选择区域语言: EN CN HK

H3C SR8800-F路由器 园区网BRAS典型配置举例-R7353P08-6W101

手册下载

H3C SR8800-F园区网BRAS典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2016 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 

 

1 简介··· 1-1

2 配置前提··· 2-1

3 使用限制··· 3-1

4 BRAS小区网PPPoE配置举例··· 4-1

4.1 组网需求·· 4-1

4.2 配置思路·· 4-2

4.3 使用版本·· 4-3

4.4 配置注意事项·· 4-3

4.5 配置步骤·· 4-3

4.5.1 配置Radius服务器·· 4-3

4.5.2 配置IP地址及路由·· 4-4

4.5.3 配置DHCP服务器·· 4-4

4.5.4 配置BRAS· 4-4

4.5.5 配置Switch A· 4-6

4.5.6 配置Switch B· 4-7

4.5.7 配置Switch C· 4-7

4.6 验证配置·· 4-8

4.7 配置文件·· 4-9

5 BRAS校园网准入准出分离配置举例··· 5-12

5.1 组网需求·· 5-12

5.2 配置思路·· 5-13

5.3 使用版本·· 5-14

5.4 配置注意事项·· 5-14

5.5 配置步骤·· 5-15

5.5.1 配置Radius服务器·· 5-15

5.5.2 配置IP地址及路由·· 5-15

5.5.3 配置DHCP服务器·· 5-15

5.5.4 配置准入BRAS A· 5-15

5.5.5 配置准出BRAS B· 5-19

5.5.6 配置Switch A· 5-20

5.5.7 配置Switch B· 5-21

5.5.8 配置Switch C· 5-21

5.6 验证配置·· 5-21

5.7 配置文件·· 5-23

6 IPoE Web认证配置举例··· 6-28

6.1 组网需求·· 6-28

6.2 配置思路·· 6-28

6.3 使用版本·· 6-29

6.4 配置注意事项·· 6-29

6.5 配置步骤·· 6-30

6.5.1 配置AP· 6-30

6.5.2 配置IP地址及路由·· 6-30

6.5.3 配置RADIUS服务器·· 6-30

6.5.4 配置DHCP服务器·· 6-43

6.5.5 配置BRAS· 6-44

6.5.6 验证配置·· 6-48

6.5.7 配置文件·· 6-51

7 BRAS校园网VPN多出口+ITA配置举例(直挂方式)··· 7-54

7.1 组网需求·· 7-54

7.2 配置思路·· 7-56

7.3 使用版本·· 7-56

7.4 配置注意事项·· 7-56

7.5 配置步骤·· 7-57

7.5.1 配置Radius服务器·· 7-57

7.5.2 配置MPLS L3VPN· 7-57

7.5.3 配置DHCP服务器·· 7-64

7.5.4 配置BRAS· 7-65

7.5.5 配置Switch A· 7-73

7.5.6 配置Switch B· 7-74

7.5.7 配置Switch C· 7-74

7.6 验证配置·· 7-75

7.7 配置文件·· 7-79

8 BRAS校园网VPN多出口+ITA配置举例(旁挂方式)··· 8-88

8.1 组网需求·· 8-88

8.2 配置思路·· 8-90

8.3 使用版本·· 8-90

8.4 配置注意事项·· 8-90

8.5 配置步骤·· 8-91

8.5.1 配置Radius服务器·· 8-91

8.5.2 配置MPLS L3VPN· 8-92

8.5.3 配置DHCP服务器·· 8-100

8.5.4 配置BRAS· 8-100

8.5.5 配置Switch A· 8-109

8.5.6 配置Switch B· 8-109

8.5.7 配置Switch C· 8-110

8.6 验证配置·· 8-110

8.7 配置文件·· 8-114

9 BRAS校园网用户组多出口配置举例(远程授权方式)··· 9-124

9.1 组网需求·· 9-124

9.2 配置思路·· 9-125

9.3 使用版本·· 9-126

9.4 配置注意事项·· 9-126

9.5 配置步骤·· 9-126

9.5.1 配置RADIUS服务器和Portal服务器(仅适用于AAA远程认证方式) 9-126

9.5.2 配置IP地址及路由·· 9-129

9.5.3 配置BRAS· 9-129

9.6 验证配置·· 9-131

9.7 配置文件·· 9-135

10 BRAS校园网用户组多出口配置举例(本地授权方式)··· 10-137

10.1 组网需求·· 10-137

10.2 配置思路·· 10-138

10.3 使用版本·· 10-139

10.4 配置注意事项·· 10-139

10.5 配置步骤·· 10-139

10.5.1 配置RADIUS服务器和Portal服务器(仅适用于AAA远程认证方式) 10-139

10.5.2 配置IP地址及路由·· 10-140

10.5.3 配置BRAS· 10-141

10.6 验证配置·· 10-143

10.7 配置文件·· 10-147

11 BRAS校园网ITA应用配置举例··· 11-149

11.1 组网需求·· 11-149

11.2 配置思路·· 11-150

11.3 使用版本·· 11-152

11.4 配置注意事项·· 11-152

11.5 配置步骤·· 11-152

11.5.1 配置RADIUS服务器和Portal服务器·· 11-152

11.5.2 配置IP地址及路由·· 11-158

11.5.3 配置BRAS· 11-158

11.6 验证配置·· 11-161

11.7 配置文件·· 11-166

12 相关资料··· 12-168

 


简介

本章介绍了BRASBroadband Remote Access Server,宽带远程接入服务器)特性在园区网应用中的典型配置举例。

配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解PPPoEIPoEPortalQoSVLAN终结和QinQ等特性。

使用限制

·     目前仅CSPEX-1204单板、CSPEX-1404S单板和CSPEX-1504S单板支持配置PPPoEIPoEPortal功能。

·     目前仅CSPEX-1204单板、CSPEX-1404S单板和CSPEX-1504S单板支持配置ITA功能,且ITA功能仅对PPPoEIPoEPortal用户生效。

·     我司BRAS设备子接口支持终结的VLAN取值范围为14093为确保BRAS功能的正常使用,实际规划网络时请确保下层设备上送到BRAS设备子接口的VLAN ID在范围14093之内。

BRAS小区网PPPoE配置举例

4.1  组网需求

1所示,某小区中的住户ABC均购买了运营商ISP14M上网套餐,住户D购买了ISP110M上网套餐。Router A作为ISP1的一台BRAS设备,为住户ABC和住户D提供PPPoE方式的接入Internet服务用户主机进行PPPoE拨号时,采用DHCP Relay方式为其动态分配IP地址等参数;同时采用Radius服务器对每个接入用户进行单独认证、授权和计费。

ISP1基于自身业务扩展和安全考虑,同时要求实现如下需求:

·     确保Router A作为BRAS设备的可扩展性,可以充分满足小区A中的其他住户或其它小区(例如小区B)住户购买自己的上网套餐进行PPPoE拨号上网。

图1 BRAS小区网PPPoE配置组网图

 

4.2  配置思路

·     为了保证住户ABC4M带宽和住户D10M带宽需求,可以在BRAS设备上配置User Profile进行速率控制。

·     为了提高BRAS设备的可扩展性,可以在ISP的汇聚层设备(本例为Switch A)上启用QinQ功能(本例外层Tag为运营商VLAN 101),并在BRAS设备相应的用户接入子接口(本例为子接口GigabitEthernet3/1/1.1)上启用VLAN终结功能,从而提高接口的利用率及突破可用VLAN 4093的个数限制。

·     PPPoE用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

·     DHCPPPPoE配合使用时,如果设备的DHCP地址池中配置了remote-server命令,则可以认定该设备一定是DHCP中继设备,所以不需要在接口视图下执行dhcp select relay命令。

·     PPPoE在建立连接时需要创建VA接口,在用户下线后需要删除VA接口。由于创建/删除VA接口需要一定的时间,所以如果有大量用户上线/下线时,PPPoE的连接建立、连接拆除性能会受到影响,此时可以通过预先创建VA来提高PPPoE的连接建立、连接拆除性能。

4.3  使用版本

本举例是在SR8800-CMW710-R7353P08版本上进行配置和验证的。

4.4  配置注意事项

·     授权地址池、授权User Profile等属性,如果Radius服务器和ISP域下同时配置,则以Radius服务器授权的为准;idle-cut属性,如果Radius服务器和ISP域下同时配置,则以BRAS设备上ISP域下配置的为准(本例中授权属性均已仅在ISP域下配置的方式进行举例,实际环境请根据需要选择由Radius服务器授权或通过ISP域下配置方式)。

·     请注意检查实时计费间隔一般情况下,推荐使用缺省值或者根据RADIUS服务器的计费间隔相应调大,不建议配置过小的计费间隔。本例中实时计费间隔采用缺省取值12分钟。

·     PPPoE应用中,要求通过pppoe-server virtual-template va-pool命令配置VA池,并且配置VA池时如果用户通过局部口(例如三层以太网接口/子接口)上线需指定接入接口所在单板的槽位号,通过全局口(例如三层聚合接口/子接口)上线不能指定任何单板的槽位号。

4.5  配置步骤

4.5.1  配置Radius服务器

说明

下面以Linux下的Free Radius服务器为例,说明Radius server的基本配置。

 

# 配置Radius客户端信息。

clients.conf文件中增加如下信息:

client 4.4.4.1/32 {

ipaddr = 4.4.4.1

netmask=32

secret=123456

}

以上信息表示:Radius客户端的IP地址为4.4.4.1,共享密钥为字符串123456

# 配置合法用户信息。

users文件中增加如下信息。

User1@isp1  Cleartext-Password :="pass1"

User2@isp1  Cleartext-Password :="pass2"

User3@isp1  Cleartext-Password :="pass3"

User4@isp1  Cleartext-Password :="pass4"

以上信息表示:Host A的用户名和密码为User1@isp1/pass1Host B的用户名和密码为User2@isp1/pass2Host C的用户名和密码为User3@isp1/pass3Host D的用户名和密码为User4@isp1/pass4

4.5.2  配置IP地址及路由

按照1配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。

4.5.3  配置DHCP服务器

# 全局使能DHCP

<DHCP-server> system-view

[DHCP-server] dhcp enable

# 创建名字为pool1地址池并进入其视图。

[DHCP-server] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段3.3.3.0/24,分配的网关地址3.3.3.1DNS服务器地址8.8.8.8

[DHCP-server-pool-pool1] network 3.3.3.0 24

[DHCP-server-pool-pool1] gateway-list 3.3.3.1

[DHCP-server-pool-pool1] dns-list 8.8.8.8

# 3.3.3.1设置为禁止分配地址。

[DHCP-server-pool-pool1] forbidden-ip 3.3.3.1

[DHCP-server-pool-pool1] quit

# 配置到PPPoE Server(即BRAS)的缺省路由。

[DHCP] ip route-static 0.0.0.0 0 4.4.4.1

4.5.4  配置BRAS

1. 配置QoS策略

# 配置流分类器cl_user1,并设置流匹配规则为用户VLAN 11

<BRAS> system-view

[BRAS] traffic classifier cl_user1 operator or

[BRAS-classifier-cl_user1] if-match customer-vlan-id 11

[BRAS-classifier-cl_user1] quit

# 配置流分类器cl_user2,并设置流匹配规则为用户VLAN 12

[BRAS] traffic classifier cl_user2 operator or

[BRAS-classifier-cl_user2] if-match customer-vlan-id 12

[BRAS-classifier-cl_user2] quit

# 配置流分类器cl_user3,并设置流匹配规则为用户VLAN 13

[BRAS] traffic classifier cl_user3 operator or

[BRAS-classifier-cl_user3] if-match customer-vlan-id 13

[BRAS-classifier-cl_user3] quit

# 配置流分类器cl_user4,并设置流匹配规则为用户VLAN 14

[BRAS] traffic classifier cl_user4 operator or

[BRAS-classifier-cl_user4] if-match customer-vlan-id 14

[BRAS-classifier-cl_user4] quit

# 定义流行为be_4M,并配置报文正常流速为4000kbps

[BRAS] traffic behavior be_4M

[BRAS-behavior-be_4M] car cir 4000

[BRAS-behavior-be_4M] quit

# 定义流行为be_10M,并配置报文正常流速为10000kbps

[BRAS] traffic behavior be_10M

[BRAS-behavior-be_10M] car cir 10000

[BRAS-behavior-be_10M] quit

# 定义策略policy1绑定流分类及行为。

[BRAS] qos policy policy1

[BRAS-qospolicy-policy1] classifier cl_user1 behavior be_4M

[BRAS-qospolicy-policy1] classifier cl_user2 behavior be_4M

[BRAS-qospolicy-policy1] classifier cl_user3 behavior be_4M

[BRAS-qospolicy-policy1] classifier cl_user4 behavior be_10M

[BRAS-qospolicy-policy1] quit

2. 配置User Profile

# 创建User Profileu_profile并调用QoS策略policy1

[BRAS] user-profile u_profile

[BRAS-user-profile-u_profile] qos apply policy policy1 inbound

[BRAS-user-profile-u_profile] qos apply policy policy1 outbound

[BRAS-user-profile-u_profile] quit

3. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRAS] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRAS-radius-rs1] primary authentication 4.4.4.2

[BRAS-radius-rs1] primary accounting 4.4.4.2

[BRAS-radius-rs1] key authentication simple 123456

[BRAS-radius-rs1] key accounting simple 123456

# 使能RADIUS认证方案rs1accounting-on功能。

[BRAS-radius-rs1] accounting-on enable

# RADIUS方案rs1的实时计费的时间间隔设置为12分钟。

[BRAS-radius-rs1] timer realtime-accounting 12

[BRAS-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRAS] radius dynamic-author server

[BRAS-radius-da-server] client ip 4.4.4.2 key simple 123456

[BRAS-radius-da-server] quit

4. 配置DHCP中继

# 全局使能DHCP

[BRAS] dhcp enable

# 启用DHCP中继的用户地址表项记录功能。

[BRAS] dhcp relay client-information record

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool1

[BRAS-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route

[BRAS-dhcp-pool-pool1] remote-server 4.4.4.3

[BRAS-dhcp-pool-pool1] quit

5. 配置认证域

# 创建并进入名字为isp1ISP域。

[BRAS] domain isp1

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp1] authentication ppp radius-scheme rs1

[BRAS-isp-isp1] authorization ppp radius-scheme rs1

[BRAS-isp-isp1] accounting ppp radius-scheme rs1

# 配置当前isp1域下的用户授权地址池及指定用户的授权User Profile

[BRAS-isp-isp1] authorization-attribute ip-pool pool1

[BRAS-isp-isp1] authorization-attribute user-profile u_profile

[BRAS-isp-isp1] quit

6. 配置虚拟模板接口

# 创建虚拟模板接口1,并开启PPP计费统计和CHAP认证功能。

[BRAS] interface virtual-template 1

[BRAS-Virtual-Template1] ppp account-statistics enable

[BRAS-Virtual-Template1] ppp authentication-mode chap domain isp1

[BRAS-Virtual-Template1] quit

# 为虚拟模板1创建容量为1000VA池。

[BRAS] pppoe-server virtual-template 1 slot 3 va-pool 1000

7. 配置VLAN终结

# 在用户的接入子接口GigabitEthernet3/1/1.1配置VLAN终结,并绑定虚拟模板接口1

[BRAS] interface gigabitethernet 3/1/1.1

[BRAS-GigabitEthernet3/1/1.1] vlan-type dot1q vid 101 second-dot1q 11 to 14

[BRAS-GigabitEthernet3/1/1.1] pppoe-server bind virtual-template 1

[BRAS-GigabitEthernet3/1/1.1] quit

4.5.5  配置Switch A

# 创建运营商VLAN 101

<SwitchA> system-view

[SwitchA] vlan 101

[SwitchA-vlan101] quit

# 配置端口GigabitEthernet3/0/1Hybrid模式,并允许运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[SwitchA] interface gigabitethernet 3/0/1

[SwitchA-GigabitEthernet3/0/1] port link-type hybrid

[SwitchA-GigabitEthernet3/0/1] port hybrid vlan 101 tagged

[SwitchA-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchA] interface range gigabitethernet 3/0/2 to gigabitethernet 3/0/3

[SwitchA-if-range] port link-type trunk

[SwitchA-if-range] port trunk permit vlan 101

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3的缺省VLAN为运营商VLAN 101,并启用端口QinQ功能。

[SwitchA-if-range] port trunk pvid vlan 101

[SwitchA-if-range] qinq enable

[SwitchA-if-range] quit

4.5.6  配置Switch B

# 创建用户VLAN 1112

[SwitchB] vlan 11 to 12

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 11VLAN 12的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 11 12

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 11

[SwitchB] interface gigabitethernet 3/0/2

[SwitchB-GigabitEthernet3/0/2] port access vlan 11

[SwitchB-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 12

[SwitchB] interface gigabitethernet 3/0/3

[SwitchB-GigabitEthernet3/0/3] port access vlan 12

[SwitchB-GigabitEthernet3/0/3] quit

4.5.7  配置Switch C

# 创建用户VLAN 1314

[SwitchC] vlan 13 to 14

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 13VLAN 14的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 13 14

[SwitchC-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 13

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] port access vlan 13

[SwitchC-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 14

[SwitchC] interface gigabitethernet 3/0/3

[SwitchC-GigabitEthernet3/0/3] port access vlan 14

[SwitchC-GigabitEthernet3/0/3] quit

4.6  验证配置

# 以用户主机Host A为例:主机安装PPPoE客户端软件后,使用用户名:User1@isp1和密码:pass1便可以拨号接入BRAS设备访问Internet

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

[BRAS] display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

3.3.3.2          e839-3563-fb21   Dynamic     VA0                  N/A

以上信息表明,用户Host A已动态获取到IP地址。

# 查看用户User1@isp1的详细信息。

[BRAS] display ppp access-user username User1@isp1

Basic:

  Interface: VA0

  User ID: 0x20000001

  Username: User1@isp1                //PPPoE拨号使用的用户名

  Domain: isp1                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 3.3.3.2                 //DHCP Server为用户分配的IP地址

  IPv6 address: -

  IPv6 PD prefix: -

  VPN instance: -

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Open

  Realtime accounting interval: 900s

  Login time: 2014-11-6  8:31:31:725

  Accounting start time: 2014-11-6  8:31:32:275

  Online time(hh:mm:ss): 0:3:46

  Accounting state: Accounting

  Idle cut: 0 sec  0 byte

  Session timeout: 9999999s

  Time remained: 9999773s

  Byte remained: -

  Redirect WebURL: -

 

ACL&QoS:

  User profile: u_profile (active)       //上线用户的授权User profile

  User group profile: -

  Inbound CAR: -

  Outbound CAR: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 508/53292

  IPv4 downlink packets/bytes: 285/26198

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

以上信息表明,Host A成功拨号到BRAS设备并动态获取到IP地址3.3.3.2,同时针对该上线用户也已成功授权User Profile属性。

4.7  配置文件

·     DHCP-server

#

 dhcp enable

#

dhcp server ip-pool pool1

 network 3.3.3.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 3.3.3.1

 gateway-list 3.3.3.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 4.4.4.3 255.255.255.0

#

ip route-static 0.0.0.0 0 4.4.4.1

#

·     BRAS

#

dhcp enable

dhcp relay client-information record

#

dhcp server ip-pool pool1

 gateway-list 3.3.3.1 export-route

 remote-server 4.4.4.3

#

traffic classifier cl_user1 operator or

 if-match customer-vlan-id 11

#

traffic classifier cl_user2 operator or

 if-match customer-vlan-id 12

#

traffic classifier cl_user3 operator or

 if-match customer-vlan-id 13

#

traffic classifier cl_user4 operator or

 if-match customer-vlan-id 14

#

traffic behavior be_4M

 car cir 4000 cbs 250000 ebs 512 green pass red discard yellow pass

#

traffic behavior be_10M

 car cir 10000 cbs 625000 ebs 512 green pass red discard yellow pass

#

qos policy policy1

 classifier cl_user1 behavior be_4M

 classifier cl_user2 behavior be_4M

 classifier cl_user3 behavior be_4M

 classifier cl_user4 behavior be_10M

#

dhcp server ip-pool pool1

 gateway-list 3.3.3.1 export-route

 remote-server 4.4.4.3

#

interface Virtual-Template1

 ppp authentication-mode chap domain isp1

 ppp account-statistics enable

#

interface GigabitEthernet3/1/2

 port link-mode route

 ip address 5.5.5.1 255.255.255.0

#

interface GigabitEthernet3/1/2

 port link-mode route

#

interface GigabitEthernet3/1/1.1

 vlan-type dot1q vid 101 second-dot1q 11 to 14

 pppoe-server bind virtual-template 1

#

interface GigabitEthernet3/1/3

 port link-mode route

 ip address 4.4.4.1 255.255.255.0

#

user-profile u_profile

 qos apply policy policy1 inbound

 qos apply policy policy1 outbound

#

radius scheme rs1

 primary authentication 4.4.4.2

 primary accounting 4.4.4.2

 accounting-on enable

 key authentication cipher $c$3$WyjH/HQEi8lmN/BiIW7W0HS4ewgPHFTlew==

 key accounting cipher $c$3$bbpWnYU4Ynat3ddQB+IPRb3X5FgIsLXUgQ==

#

radius dynamic-author server

 client ip 4.4.4.2 key cipher $c$3$Td30doCnLkhF7bhiYp4bk9DU96+XBStLkA==

#

domain isp1

 authorization-attribute user-profile u_profile

 authorization-attribute ip-pool pool1

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

 pppoe-server virtual-template 1 slot 3 va-pool 1000

#

·     Switch A

#

vlan 101

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type hybrid

 port hybrid vlan 101 tagged

 port hybrid vlan 1 untagged

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 101

 port trunk pvid vlan 101

 qinq enable

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 101

 port trunk pvid vlan 101

 qinq enable

#

·     Switch B

#

vlan 11 to 12

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 11 12

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 11

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 12

#

·     Switch C

#

vlan 13 to 14

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 13 14

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 13

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 14

#

BRAS校园网准入准出分离配置举例

5.1  组网需求

2图所示,某校园网的宿舍区和办公区直挂在BRAS A下,BRAS A作为宿舍区和办公区用户访问校园网的准入BRASBRAS B作为校园网访问Internet的准出BRAS,要求实现如下需求:

·     宿舍区和办公区用户均采用PPPoE认证,拨号客户端使用操作系统自带客户端;

·     用户未进行PPPoE拨号认证前,禁止用户访问校园网和互联网;

·     用户PPPoE拨号认证成功后,仅可以访问校园网,且访问校园网时,限速5M,但不计费;

·     用户访问互联网时,需通过准出BRAS B的二次认证,认证通过后方可访问外网,但认证过程中用户不感知,为此学校提供2M5M10M三种包月套餐供选择(本例中用户ABCD选择的上网套餐分别是2M5M5M10M。)。

图2 BRAS校园网准入准出分离配置举例

 

5.2  配置思路

·     BRAS A已对用户VLAN做了终结,BRAS B无法根据用户VLAN进行用户区分,所以访问外网的QoS策略需要部署在BRAS A,同时BRAS A上配置User Profile调用QoS策略实现对用户的速率控制。

·     为了实现用户访问互联网时,用户无感知的二次认证功能,需要在BRAS B上部署IPoE认证,使用用户的IP地址作为用户名向Radius服务器认证,由Radius自动关联内网的认证来实现二次认证无感知。

·     因开启BRAS B上的IPoE准出认证功能后,IPoE上报给Radius服务器的属性中带上新增的Radius私有属性。Radius服务器收到带有该私有属性的用户认证请求后,解析用户名中的IP地址,并根据IP地址查找准入认证的数据,找到则认为用户合法允许接入,找不到则不允许用户接入,即对于Radius服务器来说,触发IPoE未知源认证的IPoE用户必须是BRAS A上已认证的PPPoE用户,所以无需在Radius上配置关于IPoE认证用户的用户名/密码信息。

·     为了防止BRAS B维护闲置用户的会话信息,造成资源的浪费,需要部署idle-cut功能,在用户闲置时自动下线

·     为了实现对用户内外网流量的区分,可以通过某一ACL先匹配具体的内网流量(本例中内网流量通过ACL 3000匹配),再通过另一ACL匹配除内网流量外的其余流量(默认为外网流量,本例中外网流量通过ACL 3001匹配)。

·     PPPoE用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

·     DHCPPPPoE配合使用时,如果设备的DHCP地址池中配置了remote-server命令,则可以认定该设备一定是DHCP中继设备,所以不需要在接口视图下执行dhcp select relay命令。

·     PPPoE在建立连接时需要创建VA接口,在用户下线后需要删除VA接口。由于创建/删除VA接口需要一定的时间,所以如果有大量用户上线/下线时,PPPoE的连接建立、连接拆除性能会受到影响,此时可以通过预先创建VA来提高PPPoE的连接建立、连接拆除性能。

5.3  使用版本

本举例是在SR8800-CMW710-R7353P08版本上进行配置和验证的。

5.4  配置注意事项

·     推荐使用H3C iMC作为Radius服务器和BRAS B设备配合来实现IPoE准出认证功能。

·     授权地址池、授权User Profile等属性,如果Radius服务器和ISP域下同时配置,则以Radius服务器授权的为准;idle-cut属性,如果Radius服务器和ISP域下同时配置,则以BRAS设备上ISP域下配置的为准(本例中授权属性均已仅在ISP域下配置的方式进行举例,实际环境请根据需要选择由Radius服务器授权或通过ISP域下配置方式)。

·     配置iMC认证服务器的用户必需携带ISP域名,如果PPPoE接入和IPoE接入选用不同的ISP域接入时,iMC认证服务器对配置的用户要同时选用PPPoEIPoE接入ISP域的两个服务。

·     请注意检查实时计费间隔一般情况下,推荐使用缺省值或者根据RADIUS服务器的计费间隔相应调大,不建议配置过小的计费间隔。本例中实时计费间隔采用缺省取值12分钟。

·     PPPoE应用中,要求通过pppoe-server virtual-template va-pool命令配置VA池,并且配置VA池时如果用户通过局部口(例如三层以太网接口/子接口)上线需指定接入接口所在单板的槽位号,通过全局口(例如三层聚合接口/子接口)上线不能指定任何单板的槽位号。

