- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-IPoE配置
本章节下载: 03-IPoE配置 (413.52 KB)
目 录
IPoE(IP over Ethernet)是一种常见的IPoX接入方式。
IPoE的典型组网方式如下图所示,它由六个基本要素组成:用户主机、BRAS接入设备、AAA服务器、安全策略服务器、DHCP服务器和Portal服务器。
图1-1 IPoE系统组成示意图
用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行H3C iNode客户端的主机。
提供接入服务的设备,主要有三方面的作用:
· 在认证之前,阻止用户访问互联网资源。
· 在认证过程中,与AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的互联网资源。
与接入设备进行交互,完成对用户的认证、授权和计费。目前仅RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器支持对IPoE用户进行认证、授权和计费。
与接入设备进行交互,完成对用户的安全检测,并对用户进行安全授权操作。
与用户主机、接入设备进行交互,完成对用户主机IP地址的管理和分配。
包括Portal Web服务器和Portal认证服务器。Portal Web服务器负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。Portal认证服务器用于与接入设备交互认证客户端的认证信息。Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统。
IPoE的接入模式分为二层和三层两种模式,对应的用户分别通过二层网络或三层网络接入。
· 二层接入:用户直接连接接入设备,或通过二层网络设备连接接入设备。接入设备需要识别用户的MAC地址。
· 三层接入:用户流量通过三层网络路由到接入设备,用户可直接连接接入设备或通过三层转发设备连接接入设备。接入设备不关心用户的MAC地址。
需要注意的是,通过三层转发设备接入时,用户报文信息中的源MAC地址为三层网络设备的MAC地址,并非用户的MAC地址,因此该方式下用户的MAC地址不能作为用户的身份标识。
IPoE支持通过IP报文、ARP报文和DHCP报文多种触发方式上线。根据用户是否拥有独立的业务属性,IPoE用户可分为个人接入用户、专线接入用户两种类型。
个人接入用户拥有独立的业务属性,接入设备根据用户的位置信息和报文特征对其进行独立的认证、授权和计费。
根据触发上线方式的不同,可以将个人接入用户分为以下两种类型。
· 动态个人接入用户
动态个人接入用户通过IP报文或DHCP报文触发上线,且由报文动态触发认证并根据认证结果建立IPoE会话。根据触发上线的方式不同可将动态个人接入用户分为未知源IP接入用户和DHCP接入用户。对于DHCP接入用户,还需要与DHCP服务器交互获取IP地址。
· 静态个人接入用户
静态个人接入用户通过IP或ARP报文触发上线,需要用户报文与手工配置的IPoE会话匹配后才能触发认证。
对于不是因为DHCP接入用户主动释放IP地址引起的用户IPoE会话被删除的情况,在开启DHCP接入用户异常下线后重新上线功能后,当设备再次收到该用户的IP或ARP报文时,可恢复用户的IPoE会话,恢复后的IPoE会话仍为DHCP接入类型。有关DHCP接入用户异常下线后重新上线功能的介绍,请参见“1.6.5 _Ref488325761”。
专线是指将接入设备上的某个接口或接口上的某些系统资源整体出租给一组用户。一条专线下可以接入多个用户,在认证流程中表现为一个用户,也称为专线接入用户。配置专线后,无需用户IP流量触发,接入设备会自动根据命令行配置的专线接入用户的用户名和密码统一进行认证,通过认证后专线用户才可上线。
根据对专线资源的占用情况,可以分为以下几种类型。
· 接口专线用户:一个接口上接入的所有IP用户,该接口上接入的所有用户统一进行认证、授权和计费。
· 子网专线用户:一个接口上接入的指定子网内的所有IP用户,与接口专线用户类似,该接口上接入的所有指定子网的用户统一进行认证、授权和计费。
一个IPoE会话表示了一个或一组IPoE客户端的所有网络连接,可由客户端的IP报文特征或接入位置信息来标识,用于记录IPoE客户端的身份信息、认证状态、授权属性和DHCP地址分配信息等内容。
根据IPoE用户类型不同,IPoE会话可分为IPoE个人会话和IPoE专线会话两种类型:
根据IPoE会话的触发方式,可以将IPoE个人会话分为IPoE动态个人会话和IPoE静态个人会话两种类型。
· IPoE动态个人会话
由动态个人接入用户触发建立的IPoE会话称为动态个人会话。
每个动态个人会话都有自己的生存周期,动态个人会话将在以下几种情况下被删除:
¡ AAA服务器授权的在线时长到期。
¡ AAA服务器强制用户下线。
¡ 在AAA服务器授权的闲置切断时长内,该会话的用户流量小于授权的流量阈值。
¡ 接入设备对该会话的在线用户进行探测,对于单协议栈用户,当探测失败的次数达到最大值时会话会被删除。
