11-IPoE配置
本章节下载: 11-IPoE配置 (5.20 MB)
目 录
1.1.10 普通模式下IPoE 802.1X认证用户接入流程
1.1.11 转发与控制分离模式下IPoE绑定认证用户接入流程
1.1.12 转发与控制分离模式下IPoE Web认证用户接入流程
1.1.13 转发与控制分离模式下IPoE Web认证支持快速认证
1.3.3 普通模式下IPoE 802.1X认证接入用户配置任务
1.3.4 转发与控制分离模式下IPoE绑定认证接入用户配置任务
1.3.5 转发与控制分离模式下IPoE Web认证接入用户配置任务
1.12.8 配置DHCP Option中circuit-id和remote-id解析格式
1.12.11 配置允许IPoE用户异常下线后通过报文重新触发上线
1.12.12 配置允许DHCP个人接入用户采用松散模式上线
1.15.9 配置IPoE Web支持HTTP/HTTPS攻击防范功能
1.17.3 配置802.1X客户端下线强制IPoE下线功能
1.23 配置IPoE接入用户的NAS-PORT-ID属性封装
1.30.2 DHCPv4报文触发IPoE接入配置举例(授权远端BAS IP地址池)
1.30.3 DHCPv4报文触发IPoE接入配置举例(授权IP地址池组)
1.30.4 DHCPv6报文触发IPoE接入配置举例(授权远端IPv6地址池)
1.30.5 IPv6 ND RS报文触发IPoE接入配置举例(AAA授权前缀)
1.30.6 IPv6 ND RS报文触发IPoE接入配置举例(ND前缀池授权前缀)
1.30.7 IPv6 ND RS+DHCPv6(IA_PD)触发IPoE接入配置举例
1.30.9 NS/NA报文触发静态IPoE用户接入配置举例
1.30.10 IPv6 PD前缀用户通过未知源IP报文触发静态IPoE用户接入配置举例
1.30.15 IPoE为接入用户授权地址池和VPN配置举例
1.30.17 IPoE DHCPv4用户普通Web认证配置举例(授权远端BAS IP地址池)
1.30.18 IPoE DHCPv4多网段用户普通Web认证配置举例(授权远端BAS IP地址池)
1.30.19 IPoE DHCPv6用户普通Web认证配置举例(授权远端IPv6地址池)
1.30.20 IPoE NDRS用户普通Web认证配置举例(ND前缀池授权前缀)
1.30.21 IPoE MAC Trigger无感知认证配置举例(二层无感知)
1.30.22 IPoE普通MAC无感知认证配置举例(二层无感知)
1.30.23 IPoE MAC Trigger无感知认证配置举例(三层无感知)
1.30.24 IPoE MAC无感知认证配置举例(三层无感知)
1.30.27 双栈IPoE用户普通Web认证配置举例(URL白名单)
1.30.28 双栈IPoE用户IPv6智能多出口Web认证配置举例
1.30.29 双栈IPoE用户普通MAC无感知认证配置举例
1.30.32 IPoE DHCPv4+IPv6 ND RS双栈用户漫游配置举例
1.31.2 DHCPv4报文触发IPoE接入配置举例(授权本地ODAP IP地址池)
1.31.3 DHCPv4报文触发IPoE接入配置举例(授权远端BAS IP地址池)
1.31.4 DHCPv4报文触发IPoE接入配置举例(授权IP地址池组)
1.31.5 DHCPv6报文触发IPoE接入配置举例(授权本地ODAP IPv6地址池)
1.31.6 DHCPv6报文触发IPoE接入配置举例(授权远端BAS IPv6地址池)
1.31.7 IPoE DHCP双栈用户接入配置举例(授权远端BAS IP/IPv6地址池)
1.31.8 IPv6 ND RS报文触发IPoE接入配置举例(AAA授权前缀)
1.31.9 IPv6 ND RS报文触发IPoE接入配置举例(ND前缀池授权前缀)
1.31.10 IPv6 ND RS+DHCPv6(IA_PD)触发IPoE接入配置举例
1.31.12 NS/NA报文触发静态IPoE用户接入配置举例
1.31.13 IPv6 PD前缀用户通过未知源IP报文触发静态IPoE用户接入配置举例
