维护专题ME60静态用户部署手册V20.docx
《维护专题ME60静态用户部署手册V20.docx》由会员分享,可在线阅读,更多相关《维护专题ME60静态用户部署手册V20.docx(31页珍藏版)》请在冰豆网上搜索。
维护专题ME60静态用户部署手册V20
ME60
BNG静态用户部署手册
文档版本
01
发布日期
2015-11-26
华为技术有限公司
版权所有©华为技术有限公司2015。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
深圳市龙岗区坂田华为总部办公楼邮编:
518129
网址:
客户服务邮箱:
support@
客户服务电话:
4008302118
修订记录
Date
日期
RevisionVersion
修订
版本
ChangeDescription
修改描述
Author
作者
2015-05-10
1.00
初稿
何烨/266937
2015-11-20
1.10
内容评审后刷新
评审专家:
卫啸、何智峰、刘月武、鲍晶晶、陈洪国、杨丽楣
何烨/266937
2015-11-23
2.00
举例补充和内容修改
评审专家:
卫啸、何智峰、刘月武
何烨/266937
本文档主要读者是:
一线用服人员、ME60开局现场人员、研发人员、测试人员。
目的是用来让大家了解BNG静态用户适用的场景、各种特殊场景下会遇到的问题,以及对策。
1缩略语
缩略语
英文全名
中文解释
COA
ChangeofAuthorization
授权变更
L2TP
Layer2TunnelingProtocol
二层隧道协议
LAC
L2TPAccessConcentrator
L2TP接入集中器
LNS
L2TPNetworkServer
L2TP网络服务器
PPPoE
PPPoverEthernet
以太网承载PPP
HQoS
HierarchicalQualityofService
层次化QoS
VLAN
VirtualLocalAreaNetwork
虚拟局域网
VPN
VirtualPrivateNetwork
虚拟专用网络
2静态用户简介
2.1简介
本文适用于V600R007C00SPC600/V600R008C10SPC300及以后版本。
静态用户,指使用固定IP地址的用户。
用户在自己的计算机或其他终端设备上设置固定的IP地址,而操作员在ME60上配置该IP地址属于合法的用户。
静态用户的特点是终端不会发起地址申请流程,网络配置信息也是通过静态配置获得,BRAS本地虽然配置了该静态用户(以源IP做用户识别),但并不配置后就上线,而是通过数据报文触发上线。
静态用户和DHCP,PPPoE等动态用户的区别除了地址分配和上线触发方式的不同外,静态用户的认证授权计费流程和动态用户一致。
从BAS接口的类型来划分,静态用户可分为二层静态用户和三层静态用户两种方式,三层静态用户在BRAS上主要是做三层web认证,详细部署请参见《web用户部署手册》,本文中主要对二层静态用户接入方式进行详细介绍。
2.2静态用户的基本场景和原理
静态用户的现网使用主要场景如下图:
静态用户分类
应用场景
功能优点
备注
服务器
固定IP地址的服务器接入场景
采用IPoE方式非动态获取IP,方便服务器的迁移,ME60主动探测服务器触发上线
CPE
路由型CPE接入场景
仅需要在CPE上配置固定的IP地址,ME60直接管理CPE,不关心CPE下挂用户
VIPPC
固定IP地址的VIPPC接入场景
VIPPC采用固定IP地址,方便带宽和权限管理
1MAC多IP
企业向ISP购买多个公网静态IP地址及带宽
运营商按每IP独立带宽出售,企业根据自身业务需求购买1MAC对应多个IP地址
服务器:
部分服务器为了方便迁移,采用这种静态用户的方式上线,与其他静态用户不同的地方在于这些服务器需要BAS主动探测上线,因为服务器一般不会主动访问其他设备,也就不能触发上线,所以其他外部设备不能访问服务器,因此需要BAS主动发送ARPRequest报文,触发服务器回应ARPReply触发上线,这样其他设备才能访问服务器。
CPE:
一些VIP用户或者运营商的局内用户会采用这种静态用户的方式。
这里的CPE是路由型CPE,分二层接入和三层接入两种场景。
二层接入场景,固定IP被配置在CPE的WAN口,由CPE为下面PC分配私网地址做NAT;三层接入场景,固定IP被配置在PC上,CPE的WAN口上配置地址只是和BAS的直连端口IP,路由由BAS口和CPE之间起IGP协议学习。
VIPPC:
在PC上配置固定IP地址,PC使用固定IP访问网络,用户IP报文或者ARP报文在BRAS上触发上线。
1个MAC多IP的场景:
很多企业用户出于成本和业务稳定的考虑,原来的公网静态IP不够用时,会再去买IP,ISP卖固定IP出去时,是每IP每独立带宽的,即ISP将每个IP都看成一个静态用户,对于这种情况,因为还是同一台BRAS设备做企业网关,所以设备上能看见多个静态用户IP使用相同的MAC/VLAN/BAS接口等。
3静态用户业务部署指导
3.1静态用户功能的配置指导
static-user
命令功能
