13-IPoE配置
本章节下载: 13-IPoE配置 (502.60 KB)
目 录
1.6.3 配置动态IPoE个人接入用户的认证用户名的命名规则
1.6.7 配置动态IPoE DHCP个人接入用户的信任Option
1.7.4 配置静态IPoE个人接入用户的认证用户名的命名规则
1.15 配置IPoE接入用户的NAS-PORT-ID属性封装
IPoE(IP over Ethernet)是一种常见的IPoX接入方式,BRAS设备根据用户接入的位置信息自动生成用户名和密码进行身份认证的一种认证方式,无需用户输入用户名和密码。
IPoE的典型组网方式如下图所示,它由五个基本要素组成:用户主机、BRAS接入设备、AAA服务器、安全策略服务器和DHCP服务器。
图1-1 IPoE系统组成示意图
泛指所有通过局域网或广域网接入宽带接入设备的客户终端。
交换机、路由器等三层宽带接入设备的统称(下文简称为接入设备),主要有三方面的作用:
· 在认证之前,阻止用户访问互联网资源。
· 在认证过程中,与AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的互联网资源。
与接入设备进行交互,完成对用户的认证、授权和计费。目前仅RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器支持对IPoE用户进行认证、授权和计费。
与接入设备进行交互,完成对用户的安全检测,并对用户进行安全授权操作。
与用户主机、接入设备进行交互,完成对用户主机IP地址的管理和分配。
IPoE的接入模式分为二层和三层两种模式,对应的用户分别通过二层网络或三层网络接入。
· 二层接入:用户直接连接接入设备,或通过二层网络设备连接接入设备。接入设备需要识别用户的MAC地址。
· 三层接入:用户流量通过三层网络路由到接入设备,用户可直接连接接入设备或通过三层转发设备连接接入设备。接入设备不关心用户的MAC地址。
需要注意的是,通过三层转发设备接入时,用户报文信息中的源MAC地址为三层网络设备的MAC地址,并非用户的MAC地址,因此该方式下用户的MAC地址不能作为用户的身份标识。
IPoE支持通过IP报文、RS报文和DHCP报文三种触发方式上线。根据用户是否拥有独立的业务属性,IPoE用户可分为个人接入用户、专线接入用户两种类型。
个人接入用户拥有独立的业务属性,接入设备根据用户的位置信息和报文特征对其进行独立的认证、授权和计费。
根据触发上线方式的不同,可以将个人接入用户分为以下两种类型。
· 动态个人接入用户
动态个人接入用户通过IP报文、RS报文或DHCP报文触发上线,且由报文动态触发认证并根据认证结果建立IPoE会话。根据触发上线的方式不同可将动态个人接入用户分为未知源IP接入用户、IPv6 ND RS接入用户和DHCP接入用户。对于DHCP接入用户,还需要与DHCP服务器交互获取IP地址;对于IPv6 ND RS接入用户,还需要与接入设备进行交互获取IPv6地址。
· 静态个人接入用户
静态个人接入用户通过IP报文触发上线,需要用户报文与手工配置的IPoE会话匹配后才能触发认证。
专线是指将接入设备上的某个接口或接口上的某些系统资源整体出租给一组用户。一条专线下可以接入多个用户,在认证流程中表现为一个用户,也称为专线接入用户。配置专线后,无需用户IP流量触发,接入设备会自动根据命令行配置的专线接入用户的用户名和密码统一进行认证,通过认证后专线用户才可上线。
根据对专线资源的占用情况,可以分为以下几种类型。
· 接口专线用户:一个接口上接入的所有IP用户,该接口上接入的所有用户统一进行认证、授权和计费。
· 子网专线用户:一个接口上接入的指定子网内的所有IP用户,与接口专线用户类似,该接口上接入的所有指定子网的用户统一进行认证、授权和计费。
一个IPoE会话表示了一个或一组IPoE客户端的所有网络连接,可由客户端的IP报文特征或接入位置信息来标识,用于记录IPoE客户端的身份信息、认证状态、授权属性和DHCP地址分配信息等内容。
根据IPoE会话的触发方式,可以将IPoE会话分为动态IPoE会话和静态IPoE会话两种类型。
由动态个人接入用户触发建立的IPoE会话称为动态IPoE会话。
每个动态IPoE会话都有自己的生存周期,动态IPoE会话将在以下几种情况下被删除:
· AAA服务器授权的在线时长到期。
· AAA服务器强制用户下线。
· 在AAA服务器授权的闲置切断时长内,该会话的用户流量小于授权的流量阈值。
· 接入设备对该会话的在线用户进行探测,探测失败的次数达到最大值。
· 对于DHCP报文触发建立的IPoE会话,DHCP服务器分配的租约时长到期。
· 重启IPoE会话。
· 用户接入接口Down。
由用户的配置触发建立的IPoE会话称为静态IPoE会话,包括以下几种类型:
· 个人静态IPoE会话:仅代表一个指定IP地址的IPoE客户端的所有网络连接,通常用于为IP地址已知的客户端单独提供稳定的接入服务。
· 接口专线IPoE会话:代表一个接口上所有IPoE客户端的网络连接。
· 子网专线IPoE会话:代表一个接口上指定子网内的所有IPoE客户端的网络连接。
对于个人静态IPoE会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,接入设备会根据配置建立静态IPoE会话,在有IP流量通过时接入设备会尝试以配置的用户名和密码发起认证。个人静态IPoE会话不会因为用户认证失败而被删除,只能通过命令行的方式删除。
对于接口专线和子网专线IPoE会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,接入设备会根据配置建立静态IPoE会话,会话建立成功后无需用户流量触发,接入设备会主动尝试以配置的用户名和密码发起认证。
对于通过DHCP报文触发认证的用户,在认证成功之后由DHCP模块为其分配AAA授权的地址池中的地址。若AAA未授权,则使用用户所属认证域中配置的授权地址池;若认证域中未配置授权地址池,则在接口上配置了IP地址的情况下,由DHCP模块分配与接口IP地址同一网段的IP地址给用户。
在IPv6组网中,主机可以通过如下几种方式分配到IPv6全球单播地址:
· NDRA方式:对于通过RS报文触发认证的用户,在认证成功之后,可通过ND协议中的RA报文获得IPv6地址前缀,并通过获得的IPv6地址前缀生成IPv6全球单播地址。IPv6地址前缀的来源有四种:AAA授权的IPv6前缀、AAA授权的ND前缀池中的前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。四种来源的优先级依次降低,AAA授权的IPv6前缀优先级最高。
· DHCPv6(IA_NA)方式:主机通过DHCPv6协议申请IPv6全球单播地址。在为用户授权了IPv6地址池的情况下,DHCP报文触发方式还支持通过以下两种方式为用户授权指定的128位IPv6全球单播地址。
¡ AAA服务器通过Framed-IPv6-Address属性授权的128位IPv6全球单播地址。
¡ 本地用户视图下通过authorization-attribute ipv6命令授权的128位IPv6全球单播地址。
需要注意的是,上述两种方式授权的128位IPv6全球单播地址必须是授权的IPv6地址池中的地址,否则不会使用上述两种方式授权的128位IPv6全球单播地址,而是采用IPv6地址池中地址随机分配给用户。
· DHCPv6(IA_PD)方式:CPE设备通过DHCPv6协议申请代理前缀,并使用申请到的代理前缀为下面的主机分配IPv6全球单播地址。代理前缀分配方式中地址池的选择原则和通过DHCPv6协议分配IPv6全球单播地址方式中地址池的选择原则一致。
其中,NDRA+IA_PD、IA_NA+IA_PD可以根据实际组网需求进行组合使用,以满足多种地址分配方式的需求。
其它类型的用户,可以通过静态配置或通过DHCP动态分配获得IP地址,但其IP地址的获取与IPoE认证无关。
IPoE认证用户的接入流程主要包括以下几个步骤:
(1) 用户识别与发起认证请求
