国家 / 地区

H3C SR8800-F路由器 园区网BRAS典型配置举例-R7951P01-6W100

手册下载

H3C BRAS园区网应用配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W100-20200306

产品版本:Release 7951P01

 

Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


 

1 简介··· 1

2 配置前提··· 1

3 使用限制··· 1

4 BRAS校园网准入准出分离配置举例··· 1

4.1 组网需求·· 1

4.2 配置思路·· 3

4.3 配置注意事项·· 3

4.4 配置步骤·· 3

4.4.1 配置Radius服务器·· 3

4.4.2 配置IP地址及路由·· 4

4.4.3 配置DHCP服务器·· 4

4.4.4 配置准入BRAS A· 4

4.4.5 配置准出BRAS B· 8

4.4.6 配置Switch A· 9

4.4.7 配置Switch B· 9

4.4.8 配置Switch C· 9

4.5 验证配置·· 10

4.6 配置文件·· 12

5 IPoE双栈用户普通Web认证配置举例··· 16

5.1 组网需求·· 16

5.2 配置思路·· 17

5.3 配置注意事项·· 17

5.4 配置步骤·· 17

5.4.1 配置IP地址及路由·· 17

5.4.2 设置DNS服务器·· 18

5.4.3 配置DHCP服务器·· 18

5.4.4 配置BRAS· 18

5.4.5 配置RADIUS服务器·· 26

5.4.6 配置Portal服务器·· 30

5.4.7 验证配置·· 34

5.4.8 配置文件·· 38

6 IPoE双栈用户MAC无感知认证配置举例··· 42

6.1 组网需求·· 42

6.2 配置思路·· 43

6.3 配置注意事项·· 43

6.4 配置步骤·· 43

6.4.1 配置IP地址及路由·· 43

6.4.2 设置DNS服务器·· 44

6.4.3 配置DHCP服务器·· 44

6.4.4 配置BRAS· 44

6.4.5 配置RADIUS服务器·· 52

6.4.6 配置Portal服务器·· 53

6.4.7 验证配置·· 57

6.4.8 配置文件·· 64

7 BRAS校园网VPN多出口+ITA配置举例(直挂方式)··· 69

7.1 组网需求·· 69

7.2 配置思路·· 71

7.3 配置注意事项·· 71

7.4 配置步骤·· 71

7.4.1 配置Radius服务器·· 71

7.4.2 配置MPLS L3VPN· 72

7.4.3 配置DHCP服务器·· 79

7.4.4 配置BRAS· 80

7.4.5 配置Switch A· 87

7.4.6 配置Switch B· 88

7.4.7 配置Switch C· 88

7.5 验证配置·· 89

7.6 配置文件·· 94

8 BRAS校园网VPN多出口+ITA配置举例(旁挂方式)··· 103

8.1 组网需求·· 103

8.2 配置思路·· 105

8.3 配置注意事项·· 105

8.4 配置步骤·· 105

8.4.1 配置Radius服务器·· 105

8.4.2 配置MPLS L3VPN· 106

8.4.3 配置DHCP服务器·· 114

8.4.4 配置BRAS· 115

8.4.5 配置Switch A· 122

8.4.6 配置Switch B· 123

8.4.7 配置Switch C· 123

8.5 验证配置·· 124

8.6 配置文件·· 129

9 BRAS校园网用户组多出口配置举例(远程授权方式)··· 138

9.1 组网需求·· 138

9.2 配置思路·· 140

9.3 配置注意事项·· 140

9.4 配置步骤·· 140

9.4.1 配置RADIUS服务器和Portal服务器(仅适用于AAA远程认证方式) 140

9.4.2 配置DNS服务器·· 143

9.4.3 配置IP地址及路由·· 143

9.4.4 配置BRAS· 143

9.4.5 配置Router BNAT设备)·· 147

9.5 验证配置·· 148

9.6 配置文件·· 154

10 BRAS校园网用户组多出口配置举例(本地授权方式)··· 157

10.1 组网需求·· 157

10.2 配置思路·· 158

10.3 配置注意事项·· 159

10.4 配置步骤·· 159

10.4.1 配置RADIUS服务器和Portal服务器(仅适用于AAA远程认证方式) 159

10.4.2 配置IP地址及路由·· 160

10.4.3 配置BRAS· 160

10.5 验证配置·· 164

10.6 配置文件·· 171

11 BRAS校园网ITA应用配置举例··· 174

11.1 组网需求·· 174

11.2 配置思路·· 175

11.3 配置注意事项·· 177

11.4 配置步骤·· 177

11.4.1 配置RADIUS服务器和Portal服务器·· 177

11.4.2 配置IP地址及路由·· 182

11.4.3 配置BRAS· 182

11.5 验证配置·· 185

11.6 配置文件·· 190

12 IPv6 Portal直接认证配置举例··· 193

12.1 组网需求·· 193

12.2 配置思路·· 193

12.3 配置注意事项·· 193

12.4 配置步骤·· 194

12.4.1 配置RADIUS服务器和Portal服务器·· 194

12.4.2 配置IPv4/IPv6地址及路由·· 195

12.4.3 配置BRAS· 195

12.5 验证配置·· 196

12.6 配置文件·· 199

13 相关资料··· 200

 


简介

本章介绍了BRASBroadband Remote Access Server,宽带远程接入服务器)特性在园区网应用中的典型配置举例。

配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解PPPoEIPoEPortalQoSVLAN终结和QinQ等特性。

使用限制

本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。

目前仅CSPEX类单板(除CSPEX-1104-E之外)支持配置PPPoEIPoEPortal功能。

目前仅仅CSPEX类单板(CSPEX-1104-E除外)支持配置ITA功能,并且ITA功能仅对PPPoEIPoEPortal用户生效。对于不同接入方式的用户,流量计费级别配置的数量各不相同,如1所示。

表1 流量计费级别配置数量表

ITA用户

流量计费级别配置的数量

CSPEX-1204单板

CSPEX类单板(除CSPEX-1204CSPEX-1104-E之外)

通过VLAN接口接入的Portal用户

7

7

·     通过三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口接入的Portal用户

·     IPoE用户

·     PPPoE用户

1个(目前只支持level 1

4个(目前只支持level 1level 4

 

因我司BRAS设备子接口支持终结的VLAN取值范围为14094,为确保BRAS功能的正常使用,实际规划网络时请确保下层设备上送到BRAS设备子接口的VLAN ID在范围14094之内。

BRAS校园网准入准出分离配置举例

4.1  组网需求

1图所示,某校园网的宿舍区和办公区直挂在BRAS A下,BRAS A作为宿舍区和办公区用户访问校园网的准入BRASBRAS B作为校园网访问Internet的准出BRAS,要求实现如下需求:

·     宿舍区和办公区用户均采用PPPoE认证,拨号客户端使用操作系统自带客户端;

·     用户未进行PPPoE拨号认证前,禁止用户访问校园网和互联网;

·     用户PPPoE拨号认证成功后,仅可以访问校园网,且访问校园网时,限速50Mbps,但不计费;

·     用户访问互联网时,需通过准出BRAS B的二次认证,认证通过后方可访问外网,但认证过程中用户不感知,为此学校提供20Mbps50Mbps100Mbps三种包月套餐供选择(本例中用户ABCD选择的上网套餐分别是20Mbps50Mbps50Mbps100Mbps。)。

图1 BRAS校园网准入准出分离配置举例

 

4.2  配置思路

·     BRAS A已对用户VLAN做了终结,BRAS B无法再根据用户VLAN进行用户区分,所以访问外网的QoS策略需要部署在BRAS A上,同时BRAS A的接入接口上应用QoS策略实现对用户的速率控制。

·     为了实现用户访问互联网时,用户无感知的二次认证功能,需要在BRAS B上部署IPoE认证,使用用户的IP地址作为用户名向Radius服务器认证,由Radius自动关联内网的认证来实现二次认证无感知。

·     因开启BRAS B上的IPoE准出认证功能后,IPoE上报给Radius服务器的属性中会带上新增的Radius私有属性。Radius服务器收到带有该私有属性的用户认证请求后,解析用户名中的IP地址,并根据IP地址查找准入认证的数据,找到则认为用户合法允许接入,找不到则不允许用户接入,即对于Radius服务器来说,触发IPoE未知源认证的IPoE用户必须是BRAS A上已认证的PPPoE用户,所以无需在Radius上配置关于IPoE认证用户的用户名/密码信息。

·     为了防止BRAS B上维护闲置用户的会话信息,造成资源的浪费,需要部署idle-cut功能,在用户闲置时自动下线。

·     为了实现对用户内外网流量的区分,可以通过某一ACL先匹配具体的内网流量(本例中内网流量通过ACL 3000匹配),再通过另一ACL匹配除内网流量外的其余流量(默认为外网流量,本例中外网流量通过ACL 3001匹配)。

·     因当PPPoE用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

4.3  配置注意事项

·     推荐使用H3C iMC作为Radius服务器和BRAS B设备配合来实现IPoE准出认证功能。

·     授权地址池等属性,如果Radius服务器和ISP域下同时配置,则以Radius服务器授权的为准;idle-cut属性,如果Radius服务器和ISP域下同时配置,则以BRAS设备上ISP域下配置的为准(本例中授权属性均已仅在ISP域下配置的方式进行举例,实际环境请根据需要选择由Radius服务器授权或通过ISP域下配置方式)。

·     配置iMC认证服务器的用户必需携带ISP域名,如果PPPoE接入和IPoE接入选用不同的ISP域接入时,iMC认证服务器对配置的用户要同时选用PPPoEIPoE接入ISP域的两个服务。

·     本例中,配置PPPoEIPoE使用相同的ISP域认证isp1

·     iMC的系统参数配置中把“同名账户强制下线”选择为“禁止”。

·     iMC接入用户的“线数量限制”选框中填写的数值要大于等于2

4.4  配置步骤

4.4.1  配置Radius服务器

# iMC配置PPPoE接入用户()

4.4.2  配置IP地址及路由

按照1配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。

4.4.3  配置DHCP服务器

# 全局使能DHCP

<DHCP> system-view

[DHCP] dhcp enable

# 创建用户PPPoE拨号认证成功后使用的DHCP地址池pool1并进入其视图。

[DHCP] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段3.3.0.0/16,分配的网关地址3.3.3.1DNS服务器地址8.8.8.8

[DHCP-dhcp-pool-pool1] network 3.3.0.0 16

[DHCP-dhcp-pool-pool1] gateway-list 3.3.3.1

[DHCP-dhcp-pool-pool1] dns-list 8.8.8.8

# 3.3.3.1设置为禁止分配地址。

[DHCP-dhcp-pool-pool1] forbidden-ip 3.3.3.1

[DHCP-dhcp-pool-pool1] quit

# 配置到PPPoE Server(即BRAS A)的缺省路由。

[DHCP] ip route-static 0.0.0.0 0 4.4.4.1

4.4.4  配置准入BRAS A

1. 配置User Group

# 创建用户组g1

<BRASA> system-view

[BRASA] user-group g1

New user group added.

[BRASA-ugroup-web] quit

2. 配置内网的不计费和但限速50Mbps类型的QoS策略

说明

本例中以用户网段为3.3.0.0/16和服务器网段4.4.4.0/24作为内网网段进行举例。

 

# 配置ACL规则列表3000

[BRASA] acl advanced 3000

# 配置匹配用户PPPoE拨号认证后用户和服务器间互访的报文。

[BRASA-acl-ipv4-adv-3000] rule 0 permit ip source 3.3.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255 user-group g1

[BRASA-acl-ipv4-adv-3000] rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 3.3.0.0 0.0.255.255 user-group g1

# 配置匹配用户PPPoE拨号认证后用户间互访的报文。

[BRASA-acl-ipv4-adv-3000] rule 20 permit ip source 3.3.0.0 0.0.255.255 destination 3.3.0.0 0.0.255.255 user-group g1

[BRASA-acl-ipv4-adv-3000] quit

说明

因设备ACL规则缺省为无(即缺省既不是Permit也不是Deny),对于没匹配到的流量该ACL不作处理,所以请不要在ACL 3000中最后再配置一条Deny所有报文的规则(例如:rule 30 deny ip),否则将造成设备执行策略nei_waiwang_share时,classifier 3000 behavior 3000之后的所有CB对匹配不到任何用户流量。

 

# 配置流分类器3000,并设置流匹配规则为ACL 3000且已认证的用户报文。

[BRASA] traffic classifier 3000 operator and

[BRASA-classifier-3000] if-match acl 3000

[BRASA-classifier-3000] if-match authenticated-user

[BRASA-classifier-3000] quit

# 定义流行为3000配置采用流量统计并限速50000kbps

[BRASA] traffic behavior 3000

[BRASA-behavior-3000] accounting byte

[BRASA-behavior-3000] car cir 50000

[BRASA-behavior-3000] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRASA] qos policy nei_waiwang_share

[BRASA-qospolicy-nei_waiwang_share] classifier 3000 behavior 3000

[BRASA-qospolicy-nei_waiwang_share] quit

3. 配置访问外网的计费和限速类型的QoS策略

# 配置ACL规则列表3001

[BRASA] acl advanced 3001

# 配置匹配所有报文。

[BRASA-acl-ipv4-adv-3001] rule 30 permit ip user-group g1

[BRASA-acl-ipv4-adv-3001] quit

# 配置流分类器cl_user1,并设置流匹配规则为用户VLAN 11ACL 3001且已认证的用户报文。

[BRASA] traffic classifier cl_user1 operator and

[BRASA-classifier-cl_user1] if-match customer-vlan-id 11

[BRASA-classifier-cl_user1] if-match acl 3001

[BRASA-classifier-cl_user1] if-match authenticated-user

[BRASA-classifier-cl_user1] quit

# 配置流分类器cl_user2,并设置流匹配规则为用户VLAN 12ACL 3001且已认证的用户报文。

[BRASA] traffic classifier cl_user2 operator and

[BRASA-classifier-cl_user2] if-match customer-vlan-id 12

[BRASA-classifier-cl_user2] if-match acl 3001

[BRASA-classifier-cl_user2] if-match authenticated-user

[BRASA-classifier-cl_user2] quit

# 配置流分类器cl_user3,并设置流匹配规则为用户VLAN 13ACL 3001且已认证的用户报文。

[BRASA] traffic classifier cl_user3 operator and

[BRASA-classifier-cl_user3] if-match customer-vlan-id 13

[BRASA-classifier-cl_user3] if-match acl 3001

[BRASA-classifier-cl_user3] if-match authenticated-user

[BRASA-classifier-cl_user3] quit

# 配置流分类器cl_user4,并设置流匹配规则为用户VLAN 14ACL 3001且已认证的用户报文。

[BRASA] traffic classifier cl_user4 operator and

[BRASA-classifier-cl_user4] if-match customer-vlan-id 14

[BRASA-classifier-cl_user4] if-match acl 3001

[BRASA-classifier-cl_user4] if-match authenticated-user

[BRASA-classifier-cl_user4] quit

# 定义流行为be_20M,采用流量统计并限速20000kbps

[BRASA] traffic behavior be_20M

[BRASA-behavior-be_20M] accounting byte

[BRASA-behavior-be_20M] car cir 20000

[BRASA-behavior-be_20M] quit

# 定义流行为be_50M,采用流量统计并限速50000kbps

[BRASA] traffic behavior be_50M

[BRASA-behavior-be_50M] accounting byte

[BRASA-behavior-be_50M] car cir 50000

[BRASA-behavior-be_50M] quit

# 定义流行为be_100M,采用流量统计并限速100000kbps

[BRASA] traffic behavior be_100M

[BRASA-behavior-be_100M] accounting byte

[BRASA-behavior-be_100M] car cir 100000

[BRASA-behavior-be_100M] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRASA] qos policy nei_waiwang_share

[BRASA-qospolicy-nei_waiwang_share] classifier cl_user1 behavior be_20M

[BRASA-qospolicy-nei_waiwang_share] classifier cl_user2 behavior be_50M

[BRASA-qospolicy-nei_waiwang_share] classifier cl_user3 behavior be_50M

[BRASA-qospolicy-nei_waiwang_share] classifier cl_user4 behavior be_100M

[BRASA-qospolicy-nei_waiwang_share] quit

4. 应用QoS策略

# 进入接口GigabitEthernet3/1/1.1视图。

[BRASA] interface gigabitethernet 3/1/1.1

# 配置当前接口上应用QoS策略nei_waiwang_share

[BRASA–GigabitEthernet3/1/1.1] qos apply policy nei_waiwang_share inbound

[BRASA–GigabitEthernet3/1/1.1] qos apply policy nei_waiwang_share outbound

[BRASA–GigabitEthernet3/1/1.1] quit

5. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRASA] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRASA-radius-rs1] primary authentication 4.4.4.3

[BRASA-radius-rs1] primary accounting 4.4.4.3

[BRASA-radius-rs1] key authentication simple 123456

[BRASA-radius-rs1] key accounting simple 123456

# 使能RADIUS认证方案rs1accounting-on功能。

[BRASA-radius-rs1] accounting-on enable

[BRASA-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.3,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRASA] radius dynamic-author server

[BRASA-radius-da-server] client ip 4.4.4.3 key simple 123456

[BRASA-radius-da-server] quit

6. 配置DHCP中继

# 全局使能DHCP

[BRASA] dhcp enable

# 启用DHCP中继的用户地址表项记录功能。

[BRASA] dhcp relay client-information record

# 进入接口GigabitEthernet3/1/1.1视图。

[BRASA] interface gigabitethernet 3/1/1.1

# 配置接口工作在中继模式。

[BRASA–GigabitEthernet3/1/1.1] dhcp select relay proxy

[BRASA–GigabitEthernet3/1/1.1] quit

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRASA] dhcp server ip-pool pool1

[BRASA-dhcp-pool-pool1] gateway-list 3.3.3.1 export-route

[BRASA-dhcp-pool-pool1] remote-server 4.4.4.5

[BRASA-dhcp-pool-pool1] quit

7. 配置认证域

# 创建并进入名字为isp1ISP域。

[BRASA] domain name isp1

# 配置ISP域下PPP用户使用的Radius方案rs1

[BRASA-isp-isp1] authentication ppp radius-scheme rs1

[BRASA-isp-isp1] authorization ppp radius-scheme rs1

[BRASA-isp-isp1] accounting ppp radius-scheme rs1

# 配置当前isp1域下的用户授权地址池及指定用户的授权User Group

[BRASA-isp-isp1] authorization-attribute ip-pool pool1

[BRASA-isp-isp1] authorization-attribute user-group g1

[BRASA-isp-isp1] quit

8. 配置虚拟模板接口

# 创建虚拟模板接口1,并开启PPP计费统计和CHAP认证功能。

[BRASA] interface virtual-template 1

[BRASA-Virtual-Template1] ppp account-statistics enable

[BRASA-Virtual-Template1] ppp authentication-mode chap domain isp1

[BRASA-Virtual-Template1] quit

9. 配置VLAN终结

# 在用户的接入子接口GigabitEthernet3/1/1.1配置VLAN终结,并绑定虚拟模板接口1

[BRASA] interface gigabitethernet 3/1/1.1

[BRASA-GigabitEthernet3/1/1.1] vlan-type dot1q vid 101 second-dot1q 11 to 14

[BRASA-GigabitEthernet3/1/1.1] pppoe-server bind virtual-template 1

4.4.5  配置准出BRAS B

1. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRASB] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRASB-radius-rs1] primary authentication 4.4.4.3

[BRASB-radius-rs1] primary accounting 4.4.4.3

[BRASB-radius-rs1] key authentication simple 123456

[BRASB-radius-rs1] key accounting simple 123456

# 使能RADIUS认证方案rs1accounting-on功能。

[BRASB-radius-rs1] accounting-on enable

[BRASB-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.3,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRASB] radius dynamic-author server

[BRASB-radius-da-server] client ip 4.4.4.3 key simple 123456

[BRASB-radius-da-server] quit

2. 配置IPoE的认证域

# 创建并进入名字为isp1ISP域。

[BRASB] domain name isp1

# 配置ISP域下IPoE用户使用的Radius方案rs1

[BRASB-isp-isp1] authentication ipoe radius-scheme rs1

[BRASB-isp-isp1] authorization ipoe radius-scheme rs1

[BRASB-isp-isp1] accounting ipoe radius-scheme rs1

# 指定ISP域下的用户闲置切断时间为30分钟,闲置切断时间内产生的流量为10240字节。

[BRASB-isp-isp1] authorization-attribute idle-cut 30 10240

[BRASB-isp-isp1] quit

3. 配置IPoE认证

# 进入接口GigabitEthernet3/1/1视图。

[BRASB] interface gigabitethernet 3/1/1

# 使能IPoE功能,并指定三层接入模式。

[BRASB–GigabitEthernet3/1/1] ip address 5.5.5.2 24

[BRASB–GigabitEthernet3/1/1] ip subscriber routed enable

# 使能未知源IP报文触发方式。

[BRASB–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable

# 设置未知源IP报文触发方式使用的认证域为isp1

[BRASB–GigabitEthernet3/1/1] ip subscriber unclassified-ip domain isp1

# 配置用户IPoE准出认证。

[BRASB–GigabitEthernet3/1/1] ip subscriber access-out

[BRASB-GigabitEthernet3/1/1] quit

4.4.6  配置Switch A

# 创建运营商VLAN 101

<SwitchA> system-view

[SwitchA] vlan 101

[SwitchA-vlan101] quit

# 配置端口GigabitEthernet3/0/1Hybrid模式,并允许运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[SwitchA] interface gigabitethernet 3/0/1

[SwitchA-GigabitEthernet3/0/1] port link-type hybrid

[SwitchA-GigabitEthernet3/0/1] port hybrid vlan 101 tagged

[SwitchA-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchA] interface range gigabitethernet 3/0/2 to gigabitethernet 3/0/3

[SwitchA-if-range] port link-type trunk

[SwitchA-if-range] port trunk permit vlan 101

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3的缺省VLAN为运营商VLAN 101,并启用端口QinQ功能。

[SwitchA-if-range] port trunk pvid vlan 101

[SwitchA-if-range] qinq enable

[SwitchA-if-range] quit

4.4.7  配置Switch B

# 创建用户VLAN 1112

[SwitchB] vlan 11 to 12

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 11VLAN 12的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 11 12

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 11

[SwitchB] interface gigabitethernet 3/0/2

[SwitchB-GigabitEthernet3/0/2] port access vlan 11

[SwitchB-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 12

[SwitchB] interface gigabitethernet 3/0/3

[SwitchB-GigabitEthernet3/0/3] port access vlan 12

[SwitchB-GigabitEthernet3/0/3] quit

4.4.8  配置Switch C

# 创建用户VLAN 1314

[SwitchC] vlan 13 to 14

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 13VLAN 14的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 13 14

[SwitchC-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 13

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] port access vlan 13

[SwitchC-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 14

[SwitchC] interface gigabitethernet 3/0/3

[SwitchC-GigabitEthernet3/0/3] port access vlan 14

[SwitchC-GigabitEthernet3/0/3] quit

4.5  验证配置

# 以用户主机Host A为例:主机安装PPPoE客户端软件后,使用用户名:User1@isp1和密码:pass1便可以拨号接入BRAS A设备。

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

[BRASA] display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

3.3.3.2          e839-3563-fb21   Dynamic     BAS0                 N/A

以上信息表明,用户Host A已动态获取到IP地址。

# 查看用户User1@isp1的详细信息。

[BRASA] display ppp access-user username User1@isp1 verbose

Basic:

  Interface: BAS0

  PPP index: 0x140000105

  User ID: 0x20000001

  Username: User1@isp1                //PPPoE拨号使用的用户名

  Domain: isp1                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  VXLAN ID: -

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 3.3.3.2                 //DHCP Server为用户分配的IP地址

  Primary DNS server: 8.8.8.8

  IPv6 address: -

  IPv6 PD prefix: -

  IPv6 ND prefix: -

  User address type: N/A

  VPN instance: -

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

PPPoE:

  Session ID: 1

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Open

  Realtime accounting interval: 900s

  Login time: 2014-11-6  8:31:31:725

  Accounting start time: 2014-11-6  8:31:32:275

  Online time(hh:mm:ss): 0:3:46

  Accounting state: Accounting

  Acct start-fail action: Online

  Acct update-fail action: Online

  Acct quota-out action: Offline

  Dual-stack accounting mode: Merge

  Idle cut: 0 sec  0 byte, direction: Both

  Session timeout: -

  Time remained: -

  Traffic quota: -

  Traffic remained: -

  Redirect WebURL: -

  ITA policy name: -

  MRU: 1480 bytes

  IPv4 MTU: 1480 bytes

  IPv6 MTU: 1480 bytes

  Subscriber ID: -

 

ACL&QoS:

  User profile: -

  Session group profile: -

  User group acl: g1 (active)