1.31.17 IPoE DHCPv4用户普通Web认证配置举例(授权远端BAS IP地址池)
1.31.18 IPoE DHCPv4多网段用户普通Web认证配置举例(授权远端BAS IP地址池)
1.31.19 IPoE DHCPv6用户普通Web认证配置举例(授权远端BAS IPv6地址池)
1.31.20 IPoE NDRS用户普通Web认证配置举例(ND前缀池授权前缀)
1.31.21 IPoE MAC Trigger无感知认证配置举例(二层无感知)
1.31.22 IPoE普通MAC无感知认证配置举例(二层无感知)
1.31.23 双栈IPoE用户普通MAC无感知认证配置举例
1.31.24 未知源IP报文触发IPoE全局静态用户接入配置举例(UP备份组网)
IPoE(IP over Ethernet)是一种常见的IPoX接入方式,目前支持如下几种认证方式。
· 绑定认证是指BRAS(Broadband Remote Access Server,宽带远程接入服务器)设备根据用户接入的位置信息自动生成用户名和密码进行身份认证的一种认证方式,无需用户输入用户名和密码。
· Web认证是指用户通过访问Web认证服务器的认证页面,交互输入用户名和密码进行身份认证的一种认证方式。
· 802.1X认证,是一种通过在802.1X客户端中输入用户名/密码进行认证的一种方式。当需要在三层接口上实现802.1X方式接入时,可以配置802.1X认证方式。
IPoE的典型组网方式如下图所示,它由六个基本要素组成:用户主机、BRAS接入设备、AAA服务器、安全策略服务器、DHCP服务器和Portal服务器。
图1-1 IPoE系统组成示意图
用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行H3C iNode客户端的主机。
提供接入服务的设备,主要有三方面的作用:
· 在认证之前,阻止用户访问互联网资源。
· 在认证过程中,与AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的互联网资源。
与接入设备进行交互,完成对用户的认证、授权和计费。目前仅RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器支持对IPoE用户进行认证、授权和计费。
与接入设备进行交互,完成对用户的安全检测,并对用户进行安全授权操作。
与用户主机、接入设备进行交互,完成对用户主机IP地址的管理和分配。
包括Portal Web服务器和Portal认证服务器。Portal Web服务器负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。Portal认证服务器用于与接入设备交互认证客户端的认证信息。Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统。
IPoE的接入模式分为二层和三层两种模式,对应的用户分别通过二层网络或三层网络接入。
· 二层接入:用户直接连接接入设备,或通过二层网络设备连接接入设备。接入设备需要识别用户的MAC地址。
· 三层接入:用户流量通过三层网络路由到接入设备,用户可直接连接接入设备或通过三层转发设备连接接入设备。接入设备不关心用户的MAC地址。
需要注意的是,通过三层转发设备接入时,用户报文信息中的源MAC地址为三层网络设备的MAC地址,并非用户的MAC地址,因此该方式下用户的MAC地址不能作为用户的身份标识。
为解决传统BRAS(Broadband Remote Access Server,宽带远程接入服务器)中存在的控制平面与转发平面能力不匹配、无法共享资源以及新业务部署不及时等问题,业界提出了基于vBRAS(Virtual Broadband Remote Access Server,虚拟化宽带远程接入服务器)的转发与控制分离方案。
转发与控制分离是指将转发平面与控制平面完全解耦,二者互不约束。在转发与控制分离方案中,包括CP和UP两种角色,由二者共同实现BRAS功能。其中:
· CP(Control Plane,控制平面):负责完成用户身份认证、地址分配与管理等控制平面功能。其中,CP一般由vBRAS系列虚拟宽带远程接入服务器担任。
· UP(User Plane,用户平面):负责完成用户数据流量转发和流量控制等转发平面功能。其中,UP可由路由器或者vBRAS虚拟宽带远程接入服务器担任。
CP和UP之间通过建立如下三条通道实现转发与控制分离功能:
· 管理通道:用作CP和UP之间配置下发的通道。
· 控制通道:用作CP和UP之间表项下发的通道。
· 协议通道:用作CP和UP之间协议报文交互的通道。
在转发与控制分离的组网环境中,IPoE有三种工作模式:普通模式、控制模式和转发模式。其中控制模式和转发模式又统称为转发与控制分离模式。
· 普通模式:本模式下,不区分CP和UP,BRAS模块的控制及数据转发业务均由同一台设备完成。工作在本模式的设备称作一体化设备。
· 控制模式:即session模式:该模式基于远端接口实现CP功能。当CP所连接的UP设备支持IPoE功能时,可采用session模式,工作在session模式的CP将会向UP发送BRAS会话信息,UP根据从CP收到的BRAS会话信息指导数据报文转发。有关远端接口的介绍,请参见vBRAS-CP产品配置指导中的“CP-UP连接管理”。
· 转发模式:本模式下,设备仅完成数据转发业务。工作在本模式的设备称作UP。
· 除特殊说明外,本手册中的IPoE均指工作在普通模式的情况。
· 转发与控制分离模式下,本设备仅支持作为UP,不支持作为CP。
IPoE支持通过IP报文、ARP报文、NS报文、NA报文、RS报文和DHCP报文多种触发方式上线。根据用户是否拥有独立的业务属性,IPoE用户可分为个人接入用户、专线接入用户两种类型。
个人接入用户拥有独立的业务属性,接入设备根据用户的位置信息和报文特征对其进行独立的认证、授权和计费。
根据触发上线方式的不同,可以将个人接入用户分为以下两种类型:
· 动态个人接入用户
动态个人接入用户通过IP报文、RS报文或DHCP报文触发上线,且由报文动态触发认证并根据认证结果建立IPoE会话。根据触发上线的方式不同可将动态个人接入用户分为未知源IP接入用户、IPv6 ND RS接入用户和DHCP接入用户。对于DHCP接入用户,还需要与DHCP服务器交互获取IP地址;对于IPv6 ND RS接入用户,还需要与接入设备进行交互获取IPv6地址。
· 静态个人接入用户
静态个人接入用户通过IP、ARP、NS或NA报文触发上线,需要用户报文与手工配置的IPoE会话匹配后才能触发认证。
对于不是因为DHCP或IPv6 ND RS接入用户主动释放IP地址引起的用户IPoE会话被删除的情况,在开启IPoE用户异常下线后重新上线功能后,当设备再次收到该用户的IP、ARP或NS/NA报文时,可恢复用户的IPoE会话,恢复后的IPoE会话仍为DHCP和IPv6 ND RS接入类型。有关IPoE用户异常下线后重新上线功能的介绍,请参见“1.12.11 配置允许IPoE用户异常下线后通过报文重新触发上线”。
专线是指将接入设备上的某个接口或接口上的某些系统资源整体出租给一组用户。一条专线下可以接入多个用户,在认证流程中表现为一个用户,也称为专线接入用户。
根据对专线资源的占用情况,可以分为以下几种类型:
· 接口专线用户:一个接口上接入的所有IP用户,该接口上接入的所有用户统一进行认证、授权和计费。
· 子网专线用户:一个接口上接入的指定子网内的所有IP用户,与接口专线用户类似,该接口上接入的所有指定子网的用户统一进行认证、授权和计费。
· L2VPN专线用户:L2VPN组网下,一个接口上接入的所有IP用户,与接口专线用户类似,该接口上接入的所有用户统一进行认证、授权和计费。
· 静态专线用户:静态专线用户是一种特殊的专线,具体表现在如下两个方面:
¡ 在业务属性的独立性方面:类似接口专线,该接口上接入的所有用户统一进行认证、授权和计费。当静态专线会话上线后,任意源IP地址的报文都允许从专线接口通过。
¡ 在触发上线方式方面:类似全局静态个人会话,在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP、ARP、NS或NA流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立静态专线会话;如果认证未通过,则不建立静态专线会话。
