BRAS IPoE 技術(shù)講解分析

BRASIPoE技術(shù)20xx.11.28了解IPoE基本概念和相關(guān)產(chǎn)品掌握IPoE基本原理和常見配置掌握IPoE故障基本排查方法IPoE常見應(yīng)用舉例010203IPoE基本概述IPoE基本原理IPoE故障排查04目錄BRAS基本概念BRAS（BroadbandRemoteAccessServer，寬帶遠(yuǎn)程接入服務(wù)器）是用來完成各種寬帶接入方式的寬帶網(wǎng)絡(luò)用戶的接入、認(rèn)證、計費、控制、管理的網(wǎng)絡(luò)設(shè)備/系統(tǒng)（需和Radius服務(wù)器配合完成對用戶的AAA）終端出口防火墻IRFRadius+Portal服務(wù)器上行出口1接入交換無線設(shè)備BRASIRF核心交換機IRF12:3812:38上行出口N聚合聚合。。。BRAS接入方式分類直接方式二次地址分配方式綁定認(rèn)證可跨三層方式WEB認(rèn)證PPPoEIPoEL2TPPortal接入方式IPoE簡介名詞解釋PPPoE：PointtoPointProtocoloverEthernetIPoE：InternetProtocoloverEthernetIPoE詞條DHCP+OPTION擴展字段進行認(rèn)證，又稱為IPoE認(rèn)證方式Option擴展，主要有Option60和Option82Option60:用戶終端發(fā)起DHCP請求時攜帶的信息，包含廠商Vendor和ServiceOption信息Option82:是由網(wǎng)絡(luò)設(shè)備插入在終端發(fā)出的DHCP報文中，主要用來標(biāo)識用戶終端的接入位置，該信息可以由DHCP中繼或DHCPSnooping設(shè)備進行插入。常見插入的字段為sysname、接口、vlan、MAC等信息IPoE認(rèn)證綁定認(rèn)證綁定認(rèn)證是指BRAS設(shè)備根據(jù)用戶接入的位置信息自動生成用戶名和密碼進行身份認(rèn)證的一種認(rèn)證方式，無需用戶輸入用戶名和密碼Web認(rèn)證Web認(rèn)證是指用戶通過訪問Web認(rèn)證服務(wù)器的認(rèn)證頁面，交互輸入用戶名和密碼進行身份認(rèn)證的一種認(rèn)證方式IPoE接入模式二層接入用戶直連BRAS設(shè)備，或通過二層網(wǎng)絡(luò)設(shè)備連接到BRAS設(shè)備。BRAS需要識別用戶的MAC地址。三層接入用戶流量通過三層網(wǎng)絡(luò)路由到BRAS，用戶可直連BRAS或通過三層轉(zhuǎn)發(fā)設(shè)備連接到BRAS。BRAS不關(guān)心用戶的MAC地址。IPoE用戶類型個人接入用戶個人接入用戶擁有獨立的業(yè)務(wù)屬性，BRAS根據(jù)用戶的位置信息和報文特征對其進行獨立的認(rèn)證、授權(quán)和計費專線接入用戶專線是指將接入設(shè)備上的某個接口或接口上的某些系統(tǒng)資源整體出租給一組用戶。一條專線下可以接入多個用戶，在認(rèn)證流程中表現(xiàn)為一個用戶，也稱為專線接入用戶。個人接入用戶動態(tài)個人接入用戶動態(tài)個人接入用戶通過IP報文、RS報文或DHCP報文觸發(fā)上線，且由報文動態(tài)觸發(fā)認(rèn)證并根據(jù)認(rèn)證結(jié)果建立IPoE會話。根據(jù)觸發(fā)上線的方式不同可將動態(tài)個人接入用戶分為：未知源IP接入用戶、IPv6NDRS接入用戶和DHCP接入用戶。靜態(tài)個人接入用戶靜態(tài)個人接入用戶通過IP、ARP、NS或NA報文觸發(fā)上線，需要用戶報文與手工配置的IPoE會話匹配后才能觸發(fā)認(rèn)證。注：運營商里面的專線業(yè)務(wù)，更多采用是此種類型IPoE會話IPoE會話標(biāo)識了一個或一組IPoE終端的所有網(wǎng)絡(luò)連接，可由終端的IP報文特征或接入位置信息來標(biāo)識，用于記錄IPoE終端的身份信息、認(rèn)證狀態(tài)、授權(quán)屬性和DHCP地址分配信息等內(nèi)容。作用BRAS產(chǎn)品CSPEX-1204/1304/1404/1504/1104-ECSPEX-1502X/1602X/1512X/1612XCEPC-XP24LX/XP48RX/CP4RXCR16018-FCR16010H-FCR16014-FCR16010-FCR16006-FSR8803-FSR8805-FSR8808-FSR8812-FIPoE常見應(yīng)用舉例010203IPoE基本概述IPoE基本原理IPoE故障排查04目錄BRAS系統(tǒng)主要成員認(rèn)證客戶端客戶端包含PC、手機、IPAD、打印機等等設(shè)備BRAS接入設(shè)備主要包含SR8800-F、CR16000-F系列路由器，搭配BRAS單板接入認(rèn)證服務(wù)器認(rèn)證服務(wù)器通常包含Portal服務(wù)器，PortalWEB服務(wù)器，Radius服務(wù)器等PortalWeb服務(wù)器AAA服務(wù)器安全策略服務(wù)器認(rèn)證客戶端認(rèn)證客戶端認(rèn)證客戶端BRAS接入設(shè)備Portal認(rèn)證服務(wù)器DHCP服務(wù)器互聯(lián)網(wǎng)12:38IPoE常用接入流程1、IPv4DHCP接入2、DHCP雙棧用戶接入3、IPv6NDRS用戶接入4、未知源IP用戶接入5、WEB認(rèn)證用戶接入日常常見的IPoE用戶接入方式IPv4DHCP接入流程DHCP雙棧用戶接入流程IPv6NDRS用戶接入流程ND：neighbordiscovery鄰居發(fā)現(xiàn)協(xié)議RS：routersolicitation路由器請求NA：routeradvertisement路由器回應(yīng)未知源IP用戶接入流程WEB認(rèn)證用戶接入流