  Inbound CAR: -

  Outbound CAR: -

  User inbound priority: -

  User outbound priority: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 508/53292

  IPv4 downlink packets/bytes: 285/26198

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

以上信息表明,Host A成功拨号到BRAS A设备并动态获取到IP地址3.3.3.2

用户认证通过之后,BRASB可以通过命令display ip subscriber session查看到对应IPoE用户信息。

[BRASB] display ip subscriber session

Type: D-DHCP   S-Static     U-Unclassified-IP   N-NDRS

Interface            IP address                MAC address    Type  State

                     IPv6 address              SVLAN/CVLAN    VXLAN

                     Username

GE3/1/1              3.3.3.2                   e839-3563-fb21 U/-   Online

                     -                         -/-            -

                     3.3.3.2

以上信息表明,用户已在BRASB上通过准出认证。

4.6  配置文件

·     DHCP服务器:

#

 dhcp enable

#

dhcp server ip-pool pool1

 network 3.3.0.0 mask 255.255.0.0

 dns-list 8.8.8.8

 forbidden-ip 3.3.3.1

 gateway-list 3.3.3.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 4.4.4.5 255.255.255.0

#

ip route-static 0.0.0.0 0 4.4.4.1

#

·     BRAS A

#

dhcp enable

dhcp relay client-information record

#

traffic classifier 3000 operator and

 if-match acl 3000

 if-match authenticated-user

#

traffic classifier cl_user1 operator and

 if-match customer-vlan-id 11

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user2 operator and

 if-match customer-vlan-id 12

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user3 operator and

 if-match customer-vlan-id 13

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user4 operator and

 if-match customer-vlan-id 14

 if-match acl 3001

 if-match authenticated-user

#

traffic behavior 3000

 accounting byte

 car cir 50000 cbs 3125000 ebs 0 green pass red discard yellow pass

#

traffic behavior be_100M

 accounting byte

 car cir 100000 cbs 6250000 ebs 0 green pass red discard yellow pass

#

traffic behavior be_20M

 accounting byte

 car cir 20000 cbs 1250000 ebs 0 green pass red discard yellow pass

#

traffic behavior be_50M

 accounting byte

 car cir 50000 cbs 3125000 ebs 0 green pass red discard yellow pass

#

qos policy nei_waiwang_share

 classifier 3000 behavior 3000

 classifier cl_user1 behavior be_20M

 classifier cl_user2 behavior be_50M

 classifier cl_user3 behavior be_50M

 classifier cl_user4 behavior be_100M

#

dhcp server ip-pool pool1

 gateway-list 3.3.3.1 export-route

 remote-server 4.4.4.5

#

interface Virtual-Template1

 ppp authentication-mode chap

 ppp account-statistics enable

#

interface GigabitEthernet3/1/1

 port link-mode route

#

interface GigabitEthernet3/1/1.1

 qos apply policy nei_waiwang_share inbound

 qos apply policy nei_waiwang_share outbound

 vlan-type dot1q vid 101 second-dot1q 11 to 14

 pppoe-server bind virtual-template 1

#

interface GigabitEthernet3/1/2

 port link-mode route

 ip address 5.5.5.1 255.255.255.0

#

interface GigabitEthernet3/1/3

 port link-mode route

 ip address 4.4.4.1 255.255.255.0

#

acl advanced 3000

 rule 0 permit ip source 3.3.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255 user-group g1

 rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 3.3.0.0 0.0.255.255 user-group g1

 rule 20 permit ip source 3.3.0.0 0.0.255.255 destination 3.3.0.0 0.0.255.255 user-group g1

#

acl advanced 3001

 rule 30 permit ip user-group g1

#

radius scheme rs1

 primary authentication 4.4.4.3

 primary accounting 4.4.4.3

 accounting-on enable

 key authentication cipher $c$3$XqHhm+QZo4fEaQkP+ltqssWYq0o4hhJp/g==

 key accounting cipher $c$3$ahutaD/6BL3qG0F5fyjBc8qI0vmptwNsmw==

#

radius dynamic-author server

 client ip 4.4.4.3 key cipher $c$3$Td30doCnLkhF7bhiYp4bk9DU96+XBStLkA==

#

domain name isp1

 authorization-attribute user-group g1

 authorization-attribute ip-pool pool1

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

user-group g1

#

·     BRAS B

#

interface GigabitEthernet3/1/1

 port link-mode route

 ip address 5.5.5.2 255.255.255.0

 ip subscriber routed enable

 ip subscriber initiator unclassified-ip enable

 ip subscriber unclassified-ip domain isp1

 ip subscriber access-out

#

interface GigabitEthernet3/1/2

 port link-mode route

 ip address 6.6.6.1 255.255.255.0

#

interface GigabitEthernet3/1/3

 port link-mode route

 ip address 4.4.4.2 255.255.255.0

#

radius scheme rs1

 primary authentication 4.4.4.3

 primary accounting 4.4.4.3

 accounting-on enable

 key authentication cipher $c$3$DjpIVXm7T/Agf8WLNpF11mEYtx7lb2m51w==

 key accounting cipher $c$3$4/FLMIce3DXgzHnY/oNl8SITZPze34E+cQ==

#

radius dynamic-author server

 client ip 4.4.4.3 key cipher $c$3$Td30doCnLkhF7bhiYp4bk9DU96+XBStLkA==

#

domain name isp1

 authorization-attribute idle-cut 30 10240

 authentication ipoe radius-scheme rs1

 authorization ipoe radius-scheme rs1

 accounting ipoe radius-scheme rs1

#

·     Switch A

#

vlan 101

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type hybrid

 port hybrid vlan 101 tagged

 port hybrid vlan 1 untagged

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 101

 port trunk pvid vlan 101

 qinq enable

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 101

 port trunk pvid vlan 101

 qinq enable

#

·     Switch B

#

vlan 11 to 12

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 11 12

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 11

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 12

#

·     Switch C

#

vlan 13 to 14

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 13 14

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 13

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 14

#

IPoE双栈用户普通Web认证配置举例

5.1  组网需求

2所示:Router A为某学校的一台BRAS设备,为学校用户提供IPoE接入服务。要求:

·     DHCP Client经由二层网络以IPoE方式接入到BRAS接入设备。

·     BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。

·     由一台安装了H3C iMC的服务器同时承担RADIUS服务器、Portal认证服务器和Portal Web服务器的职责。

·     FTP server是一台内网服务器。

·     Web认证通过后限速5Mbps

图2 IPoE双栈用户普通Web认证配置组网图

 

5.2  配置思路

为了保证用户的带宽需求,本例通过授权User Profile进行速率控制。

为了提高转发效率,IPoE Web认证前域中的流量,区分HTTPHTTPS和普通IP报文分别走不同的队列上送。IPoE Web中针对流量上送CPU部分按照三个CB对来配置:

·     流分类匹配HTTP同时User Group为前域标记的,对应的流行为redirect http-to-cpu

·     流分类匹配HTTPS同时User Group为前域标记的,对应的流行为redirect https-to-cpu

·     流分类匹配IP同时User Group为前域标记的,对应的流行为redirect cpu

BRAS接入用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

5.3  配置注意事项

本例中DHCP Server是由设备进行模拟,实际应用建议使用专门的DHCP服务器。

缺省情况下,未配置对HTTPS报文进行重定向的内部侦听端口号。需要通过http-redirect https-port命令用来配置对HTTPS报文进行重定向的侦听端口号,并且配置的侦听端口不要跟已有端口冲突。

5.4  配置步骤

5.4.1  配置IP地址及路由

按照2配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。

5.4.2  设置DNS服务器

请正确设置DNS服务器,以便服务器可以根据IPoE双栈用户先上线的协议栈类型,解析出Web认证页面http://www.h3c.web.com对应的IPv4 URL地址或IPv6 URL地址。DNS服务器具体设置过程略。

5.4.3  配置DHCP服务器

1. 配置DHCPv4地址池

# 开启DHCP服务。

<DHCP> system-view

[DHCP] dhcp enable

# 创建名称为pool1DHCPv4地址池并进入其视图。

[DHCP] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段192.168.0.0/24

[DHCP-dhcp-pool-pool1] network 192.168.0.0 24

# 配置为用户分配的网关地址为192.168.0.1

[DHCP-dhcp-pool-pool1] gateway-list 192.168.0.1

# 192.168.0.1设置为禁止地址。

[DHCP-dhcp-pool-pool1] forbidden-ip 192.168.0.1

[DHCP-dhcp-pool-pool1] quit

# 通过配置静态路由,将目的地址为192.168.0.0网段的DHCPv4应答报文的下一跳指定为连接DHCPv4客户端网络的接口IPv4地址4.4.4.2

[DHCP] ip route-static 192.168.0.0 24 4.4.4.2

2. 配置DHCPv6地址池

# 创建名称为pool2DHCPv6地址池并进入其视图。

[DHCP] ipv6 dhcp pool pool2

# 配置地址池动态分配的IPv6地址网段192::0/64

[DHCP-dhcp6-pool-pool2] network 192::0/64

[DHCP-dhcp6-pool-pool2] quit

# 192::1设置为禁止地址。

[DHCP] ipv6 dhcp server forbidden-address 192::1

# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。

[DHCP] interface gigabitethernet 3/1/1

[DHCP-GigabitEthernet3/1/1] ipv6 dhcp select server

[DHCP-GigabitEthernet3/1/1] quit

# 通过配置静态路由,将目的地址为192::0网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2

[DHCP] ipv6 route-static 192::0 64 4::2

5.4.4  配置BRAS

1. 配置DHCP中继

# 全局开启DHCP

[BRAS] dhcp enable

# 启用DHCP中继的用户地址表项记录功能。

[BRAS] dhcp relay client-information record

# 关闭DHCP中继动态用户地址表项定时刷新功能。

[BRAS] undo dhcp relay client-information refresh enable

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool1

[BRAS-dhcp-pool-pool1] gateway-list 192.168.0.1 export-route

[BRAS-dhcp-pool-pool1] remote-server 4.4.4.3

[BRAS-dhcp-pool-pool1] quit

# 创建中继地址池pool2,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] ipv6 dhcp pool pool2

[BRAS-dhcp6-pool-pool2] gateway-list 192::1

[BRAS-dhcp6-pool-pool2] remote-server 4::3

[BRAS-dhcp6-pool-pool2] quit

# 配置接口工作在DHCPv4中继模式。

[BRAS] interface gigabitethernet 3/1/2

[BRAS–GigabitEthernet3/1/2] dhcp select relay proxy

# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。

[BRAS–GigabitEthernet3/1/2] ipv6 address auto link-local

# 配置接口工作在DHCPv6中继模式,开启DHCPv6中继用户表项记录功能。

[BRAS–GigabitEthernet3/1/2] ipv6 dhcp select relay

[BRAS–GigabitEthernet3/1/2] ipv6 dhcp relay client-information record

# 配置清除用户表项时通知DHCPv6服务器释放租约。

[BRAS–GigabitEthernet3/1/2] ipv6 dhcp relay release-agent

# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息

[BRAS–GigabitEthernet3/1/2] undo ipv6 nd ra halt

[BRAS–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag

[BRAS–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag

# 为避免终端使用临时IPv6地址进行认证,从而导致认证失败,在用户上线接口配置前缀不在RA消息中发布,从而避免终端使用前缀生成临时IPv6地址。

[BRAS–GigabitEthernet3/1/2] ipv6 nd ra prefix 192::/64 no-advertise

[BRAS–GigabitEthernet3/1/2] quit

2. 配置Portal认证服务器

# 配置IPv4 Portal认证服务器:名称为newpt1IP地址为4.4.4.5,密钥为明文123456

[BRAS] portal server newpt1

[BRAS-portal-server-newpt1] ip 4.4.4.5 key simple 123456

[BRAS-portal-server-newpt1] quit

# 配置IPv6 Portal认证服务器:名称为newpt2IPv6地址为4::5,密钥为明文123456

[BRAS] portal server newpt2

[BRAS-portal-server-newpt2] ipv6 4::5 key simple 123456

[BRAS-portal-server-newpt2] quit

3. 配置HTTPS的内部侦听端口

# 配置HTTPS的内部侦听端口,端口不要跟已有端口冲突即可。

[BRAS] http-redirect https-port 11111

4. 创建本地用户组

# 创建认证前域用户组,名称为web

[BRAS] user-group web

New user group added.

[BRAS-ugroup-web] quit

5. 配置QoS

(1)     配置用于认证前域用户的ACL规则

# 分别为IPv4IPv6高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。

[BRAS] acl advanced name web_permit

[BRAS-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web

[BRAS-acl-ipv4-adv-web_permit] quit

[BRAS] acl ipv6 advanced name web_permit

[BRAS-acl-ipv6-adv-web_permit] rule 0 permit ipv6 destination 4::5 128 user-group web

[BRAS-acl-ipv6-adv-web_permit] quit

# 分别为IPv4IPv6高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。

[BRAS] acl advanced name neiwang

[BRAS-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.1 0 user-group web

[BRAS-acl-ipv4-adv-neiwang] quit

[BRAS] acl ipv6 advanced name neiwang

[BRAS-acl-ipv6-adv-neiwang] rule 0 permit ipv6 destination 4::1 128 user-group web

[BRAS-acl-ipv6-adv-neiwang] quit

# 分别为IPv4IPv6高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80TCP报文(HTTP报文)

[BRAS] acl advanced name web_http

[BRAS-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web

[BRAS-acl-ipv4-adv-web_http] quit

[BRAS] acl ipv6 advanced name web_http

[BRAS-acl-ipv6-adv-web_http] rule 0 permit tcp destination-port eq www user-group web

[BRAS-acl-ipv6-adv-web_http] quit

# 分别为IPv4IPv6高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443TCP报文(HTTPS报文)

[BRAS] acl advanced name web_https

[BRAS-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web

[BRAS-acl-ipv4-adv-web_https] quit

[BRAS] acl ipv6 advanced name web_https

[BRAS-acl-ipv6-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web

[BRAS-acl-ipv6-adv-web_https] quit

# 分别为IPv4IPv6高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。

[BRAS] acl advanced name ip

[BRAS-acl-ipv4-adv-ip] rule 0 permit ip user-group web

[BRAS-acl-ipv4-adv-ip] quit

[BRAS] acl ipv6 advanced name ip

[BRAS-acl-ipv6-adv-ip] rule 0 permit ipv6 user-group web

[BRAS-acl-ipv6-adv-ip] quit

# 分别为IPv4IPv6高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。

[BRAS] acl advanced name neiwang_out

[BRAS-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.1 0 user-group web

[BRAS-acl-ipv4-adv-neiwang_out] quit

[BRAS] acl ipv6 advanced name neiwang_out

[BRAS-acl-ipv6-adv-neiwang_out] rule 0 permit ipv6 source 4::1 128 user-group web

[BRAS-acl-ipv6-adv-neiwang_out] quit

# 分别为IPv4IPv6高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。

[BRAS] acl advanced name web_out

[BRAS-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web

[BRAS-acl-ipv4-adv-web_out] quit

[BRAS] acl ipv6 advanced name web_out

[BRAS-acl-ipv6-adv-web_out] rule 0 permit ipv6 source 4::5 128 user-group web

[BRAS-acl-ipv6-adv-web_out] quit

(2)     配置用于认证前域用户的类

# 配置类web_permit,匹配ACL web_permit

[BRAS] traffic classifier web_permit operator or

[BRAS-classifier-web_permit] if-match acl name web_permit

[BRAS-classifier-web_permit] if-match acl ipv6 name web_permit

[BRAS-classifier-web_permit] quit

# 配置类neiwang,匹配ACL neiwang

[BRAS] traffic classifier neiwang operator or

[BRAS-classifier-neiwang] if-match acl name neiwang

[BRAS-classifier-neiwang] if-match acl ipv6 name neiwang

[BRAS-classifier-neiwang] quit

# 配置类web_http,匹配ACL web_http

[BRAS] traffic classifier web_http operator or

[BRAS-classifier-web_http] if-match acl name web_http

[BRAS-classifier-web_http] if-match acl ipv6 name web_http

[BRAS-classifier-web_http] quit

# 配置类web_https,匹配ACL web_https

[BRAS] traffic classifier web_https operator or

[BRAS-classifier-web_https] if-match acl name web_https

[BRAS-classifier-web_https] if-match acl ipv6 name web_https

[BRAS-classifier-web_https] quit

# 配置类web_deny,匹配ACL ip

[BRAS] traffic classifier web_deny operator or

[BRAS-classifier-web_deny] if-match acl name ip

[BRAS-classifier-web_deny] if-match acl ipv6 name ip

[BRAS-classifier-web_deny] quit

# 配置类neiwang_out,匹配ACL neiwang_out

[BRAS] traffic classifier neiwang_out operator or

[BRAS-classifier-neiwang_out] if-match acl name neiwang_out

[BRAS-classifier-neiwang_out] if-match acl ipv6 name neiwang_out

[BRAS-classifier-neiwang_out] quit

# 配置类web_out,匹配ACL web_out

[BRAS] traffic classifier web_out operator or

[BRAS-classifier-web_out] if-match acl name web_out

[BRAS-classifier-web_out] if-match acl ipv6 name web_out

[BRAS-classifier-web_out] quit

(3)     配置流行为

# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。

[BRAS] traffic behavior web_permit

[BRAS-behavior-web_permit] filter permit

[BRAS-behavior-web_permit] free account

[BRAS-behavior-web_permit] quit

# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。

[BRAS] traffic behavior neiwang

[BRAS-behavior-neiwang] filter permit

[BRAS-behavior-neiwang] quit

# 配置流行为web_http,对用户组web中用户的目的端口为80TCP报文(HTTP报文)重定向到CPU

[BRAS] traffic behavior web_http

[BRAS-behavior-web_http] redirect http-to-cpu

[BRAS-behavior-web_http] quit

# 配置流行为web_https,对用户组web中用户的目的端口为443TCP报文(HTTPS报文)重定向到CPU

[BRAS] traffic behavior web_https

[BRAS-behavior-web_https] redirect https-to-cpu

[BRAS-behavior-web_https] quit

# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。

[BRAS] traffic behavior web_deny

[BRAS-behavior-web_deny] filter deny

[BRAS-behavior-web_deny] free account

[BRAS-behavior-web_deny] quit

# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。

[BRAS] traffic behavior neiwang_out

[BRAS-behavior-neiwang_out] filter permit

[BRAS-behavior-neiwang_out] quit

# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。

[BRAS] traffic behavior web_out

[BRAS-behavior-web_out] filter permit

[BRAS-behavior-web_out] free account

[BRAS-behavior-web_out] quit

(4)     配置QoS策略

# 配置入方向QoS策略web

[BRAS] qos policy web

# 为类指定对应的流行为,规则为对于用户组web中的用户:

允许目的地址为Portal服务器和内网服务器IP地址的报文通过;

对于目的端口为80HTTP报文)和443HTTPS报文)的报文重定向到CPU

除上述报文外,其余报文均禁止通过。

[BRAS-qospolicy-web] classifier web_permit behavior web_permit

[BRAS-qospolicy-web] classifier neiwang behavior neiwang

[BRAS-qospolicy-web] classifier web_http behavior web_http

[BRAS-qospolicy-web] classifier web_https behavior web_https

[BRAS-qospolicy-web] classifier web_deny behavior web_deny

[BRAS-qospolicy-web] quit

# 配置出方向QoS策略out

[BRAS] qos policy out

# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。

[BRAS-qospolicy-out] classifier web_out behavior web_out

[BRAS-qospolicy-out] classifier neiwang_out behavior neiwang_out

[BRAS-qospolicy-out] classifier web_deny behavior web_deny

[BRAS-qospolicy-out] quit

(5)     配置应用策略

# 对接收的用户流量应用QoS策略,策略名为web

[BRAS] qos apply policy web global inbound

# 对发送的上线用户流量应用QoS策略,策略名为out

[BRAS] qos apply policy out global outbound

(6)     查看应用的策略是否生效

# 查看入方向QoS策略的配置信息和运行情况

[BRAS] display qos policy global slot 3 inbound

  Direction: Inbound

  Policy: web

   Classifier: web_permit

     Operator: OR

     Rule(s) :

      If-match acl name web_permit

      If-match acl ipv6 name web_permit

     Behavior: web_permit

      Filter enable: Permit

      Free account enable

   Classifier: neiwang

     Operator: OR

     Rule(s) :

      If-match acl name neiwang

      If-match acl ipv6 name neiwang

     Behavior: neiwang

      Filter enable: Permit

   Classifier: web_http

     Operator: OR

     Rule(s) :

      If-match acl name web_http

      If-match acl ipv6 name web_http

     Behavior: web_http

      Redirecting:

        Redirect http to CPU

   Classifier: web_https

     Operator: OR

     Rule(s) :

      If-match acl name web_https

      If-match acl ipv6 name web_https

     Behavior: web_https

      Redirecting:

        Redirect https to CPU

   Classifier: web_deny

     Operator: OR

     Rule(s) :

      If-match acl name ip

      If-match acl ipv6 name ip

     Behavior: web_deny

      Filter enable: Deny

      Free account enable

# 查看出方向QoS策略的配置信息和运行情况

[BRAS] display qos policy global slot 3 outbound

  Direction: Outbound

  Policy: out

   Classifier: neiwang_out

     Operator: OR

     Rule(s) :

      If-match acl name neiwang_out

      If-match acl ipv6 name neiwang_out

     Behavior: neiwang_out

      Filter enable: Permit

   Classifier: web_out

     Operator: OR

     Rule(s) :

      If-match acl name web_out

      If-match acl ipv6 name web_out

     Behavior: web_out

      Filter enable: Permit

      Free account enable

   Classifier: web_deny

     Operator: OR

     Rule(s) :

      If-match acl name ip

      If-match acl ipv6 name ip

     Behavior: web_deny

      Filter enable: Deny

      Free account enable

6. 配置RADIUS方案

# 创建名称为rs1RADIUS方案并进入该方案视图。

[BRAS] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[BRAS-radius-rs1] primary authentication 4.4.4.5

[BRAS-radius-rs1] primary accounting 4.4.4.5

[BRAS-radius-rs1] key authentication simple radius

[BRAS-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[BRAS-radius-rs1] user-name-format without-domain

[BRAS-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.5,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius,需要注意的是认证两端明文密钥需要一致。

[BRAS] radius dynamic-author server

[BRAS-radius-da-server] client ip 4.4.4.5 key simple radius

[BRAS-radius-da-server] quit

7. 配置User Profile

# 配置名称为carUser Profile对上线用户发送的报文进行流量监管。报文正常流速为5210kbps,允许325625byte的突发流量通过,速率小于等于5210kbps时正常发送,大于5210kbps时,报文被丢弃。

[BRAS] user-profile car

[BRAS-user-profile-car] qos car inbound any cir 5210 cbs 325625

[BRAS-user-profile-car] quit

8. 配置认证前域和Web认证域

# 配置IPoE用户认证前使用的认证域。

[BRAS] domain name dm1

[BRAS-isp-dm1] authentication ipoe none

[BRAS-isp-dm1] authorization ipoe none

[BRAS-isp-dm1] accounting ipoe none

# 配置前域授权用户组和地址池。

[BRAS-isp-dm1] authorization-attribute user-group web

[BRAS-isp-dm1] authorization-attribute ip-pool pool1

[BRAS-isp-dm1] authorization-attribute ipv6-pool pool2

# 配置Web认证页面URL

[BRAS-isp-dm1] web-server url http://www.h3c.web.com

[BRAS-isp-dm1] quit

# 配置IPoE用户在Web认证阶段使用的认证域。

[BRAS] domain name dm2

[BRAS-isp-dm2] authentication ipoe radius-scheme rs1

[BRAS-isp-dm2] authorization ipoe radius-scheme rs1

[BRAS-isp-dm2] accounting ipoe radius-scheme rs1

[BRAS-isp-dm2] authorization-attribute user-profile car

[BRAS-isp-dm2] quit

9. 配置IPoE

# 开启IPoE功能,并配置二层接入模式。

[BRAS] interface gigabitethernet 3/1/2

[BRAS–GigabitEthernet3/1/2] ip subscriber l2-connected enable

# 配置IPoE用户采用Web认证方式。

[BRAS–GigabitEthernet3/1/2] ip subscriber authentication-method web

The operation may cut all users on this interface. Continue?[Y/N]:y

# 配置Web认证前域为dm1Web认证域为dm2

[BRAS–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1

[BRAS–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2

[BRAS–GigabitEthernet3/1/2] quit

5.4.5  配置RADIUS服务器

说明

下面以iMC为例,说明RADIUS服务器的基本配置。不同iMC版本配置可能有所不同,具体配置请以实际版本及对应版本的iMC服务器手册为准,本节配置仅供参考。

 

