所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置和管理BRAS用户

配置和管理BRAS用户

BRAS对用户的管理通过域和用户帐号实现。

创建静态用户

当用户需要固定IP地址时,可以配置其为静态用户。

前提条件

静态用户配置接口时,接口需要配置BAS功能。

背景信息

注意:
  • 静态用户配置IPv4地址时,要求在已配置的地址池中,如果地址池为本地地址池,还须执行excluded-ip-address命令禁用,以免该地址被动态分配给其他用户。

  • 静态用户配置IPv6地址时,若IPv6地址/IPv6 Delegation前缀需要从本地地址池分配,需要先配置本地地址池,若是远端地址池分配,则无配置顺序限制。

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. (可选)执行命令static-user interface-list list-name,配置静态用户的接入接口列表。
  3. (可选)执行命令interface,在静态用户接入接口列表视图下,绑定允许静态用户接入的接口。
  4. (可选)执行命令quit,退回系统视图。
  5. 创建静态用户,根据应用场景不同,可选择不同的创建方式。

    • (可选)执行命令static-user [ description ] { start-ip-address [ end-ip-address ] [ gateway ip-address ] | start-ipv6-address [ end-ipv6-address ] [ delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length ] ipv6–gateway ipv6–gateway-address} * [ vpn-instance instance-name ] [ domain-name domain-name | interface { interface-name | interface-type interface-number } [ vlan vlan-id [ qinq qinq-vlan ] | mac-address mac-address | detect | export | keep-online ] *,创建静态用户,静态用户可在某个指定的接口上线。
    • (可选)执行命令static-user [ description ] start-ip-address [ end-ip-address ] [ gateway ip-address ] [ vpn-instance instance-name ] [ domain-name domain-name | interface-list list-name | mac-address mac-address | export | keep-online ] *,创建静态用户,静态用户可在指定的接口列表上线。

    创建静态用户时,可以指定其IP地址(可设置IP地址所属的VPN实例)、接入NE40E的接口、所属的域、MAC地址。

    detect参数表示NE40E主动探测静态用户触发其上线。如果不配置该参数,对于IPv4用户则需要用户计算机发送ARP报文/IPv4报文才能触发上线,对于IPv6用户需要用户主动发送NS/NA/IPv6报文才能触发上线

    配置IPv4静态用户的BAS接口需要同时配置ip-triggerarp-trigger命令。

    配置IPv6静态用户的BAS接口需要同时配置ipv6-triggernd-trigger命令。

    说明:
    • IPv4单栈用户,可以从接口列表绑定的多个接口接入,但不支持主动探测上线,配置IPv4静态用户绑定接口列表时,不会提示detectvlan
    • 配置IPv6的静态用户,不会提示绑定接口列表。

  6. (可选)执行命令static-user detect interval interval-value,配置路由器主动探测静态用户上线的时间间隔。
  7. 执行命令layer3-subscriber { start-ip-address [ end-ip-address ] | start-ipv6-address [ end-ipv6-address ] | delegation-prefix start-ipv6-prefix [ end-ipv6-prefix ] prefix-length } * [ vpn-instance instance-name ] domain-name domain-name,配置三层用户指定所在IP地址段以及相关联的认证域的域名。

    由于设备可配置的地址段数量有限,当网络中地址段数量较大时,建议配置layer3-subscriber ip-address any domain-name domain-name命令,在无法命中配置的地址段时按照此命令配置的域上线,否则无法命中地址段的IPv4报文将被丢弃,用户触发上线失败。

配置用户名解析

域名与用户名之间位置以及先后关系可以灵活配置满足多种需要。

背景信息

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令domain-name-delimiter delimiter,配置域名分隔符。

  4. 执行命令domain-location { after-delimiter | before-delimiter },设置域名位置。

  5. 执行命令domainname-parse-direction { left-to-right | right-to-left },设置域名解析方向。

  6. (可选)执行命令realm-name-delimiter delimiter,设置realm名分隔符。

  7. (可选)执行命令realm-location { after-delimiter | before-delimiter },配置realm域名位置。

  8. (可选)执行命令realmname-parse-direction { left-to-right | right-to-left },设置realm名解析方向。

  9. 执行命令parse-priority { domain-first | realm-first },配置解析优先级。

    如果解析优先级为domain-first,则去除realm域名部分。

配置用户名生成方式和密码

对于绑定认证用户等用户上线,不需要输入用户名和密码,NE40E提供配置用户名生成方式和密码的功能。

背景信息

请在路由器上进行以下配置。

说明:
  • 密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
  • 为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。

操作步骤

  • 配置用户名生成方式和密码
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令default-user-name [ template template-name ] include { sysname [ separator ] | gateway-address separator [ separator ] | ip-address separator [ separator ] | mac-address { separator | noseparator } [ separator ] | { option82 [ separator | { sub-option sub-option-code [ offset offset ] parse-mode { auto-identify [ offset ] | string [ length ] | binary length | hex [ length ] { class1 | class2 | class3 } } [ separator ] } &<1-4> ] | access-line-id [ separator | { circuit-id [ offset offset ] parse-mode { auto-identify [ offset ] | string [ length ] | binary length | hex [ length ] { class1 | class2 | class3 } } [ separator ] | remote-id [ offset offset ] parse-mode { auto-identify [ offset ] | string [ length ] | binary length | hex [ length ] { class1 | class2 | class3 } } [ separator ] } * ] } | { option60 | vendor-class } [ cn | [ offset offset ] { length length | sub-option sub-option-code [ sub-offset sub-offset ] [ sub-length sub-length ] } ] [ separator ] | { option61 | client-id } [ separator ] | option12 [ separator ] | pevlan [ separator ] | cevlan [ separator ] | slot [ seperator ] | port [ seperator ] | subslot [ seperator ] } *,配置根据用户连接请求报文中携带的相关信息生成IPoX用户的纯用户名的方式。

