22第22章 宽带接入配置.docx

1、22第22章 宽带接入配置目 录第22章 宽带接入特性配置 22-122.1 简介 22-122.1.1 宽带接入 22-222.1.2 宽带接入服务器 22-822.1.3 宽带接入服务器的用户管理 22-922.1.4 Web认证 22-1222.1.5 使用License控制接入用户数量 22-1422.1.6 用户管理简介 22-1422.2 配置用户管理 22-1622.2.1 建立配置任务 22-1622.2.2 配置接口的接入方式 22-1722.2.3 配置接口的认证方式 22-1822.2.4 配置静态用户的地址绑定 22-1922.2.5 配置最大接入用户数 22-1922

2、.3 配置用户地址分配 22-2022.3.1 建立配置任务 22-2022.3.2 配置PPP地址分配 22-2222.4 配置Web认证 22-2322.4.1 建立配置任务 22-2322.4.2 配置用户使用的Web认证服务器 22-2422.4.3 配置验证应答消息显示 22-2422.4.4 配置Portal协议版本 22-2422.4.5 检查配置结果 22-2422.5 配置在线用户管理 22-2522.5.1 建立配置任务 22-2522.5.2 强制用户下线 22-2622.5.3 配置闲置切断 22-2722.5.4 检查配置结果 22-2722.6 维护宽带接入 22-

3、2822.7 配置举例 22-2822.7.1 配置PPPoEoVLAN示例 22-2922.7.2 配置PPPoEoA示例 22-3222.7.3 配置VLANWeb方式的DHCP用户示例 22-3422.7.4 配置PVC绑定的静态用户示例 22-3922.7.5 配置IPoE+Web认证方式的示例 22-4122.7.6 配置IPoA示例 22-45第22章 宽带接入特性配置宽带网络在总体上可以分为传输、交换和接入三个部分，宽带接入部分与最终用户（end-user）的关联最为紧密，它实现大部分对用户的管理功能。下表列出了本章所包含的内容。如果您需要请阅读了解宽带接入的基本原理和概念简介设

4、置对用户的管理配置任务：配置接口的接入方式配置任务：配置接口的认证方式配置任务：配置静态用户的地址绑定配置任务：配置最大接入用户数配置举例1： 配置PPPoEoVLAN示例配置举例2：配置PPPoEoA示例配置举例3：配置PVC绑定的静态用户示例配置举例4：配置IPoA示例为接入宽带网络的用户分配地址配置任务： 配置PPP地址分配设置对用的认证方式配置任务： 配置用户使用的Web认证服务器配置任务：配置验证应答消息显示配置任务：配置Portal协议版本配置举例1： 配置VLANWeb方式的DHCP用户示例配置举例2：配置IPoE+Web认证方式的示例对在线用户的管理配置任务： 强制用户下线配置

5、任务：配置闲置切断Web认证运行故障时， 对Web认证进行调试，定位故障的原因。维护宽带接入22.1 简介本节介绍配置宽带接入所需要理解的知识，具体包括： 宽带接入 宽带接入服务器 宽带接入服务器的用户管理 Web认证 使用License控制接入用户数量 用户管理简介22.1.1 宽带接入宽带网络在总体上可以分为传输、交换和接入三个部分，其中，接入部分的主要作用是将用户与网络连接起来，也称为“最后一公里”（last mile）。接入部分与最终用户（end-user）的关联最为紧密，实现大部分对用户的管理功能，其技术和设备具有多样性和复杂性特点。图22-1 宽带网络总体组成宽带接入是相对于传统的

6、窄带接入而言的。窄带接入主要指通过公共电话交换网PSTN（Public Switched Telephone Network）进行MODEM拨号上网。“宽”和“窄”指的是接入的带宽，对用户而言，主要体现在使用网络资源的速度快慢不同。随着Internet的普及和业务种类的丰富，人们对于高速接入的需求越来越多，例如，可视电话、视频点播VoD（Video on Demand）等宽带业务的应用要求必须保证一定的接入带宽。根据使用的介质，宽带接入类型包括：不对称数字用户线ADSL（Asymmetric Digital Subscriber Line）接入、以太网接入、电缆调制解调器（Cable Mode

7、m）接入以及无线接入等。本手册中介绍的宽带接入特性主要包括ADSL和以太网的宽带接入解决方案。2. ADSL接入简介ADSL是在普通电话线上发展起来的宽带接入方式，支持在一根电话线上同时传输数据和话音，上行速度可达到1Mbit/s，下行可达到8Mbit/s，能够满足视频传输的带宽要求。与传统接入网方式相比，ADSL每个用户可用的带宽更大（局域网上每个终端的带宽大约为512kbit/s1Mbit/s），上网与打电话互不影响，支持多种应用，并且采用点对点的连接方式，在网络安全性和可靠性上好于共享式的局域网。采用ADSL接入方式的典型组网图如图22-2所示。图22-1 ADSL典型组网在图22-2中