(1)     配置接入设备

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入如3所示增加接入设备页面。

¡     输入共享密钥为:radius

¡     其他采用缺省配置。

图3 增加接入设备

 

在该页面中设备列表下方单击<手工增加>,在如4所示页面输入接入设备地址4.4.4.2并单击<确定>

图4 手动增加接入设备

 

(2)     增加接入策略

单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入如5所示增加接入策略页面。

¡     输入接入策略名为:AccessPolicy

¡     其他采用缺省配置。

图5 增加接入策略

 

(3)     增加接入服务

单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管

理页面,在该页面中单击<增加>按钮,进入如6所示增加接入服务页面。

¡     输入服务名为:IPoE_Server

¡     缺省接入策略选择已创建的策略“AccessPolicy”。

¡     其他采用缺省配置。

图6 增加接入服务

 

(4)     IMC界面增加用户

单击导航树中的[用户管理/增加用户]菜单项,进入如7所示增加用户页面,填写用户姓名和证件号码为:IPoE_Web001001

图7 增加用户

 

单击<确定>按钮后完成用户的添加。

(5)     增加接入用户

单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入如8所示增加接入用户页面。

¡     用户姓名选择:IPoE_Web001

¡     账号名填写为:user1

¡     密码为:pass1

¡     接入服务选择之前已创建的IPoE_Server

图8 增加接入用户

 

5.4.6  配置Portal服务器

说明

下面以iMC为例,说明Portal服务器的基本配置。不同iMC版本配置可能有所不同,具体配置请以实际版本及对应版本的iMC服务器手册为准,本节配置仅供参考。

 

(1)     配置Portal主页。

单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如9所示。

图9 Portal服务器配置页面

 

(2)     配置Portal认证的地址组范围

单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如10所示。

¡     输入IP地址组名为“IPoE_Web_User”;

¡     输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;

¡     其他采用缺省配置;

¡     单击<确定>按钮完成操作。

图10 增加IP地址组配置页面IPv4

 

11所示,继续上述操作添加IPv6地址组。

¡     输入IP地址组名为“IPoE_Web_User-2”;

¡     IPv6选项框选择“是”;

¡     输入起始地址为“192::1”、终止地址为“192::FFFF”。用户主机IPv6地址必须包含在该IP地址组范围内;

¡     其他采用缺省配置;

¡     单击<确定>按钮完成操作。

图11 增加IP地址组配置页面IPv6

 

(3)     增加Portal接入设备信息

单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如12所示。

¡     输入设备名为“NAS”;

¡     输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/1IP地址

¡     输入密钥为“123456”;

¡     选择组网方式为“直连”;

¡     其它参数采用缺省值,并单击<确定>按钮完成操作。

图12 增加设备信息配置页面IPv4

 

13所示,继续上述操作添加设备的IPv6信息。

¡     输入设备名为“NAS-2”;

¡     版本选择“Portal 3.0”;

¡     输入IP地址为“4::2”,该地址为Portal报文出接口GigabitEthernet3/1/1IP地址

¡     输入密钥为“123456”;

¡     选择组网方式为“直连”;

¡     其它参数采用缺省值,并单击<确定>按钮完成操作。

图13 增加设备信息配置页面(IPv6

 

(4)     配置端口组信息

14所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。

图14 设备信息列表

 

在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如15所示。

¡     输入端口组名为“group”;

¡     选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;

¡     其它参数采用缺省值,并单击<确定>按钮完成操作。

图15 增加端口组信息配置页面IPv4

 

16所示,继续上述操作添加端口组的IPv6信息。

¡     输入端口组名为“group-2”;

¡     选择IP地址组为“IPoE_Web_User-2”,用户接入网络时使用的IPv6地址必须属于所选的IPv6地址组;

¡     其它参数采用缺省值,并单击<确定>按钮完成操作。

图16 增加端口组信息配置页面(IPv6

 

5.4.7  验证配置

# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv4地址为192.168.0.2IPv6地址为192::2

[BRAS] display ip subscriber session verbose

Basic:

  Description                 : -

  Username                    : 001b21a80949

  Domain                      : dm1

  VPN instance                : N/A

  IP address                  : 192.168.0.2

  IPv6 address                : 192::2

  User address type           : N/A

  MAC address                 : 001b-21a8-0949

  Service-VLAN/Customer-VLAN  : -/-

  Access interface            : GE3/1/2

  User ID                     : 0x30000004

  VPI/VCI(for ATM)            : -/-

  VSI Index                   : -

  VSI link ID                 : -

  VXLAN ID                    : -

  DNS servers                 : N/A

  IPv6 DNS servers            : N/A

  DHCP lease                  : 86400 sec

  DHCP remain lease           : 86383 sec

  DHCPv6 lease                : 2592000 sec

  DHCPv6 remain lease         : 2591981 sec

  Access time                 : May 27 00:48:51 2018

  Online time(hh:mm:ss)       : 00:00:19

  Service node                : Slot 3 CPU 0

  Authentication type         : Web pre-auth

  IPv4 access type            : DHCP

  IPv6 access type            : DHCP

  IPv4 detect state           : Detecting

  IPv6 detect state           : Detecting

  State                       : Online

 

AAA:

  ITA policy name             : N/A

  IP pool                     : pool1

  IPv6 pool                   : pool2

  IPv6 nd preifx pool         : N/A

  Primary DNS server          : N/A

  Secondary DNS server        : N/A

  Primary IPv6 DNS server     : N/A

  Secondary IPv6 DNS server   : N/A

  Session idle cut            : N/A

  Session duration            : N/A, remaining: N/A

  Traffic quota               : N/A

  Traffic remained            : N/A

  Acct start-fail action      : Online

  Acct update-fail action     : Online

  Acct quota-out action       : Offline

  Dual-stack accounting mode  : Merge

  Max IPv4 multicast addresses: 4

  IPv4 multicast address list : N/A

  Max IPv6 multicast addresses: 4

  IPv6 multicast address list : N/A

  Accounting start time       : May 27 00:48:51 2018

  Redirect URL                : http://www.h3c.web.com

  Subscriber ID               : -

 

QoS:

  User profile                : N/A

  Session group profile       : N/A

  User group ACL              : web (active)

  Inbound CAR                 : N/A

  Outbound CAR                : N/A

  Inbound user priority       : N/A

  Outbound user priority      : N/A

 

Flow statistic:

  Uplink   packets/bytes      : 0/0

  Downlink packets/bytes      : 0/0

  IPv6 uplink   packets/bytes : 0/0

  IPv6 downlink packets/bytes : 0/0

# 用户认证前域认证通过之后,登录Web页面,如17所示。

图17 登录Web页面

 

# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。

[BRAS] display ip subscriber session verbose

Basic:

  Description                 : -

  Username                    : user1@dm2

  Domain                      : dm2

  VPN instance                : N/A

  IP address                  : 192.168.0.2

  IPv6 address                : 192::2

  User address type           : N/A

  MAC address                 : 001b-21a8-0949

  Service-VLAN/Customer-VLAN  : -/-

  Access interface            : GE3/1/2

  User ID                     : 0x30000004

  VPI/VCI(for ATM)            : -/-

  VSI Index                   : -

  VSI link ID                 : -

  VXLAN ID                    : -

  DNS servers                 : N/A

  IPv6 DNS servers            : N/A

  DHCP lease                  : 86400 sec

  DHCP remain lease           : 86356 sec

  DHCPv6 lease                : 2592000 sec

  DHCPv6 remain lease         : 2591954 sec

  Access time                 : May 27 00:48:51 2018

  Online time(hh:mm:ss)       : 00:00:04

  Service node                : Slot 3 CPU 0

  Authentication type         : Web

  IPv4 access type            : DHCP

  IPv6 access type            : DHCP

  IPv4 detect state           : Detecting

  IPv6 detect state           : Detecting

  State                       : Online

 

AAA:

  ITA policy name             : N/A

  IP pool                     : pool1

  IPv6 pool                   : pool2

  IPv6 nd preifx pool         : N/A

  Primary DNS server          : N/A

  Secondary DNS server        : N/A

  Primary IPv6 DNS server     : N/A

  Secondary IPv6 DNS server   : N/A

  Session idle cut            : N/A

  Session duration            : 86400 sec, remaining: 86395 sec

  Traffic quota               : N/A

  Traffic remained            : N/A

  Acct start-fail action      : Online

  Acct update-fail action     : Online

  Acct quota-out action       : Offline

  Dual-stack accounting mode  : Merge

  Max IPv4 multicast addresses: 4

  IPv4 multicast address list : N/A

  Max IPv6 multicast addresses: 4

  IPv6 multicast address list : N/A

  Accounting start time       : May 27 00:49:32 2018

  Subscriber ID               : -

 

QoS:

  User profile                : car (active)

  Session group profile       : N/A

  User group ACL              : N/A

  Inbound CAR                 : N/A

  Outbound CAR                : N/A

  Inbound user priority       : N/A

  Outbound user priority      : N/A

 

Flow statistic:

  Uplink   packets/bytes      : 0/0

  Downlink packets/bytes      : 0/0

  IPv6 uplink   packets/bytes : 0/0

  IPv6 downlink packets/bytes : 0/0

5.4.8  配置文件

·     DHCP服务器:

#

 dhcp enable

#

 ipv6 dhcp server forbidden-address 192::1

#

dhcp server ip-pool pool1

 gateway-list 192.168.0.1

 network 192.168.0.0 mask 255.255.255.0

 forbidden-ip 192.168.0.1

#

ipv6 dhcp pool pool2

 network 192::/64

#

interface GigabitEthernet3/1/1

 port link-mode route

 ip address 4.4.4.3 255.255.255.0

 ipv6 dhcp select server

 ipv6 address 4::3/64

#

 ip route-static 192.168.0.0 24 4.4.4.2

 ipv6 route-static 192:: 64 4::2

#

·     Router ABRAS):

#

 dhcp enable

 dhcp relay client-information record

 undo dhcp relay client-information refresh enable

#

traffic classifier neiwang operator or

 if-match acl name neiwang

 if-match acl ipv6 name neiwang

#

traffic classifier neiwang_out operator or

 if-match acl name neiwang_out

 if-match acl ipv6 name neiwang_out

#

traffic classifier web_deny operator or

 if-match acl name ip

 if-match acl ipv6 name ip

#

traffic classifier web_http operator or

 if-match acl name web_http

 if-match acl ipv6 name web_http

#

traffic classifier web_https operator or

 if-match acl name web_https

 if-match acl ipv6 name web_https

#

traffic classifier web_out operator or

 if-match acl name web_out

 if-match acl ipv6 name web_out

#

traffic classifier web_permit operator or

 if-match acl name web_permit

 if-match acl ipv6 name web_permit

#

traffic behavior neiwang

 filter permit

#

traffic behavior neiwang_out

 filter permit

#

traffic behavior web_deny

 filter deny

 free account

#

traffic behavior web_http

 redirect http-to-cpu

#

traffic behavior web_https

 redirect https-to-cpu

#

traffic behavior web_out

 filter permit

 free account

#

traffic behavior web_permit

 filter permit

 free account

#

qos policy out

 classifier web_out behavior web_out

 classifier neiwang_out behavior neiwang_out

 classifier web_deny behavior web_deny

#

qos policy web

 classifier web_permit behavior web_permit

 classifier neiwang behavior neiwang

 classifier web_http behavior web_http

 classifier web_https behavior web_https

 classifier web_deny behavior web_deny

#

interface GigabitEthernet3/1/1

 ip address 4.4.4.2 255.255.255.0

 ipv6 address 4::2/64

#

interface GigabitEthernet3/1/2

port link-mode route

 dhcp select relay proxy

 ipv6 dhcp select relay

 ipv6 dhcp relay client-information record

 ipv6 dhcp relay release-agent

 ipv6 nd ra prefix 192::/64 no-advertise

 ipv6 address auto link-local

 ipv6 nd autoconfig managed-address-flag

 ipv6 nd autoconfig other-flag

 undo ipv6 nd ra halt

 ip subscriber l2-connected enable

 ip subscriber authentication-method web

 ip subscriber pre-auth domain dm1

 ip subscriber web-auth domain dm2

#

 qos apply policy web global inbound

 qos apply policy out global outbound

#

dhcp server ip-pool pool1

 gateway-list 192.168.0.1 export-route

 remote-server 4.4.4.3

#

ipv6 dhcp pool pool2

 gateway-list 192::1

 remote-server 4::3

#

acl advanced name ip

 rule 0 permit ip user-group web

#

acl advanced name neiwang

 rule 0 permit ip destination 4.4.4.1 0 user-group web

#

acl advanced name neiwang_out

 rule 0 permit ip source 4.4.4.1 0 user-group web

#

acl advanced name web_http

 rule 0 permit tcp destination-port eq www user-group web

#

acl advanced name web_https

 rule 0 permit tcp destination-port eq 443 user-group web

#

acl advanced name web_out

 rule 0 permit ip source 4.4.4.5 0 user-group web

#

acl advanced name web_permit

 rule 0 permit ip destination 4.4.4.5 0 user-group web

#

acl ipv6 advanced name ip

 rule 0 permit ipv6 user-group web

#

acl ipv6 advanced name neiwang

 rule 0 permit ipv6 destination 4::1/128 user-group web

#

acl ipv6 advanced name neiwang_out

 rule 0 permit ipv6 source 4::1/128 user-group web

#

acl ipv6 advanced name web_http

 rule 0 permit tcp destination-port eq www user-group web

#

acl ipv6 advanced name web_https

 rule 0 permit tcp destination-port eq 443 user-group web

#

acl ipv6 advanced name web_out

 rule 0 permit ipv6 source 4::5/128 user-group web

#

acl ipv6 advanced name web_permit

 rule 0 permit ipv6 destination 4::5/128 user-group web

#

user-profile car

 qos car inbound any cir 5210 cbs 325625 ebs 0

#

radius scheme rs1

 primary authentication 4.4.4.5

 primary accounting 4.4.4.5

 key authentication cipher $c$3$FhQVcgn3kq1exL0CdTzatcgc9xF9vL3ZOw==

 key accounting cipher $c$3$ntIHBRM4ZkG+2JRZQTdKmNl0kYJmhZz5Zg==

 user-name-format without-domain

#

radius dynamic-author server

 client ip 4.4.4.5 key cipher $c$3$lYC2ERe8ts2gtE6M2xfoDDB8NmGw6J9v/Q==

#

domain name dm1

 authorization-attribute user-group web

 authorization-attribute ip-pool pool1

 authorization-attribute ipv6-pool pool2

 authentication ipoe none

 authorization ipoe none

 accounting ipoe none

 web-server url http://www.h3c.web.com

#

domain name dm2

 authorization-attribute user-profile car

 authentication ipoe radius-scheme rs1

 authorization ipoe radius-scheme rs1

 accounting ipoe radius-scheme rs1

#

user-group web

#

portal server newpt1

 ip 4.4.4.5 key cipher $c$3$UnoFeLybwld9jDwLnHJQptDE7YZry2EVlw==

#

portal server newpt2

 ipv6 4::5 key cipher $c$3$HxisNWeML9fhYRS+7umwGbYwAkL+KGiCjw==

#

 http-redirect https-port 11111

#

IPoE双栈用户MAC无感知认证配置举例

6.1  组网需求

18所示:Router A为某学校的一台BRAS设备,为学校用户提供IPoE接入服务。要求:

·     DHCP Client经由二层网络以IPoE方式接入到BRAS接入设备。

·     BRAS接入设备作为DHCP中继向远端DHCP服务器申请IP地址。

·     由一台安装了H3C iMC的服务器同时承担Portal认证服务器和Portal Web服务器的职责。

·     由一台支持MAC绑定功能的RADIUS服务器同时承担认证、授权和计费服务器以及MAC绑定服务器的职责。

·     FTP server是一台内网服务器。

·     Web认证通过后限速5Mbps

图18 IPoE双栈用户MAC无感知认证配置组网图

 

6.2  配置思路

为了保证用户的带宽需求,本例通过授权User Profile进行速率控制。

为了提高转发效率,IPoE Web认证前域中的流量,区分HTTPHTTPS和普通IP报文分别走不同的队列上送。IPoE Web中针对流量上送CPU部分按照三个CB对来配置:

·     流分类匹配HTTP同时User Group为前域标记的,对应的流行为redirect http-to-cpu

·     流分类匹配HTTPS同时User Group为前域标记的,对应的流行为redirect https-to-cpu

·     流分类匹配IP同时User Group为前域标记的,对应的流行为redirect cpu

BRAS接入用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

6.3  配置注意事项

本例中DHCP Server是由设备进行模拟,实际应用建议使用专门的DHCP服务器。

缺省情况下,未配置对HTTPS报文进行重定向的内部侦听端口号。需要通过http-redirect https-port命令用来配置对HTTPS报文进行重定向的侦听端口号,并且配置的侦听端口不要跟已有端口冲突。

6.4  配置步骤

6.4.1  配置IP地址及路由

按照2配置各接口的IP地址,并确保BRAS设备和各服务器之间路由可达,具体配置过程略。

6.4.2  设置DNS服务器

请正确设置DNS服务器,以便服务器可以根据IPoE双栈用户先上线的协议栈类型,解析出Web认证页面http://www.h3c.web.com对应的IPv4 URL地址或IPv6 URL地址。DNS服务器具体设置过程略。

6.4.3  配置DHCP服务器

1. 配置DHCPv4地址池

# 开启DHCP服务。

<DHCP> system-view

[DHCP] dhcp enable

# 创建名称为pool1DHCPv4地址池并进入其视图。

[DHCP] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段192.168.0.0/24

[DHCP-dhcp-pool-pool1] network 192.168.0.0 24

# 配置为用户分配的网关地址为192.168.0.1

[DHCP-dhcp-pool-pool1] gateway-list 192.168.0.1

# 192.168.0.1设置为禁止地址。

[DHCP-dhcp-pool-pool1] forbidden-ip 192.168.0.1

[DHCP-dhcp-pool-pool1] quit

# 通过配置静态路由,将目的地址为192.168.0.0网段的DHCPv4应答报文的下一跳指定为连接DHCPv4客户端网络的接口IPv4地址4.4.4.2

[DHCP] ip route-static 192.168.0.0 24 4.4.4.2

2. 配置DHCPv6地址池

# 创建名称为pool2DHCPv6地址池并进入其视图。

[DHCP] ipv6 dhcp pool pool2

# 配置地址池动态分配的IPv6地址网段192::0/64

[DHCP-dhcp6-pool-pool2] network 192::0/64

[DHCP-dhcp6-pool-pool2] quit

# 192::1设置为禁止地址。

[DHCP] ipv6 dhcp server forbidden-address 192::1

# 配置接口GigabitEthernet3/1/1工作在DHCPv6服务器模式。

[DHCP] interface gigabitethernet 3/1/1

[DHCP-GigabitEthernet3/1/1] ipv6 dhcp select server

[DHCP-GigabitEthernet3/1/1] quit

# 通过配置静态路由,将目的地址为192::0网段的DHCPv6应答报文的下一跳指定为连接DHCPv6客户端网络的接口IPv6地址4::2

[DHCP] ipv6 route-static 192::0 64 4::2

6.4.4  配置BRAS

1. 配置DHCP中继

# 全局开启DHCP

[BRAS] dhcp enable

# 启用DHCP中继的用户地址表项记录功能。

[BRAS] dhcp relay client-information record

# 关闭DHCP中继动态用户地址表项定时刷新功能。

[BRAS] undo dhcp relay client-information refresh enable

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool1

[BRAS-dhcp-pool-pool1] gateway-list 192.168.0.1 export-route

[BRAS-dhcp-pool-pool1] remote-server 4.4.4.3

[BRAS-dhcp-pool-pool1] quit

# 创建中继地址池pool2,指定匹配该地址池的DHCPv6客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] ipv6 dhcp pool pool2

[BRAS-dhcp6-pool-pool2] gateway-list 192::1

[BRAS-dhcp6-pool-pool2] remote-server 4::3

[BRAS-dhcp6-pool-pool2] quit

# 配置接口工作在DHCPv4中继模式。

[BRAS] interface gigabitethernet 3/1/2

[BRAS–GigabitEthernet3/1/2] dhcp select relay proxy

# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。

[BRAS–GigabitEthernet3/1/2] ipv6 address auto link-local

# 配置接口工作在DHCPv6中继模式,开启DHCPv6中继用户表项记录功能。

[BRAS–GigabitEthernet3/1/2] ipv6 dhcp select relay

[BRAS–GigabitEthernet3/1/2] ipv6 dhcp relay client-information record

# 配置清除用户表项时通知DHCPv6服务器释放租约。

[BRAS–GigabitEthernet3/1/2] ipv6 dhcp relay release-agent

# 取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息

[BRAS–GigabitEthernet3/1/2] undo ipv6 nd ra halt

[BRAS–GigabitEthernet3/1/2] ipv6 nd autoconfig managed-address-flag

[BRAS–GigabitEthernet3/1/2] ipv6 nd autoconfig other-flag

# 为避免终端使用临时IPv6地址进行认证,从而导致认证失败,在用户上线接口配置前缀不在RA消息中发布,从而避免终端使用前缀生成临时IPv6地址。

[BRAS–GigabitEthernet3/1/2] ipv6 nd ra prefix 192::/64 no-advertise

[BRAS–GigabitEthernet3/1/2] quit

2. 配置Portal认证服务器

# 配置IPv4 Portal认证服务器:名称为newpt1IP地址为4.4.4.5,密钥为明文123456

[BRAS] portal server newpt1

[BRAS-portal-server-newpt1] ip 4.4.4.5 key simple 123456

[BRAS-portal-server-newpt1] quit

# 配置IPv6 Portal认证服务器:名称为newpt2IPv6地址为4::5,密钥为明文123456

[BRAS] portal server newpt2

[BRAS-portal-server-newpt2] ipv6 4::5 key simple 123456

[BRAS-portal-server-newpt2] quit

3. 配置HTTPS的内部侦听端口

# 配置HTTPS的内部侦听端口,端口不要跟已有端口冲突即可。

[BRAS] http-redirect https-port 11111

4. 创建本地用户组

# 创建认证前域用户组,名称为web

[BRAS] user-group web

New user group added.