·     本例中,配置PPPoEIPoE使用相同的ISP域认证isp1

5.5  配置步骤

5.5.1  配置Radius服务器

# iMC配置PPPoEIPoE接入用户()

5.5.2  配置IP地址及路由

按照2配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。

5.5.3  配置DHCP服务器

# 全局使能DHCP

<DHCP-server> system-view

[DHCP-server] dhcp enable

# 创建用户PPPoE拨号认证成功后使用的DHCP地址池pool1并进入其视图。

[DHCP-server] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段3.3.3.0/24,分配的网关地址3.3.3.1DNS服务器地址8.8.8.8

[DHCP-server-pool-pool1] network 3.3.3.0 24

[DHCP-server-pool-pool1] gateway-list 3.3.3.1

[DHCP-server-pool-pool1] dns-list 8.8.8.8

# 3.3.3.1设置为禁止分配地址。

[DHCP-server-pool-pool1] forbidden-ip 3.3.3.1

[DHCP-server-pool-pool1] quit

# 配置到PPPoE Server(即BRAS A)的缺省路由。

[DHCP] ip route-static 0.0.0.0 0 4.4.4.1

5.5.4  配置准入BRAS A

1. 配置内网的不计费和但限速5M类型的QoS策略

说明

本例中以用户网段为3.3.3.0/24和服务器网段4.4.4.0/24作为内网网段进行举例。

 

# 配置ACL规则列表3000

<BRASA> system-view

[BRASA] acl number 3000

# 配置匹配用户PPPoE拨号认证后用户和服务器间互访的报文。

[BRASA-acl-adv-3000] rule 0 permit ip source 3.3.3.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

[BRASA-acl-adv-3000] rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

# 配置匹配用户PPPoE拨号认证后用户间互访的报文。

[BRASA-acl-adv-3000] rule 20 permit ip source 3.3.3.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

[BRASA-acl-adv-3000] quit

说明

因设备ACL规则缺省为无(即缺省既不是Permit也不是Deny),对于没匹配到的流量该ACL不作处理,所以无需在ACL 3000中最后再配置一条类似rule 30 deny ip的规则。

 

# 配置流分类器3000,并设置流匹配规则为ACL 3000且已认证的用户报文。

[BRASA] traffic classifier 3000 operator and

[BRASA-classifier-3000] if-match acl 3000

[BRASA-classifier-3000] if-match authenticated-user

[BRASA-classifier-3000] quit

# 定义流行为3000配置采用流量统计并限速5000kbps

[BRASA] traffic behavior 3000

[BRASA-behavior-3000] accounting byte

[BRASA-behavior-3000] car cir 5000

[BRASA-behavior-3000] quit

# 定义策略to_neiwang绑定流分类及行为。

[BRASA] qos policy to_neiwang

[BRASA-qospolicy-to_neiwang] classifier 3000 behavior 3000

[BRASA-qospolicy-to_neiwang] quit

# 进入接口GigabitEthernet3/1/1.1视图。

[BRASA] interface gigabitethernet 3/1/1.1

# 配置当前接口上应用QoS策略to_neiwang

[BRASA–GigabitEthernet3/1/1.1] qos apply policy to_neiwang inbound

[BRASA–GigabitEthernet3/1/1.1] qos apply policy to_neiwang outbound

[BRASA–GigabitEthernet3/1/1.1] quit

2. 配置访问外网的计费和限速类型的QoS策略

# 配置ACL规则列表3001

[BRASA] acl number 3001

# 配置不匹配用户PPPoE拨号认证后用户网段和服务器网段间互访的报文。

[BRASA-acl-adv-3001] rule 0 deny ip source 3.3.3.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

[BRASA-acl-adv-3001] rule 10 deny ip source 4.4.4.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

# 配置不匹配用户PPPoE拨号认证后用户网段间互访的报文。

[BRASA-acl-adv-3001] rule 20 deny ip source 3.3.3.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

# 配置匹配所有报文。

[BRASA-acl-adv-3001] rule 30 permit ip

[BRASA-acl-adv-3001] quit

# 配置流分类器cl_user1,并设置流匹配规则为用户VLAN 11ACL 3001且已认证的用户报文。

[BRASA] traffic classifier cl_user1 operator and

[BRASA-classifier-cl_user1] if-match customer-vlan-id 11

[BRASA-classifier-cl_user1] if-match acl 3001

[BRASA-classifier-cl_user1] if-match authenticated-user

[BRASA-classifier-cl_user1] quit

# 配置流分类器cl_user2,并设置流匹配规则为用户VLAN 12ACL 3001且已认证的用户报文。

[BRASA] traffic classifier cl_user2 operator and

[BRASA-classifier-cl_user2] if-match customer-vlan-id 12

[BRASA-classifier-cl_user2] if-match acl 3001

[BRASA-classifier-cl_user2] if-match authenticated-user

[BRASA-classifier-cl_user2] quit

# 配置流分类器cl_user3,并设置流匹配规则为用户VLAN 13ACL 3001且已认证的用户报文。

[BRASA] traffic classifier cl_user3 operator and

[BRASA-classifier-cl_user3] if-match customer-vlan-id 13

[BRASA-classifier-cl_user3] if-match acl 3001

[BRASA-classifier-cl_user3] if-match authenticated-user

[BRASA-classifier-cl_user3] quit

# 配置流分类器cl_user4,并设置流匹配规则为用户VLAN 14ACL 3001且已认证的用户报文。

[BRASA] traffic classifier cl_user4 operator and

[BRASA-classifier-cl_user4] if-match customer-vlan-id 14

[BRASA-classifier-cl_user4] if-match acl 3001

[BRASA-classifier-cl_user4] if-match authenticated-user

[BRASA-classifier-cl_user4] quit

# 定义流行为be_2M,采用流量统计并限速2000kbps

[BRASA] traffic behavior be_2M

[BRASA-behavior-be_2M] accounting byte

[BRASA-behavior-be_2M] car cir 2000

[BRASA-behavior-be_2M] quit

# 定义流行为be_5M,采用流量统计并限速5000kbps

[BRASA] traffic behavior be_5M

[BRASA-behavior-be_5M] accounting byte

[BRASA-behavior-be_5M] car cir 5000

[BRASA-behavior-be_5M] quit

# 定义流行为be_10M,采用流量统计并限速10000kbps

[BRASA] traffic behavior be_10M

[BRASA-behavior-be_10M] accounting byte

[BRASA-behavior-be_10M] car cir 10000

[BRASA-behavior-be_10M] quit

# 定义策略to_waiwang绑定流分类及行为。

[BRASA] qos policy to_waiwang

[BRASA-qospolicy-to_waiwang] classifier cl_user1 behavior be_2M

[BRASA-qospolicy-to_waiwang] classifier cl_user2 behavior be_5M

[BRASA-qospolicy-to_waiwang] classifier cl_user3 behavior be_5M

[BRASA-qospolicy-to_waiwang] classifier cl_user4 behavior be_10M

[BRASA-qospolicy-to_waiwang] quit

3. 配置User Profile

# 创建User Profileu_profile并调用QoS策略to_waiwang

[BRASA] user-profile u_profile

[BRASA-user-profile-u_profile] qos apply policy to_waiwang inbound

[BRASA-user-profile-u_profile] qos apply policy to_waiwang outbound

[BRASA-user-profile-u_profile] quit

4. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRASA] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRASA-radius-rs1] primary authentication 4.4.4.3

[BRASA-radius-rs1] primary accounting 4.4.4.3

[BRASA-radius-rs1] key authentication simple 123456

[BRASA-radius-rs1] key accounting simple 123456

# 使能RADIUS认证方案rs1accounting-on功能。

[BRASA-radius-rs1] accounting-on enable

# RADIUS方案rs1的实时计费的时间间隔设置为12分钟。

[BRASA-radius-rs1] timer realtime-accounting 12

[BRASA-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.3,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRASA] radius dynamic-author server

[BRASA-radius-da-server] client ip 4.4.4.3 key simple 123456

[BRASA-radius-da-server] quit

5. 配置DHCP中继

# 全局使能DHCP

[BRASA] dhcp enable

# 启用DHCP中继的用户地址表项记录功能。

[BRASA] dhcp relay client-information record

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRASA] dhcp server ip-pool pool1

[BRASA-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route

[BRASA-dhcp-pool-pool1] remote-server 4.4.4.4

[BRASA-dhcp-pool-pool1] quit

6. 配置认证域

# 创建并进入名字为isp1ISP域。

[BRASA] domain isp1

# 配置ISP域下PPP用户使用的Radius方案rs1

[BRASA-isp-isp1] authentication ppp radius-scheme rs1

[BRASA-isp-isp1] authorization ppp radius-scheme rs1

[BRASA-isp-isp1] accounting ppp radius-scheme rs1

# 配置当前isp1域下的用户授权地址池及指定用户的授权User Profile

[BRASA-isp-isp1] authorization-attribute ip-pool pool1

[BRASA-isp-isp1] authorization-attribute user-profile u_profile

[BRASA-isp-isp1] quit

7. 配置虚拟模板接口

# 创建虚拟模板接口1,并开启PPP计费统计和CHAP认证功能。

[BRASA] interface virtual-template 1

[BRASA-Virtual-Template1] ppp account-statistics enable

[BRASA-Virtual-Template1] ppp authentication-mode chap

[BRASA-Virtual-Template1] quit

# 为虚拟模板1创建容量为1000VA池。

[BRASA] pppoe-server virtual-template 1 slot 3 va-pool 1000

8. 配置VLAN终结

# 在用户的接入子接口GigabitEthernet3/1/1.1配置VLAN终结,并绑定虚拟模板接口1

[BRASA] interface gigabitethernet 3/1/1.1

[BRASA-GigabitEthernet3/1/1.1] vlan-type dot1q vid 101 second-dot1q 11 to 14

[BRASA-GigabitEthernet3/1/1.1] pppoe-server bind virtual-template 1

[BRASA-GigabitEthernet3/1/1.1] quit

5.5.5  配置准出BRAS B

1. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRASB] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRASB-radius-rs1] primary authentication 4.4.4.3

[BRASB-radius-rs1] primary accounting 4.4.4.3

[BRASB-radius-rs1] key authentication simple 123456

[BRASB-radius-rs1] key accounting simple 123456

# 使能RADIUS认证方案rs1accounting-on功能。

[BRASB-radius-rs1] accounting-on enable

# RADIUS方案rs1的实时计费的时间间隔设置为12分钟。

[BRASB-radius-rs1] timer realtime-accounting 12

[BRASB-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.3,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRASB] radius dynamic-author server

[BRASB-radius-da-server] client ip 4.4.4.3 key simple 123456

[BRASB-radius-da-server] quit

2. 配置IPoE的认证域

# 创建并进入名字为isp1ISP域。

[BRASB] domain isp1

# 配置ISP域下IPoE用户使用的Radius方案rs1

[BRASB-isp-isp1] authentication ipoe radius-scheme rs1

[BRASB-isp-isp1] authorization ipoe radius-scheme rs1

[BRASB-isp-isp1] accounting ipoe radius-scheme rs1

# 指定ISP域下的用户闲置切断时间为30分钟,闲置切断时间内产生的流量为10240字节。

[BRASB-isp-isp1] authorization-attribute idle-cut 30 10240

[BRASB-isp-isp1] quit

3. 配置IPoE认证

# 进入接口GigabitEthernet3/1/1视图。

[BRASB] interface gigabitethernet 3/1/1

# 使能IPoE功能,并指定三层接入模式。

[BRASB–GigabitEthernet3/1/1] ip address 5.5.5.2 24

[BRASB–GigabitEthernet3/1/1] ip subscriber routed enable

# 使能未知源IP报文触发方式。

[BRASB–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable

# 设置未知源IP报文触发方式使用的认证域为isp1

[BRASB–GigabitEthernet3/1/1] ip subscriber unclassified-ip domain isp1

# 配置用户IPoE准出认证。

[BRASB–GigabitEthernet3/1/1] ip subscriber access-out

[BRASB-GigabitEthernet3/1/1] quit

5.5.6  配置Switch A

# 创建运营商VLAN 101

<SwitchA> system-view

[SwitchA] vlan 101

[SwitchA-vlan101] quit

# 配置端口GigabitEthernet3/0/1Hybrid模式,并允许运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[SwitchA] interface gigabitethernet 3/0/1

[SwitchA-GigabitEthernet3/0/1] port link-type hybrid

[SwitchA-GigabitEthernet3/0/1] port hybrid vlan 101 tagged

[SwitchA-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchA] interface range gigabitethernet 3/0/2 to gigabitethernet 3/0/3

[SwitchA-if-range] port link-type trunk

[SwitchA-if-range] port trunk permit vlan 101

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3的缺省VLAN为运营商VLAN 101,并启用端口QinQ功能。

[SwitchA-if-range] port trunk pvid vlan 101

[SwitchA-if-range] qinq enable

[SwitchA-if-range] quit

5.5.7  配置Switch B

# 创建用户VLAN 1112

[SwitchB] vlan 11 to 12

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 11VLAN 12的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 11 12

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 11

[SwitchB] interface gigabitethernet 3/0/2

[SwitchB-GigabitEthernet3/0/2] port access vlan 11

[SwitchB-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 12

[SwitchB] interface gigabitethernet 3/0/3

[SwitchB-GigabitEthernet3/0/3] port access vlan 12

[SwitchB-GigabitEthernet3/0/3] quit

5.5.8  配置Switch C

# 创建用户VLAN 1314

[SwitchC] vlan 13 to 14

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 13VLAN 14的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 13 14

[SwitchC-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 13

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] port access vlan 13

[SwitchC-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 14

[SwitchC] interface gigabitethernet 3/0/3

[SwitchC-GigabitEthernet3/0/3] port access vlan 14

[SwitchC-GigabitEthernet3/0/3] quit

5.6  验证配置

# 以用户主机Host A为例:主机安装PPPoE客户端软件后,使用用户名:User1@isp1和密码:pass1便可以拨号接入BRAS A设备。

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

[BRASA] display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

3.3.3.2          e839-3563-fb21   Dynamic     VA0                  N/A

以上信息表明,用户Host A已动态获取到IP地址。

# 查看用户User1@isp1的详细信息。

[BRASA] display ppp access-user username User1@isp1

Basic:

  Interface: VA0

  User ID: 0x20000001

  Username: User1@isp1                //PPPoE拨号使用的用户名

  Domain: isp1                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 3.3.3.2                 //DHCP Server为用户分配的IP地址

  IPv6 address: -

  IPv6 PD prefix: -

  VPN instance: -

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Open

  Realtime accounting interval: 900s

  Login time: 2014-11-6  8:31:31:725

  Accounting start time: 2014-11-6  8:31:32:275

  Online time(hh:mm:ss): 0:3:46

  Accounting state: Accounting

  Idle cut: 0 sec  0 byte

  Session timeout: 9999999s

  Time remained: 9999773s

  Byte remained: -

  Redirect WebURL: -

 

ACL&QoS:

  User profile: u_profile (active)       //上线用户的授权User profile

  User group profile: -

  Inbound CAR: -

  Outbound CAR: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 508/53292

  IPv4 downlink packets/bytes: 285/26198

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

以上信息表明,Host A成功拨号到BRAS A设备并动态获取到IP地址3.3.3.2,同时针对该上线用户也已成功授权User Profile属性。

用户认证通过之后,BRASB可以通过命令display ip subscriber session查看到对应IPoE用户信息。

[BRASB] display ip subscriber session

  Type: D-Dhcp   S-Static     U-Unclassified-ip   N-Ndrs

Interface            IP address                MAC address    Type  State

--------------------------------------------------------------------------------

GE3/1/1              3.3.3.2                   e839-3563-fb21 U     Online

5.7  配置文件

·     DHCP-server

#

 dhcp enable

#

dhcp server ip-pool pool1

 network 3.3.3.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 3.3.3.1

 gateway-list 3.3.3.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 4.4.4.4 255.255.255.0

#

ip route-static 0.0.0.0 0 4.4.4.1

#

·     BRAS A

#

dhcp enable

dhcp relay client-information record

#

traffic classifier 3000 operator and

 if-match acl 3000

 if-match authenticated-user

#

traffic classifier cl_user1 operator and

 if-match customer-vlan-id 11

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user2 operator and

 if-match customer-vlan-id 12

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user3 operator and

 if-match customer-vlan-id 13

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user4 operator and

 if-match customer-vlan-id 14

 if-match acl 3001

 if-match authenticated-user

#

traffic behavior 3000

 accounting byte

 car cir 5000 cbs 312500 ebs 0 red discard

#

traffic behavior be_10M

 accounting byte

 car cir 10000 cbs 625000 ebs 0 red discard

#

traffic behavior be_2M

 accounting byte

 car cir 2000 cbs 125000 ebs 0 red discard

#

traffic behavior be_5M

 accounting byte

 car cir 5000 cbs 312500 ebs 0 red discard

#

qos policy to_neiwang

 classifier 3000 behavior 3000

#

qos policy to_waiwang

 classifier cl_user1 behavior be_2M

 classifier cl_user2 behavior be_5M

 classifier cl_user3 behavior be_5M

 classifier cl_user4 behavior be_10M

#

dhcp server ip-pool pool1

 gateway-list 3.3.3.1 export-route

 remote-server 4.4.4.4

#

interface Virtual-Template1

 ppp authentication-mode chap

 ppp account-statistics enable

#

interface GigabitEthernet3/1/1

 port link-mode route

#

interface GigabitEthernet3/1/1.1

 qos apply policy to_neiwang inbound

 qos apply policy to_neiwang outbound

 vlan-type dot1q vid 101 second-dot1q 11 to 14

 pppoe-server bind virtual-template 1

#

interface GigabitEthernet3/1/2

 port link-mode route

 ip address 5.5.5.1 255.255.255.0

#

interface GigabitEthernet3/1/3

 port link-mode route

 ip address 4.4.4.1 255.255.255.0

#

acl number 3000

 rule 0 permit ip source 3.3.3.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

 rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

 rule 20 permit ip source 3.3.3.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

#

acl number 3001

 rule 0 deny ip source 3.3.3.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

 rule 10 deny ip source 4.4.4.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

 rule 20 deny ip source 3.3.3.0 0.0.0.255 destination 3.3.3.0 0.0.0.255

 rule 30 permit ip

#

user-profile u_profile

 qos apply policy to_waiwang inbound

 qos apply policy to_waiwang outbound

#

radius scheme rs1

 primary authentication 4.4.4.3

 primary accounting 4.4.4.3

 accounting-on enable

 key authentication cipher $c$3$XqHhm+QZo4fEaQkP+ltqssWYq0o4hhJp/g==

 key accounting cipher $c$3$ahutaD/6BL3qG0F5fyjBc8qI0vmptwNsmw==

#

radius dynamic-author server

 client ip 4.4.4.3 key cipher $c$3$Td30doCnLkhF7bhiYp4bk9DU96+XBStLkA==

#

domain isp1

 authorization-attribute user-profile u_profile

 authorization-attribute ip-pool pool1

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

 pppoe-server virtual-template 1 slot 3 va-pool 1000

#

·     BRAS B

#

interface GigabitEthernet3/1/1

 port link-mode route

 ip address 5.5.5.2 255.255.255.0

 ip subscriber routed enable

 ip subscriber initiator unclassified-ip enable

 ip subscriber unclassified-ip domain isp1

 ip subscriber access-out

#

interface GigabitEthernet3/1/2

 port link-mode route

 ip address 6.6.6.1 255.255.255.0

#

interface GigabitEthernet3/1/3

 port link-mode route

 ip address 4.4.4.2 255.255.255.0

#

radius scheme rs1

 primary authentication 4.4.4.3

 primary accounting 4.4.4.3

 accounting-on enable

 key authentication cipher $c$3$DjpIVXm7T/Agf8WLNpF11mEYtx7lb2m51w==

 key accounting cipher $c$3$4/FLMIce3DXgzHnY/oNl8SITZPze34E+cQ==

#

radius dynamic-author server

 client ip 4.4.4.3 key cipher $c$3$Td30doCnLkhF7bhiYp4bk9DU96+XBStLkA==

#

domain isp1

 authorization-attribute idle-cut 30 10240

 authentication ipoe radius-scheme rs1

 authorization ipoe radius-scheme rs1

 accounting ipoe radius-scheme rs1

#

·     Switch A

#

vlan 101

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type hybrid

 port hybrid vlan 101 tagged

 port hybrid vlan 1 untagged

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 101

 port trunk pvid vlan 101

 qinq enable

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 101

 port trunk pvid vlan 101

 qinq enable

#

·     Switch B

#

vlan 11 to 12

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 11 12

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 11

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 12

#

·     Switch C

#

vlan 13 to 14

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 13 14

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 13

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 14

#

IPoE Web认证配置举例

6.1  组网需求

3所示,Router A为某学校的一台BRAS设备,为学校用户提供IPoE接入服务。要求:

·     当用户通过无线终端第一次接入无线网络时,推送Web页面,要求在页面中输入用户名和密码进行认证上线;认证通过允许访问互联网,限速5M,但不计费;

·     认证通过,RADIUS服务器同时记录该用户的MAC地址等个人信息;用户下一次登录时,通过对比服务器上保存的用户信息,不推送Web页面,直接允许用户上线。

·     BRAS设备作为DHCP Relay,通过单独的DHCP服务器为DHCP IPoE接入用户动态分配IP地址等参数。

图3 IPoE Web认证配置组网图

 

6.2  配置思路

·     为了保证用户的带宽需求,本例通过授权User Profile进行速率控制

·     BRAS接入用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

·     为了防止重定向报文冲击服务器,可以在对应的流行为视图下配置流量监管(本例在traffic behavior 3040中配置限速4M)。

·     为了保证某些用户获取到的IPv4地址未过期,但已经建立的IPv4 IPoE会话被删除的情况(例如:用户与接入设备之间的链路发生故障,接入设备探测在线用户失败或用户流量空闲超时后,将该用户对应的IPoE会话删除掉,待链路恢复后,又接收到用户发送的IP报文。)的IPv4客户端能够重新建立会话并正常上线,需要在接入接口上同时配置未知源IPv4用户接入方式。

·     为了防止用户不按照常规发送下线请求,异常下线(例如,用户直接拔掉网线)后,接入设备仍然维护该异常下线用户的IPoE会话,需要配置动态IPv4 IPoE个人接入用户在线探测功能,对在线用户进行定期探测。

·     本例中,IPoE用户网段地址1.1.1.1/24,使用的ISP认证域为isp1

6.3  使用版本

本举例是在SR8800-CMW710-R7353P08版本上进行配置和验证的。

6.4  配置注意事项

·     经约定本设备和城市热点服务器对接时,公共帐号授权的User Profile名称必须为unpassmode,用户组名称必须为unpass_acl。无感知帐号授权的User Profile名称和用户组名称必须满足规则|fid=aaa|ug=bbb|,其中aaabbb用户可根据实际情况修改。本例使用(|fid=up2|ug=ug2|),即无感知帐号授权的User Profile名称up2,用户组名称为ug2

·     授权地址池、User Profile和用户组属性,如果RADIUS服务器和ISP域下同时配置,则以RADIUS服务器授权的为准(请根据实际需求选择在RADIUS服务器上授权或在ISP域下配置)。

·     本例中DHCP Server是由设备进行模拟,实际应用建议使用专门的DHCP服务器。

·     请确保BRASRADIUS服务器之间网络二层可达。

·     请确保IPoE工作在二层接入模式

·     接口上使能了IPoE功能后,默认丢弃接收到的用户报文,需要配置IPoE用户触发方式,使指定的用户报文得以处理,后续能够正常使用网络服务。

·     接入设备上配置动态IPoE个人接入用户认证使用的用户名和密码必须与认证服务器配置的用户名保持一致,用户才可以认证通过。缺省情况下,IPv4 DHCP个人接入用户使用报文源MAC地址作为认证用户名,认证密码为字符串vlan

·     对于与接入接口在同一网段内的动态IPv4 IPoE个人接入用户,可使用ARP请求或ICMP请求报文对用户进行探测;对于与接入接口不在同一网段内的动态IPv4 IPoE个人接入用户,应使用ICMP请求报文对用户进行探测。

·     接入接口上不能同时启用ARP请求和ICMP请求两种方式对动态IPv4 IPoE个人接入用户进行探测。

·     DHCPIPoE配合使用时,如果BRAS设备作为DHCP中继,则必须在接入接口(本例为子接口GigabitEthernet3/1/1.1)视图下执行dhcp select relay命令配置接口工作在DHCP中继模式。

·     请注意检查实时计费间隔一般情况下,推荐使用缺省值或者根据RADIUS服务器的计费间隔相应调大,不建议配置过小的计费间隔。本例中实时计费间隔采用缺省取值12分钟。

6.5  配置步骤

6.5.1  配置AP

有关无线AP的相关配置,请参见对应产品的配置手册,本例中具体配置过程略。

6.5.2  配置IP地址及路由

按照3配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。

6.5.3  配置RADIUS服务器

说明

下面以城市热点服务器为例,说明RADIUS服务器的基本配置。不同城市热点服务器版本配置可能有所不同,具体配置请以实际版本及对应版本的城市热点服务器手册为准,本节配置仅供参考。

 

1. 添加城市热点硬件设备

(1)     打开浏览器输入http://192.168.1.3:8080/DrcomManager/,回车后进入如4所示城市热点认证计费系统登录页面

图4 登录页面

 

(2)     输入管理员账号和密码后单击<登录>按钮进入如5所示欢迎页面。

图5 欢迎页面

 

(3)     依次单击“设备管理>设备接入配置”进入如6所示接入设备配置页面。

图6 接入设备配置页面

 

(4)     单击<增加设备>按钮弹出如7所示增加设备窗口。

·     设置设备编号为“11”(编号取值范围1-32

·     设置设备名称为“test11

·     设置设备IP为“192.168.1.2”(即城市热点硬件上用于和数据库进行通信的地址)

·     设置设备密码为“123456

·     设置设备描述为“test

·     认证选项勾选“桥接”

图7 添加设备页面

 

(5)     单击<保存>按钮保存配置。

2. 配置策略组

开户之前需要先配置资费组、地区组、带宽组和套餐组4个组。其中资费组需创建两个,本例中13号是公共账号资费组,14号是无感知认证用户账号资费组。

(1)     单击“策略管理”进入如8所示策略管理页面。

图8 策略管理页面

 

(2)     单击左侧导航树中的“资费组配置>新建”弹出如9所示对话框。

·     9所示完成13号公共账号的资费组配置

·     未列出配置保持缺省值即可

图9 创建公共帐号资费组(资费配置)

 