8、，集成接入设备IAD（Integrated Access Device）是用户侧设备，也被称为远程终端单元RTU（Remote Terminal Unit）。它提供一个或多个用户接口与用户终端设备（如电话、计算机或其他智能设备）相连；上行通过电话线与电信局的数字用户线接入复接器DSLAM（Digital Subscriber Line Access Multiplexer）设备相连。ADSL Modem就是一种IAD。DSLAM提供物理层的多路复用，实现对语音和数据业务的分离。语音内容被传送到传统的PSTN网，而数据内容则被传送到宽带接入服务器。ADSL使用RFC1483定义的桥接方式进行Et

9、hernet帧传输，即通常所说的1483B（“B”表示“bridging”），使用ATM接入，支持IPoA、PPPoA、IPoEoA和PPPoEoA，宽带接入服务器需要提供对这些接入方式的终结。下面简要介绍IPoA、PPPoA、IPoEoA和PPPoEoA四种接入方式。(1) IPoAIPoA是在ATM上承载IP，即IP over ATM。IPoA是ADSL最简单的应用形式，使用时，将RTU配置为一个同时具有两个地址网段的路由器，一侧是用户的地址网段，另一侧是接入宽带接入服务器的地址网段。RTU上必须配置这两个地址网段、静态网段路由或缺省路由，同时宽带接入服务器上也为该RTU进行相应的IPoA

10、配置。RTU上电后，就与宽带接入服务器建立了一条IPoA连接，用户以RTU作为缺省网关连接到Internet。RTU下电后该线路断开。IPoA方式下，用户计算机无须安装客户端拨号软件、无须拨号即可直接上网，进行三层转发。每个RTU可以同时接入多台用户计算机，如果RTU采用NAT（Network Address Translation）方式，则宽带接入服务器将只看到RTU这一个IPoA用户。IPoA的协议栈结构如图22-3所示。BAS: Broadband Access Server图22-2 IPoA的协议栈结构图(2) PPPoAPPPoA是在ATM线路上承载PPP，即PPP over AT

11、M。PPPoA接入在PPP协商的认证阶段触发建立连接。采用PPPoA方式工作，RTU与宽带接入服务器之间建立PPP连接。RTU作为PPP客户端，需要配置拨号的帐号和密码、用户侧网段地址等属性，宽带接入服务器将ATM接口配置为PPPoA方式，设置认证和计费方法、地址池等属性。RTU上电后自动拨号，与宽带接入服务器建立一条PPP连接。一旦连接建立成功，宽带接入服务器为RTU分配一个拨号地址，这样RTU就成为一个具有两个地址网段的路由器。一侧是用户私网网段，另一侧是拨号地址网段，用户计算机就可通过RTU和宽带接入服务器接入Internet。RTU下电后，PPP连接自动断开，用户计算机与Interne

12、t的连接也随之断开。采用PPPoA方式时，RTU与宽带接入服务器PPP连接对用户计算机完全透明，用户计算机上不必安装拨号客户端软件。当RTU建立PPP连接后，每个RTU可以同时接入多个用户计算机，但宽带接入服务器只看到RTU这一个PPPoA用户连接。PPPoA的协议栈结构如图22-4所示。图22-3 PPPoA的协议栈结构图(3) IPoEoAIPoEoA是在ATM上承载以太报文，即IP over Ethernet over ATM。IPoEoA方式下，RTU配置成1483B桥接方式，用户计算机通过以太网连接RTU，用户发送的以太报文在RTU上直接封装成ATM报文发送到宽带接入服务器，宽带接入

13、服务器的ATM接口配置为IPoEoA方式，从ATM报文中解析出原来的以太报文。采用IPoEoA方式，用户计算机无须安装拨号客户端软件，无须拨号即可直接上网，RTU也只完成二层桥接透明传输。而且，由于用户计算机和宽带接入服务器之间是透明桥接，就好像直接通过以太网连接到路由器上，所以许多基于以太网的协议都可以使用，如ARP（Address Resolution Protocol ） 、DHCP（Dynastic Host Configeration Pro）、IGMP等，提供了非常灵活的应用方式。IPoEoA方式下，每个RTU可以同时接入多个用户计算机，每个用户计算机在宽带接入服务器上分别对应一个

