-PORT-ID属性内容;若不能提取出信息则按照未携带Option18的情况,以version 2.0格式封装(即AccessNodeIdentifier/ANI_rack/ANI_frame/ANI_slot/ANI_subslot/ANI_port部分将被填充为0/0/0/0/0/0)。

·     若未配置本命令,则按缺省情况处理。

本功能对原DHCPv4报文中Option82和原DHCPv6报文中Option18选项不产生任何影响。

本功能仅在通过ip subscriber trust命令配置了信任Option82或Option18的情况下,对Option82或Option18才生效。

【举例】

1. version 2.0格式

# 在聚合接口1上配置设备使用DHCPv4客户端上报的Option82信息,并在其中插入NAS信息,然后将其封装为RADIUS的NAS-PORT-ID属性(信任Option82,NAS-PORT-ID属性的封装格式为version 2.0格式,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”)。

<Sysname> system-view

[Sysname] interface route-aggregation 1

[Sysname-Route-Aggregation1] ip subscriber nas-port-id nasinfo-insert

[Sysname-Route-Aggregation1] ip subscriber trust option82

[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version2.0

[Sysname-Route-Aggregation1] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       RAGG1               3.3.3.3                001b-21a8-0949  -/-

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="trunk 0/0/1:4096.4096 cd ef g"

# 在聚合接口1上不配置ip subscriber nas-port-id nasinfo-insert命令,信任Option82,NAS-PORT-ID属性的封装格式为version 2.0格式,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”。

<Sysname> system-view

[Sysname] interface route-aggregation 1

[Sysname-Route-Aggregation1] undo ip subscriber nas-port-id nasinfo-insert

[Sysname-Route-Aggregation1] ip subscriber trust option82

[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version2.0

[Sysname-Route-Aggregation1] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       RAGG1               3.3.3.3                001b-21a8-0949  -/-

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="aaa be cd ef g"

2. version 5.0格式

# 在聚合接口1上配置设备使用DHCPv4客户端上报的Option82信息,并在其中插入NAS信息,然后将其封装为RADIUS的NAS-PORT-ID属性(信任Option82,NAS-PORT-ID属性的封装格式为version 5.0格式,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”)。

<Sysname> system-view

[Sysname] interface route-aggregation 1

[Sysname-Route-Aggregation1] ip subscriber nas-port-id nasinfo-insert

[Sysname-Route-Aggregation1] ip subscriber trust option82

[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version5.0

[Sysname-Route-Aggregation1] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       RAGG1               3.3.3.3                001b-21a8-0949  -/-

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="trunk 0/0/1:4096.4096 aaa be cd ef g"

# 在聚合接口1上不配置ip subscriber nas-port-id nasinfo-insert命令,信任Option82,NAS-PORT-ID属性的封装格式为version 5.0格式,DHCP报文中携带Option82 Circuit-ID为“aaa be cd ef g”。

<Sysname> system-view

[Sysname] interface route-aggregation 1

[Sysname-Route-Aggregation1] undo ip subscriber nas-port-id nasinfo-insert

[Sysname-Route-Aggregation1] ip subscriber trust option82

[Sysname-Route-Aggregation1] ip subscriber nas-port-id format cn-telecom version5.0

[Sysname-Route-Aggregation1] quit

[Sysname] display access-user

UserID      Interface           IP address             MAC address     S-/C-VLAN

            Username            Access type

            IPv6 address

0x33e       RAGG1               3.3.3.3                001b-21a8-0949  -/-

            3.3.3.3             L2 IPoE dynamic

            -

Radius debug信息中NAS-Port-Id="aaa be cd ef g"

【相关命令】

·     ip subscriber trust

·     ip subscriber nas-port-id format

1.1.65  ip subscriber ndrs domain

ip subscriber ndrs domain命令用来配置IPv6 ND RS个人接入用户使用的认证域。

undo ip subscriber ndrs domain命令用来恢复缺省情况。

【命令】

ip subscriber ndrs domain domain-name

undo ip subscriber ndrs domain

【缺省情况】

未配置IPv6 ND RS个人接入用户使用的认证域。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

本命令用来配置IPv6 ND RS报文触发接入的IPoE接入用户在认证时使用的域名,该域名必须与认证服务器上配置的域名保持一致。

IPv6 ND RS个人接入用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个匹配到的认证域进行认证:

(1)     使用ip subscriber ndrs domain命令指定的认证域;若该域未创建,则用户上线失败。

(2)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上IPv6 ND RS接入用户使用的认证域为dm1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber ndrs domain dm1

【相关命令】

·     ip subscriber initiator ndrs enable

1.1.66  ip subscriber ndrs max-session

ip subscriber ndrs max-session命令用来配置接口上允许RS报文触发创建的IPoE会话的最大数目。

undo ip subscriber ndrs max-session命令用来恢复缺省情况。

【命令】

ip subscriber ndrs max-session max-number

undo ip subscriber ndrs max-session

【缺省情况】

未配置接口上允许RS报文创建的IPoE会话的最大数目

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

max-number:允许RS触发创建的IPv6单栈IPoE会话的最大数目,取值范围为1~64000。

【使用指导】

RS报文触发创建的IPoE会话数目达到最大值后,后续RS报文不能触发创建IPoE会话。RS报文创建的IPoE会话数目包括IPv6单栈会话数目和双栈会话数目。

如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。

本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上允许RS报文触发创建的IPoE会话的最大数目为100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber ndrs max-session 100

【相关命令】

·     ip subscriber initiator ndrs enable

·     ip subscriber max-session

1.1.67  ip subscriber ndrs username

ip subscriber ndrs username命令用来配置IPv6 ND RS接入用户的认证用户名的命名规则。

undo ip subscriber ndrs username命令用来恢复缺省情况。

【命令】

ip subscriber ndrs username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *

undo ip subscriber ndrs username

【缺省情况】

未配置IPv6 ND RS接入用户的认证用户名的命名规则。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

nas-port-id:表示使用用户的NAS-PORT-ID属性作为用户名。

port:表示以用户接入的端口号作为用户名。

second-vlan:表示以认证报文中的内层VLAN作为用户名。

slot:表示以用户接入的槽位号作为用户名。

source-mac:表示使用用户报文的源MAC地址作为用户名。

address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。

string:表示以指定的字符串作为用户名。

string:用户名字符串,为1~128个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

subslot:表示以用户接入的子槽位号作为用户名。

sysname:表示以用户接入设备的设备名作为用户名。

vlan:表示以认证报文中的外层VLAN作为用户名。

separator separator:当前字段分隔符,用在当前字段后面以连接后面的一个字段,可以为任意可配置的可见字符。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。

【使用指导】

本命令用来配置IPv6 RS报文触发接入的IPoE接入用户在认证时使用的用户名的命名规则,根据该命名规则获取的用户名必须与认证服务器上配置的用户名保持一致。此类用户进行IPoE认证时使用的密码由ip subscriber password命令配置。

在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。例如:若配置ip subscriber ndrs username include nas-port-id source-mac,则用户名为NAS-PORT-ID属性字段和源MAC地址字段内容的拼接,且两个字段之间无分隔符

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上的IPv6 ND RS接入用户使用用户报文的源MAC地址作为用户名。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber ndrs username include source-mac

# 配置接口Ten-GigabitEthernet3/1/1上IPv6 ND RS接入用户使用接入设备的设备名、接入的槽位号、接入的子槽位号、接入的端口号和认证报文中的外层VLAN信息作为用户名,所选用的字段之间均使用#作为分隔符。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber ndrs username include sysname separator # slot separator # subslot separator # port separator # vlan

【相关命令】

·     ip subscriber initiator ndrs enable

·     ip subscriber password

1.1.68  ip subscriber ndrs user-detect-address eui-64

ip subscriber ndrs user-detect-address eui-64命令用来配置使用EUI-64方式生成的IPv6地址作为在线探测的目的地址。

undo ip subscriber ndrs user-detect-address命令用来恢复缺省情况。

【命令】

ip subscriber ndrs user-detect-address eui-64

undo ip subscriber ndrs user-detect-address

【缺省情况】

采用终端的链路本地地址(格式为:FE80+终端的接口ID)作为在线探测的目的地址。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

因终端类型十分丰富,且IPv6地址使用原则各有差异,当终端上线后,该终端实际使用的IPv6地址是否为BRAS设备为该终端分配的IPv6地址是不可控的。例如:BRAS设备给某终端分配的IPv6地址是A地址,当BRAS设备对目的地址A进行在线探测时,终端却使用B地址对探测报文进行应答,此时BRAS设备会判定本次探测失败,探测失败超过指定次数后该终端被误强制下线。

为解决上述问题,缺省情况下,当使用ND NS报文作为探测报文对IPv6 ND RS接入用户进行在线探测时,设备会使用在线用户的链路本地地址(格式为:FE80+用户的接口ID)作为在线探测的目的地址。

在用户IPv6地址接口标识符满足IEEE EUI-64格式,并且接口按照EUI-64格式生成IPv6地址的情况下,如果希望直接使用该IPv6地址作为探测报文的目的地址,可配置本命令。

配置本命令后,设备将采用ND前缀+EUI-64格式的接口标识符方式生成的IPv6地址作为在线探测的目的地址。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置使用EUI-64方式生成的IPv6地址作为在线探测的目的地址。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber ndrs user-detect-address eui-64

【相关命令】

·     ip subscriber user-detect ipv6

1.1.69  ip subscriber ndrs wait-delegation-prefix

ip subscriber ndrs wait-delegation-prefix命令用来配置用户以IA_PD方式成功上线后,才允许以NDRS方式上线。

undo ip subscriber ndrs wait-delegation-prefix命令用来恢复缺省情况。

【命令】

ip subscriber ndrs wait-delegation-prefix

undo ip subscriber ndrs wait-delegation-prefix

【缺省情况】

不限制用户以IA_PD方式和NDRS方式上线的先后顺序。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

如下图所示,CPE支持通过NDRA和IA_PD两种方式分别向BRAS申请ND前缀和PD前缀。其中:

NDRA:CPE主动向BRAS发送ND RS报文,BRAS通过ND RA报文给CPE WAN口分配ND前缀,用于CPE WAN口生成IPv6全球单播地址,该地址可被用于远程管理CPE设备。

IA_PD:CPE主动向BRAS发送DHCPv6请求报文,BRAS通过DHCPv6(IA_PD)协议给CPE分配PD前缀;CPE将获取到PD前缀通过无状态方式分配给下连的主机,用于主机生成IPv6全球单播地址。

图1-1 NDRA+DHCPv6(IA_PD)方式地址分配组网示意图

 

在上述组网中,对于同一个CPE下连的Host,如果该CPE未能成功通过IA_PD方式上线,那么这些Host就无法生成IPv6全球单播地址,不能访问网络资源。这种情况下,即使CPE通过NDRA方式成功上线,对Host用户也没有实际意义,同时,维护CPE的NDRS用户表项还会占用BRAS的系统资源。基于上述原因,建议在NDRA+DHCPv6(IA_PD)组网中,通过本命令配置仅在用户以IA_PD方式成功上线的情况下,才允许以NDRS方式上线。

在非NDRA+DHCPv6(IA_PD)组网中,请不要配置本功能,否则会导致用户不能以NDRS方式上线。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置用户以IA_PD方式成功上线后,才允许以NDRS方式上线。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber ndrs wait-delegation-prefix

【相关命令】

·     ip subscriber initiator ndrs enable

1.1.70  ip subscriber password

ip subscriber password命令用来配置IPoE个人接入用户的认证密码。

undo ip subscriber password命令用来恢复缺省情况。

【命令】

ip subscriber password { mac-address [ address-separator address-separator ] [ lowercase | uppercase ] | { ciphertext | plaintext } string }

undo ip subscriber password

【缺省情况】

未配置IPoE个人接入用户的认证密码。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

mac-address:表示以MAC地址作为密码,优先使用用户MAC地址,如果用户MAC地址无法获取,则使用报文源MAC地址。缺省情况下,MAC地址中的字母为小写且不带连字符。

address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则密码形式如xxxx-xxxx-xxxx;若不指定该参数,则密码为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的密码在AAA服务器端不能被正确解析。

lowercase:表示MAC地址中的字母为小写。

uppercase:表示MAC地址中的字母为大写。

ciphertext:以密文方式设置密码。

plaintext:以明文方式设置密码,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

【使用指导】

当接口上同时配置多种个人会话的触发方式时,如果管理员想避免为每种触发方式单独配置认证密码带来的繁琐操作,可通过本命令一次性为当前接口上所有个人用户配置统一的认证密码。

绑定认证方式下,个人接入用户按如下先后顺序选择认证密码:

(1)     使用ip subscriber dhcp passwordip subscriber dhcpv6 password option16命令获取到的密码作为认证密码。(仅适用于DHCP接入用户)

(2)     ip subscriber session static命令中指定password时,使用配置值作为认证密码。(仅适用于静态接入用户)

(3)     使用ip subscriber password命令配置的密码作为认证密码。

(4)     使用字符串“vlan”作为认证密码。

Web认证方式和Web MAC认证方式下,在认证前域阶段,个人接入用户认证密码的选择原则和绑定模式下认证密码选择原则相同。

Web认证方式下,在Web认证阶段,个人接入用户按如下先后顺序选择认证密码:

(1)     使用用户登录时输入的密码作为认证密码。

(2)     使用ip subscriber password命令配置的密码作为认证密码。

(3)     使用字符串“vlan”作为认证密码。

Web MAC认证方式下,在Web认证阶段,个人接入用户按如下先后顺序选择认证密码:

(1)     使用ip subscriber password命令配置的密码作为认证密码。

(2)     使用字符串“vlan”作为认证密码。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上IPoE个人接入用户认证时使用的密码为明文123。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber password plaintext 123

【相关命令】

·     ip subscriber dhcp username

·     ip subscriber unclassified-ip username

·     ip subscriber dhcp password

·     ip subscriber dhcpv6 password option16

1.1.71  ip subscriber pre-auth domain

ip subscriber pre-auth domain命令用来配置Web认证前域。

undo ip subscriber pre-auth domain命令用来恢复缺省情况。

【命令】

ip subscriber pre-auth domain domain-name

undo ip subscriber pre-auth domain

【缺省情况】

未配置Web认证前域。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

本命令仅对采用Web认证方式和Web MAC认证方式的IPoE DHCP个人接入用户和IPoE静态个人接入用户生效。

用户可以通过配置修改在认证前域阶段所采用的认证域,缺省情况下按照如下先后顺序选择认证前域:

·     对于IPoE DHCP动态个人接入用户:

a.     以Option信息作为认证域,选取原则和绑定模式下Option作为认证域的选取原则相同;若该域未创建,则进入下一步。

b.     报文业务识别方式映射的认证域;若该域未创建,则用户上线失败。

c.     使用ip subscriber pre-auth domain命令配置的Web认证前域;若该域未创建,则用户上线失败。

d.     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

·     对于IPoE静态个人接入用户:

a.     使用ip subscriber session static命令中配置的认证域;若该域未创建,则用户上线失败。

b.     使用ip subscriber pre-auth domain命令配置的Web认证前域;若该域未创建,则用户上线失败。

c.     报文业务识别方式映射的认证域;若该域未创建,则用户上线失败。

d.     ip subscriber unclassified-ip domain命令中配置的认证域;若该域未创建,则用户上线失败。

e.     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

在采用Web认证的接口上配置认证前使用的认证域(简称为认证前域)后,在此接口上接入的用户必须先通过认证前域的认证处理,只有通过认证前域认证的用户才可以获得IP地址(仅对DHCP接入用户),并被授予指定认证前域内配置的相关授权属性(例如:User Profile、Session Group Profile、CAR、URL和User group),并根据授权信息获得相应的网络访问权限。

若此用户后续触发了Web认证,则认证成功之后会被AAA下发新的授权信息。

Web用户下线后,重新回到认证前域,重新进行认证和授权处理。若重新认证失败,将删除用户信息。

如果认证前域的域名发生变化,或者修改当前认证前域中的配置,新配置仅对新接入的用户生效,对当前已经存在用户无影响。

对于Web认证用户,必须在认证前域中配置Web服务器URL,并且给用户授权用户组,以保证在用户访问Web页面时能够向用户推送Web认证页面。有关Web服务器URL和用户组的详细介绍,请参见“BRAS业务配置指导”中的“AAA”。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置Web认证前域为dm1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber pre-auth domain dm1

【相关命令】

·     authorization-attribute user-group(BRAS业务命令参考/AAA)

·     domain default enable(BRAS业务命令参考/AAA)

·     ip subscriber authentication-method

·     web-server url(BRAS业务命令参考/AAA)

1.1.72  ip subscriber pre-auth track

ip subscriber pre-auth track命令用来配置逃生用户组与Track项关联。

undo ip subscriber pre-auth track命令用来恢复缺省情况。

【命令】

ip subscriber pre-auth track track-entry-number fail-permit user-group group-name

undo ip subscriber pre-auth track

【缺省情况】

未配置逃生用户组与Track项关联。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

track track-entry-number:Track项的序号,取值范围为1~1024。

user-group group-name:表示逃生用户组。其中,group-name表示用户组名,为1~32个字符的字符串,不区分大小写。

【使用指导】

当设备探测到Web认证服务器或AAA认证服务器不可达时,可自动放开接口上的网络限制,允许用户不需经过Web认证即可访问网络资源,这一过程称为IPoE用户逃生。

通过配置逃生用户组与Track项关联,可以实现IPoE用户逃生功能。

缺省情况下,Web认证用户在认证前域上线后所属用户组是用户上线时由AAA服务器直接授权或ISP域下授权的用户组。配置逃生用户组与Track项关联后:

·     当Track项状态变为Negative时,接入设备会把当前认证前域中所有在线用户从授权用户组迁移到逃生用户组,用户根据逃生用户组的权限访问网络资源。

·     当Track项状态变为Positive时,接入设备会把当前认证前域中所有在线用户从逃生用户组重新迁移到授权用户组,用户需通过Web认证后才可访问网络资源。

如果需要同时对多个服务器状态进行监控,可配置Track监测对象列表。Track的详细介绍请参见“可靠性配置指导”中的“Track”。

本命令仅对认证前域中的在线用户生效。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置逃生用户组与Track项1关联。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber pre-auth track 1 fail-permit user-group web

【相关命令】

·     authorization-attribute user-group(BRAS业务命令参考/AAA)

1.1.73  ip subscriber reauth

ip subscriber reauth命令用来开启指定IP地址段中IPoE用户的二次认证功能。

undo ip subscriber reauth命令用来关闭指定IP地址段中IPoE用户的二次认证功能。

【命令】

(IPv4协议栈)

ip subscriber reauth ip start-ipv4-address [ end-ipv4-address ] [ vpn-instance vpn-instance-name ] domain domain-name

undo ip subscriber reauth ip start-ipv4-address [ end-ipv4-address ]

(IPv6协议栈)

ip subscriber reauth ipv6 start-ipv6-address [ end-ipv6-address ] [ vpn-instance vpn-instance-name ] domain domain-name

undo ip subscriber reauth ipv6 start-ipv6-address [ end-ipv6-address ]

(双协议栈)

ip subscriber reauth ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ vpn-instance vpn-instance-name ] domain domain-name

undo ip subscriber reauth ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ]

【缺省情况】

IPoE用户的二次认证功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip:表示用户的IPv4地址。其中:

·     start-ipv4-address:表示用户的起始IPv4地址。

·     end-ipv4-address表示用户的结束IPv4地址,不能小于start-ipv4-address。如果不指定本参数或指定的本参数和start-ipv4-address相同时,则表示只有一个用户IPv4地址,即start-ipv4-address;否则,表示使用start-ipv4-addressend-ipv4-address之间的IPv4地址的IPoE用户需要二次认证。

ipv6:表示用户的IPv4地址。其中:

·     start-ipv6-address:表示用户的起始IPv6地址。

·     end-ipv6-address表示用户的结束IPv6地址,不能小于start-ipv6-address。如果不指定本参数或指定的本参数和start-ipv6-address相同时,则表示只有一个用户IPv6地址,即start-ipv6-address;否则,表示使用start-ipv6-addressend-ipv6-address之间的IPv6地址的IPoE用户需要二次认证。

vpn-instance vpn-instance-name指定VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示用户位于公网中。

domain domain-name指定二次认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

如果管理员希望对使用DHCP分配的某些地址的用户(例如采用静态地址绑定分配方式将MAC地址与IP地址进行绑定的哑终端用户)进行特殊的权限控制,可开启指定IP地址段中IPoE用户的二次认证功能。开启指定IP地址段中IPoE用户的二次认证功能后,当IPoE用户认证上线后使用的IP地址和本命令中指定的IP地址相匹配,则设备会立即使用本命令中指定的ISP域对该用户进行二次认证,以便在二次认证域中对这些用户的权限进行统一控制。