¡ 对于动态IPoE会话的用户,当发出的连接请求报文到达接入设备后,接入设备从中获取用户的物理位置等信息生成用户名和密码,向AAA服务器发起认证请求。
¡ 对于静态IPoE会话的用户,当用户的首报文通过接入设备时,接入设备以配置的认证信息向AAA服务器发起认证请求。
(2) 身份认证
接入设备根据该用户关联的认证域的配置向AAA服务器发起认证请求,并完成认证授权操作,若配置有安全策略服务器,则由安全策略服务器进行安全授权操作。
(3) 地址分配与管理(可选)
对于DHCP接入用户,身份认证通过后,接入设备通知DHCP模块负责为接入用户分配IP地址;对于IPv6 ND RS接入用户,身份认证通过后,IPoE负责为接入用户分配前缀,用户通过此前缀生成IPv6地址;若用户已经获取到IP地址,则无此步骤直接进入步骤(4)。
(4) 接入控制
IP地址分配成功后,接入设备通知用户上线,并根据授权结果对用户进行接入控制,计费等。
下面将详细介绍几种典型的IPoE用户接入流程。
当用户通过DHCP方式动态获取IP地址时,IPoE截获用户的DHCP报文,首先对用户进行身份认证,如果认证通过则可以允许继续申请动态IP地址,否则终止IPoE接入过程。这里以DHCP中继组网环境中的IPv4 DHCP用户的IPoE接入为例,具体流程如图1-2所示。
图1-2 IPv4 DHCP用户接入流程图
IPv4 DHCP报文触发的IPoE接入过程如下:
(1) DHCP客户端发送DHCP-DISCOVER报文;
(2) 接入设备在DHCP-DISCOVER报文中插入Option 82选项,然后把报文交由DHCP中继设备处理;
(3) DHCP中继设备根据DHCP-DISCOVER报文创建一个IPoE会话,并向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如DHCP报文中的Client ID选项、用户报文的源MAC地址;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) DHCP中继获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败;
(6) 如果用户认证通过,DHCP中继将DHCP-DISCOVER报文转发给DHCP服务器。如果认证失败,DHCP中继将丢弃DHCP-DISCOVER报文;
(7) DHCP服务器回应DHCP-OFFER报文。之后,DHCP中继把DHCP-OFFER报文转发给DHCP客户端;
(8) DHCP客户端根据DHCP-OFFER报文选择一个DHCP服务器,发送DHCP-REQUEST报文。之后,DHCP中继把DHCP-REQUEST报文转发给DHCP服务器;
(9) DHCP服务器回应DHCP-ACK报文;
(10) DHCP中继从DHCP-ACK报文中解析出用户的IP地址和其它地址参数信息,更新IPoE会话,并下发User Profile策略,然后将IPoE会话的状态置为在线;
(11) DHCP中继把DHCP-ACK报文转发给DHCP客户端。DHCP客户端根据收到的DHCP-ACK报文获得IP地址以及相关地址参数信息;
(12) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
当用户通过IPv6 ND RS方式动态获取IPv6地址时,IPoE截获用户的IPv6 ND RS报文,首先对用户进行身份认证,如果认证通过则发送IPv6 RA报文给用户,否则终止IPoE接入过程。这里以二层接入组网环境中的IPv6用户的IPoE接入为例,具体流程如图1-3所示。
图1-3 IPv6 ND RS用户接入流程图
IPv6 ND RS报文触发的IPoE接入过程如下:
(1) 用户主机发送IPv6 ND RS报文;
(2) 接入设备根据IPv6 ND RS报文创建一个IPoE会话;
(3) 接入设备向AAA服务器发送认证请求,认证请求消息中的用户名包含了用户信息,如源MAC地址等;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) 接入设备获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败。如果用户认证通过,则根据用户MAC地址和获取到的前缀信息生成用户IPv6地址,更新IPoE会话信息。如果认证失败,接入设备则丢弃收到的IPv6 ND RS报文;
(6) 接入设备发送携带前缀信息的IPv6 ND RA报文给用户主机。用户主机根据IPv6 ND RA报文中携带的前缀信息生成IPv6地址;
(7) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
对于已经通过DHCP、ND RS报文或手工静态配置的方式获取到IP地址的用户,当前接入设备上不存在对应的IPoE会话时,该用户的IP报文会直接触发IPoE认证,具体过程如图1-4所示。
图1-4 未知源IP接入用户触发IPoE接入过程
用户IP报文触发IPoE接入的步骤如下:
(1) 用户主机发送IP报文。
(2) 接入设备收到IP报文后,根据已有的IPoE会话检查该用户是否是新接入的用户。如果用户报文中的用户信息未匹配到相应的IPoE会话,则认为该用户是新用户,并为其创建IPoE会话,记录用户信息;对于匹配上IPoE会话且会话状态为已通过认证的用户报文,直接转发;对于匹配上IPoE会话且会话状态不为已通过认证的所有用户报文,均丢弃。
(3) 接入设备根据获取的用户信息向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如源IP地址或源MAC地址;
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文;
(5) 接入设备收到认证结果。如果用户认证通过,则根据授权信息下发业务策略,将IPoE会话状态置为在线。
(6) 接入设备向AAA服务器发送计费开始报文,开始对该用户进行计费。
静态个人用户的IPoE会话通过配置信息创建,当接口上有指定的IP报文通过时,将使用配置信息触发认证,认证流程与未知源IP接入方式中的认证流程相同。认证流程完成后,后续对应的用户报文到达设备后,接口直接将其转发。
专线接入用户的IPoE会话通过配置信息创建,无需接口上有报文通过,即可自动根据配置的用户名和密码发起认证。除触发认证方式不同外,其余认证流程与未知源IP接入方式中的认证流程相同,这里不再赘述。认证流程完成后,后续对应的用户报文到达设备对应接口后,即可直接转发。
实际组网应用中,接入用户可以属于不同的VPN,且各VPN之间的业务相互隔离。IPoE通过支持MPLS L3VPN,可实现位于不同VPN中的用户都能通过IPoE方式接入到网络中。用户通过AAA授权后,接入设备可以将不同用户划分到不同授权VPN中,实现服务器指定用户的VPN归属。需要注意的是,IPoE专线用户不支持通过AAA授权(包括ISP域和AAA服务器两种授权方式)VPN属性。有关通过ISP域授权VPN属性的相关介绍,请参见“安全配置指导”中的“AAA”。
在接口绑定VPN的情况下,为保证已经在线的用户流量可以在授权的VPN中正常转发,需要手工清除已有的IPoE会话。
IPoE通过支持ITA(Intelligent Target Accounting,智能靶向计费),可以实现对不同目的地址(如国内,国外等)进行不同的速率限定和计费。
ITA的具体配置请参见“安全配置指导”中的“AAA”。
IPoE目前仅支持如下接口:
· 三层以太网接口
· 三层以太网子接口
· 三层聚合接口
· 三层聚合子接口
· VLAN接口
IPoE认证接入用户配置任务如下:
(2) 配置IPoE认证接入用户类型
同一接口上,IPoE个人接入用户(包括动态个人和静态个人)和IPoE专线接入用户不能共存,只能选择其一;动态IPoE个人接入用户、静态IPoE个人用户可以共存。
(3) (可选)配置报文业务识别方式以及与认证域的映射关系
(4) (可选)配置IPoE接入用户的静默时间
(5) (可选)配置IPoE接入用户在线探测功能
(6) (可选)配置接口的IPoE接入端口类型