单击<保存>按钮保存配置。

(3)     单击“控制配置”进入如10所示控制配置页面。

·     10所示完成13号资费组的控制配置

·     未列出配置保持缺省值即可

图10 创建公共帐号资费组(控制配置)

 

(4)     单击<保存>按钮保存配置。

(5)     单击左侧导航树中的“资费组配置>新建”弹出如11所示对话框。

·     11所示完成14号无感知认证用户的资费组配置

·     其它未列出配置保持缺省值即可

图11 创建无感知帐号资费组(资费配置)

 

单击<保存>按钮保存配置。

(6)     单击“控制配置”进入如12所示控制配置页面。

·     12所示完成14号资费组的控制配置

·     未列出配置保持缺省值即可

图12 创建无感知帐号资费组(控制配置)

 

(7)     单击左侧导航树中的“地区组配置>新建”进入13所示地区组配置页面

根据实际情况配置即可,不影响无感知。

图13 地区组配置

 

(8)     单击左侧导航树中的“带宽组配置>新建”进入14所示带宽组配置页面

根据实际情况配置即可,不影响无感知。

·     配置带宽组名称为限速5M

·     其余保持缺省配置即可

图14 带宽组配置

 

(9)     单击左侧导航树中的“套餐组配置>新建”进入15所示套餐组配置页面

配置套餐组名称为公共帐号组,并关联前面带宽组、公共帐号资费组和地区组。

图15 公共帐号套餐组配置

 

(10)     单击<保存>按钮保存配置。

(11)     单击左侧导航树中的“套餐组配置>新建”进入16所示套餐组配置页面

配置套餐组名称为无感知帐号组,并关联前面带宽组、无感知帐号资费组和地区组。

图16 无感知帐号套餐组

 

(12)     单击<保存>按钮保存配置。

3. 开户(创建无感知用户)

创建无感知用户,采用14号资费组和14号套餐组,用户名/密码为test/123456。配置时“绑定MAC”项保持缺省情况。

(1)     依次单击“用户管理>业务受理>开户”进入如17所示开户页面。

按图完成配置,并关联相关策略的4个组。

图17 开户(创建无感知用户)

 

(2)     单击<开户>按钮弹出如18所示收费结算页面。

图18 收费结算

 

(3)     单击<提交>按钮即可

4. 开户(创建公共帐号)

公共账号为dhcp_test1(命名规则为dhcp_xxx),需要和BRAS设备名称(本例为dhcp_test1)保持一致。

(1)     依次单击“用户管理>业务受理>开户”进入如19所示开户页面。

按图完成配置,并关联相关策略的4个组。

图19 开户(创建公共帐号)

 

(2)     单击<开户>按钮弹出如20所示收费结算页面。

图20 收费结算

 

(3)     单击<提交>按钮即可

5. 路由设置

用户网段1.1.1.0/24下一跳为设备连接Int口的网关2.2.2.1

(1)     依次单击“设备管理>路由配置”进入如21所示路由配置页面。

·     在设备列表中选择创建的城市热点硬件“test11

·     单击<设备同步>按钮

图21 路由配置

 

(2)     按图22所示,添加城市热点硬件设备到用户网段的路由。

图22 增加路由

 

6. 添加RADIUS认证接入设备

增加认证接入设备192.168.1.1(需要和H3C nas-ip一致)

(1)     依次单击“设备管理>RADIUS服务器”进入如23所示页面。

·     在设备列表中选择创建的城市热点硬件“test11

·     勾选“启用RADIUS服务器设置”

图23 RADIUS服务器页面

 

(2)     按如24所示,添加认证接入设备(即BRAS接入设备dhcp_test1

注意参数是“:RA9:DM0:A1:UG:ML”。

图24 添加认证接入设备

 

7. 配置重定向

依次单击“设备管理>WEB登录配置>登录页面配置”进入如25所示页面。

·     勾选“启用WEB-Hurl(登录页重定向)功能”

·     其余保持缺省值,单击<提交>按钮即可

图25 登录页面配置

 

6.5.4  配置DHCP服务器

1. 开启DHCP

# 全局使能DHCP

<DHCP-server> system-view

[DHCP-server] dhcp enable

2. 配置IPoE接入用户地址池

# 创建名字为pool1地址池并进入其视图。

[DHCP-server] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段1.1.1.0/24,分配的网关地址1.1.1.1DNS服务器地址8.8.8.8

[DHCP-server-pool-pool1] network 1.1.1.0 24

[DHCP-server-pool-pool1] gateway-list 1.1.1.1

[DHCP-server-pool-pool1] dns-list 8.8.8.8

# 2.2.2.1设置为禁止分配地址。

[DHCP-server-pool-pool1] forbidden-ip 1.1.1.1

[DHCP-server-pool-pool1] quit

3. 配置DHCP Server到用户网段1.1.1.0/24的路由

# 配置到用户网段1.1.1.0/24的路由。

[DHCP] ip route-static 1.1.1.0 24 2.2.2.1

6.5.5  配置BRAS

1. 配置设备的名称

说明

城市热点服务器上需要创建一个内部公共账号(命名规则为dhcp_xxx),本例中公共帐号名字为“dhcp_test1”,该名字需要和H3C设备名称保持一致,并且设备上的IPv4 DHCP个人接入用户需使用设备名称进行认证。

 

# 将设备名称改为dhcp_test1

<Sysname> system-view

[Sysname] sysname dhcp_test1

[dhcp_test1]

2. 配置RADIUS方案

# 创建名字为rs1RADIUS方案并进入该方案视图。

[dhcp_test1] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[dhcp_test1-radius-rs1] primary authentication 192.168.1.2

[dhcp_test1-radius-rs1] primary accounting 192.168.1.2

[dhcp_test1-radius-rs1] key authentication simple 123456

[dhcp_test1-radius-rs1] key accounting simple 123456

# 发送给RADIUS服务器的用户名不携带ISP域名。

[dhcp_test1-radius-rs1] user-name-format without-domain

# 使能RADIUS认证方案rs1accounting-on功能。

[dhcp_test1-radius-rs1] accounting-on enable

# RADIUS方案rs1的实时计费的时间间隔设置为12分钟。

[dhcp_test1-radius-rs1] timer realtime-accounting 12

# 配置GigabitEthernet3/1/3IP地址作为设备发送RADIUS报文使用的源地址。

[dhcp_test1-radius-rs1] nas-ip 192.168.1.1

# 配置RADIUS Attribute 31MAC地址格式为hhhh:hhhh:hhhh

[dhcp_test1-radius-rs1] attribute 31 mac-format section three separator : lowercase

[dhcp_test1-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为192.168.1.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[dhcp_test1] radius dynamic-author server

[dhcp_test1-radius-da-server] client ip 192.168.1.2 key simple 123456

[dhcp_test1-radius-da-server] quit

3. 配置DHCP中继

# 全局使能DHCP

[dhcp_test1] dhcp enable

# 启用DHCP中继的用户地址表项记录功能。

[dhcp_test1] dhcp relay client-information record

# IPoE用户创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[dhcp_test1] dhcp server ip-pool pool1

[dhcp_test1-dhcp-pool-pool1] gateway-list 1.1.1.1 export-route

[dhcp_test1-dhcp-pool-pool1] remote-server 2.2.2.3

[dhcp_test1-dhcp-pool-pool1] quit

4. 配置认证域

# 创建并进入名字为isp1ISP域。

[dhcp_test1] domain isp1

# 配置ISP域使用的RADIUS方案rs1

[dhcp_test1-isp-isp1] authentication ipoe radius-scheme rs1

[dhcp_test1-isp-isp1] authorization ipoe radius-scheme rs1

[dhcp_test1-isp-isp1] accounting ipoe radius-scheme rs1

# 配置当前isp1域下的用户授权地址池pool1

[dhcp_test1-isp-isp1] authorization-attribute ip-pool pool1

[dhcp_test1-isp-isp1] quit

5. 配置用户上网的QoS策略

# 配置ACL规则列表3000

[dhcp_test1] acl number 3000

# 配置匹配用户组unpass_acl中用户的IP报文。

[dhcp_test1-acl-adv-3000] rule 0 permit ip user-group unpass_acl

[dhcp_test1-acl-adv-3000] quit

# 配置ACL规则列表3010

[dhcp_test1] acl number 3010

说明

ACL 3010用于放行用户需要在Web认证前访问服务器的报文,本例中以放行访问DHCPDNS服务器的报文为例,实际应用中请根据需要放行相应报文。

 

# 配置匹配DHCPDNS报文。

[dhcp_test1-acl-adv-3010] rule 1 permit udp destination-port eq bootpc

[dhcp_test1-acl-adv-3010] rule 2 permit udp destination-port eq bootps

[dhcp_test1-acl-adv-3010] rule 3 permit udp destination-port eq dns

[dhcp_test1-acl-adv-3010] rule 4 permit tcp destination-port eq dns

[dhcp_test1-acl-adv-3010] quit

# 配置ACL规则列表3020

[dhcp_test1] acl number 3020

# 配置匹配用户组ug2中用户的IP报文。

[dhcp_test1-acl-adv-3020] rule 0 permit ip user-group ug2

[dhcp_test1-acl-adv-3020] quit

# 配置ACL规则列表3040

[dhcp_test1] acl number 3040

# 配置匹配用户组unpass_acl中用户访问www801等端口的用户报文。

[dhcp_test1-acl-adv-3040] rule 10 permit tcp destination-port eq www user-group unpass_acl

[dhcp_test1-acl-adv-3040] rule 20 permit tcp destination-port eq 801 user-group unpass_acl

[dhcp_test1-acl-adv-3040] rule 30 permit tcp destination-port eq 803 user-group unpass_acl

[dhcp_test1-acl-adv-3040] rule 40 permit tcp destination-port eq 802 user-group unpass_acl

[dhcp_test1-acl-adv-3040] rule 50 permit tcp destination-port eq 804 user-group unpass_acl

[dhcp_test1-acl-adv-3040] rule 60 permit tcp destination-port eq 443 user-group unpass_acl

[dhcp_test1-acl-adv-3040] quit

说明

因设备ACL规则缺省为无(即缺省既不是Permit也不是Deny),对于没匹配到的流量该ACL不作处理,所以无需在ACL 3040中最后再配置一条类似rule 70 deny ip的规则。

 

# 配置流分类器3000,并设置流匹配规则为匹配ACL 3000的用户报文。

[dhcp_test1] traffic classifier 3000 operator and

[dhcp_test1-classifier-3000] if-match acl 3000

[dhcp_test1-classifier-3000] quit

# 配置流分类器3010,并设置流匹配规则为匹配ACL 3010的用户报文。

[dhcp_test1] traffic classifier 3010 operator and

[dhcp_test1-classifier-3010] if-match acl 3010

[dhcp_test1-classifier-3010] quit

# 配置流分类器3020,并设置流匹配规则为匹配ACL 3020的用户报文。

[dhcp_test1] traffic classifier 3020 operator and

[dhcp_test1-classifier-3020] if-match acl 3020

[dhcp_test1-classifier-3020] quit

# 配置流分类器3040,并设置流匹配规则为匹配ACL 3040的用户报文。

[dhcp_test1] traffic classifier 3040 operator and

[dhcp_test1-classifier-3040] if-match acl 3040

[dhcp_test1-classifier-3040] quit

# 定义流行为3000配置基于包进行流量统计并对用户组unpass_acl中用户的数据包进行丢弃

[dhcp_test1] traffic behavior 3000

[dhcp_test1-behavior-3000] accounting packet

[dhcp_test1-behavior-3000] filter deny

[dhcp_test1-behavior-3000] quit

# 定义流行为3010,配置匹配报文重定向到CPU

[dhcp_test1] traffic behavior 3010

[dhcp_test1-behavior-3010] redirect cpu

[dhcp_test1-behavior-3010] quit

# 定义流行为3020,配置基于包进行流量统计

[dhcp_test1] traffic behavior 3020

[dhcp_test1-behavior-3020] accounting packet

[dhcp_test1-behavior-3020] quit

# 定义流行为3040配置基于包进行流量统计,限速4M重定向到指定的下一跳为2.2.2.2

[dhcp_test1] traffic behavior 3040

[dhcp_test1-behavior-3040] accounting packet

[dhcp_test1-behavior-3040] car cir 4000

[dhcp_test1-behavior-3040] redirect next-hop 2.2.2.2

[dhcp_test1-behavior-3040] quit

# 定义策略plcy绑定流分类及行为。

[dhcp_test1] qos policy plcy

[dhcp_test1-qospolicy-plcy] classifier 3040 behavior 3040

[dhcp_test1-qospolicy-plcy] classifier 3010 behavior 3010

[dhcp_test1-qospolicy-plcy] classifier 3000 behavior 3000

[dhcp_test1-qospolicy-plcy] classifier 3020 behavior 3020

[dhcp_test1-qospolicy-plcy] quit

6. 配置User Profile

# 创建名称为unpassmodeUser Profile

[dhcp_test1] user-profile unpassmode

[dhcp_test1-user-profile-unpassmode] quit

# 创建名称为up2User Profile并限速5M

[dhcp_test1] user-profile up2

[dhcp_test1-user-profile-up2] qos car inbound any cir 5000

[dhcp_test1-user-profile-up2] qos car outbound any cir 5000

[dhcp_test1-user-profile-up2] quit

7. 配置User Group

# 创建名称为unpass_acl的用户组。

[dhcp_test1] user-group unpass_acl

New user group added.

[dhcp_test1-ugroup-unpass_acl] quit

# 创建名称为ug2的用户组。

[dhcp_test1] user-group ug2

New user group added.

[dhcp_test1-ugroup-ug2] quit

8. 应用QoS策略

# 创建子接口GigabitEthernet 3/1/1.1,并进入子接口视图。

[dhcp_test1] interface gigabitethernet 3/1/1.1

# 在子接口GigabitEthernet 3/1/1.1的入方向应用QoS策略plcy

[dhcp_test1–GigabitEthernet3/1/1.1] qos apply policy plcy inbound

9. 配置用户IPoE接入

(1)     配置IPv4 DHCP接入方式IPoE

# 进入GigabitEthernet 3/1/1.1子接口视图。

[dhcp_test1] interface gigabitethernet 3/1/1.1

# 使能IPoE功能,并配置二层接入模式。

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber l2-connected enable

# 使能DHCP报文触发方式。

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber initiator dhcp enable

# 设置DHCP报文触发方式使用的认证域为isp1

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber dhcp domain isp1

# 配置IPv4 DHCP个人接入用户的认证用户名为接入设备的设备名(即和城市热点服务器上配置的公共帐号“dhcp_test1”保持一致)。

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber dhcp username include sysname

# 设置动态用户的认证密码为明文123456(和城市热点服务器上配置的公共帐号密码“123456”保持一致)。

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber password plaintext 123456

# 配置接口工作在DHCP服务器或DHCP中继模式

[dhcp_test1–GigabitEthernet3/1/1.1] dhcp select relay

(2)     配置未知源IPv4接入方式IPoE

# 使能未知源IP报文触发方式。

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber initiator unclassified-ip enable

# 设置未知源IP报文触发方式使用的认证域为isp1

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber unclassified-ip domain isp1

# 配置IPv4未知源IP接入用户的认证用户名为接入设备的设备名。

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber unclassified-ip username include sysname

# 设置IPv4未知源IP接入用户的认证密码为明文123456

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber password plaintext 123456

# 开启在线用户探测功能,并指定ARP探测方式,重复尝试次数为3,探测间隔为1200秒。

[dhcp_test1–GigabitEthernet3/1/1.1] ip subscriber user-detect arp retry 3 interval 1200

(3)     配置VLAN终结

# 在用户的接入子接口GigabitEthernet 3/1/1.1配置IPoE接入用户的VLAN终结。

[dhcp_test1-GigabitEthernet3/1/1.1] vlan-type dot1q vid 1 to 4093

[dhcp_test1-GigabitEthernet3/1/1.1] quit

6.5.6  验证配置

(1)     客户端首次登录后,设备侧查看用户的IPoE会话信息

[dhcp_test1] display ip subscriber session verbose

Basic:

  Username                   : dhcp_test1

  Domain                     : isp1

  VPN instance               : N/A

  IP address                 : 1.1.1.2

  MAC address                : 001b-2173-e300

  Service-VLAN/Customer-VLAN : 112/-

  Access interface           : GE3/1/1.1

  User ID                    : 0x3000004a

  VPI/VCI(for ATM)           : 0/0

  DHCP lease                 : 86400 sec

  DHCP remain lease          : 86328 sec

  Login time                 : Dec  5 13:34:27 2015

  Online time(hh:mm:ss)      : 00:01:12

  Service node               : Slot 3 CPU 0

  Type                       : DHCP

  State                      : Online

 

AAA:

  ITA policyname             : N/A

  IP pool                    : pool1

  Session idle cut           : N/A

  Session duration           : N/A, remaining: N/A

  Remaining traffic          : N/A

  Acct start-fail action     : Online

  Acct update-fail action    : Online

  Acct quota-out action      : Offline

  Max multicast addresses    : 4

  Multicast address list     : N/A

 

QoS:

  User profile               : unpassmode (active) //首次获得地址后授权的User profileunpassmode

  Session group profile      : N/A

  User group acl             : unpass_acl (active) //首次获得地址后授权的用户组为unpass_acl

  Inbound CAR                : N/A

  Outbound CAR               : N/A

 

Total traffic statistics:

  Uplink   packets/bytes     : 5/362

  DownLink packets/bytes     : 0/0

以上信息表明,客户端已获取到IP地址1.1.1.2,并且被授权是unpassmode+unpass_acl(重定向规则)。

(2)     客户端首次访问Web页面会被重定向到Portal认证界面,输入正确的用户名和密码后即可上网,上线后在设备侧再次查看用户详细信息。

[dhcp_test1] display ip subscriber session verbose

Basic:

  Username                   : dhcp_test1

  Domain                     : isp1

  VPN instance               : N/A

  IP address                 : 1.1.1.2

  MAC address                : 001b-2173-e300

  Service-VLAN/Customer-VLAN : 112/-

  Access interface           : GE3/1/1.1

  User ID                    : 0x3000004e

  VPI/VCI(for ATM)           : 0/0

  DHCP lease                 : 86400 sec

  DHCP remain lease          : 85112 sec

  Login time                 : Dec  5 13:58:33 2015

  Online time(hh:mm:ss)      : 00:26:21

  Service node               : Slot 3 CPU 0

  Type                       : DHCP

  State                      : Online

 

AAA:

  ITA policyname             : N/A

  IP pool                    : pool1

  Session idle cut           : N/A

  Session duration           : N/A, remaining: N/A

  Remaining traffic          : N/A

  Acct start-fail action     : Online

  Acct update-fail action    : Online

  Acct quota-out action      : Offline

  Max multicast addresses    : 4

  Multicast address list     : N/A

 

QoS:

  User profile               : up2 (active) //Web认证通过后授权的User profileup2

  Session group profile      : N/A

  User group acl             : ug2 (active) //Web认证通过后授权的用户组为ug2

  Inbound CAR                : N/A

  Outbound CAR               : N/A

 

Total traffic statistics:

  Uplink   packets/bytes     : 195/35990

  DownLink packets/bytes     : 91/12841

以上信息表明,客户端首次Portal拨号后授权的User profile被替换为up2,用户组被替换为ug2

(3)     客户端释放地址后重新renew,客户端无需再输入用户名和密码即可通过认证,在设备设备侧查看用户详细信息。

[dhcp_test1] display ip subscriber session verbose

Basic:

  Username                   : dhcp_test1

  Domain                     : isp1

  VPN instance               : N/A

  IP address                 : 1.1.1.2

  MAC address                : 001b-2173-e300

  Service-VLAN/Customer-VLAN : 112/-

  Access interface           : GE3/1/1.1

  User ID                    : 0x3000004e

  VPI/VCI(for ATM)           : 0/0

  DHCP lease                 : 86400 sec

  DHCP remain lease          : 85112 sec

  Login time                 : Dec  5 13:58:33 2015

  Online time(hh:mm:ss)      : 00:26:21

  Service node               : Slot 3 CPU 0

  Type                       : DHCP

  State                      : Online

 

AAA:

  ITA policyname             : N/A

  IP pool                    : pool1

  Session idle cut           : N/A

  Session duration           : N/A, remaining: N/A

  Remaining traffic          : N/A

  Acct start-fail action     : Online

  Acct update-fail action    : Online

  Acct quota-out action      : Offline

  Max multicast addresses    : 4

  Multicast address list     : N/A

 

QoS:

  User profile               : up2 (active) //直接授权User profileup2

  Session group profile      : N/A

  User group acl             : ug2 (active) //直接授权用户组为ug2

  Inbound CAR                : N/A

  Outbound CAR               : N/A

 

Total traffic statistics:

  Uplink   packets/bytes     : 195/35990

  DownLink packets/bytes     : 91/12841

以上信息表明,客户端第一次Portal认证通过后,以后用户只要获取到IP地址就会直接授权up2ug2策略,不再需要进行Portal认证。

6.5.7  配置文件

(1)     DHCP Server

#

 dhcp enable

#

dhcp server ip-pool pool1

 gateway-list 1.1.1.1

 network 1.1.1.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 1.1.1.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 2.2.2.3 255.255.255.0

#

 ip route-static 1.1.1.0 24 2.2.2.1

#

(2)     Router ABRAS):

#

 sysname dhcp_test1

#

 dhcp enable

 dhcp relay client-information record

#

traffic classifier 3000 operator and

 if-match acl 3000

#

traffic classifier 3010 operator and

 if-match acl 3010

#

traffic classifier 3020 operator and

 if-match acl 3020

#

traffic classifier 3040 operator and

 if-match acl 3040

#

traffic behavior 3000

 accounting packet

 filter deny

#

traffic behavior 3010

 redirect cpu

#

traffic behavior 3020

 accounting packet

#

traffic behavior 3040

 accounting packet

 car cir 4000 cbs 250000 ebs 0 green pass red discard yellow pass

 redirect next-hop 2.2.2.2

#

qos policy plcy

 classifier 3040 behavior 3040

 classifier 3010 behavior 3010

 classifier 3000 behavior 3000

 classifier 3020 behavior 3020

#

dhcp server ip-pool pool1

 gateway-list 1.1.1.1 export-route

 remote-server 2.2.2.3

#

interface GigabitEthernet3/1/1

 port link-mode route

#

interface GigabitEthernet3/1/1.1

 qos apply policy plcy inbound

 vlan-type dot1q vid 1 to 4093

 dhcp select relay

 ip subscriber l2-connected enable

 ip subscriber initiator dhcp enable

 ip subscriber initiator unclassified-ip enable

 ip subscriber dhcp username include sysname

 ip subscriber unclassified-ip username include sysname

 ip subscriber password ciphertext $c$3$+PghH5bp5KXZD464j90OvV0JxkUghHzpsA==

 ip subscriber user-detect arp retry 3 interval 1200

 ip subscriber dhcp domain isp1

 ip subscriber unclassified-ip domain isp1

#

acl advanced 3000

 rule 0 permit ip user-group unpass_acl

#

acl advanced 3010

 rule 1 permit udp destination-port eq bootpc

 rule 2 permit udp destination-port eq bootps

 rule 3 permit udp destination-port eq dns

 rule 4 permit tcp destination-port eq dns

#

acl advanced 3020

 rule 0 permit ip user-group ug2

#

acl advanced 3040

 rule 10 permit tcp destination-port eq www user-group unpass_acl

 rule 20 permit tcp destination-port eq 801 user-group unpass_acl

 rule 30 permit tcp destination-port eq 803 user-group unpass_acl

 rule 40 permit tcp destination-port eq 802 user-group unpass_acl

 rule 50 permit tcp destination-port eq 804 user-group unpass_acl

 rule 60 permit tcp destination-port eq 443 user-group unpass_acl

#

user-profile unpassmode

#

user-profile up2

 qos car inbound any cir 5000 cbs 312500 ebs 0

 qos car outbound any cir 5000 cbs 312500 ebs 0

#

radius scheme rs1

 primary authentication 192.168.1.2

 primary accounting 192.168.1.2

 accounting-on enable

 key authentication cipher $c$3$3d2UaElDnJqJCY4DN+9CXahc7hSNJbVMWA==

 key accounting cipher $c$3$WZxolt60YyIEiVvlxCUtaPn1ghoRtYlLqg==

 user-name-format without-domain

 nas-ip 192.168.1.1

 attribute 31 mac-format section three separator : lowercase

#

radius dynamic-author server

 client ip 192.168.1.2 key cipher $c$3$Jh+bBhOHCxn19e6AvU2ZV3BZohJgBPUd2w==

#

domain isp1

 authorization-attribute ip-pool pool1

 authentication ipoe radius-scheme rs1

 authorization ipoe radius-scheme rs1

 accounting ipoe radius-scheme rs1

#

user-group ug2

#

user-group unpass_acl

#

BRAS校园网VPN多出口+ITA配置举例(直挂方式)

7.1  组网需求

26所示,某校园网的宿舍区和办公区直挂在BRAS下,PE2作为出口设备分别接不同的运营商ISP1ISP2,要求实现如下需求:

·     宿舍区和办公区用户未进行PPPoE拨号认证前,仅可以访问学校内网,且均限速5M,但不计费;

·     用户进行PPPoE拨号认证通过后,可以同时访问学校内网和学校外网;访问学校内网时,同样限速5M,不计费;访问学校外网时,有2M5M10M三种包月套餐可供选择(本例中用户ABCD选择的上网套餐分别是2M5M5M10M。);

·     用户PPPoE拨号认证时,拨号客户端使用操作系统自带客户端;

·     用户PPPoE拨号时通过在用户名后面增加@ISP1@ISP2的方式携带域名上线,BRAS则根据认证用户的域名来为用户指定固定的运营商出口。

图26 BRAS校园网VPN多出口+ITA配置举例(直挂方式)

设备

接口

IP地址

设备

接口

IP地址

RADIUS server

-

4.4.4.2/24

PE2

Loop0

3.3.3.9/32

DHCP server

GE3/0/1

4.4.4.3/24

GE3/0/1

10.1.4.2/24

PE1BRAS

Loop0

1.1.1.9/32

GE3/0/2

101.1.1.1/24

GE3/1/1.1

5.5.5.1/24

GE3/0/3

202.1.1.1/24

GE3/1/2

10.1.1.1/24

CE1

GE3/0/1

101.1.1.2/24

GE3/1/3

4.4.4.1/24

CE2

GE3/0/1

202.1.1.2/24

P

Loop0

2.2.2.9/32

GE3/0/1

10.1.4.1/24

GE3/0/2

10.1.1.2/24

 

