所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置IPoE接入业务

配置IPoE接入业务

IPoE接入方式下,接入用户只需通过报文触发的方式接入Internet,无需安装客户端拨号软件、无需拨号。

应用环境

IPoE接入业务是一种接入认证业务。在普通IPoE接入业务中,用户通过以太网、ADSL等方式接入,通过配置固定IP地址或者DHCP方式动态获取IP地址,通过Web认证、快速认证或绑定认证等方法进行身份验证

根据组网方式的不同,普通IPoE接入业务可以分为IPoE、IPoEoVLAN、IPoEoQ。

前置任务

在配置普通IPoE接入业务之前,需要完成以下任务:

  • 配置AAA方案。
  • 配置服务器模板。
  • 配置IPv4地址池。
  • 配置域。

配置流程

要完成配置普通IPoE接入业务的任务,需要执行如下的配置过程。

说明:

配置AAA方案”, “配置RADIUS服务器组”, “配置IPv4地址池”, “配置域”,在其它章节已说明,这里不再重复。

图6-1  IPoE配置过程

配置子接口下绑定VLAN

当设备接入的用户报文携带VLAN标签时,对不同的用户有不同的处理方式,确保此类报文能够正确被转发。

背景信息

对于从子接口接入的用户,需要在子接口下绑定VLAN。

子接口可以绑定VLAN或QinQ,配置子接口绑定VLAN包括以下参数:

  • 子接口的编号
  • VLAN ID
  • QinQ ID
说明:
  • 每个主接口下只允许配置一个any-other子接口。同一个子接口下any-other不能与start-vlanqinq同时配置。
  • 子接口上已经配置了dot1q终结或QinQ终结或qinq stacking或vlan-type dot1q,则不能再配置user-vlan命令。
  • 不同的子接口下不能配置VLAN ID相同的user-vlan。

请在NE40E上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number.subinterface-number,创建并进入子接口视图。
  3. 当用户接入类型为二层普通用户接入时:执行命令user-vlan { start-vlan [ end-vlan ] [ qinq start-qinq-id [ end-qinq-id ] ] | any-other },创建用户侧VLAN。

    当用户接入类型为三层普通用户接入时:执行命令vlan-type dot1q vlan-id,创建用户侧VLAN。

  4. 执行命令commit,提交配置。

(可选)激活端口的BRAS接入功能

若需要在CM单板上的端口支持BRAS接入功能,必须先激活端口的BRAS接入功能。

背景信息

在激活端口的BRAS接入功能之前,需要执行命令active port-basic激活CM单板上端口的基本软件License。

在激活端口的BRAS接入功能之后,才能在CM单板的GE接口和Eth-Trunk接口上执行命令bas创建BAS接口。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令license,创建并进入License视图。
  3. 执行命令active port-bras slot slot-id card card-id port port-list,激活端口的BRAS接入功能。
  4. 执行命令commit,提交配置。

后续任务

激活端口的BRAS接入功能后,可执行命令display license resource usage port-bras查看CM单板上端口的BRAS接入功能的License授权信息。

<HUAWEI> display license resource usage port-bras all
 Global port license information:
 ----------------------------------------------------------------------------------
 Port Type          Offline     Allocated     Activated     Available     Total
 ----------------------------------------------------------------------------------
 GE                 0           0             1             2             3
 10GE               0           0             0             3             3
 100GE              0           0             0             0             0


 Port license activated information:
 ----------------------------------------------------------------------------------
 Physical Port Position                         Port Type           Active Status
 ----------------------------------------------------------------------------------
 1/0/1                                          10GE                No allocated
 1/0/2                                          10GE                No allocated
 1/0/3                                          10GE                No allocated
 2/0/1                                          GE                  No allocated
 2/0/2                                          GE                  No allocated
 2/0/3                                          GE                  Active

配置BAS接口

当某个接口用于接入宽带用户时,需要将该接口配置为BAS接口,并指定该接口的用户接入类型及相关属性。

背景信息

配置BAS接口包括以下参数:

  • BAS接口的编号

  • 用户的接入类型和认证方法

  • (可选)BAS接口接入的最大用户数、指定VLAN接入的最大用户数

  • (可选)BAS接口的缺省域、漫游域和允许用户接入的域

  • (可选)是否启用ARP代理功能、DHCP广播功能、计费报文抄送功能、IP报文触发上线功能、按用户复制组播报文功能

  • (可选)是否信任客户端上报的access-line-id信息、用户探测参数、非PPP用户所属的VPN实例、BAS接口名字

请在NE40E上进行以下配置。

说明:
  • 密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
  • 为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number [ .subinterface-number ],进入接口视图。

    说明:
    • 在终结L2VPN接入BRAS场景下,用户需要通过VE接口上线。进入接口视图前,需要执行命令ve-group ve-group-id l2-terminate配置VE接口为终结L2VPN的L2VE接口,并绑定相应的VE-Group。
    • 在终结L3VPN接入BRAS场景下,用户需要通过VE接口上线。进入接口视图前,需要执行命令ve-group ve-group-id l3-terminate,配置VE接口为终结L3VPN的L3VE接口,并绑定相应的VE-Group。终结L3VPN接入BRAS的场景只支持三层静态用户接入。详情可参见配置终结L3VPN接入BRAS示例

  3. 执行命令bas,创建BAS接口并进入BAS接口视图。

    当在一个接口视图下执行bas命令时,可以将该接口设置为BAS接口。可以设置为BAS接口的接口类型包括以太接口、Eth-Trunk接口以及这些接口的子接口。

  4. 执行命令access-type layer2-subscriber [ default-domain { [ authentication [ force | replace ] dname ] [ pre-authentication predname ] } ],配置二层普通用户接入类型及相关属性。

    或执行命令access-type layer3-subscriber [ default-domain { [ pre-authentication predname ] authentication [ force | replace ] dname } ],配置三层普通用户接入类型及相关属性。

    在设置BAS接口的用户接入类型时,还可以一起设置和该种用户类型相关的业务属性,这些属性也可以在后续的配置中逐项配置。

    在配置三层普通用户时,可以在系统视图下执行命令layer3-subscriber start-ip-address end-ip-address [ vpn-instance instance-name ] domain-name domain-namelayer3-subscriber ip-address any domain-name domain-name指定所在IP地址段以及相关联的认证域的域名。

    对于已经被Eth-Trunk接口包含的以太网接口,不能配置其用户接入类型,而只能在相应的Eth-Trunk接口下配置用户接入类型。

    在配置三层用户静态路由时,应指定的下一跳为用户的IP地址,不能指定出接口,否则会造成网络侧到用户侧回程流量转发不通。

    执行命令access-type layer2-leased-line user-name uname password { cipher password | simple password } [ bas-interface-name bname | default-domain authentication dname | accounting-copy radius-server rd-name | nas-port-type { async | sync | isdn-sync | isdn-async-v120 | isdn-async-v110 | virtual | piafs | hdlc | x.25 | x.75 | g.3-fax | sdsl | adsl-cap | adsl-dmt | idsl | ethernet | xdsl | cable | wireless-other | 802.11 } ] *access-type layer3-leased-line { user-name uname | user-name-template } password { cipher password | simple password } [ default-domain authentication dname | bas-interface-name bname | accounting-copy radius-server rd-name | nas-port-type { async | sync | isdn-sync | isdn-async-v120 | isdn-async-v110 | virtual | piafs | hdlc | x.25 | x.75 | g.3-fax | sdsl | adsl-cap | adsl-dmt | idsl | ethernet | xdsl | cable | wireless-other | 802.11 } | mac-address mac-address | client-id client-id ] *,配置二、三层专线用户接入类型及相关属性。

    有用户在线时,只有当用户类型是专线用户时,可以在线修改BAS接口的用户接入类型,其他情况不能修改。

    当用户类型配置为专线用户后,NE40E立即对该专线用户进行认证。

  5. (可选)执行命令access leased-line connection chasten request-session request-period blocking-period quickoffline命令使能专线用户快速上下线的抑制功能。

    在专线用户上线的过程中,可能存在Radius服务器下发给专线用户的在线时间配额或流量配额为0的情况,此时专线用户可以上线,但是由于配额为0,会很快下线,从而导致专线用户会频繁上下线。