[BRAS-ugroup-web] quit

5. 配置QoS

(1)     配置用于认证前域用户的ACL规则

# 分别为IPv4IPv6高级ACL web_permit创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。

[BRAS] acl advanced name web_permit

[BRAS-acl-ipv4-adv-web_permit] rule 0 permit ip destination 4.4.4.5 0 user-group web

[BRAS-acl-ipv4-adv-web_permit] quit

[BRAS] acl ipv6 advanced name web_permit

[BRAS-acl-ipv6-adv-web_permit] rule 0 permit ipv6 destination 4::5 128 user-group web

[BRAS-acl-ipv6-adv-web_permit] quit

# 分别为IPv4IPv6高级ACL neiwang创建规则如下:匹配用户组web中用户的目的地址为内网服务器地址的报文。

[BRAS] acl advanced name neiwang

[BRAS-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web

[BRAS-acl-ipv4-adv-neiwang] quit

[BRAS] acl ipv6 advanced name neiwang

[BRAS-acl-ipv6-adv-neiwang] rule 0 permit ipv6 destination 4::6 128 user-group web

[BRAS-acl-ipv6-adv-neiwang] quit

# 分别为IPv4IPv6高级ACL web_http创建规则如下:匹配用户组web中用户的目的端口为80TCP报文(HTTP报文)

[BRAS] acl advanced name web_http

[BRAS-acl-ipv4-adv-web_http] rule 0 permit tcp destination-port eq www user-group web

[BRAS-acl-ipv4-adv-web_http] quit

[BRAS] acl ipv6 advanced name web_http

[BRAS-acl-ipv6-adv-web_http] rule 0 permit tcp destination-port eq www user-group web

[BRAS-acl-ipv6-adv-web_http] quit

# 分别为IPv4IPv6高级ACL web_https创建规则如下:匹配用户组web中用户的目的端口为443TCP报文(HTTPS报文)

[BRAS] acl advanced name web_https

[BRAS-acl-ipv4-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web

[BRAS-acl-ipv4-adv-web_https] quit

[BRAS] acl ipv6 advanced name web_https

[BRAS-acl-ipv6-adv-web_https] rule 0 permit tcp destination-port eq 443 user-group web

[BRAS-acl-ipv6-adv-web_https] quit

# 分别为IPv4IPv6高级ACL ip创建规则如下:匹配用户组web中用户的IP报文。

[BRAS] acl advanced name ip

[BRAS-acl-ipv4-adv-ip] rule 0 permit ip user-group web

[BRAS-acl-ipv4-adv-ip] quit

[BRAS] acl ipv6 advanced name ip

[BRAS-acl-ipv6-adv-ip] rule 0 permit ipv6 user-group web

[BRAS-acl-ipv6-adv-ip] quit

# 分别为IPv4IPv6高级ACL neiwang_out创建规则如下:匹配用户组web中源地址为内网服务器IP地址的报文。

[BRAS] acl advanced name neiwang_out

[BRAS-acl-ipv4-adv-neiwang_out] rule 0 permit ip source 4.4.4.6 0 user-group web

[BRAS-acl-ipv4-adv-neiwang_out] quit

[BRAS] acl ipv6 advanced name neiwang_out

[BRAS-acl-ipv6-adv-neiwang_out] rule 0 permit ipv6 source 4::6 128 user-group web

[BRAS-acl-ipv6-adv-neiwang_out] quit

# 分别为IPv4IPv6高级ACL web_out创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。

[BRAS] acl advanced name web_out

[BRAS-acl-ipv4-adv-web_out] rule 0 permit ip source 4.4.4.5 0 user-group web

[BRAS-acl-ipv4-adv-web_out] quit

[BRAS] acl ipv6 advanced name web_out

[BRAS-acl-ipv6-adv-web_out] rule 0 permit ipv6 source 4::5 128 user-group web

[BRAS-acl-ipv6-adv-web_out] quit

(2)     配置用于认证前域用户的类

# 配置类web_permit,匹配ACL web_permit

[BRAS] traffic classifier web_permit operator or

[BRAS-classifier-web_permit] if-match acl name web_permit

[BRAS-classifier-web_permit] if-match acl ipv6 name web_permit

[BRAS-classifier-web_permit] quit

# 配置类neiwang,匹配ACL neiwang

[BRAS] traffic classifier neiwang operator or

[BRAS-classifier-neiwang] if-match acl name neiwang

[BRAS-classifier-neiwang] if-match acl ipv6 name neiwang

[BRAS-classifier-neiwang] quit

# 配置类web_http,匹配ACL web_http

[BRAS] traffic classifier web_http operator or

[BRAS-classifier-web_http] if-match acl name web_http

[BRAS-classifier-web_http] if-match acl ipv6 name web_http

[BRAS-classifier-web_http] quit

# 配置类web_https,匹配ACL web_https

[BRAS] traffic classifier web_https operator or

[BRAS-classifier-web_https] if-match acl name web_https

[BRAS-classifier-web_https] if-match acl ipv6 name web_https

[BRAS-classifier-web_https] quit

# 配置类ip_cpu,匹配ACL ip

[BRAS] traffic classifier ip_cpu operator or

[BRAS-classifier-ip_cpu] if-match acl name ip

[BRAS-classifier-ip_cpu] if-match acl ipv6 name ip

[BRAS-classifier-ip_cpu] quit

# 配置类ip_deny,匹配ACL ip

[BRAS] traffic classifier ip_deny operator or

[BRAS-classifier-ip_deny] if-match acl name ip

[BRAS-classifier-ip_deny] if-match acl ipv6 name ip

[BRAS-classifier-ip_deny] quit

# 配置类neiwang_out,匹配ACL neiwang_out

[BRAS] traffic classifier neiwang_out operator or

[BRAS-classifier-neiwang_out] if-match acl name neiwang_out

[BRAS-classifier-neiwang_out] if-match acl ipv6 name neiwang_out

[BRAS-classifier-neiwang_out] quit

# 配置类web_out,匹配ACL web_out

[BRAS] traffic classifier web_out operator or

[BRAS-classifier-web_out] if-match acl name web_out

[BRAS-classifier-web_out] if-match acl ipv6 name web_out

[BRAS-classifier-web_out] quit

(3)     配置流行为

# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。

[BRAS] traffic behavior web_permit

[BRAS-behavior-web_permit] filter permit

[BRAS-behavior-web_permit] free account

[BRAS-behavior-web_permit] quit

# 配置流行为neiwang,允许用户组web中用户的目的地址为内网服务器IP地址的报文通过。

[BRAS] traffic behavior neiwang

[BRAS-behavior-neiwang] filter permit

[BRAS-behavior-neiwang] quit

# 配置流行为web_http,对用户组web中用户的目的端口为80TCP报文(HTTP报文)重定向到CPU

[BRAS] traffic behavior web_http

[BRAS-behavior-web_http] redirect http-to-cpu

[BRAS-behavior-web_http] quit

# 配置流行为web_https,对用户组web中用户的目的端口为443TCP报文(HTTPS报文)重定向到CPU

[BRAS] traffic behavior web_https

[BRAS-behavior-web_https] redirect https-to-cpu

[BRAS-behavior-web_https] quit

# 配置流行为web_cpu,对用户组web中用户的所有IP报文都重定向到CPU

[BRAS] traffic behavior web_cpu

[BRAS-behavior-web_cpu] redirect cpu

[BRAS-behavior-web_cpu] quit

# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。

[BRAS] traffic behavior web_deny

[BRAS-behavior-web_deny] filter deny

[BRAS-behavior-web_deny] free account

[BRAS-behavior-web_deny] quit

# 配置流行为neiwang_out,允许用户组web中源地址为内网服务器IP地址的报文通过。

[BRAS] traffic behavior neiwang_out

[BRAS-behavior-neiwang_out] filter permit

[BRAS-behavior-neiwang_out] quit

# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。

[BRAS] traffic behavior web_out

[BRAS-behavior-web_out] filter permit

[BRAS-behavior-web_out] free account

[BRAS-behavior-web_out] quit

(4)     配置QoS策略

# 配置入方向QoS策略web

[BRAS] qos policy web

# 为类指定对应的流行为,规则为对于用户组web中的用户:

允许目的地址为Portal服务器和内网服务器IP地址的报文通过;

对于目的端口为80HTTP报文)和443HTTPS报文)的报文重定向到CPU

除上述报文外,其余报文都重定向到CPU,如果重定向无感知认证失败,则丢弃报文。

[BRAS-qospolicy-web] classifier web_permit behavior web_permit

[BRAS-qospolicy-web] classifier neiwang behavior neiwang

[BRAS-qospolicy-web] classifier web_http behavior web_http

[BRAS-qospolicy-web] classifier web_https behavior web_https

[BRAS-qospolicy-web] classifier ip_cpu behavior web_cpu

[BRAS-qospolicy-web] classifier ip_deny behavior web_deny

[BRAS-qospolicy-web] quit

# 配置出方向QoS策略out

[BRAS] qos policy out

# 为类指定对应的流行为,规则为:允许用户组web中源地址为Portal服务器和内网服务器IP地址的报文通过,其余报文均禁止通过。

[BRAS-qospolicy-out] classifier web_out behavior web_out

[BRAS-qospolicy-out] classifier neiwang_out behavior neiwang_out

[BRAS-qospolicy-out] classifier ip_deny behavior web_deny

[BRAS-qospolicy-out] quit

(5)     配置应用策略

# 对接收的用户流量应用QoS策略,策略名为web

[BRAS] qos apply policy web global inbound

# 对发送的上线用户流量应用QoS策略,策略名为out

[BRAS] qos apply policy out global outbound

(6)     查看应用的策略是否生效

# 查看入方向QoS策略的配置信息和运行情况

[BRAS] display qos policy global slot 3 inbound

Direction: Inbound

  Policy: web

   Classifier: web_permit

     Operator: OR

     Rule(s) :

      If-match acl name web_permit

      If-match acl ipv6 name web_permit

     Behavior: web_permit

      Filter enable: Permit

      Free account enable

   Classifier: neiwang

     Operator: OR

     Rule(s) :

      If-match acl name neiwang

      If-match acl ipv6 name neiwang

     Behavior: neiwang

      Filter enable: Permit

   Classifier: web_http

     Operator: OR

     Rule(s) :

      If-match acl name web_http

      If-match acl ipv6 name web_http

     Behavior: web_http

      Redirecting:

        Redirect http to CPU

   Classifier: web_https

     Operator: OR

     Rule(s) :

      If-match acl name web_https

      If-match acl ipv6 name web_https

     Behavior: web_https

      Redirecting:

        Redirect https to CPU

   Classifier: ip_cpu

     Operator: OR

     Rule(s) :

      If-match acl name ip

      If-match acl ipv6 name ip

     Behavior: web_cpu

      Redirecting:

        Redirect to the CPU

   Classifier: ip_deny

     Operator: OR

     Rule(s) :

      If-match acl name ip

      If-match acl ipv6 name ip

     Behavior: web_deny

      Filter enable: Deny

      Free account enable

# 查看出方向QoS策略的配置信息和运行情况

[BRAS] display qos policy global slot 3 outbound

Direction: Outbound

  Policy: out

   Classifier: web_out

     Operator: OR

     Rule(s) :

      If-match acl name web_out

      If-match acl ipv6 name web_out

     Behavior: web_out

      Filter enable: Permit

      Free account enable

   Classifier: neiwang_out

     Operator: OR

     Rule(s) :

      If-match acl name neiwang_out

      If-match acl ipv6 name neiwang_out

     Behavior: neiwang_out

      Filter enable: Permit

   Classifier: ip_deny

     Operator: OR

     Rule(s) :

      If-match acl name ip

      If-match acl ipv6 name ip

     Behavior: web_deny

      Filter enable: Deny

      Free account enable

6. 配置RADIUS方案

# 创建名称为rs1RADIUS方案并进入该方案视图。

[BRAS] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[BRAS-radius-rs1] primary authentication 4.4.4.1

[BRAS-radius-rs1] primary accounting 4.4.4.1

[BRAS-radius-rs1] key authentication simple radius

[BRAS-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[BRAS-radius-rs1] user-name-format without-domain

[BRAS-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.1,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius

[BRAS] radius dynamic-author server

[BRAS-radius-da-server] client ip 4.4.4.1 key simple radius

[BRAS-radius-da-server] quit

7. 配置User Profile

# 配置名称为carUser Profile对上线用户发送的报文进行流量监管。报文正常流速为5210kbps,允许325625byte的突发流量通过,速率小于等于5210kbps时正常发送,大于5210kbps时,报文被丢弃。

[BRAS] user-profile car

[BRAS-user-profile-car] qos car inbound any cir 5210 cbs 325625

[BRAS-user-profile-car] quit

8. 配置认证前域和Web认证域

# 配置IPoE用户认证前使用的认证域。

[BRAS] domain name dm1

[BRAS-isp-dm1] authentication ipoe none

[BRAS-isp-dm1] authorization ipoe none

[BRAS-isp-dm1] accounting ipoe none

# 配置前域授权用户组和地址池。

[BRAS-isp-dm1] authorization-attribute user-group web

[BRAS-isp-dm1] authorization-attribute ip-pool pool1

[BRAS-isp-dm1] authorization-attribute ipv6-pool pool2

# 配置Web认证页面URL

[BRAS-isp-dm1] web-server url http://www.h3c.web.com

[BRAS-isp-dm1] quit

# 配置IPoE用户在Web认证阶段使用的认证域。

[BRAS] domain name dm2

[BRAS-isp-dm2] authentication ipoe radius-scheme rs1

[BRAS-isp-dm2] authorization ipoe radius-scheme rs1

[BRAS-isp-dm2] accounting ipoe radius-scheme rs1

[BRAS-isp-dm2] authorization-attribute user-profile car

[BRAS-isp-dm2] quit

9. 配置IPoE

# 开启IPoE功能,并配置二层接入模式。

[BRAS] interface gigabitethernet 3/1/2

[BRAS–GigabitEthernet3/1/2] ip subscriber l2-connected enable

# 配置IPoE用户采用Web MAC认证方式。

[BRAS–GigabitEthernet3/1/2] ip subscriber authentication-method web mac-auth

The operation may cut all users on this interface. Continue?[Y/N]:y

# 配置Web认证前域为dm1Web认证域和Web MAC认证域均为dm2

[BRAS–GigabitEthernet3/1/2] ip subscriber pre-auth domain dm1

[BRAS–GigabitEthernet3/1/2] ip subscriber web-auth domain dm2

[BRAS–GigabitEthernet3/1/2] ip subscriber mac-auth domain dm2

[BRAS–GigabitEthernet3/1/2] quit

6.4.5  配置RADIUS服务器

对于RADIUS服务器上AAAMAC绑定配置,具体需要参见RADIUS server的配置说明书。

6.4.6  配置Portal服务器

说明

下面以iMC为例,说明Portal服务器的基本配置。不同iMC版本配置可能有所不同,具体配置请以实际版本及对应版本的iMC服务器手册为准,本节配置仅供参考。

 

(1)     配置Portal主页。

单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,配置Portal主页,采用缺省配置即可,并单击<确定>按钮完成操作,如19所示。

图19 Portal服务器配置页面

 

(2)     配置Portal认证的地址组范围

单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入“IP地址组配置”页面,在该页面中单击<增加>按钮,进入“增加IP地址组配置”页面,如20所示。

¡     输入IP地址组名为“IPoE_Web_User”;

¡     输入起始地址为“192.168.0.1”、终止地址为“192.168.0.255”。用户主机IP地址必须包含在该IP地址组范围内;

¡     其他采用缺省配置;

¡     单击<确定>按钮完成操作。

图20 增加IP地址组配置页面(IPv4

 

21所示,继续上述操作添加IPv6地址组。

¡     输入IP地址组名为“IPoE_Web_User-2”;

¡     IPv6选项框选择“是”;

¡     输入起始地址为“192::1”、终止地址为“192::FFFF”。用户主机IPv6地址必须包含在该IP地址组范围内;

¡     其他采用缺省配置;

¡     单击<确定>按钮完成操作。

图21 增加IP地址组配置页面(IPv6

 

(3)     增加Portal接入设备信息

单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入“设备配置”页面,在该页面中单击<增加>按钮,进入“增加设备信息”页面,如22所示。

¡     输入设备名为“NAS”;

¡     输入IP地址为“4.4.4.2”,该地址为Portal报文出接口GigabitEthernet3/1/1IP地址

¡     输入密钥为“123456”;

¡     选择组网方式为“直连”;

¡     其它参数采用缺省值,并单击<确定>按钮完成操作。

图22 增加设备信息配置页面(IPv4

 

23所示,继续上述操作添加设备的IPv6信息。

¡     输入设备名为“NAS-2”;

¡     版本选择“Portal 3.0”;

¡     输入IP地址为“4::2”,该地址为Portal报文出接口GigabitEthernet3/1/1IP地址

¡     输入密钥为“123456”;

¡     选择组网方式为“直连”;

¡     其它参数采用缺省值,并单击<确定>按钮完成操作。

图23 增加设备信息配置页面(IPv6

 

(4)     配置端口组信息

24所示返回[接入策略管理/Portal服务管理/设备配置]菜单项,单击<端口组信息管理>按钮,进入“端口组信息配置”页面。

图24 设备信息列表

 

在“端口组信息配置”页面中单击<增加>按钮,进入“增加端口组信息”页面,如25所示。

¡     输入端口组名为“group”;

¡     选择IP地址组为“IPoE_Web_User”,用户接入网络时使用的IP地址必须属于所选的IP地址组;

¡     其它参数采用缺省值,并单击<确定>按钮完成操作。

图25 增加端口组信息配置页面(IPv4

 

26所示,继续上述操作添加端口组的IPv6信息。

¡     输入端口组名为“group-2”;

¡     选择IP地址组为“IPoE_Web_User-2”,用户接入网络时使用的IPv6地址必须属于所选的IPv6地址组;

¡     其它参数采用缺省值,并单击<确定>按钮完成操作。

图26 增加端口组信息配置页面(IPv6

 

# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。

6.4.7  验证配置

# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IPv4地址为192.168.0.2IPv6地址为192::2

[BRAS] display ip subscriber session verbose

Basic:

  Description                 : -

  Username                    : 001b21a80949

  Domain                      : dm1

  VPN instance                : N/A

  IP address                  : 192.168.0.2

  IPv6 address                : 192::2

  User address type           : N/A

  MAC address                 : 001b-21a8-0949

  Service-VLAN/Customer-VLAN  : -/-

  Access interface            : GE3/1/2

  User ID                     : 0x30000004

  VPI/VCI(for ATM)            : -/-

  VSI Index                   : -

  VSI link ID                 : -

  VXLAN ID                    : -

  DNS servers                 : N/A

  IPv6 DNS servers            : N/A

  DHCP lease                  : 86400 sec

  DHCP remain lease           : 86383 sec

  DHCPv6 lease                : 2592000 sec

  DHCPv6 remain lease         : 2591981 sec

  Access time                 : May 27 00:48:51 2018

  Online time(hh:mm:ss)       : 00:00:19

  Service node                : Slot 3 CPU 0

  Authentication type         : Web pre-auth

  IPv4 access type            : DHCP

  IPv6 access type            : DHCP

  IPv4 detect state           : Detecting

  IPv6 detect state           : Detecting

  State                       : Online

 

AAA:

  ITA policy name             : N/A

  IP pool                     : pool1

  IPv6 pool                   : pool2

  IPv6 nd preifx pool         : N/A

  Primary DNS server          : N/A

  Secondary DNS server        : N/A

  Primary IPv6 DNS server     : N/A

  Secondary IPv6 DNS server   : N/A

  Session idle cut            : N/A

  Session duration            : N/A, remaining: N/A

  Traffic quota               : N/A

  Traffic remained            : N/A

  Acct start-fail action      : Online

  Acct update-fail action     : Online

  Acct quota-out action       : Offline

  Dual-stack accounting mode  : Merge

  Max IPv4 multicast addresses: 4

  IPv4 multicast address list : N/A

  Max IPv6 multicast addresses: 4

  IPv6 multicast address list : N/A

  Accounting start time       : May 27 00:48:51 2018

  Redirect URL                : http://www.h3c.web.com

  Subscriber ID               : -

 

QoS:

  User profile                : N/A

  Session group profile       : N/A

  User group ACL              : web (active)

  Inbound CAR                 : N/A

  Outbound CAR                : N/A

  Inbound user priority       : N/A

  Outbound user priority      : N/A

 

Flow statistic:

  Uplink   packets/bytes      : 0/0

  Downlink packets/bytes      : 0/0

  IPv6 uplink   packets/bytes : 0/0

  IPv6 downlink packets/bytes : 0/0

# 用户认证前域认证通过之后,登录Web页面,如5.4.7  17所示。

图27 登录Web页面

 

# 在认证页面输入用户名和密码单击<上线>按钮进行Web认证,可以使用以下的显示命令查看IPoE用户在线信息。

[BRAS] display ip subscriber session verbose

Basic:

  Description                 : -

  Username                    : user1@dm2

  Domain                      : dm2

  VPN instance                : N/A

  IP address                  : 192.168.0.2

  IPv6 address                : 192::2

  User address type           : N/A

  MAC address                 : 001b-21a8-0949

  Service-VLAN/Customer-VLAN  : -/-

  Access interface            : GE3/1/2

  User ID                     : 0x30000004

  VPI/VCI(for ATM)            : -/-

  VSI Index                   : -

  VSI link ID                 : -

  VXLAN ID                    : -

  DNS servers                 : N/A

  IPv6 DNS servers            : N/A

  DHCP lease                  : 86400 sec

  DHCP remain lease           : 86356 sec

  DHCPv6 lease                : 2592000 sec

  DHCPv6 remain lease         : 2591954 sec

  Access time                 : May 27 00:49:20 2018

  Online time(hh:mm:ss)       : 00:00:04

  Service node                : Slot 3 CPU 0

  Authentication type         : Web

  IPv4 access type            : DHCP

  IPv6 access type            : DHCP

  IPv4 detect state           : Detecting

  IPv6 detect state           : Detecting

  State                       : Online

 

AAA:

  ITA policy name             : N/A

  IP pool                     : pool1

  IPv6 pool                   : pool2

  IPv6 nd preifx pool         : N/A

  Primary DNS server          : N/A

  Secondary DNS server        : N/A

  Primary IPv6 DNS server     : N/A

  Secondary IPv6 DNS server   : N/A

  Session idle cut            : N/A

  Session duration            : 86400 sec, remaining: 86395 sec

  Traffic quota               : N/A

  Traffic remained            : N/A

  Acct start-fail action      : Online

  Acct update-fail action     : Online

  Acct quota-out action       : Offline

  Dual-stack accounting mode  : Merge

  Max IPv4 multicast addresses: 4

  IPv4 multicast address list : N/A

  Max IPv6 multicast addresses: 4

  IPv6 multicast address list : N/A

  Accounting start time       : May 27 00:49:20 2018

  Subscriber ID               : -

 

QoS:

  User profile                : car (active)

  Session group profile       : N/A

  User group ACL              : N/A

  Inbound CAR                 : N/A

  Outbound CAR                : N/A

  Inbound user priority       : N/A

  Outbound user priority      : N/A

 

Flow statistic:

  Uplink   packets/bytes      : 0/0

  Downlink packets/bytes      : 0/0

  IPv6 uplink   packets/bytes : 0/0

  IPv6 downlink packets/bytes : 0/0

# 点击<下线>按钮,通过显示命令查看,此时用户返回认证前域状态

[BRAS] display ip subscriber session verbose

Basic:

  Description                 : -

  Username                    : 001b21a80949

  Domain                      : dm1

  VPN instance                : N/A

  IP address                  : 192.168.0.2

  IPv6 address                : 192::2

  User address type           : N/A

  MAC address                 : 001b-21a8-0949

  Service-VLAN/Customer-VLAN  : -/-

  Access interface            : GE3/1/2

  User ID                     : 0x30000004

  VPI/VCI(for ATM)            : -/-

  VSI Index                   : -

  VSI link ID                 : -

  VXLAN ID                    : -

  DNS servers                 : N/A

  IPv6 DNS servers            : N/A

  DHCP lease                  : 86400 sec

  DHCP remain lease           : 86383 sec

  DHCPv6 lease                : 2592000 sec

  DHCPv6 remain lease         : 2591981 sec

  Access time                 : May 27 00:49:30 2018

  Online time(hh:mm:ss)       : 00:00:19

  Service node                : Slot 3 CPU 0

  Authentication type         : Web pre-auth

  IPv4 access type            : DHCP

  IPv6 access type            : DHCP

  IPv4 detect state           : Detecting

  IPv6 detect state           : Detecting

  State                       : Online

 

AAA:

  ITA policy name             : N/A

  IP pool                     : pool1

  IPv6 pool                   : pool2

  IPv6 nd preifx pool         : N/A

  Primary DNS server          : N/A

  Secondary DNS server        : N/A

  Primary IPv6 DNS server     : N/A

  Secondary IPv6 DNS server   : N/A

  Session idle cut            : N/A

  Session duration            : N/A, remaining: N/A

  Traffic quota               : N/A

  Traffic remained            : N/A

  Acct start-fail action      : Online

  Acct update-fail action     : Online

  Acct quota-out action       : Offline

  Dual-stack accounting mode  : Merge

  Max IPv4 multicast addresses: 4

  IPv4 multicast address list : N/A

  Max IPv6 multicast addresses: 4

  IPv6 multicast address list : N/A

  Accounting start time       : May 27 00:49:30 2018

  Redirect URL                : http://www.h3c.web.com

  Subscriber ID               : -

 

QoS:

  User profile                : N/A

  Session group profile       : N/A

  User group ACL              : web (active)

  Inbound CAR                 : N/A

  Outbound CAR                : N/A

  Inbound user priority       : N/A

  Outbound user priority      : N/A

 

Flow statistic:

  Uplink   packets/bytes      : 0/0

  Downlink packets/bytes      : 0/0

  IPv6 uplink   packets/bytes : 0/0

  IPv6 downlink packets/bytes : 0/0

# 重新打开浏览器,任意输入访问地址http://63.1.1.240,通过显示命令查看,用户IPoE Web上线

[BRAS] display ip subscriber session verbose

Basic:

  Description                 : -

  Username                    : web

  Domain                      : dm2

  VPN instance                : N/A

  IP address                  : 192.168.0.2

  IPv6 address                : 192::2

  User address type           : N/A

  MAC address                 : 001b-21a8-0949

  Service-VLAN/Customer-VLAN  : -/-

  Access interface            : GE3/1/2

  User ID                     : 0x30000004

  VPI/VCI(for ATM)            : -/-

  VSI Index                   : -

  VSI link ID                 : -

  VXLAN ID                    : -

  DNS servers                 : N/A

  IPv6 DNS servers            : N/A

  DHCP lease                  : 86400 sec

  DHCP remain lease           : 86356 sec

  DHCPv6 lease                : 2592000 sec

  DHCPv6 remain lease         : 2591954 sec

  Access time                 : May 27 00:50:01 2018

  Online time(hh:mm:ss)       : 00:00:04

  Service node                : Slot 3 CPU 0

  Authentication type         : Web mac-auth

  IPv4 access type            : DHCP

  IPv6 access type            : DHCP

  IPv4 detect state           : Detecting

  IPv6 detect state           : Detecting

  State                       : Online

 

AAA:

  ITA policy name             : N/A

  IP pool                     : pool1

  IPv6 pool                   : pool2

  IPv6 nd preifx pool         : N/A

  Primary DNS server          : N/A

  Secondary DNS server        : N/A

  Primary IPv6 DNS server     : N/A

  Secondary IPv6 DNS server   : N/A

  Session idle cut            : N/A

  Session duration            : 86400 sec, remaining: 86395 sec

  Traffic quota               : N/A

  Traffic remained            : N/A

  Acct start-fail action      : Online

  Acct update-fail action     : Online

  Acct quota-out action       : Offline

  Dual-stack accounting mode  : Merge

  Max IPv4 multicast addresses: 4

  IPv4 multicast address list : N/A

  Max IPv6 multicast addresses: 4

  IPv6 multicast address list : N/A

  Accounting start time       : May 27 00:50:01 2018

  Subscriber ID               : -

 

QoS:

  User profile                : car (active)

  Session group profile       : N/A

  User group ACL              : N/A

  Inbound CAR                 : N/A

  Outbound CAR                : N/A

  Inbound user priority       : N/A

  Outbound user priority      : N/A

 

Flow statistic:

  Uplink   packets/bytes      : 0/0

  Downlink packets/bytes      : 0/0

  IPv6 uplink   packets/bytes : 0/0

  IPv6 downlink packets/bytes : 0/0

6.4.8  配置文件

·     DHCP服务器:

#

 dhcp enable

#

 ipv6 dhcp server forbidden-address 192::1

#

dhcp server ip-pool pool1

 gateway-list 192.168.0.1

 network 192.168.0.0 mask 255.255.255.0

 forbidden-ip 192.168.0.1

#

ipv6 dhcp pool pool2

 network 192::/64

#

interface GigabitEthernet3/1/1

 port link-mode route

 ip address 4.4.4.3 255.255.255.0

 ipv6 dhcp select server

 ipv6 address 4::3/64

#

 ip route-static 192.168.0.0 24 4.4.4.2

 ipv6 route-static 192:: 64 4::2

#

·     Router ABRAS):

#

 dhcp enable

 dhcp relay client-information record

 undo dhcp relay client-information refresh enable

#

traffic classifier ip_cpu operator or

 if-match acl name ip

 if-match acl ipv6 name ip

#

traffic classifier ip_deny operator or

 if-match acl name ip

 if-match acl ipv6 name ip

#

traffic classifier neiwang operator or

 if-match acl name neiwang

 if-match acl ipv6 name neiwang

#

traffic classifier neiwang_out operator or

 if-match acl name neiwang_out

 if-match acl ipv6 name neiwang_out

#

traffic classifier web_http operator or

 if-match acl name web_http

 if-match acl ipv6 name web_http

#

traffic classifier web_https operator or

 if-match acl name web_https

 if-match acl ipv6 name web_https

#

traffic classifier web_out operator or

 if-match acl name web_out

 if-match acl ipv6 name web_out

#

traffic classifier web_permit operator or

 if-match acl name web_permit

 if-match acl ipv6 name web_permit

#

traffic behavior neiwang

 filter permit

#

traffic behavior neiwang_out

 filter permit

#

traffic behavior web_cpu

 redirect cpu

#

traffic behavior web_deny

 filter deny

 free account

#

traffic behavior web_http

 redirect http-to-cpu

#

traffic behavior web_https

 redirect https-to-cpu

#

traffic behavior web_out

 filter permit

 free account

#

traffic behavior web_permit

 filter permit

 free account

#

qos policy out

 classifier web_out behavior web_out

 classifier neiwang_out behavior neiwang_out

 classifier ip_deny behavior web_deny

#

qos policy web

 classifier web_permit behavior web_permit

 classifier neiwang behavior neiwang

 classifier web_http behavior web_http

 classifier web_https behavior web_https

 classifier ip_cpu behavior web_cpu

 classifier ip_deny behavior web_deny

#

interface GigabitEthernet3/1/1

 ip address 4.4.4.2 255.255.255.0

 ipv6 address 4::2/64

#

interface GigabitEthernet3/1/2

 port link-mode route

 dhcp select relay proxy

 ipv6 dhcp select relay

 ipv6 dhcp relay client-information record

 ipv6 dhcp relay release-agent

 ipv6 nd ra prefix 192::/64 no-advertise

 ipv6 address auto link-local

 ipv6 nd autoconfig managed-address-flag

 ipv6 nd autoconfig other-flag

 undo ipv6 nd ra halt

 ip subscriber l2-connected enable

 ip subscriber authentication-method web mac-auth

 ip subscriber pre-auth domain dm1

 ip subscriber mac-auth domain dm2

 ip subscriber web-auth domain dm2

#

 qos apply policy web global inbound

 qos apply policy out global outbound

#

dhcp server ip-pool pool1

 gateway-list 192.168.0.1 export-route

 remote-server 4.4.4.3

#

ipv6 dhcp pool pool2

 gateway-list 192::1

 remote-server 4::3

#

acl advanced name ip

 rule 0 permit ip user-group web

#

acl advanced name neiwang

 rule 0 permit ip destination 4.4.4.6 0 user-group web

#

acl advanced name neiwang_out

 rule 0 permit ip source 4.4.4.6 0 user-group web

#

acl advanced name web_http

 rule 0 permit tcp destination-port eq www user-group web

#

acl advanced name web_https

 rule 0 permit tcp destination-port eq 443 user-group web

#

acl advanced name web_out

 rule 0 permit ip source 4.4.4.5 0 user-group web

#

acl advanced name web_permit

 rule 0 permit ip destination 4.4.4.5 0 user-group web

#

acl ipv6 advanced name ip

 rule 0 permit ipv6 user-group web

#

acl ipv6 advanced name neiwang

 rule 0 permit ipv6 destination 4::6/128 user-group web

#

acl ipv6 advanced name neiwang_out

 rule 0 permit ipv6 source 4::6/128 user-group web

#

acl ipv6 advanced name web_http

 rule 0 permit tcp destination-port eq www user-group web

#

acl ipv6 advanced name web_https

 rule 0 permit tcp destination-port eq 443 user-group web

#

acl ipv6 advanced name web_out

 rule 0 permit ipv6 source 4::5/128 user-group web

#

acl ipv6 advanced name web_permit

 rule 0 permit ipv6 destination 4::5/128 user-group web

#

user-profile car

 qos car inbound any cir 5210 cbs 325625 ebs 0

#

radius scheme rs1

 primary authentication 4.4.4.1

 primary accounting 4.4.4.1

 key authentication cipher $c$3$FhQVcgn3kq1exL0CdTzatcgc9xF9vL3ZOw==

 key accounting cipher $c$3$ntIHBRM4ZkG+2JRZQTdKmNl0kYJmhZz5Zg==

 user-name-format without-domain

#

radius dynamic-author server

 client ip 4.4.4.1 key cipher $c$3$lYC2ERe8ts2gtE6M2xfoDDB8NmGw6J9v/Q==

#

domain name dm1

 authorization-attribute user-group web

 authorization-attribute ip-pool pool1

 authorization-attribute ipv6-pool pool2

 authentication ipoe none

 authorization ipoe none

 accounting ipoe none

 web-server url http://www.h3c.web.com

#

domain name dm2

 authorization-attribute user-profile car

 authentication ipoe radius-scheme rs1

 authorization ipoe radius-scheme rs1

 accounting ipoe radius-scheme rs1

#

user-group web

#

portal server newpt1

 ip 4.4.4.5 key cipher $c$3$UnoFeLybwld9jDwLnHJQptDE7YZry2EVlw==

#

portal server newpt2

 ipv6 4::5 key cipher $c$3$HxisNWeML9fhYRS+7umwGbYwAkL+KGiCjw==

#

 http-redirect https-port 11111

#

BRAS校园网VPN多出口+ITA配置举例(直挂方式)

7.1  组网需求

28所示,某校园网的宿舍区和办公区直挂在BRAS下,PE2作为出口设备分别接不同的运营商ISP1ISP2,要求实现如下需求:

·     宿舍区和办公区用户未进行PPPoE拨号认证前,仅可以访问学校内网,且均限速5Mbps,但不计费;

·     用户进行PPPoE拨号认证通过后,可以同时访问学校内网和学校外网;访问学校内网时,同样限速5Mbps,不计费;访问学校外网时,有2Mbps5Mbps10Mbps三种包月套餐可供选择(本例中用户ABCD选择的上网套餐分别是2Mbps5Mbps5Mbps10Mbps。);

·     用户PPPoE拨号认证时,拨号客户端使用操作系统自带客户端;

·     用户PPPoE拨号时通过在用户名后面增加@ISP1@ISP2的方式携带域名上线,BRAS则根据认证用户的域名来为用户指定固定的运营商出口。

图28 BRAS校园网VPN多出口+ITA配置举例(直挂方式)

设备

接口

IP地址

设备

接口

IP地址

RADIUS server

-

4.4.4.2/24

PE2

Loop0

3.3.3.9/32

DHCP server

GE3/0/1

4.4.4.3/24

GE3/0/1

10.1.4.2/24

PE1BRAS

Loop0

1.1.1.9/32

GE3/0/2

101.1.1.1/24

GE3/1/1.1

5.5.5.1/24

GE3/0/3

202.1.1.1/24

GE3/1/2

10.1.1.1/24

CE1

GE3/0/1

101.1.1.2/24

GE3/1/3

4.4.4.1/24

CE2

GE3/0/1

202.1.1.2/24

P

Loop0

2.2.2.9/32

GE3/0/1

10.1.4.1/24

GE3/0/2

10.1.1.2/24

 

7.2  配置思路

·     为了使BRAS可以根据认证用户的域名来为其选择指定的运营商出口访问互联网,可以在认证域中对用户授权指定的VPN,不同的VPN走不同的运营商出口。

·     为了实现对用户访问的不同计费策略,可以通过ITA定义4中类型的计费级别(例如级别1234分别对应用户访问内网5Mbps、访问外网2Mbps、访问外网5Mbps和访问外网10Mbps四种情况),不同的计费级别收取不同的费用。

·     为了实现对用户PPPoE拨号认证后内外网流量的区分,可以通过某一ACL先匹配具体的内网流量(本例中内网流量通过ACL 3001匹配),再通过另一ACL匹配除内网流量外的其余流量(默认为外网流量,本例中外网流量通过ACL 3002匹配)。

·     因当PPPoE用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

7.3  配置注意事项

·     由于在配置接口与VPN实例绑定后,接口上的IP地址等配置会清除,因此请先配置接口与VPN实例的绑定关系,再进行其他配置。

·     QoS策略中classifier behavior执行顺序与配置的顺序是一致的为保证设备优先处理内网流量必须保证匹配内网流量的classifier behavior配置在匹配外网流量的classifier behavior之前。

·     授权地址池、授权User Group、授权VPN等属性,如果Radius服务器和ISP域下同时配置,则以Radius服务器授权的为准;idle-cut属性,如果Radius服务器和ISP域下同时配置,则以BRAS设备上ISP域下配置的为准(本例中授权属性均已仅在ISP域下配置的方式进行举例,实际环境请根据需要选择由Radius服务器授权或通过ISP域下配置方式)。

7.4  配置步骤

7.4.1  配置Radius服务器

说明

下面以Linux下的Free Radius服务器为例,说明Radius server的基本配置。

 

# 配置Radius客户端信息。

clients.conf文件中增加如下信息:

client 4.4.4.1/32 {

ipaddr = 4.4.4.1

netmask=32

secret=123456

}

以上信息表示:Radius客户端的IP地址为4.4.4.1,共享密钥为字符串123456

# 配置合法用户信息。

users文件中增加如下信息。

User1@isp1  Cleartext-Password :="pass1"

User1@isp2  Cleartext-Password :="pass1"

User2@isp1  Cleartext-Password :="pass2"

User2@isp2  Cleartext-Password :="pass2"

User3@isp1  Cleartext-Password :="pass3"

User3@isp2  Cleartext-Password :="pass3"

User4@isp1  Cleartext-Password :="pass4"

User4@isp2  Cleartext-Password :="pass4"

以上信息表示:Host AHost BHost CHost D均可自由选择使用用户名@isp1或用户名@isp2的方式进行PPPoE拨号。

7.4.2  配置MPLS L3VPN

说明

本例中的Router AMPLS L3VPN中的角色是PE1,在BRAS中的角色是PPPoE Server,为了便于理解,配置步骤中在MPLS L3VPN部分Router A描述为PE1,在BRAS中描述为BRAS

 

1. MPLS骨干网上配置IGP协议(本例为OSPF协议),实现骨干网PEP的互通

(1)     配置PE 1

# 配置骨干网接口以及环回口地址。

<PE1> system-view

[PE1] interface loopback 0

[PE1-LoopBack0] ip address 1.1.1.9 32

[PE1-LoopBack0] quit

[PE1] interface gigabitethernet 3/1/2

[PE1-GigabitEthernet3/1/2] ip address 10.1.1.1 24

[PE1-GigabitEthernet3/1/2] quit

# 配置OSPF协议发布骨干网侧路由。

[PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0

[PE1-ospf-1-area-0.0.0.0] quit

[PE1-ospf-1] quit

(2)     配置P

# 配置骨干网接口以及环回口地址。

<P> system-view

[P] interface loopback 0

[P-LoopBack0] ip address 2.2.2.9 32

[P-LoopBack0] quit

[P] interface gigabitethernet 3/0/2

[P-GigabitEthernet3/0/2] ip address 10.1.1.2 24

[P-GigabitEthernet3/0/2] quit

[P] interface gigabitethernet 3/0/1

[P-GigabitEthernet3/0/1] ip address 10.1.4.1 24

[P-GigabitEthernet3/0/1] quit

# 配置OSPF协议发布骨干网侧路由。

[P] ospf

[P-ospf-1] area 0

[P-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0

[P-ospf-1-area-0.0.0.0] quit

[P-ospf-1] quit

(3)      配置PE 2

# 配置骨干网接口以及环回口地址。

<PE2> system-view

[PE2] interface loopback 0

[PE2-LoopBack0] ip address 3.3.3.9 32

[PE2-LoopBack0] quit

[PE2] interface gigabitethernet 3/0/1

[PE2-GigabitEthernet3/0/1] ip address 10.1.4.2 24

[PE2-GigabitEthernet3/0/1] quit

# 配置OSPF协议发布骨干网侧路由。

[PE2] ospf

[PE2-ospf-1] area 0

[PE2-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255

[PE2-ospf-1-area-0.0.0.0] network 3.3.3.9 0.0.0.0

[PE2-ospf-1-area-0.0.0.0] quit

[PE2-ospf-1] quit

配置完成后,PE 1PPE 2之间应能建立OSPF邻居,执行display ospf peer命令可以看到邻居达到Full状态。执行display ip routing-table命令可以看到PE之间学习到对方的Loopback路由。

PE 1为例:

[PE1] display ospf peer verbose

 

          OSPF Process 1 with Router ID 1.1.1.9

                  Neighbors

 

 Area 0.0.0.0 interface 10.1.1.1(GE3/1/2)'s neighbors

 Router ID: 2.2.2.9          Address: 10.1.1.2        GR State: Normal

   State: Full  Mode: Nbr is Master  Priority: 1

   DR: 10.1.1.2  BDR: 10.1.1.1  MTU: 0

   Options is 0x02 (-|-|-|-|-|-|E|-)

   Dead timer due in 38  sec

   Neighbor is up for 17:30:25

   Authentication Sequence: [ 0 ]

   Neighbor state change count: 6

   BFD status: Disabled

[PE1] display ip routing-table protocol ospf

 

Summary Count : 5

 

OSPF Routing table Status : <Active>

Summary Count : 3

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

2.2.2.9/32         O_INTRA 10  1           10.1.1.2        GE3/1/2

3.3.3.9/32         O_INTRA 10  2           10.1.1.2        GE3/1/2

10.1.4.0/24        O_INTRA 10  2           10.1.1.2        GE3/1/2

 

OSPF Routing table Status : <Inactive>

Summary Count : 2

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

1.1.1.9/32         O_INTRA 10  0           1.1.1.9         Loop0

10.1.1.0/24        O_INTRA 10  1           10.1.1.1        GE3/0/2

 

2. MPLS骨干网上配置MPLS基本能力和MPLS LDP,建立LDP LSP

(1)     配置PE 1

[PE1] mpls lsr-id 1.1.1.9

[PE1] mpls ldp

[PE1-ldp] quit

[PE1] interface gigabitethernet 3/1/2

[PE1-GigabitEthernet3/1/2] mpls enable

[PE1-GigabitEthernet3/1/2] mpls ldp enable

[PE1-GigabitEthernet3/1/2] quit

(2)     配置P

[P] mpls lsr-id 2.2.2.9

[P] mpls ldp

[P-ldp] quit

[P] interface gigabitethernet 3/0/2

[P-GigabitEthernet3/0/2] mpls enable

[P-GigabitEthernet3/0/2] mpls ldp enable

[P-GigabitEthernet3/0/2] quit

[P] interface gigabitethernet 3/0/1

[P-GigabitEthernet3/0/1] mpls enable

[P-GigabitEthernet3/0/1] mpls ldp enable

[P-GigabitEthernet3/0/1] quit

(3)     配置PE 2

[PE2] mpls lsr-id 3.3.3.9

[PE2] mpls ldp

[PE2-ldp] quit

[PE2] interface gigabitethernet 3/0/1

[PE2-GigabitEthernet3/0/1] mpls enable

[PE2-GigabitEthernet3/0/1] mpls ldp enable

[PE2-GigabitEthernet3/0/1] quit

上述配置完成后,PE 1PPE 2之间应能建立LDP会话,执行display mpls ldp peer命令可以看到LDP会话的状态为Operational。执行display mpls ldp lsp命令,可以看到LDP LSP的建立情况。

PE 1为例:

[PE1] display mpls ldp peer

Total number of peers: 1

Peer LDP ID             State         Role     GR   MD5  KA Sent/Rcvd

2.2.2.9:0               Operational   Passive  Off  Off  5/5

[PE1] display mpls ldp lsp

Status Flags: * - stale, L - liberal, B - backup

FECs: 4            Ingress: 1          Transit: 1      Egress: 3

 

FEC                In/Out Label        Nexthop         OutInterface

1.1.1.9/32         3/-

                   -/1151(L)

2.2.2.9/32         -/3                 10.1.1.2        GE3/1/2

                   1151/3              10.1.1.2        GE3/1/2

3.3.3.9/32         -/1150              10.1.1.2        GE3/1/2

                   1150/1150           10.1.1.2        GE3/1/2

3. PE设备上配置VPN实例,将CE接入PE

(1)     配置PE 1

# PE 1上为isp1创建名为“vpn_isp1”的VPN实例。

[PE1] ip vpn-instance vpn_isp1

# 为该实例配置RD100:1,用于形成VPNv4路由,以便区分不同用户相同网段的路由。

[PE1-vpn-instance-vpn_isp1] route-distinguisher 100:1

# 为该VPN实例配置VPN Target属性,其中接收路由的属性为111:1,发布路由的属性为222:1。(此处为表示接收和发送属性的含义,取值有所不同,为便于管理,用户可以将接收和发送的属性配置为相同的值)

[PE1-vpn-instance-vpn_isp1] vpn-target 111:1 import-extcommunity

[PE1-vpn-instance-vpn_isp1] vpn-target 222:1 export-extcommunity

[PE1-vpn-instance-vpn_isp1] quit

# 按同样方式为isp2创建名为“vpn_isp2”的VPN实例,并为其配置RD200:1,接收和发送的VPN Target属性分别为333:1444:1

[PE1] ip vpn-instance vpn_isp2

[PE1-vpn-instance-vpn_isp2] route-distinguisher 200:1

[PE1-vpn-instance-vpn_isp2] vpn-target 333:1 import-extcommunity

[PE1-vpn-instance-vpn_isp2] vpn-target 444:1 export-extcommunity

[PE1-vpn-instance-vpn_isp2] quit

说明

因用户PPPoE拨号成功后,担任PE1BRAS设备会自动将为该用户分配的IP地址对应的主机路由添加到用户所属VPN实例路由表中,所以不需要在PE 1VPN实例与用户接入接口绑定。

 

(2)     配置PE 2

# PE 2上为isp1名为“vpn_isp1”的创建VPN实例。

[PE2] ip vpn-instance vpn_isp1

# 为该VPN实例配置RD,为便于识别,建议与PE 1上为该实例配置的RD保持一致。

[PE2-vpn-instance-vpn_isp1] route-distinguisher 100:1

# 为该VPN实例配置VPN Target,需要注意的是接收和发送的属性要分别与PE 1上配置的发送和接收的属性保持一致。

[PE2-vpn-instance-vpn_isp1] vpn-target 222:1 import-extcommunity

[PE2-vpn-instance-vpn_isp1] vpn-target 111:1 export-extcommunity

[PE2-vpn-instance-vpn_isp1] quit

# 按同样方式配置VPN实例“vpn_isp2”,并配置相应的RDVPN Target

[PE2] ip vpn-instance vpn_isp2

[PE2-vpn-instance-vpn_isp2] route-distinguisher 200:1

[PE2-vpn-instance-vpn_isp2] vpn-target 444:1 import-extcommunity

[PE2-vpn-instance-vpn_isp2] vpn-target 333:1 export-extcommunity

[PE2-vpn-instance-vpn_isp2] quit

# 分别将GigabitEthernet3/0/2GigabitEthernet3/0/3vpn_isp1vpn_isp2实例进行绑定。

[PE2] interface gigabitethernet 3/0/2

[PE2-GigabitEthernet3/0/2] ip binding vpn-instance vpn_isp1

[PE2-GigabitEthernet3/0/2] ip address 101.1.1.1 24

[PE2-GigabitEthernet3/0/2] quit

[PE2] interface gigabitethernet 3/0/3

[PE2-GigabitEthernet3/0/3] ip binding vpn-instance vpn_isp2

[PE2-GigabitEthernet3/0/3] ip address 202.1.1.1 24

[PE2-GigabitEthernet3/0/3] quit

(3)     配置CE

28配置各CE的接口IP地址,配置过程略。

4. PECE之间建立EBGP对等体,引入VPN路由

(1)     配置PE 1

# PE 1上创建BGP进程100

[PE1] bgp 100

说明

因用户PPPoE拨号成功后,担任PE1BRAS设备会自动将为该用户分配的IP地址对应的主机路由添加到用户所属VPN实例路由表中,所以在PE 1上直接将用户主机的直连路由引入到BGP-VPN实例路由表中即可。

 