7.2  配置思路

·     为了使BRAS可以根据认证用户的域名来为其选择指定的运营商出口访问互联网,可以在认证域中对用户授权指定的VPN,不同的VPN走不同的运营商出口

·     为了实现对用户访问的不同计费策略,可以通过ITA定义4中类型的计费级别(例如级别1234分别对应用户访问内网、访问外网2M、访问外网5M和访问外网10M四种情况),不同的计费级别收取不同的费用。

·     为了实现对用户PPPoE拨号认证后内外网流量的区分,可以通过某一ACL先匹配具体的内网流量(本例中内网流量通过ACL 3001匹配),再通过另一ACL匹配除内网流量外的其余流量(默认为外网流量,本例中外网流量通过ACL 3002匹配)。

·     PPPoE用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

·     DHCPPPPoE配合使用时,如果设备的DHCP地址池中配置了remote-server命令,则可以认定该设备一定是DHCP中继设备,所以不需要在接口视图下执行dhcp select relay命令。

·     PPPoE在建立连接时需要创建VA接口,在用户下线后需要删除VA接口。由于创建/删除VA接口需要一定的时间,所以如果有大量用户上线/下线时,PPPoE的连接建立、连接拆除性能会受到影响,此时可以通过预先创建VA来提高PPPoE的连接建立、连接拆除性能。

7.3  使用版本

本举例是在SR8800-CMW710-R7353P08版本上进行配置和验证的。

7.4  配置注意事项

·     由于在配置接口与VPN实例绑定后,接口上的IP地址等配置会清除,因此请先配置接口与VPN实例的绑定关系,再进行其他配置。

·     QoS策略中classifier behavior执行顺序与配置的顺序是一致的,为保证设备优先处理内网流量,必须保证匹配内网流量的classifier behavior配置在匹配外网流量的classifier behavior之前。

·     授权地址池、授权User Profile、授权VPN等属性,如果Radius服务器和ISP域下同时配置,则以Radius服务器授权的为准;idle-cut属性,如果Radius服务器和ISP域下同时配置,则以BRAS设备上ISP域下配置的为准(本例中授权属性均已仅在ISP域下配置的方式进行举例,实际环境请根据需要选择由Radius服务器授权或通过ISP域下配置方式)。

·     请注意检查实时计费间隔一般情况下,推荐使用缺省值或者根据RADIUS服务器的计费间隔相应调大,不建议配置过小的计费间隔。本例中实时计费间隔采用缺省取值12分钟。

·     PPPoE应用中,要求通过pppoe-server virtual-template va-pool命令配置VA池,并且配置VA池时如果用户通过局部口(例如三层以太网接口/子接口)上线需指定接入接口所在单板的槽位号,通过全局口(例如三层聚合接口/子接口)上线不能指定任何单板的槽位号。

7.5  配置步骤

7.5.1  配置Radius服务器

说明

下面以Linux下的Free Radius服务器为例,说明Radius server的基本配置。

 

# 配置Radius客户端信息。

clients.conf文件中增加如下信息:

client 4.4.4.1/32 {

ipaddr = 4.4.4.1

netmask=32

secret=123456

}

以上信息表示:Radius客户端的IP地址为4.4.4.1,共享密钥为字符串123456

# 配置合法用户信息。

users文件中增加如下信息。

User1@isp1  Cleartext-Password :="pass1"

User1@isp2  Cleartext-Password :="pass1"

User2@isp1  Cleartext-Password :="pass2"

User2@isp2  Cleartext-Password :="pass2"

User3@isp1  Cleartext-Password :="pass3"

User3@isp2  Cleartext-Password :="pass3"

User4@isp1  Cleartext-Password :="pass4"

User4@isp2  Cleartext-Password :="pass4"

以上信息表示:Host AHost BHost CHost D均可自由选择使用用户名@isp1或用户名@isp2的方式进行PPPoE拨号。

7.5.2  配置MPLS L3VPN

说明

本例中的Router AMPLS L3VPN中的角色是PE1,在BRAS中的角色是PPPoE Server,为了便于理解,配置步骤中在MPLS L3VPN部分Router A描述为PE1,在BRAS中描述为BRAS

 

1. MPLS骨干网上配置IGP协议(本例为OSPF协议),实现骨干网PEP的互通

(1)     配置PE 1

# 配置骨干网接口以及环回口地址。

<PE1> system-view

[PE1] interface loopback 0

[PE1-LoopBack0] ip address 1.1.1.9 32

[PE1-LoopBack0] quit

[PE1] interface gigabitethernet 3/1/2

[PE1-GigabitEthernet3/1/2] ip address 10.1.1.1 24

[PE1-GigabitEthernet3/1/2] quit

# 配置OSPF协议发布骨干网侧路由。

[PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0

[PE1-ospf-1-area-0.0.0.0] quit

[PE1-ospf-1] quit

(2)     配置P

# 配置骨干网接口以及环回口地址。

<P> system-view

[P] interface loopback 0

[P-LoopBack0] ip address 2.2.2.9 32

[P-LoopBack0] quit

[P] interface gigabitethernet 3/0/2

[P-GigabitEthernet3/0/2] ip address 10.1.1.2 24

[P-GigabitEthernet3/0/2] quit

[P] interface gigabitethernet 3/0/1

[P-GigabitEthernet3/0/1] ip address 10.1.4.1 24

[P-GigabitEthernet3/0/1] quit

# 配置OSPF协议发布骨干网侧路由。

[P] ospf

[P-ospf-1] area 0

[P-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0

[P-ospf-1-area-0.0.0.0] quit

[P-ospf-1] quit

(3)      配置PE 2

# 配置骨干网接口以及环回口地址。

<PE2> system-view

[PE2] interface loopback 0

[PE2-LoopBack0] ip address 3.3.3.9 32

[PE2-LoopBack0] quit

[PE2] interface gigabitethernet 3/0/1

[PE2-GigabitEthernet3/0/1] ip address 10.1.4.2 24

[PE2-GigabitEthernet3/0/1] quit

# 配置OSPF协议发布骨干网侧路由。

[PE2] ospf

[PE2-ospf-1] area 0

[PE2-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255

[PE2-ospf-1-area-0.0.0.0] network 3.3.3.9 0.0.0.0

[PE2-ospf-1-area-0.0.0.0] quit

[PE2-ospf-1] quit

配置完成后,PE 1PPE 2之间应能建立OSPF邻居,执行display ospf peer命令可以看到邻居达到Full状态。执行display ip routing-table命令可以看到PE之间学习到对方的Loopback路由。

PE 1为例:

[PE1] display ospf peer verbose

 

          OSPF Process 1 with Router ID 1.1.1.9

                  Neighbors

 

 Area 0.0.0.0 interface 10.1.1.1(GE3/1/2)'s neighbors

 Router ID: 2.2.2.9          Address: 10.1.1.2        GR State: Normal

   State: Full  Mode: Nbr is Master  Priority: 1

   DR: 10.1.1.2  BDR: 10.1.1.1  MTU: 0

   Options is 0x02 (-|-|-|-|-|-|E|-)

   Dead timer due in 38  sec

   Neighbor is up for 17:30:25

   Authentication Sequence: [ 0 ]

   Neighbor state change count: 6

   BFD status: Disabled

[PE1] display ip routing-table protocol ospf

 

Summary Count : 5

 

OSPF Routing table Status : <Active>

Summary Count : 3

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

2.2.2.9/32         O_INTRA 10  1           10.1.1.2        GE3/1/2

3.3.3.9/32         O_INTRA 10  2           10.1.1.2        GE3/1/2

10.1.4.0/24        O_INTRA 10  2           10.1.1.2        GE3/1/2

 

OSPF Routing table Status : <Inactive>

Summary Count : 2

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

1.1.1.9/32         O_INTRA 10  0           1.1.1.9         Loop0

10.1.1.0/24        O_INTRA 10  1           10.1.1.1        GE3/0/2

 

2. MPLS骨干网上配置MPLS基本能力和MPLS LDP,建立LDP LSP

(1)     配置PE 1

[PE1] mpls lsr-id 1.1.1.9

[PE1] mpls ldp

[PE1-ldp] quit

[PE1] interface gigabitethernet 3/1/2

[PE1-GigabitEthernet3/1/2] mpls enable

[PE1-GigabitEthernet3/1/2] mpls ldp enable

[PE1-GigabitEthernet3/1/2] quit

(2)     配置P

[P] mpls lsr-id 2.2.2.9

[P] mpls ldp

[P-ldp] quit

[P] interface gigabitethernet 3/0/2

[P-GigabitEthernet3/0/2] mpls enable

[P-GigabitEthernet3/0/2] mpls ldp enable

[P-GigabitEthernet3/0/2] quit

[P] interface gigabitethernet 3/0/1

[P-GigabitEthernet3/0/1] mpls enable

[P-GigabitEthernet3/0/1] mpls ldp enable

[P-GigabitEthernet3/0/1] quit

(3)     配置PE 2

[PE2] mpls lsr-id 3.3.3.9

[PE2] mpls ldp

[PE2-ldp] quit

[PE2] interface gigabitethernet 3/0/1

[PE2-GigabitEthernet3/0/1] mpls enable

[PE2-GigabitEthernet3/0/1] mpls ldp enable

[PE2-GigabitEthernet3/0/1] quit

上述配置完成后,PE 1PPE 2之间应能建立LDP会话,执行display mpls ldp peer命令可以看到LDP会话的状态为Operational。执行display mpls ldp lsp命令,可以看到LDP LSP的建立情况。

PE 1为例:

[PE1] display mpls ldp peer

Total number of peers: 1

Peer LDP ID             State         Role     GR   MD5  KA Sent/Rcvd

2.2.2.9:0               Operational   Passive  Off  Off  5/5

[PE1] display mpls ldp lsp

Status Flags: * - stale, L - liberal, B - backup

FECs: 4            Ingress: 1          Transit: 1      Egress: 3

 

FEC                In/Out Label        Nexthop         OutInterface

1.1.1.9/32         3/-

                   -/1151(L)

2.2.2.9/32         -/3                 10.1.1.2        GE3/1/2

                   1151/3              10.1.1.2        GE3/1/2

3.3.3.9/32         -/1150              10.1.1.2        GE3/1/2

                   1150/1150           10.1.1.2        GE3/1/2

3. PE设备上配置VPN实例,将CE接入PE

(1)     配置PE 1

# PE 1上为isp1创建名为“vpn_isp1”的VPN实例。

[PE1] ip vpn-instance vpn_isp1

# 为该实例配置RD100:1,用于形成VPNv4路由,以便区分不同用户相同网段的路由。

[PE1-vpn-instance-vpn_isp1] route-distinguisher 100:1

# 为该VPN实例配置VPN Target属性,其中接收路由的属性为111:1,发布路由的属性为222:1。(此处为表示接收和发送属性的含义,取值有所不同,为便于管理,用户可以将接收和发送的属性配置为相同的值)

[PE1-vpn-instance-vpn_isp1] vpn-target 111:1 import-extcommunity

[PE1-vpn-instance-vpn_isp1] vpn-target 222:1 export-extcommunity

[PE1-vpn-instance-vpn_isp1] quit

# 按同样方式为isp2创建名为“vpn_isp2”的VPN实例,并为其配置RD200:1,接收和发送的VPN Target属性分别为333:1444:1

[PE1] ip vpn-instance vpn_isp2

[PE1-vpn-instance-vpn_isp2] route-distinguisher 200:1

[PE1-vpn-instance-vpn_isp2] vpn-target 333:1 import-extcommunity

[PE1-vpn-instance-vpn_isp2] vpn-target 444:1 export-extcommunity

[PE1-vpn-instance-vpn_isp2] quit

说明

因用户PPPoE拨号成功后,担任PE1BRAS设备会自动将为该用户分配的IP地址对应的主机路由添加到用户所属VPN实例路由表中,所以不需要在PE 1VPN实例与用户接入接口绑定。

 

(2)     配置PE 2

# PE 2上为isp1名为“vpn_isp1”的创建VPN实例。

[PE2] ip vpn-instance vpn_isp1

# 为该VPN实例配置RD,为便于识别,建议与PE 1上为该实例配置的RD保持一致。

[PE2-vpn-instance-vpn_isp1] route-distinguisher 100:1

# 为该VPN实例配置VPN Target,需要注意的是接收和发送的属性要分别与PE 1上配置的发送和接收的属性保持一致。

[PE2-vpn-instance-vpn_isp1] vpn-target 222:1 import-extcommunity

[PE2-vpn-instance-vpn_isp1] vpn-target 111:1 export-extcommunity

[PE2-vpn-instance-vpn_isp1] quit

# 按同样方式配置VPN实例“vpn_isp2”,并配置相应的RDVPN Target

[PE2] ip vpn-instance vpn_isp2

[PE2-vpn-instance-vpn_isp2] route-distinguisher 200:1

[PE2-vpn-instance-vpn_isp2] vpn-target 444:1 import-extcommunity

[PE2-vpn-instance-vpn_isp2] vpn-target 333:1 export-extcommunity

[PE2-vpn-instance-vpn_isp2] quit

# 分别将GigabitEthernet3/0/2GigabitEthernet3/0/3vpn_isp1vpn_isp2实例进行绑定。

[PE2] interface gigabitethernet 3/0/2

[PE2-GigabitEthernet3/0/2] ip binding vpn-instance vpn_isp1

[PE2-GigabitEthernet3/0/2] ip address 101.1.1.1 24

[PE2-GigabitEthernet3/0/2] quit

[PE2] interface gigabitethernet 3/0/3

[PE2-GigabitEthernet3/0/3] ip binding vpn-instance vpn_isp2

[PE2-GigabitEthernet3/0/3] ip address 202.1.1.1 24

[PE2-GigabitEthernet3/0/3] quit

(3)     配置CE

26配置各CE的接口IP地址,配置过程略。

4. PECE之间建立EBGP对等体,引入VPN路由

(1)     配置PE 1

# PE 1上创建BGP进程100

[PE1] bgp 100

说明

因用户PPPoE拨号成功后,担任PE1BRAS设备会自动将为该用户分配的IP地址对应的主机路由添加到用户所属VPN实例路由表中,所以在PE 1上直接将用户主机的直连路由引入到BGP-VPN实例路由表中即可

 

# PE 1vpn_isp1实例路由表中的直连路由引入到BGP-VPN实例路由表中。

[PE1-bgp] ip vpn-instance vpn_isp1

[PE1-bgp-vpn_isp1] address-family ipv4 unicast

[PE1-bgp-ipv4-vpn_isp1] import-route direct

[PE1-bgp-ipv4-vpn_isp1] quit

[PE1-bgp-vpn_isp1] quit

# PE 1vpn_isp2实例路由表中的直连路由引入到BGP-VPN实例路由表中。

[PE1-bgp] ip vpn-instance vpn_isp2

[PE1-bgp-vpn_isp2] address-family ipv4 unicast

[PE1-bgp-ipv4-vpn_isp2] import-route direct

[PE1-bgp-ipv4-vpn_isp2] quit

[PE1-bgp-vpn_isp2] quit

[PE1-bgp] quit

(2)     配置PE 2

# PE 2上创建BGP进程100

[PE2] bgp 100

# CE 1指定为对等体,并将PE 2的直连路由引入到BGP-VPN实例路由表中。

[PE2-bgp] ip vpn-instance vpn_isp1

[PE2-bgp-vpn_isp1] peer 101.1.1.2 as-number 65430

[PE2-bgp-vpn_isp1] address-family ipv4 unicast

[PE2-bgp-ipv4-vpn_isp1] peer 101.1.1.2 enable

[PE2-bgp-ipv4-vpn_isp1] import-route direct

[PE2-bgp-ipv4-vpn_isp1] quit

[PE2-bgp-vpn_isp1] quit

# CE 2指定为对等体,并将PE 2的直连路由引入到BGP-VPN实例路由表中。

[PE2-bgp] ip vpn-instance vpn_isp2

[PE2-bgp-vpn_isp2] peer 202.1.1.2 as-number 65430

[PE2-bgp-vpn_isp2] address-family ipv4 unicast

[PE2-bgp-ipv4-vpn_isp2] peer 202.1.1.2 enable

[PE2-bgp-ipv4-vpn_isp2] import-route direct

[PE2-bgp-ipv4-vpn_isp2] quit

[PE2-bgp-vpn_isp2] quit

[PE2-bgp] quit

(3)     配置CE1

# CE 1上创建BGP进程65430,并指定PE 2为对等体,对等体自治系统号为100

<CE1> system-view

[CE1] bgp 65430

[CE1-bgp] peer 101.1.1.1 as-number 100

# 使能CE1与对等体101.1.1.1交换IPv4单播路由信息的能力。

[CE1-bgp] address-family ipv4 unicast

[CE1-bgp-ipv4] peer 101.1.1.1 enable

# CE 1上连接站点的直连接口路由引入EBGP

[CE1-bgp-ipv4] import-route direct

[CE1-bgp-ipv4] quit

[CE1-bgp] quit

(4)     配置CE2

# CE2上创建BGP进程65430,并指定PE 2为对等体,对等体自治系统号为100

<CE2> system-view

[CE2] bgp 65430

[CE2-bgp] peer 202.1.1.1 as-number 100

# 使能CE2与对等体202.1.1.1交换IPv4单播路由信息的能力。

[CE2-bgp] address-family ipv4 unicast

[CE2-bgp-ipv4] peer 202.1.1.1 enable

# CE 2上连接站点的直连接口路由引入EBGP

[CE2-bgp-ipv4] import-route direct

[CE2-bgp-ipv4] quit

[CE2-bgp] quit

5. PE之间建立MP-IBGP对等体

(1)     配置PE 1

# PE 1上配置PE 2BGP对等体,并指定连接时使用的接口为Loopback0接口。

[PE1] bgp 100

[PE1-bgp] peer 3.3.3.9 as-number 100

[PE1-bgp] peer 3.3.3.9 connect-interface loopback 0

# 进入BGP-VPNv4地址族视图,指定PE 2为对等体。

[PE1-bgp] address-family vpnv4

[PE1-bgp-vpnv4] peer 3.3.3.9 enable

[PE1-bgp-vpnv4] quit

[PE1-bgp] quit

(2)     配置PE 2

# PE 2上配置PE 1BGP对等体,并指定连接时使用的接口为Loopback0接口。

[PE2] bgp 100

[PE2-bgp] peer 1.1.1.9 as-number 100

[PE2-bgp] peer 1.1.1.9 connect-interface loopback 0

# 进入BGP-VPNv4地址族视图,指定PE 1为对等体。

[PE2-bgp] address-family vpnv4

[PE2-bgp-vpnv4] peer 1.1.1.9 enable

[PE2-bgp-vpnv4] quit

[PE2-bgp] quit

配置完成后PE设备上执行display bgp peer vpnv4命令可以看到PE之间的BGP对等体关系已建立并达到Established状态。

[PE1] display bgp peer vpnv4

 

 BGP local router ID: 1.1.1.9

 Local AS number: 100

 Total number of peers: 1                  Peers in established state: 1

 

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

 

  3.3.3.9                100        8        8    0       0 00:00:08 Established

# PE设备上执行display ip routing-table vpn-instance命令,可以看到去往对端CE1的路由。

PE 1上的vpn_isp1为例:

[PE1] display ip routing-table vpn-instance vpn_isp1

 

Destinations : 9        Routes : 9

 

Destination/Mask    Proto  Pre  Cost         NextHop         Interface

0.0.0.0/32          Direct 0    0            127.0.0.1       InLoop0

101.1.1.0/24        BGP    255  0            3.3.3.9         GE3/1/2

127.0.0.0/8         Direct 0    0            127.0.0.1       InLoop0

127.0.0.0/32        Direct 0    0            127.0.0.1       InLoop0

127.0.0.1/32        Direct 0    0            127.0.0.1       InLoop0

127.255.255.255/32  Direct 0    0            127.0.0.1       InLoop0

224.0.0.0/4         Direct 0    0            0.0.0.0         NULL0

224.0.0.0/24        Direct 0    0            0.0.0.0         NULL0

255.255.255.255/32  Direct 0    0            127.0.0.1       InLoop0

7.5.3  配置DHCP服务器

# 26下表配置接口GigabitEthernet3/0/1IP地址,配置过程略。

# 全局使能DHCP

<DHCP-server> system-view

[DHCP-server] dhcp enable

# 创建用户未认证前使用的地址池pool1并进入其视图。

[DHCP-server] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段5.5.5.0/24,分配的网关地址5.5.5.1DNS服务器地址8.8.8.8

[DHCP-server-pool-pool1] network 5.5.5.0 24

[DHCP-server-pool-pool1] gateway-list 5.5.5.1

[DHCP-server-pool-pool1] dns-list 8.8.8.8

# 5.5.5.1设置为禁止分配地址。

[DHCP-server-pool-pool1] forbidden-ip 5.5.5.1

[DHCP-server-pool-pool1] quit

# isp1中用户创建名字为pool2地址池并进入其视图。

[DHCP-server] dhcp server ip-pool pool2

# 配置地址池动态分配的IP地址网段6.6.6.0/24,分配的网关地址6.6.6.1DNS服务器地址8.8.8.8

[DHCP-server-pool-pool2] network 6.6.6.0 24

[DHCP-server-pool-pool2] gateway-list 6.6.6.1

[DHCP-server-pool-pool2] dns-list 8.8.8.8

# 6.6.6.1设置为禁止分配地址。

[DHCP-server-pool-pool2] forbidden-ip 6.6.6.1

[DHCP-server-pool-pool2] quit

# isp2中用户创建名字为pool3地址池并进入其视图。

[DHCP-server] dhcp server ip-pool pool3

# 配置地址池动态分配的IP地址网段7.7.7.0/24,分配的网关地址7.7.7.1DNS服务器地址8.8.8.8

[DHCP-server-pool-pool3] network 7.7.7.0 24

[DHCP-server-pool-pool3] gateway-list 7.7.7.1

[DHCP-server-pool-pool3] dns-list 8.8.8.8

# 7.7.7.1设置为禁止分配地址。

[DHCP-server-pool-pool3] forbidden-ip 7.7.7.1

[DHCP-server-pool-pool3] quit

# 配置到PPPoE Server(即BRAS)的缺省路由。

[DHCP] ip route-static 0.0.0.0 0 4.4.4.1

7.5.4  配置BRAS

1. 配置内网的不计费和但限速5M类型的QoS策略

说明

本例中以用户网段(包含PPPoE认证前用户网段5.5.5.0/24vpn_isp1中用户网段6.6.6.0/24vpn_isp2中用户网段7.7.7.0/24三个用户网段)和服务器网段4.4.4.0/24作为内网网段进行举例。

 

(1)     配置用户未PPPoE拨号认证前QoS策略

# 配置ACL规则列表3000

<BRAS> system-view

[BRAS] acl number 3000

# 配置匹配用户未PPPoE拨号认证前(用户网段为5.5.5.0/24)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-adv-3000] rule 0 permit ip source 5.5.5.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

[BRAS-acl-adv-3000] rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 5.5.5.0 0.0.0.255

# 配置匹配用户未PPPoE拨号认证前(用户网段为5.5.5.0/24)用户间互访的报文。

[BRAS-acl-adv-3000] rule 20 permit ip source 5.5.5.0 0.0.0.255 destination 5.5.5.0 0.0.0.255

[BRAS-acl-adv-3000] quit

# 配置流分类器3000,并设置流匹配规则为ACL 3000的用户报文。

[BRAS] traffic classifier 3000 operator and

[BRAS-classifier-3000] if-match acl 3000

[BRAS-classifier-3000] quit

# 定义流行为3000配置采用流量统计并限速5000kbps

[BRAS] traffic behavior 3000

[BRAS-behavior-3000] accounting byte

[BRAS-behavior-3000] car cir 5000

[BRAS-behavior-3000] quit

# 定义策略only_neiwang绑定流分类及行为。

[BRAS] qos policy only_neiwang

[BRAS-qospolicy-only_neiwang] classifier 3000 behavior 3000

[BRAS-qospolicy-only_neiwang] quit

# 进入接口GigabitEthernet3/1/1.1视图。

[BRAS] interface gigabitethernet 3/1/1.1

# 配置当前接口上应用QoS策略only_neiwang

[BRAS–GigabitEthernet3/1/1.1] qos apply policy only_neiwang inbound

[BRAS–GigabitEthernet3/1/1.1] qos apply policy only_neiwang outbound

[BRAS–GigabitEthernet3/1/1.1] quit

(2)     配置用户PPPoE拨号认证后的QoS策略

# 配置ACL规则列表3001

[BRAS] acl number 3001

# 配置匹配PPPoE拨号认证后vpn_isp1中用户(用户网段为6.6.6.0/24)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-adv-3001] rule 10 permit ip source 6.6.6.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

[BRAS-acl-adv-3001] rule 20 permit ip source 4.4.4.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

# 配置匹配PPPoE拨号认证后vpn_isp1中用户(用户网段为6.6.6.0/24)间互访的报文。

[BRAS-acl-adv-3001] rule 30 permit ip source 6.6.6.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

# 配置匹配PPPoE拨号认证后vpn_isp2中用户(用户网段为7.7.7.0/24)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-adv-3001] rule 40 permit ip source 7.7.7.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

[BRAS-acl-adv-3001] rule 50 permit ip source 4.4.4.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

# 配置匹配PPPoE拨号认证后vpn_isp2中用户(用户网段为7.7.7.0/24)间互访的报文。

[BRAS-acl-adv-3001] rule 60 permit ip source 7.7.7.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

[BRAS-acl-adv-3001] quit

说明

因设备ACL规则缺省为无(即缺省既不是Permit也不是Deny),对于没匹配到的流量该ACL不作处理,所以请不要在ACL 3001中最后再配置一条Deny所有报文的规则(例如:rule 70 deny ip),否则将造成设备执行策略nei_waiwang_share时,classifier 3001 behavior 3001之后的所有CB对匹配不到任何用户流量。

 