¡ 对于DHCP报文触发建立的IPoE会话,对于单协议栈用户,当DHCP服务器分配的租约时长到期时会话会被删除,对于双协议栈用户当且仅当DHCP服务器分配的租约时长都到期时会话才会被删除。
¡ 重启IPoE会话。
¡ 用户接入接口Down。
· IPoE静态个人会话
静态个人会话仅代表一个指定IP地址的IPoE客户端的所有网络连接,通常用于为IP地址已知的客户端单独提供稳定的接入服务。
对于IPoE静态个人会话,又分为:
¡ 接口静态个人会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,接入设备会根据配置建立IPoE静态个人会话,在有IP或ARP流量通过时接入设备会尝试以配置的用户名和密码发起认证。
¡ 全局静态个人会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP或ARP流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立全局静态个人会话;如果认证未通过,则不建立全局静态个人会话。
由专线用户的配置触发建立的IPoE会话称为IPoE专线会话,包括以下三种类型:
· 接口专线会话:代表一个接口上所有IPoE客户端的网络连接。
· 子网专线会话:代表一个接口上指定子网内的所有IPoE客户端的网络连接。
对于接口专线会话、子网专线会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,接入设备会根据配置建立专线会话,会话建立成功后无需用户流量触发,接入设备会主动尝试以配置的用户名和密码发起认证。
对于通过DHCP报文触发认证的用户,在认证成功之后由DHCP模块为其分配AAA授权的地址池中的地址。若AAA未授权,则使用用户所属认证域中配置的授权地址池;若认证域中未配置授权地址池,则在接口上配置了IP地址的情况下,由DHCP模块分配与接口IP地址同一网段的IP地址给用户。
其它类型的用户,可以通过静态配置或通过DHCP动态分配获得IP地址,但其IP地址的获取与IPoE认证无关。
IPoE绑定认证用户的接入流程主要包括以下几个步骤:
(1) 用户识别与发起认证请求
¡ 对于动态个人接入用户,当发出的连接请求报文到达接入设备后,接入设备使用从报文中获取用户的物理位置等信息生成用户名和密码或配置的用户名和密码,向AAA服务器发起认证请求。
¡ 对于静态个人接入用户,当用户的首报文通过接入设备时,接入设备以配置的认证信息向AAA服务器发起认证请求。
¡ 对于专线接入用户,无需用户流量触发,接入设备会主动以配置的认证信息向AAA服务器发起认证请求。
(2) 身份认证
接入设备根据该用户关联的认证域的配置向AAA服务器发起认证请求,并完成认证授权操作,若配置有安全策略服务器,则由安全策略服务器进行安全授权操作。
(3) 地址分配与管理(可选)
对于DHCP接入用户,身份认证通过后,接入设备通知DHCP模块负责为接入用户分配IP地址;若用户已经获取到IP地址,则无此步骤直接进入步骤(4)。
(4) 接入控制
IP地址分配成功后,接入设备通知用户上线,并根据授权结果对用户进行接入控制,计费等。
下面将详细介绍几种典型的IPoE用户接入流程。
当用户通过DHCP方式动态获取IP地址时,IPoE截获用户的DHCP报文,首先对用户进行身份认证,如果认证通过则可以允许继续申请动态IP地址,否则终止IPoE接入过程。这里以DHCP中继组网环境中的IPv4 DHCP用户的IPoE接入为例,具体流程如图1-2所示。
图1-2 IPv4 DHCP用户接入流程图
IPv4 DHCP报文触发的IPoE接入过程如下:
(1) DHCP客户端发送DHCP-DISCOVER报文;
(2) 接入设备在DHCP-DISCOVER报文中插入Option 82选项,然后把报文交由DHCP中继设备处理;
(3) DHCP中继设备根据DHCP-DISCOVER报文创建一个IPoE会话,并向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如DHCP报文中的Client ID选项、用户报文的源MAC地址;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) DHCP中继获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败;
(6) 如果用户认证通过,DHCP中继将DHCP-DISCOVER报文转发给DHCP服务器。如果认证失败,DHCP中继将丢弃DHCP-DISCOVER报文;
(7) DHCP服务器回应DHCP-OFFER报文。之后,DHCP中继把DHCP-OFFER报文转发给DHCP客户端;
(8) DHCP客户端根据DHCP-OFFER报文选择一个DHCP服务器,发送DHCP-REQUEST报文。之后,DHCP中继把DHCP-REQUEST报文转发给DHCP服务器;
(9) DHCP服务器回应DHCP-ACK报文;
(10) DHCP中继从DHCP-ACK报文中解析出用户的IP地址和其它地址参数信息,更新IPoE会话,并下发User Profile策略,然后将IPoE会话的状态置为在线;
