所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置IPoEv6接入业务

配置IPoEv6接入业务

IPoEv6接入方式下,接入用户只需通过报文触发的方式接入Internet,无需安装客户端拨号软件、无需拨号。

应用环境

IPoEv6是通过DHCPv6报文、ND报文或者IPv6报文触发等方式接入NE40E的用户接入方式。

根据协议栈的不同,普通IPoEv6接入业务包括IPoEv6、IPoEoVLANv6、IPoEoQv6。这种接入方式下,用户PC无需安装客户端拨号软件、无需拨号、直接打开浏览器上网。

在宽带接入网络中,不同的运营商的业务模式不同,家庭网关运行的模式也不同,家庭网关运行模式包括桥接模式和numbered路由模式、unnumbered路由模式。

前置任务

在配置普通IPoEv6接入业务之前,需要完成以下任务:

  • 加载BRAS License,请参见《HUAWEI NetEngine40E 路由器 配置指南-系统管理》。

  • 配置AAA方案,配置接入用户使用的认证、授权、计费方案。

  • 配置RADIUS服务器,根据AAA方案使用的协议选择。

  • 配置域的AAA方案,在接入用户所属域中绑定使用的认证、授权、计费方案。

  • 配置域的服务器,在接入用户所属域中绑定使用的RADIUS服务器。

  • 设备和接口使能IPv6,IPv6接口需要配置IPv6地址(二层接入需要配置link-local地址)。

说明:

接口删除link-local地址或者去使能IPv6,或者全局去使能IPv6时,BAS口IPv6协议DOWN,从该接口接入的双栈用户会下线。

配置认证模式

介绍各种认证模式,运营商可根据实际的组网需求选择不同的认证模式进行配置。

背景信息

说明:

双栈的认证模式配置应相同,如采用绑定认证时,双栈都必须配置为绑定认证。

  • 绑定认证

    配置请参见配置绑定认证方式

    绑定认证方式接入时,IPv4网络中使用了DHCPv4 Option信息用于认证,升级到IPv6网络中,建议使用DHCPv6协议分配IPv6地址,在对应的Option选项中插入用于认证信息,保证从IPv4网络升级到IPv6网络后,用于认证的信息保持不变。

地址分配方式

NE40E支持NDRA、DHCPv6(IA_NA)、DHCPv6(IA_PD)、DHCPv6(IA_NA)+PD(IA_PD)、NDRA+DHCPv6(IA_PD)多种地址分配方式,根据实际组网需求进行配置。

背景信息

根据CPE的工作模式,可采用不同的地址分配方式,具体请参见相关配置:
CPE工作模式 场景 IPv6地址配置方式
桥模式 连接由HOST发起,CPE透传用户报文,NE40E分配HOST的IPv6地址。 NDRA
DHCPv6(IA_NA)
unnumbered路由模式 连接由CPE发起,NE40E分配CPE前缀用于下面主机生成IPv6地址。 DHCPv6(IA_PD)
numbered路由模式 连接由CPE发起,NE40E分配CPE wan口IPv6地址和CPE前缀用于下面主机生成IPv6地址。 DHCPv6(IA_NA)+PD(IA_PD)
NDRA+DHCPv6(IA_PD)
说明:
  • 对于三层IPv6专线用户,三层专线下的用户的地址分配等工作由接入的路由器负责,NE40E不负责地址分配,仅做认证计费。

IPv4升级到IPv6时,CPE模式和认证方式无特殊业务需求的情况下,与IPv4网络保持一致;PPP认证方式接入时,既可使用ND方式分配地址,也可使用DHCPv6协议分配地址;绑定认证方式接入时,建议采用DHCPv6协议分配地址;802.1x和Web认证在终端允许的情况下,建议采用DHCPv6协议分配地址。对于IPoE ND+PD双栈用户,ND地址可以用于管理CPE,PD前缀用于CPE向下挂设备分配地址前缀。缺省情况下,下线PD栈用户时ND栈用户也会同时被下线。如果客户希望单独下线PD栈用户,仍保留ND栈用户在线用于继续管理CPE,可以通过控制IPoE用户PD地址释放策略,配置支持IPoE ND+PD用户PD栈单独下线功能来实现。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令domain domain-name,进入AAA域视图。
  4. 执行命令ipv6 pd-address-release separate user-type ipoe,配置支持IPoE ND+PD用户PD栈单独下线功能。
  5. 执行命令commit,提交配置。

