所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置RADIUS

配置RADIUS

当对用户的认证、计费通过远端RADIUS服务器时需要配置RADIUS相关信息。

配置RADIUS认证/计费服务器

RADIUS认证服务器和计费服务器使用一台服务器时应使用不同的端口。

背景信息

配置RADIUS认证/计费服务器需要指定以下参数:

  • 认证/计费服务器的IP地址;

  • 认证/计费服务器所属的VPN实例;

  • 认证/计费服务器的端口号,缺省值为1812和1813;

  • 认证/计费服务器的权重,只对负荷分担方式有效,缺省为0。

说明:

RADIUS认证服务器和计费服务器可以使用相同的IP地址,即同一台服务器既可以是认证服务器也可以是计费服务器。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
  3. 执行命令radius-server authentication { ip-address [ vpn-instance instance-name ] | ipv6-address } port [ weight weight-value ],配置RADIUS认证服务器。

    如果PPP用户采用不同的认证端口,执行命令radius-server authentication ip-address [ vpn-instance instance-name ] ppp-user-port port

  4. (可选)执行命令radius-server authentication rollover-on-reject,配置使能在收到Radius认证拒绝消息时轮询服务器认证功能。
  5. (可选)执行命令radius-server { retransmitretry-times | timeouttimeout-value }*,配置向RADIUS服务器发送报文的次数和超时重传的时间。

    执行命令时,如果不指定参数authenticationaccounting,则配置值对RADIUS服务器组视图下所有RADIUS认证服务器和计费服务器均生效。如果指定参数authentication,配置对RADIUS服务器组下的所有认证服务器生效。如果指定参数accounting,配置对RADIUS服务器组下的所有计费服务器生效。

  6. 执行命令radius-server accounting { ip-address [ vpn-instance instance-name ] | ipv6-address } port [ weight weight-value ],配置RADIUS计费服务器。

    如果PPP用户采用不同的计费端口,执行命令radius-server accounting ip-address [ vpn-instance instance-name ] ppp-user-port port

  7. (可选)执行命令radius-server accounting-start-packet resend [ resend-times ],配置计费服务器的开始计费报文入缓存队列后的重发次数。
  8. (可选)执行命令radius-server accounting-stop-packet resend [ resend-times ],配置计费服务器的计费结束报文的重发次数。
  9. (可选)执行命令radius-server accounting-stop-packet send force,配置使能强制发送停止计费报文。

    一般情况下RADIUS服务器是在计费成功后才生成用户表项,但一些RADIUS服务器用户在认证成功计费开始前就会在数据库中生成用户表项,如申请IP地址,但如果由于异常原因用户认证成功后计费失败,这个申请的IP地址就不能被释放,用户再上线不能成功,必须配置此命令强制NE40E给RADIUS服务器发送一个停止计费报文来释放已申请的IP。

    此命令只对用户认证成功但计费失败,RADIUS服务器在数据库中残留生成的用户表项情况生效。

  10. (可选)执行命令radius-server accounting-interim-packet resend [ resend-times ],开启RADIUS实时计费报文缓存功能,并指定实时计费报文入缓存队列后的重传次数。

  11. (可选)执行命令radius-server accounting cache max-packet-number,配置允许缓存的最大用户计费报文数。

    说明:

    当指定的最大缓存计费报文数不是8192个时,系统将只按照配置的max-packet-number值来限制可以缓存的计费报文数,不再对用户数做限制。

  12. (可选)执行命令radius-server accounting cache retransmit retransmit timeout timeout,配置RADIUS计费缓存报文重传触发的时间间隔和每次触发的用户个数。

  13. (可选)执行命令radius-server accounting cache memory-threshold memory-threshold-value,配置主用主控板内存使用率阈值。

  14. (可选)执行命令radius-server accounting cache-warning-threshold upper-limit upper-limit lower-limit lower-limit,开启计费报文缓存告警,并配置计费报文缓存告警阈值,当计费报文缓存使用率达到阈值时触发告警。

    计费报文缓存使用率=当前已缓存的计费报文数/允许缓存的最大计费报文数。

  15. (可选)执行命令radius-server cache keep packet,当缓存报文发送达到重传次数后不删除缓存中的报文。

  16. (可选)执行命令radius-server cache resend packet,手动触发发送缓存中的报文。

(可选)配置RADIUS代理认证功能

背景信息

在某些情况下,用户的认证和计费可能在不同设备上进行,例如AC负责用户认证,BRAS负责用户计费。为了避免两台设备都向RADIUS服务器发送认证报文的情况,可以将负责用户计费的BRAS设备作为RADIUS代理,在转发RADIUS认证报文时记录用户的认证信息。BRAS设备通过配置RADIUS代理认证功能透传指定的RADIUS客户端的RADIUS报文到RADIUS服务器上,并且可以记录RADIUS下发的授权信息,透传认证回应报文。如果BRAS设备的用户域下配置的认证方式为radius-proxy,则设备可以使用之前认证回应中记录的授权信息给用户授权。

说明:
目前RADIUS代理认证功能仅支持IPoE用户。

请在NE40E进行如下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-client ip-address [ mask { mask-ip | mask-length } ] [ vpn-instance instance-name ] { { shared-key key | shared-key-cipher key-string-cipher } | server-group groupname | roam-domain domain-name | domain-authorization | trigger-web { authentication | accounting | none } } *,配置RADIUS客户端,包括RADIUS客户端的IP地址、所属VPN实例、共享密钥和对应的RADIUS服务器组。
  3. (可选)执行命令radius-client check-attribute-length loose ,配置认证或计费请求报文属性长度松散检查。
  4. (可选)执行命令radius-client packet dscp dscp-value,配置BRAS设备发送给AP/AC的RADIUS报文的DSCP优先级。
  5. 执行命令commit,提交配置。

(可选)配置RADIUS服务器的选择算法

当RADIUS服务器组中的认证/计费服务器多于一个时,可配置选择服务器的算法,包括负载分担和主备备份两种。

背景信息

RADIUS服务器的选择算法:
  • 当配置命令radius-server algorithm master-backup或缺省情况下RADIUS服务器的选择算法为主备备份:即第一个配置的服务器为主用服务器,其余的为备用服务器。主服务器down后,才会选择备服务器。

    • 第一次发送报文时

      首先选择状态为UP的主服务器,如果没有状态为UP的服务器则选择第一个配置的服务器。

    • 报文超时重传时
      • 如果以前已经选择好了服务器,而且没有达到重传次数,则继续向该服务器发送;

      • 如果达到重传次数,且主服务器超时,则选择向最近一次收到报文的那个服务器发送,如果没有这样的服务器或者最近一次收到报文的服务器已经发送过则采用轮询的方式选择下一个UP的备服务器,如果没有UP的备服务器,则找下一个配置的备服务器;
      • 如果达到重传次数,且备服务器超时,则采用轮询的方式选择下一个UP的备服务器,如果没有UP的备服务器,则找下一个配置的备服务器。
  • 当配置命令radius-server algorithm loading-share命令时RADIUS服务器的选择算法为负载分担:即多台设备根据各服务器的权重,按比例进行负载分配。

    • 如果RADIUS服务器权重之和等于0,则认为各RADIUS服务器权重一样,随机选择一个UP的服务器。

      例如RADIUS服务器组下配置了6个服务器,其中有4个是UP的,则会随机从4个UP的服务器选择一个服务器,这四个服务器被选择几率相同。如果没有UP的服务器,则会随机从6个服务器选择一个服务器,这6个服务器被选择几率相同。

    • 如果RADIUS服务器权重之和大于0,首先对所有状态为UP且没有使用过的RADIUS服务器按照权重比例随机选择,如果没有状态为UP的RADIUS服务器,则对所有配置的RADIUS服务器按权重比例随机选择。

      例如RADIUS服务器组下配置了4个服务器,4个服务器的权重分别是10,20,30,40。这4个服务器状态都UP或都为Down,则4个服务器被选中的概率大概是10%,20%,30%,40%。如果后3个服务器UP,第一个服务器Down,则只会从UP的服务器中选择,后3个服务器被选中的几率为20/(20+30+40),30/(20+30+40),40/(20+30+40)。

    说明:

    RADIUS服务器每次选择是独立的,不依赖前面的选择结果。例如两个服务器各50%,连着100个用户选择了第一个服务器,第101个用户仍然有50%的几率选择第一个服务器。就像扔硬币一样,每次几率都是50%,如果扔的次数少,硬币正反面的几率并不一定得出50%,扔的次数多总体正反面的几率就是50%了。