      或执行命令vlanpvc-to-username { standard | turkey | version10 | version20 },配置原有IPoX用户的纯用名生成格式。

      或执行命令vlanpvc-to-username standard trust { pevlan | cevlan } [ ignore-rid ] ,配置原有IPoX用户的纯用名生成格式。

      或执行命令vlanpvc-to-username standard ignore-rid ,配置原有IPoX用户的纯用名生成格式。

    4. (可选)执行命令domain domain-name,进入AAA域视图。
    5. (可选)执行命令radius-server domain-annex { left | right }annex-string,配置BRAS向RADIUS服务器发送认证请求和计费请求报文时,在用户名的域名左右增加字符串信息。
    6. (可选)执行命令quit,退回AAA视图。
    7. 执行命令default-password [ template template-name ] { cipher cipher-password | simple simple-password | { option60 | vendor-class } [ cn | [ offset offset ] { length length | sub-option sub-option-code [ sub-offset sub-offset ] [ sub-length sub-length ] } ] [ md5-encryt ] [ support hex ] | { option77 | user-class } },配置IPoX用户的密码或密码模板

      ciphersimple的区别在于:

      cipher可以输入加密后的密文,simple只能输入加密前的密文,由于加密后的密文长度更长,因此cipher可输入的密码长度比simple要长。

      说明:

      为保证设备安全,请尽量修改密码,不要采用缺省密码。

    8. 执行命令commit,提交配置。

配置用户的接入限制

通过该配置可以控制用户连接数目。

背景信息

在网络接入路由器上进行如下配置。

操作步骤

  • 单VLAN接入用户数限制

    缺省情况下,单VLAN中上线的用户数不能超过3k。如果单VLAN中上线的用户数超过3k,应执行命令vlan-host-car增加对用户侧上送CPU且携带同一VLAN ID报文的限制带宽。

    说明:

    对于用户侧报文上送的防攻击,路由器通过CAR限速实现,系统默认使能或有缺省参数值。详细配置请参见”配置用户侧报文CAR”。缺省情况下,由于设备对用户侧的上送CPU且携带同一VLAN ID报文的承诺信息速率为256kbps,峰值信息速率为256kbps,承诺突发尺寸为128kBytes,峰值突发尺寸为128kBytes,故缺省单VLAN中上线的用户数不能超过3k。

  • PPP用户接入限制
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ppp-user-slot-warning-threshold threshold-value,配置业务单板PPP接入用户数告警的阈值,当单板PPP接入用户数比例超过这个设定的阈值时,设备会发出告警。
    3. 执行命令ppp-user-warning-threshold threshold-value,配置整机PPP接入用户数告警的阈值,当NE40E整机的PPP接入用户数比例超过这个设定的阈值时,设备会发出告警。
    4. 执行命令ppp connection chasten option105 request-sessions request-period blocking-period [ padi-discard ] [ quickoffline ]或命令ppp connection chasten request-sessions request-period blocking-period [ padi-discard ] [ quickoffline ] [ multi-sessions-permac ],限制PPP用户请求连接的次数。

      配置用户拨入限制次数是为了防止网络上非法用户使用穷举法试探正常用户的口令。当用户在一段时间内认证N次都未认证通过,冻结用户一段时间,来降低试探成功的机率。

      另一种场景,若现网大量用户上线后立即下线,可引起CPU负载过高甚至Radius服务器Down。此时可以通过配置quickoffline参数限制PPP用户在指定时间内上线后立即下线的次数,PPP用户在request-period时间内上线后立即下线的次数达到request-sessions次数后,则被冻结blocking-period秒。

      系统视图下配置此命令对接入NE40E的所有用户生效,用户VLAN视图下配置此命令只对接入该接口的指定VLAN用户生效。如果两个视图下都配置了该命令,先达到限制条件的命令生效。

      一mac多session场景下,即命令pppoe-server max-sessions remote-mac配置一个MAC地址允许接入的最大用户数大于1后,ppp connection chasten命令后没有配置option105,则按照MAC地址限制PPP用户请求连接的功能不生效,如需生效,需配置multi-sessions-permac参数。如果ppp connection chasten命令后配置了option105,则按照option105限制PPP用户请求连接的功能仍生效。

    5. 执行命令pppoe-server slot-number max-sessions session-number,配置接口板上允许接入的最大用户数。
    6. 执行命令pppoe-server max-sessions remote-mac session-number,配置一个MAC地址允许接入的最大用户数。

      说明:

      命令pppoe-server max-sessions remote-mac配置一个MAC地址允许接入的最大用户数大于1后,ppp connection chasten命令后没有配置option105,则按照MAC地址限制PPP用户请求连接的功能不生效,如需生效,需配置multi-sessions-permac参数。如果ppp connection chasten命令后配置了option105,则按照option105限制PPP用户请求连接的功能仍生效。

    7. 执行命令pppoe-server same-user forbid用来在一MAC一session场景下,相同MAC的PPPoE用户从相同物理位置接入时,禁止后上线的用户接入。
    8. 执行命令aaa,进入AAA视图。
    9. 执行命令ppp username check,配置PPP用户请求上线时必须带用户名,否则上线失败。
    10. 执行命令commit,提交配置。
  • 用户接入IP数限制