14、连接。IPoEoA的协议栈结构如图22-5所示。图22-4 IPoEoA的协议栈结构图(4) PPPoEoAPPPoEoA方式下，RTU配置成1483B桥接方式，用户计算机通过网口接入RTU，用户计算机上必须安装PPPoE拨号客户端软件，用户计算机与宽带接入服务器之间建立PPP连接，RTU只完成二层桥接透传。每个RTU可以同时接入多个用户计算机，每个用户计算机在宽带接入服务器上分别对应一个连接。PPPoEoA接入在PPP协商的认证阶段触发建立连接。PPPoEoA的协议栈结构如图22-6所示。图22-5 PPPoEoA的协议栈结构图3. 以太网接入简介以太网接入是用户计算机通过LANSwitch

15、或Hub直接与宽带接入服务器的以太接口相连，是一种IP接入技术。这种接入方式的优点是技术成熟、简单可靠、价格低廉。可选择的速率范围从10Mbit/s到1000Mbit/s，广泛应用在住宅小区、写字楼、校园等接入用户密集的场所。由于以太网是介质共享的广播网络，所以，在使用以太网接入的时候，需要采用PPPoE、VLAN等手段控制用户的接入，实现网络的可管理性。提供PPPoE、IPoE和VLAN三种接入方式。PPPoE用于拨号用户，比较适合个人散户接入，而IPoE还可支持持续在线，一般用于专线接入，适合集团用户。下面简要介绍PPPoE、IPoE和VLAN三种接入方式。(1) PPPoEPPPoE是在

16、以太网上运行PPP，即PPP over Ethernet。PPPoE接入在PPP协商的认证阶段触发建立连接。在PPPoE方式下，用户计算机与宽带接入服务器通过以太网交换机连接，用户计算机上安装PPPoE拨号客户端软件。上网的时候，用户通过拨号软件，使用预先申请的用户名和密码向宽带接入服务器发起连接。路由器认证通过后，在用户计算机和路由器之间建立PPP连接，为用户计算机分配IP地址、默认网关、DNS服务器地址等资源，这时用户就可以正常上网了。用户下网的时候，通过客户端拨号软件断开连接，路由器释放资源，断开连接，一次上网过程结束。交换机只负责将用户的以太报文通过二层端口发送到路由器。PPPoE的协

17、议栈结构如图22-7所示。图22-1 PPPoE的协议栈结构图(2) IPoEIPoE方式下，用户计算机通过网口接入小区的LANSwitch，用户计算机上不必安装拨号客户端软件，无须拨号，直接打开浏览器上网。LANSwitch只将用户的以太报文通过二层端口转发到宽带接入服务器。IPoE的协议栈结构如图22-8所示。图22-1 IPoE的协议栈结构图(3) VLAN接入VLAN是虚拟局域网，通过在交换机端口上配置不同的VLAN ID，将共享的以太网划分成若干相互隔离的虚拟子网。只有VLAN ID相同的端口之间才可以互相访问。在图22-9中，为每个用户在交换机上分配一个特定VLAN ID的端口，不

18、同端口的用户之间通过VLAN相互隔离，保证了用户的安全性。宽带接入服务器与用户交换机相连的以太接口上使能VLAN接入功能，通过配置，使得到允许的VLAN ID用户能够通过路由器连接上互连网，而非法VLAN用户将在路由器上被拒绝。VLAN接入可以通过地址解析协议ARP（Address Resolution Protocol）请求报文来触发建立连接，也可以通过DHCP（Dynamic Host Configuration Protocol）请求报文来触发建立连接。如图22-9所示。图22-1 以太网VLAN接入组网图22.1.2 宽带接入服务器1. 宽带接入服务器的应用通过前面对宽带接入服务的介绍

19、，可以看到，宽带接入服务器通常位于骨干网的边缘层，终结来自用户接入网（主要是宽带用户）的连接，提供到宽带核心业务网（主要为ATM骨干和IP网）的服务，并对用户进行认证、授权、地址分配和记费等用户业务管理。一般采用专用设备作为宽带接入服务器，如华为公司的MA5200、ISN8850等。典型的组网应用如图22-10所示。CAMSComprehensive Access Management Server综合访问管理服务器图22-1 宽带接入典型组网应用2. 使用路由器做为宽带接入服务器采用华为宽带接入技术的NE系列路由器可以实现宽带接入服务器的功能，提供用户接入、连接管理、带宽管理、地址分配、认证