static-user命令用来配置静态用户,ME60支持静态用户从任意端口接入,配置静态用户也更加灵活,可以只配置IP地址不指定其他参数,也可以指定所有参数。
undostatic-user命令用来删除静态用户。
缺省情况下,没有配置IP静态用户。
命令格式
static-user[description]{start-ip-address[end-ip-address][gatewayip-address]|start-IPv6-address[end-IPv6-address][delegation-prefixstart-IPv6-prefix[end-IPv6-prefix]prefix-length]IPv6-gatewayIPv6-address}*[vpn-instanceinstance-name][domain-namedomain-name|interfaceinterface-typeinterface-number[vlanvlan-id[qinqqinq-vlan]|pvcvpi/vci]|mac-addressmac-address|detect|export|keep-online]*
undostatic-user{description|{start-ip-address[end-ip-address]|start-IPv6-address[end-IPv6-address]|[delegation-prefixstart-IPv6-prefix[end-IPv6-prefix]prefix-length]}[vpn-instanceinstance-name]}
参数说明
参数
参数说明
取值
description
静态用户的描述信息。
字符串形式,长度范围是1~32。
start-ip-address
静态用户起始IPv4地址。
-
end-ip-address
静态用户终止IPv4地址,该参数不输入表示只配置一个静态用户。
-
gatewayip-address
静态用户的IPv4网关。
-
start-IPv6-address
静态用户起始IPv6地址。
-
end-IPv6-address
静态用户终止IPv6地址,该参数不输入表示只配置一个静态用户。
终止IPv6地址必须大于起始IPv6地址。
-
delegation-prefixstart-IPv6-prefix[end-IPv6-prefix
静态用户起始和终止IPv6前缀。
如果不输入终止前置表示指定前缀的用户。
终止IPv6前缀必须大于起始IPv6前缀。
-
prefix-length
前缀长度。
-
IPv6-gatewayIPv6-address
静态用户的IPv6网关。
-
vpn-instance
指定静态用户所属的VPN实例。
-
instance-name
VPN实例名,必须是已配置的VPN实例。
1~31位字符串。
domain-name
设置静态用户所属域名,如果没有设置该参数,静态用户使用指定端口、VLAN的缺省域名。
-
domain-name
静态用户使用的域名。
字符串形式,长度为1~64。
interface
指定静态用户所在的接口。
-
interface-type
接口类型,例如GigabitEthernet接口等。
-
interface-number
接口编号,格式为“槽号/卡号/端口号[.子接口号]”。
-
vlan
指定静态用户的VLANID,只有以太网子接口才能配置。
-
vlan-id
静态用户的VLANID。
取值范围1~4094。
qinq
指定静态用户的QinQVLAN。
-
qinq-vlan
静态用户的QinQVLAN。
取值范围1~4094。
pvc
指定静态用户的PVC,只有ATM接口才能配置。
IPv6用户不支持ATM接口。
-
vpi/vci
vpi为ATM网络虚路径标识(VirtualPathIdentifier)。
整数形式,取值范围为0~4095。
vci为ATM网络虚通道标识(VirtualChannelIdentifier)。
整数形式,取值范围为0~2,5~65535。
说明:
参数vpi和vci不能同时为0。
UNI(User-to-NetworkInterface)模式下vpi可配置的范围为0~255。
-
mac-address
静态用户的MAC地址。
若选择此参数,则只能对一个静态用户进行设置。
-
mac-address
静态用户的MAC地址。
-
detect
配置静态用户后主动探测用户上线,否则需要用户主动发送ARP触发上线。
-
keep-online
表示不管是否探测失败,用户始终保持在线,一般用于网络中存在防火墙,探测报文发送不出去情况。
只有IPv4地址类型的静态用户可以配置keep-online。
-
export
配置发布静态用户的主机路由。
-
视图
系统视图
缺省级别
配置级
使用指南
如果需要指定detect参数,则必须指定静态用户的物理位置,静态用户的IPv4地址要求在地址池中,并且已经通过excluded-ip-address被禁用。
静态用户的IPv6地址也要求在地址池中,并且已经通过excluded-ip-address被禁用。
