配置普通IPoEoVLAN接入示例
介紹一個IPoEoVLAN接入業務的配置示例,結合配置組網圖來理解業務的配置過程。配置示例包括組網需求、思路準備、操作步驟和配置文件。
如圖1所示,普通IPoEoVLAN接入組網需求爲:
-
用戶歸屬於isp3域,從路由器的GE1/0/2.1接口下以普通IPoEoVLAN方式接入,Switch使用VLAN 1和VLAN 2對用戶報文進行標記。
-
用戶採用綁定認證,並採用RADIUS認證模式和RADIUS計費模式。
-
RADIUS服務器地址爲192.168.8.249,認證和計費端口分別是1812和1813,採用標準RADIUS協議,密鑰爲hello。
-
DNS服務器地址爲192.168.8.252。
-
網絡側接口爲GE1/0/1。
配置思路
普通IPoEoVLAN接入的配置思路如下:
-
配置認證方案和計費方案
-
配置RADIUS服務器組
-
配置地址池
-
配置認證域
-
配置BAS接口和上行接口
數據準備
完成此配置舉例,需要準備以下數據:
-
認證模板的名稱和認證方式
-
計費模板的名稱和計費方式
-
RADIUS服務器組名稱,RADIUS認證服務器和RADIUS計費服務器的IP地址、端口號
-
地址池名稱、網關地址、DNS服務器地址
-
域的名稱
-
BAS接口參數
操作步驟
- 配置AAA方案
# 配置認證方案。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme auth3
[HUAWEI-aaa-authen-auth3] authentication-mode radius
[HUAWEI-aaa-authen-auth3] quit
# 配置計費方案。
[HUAWEI-aaa] accounting-scheme acct3
[HUAWEI-aaa-accounting-acct3] accounting-mode radius
[HUAWEI-aaa-accounting-acct3] quit
[HUAWEI-aaa] quit
- 配置RADIUS服務器組
[HUAWEI] radius-server group rd3
[HUAWEI-radius-rd3] radius-server authentication 192.168.8.249 1812
[HUAWEI-radius-rd3] radius-server accounting 192.168.8.249 1813
[HUAWEI-radius-rd3] radius-server type standard
[HUAWEI-radius-rd3] radius-server shared-key hello
[HUAWEI-radius-rd3] quit
- 配置地址池
[HUAWEI] ip pool pool3 bas local
[HUAWEI-ip-pool-pool3] gateway 172.82.2.1 255.255.255.0
[HUAWEI-ip-pool-pool3] section 0 172.82.2.2 172.82.2.200
[HUAWEI-ip-pool-pool3] dns-server 192.168.8.252
[HUAWEI-ip-pool-pool3] quit
說明:
由於綁定認證在用戶上線時自動進行認證,因此無需配置認證前缺省域,此處配置的地址池用於用戶認證後的域。
- 配置認證域
[HUAWEI] aaa
[HUAWEI-aaa] domain isp3
[HUAWEI-aaa-domain-isp3] authentication-scheme auth3
[HUAWEI-aaa-domain-isp3] accounting-scheme acct3
[HUAWEI-aaa-domain-isp3] radius-server group rd3
[HUAWEI-aaa-domain-isp3] ip-pool pool3
[HUAWEI-aaa-domain-isp3] quit
[HUAWEI-aaa] quit
說明:
由於綁定認證是獲取IP地址時自動進行認證,因此無需對認證前的用戶進行ACL限制,配置ACL只需配置其認證後的網絡權限即可,此處不作詳述。
- 配置接口
# 配置BAS接口。
[HUAWEI] interface GigabitEthernet 1/0/2.1
[HUAWEI-GigabitEthernet1/0/2.1] user-vlan 1 2
[HUAWEI-GigabitEthernet1/0/2.1-vlan-1-2] quit
[HUAWEI-GigabitEthernet1/0/2.1] bas
[HUAWEI-GigabitEthernet1/0/2.1-bas] access-type layer2-subscriber
[HUAWEI-GigabitEthernet1/0/2.1-bas] authentication-method bind
[HUAWEI-GigabitEthernet1/0/2.1-bas] default-domain authentication isp3
[HUAWEI-GigabitEthernet1/0/2.1-bas] quit
[HUAWEI-GigabitEthernet1/0/2.1] quit
說明:
-
由於綁定認證的用戶名是根據用戶接入NE80E/40E的位置以及域名自動生成的,因此在RADIUS服務器上必須根據生成規則來配置用戶名,密碼爲vlan。
-
有關綁定認證的用戶名生成格式請參見《HUAWEI NetEngine80E/40E 路由器 命令參考》中vlanpvc-to-username命令的描述。
# 配置上行接口。
[HUAWEI] interface GigabitEthernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip address 192.168.8.1 255.255.255.0
-
配置文件
#
sysname HUAWEI
#
radius-server group rd3
radius-server authentication 192.168.8.249 1812 weight 0
radius-server accounting 192.168.8.249 1813 weight 0
radius-server shared-key hello
#
interface GigabitEthernet1/0/2.1
user-vlan 1 2
bas
access-type layer2-subscriber default-domain authentication isp3
authentication-method bind
#
interface GigabitEthernet1/0/1
ip address 192.168.8.1 255.255.255.0
#
ip pool pool3 bas local
gateway 172.82.2.1 255.255.255.0
section 0 172.82.2.2 172.82.2.200
dns-server 192.168.8.252
#
aaa
authentication-scheme auth3
accounting-scheme acct3
domain isp3
authentication-scheme auth3
accounting-scheme acct3
radius-server group rd3
ip-pool pool3
#
return