# 配置流分类器3001,并设置流匹配规则为ACL 3001且已认证的用户报文。

[BRAS] traffic classifier 3001 operator and

[BRAS-classifier-3001] if-match acl 3001

[BRAS-classifier-3001] if-match authenticated-user

[BRAS-classifier-3001] quit

# 定义流行为3001,并配置标记计费级别为1,采用流量统计并限速5000kbps

[BRAS] traffic behavior 3001

[BRAS-behavior-3001] remark account-level 1

[BRAS-behavior-3001] accounting byte

[BRAS-behavior-3001] car cir 5000

[BRAS-behavior-3001] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier 3001 behavior 3001

[BRAS-qospolicy-nei_waiwang_share] quit

2. 配置访问外网的计费和限速类型的QoS策略

# 配置ACL规则列表3002

[BRAS] acl number 3002

# 配置匹配所有报文。

[BRAS-acl-adv-3002] rule 0 permit ip

[BRAS-acl-adv-3002] quit

# 配置流分类器cl_user1,并设置流匹配规则为用户VLAN 11ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user1 operator and

[BRAS-classifier-cl_user1] if-match customer-vlan-id 11

[BRAS-classifier-cl_user1] if-match acl 3002

[BRAS-classifier-cl_user1] if-match authenticated-user

[BRAS-classifier-cl_user1] quit

# 配置流分类器cl_user2,并设置流匹配规则为用户VLAN 12ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user2 operator and

[BRAS-classifier-cl_user2] if-match customer-vlan-id 12

[BRAS-classifier-cl_user2] if-match acl 3002

[BRAS-classifier-cl_user2] if-match authenticated-user

[BRAS-classifier-cl_user2] quit

# 配置流分类器cl_user3,并设置流匹配规则为用户VLAN 13ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user3 operator and

[BRAS-classifier-cl_user3] if-match customer-vlan-id 13

[BRAS-classifier-cl_user3] if-match acl 3002

[BRAS-classifier-cl_user3] if-match authenticated-user

[BRAS-classifier-cl_user3] quit

# 配置流分类器cl_user4,并设置流匹配规则为用户VLAN 14ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user4 operator and

[BRAS-classifier-cl_user4] if-match customer-vlan-id 14

[BRAS-classifier-cl_user4] if-match acl 3002

[BRAS-classifier-cl_user4] if-match authenticated-user

[BRAS-classifier-cl_user4] quit

# 定义流行为be_2M,标记计费级别为2,采用流量统计并限速2000kbps

[BRAS] traffic behavior be_2M

[BRAS-behavior-be_2M] remark account-level 2

[BRAS-behavior-be_2M] accounting byte

[BRAS-behavior-be_2M] car cir 2000

[BRAS-behavior-be_2M] quit

# 定义流行为be_5M,标记计费级别为3,采用流量统计并限速5000kbps

[BRAS] traffic behavior be_5M

[BRAS-behavior-be_5M] remark account-level 3

[BRAS-behavior-be_5M] accounting byte

[BRAS-behavior-be_5M] car cir 5000

[BRAS-behavior-be_5M] quit

# 定义流行为be_10M,标记计费级别为4,采用流量统计并限速10000kbps

[BRAS] traffic behavior be_10M

[BRAS-behavior-be_10M] remark account-level 4

[BRAS-behavior-be_10M] accounting byte

[BRAS-behavior-be_10M] car cir 10000

[BRAS-behavior-be_10M] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user1 behavior be_2M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user2 behavior be_5M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user3 behavior be_5M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user4 behavior be_10M

[BRAS-qospolicy-nei_waiwang_share] quit

3. 配置User Profile

# 创建User Profileu_profile并调用QoS策略nei_waiwang_share

[BRAS] user-profile u_profile

[BRAS-user-profile-u_profile] qos apply policy nei_waiwang_share inbound

[BRAS-user-profile-u_profile] qos apply policy nei_waiwang_share outbound

[BRAS-user-profile-u_profile] quit

4. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRAS] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRAS-radius-rs1] primary authentication 4.4.4.2

[BRAS-radius-rs1] primary accounting 4.4.4.2

[BRAS-radius-rs1] key authentication simple 123456

[BRAS-radius-rs1] key accounting simple 123456

# 使能RADIUS认证方案rs1accounting-on功能。

[BRAS-radius-rs1] accounting-on enable

# RADIUS方案rs1的实时计费的时间间隔设置为12分钟。

[BRAS-radius-rs1] timer realtime-accounting 12

[BRAS-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRAS] radius dynamic-author server

[BRAS-radius-da-server] client ip 4.4.4.2 key simple 123456

[BRAS-radius-da-server] quit

5. 配置ITA策略

# 配置ITA策略pl_ita,配置ITA计费服务器为rs1

[BRAS] ita policy pl_ita

[BRAS-ita-policy-pl_ita] accounting-method radius-scheme rs1

# 配置计费级别。

[BRAS-ita-policy-pl_ita] accounting-level 1 ipv4

[BRAS-ita-policy-pl_ita] accounting-level 2 ipv4

[BRAS-ita-policy-pl_ita] accounting-level 3 ipv4

[BRAS-ita-policy-pl_ita] accounting-level 4 ipv4

6. 配置DHCP中继

# 全局使能DHCP

[BRAS] dhcp enable

# 进入接口GigabitEthernet3/1/1.1视图。

[BRAS] interface gigabitethernet 3/1/1.1

# 配置接口工作在中继模式。

[BRAS–GigabitEthernet3/1/1.1] dhcp select relay

# 配置中继接口IP地址为5.5.5.1/24,并为DHCP中继指定DHCP服务器的地址为4.4.4.3

[BRAS–GigabitEthernet3/1/1.1] ip address 5.5.5.1 255.255.255.0

[BRAS–GigabitEthernet3/1/1.1] dhcp relay server-address 4.4.4.3

[BRAS–GigabitEthernet3/1/1.1] quit

# 启用DHCP中继的用户地址表项记录功能。

[BRAS] dhcp relay client-information record

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool1

[BRAS-dhcp-pool-pool1] gateway-list 6.6.6.1 export-route

[BRAS-dhcp-pool-pool1] remote-server 4.4.4.3

# 指定中继地址池pool1所在的VPNvpn_isp1

[BRAS-dhcp-pool-pool1] vpn-instance vpn_isp1

[BRAS-dhcp-pool-pool1] quit

# 创建中继地址池pool2,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool2

[BRAS-dhcp-pool-pool2] gateway-list 7.7.7.1 export-route

[BRAS-dhcp-pool-pool2] remote-server 4.4.4.3

# 指定中继地址池pool2所在的VPNvpn_isp2

[BRAS-dhcp-pool-pool2] vpn-instance vpn_isp2

[BRAS-dhcp-pool-pool2] quit

7. 配置认证域

# 创建并进入名字为isp1ISP域。

[BRAS] domain isp1

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp1] authentication ppp radius-scheme rs1

[BRAS-isp-isp1] authorization ppp radius-scheme rs1

[BRAS-isp-isp1] accounting ppp radius-scheme rs1

# 配置当前isp1使用的ITA策略pl_ita

[BRAS-isp-isp1] ita-policy pl_ita

# 配置当前isp1域下的用户授权地址池及指定用户的授权User Profile

[BRAS-isp-isp1] authorization-attribute ip-pool pool1

[BRAS-isp-isp1] authorization-attribute user-profile u_profile

# 配置当前isp1域下的用户授权VPN

[BRAS-isp-isp1] authorization-attribute vpn-instance vpn_isp1

[BRAS-isp-isp1] quit

# 创建并进入名字为isp2ISP域。

[BRAS] domain isp2

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp2] authentication ppp radius-scheme rs1

[BRAS-isp-isp2] authorization ppp radius-scheme rs1

[BRAS-isp-isp2] accounting ppp radius-scheme rs1

# 配置当前isp2使用的ITA策略pl_ita

[BRAS-isp-isp2] ita-policy pl_ita

# 配置当前isp2域下的用户授权地址池及指定用户的授权User Profile

[BRAS-isp-isp2] authorization-attribute ip-pool pool2

[BRAS-isp-isp2] authorization-attribute user-profile u_profile

# 配置当前isp2域下的用户授权VPN

[BRAS-isp-isp2] authorization-attribute vpn-instance vpn_isp2

[BRAS-isp-isp2] quit

8. 配置虚拟模板接口

# 创建虚拟模板接口1,并开启PPP计费统计和CHAP认证功能。

[BRAS] interface virtual-template 1

[BRAS-Virtual-Template1] ppp account-statistics enable

[BRAS-Virtual-Template1] ppp authentication-mode chap

# 配置虚拟模板接口1IP地址用于IPCP协商(随便配置一个地址即可)。

[BRAS-Virtual-Template1] ip address 101.101.101.101 255.255.255.0

[BRAS-Virtual-Template1] quit

# 为虚拟模板1创建容量为1000VA池。

[BRAS] pppoe-server virtual-template 1 slot 3 va-pool 1000

9. 配置VLAN终结

# 在用户的接入子接口GigabitEthernet3/1/1.1配置VLAN终结,并绑定虚拟模板接口1

[BRAS] interface gigabitethernet 3/1/1.1

[BRAS-GigabitEthernet3/1/1.1] vlan-type dot1q vid 101 second-dot1q 11 to 14

[BRAS-GigabitEthernet3/1/1.1] pppoe-server bind virtual-template 1

# 配置允许当前接口发送广播和组播报文

[BRAS-GigabitEthernet3/1/1.1] vlan-termination broadcast enable

# 开启当前接口上的本地代理ARP功能。

[BRAS-GigabitEthernet3/1/1.1] local-proxy-arp enable

[BRAS-GigabitEthernet3/1/1.1] quit

10. 配置策略路由

说明

为保证VPN间流量正常转发,需要配置静态路由和策略路由。

 

(1)     通过配置静态路由,将VPN内的DHCP请求方向的流量引入到DHCP服务器端

# 配置静态路由,将vpn_isp1内的DHCP请求方向的流量引入到DHCP服务器端。

[BRAS] ip route-static vpn-instance vpn_isp1 4.4.4.0 24 4.4.4.3 public

# 配置静态路由,将vpn_isp2内的DHCP请求方向的流量引入到DHCP服务器端。

[BRAS] ip route-static vpn-instance vpn_isp2 4.4.4.0 24 4.4.4.3 public

(2)     通过配置策略路由,将DHCP服务器回应的流量导入到DHCP客户端所在的VPN

# 创建ACL 3010匹配目的为6.6.6.0/24网段的报文。

[BRAS] acl number 3010

[BRAS-acl-adv-3010] rule 0 permit ip destination 6.6.6.0 0.0.0.255

[BRAS-acl-adv-3010] quit

# 创建ACL 3020匹配目的为7.7.7.0/24网段的报文。

[BRAS] acl number 3020

[BRAS-acl-adv-3020] rule 0 permit ip destination 7.7.7.0 0.0.0.255

[BRAS-acl-adv-3020] quit

# 创建一个策略dhcp_to_bras,其节点序号为0,匹配模式permit,指定匹配ACL 3010的报文在vpn_isp1内转发。

[BRAS] policy-based-route dhcp_to_bras permit node 0

[BRAS-pbr-dhcp_to_bras-0] if-match acl 3010

[BRAS-pbr-dhcp_to_bras-0] apply access-vpn vpn-instance vpn_isp1

[BRAS-pbr-dhcp_to_bras-0] quit

# 在策略dhcp_to_bras中再创建节点序号1,匹配模式permit,指定匹配ACL 3020的报文在vpn_isp2内转发。

[BRAS] policy-based-route dhcp_to_bras permit node 1

[BRAS-pbr-dhcp_to_bras-1] if-match acl 3020

[BRAS-pbr-dhcp_to_bras-1] apply access-vpn vpn-instance vpn_isp2

[BRAS-pbr-dhcp_to_bras-1] quit

# 在以太接口GigabitEthernet3/1/3上应用该策略路由dhcp_to_bras

[BRAS] interface gigabitethernet 3/1/3

[BRAS–GigabitEthernet3/1/3] ip policy-based-route dhcp_to_bras

[BRAS–GigabitEthernet3/1/3] quit

 

说明

·     为保证VPN实例与公网实例间流量正常转发(即保证用户PPPoE拨号成功后可以访问学校内容,例如可以访问P设备的lookback0的地址2.2.2.9),需要配置静态路由和策略路由。

·     VPN实例和公网实例间需要互访的网段在步骤(3)中配置的静态路由和步骤(4)ACL匹配的网段必须一一对应才能双向互通。

 

(3)     通过配置静态路由,将VPN实例内用户访问公网实例方向的流量引入到公网实例中

# 配置静态路由,允许vpn_isp1内的用户单向访问公网实例中的2.2.2.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp1 2.2.2.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp1内的用户单向访问公网实例中的3.3.3.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp1 3.3.3.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp2内的用户单向访问公网实例中的2.2.2.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp2 2.2.2.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp2内的用户单向访问公网实例中的3.3.3.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp2 3.3.3.0 24 10.1.1.2 public

(4)     通过配置策略路由,将公网实例中回应步骤(3)中的单向流量的流量导入到对应VPN

# 创建ACL 3030匹配源地址为2.2.2.0/243.3.3.0/24网段,目的为6.6.6.0/24网段的报文。

[BRAS] acl number 3030

[BRAS-acl-adv-3030] rule permit ip source 2.2.2.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

[BRAS-acl-adv-3030] rule permit ip source 3.3.3.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

[BRAS-acl-adv-3030] quit

# 创建ACL 3040匹配源地址为2.2.2.0/243.3.3.0/24网段,目的为7.7.7.0/24网段的报文。

[BRAS] acl number 3040

[BRAS-acl-adv-3040] rule permit ip source 2.2.2.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

[BRAS-acl-adv-3040] rule permit ip source 3.3.3.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

[BRAS-acl-adv-3040] quit

# 创建一个策略vpn_public,其节点序号为0,匹配模式permit,指定匹配ACL 3030的报文在vpn_isp1内转发。

[BRAS] policy-based-route vpn_public permit node 0

[BRAS-pbr-vpn_public-0] if-match acl 3030

[BRAS-pbr-vpn_public-0] apply access-vpn vpn-instance vpn_isp1

[BRAS-pbr-vpn_public-0] quit

# 在策略vpn_public中再创建节点序号1,匹配模式permit,指定匹配ACL 3040的报文在vpn_isp2内转发。

[BRAS] policy-based-route vpn_public permit node 1

[BRAS-pbr-vpn_public-1] if-match acl 3040

[BRAS-pbr-vpn_public-1] apply access-vpn vpn-instance vpn_isp2

[BRAS-pbr-vpn_public-1] quit

# 在以太接口GigabitEthernet3/1/2上应用该策略路由vpn_public

[BRAS] interface gigabitethernet 3/1/2

[BRAS–GigabitEthernet3/1/2] ip policy-based-route vpn_public

[BRAS–GigabitEthernet3/1/2] quit

(5)     PE1上宣告PPPoE认证前用户网段的路由

# PE1上的OSPF进程中宣告5.5.5.0/24网段,以便PPE2可以学习到相应的路由。

[PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 5.5.5.0 0.0.0.255

[PE1-ospf-1-area-0.0.0.0] quit

[PE1-ospf-1] quit

(6)     配置P上到PPPoE用户网段的路由

# P上配置到6.6.6.0/247.7.7.0/24网段的静态路由

[P] ip route-static 6.6.6.0 24 10.1.1.1

[P] ip route-static 7.7.7.0 24 10.1.1.1

(7)     配置PE2上到PPPoE用户网段的路由

# PE2上配置到6.6.6.0/247.7.7.0/24网段的静态路由

[PE2] ip route-static 6.6.6.0 24 10.1.4.1

[PE2] ip route-static 7.7.7.0 24 10.1.4.1

7.5.5  配置Switch A

# 创建运营商VLAN 101

<SwitchA> system-view

[SwitchA] vlan 101

[SwitchA-vlan101] quit

# 配置端口GigabitEthernet3/0/1Hybrid模式,并允许运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[SwitchA] interface gigabitethernet 3/0/1

[SwitchA-GigabitEthernet3/0/1] port link-type hybrid

[SwitchA-GigabitEthernet3/0/1] port hybrid vlan 101 tagged

[SwitchA-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchA] interface range gigabitethernet 3/0/2 to gigabitethernet 3/0/3

[SwitchA-if-range] port link-type trunk

[SwitchA-if-range] port trunk permit vlan 101

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3的缺省VLAN为运营商VLAN 101,并启用端口QinQ功能。

[SwitchA-if-range] port trunk pvid vlan 101

[SwitchA-if-range] qinq enable

[SwitchA-if-range] quit

7.5.6  配置Switch B

# 创建用户VLAN 1112

[SwitchB] vlan 11 to 12

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 11VLAN 12的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 11 12

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 11

[SwitchB] interface gigabitethernet 3/0/2

[SwitchB-GigabitEthernet3/0/2] port access vlan 11

[SwitchB-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 12

[SwitchB] interface gigabitethernet 3/0/3

[SwitchB-GigabitEthernet3/0/3] port access vlan 12

[SwitchB-GigabitEthernet3/0/3] quit

7.5.7  配置Switch C

# 创建用户VLAN 1314

[SwitchC] vlan 13 to 14

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 13VLAN 14的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 13 14

[SwitchC-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 13

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] port access vlan 13

[SwitchC-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 14

[SwitchC] interface gigabitethernet 3/0/3

[SwitchC-GigabitEthernet3/0/3] port access vlan 14

[SwitchC-GigabitEthernet3/0/3] quit

7.6  验证配置

# 下面以用户主机Host A为例进行说明。

(1)     Host A未拨号认证前,

#使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。<BRAS>display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1              N/A

以上信息表明,用户Host APPPoE拨号认证前,可以态获取到IP地址5.5.5.2。用户使用该IP地址仅可以访问学校内网。

(2)     Host A使用用户名:User1@isp1和密码:pass1拨号接入BRAS设备后

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

<BRAS> display dhcp relay client-information

Total number of client-information items: 2

Total number of dynamic items: 2

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1            N/A

6.6.6.2          e839-3563-fb21   Dynamic     VA0                  vpn_isp1

以上信息表明,用户Host A使用@isp1后缀的用户名PPPoE拨号认证后,又态获取到在vpn_isp1中的IP地址6.6.6.2

# 查看用户User1@isp1的详细信息。

<BRAS>display ppp access-user username user1@isp1

Basic:

  Interface: VA0

  User ID: 0x20000001

  Username: User1@isp1                //PPPoE拨号使用的用户名

  Domain: isp1                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 6.6.6.2                 //DHCP Server为用户分配的IP地址

  IPv6 address: -

  IPv6 PD prefix: -

  VPN instance: vpn_isp1             //用户所属VPN

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Closed

  Realtime accounting interval: -

  Login time: 2022-2-3  16:8:50:841

  Accounting start time: 2022-2-3  16:8:50:861

  Online time(hh:mm:ss): 0:0:7

  Accounting state: Accounting

  Idle cut: 0 sec  0 byte

  Session timeout: -

  Time remained: -

  Byte remained: -

  Redirect WebURL: -

 

ACL&QoS:

  User profile: u_profile (active)

  User group profile: -

  Inbound CAR: -

  Outbound CAR: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 119/11753

  IPv4 downlink packets/bytes: 73/6350

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

 

ITA:

  Level-1 uplink   packets/bytes: 109/11653

          downlink packets/bytes: 0/0

  Level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-3 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-4 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

# 查看vpn_isp1中的路由。

<BRAS> display ip routing-table vpn-instance vpn_isp1

 

Destinations : 20        Routes : 20

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

2.2.2.0/24         Static  60  0           10.1.1.2        GE3/1/2

3.3.3.0/24         Static  60  0           10.1.1.2        GE3/1/2

4.4.4.0/24         Static  60  0           4.4.4.3         GE3/1/3

6.6.6.1/32         Direct  0   0           127.0.0.1       InLoop0

6.6.6.2/32         Direct  0   0           6.6.6.2         VA0

10.1.1.0/24        Static  60  0           10.1.1.2        GE3/1/2

10.1.4.0/24        Static  60  0           10.1.1.2        GE3/1/2

101.1.1.0/24       BGP     255 0           3.3.3.9         GE3/1/2

101.101.101.0/24   Direct  0   0           101.101.101.101 VA0

101.101.101.0/32   Direct  0   0           101.101.101.101 VA0

101.101.101.101/32 Direct  0   0           127.0.0.1       InLoop0

101.101.101.255/32 Direct  0   0           101.101.101.101 VA0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

以上信息表明,在vpn_isp1中已有到内网(例如:2.2.2.0/24网段)和外网(101.1.1.0/24网段)的相应路由,用户可以使用获取到的IP地址6.6.6.2同时访问学校内网和外网,且访问外网时走的是ISP1出口。

(3)     Host A使用用户名:User1@isp2和密码:pass1拨号接入BRAS设备后

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

<BRAS> display dhcp relay client-information

Total number of client-information items: 2

Total number of dynamic items: 2

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1            N/A

7.7.7.2          e839-3563-fb21   Dynamic     VA0                  vpn_isp2

以上信息表明,用户Host A使用@isp2后缀的用户名PPPoE拨号认证后,又态获取到在vpn_isp2中的IP地址7.7.7.2

# 查看用户User1@isp2的详细信息。

<BRAS>display ppp access-user username user1@isp2

Basic:

  Interface: VA0

  User ID: 0x20000001

  Username: User1@isp2                //PPPoE拨号使用的用户名

  Domain: isp2                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 7.7.7.2                 //DHCP Server为用户分配的IP地址

  IPv6 address: -

  IPv6 PD prefix: -

  VPN instance: vpn_isp2             //用户所属VPN

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Closed

  Realtime accounting interval: -

  Login time: 2022-2-3  16:10:37:389

  Accounting start time: 2022-2-3  16:10:37:412

  Online time(hh:mm:ss): 0:0:4

  Accounting state: Accounting

  Idle cut: 0 sec  0 byte

  Session timeout: -

  Time remained: -

  Byte remained: -

  Redirect WebURL: -

 

ACL&QoS:

  User profile: u_profile (active)

  User group profile: -

  Inbound CAR: -

  Outbound CAR: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 56/5676

  IPv4 downlink packets/bytes: 0/0

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

 

ITA:

  Level-1 uplink   packets/bytes: 46/5576

          downlink packets/bytes: 0/0

  Level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-3 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-4 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

# 查看vpn_isp2中的路由。

<BRAS> display ip routing-table vpn-instance vpn_isp2

 

Destinations : 20        Routes : 20

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

2.2.2.0/24         Static  60  0           10.1.1.2        GE3/1/2

3.3.3.0/24         Static  60  0           10.1.1.2        GE3/1/2

4.4.4.0/24         Static  60  0           4.4.4.3         GE3/1/3

7.7.7.1/32         Direct  0   0           127.0.0.1       InLoop0

7.7.7.2/32         Direct  0   0           7.7.7.2         VA0

10.1.1.0/24        Static  60  0           10.1.1.2        GE3/1/2

10.1.4.0/24        Static  60  0           10.1.1.2        GE3/1/2

101.101.101.0/24   Direct  0   0           101.101.101.101 VA0

101.101.101.0/32   Direct  0   0           101.101.101.101 VA0

101.101.101.101/32 Direct  0   0           127.0.0.1       InLoop0

101.101.101.255/32 Direct  0   0           101.101.101.101 VA0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

202.1.1.0/24       BGP     255 0           3.3.3.9         GE3/1/2

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

[PE1]

以上信息表明,在vpn_isp2中已有到内网(例如:2.2.2.0/24网段)和外网(202.1.1.0/24网段)的相应路由,用户可以使用获取到的IP地址7.7.7.2同时访问学校内网和外网,且访问外网时走的是ISP2出口。

7.7  配置文件

·     DHCP-server

#

 dhcp enable

#

dhcp server ip-pool pool1

 gateway-list 5.5.5.1

 network 5.5.5.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 5.5.5.1

#

dhcp server ip-pool pool2

 gateway-list 6.6.6.1

 network 6.6.6.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 6.6.6.1

#

dhcp server ip-pool pool3

 gateway-list 7.7.7.1

 network 7.7.7.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 7.7.7.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 4.4.4.3 255.255.255.0

#

 ip route-static 0.0.0.0 0 4.4.4.1

#

·     PE 1BRAS):

#

ip vpn-instance vpn_isp1

 route-distinguisher 100:1

 vpn-target 111:1 import-extcommunity

 vpn-target 222:1 export-extcommunity

#

ip vpn-instance vpn_isp2

 route-distinguisher 200:1

 vpn-target 333:1 import-extcommunity

 vpn-target 444:1 export-extcommunity

#

ospf 1

 area 0.0.0.0

  network 1.1.1.9 0.0.0.0

  network 5.5.5.0 0.0.0.255

  network 10.1.1.0 0.0.0.255

#

 mpls lsr-id 1.1.1.9

#

 dhcp enable

 dhcp relay client-information record

#

traffic classifier 3000 operator and

 if-match acl 3000

#

traffic classifier 3001 operator and

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user1 operator and

 if-match customer-vlan-id 11

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user2 operator and

 if-match customer-vlan-id 12

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user3 operator and

 if-match customer-vlan-id 13

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user4 operator and

 if-match customer-vlan-id 14

 if-match acl 3002

 if-match authenticated-user

#

traffic behavior 3000

 accounting byte

 car cir 5000 cbs 312500 ebs 0 red discard

#

traffic behavior 3001

 accounting byte

 remark account-level 1

 car cir 5000 cbs 312500 ebs 0 red discard

#

traffic behavior be_10M

 accounting byte

 remark account-level 4

 car cir 10000 cbs 625000 ebs 0 red discard

#

traffic behavior be_2M

 accounting byte

 remark account-level 2

 car cir 2000 cbs 125000 ebs 0 red discard

#

traffic behavior be_5M

 accounting byte

 remark account-level 3

 car cir 5000 cbs 312500 ebs 0 red discard

#

qos policy nei_waiwang_share

 classifier 3001 behavior 3001

 classifier cl_user1 behavior be_2M

 classifier cl_user2 behavior be_5M

 classifier cl_user3 behavior be_5M

 classifier cl_user4 behavior be_10M

#

qos policy only_neiwang

 classifier 3000 behavior 3000

#

dhcp server ip-pool pool1

 vpn-instance vpn_isp1

 gateway-list 6.6.6.1 export-route

 remote-server 4.4.4.3

#

dhcp server ip-pool pool2

 vpn-instance vpn_isp2

 gateway-list 7.7.7.1 export-route

 remote-server 4.4.4.3

#

policy-based-route dhcp_to_bras permit node 0

 if-match acl 3010

 apply access-vpn vpn-instance vpn_isp1

#

policy-based-route dhcp_to_bras permit node 1

 if-match acl 3020

 apply access-vpn vpn-instance vpn_isp2

#

policy-based-route vpn_public permit node 0

 if-match acl 3030

 apply access-vpn vpn-instance vpn_isp1

#

policy-based-route vpn_public permit node 1

 if-match acl 3040

 apply access-vpn vpn-instance vpn_isp2

#

mpls ldp

#

interface Virtual-Template1

 ppp authentication-mode chap

 ppp account-statistics enable

#

interface LoopBack0

 ip address 1.1.1.9 255.255.255.255

#

interface GigabitEthernet3/1/1

 port link-mode route

#

interface GigabitEthernet3/1/1.1

 ip address 5.5.5.1 255.255.255.0

 local-proxy-arp enable

 qos apply policy only_neiwang inbound

 qos apply policy only_neiwang outbound

 vlan-type dot1q vid 101 second-dot1q 11 to 14

 vlan-termination broadcast enable

 dhcp select relay

 dhcp relay server-address 4.4.4.3

 pppoe-server bind virtual-template 1

#

interface GigabitEthernet3/1/2

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

 mpls enable

 mpls ldp enable

 ip policy-based-route vpn_public

#

interface GigabitEthernet3/1/3

 port link-mode route

 ip address 4.4.4.1 255.255.255.0

 ip policy-based-route dhcp_to_bras

#

bgp 100

 peer 3.3.3.9 as-number 100

 peer 3.3.3.9 connect-interface LoopBack0

 #

 address-family vpnv4

  peer 3.3.3.9 enable

 #

 ip vpn-instance vpn_isp1

  #

  address-family ipv4 unicast

   import-route direct

 #

 ip vpn-instance vpn_isp2

  #

  address-family ipv4 unicast

   import-route direct

#

 ip route-static vpn-instance vpn_isp1 2.2.2.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp1 3.3.3.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp1 4.4.4.0 24 4.4.4.3 public

 ip route-static vpn-instance vpn_isp2 2.2.2.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp2 3.3.3.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp2 4.4.4.0 24 4.4.4.3 public

