维护专题ME60静态用户部署手册V20.docx

1、维护专题ME60静态用户部署手册V20ME60BNG 静态用户部署手册文档版本01发布日期2015-11-26华为技术有限公司版权所有 华为技术有限公司 2015。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版

2、本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129网址：客户服务邮箱：support客户服务电话：4008302118修订记录Date日期Revision Version修订版本Change Description修改描述Author作者2015-05-101.00初稿何烨/2669372015-11-201.10内容评审后刷新评审专家：卫啸、何智峰、刘月武、鲍晶晶、陈洪国、杨丽楣何烨/2669372015-11-232.00举例补充

3、和内容修改评审专家：卫啸、何智峰、刘月武何烨/266937本文档主要读者是：一线用服人员、ME60开局现场人员、研发人员、测试人员。目的是用来让大家了解BNG 静态用户适用的场景、各种特殊场景下会遇到的问题，以及对策。1 缩略语缩略语英文全名中文解释COAChange of Authorization授权变更L2TPLayer 2 Tunneling Protocol二层隧道协议LACL2TP Access ConcentratorL2TP接入集中器LNSL2TP Network ServerL2TP网络服务器PPPoEPPP over Ethernet以太网承载PPPHQoSHierarch

4、ical Quality of Service层次化QoSVLANVirtual Local Area Network虚拟局域网VPNVirtual Private Network虚拟专用网络2 静态用户简介2.1 简介本文适用于V600R007C00SPC600/V600R008C10SPC300及以后版本。静态用户，指使用固定IP地址的用户。用户在自己的计算机或其他终端设备上设置固定的IP地址，而操作员在ME60上配置该IP地址属于合法的用户。静态用户的特点是终端不会发起地址申请流程，网络配置信息也是通过静态配置获得，BRAS本地虽然配置了该静态用户（以源IP做用户识别），但并不配置后就上

5、线，而是通过数据报文触发上线。静态用户和DHCP，PPPoE等动态用户的区别除了地址分配和上线触发方式的不同外，静态用户的认证授权计费流程和动态用户一致。从BAS接口的类型来划分，静态用户可分为二层静态用户和三层静态用户两种方式，三层静态用户在BRAS上主要是做三层web认证，详细部署请参见web用户部署手册，本文中主要对二层静态用户接入方式进行详细介绍。2.2 静态用户的基本场景和原理静态用户的现网使用主要场景如下图：静态用户分类应用场景功能优点备注服务器固定IP地址的服务器接入场景采用IPoE方式非动态获取IP，方便服务器的迁移，ME60主动探测服务器触发上线CPE路由型CPE接入场景 仅

6、需要在CPE上配置固定的IP地址，ME60直接管理CPE，不关心CPE下挂用户VIP PC固定IP地址的VIP PC接入场景VIP PC采用固定IP地址，方便带宽和权限管理1MAC多IP企业向ISP购买多个公网静态IP地址及带宽运营商按每IP独立带宽出售，企业根据自身业务需求购买1MAC对应多个IP地址服务器：部分服务器为了方便迁移，采用这种静态用户的方式上线，与其他静态用户不同的地方在于这些服务器需要BAS主动探测上线，因为服务器一般不会主动访问其他设备，也就不能触发上线，所以其他外部设备不能访问服务器，因此需要BAS主动发送ARP Request报文，触发服务器回应ARP Reply触发上

7、线，这样其他设备才能访问服务器。CPE：一些VIP用户或者运营商的局内用户会采用这种静态用户的方式。这里的CPE是路由型CPE，分二层接入和三层接入两种场景。二层接入场景，固定IP被配置在CPE的WAN口，由CPE为下面PC分配私网地址做NAT；三层接入场景，固定IP被配置在PC上，CPE的WAN口上配置地址只是和BAS的直连端口IP，路由由BAS口和CPE之间起IGP协议学习。VIP PC：在PC上配置固定IP地址，PC使用固定IP访问网络，用户IP报文或者ARP报文在BRAS上触发上线。1个MAC多IP的场景：很多企业用户出于成本和业务稳定的考虑，原来的公网静态IP不够用时，会再去买IP，