(11) DHCP中继把DHCP-ACK报文转发给DHCP客户端。DHCP客户端根据收到的DHCP-ACK报文获得IP地址以及相关地址参数信息;
(12) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
对于已经通过DHCP报文或手工静态配置的方式获取到IP地址的用户,当前接入设备上不存在对应的IPoE会话时,该用户的IP报文会直接触发IPoE认证,具体过程如图1-3所示。
图1-3 未知源IP接入用户触发IPoE接入过程
用户IP报文触发IPoE接入的步骤如下:
(1) 用户主机发送IP报文。
(2) 接入设备收到IP报文后,根据已有的IPoE会话检查该用户是否是新接入的用户。如果用户报文中的用户信息未匹配到相应的IPoE会话,则认为该用户是新用户,并为其创建IPoE会话,记录用户信息;对于匹配上IPoE会话且会话状态为已通过认证的用户报文,直接转发;对于匹配上IPoE会话且会话状态不为已通过认证的所有用户报文,均丢弃。
(3) 接入设备根据获取的用户信息向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如源IP地址或源MAC地址;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) 接入设备收到认证结果。如果用户认证通过,则根据授权信息下发业务策略,将IPoE会话状态置为在线。
(6) 接入设备向AAA服务器发送计费开始报文,开始对该用户进行计费。
静态个人用户的IPoE会话通过配置信息创建,当接口上有指定的IP或ARP报文通过时,将使用配置信息触发认证,认证流程与未知源IP接入方式中的认证流程相同。认证流程完成后,后续对应的用户报文到达设备后,接口直接将其转发。
专线接入用户的IPoE会话通过配置信息创建,无需接口上有报文通过,即可自动根据配置的用户名和密码发起认证。除触发认证方式不同外,其余认证流程与未知源IP接入方式中的认证流程相同,这里不再赘述。认证流程完成后,后续对应的用户报文到达设备对应接口后,即可直接转发。
实际组网应用中,接入用户可以属于不同的VPN,且各VPN之间的业务相互隔离。IPoE通过支持MPLS L3VPN,可实现位于不同VPN中的用户都能通过IPoE方式接入到网络中。用户通过AAA授权后,接入设备可以将不同用户划分到不同授权VPN中,实现服务器指定用户的VPN归属。需要注意的是,IPoE专线用户不支持通过AAA授权(包括ISP域和AAA服务器两种授权方式)VPN属性。有关通过ISP域授权VPN属性的相关介绍,请参见“用户接入与认证配置指导”中的“AAA”。
· 当IPoE用户通过授权VPN方式上线时,必须在用户接入接口为用户配置网关IP地址或通过proxy-arp enable命令开启用户接入接口的代理ARP功能,推荐配置代理ARP。有关代理ARP的相关介绍,请参见“三层技术-IP业务配置指导”中的“ARP”。
· 在接口绑定VPN的情况下,为保证已经在线的用户流量可以在授权的VPN中正常转发,需要手工删除已有的IPoE会话。
IPoE目前仅支持如下接口:
· 三层以太网接口
· 三层以太网子接口
· 三层聚合接口
· 三层聚合子接口
· L3VE接口
· L3VE子接口
· VE接口
· VE子接口
· VSI虚接口
· 以太网冗余口
当使用设备作为DHCP Server为IPoE用户分配IP地址时,为确保IPoE功能正常,要求在DHCP地址池中禁用网关地址,具体如下:
· 对于DHCPv4地址池需要通过命令dhcp server forbidden-ip或forbidden-ip配置网关IP地址为不参与自动分配的IP地址。
有关配置不参与自动分配IP地址命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“DHCP”。
开启IPoE功能并指定用户的接入模式后,可根据实际组网需求配置多种类型的IPoE接入用户。
IPoE绑定认证接入用户配置任务如下:
(2) 配置IPoE绑定认证接入用户类型
同一接口上,IPoE个人接入用户(包括动态个人和静态个人)和IPoE专线接入用户不能共存,只能选择其一;IPoE动态个人接入用户、IPoE静态个人接入用户可以共存。
(3) (可选)配置IPoE接入用户在线探测功能
二次认证组网环境下需要配置本功能。
(4) (可选)配置IPoE会话的流量统计信息的更新时间间隔
IPoE提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠IPoE不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法或本地认证方法,以配合IPoE完成用户的身份认证。IPoE的配置前提如下:
· 若配置的是DHCP触发方式,需要安装并配置好DHCP服务器。如果是DHCP中继组网,接入设备还需启动DHCP中继功能。
· 如果通过远端RADIUS服务器进行身份认证,则首先保证RADIUS服务器已安装并配置成功,其次需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。如果需要通过远端的安全策略服务器进行安全检测和授权,则需要在H3C iMC安全策略服务器上配置相应的安全策略,并在接入设备上指定安全策略服务器的IP地址。RADIUS客户端以及安全策略服务器的具体配置请参见“用户接入与认证配置指导”中的“AAA”。