(7) (可选)配置IPoE会话的流量统计信息的更新时间间隔
(8) (可选)配置IPoE接入用户日志信息功能
(9) (可选)配置IPoE接入用户的NAS-PORT-ID属性封装
IPoE提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠IPoE不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法或本地认证方法,以配合IPoE完成用户的身份认证。IPoE的配置前提如下:
· 若配置的是DHCP触发方式,需要安装并配置好DHCP服务器。如果是DHCP中继组网,接入设备还需启动DHCP中继功能。
· 如果通过远端RADIUS服务器进行身份认证,则首先保证RADIUS服务器已安装并配置成功,其次需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。如果需要通过远端的安全策略服务器进行安全检测和授权,则需要在H3C iMC安全策略服务器上配置相应的安全策略,并在接入设备上指定安全策略服务器的IP地址。RADIUS客户端以及安全策略服务器的具体配置请参见“安全配置指导”中的“AAA”。
· 如果通过本地设备进行身份认证,则需要在接入设备上配置相关的本地用户及其属性。本地用户的具体配置请参见“安全配置指导”中的“AAA”。
· 保证用户、接入设备和各服务器之间路由可达。
不允许直接修改IPoE的接入模式,如需修改IPoE的接入模式必须先关闭IPoE功能之后,再在重新开启IPoE功能时指定新的接入模式。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPv4 IPoE功能,并指定用户接入模式。
ip subscriber { l2-connected | routed } enable
缺省情况下,接口上的IPv4 IPoE功能处于关闭状态。
(4) 开启IPv6 IPoE功能,并指定用户接入模式。
ipv6 subscriber { l2-connected | routed } enable
缺省情况下,接口上的IPv6 IPoE功能处于关闭状态。
动态IPoE个人接入用户配置任务如下:
(1) 配置动态IPoE会话的触发方式
(2) (可选)配置动态IPoE个人接入用户的认证用户名的命名规则
(3) (可选)配置动态IPoE个人接入用户的认证密码
(4) (可选)配置动态IPoE个人接入用户使用的认证域
(5) (可选)配置动态IPoE会话的最大数目
(6) (可选)配置动态IPoE DHCP个人接入用户的信任Option
(7) (可选)配置未知源个人接入用户的信任IP地址/地址范围
接口上开启了IPoE功能后,缺省情况下丢弃接收到的用户报文,需要配置IPoE用户触发方式,使指定的用户报文得以处理,后续能够正常使用网络服务。
接口上可同时配置多种触发方式,其中:
· 配置未知源IP触发方式后,IPoE会处理接口上收到的普通IP报文,保存用户信息生成IPoE会话,并进行认证、授权和计费。
· 配置DHCP触发方式后,IPoE会处理接口上收到的DHCP Discover报文、DHCP Solicit或直接申请地址的DHCP Request报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的DHCP报文交互更新用户信息。
· 配置IPv6 ND RS触发方式后,IPoE会处理接口上收到的IPv6 ND RS报文,保存用户信息生成IPoE会话,进行认证、授权和计费,并能根据后续的IPv6 ND报文交互更新用户信息。
开启IPv6 ND RS报文触发方式,需先确认接入设备可发送IPv6 ND RA报文。若接入设备可以发送IPv6 ND RA报文,则建议IPv6 ND RA报文发送间隔不小于6分钟。
IPv6 ND RS报文触发IPv6 IPoE会话功能仅在二层接入模式下生效。
Windows系统的PC可能生成两类IPv6地址,一类是随机生成,另外一类通过EUI-64方式生成。若用户使用随机生成的IPv6地址接入,会触发IPv6未知源IP报文方式的认证;若用户使用EUI-64方式生成的IPv6地址接入,用户报文可直接触发IPv6 ND RS方式的认证。因此,若要保证用户使用任何一种IPv6地址都可接入,建议在接口上同时开启IPv6未知源IP报文触发方式和IPv6 ND RS触发方式。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置动态IPv4 IPoE会话的触发方式。
ip subscriber initiator { dhcp | unclassified-ip } enable
缺省情况下,DHCPv4报文以及未知源IP报文触发生成IPoE会话功能均处于关闭状态。
(4) 配置动态IPv6 IPoE会话的触发方式。
ipv6 subscriber initiator { dhcp | ndrs | unclassified-ip } enable
缺省情况下,DHCPv6报文、ND RS报文以及IPv6未知源IP报文触发生成IPoE会话功能均处于关闭状态。
通过该配置可以指定动态IPoE个人接入用户认证使用的用户名的命名规则,并且根据该命名规则获取的用户名必须与认证服务器配置的用户名保持一致,用户才可以认证通过。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4 IPoE接入用户的认证用户名。
¡ 配置DHCPv4接入用户的认证用户名。
ip subscriber dhcp username include { circuit-id [ separator separator ] | client-id [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ separator separator ] | vendor-specific [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,DHCPv4接入用户使用报文源MAC地址作为认证用户名。
¡ 配置未知源IP接入用户的认证用户名。
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,未知源IP接入用户使用报文源IP地址作为认证用户名。
¡ 配置DHCPv6接入用户的认证用户名。
ipv6 subscriber dhcp username include { circuit-id [ separator separator ] | client-id [ separator separator ] | nas-port-id [ separator separator ] | port [ separator separator ] | remote-id [ separator separator ] | second-vlan [ separator separator] | slot [ separator separator] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vendor-class [ separator separator ] | vendor-specific [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,DHCPv6接入用户使用报文源MAC地址作为认证用户名。
¡ IPv6 ND RS接入用户的认证用户名
ipv6 subscriber ndrs username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,IPv6 ND RS接入用户使用报文源MAC地址作为认证用户名。
¡ 配置未知源IP接入用户的认证用户名。
ipv6 subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,未知源IP接入用户使用报文源IP地址作为认证用户名。
