所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
调整DHCPv4服务参数

调整DHCPv4服务参数

通过调整DHCPv4服务参数达到提高DHCPv4服务安全性的目的。

应用环境

在配置DHCPv4服务器后,为了提高DHCPv4服务的安全性,防止其他非法DHCPv4服务器为客户端分配不合法的IP地址,需要配置DHCPv4服务的安全功能。网络管理员通过查看日志,判断是否有非法的DHCPv4服务器为客户端分配IP地址。

前置任务

在调整DHCPv4服务参数之前,需完成以下任务:

  • 配置DHCPv4服务器

(可选)配置DHCPv4全局参数

DHCPv4全局参数包括对指定单板允许接入DHCPv4用户数进行限制和对DHCPv4服务器组发送的报文进行限速。

背景信息

请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp slot-id max-sessions user-number,配置设备上的指定单板允许接入DHCPv4用户的最大数量。

  3. 执行命令dhcp check-client-packet strict,配置路由器对DHCP客户端报文严格检查。

  4. 执行命令dhcp-server ip-address [ vpn-instance vpn-instance ] send-discover-speed packet-number time,配置对DHCPv4服务器组发送的报文进行限速。

  5. 执行命令dhcp server identifier dest-ip,配置指定从中继转发过来的用户报文的目的IP作为DHCP服务器标识。

    配置dhcp server identifier dest-ip命令后,NE40E给用户的回应报文会使用用户请求报文的目的IP填写server-identifier字段,作为DHCP服务器的标识。

    此命令只用于NE40E作为非首台PE设备且作为DHCP服务器的特殊场景,其它场景此命令不生效。

  6. 执行命令dhcp request-ip-address check { enable | disable },配置是否使能OPTION50地址请求检查功能。

    当大量用户发送DHCP request报文携带OPTION50申请地址,用户通过认证后路由器发现该地址已经分配给其他用户使用,路由器给用户发送NAK报文。如果没配置dhcp request-ip-address check enable命令,用户再次发送DISCOVER上线时,路由器会再次对用户认证,导致设备CPU升高。使能OPTION50地址请求检查功能后,如果请求地址已经分配给其他用户,路由器收到用户的OPTION50请求则不再对该用户进行认证,直接回应NAK,可降低CPU使用率。

  7. 执行命令access-line-id attach,配置在用户不携带Option82或BRAS不信任用户携带的Option82的情况下,BRAS向RADIUS服务器上送option82信息。

  8. (可选)执行命令dhcp rebind no-user action keep-silence,配置当设备收到DHCP Rebind报文后,如果不存在用户表项,不回应NAK报文。
  9. 执行命令commit,提交配置。

配置DHCP选项

DHCP提供了在TCP/IP网络上传输配置参数的框架,在DHCP客户端和服务器端可以用选项代码传送双方约定的配置参数和控制信息。

背景信息

Option60主要用于某些终端设备(例如数字电视的机顶盒)在接入网络时,NE40E无法通过用户名方式获知其所属域,也就不能为其分配IP地址。此时,可配置该终端设备在发起DHCP请求时,通过Option 60携带域信息。NE40E收到DHCP报文时,可根据Option 60中携带的域信息来分配IP地址。

Option121主要用于给终端设备分配一条或多条静态路由。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp option-60 [ cn | [ offset offset ] { length length | sub-option sub-option-code [ sub-offset sub-offset ] [ sub-length sub-length ] } ] { domain-included | included-in-domain } { exact-match | partial-match } [ encrypt ],设置DHCP报文option 60属性,根据域名从相应的地址池分配地址,可设置包含域名,通过partial-match或者exact-match参数来设置匹配域名的方式为部分匹配或者精确匹配,通过encrypt参数来设置option 60属性加密

    如果从option60获取用户域,在option60字符串中选择域名分割符(默认@)后面的所有字符串做域名,如果没有寻找到用户域则按照下面顺序继续寻找,如果没有域名分隔符按照配置的模糊还是精确的方式进行匹配。如果获取到用户域信息,流程不再往下进行。