# PE 1vpn_isp1实例路由表中的直连路由引入到BGP-VPN实例路由表中。

[PE1-bgp-default] ip vpn-instance vpn_isp1

[PE1-bgp-default-vpn_isp1] address-family ipv4 unicast

[PE1-bgp-default-ipv4-vpn_isp1] import-route direct

[PE1-bgp-default-ipv4-vpn_isp1] quit

[PE1-bgp-default-vpn_isp1] quit

# PE 1vpn_isp2实例路由表中的直连路由引入到BGP-VPN实例路由表中。

[PE1-bgp-default] ip vpn-instance vpn_isp2

[PE1-bgp-default-vpn_isp2] address-family ipv4 unicast

[PE1-bgp-default-ipv4-vpn_isp2] import-route direct

[PE1-bgp-default-ipv4-vpn_isp2] quit

[PE1-bgp-default-vpn_isp2] quit

[PE1-bgp-default] quit

(2)     配置PE 2

# PE 2上创建BGP进程100

[PE2] bgp 100

# CE 1指定为对等体,并将PE 2的直连路由引入到BGP-VPN实例路由表中。

[PE2-bgp-default] ip vpn-instance vpn_isp1

[PE2-bgp-default-vpn_isp1] peer 101.1.1.2 as-number 65430

[PE2-bgp-default-vpn_isp1] address-family ipv4 unicast

[PE2-bgp-default-ipv4-vpn_isp1] peer 101.1.1.2 enable

[PE2-bgp-default-ipv4-vpn_isp1] import-route direct

[PE2-bgp-default-ipv4-vpn_isp1] quit

[PE2-bgp-default-vpn_isp1] quit

# CE 2指定为对等体,并将PE 2的直连路由引入到BGP-VPN实例路由表中。

[PE2-bgp-default] ip vpn-instance vpn_isp2

[PE2-bgp-default-vpn_isp2] peer 202.1.1.2 as-number 65430

[PE2-bgp-default-vpn_isp2] address-family ipv4 unicast

[PE2-bgp-default-ipv4-vpn_isp2] peer 202.1.1.2 enable

[PE2-bgp-default-ipv4-vpn_isp2] import-route direct

[PE2-bgp-default-ipv4-vpn_isp2] quit

[PE2-bgp-default-vpn_isp2] quit

[PE2-bgp-default] quit

(3)     配置CE1

# CE 1上创建BGP进程65430,并指定PE 2为对等体,对等体自治系统号为100

<CE1> system-view

[CE1] bgp 65430

[CE1-bgp-default] peer 101.1.1.1 as-number 100

# 使能CE1与对等体101.1.1.1交换IPv4单播路由信息的能力。

[CE1-bgp-default] address-family ipv4 unicast

[CE1-bgp-default-ipv4] peer 101.1.1.1 enable

# CE 1上连接站点的直连接口路由引入EBGP

[CE1-bgp-default-ipv4] import-route direct

[CE1-bgp-default-ipv4] quit

[CE1-bgp-default] quit

(4)     配置CE2

# CE2上创建BGP进程65430,并指定PE 2为对等体,对等体自治系统号为100

<CE2> system-view

[CE2] bgp 65430

[CE2-bgp-default] peer 202.1.1.1 as-number 100

# 使能CE2与对等体202.1.1.1交换IPv4单播路由信息的能力。

[CE2-bgp-default] address-family ipv4 unicast

[CE2-bgp-default-ipv4] peer 202.1.1.1 enable

# CE 2上连接站点的直连接口路由引入EBGP

[CE2-bgp-default-ipv4] import-route direct

[CE2-bgp-default-ipv4] quit

[CE2-bgp-default] quit

5. PE之间建立MP-IBGP对等体

(1)     配置PE 1

# PE 1上配置PE 2BGP对等体,并指定连接时使用的接口为Loopback0接口。

[PE1] bgp 100

[PE1-bgp-default] peer 3.3.3.9 as-number 100

[PE1-bgp-default] peer 3.3.3.9 connect-interface loopback 0

# 进入BGP-VPNv4地址族视图,指定PE 2为对等体。

[PE1-bgp-default] address-family vpnv4

[PE1-bgp-default-vpnv4] peer 3.3.3.9 enable

[PE1-bgp-default-vpnv4] quit

[PE1-bgp-default] quit

(2)     配置PE 2

# PE 2上配置PE 1BGP对等体,并指定连接时使用的接口为Loopback0接口。

[PE2] bgp 100

[PE2-bgp-default] peer 1.1.1.9 as-number 100

[PE2-bgp-default] peer 1.1.1.9 connect-interface loopback 0

# 进入BGP-VPNv4地址族视图,指定PE 1为对等体。

[PE2-bgp-default] address-family vpnv4

[PE2-bgp-default-vpnv4] peer 1.1.1.9 enable

[PE2-bgp-default-vpnv4] quit

[PE2-bgp-default] quit

配置完成后PE设备上执行display bgp peer vpnv4命令可以看到PE之间的BGP对等体关系已建立并达到Established状态。

[PE1] display bgp peer vpnv4

 

 BGP local router ID: 1.1.1.9

 Local AS number: 100

 Total number of peers: 1                  Peers in established state: 1

 

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

 

  3.3.3.9                100        8        8    0       0 00:00:08 Established

# PE设备上执行display ip routing-table vpn-instance命令,可以看到去往对端CE1的路由。

PE 1上的vpn_isp1为例:

[PE1] display ip routing-table vpn-instance vpn_isp1

 

Destinations : 9        Routes : 9

 

Destination/Mask    Proto  Pre  Cost         NextHop         Interface

0.0.0.0/32          Direct 0    0            127.0.0.1       InLoop0

101.1.1.0/24        BGP    255  0            3.3.3.9         GE3/1/2

127.0.0.0/8         Direct 0    0            127.0.0.1       InLoop0

127.0.0.0/32        Direct 0    0            127.0.0.1       InLoop0

127.0.0.1/32        Direct 0    0            127.0.0.1       InLoop0

127.255.255.255/32  Direct 0    0            127.0.0.1       InLoop0

224.0.0.0/4         Direct 0    0            0.0.0.0         NULL0

224.0.0.0/24        Direct 0    0            0.0.0.0         NULL0

255.255.255.255/32  Direct 0    0            127.0.0.1       InLoop0

7.4.3  配置DHCP服务器

# 28下表配置接口GigabitEthernet3/0/1IP地址,配置过程略。

# 全局使能DHCP

<DHCP> system-view

[DHCP] dhcp enable

# 创建用户未认证前使用的地址池pool1并进入其视图。

[DHCP] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段5.5.0.0/16,分配的网关地址5.5.5.1DNS服务器地址8.8.8.8

[DHCP-dhcp-pool-pool1] network 5.5.0.0 16

[DHCP-dhcp-pool-pool1] gateway-list 5.5.5.1

[DHCP-dhcp-pool-pool1] dns-list 8.8.8.8

# 5.5.5.1设置为禁止分配地址。

[DHCP-dhcp-pool-pool1] forbidden-ip 5.5.5.1

[DHCP-dhcp-pool-pool1] quit

# isp1中用户创建名字为pool2地址池并进入其视图。

[DHCP] dhcp server ip-pool pool2

# 配置地址池动态分配的IP地址网段6.6.0.0/16,分配的网关地址6.6.6.1DNS服务器地址8.8.8.8

[DHCP-dhcp-pool-pool2] network 6.6.0.0 16

[DHCP-dhcp-pool-pool2] gateway-list 6.6.6.1

[DHCP-dhcp-pool-pool2] dns-list 8.8.8.8

# 6.6.6.1设置为禁止分配地址。

[DHCP-dhcp-pool-pool2] forbidden-ip 6.6.6.1

[DHCP-dhcp-pool-pool2] quit

# isp2中用户创建名字为pool3地址池并进入其视图。

[DHCP] dhcp server ip-pool pool3

# 配置地址池动态分配的IP地址网段7.7.0.0/16,分配的网关地址7.7.7.1DNS服务器地址8.8.8.8

[DHCP-dhcp-pool-pool3] network 7.7.0.0 16

[DHCP-dhcp-pool-pool3] gateway-list 7.7.7.1

[DHCP-dhcp-pool-pool3] dns-list 8.8.8.8

# 7.7.7.1设置为禁止分配地址。

[DHCP-dhcp-pool-pool3] forbidden-ip 7.7.7.1

[DHCP-dhcp-pool-pool3] quit

# 配置到PPPoE Server(即BRAS)的缺省路由。

[DHCP] ip route-static 0.0.0.0 0 4.4.4.1

7.4.4  配置BRAS

1. 配置User Group

# ISP1创建用户组g1

<BRAS> system-view

[BRAS] user-group g1

New user group added.

[BRAS-ugroup-web] quit

# ISP2创建用户组g2

<BRAS> system-view

[BRAS] user-group g2

New user group added.

[BRAS-ugroup-web] quit

2. 配置内网的不计费和但限速5Mbps类型的QoS策略

说明

本例中以用户网段(包含PPPoE认证前用户网段5.5.0.0/16vpn_isp1中用户网段6.6.0.0/16vpn_isp2中用户网段7.7.0.0/16三个用户网段)和服务器网段4.4.4.0/24作为内网网段进行举例。

 

(1)     配置用户未PPPoE拨号认证前的QoS策略

# 配置ACL规则列表3000

[BRAS] acl advanced 3000

# 配置匹配用户未PPPoE拨号认证前(用户网段为5.5.0.0/16)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-ipv4-adv-3000] rule 0 permit ip source 5.5.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255

[BRAS-acl-ipv4-adv-3000] rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 5.5.0.0 0.0.255.255

# 配置匹配用户未PPPoE拨号认证前(用户网段为5.5.0.0/16)用户间互访的报文。

[BRAS-acl-ipv4-adv-3000] rule 20 permit ip source 5.5.0.0 0.0.255.255 destination 5.5.0.0 0.0.255.255

[BRAS-acl-ipv4-adv-3000] quit

# 配置流分类器3000,并设置流匹配规则为ACL 3000的用户报文。

[BRAS] traffic classifier 3000 operator and

[BRAS-classifier-3000] if-match acl 3000

[BRAS-classifier-3000] quit

# 定义流行为3000配置采用流量统计并限速5000kbps

[BRAS] traffic behavior 3000

[BRAS-behavior-3000] accounting byte

[BRAS-behavior-3000] car cir 5000

[BRAS-behavior-3000] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier 3000 behavior 3000

[BRAS-qospolicy-nei_waiwang_share] quit

(2)     配置用户PPPoE拨号认证后的QoS策略

# 配置ACL规则列表3001

[BRAS] acl advanced 3001

# 配置匹配PPPoE拨号认证后vpn_isp1中用户(用户网段为6.6.0.0/16)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-ipv4-adv-3001] rule 10 permit ip source 6.6.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255 user-group g1

[BRAS-acl-ipv4-adv-3001] rule 20 permit ip source 4.4.4.0 0.0.0.255 destination 6.6.0.0 0.0.255.255 user-group g1

# 配置匹配PPPoE拨号认证后vpn_isp1中用户(用户网段为6.6.0.0/16)间互访的报文。

[BRAS-acl-ipv4-adv-3001] rule 30 permit ip source 6.6.0.0 0.0.255.255 destination 6.6.0.0 0.0.255.255 user-group g1

# 配置匹配PPPoE拨号认证后vpn_isp2中用户(用户网段为7.7.0.0/16)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-ipv4-adv-3001] rule 40 permit ip source 7.7.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255 user-group g2

[BRAS-acl-ipv4-adv-3001] rule 50 permit ip source 4.4.4.0 0.0.0.255 destination 7.7.0.0 0.0.255.255 user-group g2

# 配置匹配PPPoE拨号认证后vpn_isp2中用户(用户网段为7.7.0.0/16)间互访的报文。

[BRAS-acl-ipv4-adv-3001] rule 60 permit ip source 7.7.0.0 0.0.255.255 destination 7.7.0.0 0.0.255.255 user-group g2

[BRAS-acl-ipv4-adv-3001] quit

说明

因设备ACL规则缺省为无(即缺省既不是Permit也不是Deny),对于没匹配到的流量该ACL不作处理,所以请不要在ACL 3001中最后再配置一条Deny所有报文的规则(例如:rule 70 deny ip),否则将造成设备执行策略nei_waiwang_share时,classifier 3001 behavior 3001之后的所有CB对匹配不到任何用户流量。

 

# 配置流分类器3001,并设置流匹配规则为ACL 3001且已认证的用户报文。

[BRAS] traffic classifier 3001 operator and

[BRAS-classifier-3001] if-match acl 3001

[BRAS-classifier-3001] if-match authenticated-user

[BRAS-classifier-3001] quit

# 定义流行为3001,并配置标记计费级别为1,采用流量统计并限速5000kbps

[BRAS] traffic behavior 3001

[BRAS-behavior-3001] remark account-level 1

[BRAS-behavior-3001] accounting byte

[BRAS-behavior-3001] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier 3001 behavior 3001

[BRAS-qospolicy-nei_waiwang_share] quit

3. 配置访问外网的计费和限速类型的QoS策略

# 配置ACL规则列表3002

[BRAS] acl advanced 3002

# 配置匹配所有报文。

[BRAS-acl-ipv4-adv-3002] rule 0 permit ip user-group g1

[BRAS-acl-ipv4-adv-3002] rule 10 permit ip user-group g2

[BRAS-acl-ipv4-adv-3002] quit

# 配置流分类器cl_user1,并设置流匹配规则为用户VLAN 11ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user1 operator and

[BRAS-classifier-cl_user1] if-match customer-vlan-id 11

[BRAS-classifier-cl_user1] if-match acl 3002

[BRAS-classifier-cl_user1] if-match authenticated-user

[BRAS-classifier-cl_user1] quit

# 配置流分类器cl_user2,并设置流匹配规则为用户VLAN 12ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user2 operator and

[BRAS-classifier-cl_user2] if-match customer-vlan-id 12

[BRAS-classifier-cl_user2] if-match acl 3002

[BRAS-classifier-cl_user2] if-match authenticated-user

[BRAS-classifier-cl_user2] quit

# 配置流分类器cl_user3,并设置流匹配规则为用户VLAN 13ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user3 operator and

[BRAS-classifier-cl_user3] if-match customer-vlan-id 13

[BRAS-classifier-cl_user3] if-match acl 3002

[BRAS-classifier-cl_user3] if-match authenticated-user

[BRAS-classifier-cl_user3] quit

# 配置流分类器cl_user4,并设置流匹配规则为用户VLAN 14ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user4 operator and

[BRAS-classifier-cl_user4] if-match customer-vlan-id 14

[BRAS-classifier-cl_user4] if-match acl 3002

[BRAS-classifier-cl_user4] if-match authenticated-user

[BRAS-classifier-cl_user4] quit

# 定义流行为be_2M,标记计费级别为2

[BRAS] traffic behavior be_2M

[BRAS-behavior-be_2M] remark account-level 2

[BRAS-behavior-be_2M] accounting byte

[BRAS-behavior-be_2M] quit

# 定义流行为be_5M,标记计费级别为3

[BRAS] traffic behavior be_5M

[BRAS-behavior-be_5M] remark account-level 3

[BRAS-behavior-be_5M] accounting byte

[BRAS-behavior-be_5M] quit

# 定义流行为be_10M,标记计费级别为4

[BRAS] traffic behavior be_10M

[BRAS-behavior-be_10M] remark account-level 4

[BRAS-behavior-be_10M] accounting byte

[BRAS-behavior-be_10M] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user1 behavior be_2M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user2 behavior be_5M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user3 behavior be_5M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user4 behavior be_10M

[BRAS-qospolicy-nei_waiwang_share] quit

4. 应用QoS策略

# 进入接口GigabitEthernet3/1/1.1视图。

[BRAS] interface gigabitethernet 3/1/1.1

# 配置当前接口上应用QoS策略nei_waiwang_share

[BRAS–GigabitEthernet3/1/1.1] qos apply policy nei_waiwang_share inbound

[BRAS–GigabitEthernet3/1/1.1] qos apply policy nei_waiwang_share outbound

[BRAS–GigabitEthernet3/1/1.1] quit

5. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRAS] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRAS-radius-rs1] primary authentication 4.4.4.2

[BRAS-radius-rs1] primary accounting 4.4.4.2

[BRAS-radius-rs1] key authentication simple 123456

[BRAS-radius-rs1] key accounting simple 123456

# 使能RADIUS认证方案rs1accounting-on功能。

[BRAS-radius-rs1] accounting-on enable

[BRAS-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRAS] radius dynamic-author server

[BRAS-radius-da-server] client ip 4.4.4.2 key simple 123456

[BRAS-radius-da-server] quit

6. 配置ITA策略

# 配置ITA策略pl_ita,配置ITA计费服务器为rs1

[BRAS] ita policy pl_ita

[BRAS-ita-policy-pl_ita] accounting-method radius-scheme rs1

# 配置计费级别并限速。

[BRAS-ita-policy-pl_ita] accounting-level 1 ipv4 car inbound cir 5000 outbound cir 5000

[BRAS-ita-policy-pl_ita] accounting-level 2 ipv4 car inbound cir 2000 outbound cir 2000

[BRAS-ita-policy-pl_ita] accounting-level 3 ipv4 car inbound cir 5000 outbound cir 5000

[BRAS-ita-policy-pl_ita] accounting-level 4 ipv4 car inbound cir 10000 outbound cir 10000

7. 配置DHCP中继

# 全局使能DHCP

[BRAS] dhcp enable

# 进入接口GigabitEthernet3/1/1.1视图。

[BRAS] interface gigabitethernet 3/1/1.1

# 启用DHCP中继的用户地址表项记录功能。

[BRAS] dhcp relay client-information record

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool1

[BRAS-dhcp-pool-pool1] gateway-list 6.6.6.1 export-route

[BRAS-dhcp-pool-pool1] remote-server 4.4.4.3

# 指定中继地址池pool1所在的VPNvpn_isp1

[BRAS-dhcp-pool-pool1] vpn-instance vpn_isp1

[BRAS-dhcp-pool-pool1] quit

# 创建中继地址池pool2,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool2

[BRAS-dhcp-pool-pool2] gateway-list 7.7.7.1 export-route

[BRAS-dhcp-pool-pool2] remote-server 4.4.4.3

# 指定中继地址池pool2所在的VPNvpn_isp2

[BRAS-dhcp-pool-pool2] vpn-instance vpn_isp2

[BRAS-dhcp-pool-pool2] quit

8. 配置认证域

# 创建并进入名字为isp1ISP域。

[BRAS] domain name isp1

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp1] authentication ppp radius-scheme rs1

[BRAS-isp-isp1] authorization ppp radius-scheme rs1

[BRAS-isp-isp1] accounting ppp radius-scheme rs1

# 配置当前isp1使用的ITA策略pl_ita

[BRAS-isp-isp1] ita-policy pl_ita

# 配置当前isp1域下的用户授权地址池pool1及指定用户的授权User Group

[BRAS-isp-isp1] authorization-attribute ip-pool pool1

[BRAS-isp-isp1] authorization-attribute user-group g1

# 配置当前isp1域下的用户授权VPN

[BRAS-isp-isp1] authorization-attribute vpn-instance vpn_isp1

[BRAS-isp-isp1] quit

# 创建并进入名字为isp2ISP域。

[BRAS] domain name isp2

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp2] authentication ppp radius-scheme rs1

[BRAS-isp-isp2] authorization ppp radius-scheme rs1

[BRAS-isp-isp2] accounting ppp radius-scheme rs1

# 配置当前isp2使用的ITA策略pl_ita

[BRAS-isp-isp2] ita-policy pl_ita

# 配置当前isp2域下的用户授权地址池pool2及指定用户的授权User Group

[BRAS-isp-isp2] authorization-attribute ip-pool pool2

[BRAS-isp-isp2] authorization-attribute user-group g2

# 配置当前isp2域下的用户授权VPN

[BRAS-isp-isp2] authorization-attribute vpn-instance vpn_isp2

[BRAS-isp-isp2] quit

9. 配置虚拟模板接口

# 创建虚拟模板接口1,并开启PPP计费统计和CHAP认证功能。

[BRAS] interface virtual-template 1

[BRAS-Virtual-Template1] ppp account-statistics enable

[BRAS-Virtual-Template1] ppp authentication-mode chap

[BRAS-Virtual-Template1] quit

10. 配置VLAN终结

# 在用户的接入子接口GigabitEthernet3/1/1.1配置VLAN终结,并绑定虚拟模板接口1

[BRAS] interface gigabitethernet 3/1/1.1

[BRAS-GigabitEthernet3/1/1.1] vlan-type dot1q vid 101 second-dot1q 11 to 14

[BRAS-GigabitEthernet3/1/1.1] pppoe-server bind virtual-template 1

11. 配置策略路由

说明

为保证VPN间流量正常转发,需要配置静态路由和策略路由。

 

(1)     通过配置静态路由,将VPN内的DHCP请求方向的流量引入到DHCP服务器端

# 配置静态路由,将vpn_isp1内的DHCP请求方向的流量引入到DHCP服务器端。

[BRAS] ip route-static vpn-instance vpn_isp1 4.4.4.0 24 4.4.4.3 public

# 配置静态路由,将vpn_isp2内的DHCP请求方向的流量引入到DHCP服务器端。

[BRAS] ip route-static vpn-instance vpn_isp2 4.4.4.0 24 4.4.4.3 public

(2)     通过配置策略路由,将DHCP服务器回应的流量导入到DHCP客户端所在的VPN

# 创建ACL 3010匹配目的为6.6.0.0/16网段的报文。

[BRAS] acl advanced 3010

[BRAS-acl-ipv4-adv-3010] rule 0 permit ip destination 6.6.0.0 0.0.255.255 user-group g1

[BRAS-acl-ipv4-adv-3010] quit

# 创建ACL 3020匹配目的为7.7.0.0/16网段的报文。

[BRAS] acl advanced 3020

[BRAS-acl-ipv4-adv-3020] rule 0 permit ip destination 7.7.0.0 0.0.255.255 user-group g2

[BRAS-acl-ipv4-adv-3020] quit

# 创建一个策略dhcp_to_bras,其节点序号为0,匹配模式permit,指定匹配ACL 3010的报文在vpn_isp1内转发。

[BRAS] policy-based-route dhcp_to_bras permit node 0

[BRAS-pbr-dhcp_to_bras-0] if-match acl 3010

[BRAS-pbr-dhcp_to_bras-0] apply access-vpn vpn-instance vpn_isp1

[BRAS-pbr-dhcp_to_bras-0] quit

# 在策略dhcp_to_bras中再创建节点序号1,匹配模式permit,指定匹配ACL 3020的报文在vpn_isp2内转发。

[BRAS] policy-based-route dhcp_to_bras permit node 1

[BRAS-pbr-dhcp_to_bras-1] if-match acl 3020

[BRAS-pbr-dhcp_to_bras-1] apply access-vpn vpn-instance vpn_isp2

[BRAS-pbr-dhcp_to_bras-1] quit

# 在以太接口GigabitEthernet3/1/3上应用该策略路由dhcp_to_bras

[BRAS] interface gigabitethernet 3/1/3

[BRAS–GigabitEthernet3/1/3] ip policy-based-route dhcp_to_bras

[BRAS–GigabitEthernet3/1/3] quit

 

说明

·     为保证VPN实例与公网实例间流量正常转发(即保证用户PPPoE拨号成功后可以访问学校内容,例如可以访问P设备的lookback0的地址2.2.2.9),需要配置静态路由和策略路由。

·     VPN实例和公网实例间需要互访的网段在步骤(3)中配置的静态路由和步骤(4)ACL匹配的网段必须一一对应才能双向互通。

 

(3)     通过配置静态路由,将VPN实例内用户访问公网实例方向的流量引入到公网实例中

# 配置静态路由,允许vpn_isp1内的用户单向访问公网实例中的2.2.2.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp1 2.2.2.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp1内的用户单向访问公网实例中的3.3.0.0/16网段。

[BRAS] ip route-static vpn-instance vpn_isp1 3.3.0.0 16 10.1.1.2 public

# 配置静态路由,允许vpn_isp2内的用户单向访问公网实例中的2.2.2.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp2 2.2.2.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp2内的用户单向访问公网实例中的3.3.0.0/16网段。

[BRAS] ip route-static vpn-instance vpn_isp2 3.3.0.0 16 10.1.1.2 public

(4)     通过配置策略路由,将公网实例中回应步骤(3)中的单向流量的流量导入到对应的VPN

# 创建ACL 3030匹配源地址为2.2.2.0/243.3.0.0/16网段,目的为6.6.0.0/16网段的报文。

[BRAS] acl advanced 3030

[BRAS-acl-ipv4-adv-3030] rule permit ip source 2.2.2.0 0.0.0.255 destination 6.6.0.0 0.0.255.255 user-group g1

[BRAS-acl-ipv4-adv-3030] rule permit ip source 3.3.0.0 0.0.255.255 destination 6.6.0.0 0.0.255.255 user-group g1

[BRAS-acl-ipv4-adv-3030] quit

# 创建ACL 3040匹配源地址为2.2.2.0/243.3.0.0/16网段,目的为7.7.0.0/16网段的报文。

[BRAS] acl advanced 3040

[BRAS-acl-ipv4-adv-3040] rule permit ip source 2.2.2.0 0.0.0.255 destination 7.7.0.0 0.0.255.255 user-group g2

[BRAS-acl-ipv4-adv-3040] rule permit ip source 3.3.0.0 0.0.255.255 destination 7.7.0.0 0.0.255.255 user-group g2

[BRAS-acl-ipv4-adv-3040] quit

# 创建一个策略vpn_public,其节点序号为0,匹配模式permit,指定匹配ACL 3030的报文在vpn_isp1内转发。

[BRAS] policy-based-route vpn_public permit node 0

[BRAS-pbr-vpn_public-0] if-match acl 3030

[BRAS-pbr-vpn_public-0] apply access-vpn vpn-instance vpn_isp1

[BRAS-pbr-vpn_public-0] quit

# 在策略vpn_public中再创建节点序号1,匹配模式permit,指定匹配ACL 3040的报文在vpn_isp2内转发。

[BRAS] policy-based-route vpn_public permit node 1

[BRAS-pbr-vpn_public-1] if-match acl 3040

[BRAS-pbr-vpn_public-1] apply access-vpn vpn-instance vpn_isp2

[BRAS-pbr-vpn_public-1] quit

# 在以太接口GigabitEthernet3/1/2上应用该策略路由vpn_public

[BRAS] interface gigabitethernet 3/1/2

[BRAS–GigabitEthernet3/1/2] ip policy-based-route vpn_public

[BRAS–GigabitEthernet3/1/2] quit

(5)     PE1上宣告PPPoE认证前用户网段的路由

# PE1上的OSPF进程中宣告5.5.0.0/16网段,以便PPE2可以学习到相应的路由。

[PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 5.5.0.0 0.0.255.255

[PE1-ospf-1-area-0.0.0.0] quit

[PE1-ospf-1] quit

(6)     配置P上到PPPoE用户网段的路由

# P上配置到6.6.0.0/167.7.0.0/16网段的静态路由

[P] ip route-static 6.6.0.0 16 10.1.1.1

[P] ip route-static 7.7.0.0 16 10.1.1.1

(7)     配置PE2上到PPPoE用户网段的路由

# PE2上配置到6.6.0.0/167.7.0.0/16网段的静态路由

[PE2] ip route-static 6.6.0.0 16 10.1.4.1

[PE2] ip route-static 7.7.0.0 16 10.1.4.1

7.4.5  配置Switch A

# 创建运营商VLAN 101

<SwitchA> system-view

[SwitchA] vlan 101

[SwitchA-vlan101] quit

# 配置端口GigabitEthernet3/0/1Hybrid模式,并允许运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[SwitchA] interface gigabitethernet 3/0/1