  • 缺省情况下,RADIUS计费服务器选择参考认证服务器的选择结果,和认证服务器保持一致,即用户在哪个RADIUS服务器上认证即在哪个RADIUS服务器上计费。当配置命令radius-server algorithm master-backup [ strict ] 后,计费服务器的选择严格遵循配置的算法,优先选择主计费服务器,不参考认证服务器的选择结果。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
  3. 执行命令radius-server algorithm { loading-share | master-backup [ strict ] },配置RADIUS服务器的选择算法。

    配置strict后,计费服务器的选择严格遵循配置的算法,优先选择主计费服务器,不参考认证服务器的选择结果。

(可选)配置RADIUS服务器的协商参数

RADIUS服务器的协商参数是指RADIUS服务器和NE40E通信时,双方对RADIUS协议以及消息格式的参数约定。

背景信息

RADIUS服务器的协商参数主要包括:

  • RADIUS协议版本

    NE40E支持标准RADIUS、RADIUS+1.0、RADIUS+1.1协议。

    • 标准RADIUS协议是基于RFC2865的RADIUS协议。

    • RADIUS+1.0协议是华为私有RADIUS协议,是为了兼容早期尚未定义标准vendor-id时的版本。该版本支持的RADIUS属性。

    • RADIUS+1.1协议在RFC2865基础上做了扩充,支持更多的华为私有RADIUS属性。

  • 密钥

    密钥用于加密用户口令和生成回应认证符(Response Authenticator)。RADIUS服务器发送认证报文时,对口令等重要信息使用MD5加密,确保认证信息在网络中传输的安全性。

    为了确保认证双方的身份合法性,要求NE40E上的密钥与RADIUS服务器上的密钥相同。密钥对大小写敏感。

  • 用户名格式

    用户名格式为“user@domain”。某些RADIUS服务器只支持纯用户名格式,而有的服务器支持包含域名的格式。根据RADIUS服务器的不同,需设置NE40E传送给RADIUS服务器的用户名中是否包含域名。

  • 流量单位

    各种RADIUS服务器使用的流量单位不尽相同,NE40E支持多种流量单位,以保证能和各种RADIUS服务器的设置相同。

    NE40E中支持字节、千字节、兆字节、吉字节四种流量单位。

  • 重传参数

    NE40E向RADIUS服务器发送报文后,如果在指定时间内未收到服务器的响应,NE40E会重传报文,以避免因短暂的网络拥塞导致认证/计费信息丢失。

    RADIUS服务器的重传参数包括超时等待时间和重传次数。

  • RADIUS属性是否区分大小写

    一些RADIUS服务器区分大小写,目前NE40E只支持qos-profile-name属性,支持大小写敏感。

  • pending报文数

    pending报文指已经发送而没有收到响应的报文,限制pending报文的数量是因为RADIUS服务器处理能力有限,不能并发处理过多的报文。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. (可选)执行命令radius-server packet statistics algorithm { version1 | version2 },配置RADIUS认证请求报文和认证回应报文统计方式。

    配置radius-server packet statistics algorithm version1,mib节点radiusAccClientRequests统计的是认证请求报文和重传的认证请求报文,radiusAccClientResponses统计的是所有的认证回应报文(包括认证成功报文,认证失败报文,认证challenge,错误的回应报文)。命令display radius-server packet ip-address ip-address authentication的回显中Access Requests显示的是认证请求报文数,Access Accepts显示的是认证成功报文数。

    配置radius-server packet statistics algorithm version2,mib节点radiusAccClientRequests统计的是认证请求报文和重传的认证请求报文,radiusAccClientResponses统计的是所有的认证回应报文(包括认证成功报文,认证失败报文,认证challenge,错误的回应报文)。命令display radius-server packet ip-address ip-address authentication的回显中Access Requests显示的是认证请求报文数与重传的认证请求报文数之和,Access Accepts显示的是所有的认证回应报文数之和(包括认证成功报文,认证失败报文,认证challenge,错误的回应报文)。

  3. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
  4. 执行命令radius-server type { standard | plus10 | plus11 },配置RADIUS服务器的协议版本。
  5. 执行命令radius-server { shared-key key-string | shared-key-cipher key-string-cipher } [ { authentication | accounting } ip-address [ vpn-instance instance-name ] port-number [ weight weight ] ] ,配置RADIUS服务器的密钥。

    NE40E可以对每个RADIUS服务器的密钥进行设置。

  6. 执行命令radius-server user-name { domain-included | original },配置RADIUS报文用户名格式。
  7. 执行命令radius-attribute apply user-name match user-type { ipoe | pppoe } ,配置路由器使用RADIUS服务器下发的用户名替代设备生成的用户名。
  8. 执行命令radius-server traffic-unit { byte | gbyte | kbyte | mbyte },配置RADIUS报文流量单位。

    本配置对非字节的流量单位以及使用标准RADIUS协议的服务器无效。

  9. 执行命令radius-server { retransmit retry-times | timeout timeout-value } *,配置路由器向RADIUS服务器发送报文的次数和超时重传时间。

    如果需要单独对认证服务器和计费服务器配置重传次数和超时时长,执行命令radius-server { authentication | accounting } retransmit retry-times timeout timeout-value

  10. 执行命令radius-attribute agent-circuit-id format { cn | tr-101 },配置RADIUS报文通知上游设备线路ID的格式。
  11. 执行命令radius-server called-station-id include { ap-ip account-request | [ delimiter delimiter ] { ap-mac [ mac-format type1 ] [ delimiter delimiter ] | ssid [ delimiter delimiter] }* },配置RADIUS公有30号属性Calleded-Station-Id属性的构造方式。
  12. 执行命令radius-server calling-station-id include [ delimiter delimiter ] { domain [ delimiter delimiter ] | mac [ mac-format type1 ] [ delimiter delimiter ] | interface [ delimiter delimiter ] | sysname [ delimiter delimiter | option82 [ delimiter delimiter ] ] } * ,配置RADIUS公有31号属性Calling-Station-Id属性的构造方式。
  13. 执行命令radius-server attribute case-sensitive attribute-name,配置RADIUS属性大小写敏感。

    说明:
    • 目前只有qos-profile-name属性支持大小写敏感。

    • 设备上qos-profile区分大小写,如果RADIUS属性qos-profile-name也区分大小写,两者应注意保持一致,否则对用户的QoS策略可能不正确。

  14. 执行命令radius-server { accounting | authentication } [ip-address [ vpn-instance vpn-instance-name ] ] [ port ] pending-limit max-number,配置限制发送给RADIUS服务器的pending报文数。
  15. 执行命令radius-server accounting-start-packet send after-ppp,配置通过DHCPv6协议获取IPv6地址的PPPv6单栈用户,在NCP协商UP之后立刻发送开始计费报文。

(可选)配置RADIUS属性禁用

必须先使能RADIUS属性解释功能,属性禁用功能才能生效。

背景信息

RADIUS属性禁用功能配置在RADIUS服务器组下,因此只对该RADIUS服务器组下的RADIUS服务器生效。每个组下最多可以配置64个属性禁用。

NE40E支持同时配置发送方和接收方的属性禁用。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
  3. 执行命令radius-server attribute translate,使能RADIUS属性转换功能。
  4. 配置RADIUS属性禁用,有以下几种方式:
    1. 执行命令radius-attribute disable attribute-name { receive | send } *,配置响应报文或请求报文的属性禁用。
    2. 执行命令radius-attribute disable attribute-name { access-accept | access-request | account [ start ] } *,配置认证接受报文、认证请求报文或计费报文的属性禁用。
    3. 执行命令radius-attribute disable extend attribute-description { access-accept | { access-request | account } * },配置认证接受报文、认证请求报文或计费报文的扩展属性禁用。
    4. 执行命令radius-attribute disable extend { attribute-description | vendor-specific src-vendor-id src-sub-attr-id }access-accept,配置扩展属性禁用或运营商自定义属性的禁用。
    5. 执行命令radius-attribute disable attribute-name { ip ip-address | string string | bin string | integer integer } receive,配置响应报文的属性值为指定数据类型的值时被禁用。
    6. 执行命令radius-attribute disable { hw-acct-update-address | flow-attributes } integer integer account,配置计费报文的属性值等于某个整数值时将被禁用。integer参数目前只支持配置为0。

      指定flow-attributes参数代表同时指定以下12种流量属性:Acct-Input-Octets、Acct-Output-Octets、Acct-Input-Packets、Acct-Output-Packets、Acct-Input-Gigawords、Acct-Output-Gigawords、HW-Acct-IPV6-Input-Octets、HW-Acct-IPV6-Output-Octets、HW-Acct-IPV6-Input-Packets、HW-Acct-IPV6-Output-Packets、HW-Acct-IPV6-Input-Gigawords、HW-Acct-IPV6-Output-Gigawords。