配置子接口下绑定VLAN

当设备接入的用户报文携带VLAN标签时,对不同的用户有不同的处理方式,确保此类报文能够正确被转发。

背景信息

对于从子接口接入的用户,需要在子接口下绑定VLAN。

子接口可以绑定VLAN或QinQ,配置子接口绑定VLAN包括以下参数:

  • 子接口的编号
  • VLAN ID
  • QinQ ID
说明:
  • 每个主接口下只允许配置一个any-other子接口。同一个子接口下any-other不能与start-vlanqinq同时配置。
  • 子接口上已经配置了dot1q终结或QinQ终结或qinq stacking或vlan-type dot1q,则不能再配置user-vlan命令。
  • 不同的子接口下不能配置VLAN ID相同的user-vlan。

请在NE40E上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number.subinterface-number,创建并进入子接口视图。
  3. 当用户接入类型为二层普通用户接入时:执行命令user-vlan { start-vlan [ end-vlan ] [ qinq start-qinq-id [ end-qinq-id ] ] | any-other },创建用户侧VLAN。

    当用户接入类型为三层普通用户接入时:执行命令vlan-type dot1q vlan-id,创建用户侧VLAN。

  4. 执行命令commit,提交配置。

配置BAS接口

当某个接口用于接入宽带用户时,需要将该接口配置为BAS接口,并指定该接口的用户接入类型及相关属性。

背景信息

配置BAS接口包括以下参数:

  • BAS接口的编号

  • 用户的接入类型和认证方法

  • (可选)BAS接口接入的最大用户数、指定VLAN接入的最大用户数

  • (可选)BAS接口的缺省域、漫游域和允许用户接入的域

  • (可选)是否启用ARP代理功能、DHCP广播功能、计费报文抄送功能、IP报文触发上线功能、按用户复制组播报文功能

  • (可选)是否信任客户端上报的access-line-id信息、用户探测参数、非PPP用户所属的VPN实例、BAS接口名字

请在NE40E上进行以下配置。

说明:
  • 密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
  • 为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number [ .subinterface-number ],进入接口视图。

    说明:
    • 在终结L2VPN接入BRAS场景下,用户需要通过VE接口上线。进入接口视图前,需要执行命令ve-group ve-group-id l2-terminate配置VE接口为终结L2VPN的L2VE接口,并绑定相应的VE-Group。
    • 在终结L3VPN接入BRAS场景下,用户需要通过VE接口上线。进入接口视图前,需要执行命令ve-group ve-group-id l3-terminate,配置VE接口为终结L3VPN的L3VE接口,并绑定相应的VE-Group。终结L3VPN接入BRAS的场景只支持三层静态用户接入。详情可参见配置终结L3VPN接入BRAS示例

  3. 执行命令bas,创建BAS接口并进入BAS接口视图。

    当在一个接口视图下执行bas命令时,可以将该接口设置为BAS接口。可以设置为BAS接口的接口类型包括以太接口、Eth-Trunk接口以及这些接口的子接口。

  4. 执行命令access-type layer2-subscriber [ default-domain { [ authentication [ force | replace ] dname ] [ pre-authentication predname ] } ],配置二层普通用户接入类型及相关属性。

    或执行命令access-type layer3-subscriber [ default-domain { [ pre-authentication predname ] authentication [ force | replace ] dname } ],配置三层普通用户接入类型及相关属性。

    在设置BAS接口的用户接入类型时,还可以一起设置和该种用户类型相关的业务属性,这些属性也可以在后续的配置中逐项配置。

    在配置三层普通用户时,可以在系统视图下执行命令layer3-subscriber start-ip-address end-ip-address [ vpn-instance instance-name ] domain-name domain-namelayer3-subscriber ip-address any domain-name domain-name指定所在IP地址段以及相关联的认证域的域名。

