配置普通IPoEoVLAN接入示例
介绍一个IPoEoVLAN接入业务的配置示例,结合配置组网图来理解业务的配置过程。配置示例包括组网需求、思路准备、操作步骤和配置文件。
如图1所示,普通IPoEoVLAN接入组网需求为:
-
用户归属于isp3域,从路由器的GE1/0/2.1接口下以普通IPoEoVLAN方式接入,Switch使用VLAN 1和VLAN 2对用户报文进行标记。
-
用户采用绑定认证,并采用RADIUS认证模式和RADIUS计费模式。
-
RADIUS服务器地址为192.168.8.249,认证和计费端口分别是1812和1813,采用标准RADIUS协议,密钥为hello。
-
DNS服务器地址为192.168.8.252。
-
网络侧接口为GE1/0/1。
配置思路
普通IPoEoVLAN接入的配置思路如下:
-
配置认证方案和计费方案
-
配置RADIUS服务器组
-
配置地址池
-
配置认证域
-
配置BAS接口和上行接口
数据准备
完成此配置举例,需要准备以下数据:
-
认证模板的名称和认证方式
-
计费模板的名称和计费方式
-
RADIUS服务器组名称,RADIUS认证服务器和RADIUS计费服务器的IP地址、端口号
-
地址池名称、网关地址、DNS服务器地址
-
域的名称
-
BAS接口参数
操作步骤
- 配置AAA方案
# 配置认证方案。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme auth3
[HUAWEI-aaa-authen-auth3] authentication-mode radius
[HUAWEI-aaa-authen-auth3] quit
# 配置计费方案。
[HUAWEI-aaa] accounting-scheme acct3
[HUAWEI-aaa-accounting-acct3] accounting-mode radius
[HUAWEI-aaa-accounting-acct3] quit
[HUAWEI-aaa] quit
- 配置RADIUS服务器组
[HUAWEI] radius-server group rd3
[HUAWEI-radius-rd3] radius-server authentication 192.168.8.249 1812
[HUAWEI-radius-rd3] radius-server accounting 192.168.8.249 1813
[HUAWEI-radius-rd3] radius-server type standard
[HUAWEI-radius-rd3] radius-server shared-key hello
[HUAWEI-radius-rd3] quit
- 配置地址池
[HUAWEI] ip pool pool3 bas local
[HUAWEI-ip-pool-pool3] gateway 172.82.2.1 255.255.255.0
[HUAWEI-ip-pool-pool3] section 0 172.82.2.2 172.82.2.200
[HUAWEI-ip-pool-pool3] dns-server 192.168.8.252
[HUAWEI-ip-pool-pool3] quit
说明:
由于绑定认证在用户上线时自动进行认证,因此无需配置认证前缺省域,此处配置的地址池用于用户认证后的域。
- 配置认证域
[HUAWEI] aaa
[HUAWEI-aaa] domain isp3
[HUAWEI-aaa-domain-isp3] authentication-scheme auth3
[HUAWEI-aaa-domain-isp3] accounting-scheme acct3
[HUAWEI-aaa-domain-isp3] radius-server group rd3
[HUAWEI-aaa-domain-isp3] ip-pool pool3
[HUAWEI-aaa-domain-isp3] quit
[HUAWEI-aaa] quit
说明:
由于绑定认证是获取IP地址时自动进行认证,因此无需对认证前的用户进行ACL限制,配置ACL只需配置其认证后的网络权限即可,此处不作详述。
- 配置接口
# 配置BAS接口。
[HUAWEI] interface GigabitEthernet 1/0/2.1
[HUAWEI-GigabitEthernet1/0/2.1] user-vlan 1 2
[HUAWEI-GigabitEthernet1/0/2.1-vlan-1-2] quit
[HUAWEI-GigabitEthernet1/0/2.1] bas
[HUAWEI-GigabitEthernet1/0/2.1-bas] access-type layer2-subscriber
[HUAWEI-GigabitEthernet1/0/2.1-bas] authentication-method bind
[HUAWEI-GigabitEthernet1/0/2.1-bas] default-domain authentication isp3
[HUAWEI-GigabitEthernet1/0/2.1-bas] quit
[HUAWEI-GigabitEthernet1/0/2.1] quit
说明:
-
由于绑定认证的用户名是根据用户接入NE80E/40E的位置以及域名自动生成的,因此在RADIUS服务器上必须根据生成规则来配置用户名,密码为vlan。
-
有关绑定认证的用户名生成格式请参见《HUAWEI NetEngine80E/40E 路由器 命令参考》中vlanpvc-to-username命令的描述。
# 配置上行接口。
[HUAWEI] interface GigabitEthernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip address 192.168.8.1 255.255.255.0
-
配置文件
#
sysname HUAWEI
#
radius-server group rd3
radius-server authentication 192.168.8.249 1812 weight 0
radius-server accounting 192.168.8.249 1813 weight 0
radius-server shared-key hello
#
interface GigabitEthernet1/0/2.1
user-vlan 1 2
bas
access-type layer2-subscriber default-domain authentication isp3
authentication-method bind
#
interface GigabitEthernet1/0/1
ip address 192.168.8.1 255.255.255.0
#
ip pool pool3 bas local
gateway 172.82.2.1 255.255.255.0
section 0 172.82.2.2 172.82.2.200
dns-server 192.168.8.252
#
aaa
authentication-scheme auth3
accounting-scheme acct3
domain isp3
authentication-scheme auth3
accounting-scheme acct3
radius-server group rd3
ip-pool pool3
#
return