(可选)配置RADIUS属性转换功能

通过使能RADIUS属性转换功能,NE40E可以对接不同厂家的RADIUS服务器。

背景信息

不同厂家的RADIUS服务器所支持的RADIUS属性集以及对某些属性的定义均存在差异,这种差异增加了NE40E和RADIUS服务器对接的难度。NE40E提供RADIUS属性转换功能适应上述情况。

当使能并配置了RADIUS属性转换功能后,NE40E在发送和接收RADIUS报文时,使用dest-attribute的属性格式来封装或解析src-attribute的属性值,以便和不同设备进行对接。

该功能经常用于同一属性值有多种格式的情况。例如nas-port-id属性有新旧两种格式,NE40E采用新格式,如果RADIUS服务器采用旧格式,则可在NE40E上配置radius-attribute translate nas-port-id nas-port-identify-old receive send命令。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS视图。
  3. 执行命令radius-server attribute translate,使能RADIUS属性转换功能。
  4. 配置RADIUS属性转换,有以下几种方式:
    1. 执行命令radius-attribute translate src-attr-description dest-attr-description { { receive | send } * },配置响应报文或请求报文的属性转换。
    2. 执行命令radius-attribute translate src-attr-description dest-attr-description { access-accept | { access-request | account }* },配置认证接受报文、认证请求报文、计费报文的属性转换。
    3. radius-attribute translate extend src-attr-description dest-attr-description { access-accept | { access-request | account} * }配置认证请求报文、计费报文扩展属性转换。
    4. radius-attribute translate extend src-attr-description vendor-specific src-vendor-id src-sub-attr-id { access-request | account } *,配置认证请求报文、计费报文私有扩展属性转换。
    5. radius-attribute translate extend vendor-specific src-vendor-id src-sub-attr-id dest-attr-description access-accept,配置认证接受报文扩展私有属性转换。

(可选)配置RADIUS服务器下发隧道密码方式

RADIUS服务器下发隧道密码的方式包括明文方式和密文方式。

背景信息

虽然RADIUS协议规定从RADIUS服务器下发的隧道密码必须为密文,但目前很多RADIUS服务器并没有严格遵循。因此NE40E支持的隧道密码的方式需要可配置,以便适用于各种对接的RADIUS服务器。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS视图。
  3. 执行命令radius-attribute tunnel-password { cipher | simple },配置RADIUS下发隧道密码的方式。

(可选)配置使用Class属性携带CAR值

通过配置Class属性是否携带CAR值以适应不同的RADIUS服务器。

背景信息

在标准RADIUS协议中,在RADIUS服务器发送给客户端认证报文(Access-Accept)中的Class属性,必须由客户端在计费报文(Accounting-Request)中不加修改的发送给计费服务器。

NE40E在标准协议的基础上进行了扩展,增加传送CAR(Committed Access Rate)值的功能,即在实现Class属性(RADIUS 25号属性)时携带Class字段中的CAR值。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS视图。
  3. 执行命令radius-server class-as-car [ enable-pir ],配置使用Class属性携带CAR值。

    说明:

    为了适应不同的RADIUS服务器,NE40E可通过RADIUS的25号属性传送CAR值给RADIUS服务器(如通过上述命令),也可通过RADIUS的26号属性来传送。

(可选)配置NAS-Port相关属性格式

通过配置NAS-Port相关属性格式以适应不同厂商设备。

背景信息

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS视图。
  3. 执行命令radius-server format-attribute { nas-port format-sting | nas-port-id { vendor { vendor-id [ version1 ] | redback-simple | redback-addition } | version1 | version2 } | option82 },配置NAS-Port属性和NAS-Port-Id属性的格式。

    配置NAS-Port-Id属性格式时:

    • 如果指定厂商标识为2352,NE40E按照Redback厂商的默认格式封装NAS-Port-Id属性。

      封装格式为:slot/port[vpi-vci vpi vci | vlan-id [ivlan:]evlan] [pppoe sess-id | clips sess-id]

      格式举例:2/5 vlan-id 4 pppoe 8

      说明:

      如果用户上线接口下配置了逻辑接口,使用逻辑接口信息封装,否则以用户实际上线的接口封装。pppoe sess-id表示对于PPP用户,sess-id存的是PPPoE的Session ID,clips sess-id表示对于DHCP用户,sess-id存的是该用户在设备上的CID。UNTAG的以太接入用户,不携带vlan信息。对于QINQ接口evlan、ivlan分别为外、内层VLAN。

    • 如果指定厂商标识为2636,NE40E按照Juniper厂商的默认格式封装NAS-Port-Id属性。

      封装格式为: {fastEthernet|gigabitEthernet} slot/port.subinterface[:vpi.vci |:ivlan]

      格式举例:gigabitEthernet 2/5.4:4

      如果指定厂商标识为2636,并且指定version1参数时,NE40E按照Juniper厂商的格式1封装NAS-Port-Id属性。

      封装格式为:{FastEthernet|GigabitEthernet} slot/card/port.subinterface[:vpi.vci |:ivlan]

      格式举例:GigabitEthernet 2/0/5.4:4

      说明:

      如果用户上线接口下配置的逻辑接口是非trunk口,则按逻辑接口封装;

      如果逻辑接口是trunk,则按用户实际上线口进行封装,如果用户上线口也是trunk,则取用户上线口trunk中的第一个成员端口进行封装。

    • 如果指定厂商标识为9,NE40E按照cisco厂商的默认格式封装NAS-Port-Id属性。

      封装格式为:{ethernet|trunk|PW} slot/subslot/port

      格式举例:ethernet 2/0/5

      说明:

      如果用户上线接口下配置了逻辑接口,使用逻辑接口信息封装,否则用户实际上线的接口封装。对于TRUNK和PW类型的接口,子槽位号固定填写0。

    • 如果指定按照redback-simple格式封装NAS-Port-Id属性。

      封装格式为:slot/port[vpivci vpi vci | vlanid [ivlan:]evlan] [pppoe sess-id | clips sess-id]

      格式举例:2/5 vlanid 4 pppoe 8

      说明:

      与Redback厂商格式不同的是vpivci和vlanid关键字中都少了”-”符号。

    NAS-Port-Id属性缺省格式受命令vbasclient-option82控制。
    • BAS接口下关闭vbas或者client-option82开关(缺省为关闭)

      • vlanpvc-to-username配置为version20(缺省为该类型)

        格式:slot=槽位号;subslot=子槽位号;port=端口号;{VPI=vpi号;VCI=vci号;|vlanid=VLAN号;|vlanid=内层VLAN号;vlanid2=外层VLAN号;}

        举例:slot=2;subslot=0;port=5;vlanid=4;

        其中槽位号、子槽位号、端口号、vpi号、vci号、VLAN号、内层VLAN号、外层VLAN号根据实际数值填写。

      • vlanpvc-to-username配置为version10

        格式:slot=槽位号;subslot=子槽位号;port=端口号;{VPI=vpi号;VCI=vci号;|vlanid=VLAN号;}

        举例:slot=2;subslot=0;port=5;vlanid=4;

        其中槽位号、子槽位号、端口号、vpi号、vci号、VLAN号根据实际数值填写。QINQ接口的接入用户,填写的是内层VLAN号。

      • vlanpvc-to-username配置为turkey

        格式:槽位号/端口号 vlan-id 内层VLAN号:外层VLAN号

        举例:2/5 vlan-id 4096:4

        不带VLAN的接入用户,内层VLAN和外层VLAN均为4096;如果只带一层VLAN,则内层VLAN为4096。

      • vlanpvc-to-username配置为standard

        格式:{eth|trunk|PW} 槽位号/子槽位号/端口号:{vpi.vci|外层VLAN号.内层VLAN号} 0/0/0/0/0/0

        举例:eth 2/0/5:4096.4 0/0/0/0/0/0

        说明:

        其中槽位号、子槽位号、端口号、vpi、vci、外层VLAN号、内层VLAN号根据实际数值填写。对于TRUNK类型的接口,子槽位号固定填写0;不带VLAN的接入用户,内层VLAN和外层VLAN均为4096;如果只带一层VLAN,则内层VLAN为4096。对于PW类型的接口,子槽位号固定填写0。AAA视图下的命令vlanpvc-to-username standard trust { pevlan | cevlan }可以设置信任pevlan或cevlan,默认信任两层vlan,如果信任pevlan,则内层VLAN号填写4096,如果信任cevlan,则外层VLAN号填写4096。