8、ISP卖固定IP出去时，是每IP每独立带宽的，即ISP将每个IP都看成一个静态用户，对于这种情况，因为还是同一台BRAS设备做企业网关，所以设备上能看见多个静态用户IP使用相同的MAC/VLAN/BAS接口等。3 静态用户业务部署指导3.1 静态用户功能的配置指导static-user命令功能static-user命令用来配置静态用户，ME60支持静态用户从任意端口接入，配置静态用户也更加灵活，可以只配置IP地址不指定其他参数，也可以指定所有参数。undo static-user命令用来删除静态用户。缺省情况下，没有配置IP静态用户。命令格式static-user description st

9、art-ip-address end-ip-address gateway ip-address | start-IPv6-address end-IPv6-address delegation-prefix start-IPv6-prefix end-IPv6-prefix prefix-length IPv6-gateway IPv6-address * vpn-instance instance-name domain-name domain-name | interface interface-type interface-number vlan vlan-id qinq qinq-v

10、lan | pvc vpi/vci | mac-address mac-address | detect | export | keep-online *undo static-user description | start-ip-address end-ip-address | start-IPv6-address end-IPv6-address | delegation-prefix start-IPv6-prefix end-IPv6-prefix prefix-length vpn-instance instance-name 参数说明参数参数说明取值description静态用户

11、的描述信息。字符串形式，长度范围是132。start-ip-address静态用户起始IPv4地址。-end-ip-address静态用户终止IPv4地址，该参数不输入表示只配置一个静态用户。-gateway ip-address静态用户的IPv4网关。-start-IPv6-address 静态用户起始IPv6地址。-end-IPv6-address静态用户终止IPv6地址，该参数不输入表示只配置一个静态用户。终止IPv6地址必须大于起始IPv6地址。-delegation-prefix start-IPv6-prefix end-IPv6-prefix静态用户起始和终止IPv6前缀。如果不

12、输入终止前置表示指定前缀的用户。终止IPv6前缀必须大于起始IPv6前缀。-prefix-length前缀长度。-IPv6-gateway IPv6-address静态用户的IPv6网关。-vpn-instance指定静态用户所属的VPN实例。-instance-nameVPN实例名，必须是已配置的VPN实例。131位字符串。domain-name设置静态用户所属域名，如果没有设置该参数，静态用户使用指定端口、VLAN的缺省域名。-domain-name静态用户使用的域名。字符串形式，长度为164。interface指定静态用户所在的接口。-interface-type接口类型，例如Gigab

13、itEthernet接口等。-interface-number接口编号，格式为“槽号/卡号/端口号.子接口号”。-vlan指定静态用户的VLAN ID，只有以太网子接口才能配置。-vlan-id静态用户的VLAN ID。取值范围14094。qinq指定静态用户的QinQ VLAN。-qinq-vlan静态用户的QinQ VLAN。取值范围14094。pvc指定静态用户的PVC，只有ATM接口才能配置。IPv6用户不支持ATM接口。-vpi/vcivpi为ATM网络虚路径标识（Virtual Path Identifier）。整数形式，取值范围为04095。vci为ATM网络虚通道标识（Virt

14、ual Channel Identifier）。整数形式，取值范围为02，565535。 说明： 参数vpi和vci不能同时为0。UNI（User-to-Network Interface）模式下vpi可配置的范围为0255。-mac-address静态用户的MAC地址。若选择此参数，则只能对一个静态用户进行设置。-mac-address静态用户的MAC地址。-detect配置静态用户后主动探测用户上线，否则需要用户主动发送ARP触发上线。-keep-online表示不管是否探测失败，用户始终保持在线，一般用于网络中存在防火墙，探测报文发送不出去情况。只有IPv4地址类型的静态用户可以配置ke

15、ep-online。-export配置发布静态用户的主机路由。-视图系统视图缺省级别配置级使用指南如果需要指定detect参数，则必须指定静态用户的物理位置，静态用户的IPv4地址要求在地址池中，并且已经通过excluded-ip-address被禁用。静态用户的IPv6地址也要求在地址池中，并且已经通过excluded-ip-address被禁用。后续任务静态用户配置IPv4地址时，需要在用户上线接口配置ip-trigger或arp-trigger，允许IPv4地址触发上线。 配置IPv6地址时，需要在用户上线接口配置IPv6-trigger或nsna-trigger，允许用户IPv6地址和