本功能目前仅支持IPoE DHCP用户。

对于IPoE DHCP双栈用户:

·     如果第一协议栈(例如IPv4)上线后满足触发二次认证条件且已完成二次认证,待第二协议栈(例如IPv6)上线后同样满足二次认证条件,则第二协议栈无需进行二次认证,该双栈用户在二次认证域中上线。

·     如果第一协议栈(例如IPv4)上线后满足触发二次认证条件且已完成二次认证,但是第二协议栈(例如IPv6)上线后不满足二次认证条件,则该双栈用户会重新切回到首次认证的ISP域中。

·     如果第一协议栈(例如IPv4)上线后不满足触发二次认证条件,待第二协议栈(例如IPv6)上线后即使满足二次认证条件也不触发二次认证。

配置或修改本命令仅对新接入用户生效,对已上线的用户无影响。

当设备需要为IPoE Web认证用户提供接入服务时,请合理规划IP地址避免IPoE Web用户使用的IP地址匹配到本命令指定的IP地址段,否则可能影响IPoE Web认证功能的正常使用。

【举例】

# 配置IP地址段20.0.0.1到20.0.0.200之间的IPoE用户上线成功后需要使用dm1进行二次认证。

<Sysname> system-view

[Sysname] ip subscriber reauth ip 20.0.0.1 20.0.0.200 domain dm1

1.1.74  ip subscriber roaming enable

ip subscriber roaming enable命令用来开启IPoE个人接入用户漫游功能。

undo ip subscriber roaming enable命令用来关闭IPoE个人接入用户漫游功能。

【命令】

ip subscriber roaming enable [ roam-group roam-group-name ]

undo ip subscriber roaming enable

【缺省情况】

IPoE个人接入用户漫游功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

roam-group roam-group-name:指定接口所属的漫游组,其中roam-group-name表示漫游组的组名,为1~15个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定本参数,则认为所有开启漫游功能的接口属于同一个缺省漫游组,缺省漫游组名没有名称。

【使用指导】

上线的IPoE个人接入用户支持在不同接口之间和不同VLAN之间进行漫游。

为了减小用户在漫游过程中对其它用户产生影响,可通过漫游组限定用户的漫游范围,即限定上线用户只能在上线接口所属的漫游组中进行漫游。例如:假设用户A和用户B的IP地址均为1.1.1.1/24,并且属于同一个VPN实例,用户A先在接口A上通过未知源方式上线,接口A和接口B均开启了漫游功能但未配置漫游组,此时用户B再在接口B上通过未知源方式上线时,设备将会把用户A下线。此时,如需用户A和用户B同时上线,二者互不影响,可为接口A和接口B配置不同的漫游组,以隔离用户A和用户B的漫游范围。

在DHCP中继组网环境下,需要在DHCP中继接口上通过dhcp-proxy enable命令配置DHCP中继支持代理功能(缺省开启)。有关DHCP中继的相关介绍,请参见“BRAS业务配置指导”中的“DHCP”。

为保证IPoE用户可以正常漫游,请确保漫游前后用户接入接口上必须开启完全相同协议栈的IPoE功能,并且配置相同的IPoE认证方式、认证域、漫游组和信任Option79配置(仅对于DHCPv6用户要求漫游前后Option79配置相同)等。

漫游过程中,以下变化会导致漫游失败,此时用户需在目的接口上重新认证上线,重新认证上线需要一定时间:

·     若漫游过程中漫游用户IP地址发生变化,用户将无法继续漫游。

·     若漫游的目的接口上未配置和漫游前相同的IPoE会话触发方式,会导致用户无法漫游到该接口。

·     若漫游的目的接口和漫游前的上线接口不在同一个漫游组中,则漫游失败。

·     针对动态个人接入用户:

¡     在为漫游用户授权VPN的情况下,如果漫游的目的接口绑定了VPN,允许目的接口绑定的VPN和授权的VPN不同,此时用户漫游到目的接口时仍是授权VPN生效。

¡     在未为漫游用户授权VPN的情况下,如果漫游前的接口绑定了VPN,则要求漫游的目的接口上必须绑定相同的VPN,否则不允许用户漫游到该目的接口。

·     针对全局静态个人接入用户:

¡     在为漫游用户授权VPN的情况下:

-     如果用户授权域中配置了strict-check access-interface vpn-instance命令,则要求目的接口必须绑定VPN并且绑定的VPN要和授权的VPN相同,否则不允许用户漫游到该目的接口。

-     如果用户授权域中未配置strict-check access-interface vpn-instance命令,允许目的接口不绑定VPN,或者绑定VPN但和授权的VPN不同。

¡     在未为漫游用户授权VPN并且静态会话中未指定VPN参数的情况下,如果漫游前的接口绑定了VPN,则要求漫游的目的接口上必须绑定相同的VPN,否则不允许用户漫游到该目的接口。

·     针对全局静态和动态用户组成的双栈个人接入用户:

¡     在全局静态会话中指定VPN参数的情况下,如果双栈中的动态个人接入用户进行漫游,则要求目的接口绑定的VPN必须和全局静态会话中指定的VPN相同。如果双栈中的全局静态个人接入用户进行漫游,则漫游的条件和一般的全局静态个人接入用户的漫游条件相同。

对于静态IPoE个人接入用户,漫游功能的生效情况如下:

·     对于接口静态IPoE个人接入用户,仅当在子接口视图下通过ip subscriber session static命令配置静态IPoE会话时,在不指定VLAN的情况下才支持漫游功能,并且只能在在该子接口上的不同VLAN之间进行漫游。

·     对于全局静态IPoE个人接入用户或者全局静态和动态用户组成的双栈个人接入用户,在系统视图下配置ip subscriber session static命令时:

¡     如果指定了用户接入接口但未指定VLAN时,支持在该接入接口上的不同VLAN之间进行漫游。

¡     如果未指定用户接入接口,用户在某接口上线时,如果该接口开启了漫游功能,则允许用户在所有开启本功能的接口之间进行漫游。

【举例】

# 在子接口Ten-GigabitEthernet3/1/1.1上开启IPoE漫游功能,并指定子接口所属漫游组为roam1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.1

[Sysname-Ten-GigabitEthernet3/1/1.1] ip subscriber roaming enable roam-group roam1

【相关命令】

·     ip subscriber initiator arp enable

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber initiator unclassified-ipv6 enable

1.1.75  ip subscriber service-identify

ip subscriber service-identify命令用来配置接入用户的业务识别方式。

undo ip subscriber service-identify命令用来恢复缺省情况。

【命令】

三层以太网接口视图

三层聚合口视图

L3VE接口视图

ip subscriber service-identify dscp

undo ip subscriber service-identify

三层以太网子接口视图

三层聚合子接口视图

L3VE子接口视图

ip subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan }

undo ip subscriber service-identify

【缺省情况】

未配置接入用户的业务识别方式。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

8021p second-vlan:表示QinQ模式下基于内层VLAN Tag中的802.1p值识别业务。

8021p vlan:表示基于VLAN Tag中的802.1p值识别业务,QinQ模式下基于外层VLAN Tag中的802.1p值识别业务。

dscp:表示基于DSCP值识别业务。

second-vlan:QinQ模式下基于内层VLAN ID识别业务。

vlan:表示基于VLAN ID识别业务,QinQ模式下基于外层VLAN ID识别业务。

【使用指导】

接入用户(包括DHCPv4接入用户、DHCPv6接入用户、未知源IP接入用户和IPoE静态接入用户)认证时使用的认证域由报文中携带的业务信息来决定。不同的业务特征可以对应不同的认证域,每一个接口可以指定仅识别某种类型业务的报文。例如,接口上若指定了基于DSCP值识别业务,且通过ip subscriber dscp 1 domain example命令指定了DSCP值1与认证域example的映射关系,则IP报文DSCP值为1的用户认证时将会使用认证域example。

对于DHCPv4接入用户,如果同时配置了信任DHCPv4 Option60中的信息,则优先使用Option60中的信息作为指定的认证域。

对于DHCPv6接入用户,如果同时配置了信任DHCPv6 Option16/Option17中的信息,则优先使用Option16/Option17中的信息作为指定的认证域。

一个接口上只能指定一个业务识别方式。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上的IPv4接入用户认证使用基于DSCP的业务识别方式。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber service-identify dscp

【相关命令】

·     ip subscriber 8021p

·     ip subscriber dscp

·     ip subscriber vlan

1.1.76  ip subscriber session static (interface view)

ip subscriber session static命令用来配置IPoE接口静态个人会话。

undo ip subscriber session static命令用来删除指定的IPoE接口静态个人会话。

【命令】

配置IPv4单栈IPoE接口静态个人会话:

ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ip ipv4-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]

undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ]

配置IPv6单栈IPoE接口静态个人会话:

ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]

undo ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ]

配置双栈IPoE接口静态个人会话:

ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online { ip | ipv6 } ] [ description string ] [ gateway { ip ipv4-address | ipv6 ipv6-address } * ] [ vpn-instance vpn-instance-name ] [ keep-online ]

undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ]

【缺省情况】

未配置IPoE接口静态个人会话。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

start-ipv4-address:表示用户的起始IPv4地址。

end-ipv4-address表示用户的结束IPv4地址,不能小于start-ipv4-address。如果不指定本参数或指定的本参数和start-ipv4-address相同时,则表示只有一个用户IPv4地址,即start-ipv4-address;否则,表示start-ipv4-addressend-ipv4-address之间的IPv4地址都是静态用户。

start-ipv6-address:表示用户的起始IPv6地址。

end-ipv6-address表示用户的结束IPv6地址,不能小于start-ipv6-address。如果不指定本参数或指定的本参数和start-ipv6-address相同时,则表示只有一个用户IPv6地址,即start-ipv6-address;否则,表示start-ipv6-addressend-ipv6-address之间的IPv6地址都是静态用户。

vlan vlan-id:表示用户报文的外层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。

second-vlan vlan-id:表示用户报文的内层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。

mac mac-address:表示用户的MAC地址,mac-address为用户MAC地址,形式为H-H-H。

domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

password:指定用户认证时使用的密码。静态接入用户支持通过多种方式获取认证密码,具体请见ip subscriber password命令。

mac:表示以用户的MAC地址作为认证密码,密码格式为HH:HH:HH:HH:HH:HH。

request-online:表示设备主动发送ARP报文、ICMP报文、ND NS报文或ICMPv6报文请求用户上线。如果未指定本参数,则表示需用户主动发送ARP报文、ND NS报文、IPv4报文或IPv6报文才可以触发用户上线。需要注意的是,在IPoE转发与控制分离组网环境中,当AC为三层子接口并且接入模式为Ethernet时,如需设备主动发送探测报文请求用户上线,则静态会话中必须指定用户的VLAN信息,否则无法主动请求用户成功上线。

·     ip:表示使用IPv4协议栈进行主动探测,二层接入的情况下使用ARP报文,三层接入使用ICMP报文。

·     ipv6:表示使用IPv6协议栈进行主动探测,二层接入的情况下使用ND NS报文,三层接入使用ICMPv6报文。

description string:指定静态会话的描述信息,为1~31个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,则静态会话无描述信息。

gateway:表示指定用户的网关地址。设备主动发送探测报文请求用户上线时,会优先使用该地址作为探测报文的源IP地址。如果未指定本参数,将使用默认网关地址作为探测报文的源IP地址。需要注意的是,仅在指定request-online的情况下,本参数配置后才生效。

·     ip ipv4-address:指定IPv4协议栈的网关地址。该地址必须是用户接入接口的IPv4地址,或者是IP地址池下的共享网关地址(例如BAS类型的IP地址池下通过命令gateway指定的网关地址),否则会导致设备无法主动发送探测报文请求用户上线。

·     ipv6 ipv6-address:指定IPv6协议栈的网关地址。二层接入模式下,该地址必须是用户接入接口的全球单播地址或链路本地地址,三层接入模式下该地址必须是用户接入接口的全球单播地址,否则会导致设备无法主动发送探测报文请求用户上线。

vpn-instance vpn-instance-name指定接口静态用户绑定的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPoE静态个人用户位于公网中。

keep-online:表示即使在开启探测功能的情况下,也不对用户进行在线探测。如果未指定本参数,当用户在线探测失败时,将被强制下线。

【使用指导】

使用指导公共说明

IPoE静态会话的匹配优先级高于IPoE动态会话。若已经存在IPoE静态会话,则与之匹配的报文不会触发新的IPoE动态会话;若已经存在一个未知源IP报文、DHCP报文或ND RS报文触发建立的IPoE动态会话,再配置一个能与未知源IP报文、DHCP接入用户报文或者ND RS接入用户IP报文匹配的IPoE静态会话,配置不会影响已经在线的同IP用户,但是当动态用户下线后,设备再次收到该用户的报文时,优先匹配静态会话上线。

当静态会话中指定的IP地址与IP地址池中可分配的IP地址存在交集时,则:

·     对于IP地址池需要通过命令dhcp server forbidden-ipforbidden-ip配置交集IP地址为不参与自动分配的IP地址。

·     对于IPv6地址池需要通过命令ipv6 dhcp server forbidden-address配置交集IPv6地址为不参与自动分配的IPv6地址。

有关配置不参与自动分配IP地址命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”和“DHCPv6”。

在先开启IPoE功能,后配置双栈静态用户的情况下,必须同时开启IPv4和IPv6协议栈的IPoE功能,才允许配置双栈静态用户;在先配置双栈静态用户,后开启IPoE功能的情况下,必须同时开启IPv4和IPv6协议栈的IPoE功能,否则不允许开启IPoE功能。

同一接口下任意IP地址的IPoE静态会话最多只能存在一条,并且不能通过重复执行本命令修改该IPoE静态会话中已配置的macdomainrequest-online参数。如需修改macdomainrequest-online参数,请先通过undo ip subscriber session static命令删除指定IPoE静态会话对应的当前配置后再执行ip subscriber session static命令。

接口静态用户接入不支持802.1X认证方式,在同一接口上不允许同时配置802.1X认证方式和IPoE接口静态个人会话,否则可能会影响该接口上配置的IPoE接口静态个人会话功能的正常使用。

同一接口下,IPoE静态个人接入用户与接口专线用户及L2VPN专线用户的配置互斥。

配置IPoE静态个人会话时,若指定了一个IP地址范围,则该配置生效后,系统将自动生成多条单IP地址的IPoE静态会话配置。

设备主动请求用户上线场景使用指

当需要设备主动探测触发用户上线时,则接口上必须配置携带request-online参数的IPoE静态会话,并且:

·     对于单栈IPv4静态用户:

¡     在二层接入模式下,设备固定使用ARP报文触发用户上线,此时必须开启ARP报文触发IPoE静态个人会话上线功能。

¡     在三层接入模式下,设备固定使用ICMP报文触发用户上线,此时必须开启未知源IPv4报文触发生成IPoE会话功能以及用户上线接口需配置IPv4地址。

·     对于单栈IPv6静态用户:

¡     在二层接入模式下,设备固定使用ND NS报文触发用户上线,此时必须开启未知源IPv6报文触发生成IPoE会话功能或NS/NA报文触发IPoE静态个人会话上线功能。

¡     在三层接入模式下,设备固定使用ICMPv6报文触发用户上线,此时开启未知源IPv6报文触发生成IPoE会话功能以及用户上线接口需配置IPv6地址。

·     对于双栈静态用户:

¡     当配置的主动探测协议栈是IP时,在二层接入模式下,设备固定使用ARP报文触发用户上线,此时必须开启ARP报文触发IPoE静态个人会话上线功能;在三层接入模式下,设备固定使用ICMP报文触发用户上线,此时必须开启未知源IPv4报文触发生成IPoE会话功能以及用户上线接口需配置IPv4地址。

¡     当配置的主动探测协议栈是IPv6时,在二层接入模式下,设备固定使用ND NS报文触发用户上线,此时必须开启未知源IPv6报文触发生成IPoE会话功能或NS/NA报文触发IPoE静态个人会话上线功能;在三层接入模式下,设备固定使用ICMPv6报文触发用户上线,此时必须开启未知源IPv6报文触发生成IPoE会话功能以及用户上线接口需配置IPv6地址。

·     对于子接口下的IPoE静态用户,如果子接口上配置了模糊的Dot1q终结或者模糊的QinQ终结功能,为保证静态用户可以通过主动探测方式正常上线,在配置静态会话时必须指定VLAN或在子接口下配置vlan-termination broadcast enable。推荐使用在静态会话中指定VLAN方式。

统一计费场景使用指导

当需要对双栈用户进行统一计费时,必须在一条ip subscriber session-static命令中同时指定双栈用户的IPv4和IPv6地址,并且IPv4和IPv6地址需一一对应;配置后,设备将按配置顺序把配置的第一个IPv4地址和第一个IPv6地址组成一个双协议栈静态个人会话,把配置的第二个IPv4地址和第二个IPv6地址组成第二个双协议栈静态个人会话,依次类推。

IPoE静态用户认证域选择场景使用指导

IPoE静态个人接入用户支持通过多种方式获取认证域,具体认证域选择原则如下:

·     采用bind认证方式时,按如下优先顺序选择第一个匹配到的认证域进行认证:

a.     使用本命令中domain domain-name指定的认证域;若该域未创建,则用户上线失败。

b.     使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。

c.     使用ip subscriber unclassified-ip domain命令配置的认证域;若该域未创建,则用户上线失败。

d.     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

·     采用Web认证方式时:

¡     前域阶段认证域的选择原则,请参见ip subscriber pre-auth domain命令。

¡     Web阶段认证域的选择原则,请见ip subscriber web-auth domain命令。

IPoE静态用户绑定VPN实例场景使用指导

目前支持以下几种方式为IPoE静态用户绑定VPN实例:

·     通过本命令指定vpn-instance参数。

·     通过AAA为静态用户授权VPN实例。

·     通过ip binding vpn-instance命令在上线接口绑定VPN实例。

需要注意的是,前两种方式同时配置时,请确保二者指定的VPN实例相同,否则会导致用户无法上线。如果前两种方式指定的VPN实例和第三种方式指定的VPN实例不相同时,以前两种方式指定的VPN实例为准。如果用户授权域中配置了strict-check access-interface vpn-instance命令,请保证前两种方式指定的VPN实例和第三种方式指定的VPN实例相同,否则会导致用户无法上线。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置一条IPoE静态个人会话:用户IP地址为1.1.1.1,认证使用的认证域为dm1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber session static ip 1.1.1.1 domain dm1

【相关命令】

·     dhcp enable(BRAS业务命令参考/DHCP)

·     ip subscriber password

·     ip subscriber initiator arp enable

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber static-session request-online interval

·     strict-check access-interface vpn-instance(BRAS业务命令参考/AAA)

1.1.77  ip subscriber session static (system view)

ip subscriber session static命令用来配置IPoE全局静态个人会话。

undo ip subscriber session static命令用来删除指定的IPoE全局静态个人会话。

【命令】

(命令形式一)

配置IPv4单栈IPoE全局静态个人会话:

ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ mac mac-address ] [ domain domain-name ] [ username name ] [ password { { ciphertext | plaintext } string | mac } ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online ] ] [ description string ] [ gateway ip ipv4-address ] [ vpn-instance vpn-instance-name ] [ keep-online | support-ds ]

undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ interface interface-type interface-number ]

配置IPv6单栈IPoE全局静态个人会话:

ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length ] [ mac mac-address ] [ domain domain-name ] [ username name ] [ password { { ciphertext | plaintext } string | mac } ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online ] ] [ description string ] [ gateway ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] [ keep-online | support-ds ]

undo ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ interface interface-type interface-number ]

配置双栈IPoE全局静态个人会话:

ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length ] [ mac mac-address ] [ domain domain-name ] [ username name ] [ password { { ciphertext | plaintext } string | mac } ] [ interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ request-online [ ip | ipv6 ] ] ] [ description string ] [ gateway { ip ipv4-address | ipv6 ipv6-address } * ] [ vpn-instance vpn-instance-name ] [ keep-online ]

undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ interface interface-type interface-number ]

(命令形式二)

配置IPv4单栈IPoE全局静态个人会话:

ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] interface-list list-id [ mac mac-address ] [ domain domain-name ] [ username name ] [ password { { ciphertext | plaintext } string | mac } ] [ description string ] [ vpn-instance vpn-instance-name ] [ keep-online | support-ds ]

undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] [ interface-list list-id ]

配置IPv6单栈IPoE全局静态个人会话:

ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] interface-list list-id [ delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length ] [ mac mac-address ] [ domain domain-name ] [ username name ] [ password { { ciphertext | plaintext } string | mac } ] [ description string ] [ vpn-instance vpn-instance-name ] [ keep-online | support-ds ]

undo ip subscriber session static ipv6 start-ipv6-address [ end-ipv6-address ] [ interface-list list-id ]

配置双栈IPoE全局静态个人会话:

ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] interface-list list-id [ delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length ] [ mac mac-address ] [ domain domain-name ] [ username name ] [ password { { ciphertext | plaintext } string | mac } ] [ description string ] [ vpn-instance vpn-instance-name ] [ keep-online ]

undo ip subscriber session static ip start-ipv4-address [ end-ipv4-address ] ipv6 start-ipv6-address [ end-ipv6-address ] [ interface-list list-id ]

【缺省情况】

未配置IPoE全局静态个人会话。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

start-ipv4-address:表示用户的起始IPv4地址。

end-ipv4-address表示用户的结束IPv4地址,不能小于start-ipv4-address。如果不指定本参数或指定的本参数和start-ipv4-address相同时,则表示只有一个用户IPv4地址,即start-ipv4-address;否则,表示start-ipv4-addressend-ipv4-address之间的IPv4地址都是静态用户。

start-ipv6-address:表示用户的起始IPv6地址。

end-ipv6-address表示用户的结束IPv6地址,不能小于start-ipv6-address。如果不指定本参数或指定的本参数和start-ipv6-address相同时,则表示只有一个用户IPv6地址,即start-ipv6-address;否则,表示start-ipv6-addressend-ipv6-address之间的IPv6地址都是静态用户。

interface-list list-id:指定静态用户接口列表,静态用户仅能从接口列表中的接口上线。需要注意的是,同一IP地址的全局IPoE静态会话和接口IPoE会话,二者只能配置其一。

delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length:表示用户的IPv6 Delegation前缀(即PD前缀)。需要注意的是,本参数不支持和support-ds参数同时配置,并且一旦静态会话中指定了本参数,那么该整个静态会话仅对配置了IPoE二层接入模式且认证方式为Bind认证方式的接口生效。其中,各字段含义如下:

·     start-ipv6-prefix:表示用户的起始IPv6 Delegation前缀。

·     end-ipv6-prefix:表示用户的结束IPv6 Delegation前缀,不能小于start-ipv6-prefix。如果不指定本参数或指定的本参数和start-ipv6-prefix相同时,则表示只有一个用户IPv6 Delegation前缀,即start-ipv6-prefix;否则,表示start-ipv6-prefixend-ipv6-prefix之间的IPv6 Delegation前缀都是静态用户的前缀。需要注意的是,start-ipv6-prefix [ end-ipv6-prefix ]参数中指定的IPv6 Delegation前缀个数必须和start-ipv6-address [ end-ipv6-address ]参数中指定的IPv6地址个数相同。

·     prefix-length:表示用户IPv6 Delegation前缀长度,取值范围为1~120。

mac mac-address:表示用户的MAC地址,mac-address为用户MAC地址,形式为H-H-H。

domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

username name:指定用户认证时使用的用户名,其中name为1~128个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。静态接入用户支持通过多种方式获取认证用户名,具体请见ip subscriber username命令。

password:指定用户认证时使用的密码。静态接入用户支持通过多种方式获取认证密码,具体请见ip subscriber password命令。

·     ciphertext:以密文方式设置密码。

·     plaintext:以明文方式设置密码,该密码将以密文形式存储。

·     string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

·     mac:表示以用户的MAC地址作为认证密码,密码格式为HH:HH:HH:HH:HH:HH。

interface interface-type interface-number:表示用户的接入接口。如果指定本参数,则表示仅从该指定接口收到的报文与手工配置的全局IPoE静态会话相匹配时,才可触发上线认证。如果未指定本参数,则表示从任意接口收到的报文与手工配置的全局IPoE静态会话相匹配时,均可触发上线认证。需要注意的是,当指定本参数时,同一IP地址的全局IPoE静态会话和接口IPoE会话,二者只能配置其一。

vlan vlan-id:表示用户报文的外层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。

second-vlan vlan-id:表示用户报文的内层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。

request-online:表示允许设备主动发送上线请求报文请求用户上线。如果未指定本参数,则表示仅用户主动发送的ARP或IP报文可以触发用户上线。对于双栈静态用户,如果指定了本参数但未指定ipipv6协议栈,则表示IPv4和IPv6同时开启主动探测,且主动探测报文仅触发本栈上线。需要注意的是,在IPoE转发与控制分离组网环境中,当AC为三层子接口并且接入模式为Ethernet时,如需设备主动发送探测报文请求用户上线,则静态会话中必须指定用户的VLAN信息,否则无法主动请求用户成功上线。

·     ip:表示使用IPv4协议栈进行主动探测,二层接入的情况下使用ARP报文,三层接入使用ICMP报文。

·     ipv6:表示使用IPv6协议栈进行主动探测,二层接入的情况下使用ND NS报文,三层接入使用ICMPv6报文。

description string:指定静态会话的描述信息,为1~31个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,则静态会话无描述信息。

gateway:表示指定用户的网关地址。设备主动发送探测报文请求用户上线时,会优先使用该地址作为探测报文的源IP地址。如果未指定本参数,将使用默认网关地址作为探测报文的源IP地址。需要注意的是,仅在指定request-online的情况下,本参数配置后才生效。

·     ip ipv4-address:指定IPv4协议栈的网关地址。该地址必须是用户接入接口的IPv4地址,或者是IP地址池下的共享网关地址(例如BAS类型的IP地址池下通过命令gateway指定的网关地址),否则会导致设备无法主动发送探测报文请求用户上线。

·     ipv6 ipv6-address:指定IPv6协议栈的网关地址。二层接入模式下,该地址必须是用户接入接口的全球单播地址或链路本地地址,三层接入模式下该地址必须是用户接入接口的全球单播地址,否则会导致设备无法主动发送探测报文请求用户上线。

vpn-instance vpn-instance-name指定静态用户绑定的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPoE静态个人用户位于公网中。

keep-online:表示即使在开启探测功能的情况下,也不对用户进行在线探测。如果未指定本参数,当用户在线探测失败时,将被强制下线。

support-ds:表示支持双协议栈会话功能。开启该功能后,将允许相同MAC地址、不同IP协议栈的全局静态和动态会话组成双协议栈会话。对于双协议栈会话,只要其中一个协议栈的用户认证成功,后上线的另一个协议栈的用户无需认证即可上线。该参数仅在二层接入模式下配置后才生效。需要注意的是:

·     本参数不支持和delegation-prefix参数同时配置。

·     若设备上任意某接口配置了IPoE 802.1X认证方式,则要求在配置全局静态会话时必须指定support-ds参数。

【使用指导】

使用指导公共说明

IPoE静态会话的匹配优先级高于IPoE动态会话。若已经存在IPoE静态会话,则与之匹配的报文不会触发新的IPoE动态会话;若已经存在一个未知源IP报文、DHCP报文或ND RS报文触发建立的IPoE动态会话,再配置一个能与未知源IP报文、DHCP接入用户报文或者ND RS接入用户IP报文匹配的IPoE静态会话,配置不会影响已经在线的同IP用户,但是当动态用户下线后,设备再次收到该用户的报文时,优先匹配静态会话上线。

当IPoE静态个人用户上线时,如果用户报文可同时匹配全局静态个人会话和接口静态个人会话,则优先使用接口静态个人会话上线。

当静态会话中指定的IP地址与IP地址池中可分配的IP地址存在交集时,则:

·     对于IP地址池需要通过命令dhcp server forbidden-ipforbidden-ip配置交集IP地址为不参与自动分配的IP地址。

·     对于IPv6地址池需要通过命令ipv6 dhcp server forbidden-address配置交集IPv6地址为不参与自动分配的IPv6地址。

有关配置不参与自动分配IP地址命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”和“DHCPv6”。

在公网或同一VPN实例中,任意IP地址的全局IPoE静态会话最多只能存在一条,并且不能通过重复执行本命令修改该全局IPoE静态会话中已配置的macdomaininterfaceinterface-listrequest-onlinesupport-ds参数。如需修改macdomaininterfaceinterface-listrequest-onlinesupport-ds参数,请先通过undo ip subscriber session static命令删除指定全局IPoE静态会话对应的当前配置后再执行ip subscriber session static命令。

在公网和所有VPN实例中:

·     对于指定了接口的全局静态会话,IP地址和接口完全相同的全局IPoE静态会话最多只能存在一条。

·     对于未指定接口的全局静态会话,任意IP地址的全局IPoE静态会话最多只能存在一条。

执行undo ip subscriber session static命令删除指定的全局个人静态IPoE会话时,指定的地址/地址范围必须与执行ip subscriber session static命令时指定的地址/地址范围保持一致。如果需要删除的全局个人静态IPoE会话的IP地址为某一地址范围,则只能同时取消该地址范围内所有全局个人静态IPoE会话的配置,不能单独取消其中某个全局个人静态IPoE会话的配置。

IPv6 Delegation前缀场景使用指导

如下图所示,三层设备Device下挂的Host A和Host B均使用相同的IPv6地址前缀且通过无状态自动配置方式获取IPv6地址。该组网中,如果希望在BRAS设备上采用IPoE静态用户上线方式实现下挂的主机都可以通过IPv6报文触发上线,并对这些使用相同IPv6地址前缀的用户报文进行统一认证、计费、限速和管理时,可在静态会话中配置IPv6 Delegation前缀。

图1-2 IPv6 Delegation前缀应用组网示意图

 

在IPoE全局静态会话中配置了IPv6 Delegation前缀的情况下,只要用户IPv6报文中的源IP地址能够匹配该静态会话中指定的任意IPv6地址或IPv6 Delegation前缀,那么该用户就可以触发认证上线流程,并且在认证流程中同一个IPv6 Delegation前缀网段中的所有用户表现为一个用户,即和该IPv6 Delegation前缀对应IPv6地址静态用户。

针对全局静态会话中指定的任一IPv6地址,以及和该IPv6地址的对应的IPv6 Delegation前缀:

·     只有第一个匹配该IPv6地址或IPv6 Delegation前缀的用户需要认证,该用户成功上线后,后续其它所有匹配该IPv6地址或IPv6 Delegation前缀的用户报文都无需认证,即可直接转发,并对匹配该IPv6地址或IPv6 Delegation前缀的所有用户报文进行统一的流量统计。

·     只要有用户匹配到该IPv6地址或IPv6 Delegation前缀并成功上线,那么设备将生成关于该IPv6 Delegation前缀的用户网络路由,且路由下一跳为该IPv6地址。为便于将核心路由器上所有到该前缀网段的流量都引到BRAS设备上,需要通过动态路由协议引入静态路由将前缀网段路由发布到核心路由器上。当BRAS设备上存在多个IPv6 Delegation前缀网段路由时,为减少发布到核心路由器的路由条目,建议先对多个IPv6 Delegation前缀网段路进行路由聚合后再发布。

配置全局静态用户指定前缀时,需综合考虑并合理规划IP地址,避免配置的前缀网段和其他类型用户地址或网段产生冲突:

·     全局静态会话中指定的IPv6地址和IPv6 Delegation前缀冲突。

·     全局静态会话中指定的IPv6地址和已有的其它全局静态会话中指定的IPv6 Delegation前缀冲突。

·     全局静态会话中指定的IPv6 Delegation前缀和已有的其它全局静态会话中指定的IPv6 Delegation前缀冲突。

·     全局静态会话中指定的IPv6 Delegation前缀和已有的其它全局静态或接口静态会话中指定的IPv6地址冲突。

·     全局静态会话中指定的IPv6 Delegation前缀和IPv6地址池中的地址冲突。

·     全局静态会话中指定的IPv6 Delegation前缀和IPv6前缀池中的前缀冲突。

·     全局静态会话中指定的IPv6 Delegation前缀和IPoE子网专线的网段冲突。

设备主动请求用户上线场景使用指导

当需要设备主动探测触发用户上线时,则必须配置携带interfacerequest-online参数的IPoE静态会话,并且:

·     对于单栈IPv4静态用户:

¡     在二层接入模式下,设备固定使用ARP报文触发用户上线,此时必须开启ARP报文触发IPoE静态个人会话上线功能。

¡     在三层接入模式下,设备固定使用ICMP报文触发用户上线,此时必须开启未知源IPv4报文触发生成IPoE会话功能以及用户上线接口需配置IPv4地址。

·     对于单栈IPv6静态用户:

¡     在二层接入模式下,设备固定使用ND NS报文触发用户上线,此时必须开启未知源IPv6报文触发生成IPoE会话功能或NS/NA报文触发IPoE静态个人会话上线功能。

¡     在三层接入模式下,设备固定使用ICMPv6报文触发用户上线,此时开启未知源IPv6报文触发生成IPoE会话功能以及用户上线接口需配置IPv6地址。

·     对于双栈静态用户:

¡     当配置的主动探测协议栈是IP时,在二层接入模式下,设备固定使用ARP报文触发用户上线,此时必须开启ARP报文触发IPoE静态个人会话上线功能;在三层接入模式下,设备固定使用ICMP报文触发用户上线,此时必须开启未知源IPv4报文触发生成IPoE会话功能以及用户上线接口需配置IPv4地址。

¡     当配置的主动探测协议栈是IPv6时,在二层接入模式下,设备固定使用ND NS报文触发用户上线,此时必须开启未知源IPv6报文触发生成IPoE会话功能或NS/NA报文触发IPoE静态个人会话上线功能;在三层接入模式下,设备固定使用ICMPv6报文触发用户上线,此时必须开启未知源IPv6报文触发生成IPoE会话功能以及用户上线接口需配置IPv6地址。

·     对于指定了子接口的IPoE静态用户,如果子接口上配置了模糊的Dot1q终结或者模糊的QinQ终结功能,为保证静态用户可以通过主动探测方式正常上线,在配置静态会话时必须指定VLAN或在子接口下配置vlan-termination broadcast enable。推荐在静态会话中指定VLAN方式。

统一计费场景使用指导

当需要对双栈用户进行统一计费时,必须在一条ip subscriber session-static命令中同时指定双栈用户的IPv4和IPv6地址,并且IPv4和IPv6地址需一一对应;配置后,设备将按配置顺序把配置的第一个IPv4地址和第一个IPv6地址组成一个双协议栈静态个人会话,把配置的第二个IPv4地址和第二个IPv6地址组成第二个双协议栈静态个人会话,依次类推。

IPoE静态用户认证域选择场景使用指导

IPoE静态个人接入用户支持通过多种方式获取认证域,具体认证域选择原则如下:

·     采用bind认证方式时,按如下优先顺序选择第一个匹配到的认证域进行认证:

a.     使用本命令中domain domain-name指定的认证域;若该域未创建,则用户上线失败。

b.     使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。

c.     使用ip subscriber unclassified-ip domain命令配置的认证域;若该域未创建,则用户上线失败。

d.     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

·     采用Web认证方式时:

¡     前域阶段认证域的选择原则,请参见ip subscriber pre-auth domain命令。

¡     Web阶段认证域的选择原则,请见ip subscriber web-auth domain命令。

IPoE静态用户绑定VPN实例场景使用指导

目前支持以下几种方式为IPoE静态用户绑定VPN实例:

·     通过本命令指定vpn-instance参数。

·     通过AAA为静态用户授权VPN实例。

·     通过ip binding vpn-instance命令在上线接口绑定VPN实例。

需要注意的是,前两种方式同时配置时,请确保二者指定的VPN实例相同,否则会导致用户无法上线。如果前两种方式指定的VPN实例和第三种方式指定的VPN实例不相同时,以前两种方式指定的VPN实例为准。如果用户授权域中配置了strict-check access-interface vpn-instance命令,请保证前两种方式指定的VPN实例和第三种方式指定的VPN实例相同,否则会导致用户无法上线。

IPoE静态双栈场景使用指导

当配置携带interfaceinterface-list参数的双栈静态个人会话时,需要注意:

·     如果先在interfaceinterface-list参数指定的接口上开启IPoE功能,后配置双栈静态用户,必须同时开启IPv4和IPv6协议栈的IPoE功能,才允许配置双栈静态用户;

·     如果先配置双栈静态用户,后在interfaceinterface-list参数指定的接口上开启IPoE功能,必须同时开启IPv4和IPv6协议栈的IPoE功能,否则不允许开启IPoE功能。

IPoE动静态混合双栈场景使用指导

配置IPv4或IPv6单栈IPoE全局静态个人会话时,如果同时指定了support-ds参数,为确保全局静态个人会话和动态个人会话可以成功组成双栈会话,必须保证静态和动态用户的认证用户名/密码、使用的认证域以及AAA授权属性的一致性。目前支持以下几种方式组成双栈。

·     IPv4全局静态个人会话支持和DHCPv6动态个人会话、NDRS动态个人会话、IPv6未知源动态个人会话组成双栈会话。

·     IPv6全局静态个人会话支持和DHCPv4动态个人会话、IPv4未知源动态个人会话组成双栈会话。

【举例】

# 在系统视图下配置一条IPoE静态个人会话:用户IP地址为1.1.1.1,认证使用的认证域为dm1。(命令形式一)

<Sysname> system-view

[Sysname] ip subscriber session static ip 1.1.1.1 domain dm1

# 在系统视图下配置一条IPoE静态个人会话:用户IP地址为1.1.1.1,静态用户接口列表为10,认证使用的认证域为dm1。(命令形式二)

<Sysname> system-view

[Sysname] ip subscriber session static ip 1.1.1.1 interface-list 10 domain dm1

【相关命令】

·     dhcp enable(BRAS业务命令参考/DHCP)

·     ip subscriber password

·     ip subscriber initiator arp enable

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber static-session request-online interval

·     static-user interface-list

·     strict-check access-interface vpn-instance(BRAS业务命令参考/AAA)

1.1.78  ip subscriber session static-leased

ip subscriber session static-leased命令用来配置IPoE静态专线会话。

undo ip subscriber session static-leased命令用来删除指定的IPoE静态专线会话。

【命令】

配置IPv4单栈IPoE静态专线会话:

ip subscriber session static-leased ip ipv4-address interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ip ipv4-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]

undo ip subscriber session static-leased ip ipv4-address [ interface interface-type interface-number ] [ vpn-instance vpn-instance-name ]

配置IPv6单栈IPoE静态专线会话:

ip subscriber session static-leased ipv6 ipv6-address interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online ] [ description string ] [ gateway ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] [ keep-online ]

undo ip subscriber session static-leased ipv6 ipv6-address [ interface interface-type interface-number ] [ vpn-instance vpn-instance-name ]

配置双栈IPoE静态专线会话:

ip subscriber session static-leased ip ipv4-address ipv6 ipv6-address interface interface-type interface-number [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ password mac ] [ request-online [ ip | ipv6 ] ] [ description string ] [ gateway { ip ipv4-address | ipv6 ipv6-address } * ] [ vpn-instance vpn-instance-name ] [ keep-online ]

undo ip subscriber session static-leased ip ipv4-address ipv6 ipv6-address [ interface interface-type interface-number ] [ vpn-instance vpn-instance-name ]

【缺省情况】

未配置IPoE静态专线会话。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:用户的IPv4地址。

ipv6-address:用户的IPv6地址。

interface interface-type interface-number:表示用户的接入接口。

vlan vlan-id:表示用户报文的外层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。

second-vlan vlan-id:表示用户报文的内层VLAN。其中vlan-id表示VLAN ID,取值范围为1~4094。本参数仅子接口支持。

mac mac-address:表示用户的MAC地址,mac-address为用户MAC地址,形式为H-H-H。

domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,将使用缺省认证域来认证用户。关于缺省认证域的相关配置请参见“BRAS业务配置指导”中的“AAA”。

password mac:表示以用户的MAC地址作为认证密码。

request-online:表示允许设备主动发送上线请求报文请求用户上线。如果未指定本参数,则表示仅用户主动发送的ARP或IP报文可以触发用户上线。对于双栈静态专线用户,如果指定了本参数但未指定ipipv6协议栈,则表示IPv4和IPv6同时开启主动探测,且主动探测报文仅触发本栈上线。需要注意的是,在IPoE转发与控制分离组网环境中,当AC为三层子接口并且接入模式为Ethernet时,如需设备主动发送探测报文请求用户上线,则静态会话中必须指定用户的VLAN信息,否则无法主动请求用户成功上线。

·     ip:表示使用IPv4协议栈进行主动探测。

·     ipv6:表示使用IPv6协议栈进行主动探测。

description string:指定静态会话的描述信息,为1~31个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。如果未指定该参数,则静态会话无描述信息。

gateway:表示指定用户的网关地址。设备主动发送探测报文请求用户上线时,会优先使用该地址作为探测报文的源IP地址。如果未指定本参数,将使用默认网关地址作为探测报文的源IP地址。需要注意的是,仅在指定request-online的情况下,本参数配置后才生效。

·     ip ipv4-address:指定IPv4协议栈的网关地址。该地址必须是IP地址池下的共享网关地址(例如BAS类型的IP地址池下通过命令gateway指定的网关地址),否则会导致设备无法主动发送探测报文请求用户上线。