#

acl number 3000

 rule 0 permit ip source 5.5.5.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

 rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 5.5.5.0 0.0.0.255

 rule 20 permit ip source 5.5.5.0 0.0.0.255 destination 5.5.5.0 0.0.0.255

#

acl number 3001

 rule 10 permit ip source 6.6.6.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

 rule 20 permit ip source 4.4.4.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

 rule 30 permit ip source 6.6.6.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

 rule 40 permit ip source 7.7.7.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

 rule 50 permit ip source 4.4.4.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

 rule 60 permit ip source 7.7.7.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

#

acl number 3002

 rule 0 permit ip

#

acl number 3010

 rule 0 permit ip destination 6.6.6.0 0.0.0.255

#

acl number 3020

 rule 0 permit ip destination 7.7.7.0 0.0.0.255

#

acl number 3030

 rule 0 permit ip source 2.2.2.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

 rule 5 permit ip source 3.3.3.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

#

acl number 3040

 rule 0 permit ip source 2.2.2.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

 rule 5 permit ip source 3.3.3.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

#

user-profile u_profile

 qos apply policy nei_waiwang_share inbound

 qos apply policy nei_waiwang_share outbound

#

radius scheme rs1

 primary authentication 4.4.4.2

 primary accounting 4.4.4.2

 accounting-on enable

 key authentication cipher $c$3$qUtzXCwq7r8LLcMkFSoDGWZBL/icMl9CLA==

 key accounting cipher $c$3$n/0PcnYaWjXNFtKUpBYlof6r0doKH/fVig==

#

radius dynamic-author server

 client ip 4.4.4.2 key cipher $c$3$Td30doCnLkhF7bhiYp4bk9DU96+XBStLkA==

#

ita policy pl_ita

 accounting-method radius-scheme rs1

 accounting-level 1 ipv4

 accounting-level 2 ipv4

 accounting-level 3 ipv4

 accounting-level 4 ipv4

#

domain isp1

 authorization-attribute user-profile u_profile

 authorization-attribute ip-pool pool1

 authorization-attribute vpn-instance vpn_isp1

 ita-policy pl_ita

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

domain isp2

 authorization-attribute user-profile u_profile

 authorization-attribute ip-pool pool2

 authorization-attribute vpn-instance vpn_isp2

 ita-policy pl_ita

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

 pppoe-server virtual-template 1 slot 3 va-pool 1000

#

·     P

#

ospf 1

 area 0.0.0.0

  network 2.2.2.9 0.0.0.0

  network 10.1.1.0 0.0.0.255

  network 10.1.4.0 0.0.0.255

#

 mpls lsr-id 2.2.2.9

#

mpls ldp

#

interface LoopBack0

 ip address 2.2.2.9 255.255.255.255

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 10.1.4.1 255.255.255.0

 mpls enable

 mpls ldp enable

#

interface GigabitEthernet3/0/2

 port link-mode route

 ip address 10.1.1.2 255.255.255.0

 mpls enable

 mpls ldp enable

#

 ip route-static 6.6.6.0 24 10.1.1.1

 ip route-static 7.7.7.0 24 10.1.1.1

#

·     PE 2

#

ip vpn-instance vpn_isp1

 route-distinguisher 100:1

 vpn-target 111:1 export-extcommunity

 vpn-target 222:1 import-extcommunity

#

ip vpn-instance vpn_isp2

 route-distinguisher 200:1

 vpn-target 333:1 export-extcommunity

 vpn-target 444:1 import-extcommunity

#

ospf 1

 area 0.0.0.0

  network 10.1.4.0 0.0.0.255

  network 3.3.3.9 0.0.0.0

#

 mpls lsr-id 3.3.3.9

#

mpls ldp

#

interface LoopBack0

 ip address 3.3.3.9 255.255.255.255

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 10.1.4.2 255.255.255.0

 mpls enable

 mpls ldp enable

#

interface GigabitEthernet3/0/2

 port link-mode route

 ip binding vpn-instance vpn_isp1

 ip address 101.1.1.1 255.255.255.0

#

interface GigabitEthernet3/0/3

 port link-mode route

 ip binding vpn-instance vpn_isp2

 ip address 202.1.1.1 255.255.255.0

#

bgp 100

peer 1.1.1.9 as-number 100

 peer 1.1.1.9 connect-interface LoopBack0

 #

address-family vpnv4

  peer 1.1.1.9 enable

#

ip vpn-instance vpn_isp1

  peer 101.1.1.2 as-number 65430

#

 address-family ipv4 unicast

  import-route direct

peer 101.1.1.2 enable

 #

ip vpn-instance vpn_isp2

  peer 202.1.1.2 as-number 65430

  #

 address-family ipv4 unicast

  import-route direct

peer 202.1.1.2 enable

 #

#

 ip route-static 6.6.6.0 24 10.1.4.1

 ip route-static 7.7.7.0 24 10.1.4.1

#

·     CE 1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 101.1.1.2 255.255.255.0

#

bgp 65430

 peer 101.1.1.1 as-number 100

#

address-family ipv4 unicast

  import-route direct

  peer 101.1.1.1 enable

#

·     CE 2

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 202.1.1.2 255.255.255.0

#

bgp 65430

peer 202.1.1.1 as-number 100

#

address-family ipv4 unicast

  import-route direct

  peer 202.1.1.1 enable

#

·     Switch A

#

vlan 4001

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type hybrid

 port hybrid vlan 4001 tagged

 port hybrid vlan 1 untagged

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 4001

 port trunk pvid vlan 4001

 qinq enable

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 4001

 port trunk pvid vlan 4001

 qinq enable

#

·     Switch B

#

vlan 11 to 12

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 11 12

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 11

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 12

#

·     Switch C

#

vlan 13 to 14

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 13 14

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 13

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 14

#

BRAS校园网VPN多出口+ITA配置举例(旁挂方式)

8.1  组网需求

27所示,某校园网的BRAS旁挂在核心交换机一侧,核心交换机上联PE2PE2作为出口设备分别接不同的运营商ISP1ISP2,要求实现如下需求:

·     宿舍区和办公区用户未进行PPPoE拨号认证前,仅可以访问学校内网,且均限速5M,但不计费;

·     用户进行PPPoE拨号认证通过后,可以同时访问学校内网和学校外网;访问学校内网时,同样限速5M,不计费;访问学校外网时,有2M5M10M三种包月套餐可供选择(本例中用户ABCD选择的上网套餐分别是2M5M5M10M。);

·     用户PPPoE拨号认证时,拨号客户端使用操作系统自带客户端;

·     用户PPPoE拨号时通过在用户名后面增加@ISP1@ISP2的方式携带域名上线,BRAS则根据认证用户的域名来为用户指定固定的运营商出口。

图27 BRAS校园网VPN多出口+ITA配置举例(旁挂方式)

设备

接口

IP地址

设备

接口

IP地址

RADIUS server

-

4.4.4.2/24

PE2

Loop0

3.3.3.9/32

DHCP server

GE3/0/1

4.4.4.3/24

GE3/0/1

10.1.4.2/24

PE1BRAS

Loop0

1.1.1.9/32

GE3/0/2

101.1.1.1/24

GE3/1/1

-

GE3/0/3

202.1.1.1/24

GE3/1/1.1

5.5.5.1/24

CE1

GE3/0/1

101.1.1.2/24

GE3/1/1.2

10.1.1.1/24

CE2

GE3/0/1

202.1.1.2/24

PCore Switch

Loop0

2.2.2.9/32

Vlan-int100

10.1.1.2/24

Vlan-int200

10.1.4.1/24

Vlan-int300

4.4.4.1/24

 

8.2  配置思路

·     BRAS旁挂方式和直挂方式相比,特性差异主要体现在组网上,旁挂方式有流量绕回的过程即用户PPPoE业务流量均需通过P-to(走二层)-BRAS-to(走三层)-P的绕回过程,直挂不需要

·     为了使BRAS可以根据认证用户的域名来为其选择指定的运营商出口访问互联网,可以在认证域中对用户授权指定的VPN,不同的VPN走不同的运营商出口

·     为了实现对用户访问的不同计费策略,可以通过ITA定义4中类型的计费级别(例如级别1234分别对应用户访问内网、访问外网2M、访问外网5M和访问外网10M四种情况),不同的计费级别收取不同的费用。

·     为了实现对用户PPPoE拨号认证后内外网流量的区分,可以通过某一ACL先匹配具体的内网流量(本例中内网流量通过ACL 3001匹配),再通过另一ACL匹配除内网流量外的其余流量(默认为外网流量,本例中外网流量通过ACL 3002匹配)。

·     PPPoE用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

·     DHCPPPPoE配合使用时,如果设备的DHCP地址池中配置了remote-server命令,则可以认定该设备一定是DHCP中继设备,所以不需要在接口视图下执行dhcp select relay命令。

·     PPPoE在建立连接时需要创建VA接口,在用户下线后需要删除VA接口。由于创建/删除VA接口需要一定的时间,所以如果有大量用户上线/下线时,PPPoE的连接建立、连接拆除性能会受到影响,此时可以通过预先创建VA来提高PPPoE的连接建立、连接拆除性能。

8.3  使用版本

本举例是在SR8800-CMW710-R7353P08版本上进行配置和验证的。

8.4  配置注意事项

·     由于在配置接口与VPN实例绑定后,接口上的IP地址等配置会清除,因此请先配置接口与VPN实例的绑定关系,再进行其他配置。

·     QoS策略中classifier behavior执行顺序与配置的顺序是一致的,为保证设备优先处理内网流量,必须保证匹配内网流量的classifier behavior配置在匹配外网流量的classifier behavior之前。

·     授权地址池、授权User Profile、授权VPN等属性,如果Radius服务器和ISP域下同时配置,则以Radius服务器授权的为准;idle-cut属性,如果Radius服务器和ISP域下同时配置,则以BRAS设备上ISP域下配置的为准(本例中授权属性均已仅在ISP域下配置的方式进行举例,实际环境请根据需要选择由Radius服务器授权或通过ISP域下配置方式)。

·     请注意检查实时计费间隔一般情况下,推荐使用缺省值或者根据RADIUS服务器的计费间隔相应调大,不建议配置过小的计费间隔。本例中实时计费间隔采用缺省取值12分钟。

·     PPPoE应用中,要求通过pppoe-server virtual-template va-pool命令配置VA池,并且配置VA池时如果用户通过局部口(例如三层以太网接口/子接口)上线需指定接入接口所在单板的槽位号,通过全局口(例如三层聚合接口/子接口)上线不能指定任何单板的槽位号。

8.5  配置步骤

8.5.1  配置Radius服务器

说明

下面以Linux下的Free Radius服务器为例,说明Radius server的基本配置。

 

# 配置Radius客户端信息。

clients.conf文件中增加如下信息:

client 4.4.4.1/32 {

ipaddr = 4.4.4.1

netmask=32

secret=123456

}

以上信息表示:Radius客户端的IP地址为4.4.4.1,共享密钥为字符串123456

# 配置合法用户信息。

users文件中增加如下信息。

User1@isp1  Cleartext-Password :="pass1"

User1@isp2  Cleartext-Password :="pass1"

User2@isp1  Cleartext-Password :="pass2"

User2@isp2  Cleartext-Password :="pass2"

User3@isp1  Cleartext-Password :="pass3"

User3@isp2  Cleartext-Password :="pass3"

User4@isp1  Cleartext-Password :="pass4"

User4@isp2  Cleartext-Password :="pass4"

以上信息表示:Host AHost BHost CHost D均可自由选择使用用户名@isp1或用户名@isp2的方式进行PPPoE拨号。

8.5.2  配置MPLS L3VPN

说明

本例中的Router AMPLS L3VPN中的角色是PE1,在BRAS中的角色是PPPoE Server,为了便于理解,配置步骤中在MPLS L3VPN部分Router A描述为PE1,在BRAS中描述为BRAS

 

1. MPLS骨干网上配置IGP协议(本例为OSPF协议),实现骨干网PEP的互通

(1)     配置PE 1

# 配置骨干网接口以及环回口地址。

<PE1> system-view

[PE1] interface loopback 0

[PE1-LoopBack0] ip address 1.1.1.9 32

[PE1-LoopBack0] quit

[PE1] interface gigabitethernet 3/1/1.2

[PE1-GigabitEthernet3/1/1.2] ip address 10.1.1.1 24

# 配置子接口GigabitEthernet3/1/1.2终结对端互联接口Vlan-interface100VLAN Tag

[PE1-GigabitEthernet3/1/1.2] vlan-type dot1q vid 100

[PE1-GigabitEthernet3/1/1.2] quit

# 配置OSPF协议发布骨干网侧路由。

[PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0

[PE1-ospf-1-area-0.0.0.0] quit

[PE1-ospf-1] quit

(2)     配置P

# 创建运营商VLAN 101

<P> system-view

[P] vlan 101

[P-vlan101] quit

# 创建接口互联VLAN 100VLAN 200VLAN 300

<P> system-view

[P] vlan 100

[P-vlan100] quit

[P] vlan 200

[P-vlan200] quit

[P] vlan 300

[P-vlan300] quit

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 101

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2Hybrid模式,并允许接口互联VLAN 100和运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[P] interface gigabitethernet 3/0/1

[P-GigabitEthernet3/0/1] port link-type hybrid

[P-GigabitEthernet3/0/1] port hybrid vlan 100 101 tagged

[P-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/3加入到接口互联VLAN 200

[P] interface gigabitethernet 3/0/3

[P-GigabitEthernet3/0/3] port access vlan 200

[P-GigabitEthernet3/0/3] quit

# 配置端口GigabitEthernet3/0/4加入到接口互联VLAN 300

[P] interface gigabitethernet 3/0/4

[P-GigabitEthernet3/0/4] port access vlan 300

[P-GigabitEthernet3/0/4] quit

# 创建和BRAS互联的三层接口Vlan-interface100,并配置接口IP地址。

[P] interface vlan-interface 100

[P-Vlan-interface100] ip address 10.1.1.2 24

[P-Vlan-interface100] quit

# 创建和PE2互联的三层接口Vlan-interface200,并配置接口IP地址。

[P] interface vlan-interface 200

[P-Vlan-interface200] ip address 10.1.4.1 24

[P-Vlan-interface200] quit

# 创建和服务器区互联的三层接口Vlan-interface300,并配置接口IP地址。

[P] interface vlan-interface 300

[P-Vlan-interface300] ip address 4.4.4.1 24

[P-Vlan-interface300] quit

# 创建骨干网环回口,并配置接口IP地址。

[P] interface loopback 0

[P-LoopBack0] ip address 2.2.2.9 32

[P-LoopBack0] quit

# 配置OSPF协议发布骨干网侧路由。

[P] ospf

[P-ospf-1] area 0

[P-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 4.4.4.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0

[P-ospf-1-area-0.0.0.0] quit

[P-ospf-1] quit

(3)      配置PE 2

# 配置骨干网接口以及环回口地址。

<PE2> system-view

[PE2] interface loopback 0

[PE2-LoopBack0] ip address 3.3.3.9 32

[PE2-LoopBack0] quit

[PE2] interface gigabitethernet 3/0/1

[PE2-GigabitEthernet3/0/1] ip address 10.1.4.2 24

[PE2-GigabitEthernet3/0/1] quit

# 配置OSPF协议发布骨干网侧路由。

[PE2] ospf

[PE2-ospf-1] area 0

[PE2-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255

[PE2-ospf-1-area-0.0.0.0] network 3.3.3.9 0.0.0.0

[PE2-ospf-1-area-0.0.0.0] quit

[PE2-ospf-1] quit

配置完成后,PE 1PPE 2之间应能建立OSPF邻居,执行display ospf peer命令可以看到邻居达到Full状态。执行display ip routing-table命令可以看到PE之间学习到对方的Loopback路由。

PE 1为例:

[PE1] display ospf peer verbose

 

          OSPF Process 1 with Router ID 1.1.1.9

                  Neighbors

 

 Area 0.0.0.0 interface 10.1.1.1(GE3/1/1.2)'s neighbors

 Router ID: 2.2.2.9          Address: 10.1.1.2        GR State: Normal

   State: Full  Mode: Nbr is Master  Priority: 1

   DR: 10.1.1.2  BDR: 10.1.1.1  MTU: 0

   Options is 0x02 (-|-|-|-|-|-|E|-)

   Dead timer due in 38  sec

   Neighbor is up for 17:30:25

   Authentication Sequence: [ 0 ]

   Neighbor state change count: 6

   BFD status: Disabled

[PE1] display ip routing-table protocol ospf

 

Summary Count : 6

 

OSPF Routing table Status : <Active>

Summary Count : 4

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

2.2.2.9/32         O_INTRA 10  1           10.1.1.2        GE3/1/1.2

3.3.3.9/32         O_INTRA 10  2           10.1.1.2        GE3/1/1.2

4.4.4.0/24         O_INTRA 10  2           10.1.1.2        GE3/1/1.2

10.1.4.0/24        O_INTRA 10  2           10.1.1.2        GE3/1/1.2

 

OSPF Routing table Status : <Inactive>

Summary Count : 2

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

1.1.1.9/32         O_INTRA 10  0           1.1.1.9         Loop0

10.1.1.0/24        O_INTRA 10  1           10.1.1.1        GE3/0/2

 

2. MPLS骨干网上配置MPLS基本能力和MPLS LDP,建立LDP LSP

(1)     配置PE 1

[PE1] mpls lsr-id 1.1.1.9

[PE1] mpls ldp

[PE1-ldp] quit

[PE1] interface gigabitethernet 3/1/1.2

[PE1-GigabitEthernet3/1/1.2] mpls enable

[PE1-GigabitEthernet3/1/1.2] mpls ldp enable

[PE1-GigabitEthernet3/1/1.2] quit

(2)     配置P

[P] mpls lsr-id 2.2.2.9

[P] mpls ldp

[P-ldp] quit

[P] interface vlan-interface 100

[P-Vlan-interface100] mpls enable

[P-Vlan-interface100] mpls ldp enable

[P-Vlan-interface100] quit

[P] interface vlan-interface 200

[P-Vlan-interface200] mpls enable

[P-Vlan-interface200] mpls ldp enable

[P-Vlan-interface200] quit

(3)     配置PE 2

[PE2] mpls lsr-id 3.3.3.9

[PE2] mpls ldp

[PE2-ldp] quit

[PE2] interface gigabitethernet 3/0/1

[PE2-GigabitEthernet3/0/1] mpls enable

[PE2-GigabitEthernet3/0/1] mpls ldp enable

[PE2-GigabitEthernet3/0/1] quit

上述配置完成后,PE 1PPE 2之间应能建立LDP会话,执行display mpls ldp peer命令可以看到LDP会话的状态为Operational。执行display mpls ldp lsp命令,可以看到LDP LSP的建立情况。

PE 1为例:

[PE1] display mpls ldp peer

Total number of peers: 1

Peer LDP ID             State         Role     GR   MD5  KA Sent/Rcvd

2.2.2.9:0               Operational   Passive  Off  Off  5/5

[PE1] display mpls ldp lsp

Status Flags: * - stale, L - liberal, B - backup

FECs: 4            Ingress: 1          Transit: 1      Egress: 3

 

FEC                In/Out Label        Nexthop         OutInterface

1.1.1.9/32         3/-

                   -/1151(L)

2.2.2.9/32         -/3                 10.1.1.2        GE3/1/1.2

                   1151/3              10.1.1.2        GE3/1/1.2

3.3.3.9/32         -/1150              10.1.1.2        GE3/1/1.2

                   1150/1150           10.1.1.2        GE3/1/1.2

3. PE设备上配置VPN实例,将CE接入PE

(1)     配置PE 1

# PE 1上为isp1创建名为“vpn_isp1”的VPN实例。

[PE1] ip vpn-instance vpn_isp1

# 为该实例配置RD100:1,用于形成VPNv4路由,以便区分不同用户相同网段的路由。

[PE1-vpn-instance-vpn_isp1] route-distinguisher 100:1

# 为该VPN实例配置VPN Target属性,其中接收路由的属性为111:1,发布路由的属性为222:1。(此处为表示接收和发送属性的含义,取值有所不同,为便于管理,用户可以将接收和发送的属性配置为相同的值)

[PE1-vpn-instance-vpn_isp1] vpn-target 111:1 import-extcommunity

[PE1-vpn-instance-vpn_isp1] vpn-target 222:1 export-extcommunity

[PE1-vpn-instance-vpn_isp1] quit

# 按同样方式为isp2创建名为“vpn_isp2”的VPN实例,并为其配置RD200:1,接收和发送的VPN Target属性分别为333:1444:1

[PE1] ip vpn-instance vpn_isp2

[PE1-vpn-instance-vpn_isp2] route-distinguisher 200:1

[PE1-vpn-instance-vpn_isp2] vpn-target 333:1 import-extcommunity

[PE1-vpn-instance-vpn_isp2] vpn-target 444:1 export-extcommunity

[PE1-vpn-instance-vpn_isp2] quit

说明

因用户PPPoE拨号成功后,担任PE1BRAS设备会自动将为该用户分配的IP地址对应的主机路由添加到用户所属VPN实例路由表中,所以不需要在PE 1VPN实例与用户接入接口绑定。

 

(2)     配置PE 2

# PE 2上为isp1名为“vpn_isp1”的创建VPN实例。

[PE2] ip vpn-instance vpn_isp1

# 为该VPN实例配置RD,为便于识别,建议与PE 1上为该实例配置的RD保持一致。

[PE2-vpn-instance-vpn_isp1] route-distinguisher 100:1

# 为该VPN实例配置VPN Target,需要注意的是接收和发送的属性要分别与PE 1上配置的发送和接收的属性保持一致。

[PE2-vpn-instance-vpn_isp1] vpn-target 222:1 import-extcommunity

[PE2-vpn-instance-vpn_isp1] vpn-target 111:1 export-extcommunity

[PE2-vpn-instance-vpn_isp1] quit

# 按同样方式配置VPN实例“vpn_isp2”,并配置相应的RDVPN Target

[PE2] ip vpn-instance vpn_isp2

[PE2-vpn-instance-vpn_isp2] route-distinguisher 200:1

[PE2-vpn-instance-vpn_isp2] vpn-target 444:1 import-extcommunity

[PE2-vpn-instance-vpn_isp2] vpn-target 333:1 export-extcommunity

[PE2-vpn-instance-vpn_isp2] quit

# 分别将GigabitEthernet3/0/2GigabitEthernet3/0/3vpn_isp1vpn_isp2实例进行绑定。

[PE2] interface gigabitethernet 3/0/2

[PE2-GigabitEthernet3/0/2] ip binding vpn-instance vpn_isp1

[PE2-GigabitEthernet3/0/2] ip address 101.1.1.1 24

[PE2-GigabitEthernet3/0/2] quit

[PE2] interface gigabitethernet 3/0/3

[PE2-GigabitEthernet3/0/3] ip binding vpn-instance vpn_isp2

[PE2-GigabitEthernet3/0/3] ip address 202.1.1.1 24

[PE2-GigabitEthernet3/0/3] quit

(3)     配置CE

27下表配置各CE的接口IP地址,配置过程略。

4. PECE之间建立EBGP对等体,引入VPN路由

(1)     配置PE 1

# PE 1上创建BGP进程100

[PE1] bgp 100

说明

因用户PPPoE拨号成功后,担任PE1BRAS设备会自动将为该用户分配的IP地址对应的主机路由添加到用户所属VPN实例路由表中,所以在PE 1上直接将用户主机的直连路由引入到BGP-VPN实例路由表中即可

 