通过该配置指定IPoE接入用户进行认证时使用的密码,该密码必须与认证服务器配置的密码保持一致,用户才可以认证通过。
DHCP个人接入用户进行认证时选择使用密码的顺序为,报文中携带的Option(DHCPv4为Option 60,DHCPv6为Option 16)内容字符串-->接口上指定的IPoE接入用户使用的认证密码-->系统缺省的认证密码。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4 IPoE接入用户的认证密码。
¡ 配置IPv4 IPoE个人接入用户的认证密码。
ip subscriber password { ciphertext | plaintext } string
缺省情况下,IPv4 IPoE个人接入用户的认证密码为字符串vlan。
¡ 配置IPv4 DHCP个人接入用户使用Option 60字段的内容作为认证密码。
ip subscriber dhcp password option60 [ offset offset ] [ length length ]
缺省情况下,IPv4 DHCP个人接入用户未使用Option 60字段的内容作为认证密码。
若要使用报文中携带的Option 60内容作为认证密码,还必须配置信任DHCPv4报文中的Option 60字段。信任Option 60字段的介绍请参见“1.6.7 配置动态IPoE DHCP个人接入用户的信任Option”。
(4) 配置IPv6 IPoE个人接入用户的认证密码。
¡ 配置IPv6 IPoE个人接入用户的认证密码。
ipv6 subscriber password { ciphertext | plaintext } string
缺省情况下,IPv6 IPoE个人接入用户的认证密码为字符串vlan。
¡ 配置IPv6 DHCP个人接入用户使用Option 16字段的内容作为认证密码。
ipv6 subscriber dhcp password option16 [ offset offset ] [ length length ]
缺省情况下,IPv6 DHCP个人接入用户未使用Option 16字段的内容作为认证密码。
若要使用报文中携带的Option 16内容作为认证密码,还必须配置信任DHCPv6报文中的Option 16字段。信任Option 16字段的介绍请参见“1.6.7 配置动态IPoE DHCP个人接入用户的信任Option”。
从指定接口上接入的动态IPoE个人接入用户将按照如下先后顺序选择认证域:
· 对于DHCP接入用户:报文中携带的Option(DHCPv4为Option 60,DHCPv6为Option 16)内容字符串 > 接口上指定的IPoE接入用户使用的认证域 > 系统缺省的认证域。
· 对于ND RS接入用户:接口上指定的IPoE接入用户使用的认证域 > 系统缺省的认证域。
· 对于未知源IP接入用户:与报文指定业务特征相映射的认证域 > 接口上指定的IPoE接入用户使用的认证域 > 系统缺省的认证域。
关于报文业务识别方式映射的认证域的具体配置,请参见“1.9 配置报文业务识别方式以及与认证域的映射关系”。
关于缺省认证域的相关介绍及具体配置请参见“安全配置指导”中的“AAA”。
如果需要使用报文中携带的Option 60/Option 16中的信息作为DHCP个人接入用户的认证域,则需要配置接入设备信任DHCPv4 Option 60/DHCPv6 Option 16中的信息,具体配置请参见“1.6.7 配置动态IPoE DHCP个人接入用户的信任Option”。
为使得用户认证成功,必须保证按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4 IPoE接入用户使用的认证域。
ip subscriber { dhcp | unclassified-ip } domain domain-name
缺省情况下,IPv4未知源IP接入用户和IPv4 DHCP接入用户的认证域为缺省认证域。
(4) 配置IPv6 IPoE接入用户使用的认证域。
ipv6 subscriber { dhcp | ndrs | unclassified-ip } domain domain-name
缺省情况下,IPv6未知源IP接入用户、IPv6 ND RS接入用户和IPv6 DHCP接入用户的认证域为缺省认证域。
通过配置动态IPoE会话的最大数目可以控制系统中的动态IPoE个人接入用户总数,包括动态IPv4 IPoE个人接入用户和动态IPv6 IPoE个人接入用户。
如果接口上配置的IPoE最大会话数目小于当前处于在线状态的动态IPoE会话数目,则该配置可以执行成功,且在线IPoE用户不受影响,但系统将不允许新的IPoE用户接入。
建议保证所有开启IPoE的接口上配置的最大会话数目之和,不要超过整机IPoE的最大会话数目(整机IPoE的最大会话数目由设备的缺省规格或授权的License规格决定),否则会有部分IPoE用户因为整机最大用户数已达到而无法上线。
如果安装的License规格小于系统当前处于在线状态的动态IPoE会话数目,则该License可以安装成功,且在线IPoE用户不受影响,但系统将不允许新的IPoE用户接入。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置动态IPv4 IPoE会话的最大数目。
ip subscriber { dhcp | unclassified-ip } max-session max-number
缺省情况下,未配置接口上允许创建的动态IPv4 IPoE会话的最大数目。
(4) 配置动态IPv6 IPoE会话的最大数目。
ipv6 subscriber { dhcp | ndrs | unclassified-ip } max-session max-number
缺省情况下,未配置接口上允许创建的动态IPv6 IPoE会话的最大数目。
在DHCP中继组网环境中,接入设备可以从用户的DHCP报文中提取出相应的DHCP Option,这些Option中携带了用户接入线路的相关信息,例如接入节点的物理位置、线路速率等。如果接入设备信任DHCP报文中的这些Option,则会使用这些Option中的相关子选项内容来封装发往RADIUS服务器的RADIUS属性,远程RADIUS服务器可结合这些属性对用户进行更为灵活的接入管理。
信任的Option和对应的RADIUS属性对应关系为:
· 若信任DHCPv4 Option 82,则其中的Circuit-ID子选项可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv4 Option 82,则其中的Remote-ID子选项可用来封装DSL_AGENT_REMOTE_ID属性。
· 若信任DHCPv6 Option 18,则Option 18可用来封装NAS-PORT-ID和DSL_AGENT_CIRCUIT_ID属性。
· 若信任DHCPv6 Option 37,则Option 37可用来封装DSL_AGENT_REMOTE_ID属性。
在DHCP组网环境中,如果接入设备信任DHCPv4 Option 60/DHCPv6 Option 16中的信息,在满足一定的条件时,IPoE用户可以使用Option 60/Option 16中的信息作为指定的认证域进行认证。有关认证域的具体选择情况,请参见“1.6.5 配置动态IPoE个人接入用户使用的认证域”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任DHCPv4报文中的指定Option。
ip subscriber trust { option60 | option82 }
缺省情况下,不信任DHCPv4报文中的任何Option。
(4) 配置信任DHCPv6报文中的指定Option。
ipv6 subscriber trust { option16 | option18 | option37 }