程IPoE常見應(yīng)用舉例010203IPoE基本概述IPoE基本原理IPoE故障排查04目錄企業(yè)專線及運營商網(wǎng)管業(yè)務(wù)應(yīng)用場景主要應(yīng)用于運營商企業(yè)專線、OLT等設(shè)備網(wǎng)管業(yè)務(wù)應(yīng)用特點關(guān)鍵技術(shù)DHCP、IPoE、限速、VLAN終結(jié)終端出口設(shè)備互聯(lián)網(wǎng)接入交換機(ONU）BRAS核心交換機（OLT）QinQ方式到BRAS12:3812:38免認(rèn)證、免計費、終端手工配置IP地址BRAS側(cè)部署靜態(tài)用戶表項企業(yè)專線及運營商網(wǎng)管業(yè)務(wù)（IPv4）[BRAS]dhcpenable[BRAS]dhcpserverip-poolDIA-1[BRAS-dhcp-pool-dia-1]network24export-route

[BRAS-dhcp-pool-dia-1]gateway-listexport-route[BRAS-dhcp-pool-dia-1]dns-list2[BRAS]dhcpserverforbidden-ip54//禁止地址分配，建議在全局下做[BRAS]domainnameDIA[BRAS-isp-dia]authenticationipoenone[BRAS-isp-dia]authorizationipoenone[BRAS-isp-dia]accountingipoenone配置DHCP，發(fā)布網(wǎng)關(guān)和網(wǎng)段路由，方便在動態(tài)協(xié)議中引入主機網(wǎng)段和網(wǎng)關(guān)路由創(chuàng)建domain域，認(rèn)證類型指定為none企業(yè)專線及運營商網(wǎng)管業(yè)務(wù)（IPv4）[BRAS]interfaceRoute-Aggregation1.3[BRAS-Route-Aggregation1.3]user-vlandot1qvid103second-dot1q2000to2001[BRAS-Route-Aggregation1.3]qosapplypolicycar20minbound//MQC限速，根據(jù)需求選擇[BRAS-Route-Aggregation1.3]qosapplypolicycar20moutbound[BRAS-Route-Aggregation1.3]ipsubscriberl2-connectedenable[BRAS-Route-Aggregation1.3]ipsubscriberinitiatorunclassified-ipenablematching-user[BRAS-Route-Aggregation1.3]ipsubscriberinitiatorarpenable[BRAS-Route-Aggregation1.3]ipsubscriberuser-detectiparpretry3interval60配置子接口，開啟VLAN終結(jié)，限速，ARP觸發(fā)接入等[BRAS]ipsubscribersessionstaticip5domainDIAinterfaceRoute-Aggregation1.3vlan103second-vlan2000

request-onlinegatewayip全局配置靜態(tài)IPoE會話，與domain域、接口、VLAN和網(wǎng)關(guān)進行綁定，并主動邀請終端上線企業(yè)專線及運營商網(wǎng)管業(yè)務(wù)（IPv4）1、認(rèn)證計費均為none2、接口建議不配置IP地址，采用共享網(wǎng)關(guān)的方式3、DHCP地址池不參與地址分配，僅為發(fā)布網(wǎng)關(guān)和地址段路由4、接口開啟ARP和matching-user，用于快速恢復(fù)5、全局下配置的靜態(tài)用戶，IP、認(rèn)證域、接口、VLAN、網(wǎng)關(guān)對應(yīng)關(guān)系不要錯6、限速，可選接口限速，或者domain域限速。本板聚合，建議接口MQC；跨板聚合，建議domain域限速。7、matching-user指定之后，僅允許匹配到的靜態(tài)用戶、DHCP異常下線用戶、漫游用戶和采用松散模式上線的用戶上線，上述均匹配不到，則丟棄處理，不走未知源上線，ARP類似配置關(guān)鍵點及注意事項[BRAS]ospf1[BRAS-ospf-1]import-routestatic[BRAS-ospf-1]import-routedirect在動態(tài)協(xié)議中引入直連和網(wǎng)段路由企業(yè)專線及運營商網(wǎng)管業(yè)務(wù)（IPv6）[BRAS]ipv6dhcppoolipv6-dakehu[BRAS-dhcp6-pool-ipv6-dakehu]network2408:8666:200:10::/64export-route[BRAS-dhcp6-pool-ipv6-dakehu]dns-server2408:8001:7000::1[BRAS]domainnamedomainipv6-dakehu[BRAS-isp-domainipv6-dakehu]authenticationipoenone[BRAS-isp-domainipv6-dakehu]authorizationipoenone[BRAS-isp-domainipv6-dakehu]accountingipoenone配置DHCPv6，發(fā)布網(wǎng)段路由創(chuàng)建domain域，認(rèn)證類型指定為none企業(yè)專線及運營商網(wǎng)管業(yè)務(wù)（IPv6）[BRAS]interfaceRoute-Aggregation1.3[BRAS-Route-Aggregation1.3]user-vlandot1qvid2000second-dot1q880[BRAS-Route-Aggregation1.3]ipv6address2408:8666:200:10::1/64[BRAS-Route-Aggregation1.3]undoipv6ndrahalt[BRAS-Route-Aggregation1.3]ipsubscriberl2-connectedenable[BRAS-Route-Aggregation1.3]ipsubscriberinitiatorunclassified-ipv6enablematching-user[BRAS-Route-Aggregation1.3]ipsubscriberinitiatorndrsenable配置子接口，開啟VLAN終結(jié)，ARP觸發(fā)接入等[BRAS]ipsubscribersessionstaticipv62408:8666:200:10::8domaindomainipv6-dakehuinterfaceRoute-Aggregation1.3vlan2000second-vlan880request-onlinegatewayipv62408:8666:200:10::1全局配置靜態(tài)IPv6IPoE會話，與domain域、接口、VLAN和網(wǎng)關(guān)進行綁定，并主動邀請終端上線寬帶及機頂盒IPTV業(yè)務(wù)應(yīng)用場景主要應(yīng)用于家庭寬帶，機頂盒IPTV等業(yè)務(wù)應(yīng)用特點關(guān)鍵技術(shù)DHCP、IPoE、Radius、VLAN終結(jié)、組播技術(shù)終端出口設(shè)備互聯(lián)網(wǎng)接入交換機(ONU）BRAS核心交換機（OLT）QinQ方式到BRAS12:3812:38DHCP報文觸發(fā)，家庭帶寬、機頂盒等IPoE寬帶業(yè)務(wù)（Radius認(rèn)證）[BRAS]radiusschemers1[BRAS-radius-rs1]primaryauthentication13[BRAS-radius-rs1]primaryaccounting13[BRAS-radius-rs1]keyauthenticationsimpleradius[BRAS-radius-rs1]keyaccountingsimpleradius[BRAS-radius-rs1]user-name-formatwithout-domain[BRAS]dhcpenable[BRAS]dhcpserverip-poolDIA-1[BRAS-dhcp-pool-dia-1]network24export-route

[BRAS-dhcp-pool-dia-1]gateway-listexport-route[BRAS-dhcp-pool-dia-1]dns-list2[BRAS-dhcp-pool-dia-1]forbidden-ip配置Radius認(rèn)證服務(wù)，指定認(rèn)證服務(wù)器和秘鑰創(chuàng)建DHCP地址池，發(fā)布網(wǎng)關(guān)和地址段IPoE寬帶業(yè)務(wù)（Radius認(rèn)證）[BRAS]domainnamekuandai[BRAS-isp-kuandai]authenticationipoeradius-schemers1[BRAS-isp-kuandai]authorizationipoeradius-schemers1[BRAS-isp-kuandai]accountingipoeradius-schemers1[BRAS-isp-kuandai]authorization-attributeip-poolDIA-1[BRAS-isp-kuandai]authorization-attributeuser-groupkuandai創(chuàng)建domain域，認(rèn)證類型為Radius，并授權(quán)地址、用戶組（可選）[BRAS]interfaceRoute-Aggregation1.3[BRAS-Route-Aggregation1.3]user-vlandot1qvid2000second-dot1q880[BRAS-Route-Aggregation1.3]ipsubscriberl2-connectedenable[BRAS-Route-Aggregation1.3]ipsubscriberinitiatordhcpenable[BRAS-Route-Aggregation1.3]ipsubscriberdhcpdomainkuandai[BRAS-Route-Aggregation1.3]ipsubscriberpasswordplaintextradius配置子接口，開啟VLAN終結(jié)，DHCP觸發(fā)方式、DHCP認(rèn)證域、IPoE密碼等IPTV業(yè)務(wù)（含組播）[BRAS]dhcpenable[BRAS]dhcprelayclient-informationrecord//開啟中繼DHCP表項記錄[BRAS]undodhcprelayclient-informationrefreshenable//建議關(guān)閉刷新功能，避免影響性能[BRAS]dhcpserverip-poolvod-1[BRAS-dhcp-pool-vod-1]gateway-listexport-route[BRAS-dhcp-pool-vod-1]remote-server971//目前最大支持8個[BRAS-dhcp-pool-vod-1]dhcp-serversource-addressinterfaceLoopBack0[BRAS-dhcp-pool-vod-1]remote-serveralgorithmmaster-backup//主備，亦可選缺省polling全發(fā)[BRAS]dhcppool-groupvod[BRAS-dhcp-pool-group-vod]poolvod-1配置DHCP，設(shè)備做中繼，開啟中繼會話記錄、發(fā)布網(wǎng)關(guān)創(chuàng)建DHCP地址池組vod，并將創(chuàng)建的地址池加組IPTV業(yè)務(wù)（

