BRAS除了普通用户,还有OTV、IMS、专线用户,这些用户大都采用IPOE协议,IPOE是以静态配置或DHCP获取IP,以web认证、绑定认证和快速认证等身份验证方式接入。用户通过DHCP协议或IP/ARP触发接入网络。
1、IPOE 业务
2、IPOE 报文格式:
业务使用中通常使用双层VLAN,即灵活qinq形式。
3、IPOE 接入方式:
1、静态方式:手工为用户分配IP,通过IP/ARP报文触发用户上线。常用于专线业务。
2、动态方式:动态为用户分配IP,通过DHCP报文触发用户上线。常用于OTV业务。
4、OTV业务 IPOE业务流程
1、STB通过DHCP Option60标识终端类型,实现不同终端分配不同地址
2、光猫插入Option82信息
3、交换机通过DHCP信任端口方式防止仿冒Server,连接合法server的端口为信任端口,其他是非信任端口。
4、BRAS 根据DHCP 的Option 60分流到不同的Dhcp server认证
5、3A根据option60确认终端类型,根据option82进行用户认证,DHCP并根据策略分配不同的IP地址
6、BRAS对上下行报文进行逐包检查,IP+MAC+VLAN/端口绑定检查,防止用户私设IP。
注释:
client-option60命令用来设置ME60信任客户端上报的DHCP报文的vendor-class(dhcpv4 option60/dhcpv6 option16)属性。
如果在BAS接口下配置了命令client-option60,ME60认为从该BAS接口上报的DHCP报文携带的vendor-class信息真实有效,从vendor-class(dhcpv4 option60/dhcpv6 option16)字符串中获取用户域信息。
client-option82命令用来配置ME60信任客户端上报的access-line-id信息。
IP DSLAM能捕获DHCP报文的发现报文/和dhcpv6的solicit报文,在其中分别插入access-line-id(dhcpv4 option82/pppoe+/dhcpv6 option18+37+17)信息,这些信息用于标识用户的物理位置。也在BRAS侧插入option82信息,通过BRAS中继给DHCP server。
bas子接口配置:
bas
#
access-type layer2-subscriber default-domain authentication otv
client-option82
client-option60
authentication-method bind
#
#
5、DHCP方式接入的绑定认证过程
1.用户开机(或通过命令ipconfig释放更新)发DHCP Discovery报文;
2.BRAS收到用户的DHCP报文,根据用户端口VLAN/PVC生成绑定格式的用户名和密码进行认证;
3~6. 认证通过后通过标准DHCP过程给用户分配IP地址后,用户即在线;
7. 用户在线过程中,BRAS和客户端之间通过定时的ARP报文维护链路状态,当用户关机、拔掉网线等类似情况导致BRAS和用户间ARP探测失败时,或 用户释放IP地址,BRAS认为用户断线(下线);
8. BRAS完成计费切断用户;
9. 如果是RADIUS计费的,切断用户并完成RADIUS计费。
6、静态用户的绑定认证过程
1、用户向BRAS发ARP/IP报文或响应BRAS的ARP报文;
2、BRAS收到用户的ARP/ARP Reply/IP报文,根据用户端口VLAN、PVC生成绑定格式的用户名和密码进行认证;认证通过后用户即在线;
3、用户在线过程中,BRAS和客户端之间通过定时的ARP报文维护链路状态,当用户关机、拔掉网线等类似情况导致BRAS和用户间ARP探测失败时, BRAS认为用户断线(下线);
4、BRAS完成计费切断用户;
5、如果是RADIUS计费的,切断用户并完成RADIUS计费。
静态用户专线采用不认证、不计费形式
authentication-scheme none
accounting-scheme none
7、DHCP用户详细上线流程
1)DHCP客户端发起DHCP 请求,携带相应的Option60 信息;
2)中间途经的网络设备根据相关规范标记Option82 信息
3)SR/BRAS收到用户请求报文,提取请求报文中的相关信息,构造认证所需Username 和Nas-Port-ID。现阶段建议Username 由MAC 地址和Option60 信息形成,格式为: MAC@Option60 密码为任意字符串,并将Option82信息转换为NAS-Port-ID信息,送到RADIUS服务器认证;
4)RADIUS对用户进行认证,如认证不通过,则返回拒绝报文,SR/BRAS将终结用户session;如认证通过,则给SR/BRAS发回认证通过信息,并携带用户的相关业务策略属性;
5)SR/BRAS将用户DHCP 请求,Relay到DHCP Server,请求地址;
6)DHCP Server根据用户不同的业务信息分配相应的地址;
7)SR/BRAS得到用户地址,将DHCP ACK信息发给终端用户,用户可以正常使用业务;
8)向RADIUS服务器发送计费开始报文;
9)RADIUS Server收到计费开始报文,完成相关处理,向SR/BRAS返回响应报文
8、IPOE 下线流程
1)用户终端主动发起DHCP Release;
2)SR/BRAS收到用户的DHCP Release,针对该用户向RADIUS服务器发送计费停止请求;同时,向DHCP Server 转发DHCP Release 消息;
3)RADIUS服务器收到用户计费停止请求,进行计费停止处理,处理完毕后,向SR/BRAS发送计费响应消息;
4)SR/BRAS收到计费响应消息,终结用户session。
9、IPOE 续租流程
1)DHCP客户端根据DHCP协议规范,在续租时间点发起续租请求;(客户端使用地址到租期1/2时)
2)SR/BRAS收到续租请求,转发给DHCP Server;
3)DHCP Server 处理用户的续租请求,更新地址续租信息,处理完成后,返回DHCP ACK信息;
4)SR/BRAS收到续租确认的ACK 信息,转发给用户终端;
5)用户终端收到续租确认的ACK 信息,更新地址续租状态;续租过程完成。
10、DHCP续租流程
1、客户端使用地址到租期1/2时,单播发送request续租报文,如何客户端回应ACK,则更新租期,重新开始计算。
2、如果1/2租期续租没有收到server回应,客户端会在7/8租期时发送广播续租报文,如何客户端回应ACK,则更新租期,重新开始计算。
3、如果7/8租期续租仍没有收到server回应,在租期满时必须停止使用该地址,重新发起discover请求。
4、如果server在期满前一直没有收到续租报文,在期满时回收地址,清除用户表项。
注释:
DHCP默认的租期是3天,续租发生在1/2*3=1天12小时,如果续租没有收到回应,7/8*3天=2天15小时,再发送一个rebind尝试续租。
地址池默认租期也是3天,可以在地址池下修改lease参数。
ME60的DHCP用户,是通过arp报文交互进行用户在线探测的,默认探测间隔是30S,探测次数是5次。用户会在30*(5+1)=180S后探测掉线,可以通过下述命令修改。
bas
#
user detect retransmit 5 interval 40no-datacheck
#