缺省情况下,不信任DHCPv6报文中的任何Option。
在一些组网环境中,接口上可能需要同时开启Portal和未知源IPoE报文触发生成IPoE会话功能,例如:管理员给门禁、监控摄像头、打印机等哑终端分配固定的静态IP地址并使用未知源IPoE触发方式认证,同时宽带拨号用户使用Portal认证;这种组网环境可配置未知源个人接入用户的信任IP地址/地址范围,使设备根据接口上收到的IP报文中源地址是否是信任IP地址,分别做如下不同的处理:
· 如果未知源IP报文能够匹配静态IPoE会话,则不论IP报文中源地址是否是信任的IP地址,都直接走IPoE静态用户上线流程。
· 如果未知源IP报文未能匹配静态IPoE会话,则按如下原则处理:
¡ 如果IP报文中源地址是信任的IP地址,则触发未知源IPoE认证;
¡ 如果IP报文源地址是非信任IP地址,则不会触发IPoE接入认证,用户直接进入Portal认证流程。有关Poral认证的相关介绍请参见“安全配置指导”中的“Portal”。
需要注意的是,当接口仅开启未知源IP报文触发生成IPoE会话功能,但未开启Portal功能时,如果配置了信任IP地址,设备根据接口上收到的IP报文中源地址是否是信任IP地址,分别做如下不同的处理:
· 如果未知源IP报文能够匹配静态IPoE会话,则不论IP报文中源地址是否是信任的IP地址,都直接走IPoE静态用户上线流程。
· 如果未知源IP报文未能匹配静态IPoE会话,则只有当未知源IP报文的IP地址与配置的信任IP地址匹配时才会触发IPoE接入认证,否则丢弃报文。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置信任的源IPv4地址/地址范围。
ip subscriber unclassified-ip ip match start-ip-address [ end-ip-address ]
缺省情况下,未配置信任任何源IPv4地址/地址范围。
静态IPoE个人接入用户配置任务如下:
(1) 配置静态IPoE会话的触发方式
(2) 配置静态IPoE会话
(3) (可选)配置静态IPoE个人接入用户的认证用户名的命名规则
(4) (可选)配置静态IPoE个人接入用户的认证密码
(5) (可选)配置静态IPoE个人接入用户使用的认证域
(6) (可选)配置静态IPoE白名单功能
配置静态IPoE会话时,必须开启未知源IP报文触发生成IPoE会话的功能,才能使IP报文来触发静态IPoE会话发起认证。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置静态IPv4 IPoE会话的触发方式。
ip subscriber initiator unclassified-ip enable
缺省情况下,未知源IP报文触发生成IPoE会话功能处于关闭状态。
(4) 配置静态IPv6 IPoE会话的触发方式。
ipv6 subscriber initiator unclassified-ip enable
缺省情况下,IPv6未知源IP报文触发生成IPv6 IPoE会话功能处于关闭状态。
管理员手工输入静态IPoE会话所需的信息(用户IP地址、MAC地址、用户报文的内/外层VLAN)后,接入设备根据这些信息生成对应的静态IPoE会话。当接口上有与手工配置的静态IPoE会话相匹配的IP报文通过时,将触发认证过程。认证成功后,设备对静态IPoE个人接入用户下发用户策略,允许该用户报文通过接口并对该用户的流量进行计费。
同一接口下任意IP地址的个人静态IPoE会话最多只能存在一条。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置静态IPv4 IPoE会话。
ip subscriber session static ip ip-address [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ description string ]
缺省情况下,未配置静态IPv4 IPoE会话。
本命令中的vlan和second-vlan参数仅子接口支持,非子接口不支持。
(4) 配置静态IPv6 IPoE会话。
ipv6 subscriber session static ipv6 ipv6-address [ vlan vlan-id [ second-vlan vlan-id ] ] [ mac mac-address ] [ domain domain-name ] [ description string ]
缺省情况下,未配置静态IPv6 IPoE会话。
本命令中的vlan和second-vlan参数仅子接口支持,非子接口不支持。
通过该配置可以指定静态IPoE个人接入用户认证使用的用户名的命名规则,并且根据该命名规则获取的用户名必须与认证服务器配置的用户名保持一致,用户才可以认证通过。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4未知源IP接入用户的认证用户名。
ip subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,IPv4未知源IP接入用户采用用户报文的源IPv4地址作为认证用户名。
(4) 配置IPv6未知源IP接入用户的认证用户名。
ipv6 subscriber unclassified-ip username include { nas-port-id [ separator separator ] | port [ separator separator ] | second-vlan [ separator separator ] | slot [ separator separator ] | source-ip [ address-separator address-separator ] [ separator separator ] | source-mac [ address-separator address-separator ] [ separator separator ] | subslot [ separator separator ] | sysname [ separator separator ] | vlan [ separator separator ] } *
缺省情况下,IPv6未知源IP接入用户采用用户报文的源IPv6地址作为认证用户名。
静态IPoE个人接入用户使用接口上配置的IPoE个人接入用户的认证密码进行认证。通过该配置指定的密码必须与认证服务器配置的密码保持一致,用户才可以认证通过。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4 IPoE个人接入用户的认证密码。
ip subscriber password { ciphertext | plaintext } string
缺省情况下,IPv4 IPoE个人接入用户的认证密码为字符串vlan。
(4) 配置IPv6 IPoE个人接入用户的认证密码。
ipv6 subscriber password { ciphertext | plaintext } string
缺省情况下,IPv6 IPoE个人接入用户认证密码为字符串vlan。
静态IPoE个人接入用户将按照接口上的配置选择认证域,认证域优先级顺序从高到低依次为:静态IPoE会话中指定的认证域 > 报文业务识别方式映射的认证域 > 未知源IP用户使用的认证域 >缺省认证域。其中,关于报文业务识别方式映射的认证域的具体配置,请参见“1.9 配置报文业务识别方式以及与认证域的映射关系”。关于缺省认证域的相关介绍及具体配置请参见“安全配置指导”中的“AAA”。
为使得用户认证成功,必须保证按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4未知源IP用户使用的认证域。
ip subscriber unclassified-ip domain domain-name
缺省情况下,IPv4未知源IP用户的认证域为缺省认证域。