· 如果通过本地设备进行身份认证,则需要在接入设备上配置相关的本地用户及其属性。本地用户的具体配置请参见“用户接入与认证配置指导”中的“AAA”。
· 保证用户、接入设备和各服务器之间路由可达。
不允许直接修改IPoE的接入模式,如需修改IPoE的接入模式必须先关闭IPoE功能之后,再在重新开启IPoE功能时指定新的接入模式。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPoE功能,并指定用户接入模式。
ip subscriber { l2-connected | routed } enable
缺省情况下,接口上的IPoE功能处于关闭状态。
IPoE动态个人接入用户配置任务如下:
(1) 配置动态个人会话的触发方式
(2) (可选)配置动态个人接入用户使用的认证域
(3) (可选)配置动态个人会话的最大数目
(4) (可选)配置未知源个人接入用户的信任IP地址/地址范围
接口上开启了IPoE功能后,缺省情况下丢弃接收到的用户报文,需要配置IPoE用户触发方式,使指定的用户报文得以处理,后续能够正常使用网络服务。
接口上可同时配置多种触发方式,其中:
· 配置未知源IP触发方式后,IPoE会处理接口上收到的普通IP报文,保存用户信息生成IPoE会话,并进行认证、授权和计费。
· 配置DHCP触发方式后,IPoE会处理接口上收到的DHCP Discover报文、DHCP Solicit或直接申请地址的DHCP Request报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的DHCP报文交互更新用户信息。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4动态个人会话的触发方式。
ip subscriber initiator { dhcp | unclassified-ip } enable
缺省情况下,DHCPv4报文以及未知源IP报文触发生成IPoE会话功能均处于关闭状态。
从指定接口上接入的IPoE动态个人接入用户将按照如下先后顺序选择认证域:
· 对于DHCP接入用户:接口上指定的IPoE接入用户使用的强制认证域-->配置的匹配Option 60中的字符串-->自动获取报文中携带的Option(DHCPv4为Option 60)内容字符串-->与报文指定业务特征相映射的认证域-->接口上指定的IPoE接入用户使用的非强制认证域-->系统缺省的认证域。
· 对于未知源IP接入用户:与报文指定业务特征相映射的认证域-->接口上指定的IPoE接入用户使用的认证域-->系统缺省的认证域。
其中,关于如何使用配置的匹配Option 60中的字符串作为DHCP个人接入用户的认证域,请参见“1.6.5 _Ref427738106”。
关于报文业务识别方式映射的认证域的具体配置,请参见“1.8 _Ref464580229”。
关于缺省认证域的相关介绍及具体配置请参见“用户接入与认证配置指导”中的“AAA”。
如果需要使用配置的匹配Option 60中的字符串或自动获取报文中携带的Option 60中的信息作为DHCP个人接入用户的认证域,则需要配置接入设备信任DHCPv4 Option 60中的信息,具体配置请参见“1.6.5 _Ref380491191”。
为使得用户认证成功,必须保证按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置动态个人接入用户使用的认证域。
ip subscriber dhcp domain domain-name [ force ]
ip subscriber unclassified-ip domain domain-name
缺省情况下,DHCP接入用户和未知源IP接入用户的认证域为缺省认证域。
通过配置动态个人会话的最大数目可以控制系统中的动态个人接入用户总数。
如果接口上配置的IPoE最大会话数目小于当前处于在线状态的动态个人会话数目,则该配置可以执行成功,且在线IPoE用户不受影响,但系统将不允许新的IPoE用户接入。
建议保证所有开启IPoE的接口上配置的最大会话数目之和,不要超过整机IPoE的最大会话数目(整机IPoE的最大会话数目由设备的缺省规格或授权的License规格决定),否则会有部分IPoE用户因为整机最大用户数已达到而无法上线。
如果安装的License规格小于系统当前处于在线状态的动态个人会话数目,则该License可以安装成功,且在线IPoE用户不受影响,但系统将不允许新的IPoE用户接入。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置动态个人会话的最大数目。
ip subscriber { dhcp unclassified-ip } max-session max-number
缺省情况下,未配置接口上允许创建的动态个人会话的最大数目。