    1. 系统视图下配置的dhcp option-60
    2. BAS接口配置的认证域

  3. 执行命令aaa,进入AAA视图。
  4. 执行命令domain domain-name,进入域视图。
  5. 执行命令dhcp option121 route ip-address mask-length gateway-address,为域下用户分配静态路由。
  6. 执行命令commit,提交配置。

(可选)配置DHCP报文中Option82的封装方式

使用远端地址池为二层用户分配地址时,在发送给DHCP Server的报文中的Option82属性中强制插入/替换Sub-Option2(即Remote ID)信息。

背景信息

使用远端地址池为二层接入用户分配地址时,可以通过Option82中的remote-id字段来识别运营商,因此需要在发送给DHCP Server的Option82 信息中按照固定格式强制插入/替换Sub-Option2(即Remote ID)信息,Sub-Option2(即Remote ID)信息支持自定义字符串功能。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number [ .subinterface-number ],进入接口视图。
  3. 执行命令bas,进入BAS接口视图。
  4. 配置DHCP报文中Option82的封装方式,根据封装的内容选择对应的配置。以下命令两两互斥:

    • 执行命令dhcp option82 rebuild version3 send-to-server [ remote-id { neba | vula } ],使能发送给DHCP Server的报文中的Option82属性以固定格式封装,但是封装的内容不支持自定义。

      本命令行优先级高于命令行dhcp option-82 agent-remote-id strip

    • 执行命令dhcp option82 rebuild version4 send-to-server,使能发送给DHCP Server的报文中的Option82属性以sysname:interface-name:svlan-cvlan格式封装。
    • 执行命令dhcp option82 rebuild self-define { circuit-id circuit-id-value | out-vlan out-vlan-value | inner-vlan inner-vlan-value | remote-id remote-id-value } * send-to-server,使能发送给DHCP server的报文中的Option82属性以固定OSP格式封装,但是封装的内容支持自定义。
    说明:

    该配置生效的前提条件是BAS接口下使能dhcp proxy功能。

(可选)配置DHCPv4服务器重启用户地址租期

在DHCPv4服务器升级前,修改整机DHCPv4用户的地址租期可以避免设备升级重启后,用户在不重启终端的情况下需要较长时间才能上线的问题。

背景信息

NE40E设备进行版本升级的时候,DHCP接入用户不能像PPP用户那样感知链路DOWN并重新发起拨号,必须通过重启终端触发DHCP请求流程,获取IP地址才能重新上线。目前采用的升级方案是:在(升级日期-地址池续租时间)的日期将地址池租期改短(地址池续租时间为1.5天,例如在升级前1.5天将地址池租期改为30分钟,续租时间为15分钟),保证设备升级重启后,终端可以很快发续租报文,从而重新进行DHCP过程上线。

以上升级方案存在两个问题:
  • 修改地址池租期只能对从本地地址池分配的地址用户生效,Radius下发的地址租期不受地址池下的配置所影响,这样导致这类用户在不重新启动终端的情况下需要很长时间才能上线。

  • 用户地址池的租期是在地址池视图下进行配置的,手工修改所有地址池的租期配置工作量大。

在系统视图下配置dhcp upgrade命令修改整机的DHCP用户的地址租期,可以解决以上问题。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp upgrade lease day [ hour [ minute ] ] [ renewal-time day [ hour [ minute ] ] ] [ rebinding-time day [ hour [ minute ] ] ],配置整机DHCPv4用户的地址租期。

    执行dhcp upgrade命令后,不管是新上线用户还是在线用户续租,也不管是Radius下发的地址还是本地地址池分配的地址,都使用系统视图下配置的租期。

    dhcp upgrade配置后,不生成配置文件,需要通过命令display dhcp upgrade查看配置结果。设备重启后dhcp upgrade命令不再生效。

    注意:

    当配置租期较短时,大量用户同时续租时,CPU利用率会升高。非升级场景,不要配置较短的租期。

    本命令在设备重启后不再生效。

  3. 执行命令commit,提交配置。

配置DHCPv4报文透传功能

配置DHCPv4报文透传功能一般用于机顶盒用户快速关机再重启只发送一次DHCPv4 Discover报文的情况。

背景信息

在机顶盒用户快速关机再重启时,NE40E感知不到用户下线,用户表项还在。收到机顶盒再重启发送的DHCPv4 Discover报文时,NE40E会先让用户下线,等待用户再次发起DHCPv4 Discover报文获取DHCPv4地址的过程。

而有些机顶盒关机再启动时,只发送一次DHCPv4 Discover报文,这就导致这些用户不能重新上线。

配置DHCPv4报文透传功能可解决上述问题。请在路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp through-packet ,配置DHCPv4报文透传功能。

(可选)使能透传DHCP NAK报文

DHCPv4远端地址池分配地址时,用户通过BRAS设备发送Discover报文到DHCP服务器,如果BRAS设备在等待服务器的应答报文时,收到了服务器的NAK报文,BRAS设备将NAK报文透传给客户端。

背景信息

DHCPv4远端地址池分配地址时,当用户通过BRAS设备发送Discover报文到DHCP服务器,如果BRAS设备在等待服务器的应答报文时,收到了服务器的NAK报文,BRAS设备会丢掉该NAK报文。配置BRAS设备将NAK报文透传给客户端后,如果客户端支持解析NAK报文,可以提示用户上线失败。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp through-nak,使能DHCPv4用户远端地址池在等待DHCP服务器回应Offer报文的状态下收到NAK报文后,将NAK报文透传给客户端的功能。

启动服务器的非法DHCPv4服务器检测功能

启动服务器的非法DHCPv4服务器检测功能可以防止其他非法DHCPv4服务器为客户端分配不合法的IP地址。

背景信息

在网络中,如果有私自架设的DHCPv4服务器,当其他用户申请IP地址时,这台DHCPv4服务器就会与DHCPv4客户端进行交互,导致用户获得错误的IP地址,无法正常上网,这种私设的DHCPv4服务器称为非法DHCPv4服务器。

网络管理员通过查看日志文件,可以看到所有为客户端提供IP地址的DHCPv4服务器的IP地址,进而可以判断是否存在非法DHCPv4服务器。

请在作为DHCPv4服务器的设备上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp invalid-server-detecting [ interval ],配置非法DHCPv4服务器检测的时间间隔。

    如果非法DHCPv4服务器检测的时间间隔设置为0,则表示不进行检测。

    说明:

    该功能只能在BAS侧设备上配置。

使能IP地址冲突检测功能

DHCPv4服务器通过发送Ping报文探测地址的使用情况,进行IP地址冲突检测。

背景信息

为防止IP地址重复分配导致地址冲突,DHCPv4服务器为客户端分配地址前,需要先对该地址进行探测。

说明:

该功能只能在网络侧设备上配置。

请在作为DHCPv4服务器的网络侧设备上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp server ping timeout milliseconds,配置DHCPv4服务器发送Ping包的最长等待响应时间。
  3. 执行命令dhcp server ping packets number,配置DHCPv4服务器发送Ping包的最大数量。

  4. 执行命令commit,提交配置。

后续处理

地址探测是通过Ping命令实现的,检测是否能在指定时间内得到Ping应答。如果没有得到应答,则继续发送Ping报文,直到发送Ping包数量达到最大值,如果仍然超时,则可以认为本网段内没有设备使用该IP地址,从而确保客户端被分得的IP地址是唯一的。

保存DHCPv4数据

保存DHCPv4数据到存储设备后,在发生故障时可以从存储设备恢复数据。

背景信息

请在作为DHCPv4服务器的设备上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp server database enable,使能DHCPv4数据保存到存储设备的功能。
  3. (可选)执行命令dhcp server database write-delay interval,设置保存时延。

  4. 执行命令commit,提交配置。

后续处理

系统将当前的DHCPv4数据保存到存储设备上,并可以在发生故障时从存储设备恢复数据。

DHCPv4数据以固定的文件名保存在存储设备上,正常的地址租借信息保存在文件lease.txt中,地址冲突信息则保存在文件conflict.txt中。由于这两个文件会被定期覆盖,建议用户在必要时将生成的文件备份到其它位置。