(4) 配置IPv6未知源IP用户使用的认证域。
ipv6 subscriber unclassified-ip domain domain-name
缺省情况下,IPv6未知源IP用户的认证域为缺省认证域。
在一些组网环境中,接口上可能需要同时开启IPoE和Portal功能,例如:监控摄像头等哑终端使用IPoE进行免认证上线,同时宽带拨号用户使用Portal进行Web认证上线;这种组网环境可配置IPoE白名单功能。
开启 IPoE白名单功能后,仅匹配到静态IPoE会话的IP流量才会触发IPoE认证,其余流量IPoE不做任何处理,均直接放行。
当接口同时开启IPv4 IPoE白名单功能和Portal功能时:
· 如果用户IPv4流量可以匹配到静态IPv4 IPoE会话,则按静态IPv4 IPoE认证流程处理。当需要对IPoE用户进行免认证时,domain认证域下的IPoE认证及授权方式必须配置为none。
· 如果用户IPv4流量未匹配任何静态IPv4 IPoE会话,则进入Portal认证流程处理。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4 IPoE白名单功能。
ip subscriber whitelist enable
缺省情况下,IPv4 IPoE白名单功能为关闭状态。
(4) 配置IPv6 IPoE白名单功能。
ipv6 subscriber whitelist enable
缺省情况下,IPv6 IPoE白名单功能为关闭状态。
IPoE专线接入用户配置任务如下:
(1) 配置IPoE专线接入用户
请选择以下一项任务进行配置:
(2) (可选)配置IPoE专线接入用户的认证域
一个IPoE接口专线代表了该接口接入的所有IP用户,接口专线上接入的所有用户统一认证、计费授权。
每个接口上只能配置一个IPv4接口专线用户和一个IPv6接口专线用户。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4 IPoE接口专线用户。
ip subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情况下,未配置IPv4 IPoE接口专线用户。
(4) 配置IPv6 IPoE接口专线用户。
ipv6 subscriber interface-leased username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情况下,未配置IPv6 IPoE接口专线用户。
一个IPoE接口子网专线代表了该接口上指定子网的所有IP用户,接口子网专线上接入的所有用户统一认证、计费授权。
一个接口上可以配置多个子网专线用户,但必须保证每个子网的掩码长度一致。每个子网只能配置一个子网专线用户。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4 IPoE子网专线用户。
ip subscriber subnet-leased ip ip-address { mask | mask-length } username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情况下,未配置IPv4 IPoE子网专线用户。
(4) 配置IPv6 IPoE子网专线用户。
ipv6 subscriber subnet-leased ipv6 ipv6-address prefix-length username name password { ciphertext | plaintext } string [ domain domain-name ]
缺省情况下,未配置IPv6 IPoE子网专线用户。
IPoE专线接入用户将按照接口上的配置选择认证域,认证域优先级顺序从高到低依次为:IPoE子网/接口专线用户配置中指定的认证域 > 与报文指定业务特征相映射的认证域 > 未知源IP用户使用的认证域 >系统缺省的认证域。其中,关于报文业务识别方式映射的认证域的具体配置,请参见“1.9 配置报文业务识别方式以及与认证域的映射关系”。关于缺省认证域的相关介绍及具体配置请参见“安全配置指导”中的“AAA”。
为使得用户认证成功,必须保证按照认证域优先顺序选择出的认证域在接入设备上存在且配置完整。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4未知源IP用户使用的认证域。
ip subscriber unclassified-ip domain domain-name
缺省情况下,IPv4未知源IP用户的认证域为缺省认证域。
(4) 配置IPv6未知源IP用户使用的认证域。
ipv6 subscriber unclassified-ip domain domain-name
缺省情况下,IPv6未知源IP用户的认证域为缺省认证域。
不同的IP报文携带了不同的报文信息,可以通过配置业务识别方式,根据用户IP报文的内/外层VLAN ID值、内/外层VLAN携带的802.1p值、DSCP值,来决定对该用户使用不同的认证域。
对于DHCPv4接入用户,如果同时配置了信任DHCPv4 Option 60中的信息,则优先使用Option 60中的信息作为指定的认证域。
对于DHCPv6接入用户,如果同时配置了信任DHCPv6 Option 16中的信息,则优先使用Option 16中的信息作为指定的认证域。
如果配置了某种业务识别方式所映射的认证域,但是没有配置使用该业务识别方式,则前者不生效。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4接入用户的业务识别方式。
ip subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan }
(4) 配置IPv4接入用户的报文与认证域的映射关系。
¡ 配置IPv4接入用户的IP报文内/外层VLAN值与认证域的映射关系。
ip subscriber vlan vlan-list domain domain-name
¡ 配置IPv4接入用户的IP报文内/外层VLAN tag中802.1p值与认证域的映射关系。
ip subscriber 8021p 8021p-list domain domain-name
¡ 配置IPv4接入用户的IP报文DSCP值与认证域的映射关系。
ip subscriber dscp dscp-value-list domain domain-name
缺省情况下,未配置IPv4接入用户(包括DHCPv4接入用户、未知源IP接入用户、静态IPoE接入用户和IPoE子网/接口专线用户)使用的业务识别方式,也没有配置与之相映射的认证域。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv6接入用户的业务识别方式。
ipv6 subscriber service-identify { 8021p { second-vlan | vlan } | dscp | second-vlan | vlan }
(4) 配置IPv6接入用户的报文与认证域的映射关系。
¡ 配置IPv6接入用户的IP报文内/外层VLAN值与认证域的映射关系。
ipv6 subscriber vlan vlan-list domain domain-name
¡ 配置IPv6接入用户的IP报文内/外层VLAN tag中802.1p值与认证域的映射关系。
ipv6 subscriber 8021p 8021p-list domain domain-name
¡ 配置IPv6接入用户的IP报文DSCP值与认证域的映射关系。
ipv6 subscriber dscp dscp-value-list domain domain-name
缺省情况下,未配置IPv6接入用户(包括DHCPv6接入用户、未知源IPv6接入用户、静态IPv6 IPoE接入用户和IPv6 IPoE子网/接口专线用户)使用的业务识别方式,也没有配置与之相映射的认证域。