在一些组网环境中,接口上可能需要同时开启Portal和未知源IPoE报文触发生成IPoE会话功能,例如:管理员给门禁、监控摄像头、打印机等哑终端分配固定的静态IP地址并使用未知源IPoE触发方式认证,同时宽带拨号用户使用Portal认证;这种组网环境可配置未知源个人接入用户的信任IP地址/地址范围,使设备根据接口上收到的IP报文中源地址是否是信任IP地址,分别做如下不同的处理:
· 如果IP报文中源地址是信任的IP地址,则触发未知源IPoE认证;
· 如果IP报文源地址是非信任IP地址,则不会触发IPoE接入认证,用户直接进入Portal认证流程。有关Poral认证的相关介绍请参见“用户接入与认证配置指导”中的“Portal”。
需要注意的是,当接口仅开启未知源IP报文触发生成IPoE会话功能,但未开启Portal功能时,如果配置了信任IP地址,则只有当未知源IP报文的IP地址与配置的信任IP地址匹配时才会触发IPoE接入认证,否则丢弃报文。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任的源IPv4地址/地址范围。
ip subscriber unclassified-ip ip match start-ip-address [ end-ip-address ]
缺省情况下,未配置信任任何源IPv4地址/地址范围。
IPoE静态个人接入用户配置任务如下:
(1) 配置静态个人会话的触发方式
(2) (可选)配置静态个人接入用户使用的认证域
配置静态个人会话时,必须开启未知源IP报文触发生成IPoE会话的功能,才能使IP报文来触发静态个人会话发起认证。
对于IPv4静态个人会话,如需通过ARP报文触发用户上线,则需要开启静态个人接入用户通过ARP报文触发上线功能,此时,当设备收到的ARP报文与手工配置的IPoE会话匹配后才会触发认证。
关闭静态个人接入用户通过ARP报文触发上线功能时,接口上已由ARP报文触发上线的IPv4静态个人会话将仍保持其在线状态。
开启静态个人接入用户通过ARP报文触发上线功能时,请确保给静态个人接入用户分配的网关地址是用户接入接口的IP地址或DHCP地址池中通过命令gateway-list export-route指定的网关地址,否则即使该用户的ARP报文与手工配置的IPoE会话匹配也无法触发认证。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4静态个人会话的触发方式。请至少选择其中一项进行配置。
¡ 开启未知源IP报文触发生成IPoE会话功能。
ip subscriber initiator unclassified-ip enable [ matching-user ]
缺省情况下,未知源IP报文触发生成IPoE会话功能处于关闭状态。
静态个人接入用户将按照接口上的配置选择认证域,认证域优先级顺序从高到低依次为:静态IPoE会话中指定的认证域 > 报文业务识别方式映射的认证域 > 未知源IP用户使用的认证域 >缺省认证域。其中,关于报文业务识别方式映射的认证域的具体配置,请参见“1.8 _Ref464580229”。关于缺省认证域的相关介绍及具体配置请参见“用户接入与认证配置指导”中的“AAA”。
为使得用户认证成功,必须保证按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置未知源IP用户使用的认证域。
ip subscriber unclassified-ip domain domain-name
缺省情况下,未知源IP用户的认证域为缺省认证域。
接口上开启了IPoE接入用户在线探测功能后,设备在用户上线之后将定时发送探测报文,如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户的报文),则认为此用户不在线,停止发送探测报文并删除用户。
若设备在探测过程中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
设备支持的IPv4探测报文为ARP请求报文和ICMP请求报文。
本探测功能当前仅支持对个人接入用户和二层接入模式下的专线子用户进行探测。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPv4接入用户在线探测功能。
ip subscriber user-detect ip { arp | icmp } retry retries interval interval
缺省情况下,使用ARP请求报文对IPv4接入用户进行在线探测,探测失败后允许重复尝试5次,探测的时间间隔为120秒。
本配置用来设置设备每次更新IPoE会话的流量统计信息的时间间隔。
在对IPoE接入用户的流量统计精确度要求较高的环境中,可以配置相对较小的更新时间间隔,以提高设备对流量的统计频率;反之,则可以配置较大的更新时间间隔。
(1) 进入系统视图。
system-view
(2) 配置IPoE会话的流量统计信息的更新时间间隔。
ip subscriber timer traffic
缺省情况下,IPoE会话的流量统计信息的更新时间间隔为180000毫秒。