20、授权、用户计费等服务。同时NE系列路由器还保留有路由管理功能强、转发性能高、业务丰富等特点。因此，使用这一系列路由器替代专用设备实现宽带用户接入，能够使用户在实际组网中以更低的成本获得更丰富的功能。当使用路由器作为宽带接入服务器组网时，在用户侧，路由器使用ATM接口与DSLAM相连，在网络侧，路由器可以使用各种接口与Internet相连，一般采用POS、GE等高速接口。22.1.3 宽带接入服务器的用户管理1. PPP接入、二层接入与三层接入根据接入用户使用的协议类型，可以分为PPP接入、二层接入和三层接入这几种方式。(1) PPP接入用户通过PPP、PPPoE、PPPoA、PPPoEoA、P

21、PPoEoVLAN等方式接入，其中，PPPoEoVLAN和PPPoEoA比较常用。(2) 二层接入二层接入指接入时用户信息中携带物理位置信息。对于以太网接入，可以携带MAC、VLAN信息；对于ATM接入，可以携带MAC、PVC信息。二层接入主要包括VLAN绑定、VLANWeb、PVC绑定、PVCWeb等方式（这些方式在下一节介绍）。根据用户获取IP地址的方式不同，又可分为静态用户和DHCP用户。(3) 三层接入三层接入通过用户的首个报文触发建立连接，只能通过IP地址来识别用户，相对于二层接入来说，三层接入对于用户的管理能力差一些。三层接入用户通过IPoE、IPoA、IPoEoVLAN等方式接入

22、。三层接入主要应用于校园网，宽带接入服务器作为校园网的出口，对访问外部网络的校园网用户进行管理。如图22-11所示。图22-1 三层接入典型组网图2. 用户认证与授权(1) 三种认证方式在用户与宽带接入服务器建立连接的阶段，宽带接入服务器需要获得用户的认证信息，再根据宽带接入服务器上的AAA认证配置进行处理。在目前的实现中，宽带接入服务器可以通过以下方式获得所需的信息： 基于PPP的认证：由PPP将用户的帐号和口令信息交给宽带接入服务器。 基于Web的认证：利用Portal技术实现。强制用户访问指定的Web认证服务器，用户在Web页面上输入帐号和密码。 绑定认证：这种方式不需要其它客户端将用户

23、的帐号和口令发给宽带接入服务器，在宽带接入服务器上直接配置相关信息。三层接入用户必须支持Web认证。二层接入用户既支持Web认证，也支持绑定认证。(2) 授权对于用户的授权由宽带接入服务器上AAA的配置决定。(3) 预连接与重认证预连接与重认证是配置宽带接入服务器时需要了解的两个概念。对于采用Web认证的接入用户，正常情况下，用户开机后即处于预连接状态，宽带接入服务器上将保留这个用户的一部分信息，主要用于安全防范的目的。当处于预连接状态的用户有访问网络资源的需求时，发出DHCP报文（DHCP用户）或ARP报文（静态用户），这类报文将触发Web认证过程，用户通过Web认证后才能正常访问网络资源。

24、(4) 使用中的限制条件在目前的实现中，对接入方式有以下限制： 组网方面：对于二层接入，用户和Web认证服务器不能从宽带接入服务器的同一个接口接入。对于三层接入，用户和Web认证服务器可以从宽带接入服务器的同一个接口接入，但必须使用ACL区分用户地址与Web认证服务器地址。 用户接入：对于宽带服务器是分布式设备的情况，不支持同一个用户从不同的接口板接入，即，在用户的一次接入过程中，上行报文不能从多个接口板进入。3. IP地址分配宽带接入服务器支持以下地址分配方式： 由RADIUS服务器分配IP地址 由宽带接入服务器分配IP地址 配置固定静态IP地址 由DHCP动态分配IP地址用户访问Inter

25、net网必须要有合法的IP地址，用户地址的统一分配和管理也是宽带接入服务器必须具备的功能。目前主要有下面几种IP地址分配方式： 宽带接入服务器地址分配 PPP地址分配 DHCP地址分配 静态IP地址配置4. 网络安全管理(1) 接入限制当采用DHCP为宽带接入用户分配IP地址时，由于地址资源有限，如果少数用户频繁申请地址，将可能导致其他用户无法分配到地址。对于这种攻击方式，可以限制在指定接口下接入的用户个数，当从该接口接入的用户频繁申请地址时，由于接口上进行了限制，他实际能够申请到的地址数目是有限的，从而避免对其他网络用户造成影响。(2) 地址反欺骗和地址防盗用将用户与接入的二层物理位置关联，