本配置用来设置IPoE用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃,可以防止该类用户报文持续发送给服务器认证而对设备性能造成影响。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4 IPoE用户的静默时间。
ip subscriber timer quiet time
缺省情况下, IPv4 IPoE用户的静默时间功能处于关闭状态。
(4) 配置IPv6 IPoE用户的静默时间。
ipv6 subscriber timer quiet time
缺省情况下, IPv6 IPoE用户的静默时间功能处于关闭状态。
接口上开启了IPoE接入用户在线探测功能后,设备在用户上线之后将定时发送探测报文,如果设备在探测间隔内未收到用户的报文,则认为一次探测失败。
若设备首次探测失败,将继续做指定次数(retries)的重复探测,若全部探测尝试都失败(即一直未收到该用户的报文),则认为此用户不在线,停止发送探测报文并删除用户。
若设备在探测过程中收到用户的报文,则认为用户在线,重置探测定时器并开始下一次探测。
设备支持的IPv4探测报文为ARP请求报文和ICMP请求报文,支持的IPv6探测报文为ND协议中的NS报文和ICMPv6请求报文。
本探测功能当前仅支持对个人接入用户进行探测。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPv4 IPoE接入用户在线探测功能。
ip subscriber user-detect { arp | icmp } retry retries interval interval
缺省情况下,IPv4 IPoE接入用户在线探测功能处于关闭状态。
(4) 开启IPv6 IPoE接入用户在线探测功能。
ipv6 subscriber user-detect { icmpv6 | nd } retry retries interval interval
缺省情况下,IPv6 IPoE接入用户在线探测功能处于关闭状态。
配置的接入端口类型值将作为接入设备向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值,用于向RADIUS服务器正确传递IPoE接入用户的接入端口信息。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置IPv4 IPoE接入端口类型。
ip subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情况下,IPv4 IPoE接入端口类型为Ethernet类型。
(4) 配置IPv6 IPoE接入端口类型。
ipv6 subscriber nas-port-type { 802.11 | adsl-cap | adsl-dmt | async | cable | ethernet | g.3-fax | hdlc | idsl | isdn-async-v110 | isdn-async-v120 | isdn-sync | piafs | sdsl | sync | virtual | wireless-other | x.25 | x.75 | xdsl }
缺省情况下,IPv6 IPoE接入端口类型为Ethernet类型。
本配置用来设置设备每次更新IPoE会话的流量统计信息的时间间隔。
更新IPoE会话的流量统计信息会占用一定的系统资源,一般情况下建议使用缺省时间间隔。在对IPoE接入用户的流量统计精确度要求较高的环境中,可以配置相对较小的更新时间间隔,以提高设备对流量的统计频率;反之,则可以配置较大的更新时间间隔。
当网络中有大量用户上线时,如果为上线用户授权了idle-cut属性,为避免用户因闲置切断时间超时被下线,可根据授权的idle-cut属性值适当调整更新时间间隔。
(1) 进入系统视图。
system-view
(2) 配置IPv4 IPoE会话的流量统计信息的更新时间间隔。
ip subscriber timer traffic value
缺省情况下,IPv4 IPoE会话的流量统计信息的更新时间间隔为60000毫秒。
(3) 配置IPv6 IPoE会话的流量统计信息的更新时间间隔。
ipv6 subscriber timer traffic value
缺省情况下,IPv6 IPoE会话的流量统计信息的更新时间间隔为60000毫秒。
IPoE接入用户日志是为了满足网络管理员维护的需要,对用户的上线成功、上线失败、正常下线和异常下线的信息进行记录,包括用户名、IP地址、接口名称、两层VLAN、MAC地址、上线失败原因、下线原因等。设备生成的IPoE日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的IPoE日志信息,一般情况下建议不要开启此功能。
(1) 进入系统视图。
system-view
(2) 开启IPv4 IPoE接入用户日志信息功能。
ip subscriber access-user log enable [ successful-login | failed-login | logout [ normal ] [ abnormal ] ] *
缺省情况下,IPv4 IPoE接入用户日志信息功能处于关闭状态。
(3) 开启IPv6 IPoE接入用户日志信息功能。
ipv6 subscriber access-user log enable [ successful-login | failed-login | logout [ normal ] [ abnormal ] ] *
缺省情况下,IPv6 IPoE接入用户日志信息功能处于关闭状态。
IPoE用户进行认证时,需要按照运营商要求的封装格式向RADIUS服务器传递NAS-PORT-ID属性,该属性标识了用户所处的物理位置。
NAS-PORT-ID属性支持两种封装格式:
· version 1.0:发送给RADIUS服务器的NAS-PORT-ID属性以电信163大后台要求的格式填充。
· version 2.0:发送给RADIUS服务器的NAS-PORT-ID属性以YDT 2275-2011宽带接入用户线路(端口)标识要求的格式填充。
在DHCP中继组网环境中,当接入设备采用version 2.0格式封装RADIUS NAS-PORT-ID属性时,可以配置信任DHCPv4 报文中的Option82或DHCPv6报文中的Option18,并在提取出的Option82 或Option18的Circuit-ID子选项中插入NAS信息后,使用该子选项内容填充NAS-PORT-ID属性。插入的新NAS信息标识了用户在本设备上的接入位置。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 为IPv4 IPoE接入用户配置NAS-PORT-ID属性的封装格式。
ip subscriber nas-port-id format cn-telecom { version1.0 | version2.0 }
缺省情况下,按version 1.0格式填充RADIUS的NAS-PORT-ID属性。
(4) (可选)配置信任DHCPv4报文中的Option 82。
ip subscriber trust option82
缺省情况下,不信任DHCPv4报文中的Option 82。
(5) (可选)配置在提取出的Option 82 Circuit-ID子选项内容中插入NAS信息,并使用插入NAS信息后的内容作为NAS-PORT-ID属性。
ip subscriber nas-port-id nasinfo-insert
缺省情况下,如果收到的DHCPv4报文带有Option 82 Circuit-ID子选项,则直接使用该子选项内容作为NAS-PORT-ID属性内容。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 为IPv6 IPoE接入用户配置NAS-PORT-ID属性的封装格式。