可在任意视图下执行以下命令:
· 显示IPoE个人会话信息。
display ip subscriber session [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] | vxlan vxlan-id ] ] [ { { domain domain-name | mac mac-address | static | username name | auth-type bind } } * | ip ipv4-address [ vpn-instance vpn-instance-name ] ] [ verbose ] [ slot slot-number ]
可在任意视图下执行以下命令:
· 显示IPoE个人会话的统计信息。
display ip subscriber session statistics [ session-type { dhcp | static | unclassified-ip ] [ domain domain-name ] [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] | vxlan vxlan-id ] ] [ slot slot-number ]
· 显示IPoE接口专线用户的会话统计信息。
display ip subscriber interface-leased statistics [ domain domain-name ][ interface interface-type interface-number ] [ slot slot-number ]
· 显示IPoE子网专线用户的会话统计信息。
display ip subscriber subnet-leased statistics [ domain domain-name ] [ interface interface-type interface-number ] [ slot slot-number ]
可在任意视图下执行以下命令,显示IPoE用户会话下线原因的统计信息。
display ip subscriber offline statistics [ interface interface-type interface-number ]
请在用户视图下执行以下命令,清除IPoE用户会话下线原因统计信息。
reset ip subscriber offline statistics [ interface interface-type interface-number ]
请在用户视图下执行以下命令:
· 删除IPoE动态个人会话、全局静态个人会话和重置IPoE接口静态个人会话,强制用户下线。
reset ip subscriber session [ interface interface-type interface-number [ s-vlan svlan-id [ c-vlan cvlan-id ] | vxlan vxlan-id ] ] [ { { domain domain-name | mac mac-address | username name } } * | ip ipv4-address [ vpn-instance vpn-instance-name ] ]
网络连接正常且接口上的IPoE配置正确的情况下,某些DHCP客户端无法正常进行认证。
· 当DHCP客户端发送的报文里携带了指定的Option(DHCPv4为Option 60)时,若该Option内容对应的ISP域在接入设备上不存在,则无法进行认证。
· 当接口上指定了IPoE用户认证时使用的ISP域,且DHCP客户端发送的报文里未携带指定的Option时,若接口上指定的ISP域在接入设备上不存在,则无法进行认证。
通过调试信息或抓包工具查看DHCP客户端报文中是否携带Client-ID Option:
(1) 若报文中携带了指定的Option(DHCPv4为Option 60),则查看其内容,并在接入设备上配置与之同名的ISP域。
(2) 若报文中未携带指定的Option,则查看接口上是否指定了ISP域。若指定了ISP域,则在接入设备上配置与之同名的ISP域。
网络连接正常且接口上的IPoE配置正确的情况下,用户上线后,当用户的初始流量从Slot1单板的聚合组成员端口进入并跨板转发到Slot2单板,并从Slot2单板的非此聚合接口转发出去时,设备可以正常统计用户流量;但是,由于Slot1单板的聚合组成员端口Down掉等原因导致用户的后续流量从Slot2单板的聚合组成员接口进入,在这种情况下,就会出现无法进行用户流量统计的现象。
首先聚合组成员端口属于不同的单板,其次用户初始流量是跨板转发。
导致这种现象产生的原因是,当IPoE用户在聚合接口上线后,流量统计只能在用户认证成功的单板上进行,其它单板上的该用户流量不会被统计。
在该接入场景下,需要通过service命令指定聚合接口下流量的业务处理板,以此来保证用户流量统计功能的正常运行。但是,当指定的业务板若不在位时,则会导致用户流量中断。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