    通过该命令可以配置专线用户上线的最多请求连接次数,与达到最大连接次数后的阻塞周期。

  6. (可选)执行命令trust 8021p-protocol,配置信任用户报文中携带的802.1p值。

    只有当BAS接口的类型为二层普通用户时,才能配置命令trust 8021p-protocol

  7. (可选)执行命令access-limit number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinq qinq-vlan ] [ user-type { ipoe | pppoe } ] ],设置接口级用户数限制。

    • 对于子接口下的BAS接口配置此命令表示对指定的某个或某些用户VLAN的接入用户数进行限制。
    • 对于主接口下的BAS接口配置此命令且不指定VLAN时,表示对整个接口的所有VLAN用户接入限制数。如果子接口下的BAS接口已指定VLAN的接入用户数限制,指定的VLAN的接入用户数限制优先。未指定VLAN的接入用户数遵循整个接口。
    • 支持基于接入用户的类型设置接入的最大用户数。

  8. (可选)执行命令default-domain pre-authentication domain-name,指定认证前缺省域。

    • 或执行命令default-domain authentication [ force | replace ] domain-name,指定认证缺省域。

    • 或执行命令permit-domain domain-name &<1-16>,指定允许接入的域。

      或执行命令deny-domain domain-name&<1-16>,配置BAS接口下禁止接入的域。

      permit-domaindeny-domaindeny-domain-listpermit-domain-list命令不能同时配置。

    • 或执行命令permit-domain-list,指定允许接入的域列表。

      或执行命令deny-domain-list,配置BAS接口下禁止接入的域列表。

  9. (可选)执行命令client-option82 [ basinfo-insert cn-telecom |version1 ],配置NE40E信任客户端上报的access-line-id信息。

    或执行命令basinfo-insert cn-telecom配置NE40E不信任客户端上报的access-line-id信息,插入中国电信格式的access-line-id信息。

    或执行命令basinfo-insert version2配置当NE40E不信任客户端上报的access-line-id信息时,NE40E插入version2格式的access-line-id信息。

    路由器传送给RADIUS服务器的属性按照下面配置对access-line-id解析和传送。

    • 执行命令option82-relay-mode dslam { auto-identify | config-identify }配置设备以DSLAM的access-line-id字段填充Agent-CircuitID 和Agent-RemoteID属性传送给RADIUS服务器。或执行命令option82-relay-mode include { allvalue | { agent-circuit-id | agent-remote-id [ separator ] }* }配置设备传送给RADIUS服务器的NAS-Port-Id属性中包含的access-line-id信息。
    • 解析规则按照命令option82-relay-mode subopt { agent-circuit-id { hex | string } | agent-remote-id { hex | string }配置Agent-CircuitID或Agent-RemoteID信息的传送格式。

    或执行命令vbas vbas-mac-address [ auth-mode { ignore | reject } ],启用VBAS(Virtual BAS)方式的用户定位功能。

  10. (可选)执行命令client-option60,配置路由器信任客户端上报的Option60信息。

    如果从Option60获取用户域,在Option60字符串中选择域名分割符(默认@)后面的所有字符串做域名,如果没有寻找到用户域则按照下面顺序继续寻找,如果没有域名分隔符按照配置的模糊还是精确的方式进行匹配。如果获取到用户域信息,流程不再往下进行。

    1. BAS接口下配置的client-option60
    2. 系统视图下配置的dhcp option-60
    3. BAS接口配置的认证域

  11. (可选)执行命令accounting-copy radius-server radius-name,启用计费报文抄送功能。
  12. (可选)执行命令link-account resolve,配置NE40E发送给radius服务器的计费请求报文中携带link-account信息。

    配置此命令前应配置接入类型为二层接入用户。

    配置此命令后会影响设备发送给radius计费服务器的计费请求报文的25号标准属性。

    满足下面条件时,25号标准属性class中会填充link-account信息。
    • 对该接口上线的用户采用不认证、使用radius计费方案
    • 对于二层普通接入用户,该接口已配置VLAN和VLAN描述信息