    对于已经被Eth-Trunk接口包含的以太网接口,不能配置其用户接入类型,而只能在相应的Eth-Trunk接口下配置用户接入类型。

    在配置三层用户静态路由时,应指定的下一跳为用户的IP地址,不能指定出接口,否则会造成网络侧到用户侧回程流量转发不通。

    执行命令access-type layer2-leased-line user-name uname password { cipher password | simple password } [ bas-interface-name bname | default-domain authentication dname | accounting-copy radius-server rd-name | nas-port-type { async | sync | isdn-sync | isdn-async-v120 | isdn-async-v110 | virtual | piafs | hdlc | x.25 | x.75 | g.3-fax | sdsl | adsl-cap | adsl-dmt | idsl | ethernet | xdsl | cable | wireless-other | 802.11 } ] *access-type layer3-leased-line { user-name uname | user-name-template } password { cipher password | simple password } [ default-domain authentication dname | bas-interface-name bname | accounting-copy radius-server rd-name | nas-port-type { async | sync | isdn-sync | isdn-async-v120 | isdn-async-v110 | virtual | piafs | hdlc | x.25 | x.75 | g.3-fax | sdsl | adsl-cap | adsl-dmt | idsl | ethernet | xdsl | cable | wireless-other | 802.11 } | mac-address mac-address | client-id client-id ] *,配置二、三层专线用户接入类型及相关属性。

    有用户在线时,只有当用户类型是专线用户时,可以在线修改BAS接口的用户接入类型,其他情况不能修改。

    当用户类型配置为专线用户后,NE40E立即对该专线用户进行认证。

  5. (可选)执行命令access leased-line connection chasten request-session request-period blocking-period quickoffline命令使能专线用户快速上下线的抑制功能。

    在专线用户上线的过程中,可能存在Radius服务器下发给专线用户的在线时间配额或流量配额为0的情况,此时专线用户可以上线,但是由于配额为0,会很快下线,从而导致专线用户会频繁上下线。

    通过该命令可以配置专线用户上线的最多请求连接次数,与达到最大连接次数后的阻塞周期。

  6. (可选)执行命令trust 8021p-protocol,配置信任用户报文中携带的802.1p值。

    只有当BAS接口的类型为二层普通用户时,才能配置命令trust 8021p-protocol

  7. (可选)执行命令access-limit number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinq qinq-vlan ] [ user-type { ipoe | pppoe } ] ],设置接口级用户数限制。

    • 对于子接口下的BAS接口配置此命令表示对指定的某个或某些用户VLAN的接入用户数进行限制。
    • 对于主接口下的BAS接口配置此命令且不指定VLAN时,表示对整个接口的所有VLAN用户接入限制数。如果子接口下的BAS接口已指定VLAN的接入用户数限制,指定的VLAN的接入用户数限制优先。未指定VLAN的接入用户数遵循整个接口。
    • 支持基于接入用户的类型设置接入的最大用户数。

  8. (可选)执行命令default-domain pre-authentication domain-name,指定认证前缺省域。

    • 或执行命令default-domain authentication [ force | replace ] domain-name,指定认证缺省域。

    • 或执行命令permit-domain domain-name &<1-16>,指定允许接入的域。

      或执行命令deny-domain domain-name&<1-16>,配置BAS接口下禁止接入的域。

      permit-domaindeny-domaindeny-domain-listpermit-domain-list命令不能同时配置。

    • 或执行命令permit-domain-list,指定允许接入的域列表。

      或执行命令deny-domain-list,配置BAS接口下禁止接入的域列表。

  9. (可选)执行命令client-option82 [ basinfo-insert cn-telecom |version1 ],配置NE40E信任客户端上报的access-line-id信息。

    或执行命令basinfo-insert cn-telecom配置NE40E不信任客户端上报的access-line-id信息,插入中国电信格式的access-line-id信息。

    或执行命令basinfo-insert version2配置当NE40E不信任客户端上报的access-line-id信息时,NE40E插入version2格式的access-line-id信息。

    路由器传送给RADIUS服务器的属性按照下面配置对access-line-id解析和传送。

    • 执行命令option82-relay-mode dslam { auto-identify | config-identify }配置设备以DSLAM的access-line-id字段填充Agent-CircuitID 和Agent-RemoteID属性传送给RADIUS服务器。或执行命令option82-relay-mode include { allvalue | { agent-circuit-id | agent-remote-id [ separator ] }* }配置设备传送给RADIUS服务器的NAS-Port-Id属性中包含的access-line-id信息。
    • 解析规则按照命令option82-relay-mode subopt { agent-circuit-id { hex | string } | agent-remote-id { hex | string }配置Agent-CircuitID或Agent-RemoteID信息的传送格式。

    或执行命令vbas vbas-mac-address [ auth-mode { ignore | reject } ],启用VBAS(Virtual BAS)方式的用户定位功能。