ipv6 subscriber nas-port-id format cn-telecom { version1.0 | version2.0 }
缺省情况下,按version 1.0格式填充RADIUS的NAS-PORT-ID属性。
(4) (可选)配置信任DHCPv6报文中的Option 18。
ipv6 subscriber trust option18
缺省情况下,不信任DHCPv6报文中的任何Option。
(5) (可选)配置在提取出的Option 18内容中插入NAS信息,并使用插入NAS信息后的内容作为NAS-PORT-ID属性。
ipv6 subscriber nas-port-id nasinfo-insert
缺省情况下,如果收到的DHCPv6报文带有Option 18,则直接使用该选项内容作为发往RADIUS服务器的NAS-PORT-ID属性内容。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IPoE的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IPoE统计信息。
表1-1 IPv4 IPoE显示和维护
操作 |
命令 |
显示IPv4个人IPoE会话信息 |
display ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name ] [ slot slot-number ] [ verbose ] |
显示IPv4 IPoE接口专线用户信息 |
display ip subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ] |
显示IPv4 IPoE子网专线用户信息 |
display ip subscriber subnet-leased [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv4 IPoE个人用户统计信息 |
display ip subscriber session statistics [ session-type { dhcp | static | unclassified-ip } ] [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv4 IPoE接口专线用户统计信息 |
display ip subscriber interface-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv4 IPoE子网专线用户统计信息 |
display ip subscriber subnet-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
显示IPv4 IPoE用户下线原因的统计信息 |
display ip subscriber offline statistics [ interface interface-type interface-number ] |
清除动态个人IPv4 IPoE会话,强制用户下线 |
reset ip subscriber session [ interface interface-type interface-number ] [ domain domain-name | ip ip-address [ vpn-instance vpn-instance-name ] | mac mac-address | username name ] |
清除IPv4 IPoE用户下线原因统计信息 |
reset ip subscriber offline statistics [ interface interface-type interface-number ] |
表1-2 IPv6 IPoE显示和维护
操作 |
命令 |
显示IPv6个人IPoE会话信息 |
display ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | static | username name ] [ slot slot-number ] [ verbose ] |
显示IPv6 IPoE接口专线用户信息 |
display ipv6 subscriber interface-leased [ interface interface-type interface-number ] [ slot slot-number ] |
显示IPv6 IPoE子网专线用户信息 |
display ipv6 subscriber subnet-leased [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv6 IPoE个人用户统计信息 |
display ipv6 subscriber session statistics [ session-type { dhcp | ndrs | static | unclassified-ip } ] [ interface interface-type interface-number ] [slot slot-number ] |
显示已经上线和正在上线的IPv6 IPoE接口专线用户统计信息 |
display ipv6 subscriber interface-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
显示已经上线和正在上线的IPv6 IPoE子网专线用户统计信息 |
display ipv6 subscriber subnet-leased statistics [ interface interface-type interface-number ] [ slot slot-number ] |
显示IPv6 IPoE用户下线原因的统计信息 |
display ipv6 subscriber offline statistics [ interface interface-type interface-number ] |
清除动态个人IPv6 IPoE会话,强制用户下线 |
reset ipv6 subscriber session [ interface interface-type interface-number ] [ domain domain-name | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] | mac mac-address | username name ] |
清除IPv6 IPoE用户下线原因统计信息 |
reset ipv6 subscriber offline statistics [ interface interface-type interface-number ] |
网络连接正常且接口上的IPoE配置正确的情况下,某些DHCP客户端无法正常进行认证。
· 当DHCP客户端发送的报文里携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16)时,若该Option内容对应的ISP域在接入设备上不存在,则无法进行认证。
· 当接口上指定了IPoE用户认证时使用的ISP域,且DHCP客户端发送的报文里未携带指定的Option时,若接口上指定的ISP域在接入设备上不存在,则无法进行认证。
通过调试信息或抓包工具查看DHCP客户端报文中是否携带Client-ID Option:
(1) 若报文中携带了指定的Option(DHCPv4为Option 60,DHCPv6为Option 16),则查看其内容,并在接入设备上配置与之同名的ISP域。
(2) 若报文中未携带指定的Option,则查看接口上是否指定了ISP域。若指定了ISP域,则在接入设备上配置与之同名的ISP域。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!