    • BAS接口下打开vbas或者client-option82开关
      • vlanpvc-to-username配置为version20(缺省为该类型)或version10且CLIENT-OPTION82开关不是插入电信格式

        • 用户携带了Option82信息

          如果配置了VBAS,直接返回用户携带的内容。

          格式举例:mse-108 eth 0/2/0/5:4

          如果BAS接口下没有配置option82-relay-mode,则截取用户携带内容第一个TLV的value返回。

          格式举例:用户携带abc,返回c

          如果BAS接口下配置了option82-relay-mode,按照配置的格式返回相应内容。具体请参见option82-relay-mode include

        • 用户未携带Option82信息

          格式:主机名 {eth} 0/槽位号/子槽位号/端口号:{vpi.vci|vlan|外层VLAN号.内层VLAN号}

          举例:MSE-108 eth 0/2/0/5:0

          说明:

          主机名优先取bas接口视图下命令nas logic-sysname配置的,如果bas接口下未配置,则取默认系统配置的主机名。不带VLAN的接入用户,内层VLAN和外层VLAN均为0;如果只带一层VLAN,则内层VLAN为0,内层VLAN为0则不显示。

      • vlanpvc-to-username配置为turkeyclient-option82开关不是插入电信格式

        格式:槽位号/端口号 vlan-id 内层VLAN号:外层VLAN号

        举例:2/5 vlan-id 4096:4

        不带VLAN的接入用户,内层VLAN和外层VLAN均为4096;如果只带一层VLAN,则内层VLAN为4096。

      • vlanpvc-to-username配置为standardclient-option82开关为插入电信格式

        格式:{eth|trunk|PW} 槽位号/子槽位号/端口号:{vpi.vci|外层VLAN号.内层VLAN号} 客户端携带的信息

        其中槽位号、子槽位号、端口号、vpi、vci、外层VLAN号、内层VLAN号根据实际数值填写。对于TRUNK类型的接口,子槽位号固定填写0;不带VLAN的接入用户,内层VLAN和外层VLAN均为4096;如果只带一层VLAN,则内层VLAN为4096。对于PW类型的接口,子槽位号固定填写0。AAA视图下的命令vlanpvc-to-username standard trust { pevlan | cevlan }可以设置信任pevlan或cevlan,默认信任两层vlan,如果信任pevlan,则内层VLAN号填写4096,如果信任cevlan,则外层VLAN号填写4096。

        • 用户携带了Option82信息

          若配置了vbas,则解析用户携带Option82整个内容,否则截取Option82偏移两位的内容解析。

          如果用户携带内容无空格,返回用户携带内容。格式举例:用户携带abc,eth 2/0/5:4096.4 c

          如果用户携带内容有空格,空格前有/,返回用户携带内容。格式举例:用户携带aaa/b cd,eth 2/0/5:4096.4 a/b cd

          如果用户携带内容有空格,空格前无/,有第二个空格,返回第二个空格后内容。格式举例:用户携带aaab cd e,eth 2/0/5:4096.4 e

          如果用户携带内容有空格,空格前无/,无第二个空格,返回0/0/0/0/0/0。格式举例:用户携带aaab cde,eth 2/0/5:4096.4 0/0/0/0/0/0

        • 用户未携带Option82信息

          “客户端携带的信息”使用0/0/0/0/0/0填充,格式举例:eth 2/0/5:4096.4 0/0/0/0/0/0

  4. (可选)执行命令radius-server nas-port-id lns include [ string string | ip delimiter ] { local-tunnel-ip [ delimiter ] | peer-tunnel-ip [ delimiter ] | local-tunnel-id [ delimiter ] | peer-tunnel-id [ delimiter ] | local-session-id [ delimiter ] peer-session-id [ delimiter ] | call-serial-number [ delimiter ] } * ,配置L2TP LNS侧用户按照自定义方式格式上送Radius服务器nas-port-id。
  5. (可选)执行命令radius-server nas-port-id include [ delimiter paradelimiter ] { interface-description [ delimiter int-desdelimiter ] | pe-vlan [ delimiter pevlan-delimiter ] | ce-vlan [ delimiter cevlan-delimiter ] } *,配置非L2TP LNS侧用户按照自定义方式格式上送Radius服务器nas-port-id。

(可选)配置RADIUS服务器源接口

当设备连接多个RADIUS服务器时,配置RADIUS服务器源接口可明确设备与RADIUS服务器连接的路由。

背景信息

NE40E支持将和RADIUS服务器连接的接口配置成源接口。NE40E允许在系统模式下和不同的RADIUS服务器组下配置源接口。这样NE40E在与RADIUS交互报文时,如果RADIUS服务器组下配置了源接口,则该RADIUS服务器组中的RADIUS服务器与NE40E通信时,使用该组下配置的源接口,否则使用全局RADIUS服务器源接口。

请在路由器上进行如下配置

操作步骤

  • 配置全局RADIUS服务器源接口
    1. 执行命令system-view,进入系统视图。
    2. 执行命令radius-server source interface interface-type interface-number,配置全局RADIUS服务器源接口。
  • 配置RADIUS服务器组的源接口
    1. 执行命令system-view,进入系统视图。
    2. 执行命令radius-server group group-name,进入RADIUS视图。
    3. 执行命令radius-server source interface interface-type interface-number,配置RADIUS服务器组的源接口。

(可选)配置RADIUS授权服务器

可配置多个RADIUS授权服务器,主要用于动态业务的业务授权。

背景信息

对于动态选择的业务,需要配置RADIUS授权服务器,以便在用户进行动态业务选择时对业务进行动态授权。

说明:

用户在线时,NE40E支持动态修改用户的授权信息,称为CoA(Change of Authorization)。网络管理员可在保持用户在线的情况下,修改RADIUS服务器上相应的业务属性,然后通过CoA报文动态改变用户使用的服务,这种授权称为动态授权。

请在路由器上进行以下配置

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server authorization ip-address [ vpn-instance instance-name ] [ destination-ip dest-ip ] [ destination-port dest-port ] { { shared-key key | shared-key-cipher key-string-cipher } | server-group groupname } * [ ack-reserved-interval interval ],配置全局的RADIUS授权服务器。

    如果要保留RADIUS授权回应报文以用于回应RADIUS授权服务器的重传报文,在配置RADIUS授权服务器的时候需要配置授权回应报文保留时长。

    如果配置了destination-ip dest-ipdestination-port dest-port需要检查动态授权报文的目的地址或目的端口号,不符合要求则丢弃报文。

  3. 执行命令radius-server authorization error-reply { version1 | version2 },配置动态授权回应报文的规则。

(可选)配置RADIUS服务器状态参数

通过RADIUS服务器状态参数配置实现监控RADIUS服务器状态的目的。

背景信息

RADIUS客户端支持对RADIUS服务器状态进行检测,根据服务器的应答情况,确认服务器的实时状态。有助于识别哪些服务器处于Up状态,以便实时处理用户的请求报文。

本配置对所有RADIUS服务器有效。

请在路由器上进行以下配置

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server { dead-count dead-count [ fail-rate count ] | dead-interval dead-interval | dead-time dead-time [ recover-count invalid ] } *,配置RADIUS服务器的状态参数。

    NE40E向RADIUS服务器连续发送dead-count次RADIUS报文,均收不到RADIUS服务器的响应报文时,且从第一个没有响应报文到dead-count 个数的没有响应报文之间的时间间隔大于dead-interval时,NE40E判定该RADIUS服务器工作异常,并将RADIUS服务器的状态置为Down。

    NE40E将RADIUS的状态置为Down后,等待dead-time时间后,NE40E会重新将RADIUS服务器的状态置为Up,并尝试和RADIUS服务器重新建立连接。如果连接失败,重新将RADIUS服务器的状态置为Down。

(可选)配置RADIUS扩展源端口

如果不想使用默认扩展源端口来收发RADIUS报文的话,需要改变RADIUS扩展源端口。

背景信息

配置RADIUS扩展源端口,可在一定时间内增加NE40E向RADIUS服务器发送的非重复的报文数。

配置后,NE40E使用扩展源端口收发RADIUS报文。其中,扩展源端口的前一半用来收发RADIUS认证报文,后一半用来收发RADIUS计费报文。若配置的扩展源端口数为奇数,则收发认证报文的端口比收发计费报文的端口多一个。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server extended-source-ports [start-port star-port-number ] port-number port-number,配置RADIUS扩展源端口

    说明:

    如果配置时不指定扩展源端口的起始端口号,则由系统分配指定数目(即配置的扩展源端口数)的有效的扩展源端口。

(可选)配置Calling-Station-Id相关属性格式

通过配置Calling-Station-Id相关属性格式以适应不同厂商设备。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
  3. (可选)执行命令radius-server calling-station-id include [ delimiter delimiter ] { domain [ delimiter delimiter ] | mac [ delimiter delimiter ] | interface [ delimiter delimiter ] | sysname [ delimiter delimiter | { option82 | access-line-id } [ delimiter delimiter ] ] }*, 配置RADIUS公有31号属性Calling-Station-Id的构造方式。
  4. (可选)执行命令radius-server calling-station-id include refer-option61,配置RADIUS公有31号属性Calling-Station-Id的构造方式为按照option61信息构造。

    配置radius-server calling-station-id include refer-option61命令后:
    • 用户报文携带option61信息,Calling-Station-Id属性使用用户的MAC地址封装。
    • 用户报文不携带option61信息,Calling-Station-Id属性使用不包含域名的用户名封装。

  5. (可选)执行命令radius-server calling-station-id include vlan-binding,配置RADIUS公有31号属性Calling-Station-Id的构造方式为按照slot(2)port(2)vpi(2)vci(4)vlan(4)mac(12)格式构造。
  6. (可选)执行命令radius-server calling-station-id include vlan-description,配置RADIUS公有31号属性Calling-Station-Id的构造方式为按照vlan-description格式构造。
  7. (可选)执行命令radius-server calling-station-id lns-default version1,配置LNS侧用户默认Calling-Station-Id的构造格式。

    配置radius-server calling-station-id lns-default version1命令后,即使LAC侧设备没有携带calling-number给LNS侧设备,LNS侧用户的RADIUS认证报文和计费报文中也会携带一个默认的Calling-Station-Id。默认情况下,如果LAC侧设备没有携带calling-number给LNS侧设备,用户在RADIUS的认证报文和计费报文中不携带Calling-Station-Id。

  8. (可选)执行命令radius-server calling-station-id lns-default version1 force,配置LNS侧用户Calling-Station-Id属性的构造方式按照version1的固定格式进行构造。

    在某些特殊场景,无论LAC侧设备是否携带calling-number给LNS侧设备,LNS侧用户默认Calling-Station-Id的构造格式都必须为version1时,配置该命令。

  9. (可选)执行命令radius-server calling-station-id include llid user-type { ppp | lns }*,配置RADIUS公有31号属性Calling-Station-Id的构造方式为按照RADIUS服务器认证回应返回的LLID信息构造。

    配置radius-server calling-station-id include llid user-type { ppp | lns }*命令,PPP或LNS用户的认证流程有如下变化。因为需要进行两次认证,所以会影响上线性能:
    1. 发送两次认证请求,第一次认证请求报文的用户名格式为“NAS-IP-Address NAS-Port-Id”,密码为默认值“HUAWEI”。第二次认证请求报文和计费请求报文的用户名密码为实际的用户名和密码。
    2. 如果第一次认证接受回应报文中,成功获取到Calling-station-id携带的LLID信息,则第二次认证请求和计费请求报文的Calling-Station-Id用LLID格式封装,如果获取LLID信息失败(如RADIUS未下发31号属性Calling-Station-Id、认证拒绝或认证超时等),则第二次认证请求和计费请求报文的Calling-Station-Id字段与第一次认证时相同。

    当设备从RADIUS服务器获取LLID信息失败时,默认情况下用户的第二次认证和计费报文中会携带RADIUS公有31号属性Calling-Station-Id,可配置命令radius-server calling-station-id disable with-llid-fail,当获取LLID信息失败时,用户第二次认证报文将不携带RADIUS公有31号属性Calling-Station-Id。可便于筛选哪些用户获取LLID信息失败。

  10. (可选)执行命令radius-server calling-station-id include pevlan [ { delimiter delimiter } [ cevlan ] ]或radius-server calling-station-id include cevlan [ { delimiter delimiter } [ pevlan ] ],配置RADIUS公有31号属性Calling-Station-Id按照用户pevlan和cevlan信息构造。

    Calling-Station-Id属性格式中包含用户的VLAN信息,可以配置只包含pevlan、只包含cevlan或者pevlancevlan都包含。pevlancevlan都包含的情况下,如果命令配置时pevlancevlan前,则RADIUS服务器解析时先解析pevlan再解析cevlan;如果命令配置时cevlanpevlan前,则RADIUS服务器解析时先解析cevlan再解析pevlan

    当用户为单层VLAN接入时,单层VLAN只能作为pevlan进行属性封装。

  11. 执行命令radius-server format-attribute calling-station-id vendor vendor-id [ include option82 ] [ version1 ],配置Calling-Station-Id属性按照指定厂商格式封装。
  12. 执行命令radius-server format-attribute include sub-slot,配置Calling-Station-Id与Nas-Port-Id属性封装的接口格式包含子卡编号。

    执行此命令后,按照RedBack厂商格式封装Calling-Station-Id与Nas-Port-Id属性时,接口格式为Slot/Sub-Slot/Port格式。

(可选)配置RADIUS属性的协商参数

RADIUS服务器和NE40E通信时,双方对RADIUS属性约定需一致。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
  3. (可选)执行命令radius-attribute enable framed-ip-netmask netmask-length account-request,配置在计费请求报文中携带32位的Framed-IP-Netmask属性。
  4. 执行命令radius-attribute vendor vendor-id enable,添加设备可以解析私有RADIUS属性的厂商ID。
  5. 执行命令radius-attribute vendor { { huawei | microsoft | 3gpp2 | redback | dslforum | other }* | all } continuous命令用来使能RADIUS公有26号属性封装多个私有属性的功能。

    配置属性连续后,在封装该厂商的私有RADIUS属性时,每一个公有26号属性中可以封装多个私有属性。

  6. 执行命令radius-attribute include attribute-name,配置允许在RADIUS报文中携带某个新增属性。

    为避免向服务器上送过多服务器不需要或不识别的属性,许多属性被实现为默认不上送,在实际应用环境中需要时才通过include开关打开。

  7. 执行命令radius-attribute include hw-dhcp-option option-num&<1-16>,配置在认证请求报文中通过hw-dhcp-option属性携带对应的option。
  8. 执行命令radius-attribute include reply-messag coa-nak ,配置在coa-nak报文中携带Reply-Message属性。
  9. 执行命令radius-attribute include nas-ip-address { accounting-on | accounting-off }*,配置radius accounting-on/accounting-off报文携带nas-ip-address属性。
  10. 执行命令radius-attribute usermac-as-option61,RADIUS私有属性153号hw-user-mac根据option61属性封装。若同时在BAS接口配置了client-option82 version1命令后,还可在Radius计费报文的Class属性封装Client-id(DHCPv4 Option61/DHCPv6 Option1/PPPoE PADR Tag 0x0103 Host-unique)信息。
  11. 执行命令radius-attribute include event-timestamp { accounting-on | accounting-off },配置RADIUS accounting-on/accounting-off报文携带event-timestamp属性。
  12. 执行命令radius-attribute include class edsg ,配置EDSG业务的计费报文允许携带class属性。
  13. 执行命令radius-attribute include hw-dhcpv6-option37 accounting-request,配置向RADIUS服务器发送的用户计费报文中携带HW-DHCPv6-Option37属性。
  14. 执行命令radius-attribute include hw-vpn-instance accounting-request,配置向RADIUS服务器发送的用户计费报文中携带HW-VPN-Instance属性。
  15. 执行命令radius-attribute include framed-route accounting-request,配置向RADIUS服务器发送的用户计费报文中携带Framed-Route属性。
  16. 执行命令radius-attribute include hw-web-url accounting-request,配置向RADIUS服务器发送的用户计费报文中携带HW-Web-Url属性。
  17. 执行命令radius-attribute include hw-acct-terminate-subcause edsg,配置EDSG业务的停止计费报文中携带用户下线子原因属性。
  18. 执行命令radius-attribute include hw-user-mac edsg accounting-request,配置EDSG业务的计费报文中携带用户Mac属性。
  19. 执行命令radius-attribute include hw-nat-ip-address bod,配置CGN用户的BOD业务计费报文中携带HW-Nat-IP-Address属性。
  20. 执行命令radius-attribute include hw-nat-start-port bod,配置CGN用户的BOD业务计费报文中携带HW-NAT-Start-Port属性。
  21. 执行命令radius-attribute include hw-nat-end-port bod,配置CGN用户的BOD业务计费报文中携带HW-NAT-End-Port属性。
  22. 执行命令commit,提交配置。