因静态专线的特殊性,为便于描述,后续如无特殊说明,专线用户仅指接口专线、子网专线和L2VPN专线,不包括静态专线。
一个IPoE会话表示了一个或一组IPoE客户端的所有网络连接,可由客户端的IP报文特征或接入位置信息来标识,用于记录IPoE客户端的身份信息、认证状态、授权属性和DHCP地址分配信息等内容。
根据IPoE用户类型不同,IPoE会话可分为IPoE个人会话和IPoE专线会话两种类型。
根据IPoE会话的触发方式,可以将IPoE个人会话分为IPoE动态个人会话和IPoE静态个人会话两种类型。
· IPoE动态个人会话
由动态个人接入用户触发建立的IPoE会话称为动态个人会话。
每个动态个人会话都有自己的生存周期,动态个人会话将在以下几种情况下被删除:
¡ AAA服务器授权的在线时长到期。
¡ AAA服务器强制用户下线。
¡ 在AAA服务器授权的闲置切断时长内,该会话的用户流量小于授权的流量阈值。
¡ 接入设备对该会话的在线用户进行探测,对于单协议栈用户,当探测失败的次数达到最大值时会话会被删除,对于双协议栈用户当且仅当双栈都探测失败达到最大值时会话才会被删除。
¡ 对于DHCP报文触发建立的IPoE会话,对于单协议栈用户,当DHCP服务器分配的租约时长到期时会话会被删除,对于双协议栈用户当且仅当DHCP服务器分配的租约时长都到期时会话才会被删除。
¡ 用户接入接口Down。
· IPoE静态个人会话
静态个人会话仅代表一个指定IP地址(IPv6或双栈全局静态也可包含IPv6 Delegation前缀)的IPoE客户端的所有网络连接,通常用于为IP地址已知的客户端单独提供稳定的接入服务。
在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP、ARP、NS或NA流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立静态个人会话;如果认证未通过,则不建立静态个人会话。
由专线用户的配置触发建立的IPoE会话称为IPoE专线会话,包括以下几种类型:
· 接口专线会话:代表一个接口上所有IPoE客户端的网络连接。
· 子网专线会话:代表一个接口上指定子网内的所有IPoE客户端的网络连接。
· L2VPN专线会话:代表一个接口上所有IPoE客户端的网络连接。
· 静态专线会话:代表一个接口上所有IPoE客户端的网络连接。
对于接口专线会话、子网专线会话和L2VPN专线会话:在接入接口上开启了IPoE功能、且接口状态up的情况下,无需用户流量触发,接入设备会主动尝试以配置的用户名和密码发起认证。如果认证通过,则建立专线会话;如果认证未通过,则不建立专线会话。
静态专线会话是一种特殊的专线,具体表现在如下两个方面:
· 在业务属性的独立性方面:类似接口专线,该接口上接入的所有用户统一进行认证、授权和计费。当静态专线会话上线后,任意源IP地址的报文都允许从专线接口通过。
· 在触发上线方式方面:类似全局静态个人会话,在接入接口上开启了IPoE功能、且接口状态up的情况下,当IP、ARP、NS或NA流量通过时接入设备会尝试以配置的用户名和密码发起认证。如果认证通过,则建立静态专线会话;如果认证未通过,则不建立静态专线会话。
因静态专线的特殊性,为便于描述,后续如无特殊说明,专线用户仅指接口专线、子网专线和L2VPN专线,不包括静态专线。
对于通过DHCP报文触发认证的用户,在认证成功之后由DHCP模块为其分配AAA授权的地址池中的地址。若AAA未授权,则使用用户所属认证域中配置的授权地址池;若认证域中未配置授权地址池,则在接口上配置了IP地址的情况下,由DHCP模块分配与接口IP地址同一网段的IP地址给用户。
在IPv6组网中,主机可以通过如下几种方式分配到IPv6全球单播地址:
· NDRA方式:对于通过RS报文触发认证的用户,在认证成功之后,可通过ND协议中的RA报文获得IPv6地址前缀,并通过获得的IPv6地址前缀生成IPv6全球单播地址。IPv6地址前缀的来源有四种:AAA授权的IPv6前缀、AAA授权的ND前缀池中的前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀。四种来源的优先级依次降低,AAA授权的IPv6前缀优先级最高。其中:
¡ AAA授权的IPv6前缀、接口下配置的RA前缀、接口下配置的IPv6全球单播地址的前缀三种方式适用于共享前缀应用场景,该场景中多个用户共用同一个IPv6前缀。
¡ AAA授权的ND前缀池(或ND前缀池组)中的前缀方式适用于每用户每前缀应用场景,该场景中每个用户都独占一个IPv6前缀。
· DHCPv6(IA_NA)方式:主机通过DHCPv6协议申请IPv6全球单播地址。在为用户授权了IPv6地址池的情况下,DHCP报文触发方式还支持通过以下两种方式为用户授权指定的128位IPv6全球单播地址。
¡ AAA服务器通过Framed-IPv6-Address属性授权的128位IPv6全球单播地址。
¡ 本地用户视图下通过authorization-attribute ipv6命令授权的128位IPv6全球单播地址。
需要注意的是,上述两种方式授权的128位IPv6全球单播地址必须是授权的IPv6地址池中的地址,否则不会使用上述两种方式授权的128位IPv6全球单播地址,而是采用IPv6地址池中地址随机分配给用户。
· DHCPv6(IA_PD)方式:CPE设备通过DHCPv6协议申请代理前缀,并使用申请到的代理前缀为下面的主机分配IPv6全球单播地址。代理前缀分配方式中地址池的选择原则和通过DHCPv6协议分配IPv6全球单播地址方式中地址池的选择原则一致。
其中,NDRA+IA_PD、IA_NA+IA_PD可以根据实际组网需求进行组合使用,以满足多种地址分配方式的需求。
当采用ND前缀池为用户分配前缀(即每用户每前缀应用场景中)时,对于IPoE每用户每前缀用户,需要注意:
· 不支持专线方式(包括接口专线、子网专线和L2VPN专线)。
· 不支持ICMPv6探测方式。
· 不允许配置和IPoE每用户每前缀用户相同前缀的静态用户。
· 不允许在IPoE每用户每前缀用户的上线接口配置IPv6全球单播地址。
对于DHCPv6(IA_PD)方式,不允许在用户上线接口配置IPv6全球单播地址。
其它类型的用户,可以通过静态配置或通过DHCP动态分配获得IP地址,但其IP地址的获取与IPoE认证无关。
普通模式下IPoE绑定认证用户的接入流程主要包括以下几个步骤:
(1) 用户识别与发起认证请求
¡ 对于动态个人接入用户,当发出的连接请求报文到达接入设备后,接入设备使用从报文中获取用户的物理位置等信息生成用户名和密码或配置的用户名和密码,向AAA服务器发起认证请求。
¡ 对于静态个人接入用户,当用户的首报文通过接入设备时,接入设备以配置的认证信息向AAA服务器发起认证请求。
¡ 对于专线接入用户,无需用户流量触发,接入设备会主动以配置的认证信息向AAA服务器发起认证请求。
(2) 身份认证
接入设备根据该用户关联的认证域的配置向AAA服务器发起认证请求,并完成认证授权操作,若配置有安全策略服务器,则由安全策略服务器进行安全授权操作。
(3) 地址分配与管理(可选)
对于DHCP接入用户,身份认证通过后,接入设备通知DHCP模块负责为接入用户分配IP地址;对于IPv6 ND RS接入用户,身份认证通过后,IPoE负责为接入用户分配前缀,用户通过此前缀生成IPv6地址。若用户已经获取到IP地址,则无此步骤直接进入步骤(4)。
(4) 接入控制
IP地址分配成功后,接入设备通知用户上线,并根据授权结果对用户进行接入控制,计费等。
下面将详细介绍几种典型的IPoE用户接入流程。
当用户通过DHCP方式动态获取IP地址时,BRAS截获用户的DHCP报文,首先对用户进行身份认证,如果认证通过则可以允许继续申请动态IP地址,否则终止用户接入过程。这里以DHCP中继组网环境中的IPv4 DHCP用户的IPoE接入为例,具体流程如图1-2所示。
图1-2 IPv4 DHCP用户接入流程图
IPv4 DHCP报文触发的IPoE接入过程如下:
(1) DHCP客户端发送DHCP-DISCOVER报文。