    用户可以从多条链路接入路由器,配置单板或BAS接口允许接入的PPP用户最大IP数,当接入的PPP用户IP数达到BAS接口或单板的最大IP限制数时,接口或单板不再回应PPP用户PADO报文,不能再接入新的PPP用户,可以达到接入用户在不同接口和单板负载分担的目的。

    配置的接入限制为PPP用户的IP数限制,只对PPPoE和L2TP用户生效,单栈用户统计为一个用户,双栈用户统计为两个用户。当达到BAS接口或单板的PPP用户接入限制数,接口或单板不再回应PPP用户PADO报文,不能再接入新的PPP用户。

    BAS口上线的PPP用户如果达到了单板配置的PPP最大接入IP数,该BAS接口也不再回应PPP用户PADO报文接入新的PPP用户,但配置了exclude参数的BAS接口不受此限制。

    1. 执行命令system-view,进入系统视图。
    2. 执行命令slot slot-id,进入槽位视图。
    3. 执行命令access-ip-limit max-number user-type ppp,配置指定单板允许接入的最大PPP用户IP数。
    4. 执行命令quit,退回系统视图。
    5. 执行命令interface interface-type interface-number,进入接口视图。
    6. 执行命令bas,创建BAS接口并进入BAS接口视图。
    7. 执行命令access-type layer2-subscriber [ bas-interface-name name | default-domain { pre-authentication domain-name | authentication [ force | replace ] domain-name } * | accounting-copy radius-server radius-name ] * ,配置二层普通用户接入类型及相关属性。
    8. 执行命令access-ip-limit max-number user-type ppp [ exclude ],配置指定BAS接口允许接入的最大PPP用户IP数。
    9. 执行命令commit,提交配置。
  • 用户接入报文数限制

    当存在大量ARP/IP/IPv6/ND报文攻击或非法客户端不停地发送请求时,会造成主控板的CPU利用率高,可以配置该命令进行限制,对超过限制数量的报文直接丢弃。

    1. 执行命令system-view,进入系统视图。
    2. 执行命令slot slot-id,进入槽位视图。
    3. 执行命令access trigger packet-limit,配置指定单板规定时间内允许通过的最大用户报文数。
    4. 执行命令quit,退回系统视图。
    5. 执行命令commit,提交配置。
  • DHCP用户接入限制
    1. 执行命令system-view,进入系统视图。
    2. 执行命令dhcp-user-slot-warning-threshold threshold-value,配置业务单板DHCP接入用户数告警的阈值,当单板DHCP接入用户数比例超过这个设定的阈值时,设备会发出告警。
    3. 执行命令dhcp-user-warning-threshold threshold-value,配置整机DHCP接入用户数告警的阈值,当NE40E整机的DHCP接入用户数比例超过这个设定的阈值时,设备会发出告警。
    4. 执行命令dhcp_connection_chasten { authen-packets authen-packets | request-packets request-packets } * check-period check-period restrain-period restrain-period [ slot slotid ],配置DHCP接入用户限制。

      • 使用display dhcp chasten-user slot slotid [ mac-address mac-address ] [ state { restrain | check } ] 命令,查看被限制用户信息。

    5. 执行命令commit,提交配置。
  • 单板接入用户限制
    1. 执行命令system-view,进入系统视图。
    2. 执行命令slot-warning-threshold threshold-value,配置单板接入用户数告警的阈值,当单板接入用户数比例超过这个设定的阈值时,设备会发出告警。
  • 接入延时
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令access-delay step step-value minimum minimum-time maximum maximum-time [ slot slot-id ],使能用户接入响应延时功能,以及设置最大接入响应延时时间和最小接入响应延时时间。

      说明:

      如果同时配置了全局和BAS接口下的接入响应延时功能,则全局配置不生效,用户接入延时时间采用相应BAS接口下的配置。

      用户接入响应延长的时间由接入用户数,以及配置的步长、最大延长时间和最小延长时间共同决定:

      • 如果接入用户数除以步长并取整,再加上最小延长时间配置数值后的值小于等于最大延长时间配置数值,则用户接入延长时间为接入用户数除以步长并取整,再加上最小延长时间配置数值后的值乘以10毫秒。

      • 如果接入用户数除以步长并取整,再加上最小延长时间配置数值后的值大于最大延长时间配置数值,则用户接入延长时间为最大延长时间配置数值乘以10毫秒。

      例如,若配置步长为3000,最大延长时间为7,最小延长时间为3,则第0~2999个用户延时3*10毫秒,第3000~5999个用户延时4*10毫秒,第6000~8999个用户延时5*10毫秒,第9000~11999个用户延时6*10毫秒,第12000之后的用户均延时7*10毫秒。

    4. 执行命令quit,退回系统视图。
    5. (可选)执行命令access delay load-balance group groupname [ delay-time ],配置用户接入负载分担组。

      当系统存在两台设备且配置相同,用户可以选择从任一设备上线,这两台设备分为一主一备。若主机和备机都配置了负载分担组,为了使用户优先从主机的接口上线,可在备机上执行命令access delay load-balance group group-name delay-time配置负载分担组固定延时,这样即使哈希结果命中的是备机接口,备机接口也会延时delay-time后回应用户报文,因此就能够保证用户会优先从主机接口上线。当主机出现故障时,才会选择从备机接口上线。