(可选)配置RADIUS报文的DSCP优先级

配置NE40E发送的RADIUS报文的DSCP优先级可避免由于网络拥塞造成RADIUS报文被丢弃。

背景信息

配置RADIUS报文的DSCP优先级包括:配置NE40E发送到RADIUS服务器的RADIUS报文的DSCP优先级;或者NE40E发送到AP/AC的RADIUS报文的DSCP优先级。

请在NE40E上进行以下配置。

操作步骤

  • 配置NE40E发送到RADIUS服务器的RADIUS报文的DSCP优先级。有两种方式可配置NE40E发送到RADIUS服务器的RADIUS报文的DSCP优先级,RADIUS服务器组视图下配置RADIUS报文的DSCP优先级更高。

    在系统视图下配置RADIUS报文的DSCP优先级:

    1. 执行命令system-view,进入系统视图。
    2. 执行命令radius-server packet dscp dscp,配置NE40E发送的RADIUS报文的DSCP优先级。

    在RADIUS服务器组视图下配置RADIUS报文的DSCP优先级:

    1. 执行命令system-view,进入系统视图。
    2. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
    3. 执行命令radius-server packet dscp dscp,配置NE40E发送的RADIUS报文的DSCP优先级。

(可选)配置用户地址信息的封装方法

RADIUS服务器和NE40E通信时,双方对RADIUS属性约定需一致。

背景信息

用户的IP地址信息属性(包括Framed-IP-Address,Framed-IP-Netmask, Delegated-IPv6-Prefix等),一般只上送已经UP的,如果必须上送即使该地址没有UP,只要之前Radius下发了,则必须在上送报文时配置携带按照version2格式封装用户地址信息。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-attribute { framed-ip-address | delegated-ipv6-prefix } encapsulation-method { version1 | version2 },配置用户地址信息的封装方法。

    如果version2的格式进行封装,即首先取已生效的地址封装属性;如果没有,再使用RADIUS服务器下发但尚未实际生效的地址封装,如果都没有就不携带该属性。

(可选)配置RADIUS属性

对于一些RADIUS服务器下发的属性,NE40E上必须进行相应的配置,下发的属性才能生效。

背景信息

  • 接入业务模板

    配置接入业务模板主要用于RADIUS下发业务模板名称,对用户流量按照时间段进行控制。

    当RADIUS的认证回应消息中下发华为83号属性HW-Access-Service,上线的用户的流量带宽限制按照业务模板下绑定的qos-profile规则生效。其中接入业务模板下的不带时间段得qos-profile和带时间段的qos-profile同时存在的时候,带时间段的qos-profile优先级较高。

    如果用户在线时修改接入业务模板下的qos-profile,会根据最新的qos-profile实时生效,如果将业务模板下的所有qos-profile删除,则用户按照删除前的qos-profile生效。

  • 从RADIUS服务器获取静态路由

    使用RADIUS服务器来下发静态路由并且周期性更新,也可随时手动触发更新,如果失败有重传机制。

  • 允许通过COA报文更新用户名并切换到新域

    Web用户场景下,当Portal服务器不支持与BRAS设备进行认证交互时,可以通过RADIUS服务器完成到Portal服务器的认证,然后开启此功能,RADIUS服务器通过COA报文通知BRAS设备更新用户名,并根据用户名中携带的域名更新域。

请在NE40E上进行以下配置。

操作步骤

  • 接入业务模板
    1. 执行命令system-view,进入系统视图。
    2. 执行命令access-service service-name,创建并进入接入业务模板视图。
    3. 执行命令qos-profile profile-name,配置接入业务模板默认绑定的qos-profile。

      每个接入业务模板下只能绑定一个不带时间段的qos-profile。

    4. 执行命令qos-profile profile-name time-range time-range-name,配置接入业务模板绑定带时间段的qos-profile。

      每个接入业务模板最多可以绑定16个不同的时间段。

  • 配置从RADIUS服务器获取静态路由
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa route-download server-group group-name base-user-name user-name password { simple | cipher } password [ download-interval interval-value | retry-interval retry-interval-value | retry-max-count retry-count | tag tag-value | cost cost-value | synchronization synchronization ],配置使能NE40E定时同步RADIUS服务器下发的静态路由。
    3. (可选)执行命令aaa route-download recover-delay delay-time,配置NE40E整机重启配置恢复后从RADIUS服务器下载的路由需要延迟发布,延迟时间为设置值。

      在用户信息多机备份场景下,配置aaa route-download命令使能NE40E定时同步RADIUS服务器下发的静态路由功能时,需要同时配置aaa route-download recover-delay命令。原因如下:

      在用户信息多机备份场景中,应用定时同步RADIUS服务器下发的静态路由功能时,主机从RADIUS服务器同步的静态路由的cost值(cost值由RADIUS服务器下发)较备机小。如果主设备整机重启配置恢复后立即从RADIUS服务器同步静态路由并发布到网络侧,将把网络侧流量引到本设备,但此时用户信息批量备份以及用户恢复数据处理可能还没有完成,流量将通过主备设备间的链路绕行到备设备,当网络流量大于绕行链路带宽时可能造成下行流量中断。

      配置aaa route-download recover-delay命令后,在整机重启后从RADIUS服务器同步的静态路由将延迟一定的时间,等待用户数据信息备份成功之后再发布。这样在整机重启的这段时间网络侧流量切换到新的主状态设备下行转发,避免流量绕行。

    4. 执行命令clear ip routes aaa-download [ [ vpn-instance vpn-name ] [ ip-address mask-len | ipv6-address prefix-length ] | all ],清除RADIUS服务器下发的静态路由。
    5. 执行命令aaa route-download now force,强制执行一次同步RADIUS服务器下发的静态路由。
  • 允许通过COA报文更新用户名并切换到新域
    1. 执行命令system-view,进入系统视图。
    2. 执行命令radius-server coa update username,使能允许通过COA报文更新用户名,并根据用户名中携带的域名更新域的功能。

操作结果

  • 在任意视图执行命令display access-service查看设备上业务模板的配置信息。

  • 在任意视图执行命令display aaa route-download config查看配置的AAA服务器下发静态路由的参数。

  • 在任意视图执行命令display aaa route查看RADIUS服务器下发的静态路由是否下发成功。

(可选)配置Radius属性Framed-Ipv6-Pool匹配地址池类型

背景信息

通过Radius公有属性Framed-Ipv6-Pool下发IPv6地址池,同时又需要使用域下配置的IPv6地址池为用户分配地址时使用此命令。配置此命令后,Radius属性Framed-Ipv6-Pool下发的IPv6地址池只替换域下配置的相同类型的地址池。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
  3. 执行命令radius-attribute apply framed-ipv6-pool match pool-type,配置通过Radius属性Framed-Ipv6-Pool下发IPv6地址池时,只替换域下配置的相同类型的地址池。

(可选)配置Radius属性的自定义封装

背景信息

若用户想采用非缺省的封装方式封装Radius属性时,可以通过此功能自定义Radius属性的封装方式,将Radius服务器下发的参数封装到DHCP/DHCPv6报文的指定的Option字段中传给客户端。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server group group-name,进入RADIUS服务器组视图。
  3. 执行命令radius-attribute assign attribute-name { dhcp dhcp-option-code | dhcpv6 dhcpv6-option-code },配置将指定的Radius属性封装到指定的DHCP/DHCPv6 Option字段中。

    说明:

    目前attribute-name只支持取值为HW-PCP-Server-Name

(可选)配置RADIUS动态下发ACL功能

RADIUS服务器可以通过HW-Data-Filter属性下发动态ACL信息。

背景信息

RADIUS服务器通过HW-Data-Filter属性(26-82)下发C-B对(traffic classifier-behavior,流分类器和流行为配对下发),在traffic classifier属性中下发classifier名字、behavior名字和规则信息,在traffic behavior属性中下发behavior名字和流动作内容,通过C-B对的下发完成动态ACL信息的下发。HW-Data-Filter属性默认关闭,需要命令行使能后才能使用。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. (可选)执行命令remote-download user-group enable,使能RADIUS服务器创建动态user-group的功能。
  4. (可选)执行命令remote-download user-group check interval interval,配置检查RADIUS服务器创建的动态user-group是否正在被在线用户或动态ACL使用的时间间隔。