(2) 接入设备在DHCP-DISCOVER报文中插入Option82选项,然后把报文交由DHCP中继设备处理。
(3) DHCP中继设备根据DHCP-DISCOVER报文创建一个IPoE会话,并向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如DHCP报文中的Client ID选项、用户报文的源MAC地址。
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文。
(5) DHCP中继获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败。
(6) 如果用户认证通过,DHCP中继将DHCP-DISCOVER报文转发给DHCP服务器。如果认证失败,DHCP中继将丢弃DHCP-DISCOVER报文。
(7) DHCP服务器回应DHCP-OFFER报文。之后,DHCP中继把DHCP-OFFER报文转发给DHCP客户端。
(8) DHCP客户端根据DHCP-OFFER报文选择一个DHCP服务器,发送DHCP-REQUEST报文。之后,DHCP中继把DHCP-REQUEST报文转发给DHCP服务器。
(9) DHCP服务器回应DHCP-ACK报文。
(10) DHCP中继从DHCP-ACK报文中解析出用户的IP地址和其它地址参数信息,更新IPoE会话,并下发User Profile策略,然后将IPoE会话的状态置为在线。
(11) DHCP中继把DHCP-ACK报文转发给DHCP客户端。DHCP客户端根据收到的DHCP-ACK报文获得IP地址以及相关地址参数信息。
(12) 接入设备向AAA服务器发送计费开始报文,开始对该用户计费。
当用户通过DHCP方式动态获取IP地址时,BRAS截获用户的DHCP报文,首先对用户进行身份认证,如果认证通过则可以允许继续申请动态IP地址,否则终止用户接入过程。DHCPv6包括IA_NA和IA_PD两种上线方式,其中:IA_NA为主机通过DHCPv6协议申请IPv6全球单播地址,IA_PD为Client端设备通过DHCPv6协议申请代理前缀。
这里以DHCP中继组网环境中的DHCP用户的IPoE接入为例,具体流程如图1-3所示。
图1-3 DHCP双栈用户接入流程图
双协议栈用户DHCP报文触发的IPoE接入过程如下:
(1) DHCPv4客户端发送DHCP-DISCOVER报文。
(2) 接入设备在DHCP-DISCOVER报文中插入Option82选项,然后把报文交由DHCPv4中继设备处理。
(3) DHCPv4中继设备根据DHCP-DISCOVER报文创建一个IPoE会话,并向AAA服务器发送认证请求。其中,认证请求消息中的用户名包含了用户信息,如DHCPv4报文中的Client ID选项、用户报文的源MAC地址。
(4) AAA服务器返回认证结果。若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文。
(5) DHCPv4中继获取用户的认证和授权结果,更新IPoE会话的认证状态为通过或失败。
(6) 如果用户认证通过,DHCPv4中继将DHCP-DISCOVER报文转发给DHCP服务器。如果认证失败,DHCPv4中继将丢弃DHCP-DISCOVER报文。
(7) DHCPv4服务器回应DHCP-OFFER报文。之后,DHCPv4中继把DHCP-OFFER报文转发给DHCPv4客户端。
(8) DHCPv4客户端根据DHCP-OFFER报文选择一个DHCPv4服务器,发送DHCP-REQUEST报文。之后,DHCPv4中继把DHCP-REQUEST报文转发给DHCPv4服务器。
(9) DHCPv4服务器回应DHCP-ACK报文。
(10) DHCPv4中继从DHCP-ACK报文中解析出用户的IP地址和其它地址参数信息,更新IPoE会话,并下发User Profile策略,然后将IPoE会话的状态置为在线。
(11) DHCPv4中继把DHCP-ACK报文转发给DHCPv4客户端。DHCPv4客户端根据收到的DHCP-ACK报文获得IP地址
支持