[SwitchA-GigabitEthernet3/0/1] port link-type hybrid

[SwitchA-GigabitEthernet3/0/1] port hybrid vlan 101 tagged

[SwitchA-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchA] interface range gigabitethernet 3/0/2 to gigabitethernet 3/0/3

[SwitchA-if-range] port link-type trunk

[SwitchA-if-range] port trunk permit vlan 101

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3的缺省VLAN为运营商VLAN 101,并启用端口QinQ功能。

[SwitchA-if-range] port trunk pvid vlan 101

[SwitchA-if-range] qinq enable

[SwitchA-if-range] quit

7.4.6  配置Switch B

# 创建用户VLAN 1112

[SwitchB] vlan 11 to 12

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 11VLAN 12的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 11 12

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 11

[SwitchB] interface gigabitethernet 3/0/2

[SwitchB-GigabitEthernet3/0/2] port access vlan 11

[SwitchB-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 12

[SwitchB] interface gigabitethernet 3/0/3

[SwitchB-GigabitEthernet3/0/3] port access vlan 12

[SwitchB-GigabitEthernet3/0/3] quit

7.4.7  配置Switch C

# 创建用户VLAN 1314

[SwitchC] vlan 13 to 14

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 13VLAN 14的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 13 14

[SwitchC-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 13

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] port access vlan 13

[SwitchC-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 14

[SwitchC] interface gigabitethernet 3/0/3

[SwitchC-GigabitEthernet3/0/3] port access vlan 14

[SwitchC-GigabitEthernet3/0/3] quit

7.5  验证配置

# 下面以用户主机Host A为例进行说明。

(1)     Host A未拨号认证前,

#使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

<BRAS> display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1              N/A

以上信息表明,用户Host APPPoE拨号认证前,可以态获取到IP地址5.5.5.2。用户使用该IP地址仅可以访问学校内网。

(2)     Host A使用用户名:User1@isp1和密码:pass1拨号接入BRAS设备后

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

<BRAS> display dhcp relay client-information

Total number of client-information items: 2

Total number of dynamic items: 2

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1            N/A

6.6.6.2          e839-3563-fb21   Dynamic     BAS0                 vpn_isp1

以上信息表明,用户Host A使用@isp1后缀的用户名PPPoE拨号认证后,又态获取到在vpn_isp1中的IP地址6.6.6.2

# 查看用户User1@isp1的详细信息。

<BRAS> display ppp access-user username user1@isp1 verbose

Basic:

  Interface: BAS0

  PPP index: 0x140000105

  User ID: 0x20000001

  Username: User1@isp1                //PPPoE拨号使用的用户名

  Domain: isp1                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  VXLAN ID: -

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 6.6.6.2                 //DHCP Server为用户分配的IP地址

  Primary DNS server: 8.8.8.8

  IPv6 address: -

  IPv6 PD prefix: -

  IPv6 ND prefix: -

  User address type: N/A

  VPN instance: vpn_isp1             //用户所属VPN

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

PPPoE:

  Session ID: 1

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Closed

  Realtime accounting interval: -

  Login time: 2022-2-3  16:8:50:841

  Accounting start time: 2022-2-3  16:8:50:861

  Online time(hh:mm:ss): 0:0:7

  Accounting state: Accounting

  Acct start-fail action: Online

  Acct update-fail action: Online

  Acct quota-out action: Offline

  Dual-stack accounting mode: Merge

  Idle cut: 0 sec  0 byte, direction: Both

  Session timeout: -

  Time remained: -

  Traffic quota: -

  Traffic remained: -

  Redirect WebURL: -

  ITA policy name: pl_ita

  MRU: 1480 bytes

  IPv4 MTU: 1480 bytes

  IPv6 MTU: 1480 bytes

  Subscriber ID: -

 

ACL&QoS:

  User profile: -

  Session group profile: -

  User group acl: g1 (active)

  Inbound CAR: -

  Outbound CAR: -

  User inbound priority: -

  User outbound priority: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 119/11753

  IPv4 downlink packets/bytes: 73/6350

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

 

ITA:

  Level-1 uplink   packets/bytes: 109/11653

          downlink packets/bytes: 0/0

  Level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-3 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-4 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

# 查看vpn_isp1中的路由。

<BRAS> display ip routing-table vpn-instance vpn_isp1

 

Destinations : 20        Routes : 20

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

2.2.2.0/24         Static  60  0           10.1.1.2        GE3/1/2

3.3.0.0/16         Static  60  0           10.1.1.2        GE3/1/2

4.4.4.0/24         Static  60  0           4.4.4.3         GE3/1/3

6.6.6.1/32         Direct  0   0           127.0.0.1       InLoop0

6.6.6.2/32         Direct  0   0           6.6.6.2         BAS0

10.1.1.0/24        Static  60  0           10.1.1.2        GE3/1/2

10.1.4.0/24        Static  60  0           10.1.1.2        GE3/1/2

101.1.1.0/24       BGP     255 0           3.3.3.9         GE3/1/2

101.101.101.0/24   Direct  0   0           101.101.101.101 BAS0

101.101.101.0/32   Direct  0   0           101.101.101.101 BAS0

101.101.101.101/32 Direct  0   0           127.0.0.1       InLoop0

101.101.101.255/32 Direct  0   0           101.101.101.101 BAS0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

以上信息表明,在vpn_isp1中已有到内网(例如:2.2.2.0/24网段)和外网(101.1.1.0/24网段)的相应路由,用户可以使用获取到的IP地址6.6.6.2同时访问学校内网和外网,且访问外网时走的是ISP1出口。

(3)     Host A使用用户名:User1@isp2和密码:pass1拨号接入BRAS设备后

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

<BRAS> display dhcp relay client-information

Total number of client-information items: 2

Total number of dynamic items: 2

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1            N/A

7.7.7.2          e839-3563-fb21   Dynamic     BAS0                  vpn_isp2

以上信息表明,用户Host A使用@isp2后缀的用户名PPPoE拨号认证后,又态获取到在vpn_isp2中的IP地址7.7.7.2

# 查看用户User1@isp2的详细信息。

<BRAS> display ppp access-user username user1@isp2 verbose

Basic:

  Interface: BAS0

  PPP index: 0x140000105

  User ID: 0x20000001

  Username: User1@isp2                //PPPoE拨号使用的用户名

  Domain: isp2                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  VXLAN ID: -

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 7.7.7.2                 //DHCP Server为用户分配的IP地址

  Primary DNS server: 8.8.8.8

  IPv6 address: -

  IPv6 PD prefix: -

  IPv6 ND prefix: -

  User address type: N/A

  VPN instance: vpn_isp2             //用户所属VPN

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

PPPoE:

  Session ID: 1

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Closed

  Realtime accounting interval: -

  Login time: 2022-2-3  16:10:37:389

  Accounting start time: 2022-2-3  16:10:37:412

  Online time(hh:mm:ss): 0:0:4

  Accounting state: Accounting

  Acct start-fail action: Online

  Acct update-fail action: Online

  Acct quota-out action: Offline

  Dual-stack accounting mode: Merge

  Idle cut: 0 sec  0 byte, direction: Both

  Session timeout: -

  Time remained: -

  Traffic quota: -

  Traffic remained: -

  Redirect WebURL: -

  ITA policy name: pl_ita

  MRU: 1480 bytes

  IPv4 MTU: 1480 bytes

  IPv6 MTU: 1480 bytes

  Subscriber ID: -

 

ACL&QoS:

  User profile: -

  Session group profile: -

  User group acl: g2 (active)

  Inbound CAR: -

  Outbound CAR: -

  User inbound priority: -

  User outbound priority: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 56/5676

  IPv4 downlink packets/bytes: 0/0

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

 

ITA:

  Level-1 uplink   packets/bytes: 46/5576

          downlink packets/bytes: 0/0

  Level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-3 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-4 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

# 查看vpn_isp2中的路由。

<BRAS> display ip routing-table vpn-instance vpn_isp2

 

Destinations : 20        Routes : 20

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

2.2.2.0/24         Static  60  0           10.1.1.2        GE3/1/2

3.3.0.0/16         Static  60  0           10.1.1.2        GE3/1/2

4.4.4.0/24         Static  60  0           4.4.4.3         GE3/1/3

7.7.7.1/32         Direct  0   0           127.0.0.1       InLoop0

7.7.7.2/32         Direct  0   0           7.7.7.2         BAS0

10.1.1.0/24        Static  60  0           10.1.1.2        GE3/1/2

10.1.4.0/24        Static  60  0           10.1.1.2        GE3/1/2

101.101.101.0/24   Direct  0   0           101.101.101.101 BAS0

101.101.101.0/32   Direct  0   0           101.101.101.101 BAS0

101.101.101.101/32 Direct  0   0           127.0.0.1       InLoop0

101.101.101.255/32 Direct  0   0           101.101.101.101 BAS0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

202.1.1.0/24       BGP     255 0           3.3.3.9         GE3/1/2

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

[PE1]

以上信息表明,在vpn_isp2中已有到内网(例如:2.2.2.0/24网段)和外网(202.1.1.0/24网段)的相应路由,用户可以使用获取到的IP地址7.7.7.2同时访问学校内网和外网,且访问外网时走的是ISP2出口。

7.6  配置文件

·     DHCP服务器:

#

 dhcp enable

#

dhcp server ip-pool pool1

 gateway-list 5.5.5.1

 network 5.5.0.0 mask 255.255.0.0

 dns-list 8.8.8.8

 forbidden-ip 5.5.5.1

#

dhcp server ip-pool pool2

 gateway-list 6.6.6.1

 network 6.6.0.0 mask 255.255.0.0

 dns-list 8.8.8.8

 forbidden-ip 6.6.6.1

#

dhcp server ip-pool pool3

 gateway-list 7.7.7.1

 network 7.7.0.0 mask 255.255.0.0

 dns-list 8.8.8.8

 forbidden-ip 7.7.7.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 4.4.4.3 255.255.255.0

#

 ip route-static 0.0.0.0 0 4.4.4.1

#

·     PE 1BRAS):

#

ip vpn-instance vpn_isp1

 route-distinguisher 100:1

 vpn-target 111:1 import-extcommunity

 vpn-target 222:1 export-extcommunity

#

ip vpn-instance vpn_isp2

 route-distinguisher 200:1

 vpn-target 333:1 import-extcommunity

 vpn-target 444:1 export-extcommunity

#

ospf 1

 area 0.0.0.0

  network 1.1.1.9 0.0.0.0

  network 5.5.0.0 0.0.255.255

  network 10.1.1.0 0.0.0.255

#

 mpls lsr-id 1.1.1.9

#

 dhcp enable

 dhcp relay client-information record

#

traffic classifier 3000 operator and

 if-match acl 3000

#

traffic classifier 3001 operator and

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user1 operator and

 if-match customer-vlan-id 11

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user2 operator and

 if-match customer-vlan-id 12

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user3 operator and

 if-match customer-vlan-id 13

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user4 operator and

 if-match customer-vlan-id 14

 if-match acl 3002

 if-match authenticated-user

#

traffic behavior 3000

 accounting byte

 car cir 5000 cbs 312500 ebs 0 green pass red discard yellow pass

#

traffic behavior 3001

 accounting byte

 remark account-level 1

#

traffic behavior be_10M

 accounting byte

 remark account-level 4

#

traffic behavior be_2M

 accounting byte

 remark account-level 2

#

traffic behavior be_5M

 accounting byte

 remark account-level 3

#

qos policy nei_waiwang_share

 classifier 3000 behavior 3000

 classifier 3001 behavior 3001

 classifier cl_user1 behavior be_2M

 classifier cl_user2 behavior be_5M

 classifier cl_user3 behavior be_5M

 classifier cl_user4 behavior be_10M

#

dhcp server ip-pool pool1

 vpn-instance vpn_isp1

 gateway-list 6.6.6.1 export-route

 remote-server 4.4.4.3

#

dhcp server ip-pool pool2

 vpn-instance vpn_isp2

 gateway-list 7.7.7.1 export-route

 remote-server 4.4.4.3

#

policy-based-route dhcp_to_bras permit node 0

 if-match acl 3010

 apply access-vpn vpn-instance vpn_isp1

#

policy-based-route dhcp_to_bras permit node 1

 if-match acl 3020

 apply access-vpn vpn-instance vpn_isp2

#

policy-based-route vpn_public permit node 0

 if-match acl 3030

 apply access-vpn vpn-instance vpn_isp1

#

policy-based-route vpn_public permit node 1

 if-match acl 3040

 apply access-vpn vpn-instance vpn_isp2

#

mpls ldp

#

interface Virtual-Template1

 ppp authentication-mode chap

 ppp account-statistics enable

#

interface LoopBack0

 ip address 1.1.1.9 255.255.255.255

#

interface GigabitEthernet3/1/1

 port link-mode route

#

interface GigabitEthernet3/1/1.1

 qos apply policy nei_waiwang_share inbound

 qos apply policy nei_waiwang_share outbound

 vlan-type dot1q vid 101 second-dot1q 11 to 14

 pppoe-server bind virtual-template 1

#

interface GigabitEthernet3/1/2

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

 mpls enable

 mpls ldp enable

 ip policy-based-route vpn_public

#

interface GigabitEthernet3/1/3

 port link-mode route

 ip address 4.4.4.1 255.255.255.0

 ip policy-based-route dhcp_to_bras

#

bgp 100

 peer 3.3.3.9 as-number 100

 peer 3.3.3.9 connect-interface LoopBack0

 #

 address-family vpnv4

  peer 3.3.3.9 enable

 #

 ip vpn-instance vpn_isp1

  #

  address-family ipv4 unicast

   import-route direct

 #

 ip vpn-instance vpn_isp2

  #

  address-family ipv4 unicast

   import-route direct

#

 ip route-static vpn-instance vpn_isp1 2.2.2.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp1 3.3.0.0 16 10.1.1.2 public

 ip route-static vpn-instance vpn_isp1 4.4.4.0 24 4.4.4.3 public

 ip route-static vpn-instance vpn_isp2 2.2.2.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp2 3.3.0.0 16 10.1.1.2 public

 ip route-static vpn-instance vpn_isp2 4.4.4.0 24 4.4.4.3 public

#

acl advanced 3000

 rule 0 permit ip source 5.5.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255

 rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 5.5.0.0 0.0.255.255

 rule 20 permit ip source 5.5.0.0 0.0.255.255 destination 5.5.0.0 0.0.255.255

#

acl advanced 3001

 rule 10 permit ip source 6.6.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255 user-group g1

 rule 20 permit ip source 4.4.4.0 0.0.0.255 destination 6.6.0.0 0.0.255.255 user-group g1

 rule 30 permit ip source 6.6.0.0 0.0.255.255 destination 6.6.0.0 0.0.255.255 user-group g1

 rule 40 permit ip source 7.7.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255 user-group g2

 rule 50 permit ip source 4.4.4.0 0.0.0.255 destination 7.7.0.0 0.0.255.255 user-group g2

 rule 60 permit ip source 7.7.0.0 0.0.255.255 destination 7.7.0.0 0.0.255.255 user-group g2

#

acl advanced 3002

 rule 0 permit ip user-group g1

 rule 0 permit ip user-group g2

#

acl advanced 3010

 rule 0 permit ip destination 6.6.0.0 0.0.255.255 user-group g1

#

acl advanced 3020

 rule 0 permit ip destination 7.7.0.0 0.0.255.255 user-group g2

#

acl advanced 3030

 rule 0 permit ip source 2.2.2.0 0.0.0.255 destination 6.6.0.0 0.0.255.255 user-group g1

 rule 5 permit ip source 3.3.0.0 0.0.255.255 destination 6.6.0.0 0.0.255.255 user-group g1

#

acl advanced 3040

 rule 0 permit ip source 2.2.2.0 0.0.0.255 destination 7.7.0.0 0.0.255.255 user-group g2

 rule 5 permit ip source 3.3.0.0 0.0.255.255 destination 7.7.0.0 0.0.255.255 user-group g2

#

radius scheme rs1

 primary authentication 4.4.4.2

 primary accounting 4.4.4.2

 accounting-on enable

 key authentication cipher $c$3$qUtzXCwq7r8LLcMkFSoDGWZBL/icMl9CLA==

 key accounting cipher $c$3$n/0PcnYaWjXNFtKUpBYlof6r0doKH/fVig==

#

radius dynamic-author server

 client ip 4.4.4.2 key cipher $c$3$Td30doCnLkhF7bhiYp4bk9DU96+XBStLkA==

#

ita policy pl_ita

 accounting-method radius-scheme rs1

 accounting-level 1 ipv4 car inbound cir 5000 outbound cir 5000

 accounting-level 2 ipv4 car inbound cir 2000 outbound cir 2000

 accounting-level 3 ipv4 car inbound cir 5000 outbound cir 5000

 accounting-level 4 ipv4 car inbound cir 10000 outbound cir 10000

#

domain name isp1

 authorization-attribute user-group g1

 authorization-attribute ip-pool pool1

 authorization-attribute vpn-instance vpn_isp1

 ita-policy pl_ita

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

domain name isp2

 authorization-attribute user-group g2

 authorization-attribute ip-pool pool2

 authorization-attribute vpn-instance vpn_isp2

 ita-policy pl_ita

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

user-group g1

#

user-group g2

#

·     P

#

ospf 1

 area 0.0.0.0

  network 2.2.2.9 0.0.0.0

  network 10.1.1.0 0.0.0.255

  network 10.1.4.0 0.0.0.255

#

 mpls lsr-id 2.2.2.9

#

mpls ldp

#

interface LoopBack0

 ip address 2.2.2.9 255.255.255.255

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 10.1.4.1 255.255.255.0

 mpls enable

 mpls ldp enable

#

interface GigabitEthernet3/0/2

 port link-mode route

 ip address 10.1.1.2 255.255.255.0

 mpls enable

 mpls ldp enable

#

 ip route-static 6.6.0.0 16 10.1.1.1

 ip route-static 7.7.0.0 16 10.1.1.1

#

·     PE 2

#

ip vpn-instance vpn_isp1

 route-distinguisher 100:1

 vpn-target 111:1 export-extcommunity

 vpn-target 222:1 import-extcommunity

#

ip vpn-instance vpn_isp2

 route-distinguisher 200:1

 vpn-target 333:1 export-extcommunity

 vpn-target 444:1 import-extcommunity

#

ospf 1

 area 0.0.0.0

  network 10.1.4.0 0.0.0.255

  network 3.3.3.9 0.0.0.0

#

 mpls lsr-id 3.3.3.9

#

mpls ldp

#

interface LoopBack0

 ip address 3.3.3.9 255.255.255.255

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 10.1.4.2 255.255.255.0

 mpls enable

 mpls ldp enable

#

interface GigabitEthernet3/0/2

 port link-mode route

 ip binding vpn-instance vpn_isp1

 ip address 101.1.1.1 255.255.255.0

#

interface GigabitEthernet3/0/3

 port link-mode route

 ip binding vpn-instance vpn_isp2

 ip address 202.1.1.1 255.255.255.0

#

bgp 100

peer 1.1.1.9 as-number 100

 peer 1.1.1.9 connect-interface LoopBack0

 #

address-family vpnv4

  peer 1.1.1.9 enable

#

ip vpn-instance vpn_isp1

  peer 101.1.1.2 as-number 65430

#

 address-family ipv4 unicast

  import-route direct

peer 101.1.1.2 enable

 #

ip vpn-instance vpn_isp2

  peer 202.1.1.2 as-number 65430

  #

 address-family ipv4 unicast

  import-route direct

peer 202.1.1.2 enable

 #

#

 ip route-static 6.6.0.0 16 10.1.4.1

 ip route-static 7.7.0.0 16 10.1.4.1

#

·     CE 1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 101.1.1.2 255.255.255.0

#

bgp 65430

 peer 101.1.1.1 as-number 100

#

address-family ipv4 unicast

  import-route direct

  peer 101.1.1.1 enable

#

·     CE 2

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 202.1.1.2 255.255.255.0

#

bgp 65430

peer 202.1.1.1 as-number 100

#

address-family ipv4 unicast

  import-route direct

  peer 202.1.1.1 enable

#

·     Switch A

#

vlan 4001

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type hybrid

 port hybrid vlan 4001 tagged

 port hybrid vlan 1 untagged

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 4001

 port trunk pvid vlan 4001

 qinq enable

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 4001

 port trunk pvid vlan 4001

 qinq enable

#

·     Switch B

#

vlan 11 to 12

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 11 12

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 11

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 12

#

·     Switch C

#

vlan 13 to 14

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 13 14

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 13

#

interface GigabitEthernet3/0/3

 port link-mode bridge

 port access vlan 14

#

BRAS校园网VPN多出口+ITA配置举例(旁挂方式)

8.1  组网需求

29所示,某校园网的BRAS旁挂在核心交换机一侧,核心交换机上联PE2PE2作为出口设备分别接不同的运营商ISP1ISP2,要求实现如下需求:

·     宿舍区和办公区用户未进行PPPoE拨号认证前,仅可以访问学校内网,且均限速5Mbps,但不计费;

·     用户进行PPPoE拨号认证通过后,可以同时访问学校内网和学校外网;访问学校内网时,同样限速5Mbps,不计费;访问学校外网时,有2Mbps5Mbps10Mbps三种包月套餐可供选择(本例中用户ABCD选择的上网套餐分别是2Mbps5Mbps5Mbps10Mbps。);

·     用户PPPoE拨号认证时,拨号客户端使用操作系统自带客户端;

·     用户PPPoE拨号时通过在用户名后面增加@ISP1@ISP2的方式携带域名上线,BRAS则根据认证用户的域名来为用户指定固定的运营商出口。

图29 BRAS校园网VPN多出口+ITA配置举例(旁挂方式)

设备

接口

IP地址

设备

接口

IP地址

RADIUS server

-

4.4.4.2/24

PE2

Loop0

3.3.3.9/32

DHCP server

GE3/0/1

4.4.4.3/24

GE3/0/1

10.1.4.2/24

PE1BRAS

Loop0

1.1.1.9/32

GE3/0/2

101.1.1.1/24

GE3/1/1

-

GE3/0/3

202.1.1.1/24

GE3/1/1.1

5.5.5.1/24

CE1

GE3/0/1

101.1.1.2/24

GE3/1/1.2

10.1.1.1/24

CE2

GE3/0/1

202.1.1.2/24

PCore Switch

Loop0

2.2.2.9/32

Vlan-int100

10.1.1.2/24

Vlan-int200

10.1.4.1/24

Vlan-int300

4.4.4.1/24

 

8.2  配置思路

·     BRAS旁挂方式和直挂方式相比,特性差异主要体现在组网上,旁挂方式有流量绕回的过程即用户PPPoE业务流量均需通过P-to(走二层)-BRAS-to(走三层)-P的绕回过程,直挂不需要。

·     为了使BRAS可以根据认证用户的域名来为其选择指定的运营商出口访问互联网,可以在认证域中对用户授权指定的VPN,不同的VPN走不同的运营商出口。

·     为了实现对用户访问的不同计费策略,可以通过ITA定义4中类型的计费级别(例如级别1234分别对应用户访问内网5Mbps、访问外网2Mbps、访问外网5Mbps和访问外网10Mbps四种情况),不同的计费级别收取不同的费用。

·     为了实现对用户PPPoE拨号认证后内外网流量的区分,可以通过某一ACL先匹配具体的内网流量(本例中内网流量通过ACL 3001匹配),再通过另一ACL匹配除内网流量外的其余流量(默认为外网流量,本例中外网流量通过ACL 3002匹配)。

·     因当PPPoE用户下线时,DHCP中继需要查询中继用户地址表项,若存在对应表项,则会向DHCP服务器发送Release报文,通知DHCP服务器释放该地址租约。这就需要在DHCP中继上使用dhcp relay client-information record命令开启DHCP中继用户地址表项记录功能。