含組播）[BRAS]domainnamevod[BRAS-isp-vod]authorization-attributeip-pool-groupvod[BRAS-isp-vod]authorization-attributeuser-groupvod[BRAS-isp-vod]authorization-attributeuser-priorityinbound5//可選[BRAS-isp-vod]authorization-attributeuser-priorityoutbound5[BRAS-isp-vod]authenticationipoenone[BRAS-isp-vod]accountingipoenone[BRAS-isp-vod]authorizationipoenone[BRAS-isp-vod]ip-usage-warninghigh-threshold90創(chuàng)建domain域，免認(rèn)證，免計費，授權(quán)地址池組、用戶組、用戶出入優(yōu)先級、并添加地址池告警[BRAS]multicastrouting全局開啟組播路由功能IPTV業(yè)務(wù)（

含組播）[BRAS]interfaceRoute-Aggregation1.4[BRAS-Route-Aggregation1.4]descriptionvod[BRAS-Route-Aggregation1.4]user-vlandot1qvid1100second-dot1q2501to3000[BRAS-Route-Aggregation1.4]dhcpselectrelayproxy[BRAS-Route-Aggregation1.4]dhcprelayinformationcircuit-idbas

//填充option82格式信息，協(xié)商確認(rèn)[BRAS-Route-Aggregation1.4]dhcprelayinformationenable//開啟中繼支持Option82功能，可選[BRAS-Route-Aggregation1.4]ipsubscriberl2-connectedenable[BRAS-Route-Aggregation1.4]ipsubscriberinitiatordhcpenable[BRAS-Route-Aggregation1.4]ipsubscriberinitiatorunclassified-ipenablematching-user[BRAS-Route-Aggregation1.4]ipsubscriberuser-detectiparpretry3interval60[BRAS-Route-Aggregation1.4]ipsubscriberdhcpdomainvod[BRAS-Route-Aggregation1.4]ipsubscribertrustoption60//根據(jù)需求開配置子接口，接口作為DHCP代理，開啟DHCP觸發(fā)認(rèn)證及認(rèn)證域IPTV業(yè)務(wù)（

含組播）[BRAS]interfaceRoute-Aggregation1.51[BRAS-Route-Aggregation1.51]ipaddress52//拉起IPv4[BRAS-Route-Aggregation1.51]igmpenable[BRAS-Route-Aggregation1.51]igmpfast-leave//可選[BRAS-Route-Aggregation1.51]vlan-typedot1qvid51配置IPTV組播接口，配置VLAN終結(jié)，終結(jié)組播業(yè)務(wù)，地址全省統(tǒng)一規(guī)劃1、打開中繼會話記錄功能、關(guān)閉中繼地址表項定時刷新功能（避免影響性能，依賴IPoE探測聯(lián)動）2、地址池，建議采用地址池組的方式，方便后續(xù)擴容管理3、中繼proxy，是將接口工作在代理模式，由DHCP服務(wù)器為DHCP客戶端分配地址等參數(shù)，轉(zhuǎn)發(fā)DHCP服務(wù)器的應(yīng)答報文時，會將DHCP服務(wù)器地址填充為中繼接口地址4、目前運營商組播這塊采用的是IPoE認(rèn)證接口和組播接口分離的方案配置注意事項語音多媒體業(yè)務(wù)應(yīng)用場景主要應(yīng)用于運營商集團語音、多媒體等業(yè)務(wù)應(yīng)用特點關(guān)鍵技術(shù)DHCP、IPoE、VPN實例、VLAN終結(jié)、ARP代理終端出口設(shè)備互聯(lián)網(wǎng)接入交換機(ONU）BRAS核心交換機（OLT）QinQ方式到BRAS12:3812:38DHCP報文觸發(fā)，免認(rèn)證，免計費，不用業(yè)務(wù)，分屬不同VPN域語音多媒體業(yè)務(wù)[BRAS]ipvpn-instanceIMS_Terminal[BRAS-vpn-instance-IMS_Terminal]route-distinguisher1000:1[BRAS-vpn-instance-IMS_Terminal]vpn-target1000:1import-extcommunity[BRAS-vpn-instance-IMS_Terminal]vpn-target1000:1export-extcommunity配置VPN實例[BRAS]dhcpenable[BRAS]dhcpserverip-poolIMS-1[BRAS-dhcp-pool-ims-1]vpn-instanceIMS_Terminal[BRAS-dhcp-pool-ims-1]gateway-listexport-route[BRAS-dhcp-pool-ims-1]network23export-route[BRAS-dhcp-pool-ims-1]forbidden-ip配置DHCP，發(fā)布網(wǎng)關(guān)和網(wǎng)段路由，并綁定VPN實