    6. 执行命令interface interface-type interface-number,进入接口视图。
    7. 执行命令bas,创建BAS接口并进入BAS接口视图。
    8. (可选)执行命令access-delay delay-time load-balance-group group-name,将需要负载分担的接口加入一个负载分担组,同一个用户负载分担组内的接口按照用户MAC哈希的结果决定延时回应报文的时间,从而实现板间负载分担功能。

      当负载分担组未配置延时时间:

      • 如果用户上线接口被哈希机制命中,则设备立即回应用户报文。
      • 如果用户上线接口未被哈希机制命中,则设备按照接口下配置的延时时间延时回应用户报文。
      当负载分担组配置了延时时间:
      • 如果用户上线接口被哈希机制命中,则设备按照负载分担组上配置的延时时间,延时回应用户报文。
      • 如果用户上线接口未被哈希机制命中,则设备按照负载分担组上配置的延时时间加上接口下配置的延时时间,延时回应用户报文。

    9. (可选)执行命令access-delay delay-time [ circuit-id-include text-value | even-mac | odd-mac ],配置BAS接口上用户接入响应延时策略。

      当延时策略配置为circuit-id-include时,对于DHCP用户和PPP用户接入,BAS接口下需要使用client-option82命令配置设备信任客户端上报的DHCP Option82和PPPoE+信息,接入延时才能生效。

  • 用户报文限制
    1. 执行命令system-view,进入系统视图。
    2. 执行命令access packet strict-check { all | { nd | dhcpv6 | dhcp | ppp | l2tp | dot1x } * } ,配置路由器对指定类型的用户报文进行严格检查。

      可能出现用户发送报文目的MAC地址不是BAS接口的MAC地址也能收到回应的情况,可执行此命令配置对用户报文进行严格检查,不符合标准协议规定的报文将被丢弃,避免路由器受到恶意攻击的影响。

      配置对用户报文进行严格检查后,不符合标准协议规定的报文将被丢弃,如果终端设备没有严格遵从标准协议,可能导致一些用户不能上线,请谨慎使用此命令。

  • 配置设备根据系统状态动态调整用户接入数。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令access-speed adjustment system-state enable [ strict-check ],使能设备根据系统状态调整用户接入速率。
    4. 执行命令access-speed adjustment system-state threshold { main-cpu-usage | main-memory-usage | access-usage | slot-cpu-usage | slot-memory-usage | ppp-cpcar-drop | ppp-receive-queue | pppoe-receive-queue | l2tp-queue | dhcp-slot-queue } alarm threshold-value resume threshold-value,配置触发降低用户接入速率的系统状态阈值和恢复阈值。
    5. 执行命令access-speed adjustment system-state user-type { { dhcp | pppoe | ipv4-trigger | ipv6-trigger | dot1x } * | none },配置根据系统状态动态调整上线速率的用户类型。
    6. 执行命令access-speed adjustment system-state time interval adjust-interval delay-count adjust-delay-count [ slot ],配置检测系统状态调节用户接入速率的频率和上调接入速率的最小延迟周期数。
    7. 执行命令commit,提交配置。
  • 配置用户资源和CPU占用率告警功能。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令access-user exhaust warning enable,配置使能用户资源或CPU使用率达到告警阈值时触发告警、降到阈值以下后恢复告警功能。
    3. 执行命令access-user exhaust threshold-alarm { main-resource-usage | slot-resource-usage | main-cpu-usage | slot-cpu-usage } upper-limit upper-limit lower-limit lower-limit,配置用户资源或者CPU使用率的告警阈值和告警恢复阈值。
    4. 执行命令commit,提交配置。

切断在线用户的连接

NE40E提供了根据用户的IP地址、MAC地址、接入端口、域等多种条件切断在线用户连接的功能。

背景信息

根据用户名和认证模式拆除连接时,如果有多个符合条件的连接,将同时拆除。

说明:

可以使用域名、接口名、IP地址池、IPv6地址池、用户名等的组合条件拆除用户连接,例如同时指定接口、域名、IP地址池条件:cut access-user interface gigabitethernet 1/0/0 domain dom1 ip-pool pool1

请在路由器上进行以下操作。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令cut access-user username user-name { all | hwtacacs | local | none | radius | radius-proxy },按用户名切断在线用户。

    或执行命令cut access-user domain domain-name,按域名切断在线用户。

    或执行命令cut access-user mac-address mac-address,按MAC地址切断在线用户。

    或执行命令cut access-user ipv6-address ipv6-address [ vpn-instance instance-name ],按IPv6地址切断在线用户。

    或执行命令cut access-user ip-address ip-address [ vpn-instance instance-name ],按IP地址切断在线用户。

    或执行命令cut access-user interface interface-type interface-number [ pevlan vlan-id ] [ cevlan vlan-id ],按接口切断在线用户。

    或执行命令cut access-user user-id start-no [ end-no ],按用户ID切断在线用户。

    或执行命令cut access-user ip-pool pool-name,按IP地址池切断在线用户。

    或执行命令cut access-user slot slot-id,切断指定槽号的单板上的所有用户连接。

    或执行命令cut access-user ipv6-pool pool-name,切断指定IPv6地址池内的所有用户连接。

    或执行命令cut access-user ipv6-prefix prefix-address/prefix-length,切断指定IPv6前缀的所有用户连接。

    或执行命令cut access-user authen-method authen-method-type,切断指定认证方式的用户连接。

  4. 执行命令user-queue-resource allocate-fail offline,配置用户user-queue资源分配失败时强制下线的策略。
  5. (可选)配置用户释放任一地址时强制用户下线
    1. (可选)执行命令domain domain-name,进入域视图。
    2. (可选)执行命令any-address-release offline,配置用户释放任一地址时强制用户下线。