后续任务
静态用户配置IPv4地址时,需要在用户上线接口配置ip-trigger或arp-trigger,允许IPv4地址触发上线。
配置IPv6地址时,需要在用户上线接口配置IPv6-trigger或nsna-trigger,允许用户IPv6地址和IPv6Delegation前缀触发上线。
注意事项
若是IPv4单栈用户,必须配置IPv4地址,可以不指定其他参数,也可以指定所有参数。
若是IPv6单栈桥模式用户,必须配置IPv6地址和IPv6网关,可以不指定其他参数,也可以指定所有参数。
若是双栈桥模式用户,必须配置IPv4地址、IPv6地址和IPv6网关,可以不指定其他参数,也可以指定所有参数,命令行中的IPv4地址和IPv6地址个数必须相同。
若是IPv6单栈numbered路由模式用户,必须配置IPv6地址、IPv6Delegation前缀和IPv6网关,命令行中的IPv6地址和IPv6Delegation前缀个数必须相同。
若是双栈numbered路由模式用户,需要配置IPv4地址、IPv6地址、IPv6Delegation前缀和IPv6网关,命令行中的IPv4地址、IPv6地址和IPv6Delegation前缀个数必须相同。
1.配置静态用户时需指定IP地址(必选),网关、MAC、用户VLAN/QinQ、接口、VPN等属性可选。
2.配置静态用户支持一个mac地址对应多个ip地址的配置方式。
3.配置静态用户的主动探测功能detect,将向用户主动发送ARP报文,如果用户回应此报文,则会由回应的ARP报文触发静态用户上线。
如果不配置静态用户的主动探测功能,则用户下线后,需要用户计算机主动发送ARP报文或者IP报文才能触发上线。
4.配置主动探测的静态用户发送的探测报文是ARP请求报文,探测间隔为3分钟。
在其上线后修改探测间隔为接口配置的探测间隔,并且在有流量的情况下,不发送探测报文。
5.配置静态用户永久在线功能keep-online,对于这种静态用户,即使arp探测失败,用户也不掉线,只有IPv4的静态用户支持。
6.V600R007C00SPC300版本开始支持静态用户通过静态路由实现VPN穿越,如配置静态路由iproute-staticvpn-instancevpn144.44.44.324vpn-instancevpnin1.2.3.101,下一跳地址1.2.3.101即为静态用户,属于vpn实例vpnin。
7.配置静态用户的BAS接口下的认证方式可以支持bind、web、fast等认证方法。
8.配置静态用户为vpn用户时,需要在bas接口下绑定相应的vpn-instance。
3.2静态用户的支持及限制情况
1.支持静态用户做dhcpserver和dhcprelay场景;2.支持静态用户的1MAC多IP的场景;3.支持静态路由的下一跳配置为静态用户,该路由支持多级迭代;4.支持静态用户的RUI多机备份场景;5.静态路由下一跳支持静态用户应用场景,不支持多下一跳,即不支持路由负载分担;6.BRAS设备为LAC角色时,不支持静态用户做LNS场景;7.不支持静态用户和动态DHCP用户在同mac+vlan+接口下的同时在线场景;8.支持静态用户做URPF,但在配置静态路由下一跳为静态用户或下发framed-route属性场景下URPF失效(588x单板在V6R8SPH013补丁中默认修改静态路由下一跳为静态用户时支持做URPF,BSUA和BSUF-21/40单板的URPF仍然不支持)。
3.3静态用户规格与单板支持情况
3.3.1规格
IPv4静态用户
IPv6静态用户
双栈静态用户
单板规格
32K
32K
BSUA:
16K
BSUF-21/BSUF-40:
16K
BSUF-51/100/240:
32K
整机规格
32K
32K
BSUA:
16K
BSUF-21/BSUF-40:
16K
BSUF-51/100/240:
32K
3.3.2支持静态用户的单板类型
ME60形态:
单板类型
支持版本
备注
BSUA
V6R2及以后
BSUF-21
V6R2及以后
BSUF-40
V6R2及以后
BSUF-51/100/240
V6R7及以后
NE40E&NE80E形态:
单板类型
支持版本
备注
LPUF-21
V6R2及以后
LPUF-40
V6R2及以后
LPUF-51/101
V6R7及以后
LPUF-120/240
V6R7及以后
4静态用户业务部署举例
4.1二层IPv4静态用户接入场景
组网图
配置思路
介绍一个本地认证的二层IPv4静态用户的配置示例,配置思路如下:
1.配置认证方案2.配置IPv4地址池3.配置认证域4.配置BAS接口和上行接口5.配置IPv4静态用户
配置命令
1.配置认证方案
[HUAWEI]aaa
[HUAWEI-aaa]authentication-schemelocal
[HUAWEI-aaa-authen-local]authentication-modelocal
[HUAWEI-aaa-authen-local]quit
2.配置用户名生成方式和密码
[HUAWEI-aaa]default-user-nameincludeip-address.