例語音多媒體業(yè)務(wù)[BRAS]dhcppool-groupims[BRAS-dhcp-pool-group-ims]vpn-instanceIMS_Terminal[BRAS-dhcp-pool-group-ims]poolIMS-1[BRAS]domainnameIMS[BRAS-isp-ims]authenticationipoenone[BRAS-isp-ims]authorizationipoenone[BRAS-isp-ims]accountingipoenone[BRAS-isp-ims]authorization-attributeip-pool-groupims[BRAS-isp-ims]authorization-attributevpn-instanceIMS_Terminal創(chuàng)建地址池組，將已創(chuàng)建地址池加組，并綁定VPN實例創(chuàng)建domain域，認(rèn)證類型指定為none，授權(quán)地址池組和VPN實例語音多媒體業(yè)務(wù)[BRAS]interfaceRoute-Aggregation1.3500[BRAS-Route-Aggregation1.3500]ipbindingvpn-instanceIMS_Terminal[BRAS-Route-Aggregation1.3500]user-vlandot1qvid2to3999second-dot1q3500[BRAS-Route-Aggregation1.3500]ipsubscriberl2-connectedenable[BRAS-Route-Aggregation1.3500]ipsubscriberinitiatordhcpenable[BRAS-Route-Aggregation1.3500]ipsubscriberinitiatorunclassified-ipenablematching-user[BRAS-Route-Aggregation1.3500]ipsubscriberinitiatorarpenable[BRAS-Route-Aggregation1.3500]ipsubscriberdhcpdomainIMS[BRAS-Route-Aggregation1.3500]local-proxy-arpenable[BRAS-Route-Aggregation1.3500]proxy-arpenable配置子接口，開啟VLAN終結(jié)，限速，ARP觸發(fā)接入等[BRAS-bgp-default-ipv4-IMS_Terminal]import-routedirect[BRAS-bgp-default-ipv4-IMS_Terminal]import-routestatic根據(jù)需求在BGP中引入并發(fā)布WLAN業(yè)務(wù)應(yīng)用場景主要應(yīng)用于運營商城市無線，運營商承建校園及大企業(yè)無線等應(yīng)用特點關(guān)鍵技術(shù)DHCP、IPoE、用戶組、認(rèn)證域、Radius、MQC、Portal、無感知終端出口設(shè)備互聯(lián)網(wǎng)接入交換機(ONU）BRAS核心交換機（OLT）QinQ方式到BRAS12:3812:38前域，不認(rèn)證，不計費；后域，認(rèn)證，計費[DHCP-server]dhcpenable[DHCP-server]dhcpserverip-poolpool1[DHCP-server-dhcp-pool-pool1]network24export-route[DHCP-server-dhcp-pool-pool1]gateway-listexport-route[DHCP-server-dhcp-pool-pool1]dns-list[DHCP-server-dhcp-pool-pool1]forbidden-ip[BRAS]user-groupweb[BRAS]user-groupweb-after配置DHCP地址池，用于給終端分配地址創(chuàng)建認(rèn)證前域和后域用戶組IPoEWEB認(rèn)證[BRAS]acladvancednameweb_in_permit[BRAS-acl-ipv4-adv-web_permit]rule0permitipdestination0user-groupweb//匹配認(rèn)證服務(wù)器[BRAS-acl-ipv4-adv-web_permit]rule0permitipdestination0user-groupweb//匹配內(nèi)網(wǎng)資源[BRAS-acl-ipv4-adv-web_permit]rule0permitipdestination0user-groupweb//匹配DNS[BRAS]trafficclassifierweb_in_permitoperatorand[BRAS-classifier-web_in_permit]if-matchaclnameweb_in_permit用戶入方向放通認(rèn)證服務(wù)器、內(nèi)網(wǎng)資源等：配置前域用戶側(cè)接口入方向ACL，匹配認(rèn)證服務(wù)器、內(nèi)網(wǎng)資源、DNS等創(chuàng)建類，匹配已創(chuàng)建的ACLweb_in_permit