# PE 1vpn_isp1实例路由表中的直连路由引入到BGP-VPN实例路由表中。

[PE1-bgp] ip vpn-instance vpn_isp1

[PE1-bgp-vpn_isp1] address-family ipv4 unicast

[PE1-bgp-ipv4-vpn_isp1] import-route direct

[PE1-bgp-ipv4-vpn_isp1] quit

[PE1-bgp-vpn_isp1] quit

# PE 1vpn_isp2实例路由表中的直连路由引入到BGP-VPN实例路由表中。

[PE1-bgp] ip vpn-instance vpn_isp2

[PE1-bgp-vpn_isp2] address-family ipv4 unicast

[PE1-bgp-ipv4-vpn_isp2] import-route direct

[PE1-bgp-ipv4-vpn_isp2] quit

[PE1-bgp-vpn_isp2] quit

[PE1-bgp] quit

(2)     配置PE 2

# PE 2上创建BGP进程100

[PE2] bgp 100

# CE 1指定为对等体,并将PE 2的直连路由引入到BGP-VPN实例路由表中。

[PE2-bgp] ip vpn-instance vpn_isp1

[PE2-bgp-vpn_isp1] peer 101.1.1.2 as-number 65430

[PE2-bgp-vpn_isp1] address-family ipv4 unicast

[PE2-bgp-ipv4-vpn_isp1] peer 101.1.1.2 enable

[PE2-bgp-ipv4-vpn_isp1] import-route direct

[PE2-bgp-ipv4-vpn_isp1] quit

[PE2-bgp-vpn_isp1] quit

# CE 2指定为对等体,并将PE 2的直连路由引入到BGP-VPN实例路由表中。

[PE2-bgp] ip vpn-instance vpn_isp2

[PE2-bgp-vpn_isp2] peer 202.1.1.2 as-number 65430

[PE2-bgp-vpn_isp2] address-family ipv4 unicast

[PE2-bgp-ipv4-vpn_isp2] peer 202.1.1.2 enable

[PE2-bgp-ipv4-vpn_isp2] import-route direct

[PE2-bgp-ipv4-vpn_isp2] quit

[PE2-bgp-vpn_isp2] quit

[PE2-bgp] quit

(3)     配置CE1

# CE 1上创建BGP进程65430,并指定PE 2为对等体,对等体自治系统号为100

<CE1> system-view

[CE1] bgp 65430

[CE1-bgp] peer 101.1.1.1 as-number 100

# 使能CE1与对等体101.1.1.1交换IPv4单播路由信息的能力。

[CE1-bgp] address-family ipv4 unicast

[CE1-bgp-ipv4] peer 101.1.1.1 enable

# CE 1上连接站点的直连接口路由引入EBGP

[CE1-bgp-ipv4] import-route direct

[CE1-bgp-ipv4] quit

[CE1-bgp] quit

(4)     配置CE2

# CE2上创建BGP进程65430,并指定PE 2为对等体,对等体自治系统号为100

<CE2> system-view

[CE2] bgp 65430

[CE2-bgp] peer 202.1.1.1 as-number 100

# 使能CE2与对等体202.1.1.1交换IPv4单播路由信息的能力。

[CE2-bgp] address-family ipv4 unicast

[CE2-bgp-ipv4] peer 202.1.1.1 enable

# CE 2上连接站点的直连接口路由引入EBGP

[CE2-bgp-ipv4] import-route direct

[CE2-bgp-ipv4] quit

[CE2-bgp] quit

5. PE之间建立MP-IBGP对等体

(1)     配置PE 1

# PE 1上配置PE 2BGP对等体,并指定连接时使用的接口为Loopback0接口。

[PE1] bgp 100

[PE1-bgp] peer 3.3.3.9 as-number 100

[PE1-bgp] peer 3.3.3.9 connect-interface loopback 0

# 进入BGP-VPNv4地址族视图,指定PE 2为对等体。

[PE1-bgp] address-family vpnv4

[PE1-bgp-vpnv4] peer 3.3.3.9 enable

[PE1-bgp-vpnv4] quit

[PE1-bgp] quit

(2)     配置PE 2

# PE 2上配置PE 1BGP对等体,并指定连接时使用的接口为Loopback0接口。

[PE2] bgp 100

[PE2-bgp] peer 1.1.1.9 as-number 100

[PE2-bgp] peer 1.1.1.9 connect-interface loopback 0

# 进入BGP-VPNv4地址族视图,指定PE 1为对等体。

[PE2-bgp] address-family vpnv4

[PE2-bgp-vpnv4] peer 1.1.1.9 enable

[PE2-bgp-vpnv4] quit

[PE2-bgp] quit

配置完成后PE设备上执行display bgp peer vpnv4命令可以看到PE之间的BGP对等体关系已建立并达到Established状态。

[PE1] display bgp peer vpnv4

 

 BGP local router ID: 1.1.1.9

 Local AS number: 100

 Total number of peers: 1                  Peers in established state: 1

 

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

 

  3.3.3.9                100        8        8    0       0 00:00:08 Established

# PE设备上执行display ip routing-table vpn-instance命令,可以看到去往对端CE1的路由。

PE 1上的vpn_isp1为例:

[PE1] display ip routing-table vpn-instance vpn_isp1

 

Destinations : 9        Routes : 9

 

Destination/Mask    Proto  Pre  Cost         NextHop         Interface

0.0.0.0/32          Direct 0    0            127.0.0.1       InLoop0

101.1.1.0/24        BGP    255  0            3.3.3.9         GE3/1/1.2

127.0.0.0/8         Direct 0    0            127.0.0.1       InLoop0

127.0.0.0/32        Direct 0    0            127.0.0.1       InLoop0

127.0.0.1/32        Direct 0    0            127.0.0.1       InLoop0

127.255.255.255/32  Direct 0    0            127.0.0.1       InLoop0

224.0.0.0/4         Direct 0    0            0.0.0.0         NULL0

224.0.0.0/24        Direct 0    0            0.0.0.0         NULL0

255.255.255.255/32  Direct 0    0            127.0.0.1       InLoop0

8.5.3  配置DHCP服务器

# 27下表配置接口GigabitEthernet3/0/1IP地址,配置过程略。

# 全局使能DHCP

<DHCP-server> system-view

[DHCP-server] dhcp enable

# 创建用户未认证前使用的地址池pool1并进入其视图。

[DHCP-server] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段5.5.5.0/24,分配的网关地址5.5.5.1DNS服务器地址8.8.8.8

[DHCP-server-pool-pool1] network 5.5.5.0 24

[DHCP-server-pool-pool1] gateway-list 5.5.5.1

[DHCP-server-pool-pool1] dns-list 8.8.8.8

# 5.5.5.1设置为禁止分配地址。

[DHCP-server-pool-pool1] forbidden-ip 5.5.5.1

[DHCP-server-pool-pool1] quit

# isp1中用户创建名字为pool2地址池并进入其视图。

[DHCP-server] dhcp server ip-pool pool2

# 配置地址池动态分配的IP地址网段6.6.6.0/24,分配的网关地址6.6.6.1DNS服务器地址8.8.8.8

[DHCP-server-pool-pool2] network 6.6.6.0 24

[DHCP-server-pool-pool2] gateway-list 6.6.6.1

[DHCP-server-pool-pool2] dns-list 8.8.8.8

# 6.6.6.1设置为禁止分配地址。

[DHCP-server-pool-pool2] forbidden-ip 6.6.6.1

[DHCP-server-pool-pool2] quit

# isp2中用户创建名字为pool3地址池并进入其视图。

[DHCP-server] dhcp server ip-pool pool3

# 配置地址池动态分配的IP地址网段7.7.7.0/24,分配的网关地址7.7.7.1DNS服务器地址8.8.8.8

[DHCP-server-pool-pool3] network 7.7.7.0 24

[DHCP-server-pool-pool3] gateway-list 7.7.7.1

[DHCP-server-pool-pool3] dns-list 8.8.8.8

# 7.7.7.1设置为禁止分配地址。

[DHCP-server-pool-pool3] forbidden-ip 7.7.7.1

[DHCP-server-pool-pool3] quit

# 配置到PPPoE Server(即BRAS)的缺省路由。

[DHCP] ip route-static 0.0.0.0 0 4.4.4.1

8.5.4  配置BRAS

1. 配置内网的不计费和但限速5M类型的QoS策略

说明

本例中以用户网段(包含PPPoE认证前用户网段5.5.5.0/24vpn_isp1中用户网段6.6.6.0/24vpn_isp2中用户网段7.7.7.0/24三个用户网段)和服务器网段4.4.4.0/24作为内网网段进行举例。

 

(1)     配置用户未PPPoE拨号认证前QoS策略

# 配置ACL规则列表3000

<BRAS> system-view

[BRAS] acl number 3000

# 配置匹配用户未PPPoE拨号认证前(用户网段为5.5.5.0/24)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-adv-3000] rule 0 permit ip source 5.5.5.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

[BRAS-acl-adv-3000] rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 5.5.5.0 0.0.0.255

# 配置匹配用户未PPPoE拨号认证前(用户网段为5.5.5.0/24)用户间互访的报文。

[BRAS-acl-adv-3000] rule 20 permit ip source 5.5.5.0 0.0.0.255 destination 5.5.5.0 0.0.0.255

[BRAS-acl-adv-3000] quit

# 配置流分类器3000,并设置流匹配规则为ACL 3000的用户报文。

[BRAS] traffic classifier 3001 operator and

[BRAS-classifier-3000] if-match acl 3000

[BRAS-classifier-3000] quit

# 定义流行为3000配置采用流量统计并限速5000kbps

[BRAS] traffic behavior 3000

[BRAS-behavior-3000] accounting byte

[BRAS-behavior-3000] car cir 5000

[BRAS-behavior-3000] quit

# 定义策略only_neiwang绑定流分类及行为。

[BRAS] qos policy only_neiwang

[BRAS-qospolicy-only_neiwang] classifier 3000 behavior 3000

[BRAS-qospolicy-only_neiwang] quit

# 进入接口GigabitEthernet3/1/1.1视图。

[BRAS] interface gigabitethernet 3/1/1.1

# 配置当前接口上应用QoS策略only_neiwang

[BRAS–GigabitEthernet3/1/1.1] qos apply policy only_neiwang inbound

[BRAS–GigabitEthernet3/1/1.1] qos apply policy only_neiwang outbound

[BRAS–GigabitEthernet3/1/1.1] quit

(2)     配置用户PPPoE拨号认证后的QoS策略

# 配置ACL规则列表3001

[BRAS] acl number 3001

# 配置匹配PPPoE拨号认证后vpn_isp1中用户(用户网段为6.6.6.0/24)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-adv-3001] rule 10 permit ip source 6.6.6.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

[BRAS-acl-adv-3001] rule 20 permit ip source 4.4.4.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

# 配置匹配PPPoE拨号认证后vpn_isp1中用户(用户网段为6.6.6.0/24)间互访的报文。

[BRAS-acl-adv-3001] rule 30 permit ip source 6.6.6.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

# 配置匹配PPPoE拨号认证后vpn_isp2中用户(用户网段为7.7.7.0/24)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-adv-3001] rule 40 permit ip source 7.7.7.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

[BRAS-acl-adv-3001] rule 50 permit ip source 4.4.4.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

# 配置匹配PPPoE拨号认证后vpn_isp2中用户(用户网段为7.7.7.0/24)间互访的报文。

[BRAS-acl-adv-3001] rule 60 permit ip source 7.7.7.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

[BRAS-acl-adv-3001] quit

说明

因设备ACL规则缺省为无(即缺省既不是Permit也不是Deny),对于没匹配到的流量该ACL不作处理,所以请不要在ACL 3001中最后再配置一条Deny所有报文的规则(例如:rule 70 deny ip),否则将造成设备执行策略nei_waiwang_share时,classifier 3001 behavior 3001之后的所有CB对匹配不到任何用户流量。

 

# 配置流分类器3001,并设置流匹配规则为ACL 3001且已认证的用户报文。

[BRAS] traffic classifier 3001 operator and

[BRAS-classifier-3001] if-match acl 3001

[BRAS-classifier-3001] if-match authenticated-user

[BRAS-classifier-3001] quit

# 定义流行为3001,并配置标记计费级别为1,采用流量统计并限速5000kbps

[BRAS] traffic behavior 3001

[BRAS-behavior-3001] remark account-level 1

[BRAS-behavior-3001] accounting byte

[BRAS-behavior-3001] car cir 5000

[BRAS-behavior-3001] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier 3001 behavior 3001

[BRAS-qospolicy-nei_waiwang_share] quit

2. 配置访问外网的计费和限速类型的QoS策略

# 配置ACL规则列表3002

[BRAS] acl number 3002

# 配置匹配所有报文。

[BRAS-acl-adv-3002] rule 0 permit ip

[BRAS-acl-adv-3002] quit

# 配置流分类器cl_user1,并设置流匹配规则为用户VLAN 11ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user1 operator and

[BRAS-classifier-cl_user1] if-match customer-vlan-id 11

[BRAS-classifier-cl_user1] if-match acl 3002

[BRAS-classifier-cl_user1] if-match authenticated-user

[BRAS-classifier-cl_user1] quit

# 配置流分类器cl_user2,并设置流匹配规则为用户VLAN 12ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user2 operator and

[BRAS-classifier-cl_user2] if-match customer-vlan-id 12

[BRAS-classifier-cl_user2] if-match acl 3002

[BRAS-classifier-cl_user2] if-match authenticated-user

[BRAS-classifier-cl_user2] quit

# 配置流分类器cl_user3,并设置流匹配规则为用户VLAN 13ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user3 operator and

[BRAS-classifier-cl_user3] if-match customer-vlan-id 13

[BRAS-classifier-cl_user3] if-match acl 3002

[BRAS-classifier-cl_user3] if-match authenticated-user

[BRAS-classifier-cl_user3] quit

# 配置流分类器cl_user4,并设置流匹配规则为用户VLAN 14ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user4 operator and

[BRAS-classifier-cl_user4] if-match customer-vlan-id 14

[BRAS-classifier-cl_user4] if-match acl 3002

[BRAS-classifier-cl_user4] if-match authenticated-user

[BRAS-classifier-cl_user4] quit

# 定义流行为be_2M,标记计费级别为2,采用流量统计并限速2000kbps

[BRAS] traffic behavior be_2M

[BRAS-behavior-be_2M] remark account-level 2

[BRAS-behavior-be_2M] accounting byte

[BRAS-behavior-be_2M] car cir 2000

[BRAS-behavior-be_2M] quit

# 定义流行为be_5M,标记计费级别为3,采用流量统计并限速5000kbps

[BRAS] traffic behavior be_5M

[BRAS-behavior-be_5M] remark account-level 3

[BRAS-behavior-be_5M] accounting byte

[BRAS-behavior-be_5M] car cir 5000

[BRAS-behavior-be_5M] quit

# 定义流行为be_10M,标记计费级别为4,采用流量统计并限速10000kbps

[BRAS] traffic behavior be_10M

[BRAS-behavior-be_10M] remark account-level 4

[BRAS-behavior-be_10M] accounting byte

[BRAS-behavior-be_10M] car cir 10000

[BRAS-behavior-be_10M] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user1 behavior be_2M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user2 behavior be_5M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user3 behavior be_5M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user4 behavior be_10M

[BRAS-qospolicy-nei_waiwang_share] quit

3. 配置User Profile

# 创建User Profileu_profile并调用QoS策略nei_waiwang_share

[BRAS] user-profile u_profile

[BRAS-user-profile-u_profile] qos apply policy nei_waiwang_share inbound

[BRAS-user-profile-u_profile] qos apply policy nei_waiwang_share outbound

[BRAS-user-profile-u_profile] quit

4. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRAS] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRAS-radius-rs1] primary authentication 4.4.4.2

[BRAS-radius-rs1] primary accounting 4.4.4.2

[BRAS-radius-rs1] key authentication simple 123456

[BRAS-radius-rs1] key accounting simple 123456

# 使能RADIUS认证方案rs1accounting-on功能。

[BRAS-radius-rs1] accounting-on enable

# RADIUS方案rs1的实时计费的时间间隔设置为12分钟。

[BRAS-radius-rs1] timer realtime-accounting 12

[BRAS-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRAS] radius dynamic-author server

[BRAS-radius-da-server] client ip 4.4.4.2 key simple 123456

[BRAS-radius-da-server] quit

5. 配置ITA策略

# 配置ITA策略pl_ita,配置ITA计费服务器为rs1

[BRAS] ita policy pl_ita

[BRAS-ita-policy-pl_ita] accounting-method radius-scheme rs1

# 配置计费级别。

[BRAS-ita-policy-pl_ita] accounting-level 1 ipv4

[BRAS-ita-policy-pl_ita] accounting-level 2 ipv4

[BRAS-ita-policy-pl_ita] accounting-level 3 ipv4

[BRAS-ita-policy-pl_ita] accounting-level 4 ipv4

6. 配置DHCP中继

# 全局使能DHCP

[BRAS] dhcp enable

# 进入接口GigabitEthernet3/1/1.1视图。

[BRAS] interface gigabitethernet 3/1/1.1

# 配置接口工作在中继模式。

[BRAS–GigabitEthernet3/1/1.1] dhcp select relay

# 配置中继接口IP地址为5.5.5.1/24,并为DHCP中继指定DHCP服务器的地址为4.4.4.3

[BRAS–GigabitEthernet3/1/1.1] ip address 5.5.5.1 255.255.255.0

[BRAS–GigabitEthernet3/1/1.1] dhcp relay server-address 4.4.4.3

[BRAS–GigabitEthernet3/1/1.1] quit

# 启用DHCP中继的用户地址表项记录功能。

[BRAS] dhcp relay client-information record

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool1

[BRAS-dhcp-pool-pool1] gateway-list 6.6.6.1 export-route

[BRAS-dhcp-pool-pool1] remote-server 4.4.4.3

# 指定中继地址池pool1所在的VPNvpn_isp1

[BRAS-dhcp-pool-pool1] vpn-instance vpn_isp1

[BRAS-dhcp-pool-pool1] quit

# 创建中继地址池pool2,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool2

[BRAS-dhcp-pool-pool2] gateway-list 7.7.7.1 export-route

[BRAS-dhcp-pool-pool2] remote-server 4.4.4.3

# 指定中继地址池pool2所在的VPNvpn_isp2

[BRAS-dhcp-pool-pool2] vpn-instance vpn_isp2

[BRAS-dhcp-pool-pool2] quit

7. 配置认证域

# 创建并进入名字为isp1ISP域。

[BRAS] domain isp1

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp1] authentication ppp radius-scheme rs1

[BRAS-isp-isp1] authorization ppp radius-scheme rs1

[BRAS-isp-isp1] accounting ppp radius-scheme rs1

# 配置当前isp1使用的ITA策略pl_ita

[BRAS-isp-isp1] ita-policy pl_ita

# 配置当前isp1域下的用户授权地址池及指定用户的授权User Profile

[BRAS-isp-isp1] authorization-attribute ip-pool pool1

[BRAS-isp-isp1] authorization-attribute user-profile u_profile

# 配置当前isp1域下的用户授权VPN

[BRAS-isp-isp1] authorization-attribute vpn-instance vpn_isp1

[BRAS-isp-isp1] quit

# 创建并进入名字为isp2ISP域。

[BRAS] domain isp2

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp2] authentication ppp radius-scheme rs1

[BRAS-isp-isp2] authorization ppp radius-scheme rs1

[BRAS-isp-isp2] accounting ppp radius-scheme rs1

# 配置当前isp2使用的ITA策略pl_ita

[BRAS-isp-isp2] ita-policy pl_ita

# 配置当前isp2域下的用户授权地址池及指定用户的授权User Profile

[BRAS-isp-isp2] authorization-attribute ip-pool pool2

[BRAS-isp-isp2] authorization-attribute user-profile u_profile

# 配置当前isp2域下的用户授权VPN

[BRAS-isp-isp2] authorization-attribute vpn-instance vpn_isp2

[BRAS-isp-isp2] quit

8. 配置虚拟模板接口

# 创建虚拟模板接口1,并开启PPP计费统计和CHAP认证功能。

[BRAS] interface virtual-template 1

[BRAS-Virtual-Template1] ppp account-statistics enable

[BRAS-Virtual-Template1] ppp authentication-mode chap

# 配置虚拟模板接口1IP地址用于IPCP协商(随便配置一个地址即可)。

[BRAS-Virtual-Template1] ip address 101.101.101.101 255.255.255.0

[BRAS-Virtual-Template1] quit

# 为虚拟模板1创建容量为1000VA池。

[BRAS] pppoe-server virtual-template 1 slot 3 va-pool 1000

9. 配置VLAN终结

# 在用户的接入子接口GigabitEthernet3/1/1.1配置VLAN终结,并绑定虚拟模板接口1

[BRAS] interface gigabitethernet 3/1/1.1

[BRAS-GigabitEthernet3/1/1.1] vlan-type dot1q vid 101 second-dot1q 11 to 14

[BRAS-GigabitEthernet3/1/1.1] pppoe-server bind virtual-template 1

# 配置允许当前接口发送广播和组播报文

[BRAS-GigabitEthernet3/1/1.1] vlan-termination broadcast enable

# 开启当前接口上的本地代理ARP功能。

[BRAS-GigabitEthernet3/1/1.1] local-proxy-arp enable

[BRAS-GigabitEthernet3/1/1.1] quit

10. 配置策略路由

说明

为保证VPN间流量正常转发,需要配置静态路由和策略路由。

 

(1)     通过配置静态路由,将VPN内的DHCP请求方向的流量引入到DHCP服务器端

# 配置静态路由,将vpn_isp1内的DHCP请求方向的流量引入到DHCP服务器端。

[BRAS] ip route-static vpn-instance vpn_isp1 4.4.4.0 24 4.4.4.3 public

# 配置静态路由,将vpn_isp2内的DHCP请求方向的流量引入到DHCP服务器端。

[BRAS] ip route-static vpn-instance vpn_isp2 4.4.4.0 24 4.4.4.3 public

(2)     通过配置策略路由,将DHCP服务器回应的流量导入到DHCP客户端所在的VPN

# 创建ACL 3010匹配目的为6.6.6.0/24网段的报文。

[BRAS] acl number 3010

[BRAS-acl-adv-3010] rule 0 permit ip destination 6.6.6.0 0.0.0.255

[BRAS-acl-adv-3010] quit

# 创建ACL 3020匹配目的为7.7.7.0/24网段的报文。

[BRAS] acl number 3020

[BRAS-acl-adv-3020] rule 0 permit ip destination 7.7.7.0 0.0.0.255

[BRAS-acl-adv-3020] quit

# 创建一个策略P_to_Bras,其节点序号为0,匹配模式permit,指定匹配ACL 3010的报文在vpn_isp1内转发。

[BRAS] policy-based-route P_to_Bras permit node 0

[BRAS-pbr-P_to_Bras-0] if-match acl 3010

[BRAS-pbr-P_to_Bras-0] apply access-vpn vpn-instance vpn_isp1

[BRAS-pbr-P_to_Bras-0] quit

# 在策略P_to_Bras中再创建节点序号1,匹配模式permit,指定匹配ACL 3020的报文在vpn_isp2内转发。

[BRAS] policy-based-route P_to_Bras permit node 1

[BRAS-pbr-P_to_Bras-1] if-match acl 3020

[BRAS-pbr-P_to_Bras-1] apply access-vpn vpn-instance vpn_isp2

[BRAS-pbr-P_to_Bras-1] quit

# 在以太接口GigabitEthernet3/1/1.2上应用该策略路由P_to_Bras

[BRAS] interface gigabitethernet 3/1/1.2

[BRAS–GigabitEthernet3/1/1.2] ip policy-based-route P_to_Bras

[BRAS–GigabitEthernet3/1/1.2] quit

 

说明

·     为保证VPN实例与公网实例间流量正常转发(即保证用户PPPoE拨号成功后可以访问学校内容,例如可以访问P设备的lookback0的地址2.2.2.9),需要配置静态路由和策略路由。

·     VPN实例和公网实例间需要互访的网段在步骤(3)中配置的静态路由和步骤(4)ACL匹配的网段必须一一对应才能双向互通。

 

(3)     通过配置静态路由,将VPN实例内用户访问公网实例方向的流量引入到公网实例中

# 配置静态路由,允许vpn_isp1内的用户单向访问公网实例中的2.2.2.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp1 2.2.2.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp1内的用户单向访问公网实例中的3.3.3.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp1 3.3.3.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp2内的用户单向访问公网实例中的2.2.2.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp2 2.2.2.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp2内的用户单向访问公网实例中的3.3.3.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp2 3.3.3.0 24 10.1.1.2 public

(4)     通过配置策略路由,将公网实例中回应步骤(3)中的单向流量的流量导入到对应VPN

# 创建ACL 3030匹配源地址为2.2.2.0/243.3.3.0/24网段,目的为6.6.6.0/24网段的报文。

[BRAS] acl number 3030

[BRAS-acl-adv-3030] rule permit ip source 2.2.2.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

[BRAS-acl-adv-3030] rule permit ip source 3.3.3.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

[BRAS-acl-adv-3030] quit

# 创建ACL 3040匹配源地址为2.2.2.0/243.3.3.0/24网段,目的为7.7.7.0/24网段的报文。

[BRAS] acl number 3040

[BRAS-acl-adv-3040] rule permit ip source 2.2.2.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

[BRAS-acl-adv-3040] rule permit ip source 3.3.3.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

[BRAS-acl-adv-3040] quit

说明

BRAS上和P互联的三层接口只有子接口GigabitEthernet3/1/1.2,而每个子接口上只能部署一个策略,所以步骤(4)中的经PBRAS的返回流量需要和步骤(2)DHCP回应报文共用同一个策略P_to_Bras

 

# 在策略P_to_Bras中,创建节点序号为2,匹配模式permit,指定匹配ACL 3030的报文在vpn_isp1内转发。

[BRAS] policy-based-route P_to_Bras permit node 2

[BRAS-pbr-P_to_Bras-2] if-match acl 3030

[BRAS-pbr-P_to_Bras-2] apply access-vpn vpn-instance vpn_isp1

[BRAS-pbr-P_to_Bras-2] quit

# 在策略P_to_Bras中再创建节点序号3,匹配模式permit,指定匹配ACL 3040的报文在vpn_isp2内转发。

[BRAS] policy-based-route P_to_Bras permit node 3

[BRAS-pbr-P_to_Bras-3] if-match acl 3040

[BRAS-pbr-P_to_Bras-3] apply access-vpn vpn-instance vpn_isp2

[BRAS-pbr-P_to_Bras-3] quit

# 在以太接口GigabitEthernet3/1/1.2上应用该策略路由P_to_Bras

[BRAS] interface gigabitethernet 3/1/1.2

[BRAS–GigabitEthernet3/1/1.2] ip policy-based-route P_to_Bras

[BRAS–GigabitEthernet3/1/1.2] quit

(5)     PE1上宣告PPPoE认证前用户网段的路由

# PE1上的OSPF进程中宣告5.5.5.0/24网段,以便PPE2可以学习到相应的路由。

[PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 5.5.5.0 0.0.0.255

[PE1-ospf-1-area-0.0.0.0] quit

[PE1-ospf-1] quit

(6)     配置P上到PPPoE用户网段的路由

# P上配置到6.6.6.0/247.7.7.0/24网段的静态路由

[P] ip route-static 6.6.6.0 24 10.1.1.1

[P] ip route-static 7.7.7.0 24 10.1.1.1

(7)     配置PE2上到PPPoE用户网段的路由

# PE2上配置到6.6.6.0/247.7.7.0/24网段的静态路由

[PE2] ip route-static 6.6.6.0 24 10.1.4.1

[PE2] ip route-static 7.7.7.0 24 10.1.4.1

8.5.5  配置Switch A

# 创建运营商VLAN 101

<SwitchA> system-view

[SwitchA] vlan 101

[SwitchA-vlan101] quit

# 配置端口GigabitEthernet3/0/1Hybrid模式,并允许运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[SwitchA] interface gigabitethernet 3/0/1