·     ipv6 ipv6-address:指定IPv6协议栈的网关地址。该地址必须是用户接入接口的链路本地地址,否则会导致设备无法主动发送探测报文请求用户上线。

vpn-instance vpn-instance-name指定静态专线用户绑定的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPoE静态个人用户位于公网中。

keep-online:表示即使在开启探测功能的情况下,也不对用户进行在线探测。如果未指定本参数,当用户在线探测失败时,将被强制下线。

【使用指导】

如下图所示,在运营商专线业务中,某企业的三层设备Device下挂多台主机,Device的上行接口Port A需要由运营商分配公网IP地址,并且在BRAS侧需要对Device下挂的所有主机统一进行认证、授权和计费。针对这种情况,在满足专线业务需求的前提下,为便于管理员合理分配和维护公网IP地址,管理员还希望能够在BRAS设备上随时查阅为各个专线业务的Device设备分配的公网IP地址,此时可在BRAS设备上部署静态专线。

图1-3 IPoE静态专线应用组网示意图

静态专线会话,类似接口专线,当静态专线会话上线后,任意源IP地址的报文都允许从专线接口通过;不同于接口专线的是,静态专线不仅可以提供类似接口专线的专线业务,还可以记录静态专线用户的公网IP地址。

在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP、ARP、NS或NA流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立静态专线会话;如果认证未通过,则不建立专线静态会话。

仅当IPoE工作在二层接入模式,并且采用绑定认证方式时支持静态专线。

在静态用户接入接口不允许配置IPv4地址和IPv6全球单播地址,要求:

·     对于IPv4:使用IP地址池下的共享网关地址(例如BAS类型的IP地址池下通过命令gateway指定的网关地址)。

·     对于IPv6:使用ipv6 address auto link-local命令配置静态用户接入接口自动生成链路本地地址。

同一接口下,IPoE静态专线用户和IPoE个人接入用户、IPoE接口专线用户、IPoE子网专线用户、IPoE L2VPN专线用户的配置互斥。

在公网或同一VPN实例中:

·     一个接口上最多允许配置一条静态专线会话,并且不能通过重复执行本命令修改该IPoE静态专线会话中已配置的ipmacdomainrequest-online参数。如需修改ipmacdomainrequest-online参数,请先通过undo ip subscriber session static-leased命令删除指定IPoE静态专线会话对应的当前配置后再执行ip subscriber session static-leased命令。

·     任意IP地址的IPoE静态专线会话最多只能存在一条,并且不能通过重复执行本命令修改该IPoE静态专线会话中已配置的macdomaininterfacerequest-online参数。如需修改macdomaininterfacerequest-online参数,请先通过undo ip subscriber session static-leased命令删除指定IPoE静态专线会话对应的当前配置后再执行ip subscriber session static-leased命令。

目前支持以下几种方式为IPoE静态专线用户绑定VPN实例:

·     通过本命令指定vpn-instance参数。

·     通过AAA为静态用户授权VPN实例。

·     通过ip binding vpn-instance命令在上线接口绑定VPN实例。

·     需要注意的是,前两种方式同时配置时,请确保二者指定的VPN实例相同,否则会导致用户无法上线。如果前两种方式指定的VPN实例和第三种方式指定的VPN实例不相同时,以前两种方式指定的VPN实例为准。如果用户授权域中配置了strict-check access-interface vpn-instance命令,请保证前两种方式指定的VPN实例和第三种方式指定的VPN实例相同,否则会导致用户无法上线。

【举例】

# 在系统视图下配置IPoE静态专线会话:用户IP地址为1.1.1.1,绑定的接口为Ten-GigabitEthernet3/1/1。

<Sysname> system-view

[Sysname] ip subscriber session static-leased ip 1.1.1.1 interface ten-gigabitethernet 3/1/1

【相关命令】

·     ip subscriber password

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber static-session request-online interval

·     strict-check access-interface vpn-instance(BRAS业务命令参考/AAA)

1.1.79  ip subscriber session-conflict action offline

ip subscriber session-conflict action offline命令用来开启IPoE用户的会话冲突检测功能。

undo ip subscriber session-conflict action offline命令用来关闭IPoE用户的会话冲突检测功能。

【命令】

ip subscriber session-conflict action offline

undo ip subscriber session-conflict action offline

【缺省情况】

IPoE用户的会话地址冲突检测功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

在IPoE二层组网中,当用户及其使用的上网终端从一个接口迁移到另一个接口时,在用户通过新接口上线后,设备仍旧维护该用户在原接口上的会话信息,造成设备资源浪费并增加网络维护的复杂度。通过ip subscriber session-conflict action offline命令开启IPoE用户的会话冲突检测功能,可以避免上述问题。

开启该功能后,当用户在某接口上线时,设备会根据上线用户的IP地址和MAC地址两个元素查询该用户是否在当前设备上的其它接口已上线。如查询到,则强制其它接口上的该用户下线。

在同一接口上,本命令和ip subscriber roaming enable命令互斥。

本功能仅在IPoE工作在二层接入模式的情况下才生效。

本命令目前仅适用于IPoE全局静态用户且静态会话中未指定interface参数的情况,用于检测IPoE静态用户的同IP同MAC地址的会话冲突情况。

【举例】

# 开启IPoE用户的会话冲突检测功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber session-conflict action offline

1.1.80  ip subscriber static-dot1x-user enable

ip subscriber static-dot1x-user enable命令用来开启静态802.1X用户认证功能。

undo ip subscriber static-dot1x-user enable命令用来关闭静态802.1X用户认证功能。

【命令】

ip subscriber static-dot1x-user enable

undo ip subscriber static-dot1x-user enable

【缺省情况】

静态802.1X用户认证功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合口视图/三层聚合子接口视图

【缺省用户角色】

network-admin

【使用指导】

应用场景

缺省情况下,在IPoE 802.1X认证场景中,IPoE 802.1X认证支持DHCP用户接入、IPv6 ND RS用户接入和全局静态用户接入。对于配置了静态IP地址的用户,如果管理员希望这类用户可以通过802.1X认证方式上线,必须在BRAS设备上为这类用户配置和其静态IP地址对应的IPoE静态用户接入。

对于配置了静态IP地址的用户,如果管理员希望这类用户既可以通过802.1X认证方式上线,同时又无需在BRAS设备上为他们配置对应的IPoE静态用户接入,可开启本功能。

工作机制

开启本功能后,当某用户的802.1X客户端认证上线后,BRAS设备便会基于该用户的MAC地址+VLAN信息(无IP地址信息)生成一个临时会话表项。当BRAS设备收到该用户发送的ARP报文、未知源IP报文和NS/NA报文时:

·     如果能查询到该用户的临时会话表项,则IPoE采用802.1X认证结果让用户直接在后域上线。用户在后域上线后,BRAS设备会使用该用户的正式会话表项替换临时会话表项,后续基于正式会话表项处理用户报文,此时正式会话表项记录的用户信息为802.1X用户信息(包括802.1X用户名、认证域、授权属性等)。

·     如果查询不到该用户的临时会话表项,则丢弃收到的报文。

注意事项

如果某接口上同时配置了802.1X认证接入和IPoE静态用户接入,并且同时开启了如下功能:

·     针对802.1X认证接入,开启了静态802.1X用户认证功能。

·     针对IPoE静态用户接入,开启了指定matching-user参数的未知源IP报文触发上线功能。

那么,当BRAS设备收到的报文可以同时匹配802.1X临时会话表项和IPoE静态用户的会话时,则按IPoE静态用户上线流程处理。

IPoE 802.1X认证场景中,在开启了本功能的情况下,当某用户的802.1X客户端认证上线后,只要用户发送的ARP报文、未知源IP报文和NS/NA报文能够匹配到临时会话表项即可直接在后域上线,无需配置下列命令开启ARP报文、未知源IP报文和NS/NA报文触发用户上线功能。

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber initiator unclassified-ipv6 enable

·     ip subscriber initiator arp enable

·     ip subscriber initiator nsna enable

配置静态802.1X用户认证功能时,需要注意:

·     同一接口上,静态802.1X用户认证功能与IPoE三层接入模式、IPoE接口专线用户、IPoE子网专线用户和L2VPN专线用户的配置互斥。

·     仅当接口工作在IPoE二层接入模式时支持静态802.1X用户认证功能。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启静态802.1X用户认证功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber static-dot1x-user enable

【相关命令】

·     ip subscriber authentication-method

·     ip subscriber initiator arp enable

·     ip subscriber initiator nsna enable

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber initiator unclassified-ipv6 enable

1.1.81  ip subscriber static-session request-online interval

ip subscriber static-session request-online interval命令用来配置设备发送IPoE静态接入用户上线请求的时间间隔。

undo ip subscriber static-session request-online interval命令用来恢复缺省情况。

【命令】

ip subscriber static-session request-online interval seconds

undo ip subscriber static-session request-online interval

【缺省情况】

设备发送IPoE静态接入用户上线请求的时间间隔为180秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

seconds:设备发送IPoE静态接入用户上线请求的时间间隔,取值范围为60~3600,单位为秒。

【使用指导】

当设备主动请求IPoE静态接入用户上线时,将以本命令配置的参数为周期向接口上的用户发送ARP报文、ICMP报文、ND NS报文和ICMPv6报文。设备是否主动发起上线请求由系统视图或接口上的ip subscriber session static命令决定

【举例】

# 配置设备发送IPoE静态接入用户上线请求的时间间隔为60秒。

<Sysname> system-view

[Sysname] ip subscriber static-session request-online interval 60

【相关命令】

·     ip subscriber session static

1.1.82  ip subscriber subnet-leased

ip subscriber subnet-leased命令用来配置IPoE子网专线用户。

undo ip subscriber subnet-leased命令用来删除指定的IPoE子网专线用户。

【命令】

ip subscriber subnet-leased ip ipv4-address { mask | mask-length } username name password { ciphertext | plaintext } string [ domain domain-name ] [ vpn-instance vpn-instance-name ]

undo ip subscriber subnet-leased ip ipv4-address { mask | mask-length }

ip subscriber subnet-leased ipv6 ipv6-address prefix-length username name password { ciphertext | plaintext } string [ domain domain-name ] [ vpn-instance vpn-instance-name ]

undo ip subscriber subnet-leased ipv6 ipv6-address prefix-length

【缺省情况】

未配置IPoE子网专线用户。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address:表示用户的IPv4地址。

mask:IPv4地址的网络掩码,为点分十进制形式。

mask-length:IPv4地址的网络掩码长度,取值范围为1~31。

ipv6 ipv6-address:表示用户的IPv6地址。

prefix-length:IPv6地址前缀长度,取值范围为1~127。

username name:指定用户认证时使用的用户名,其中name为1~253个字符的字符串,区分大小写。

password:指定用户认证时使用的密码。

ciphertext:以密文方式设置密码。

plaintext:以明文方式设置密码,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

domain domain-name:指定认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

vpn-instance vpn-instance-name指定接口上子网专线用户绑定的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写,且必须已经存在。如果未指定本参数,则表示IPoE子网专线用户位于公网中。

【使用指导】

一个IPoE子网专线用户代表了当前接口接入的所有该子网内的用户。在接入接口上开启了IPv4或IPv6协议栈的IPoE功能、且接口状态up的情况下,无需用户流量触发,接入设备会主动尝试以配置的用户名和密码发起认证;认证成功后,建立专线会话,接口上接入的所有该子网内用户流量均允许通过,且共享一个IPoE会话,并基于子网进行授权和计费。

如果先开启IPoE功能,后配置子网专线用户,仅当相应协议栈的IPoE功能处于开启状态时才允许配置该协议栈对应的子网专线用户;如果先配置子网专线用户,后开启IPoE功能,则仅允许开启和配置的子网专线用户相同协议栈的IPoE功能,或双栈IPoE功能。

每个子网只能配置一个IPoE子网专线用户。

同一接口下,IPoE子网专线用户与IPoE接口专线用户及IPoE L2VPN专线用户的配置互斥。

IPoE子网专线用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个匹配到的认证域进行认证:

(1)     使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。

(2)     使用本命令中domain domain-name指定的认证域;若该域未创建,则用户上线失败。

(3)     使用ip subscriber unclassified-ip domain命令配置的认证域;若该域未创建,则用户上线失败。

(4)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

不能通过重复执行本命令修改IPoE子网专线用户所属的VPN实例(或公网)。如需修改IPoE子网专线用户所属的实例,请先通过undo ip subscriber subnet-leased删除指定的IPoE子网专线用户的配置,再执行ip subscriber subnet-leased命令。

对于IPoE二层接入模式的接口,若需要在这类接口上配置绑定VPN实例的IPoE子网专线用户,为确保功能正常,请遵循如下配置原则:

·     在配置绑定VPN实例的IPoE子网专线用户前,必须确保所绑定的VPN实例在设备上真实存在。

·     在配置绑定VPN实例的IPoE子网专线用户之后,若执行undo ip vpn-instance命令删除了IPoE子网专线用户绑定的VPN实例,则必须执行undo ip subscriber subnet-leased命令删除所有IPoE二层接入模式接口上绑定了该VPN实例的IPoE子网专线用户配置,再执行ip subscriber subnet-leased命令根据实际需要重新进行配置。

对于IPoE三层接入模式的接口,在IPoE子网专线用户绑定了VPN实例的情况下,如果执行undo ip vpn-instance命令删除了IPoE子网专线用户绑定的VPN实例,效果等同于在这类接口上对所有绑定该VPN实例的IPoE子网专线用户执行undo ip subscriber subnet-leased命令。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置一个IPoE子网专线用户:子网网段为1.1.1.1/24,认证使用的用户名为netuser,认证使用的明文密码为pw123。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber subnet-leased ip 1.1.1.1 24 username netuser password plaintext pw123

1.1.83  ip subscriber timer quiet

ip subscriber timer quiet命令用来开启IPoE用户的静默功能并指定静默时间。

undo ip subscriber timer quiet命令用来关闭IPoE用户的静默功能。

【命令】

ip subscriber timer quiet time

undo ip subscriber timer quiet

【缺省情况】

IPoE用户的静默功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

time:IPoE用户的静默时间,取值范围为10~3600,单位为秒。

【使用指导】

开启本功能后,当用户连续认证失败次数达到指定值时,会对该用户进行静默处理。在静默期间设备直接丢弃来自认证失败用户的报文,以降低非法用户使用穷举法试探合法用户密码的成功率,同时避免设备持续向认证服务器转发该IPoE用户的认证报文而对设备性能造成影响。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。

当通过全局口上线的用户被静默时,如果静默用户的会话所在slot发生切换,设备将重新触发该静默用户的认证;如果用户在连续认证失败次数达到指定值之前某次认证成功,则解除该用户的静默状态,否则将重新对该用户进行静默。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启IPoE用户的静默功能并指定静默时间为100秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber timer quiet 100

【相关命令】

·     display ip subscriber chasten user auth-failed

·     display ip subscriber chasten user quiet

·     ip subscriber authentication chasten

1.1.84  ip subscriber trust

ip subscriber trust命令用来配置信任DHCP报文中的指定Option。

undo ip subscriber trust命令用来取消信任DHCP报文中指定的Option。

【命令】

ip subscriber trust { option12 | option60 | option77 | option82 | option16 | option17 | option18 | option37 | option79 }

undo ip subscriber trust { option12 | option60 | option77 | option82 | option16 | option17 | option18 | option37 | option79 }

【缺省情况】

仅信任DHCP报文中的Option79,不信任其它Option。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

option12:表示信任DHCPv4报文中的Option12。

option60:表示信任DHCPv4报文中的Option60。

option77:表示信任DHCPv4报文中的Option77。

option82:表示信任DHCPv4报文中的Option82。

option16:表示信任DHCPv6报文中的Option16。

option17:表示信任DHCPv6报文中的Option17。

option18:表示信任DHCPv6报文中的Option18。

option37:表示信任DHCPv6报文中的Option37。

option79:表示信任DHCPv6报文中的Option79。

【使用指导】

DHCPv4组网环境中,接入设备可以提取用户的DHCP-DISCOVER报文中的Option60信息。如果接入设备信任DHCPv4报文中的Option60信息,并且未配置ip subscriber dhcp domain命令和ip subscriber dhcp option60 match命令,则:

·     在Option60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”等),且没有域名分隔符@字符的情况下,IPoE用户使用整个Option60的内容作为指定的认证域进行认证。

·     在Option60内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”等),且其中包含了域名分隔符@字符的情况下,IPoE用户使用@字符之后的字符串作为指定的认证域进行认证。如果在Option60内容中包括多个@字符,则使用最后一个@字符之后的字符串作为IPoE用户的认证域名。

在使用ip subscriber trust option60命令提取的内容作为认证域的情况下,如果配置了ip subscriber dhcp domain include命令,则最终使用根据域名生成规则生成的认证域,具体域名生成规则请见ip subscriber dhcp domain include命令。

配置ip subscriber dhcp domain命令时认证域的选择情况,请见ip subscriber dhcp domain命令。

配置ip subscriber dhcp option60 match命令时认证域的选择情况,请见ip subscriber dhcp option60 match命令。

接入设备不信任DHCPv4报文中的Option60信息时认证域的选择情况,请见ip subscriber dhcp domain命令。

DHCP中继组网环境中,接入设备可以提取用户的DHCP-DISCOVER报文中的Option82信息。如果接入设备信任DHCPv4报文中的Option82,则按配置的解析格式(缺省为字符串解析格式)对Option82的内容进行解析,并且:

·     接入设备在采用version 2.0或者version 5.0格式封装RADIUS NAS-PORT-ID属性时,会根据Option82信息中的Circuit-ID内容封装发往RADIUS服务器的NAS-PORT-ID属性。

·     接入设备会根据Option82中的Circuit-ID内容封装发往RADIUS服务器的DSL_AGENT_CIRCUIT_ID属性。

·     接入设备会根据Option82中的Remote-ID内容封装发往RADIUS服务器的DSL_AGENT_REMOTE_ID属性。

如果不信任DHCPv4报文中的Option82,则接入设备在封装以上RADIUS属性时,不采用Option82中的任何信息。

DHCPv6组网环境中,接入设备可以提取用户DHCPv6报文中的Option16信息或Option17信息作为认证域。因Option16和Option17二者作为认证域的处理原则相同,下面仅以Option16为例进行介绍。

如果接入设备信任DHCPv6报文中的Option16信息,并且未配置ip subscriber dhcp domain命令和ip subscriber dhcpv6 option16 match命令(或配置了该命令但匹配信任字符串失败时),则:

·     在Option16内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”等),且没有域名分隔符@字符的情况下,IPoE用户使用整个Option16的内容作为指定的认证域进行认证。

·     在Option16内容有效(无非法字符“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”等),且其中包含了域名分隔符@字符的情况下,IPoE用户使用@字符之后的字符串作为指定的认证域进行认证。如果在Option16内容中包括多个@字符,则使用最后一个@字符之后的字符串作为IPoE用户的认证域名。

配置ip subscriber dhcp domain命令时认证域的选择情况,请见ip subscriber dhcp domain命令。

配置ip subscriber dhcpv6 option16 match命令时认证域的选择情况,请参见ip subscriber dhcpv6 option16 match命令。

接入设备不信任DHCPv6报文中的Option16信息时认证域的选择情况,请见ip subscriber dhcp domain命令。

DHCP中继组网环境中,接入设备可以提取用户DHCPv6报文中的指定Option信息。如果接入设备信任DHCPv6报文中的Option18,则按配置的解析格式(缺省为字符串解析格式)对Option18的内容进行解析,并且:

·     接入设备在采用version 2.0或者version 5.0格式封装RADIUS NAS-PORT-ID属性时,会根据Option18选项内容封装发往RADIUS服务器的NAS-PORT-ID属性。

·     接入设备会根据Option18选项的内容封装发往RADIUS服务器的DSL_AGENT_CIRCUIT_ID属性。

如果接入设备信任DHCPv6报文中的Option37,则按配置的解析格式(缺省为字符串解析格式)对Option37的内容进行解析,并且接入设备会根据Option37选项的内容封装发往RADIUS服务器的DSL_AGENT_REMOTE_ID属性。

同一接口视图下可以多次执行本命令配置信任DHCP报文中不同的Option,但不允许同时配置信任Option16和Option17。例如如果先配置了信任Option16,则不允许再配置信任Option17。

为便于对同一个IPoE用户进行计费和管理,如果同一用户的IPv4协议栈和IPv6协议栈可以组成双栈,那么IPoE会优先将该用户作为一个双栈用户进行维护和管理。其中,MAC地址相同是IPv4协议栈用户和IPv6协议栈用户可以组成一个双栈用户的必要条件。在用户和BRAS设备之间存在DHCPv6中继的三层组网中,如果DHCPv6中继转发的DHCPv6报文中的Client ID字段未携带用户的MAC地址,那么IPoE将无法获取到DHCPv6用户的MAC地址,这种情况下IPoE会将同一MAC地址的DHCPv4用户和DHCPv6用户当作两个单独的用户进行维护,二者无法组成双栈用户。为解决上述问题,可在BRAS设备上配置信任Option79。配置信任Option79后,当BRAS设备收到携带Option79的DHCPv6报文时,可以从Option79中解析出用户的MAC地址,并将该MAC地址作为一个必要条件来识别一个DHCPv6用户,如果存在同MAC地址的DHCPv4用户,二者可以组成双栈。配置信任Option79时,需要注意:

·     如果IPoE可以同时从Option79和Client ID字段中解析出用户的MAC地址,则优先使用从Option79中解析出的用户MAC地址。

·     为确保BRAS设备可以收到携带Option79的DHCPv6报文,要求在DHCPv6客户端发出请求报文后经过的第一个DHCPv6中继上开启DHCPv6中继支持添加Option79选项功能(由ipv6 dhcp relay client-link-address enable命令配置)。有关ipv6 dhcp relay client-link-address enable命令的介绍,请参见“BRAS业务命令参考”中的“DHCPv6”。

当某接入接口有DHCPv6在线用户时,不允许在该接口上执行undo ip subscriber trust option79命令。如需执行undo ip subscriber trust option79命令,需要先将DHCPv6用户下线。

在信任Option12的情况下,可通过在ip subscriber dhcp username命令中指定hostname参数的方式配置使用DHCPv4报文中的Option12信息作为认证用户名。具体配置请见ip subscriber dhcp username命令。

在信任Option77的情况下,可通过在ip subscriber dhcp password命令中指定user-class参数的方式配置使用DHCPv4报文中的Option77信息作为认证密码。具体配置请见ip subscriber dhcp password命令。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置设备信任DHCPv4报文中的Option82。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber trust option82

【相关命令】

·     ip subscriber access-line-id circuit-id trans-format

·     ip subscriber access-line-id remote-id trans-format

·     ip subscriber dhcp domain

·     ip subscriber dhcp domain include

·     ip subscriber dhcp option60 match

·     ip subscriber dhcp password

·     ip subscriber dhcp username

·     ip subscriber dhcpv6 { option16 | option17 } match

·     ip subscriber nas-port-id format

·     ip subscriber nas-port-id nasinfo-insert

·     ipv6 dhcp relay client-link-address enable(BRAS业务命令参考/DHCPv6)

1.1.85  ip subscriber unclassified-ip domain

ip subscriber unclassified-ip domain命令用来配置接入用户使用的认证域。

undo ip subscriber unclassified-ip domain命令用来恢复缺省情况。

【命令】

ip subscriber unclassified-ip domain domain-name

undo ip subscriber unclassified-ip domain

【缺省情况】

未配置接入用户使用的认证域。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

domain-name:认证使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

该命令用来配置IP报文触发接入的接入用户(包括未知源IP接入用户、IPoE静态接入用户和IPoE子网/接口专线用户)在认证时使用的认证域。

对于未知源IP接入用户支持通过多种方式获取认证域,并按如下优先顺序选择第一个匹配到的认证域进行认证:

(1)     使用与报文指定业务特征相映射的认证域;若该域未创建,则用户上线失败。

(2)     使用ip subscriber unclassified-ip domain命令配置的认证域;若该域未创建,则用户上线失败。

(3)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

IPoE静态接入用户认证域的选择原则,请见ip subscriber session static命令。

IPoE子网专线用户认证域的选择原则,请见ip subscriber subnet-leased命令。

IPoE接口专线用户认证域的选择原则,请见ip subscriber interface-leased命令。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上的接入用户使用的认证域为dm1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber unclassified-ip domain dm1

【相关命令】

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber service-identify

1.1.86  ip subscriber unclassified-ip ip match

ip subscriber unclassified-ip ip match命令用来配置IPoE认证信任的IP地址/地址范围。

undo ip subscriber unclassified-ip ip match命令用来恢复缺省情况。

【命令】

ip subscriber unclassified-ip ip match start-ip-address [ end-ip-address ]

undo ip subscriber unclassified-ip ip match start-ip-address [ end-ip-address ]

【缺省情况】

未配置信任的IP地址/地址范围,即所有IP地址都是被信任的地址。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

start-ip-address:需要IPoE认证的用户的起始IPv4地址。

end-ip-address需要IPoE认证的用户的结束IPv4地址,不能小于start-ip-address。如果不指定本参数或指定的本参数和start-ip-address相同时,则表示只有一个用户IPv4地址,即start-ip-address;否则,表示start-ip-addressend-ip-address之间的IPv4地址均需要IPoE认证。

【使用指导】

如果配置了信任IP地址/地址范围,当设备收到IP报文时按如下原则处理:

·     如果IP报文能够匹配静态IPoE会话,则不论IP报文中的源IP地址是否是信任的IP地址,都直接走IPoE静态用户上线流程。

·     如果IP报文未能匹配静态IPoE会话,则只有当IP报文中的源IP地址是信任的IP地址时才会触发IPoE接入认证,否则丢弃报文。

执行undo ip subscriber unclassified-ip ip match命令取消IPoE认证信任的IP地址/地址范围时,指定的地址/地址范围必须与执行ip subscriber unclassified-ip ip match命令时指定的地址/地址范围保持一致。如果需要取消已配置IPoE认证的IP地址为某一地址范围,则只能同时取消该地址范围内所有IP地址的配置,不能单独取消其中某个IP地址的配置。

多次执行ip subscriber unclassified-ip ip match命令,可以配置多个IPoE认证时信任的IP地址/地址范围。

本功能对未知源IP个人用户和专线的未知源IP子用户生效。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置仅源IP地址在192.168.1.10~192.168.1.100地址范围的IP报文才能触发IPoE认证。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber unclassified-ip ip match 192.168.1.10 192.168.1.100

【相关命令】

·     ip subscriber initiator unclassified-ip enable

1.1.87  ip subscriber unclassified-ip ipv6 match

ip subscriber unclassified-ip ipv6 match命令用来配置IPoE认证信任的IPv6地址/地址范围。

undo ip subscriber unclassified-ip ipv6 match命令用来恢复缺省情况。

【命令】

ip subscriber unclassified-ip ipv6 match start-ipv6-address [ end-ipv6-address ]

undo ip subscriber unclassified-ip ipv6 match start-ipv6-address [ end-ipv6-address ]

【缺省情况】

未配置信任的IPv6地址/地址范围,即所有IPv6全球单播地址都是被信任的地址。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

start-ipv6-address:需要IPoE认证的用户的起始IPv6地址。

end-ipv6-address:需要IPoE认证的用户的结束IPv6地址,不能小于start-ipv6-address。如果不指定本参数或指定的本参数和start-ipv6-address相同时,则表示只有一个用户IPv6地址,即start-ipv6-address;否则,表示start-ipv6-addressend-ipv6-address之间的IPv6地址均需要IPoE认证。

【使用指导】

如果配置了信任IPv6地址/地址范围,当设备收到IPv6报文时按如下原则处理:

·     如果IPv6报文能够匹配静态IPoE会话,则不论IPv6报文中的源IPv6地址是否是信任的IPv6地址,都直接走IPoE静态用户上线流程。

·     如果IPv6报文未能匹配静态IPoE会话,则只有当IPv6报文中的源IPv6地址是信任的IPv6地址时才会触发IPoE接入认证,否则丢弃报文。

执行undo ip subscriber unclassified-ip ipv6 match命令取消IPoE认证信任的IPv6地址/地址范围时,指定的地址/地址范围必须与执行ip subscriber unclassified-ip ipv6 match命令时指定的地址/地址范围保持一致。如果需要取消已配置IPoE认证的IPv6地址为某一地址范围,则只能同时取消该地址范围内所有IPv6地址的配置,不能单独取消其中某个IPv6地址的配置。

多次执行ip subscriber unclassified-ip ipv6 match命令,可以配置多个IPoE认证时信任的IPv6地址/地址范围。

本功能对未知源IP个人用户和专线的未知源IP子用户生效。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置仅源IPv6地址在2001::1:10~2001::1:100地址范围的IPv6报文才能触发IPoE认证。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber unclassified-ip ipv6 match 2001::1:10 2001::1:100

【相关命令】

·     ip subscriber initiator unclassified-ipv6 enable

1.1.88  ip subscriber unclassified-ip max-session

ip subscriber unclassified-ip max-session命令用来配置接口上允许未知源IPv4报文触发创建的IPoE动态会话的最大数目。

undo ip subscriber unclassified-ip max-session命令用来恢复缺省情况。

【命令】

ip subscriber unclassified-ip max-session max-number

undo ip subscriber unclassified-ip max-session

【缺省情况】

未配置接口上允许未知源IPv4报文创建的IPoE动态会话的最大数目。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

max-number:允许未知源IPv4报文触发创建的IPoE会话的最大数目,取值范围为1~64000。

【使用指导】

未知源IPv4报文触发创建的IPoE会话数目达到最大值后,后续未知源IPv4报文不能触发创建IPoE会话。未知源IPv4报文创建的IPoE会话数目包括IPv4单栈会话数目和双栈IPoE会话数目。

在双栈IPoE组网应用中,建议本命令和ip subscriber unclassified-ipv6 max-session命令,二者配置相同的最大会话数。

如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。

本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上允许未知源IPv4报文触发创建的IPoE会话的最大数目为100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber unclassified-ip max-session 100

【相关命令】

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber max-session

1.1.89  ip subscriber unclassified-ip username

ip subscriber unclassified-ip username命令用来配置未知源IP接入用户和静态用户的认证用户名的命名规则。

undo ip subscriber unclassified-ip username命令用来恢复缺省情况。

【命令】

ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separato ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | string string [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *

undo ip subscriber unclassified-ip username

【缺省情况】

未配置未知源IP接入用户和静态用户的认证用户名的命名规则。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

nas-port-id:表示使用用户的NAS-PORT-ID属性作为用户名。

port:表示以用户接入的端口号作为用户名。

second-vlan:表示以认证报文中的内层VLAN作为用户名。

slot:表示以用户接入的槽位号作为用户名

source-ip:表示使用用户报文的源IP地址作为用户名。

address-separator address-separator:IP地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则对于IPv4用户名形如192-168-1-1,若不指定该参数,则用户名为x.x.x.x形式;对于IPv6用户名形如1-2-3;若不指定该参数,则用户名形如1::2:3。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。

source-mac:表示使用用户报文的源MAC地址作为用户名。

address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。

string:表示以指定的字符串作为用户名。

string:用户名字符串,为1~128个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

subslot:表示以用户接入的子槽位号作为用户名。

sysname:表示以用户接入设备的设备名作为用户名。

vlan:表示以认证报文中的外层VLAN作为用户名。

separator separator:当前字段分隔符,用在当前字段后面以连接后面的一个字段,可以为任意可配置的可见字符。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。

【使用指导】

本命令用来配置未知源IP接入用户和静态用户在认证时使用的用户名的命名规则,根据该命名规则获取的用户名必须与认证服务器上配置的用户名保持一致。

在允许的用户名类型范围内,该命令支持任意形式、任意顺序的用户名组合。例如:若配置ip subscriber unclassified-ip username include source-ip source-mac,则用户名为源IP地址字段和源MAC地址字段内容的拼接,且两个字段之间无分隔符。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上的未知源IP接入用户和静态用户使用用户报文的源IP地址作为用户名。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber unclassified-ip username include source-ip

# 配置接口Ten-GigabitEthernet3/1/1上的未知源IP接入用户和静态用户使用接入设备的设备名、接入的槽位号、接入的子槽位号、接入的端口号和认证报文中的外层VLAN信息作为用户名,所选用的字段之间均使用#作为分隔符。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber unclassified-ip username include sysname separator # slot separator # subslot separator # port separator # vlan

【相关命令】

·     ip subscriber initiator unclassified-ip enable

·     ip subscriber initiator unclassified-ipv6 enable

·     ip subscriber password

1.1.90  ip subscriber unclassified-ipv6 max-session

ip subscriber unclassified-ipv6 max-session命令用来配置接口上允许未知源IPv6报文触发创建的IPoE动态会话的最大数目。

undo ip subscriber unclassified-ipv6 max-session命令用来恢复缺省情况。

【命令】

ip subscriber unclassified-ipv6 max-session max-number

undo ip subscriber unclassified-ipv6 max-session

【缺省情况】

未配置接口上允许未知源IPv6报文创建的IPoE动态会话的最大数目。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

max-number :允许未知源IPv6报文触发创建的IPoE会话的最大数目,取值范围为1~64000。

【使用指导】

未知源IPv6报文触发创建的IPoE会话数目达到最大值后,后续未知源IPv6报文不能触发创建IPoE会话。未知源IPv6报文创建的IPoE会话数目包括IPv6单栈会话数目和双栈会话数目。

在双栈IPoE组网应用中,建议本命令和ip subscriber unclassified-ip max-session命令,二者配置相同的最大会话数。

如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。

本命令与ip subscriber max-session同时配置时,两者可以同时生效,由于控制的角度不同,因此会话数会收到双重限制,即仅在两者均未达到最大会话数限制时才允许创建新的会话。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上允许未知源IPv6报文触发创建的IPoE会话的最大数目为100。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber unclassified-ipv6 max-session 100

【相关命令】

·     ip subscriber initiator unclassified-ipv6 enable

·     ip subscriber max-session

1.1.91  ip subscriber username

ip subscriber username命令用来配置IPoE个人接入用户的认证用户名。

undo ip subscriber username命令用来恢复缺省情况。

【命令】

ip subscriber username { mac-address [ address-separator address-separator ] [ lowercase | uppercase ] | string string }

undo ip subscriber username

【缺省情况】

未配置IPoE个人接入用户的认证用户名。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

mac-address:表示以MAC地址作为用户名,优先使用用户MAC地址,如果用户MAC地址无法获取,则使用报文源MAC地址。缺省情况下,MAC地址中的字母为小写且不带连字符。

address-separator address-separator:MAC地址分隔符,可以为任意可配置的可见字符。若指定了分隔符,例如“-”,则用户名形式如xxxx-xxxx-xxxx;若不指定该参数,则用户名为xxxxxxxxxxxx形式。建议不要使用@作为分隔符,避免携带@字符的用户名在AAA服务器端不能被正确解析。

lowercase:表示MAC地址中的字母为小写。

uppercase:表示MAC地址中的字母为大写。

string string:表示以指定的字符串作为用户名,string表示用户名字符串,为1~128个字符的字符串,区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

当接口上同时配置多种个人会话的触发方式时,如果管理员想避免为每种触发方式单独配置用户名带来的繁琐操作,可通过本命令一次性为当前接口上所有个人用户配置统一的认证用户名。

绑定认证方式下,个人接入用户按如下先后顺序选择认证用户名:

(1)     使用接入用户专有命令指定的用户名。

¡     对于DHCP接入用户,使用ip subscriber dhcp username命令获取到的用户名作为认证用户名。

¡     对于ND RS接入用户,使用ip subscriber ndrs username获取到的用户名作为认证用户名。

¡     对于未知源IP接入用户,使用ip subscriber unclassified-ip username获取到的用户名作为认证用户名。

¡     对于静态接入用户:

-     优先使用ip subscriber session static命令中username参数指定的用户名作为认证用户名;(仅适用于全局静态接入用户)

-     其次使用ip subscriber unclassified-ip username命令获取到的用户名作为认证用户名。

(2)     使用ip subscriber username命令配置的用户名作为认证用户名。

(3)     使用缺省的用户名。

¡     对于DHCP接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。

¡     对于ND RS接入用户,使用报文的源MAC地址作为认证用户名。

¡     对于未知源IP接入用户和静态接入用户,使用报文的源IP地址作为认证用户名。

Web认证方式和Web MAC认证方式下,在认证前域阶段,个人接入用户认证用户名的选择原则和绑定模式下认证用户名选择原则相同。

Web认证方式下,在Web认证阶段,个人接入用户按如下先后顺序选择认证用户名:

(1)     使用用户登录时输入的用户名作为认证用户名。

(2)     使用ip subscriber username命令配置的用户名作为认证用户名。

(3)     使用缺省用户名。

¡     对于DHCP个人接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。

¡     对于ND RS个人接入用户,使用报文源MAC地址作为认证用户名。

¡     对于静态接入用户,使用报文源IP地址作为认证用户名。

Web MAC认证方式下,在Web认证阶段,个人接入用户按如下先后顺序选择认证用户名:

(1)     使用ip subscriber username命令配置的用户名作为认证用户名。

(2)     使用缺省用户名。

¡     对于DHCP个人接入用户,使用用户MAC地址作为认证用户名,如果用户MAC地址无法获取,则使用报文源MAC地址作为认证用户名。

¡     对于ND RS个人接入用户,使用报文源MAC地址作为认证用户名。

¡     对于静态接入用户,使用报文源IP地址作为认证用户名。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置IPoE个人接入用户的认证用户名为MAC地址。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber username mac-address

1.1.92  ip subscriber user-detect ip

ip subscriber user-detect ip命令用来开启IPv4协议栈接入用户在线探测功能,并配置其探测方式。

undo ip subscriber user-detect ip命令用来关闭IPv4协议栈接入用户在线探测功能。

【命令】

ip subscriber user-detect ip { arp | icmp } retry retries interval interval [ no-datacheck ]

undo ip subscriber user-detect ip

【缺省情况】

IPv4协议栈接入用户在线探测功能处于开启状态:

·     对于专线子用户,在一个120秒的探测时间间隔内,无论用户上行流量是否有更新,探测时间间隔超时后设备都会发送ARP请求报文对用户进行在线探测,探测失败后允许重复尝试5次;

·     对于其它用户,在一个120秒的探测时间间隔内,如果用户上行流量有更新则设备不发送探测报文,否则,发送ARP请求报文对IPv4协议栈接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

arp:表示使用ARP请求报文作为探测报文。

icmp:表示使用ICMP请求报文作为探测报文。

retry retries:探测失败后允许重复尝试的最大次数,取值范围为1~255。例如,retries值为2表示连续三次失败就认为用户不在线。

interval interval:探测的时间间隔,取值范围为1~32767,单位为秒。

no-datacheck:表示在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后设备都会发送探测报文对用户进行在线探测。如果未指定本参数,则表示在一个探测的时间间隔内,如果用户上行流量有更新,则interval超时后下一个周期不发送探测报文,否则发送探测报文。需要注意的是,双协议栈用户统一计费时,以IPv4上行流量和IPv6上行流量统一汇总后的总上行流量作为上行流量是否有更新的判断依据。对于专线子用户,本参数配置后不生效。

【使用指导】

开启了IPv4协议栈接入用户在线探测功能的情况下,接口上的IPv4协议栈接入用户上线后设备将定时发送探测报文,如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。

若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户报文),则认为此用户不在线,停止发送探测报文并删除用户;若设备在探测中收到用户的报文,则认为用户在线,重置探测失败计数器并开始下一次探测。

对于与接口在同一网段内的IPv4协议栈接入用户,可使用ARP请求或ICMP请求报文对用户进行探测;对于与接口不在同一网段内的IPv4协议栈接入用户,应使用ICMP请求报文对用户进行探测。

接口上不可同时启用两种方式对IPv4协议栈接入用户进行探测。

本探测功能中的IPv4协议栈包括单IPv4协议栈和双栈中的IPv4协议栈,其中:

·     对于单IPv4协议栈,目前仅支持对个人接入用户和二层接入模式下的专线子用户进行探测。

·     对于双栈,目前仅支持对双栈IPoE个人接入用户进行探测,并且双栈用户的两个协议栈是分开进行探测的,其中一个协议栈探测失败下线不会影响另一个协议栈的在线状态。

【举例】

# 开启接口Ten-GigabitEthernet3/1/1上使用ARP请求报文对IPv4协议栈接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为100秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber user-detect ip arp retry 5 interval 100

【相关命令】

·     ip subscriber enable

1.1.93  ip subscriber user-detect ipv6

ip subscriber user-detect ipv6命令用来开启IPv6协议栈接入用户在线探测功能,并配置其探测方式。

undo ip subscriber user-detect ipv6命令用来关闭IPv6协议栈接入用户在线探测功能。

【命令】

ip subscriber user-detect ipv6 { icmp | nd } retry retries interval interval [ no-datacheck ]

undo ip subscriber user-detect ipv6

【缺省情况】

IPv6协议栈接入用户在线探测功能处于开启状态:

·     对于专线子用户,在一个120秒的探测时间间隔内,无论用户上行流量是否有更新,探测时间间隔超时后设备都会发送ND NS(Neighbor Solicitation,邻居请求消息)报文对用户进行在线探测,探测失败后允许重复尝试5次;