    NE40E在配置的每个时间间隔内检查1个动态user-group,检查到该user-group没有被使用时,删除该动态user-group。

  5. 执行命令remote-download acl enable,使能RADIUS服务器创建动态ACL的功能,RADIUS服务器可以通过HW-Data-Filter属性下发动态ACL的C-B对。
  6. (可选)执行命令remote-download acl warning-threshold warning-threshold,配置RADIUS服务器动态下发的C-B对使用率告警阈值。
  7. (可选)执行命令recycle remote-download acl classifier classifier-name,回收设备上无用户使用的动态ACL的C-B对。
  8. 执行命令quit,返回系统视图。
  9. 执行命令radius-server group groupname,进入RADIUS服务器组视图。
  10. (可选)执行命令radius-attribute decode-error-policy ignore attribute-name,配置对RADIUS报文中的属性解析和检查失败时,按照未下发该属性处理。

    目前只支持HW-Data-Filter属性。

(可选)配置按照DSL论坛属性解析Option17的功能

配置后可支持按照DSL论坛属性解析Option17并上送至RADIUS服务器。

背景信息

用户上线的报文中携带Relay头或者多级Relay头,Relay头中包含Option17选项,Option17格式中含子Option选项。在用户Relay头及DHCPv6报文中携带的Option选项格式符合条件时,在全局视图下配置该命令,可以解析Option17属性并将Option17属性中的子属性按照对应的论坛属性上送至RADIUS服务器。否则,不做对应的解析和上送至RADIUS服务器。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcpv6 option-17 decode version1,以支持按照DSL论坛属性解析Option17并上送至RADIUS服务器。

检查配置结果

完成RADIUS服务器配置后,您可以查看到RADIUS服务器的配置信息、系统支持的RADIUS属性、RADIUS报文统计信息。

前提条件

已经完成服务器模板的所有配置。

操作步骤

  • 执行display radius-server authorization configuration命令,查看RADIUS授权服务器的配置信息。
  • 执行display radius-server configuration [ group groupname ]命令,查看RADIUS服务器组的配置信息。

    说明:
    在系统视图下是否配置ui-mode type1命令会影响此命令的回显信息格式。

  • 执行display radius-attribute [ name attribute-name | { type { 3gpp | dsl | huawei | microsoft | redback | standard } attribute-number } ]命令查看系统所支持的RADIUS属性。
  • 执行display radius-attribute [ server-group server-group-name packet { access-request | access-accept | access-reject | accounting-request | accounting-response | coa-request | coa-ack | coa-nak | dm-request | dm-ack | dm-nak | accounting-on | accounting-off } ]命令,查看RADIUS服务器组下各类报文中属性的携带情况。
  • 执行display radius-server packet { ip-address | ipv6-address } ip-address [ vpn-instance vpn-instance ] { accounting | authentication | coa | dm }命令,查看指定IP地址的RADIUS服务器的报文的统计信息。
  • 执行display radius-attribute packet-count命令,查看Radius报文中各属性出现的次数统计信息。
  • 执行display radius-client statistics client-ip client-ip-address [ vpn-instance vpn-instance-name ]命令,查看RADIUS客户端和RADIUS代理之间的RADIUS报文统计信息。
  • 执行display aaa remote-download acl item [ user-id user-id | classifier classifier-name ] * [ verbose ]命令,查看RADISU服务器下发的动态ACL C-B对信息。
  • 执行display aaa remote-download acl statistics classifier classifier-name [ slot slot-id ]命令,查看RADIUS服务器下发的动态ACL C-B对在指定单板上的统计信息。

任务示例

执行命令display radius-server authorization configuration,查看RADIUS授权服务器的配置信息。
<HUAWEI> display radius-server authorization configuration
  -----------------------------------------------------------------------------
  IP-Address         Secret-key         Group                              Ack-r
eserved-interval
  -----------------------------------------------------------------------------
  192.168.7.100      huawei             rd1                                20
    Vpn : --
  -----------------------------------------------------------------------------
  1 Radius authorization server(s) in total

执行display radius-server configuration命令,查看RADIUS服务器组的配置信息。

<HUAWEI> display radius-server configuration
  RADIUS source interface            : LoopBack20                               
  RADIUS no response packet count    : 30                                       
  RADIUS auto recover time(Min)      : 100                                      
  RADIUS authentication source ports :                                          
         IPv4: 1812                                                             
         IPv6: 1812                                                             
  RADIUS accounting source ports     :                                          
         IPv4: 1813                                                             
         IPv6: 1813                                                             
  -------------------------------------------------------                       
  Server-group-name    :  chen                                                  
  Authentication-server:  IP:10.3.4.144 Port:1812 Weight[0] [UP]                 
                          Vpn: -                                                
  Accounting-server    :  IP:10.3.4.144 Port:1814 Weight[0] [UP]                 
                          Vpn: -                                                
  Protocol-version     :  radius        
  Shared-secret-key    :  ******                                                
  Retransmission       :  3                                                     
  Timeout-interval(s)  :  5                                                     
  Acct-Stop-Packet Resend  :  NO                                                
  Acct-Stop-Packet Resend-Times  :  0                                           
  -------------------------------------------------------                       
  Are you sure to display next (y/n)[y]:y                                       
  -------------------------------------------------------                       
  Server-group-name    :  huawei                                                
  Authentication-server:  IP:10.1.1.1 Port:1820 Weight[50] [UP]                 
                          Vpn: -                                                
  Accounting-server    :  IP:10.1.1.1 Port:1823 Weight[0] [UP]                  
                          Vpn: -                                                
  Accounting-server    :  IP:10.1.1.2 Port:20 Weight[20] [UP]                   
                          Vpn: -                                                
                          share-key:  huawei                                    
  Protocol-version     :  radius        
  Shared-secret-key    :  ******                                                
  Retransmission       :  2                                                     
  Timeout-interval(s)  :  8                                                     
  Acct-Stop-Packet Resend  :  YES                                               
  Acct-Stop-Packet Resend-Times  :  100                                         
  -------------------------------------------------------                       
  Total 2,2 printed                                                             

执行命令display radius-attribute [ name attribute-name | { type { 3gpp | dsl | huawei | microsoft | redback | standard } attribute-number } ]查看NE40E当前版本支持的RADIUS标准属性。

