第3章 VLAN 绑定 用户 的 配置 3.1 组网图 500)this.width=500;" border=0> 『 配置 环境参数』 计算机设置为自动获取 IP 地址的方式 MA5200F 的上行口地址: 200.100.0.1 MA5200F 对端路由器地址: 200.100.0.2 3.2 数据 配置 步骤 『 VLAN 绑定 用户 的接
第3章 VLAN绑定用户的配置
3.1 组网图
『配置环境参数』
计算机设置为自动获取IP地址的方式
MA5200F的上行口地址:200.100.0.1
MA5200F对端路由器地址:200.100.0.2
3.2 数据配置步骤
『VLAN绑定用户的接入流程是:』
l 首先一个VLAN用户的报文在经过二层交换机的时候就带上了相应的VLAN ID;
l 用户的报文从5200的某一个端口进入的时候5200就会根据事先配置好的portvlan的数据来确定这样的一个用户是属于那个域的,以及所采用的接入方式是bind;
l 该用户在找到自己所属的域之后就会根据域下面设置好的认证和计费策略来进行认证和计费,认证通过之后,根据域下面配置的地址池分配一个ip地址,然后该用户就能正常的上网了。
在了解了用户报文的基本接入流程之后我们就开始来配置数据,从上面的接入流程我们可以看出来,比较关键和重要的几个数据是:地址池、域、认证计费策略以及PORTVLAN的数据。
【配置地址池】
对于动态VLAN绑定用户是需要利用DHCP协议自动获取IP地址的,这个地址是存在一个事先设定好的地址池中的,这个地址池可以存在一个远端的DHCP的服务器上面,也可以存在5200本机上面,如果地址池是在5200上面的话那么首先就要配置这个地址池的相关参数。
1. 创建一个名为huawei的地址池:
[MA5200F]ip pool huawei local
2. 配置地址池的网关以及掩码:
[MA5200F-ip-pool-huawei]gateway 61.10.1.1 255.255.255.0
3. 配置地址池的地址段:
[MA5200F-ip-pool-huawei]section 0 61.10.1.2 61.10.1.10
注意:
地址池中间还需要根据具体的情况配置相应的DNS服务器。
★ 如果采用的是外置的地址池的话就按照下面的内容进行配置:
注意:
MA5200R007版本在采用外置地址池的情况下也需要在本地配置此地址池,所不同的在建立地址池的时候需要将地址池的属性设置为remote,而且地址池中只需要指定gateway(这里的主要作用就是生成一条用户网关的路由),而不需要配置地址段section。同时还需要建立一个DHCP SERVER组,在这个组里面指定外置DHCP SERVER的地址(注意,这里的DHCP SERVER的ip地址并不是地址池中的gateway)
1. 建立外置一个名为remotedhcp的DHCP SERVER组:
[MA5200F]dhcp-server group remotedhcp
2. 设置此DHCP SERVER组:
这里主要是指定此DHCP SERVER组所指向的DHCP SERVER的IP地址。
[MA5200F-dhcp-server-group-remotedhcp]dhcp-server 192.168.1.10
3. 创建一个远端地址池:
[MA5200F]ip pool huaweiremote remote
4. 指定地址池的gateway以及绑定DHCP SERVER组:
[MA5200F-ip-pool-huaweiremote]gateway 61.10.1.1 255.255.255.0
[MA5200F-ip-pool-huaweiremote]dhcp-server group remotedhcp
好了,现在我们已经给用户配置了一个地址池,接下来我们要为用户设置相应的认证和计费方案。
【配置认证方案】
1. 进入AAA视图:
[MA5200F]aaa
2. 添加一个新的认证方案Auth1:
[MA5200F-aaa]authentication-scheme Auth1
这样接下来就进入了相应的认证方案视图。
3. 设置认证方案:
我们已经创建了一个新的认证方案Auth1,接下来我们将定义这个认证方案的具体内容。
[MA5200F-aaa-authen-auth1]authentication-mode local
这里我们将Auth1这一个认证方案定义为了本地认证,也就是说采用这样的一个认证方案的用户是在5200本地进行认证的,当然在实际的开局中我们也可以根据实际的情况将认证方案设置为其它的类型,如radius,这样的话这个用户将会去radius服务器进行认证。
【配置计费方案】
1. 进入AAA视图:
[MA5200F]aaa
2. 添加一个新的计费方案Acct1:
[MA5200F-aaa]accounting-scheme Acct1
3. 设置计费方案:
[MA5200F-aaa-accounting-acct1]accounting-mode local
这里我们将Acct1这一个计费方案定义为了本地计费,也就是说采用这样的一个计费方案的用户是在5200本地进行计费的,当然在实际的开局中我们也可以根据实际的情况将计费方案设置为其它的类型,如radius,这样的话这个用户将会去radius服务器进行计费。
注意:
如果选择的是本地计费的方式,那么话单首先是生成在cache里面的,重启之后将会丢失。而且由于cache的容量有限,当cache满了之后将无法进行正常的计费。所以我们需要配置数据将cache里面的话单定时备份出来:
1. 设置话单的备份方式:
[MA5200F-local-aaa-server]cache-bill backup-mode tftp
2. 设置备份的时间间隔(默认是720分钟):
[MA5200F-local-aaa-server]cache-bill backup-interval 120
3. 设置备份话单服务器的参数:
[MA5200F-local-aaa-server]bill-server 10.1.1.1 filename bill
【配置域】
在5200上面每一个用户都是属于一个指定的(或者是默认的)域的,因此,在进行用户的配置之前我们首先要配置用户所属的域的一些参数。
1. 进入AAA视图:
[MA5200F]aaa
2. 新建一个名为isp的域:
[MA5200F-aaa]domain isp
接下来便进入了相应的域的配置视图。
3. 指定该域所使用的地址池:
[MA5200F-aaa-domain-isp]ip-pool first Huawei
4. 指定该域的认证方案和计费方案:
[MA5200F-aaa-domain-isp]authentication-scheme Auth1
[MA5200F-aaa-domain-isp]accounting-scheme Acct1
这里我们将该域的认证方案和计费方案设置为了先前定义好的两个方案Auth1和Acct1,分别是本地认证和本地计费。
【配置VLAN端口】
配置VLAN端口的目的是指定某个端口的某些指定的VLAN用户认证前后所使用的域,所采用的认证方法。
1. 进入端口VLAN的配置视图:
[MA5200F]portvlan ethernet 2 vlan 1 1
这里的含义是进入了2号以太网端口的从1开始总共1个VLAN ID的配置视图。
2. 设置该端口VLAN为二层普通用户接入类型:
[MA5200F-ethernet-2-vlan1-1]access-type layer2-subscriber
在access-type后面有多个选项,其中的layer-subscriber是指的普通的二层VLAN认证类型的端口,一般用于接入VLAN用户。
3. 配置用户所使用的域:
[MA5200F-ethernet-2-vlan1-1]default-domain authentication isp
4. 配置端口的认证方法:
[MA5200F-ethernet-2-vlan1-1]authentication-method bind
【添加用户帐号】
1. 进入本地认证管理配置视图:
[MA5200F]local-aaa-server
2. 添加用户:
[MA5200F-local-aaa-server]batch-user ethernet 2 1 1 domain isp
这之后便添加了一个用户名为:ma5200f-vlan-01-0001@isp的用户帐号。
【配置上行接口以及路由】
配置上行接口的目的是为了和上层的路由器或者交换机相连接,在配置上行接口的时候我们首先要将需要配置的接口指定为“非管理类型”。
1. 进入端口VLAN的配置视图:
[MA5200F]portvlan ethernet 24 0 1
2. 设置端口VLAN的接入类型为非管理类型:
[MA5200F-ethernet-24-vlan0-0]access-type interface
在access-type后面有多个选项,其中的interface是指的非管理类型的端口,用于连接上层交换机。
3. 创建VLAN子接口:
[MA5200F]interface Ethernet 24.0
这里需要说明一下,创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非管理类型”,然后再在这个端口上创建此VLAN的子接口。这里多了一个概念就是“VLAN子接口”。
这样,一个物理端口上就可以创建多个逻辑的VLAN子接口,每个子接口可以配置不同的ip地址。这样报文在上行的时候就可以根据需要走不同的ip上行,并且带上相应的VLAN ID,三层交换机(或者二层交换机)就可以根据这样的VLAN ID对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的VLAN子接口设置为0的话就是不带 VLAN ID上去。
4. 在 VLAN子接口下配置ip地址:
[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252
5. 配置默认路由:
对于一般条件的接入业务,5200上面只需要配置一条指向上行路由器端口的默认路由就可以了:
[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2
3.3 测试验证
计算机应该能够获取到61.10.1.0/24网段的IP地址,此时应该可以ping通对端路由器的地址202.100.0.2(对端路由器需要做到MA5200F下面用户网段的回程路由)。
同时可用display access-user来查看用户是否上线。