·     对于其它用户,在一个120秒的探测时间间隔内,如果用户上行流量有更新则设备不发送探测报文,否则,发送ND NS报文对IPv6协议栈接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

icmp:表示使用ICMPv6请求报文作为探测报文。采用该方式时,必须在接入接口上配置全球单播地址,否则会导致探测失败。

nd:表示使用ND NS报文作为探测报文。

retry retries:探测失败后允许重复尝试的最大次数,取值范围为1~255。例如,retries值为2表示连续三次失败就认为用户不在线。

interval interval:探测的时间间隔,取值范围为1~32767,单位为秒。

no-datacheck:表示在一个探测的时间间隔内,无论用户上行流量是否有更新,interval超时后设备都会发送探测报文对用户进行在线探测。如果未指定本参数,则表示在一个探测的时间间隔内,如果用户上行流量有更新,则interval超时后下一个周期不发送探测报文,否则发送探测报文。需要注意的是,双协议栈用户统一计费时,以IPv4上行流量和IPv6上行流量统一汇总后的总上行流量作为上行流量是否有更新的判断依据。对于专线子用户,本参数配置后不生效。

【使用指导】

开启了IPv6协议栈接入用户在线探测功能的情况下,接口上的IPv6协议栈接入用户上线后将定时发送探测报文,如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。

若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户报文),则认为此用户不在线,停止发送探测报文并删除用户;若设备在探测中收到用户的报文,则认为用户在线,重置探测失败计数器并开始下一次探测。

对于与接口在同一网段内的IPv6协议栈接入用户,可使用IPv6 ND NS或ICMPv6请求报文对用户进行探测;对于与接口不在同一网段内的IPv6协议栈接入用户,应使用ICMPv6请求报文对用户进行探测。

接口上不可同时启用两种方式对IPv6协议栈接入用户进行探测。

本探测功能中的IPv6协议栈包括单IPv6协议栈和双栈中的IPv6协议栈,其中:

·     对于单IPv6协议栈,目前仅支持对个人接入用户和二层接入模式下的专线子用户进行探测。

·     对于双栈,目前仅支持对双栈IPoE个人接入用户进行探测,并且双栈用户的两个协议栈是分开进行探测的,其中一个协议栈探测失败下线不会影响另一个协议栈的在线状态。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1上使用IPv6 ND NS报文对IPv6协议栈接入用户进行在线检测,探测失败后允许重复尝试3次,探测的时间间隔为50秒。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber user-detect ipv6 nd retry 3 interval 50

【相关命令】

·     ip subscriber enable

1.1.94  ip subscriber vlan

ip subscriber vlan命令用来配置接入用户的IP报文的内/外层VLAN值与认证域的映射关系。

undo ip subscriber vlan命令用来删除指定内/外层VLAN值与认证域的映射关系。

【命令】

ip subscriber vlan vlan-list domain domain-name

undo ip subscriber vlan vlan-list

【缺省情况】

未配置IPv4接入用户的IP报文的内/外层VLAN与认证域的映射关系。

【视图】

三层以太网子接口视图

三层聚合子接口视图

L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

vlan-list:VLAN列表,表示一个或多个VLAN,表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>,其中,vlan-id为指定VLAN的编号,取值范围为1~4094。&<1-10>表示前面的参数最多可以输入10次。

domain domain-name:表示与指定的VLAN范围相关联的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、““”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

本命令用来配置指定VLAN范围内接入用户(包括DHCP接入用户、未知源IP接入用户和IPoE静态接入用户)进行认证时使用的认证域,通过指定的认证域进行认证、授权、计费。

DHCP接入用户认证域的选择原则,请参见ip subscriber dhcp domain命令。

未知源IP接入用户认证域的选择原则,请参见ip subscriber unclassified-ip domain命令。

IPoE静态接入用户认证域的选择原则,请参见ip subscriber session static命令。

IPoE子网专线用户认证域的选择原则,请见ip subscriber subnet-leased命令。

IPoE接口专线用户认证域的选择原则,请见ip subscriber interface-leased命令。

IPoE L2VPN专线用户认证域的选择原则,请见ip subscriber l2vpn-leased命令。

必须通过ip subscriber service-identify { second-vlan | vlan }命令配置使用相应业务识别方式,ip subscriber vlan命令配置后才生效。

【举例】

# 在子接口Ten-GigabitEthernet3/1/1.100上配置内层VLAN ID范围为2到100的接入用户认证使用的认证域为vlandm。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1.100

[Sysname-Ten-GigabitEthernet3/1/1.100] ip subscriber service-identify second-vlan

[Sysname-Ten-GigabitEthernet3/1/1.100] ip subscriber vlan 2 to 100 domain vlandm

【相关命令】

·     ip subscriber service-identify

1.1.95  ip subscriber web-auth domain

ip subscriber web-auth domain命令用来配置Web认证域。

undo ip subscriber web-auth domain命令用来恢复缺省情况。

【命令】

ip subscriber web-auth domain domain-name

undo ip subscriber web-auth domain

【缺省情况】

未配置Web认证域。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP认证域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

采用Web认证方式时,如果配置了多种认证域,在Web认证阶段,接入用户按如下先后顺序选择认证域:

(1)     使用用户名中携带的域;若该域未创建,则用户上线失败。

(2)     使用ip subscriber web-auth domain命令指定的认证域;若该域未创建,则用户上线失败。

(3)     使用AAA模块选择的认证域,具体请参见“BRAS业务配置指导”中的“AAA”。

采用Web MAC认证方式时,在Web认证阶段,多种认证域的选择原则请参见ip subscriber mac-auth domain命令。

Web认证域仅适用于采用Web认证方式和Web MAC认证方式的个人接入用户,在Web认证阶段使用。

修改Web认证域域名或域中的配置仅对新接入用户生效,对当前已通过该认证域上线的用户无影响。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置Web认证域为dm1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber web-auth domain dm1

【相关命令】

·     ip subscriber authentication-method

·     ip subscriber mac-auth domain

1.1.96  ip subscriber web-redhcp enable

ip subscriber web-redhcp enable命令用来开启IPoE Web二次地址分配功能。

undo ip subscriber web-redhcp enable命令用来关闭IPoE Web二次地址分配功能。

【命令】

ip subscriber web-redhcp enable

undo ip subscriber web-redhcp enable

【缺省情况】

IPoE Web二次地址分配功能处于关闭状态。

【视图】

三层以太网接口视图/三层以太网子接口视图

三层聚合接口视图/三层聚合子接口视图

L3VE接口视图/L3VE子接口视图

【缺省用户角色】

network-admin

【使用指导】

为了解决IP地址规划和分配问题,可以开启IPoE Web二次地址分配功能。开启IPoE Web二次地址分配功能后,设备通过仅为采用MAC无感知流程上线的用户分配固定网段的公网IP地址,实现对用户上网网段的限定和有效控制。

IPoE Web二次地址分配功能,是指DHCP用户首次上线时,在前域阶段上线设备为用户分配一个临时IP地址,在Web阶段上线时,由AAA服务器为用户添加用户记录;当该用户第二次上线时在前域阶段走MAC地址无感知流程上线,设备重新为其分配一个公网IP地址。此后,用户停留在前域。

仅在IPoE二层接入模式下支持本功能。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启IPoE Web二次地址分配功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ip subscriber web-redhcp enable

【相关命令】

·     ip subscriber authentication-method web

1.1.97  reset ip subscriber abnormal-logout

reset ip subscriber abnormal-logout命令用来清除IPoE异常下线用户的表项信息。

【命令】

reset ip subscriber abnormal-logout

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

【使用指导】

本命令用来清除IPoE异常下线用户的表项信息,如果不指定条件,则表示清除所有异常下线用户的表项信息。

【举例】

# 清除所有IPoE异常下线用户的表项信息。

<Sysname> reset ip subscriber abnormal-logout

【相关命令】

·     display ip subscriber abnormal-logout

1.1.98  reset ip subscriber chasten user auth-failed

reset ip subscriber chasten user auth-failed命令用来清除有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。

【命令】

reset ip subscriber chasten user auth-failed [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:清除指定接口上用户的信息。interface-type interface-number表示接口类型和接口编号。

ip ipv4-address清除指定IPv4地址用户的信息,ipv4-address表示用户的IPv4地址。

ipv6 ipv6-address:清除指定IPv6地址用户的信息,ipv6-address表示用户的IPv6地址。

mac-address mac-address:清除指定MAC地址用户的信息,mac-address表示用户的MAC地址,形式为H-H-H。

【使用指导】

缺省情况下,如果有配置静默功能,IPoE接入用户会因为认证失败生成认证失败记录,在用户未达到静默条件时,用户认证失败记录会自动老化。

通过执行本命令可以手动清除IPoE用户的认证失败记录,之后如果用户继续认证失败,会重新生成认证失败记录信息并重新计数。

如果未指定任何参数,则表示清除所有的有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。

【举例】

# 清除所有的有认证失败记录但尚未达到静默条件的IPoE个人接入用户信息。

<Sysname> reset ip subscriber chasten user auth-failed

【相关命令】

·     ip subscriber authentication chasten

·     display ip subscriber chasten user auth-failed

1.1.99  reset ip subscriber chasten user quiet

reset ip subscriber chasten user quiet命令用来清除被静默IPoE用户的信息。

【命令】

reset ip subscriber chasten user quiet [ interface interface-type interface-number ] [ ip ipv4-address | ipv6 ipv6-address | mac mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:清除指定接口上用户的信息。interface-type interface-number表示接口类型和接口编号。

ip ipv4-address:清除指定IPv4地址用户的信息,ipv4-address表示用户的IPv4地址。

ipv6 ipv6-address:清除指定IPv6地址用户的信息,ipv6-address表示用户的IPv6地址。

mac-address mac-address:清除MAC地址用户的信息,mac-address表示用户的MAC地址,形式为H-H-H。

【使用指导】

缺省情况下,用户一旦达到静默条件被置于静默状态,则只能等待静默剩余老化时间超时,才能解除静默,在静默周期内设备直接丢弃来自此IPoE用户的报文。

通过执行本命令可以手动解除静默用户的静默状态,用户静默状态解除后,如果设备再次收到该IPoE用户的报文,则依然可以对其进行认证处理。

如果未指定任何参数,则表示清除所有被静默IPoE用户的信息。

【举例】

# 清除所有被静默IPoE用户的信息。

<Sysname> reset ip subscriber chasten user quiet

【相关命令】

·     ip subscriber timer quiet

·     display ip subscriber chasten user quiet

1.1.100  reset ip subscriber http-defense destination-ip

reset ip subscriber http-defense destination-ip命令用来清除基于目的IP地址的IPoE HTTP/HTTPS攻击防范表项信息。

【命令】

(独立运行模式)

reset ip subscriber http-defense destination-ip [ slot slot-number ]  [ ip ipv4-address | ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ]

(IRF模式)

reset ip subscriber http-defense destination-ip [ chassis chassis-number slot slot-number ] [ ip ipv4-address | ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)

ip ipv4-address:指定IPv4地址。

ipv6 ipv6-address:指定IPv6地址。

vpn-instance vpn-instance-name指定VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示IPoE静态个人用户位于公网中。

【使用指导】

针对下列任一场景需求,均可执行本命令:

·     希望立即清除部分或所有目的IP地址的防攻击统计表项,而非等到防攻击统计表项超时后自动老化。

·     希望立即解除对去往部分或所有目的IP地址的HTTP/HTTPS报文的阻断,而非等到阻断表项超时后自动老化。

执行本命令手动清除目的IP地址的防攻击统计表项和阻断表项后,如果设备继续收到去往该目的IP地址的HTTP/HTTPS报文,设备会重新生成相应的防攻击统计表项并重新计数,并在达到阻断条件时生成相应的阻断表项用于阻断去往该目的IP地址的HTTP/HTTPS报文。

执行本命令时,需要注意:

·     如果指定了ip ipv4-addressipv6 ipv6-address参数,未指定vpn-instance vpn-instance-name参数,则表示清除公网和所有VPN实例内定IP对应的防攻击统计表项和阻断表项。

·     如果未指定任何参数,则表示清除公网和所有VPN实例内的防攻击统计表项和阻断表项。

【举例】

# 清除IPoE HTTP/HTTPS防攻击中生成的所有防攻击统计表项和阻断表项。

<Sysname> reset ip subscriber http-defense destination-ip

【相关命令】

·     display ip subscriber http-defense unblocked-destination-ip

·     display ip subscriber http-defense blocked-destination-ip

1.1.101  static-user interface-list

static-user interface-list命令用来创建静态用户接口列表,并进入静态用户接口列表视图。如果指定的静态用户接口列表已经存在,则直接进入静态用户接口列表视图。

undo static-user interface-list命令用来删除指定的静态用户接口列表。

【命令】

static-user interface-list list-id

undo static-user interface-list list-id

【缺省情况】

不存在静态用户接口列表。

【视图】

系统视图

【缺省用户角色】

network-admin

 【参数】

list-id:静态用户接口列表的编号,取值范围为1~65535。

【使用指导】

当同一地址段的多个IPoE静态用户,需要从指定的多个接入接口进行上线时,需要先执行static-user interface-list命令配置静态用户接口列表,然后再执行命令add interface命令将那些允许静态用户接入的接口加入到静态用户接口列表中。

【举例】

# 创建编号为2的静态用户接口列表,并进入静态用户接口列表视图。

<Sysname> system-view

[Sysname] static-user interface-list 2

[Sysname-static-interface-list2]

【相关命令】

·     display static-user interface-list

·     add interface

1.2  Portal配置命令

说明: 说明

本设备不支持Portal接入方式,本节所述命令仅用于IPoE Web认证场景。

 

1.2.1  aging-time

aging-time命令用来配置MAC-Trigger表项的老化时间。

undo aging-time命令用来恢复缺省情况。

【命令】

aging-time seconds

undo aging-time

【缺省情况】

MAC-Trigger表项老化时间为300秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

seconds:MAC-Trigger表项的老化时间,取值范围为60~7200,单位为秒。

【使用指导】

开启了基于MAC地址的快速认证功能的设备,在检测到用户首次上线的流量后,会生成MAC-Trigger表项,用于记录用户的MAC地址、接口索引、VLAN ID、流量、定时器等信息。

当某条MAC-Trigger表项达到设定的老化时间时,该表项将被删除,设备再次检测到同一用户的流量时,会为其重新建立MAC-Trigger表项。

【举例】

# 指定MAC-Trigger表项老化时间为300秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] aging-time 300

【相关命令】

·     display mac-trigger-server

1.2.2  authentication-timeout

authentication-timeout命令用来配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间。

undo authentication-timeout命令用来恢复缺省情况。

【命令】

authentication-timeout minutes

undo authentication-timeout

【缺省情况】

设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为3分钟。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

minutes:设备等待Portal认证完成的超时时间,取值范围为1~15,单位为分钟。

【使用指导】

设备在收到MAC绑定服务器的查询响应消息后,无论查询结果如何,都会启动定时器来记录用户进行Portal认证的时间。定时器超时后,设备将立即删除该用户的MAC-Trigger表项。

【举例】

# 配置设备在收到MAC绑定服务器的查询响应消息后,等待Portal认证完成的超时时间为10分钟。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] authentication-timeout 10

【相关命令】

·     display mac-trigger-server

1.2.3  binding-retry

binding-retry命令用来配置设备向MAC绑定服务器发起MAC查询的最大尝试次数和时间间隔。

undo binding-retry命令用来恢复缺省情况。

【命令】

binding-retry { retries | interval interval } *

undo binding-retry

【缺省情况】

设备向MAC绑定服务器发起MAC地址查询的最大尝试次数为3次,查询时间间隔为1秒。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

retries:最大尝试次数,取值范围为1~10。

interval interval:查询时间间隔,取值范围为1~60,单位为秒。

【使用指导】

如果设备向MAC绑定服务器发起查询的次数达到最大尝试次数后,仍未收到服务器的响应,则设备认为服务器不可达。设备将对用户进行普通Portal认证,即需要用户在认证页面中输入用户名、密码来进行认证。

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置设备向MAC绑定服务器mts发起查询的最大尝试次数为3次,查询时间间隔为60秒。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] binding-retry 3 interval 60

【相关命令】

·     display mac-trigger-server

1.2.4  default-logon-page

default-logon-page命令用来配置本地Portal Web服务提供的缺省认证页面文件。

undo default-logon-page命令用来恢复缺省情况。

【命令】

default-logon-page file-name

undo default-logon-page

【缺省情况】

本地Portal Web服务未提供缺省认证页面文件。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

file-name:表示缺省认证页面文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。

【使用指导】

指定的缺省认证页面文件由用户编辑,并将其打包成zip格式文件后上传到设备存储介质的根目录下。配置default-logon-page命令后设备会将指定的压缩文件进行解压缩,并设置为本地Portal Web服务为用户进行Portal认证提供的缺省认证页面文件。如果没有配置default-logon-page命令,则设备中就不存在为用户进行Portal认证的缺省认证页面文件,进而,用户无法进行正常的本地Portal认证。

【举例】

# 配置本地Portal Web 服务器提供的缺省认证页面文件为pagefile1.zip。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] default-logon-page pagefile1.zip

【相关命令】

·     portal local-web-server

1.2.5  display portal ip-subscriber message statistics

display portal ip-subscriber message statistics命令用来显示Portal与IPoE的交互报文统计信息。

【命令】

display portal ip-subscriber message statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

本命令用来统计IPoE Web认证时,Portal和IPoE之间交互的消息。

【举例】

# 显示Portal与IPoE的交互报文统计信息。

<Sysname> display portal ip-subscriber message statistics

  Message                                 Total    Error    Duplicate

  Sent logon request                      0        0        0

  Received logon success                  0        0        0

  Received logon failure                  0        0        0

  Received EAP authentication continue    0        0        0

  Sent logoff request                     0        0        0

  Received logoff response                0        0        0

  Received forced logoff request          0        0        0

  Sent smooth user start                  0        0        0

  Sent smooth user end                    0        0        0

  Sent smooth user message                0        0        0

  Sent mac-trigger enable                 0        0        0

  Sent mac-trigger disable                0        0        0

  Received binding request                0        0        0

  Sent binding response                   0        0        0

  Sent nobinding response                 0        0        0

  Sent processing bind response           0        0        0

  Sent delete mac-trigger entry           0        0        0

  Received mac-trigger user online        0        0        0

  Received mac-trigger user offline       0        0        0

表1-19 display portal ip-subscriber message statistics命令显示信息描述表

字段

描述

Message

消息的名称

Total

消息的总数

Error

错误的消息数目

Duplicate

重复的消息数目

Sent logon request

发送的上线请求消息数目

Received logon success

收到的上线成功消息数目

Received logon failure

收到的上线失败消息数目

Received EAP authentication continue

收到的EAP认证持续消息数目

Sent logoff request

发送的下线请求消息数目

Received logoff response

收到的下线回应消息数目

Received forced logoff request

收到的强制下线请求消息数目

Sent smooth user start

发送的用户信息平滑开始消息数目

Sent smooth user end

发送的用户信息平滑结束消息数目

Sent smooth user message

发送的用户信息平滑消息数目

Sent mac-trigger enable

发送接口上应用MAC绑定服务器的事件消息

Sent mac-trigger disable

发送接口上取消应用MAC绑定服务器的事件消息

Received binding request

收到的绑定查询消息数目

Sent binding response

发送的已绑定回应消息数目

Sent nobinding response

发送的未绑定回应消息数目

Sent processing bind response

发送的正在处理绑定回应消息数目

Sent delete mac-trigger entry

发送的删除MAC-Trigger表项消息数目

Received mac-trigger user online

收到的MAC-Trigger认证用户上线消息数目

Received mac-trigger user offline

收到的MAC-Trigger认证用户下线消息数目

 

【相关命令】

·     reset portal ip-subscriber message statistics

1.2.6  display portal mac-trigger entry

display portal mac-trigger entry命令用来显示用户的MAC-Trigger表项信息。

【命令】

display portal mac-trigger entry [ ip ipv4-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ip ipv4-address:显示指定IPv4用户的MAC-Trigger表项信息。ipv4-address表示指定用户的IPv4地址。若未指定该参数,则显示当前所有用户的MAC-Trigger表项信息。

【举例】

# 显示当前所有用户的MAC-Trigger表项信息。

<Sysname> display portal mac-trigger entry

IP       MAC ADDR         L3IF    L2IF                   SVLAN CVLAN Status   Source

2.2.2.2  0001-0001-0001   vlan2   XGE3/1/2                2     --    Bound    Portal

表1-20 display portal mac-trigger entry命令显示信息描述表

字段

描述

IP

接入用户的IP地址

MAC ADDR

接入用户的MAC地址

L3IF

用户接入的三层接口

L2IF

用户接入的二层端口

用户接入的接口为三层接口时,该处显示为“--”

SVLAN

Portal用户报文的外层VLAN ID

CVLAN

Portal用户报文的内层VLAN ID

Status

用户的MAC地址和认证信息的绑定状态,包括以下取值:

·     Auth-free:MAC地址免认证通行状态

·     Querying:MAC地址查询等待状态

·     Not bound:MAC地址未绑定状态

·     Bound:MAC地址已绑定状态

·     Deleting:MAC地址无效状态,对应的MAC-Trigger表项正在被删除

Source

用户接入的认证方式,包括以下取值:

·     Portal

·     IPoE

 

1.2.7  display portal mac-trigger-server

display portal mac-trigger-server命令用来显示MAC绑定服务器信息。

【命令】

display portal mac-trigger-server { all | name server-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all:显示所有MAC绑定服务器信息。

name server-name:MAC绑定服务器的名称,server-name为1~32个字符的字符串,区分大小写。

【举例】

# 显示全部MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server all

Portal mac trigger server name: ms1

  Version                    : 2.0

  Server type                : CMCC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : Not configured

  Aging time                 : 120 seconds

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

Portal mac trigger server name: mts

  Version                    : 1.0

  Server type                : IMC

  IP                         : 4.4.4.2

  Port                       : 50100

  VPN instance               : Not configured

  Aging time                 : 300 seconds

  NAS-Port-Type              : Not configured

  Binding retry times        : 3

  Binding retry interval     : 1 seconds

  Authentication timeout     : 3 minutes

# 显示名字为ms1的MAC绑定服务器的信息。

<Sysname> display portal mac-trigger-server name ms1

Portal mac trigger server name: ms1

  Version                    : 2.0

  Server type                : CMCC

  IP                         : 10.1.1.1

  Port                       : 100

  VPN instance               : Not configured

  Aging time                 : 120 seconds

  NAS-Port-Type              : 255

  Binding retry times        : 5

  Binding retry interval     : 2 seconds

  Authentication timeout     : 5 minutes

表1-21 display portal mac-trigger-server命令显示信息描述表

字段

描述

Portal mac trigger server name

MAC绑定服务器的名称

Version

Portal协议报文的版本,取值包括:

·     1.0:版本1

·     2.0:版本2

·     3.0:版本3

Server type

MAC绑定服务器的服务类型,取值包括:

·     CMCC:CMCC Portal服务器

·     iMC:iMC Portal服务器

IP

MAC绑定服务器的IP地址

Port

设备向MAC绑定服务器发送MAC查询报文时使用的UDP端口号

VPN instance

MAC绑定服务器所属的VPN实例

Aging time

MAC-Trigger表项老化时间,单位为秒

NAS-Port-Type

发往RADIUS服务器的RADIUS请求报文中的NAS-Port-Type属性值

Binding retry times

设备向MAC绑定服务器发起MAC查询的最大尝试次数

Binding retry interval

设备向MAC绑定服务器发起MAC查询的时间间隔

Authentication timeout

设备在收到MAC绑定服务器的查询响应消息后,等待用户完成Portal认证的超时时间

 

1.2.8  display portal mac-trigger-server packet statistics

display portal mac-trigger-server packet statistics命令用来显示设备与MAC绑定服务器的交互报文统计信息。

【命令】

display portal mac-trigger-server packet statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示设备与MAC绑定服务器的交互报文统计信息。

<Sysname> display portal mac-trigger-server packet statistics

Packets sent:

  User online notifications:                       0

  User offline notifications:                      0

  MAC binding queries:                             0

    Retries:                                       0

    MaxRetryCount reached:                         0

    Sending failures:                              0

Packets received:

  MAC binding responses:                           0

    Binding:                                       0

    Nobinding:                                     0

    Checksum failures:                             0

表1-22 display portal mac-trigger-server packet statistics命令显示信息描述表

字段

描述

Packets sent

发送给MAC绑定服务器的报文数目

User online notifications

发送用户上线通知报文次数

User offline notifications

发送用户下线通知报文次数

MAC binding queries

发送的绑定查询报文总数

Retries

重传报文次数

MaxRetryCount reached

达到最大重传次数的次数

Sending failures

发送失败的报文数

Packets received

收到MAC绑定服务器回应的报文数目

MAC binding responses

收到的绑定回应报文总数

Binding

回应为已绑定的报文数

Nobinding

回应为未绑定的报文数

Checksum failures

校验失败报文数

 

【相关命令】

·     display portal packet statistics

·     reset portal mac-trigger-server packet statistics

1.2.9  display portal packet statistics

display portal packet statistics命令用来显示Portal认证服务器的报文统计信息。

【命令】

display portal packet statistics [ server server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。若不指定本参数,则依次显示所有Portal认证服务器的报文统计信息。

【使用指导】

此命令显示的报文统计信息包括对Portal认证服务器发送的报文的检查统计信息以及设备与Portal认证服务器交互报文的统计信息。

【举例】

# 显示名称为pts的Portal认证服务器的报文统计信息。

<Sysname> display portal packet statistics server pts

Portal server :  pts

 Invalid packets: 0

 Pkt-Type                            Total    Drops    Errors

 REQ_CHALLENGE                       3        0        0

 ACK_CHALLENGE                       3        0        0

 REQ_AUTH                            3        0        0

 ACK_AUTH                            3        0        0

 REQ_LOGOUT                          1        0        0

 ACK_LOGOUT                          1        0        0

 AFF_ACK_AUTH                        3        0        0

 NTF_LOGOUT                          1        0        0

 REQ_INFO                            6        0        0

 ACK_INFO                            6        0        0

 NTF_USERDISCOVER                    0        0        0

 NTF_USERIPCHANGE                    0        0        0

 AFF_NTF_USERIPCHAN                  0        0        0

 ACK_NTF_LOGOUT                      1        0        0

 NTF_HEARTBEAT                       0        0        0

 NTF_USER_HEARTBEAT                  2        0        0

 ACK_NTF_USER_HEARTBEAT              0        0        0

 NTF_CHALLENGE                       0        0        0

 NTF_USER_NOTIFY                     0        0        0

 AFF_NTF_USER_NOTIFY                 0        0        0

表1-23 display portal packet statistics命令显示信息描述表

字段

描述

Invalid packets

无效报文数

Portal server

Portal认证服务器名称

Pkt-Type

报文的名称

Total

报文的总数

Drops

丢弃报文数

Errors

携带错误信息的报文数

REQ_CHALLENGE

Portal认证服务器向接入设备发送的challenge请求报文

ACK_CHALLENGE

接入设备对Portal认证服务器challenge请求的响应报文

REQ_AUTH

Portal认证服务器向接入设备发送的请求认证报文

ACK_AUTH

接入设备对Portal认证服务器认证请求的响应报文

REQ_LOGOUT

Portal认证服务器向接入设备发送的下线请求报文

ACK_LOGOUT

接入设备对Portal认证服务器下线请求的响应报文

AFF_ACK_AUTH

Portal认证服务器收到认证成功响应报文后向接入设备发送的确认报文

NTF_LOGOUT

接入设备发送给Portal认证服务器,用户被强制下线的通知报文

REQ_INFO

信息询问报文

ACK_INFO

信息询问的响应报文

NTF_USERDISCOVER

Portal认证服务器向接入设备发送的发现新用户要求上线的通知报文

NTF_USERIPCHANGE

接入设备向Portal认证服务器发送的通知更改某个用户IP地址的通知报文

AFF_NTF_USERIPCHAN

Portal认证服务器通知接入设备对用户表项的IP切换已成功报文

ACK_NTF_LOGOUT

Portal认证服务器对强制下线通知的响应报文

NTF_HEARTBEAT

Portal认证服务器周期性向接入设备发送的服务器心跳报文

NTF_USER_HEARTBEAT

接入设备收到的从Portal认证服务器发送的用户同步报文

ACK_NTF_USER_HEARTBEAT

接入设备向Portal认证服务器回应的用户同步响应报文

NTF_CHALLENGE

接入设备向Portal认证服务器发送的challenge请求报文

NTF_USER_NOTIFY

接入设备向Portal认证服务器发送的用户消息通知报文

AFF_NTF_USER_NOTIFY

Portal认证服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文

 

【相关命令】

·     reset portal packet statistics

1.2.10  display portal server

display portal server命令用来显示Portal认证服务器信息。

【命令】

display portal server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server-name,则显示所有Portal认证服务器信息。

【举例】

# 显示Portal认证服务器pts的信息。

<Sysname> display portal server pts

Portal server: pts

  Type                  : IMC

  IP                    : 192.168.0.111

  VPN instance          : Not configured

  Port                  : 50100

  Server detection      : Timeout 60s  Action: log

  User synchronization  : Timeout 200s

  Status                : Up

  Exclude-attribute     : Not configured

  Logout notification   : Retry 3 interval 5s

表1-24 display portal server命令显示信息描述表

字段

描述

Type

Portal认证服务器类型,其取值如下:

·     CMCC:符合中国移动标准规范的服务器

·     iMC:符合iMC标准规范的服务器

Portal server

Portal认证服务器名称

IP

Portal认证服务器的IP地址

VPN instance

Portal认证服务器所属的MPLS L3VPN实例

Port

Portal认证服务器的监听端口

Server detection

Portal认证服务器可达性探测功能的参数,包括超时时间(单位:秒),以及探测到服务器状态变化后触发的动作(log)

User synchronization

Portal用户信息同步功能的参数,包括超时时间(单位:秒)

Status

Portal认证服务器当前状态,其取值如下:

·     Up:服务器可达性探测功能未开启,或服务器可达性探测功能开启且探测结果为该服务器当前可达

·     Down:服务器可达性探测功能已开启,探测结果为该服务器当前不可达

Exclude-attribute

Portal协议报文中不携带的属性字段

Logout notification

设备强制用户下线通知报文的最大重传次数和重传时间间隔(单位:秒)

 

【相关命令】

·     portal server

·     server-detect (portal server view)

·     user-sync

1.2.11  display portal session user-type

display portal session user-type命令用来显示基于Portal协议的指定用户类型的会话信息。

【命令】

display portal session user-type { ipoe | portal }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ipoe:显示基于Portal协议的IPoE认证用户会话信息。

portal:显示Portal用户会话信息。

【举例】

# 显示基于Portal协议的IPoE认证用户会话信息。

<Sysname> display portal session user-type ipoe

Total IPoE sessions: 1

 IP address: 1:2::3:5

 MAC address: 1212-1212-1211

 Interface: XGE3/1/1                    User type: IPoE

 Creation time: 2022-05-31 16:13:35

 Status: Online

# 显示Portal用户会话信息。

<Sysname> display portal session user-type portal

Total Portal sessions: 1

 IP address: 1:2::3:5

 MAC address: 1212-1212-1211

 Interface: XGE3/1/1                    User type: Portal

 Creation time: 2022-05-31 16:13:35

 Status: Online

表1-25 display portal session user-type命令显示信息描述表

字段

描述

Total IPoE sessions

基于Portal协议的IPoE认证用户会话总数

Total Portal sessions

Portal用户会话总数

IP address

用户IP地址

MAC address

用户MAC地址

Interface

用户接入的接口

Creation time

用户会话创建时间

Status

Portal认证状态机的状态,包含以下取值:

·     Initial:初始化待认证状态

·     Authenticating:正在认证状态

·     Continue:认证持续状态

·     Authenticated:认证完毕状态

·     Assigning new IP:等待分配IP地址状态

·     Assigned new IP:IP地址分配完成状态

·     Online:在线状态

·     Waiting:等待认证结果状态

·     Offline:下线状态

User type

用户类型:

·     IPoE:IPoE认证用户

·     Portal:Portal用户

 

1.2.12  exclude-attribute

exclude-attribute命令用来配置Portal协议报文中不携带的属性字段。

undo exclude-attribute命令用来删除所配置的Portal协议报文中不携带的属性字段。

【命令】

exclude-attribute number [ ack-auth | ack-challenge | ack-info | ack-logout | ack-ntf-user-heartbeat | ntf-challenge | ntf-logout | ntf-useripchange | ntf-user-notify ]

undo exclude-attribute number [ ack-auth | ack-challenge | ack-info | ack-logout | ack-ntf-user-heartbeat | ntf-challenge | ntf-logout | ntf-useripchange | ntf-user-notify ]

【缺省情况】

未配置Portal协议报文中不携带的属性字段。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

number:Portal协议报文属性字段中属性类型编号,取值范围1~255。如果配置属性类型编号后不指定任何参数,则表示设备发送给Portal认证服务器的所有类型的Portal协议报文均不携带该属性字段。

ack-auth:Portal协议报文类型为ACK_AUTH。

ack-challenge:Portal协议报文类型为ACK_CHALLENGE。

ack-info:Portal协议报文类型为ACK_INFO。

ack-logout:Portal协议报文类型为ACK_LOGOUT。

ack-ntf-user-heartbeat:Portal协议报文类型为ACK_NTF_USER_HEARTBEAT。

ntf-challenge:Portal协议报文类型为NTF_CHALLENGE。

ntf-logout:Portal协议报文类型为NTF_LOGOUT。

ntf-useripchange:Portal协议报文类型为NTF_USERIPCHANGE。

ntf-user-notify:Portal协议报文类型为NTF_USER_NOTIFY。

【使用指导】

由于不同的Portal认证服务器对Portal协议报文中的属性字段支持情况不同,如果设备发送给Portal认证服务器的Portal协议报文中携带了服务器不支持的属性字段,会导致设备和Portal认证服务器不能通信。

可以通过本命令,指定设备发送的Portal协议报文中不携带Portal认证服务器不支持的属性字段,从而避免因设备与Portal认证服务器不通导致Portal认证失败。

Portal协议所有属性的详细描述如表1-26所示。

表1-26 Portal协议所有属性详细描述

属性名称

属性编号

属性含义

UserName

1

用户名

PassWord

2

用户提交的明文密码

Challenge

3

用于CHAP方式加密的随机数

ChapPassWord

4

通过MD5算法加密后的密码

TextInfo

5

该属性用于设备将RADIUS服务器的提示信息或报文错误时的提示信息透传到Portal服务器。属性的内容可以为任意字符串,但是不包括字符串结束符‘\0’。该属性可以存在于从设备到Portal服务器的任何报文中。同一个报文中允许有多个该属性,建议只携带1个

UpLinkFlux

6

表示该用户的上行(输出)的流量,为一个8字节无符号整数,单位为KB

DownLinkFlux

7

表示该用户的下行(输入)的流量,为一个8字节无符号整数,单位为KB

Port

8

端口信息,内容为一个字符串(无 '\0' 结束符)

IP-Config

9

在不同报文类型中含义不同:

·     在ACK _AUTH(Type=0x04)报文中,表示设备端通知Portal服务器此用户需要二次地址分配

·     在ACK_LOGOUT(Type=0x06)和NTF_LOGOUT(Type=0x08)报文中,表示用户此时使用的IP地址必须回收,Portal服务器必须通知用户端触发DHCP过程释放公网IP,设备将重新为用户分配一个私网的IP地址

BAS-IP

10

用于标识用户接入设备的IP地址。对于二次地址方式,其值为接入设备的公网IP地址

Session-ID

11

用户标识,通常使用用户的MAC地址作为标识

Delay-Time

12

报文发送延时,携带在NTF_LOGOUT(Type=0x08)报文中

User-List

13

用户IP地址列表

EAP-Message

14

需要透传的EAP属性,适用于EAP_TLS认证,允许出现多个

User-Notify

15

需要透传的RADIUS计费回应报文中的hw_User_Notify内容

BAS-IPv6

16

标识用户接入设备的IPv6地址,所有接入设备发送的报文都应该携带该属性

UserIPv6-List

101

用户IPv6地址列表

 

【举例】

# 在Portal认证时,若Portal服务器不支持UpLinkFlux属性,则配置类型为ACK_AUTH的Portal协议报文中不携带属性字段UpLinkFlux。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] exclude-attribute 6 ack-auth

【相关命令】

·     display portal server

1.2.13  free-traffic threshold

free-traffic threshold命令用来配置用户免认证流量的阈值。

undo free-traffic threshold命令用来恢复缺省情况。

【命令】

free-traffic threshold value

undo free-traffic threshold

【缺省情况】

用户免认证流量的阈值为0字节。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

value:用户免认证流量的阈值,取值范围为0~10240000,单位为字节。如果配置用户免认证流量的阈值为0,表示只要用户有访问网络的流量产生,设备就会立即触发基于MAC地址的快速认证。

【使用指导】

设备开启了基于MAC地址的快速认证功能时,用户在上线前都拥有一定的免认证流量。设备会在MAC-Trigger表项老化之前实时检测Portal用户收发的流量。当用户收发的流量还未达到设定的阈值时,允许用户访问外部网络资源;当用户收发的流量达到设定的阈值时,则触发基于MAC地址的快速认证。

用户通过Portal认证后,设备将该用户的流量统计清零;若用户未通过Portal认证,则设备在MAC-Trigger表项老化之前不会再次对该用户触发基于MAC地址的快速认证,当MAC-Trigger表项老化后,将该用户的流量统计清零。如果在MAC-Trigger表项老化后,设备再次检测到来自同一用户的流量,则设备将重新建立MAC-Trigger表项,重复以上过程。

【举例】

# 配置用户免认证流量的阈值为10240字节。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] free-traffic threshold 10240

【相关命令】

·     display mac-trigger-server

1.2.14  ip (MAC binding server view)

ip命令用来配置MAC绑定服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]

undo ip

【缺省情况】

未配置MAC绑定服务器的IP地址。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:MAC绑定服务器的IPv4地址。

vpn-instance vpn-instance-name:指定VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示指定公网。

key:设备与MAC绑定服务器通信时使用的共享密钥。设备与MAC绑定服务器交互的Portal报文中会携带验证字,该验证字在共享密钥参与下生成,用于接收方校验收到的Portal报文的正确性。如果未指定本参数,则表示设备与MAC绑定服务器通信时不使用共享密钥进行报文校验。

cipher:以密文方式设置共享密钥。

simple:以明文方式设置共享密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。

【使用指导】

在同一MAC绑定服务器视图下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置MAC绑定服务器mts的IP地址为192.168.0.111,共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] ip 192.168.0.111 key simple portal

【相关命令】

·     display mac-trigger-server

1.2.15  ip (portal authentication server view)

ip命令用来指定Portal认证服务器的IPv4地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]

undo ip

【缺省情况】

未指定Portal认证服务器的IPv4地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:Portal认证服务器的IPv4地址。

vpn-instance vpn-instance-name:指定VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示指定公网。

key:与Portal认证服务器通信时使用的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv4地址,因此一个Portal认证服务器视图下只允许存在一个IPv4地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv4地址和VPN的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv4地址为192.168.0.111、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ip 192.168.0.111 key simple portal

【相关命令】

·     portal server

·     display portal server

1.2.16  ipv6

ipv6命令用来指定Portal认证服务器的IPv6地址。

undo ipv6命令用来恢复缺省情况。

【命令】

ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]

undo ipv6

【缺省情况】

未指定Portal认证服务器的IPv6地址。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv6-address:Portal认证服务器的IPv6地址。

vpn-instance vpn-instance-name:指定VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示指定公网。

key:与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密码字符串,区分大小写。明文密钥为1~64个字符的字符串,密文密钥为1~117个字符的字符串。

【使用指导】

一个Portal认证服务器对应一个IPv6地址,因此一个Portal认证服务器视图下只允许存在一个IPv6地址。多次执行本命令,最后一次执行的命令生效。

不同的Portal认证服务器不允许IPv6地址和VPN实例的配置都相同。

【举例】

# 指定Portal认证服务器pts的IPv6地址为2000::1、共享密钥为明文portal。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] ipv6 2000::1 key simple portal

【相关命令】

·     display portal server

·     portal server

1.2.17  logon-page bind

logon-page bind命令用来配置终端设备名称与认证页面文件的绑定关系,实现Portal用户认证页面的定制功能。

undo logon-page bind命令用来取消指定终端设备名称与认证页面的绑定关系。

【命令】

logon-page bind device-name device-name file file-name

undo logon-page bind { all | device-name device-name }

【缺省情况】

未配置终端设备名称与任何认证页面文件的绑定关系。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

all:表示所有绑定的终端设备名称。

device-name device-name:表示绑定的终端设备名称。device-name为终端设备名称,为1~127个字符的字符串,区分大小写。指定的终端设备名称必须为设备指纹库中已定义的设备名称,否则绑定的认证页面不生效。

file file-name:表示绑定的认证页面文件。file-name为认证页面文件的文件名(不包括文件的保存路径),为1~91个字符的字符串,包括字母、数字、点和下划线。该文件由用户编辑,将其打包成zip格式文件后上传到设备存储介质的根目录下。

【使用指导】

未认证用户通过Web浏览器访问外网,并触发了本地Portal认证时,如果设备上配置了logon-page bind命令,则会根据终端设备名称查找与认证页面文件的绑定关系,如果查找成功,则推出相应的认证页面;否则,则向Portal用户推出缺省的认证页面,但是如果设备上没有配置default-logon-page命令,则将无法进行本地Portal认证。