16、IPv6 Delegation前缀触发上线。注意事项若是IPv4单栈用户，必须配置IPv4地址, 可以不指定其他参数，也可以指定所有参数。若是IPv6单栈桥模式用户，必须配置IPv6地址和IPv6网关，可以不指定其他参数，也可以指定所有参数。若是双栈桥模式用户，必须配置IPv4地址、IPv6地址和IPv6网关，可以不指定其他参数，也可以指定所有参数，命令行中的IPv4地址和IPv6地址个数必须相同。 若是IPv6单栈numbered路由模式用户，必须配置IPv6地址、IPv6 Delegation前缀和IPv6网关，命令行中的IPv6地址和IPv6 Delegation前缀个数必须相同。 若是

17、双栈numbered路由模式用户，需要配置IPv4地址、IPv6地址、IPv6 Delegation前缀和IPv6网关，命令行中的IPv4地址、IPv6地址和IPv6 Delegation前缀个数必须相同。1.配置静态用户时需指定IP地址(必选)，网关、MAC、用户VLAN/QinQ、接口、VPN等属性可选。2.配置静态用户支持一个mac地址对应多个ip地址的配置方式。3.配置静态用户的主动探测功能detect，将向用户主动发送ARP报文，如果用户回应此报文，则会由回应的ARP报文触发静态用户上线。如果不配置静态用户的主动探测功能，则用户下线后，需要用户计算机主动发送ARP报文或者IP报文才能

18、触发上线。4.配置主动探测的静态用户发送的探测报文是ARP请求报文，探测间隔为3分钟。在其上线后修改探测间隔为接口配置的探测间隔，并且在有流量的情况下，不发送探测报文。5.配置静态用户永久在线功能keep-online，对于这种静态用户，即使arp探测失败，用户也不掉线，只有IPv4的静态用户支持。6.V600R007C00SPC300版本开始支持静态用户通过静态路由实现VPN穿越，如配置静态路由ip route-static vpn-instance vpn1 44.44.44.3 24 vpn-instance vpnin 1.2.3.101，下一跳地址1.2.3.101即为静态用户，属于

19、vpn实例vpnin。7.配置静态用户的BAS接口下的认证方式可以支持bind、web、fast等认证方法。8.配置静态用户为vpn用户时，需要在bas接口下绑定相应的vpn-instance。3.2 静态用户的支持及限制情况1.支持静态用户做dhcp server和dhcp relay场景；2.支持静态用户的1MAC多IP的场景；3.支持静态路由的下一跳配置为静态用户，该路由支持多级迭代；4.支持静态用户的RUI多机备份场景；5.静态路由下一跳支持静态用户应用场景，不支持多下一跳，即不支持路由负载分担；6.BRAS设备为LAC角色时，不支持静态用户做LNS场景；7.不支持静态用户和动态DHC

20、P用户在同mac+vlan+接口下的同时在线场景；8.支持静态用户做URPF，但在配置静态路由下一跳为静态用户或下发framed-route属性场景下URPF失效（588x单板在V6R8SPH013补丁中默认修改静态路由下一跳为静态用户时支持做URPF,BSUA和BSUF-21/40单板的URPF仍然不支持）。3.3 静态用户规格与单板支持情况3.3.1 规格IPv4静态用户IPv6静态用户双栈静态用户单板规格32K32KBSUA：16KBSUF-21/BSUF-40：16KBSUF-51/100/240：32K整机规格32K32KBSUA：16KBSUF-21/BSUF-40：16KBSUF

21、-51/100/240：32K3.3.2 支持静态用户的单板类型ME60形态：单板类型支持版本备注BSUAV6R2及以后BSUF-21V6R2及以后BSUF-40V6R2及以后BSUF-51/100/240V6R7及以后NE40E&NE80E形态：单板类型支持版本备注LPUF-21V6R2及以后LPUF-40V6R2及以后LPUF-51/101V6R7及以后LPUF-120/240V6R7及以后4 静态用户业务部署举例4.1 二层IPv4静态用户接入场景组网图配置思路介绍一个本地认证的二层IPv4静态用户的配置示例，配置思路如下：1.配置认证方案2.配置IPv4地址池3.配置认证域4.配置BA