      此命令仅适用于PPPoX类型用户和L2TP用户。

配置用户上下线记录功能

通过用户上下线记录可以获知用户上下线原因和时间。

背景信息

路由器上进行如下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 使能用户上下线记录功能。
    1. 执行命令aaa offline-record,使能产生用户下线记录的功能。
    2. 执行命令aaa online-fail-record,使能产生用户上线失败记录的功能。
    3. 执行命令aaa_abnormal-offline-record,使能产生用户异常下线记录。
    4. 执行命令aaa normal-offline-record,使能产生用户正常下线记录。
  3. (可选)配置本地保存用户上下线记录。
    1. 执行命令save aaa online-fail-record,将用户的上线失败记录保存到本地文件中。
    2. 执行命令save aaa offline-record,将用户的下线记录保存到本地文件中。
    3. 执行命令save aaa normal-offline-record,将用户的正常原因下线记录保存到本地文件中。
    4. 执行命令save aaa abnormal-offline-record,将用户的异常下线记录保存到本地文件中。
  4. (可选)配置用户下线记录的MIB表格按照字典序输出。

    执行命令aaa offline-record mib-order lexicographical-order,配置用户下线记录的MIB表按照字典序输出。

(可选)配置记录和发送用户上下线日志和用户上线结果日志

通过用户上下线日志和用户上线结果日志可查询上下线用户的IP地址、上下线时间等信息。

背景信息

路由器上使能记录用户上下线日志和用户上线结果日志的功能后,设备在用户成功上线或下线时会记录相关信息,该信息包括:用户名、用户上线/下线操作、用户上线/下线的时间、用户上线接口、用户IP地址和用户MAC地址等。

同时路由器还支持将用户上下线日志和用户上线结果日志发送给日志服务器,供网络维护人员直接在日志服务器上查询。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令ip userlog { access | call-status } export host ip-address udp-port,配置接收用户上下线日志和用户上线结果日志的主机IP地址和UDP端口号。
  3. 执行命令ip userlog access export version,配置用于发送用户上下线日志的报文的版本号。
  4. 执行命令ip userlog access send format syslog,配置用户上下线日志的发送格式。
  5. 执行命令ip userlog access,使能记录并发送用户上下线日志的功能。
  6. 执行命令ip userlog call-status,使能记录并发送用户上线结果日志的功能。
  7. 执行命令commit,提交配置。

操作结果

  • 完成用户上下线日志功能和用户上线结果日志功能配置后,可执行display ip userlog access config查看配置信息。
  • 如果已有用户成功上线或下线,可执行display ip userlog access statistic查看统计信息。
    说明:

    若需要重新统计用户上下线日志信息和用户上线结果日志信息,可以执行reset ip userlog statistics access命令清除设备上已有的记录。

    执行此命令后,之前统计的用户上下线日志和用户上线结果日志的记录信息无法恢复,请谨慎使用。

  • 完成用户上下线日志功能和用户上线结果日志功能配置后,可执行display ip userlog buffer access查看设备上用户上下线日志和用户上线结果日志缓冲区中的控制块信息和用户记录信息。

配置用户业务跟踪功能

操作步骤

  1. 执行命令trace access-user object object-id { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | ce-vlan ce-vlan-id | pe-vlan pe-vlan-id | ipv6-address ipv6-address/prefixlength | user-name user-name | tunnel-id tunnel-id | access-mode { pppoe | pppoa | pppoeoa | ipoe | ipoeoa } } * [ output { file file-name | syslog-server ip-address | vty } | [ -t time ] | mode packet | flow-report ] *trace access-user object object-id calling-number [ output { file file-name | syslog-server ip-address | vty } ] [ mode packet ] [ -t time ] [ | include ] calling-number-content texttrace access-user object object-id { circuit-id text | remote-id text } * { exact-match | partial-match } [ output { file file-name | syslog-server ip-address | vty } | -t time | mode packet | flow-report ] *,配置使能用户业务跟踪功能。

    使用业务跟踪功能将使NE40E的性能有一定程度的下降,因此建议只在需要进行问题定位时启用,正常情况下不开启该功能。如果在大量用户状态变化时使用此命令,请注意配置的跟踪对象尽可能的精确,避免消耗大量的设备资源,造成用户正常的业务无法开展。

  2. 执行命令commit,提交配置。

配置用户测试

在出现AAA运行故障时,可以测试某个用户是否能够通过RADIUS服务器组的认证去排查故障原因。

背景信息

请在路由器上进行以下配置。

说明:
  • 密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
  • 为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-test-group radius-test-group-name,创建RADIUS服务器测试模板。
  3. 执行命令include [ authentication | accounting ] radius-attr-name [ radius-attribute-value | auto ],配置添加在radius服务器测试模板中添加上送的RADIUS属性。
  4. 执行命令exclude [ authentication | accounting ] radius-attr-name,配置在radius服务器测试模板中上送不携带的RADIUS属性。

后续处理

在任意视图下执行命令test-aaa user-name password [ password random [ random1 random2 ] timestamp [ timestamp1 timestamp2 ] ] radius-group group-name [ chap | pap ] [ test-group test-group-name ],测试某个用户是否能够通过RADIUS服务器组的认证去排查故障原因。