  13. 请根据具体业务类型,选择对应配置。

    • 对于IPoE接入业务,请执行如下配置:

      执行命令ip-trigger,打开BAS接口的IP报文触发上线开关或在线用户触发漫游开关。或执行命令arp-trigger,打开BAS接口的ARP报文触发上线开关或在线用户漫游开关。

    • 对于IPoEv6接入业务,请执行如下配置:

      执行命令ipv6-trigger,启用IPv6报文触发上线功能或在线用户触发漫游功能。或执行命令nd-trigger,启用NS/NA报文触发上线功能。

  14. (可选)执行命令wlan-switch enable [ switch-group switch-group-name ],使能Wlan用户漫游切换。

    使能WLAN用户漫游切换后,需要同时配置通过用户报文来触发设备完成WLAN用户漫游处理,请根据漫游发生的不同场景选择如下配置。
    • 若用户在不同AP间漫游时未经过没有Wifi信号的区域,需要执行命令ip-triggerarp-trigger或,配置通过用户发送的IP/ARP报文触发设备启动WLAN用户漫游处理。或根据需要可配置任一或者都配置,配置触发二层v6用户漫游。
    • 若用户在不同AP间漫游时经过没有Wifi信号的区域,需要执行命令dhcp session-mismatch action roam ipv4配置通过用户发送的discover或request报文触发设备启动WLAN用户漫游处理。
      说明:
      • dhcp session-mismatch action roam ipv4 命令与dhcp session-mismatch action offline命令是覆盖式关系,如果同时配置,那么后配置的命令生效。

    完成Wlan用户漫游切换配置后,Wlan用户在不同接入点间发生漫游时,用户不需要下线重新认证上线,可保证用户业务不中断。

  15. (可选)执行命令user detect retransmit num interval time [ no-datacheck ]或user detect no-datacheck,设置用户探测参数。
  16. (可选)执行命令dhcp session-mismatch action offline,将物理位置信息发生变化、MAC地址不变的已在线用户重新发起DHCP上线请求或ND上线请求时,触发已在线用户下线。

  17. (可选)执行命令block [ start-vlan { start-vlan [ end-vlan end-vlan ] [ qinq pe-vlan ] | any qinq start-qinq-vlan [ end-qinq-vlan ] } | pvc start-vpi/start-vci [ end-vpi/end-vci ] ],设置BAS接口的阻塞状态。
  18. 执行命令authentication-method { bind | { dot1x | ppp | { fast | web } } * },配置web、fast认证方式或者绑定认证方式。

    只有接入用户类型为二层用户的BAS接口可以设置其认证方法。各种认证方法可以组合使用,但有以下的约束关系:

    • Web认证和快速认证互斥;
    • 绑定认证和其他认证方式都互斥。

  19. (可选)执行命令select-authentication-domain individual,配置EAP认证的RADIUS代理用户选择EAP用户名中包含的域作为认证域。
  20. (可选)执行命令dhcp-reply trust broadcast-flag,使能BAS接口下设备根据用户DHCP请求报文中的broadcast标志位来封装用户回应报文的目的MAC地址类型。

    说明:

    配置信任broadcast标志位后,若DHCP请求报文中broadcast标志位为1,则将全F的广播地址做为回应报文的目的MAC;若DHCP请求报文中broadcast标志位为0,则将用户的MAC地址做为回应报文的目的MAC。

    dhcp-reply trust broadcast-flag命令只对二层接入用户生效。

    dhcp-reply trust broadcast-flag命令与dhcp-broadcast命令互斥。

  21. 执行命令commit,提交配置。

(可选)配置BAS接口访问控制

配置BAS接口按照ACL规则过滤上线用户,实现只允许指定的用户接入到路由器

背景信息

需要根据用户源MAC地址过滤用户时,先配置ACL规则,当DHCP或PPP用户上线时,根据ACL中配置的规则对用户源MAC进行匹配,来确定是否允许该用户上线。

请在路由器上进行如下的配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl { name link-acl-name { link | [ link ] number link-acl-number } | [ number ] link-acl-number } [ match-order { config | auto } ],进入ACL视图。
  3. 执行命令rule [ rule-id ] { deny | permit } source-mac source-mac sourcemac-mask,配置ACL规则。