22、S接口和上行接口5.配置IPv4静态用户配置命令1.配置认证方案 HUAWEI aaaHUAWEI-aaa authentication-scheme localHUAWEI-aaa-authen-local authentication-mode localHUAWEI-aaa-authen-local quit2.配置用户名生成方式和密码 HUAWEI-aaa default-user-name include ip-address .HUAWEI-aaa default-password cipher Root123HUAWEI-aaa quit3.配置本地帐号 HUAWEI local

23、-aaa-serverHUAWEI-local-aaa-server user 172.192.0.1isp1 password cipher Root123 authentication-type bHUAWEI-local-aaa-server quit4.配置地址池 HUAWEI ip pool pool1 bas localHUAWEI-ip-pool-pool1 gateway 172.192.0.1 255.255.255.0HUAWEI-ip-pool-pool1 section 0 172.192.0.2 172.192.0.200HUAWEI-ip-pool-pool1 ex

24、cluded-ip-address 172.192.0.8HUAWEI-ip-pool-pool1 quit5.配置域 HUAWEI aaaHUAWEI-aaa domain isp1HUAWEI-aaa-domain-isp1 authentication-scheme localHUAWEI-aaa-domain-isp1 accounting-scheme default0HUAWEI-aaa-domain-isp1 ip-pool pool1HUAWEI-aaa-domain-isp1 quitHUAWEI-aaa quit6.配置BAS接口 HUAWEI interface Giga

25、bitEthernet 1/0/2.1HUAWEI-GigabitEthernet1/0/2.1 user-vlan 100HUAWEI-GigabitEthernet1/0/2.1-vlan-100-100 quitHUAWEI-GigabitEthernet1/0/2.1 basHUAWEI-GigabitEthernet1/0/2.1-bas access-type layer2-subscriberHUAWEI-GigabitEthernet1/0/2.1-bas authentication-method bindHUAWEI-GigabitEthernet1/0/2.1-bas d

26、efault-domain authentication isp1HUAWEI-GigabitEthernet1/0/2.1-bas ip-triggerHUAWEI-GigabitEthernet1/0/2.1-bas arp-triggerHUAWEI-GigabitEthernet1/0/2.1-bas quitHUAWEI-GigabitEthernet1/0/2.1 quit7.配置静态用户 HUAWEI static-user 172.192.0.2 interface GigabitEthernet 1/0/2.1 vlan 100 detect如果需要指定detect参数，则必

27、须指定静态用户的物理位置，静态用户的IPv4地址要求在地址池中，并且已经通过excluded-ip-address被禁用。静态用户的IPv6地址也要求在地址池中，并且已经通过excluded-ip-address被禁用。8.配置上行接口 HUAWEI interface GigabitEthernet 1/0/1HUAWEI-GigabitEthernet1/0/1 ip address 192.168.8.1 255.255.255.09.验证配置结果。 完成上述配置后，使用命令display access-user domain查看域下用户在线情况，用户能够正常上线。 display ac

28、cess-user domain isp1- UserID Username Interface IP address MAC IPv6 address - 20 172.192.0.1isp1 GE1/0/2.1 172.192.0.1 0002-0101-0101 - - Total users : 14.2 二层IPv6静态用户接入场景组网图配置思路介绍一个不认证不计费的二层IPv6静态用户的配置示例，配置思路如下：1.配置认证方案2.配置IPv6前缀池和地址池3.配置认证域4.配置BAS接口和上行接口5.配置IPv6静态用户配置命令1.配置认证方案 HUAWEI aaaHUAWEI-a

29、aa authentication-scheme default0HUAWEI-aaa-authen-local quit2.配置IPv6前缀池和地址池HUAWEI IPv6 prefix ljl localHUAWEI-IPv6-prefix-ljl prefix 71:71:/64HUAWEI-IPv6-prefix-ljl excluded-IPv6-address 71:71:10HUAWEI-IPv6-prefix-ljl quitHUAWEI IPv6 pool ljl bas localHUAWEI-IPv6-pool-ljl prefix ljlHUAWEI- IPv6-pool-ljl quit3.