调整用户松散模式上线时间

系统异常重启用户松散模式上线可减少客户端重启,但可能消耗大量系统资源,可根据实际情况进行调整。

前提条件

BAS接口下已使能IP/ARP报文触发上线。

背景信息

NE40E异常重启后,NE40E重启后缺省两小时内不查询备份表,允许原来在线用户使用IP/ARP触发上线,即允许一段时间用户使用松散模式上线,避免掉线的用户必须得等到租期到了之后续租失败或者关机重启才能重新上线。如果需要调整用户松散模式上线时间,请在NE40E进行如下配置。

操作步骤

  1. 基于AAA视图的用户松散模式
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令access-trigger loose { loose-time | all-time },配置系统重启后用户采用松散模式上线的持续时间。

      缺省情况下,系统重启后用户采用松散模式上线的持续时间为120分钟。

      配置系统重启后允许用户采用松散模式上线后,备份表的过滤功能不起作用,用户发送的IP/ARP报文都会引起触发上线,NE40E需要处理大量触发上线报文,系统可能资源消耗很大,造成正常用户上线困难。

      NE40E重启后,大量用户上线会增加DHCP服务器和RADIUS服务器的处理压力。

    4. 执行命令access-trigger loose infinite-lease,使能租约为无限大的用户,不存在异常下线备份表时可以触发上线。
  2. 基于AAA域视图的用户松散模式
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令domain domain-name,进入AAA域视图。
    4. 执行命令access-trigger loose { loose-time | all-time },基于域配置系统重启后用户采用松散模式上线的持续时间。缺省情况下,系统重启后用户采用松散模式上线的持续时间为0分钟。

      说明:

      对于AAA视图和AAA域视图同时配置松散检查时间的场景,以AAA域视图下的配置为准。

    5. 执行命令access-trigger loose infinite-lease,基于域使能租约为无限大的用户,不存在异常下线备份表时可以触发上线。

配置接口Down后用户策略

背景信息

接口故障或直连链路故障等原因会触发接口Down,导致用户下线。故障恢复后触发接口Up,用户会重新上线。如果因接口或直连链路等故障触发接口频繁地在Up和Down之间切换,则会导致用户频繁地上下线。这时可以执行命令user-policy interface-down配置接口Down后对用户采取的策略,解决因接口状态振荡导致用户频繁上下线的问题。

操作步骤

  • 在全局下配置接口Down后用户策略。

    1. 执行命令system-view,进入系统视图。

    2. 执行命令user-policy interface-down { offline | online },配置接口Down后对在线用户采取的策略,包括强制用户下线和保持用户在线两种策略。

  • 在接口下配置接口Down后用户策略。

    1. 执行命令system-view,进入系统视图。

    2. 执行命令interface interface-type interface-number [ .subinterface-number ],进入接口视图。

    3. 执行命令commit,提交配置。
    4. 执行命令bas,创建BAS接口并进入BAS接口视图。

    5. 执行命令access-type layer2-subscriber [ default-domain { [ authentication [ force | replace ] dname ] [ pre-authentication predname ] } ],配置二层普通用户接入类型及相关属性。

      或执行命令access-type layer3-subscriber [ default-domain { [ pre-authentication predname ] authentication [ force | replace ] dname } ],配置三层普通用户接入类型及相关属性。

    6. 执行命令user-policy interface-down { offline | online },配置接口Down后对在线用户采取的策略,包括强制用户下线和保持用户在线两种策略。

    说明:
    • 如果同时在系统视图和BAS接口下配置该命令,则该BAS接口Down后用户是否下线由BAS接口下的配置决定;其它BAS接口Down后用户是否下线由系统视图下的配置决定。

    • 如果已执行命令user-policy interface-down online配置接口Down后保持用户在线,针对此用户配置的探测下线机制仍然生效,即探测失败后此用户仍然会下线。

配置用户自动上线功能

应用环境

在DHCPv4用户接入场景中,路由器重启,单板、子卡、接口故障会导致用户异常下线,用户信息丢失。如果DHCPv4终端未感知到此故障,故障恢复后,DHCPv4终端不会重新向设备发送请求上线报文,也不会重新拨号,用户无法重新上线。这时可以配置用户自动上线功能,故障发生前,将用户信息自动保存到内存,故障恢复后,根据内存保存的用户信息自动恢复用户上线。

当故障为设备掉电重启时,内存保存的用户信息会丢失。因此计划设备掉电重启前,需要将内存保存的用户信息写入到CF卡;设备掉电重启后,将CF卡中的用户信息恢复到内存,再根据内存的用户信息自动恢复用户上线。

说明:

保存的DHCPv4用户信息包括:DHCPv4用户的MAC地址、IP地址、VLAN/PVC、接入接口、所属VPN实例名、所属域名、租期、Option82、Option60、Option61、DHCPv4服务器IP地址。保存的DHCPv4用户信息仅用于恢复用户自动上线。考虑到安全性,不建议在CF卡上长期保存DHCPv4用户信息,请及时清理。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令access-user dhcp auto-save max-user-number max-user-number,全局使能DHCPv4用户信息的自动备份功能,并配置自动备份DHCPv4用户数量的最大值,限制各域下能够备份的DHCPv4用户数量之和。

    说明:

    当各域下需要备份的DHCPv4用户数量之和超过配置的DHCPv4用户数量最大值时,超出数量的DHCPv4用户信息将不会被保存。所以请根据各域下需要备份的DHCPv4用户数量之和,配置参数max-user-number

    执行该命令后,会根据配置的自动备份DHCPv4用户数量最大值申请内存空间。当无法申请到所需大小的连续内存空间时,该命令会执行失败,DHCPv4用户信息的自动备份功能无法生效。