    说明:

    BAS接口只支持编号范围为4000~4999的ACL。

    BAS接口只支持基于用户源MAC地址的ACL规则,其中对于DHCP用户源MAC地址指的是DHCP报文中用户硬件地址。

    BAS接口使用Filter-Polcy策略过滤用户时:
    • 如果ACL规则的动作是permit时,则匹配规则的用户允许接入,其余用户不允许接入。

    • 如果ACL规则的动作是deny时,则匹配规则的用户不允许接入,其余用户允许接入。

    • 如果ACL中不存在规则,那么引用该ACL的BAS接口不按照用户MAC过滤上线用户。

    • 如果BAS接口引用的ACL不存在,则BAS接口不按照用户MAC过滤上线用户。

  4. 执行命令quit,返回系统视图。
  5. (可选)执行命令ppp keepalive slow acl acl-num source-mac,配置对指定MAC地址的用户的PPP探测报文采用慢回方式。

  6. 执行命令commit,提交配置。
  7. 执行命令interface interface-type interface-number [ .subinterface-number ],进入接口视图。
  8. 执行命令commit,提交配置。
  9. 执行命令bas,进入BAS接口视图。
  10. 执行命令filter-policy acl acl-number { dhcp | ppp }*,配置BAS接口下按照ACL规则过滤上线用户。

    说明:
    • 配置filter-policy acl命令前,BAS接口应已执行命令access-type配置了用户接入类型。

    • 一个接口下一种接入方式只允许绑定一个ACL。

    • 执行filter-policy acl acl-number dhcp命令阻止某些MAC的DHCP用户上线,对于DHCP用户是根据DHCP报文内包含的用户硬件地址为用户分配地址的,因此检查时源MAC使用的是DHCP报文内包含的用户硬件地址,并非以太网帧头的源MAC地址。但此命令阻止不了对于以太网帧头源MAC与DHCP报文内部的用户硬件地址不一致的攻击源,对这种攻击源应执行命令dhcp check chaddr命令阻止。
    • filter-policy acl acl-number ppp命令对PPP类用户生效。

  11. 执行命令commit,提交配置。

(可选)配置一MAC多Session功能

背景信息

NE40E做BRAS或DHCP Server时只支持为不同MAC地址的IPoE用户分配地址,当希望NE40E为相同MAC的用户分配地址时,需要配置一MAC多Session功能,要求相同MAC的用户具有不同的VLAN或接口,并且Circuit-Id不同。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令ipoe-server multi-sessions per-mac enable,使能IPoE用户的一MAC多Session功能,使能后设备支持为相同MAC的用户分配地址。
  3. 执行命令commit,提交配置。

(可选)配置灵活接入VPN

根据业务报文所携带的802.1p值识别不同的业务,然后灵活接入对应的VPN网络。

背景信息

图6-2所示,每种业务可被映射成不同的优先级,不同的优先级可通过业务报文的802.1p值携带。BRAS设备收到来自二层网络的业务报文后可以根据802.1p值识别不同的业务,识别业务后,根据业务灵活接入对应的VPN网络。通过在BRAS设备上使能BAS接口按报文中802.1p优先级接入不同VPN功能,并为接入不同的VPN配置不同的802.1p优先级值,即可达到此目的。

图6-2  配置灵活接入VPN组网图

操作步骤

  1. 创建VPN实例(包括用户所在VPN和网络侧业务VPN)。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ip vpn-instance vpn-instance-name,创建VPN实例,并进入VPN实例视图。
    3. 执行命令ipv4-family,使能VPN实例IPv4地址族,并进入VPN实例IPv4地址族视图。
    4. 执行命令route-distinguisher route-distinguisher,为VPN实例IPv4地址族配置RD。
    5. 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-extcommunity ],为VPN实例IPv4地址族配置入方向或出方向VPN-Target扩展团体属性。
    6. 执行命令quit,返回VPN实例视图。
    7. 执行命令quit,返回系统视图。
  2. 创建本地地址池。
    1. 执行命令ip pool pool-name [ bas { local [ rui-slave ] | remote [ overlap | rui-slave ] | dynamic } ],创建地址池。
    2. 执行命令vpn-instance vpn-instance-name,在地址池中指定VPN实例。