  10. (可选)执行命令client-option60,配置路由器信任客户端上报的Option60信息。

    如果从Option60获取用户域,在Option60字符串中选择域名分割符(默认@)后面的所有字符串做域名,如果没有寻找到用户域则按照下面顺序继续寻找,如果没有域名分隔符按照配置的模糊还是精确的方式进行匹配。如果获取到用户域信息,流程不再往下进行。

    1. BAS接口下配置的client-option60
    2. 系统视图下配置的dhcp option-60
    3. BAS接口配置的认证域

  11. (可选)执行命令accounting-copy radius-server radius-name,启用计费报文抄送功能。
  12. (可选)执行命令link-account resolve,配置NE40E发送给radius服务器的计费请求报文中携带link-account信息。

    配置此命令前应配置接入类型为二层接入用户。

    配置此命令后会影响设备发送给radius计费服务器的计费请求报文的25号标准属性。

    满足下面条件时,25号标准属性class中会填充link-account信息。
    • 对该接口上线的用户采用不认证、使用radius计费方案
    • 对于二层普通接入用户,该接口已配置VLAN和VLAN描述信息

  13. 请根据具体业务类型,选择对应配置。

    • 对于IPoE接入业务,请执行如下配置:

      执行命令ip-trigger,打开BAS接口的IP报文触发上线开关或在线用户触发漫游开关。或执行命令arp-trigger,打开BAS接口的ARP报文触发上线开关或在线用户漫游开关。

    • 对于IPoEv6接入业务,请执行如下配置:

      执行命令ipv6-trigger,启用IPv6报文触发上线功能或在线用户触发漫游功能。或执行命令nd-trigger,启用NS/NA报文触发上线功能。

  14. (可选)执行命令wlan-switch enable [ switch-group switch-group-name ],使能Wlan用户漫游切换。

    使能WLAN用户漫游切换后,需要同时配置通过用户报文来触发设备完成WLAN用户漫游处理,请根据漫游发生的不同场景选择如下配置。
    • 若用户在不同AP间漫游时未经过没有Wifi信号的区域,需要执行命令ip-triggerarp-trigger或,配置通过用户发送的IP/ARP报文触发设备启动WLAN用户漫游处理。或根据需要可配置任一或者都配置,配置触发二层v6用户漫游。
    • 若用户在不同AP间漫游时经过没有Wifi信号的区域,需要执行命令dhcp session-mismatch action roam ipv4配置通过用户发送的discover或request报文触发设备启动WLAN用户漫游处理。
      说明:
      • dhcp session-mismatch action roam ipv4 命令与dhcp session-mismatch action offline命令是覆盖式关系,如果同时配置,那么后配置的命令生效。

    完成Wlan用户漫游切换配置后,Wlan用户在不同接入点间发生漫游时,用户不需要下线重新认证上线,可保证用户业务不中断。

  15. (可选)执行命令user detect retransmit num interval time [ no-datacheck ]或user detect no-datacheck,设置用户探测参数。
  16. (可选)执行命令dhcp session-mismatch action offline,将物理位置信息发生变化、MAC地址不变的已在线用户重新发起DHCP上线请求或ND上线请求时,触发已在线用户下线。

  17. (可选)执行命令block [ start-vlan { start-vlan [ end-vlan end-vlan ] [ qinq pe-vlan ] | any qinq start-qinq-vlan [ end-qinq-vlan ] } | pvc start-vpi/start-vci [ end-vpi/end-vci ] ],设置BAS接口的阻塞状态。
  18. 执行命令authentication-method { bind | { dot1x | ppp | { fast | web } } * },配置web、fast认证方式或者绑定认证方式。

    只有接入用户类型为二层用户的BAS接口可以设置其认证方法。各种认证方法可以组合使用,但有以下的约束关系:

    • Web认证和快速认证互斥;
    • 绑定认证和其他认证方式都互斥。

  19. (可选)执行命令select-authentication-domain individual,配置EAP认证的RADIUS代理用户选择EAP用户名中包含的域作为认证域。
  20. (可选)执行命令dhcp-reply trust broadcast-flag,使能BAS接口下设备根据用户DHCP请求报文中的broadcast标志位来封装用户回应报文的目的MAC地址类型。

    说明:

    配置信任broadcast标志位后,若DHCP请求报文中broadcast标志位为1,则将全F的广播地址做为回应报文的目的MAC;若DHCP请求报文中broadcast标志位为0,则将用户的MAC地址做为回应报文的目的MAC。

    dhcp-reply trust broadcast-flag命令只对二层接入用户生效。

    dhcp-reply trust broadcast-flag命令与dhcp-broadcast命令互斥。

  21. 执行命令commit,提交配置。

(可选)配置一MAC多Session功能

背景信息

NE40E做BRAS或DHCP Server时只支持为不同MAC地址的IPoE用户分配地址,当希望NE40E为相同MAC的用户分配地址时,需要配置一MAC多Session功能,要求相同MAC的用户具有不同的VLAN或接口,并且Circuit-Id不同。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令ipoe-server multi-sessions per-mac enable,使能IPoE用户的一MAC多Session功能,使能后设备支持为相同MAC的用户分配地址。
  3. (可选)执行命令dhcpv6-server replace client-duid,配置NE40E作为DHCPv6 Relay向服务器发送报文时,使用设备生成的Client DUID替换收到的DHCPv6报文的Client DUID。

    当不同客户端的Client DUID相同时,需要配置此命令来唯一确定一个DHCPv6用户。

  4. 执行命令commit,提交配置。

检查配置结果

用户通过相应的display命令,可以查看已经配置的IPoEv6接入相关信息。

操作步骤

  • 使用命令display access-user命令用来查看在线用户信息。在这条命令后面添加不同参数可以查看指定条件用户的信息。
  • 使用命令display bas-interface命令,查看BAS接口的配置信息。
  • 使用命令display dhcpv6 upgrade查看DHCPv6用户租期配置结果,确定重启设备的时间。
  • 使用命令display vendor-class dhcpv6查看系统视图下配置的vendor-class和DHCPv6 option对应关系和偏移值的配置信息。

任务示例

执行命令display access-user命令,如果IPoEv6配置成功可以查看所有在线用户信息。
<HUAWEI> display access-user
 ------------------------------------------------------------------------------
  Total users                        : 9
  IPv4 users                         : 9
  IPv6 users                         : 0
  Dual-Stack users                   : 0
  Lac users                          : 0
  RUI local users                    : 0
  RUI remote users                   : 0
  Wait authen-ack                    : 0
  Authentication success             : 9
  Accounting ready                   : 9
  Accounting state                   : 0
  Wait leaving-flow-query            : 0
  Wait accounting-start              : 0
  Wait accounting-stop               : 0
  Wait authorization-client          : 0
  Wait authorization-server          : 0
  ------------------------------------------------------------------------------
  Domain-name                        Online-user
  ------------------------------------------------------------------------------
  default0                           : 0
  default1                           : 0
  default_admin                      : 0
  wq                                 : 0
  chen                               : 0
  isp7                               : 0
  gaoli                              : 0
  ly                                 : 0
  test                               : 0
  lsh                                : 9
  ------------------------------------------------------------------------------
  The used CID table are             :
  20-28
  ------------------------------------------------------------------------------

执行命令display bas-interface命令可以查看到BAS接口的配置信息是否正确。

<HUAWEI> display bas-interface
---------------------------------------------------------------------------
   Interface                BASIF-access-type       config-state   access-number
  ---------------------------------------------------------------------------
   Eth-Trunk0               Layer2-subscriber       Updated        0
   Eth-Trunk0.1             Layer2-subscriber       Updated        1
   Eth-Trunk0.1234          Layer2-subscriber       Updated        0
  ----------------------------------------------------------------------
  Total 3 BASIF is configured                                          

执行命令display dhcpv6 upgrade查看DHCPv6用户租期配置结果,确定重启设备的时间。

<HUAWEI> display dhcpv6 upgrade
DHCPv6 upgrade:enable.
Preferred lifetime: 0days 0hours 30minutes
Valid lifetime: 0days 1hours 0minutes
Renew time percent: 50%
Rebind time percent:80%
Renew time: 0days 0hours 15minutes
Rebind time: 0days 0hours 24minutes
Access DHCPv6 user count of new lifetime: 100 
Access DHCPv6 user count of old lifetime: 100
Access DHCPv6 user count of infinite lifetime: 10
Max interval from current for old lifetime DHCPv6 user renew: 0days 0hours 15minutes

执行命令display vendor-class dhcpv6查看系统视图下配置的vendor-class和DHCPv6 option对应关系和偏移值的配置信息。

<HUAWEI> display vendor-class dhcpv6
Vendor-class DHCPv6:enable.
DHCPv6 option code: 17.
DHCPv6 offset : 4
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:19494

下载量:225

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页