BRAS除了普通用戶,還有OTV、IMS、專線用戶,這些用戶大都採用IPOE協議,IPOE是以靜態配置或DHCP獲取IP,以web認證、綁定認證和快速認證等身份驗證方式接入。用戶通過DHCP協議或IP/ARP觸發接入網絡。
1、IPOE 業務
2、IPOE 報文格式:
業務使用中通常使用雙層VLAN,即靈活qinq形式。
3、IPOE 接入方式:
1、靜態方式:手工爲用戶分配IP,通過IP/ARP報文觸發用戶上線。常用於專線業務。
2、動態方式:動態爲用戶分配IP,通過DHCP報文觸發用戶上線。常用於OTV業務。
4、OTV業務 IPOE業務流程
1、STB通過DHCP Option60標識終端類型,實現不同終端分配不同地址
2、光貓插入Option82信息
3、交換機通過DHCP信任端口方式防止仿冒Server,連接合法server的端口爲信任端口,其他是非信任端口。
4、BRAS 根據DHCP 的Option 60分流到不同的Dhcp server認證
5、3A根據option60確認終端類型,根據option82進行用戶認證,DHCP並根據策略分配不同的IP地址
6、BRAS對上下行報文進行逐包檢查,IP+MAC+VLAN/端口綁定檢查,防止用戶私設IP。
註釋:
client-option60命令用來設置ME60信任客戶端上報的DHCP報文的vendor-class(dhcpv4 option60/dhcpv6 option16)屬性。
如果在BAS接口下配置了命令client-option60,ME60認爲從該BAS接口上報的DHCP報文攜帶的vendor-class信息真實有效,從vendor-class(dhcpv4 option60/dhcpv6 option16)字符串中獲取用戶域信息。
client-option82命令用來配置ME60信任客戶端上報的access-line-id信息。
IP DSLAM能捕獲DHCP報文的發現報文/和dhcpv6的solicit報文,在其中分別插入access-line-id(dhcpv4 option82/pppoe+/dhcpv6 option18+37+17)信息,這些信息用於標識用戶的物理位置。也在BRAS側插入option82信息,通過BRAS中繼給DHCP server。
bas子接口配置:
bas
#
access-type layer2-subscriber default-domain authentication otv
client-option82
client-option60
authentication-method bind
#
#
5、DHCP方式接入的綁定認證過程
1.用戶開機(或通過命令ipconfig釋放更新)發DHCP Discovery報文;
2.BRAS收到用戶的DHCP報文,根據用戶端口VLAN/PVC生成綁定格式的用戶名和密碼進行認證;
3~6. 認證通過後通過標準DHCP過程給用戶分配IP地址後,用戶即在線;
7. 用戶在線過程中,BRAS和客戶端之間通過定時的ARP報文維護鏈路狀態,當用戶關機、拔掉網線等類似情況導致BRAS和用戶間ARP探測失敗時,或 用戶釋放IP地址,BRAS認爲用戶斷線(下線);
8. BRAS完成計費切斷用戶;
9. 如果是RADIUS計費的,切斷用戶並完成RADIUS計費。
6、靜態用戶的綁定認證過程
1、用戶向BRAS發ARP/IP報文或響應BRAS的ARP報文;
2、BRAS收到用戶的ARP/ARP Reply/IP報文,根據用戶端口VLAN、PVC生成綁定格式的用戶名和密碼進行認證;認證通過後用戶即在線;
3、用戶在線過程中,BRAS和客戶端之間通過定時的ARP報文維護鏈路狀態,當用戶關機、拔掉網線等類似情況導致BRAS和用戶間ARP探測失敗時, BRAS認爲用戶斷線(下線);
4、BRAS完成計費切斷用戶;
5、如果是RADIUS計費的,切斷用戶並完成RADIUS計費。
靜態用戶專線採用不認證、不計費形式
authentication-scheme none
accounting-scheme none
7、DHCP用戶詳細上線流程
1)DHCP客戶端發起DHCP 請求,攜帶相應的Option60 信息;
2)中間途經的網絡設備根據相關規範標記Option82 信息
3)SR/BRAS收到用戶請求報文,提取請求報文中的相關信息,構造認證所需Username 和Nas-Port-ID。現階段建議Username 由MAC 地址和Option60 信息形成,格式爲: MAC@Option60 密碼爲任意字符串,並將Option82信息轉換爲NAS-Port-ID信息,送到RADIUS服務器認證;
4)RADIUS對用戶進行認證,如認證不通過,則返回拒絕報文,SR/BRAS將終結用戶session;如認證通過,則給SR/BRAS發回認證通過信息,並攜帶用戶的相關業務策略屬性;
5)SR/BRAS將用戶DHCP 請求,Relay到DHCP Server,請求地址;
6)DHCP Server根據用戶不同的業務信息分配相應的地址;
7)SR/BRAS得到用戶地址,將DHCP ACK信息發給終端用戶,用戶可以正常使用業務;
8)向RADIUS服務器發送計費開始報文;
9)RADIUS Server收到計費開始報文,完成相關處理,向SR/BRAS返回響應報文
8、IPOE 下線流程
1)用戶終端主動發起DHCP Release;
2)SR/BRAS收到用戶的DHCP Release,針對該用戶向RADIUS服務器發送計費停止請求;同時,向DHCP Server 轉發DHCP Release 消息;
3)RADIUS服務器收到用戶計費停止請求,進行計費停止處理,處理完畢後,向SR/BRAS發送計費響應消息;
4)SR/BRAS收到計費響應消息,終結用戶session。
9、IPOE 續租流程
1)DHCP客戶端根據DHCP協議規範,在續租時間點發起續租請求;(客戶端使用地址到租期1/2時)
2)SR/BRAS收到續租請求,轉發給DHCP Server;
3)DHCP Server 處理用戶的續租請求,更新地址續租信息,處理完成後,返回DHCP ACK信息;
4)SR/BRAS收到續租確認的ACK 信息,轉發給用戶終端;
5)用戶終端收到續租確認的ACK 信息,更新地址續租狀態;續租過程完成。
10、DHCP續租流程
1、客戶端使用地址到租期1/2時,單播發送request續租報文,如何客戶端迴應ACK,則更新租期,重新開始計算。
2、如果1/2租期續租沒有收到server迴應,客戶端會在7/8租期時發送廣播續租報文,如何客戶端迴應ACK,則更新租期,重新開始計算。
3、如果7/8租期續租仍沒有收到server迴應,在租期滿時必須停止使用該地址,重新發起discover請求。
4、如果server在期滿前一直沒有收到續租報文,在期滿時回收地址,清除用戶表項。
註釋:
DHCP默認的租期是3天,續租發生在1/2*3=1天12小時,如果續租沒有收到迴應,7/8*3天=2天15小時,再發送一個rebind嘗試續租。
地址池默認租期也是3天,可以在地址池下修改lease參數。
ME60的DHCP用戶,是通過arp報文交互進行用戶在線探測的,默認探測間隔是30S,探測次數是5次。用戶會在30*(5+1)=180S後探測掉線,可以通過下述命令修改。
bas
#
user detect retransmit 5 interval 40no-datacheck
#