  3. 执行命令aaa,进入AAA视图。
  4. 执行命令domain domain-name,进入域视图。
  5. 执行命令access-user dhcp auto-save enable,域下使能DHCPv4用户信息的自动备份功能。

    执行该命令后,该域下的在线DHCPv4用户信息保存到高端内存(存储介质的一种)中,用户信息会占用一定的内存空间,占用的内存空间大小与配置的自动备份的DHCPv4用户数量最大值成正比,大约64000个DHCPv4用户信息占用50M内存。

    部署双机热备功能的DHCPV4用户会使用双机热备机制进行备份,高端内存不会保存已部署双机热备功能的用户信息。

  6. 执行命令quit,进入AAA视图。
  7. 执行命令access-trigger lease-end-time original,配置异常下线用户再触发上线时租期到期时间为异常下线前的时间。
  8. 执行命令quit,进入系统视图。
  9. 执行命令access-user dhcp auto-recover enable,使能DHCPv4用户的自动上线功能。
  10. (可选)执行命令access-user dhcp auto-recover speed { slow | normal | fast },配置DHCPV4接入用户在设备故障恢复后自动触发上线的速率。

    • 如果配置为slow表示自动触发上线速率的上限值为100/s。

    • 如果配置为normal表示自动触发上线速率的上限值为300/s。

    • 如果配置为fast表示自动触发上线速率的上限值为500/s。

  11. 当由于设备掉电重启导致用户异常下线,需要用户自动上线时,请进行如下操作:

    1. 设备掉电重启前,执行命令access-user dhcp save-file file-path-name,将内存保存的DHCPv4用户信息写入到CF卡中,并指定文件路径和文件名。

      注意:

      执行该命令后,会将高端内存保存的DHCPv4用户信息写入到CF卡。当保存的DHCPv4用户信息很多时,写入到CF卡的速度较慢,可能会影响其它业务,请谨慎使用。

    2. 设备掉电重启后,执行命令access-user dhcp recover-file file-path-name,将CF卡文件中保存的DHCPv4用户信息恢复到内存中。

      执行该命令后,会从CF卡文件中读取DHCPv4用户信息到高端内存,对于高端内存中已存在的DHCPv4用户信息,不会被CF卡文件存储的用户信息覆盖。

  12. 执行命令commit,提交配置。

检查配置结果

执行display access-user auto-save user-info { online | wait-recover | mac-address mac-address [ interface { interface-name | interface-type interface-number } [ pevlan pevlan cevlan cevlan ] ] }命令查看内存中保存的DHCPv4用户信息。

[HUAWEI] display access-user auto-save user-info online
--------------------------------------------------------------------------------
   Index    MAC              IP address        Access interface     Vlan(PVC)
--------------------------------------------------------------------------------
   0        6ad4-04a7-11cc   192.168.210.218   GE5/1/0.3            200/100
   1        6ad4-05a7-11cd   192.168.210.217   GE5/1/0.3            200/100
   2        6ad4-06a7-11ce   192.168.210.216   GE5/1/0.3            200/100
   3        6ad4-07a7-11cf   192.168.210.215   GE5/1/0.3            200/100
   4        6ad4-08a7-11d0   192.168.210.214   GE5/1/0.3            200/100
   5        6ad4-09a7-11d1   192.168.210.213   GE5/1/0.3            200/100
   6        6ad4-0aa7-11d2   192.168.210.212   GE5/1/0.3            200/100
   7        6ad4-0ba7-11d3   192.168.210.211   GE5/1/0.3            200/100
   8        6ad4-0ca7-11d4   192.168.210.210   GE5/1/0.3            200/100
   9        6ad4-0da7-11d5   192.168.210.209   GE5/1/0.3            200/100
   10       6ad4-0ea7-11d6   192.168.210.208   GE5/1/0.3            200/100
   11       6ad4-0fa7-11d7   192.168.210.207   GE5/1/0.3            200/100
   12       6ad4-10a7-11d8   192.168.210.206   GE5/1/0.3            200/100
   13       6ad4-11a7-11d9   192.168.210.205   GE5/1/0.3            200/100

执行display access-user auto-save statistics命令查看内存自动备份用户信息的统计数据。

[HUAWEI] display access-user auto-save statistics
   Max backup user number            : 64000                                    
   Current valid item number         : 14                                        
   Current online user number        : 14                                        
   Current wait-recover user number  : 0                                        
   Version of user-backup-table      : V3.0    

配置基于VLAN对整机用户流量进行统计

通过配置实现统计基于内、外层VLAN整机用户流量的功能。

背景信息

当用户采用接口any-other VLAN的PPPoE接入方式时,用户VLAN可以在任意接口进行上线,无法方便的统计用户流量信息。在路由器上使能基于内、外层VLAN进行整机用户流量统计功能后,可以分别对内、外层VLAN的用户流量进行统计。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令access user-flow-statistics enable,使能基于内、外层VLAN对整机用户流量进行统计。
  3. 执行命令commit,提交配置。

操作结果

  • 通过QinQ子接口接入且内层为any方式时,完成用户接入配置,用户正常上线后,可执行display access user-flow-statistics configurationdisplay vlan-statistics pevlan命令查询对应整机流量的配置和统计信息。
  • 如果希望重新统计整机用户流量,可执行reset vlan-statistics pevlan命令清除基于内、外层VLAN整机用户流量统计结果后,再执行display vlan-statistics pevlan命令,查看到的结果就只有执行reset vlan-statistics pevlan命令后开始的数据。