恢复DHCPv4数据

恢复DHCPv4数据可以恢复出系统保存的正常的地址租借信息和地址冲突信息。

背景信息

请在作为DHCPv4服务器的设备上进行以下配置。

说明:

必须使能DHCPv4数据保存的功能之后,才能将保存的DHCPv4数据恢复。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp server database recover,从存储设备恢复DHCPv4数据。
  3. 执行命令commit,提交配置。

(可选)配置检测到IPv4地址冲突时对新老用户做下线处理

完成此配置后,检测到IP地址冲突会触发地址冲突的新老用户下线。

背景信息

为实现针对每个用户分别进行认证、授权和计费,每个用户都需要使用不同的IP地址上线,这就需要配置检测新老用户IP地址是否存在冲突。缺省情况下,设备检测到IP地址冲突时会向DHCP Server服务器发送DHCP Decline报文。此时新用户无法上线,不影响老用户。

某些情况下,使用该IP的老用户不下线,会影响新用户的正常上线。譬如,对于根据option82位置信息来分配IP地址且未部署ARP探测的场景,运营商在更换CPE后,老CPE的接入用户由于IP地址租期未到其用户信息就不会被删除。这时携带相同option82位置信息的新用户就会获取到与已有用户冲突的地址,导致无法正常上线。这时就需要配置检测到IP地址冲突时对新老用户都做下线处理,确保新用户再次协商后可正常上线。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcp conflict-ip-address offline user [ include framed-ip ],配置在检测到远端地址池或Radius分配的IP地址与已在线老用户的IP地址发生冲突时触发新老用户下线。

    新老用户均为双栈用户且新用户IP由远端地址池分配,若同时配置了dhcp conflict-ip-address offline命令和dhcp conflict-ip-address offline user命令,当检测到IPv4地址冲突时会将老用户的IPv4下线而不会将双栈下线,即dhcp conflict-ip-address offline命令优先生效。

  3. 执行命令commit,提交配置。

检查配置结果

完成DHCPv4服务参数调整后,您可以查看到DHCPv4服务器的信息和DHCPv4数据库的存放路径。

前提条件

已经完成DHCPv4服务参数调整的所有配置。

操作步骤

  • 使用display dhcp-server item ip-address [ vpn-instance vpn-instance ]命令查看DHCPv4服务器的信息。
  • 使用display dhcp server database命令查看DHCPv4数据库的存放路径和文件信息。
  • 使用display dhcp upgrade命令查看DHCPv4用户租期配置结果,确定重启设备的时间。

任务示例

执行命令display dhcp-server item ip-address,可以看到DHCPv4服务器的信息。

<HUAWEI> display dhcp-server item 1.2.3.4
  IPAddress   : 1.2.3.4
  State       :  UP
  Speed Limit : 0 packets / 0 seconds
  Dead Count  : 0
  Timeout     : 25(Sec)
  Dead Time   : 3(Min)
  Nak Count   : 10  
  Vpn Instance: yl

执行命令display dhcp server database,可以看到DHCPv4数据库的存放路径。

<HUAWEI> display dhcp server database
 Status: disable
 Recover from files after reboot: disable
 File saving lease items: cfcard:/dhcp/lease.txt
 File saving conflict items: cfcard:/dhcp/conflict.txt
 Save interval: 300 (seconds)

执行命令display dhcp upgrade查看配置结果,确定重启设备的时间。

<HUAWEI> display dhcp upgrade
DHCP upgrade:enable.
Lease time: 0days 0hours 30minutes
Renew time: 0days 0hours 15minutes
Rebind time:0days 0hours 22minutes
Access DHCP user count of new lease: 100 
Access DHCP user count of old lease: 100
Access DHCP user count of infinite lease: 10
Max interval from current for old lifetime DHCP user renew: 0 days 0 hours 15 minutes
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:18401

下载量:217

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页