城域网BRAS之IPOE

       BRAS除了普通用户，还有OTV、IMS、专线用户，这些用户大都采用IPOE协议，IPOE是以静态配置或DHCP获取IP，以web认证、绑定认证和快速认证等身份验证方式接入。用户通过DHCP协议或IP/ARP触发接入网络。

1、IPOE 业务

                    

2、IPOE 报文格式：

                 

业务使用中通常使用双层VLAN，即灵活qinq形式。

3、IPOE 接入方式：

       1、静态方式：手工为用户分配IP，通过IP/ARP报文触发用户上线。常用于专线业务。

  2、动态方式：动态为用户分配IP，通过DHCP报文触发用户上线。常用于OTV业务。

4、OTV业务 IPOE业务流程

                 

     1、STB通过DHCP Option60标识终端类型，实现不同终端分配不同地址

     2、光猫插入Option82信息

    3、交换机通过DHCP信任端口方式防止仿冒Server，连接合法server的端口为信任端口，其他是非信任端口。

    4、BRAS 根据DHCP 的Option 60分流到不同的Dhcp server认证

    5、3A根据option60确认终端类型，根据option82进行用户认证，DHCP并根据策略分配不同的IP地址

    6、BRAS对上下行报文进行逐包检查，IP+MAC+VLAN/端口绑定检查，防止用户私设IP。

注释：

     client-option60命令用来设置ME60信任客户端上报的DHCP报文的vendor-class(dhcpv4 option60/dhcpv6 option16)属性。

     如果在BAS接口下配置了命令client-option60，ME60认为从该BAS接口上报的DHCP报文携带的vendor-class信息真实有效，从vendor-class(dhcpv4 option60/dhcpv6 option16)字符串中获取用户域信息。

    client-option82命令用来配置ME60信任客户端上报的access-line-id信息。

IP DSLAM能捕获DHCP报文的发现报文/和dhcpv6的solicit报文，在其中分别插入access-line-id(dhcpv4 option82/pppoe+/dhcpv6 option18+37+17)信息，这些信息用于标识用户的物理位置。也在BRAS侧插入option82信息，通过BRAS中继给DHCP server。

 bas子接口配置：

bas
 #
  access-type layer2-subscriber default-domain authentication otv
  client-option82
  client-option60
  authentication-method bind
 #
#

5、DHCP方式接入的绑定认证过程 

 1．用户开机（或通过命令ipconfig释放更新）发DHCP Discovery报文；

 2．BRAS收到用户的DHCP报文，根据用户端口VLAN/PVC生成绑定格式的用户名和密码进行认证；

 3~6. 认证通过后通过标准DHCP过程给用户分配IP地址后，用户即在线；

 7. 用户在线过程中，BRAS和客户端之间通过定时的ARP报文维护链路状态，当用户关机、拔掉网线等类似情况导致BRAS和用户间ARP探测失败时，或  用户释放IP地址，BRAS认为用户断线（下线）；

 8. BRAS完成计费切断用户；

 9. 如果是RADIUS计费的，切断用户并完成RADIUS计费。

6、静态用户的绑定认证过程

   

 1、用户向BRAS发ARP/IP报文或响应BRAS的ARP报文；

 2、BRAS收到用户的ARP/ARP Reply/IP报文，根据用户端口VLAN、PVC生成绑定格式的用户名和密码进行认证；认证通过后用户即在线；

 3、用户在线过程中，BRAS和客户端之间通过定时的ARP报文维护链路状态，当用户关机、拔掉网线等类似情况导致BRAS和用户间ARP探测失败时，   BRAS认为用户断线（下线）；

 4、BRAS完成计费切断用户；

 5、如果是RADIUS计费的，切断用户并完成RADIUS计费。

静态用户专线采用不认证、不计费形式

  authentication-scheme none
  accounting-scheme none

7、DHCP用户详细上线流程

 

1）DHCP客户端发起DHCP 请求，携带相应的Option60 信息；

2）中间途经的网络设备根据相关规范标记Option82 信息

3）SR/BRAS收到用户请求报文，提取请求报文中的相关信息，构造认证所需Username 和Nas-Port-ID。现阶段建议Username 由MAC 地址和Option60 信息形成，格式为： MAC@Option60 密码为任意字符串，并将Option82信息转换为NAS-Port-ID信息，送到RADIUS服务器认证；

4）RADIUS对用户进行认证，如认证不通过，则返回拒绝报文，SR/BRAS将终结用户session；如认证通过，则给SR/BRAS发回认证通过信息，并携带用户的相关业务策略属性；

5）SR/BRAS将用户DHCP 请求，Relay到DHCP Server，请求地址；

6）DHCP Server根据用户不同的业务信息分配相应的地址；

7）SR/BRAS得到用户地址，将DHCP ACK信息发给终端用户，用户可以正常使用业务；

8）向RADIUS服务器发送计费开始报文；

9）RADIUS Server收到计费开始报文，完成相关处理，向SR/BRAS返回响应报文

 8、IPOE 下线流程

1）用户终端主动发起DHCP Release;

2）SR/BRAS收到用户的DHCP Release，针对该用户向RADIUS服务器发送计费停止请求；同时，向DHCP Server 转发DHCP Release 消息；

3）RADIUS服务器收到用户计费停止请求，进行计费停止处理，处理完毕后，向SR/BRAS发送计费响应消息；

4）SR/BRAS收到计费响应消息，终结用户session。

  9、IPOE 续租流程

1）DHCP客户端根据DHCP协议规范，在续租时间点发起续租请求；（客户端使用地址到租期1/2时）

2）SR/BRAS收到续租请求，转发给DHCP Server；

3）DHCP Server 处理用户的续租请求，更新地址续租信息，处理完成后，返回DHCP ACK信息；

4）SR/BRAS收到续租确认的ACK 信息，转发给用户终端；

5）用户终端收到续租确认的ACK 信息，更新地址续租状态；续租过程完成。

 10、DHCP续租流程

1、客户端使用地址到租期1/2时，单播发送request续租报文，如何客户端回应ACK，则更新租期，重新开始计算。

2、如果1/2租期续租没有收到server回应，客户端会在7/8租期时发送广播续租报文，如何客户端回应ACK，则更新租期，重新开始计算。

3、如果7/8租期续租仍没有收到server回应，在租期满时必须停止使用该地址，重新发起discover请求。

4、如果server在期满前一直没有收到续租报文，在期满时回收地址，清除用户表项。

注释：

DHCP默认的租期是3天，续租发生在1/2*3=1天12小时，如果续租没有收到回应，7/8*3天=2天15小时，再发送一个rebind尝试续租。

地址池默认租期也是3天，可以在地址池下修改lease参数。

ME60的DHCP用户，是通过arp报文交互进行用户在线探测的，默认探测间隔是30S，探测次数是5次。用户会在30*（5+1）=180S后探测掉线，可以通过下述命令修改。

  bas

   #

    user detect retransmit 5 interval 40no-datacheck

   #