检查配置结果

完成管理用户的配置后,可以查看到用户名生成方式、域解析相关配置。

操作步骤

  • 使用display static-user命令,查看配置的静态用户信息。
  • 使用display aaa configuration命令,查看域名解析相关的配置信息。
  • 使用display vlanpvc-to-username命令,查看生成IPoX用户名版本格式的配置信息。
  • 使用display call rate命令,查看各类用户的呼叫接通率。
  • 使用display access trigger user-table命令,查看被限制的用户信息。
  • 使用display access-ip-number { interface interface-type interface-number | slot slot-id }* user-type ppp命令,查看指定接口或指定单板的PPP接入用户的IP数。
  • 使用 display trace access-user object [ object-id ]命令,查看业务跟踪对象的配置情况。
  • 使用display aaa online-fail-record dhcp statistics命令,查看系统当前用户上线失败记录数。
  • 使用 display access delay load-balance [ group group-name ]命令,查看配置的用户接入负载分担组信息。

任务示例

配置完成后,执行命令display static-user命令可以查看配置的静态用户信息,例如:

<HUAWEI> display static-user
   ---------------------------------------------------------------------------
   Interface       VLAN-ID        IP-address      MAC-address      VPN
                                  IPv6-address
                                  IPv6-delegation-prefix
   ---------------------------------------------------------------------------
   GE2/0/3.1        1/1            10.255.255.241         -               -         
                                   -                   
                                   -                  
   GE2/0/3.1        1/1            10.255.255.249       -               -        
                                   -                   
                                   -                   
   ---------------------------------------------------------------------------
   Total 2 item(s) matched   

配置完成后,执行命令display aaa configuration命令可以查看域名解析相关的配置信息,例如:

<HUAWEI> display aaa configuration
---------------------------------------------------------------------------
  AAA configuration information :
  ---------------------------------------------------------------------------
  Parse Priority                   : Domain first
  Domain Name Delimiter            : @
  Domainname parse direction       : Left to right
  Domainname location              : After-delimiter
  Realm name delimiter             : -
  Realmname parse direction        : Left to right
  Realmname location               : Before-delimiter
  Domain                           : total: 1024  used: 6
  Authentication-scheme            : total: 32    used: 3
  Authorization-scheme             : total: 32    used: 1
  Accounting-scheme                : total: 256   used: 3
  Recording-scheme                 : total: 128   used: 0
  AAA-access-user                  : total: 279552 used: 0
  Access-user-state                : authen: 0    author: 0    accounting: 0
  Transition-step                  : -
  Min-Delay-time                   : -
  Max-Delay-time                   : -
  Access speed                     : -
  Offline speed                    : 256(/s)
  Account-session-id-version       : Version1
 Remote-download configuration    :
    Remote user-group              : enable
    Remote user-group check interval: 10
    Remote acl                     : enable
  Edsg update-user-ip-acct         : enable
  -------------------------------------------------------------------

配置完成后,执行命令display vlanpvc-to-username可以查看生成IPoX用户名版本格式的配置信息,例如:

<HUAWEI> display vlanpvc-to-username
  Version of vlan and pvc model in username : Version2.0

配置完成后,执行命令display call rate查看各类用户的呼叫接通率,例如:

<HUAWEI> display call rate
 User callrate:
 --------------------------------------------------------
 Usertype      Calltime      Callcompletion      Rate
 --------------------------------------------------------
 PPP             127                127         100.00%
 Dot1X           324                324         100.00%
 Web/Fast        7                   7          100.00%
 Bind            0                   0           0.00%
 Total           458                458         100.00%
# 配置完成后,执行display access trigger user-table命令,查看被限制的用户信息。
<HUAWEI> display access-trigger user-table slot 1 
-------------------------------------------------------------------------------------------------------------------
User Mac address    :0008-0201-0101                    
Access Interface    :GigabitEthernet1/0/1.1            
Access Pevlan/CeVlan:405/-                             
IPV4:                                                  
User IP address     :10.1.1.4                           
Start Limit Time    :2013-10-24 16:07:55               
Pass Packet         :28                                
Drop Packet         :0    
# 配置完成后,执行 display trace access-user object命令,查看指定ID的业务跟踪对象的配置情况。
<HUAWEI> display trace access-user object 1
 Object ID             : 1                                                            
 MAC Address           : 0001-0001-0001                                               
 Output to VTY                                                                 
 Aging time            : 15   
Flow Report           : Enable                                  
 
 Object ID             : 2                                                            
 MAC Address           : 0001-0001-0002                                               
 Output to VTY                                                                 
 Aging time            : 15 
 Flow Report           : Enable
 --------------------------      
# 配置完成后,执行display aaa online-fail-record dhcp statistics命令,查看系统当前用户上线失败记录数。
<HUAWEI>display aaa online-fail-record dhcp statistics
------------------------------------------------------------------------------------------------
DHCPv4 online failures                  :    10
DHCPv6 online failures                  :    10
------------------------------------------------------------------------------------------------
# 配置完成后,执行 display access delay load-balance命令,查看配置的用户接入负载分担组信息。
<HUAWEI> display access delay load-balance group huawei
Group-name:huawei                        Member-count:2

Active-count:2                        Delay-time:0

-------------------------------------------------------------------------
Member-InterfaceName      Number  DelayTime  Count  Chasten  UpDownTime  
-------------------------------------------------------------------------

GigabitEthernet1/0/1.1      0       20          0       0         -       

GigabitEthernet2/0/1.1      1       20          0       0         -       

 -------------------------------------------------------------------------
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:16464

下载量:209

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页