IPoEWEB認(rèn)證[BRAS]trafficbehaviorweb_in_permit[BRAS-behavior-web_permit]filterpermit[BRAS-behavior-web_permit]freeaccount創(chuàng)建動作，允許通過，白名單用戶[BRAS]acladvancednameweb_http[BRAS-acl-ipv4-adv-web_http]rule0permittcpdestination-porteqwwwuser-groupweb[BRAS]trafficclassifierweb_httpoperatorand[BRAS-classifier-web_http]if-matchaclnameweb_httpHTTP報文上從CPU處理，以便推送頁面：配置前域用戶側(cè)接口入方向ACL，匹配TCP80端口報文創(chuàng)建類，匹配已創(chuàng)建的ACLweb_httpIPoEWEB認(rèn)證[BRAS]trafficbehaviorweb_http[BRAS-behavior-web_http]redirecthttp-to-cpu創(chuàng)建動作，將匹配到的80端口報文，從HTTP隊列上送到CPU[BRAS]acladvancednameweb_https[BRAS-acl-ipv4-adv-web_https]rule0permittcpdestination-porteq443user-groupweb[BRAS]trafficclassifierweb_httpsoperatorand[BRAS-classifier-web_https]if-matchaclnameweb_httpsHTTP報文上從CPU處理，以便推送頁面：配置前域用戶側(cè)接口入方向ACL，匹配TCP443端口報文IPoEWEB認(rèn)證[BRAS]trafficbehaviorweb_https[BRAS-behavior-web_https]redirecthttps-to-cpu創(chuàng)建動作，將匹配到的443端口報文，從HTTPS隊列上送到CPU創(chuàng)建類，匹配已創(chuàng)建的ACLweb_https[BRAS]acladvancednameip_in[BRAS-acl-ipv4-adv-ip_in]rule0permitipuser-groupweb[BRAS]trafficclassifierip_in_cpuoperatorand[BRAS-classifier-ip_in_cpu]if-matchaclnameip_in無感知場景，需要QoS中開啟普通IP報文上送CPU：配置前域用戶側(cè)接口入方向ACL，匹配所有前域用戶組IP報文創(chuàng)建類，匹配所有前域用戶組報文IPoEWEB認(rèn)證[BRAS]trafficbehaviorip_in_cpu[BRAS-behavior-ip_in_cpu]redirectcpu創(chuàng)建動作，將所有報文上送CPU處理，用于對用戶報文特征進行識別，以便提取用戶信息，進行無感知認(rèn)證[BRAS]acladvancednameip_in[BRAS-acl-ipv4-adv-ip_in]rule0permitipuser-groupweb[BRAS]trafficclassifierip_in_denyoperatorand[BRAS-classifier-ip_in_deny]if-matchaclnameip_in前域組，除放行和上送的80及443端口報文外，其他報文需要deny處理：配置前域用戶側(cè)接口入方向ACL，匹配所有前域WEB用戶組IP報文創(chuàng)建類，匹配所有前域用戶組報文IPoEWEB認(rèn)證[BRAS]trafficbehaviorweb_deny[BRAS-behavior-web_deny]filterdeny創(chuàng)建動作，將所有報文deny掉[BRAS]qospolicyweb_in[BRAS-qospolicy-web_in]classifierweb_in_permitbehaviorweb_in_permit//放通內(nèi)網(wǎng)及DNS資源

[BRAS-qospolicy-web_in]classifierweb_httpbehaviorweb_http//上送80端口報文至CPU[BRAS-qospolicy-web_in]classifierweb_httpsbehaviorweb_https//上送443端口報文至CPU[BRAS-qospolicy-web_in]classifierip_cpubehaviorweb_cpu//其他報文上送CPU[BRAS-qospolicy-web_in]classifierip_denybehaviorweb_deny//阻止其他報文創(chuàng)建QoS，分別按順序添加CB對IPoEWEB認(rèn)證[BRAS]qosapplypolicywebglobalinbound在全局下，對接收的用戶流量應(yīng)用QoS策略，策略名為web_in[BRAS]acladvancednameweb_out_permit[BRAS-acl-ipv4-adv-web_out_permit]rule0permitipsource0user-groupweb[BRAS-acl-ipv4-adv-web_out_permit]rule0permitipsource0user-groupweb[BRAS-acl-ipv4-adv-web_out_permit]rule0permitipsource0user-groupweb[BRAS]trafficclassifierweb_out_permitoperatorand[BRAS-classifier-web_out_permit]if-matchaclnameweb_out_permit用戶出方向創(chuàng)建ACL匹配內(nèi)網(wǎng)服務(wù)器、DNS等回程流量創(chuàng)建類，匹配已創(chuàng)建的ACLweb_out_permitIPoEWEB認(rèn)證[BRAS]trafficbehaviorweb_out_permit[BRAS-behavior-web_out_permit]filterpermit創(chuàng)建動作，允許通過[BRAS]qospolicyweb_out[BRAS-qospolicy-web_out]classifierweb_out_peimitbehaviorweb_out_permit[BRAS-qospolicy-web_out]classifierip_denybehaviorweb_deny前域組，除部分特定服務(wù)器和DNS回程報文需要放行外，其他報文均做deny處理：IPoEWEB認(rèn)證[BRAS]qosapplypolicyweb_outglobaloutbound在全局下，對發(fā)送的上線用戶流量應(yīng)用QoS策略，策略名為web_out[BRAS]portalservernewpt[BRAS-portal-server-newpt]ipkeysimple123456[BRAS]http-redirecthttps-port11111配置Portal服務(wù)器，指定IP地址和共享秘鑰配置對HTTPS報文進行重定向的內(nèi)部偵聽端口號為11111(一般建議采用防病毒端口，可以避免被漏洞掃描工具掃描到)IPoEWEB認(rèn)證[BRAS]radiusschemers1[BRAS-radius-rs1]primaryauthentication[BRAS-radius-rs1]primaryaccounting[BRAS-radius-rs1]keyauthenticationsimpleradius[BRAS-radius-rs1]keyaccountingsimpleradius[BRAS-radius-rs1]user-name-formatwithout-domain配置RADIUS方案，用于WEB認(rèn)證[BRAS]domainnamedm1[BRAS-isp-dm1]authenticationipoenone[BRAS-isp-dm1]authorizationipoenone[BRAS-isp-dm1]accountingipoenone[BRAS-isp-dm1]authorization-attributeuser-groupweb[BRAS-isp-dm1]authorization-attributeip-poolpool1[BRAS-isp-dm1]web-serverurl

:8080/portal/[BRAS-isp-dm1]web-serverurl-parameterssidssid//以下根據(jù)服務(wù)器要求進行選配[BRAS-isp-dm1]web-serverurl-parameternas-idnas-id[BRAS-isp-dm1]web-serverurl-parameteruseripsource-address[BRAS-isp-dm1]web-serverurl-parameteruserurloriginal-url[BRAS-isp-dm1]web-serverurl-parameterusermacsource-mac配置認(rèn)證前域dm1，授權(quán)前域用戶組，WEB重定向URLIPoEWEB認(rèn)證[BRAS]domainnamedm2[BRAS-isp-dm2]authenticationipoeradius-schemers1[BRAS-isp-dm2]authorizationipoeradius-schemers1[BRAS-isp-dm2]accountingipoeradius-schemers1[BRAS-isp-dm2]authorization-attributeuser-groupweb-after配置認(rèn)證后域dm2，授權(quán)后域用戶組（一般由Radius服務(wù)器授權(quán)，也可domain域授權(quán)）IPoEWEB認(rèn)證[BRAS]portalmac-trigger-servermts[BRAS-portal-mac-trigger-server-mts]ip[BRAS]interfacegigabitethernet3/1/2[BRAS–GigabitEthernet3/1/2]portalapplymac-trigger-servermts對于有無感知的場景，如MACTrigger無感知，還需要配置MAC綁定服務(wù)器，并在認(rèn)證接口應(yīng)用，學(xué)校應(yīng)用較多[BRAS]interfaceRoute-Aggregation1.242[BRAS-Route-Aggregation1.242]user-vlandot1qvid981second-dot1q2to100[BRAS-Route-Aggregation1.242]ipsubscriberinitiatorunclassified-ipenablematching-user[BRAS-Route-Aggregation1.242]ipsubscriberinitiatorarpenable[BRAS-Route-Aggregation1.242]ipsubscriberl2-connectedenable[BRAS-Route-Aggregation1.242]ipsubscriberauthentication-methodweb//加mac-auth=MAC無感知[BRAS-Route-Aggregation1.242]ipsubscriberpre-authdomainweb

[BRAS-Route-Aggregation1.242]ipsubscriberweb-authdomainweb_after[BRAS-Route-Aggregation1.242]aaaroam-domainwlan//相當(dāng)于缺省域[BRAS-Route-Aggregation1.242]aaanas-id0018.0028.280.00.460//看需求，精綁用[BRAS-Route-Aggregation1.242]ipsubscribernas-port-type802.11//無線時用，協(xié)商開[BRAS-Route-Aggregation1.242]aaassid0028.027.001//無線時用，協(xié)商開配置接口、VLAN終結(jié)、認(rèn)證前域和后域等IPoEWEB認(rèn)證[BRAS]radiussession-controlenable[BRAS]radiussession-controlclientipkeysimple123配置強制認