      指定VPN实例为步骤1中配置的用户所在VPN。

    3. 执行命令gateway ip-address { mask | mask-length },添加地址池的网关IP地址和掩码。
    4. 执行命令section section-num start-ip-address [ end-ip-address ],配置地址池中的地址段。
    5. 执行命令import vpn-instance vpn-instance-name,在地址池中引入指定的VPN实例。

      在地址池中引入的VPN实例,即为步骤1中所创建的网络侧业务VPN实例。

    6. 执行命令quit,返回系统视图。
  3. 配置用户所在域。
    1. 执行命令aaa,进入AAA视图。
    2. 执行命令domain domain-name,创建一个域并进入对应的域视图。
    3. 执行命令authentication-scheme authentication-scheme-name,设置当前域使用的认证方案。
    4. 执行命令accounting-scheme accounting-scheme-name,设置当前域的计费方案。
    5. 执行命令ip-pool pool-name,配置地址池组下的IP地址池。
    6. 执行命令vpn-instance vpn-instance-name,在地址池中指定VPN实例。

      指定VPN实例为步骤1中配置的用户所在VPN。

    7. 执行命令quit,返回AAA视图。
    8. 执行命令quit,返回系统视图。
  4. 配置接口用户上线。
    1. 执行命令interface interface-type interface-number,创建子接口。
    2. 执行命令user-vlan { { start-vlan-id [ end-vlan-id ] [ qinq start-pe-vlan [ end-pe-vlan ] ] } },配置User-VLAN子接口。
    3. 执行命令802.1p 802.1p-prioirty binding vpn-instance vpn-instance-name,配置用户的业务报文按报文中802.1p优先级接入不同VPN功能。

      绑定的VPN实例,即为步骤1中所创建的网络侧业务VPN实例。

      说明:

      BRAS接口下有用户在线时不允许修改或删除用户的业务报文按报文中802.1p优先级接入不同VPN功能的配置。

    4. 执行命令quit,返回子接口视图。
    5. 执行命令bas,进入BAS接口视图。
    6. 执行命令access-type layer2-subscriber [ default-domain { authentication [ force | replace ] dname | pre-authentication predname } * | bas-interface-name bname | accounting-copy radius-server rd-name ] *,设置BAS接口的类型为二层普通用户接口。
    7. 执行命令authentication-method { bind | { fast | web } },配置BAS接口的认证方法。
    8. 执行命令802.1p-to-vpn,使能BAS接口按报文中802.1p优先级入不同VPN功能。
    9. 执行命令quit,返回子接口视图。
    10. 执行命令quit,返回系统视图。
  5. 配置网络侧ACL重定向。
    1. 执行命令acl { name basic-acl-name { basic | [ basic ] number basic-acl-number } | [ number ] basic-acl-number } [ match-order { config | auto } ],创建基本ACL。
    2. 执行命令rule [ rule-id ] { deny | permit } [ fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] ] *,在ACL视图下创建规则。
    3. 执行命令quit,返回系统视图。
    4. 执行命令vpn-group vpn-group-name [ vpn-instance vpn-name [ vpn-name ] &<1-8> ],创建VPN组,并将VPN实例按顺序添加到VPN组中。

      加入VPN组的VPN实例,即为步骤1中所创建的用户VPN实例。

    5. 执行命令traffic behavior behavior-name,定义一个流行为并进入流行为视图。
    6. 执行命令redirect vpn-group vpn-group-name,配置将报文重定向到指定的VPN组。