<HUAWEI> display radius-attribute type standard 1
 Radius Attribute Type        : 1                                               
 Radius Attribute Name        : User-Name                                       
 Radius Attribute Description : This Attribute indicates the name of the user to
 be authenticated.                                                              
 Supported Packets            : Auth Request, Acct Request, Session Control, COA
 Request, COA Ack                                                               
执行命令display radius-attribute server-group server-group-name packet access-request,查看名为group2的RADIUS服务器组下access-request报文携带的属性。
<HUAWEI> display radius-attribute server-group group2 packet access-request
-------------------------------------------------------------------------------
  Radius Packet Type     : Access-Accept
  Attribute Type           Attribute Name                   Translate From
-------------------------------------------------------------------------------
  1                        User-Name
  6                        Service-Type
  7                        Framed-Protocol
  8                        Framed-IP-Address
  9                        Framed-IP-Netmask
  11                       Filter-Id
  12                       Framed-MTU
  14                       Login-IP-Host
  15                       Login-Service
  18                       Reply-Message
  19                       Callback-Number
  22                       Framed-Route
  24                       State
  25                       Class
  27                       Session-Timeout
  28                       Idle-Timeout
  29                       Termination-Action
  62                       Port-Limit
  64                       Tunnel-Type
  65                       Tunnel-Medium-Type
  66                       Tunnel-Client-Endpoint
  67                       Tunnel-Server-Endpoint
  69                       Tunnel-Password
  75                       Password-Retry
  79                       EAP-Message
  80                       Message-Authenticator
  81                       Tunnel-Private-Group-ID
  82                       Tunnel-Assignment-ID
  83                       Tunnel-Preference
  85                       Acct-Interim-Interval
  88                       Framed-Pool
  89                       Chargeable-User-Identity
  90                       Tunnel-Client-Auth-ID
  96                       Framed-Interface-Id
  97                       Framed-IPv6-Prefix
  98                       Login-IPv6-Host
  99                       Framed-IPv6-Route
  100                      Framed-IPv6-Pool
  123                      Delegated-IPv6-Prefix
  135                      Ascend-Client-Primary-Dns
  136                      Ascend-Client-Secondary-Dns
  2011(HUAWEI),1           HW-Input-Committed-Burst-Size
  2011(HUAWEI),2           HW-Input-Committed-Information-Rate
  2011(HUAWEI),3           HW-Input-Peak-Information-Rate
  2011(HUAWEI),4           HW-Output-Committed-Burst-Size
  2011(HUAWEI),5           HW-Output-Committed-Information-Rate
  2011(HUAWEI),6           HW-Output-Peak-Information-Rate
  2011(HUAWEI),15          HW-Remanent-Volume
  2011(HUAWEI),17          HW-Subscriber-QoS-Profile
  2011(HUAWEI),22          HW-Priority
  2011(HUAWEI),27          HW-Portal-URL
  2011(HUAWEI),28          HW-FTP-Directory
  2011(HUAWEI),29          HW-Exec-Privilege
  2011(HUAWEI),30          HW-RADIUS-MP-VT-Number
  2011(HUAWEI),31          HW-QOS-Profile-Name
  2011(HUAWEI),32          HW-SIP-Server
  2011(HUAWEI),35          HW-Renewal-Time
  2011(HUAWEI),36          HW-Rebinding-Time
  2011(HUAWEI),37          HW-IGMP-Enable
  2011(HUAWEI),61          HW-Up-Priority
  2011(HUAWEI),62          HW-Down-Priority
  2011(HUAWEI),63          HW-Tunnel-Vpn-Instance
  2011(HUAWEI),64          HW-Virtual-Template
  2011(HUAWEI),65          HW-User-Date
  2011(HUAWEI),66          HW-User-Class
  2011(HUAWEI),70          HW-PPP-NCP-Type
  2011(HUAWEI),71          HW-VSI-Name
  2011(HUAWEI),72          HW-Subnet-Mask
  2011(HUAWEI),73          HW-Gateway-Address
  2011(HUAWEI),74          HW-Lease-Time
  2011(HUAWEI),75          HW-Ascend-Client-Primary-WINS
  2011(HUAWEI),76          HW-Ascend-Client-Second-WIN
  2011(HUAWEI),77          HW-Input-Peak-Burst-Size
  2011(HUAWEI),78          HW-Output-Peak-Burst-Size
  2011(HUAWEI),79          HW-Reduced-CIR
  2011(HUAWEI),80          HW-Tunnel-Session-Limit
  2011(HUAWEI),82          HW-Data-Filter
  2011(HUAWEI),83          HW-Access-Service
  2011(HUAWEI),85          HW-Portal-Mode
  2011(HUAWEI),87          HW-Policy-Route
  2011(HUAWEI),88          HW-Framed-Pool
  2011(HUAWEI),91          HW-Queue-Profile
  2011(HUAWEI),92          HW-Layer4-Session-Limit
  2011(HUAWEI),93          HW-Multicast-Profile-Name
  2011(HUAWEI),94          HW-VPN-Instance
  2011(HUAWEI),95          HW-Policy-Name
  2011(HUAWEI),96          HW-Tunnel-Group-Name
  2011(HUAWEI),97          HW-Multicast-Source-Group
  2011(HUAWEI),98          HW-Multicast-Receive-Group
  2011(HUAWEI),99          HW-Multicast-Type
  2011(HUAWEI),100         HW-Reduced-PIR
  2011(HUAWEI),135         HW-Client-Primary-DNS
  2011(HUAWEI),136         HW-Client-Secondary-DNS
  2011(HUAWEI),138         HW-Domain-Name
  2011(HUAWEI),140         HW-HTTP-Redirect-URL
  2011(HUAWEI),141         HW-PPP-Local-IP-Address
  2011(HUAWEI),142         HW-Qos-Profile-Type
  2011(HUAWEI),143         HW-Max-List-Num
  2011(HUAWEI),154         HW-DNS-Server-IPv6-Address
  2011(HUAWEI),155         HW-DHCPv4-Option121
  2011(HUAWEI),156         HW-DHCPv4-Option43
  2011(HUAWEI),157         HW-Framed-Pool-Group
  2011(HUAWEI),158         HW-Framed-IPv6-Address
  2011(HUAWEI),160         HW-Nat-Policy-Name
  2011(HUAWEI),164         HW-Nat-Port-Forwarding
  2011(HUAWEI),166         HW-DS-Lite-Tunnel-Name
  2011(HUAWEI),167         HW-PCP-Server-Name
  2011(HUAWEI),182         HW-Down-Qos-Profile-Name
  2011(HUAWEI),183         HW-Port-Mirror
  2011(HUAWEI),191         HW-Delegated-IPv6-Prefix-Pool
  2011(HUAWEI),194         HW-IPv6-Policy-Route
  2011(HUAWEI),253         HW-Web-URL
  311(MICROSOFT),16        MS-MPPE-Send-Key
  311(MICROSOFT),17        MS-MPPE-Recv-Key
  311(MICROSOFT),26        MS-CHAP2-Success
  311(MICROSOFT),28        MS-Primary-DNS-Server
  311(MICROSOFT),29        MS-Secondary-DNS-Server
  2352(RedBack),92         Forward-Policy
  2352(RedBack),106        NPM-Service-Id
  2352(RedBack),107        HTTP-Redirect-Profile-Name
  2352(RedBack),165        HTTP-Redirect-URL
  5535(3GPP2),7            Home-Agent-Address
  5535(3GPP2),81           Removal-Indication
-------------------------------------------------------------------------------

执行display radius-server packet ip-address ip-address [ vpn-instance ] accounting命令,查看指定IP地址的RADIUS服务器的计费报文的统计信息。

<HUAWEI>display radius-server packet ip-address 10.1.1.2 accounting
Total radius server accounting packets: 
  Account Requests   : 1          Account Retransmissions     : 19      
  Account Responses  : 0          Malformed Account Responses : 0      
  Bad Authenticators : 0          Pending Requests            : 0      
  Timeouts           : 20              
   Speed Limit Block : 0          Pending Limit Block         : 0        
   Server Down Block : 0          No Source IP Block          : 0      
   Server Not Reply  : 20              
  Unknown Types      : 0          Packets Dropped             : 0 
Last 30 minutes radius server accounting packets: 
  Account Requests   : 0          Account Retransmissions     : 0      
  Account Responses  : 0          Malformed Account Responses : 0      
  Bad Authenticators : 0          Pending Requests            : 0      
  Timeouts           : 20               
   Speed Limit Block : 0          Pending Limit Block         : 0      
   Server Down Block : 0          No Source IP Block          : 0      
   Server Not Reply  : 20               
  Unknown Types      : 0          Packets Dropped             : 0  
执行display radius offline-sub-reason [ subcode subcode-number ]命令,查看指定设备上送给RADIUS服务器的停止计费报文中的用户下线原因的编号对应的描述信息。
<HUAWEI> display radius offline-sub-reason subcode 1
------------------------------------------------------------------------------
Subcode     description of offline sub reason
------------------------------------------------------------------------------
1           User request to offline
------------------------------------------------------------------------------
执行display radius-client statistics命令,查看RADIUS客户端和RADIUS代理之间的RADIUS报文统计信息。
<HUAWEI> display radius-client statistics client-ip 10.111.2.20
Authentication packets:
  Access Requests    : 0          Access Accepts     : 0
  Access Challenges  : 0          Access Rejects     : 0
  Bad Authenticators : 0          Packets Dropped    : 0
Accouting packets:
  Account Requests   : 0          Account Responses  : 0
  Bad Authenticators : 0          Packets Dropped    : 0
DM packets:
  Author Requests    : 0          Author Acks        : 0
  Author Naks        : 0
执行display aaa remote-download acl item [ user-id user-id | classifier classifier-name ] * [ verbose ]命令,查看RADISU服务器下发的动态ACL C-B对信息。
<HUAWEI> display aaa remote-download acl item
-------------------------------------------------------------------------------                                                     
 ClassifierName                     ReferedNumByUser  RuleNumber   Classifiertype                                              
-------------------------------------------------------------------------------                                                     
 class6                             1             2            remote                                                     
 The used user-id table are :                                                                                                           
  1                                                                                                                                 
-------------------------------------------------------------------------------                                                     
 class5                             1             2            remote                                                      
 The used user-id table are :                                                                                                           
  1                                                                                                                                 
-------------------------------------------------------------------------------                                                     
 Total Classifier-Behavior Number : 2
执行display aaa remote-download acl statistics classifier classifier-name [ slot slot-id ]命令,查看RADIUS服务器下发的动态ACL C-B对在指定单板上的统计信息。
<HUAWEI> display aaa remote-download acl statistics classifier c2 slot 1
  -------------------------------------------------------------------------
  Classifier name: c2
  Classifier type: remote
    rule:(number: 1)       
     ipv4;ruleid=5;daaflag;permit;proto=6;dipv4=10.2.3.3/16;su-group=group1;  
     (IPv4, inbound: 0 packets, 0 bytes, outbound: 0 packets, 0 bytes)
Behavior name: b2

deny;
Behavior Type: remote
----------------------------------------------------------------------------
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:16278

下载量:207

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页