当绑定文件的名称或内容有更新或需要修改绑定关系时,可通过重复执行本命令进行修改。

对于相同的终端设备名称,多次执行本命令,最后一次执行的命令生效。

设备上允许同时存在多条绑定条目。

【举例】

# 创建本地Portal Web 服务器,进入本地Portal Web 服务器视图,并指定使用HTTP协议和客户端交互认证信息。

<Sysname> system-view

[Sysname] portal local-web-server http

# 配置终端设备名称为iphone的设备与定制认证页面文件file2.zip进行绑定。

[Sysname-portal-local-websvr-http] logon-page bind device-name iphone file file2.zip

【相关命令】

·     default-logon-page

·     portal local-web-server

1.2.18  logout-notify

logout-notify命令用来配置强制用户下线通知报文的最大重传次数和重传时间间隔。

undo logout-notify命令用来恢复缺省情况。

【命令】

logout-notify retry retries interval interval

undo logout-notify

【缺省情况】

未配置强制用户下线通知报文的最大重传次数和重传时间间隔。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

retry retries:最大重传次数,取值范围为1~5。

interval interval:重传时间间隔,取值范围为1~10,单位为秒。

【使用指导】

由于Portal协议采用UDP报文来承载数据,因此其通信过程是不可靠的。为防止Portal认证服务器收不到强制用户下线通知报文,可以配置重传次数和重传间隔。

当设备发送强制用户下线通知报文后,无论设备在指定的时间内(重传次数乘以重传时间间隔)是否收到Portal认证服务器的响应,都会强制用户下线并删除用户信息。

【举例】

# 配置强制用户下线报文的最大重传次数为3次,时间间隔为5秒。

<Sysname> system-view

[Sysname] portal server pt

[Sysname-portal-server-pt] logout-notify retry 3 interval 5

【相关命令】

·     display portal server

1.2.19  nas-port-type

nas-port-type命令用来配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。

undo nas-port-type命令用来恢复缺省情况。

【命令】

nas-port-type value

undo nas-port-type

【缺省情况】

未配置设备发送的RADIUS请求报文中的NAS-Port-Type属性值。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

value:NAS-Port-Type属性值,取值范围为1~255。

【使用指导】

设备在与特定厂商的MAC绑定服务器通信时,需要使用RADIUS报文中的NAS-Port-Type属性来标识该认证过程是基于MAC地址的快速认证还是普通Portal认证。

请根据MAC绑定服务器的配置来设置本设备的NAS-Port-Type属性值。

【举例】

# 配置设备向MAC绑定服务器mts发送的RADIUS请求报文中的NAS-Port-Type属性值为30。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] nas-port-type 30

【相关命令】

·     display mac-trigger-server

1.2.20  port (MAC binding server view)

port命令用来配置MAC绑定服务器监听查询报文的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

MAC绑定服务器监听查询报文的UDP端口号是50100。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

port-number:UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号需要与MAC绑定服务器上配置的监听查询报文的端口号保持一致。

【举例】

# 配置MAC绑定服务器mts监听查询报文的UDP端口号为1000。

<sysname> system-view

[sysname] portal mac-trigger-server mts

[sysname-portal-mac-trigger-server-mts] port 1000

【相关命令】

·     display mac-trigger-server

1.2.21  port (portal authentication server view)

port命令用来配置设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

设备主动发送Portal报文时使用的UDP端口号为50100。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

port-number:设备向Portal认证服务器主动发送Portal报文时使用的目的UDP端口号,取值范围为1~65534。

【使用指导】

本命令配置的端口号要和Portal认证服务器上配置的监听Portal报文的端口号保持一致。

【举例】

# 配置设备向Portal认证服务器pts主动发送Portal报文时使用的目的UDP端口号为50000。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] port 50000

【相关命令】

·     portal server

1.2.22  portal { bas-ip | bas-ipv6 } (system view/interface view)

portal { bas-ip | bas-ipv6 }命令用来设置发送给Portal认证服务器的通知类Portal报文中的BAS-IP或BAS-IPv6属性。

undo portal { bas-ip | bas-ipv6 }命令用来恢复缺省情况。

【命令】

portal { bas-ip ipv4-address | bas-ipv6 ipv6-address }

undo portal { bas-ip | bas-ipv6 }

【缺省情况】

通知类IPv4 Portal报文中的BAS-IP属性值为出接口的IPv4地址,通知类IPv6 Portal报文中的BAS-IPv6属性值为出接口的IPv6地址。

【视图】

系统视图

接口视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:接口发送通知类Portal报文的BAS-IP属性值,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6-address:接口发送通知类Portal报文的BAS-IPv6属性值,应该为本机的地址,不能为多播地址、全0地址、本地链路地址。

【使用指导】

当Portal认证服务器上指定的设备IP地址不是设备发送的通知类Portal报文出接口IP地址时,可能会导致以下问题:

·     二次地址分配认证方式下,Portal用户无法认证成功。

·     Portal认证服务器上的用户无法成功下线。

为解决上述问题,必须在设备上设置通知类Portal报文中的BAS-IP或BAS-IPv6属性与Portal认证服务器上指定的设备IP地址一致,设备将以该属性值作为发送报文的源IP地址。

本功能仅对设备发送给Portal认证服务器的通知类报文生效,设备发送的响应类IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址,响应类IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。

系统视图下配置本功能对设备的所有接口生效,如果在系统视图和接口视图下同时配置本功能,接口视图下的配置优先生效。

【举例】

# 全局配置设备发送Portal报文的BAS-IP属性值为2.2.2.2。

<Sysname> system-view

[Sysname] portal bas-ip 2.2.2.2

# 配置接口Ten-GigabitEthernet3/1/1发送Portal报文的BAS-IP属性值为2.2.2.2。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] portal bas-ip 2.2.2.2

【相关命令】

·     display portal

1.2.23  portal access-info trust

portal access-info trust命令用来指定通过查询ARP/ND表项来获取用户信息。

portal access-info trust命令用来恢复缺省情况。

【命令】

portal access-info trust { arp | nd }

undo portal access-info trust { arp | nd }

【缺省情况】

设备通过查询FIB表项来获取用户信息。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

arp:表示通过查询ARP表项来获取用户接入的接口和所属VPN等信息。

nd:表示通过查询ND表项来获取用户接入的接口和所属VPN等信息。

【使用指导】

在IPoE Web认证组网中,如果DHCP接入用户和Portal认证服务器属于不同的VPN,且用户接入接口未绑定VPN实例,设备收到Portal认证服务器发送的Portal协议报文时,无法通过查询Portal认证服务器所属VPN实例的FIB表项获取到用户的接入信息,从而导致用户无法在Web认证阶段上线。

上述应用场景中必须配置本功能,才能解决用户无法在Web认证阶段上线的问题。对于IPoE Web认证组网其他应用场景,建议也配置本功能。

配置本功能后,设备在用户的Web认证阶段先查询ARP/ND表项,如果未获取到用户的接入信息,则进一步查询UCM接入用户信息表项获取该信息。

需要注意的是,请确保组网中不同的VPN内不存在相同的IP地址,否则配置本功能也无法保证用户正常上线。

【举例】

# 指定通过查询ARP表项来获取用户信息。

<Sysname> system-view

[Sysname] portal access-info trust arp

1.2.24  portal apply mac-trigger-server

portal apply mac-trigger-server命令用来应用MAC绑定服务器。

undo portal apply mac-trigger-server命令用来恢复缺省情况。

【命令】

portal apply mac-trigger-server server-name

undo portal apply mac-trigger-server

【缺省情况】

未应用MAC绑定服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

仅IPv4的直接认证方式支持基于MAC地址的快速认证。

为使基于MAC地址的快速认证生效,必须完成以下配置:

·     完成普通三层Portal认证的相关配置;

·     配置MAC绑定服务器的IP地址和端口号;

·     在接口上应用MAC绑定服务器。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上应用MAC绑定服务器mts。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] portal apply mac-trigger-server mts

【相关命令】

·     portal mac-trigger-server

1.2.25  portal local-web-server

portal local-web-server命令用来开启本地Portal服务,并进入基于HTTP/HTTPS协议的本地Portal Web服务视图。

undo portal local-web-server命令用来关闭本地Portal服务功能。

【命令】

portal local-web-server { http | https ssl-server-policy policy-name [ tcp-port port-number ] }

undo portal local-web-server { http | https }

【缺省情况】

本地Protal服务功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

http:指定本地Portal Web服务使用HTTP协议和客户端交互认证信息。

https:指定本地Portal Web服务使用HTTPS协议和客户端交互认证信息。

ssl-server-policy policy-name:指定HTTPS服务关联的SSL服务器端策略。policy-name为SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写,且必须已经存在。

tcp-port port-number:指定本地Portal Web服务的HTTPS服务侦听的TCP端口号,取值范围为1~65535,缺省值为443。

【使用指导】

本地Portal服务功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器功能。

只有接口上引用的Portal Web服务器中的URL同时满足以下两个条件时,接口上才会使用本地Portal Web服务功能。条件如下:

·     该URL中的IP地址是设备上与客户端路由可达的三层接口IP地址(除127.0.0.1以外)。

·     该URL以/portal/结尾,例如:http://1.1.1.1/portal/。

配置本地Portal Web服务参数时,需要注意的是:

·     已经被HTTPS服务关联的SSL服务器端策略不能被删除。

·     不能通过重复执行本命令来修改HTTPS服务关联的SSL服务器端策略,如需修改,请先通过undo portal local-web-server https命令删除已创建的本地Portal Web服务,再执行portal local-web-server https ssl-server-policy命令。

配置本地Portal Web服务参数时,需要注意的是:

·     如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同,否则不能使用相同的TCP端口号。

·     除了HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号或者设备上其它服务已使用的TCP端口号配置一致,如HTTP的端口号80;Telnet的端口号23,否则会造成本地Portal Web服务无法向Portal用户推送认证页面。

·     使用HTTP协议和HTTPS协议的本地Portal Web服务侦听的TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

【举例】

# 开启本地Portal服务,并进入基于HTTP协议的本地Portal Web服务视图。

<Sysname> system-view

[Sysname] portal local-web-server http

# 开启本地Portal服务,并进入基于HTTPS协议的本地Portal Web服务视图,引用的SSL服务器端策略为policy1。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1

# 更改引用的SSL服务器端策略为policy2。

[Sysname] undo portal local-web-server https

[Sysname] portal local-web-server https ssl-server-policy policy2

# 使用HTTPS协议和客户端交互认证信息的方式创建本地Portal Web服务,引用的SSL服务器端策略为policy1,指定侦听的端口号为442。

<Sysname> system-view

[Sysname] portal local-web-server https ssl-server-policy policy1 tcp-port 442

[Sysname-portal-local-websvr-https] quit

【相关命令】

·     default-logon-page

·     portal local-web-server

·     ssl server-policy(安全命令参考/SSL)

1.2.26  portal mac-trigger-server

portal mac-trigger-server命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图。如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图。

undo portal mac-trigger-server命令用来删除MAC绑定服务器。

【命令】

portal mac-trigger-server server-name

undo portal mac-trigger-server server-name

【缺省情况】

不存在MAC绑定服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:MAC绑定服务器名称,为1~32个字符的字符串,区分大小写。

【使用指导】

在MAC绑定服务器视图下可以配置MAC绑定服务器的相关参数,包括服务器的IP地址、服务器的端口号、服务器所在的VPN实例以及设备和服务器间通信的预共享密钥等。

【举例】

# 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts]

【相关命令】

·     portal apply mac-trigger-server

·     display mac-trigger-server

1.2.27  portal server

portal server命令用来创建Portal认证服务器,并进入Portal认证服务器视图。如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图。

undo portal server命令用来删除指定的Portal认证服务器。

【命令】

portal server server-name

undo portal server server-name

【缺省情况】

不存在Portal认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

Portal认证服务器视图用于配置Portal认证服务器的相关参数,包括服务器的IP地址、端口号,服务器所在的VPN实例,设备和服务器间通信的预共享密钥,服务器探测功能等。

可以配置多个Portal认证服务器。

【举例】

# 创建名称为pts的Portal认证服务器,并进入Portal认证服务器视图。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts]

【相关命令】

·     display portal server

1.2.28  reset portal ip-subscriber message statistics

reset portal ip-subscriber message statistics命令用来清除Portal与IPoE的交互消息统计信息。

【命令】

reset portal ip-subscriber message statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除Portal与IPoE的交互消息统计信息。

<Sysname> reset portal ip-subscriber message statistics

【相关命令】

·     display portal ip-subscriber message statistics

1.2.29  reset portal mac-trigger-server packet statistics

reset portal mac-trigger-server packet statistics命令用来清除设备与MAC绑定服务器的交互报文统计信息。

【命令】

reset portal mac-trigger-server packet statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除设备与MAC绑定服务器的交互报文统计信息。

<Sysname> reset portal mac-trigger-server packet statistics

【相关命令】

·     display portal mac-trigger-server packet statistics

1.2.30  reset portal packet statistics

reset portal packet statistics命令用来清除Portal报文的统计信息。

【命令】

reset portal packet statistics [ server server-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server-name:Portal认证服务器的名称,为1~32个字符的字符串,区分大小写。

【使用指导】

若不指定参数server,则清除所有Portal认证服务器的报文统计信息。

【举例】

# 清除名称为pts上的Portal认证服务器的统计信息。

<Sysname> reset portal packet statistics server pts

【相关命令】

·     display portal packet statistics

1.2.31  server-detect (portal authentication server view)

server-detect命令用来开启Portal认证服务器的可达性探测功能。开启Portal认证服务器的可达性探测功能后,设备会定期检测Portal认证服务器发送的Portal报文来判断服务器的可达状态。

undo server-detect命令用来关闭Portal认证服务器的可达性探测功能。

【命令】

server-detect [ timeout timeout ] { log | trap } *

undo server-detect

【缺省情况】

Portal认证服务器的可达性探测功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

timeout timeout:探测超时时间,取值范围为10~3600,单位为秒,缺省值为60。

{ log | trap } *:设备探测到Portal认证服务器可达状态变化时,触发执行的操作。包括以下两种,且可同时选择多种。

·     log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。

·     trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。

【使用指导】

只有在支持Portal服务器心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。

若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次服务器不可达。

设备配置的探测超时时间(timeout timeout)必须大于服务器上配置的逃生心跳间隔时间。

【举例】

# 开启对Portal认证服务器pts的探测功能,探测超时时间为600秒,若服务器状态改变,则发送日志信息和Trap信息。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-detect timeout 600 log trap

【相关命令】

·     portal server

1.2.32  server-register

server-register命令用来配置设备定期向Portal认证服务器发送注册报文。

undo server-register命令用来恢复缺省情况。

【命令】

server-register [ interval interval-value ]

undo server-register

【缺省情况】

设备不会定期向Portal认证服务器发送注册报文。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:设备定期向Portal认证服务器发送注册报文的时间间隔,取值范围为1~3600,单位为秒,缺省值为600。

【使用指导】

Portal服务器与接入设备认证交互时,如果二者之间有NAT设备,为了使Portal服务器能够访问该接入设备,在NAT设备上需配置静态NAT表项,该静态NAT表项中记录了接入设备的IP地址以及与Portal服务器交互时使用的转换后的IP地址。当有大量的接入设备需要与Portal服务器进行认证交互时,则需要在NAT设备上配置大量的静态NAT表项。开启本功能后,接入设备会主动向Portal服务器发送注册报文,该报文中携带了接入设备的名称。Portal服务器收到该注册报文,记录下接入设备的名称、地址转换后的IP地址以及端口号等信息后,后续这些信息用于与接入设备进行认证交互。接入设备通过定期发送注册报文更新Portal服务器上维护的注册信息。

需要注意的是,本功能仅用于和CMCC类型的Portal服务器配合使用。

【举例】

# 配置设备每隔120秒向Portal认证服务器发送注册报文。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-register interval 120

【相关命令】

·     server-type

1.2.33  server-type

server-type命令用来配置Portal认证服务器的类型。

undo server-type命令用来恢复缺省情况。

【命令】

server-type { cmcc | imc }

undo server-type

【缺省情况】

Portal认证服务器的类型为iMC服务器。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

cmcc:表示Portal服务器类型为符合中国移动标准规范的服务器。

imc:表示Portal服务器类型为符合iMC标准规范的服务器。

【使用指导】

设备配置的Portal服务器类型必须保证与设备所使用的服务器类型保持一致。

【举例】

# 配置Portal认证服务器类型为CMCC。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] server-type cmcc

【相关命令】

·     display portal server

1.2.34  server-type (MAC binding server view)

server-type命令用来配置MAC绑定服务器的服务类型。

undo server-type用来恢复缺省情况。

【命令】

server-type { cmcc | imc }

undo server-type

【缺省情况】

MAC绑定服务器的服务类型为imc。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

cmcc:表示MAC绑定服务器类型为符合中国移动标准规范的服务器。

imc:表示MAC绑定服务器类型为符合iMC标准规范的服务器。

【举例】

# 指定MAC绑定服务器的服务类型为cmcc。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] server-type cmcc

1.2.35  tcp-port

tcp-port命令用来配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号。

undo tcp-port命令用来恢复缺省情况。

【命令】

tcp-port port-number

undo tcp-port

【缺省情况】

HTTP服务侦听的TCP端口号为80,HTTPS服务侦听的TCP端口号为portal local-web-server命令指定的TCP端口号。

【视图】

本地Portal Web服务视图

【缺省用户角色】

network-admin

【参数】

port-number:表示侦听的TCP端口号,取值范围为1~65535。

【使用指导】

接口上指定的Portal Web服务器的URL中配置的端口号,应该与本地Portal Web服务视图下指定的侦听端口号保持一致。

配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号时,需要注意的是:

·     除了HTTP和HTTPS协议默认的端口号,本地Portal Web服务的TCP端口号不能与知名协议使用的端口号配置一致,如FTP的端口号21;Telnet的端口号23,否则会造成本地Web Server无法收到用户的认证或下线请求数据。

·     不能把使用HTTP协议的本地Portal Web服务下的TCP端口号配置成HTTPS的默认端口号443,反之亦然。

·     使用HTTP和HTTPS的本地Portal Web服务下TCP端口号不能配置一致,比如不能都配置为8080,否则会导致本地Web服务无法正常使用。

·     如果本地Portal Web服务引用的SSL服务器端策略与HTTPS服务引用的SSL服务器端策略相同,则本地Portal Web服务使用的TCP端口号可以与HTTPS服务器使用的TCP端口号相同;否则使用TCP端口号不能相同。

【举例】

# 配置本地Portal Web服务的HTTP服务侦听的TCP端口号为2331。

<Sysname> system-view

[Sysname] portal local-web-server http

[Sysname-portal-local-websvr-http] tcp-port 2331

【相关命令】

·     portal local-web-server

1.2.36  user-sync

user-sync命令用来配置开启Portal用户信息同步功能。

undo user-sync命令用来关闭Portal用户信息同步功能。

【命令】

user-sync timeout timeout

undo user-sync

【缺省情况】

Portal认证服务器的Portal用户信息同步功能处于关闭状态。

【视图】

Portal认证服务器视图

【缺省用户角色】

network-admin

【参数】

timeout timeout:检测用户同步报文的时间间隔,取值范围为60~18000,单位为秒。

【使用指导】

配置此功能后,设备会响应并周期性地检测指定的Portal认证服务器发来的用户同步报文,以保持设备与该服务器上在线用户信息的一致性。

只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。

在设备上删除Portal认证服务器时将会同时删除该服务器的用户信息同步功能配置。

对同一服务器多次执行本命令,最后一次执行的命令生效。

对于设备上多余的用户信息,即在检测用户同步报文的时间间隔timeout到达后被判定为Portal认证服务器上已不存在的用户信息,设备会在timeout后的某时刻将其删除掉。

如果服务器同步过来的用户信息在设备上不存在,则设备会将这些用户的IP地址封装在用户心跳回应报文中发送给服务器,由服务器删除多余的用户。

【举例】

# 配置对Portal认证服务器pts的Portal用户信息同步功能,检测用户同步报文的时间间隔为600秒,如果设备中的某用户信息在600秒内未在该Portal认证服务器发送的同步报文中出现,设备将强制该用户下线。

<Sysname> system-view

[Sysname] portal server pts

[Sysname-portal-server-pts] user-sync timeout 600

【相关命令】

·     portal server

1.2.37  version

version命令用来配置Portal协议报文的版本号。

undo version命令用来恢复缺省情况。

【命令】

version version-number

undo version

【缺省情况】

Portal协议报文的版本号为1。

【视图】

MAC绑定服务器视图

【缺省用户角色】

network-admin

【参数】

version-number:Portal协议报文的版本号,取值范围为1~3。

【使用指导】

配置Portal协议报文的版本必须与MAC绑定服务器要求的Portal协议版本保持一致。

【举例】

# 配置设备向MAC绑定服务器mts发送Portal协议报文时,使用的版本为版本2。

<Sysname> system-view

[Sysname] portal mac-trigger-server mts

[Sysname-portal-mac-trigger-server-mts] version 2

【相关命令】

·     portal mac-trigger-server

·     display mac-trigger-server

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们