[HUAWEI-aaa]default-passwordcipherRoot@123
[HUAWEI-aaa]quit
3.配置本地帐号
[HUAWEI]local-aaa-server
[HUAWEI-local-aaa-server]user172.192.0.1@isp1passwordcipherRoot@123authentication-typeb
[HUAWEI-local-aaa-server]quit
4.配置地址池
[HUAWEI]ippoolpool1baslocal
[HUAWEI-ip-pool-pool1]gateway172.192.0.1255.255.255.0
[HUAWEI-ip-pool-pool1]section0172.192.0.2172.192.0.200
[HUAWEI-ip-pool-pool1]excluded-ip-address172.192.0.8
[HUAWEI-ip-pool-pool1]quit
5.配置域
[HUAWEI]aaa
[HUAWEI-aaa]domainisp1
[HUAWEI-aaa-domain-isp1]authentication-schemelocal
[HUAWEI-aaa-domain-isp1]accounting-schemedefault0
[HUAWEI-aaa-domain-isp1]ip-poolpool1
[HUAWEI-aaa-domain-isp1]quit
[HUAWEI-aaa]quit
6.配置BAS接口
[HUAWEI]interfaceGigabitEthernet1/0/2.1
[HUAWEI-GigabitEthernet1/0/2.1]user-vlan100
[HUAWEI-GigabitEthernet1/0/2.1-vlan-100-100]quit
[HUAWEI-GigabitEthernet1/0/2.1]bas
[HUAWEI-GigabitEthernet1/0/2.1-bas]access-typelayer2-subscriber
[HUAWEI-GigabitEthernet1/0/2.1-bas]authentication-methodbind
[HUAWEI-GigabitEthernet1/0/2.1-bas]default-domainauthenticationisp1
[HUAWEI-GigabitEthernet1/0/2.1-bas]ip-trigger
[HUAWEI-GigabitEthernet1/0/2.1-bas]arp-trigger
[HUAWEI-GigabitEthernet1/0/2.1-bas]quit
[HUAWEI-GigabitEthernet1/0/2.1]quit
7.配置静态用户
[HUAWEI]static-user172.192.0.2interfaceGigabitEthernet1/0/2.1vlan100detect
如果需要指定detect参数,则必须指定静态用户的物理位置,静态用户的IPv4地址要求在地址池中,并且已经通过excluded-ip-address被禁用。
静态用户的IPv6地址也要求在地址池中,并且已经通过excluded-ip-address被禁用。
8.配置上行接口
[HUAWEI]interfaceGigabitEthernet1/0/1
[HUAWEI-GigabitEthernet1/0/1]ipaddress192.168.8.1255.255.255.0
9.验证配置结果。
完成上述配置后,使用命令displayaccess-userdomain查看域下用户在线情况,用户能够正常上线。
displayaccess-userdomainisp1
------------------------------------------------------------------------------
UserIDUsernameInterfaceIPaddressMAC
IPv6address
------------------------------------------------------------------------------
20172.192.0.1@isp1GE1/0/2.1172.192.0.10002-0101-0101
-
------------------------------------------------------------------------------
Totalusers:
1
4.2二层IPv6静态用户接入场景
组网图
配置思路
介绍一个不认证不计费的二层IPv6静态用户的配置示例,配置思路如下:
1.配置认证方案2.配置IPv6前缀池和地址池3.配置认证域4.配置BAS接口和上行接口5.配置IPv6静态用户
配置命令
1.配置认证方案
[HUAWEI]aaa
[HUAWEI-aaa]authentication-schemedefault0
[HUAWEI-aaa-authen-local]quit
2.配置IPv6前缀池和地址池
[HUAWEI]IPv6prefixljllocal
[HUAWEI-IPv6-prefix-ljl]prefix71:
71:
:
/64
[HUAWEI-IPv6-prefix-ljl]excluded-IPv6-address71:
71:
:
10
[HUAWEI-IPv6-prefix-ljl]quit
[HUAWEI]IPv6poolljlbaslocal
[HUAWEI-IPv6-pool-ljl]prefixljl
[HUAWEI-IPv6-pool-ljl]quit
3.
升级会员 