文档名称 文档密级:
[ bas-interface-name name | default-domain authentication domain-name |
accounting-copy radius-server radius-name | nas-port-type type ] *,配置三层专线用户接入类型 。
在设置BAS 接口的用户接入类型时,还可以一起设置和该种用户类型相关的业务属性,这些属性也可以在后续的配置中逐项配置。
对于已经被Eth-Trunk 接口包含的以太网接口,不能配置其用户接入类型,而只能配置 相应的Eth-Trunk 接口。
有用户在线时,只有当用户类型是专线用户时,可以在线修改BAS 接口的用户接入类 型,其他情况不能修改。
当用户类型配置为专线用户后,ME60 立即对该专线用户进行认证。 ???当接口下配置有IP 地址时,只能将用户接入类型设置为三层专线用户。
???如果BAS 接口为GE 或Eth-Trunk 子接口,当需要将用户接入类型设置为三层专线用户时,首
先必须在子接口下配置一个用户侧VLAN(且只能配置一个)。
3 配置用户认证方法 请在ME60 上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。
步骤 4 执行命令authentication-method { { ppp | dot1x | { web | fast } } * | bind },配置用户认证方法。 ----结束
只有接入用户类型为二层用户的BAS 接口可以设置其认证方法。各种认证方法可以组合使用,但有以下的约束关系: ???Web 认证和快速认证互斥; ???绑定认证和其他认证方式都互斥。
2020-3-1
华为机密,未经许可不得扩散
第17页, 共75页
文档名称 文档密级:
缺省情况下,BAS 接口的认证方法为PPP 4 设置用户数限制(可选) 请在ME60 上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。 5 配置BRAS 接入 Quidway ME60 配置指南-BRAS 业务
5-20 华为技术有限公司 文档版本 03 (2008-02-01)
步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。
步骤 4 执行命令access-limit number,设置接口级用户数限制。
或执行命令access-limit user-number [ start-vlan start-vlan [ end-vlan end-vlan ] [ qinqqinq-vlan ] ],设置VLAN 级用户数限制。 ----结束
缺省情况下,BAS 接口未设置用户数限制。 5 指定域(可选)
请在ME60 上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。
步骤 4 执行命令default-domain pre-authentication domain-name,指定认证前缺省域。 或执行命令default-domain authentication [ force | replace ] domain-name,指定认证缺省域。 如果用户认证时未输入域名,ME60 默认其属于认证缺省域。设置认证缺省域可指定force 和replace 参数。
???force 参数表示不管用户认证时所带域名是什么,都强制转换到所设置的认证缺省域,使用该域的策略进行认证和授权,但用户名中的域名不发生改变。
???replace 参数表示强制转换到所设置的认证缺省域,同时用户名中的域名也发生变化,强制替换成设置的认证缺省域名。
缺省情况下,BAS 接口的认证缺省域为default1。
2020-3-1
华为机密,未经许可不得扩散
第18页, 共75页
文档名称 文档密级:
6 配置BAS 接口附加功能(可选) 请在ME60 上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令bas,进入BAS 接口视图。 步骤 4 执行命令arp-proxy,启用ARP 代理功能。 或执行命令dhcp-broadcast,启用DHCP 广播功能。
或执行命令accounting-copy radius-server radius-name,启用计费报文抄送功能。 或执行命令ip-trigger,启用IP 报文触发上线功能。 或执行命令arp-trigger,启用ARP 报文触发上线功能。
或执行命令multicast copy by-session,启用按用户复制组播报文功能。 或执行命令dot1x authentication trigger,启用802.1X 认证触发功能。 ----结束 ARP 代理功能
ARP 代理功能用于同一BAS 接口下的用户互访,因为在ME60 同一接口下的用户按VLAN/PVC 严格隔离,要实现用户互访必须打开BAS 接口的ARP 代理开关。 只有在BAS 接口的接入用户类型设置为二层用户和二层专线用户的情况下,才可以配置BAS 接口的ARP 代理功能。
ARP 代理的开关只对相同BAS 接口的ARP 报文进行控制,其他的情况ARP 代理的开关都是打开的,无法关闭。
缺省情况下,同一BAS 接口相同VLAN/PVC 下的ARP 代理功能关闭。 DHCP 广播功能
通常情况下,BAS 接口的DHCP 报文是采用单播方式向用户进行发送的,但是在某些特 殊情况下可能需要对DHCP 报文进行广播,此时需要打开BAS 接口的DHCP 广播开关。 缺省情况下,BAS 接口的DHCP 广播功能关闭。 计费报文抄送功能
计费报文抄送是指在计费过程中,将计费信息同步发送给两台RADIUS 服务器,并分别等待回应的功能。
计费报文抄送功能主要在需要多处保存原始计费信息的场合使用(如多运营商共同组网)。
2020-3-1
华为机密,未经许可不得扩散
第19页, 共75页
文档名称 文档密级:
在这种情况下,计费报文需要同步发送给两台RADIUS 服务器,在后续的结算中作为原始计费信息。
缺省情况下,BAS 接口的计费报文抄送功能关闭。 IP 报文触发上线功能
IP 报文触发上线功能是指静态用户通过发送IP 报文触发认证过程的功能。 缺省情况下,BAS 接口的IP 报文触发上线功能关闭。 ARP 报文触发上线功能
ARP 报文触发上线功能是指用户通过发送ARP 报文触发认证过程的功能。 缺省情况下,BAS 接口的ARP 报文触发上线功能关闭。 按用户复制组播报文功能
通常情况下,ME60 收到某个组播组的组播报文后,只会向每个物理端口复制一份组播报文,二层设备再将组播报文复制给该组播组的每个用户。
如果二层设备不具备IGMP Snooping 功能,无法识别组播组用户,则需要在ME60 的接口上启用按用户进行组播复制的功能,由ME60 直接将组播报文复制给用户。 缺省情况下,BAS 接口的按用户复制组播报文功能关闭。 802.1X 认证触发功能
802.1X 认证触发功能是指ME60 探测到802.1X 用户上线后,主动向用户发起认证请求 的功能。
缺省情况下, BAS 接口的802.1X 认证触发功能关闭。
下面的配置范例为PPPOE接入的用户侧端口配置: interface GigabitEthernet1/0/3.805 pppoe-server bind Virtual-Template 1 [绑定PPP模板,确定该端口使用PPPOE] mtu 1524
description To-NanShan-HW-MA5300-User user-vlan 256 1000 QinQ 805
[这个命令就是终结正常的PPPOE拨号用户报文,内层标签是256-1000,外层标签是805] bas
2020-3-1
华为机密,未经许可不得扩散
第20页, 共75页