26、可以解决IP地址盗用问题。对于通过ATM或者以太网络接入的用户，使用接入的二层信息（包括VLAN/PVC号、用户的MAC地址信息，IP地址信息）来标识一个用户，如果有另一个使用相同IP地址的用户访问网络，但是其MAC地址与宽带接入服务器上保存的用户信息不符，则拒绝该用户的访问。以上是对动态申请IP地址的用户的安全保护措施，对于使用静态IP地址的用户，可以在宽带接入服务器上手工配置允许接入的IP地址，例如将一个用户的IP地址与特定VLAN接口或者PVC绑定，也可以将IP地址与MAC地址绑定。(3) 流量控制宽带接入服务器可以限制每个连接的访问速率，保证网络的通畅，服务商可以根据不同的速率收取不同

27、的费用，实现差别化服务。认证授权时，可以在连接属性中设置速率参数。(4) 地址过滤宽带接入服务器可以限制用户访问的互连网站点。在用户的授权信息中携带地址过滤信息，通过ACL来实现地址过滤功能。5. 计费方式用户在正常上网通信后，宽带接入服务器将开始对该用户进行计费。可以根据不同的时间段和不同的目的IP地址对用户收取费用，支持按流量和按时长的后付费方式，也支持按流量和按时长的预付费方式。22.1.4 Web认证1. Web认证介绍在“22.1.3 2. 用户认证与授权”一节介绍过接入用户的三种认证方式，Web认证可用于二层接入用户和三层接入用户，具体来说，Web认证包括： 二层认证方式：VLAN

28、Web、PVCWeb 三层认证方式：IPWeb2. Portal协议Web认证过程中使用Portal协议，为便于理解，下面先介绍Portal协议。(1) Portal业务Portal是NSP/ISP提供给用户的一种新型业务，它使用户在上网时，可以通过标准的WWW浏览器访问入口服务器，由Web服务器实现用户认证，并灵活选择适合用户自己的业务。使用Portal业务，用户可以在WWW页面上进行认证和各种业务选择，而NSP/ISP则可以提供更多丰富的业务，获得更多的收益，能够使同一用户在同一时刻接入不同的网络资源享受不同的网络服务，能够将运营商最新的服务信息通知给用户，提供各种广告和个性化业务，从而不

29、断获得新的收入增长点，可以说，Portal业务代表了一种全新的运营模式，为用户与运营商之间提供了交互的手段。(2) Portal协议Portal协议采用客户机/服务器机构，是基于UDP的应用协议。Portal协议1.0版本实现Portal基本功能。Portal2.0在Portal1.0的基础上进行了增强，主要包括增加报文加密功能等。在目前的实现中，宽带接入服务器提供对Portal协议1.0版本和Portal协议2.0版本的支持。3. Web认证使用Web认证时，用户获得IP地址还必须到Web认证服务器下载登录网页进行帐号认证，认证通过之后才能上网。Web认证过程如图22-12所示。图22-1

30、WEB认证示意图Web的认证过程为： 用户获得IP地址后，访问Web认证服务器的登录页面，输入用户名和密码并确认； Web认证服务器使用Portal协议将用户信息发送给宽带接入服务器； 路由器根据预先配置的方法进行认证。采用这种认证方式，需要在宽带接入服务器和Web认证服务器之间运行Portal协议，以传递用户信息。宽带接入服务器可以使用本地认证，也可以使用RADIUS认证或HWTACACS认证等远端认证方式，本地认证和远端认证的详细配置请参考通用路由平台VRP 操作手册 安全分册。22.1.5 使用License控制接入用户数量1. License文件简介宽带接入特性占用的系统资源（主要是路

31、由器的内存）与系统缺省情况下允许接入的用户数有关。在VRP的实现中，通过许可证License来控制缺省允许接入的用户数，提供按使用量发放许可证的管理方式。 说明：如果需要改变License数量，请联系华为公司技术支持工程师或代理商获取新的License文件。2. 加载License文件License文件可以通过TFTP、XMODEM或FTP等传输协议上载到系统的Flash中，需要注意的是，必须上载到Flash的根目录下。对于合法的License文件，系统将其中的许可数提供给相应的业务系统；对于非法得License文件，各业务系统仍使用各自配置的最小值进行许可数控制。 注意：如果更改License文件，必须重新启动系统才能生效。22.1.6 用户管理简介1. 用户管理的层次对接入用户的管理是宽带接入服务器的主要职责。在目前的实现中，宽带接入服务器对用户的管理分为两个层次： 根据用户接入时所属的域进行管理。所有用户都属于一个域，缺省情况下，用户加入的是缺省域。 根据用户接入时的帐号进行管理。