(rèn)證用戶下線，或者更改在線用戶授權(quán)信息功能對于Radius服務(wù)器為iMC，務(wù)必開啟Session-control，并配置共享秘鑰IPoEWEB高級功能和RadiusDAE配置如果為其他Radius服務(wù)器，則配置DAE功能，注意此處設(shè)備為Server，Radius服務(wù)器為Client[BRAS]radiusdynamic-authorserver[BRAS-radius-da-server]clientipkeysimple123[BRAS]http-redirecthttps-rate-limit200對于有防HTTPS攻擊需求的局點，可以根據(jù)需求，在全局開啟重定向報文的速率，單位為PPS[BRAS-GigabitEthernet3/1/2]ipaddress[BRAS-GigabitEthernet3/1/2]ipaddresssub[BRAS-GigabitEthernet3/1/2]ipsubscriberl2-connectedenable[BRAS–GigabitEthernet3/1/2]ipsubscribersubnet-leasedip24usernameus1passwordplaintextpw1domaindm1接口配置IP主地址和SUB地址，使能IPoE功能，并指定二層接入模式，配置子網(wǎng)專線用戶，子網(wǎng)專線用戶名為us1，密碼為pw1子網(wǎng)專線用戶配置Radius方案、域配置與DHCP觸發(fā)方式一致，此處省略子網(wǎng)專線用戶認(rèn)證通過之后，對應(yīng)子網(wǎng)網(wǎng)段的用戶流量都能正常轉(zhuǎn)發(fā)[BRAS-GigabitEthernet3/1/2]ipaddress[BRAS-GigabitEthernet3/1/2]ipsubscriberroutedenable[BRAS–GigabitEthernet3/1/2]ipsubscriberinterface-leasedusernameus1passwordplaintextpw1domaindm1接口配置IP主地址和SUB地址，使能IPoE功能，并指定二層接入模式，配置接口專線的用戶名為us1，認(rèn)證密碼為pw1接口專線用戶配置Radius方案、域配置與DHCP觸發(fā)方式一致，此處省略接口專線用戶認(rèn)證通過之后，后續(xù)經(jīng)由此接口的用戶流量都能正常轉(zhuǎn)發(fā)IPoE常見應(yīng)用舉例010203IPoE基本概述IPoE基本原理IPoE故障排查04目錄1、接口：排查接入方式、觸發(fā)方式、VLAN終結(jié)、認(rèn)證域等2、認(rèn)證域：排查認(rèn)證類型、地址池（組）、用戶組、VPN實例等等3、Radius：排查服務(wù)器地址、用戶格式、NAS-IP、Radius屬性格式、key等等4、DHCP：地址池設(shè)置、可用地址數(shù)量、網(wǎng)關(guān)網(wǎng)段發(fā)布情況等等配置排查定位思路1、displayaaaabnormal-offline-record顯示用戶異常下線記錄2、displayaaanormal-offline-record顯示用戶正常下線記錄3、displayaaaoffline-record顯示用戶下線記錄4、displayaaaonline-fail-record顯示用戶上線失敗記錄5、displayipsubscriberofflinestatistics顯示IPoE用戶會話下線原因的統(tǒng)計信息6、displayipsubscribersession[過濾]verbose顯示IPoE個人會話詳細(xì)信息用戶上下線記錄查看1、ipsubscriberaccess-userlogenable2、traceaccess-userobject1mac-address1-1-1[vlan|interface|username……]IPoE用戶上線日志及Trace輔助排查定位思路1、displaydhcpserver|relaystatistics2、displayradiusscheme|statisticsDHCP及Radius相關(guān)狀態(tài)查看1、debuggingdhcpserverall2、debuggingdhcprelayall3、debuggingipsubscriberall4、debuggingportalall[+interface等過濾條件]IPoEWEB排查時常用到調(diào)試信息采集與分析1、BRAS和Radiusserver之間抓包與分析1、接入接口所在的單板非BRAS單板2、用戶從子接口接入，子接口VLAN終結(jié)配置錯誤3、地址池可用地址數(shù)量不足4、radius共享秘鑰配置錯誤5、終端用戶名密碼配置錯誤6、domain域下認(rèn)證類型配置錯誤用戶上線異常BRAS通用問題1、Radius屬性版本與服務(wù)器側(cè)不一致2、屬性格式不一致，服務(wù)器下發(fā)的為友商格式，且無法修改Radius屬性異常，常見于替換友商，服務(wù)器下發(fā)的仍然是友商屬性，我們需要配置屬性translate翻譯1、RadiusDAE或者Sessioncontrol配置錯誤Radius服務(wù)器強制用戶下線失敗1、終端是否開啟DHCP（DHCP觸發(fā)認(rèn)證方式）2、終端地址是否正確獲?。ㄆ渌|發(fā)認(rèn)證方式）終端配置排查IPoE問題-配置排查1、IPoE接口配置參數(shù)是否符合現(xiàn)網(wǎng)要求2、Radius相關(guān)參數(shù)是否與服務(wù)器側(cè)一致3、Domain相關(guān)配置是否正確，并被正確引用BRAS配置排查1、服務(wù)器IP及端口是否正確2、Radius是否與設(shè)備側(cè)配置對應(yīng)服務(wù)器側(cè)配置排查1、終端是否正確獲取到地址；2、終端瀏覽器是否設(shè)置了代理。終端配置排查W