      重定向的VPN组,即为步骤d中创建的VPN组。

    7. 执行命令quit,返回系统视图。
    8. 执行命令traffic classifier classifier-name [ operator { and | or } ],定义一个流分类并进入流分类视图。
    9. 执行命令if-match acl acl { acl-number | name acl-name },配置基于IPv4的ACL列表进行复杂流分类的匹配规则。
    10. 执行命令quit,返回系统视图。
    11. 执行命令traffic-policy policy-name,配置流策略。
    12. 执行命令share-mode,指定流策略为共享属性。
    13. 执行命令classifier classifier-name behavior behavior-name [ precedence precedence-value ],在流策略中为流分类指定采用的流行为。
    14. 执行命令quit,返回系统视图。
  6. 配置网络侧接口。
    1. 执行命令interface interface-type interface-number,创建子接口。
    2. 执行命令vlan-type dot1q vlanid { 8021p { 8021p-value1 [ to 8021p-value2 ] } &<1-8> | dscp { dscp-value1 [ to dscp-value2 ] } &<1-10> | default | eth-type pppoe },配置普通Dot1q子接口匹配策略。
    3. 执行命令ip binding vpn-instance vpn-instance-name,将子接口与VPN实例绑定。

      与接口绑定的VPN实例,即为步骤1中所创建的VPN实例。

    4. 执行命令ip address ip-address { mask | mask-length },配置子接口的IP地址。
    5. 执行命令traffic-policy policy-name { inbound | outbound },在接口应用流量策略。

检查配置结果

用户通过相应的display命令,可以查看已经配置的IPoE接入相关信息。

操作步骤

  • 使用display access-user命令用来查看在线用户信息。在这条命令后面添加不同参数可以查看指定条件用户的信息。
  • 使用display web-auth-server configuration命令,查看Web服务器的配置信息。
  • 使用display domain命令,查看域的配置信息。
  • 使用display acl命令,查看ACL的配置信息。
  • 使用display interface命令,查看虚拟以太网接口的状态信息。

任务示例

执行display access-user命令,如果IPoE配置成功可以查看所有在线用户信息。
<HUAWEI> display access-user
 ------------------------------------------------------------------------------
  Total users                        : 9
  IPv4 users                         : 9
  IPv6 users                         : 0
  Dual-Stack users                   : 0
  Lac users                          : 0
  RUI local users                    : 0
  RUI remote users                   : 0
  Wait authen-ack                    : 0
  Authentication success             : 9
  Accounting ready                   : 9
  Accounting state                   : 0
  Wait leaving-flow-query            : 0
  Wait accounting-start              : 0
  Wait accounting-stop               : 0
  Wait authorization-client          : 0
  Wait authorization-server          : 0
  ------------------------------------------------------------------------------
  Domain-name                        Online-user
  ------------------------------------------------------------------------------
  default0                           : 0
  default1                           : 0
  default_admin                      : 0
  wq                                 : 0
  chen                               : 0
  isp7                               : 0
  gaoli                              : 0
  ly                                 : 0
  test                               : 0
  lsh                                : 9
  ------------------------------------------------------------------------------
  The used CID table are             :
  20-28
  ------------------------------------------------------------------------------

配置完成后,执行命令display web-auth-server configuration命令可以查看Web服务器的配置信息,例如:

<HUAWEI> display web-auth-server configuration
  Source interface      : -
  Listening port        : 2000
  Portal                : version 1, version 2, version 3
  Display reply message : enabled
  ------------------------------------------------------------------------
           Server  Share-Password     Port  NAS-IP  Vpn-instance
  ------------------------------------------------------------------------
    192.168.3.140  ******            50100   NO
  ------------------------------------------------------------------------
  1 Web authentication server(s) in total

配置完成后,执行命令display acl命令可以查看ACL的配置信息,例如:

<HUAWEI> display acl 3100
Advanced ACL  3100, 3 rules,
 rule 0 permit icmp (2 times matched)
 rule 1 permit ip source 10.1.1.1 0 destination 10.2.2.2 0 (0 times matched)
 rule 2 permit tcp source 10.110.0.0 0.0.255.255 (0 times matched)
配置完成后,执行命令display interface命令可以查看虚拟以太网接口的状态信息,例如:
<HUAWEI> display interface virtual-ethernet 1/0/0
Virtual-Ethernet1/0/0 current state : UP
Line protocol current state : UP
Last up time: 2007-11-17, 17:23:43
Description:Virtual-Ethernet1/0/0 Interface
Route Port,The Maximum Transmit Unit is 1500
Internet Address is 10.0.1.1/24
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc97-a4ab
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:16457

下载量:209

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页