[SwitchA-GigabitEthernet3/0/1] port link-type hybrid

[SwitchA-GigabitEthernet3/0/1] port hybrid vlan 101 tagged

[SwitchA-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchA] interface range gigabitethernet 3/0/2 to gigabitethernet 3/0/3

[SwitchA-if-range] port link-type trunk

[SwitchA-if-range] port trunk permit vlan 101

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3的缺省VLAN为运营商VLAN 101,并启用端口QinQ功能。

[SwitchA-if-range] port trunk pvid vlan 101

[SwitchA-if-range] qinq enable

[SwitchA-if-range] quit

8.5.6  配置Switch B

# 创建用户VLAN 1112

[SwitchB] vlan 11 to 12

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 11VLAN 12的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 11 12

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 11

[SwitchB] interface gigabitethernet 3/0/2

[SwitchB-GigabitEthernet3/0/2] port access vlan 11

[SwitchB-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 12

[SwitchB] interface gigabitethernet 3/0/3

[SwitchB-GigabitEthernet3/0/3] port access vlan 12

[SwitchB-GigabitEthernet3/0/3] quit

8.5.7  配置Switch C

# 创建用户VLAN 1314

[SwitchC] vlan 13 to 14

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 13VLAN 14的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 13 14

[SwitchC-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 13

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] port access vlan 13

[SwitchC-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 14

[SwitchC] interface gigabitethernet 3/0/3

[SwitchC-GigabitEthernet3/0/3] port access vlan 14

[SwitchC-GigabitEthernet3/0/3] quit

8.6  验证配置

# 下面以用户主机Host A为例进行说明。

(1)     Host A未拨号认证前,

#使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。<BRAS>display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1              N/A

以上信息表明,用户Host APPPoE拨号认证前,可以态获取到IP地址5.5.5.2。用户使用该IP地址仅可以访问学校内网。

(2)     Host A使用用户名:User1@isp1和密码:pass1拨号接入BRAS设备后

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

<BRAS> display dhcp relay client-information

Total number of client-information items: 2

Total number of dynamic items: 2

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1            N/A

6.6.6.2          e839-3563-fb21   Dynamic     VA0                  vpn_isp1

以上信息表明,用户Host A使用@isp1后缀的用户名PPPoE拨号认证后,又态获取到在vpn_isp1中的IP地址6.6.6.2

# 查看用户User1@isp1的详细信息。

<BRAS>display ppp access-user username user1@isp1

Basic:

  Interface: VA0

  User ID: 0x20000001

  Username: User1@isp1                //PPPoE拨号使用的用户名

  Domain: isp1                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 6.6.6.2                 //DHCP Server为用户分配的IP地址

  IPv6 address: -

  IPv6 PD prefix: -

  VPN instance: vpn_isp1             //用户所属VPN

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Closed

  Realtime accounting interval: -

  Login time: 2022-2-3  16:8:50:841

  Accounting start time: 2022-2-3  16:8:50:861

  Online time(hh:mm:ss): 0:0:7

  Accounting state: Accounting

  Idle cut: 0 sec  0 byte

  Session timeout: -

  Time remained: -

  Byte remained: -

  Redirect WebURL: -

 

ACL&QoS:

  User profile: u_profile (active)

  User group profile: -

  Inbound CAR: -

  Outbound CAR: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 119/11753

  IPv4 downlink packets/bytes: 73/6350

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

 

ITA:

  Level-1 uplink   packets/bytes: 109/11653

          downlink packets/bytes: 0/0

  Level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-3 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-4 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

# 查看vpn_isp1中的路由。

<BRAS> display ip routing-table vpn-instance vpn_isp1

 

Destinations : 20        Routes : 20

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

2.2.2.0/24         Static  60  0           10.1.1.2        GE3/1/1.2

3.3.3.0/24         Static  60  0           10.1.1.2        GE3/1/1.2

4.4.4.0/24         Static  60  0           4.4.4.3         GE3/1/1.2

6.6.6.1/32         Direct  0   0           127.0.0.1       InLoop0

6.6.6.2/32         Direct  0   0           6.6.6.2         VA0

10.1.1.0/24        Static  60  0           10.1.1.2        GE3/1/1.2

10.1.4.0/24        Static  60  0           10.1.1.2        GE3/1/1.2

101.1.1.0/24       BGP     255 0           3.3.3.9         GE3/1/1.2

101.101.101.0/24   Direct  0   0           101.101.101.101 VA0

101.101.101.0/32   Direct  0   0           101.101.101.101 VA0

101.101.101.101/32 Direct  0   0           127.0.0.1       InLoop0

101.101.101.255/32 Direct  0   0           101.101.101.101 VA0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

以上信息表明,在vpn_isp1中已有到内网(例如:2.2.2.0/24网段)和外网(101.1.1.0/24网段)的相应路由,用户可以使用获取到的IP地址6.6.6.2同时访问学校内网和外网,且访问外网时走的是ISP1出口。

(3)     Host A使用用户名:User1@isp2和密码:pass1拨号接入BRAS设备后

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

<BRAS> display dhcp relay client-information

Total number of client-information items: 2

Total number of dynamic items: 2

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1            N/A

7.7.7.2          e839-3563-fb21   Dynamic     VA0                  vpn_isp2

以上信息表明,用户Host A使用@isp2后缀的用户名PPPoE拨号认证后,又态获取到在vpn_isp2中的IP地址7.7.7.2

# 查看用户User1@isp2的详细信息。

<BRAS>display ppp access-user username user1@isp2

Basic:

  Interface: VA0

  User ID: 0x20000001

  Username: User1@isp2                //PPPoE拨号使用的用户名

  Domain: isp2                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 7.7.7.2                 //DHCP Server为用户分配的IP地址

  IPv6 address: -

  IPv6 PD prefix: -

  VPN instance: vpn_isp2             //用户所属VPN

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Closed

  Realtime accounting interval: -

  Login time: 2022-2-3  16:10:37:389

  Accounting start time: 2022-2-3  16:10:37:412

  Online time(hh:mm:ss): 0:0:4

  Accounting state: Accounting

  Idle cut: 0 sec  0 byte

  Session timeout: -

  Time remained: -

  Byte remained: -

  Redirect WebURL: -

 

ACL&QoS:

  User profile: u_profile (active)

  User group profile: -

  Inbound CAR: -

  Outbound CAR: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 56/5676

  IPv4 downlink packets/bytes: 0/0

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

 

ITA:

  Level-1 uplink   packets/bytes: 46/5576

          downlink packets/bytes: 0/0

  Level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-3 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-4 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

# 查看vpn_isp2中的路由。

<BRAS> display ip routing-table vpn-instance vpn_isp2

 

Destinations : 20        Routes : 20

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

2.2.2.0/24         Static  60  0           10.1.1.2        GE3/1/1.2

3.3.3.0/24         Static  60  0           10.1.1.2        GE3/1/1.2

4.4.4.0/24         Static  60  0           4.4.4.3         GE3/1/1.2

7.7.7.1/32         Direct  0   0           127.0.0.1       InLoop0

7.7.7.2/32         Direct  0   0           7.7.7.2         VA0

10.1.1.0/24        Static  60  0           10.1.1.2        GE3/1/1.2

10.1.4.0/24        Static  60  0           10.1.1.2        GE3/1/1.2

101.101.101.0/24   Direct  0   0           101.101.101.101 VA0

101.101.101.0/32   Direct  0   0           101.101.101.101 VA0

101.101.101.101/32 Direct  0   0           127.0.0.1       InLoop0

101.101.101.255/32 Direct  0   0           101.101.101.101 VA0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

202.1.1.0/24       BGP     255 0           3.3.3.9         GE3/1/1.2

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

以上信息表明,在vpn_isp2中已有到内网(例如:2.2.2.0/24网段)和外网(202.1.1.0/24网段)的相应路由,用户可以使用获取到的IP地址7.7.7.2同时访问学校内网和外网,且访问外网时走的是ISP2出口。

8.7  配置文件

·     DHCP-server

#

 dhcp enable

#

dhcp server ip-pool pool1

 gateway-list 5.5.5.1

 network 5.5.5.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 5.5.5.1

#

dhcp server ip-pool pool2

 gateway-list 6.6.6.1

 network 6.6.6.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 6.6.6.1

#

dhcp server ip-pool pool3

 gateway-list 7.7.7.1

 network 7.7.7.0 mask 255.255.255.0

 dns-list 8.8.8.8

 forbidden-ip 7.7.7.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 4.4.4.3 255.255.255.0

#

 ip route-static 0.0.0.0 0 4.4.4.1

#

·     PE 1BRAS):

#

ip vpn-instance vpn_isp1

 route-distinguisher 100:1

 vpn-target 111:1 import-extcommunity

 vpn-target 222:1 export-extcommunity

#

ip vpn-instance vpn_isp2

 route-distinguisher 200:1

 vpn-target 333:1 import-extcommunity

 vpn-target 444:1 export-extcommunity

#

ospf 1

 area 0.0.0.0

  network 1.1.1.9 0.0.0.0

  network 5.5.5.0 0.0.0.255

  network 10.1.1.0 0.0.0.255

#

 mpls lsr-id 1.1.1.9

#

 dhcp enable

 dhcp relay client-information record

#

traffic classifier 3000 operator and

 if-match acl 3000

#

traffic classifier 3001 operator and

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user1 operator and

 if-match customer-vlan-id 11

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user2 operator and

 if-match customer-vlan-id 12

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user3 operator and

 if-match customer-vlan-id 13

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user4 operator and

 if-match customer-vlan-id 14

 if-match acl 3002

 if-match authenticated-user

#

traffic behavior 3000

 accounting byte

 car cir 5000 cbs 312500 ebs 0 red discard

#

traffic behavior 3001

 accounting byte

 remark account-level 1

 car cir 5000 cbs 312500 ebs 0 red discard

#

traffic behavior be_10M

 accounting byte

 remark account-level 4

 car cir 10000 cbs 625000 ebs 0 red discard

#

traffic behavior be_2M

 accounting byte

 remark account-level 2

 car cir 2000 cbs 125000 ebs 0 red discard

#

traffic behavior be_5M

 accounting byte

 remark account-level 3

 car cir 5000 cbs 312500 ebs 0 red discard

#

qos policy nei_waiwang_share

 classifier 3001 behavior 3001

 classifier cl_user1 behavior be_2M

 classifier cl_user2 behavior be_5M

 classifier cl_user3 behavior be_5M

 classifier cl_user4 behavior be_10M

#

qos policy only_neiwang

 classifier 3000 behavior 3000

#

dhcp server ip-pool pool1

 vpn-instance vpn_isp1

 gateway-list 6.6.6.1 export-route

 remote-server 4.4.4.3

#

dhcp server ip-pool pool2

 vpn-instance vpn_isp2

 gateway-list 7.7.7.1 export-route

 remote-server 4.4.4.3

#

policy-based-route P_to_Bras permit node 0

 if-match acl 3010

 apply access-vpn vpn-instance vpn_isp1

#

policy-based-route P_to_Bras permit node 1

 if-match acl 3020

 apply access-vpn vpn-instance vpn_isp2

#

policy-based-route P_to_Bras permit node 2

 if-match acl 3030

 apply access-vpn vpn-instance vpn_isp1

#

policy-based-route P_to_Bras permit node 3

 if-match acl 3040

 apply access-vpn vpn-instance vpn_isp2

#

mpls ldp

#

interface Virtual-Template1

 ppp authentication-mode chap

 ppp account-statistics enable

 ip address 101.101.101.101 255.255.255.0

#

interface LoopBack0

 ip address 1.1.1.9 255.255.255.255

#

interface GigabitEthernet3/1/1

 port link-mode route

#

interface GigabitEthernet3/1/1.1

 ip address 5.5.5.1 255.255.255.0

 local-proxy-arp enable

 qos apply policy only_neiwang inbound

 qos apply policy only_neiwang outbound

 vlan-type dot1q vid 101 second-dot1q 11 to 14

 vlan-termination broadcast enable

 dhcp select relay

 dhcp relay server-address 4.4.4.3

 pppoe-server bind virtual-template 1

#

interface GigabitEthernet3/1/1.2

 ip address 10.1.1.1 255.255.255.0

 mpls enable

 mpls ldp enable

 vlan-type dot1q vid 100

 ip policy-based-route P_to_Bras

#

bgp 100

 peer 3.3.3.9 as-number 100

 peer 3.3.3.9 connect-interface LoopBack0

 #

 address-family vpnv4

  peer 3.3.3.9 enable

 #

 ip vpn-instance vpn_isp1

  #

  address-family ipv4 unicast

   import-route direct

 #

 ip vpn-instance vpn_isp2

  #

  address-family ipv4 unicast

   import-route direct

#

 ip route-static vpn-instance vpn_isp1 2.2.2.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp1 3.3.3.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp1 4.4.4.0 24 4.4.4.3 public

 ip route-static vpn-instance vpn_isp2 2.2.2.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp2 3.3.3.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp2 4.4.4.0 24 4.4.4.3 public

#

acl number 3000

 rule 0 permit ip source 5.5.5.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

 rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 5.5.5.0 0.0.0.255

 rule 20 permit ip source 5.5.5.0 0.0.0.255 destination 5.5.5.0 0.0.0.255

#

acl number 3001

 rule 10 permit ip source 6.6.6.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

 rule 20 permit ip source 4.4.4.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

 rule 30 permit ip source 6.6.6.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

 rule 40 permit ip source 7.7.7.0 0.0.0.255 destination 4.4.4.0 0.0.0.255

 rule 50 permit ip source 4.4.4.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

 rule 60 permit ip source 7.7.7.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

#

acl number 3002

 rule 0 permit ip

#

acl number 3010

 rule 0 permit ip destination 6.6.6.0 0.0.0.255

#

acl number 3020

 rule 0 permit ip destination 7.7.7.0 0.0.0.255

#

acl number 3030

 rule 0 permit ip source 2.2.2.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

 rule 5 permit ip source 3.3.3.0 0.0.0.255 destination 6.6.6.0 0.0.0.255

#

acl number 3040

 rule 0 permit ip source 2.2.2.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

 rule 5 permit ip source 3.3.3.0 0.0.0.255 destination 7.7.7.0 0.0.0.255

#

user-profile u_profile

 qos apply policy nei_waiwang_share inbound

 qos apply policy nei_waiwang_share outbound

#

radius scheme rs1

 primary authentication 4.4.4.2

 primary accounting 4.4.4.2

 accounting-on enable

 key authentication cipher $c$3$qUtzXCwq7r8LLcMkFSoDGWZBL/icMl9CLA==

 key accounting cipher $c$3$n/0PcnYaWjXNFtKUpBYlof6r0doKH/fVig==

#

radius dynamic-author server

 client ip 4.4.4.2 key cipher $c$3$Td30doCnLkhF7bhiYp4bk9DU96+XBStLkA==

#

ita policy pl_ita

 accounting-method radius-scheme rs1

 accounting-level 1 ipv4

 accounting-level 2 ipv4

 accounting-level 3 ipv4

 accounting-level 4 ipv4

#

domain isp1

 authorization-attribute user-profile u_profile

 authorization-attribute ip-pool pool1

 authorization-attribute vpn-instance vpn_isp1

 ita-policy pl_ita

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

domain isp2

 authorization-attribute user-profile u_profile

 authorization-attribute ip-pool pool2

 authorization-attribute vpn-instance vpn_isp2

 ita-policy pl_ita

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

 pppoe-server virtual-template 1 slot 3 va-pool 1000

#

·     PCore Switch

#

ospf 1

 area 0.0.0.0

  network 2.2.2.9 0.0.0.0

  network 4.4.4.0 0.0.0.255

  network 10.1.1.0 0.0.0.255

  network 10.1.4.0 0.0.0.255

#

 mpls lsr-id 2.2.2.9

#

vlan 100 to 101

#

vlan 200

#

vlan 300

#

mpls ldp

#

interface LoopBack0

 ip address 2.2.2.9 255.255.255.255

#

interface Vlan-interface100

 ip address 10.1.1.2 255.255.255.0

 mpls enable

 mpls ldp enable

#

interface Vlan-interface200

 ip address 10.1.4.1 255.255.255.0

 mpls enable

 mpls ldp enable

#

interface Vlan-interface300

 ip address 4.4.4.1 255.255.255.0

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 101

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port link-type hybrid

 port hybrid vlan 100 101 tagged

 port hybrid vlan 1 untagged

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 200

#

interface GigabitEthernet3/0/4

 port link-mode bridge

 port access vlan 300

#

 ip route-static 6.6.6.0 24 10.1.1.1

 ip route-static 7.7.7.0 24 10.1.1.1

#

·     PE 2

#

ip vpn-instance vpn_isp1

 route-distinguisher 100:1

 vpn-target 111:1 export-extcommunity

 vpn-target 222:1 import-extcommunity

#

ip vpn-instance vpn_isp2

 route-distinguisher 200:1

 vpn-target 333:1 export-extcommunity

 vpn-target 444:1 import-extcommunity

#

ospf 1

 area 0.0.0.0

  network 10.1.4.0 0.0.0.255

  network 3.3.3.9 0.0.0.0

#

 mpls lsr-id 3.3.3.9

#

mpls ldp

#

interface LoopBack0

 ip address 3.3.3.9 255.255.255.255

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 10.1.4.2 255.255.255.0

 mpls enable

 mpls ldp enable

#

interface GigabitEthernet3/0/2

 port link-mode route

 ip binding vpn-instance vpn_isp1

 ip address 101.1.1.1 255.255.255.0

#

interface GigabitEthernet3/0/3

 port link-mode route

 ip binding vpn-instance vpn_isp2

 ip address 202.1.1.1 255.255.255.0

#

bgp 100

peer 1.1.1.9 as-number 100

 peer 1.1.1.9 connect-interface LoopBack0

 #

address-family vpnv4

  peer 1.1.1.9 enable

#

ip vpn-instance vpn_isp1

  peer 101.1.1.2 as-number 65430

#

 address-family ipv4 unicast

  import-route direct

peer 101.1.1.2 enable

 #

ip vpn-instance vpn_isp2

  peer 202.1.1.2 as-number 65430

  #

 address-family ipv4 unicast

  import-route direct

peer 202.1.1.2 enable

 #

#

 ip route-static 6.6.6.0 24 10.1.4.1

 ip route-static 7.7.7.0 24 10.1.4.1

#

·     CE 1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 101.1.1.2 255.255.255.0

#

bgp 65430

 peer 101.1.1.1 as-number 100

#

address-family ipv4 unicast

  import-route direct

  peer 101.1.1.1 enable

#

·     CE 2

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 202.1.1.2 255.255.255.0

#

bgp 65430

peer 202.1.1.1 as-number 100

#

address-family ipv4 unicast

  import-route direct

  peer 202.1.1.1 enable

#

·     Switch A

#

vlan 4001

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type hybrid

 port hybrid vlan 4001 tagged

 port hybrid vlan 1 untagged

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 4001

 port trunk pvid vlan 4001

 qinq enable

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 4001

 port trunk pvid vlan 4001

 qinq enable

#

·     Switch B

#

vlan 11 to 12

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 11 12

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 11

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 12

#

·     Switch C

#

vlan 13 to 14

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 13 14

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 13

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 14

#

BRAS校园网用户组多出口配置举例(远程授权方式)

9.1  组网需求

7.1  26所示,某校园网的宿舍区和办公区直挂在BRAS下,且BRAS作为出口设备分别接不同的运营商ISP1ISP2,要求实现如下需求:

·     宿舍区和办公区用户通过Portal方式接入,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以访问互联网资源。

·     办公区打印机通过静态IPoE方式接入,不允许访问互联网资源。

·     Portal用户通过在用户名后面增加@ISP1@ISP2的方式携带域名上线,BRAS则根据域用户对应的用户组来为用户指定固定的运营商出口。

·     通过远程AAA服务器授权用户组的方式实现用户组多出口功能。

图28 BRAS校园网用户组多出口配置举例

设备

接口

IP地址

设备

接口

IP地址

RADIUS server

-

4.4.4.2/24

Router ABRAS

GE3/1/1

2.1.1.1/16

Portal server

-

4.4.4.2/24

GE3/1/2

3.3.3.1/24

Router B

GE3/1/1

3.3.3.2/24

GE3/1/3

5.5.5.1/24

Router C

GE3/1/1

5.5.5.2/24

GE3/1/4

4.4.4.1/24

 

9.2  配置思路

·     RADIUS服务器上需要配置接入设备,并添加各用户名和密码。

·     为了使深澜软件充当Portal服务器的角色,需要在添加接入设备页面设置Portal协议和Portal密钥。

·     为了对校园网访问进行Portal认证,需要在BRAS上配置Portal服务器并且使能Portal认证。

·     为了实现通过RADIUS来对Portal用户进行认证/授权和计费,需要在BRAS上配置RADIUS方案并指定相应的认证/授权服务器和计费服务器,并将其应用于Portal用户所属的认证域。

·     为了在BRASRADIUS服务器之间安全地传输用户密码,并且能在BRAS验证RADIUS服务器响应报文未被篡改,在BRASRADIUS服务器上都要设置交互报文时所使用的共享密钥(本例共享密钥为123456)。

·     为了保证实现用户组多出口功能,需要先在BRAS上配置不同的用户组group1group2,分别对应ISP 1ISP2中的用户,再配置策略路由分别指定各用户组的流量转发出口

·     通过远程AAA服务器授权用户组实现用户组多出口功能,需要在服务器上添加RADIUS属性“group1”和“group2”,并设置RADIUS属性、控制策略和产品策略。

·     为了实现不允许办公区打印机访问互联网资源,需要BRAS设备的接口GE3/1/2GE3/1/3发送的报文进行过滤

9.3  使用版本

本举例是在SR8800-CMW710-R7353P08版本上进行配置和验证的。

9.4  配置注意事项

请注意检查实时计费间隔,一般情况下,推荐使用缺省值或者根据RADIUS服务器的计费间隔相应调大,不建议配置过小的计费间隔。本例中实时计费间隔采用缺省取值12分钟。

9.5  配置步骤

9.5.1  配置RADIUS服务器和Portal服务器(仅适用于AAA远程认证方式)

说明

下面以深澜软件4.0.9版本服务器为例,说明RADIUS服务器和Portal服务器的基本配置。

 

(1) 在浏览器输入“http://4.4.4.2:8081”,登录服务器添加接入设备和RADIUS属性。

点击导航栏“设备管理”,选择“添加设备”页签,点击“添加”按钮。

·     设置设备名称为“BRAS”;

·     设置NAS IP为“4.4.4.1”;

·     设置我们的IP为“4.4.4.2”;

·     选择NAS类型为“华为、H3C、深澜网关”;

·     设置DM端口为“3799”;

·     设置RADIUS密钥为“123456”;

·     选择是否丢弃流量为“不丢弃”;

·     选择Portal协议为“华三,华为(h3c v1.2)”;

·     设置Portal密钥为“123456”。

图29 添加接入设备配置页面

 

# 设置RADIUS信任。点击导航栏“Radius”, 选择“Radius信任设置”链接进入RADIUS信任设置界面,持续点击右上角“生成”按钮直到生成成功。

# 选择“RADIUS服务设置”页签选择用户名校验为“带域名”。

# 添加RADIUS属性“group1”和“group2”,以下以“group1”为例。

点击导航栏“Radius”,选择“添加Radius属性”页签,点击“添加”按钮。

·     设置名称为“gp1”(对于RADIUS属性“group2”,本处设置为“gp2”);

·     设置属性名为“group1”(对于RADIUS属性“group2”,本处设置为“group2”);

·     设置Vendor ID为“25506”;

·     设置Vendor name为“H3C”;

·     设置属性ID为“1”(对于RADIUS属性“group2”,本处设置为“2”);

·     选择值类型为“字符串”;

·     设置字典文件为“dictionary.h3c”;

·     选择Nas类型为“华为、H3C、深澜网关”;

·     选择发送条件为“正常用户发送”;

·     设置格式为“%s”;

·     选择可变性为“无(使用固定值)”;

·     设置固定值为“group1”(对于RADIUS属性“group2”,本处设置为“group2”)。

图30 RADIUS属性配置页面

 

(2) 在浏览器输入“https://4.4.4.2:8080”,登录服务器配置策略和用户。

# 配置控制策略“group1”和“group2”。

进入“策略管理/控制策略”,点击“添加”按钮,添加控制策略。

·     控制策略为“group1(对于控制策略“group2”,本处设置为“group2”)

·     Radius下发自定义属性选择“group1(对于控制策略“group2”,本处设置为“group2”)

# 配置产品策略“policy1”和“policy2”。

选择“策略管理/产品策略”页签,点击“添加”按钮,添加产品策略“policy1”和“policy2”,以下以添加“policy1”为例。

·     设置产品名称为“policy1”(对于产品策略“policy2,本处设置为policy2);

·     选择计费模式为“免费策略”;

·     选择控制策略为“group1”(对于产品策略“policy2,本处设置为group2);

# 添加组织结构

选择“系统设置/权限管理/组织结构”页签,点击图标,分别新建“宿舍区”和“办公区”组织。

# 添加用户。

选择“用户管理/添加用户”页签,点击“添加”按钮。

·     添加用户user1帐号"user1@isp1",密码“pass1”;选择组织结构为“宿舍区”;选择产品为“policy1”。

·     添加用户user2帐号"user2@isp2",密码“pass2”;选择组织结构为“宿舍区”;选择产品为“policy2”。

·     添加用户user3帐号"user3@isp1",密码“pass3”;选择组织结构为“办公区”;选择产品为“policy1”。

·     添加用户user4帐号"user4@isp2",密码“pass4”;选择组织结构为“办公区”;选择产品为“policy2