8.3  配置注意事项

·     由于在配置接口与VPN实例绑定后,接口上的IP地址等配置会清除,因此请先配置接口与VPN实例的绑定关系,再进行其他配置。

·     QoS策略中classifier behavior执行顺序与配置的顺序是一致的为保证设备优先处理内网流量必须保证匹配内网流量的classifier behavior配置在匹配外网流量的classifier behavior之前。

·     授权地址池、授权User Group、授权VPN等属性,如果Radius服务器和ISP域下同时配置,则以Radius服务器授权的为准;idle-cut属性,如果Radius服务器和ISP域下同时配置,则以BRAS设备上ISP域下配置的为准(本例中授权属性均已仅在ISP域下配置的方式进行举例,实际环境请根据需要选择由Radius服务器授权或通过ISP域下配置方式)。

8.4  配置步骤

8.4.1  配置Radius服务器

说明

下面以Linux下的Free Radius服务器为例,说明Radius server的基本配置。

 

# 配置Radius客户端信息。

clients.conf文件中增加如下信息:

client 4.4.4.1/32 {

ipaddr = 4.4.4.1

netmask=32

secret=123456

}

以上信息表示:Radius客户端的IP地址为4.4.4.1,共享密钥为字符串123456

# 配置合法用户信息。

users文件中增加如下信息。

User1@isp1  Cleartext-Password :="pass1"

User1@isp2  Cleartext-Password :="pass1"

User2@isp1  Cleartext-Password :="pass2"

User2@isp2  Cleartext-Password :="pass2"

User3@isp1  Cleartext-Password :="pass3"

User3@isp2  Cleartext-Password :="pass3"

User4@isp1  Cleartext-Password :="pass4"

User4@isp2  Cleartext-Password :="pass4"

以上信息表示:Host AHost BHost CHost D均可自由选择使用用户名@isp1或用户名@isp2的方式进行PPPoE拨号。

8.4.2  配置MPLS L3VPN

说明

本例中的Router AMPLS L3VPN中的角色是PE1,在BRAS中的角色是PPPoE Server,为了便于理解,配置步骤中在MPLS L3VPN部分Router A描述为PE1,在BRAS中描述为BRAS

 

1. MPLS骨干网上配置IGP协议(本例为OSPF协议),实现骨干网PEP的互通

(1)     配置PE 1

# 配置骨干网接口以及环回口地址。

<PE1> system-view

[PE1] interface loopback 0

[PE1-LoopBack0] ip address 1.1.1.9 32

[PE1-LoopBack0] quit

[PE1] interface gigabitethernet 3/1/1.2

[PE1-GigabitEthernet3/1/1.2] ip address 10.1.1.1 24

# 配置子接口GigabitEthernet3/1/1.2终结对端互联接口Vlan-interface100VLAN Tag

[PE1-GigabitEthernet3/1/1.2] vlan-type dot1q vid 100

[PE1-GigabitEthernet3/1/1.2] quit

# 配置OSPF协议发布骨干网侧路由。

[PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0

[PE1-ospf-1-area-0.0.0.0] quit

[PE1-ospf-1] quit

(2)     配置P

# 创建运营商VLAN 101

<P> system-view

[P] vlan 101

[P-vlan101] quit

# 创建接口互联VLAN 100VLAN 200VLAN 300

<P> system-view

[P] vlan 100

[P-vlan100] quit

[P] vlan 200

[P-vlan200] quit

[P] vlan 300

[P-vlan300] quit

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 101

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2Hybrid模式,并允许接口互联VLAN 100和运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[P] interface gigabitethernet 3/0/1

[P-GigabitEthernet3/0/1] port link-type hybrid

[P-GigabitEthernet3/0/1] port hybrid vlan 100 101 tagged

[P-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/3加入到接口互联VLAN 200

[P] interface gigabitethernet 3/0/3

[P-GigabitEthernet3/0/3] port access vlan 200

[P-GigabitEthernet3/0/3] quit

# 配置端口GigabitEthernet3/0/4加入到接口互联VLAN 300

[P] interface gigabitethernet 3/0/4

[P-GigabitEthernet3/0/4] port access vlan 300

[P-GigabitEthernet3/0/4] quit

# 创建和BRAS互联的三层接口Vlan-interface100,并配置接口IP地址。

[P] interface vlan-interface 100

[P-Vlan-interface100] ip address 10.1.1.2 24

[P-Vlan-interface100] quit

# 创建和PE2互联的三层接口Vlan-interface200,并配置接口IP地址。

[P] interface vlan-interface 200

[P-Vlan-interface200] ip address 10.1.4.1 24

[P-Vlan-interface200] quit

# 创建和服务器区互联的三层接口Vlan-interface300,并配置接口IP地址。

[P] interface vlan-interface 300

[P-Vlan-interface300] ip address 4.4.4.1 24

[P-Vlan-interface300] quit

# 创建骨干网环回口,并配置接口IP地址。

[P] interface loopback 0

[P-LoopBack0] ip address 2.2.2.9 32

[P-LoopBack0] quit

# 配置OSPF协议发布骨干网侧路由。

[P] ospf

[P-ospf-1] area 0

[P-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 4.4.4.0 0.0.0.255

[P-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0

[P-ospf-1-area-0.0.0.0] quit

[P-ospf-1] quit

(3)      配置PE 2

# 配置骨干网接口以及环回口地址。

<PE2> system-view

[PE2] interface loopback 0

[PE2-LoopBack0] ip address 3.3.3.9 32

[PE2-LoopBack0] quit

[PE2] interface gigabitethernet 3/0/1

[PE2-GigabitEthernet3/0/1] ip address 10.1.4.2 24

[PE2-GigabitEthernet3/0/1] quit

# 配置OSPF协议发布骨干网侧路由。

[PE2] ospf

[PE2-ospf-1] area 0

[PE2-ospf-1-area-0.0.0.0] network 10.1.4.0 0.0.0.255

[PE2-ospf-1-area-0.0.0.0] network 3.3.3.9 0.0.0.0

[PE2-ospf-1-area-0.0.0.0] quit

[PE2-ospf-1] quit

配置完成后,PE 1PPE 2之间应能建立OSPF邻居,执行display ospf peer命令可以看到邻居达到Full状态。执行display ip routing-table命令可以看到PE之间学习到对方的Loopback路由。

PE 1为例:

[PE1] display ospf peer verbose

 

          OSPF Process 1 with Router ID 1.1.1.9

                  Neighbors

 

 Area 0.0.0.0 interface 10.1.1.1(GE3/1/1.2)'s neighbors

 Router ID: 2.2.2.9          Address: 10.1.1.2        GR State: Normal

   State: Full  Mode: Nbr is Master  Priority: 1

   DR: 10.1.1.2  BDR: 10.1.1.1  MTU: 0

   Options is 0x02 (-|-|-|-|-|-|E|-)

   Dead timer due in 38  sec

   Neighbor is up for 17:30:25

   Authentication Sequence: [ 0 ]

   Neighbor state change count: 6

   BFD status: Disabled

[PE1] display ip routing-table protocol ospf

 

Summary Count : 6

 

OSPF Routing table Status : <Active>

Summary Count : 4

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

2.2.2.9/32         O_INTRA 10  1           10.1.1.2        GE3/1/1.2

3.3.3.9/32         O_INTRA 10  2           10.1.1.2        GE3/1/1.2

4.4.4.0/24         O_INTRA 10  2           10.1.1.2        GE3/1/1.2

10.1.4.0/24        O_INTRA 10  2           10.1.1.2        GE3/1/1.2

 

OSPF Routing table Status : <Inactive>

Summary Count : 2

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

1.1.1.9/32         O_INTRA 10  0           1.1.1.9         Loop0

10.1.1.0/24        O_INTRA 10  1           10.1.1.1        GE3/0/2

 

2. MPLS骨干网上配置MPLS基本能力和MPLS LDP,建立LDP LSP

(1)     配置PE 1

[PE1] mpls lsr-id 1.1.1.9

[PE1] mpls ldp

[PE1-ldp] quit

[PE1] interface gigabitethernet 3/1/1.2

[PE1-GigabitEthernet3/1/1.2] mpls enable

[PE1-GigabitEthernet3/1/1.2] mpls ldp enable

[PE1-GigabitEthernet3/1/1.2] quit

(2)     配置P

[P] mpls lsr-id 2.2.2.9

[P] mpls ldp

[P-ldp] quit

[P] interface vlan-interface 100

[P-Vlan-interface100] mpls enable

[P-Vlan-interface100] mpls ldp enable

[P-Vlan-interface100] quit

[P] interface vlan-interface 200

[P-Vlan-interface200] mpls enable

[P-Vlan-interface200] mpls ldp enable

[P-Vlan-interface200] quit

(3)     配置PE 2

[PE2] mpls lsr-id 3.3.3.9

[PE2] mpls ldp

[PE2-ldp] quit

[PE2] interface gigabitethernet 3/0/1

[PE2-GigabitEthernet3/0/1] mpls enable

[PE2-GigabitEthernet3/0/1] mpls ldp enable

[PE2-GigabitEthernet3/0/1] quit

上述配置完成后,PE 1PPE 2之间应能建立LDP会话,执行display mpls ldp peer命令可以看到LDP会话的状态为Operational。执行display mpls ldp lsp命令,可以看到LDP LSP的建立情况。

PE 1为例:

[PE1] display mpls ldp peer

Total number of peers: 1

Peer LDP ID             State         Role     GR   MD5  KA Sent/Rcvd

2.2.2.9:0               Operational   Passive  Off  Off  5/5

[PE1] display mpls ldp lsp

Status Flags: * - stale, L - liberal, B - backup

FECs: 4            Ingress: 1          Transit: 1      Egress: 3

 

FEC                In/Out Label        Nexthop         OutInterface

1.1.1.9/32         3/-

                   -/1151(L)

2.2.2.9/32         -/3                 10.1.1.2        GE3/1/1.2

                   1151/3              10.1.1.2        GE3/1/1.2

3.3.3.9/32         -/1150              10.1.1.2        GE3/1/1.2

                   1150/1150           10.1.1.2        GE3/1/1.2

3. PE设备上配置VPN实例,将CE接入PE

(1)     配置PE 1

# PE 1上为isp1创建名为“vpn_isp1”的VPN实例。

[PE1] ip vpn-instance vpn_isp1

# 为该实例配置RD100:1,用于形成VPNv4路由,以便区分不同用户相同网段的路由。

[PE1-vpn-instance-vpn_isp1] route-distinguisher 100:1

# 为该VPN实例配置VPN Target属性,其中接收路由的属性为111:1,发布路由的属性为222:1。(此处为表示接收和发送属性的含义,取值有所不同,为便于管理,用户可以将接收和发送的属性配置为相同的值)

[PE1-vpn-instance-vpn_isp1] vpn-target 111:1 import-extcommunity

[PE1-vpn-instance-vpn_isp1] vpn-target 222:1 export-extcommunity

[PE1-vpn-instance-vpn_isp1] quit

# 按同样方式为isp2创建名为“vpn_isp2”的VPN实例,并为其配置RD200:1,接收和发送的VPN Target属性分别为333:1444:1

[PE1] ip vpn-instance vpn_isp2

[PE1-vpn-instance-vpn_isp2] route-distinguisher 200:1

[PE1-vpn-instance-vpn_isp2] vpn-target 333:1 import-extcommunity

[PE1-vpn-instance-vpn_isp2] vpn-target 444:1 export-extcommunity

[PE1-vpn-instance-vpn_isp2] quit

说明

因用户PPPoE拨号成功后,担任PE1BRAS设备会自动将为该用户分配的IP地址对应的主机路由添加到用户所属VPN实例路由表中,所以不需要在PE 1VPN实例与用户接入接口绑定。

 

(2)     配置PE 2

# PE 2上为isp1名为“vpn_isp1”的创建VPN实例。

[PE2] ip vpn-instance vpn_isp1

# 为该VPN实例配置RD,为便于识别,建议与PE 1上为该实例配置的RD保持一致。

[PE2-vpn-instance-vpn_isp1] route-distinguisher 100:1

# 为该VPN实例配置VPN Target,需要注意的是接收和发送的属性要分别与PE 1上配置的发送和接收的属性保持一致。

[PE2-vpn-instance-vpn_isp1] vpn-target 222:1 import-extcommunity

[PE2-vpn-instance-vpn_isp1] vpn-target 111:1 export-extcommunity

[PE2-vpn-instance-vpn_isp1] quit

# 按同样方式配置VPN实例“vpn_isp2”,并配置相应的RDVPN Target

[PE2] ip vpn-instance vpn_isp2

[PE2-vpn-instance-vpn_isp2] route-distinguisher 200:1

[PE2-vpn-instance-vpn_isp2] vpn-target 444:1 import-extcommunity

[PE2-vpn-instance-vpn_isp2] vpn-target 333:1 export-extcommunity

[PE2-vpn-instance-vpn_isp2] quit

# 分别将GigabitEthernet3/0/2GigabitEthernet3/0/3vpn_isp1vpn_isp2实例进行绑定。

[PE2] interface gigabitethernet 3/0/2

[PE2-GigabitEthernet3/0/2] ip binding vpn-instance vpn_isp1

[PE2-GigabitEthernet3/0/2] ip address 101.1.1.1 24

[PE2-GigabitEthernet3/0/2] quit

[PE2] interface gigabitethernet 3/0/3

[PE2-GigabitEthernet3/0/3] ip binding vpn-instance vpn_isp2

[PE2-GigabitEthernet3/0/3] ip address 202.1.1.1 24

[PE2-GigabitEthernet3/0/3] quit

(3)     配置CE

29下表配置各CE的接口IP地址,配置过程略。

4. PECE之间建立EBGP对等体,引入VPN路由

(1)     配置PE 1

# PE 1上创建BGP进程100

[PE1] bgp 100

说明

因用户PPPoE拨号成功后,担任PE1BRAS设备会自动将为该用户分配的IP地址对应的主机路由添加到用户所属VPN实例路由表中,所以在PE 1上直接将用户主机的直连路由引入到BGP-VPN实例路由表中即可。

 

# PE 1vpn_isp1实例路由表中的直连路由引入到BGP-VPN实例路由表中。

[PE1-bgp-default] ip vpn-instance vpn_isp1

[PE1-bgp-default-vpn_isp1] address-family ipv4 unicast

[PE1-bgp-default-ipv4-vpn_isp1] import-route direct

[PE1-bgp-default-ipv4-vpn_isp1] quit

[PE1-bgp-default-vpn_isp1] quit

# PE 1vpn_isp2实例路由表中的直连路由引入到BGP-VPN实例路由表中。

[PE1-bgp-default] ip vpn-instance vpn_isp2

[PE1-bgp-default-vpn_isp2] address-family ipv4 unicast

[PE1-bgp-default-ipv4-vpn_isp2] import-route direct

[PE1-bgp-default-ipv4-vpn_isp2] quit

[PE1-bgp-default-vpn_isp2] quit

[PE1-bgp-default] quit

(2)     配置PE 2

# PE 2上创建BGP进程100

[PE2] bgp 100

# CE 1指定为对等体,并将PE 2的直连路由引入到BGP-VPN实例路由表中。

[PE2-bgp-default] ip vpn-instance vpn_isp1

[PE2-bgp-default-vpn_isp1] peer 101.1.1.2 as-number 65430

[PE2-bgp-default-vpn_isp1] address-family ipv4 unicast

[PE2-bgp-default-ipv4-vpn_isp1] peer 101.1.1.2 enable

[PE2-bgp-default-ipv4-vpn_isp1] import-route direct

[PE2-bgp-default-ipv4-vpn_isp1] quit

[PE2-bgp-default-vpn_isp1] quit

# CE 2指定为对等体,并将PE 2的直连路由引入到BGP-VPN实例路由表中。

[PE2-bgp-default] ip vpn-instance vpn_isp2

[PE2-bgp-default-vpn_isp2] peer 202.1.1.2 as-number 65430

[PE2-bgp-default-vpn_isp2] address-family ipv4 unicast

[PE2-bgp-default-ipv4-vpn_isp2] peer 202.1.1.2 enable

[PE2-bgp-default-ipv4-vpn_isp2] import-route direct

[PE2-bgp-default-ipv4-vpn_isp2] quit

[PE2-bgp-default-vpn_isp2] quit

[PE2-bgp-default] quit

(3)     配置CE1

# CE 1上创建BGP进程65430,并指定PE 2为对等体,对等体自治系统号为100

<CE1> system-view

[CE1] bgp 65430

[CE1-bgp-default] peer 101.1.1.1 as-number 100

# 使能CE1与对等体101.1.1.1交换IPv4单播路由信息的能力。

[CE1-bgp-default] address-family ipv4 unicast

[CE1-bgp-default-ipv4] peer 101.1.1.1 enable

# CE 1上连接站点的直连接口路由引入EBGP

[CE1-bgp-default-ipv4] import-route direct

[CE1-bgp-default-ipv4] quit

[CE1-bgp-default] quit

(4)     配置CE2

# CE2上创建BGP进程65430,并指定PE 2为对等体,对等体自治系统号为100

<CE2> system-view

[CE2] bgp 65430

[CE2-bgp-default] peer 202.1.1.1 as-number 100

# 使能CE2与对等体202.1.1.1交换IPv4单播路由信息的能力。

[CE2-bgp-default] address-family ipv4 unicast

[CE2-bgp-default-ipv4] peer 202.1.1.1 enable

# CE 2上连接站点的直连接口路由引入EBGP

[CE2-bgp-default-ipv4] import-route direct

[CE2-bgp-default-ipv4] quit

[CE2-bgp-default] quit

5. PE之间建立MP-IBGP对等体

(1)     配置PE 1

# PE 1上配置PE 2BGP对等体,并指定连接时使用的接口为Loopback0接口。

[PE1] bgp 100

[PE1-bgp-default] peer 3.3.3.9 as-number 100

[PE1-bgp-default] peer 3.3.3.9 connect-interface loopback 0

# 进入BGP-VPNv4地址族视图,指定PE 2为对等体。

[PE1-bgp-default] address-family vpnv4

[PE1-bgp-default-vpnv4] peer 3.3.3.9 enable

[PE1-bgp-default-vpnv4] quit

[PE1-bgp-default] quit

(2)     配置PE 2

# PE 2上配置PE 1BGP对等体,并指定连接时使用的接口为Loopback0接口。

[PE2] bgp 100

[PE2-bgp-default] peer 1.1.1.9 as-number 100

[PE2-bgp-default] peer 1.1.1.9 connect-interface loopback 0

# 进入BGP-VPNv4地址族视图,指定PE 1为对等体。

[PE2-bgp-default] address-family vpnv4

[PE2-bgp-default-vpnv4] peer 1.1.1.9 enable

[PE2-bgp-default-vpnv4] quit

[PE2-bgp-default] quit

配置完成后PE设备上执行display bgp peer vpnv4命令可以看到PE之间的BGP对等体关系已建立并达到Established状态。

[PE1] display bgp peer vpnv4

 

 BGP local router ID: 1.1.1.9

 Local AS number: 100

 Total number of peers: 1                  Peers in established state: 1

 

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

 

  3.3.3.9                100        8        8    0       0 00:00:08 Established

# PE设备上执行display ip routing-table vpn-instance命令,可以看到去往对端CE1的路由。

PE 1上的vpn_isp1为例:

[PE1] display ip routing-table vpn-instance vpn_isp1

 

Destinations : 9        Routes : 9

 

Destination/Mask    Proto  Pre  Cost         NextHop         Interface

0.0.0.0/32          Direct 0    0            127.0.0.1       InLoop0

101.1.1.0/24        BGP    255  0            3.3.3.9         GE3/1/1.2

127.0.0.0/8         Direct 0    0            127.0.0.1       InLoop0

127.0.0.0/32        Direct 0    0            127.0.0.1       InLoop0

127.0.0.1/32        Direct 0    0            127.0.0.1       InLoop0

127.255.255.255/32  Direct 0    0            127.0.0.1       InLoop0

224.0.0.0/4         Direct 0    0            0.0.0.0         NULL0

224.0.0.0/24        Direct 0    0            0.0.0.0         NULL0

255.255.255.255/32  Direct 0    0            127.0.0.1       InLoop0

8.4.3  配置DHCP服务器

# 29下表配置接口GigabitEthernet3/0/1IP地址,配置过程略。

# 全局使能DHCP

<DHCP> system-view

[DHCP] dhcp enable

# 创建用户未认证前使用的地址池pool1并进入其视图。

[DHCP] dhcp server ip-pool pool1

# 配置地址池动态分配的IP地址网段5.5.0.0/16,分配的网关地址5.5.5.1DNS服务器地址8.8.8.8

[DHCP-dhcp-pool-pool1] network 5.5.0.0 16

[DHCP-dhcp-pool-pool1] gateway-list 5.5.5.1

[DHCP-dhcp-pool-pool1] dns-list 8.8.8.8

# 5.5.5.1设置为禁止分配地址。

[DHCP-dhcp-pool-pool1] forbidden-ip 5.5.5.1

[DHCP-dhcp-pool-pool1] quit

# isp1中用户创建名字为pool2地址池并进入其视图。

[DHCP] dhcp server ip-pool pool2

# 配置地址池动态分配的IP地址网段6.6.0.0/16,分配的网关地址6.6.6.1DNS服务器地址8.8.8.8

[DHCP-dhcp-pool-pool2] network 6.6.0.0 16

[DHCP-dhcp-pool-pool2] gateway-list 6.6.6.1

[DHCP-dhcp-pool-pool2] dns-list 8.8.8.8

# 6.6.6.1设置为禁止分配地址。

[DHCP-dhcp-pool-pool2] forbidden-ip 6.6.6.1

[DHCP-dhcp-pool-pool2] quit

# isp2中用户创建名字为pool3地址池并进入其视图。

[DHCP] dhcp server ip-pool pool3

# 配置地址池动态分配的IP地址网段7.7.0.0/16,分配的网关地址7.7.7.1DNS服务器地址8.8.8.8

[DHCP-dhcp-pool-pool3] network 7.7.0.0 16

[DHCP-dhcp-pool-pool3] gateway-list 7.7.7.1

[DHCP-dhcp-pool-pool3] dns-list 8.8.8.8

# 7.7.7.1设置为禁止分配地址。

[DHCP-dhcp-pool-pool3] forbidden-ip 7.7.7.1

[DHCP-dhcp-pool-pool3] quit

# 配置到PPPoE Server(即BRAS)的缺省路由。

[DHCP] ip route-static 0.0.0.0 0 4.4.4.1

8.4.4  配置BRAS

1. 配置User Group

# ISP1创建用户组g1

<BRAS> system-view

[BRAS] user-group g1

New user group added.

[BRAS-ugroup-web] quit

# ISP2创建用户组g2

<BRAS> system-view

[BRAS] user-group g2

New user group added.

[BRAS-ugroup-web] quit

2. 配置内网的不计费和但限速5Mbps类型的QoS策略

说明

本例中以用户网段(包含PPPoE认证前用户网段5.5.0.0/16vpn_isp1中用户网段6.6.0.0/16vpn_isp2中用户网段7.7.0.0/16三个用户网段)和服务器网段4.4.4.0/24作为内网网段进行举例。

 

(1)     配置用户未PPPoE拨号认证前的QoS策略

# 配置ACL规则列表3000

[BRAS] acl advanced 3000

# 配置匹配用户未PPPoE拨号认证前(用户网段为5.5.0.0/16)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-ipv4-adv-3000] rule 0 permit ip source 5.5.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255

[BRAS-acl-ipv4-adv-3000] rule 10 permit ip source 4.4.4.0 0.0.0.255 destination 5.5.0.0 0.0.255.255

# 配置匹配用户未PPPoE拨号认证前(用户网段为5.5.0.0/16)用户间互访的报文。

[BRAS-acl-ipv4-adv-3000] rule 20 permit ip source 5.5.0.0 0.0.255.255 destination 5.5.0.0 0.0.255.255

[BRAS-acl-ipv4-adv-3000] quit

# 配置流分类器3000,并设置流匹配规则为ACL 3000的用户报文。

[BRAS] traffic classifier 3001 operator and

[BRAS-classifier-3000] if-match acl 3000

[BRAS-classifier-3000] quit

# 定义流行为3000配置采用流量统计并限速5000kbps

[BRAS] traffic behavior 3000

[BRAS-behavior-3000] accounting byte

[BRAS-behavior-3000] car cir 5000

[BRAS-behavior-3000] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier 3000 behavior 3000

[BRAS-qospolicy-nei_waiwang_share] quit

(2)     配置用户PPPoE拨号认证后的QoS策略

# 配置ACL规则列表3001

[BRAS] acl advanced 3001

# 配置匹配PPPoE拨号认证后vpn_isp1中用户(用户网段为6.6.0.0/16)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-ipv4-adv-3001] rule 10 permit ip source 6.6.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255 user-group g1

[BRAS-acl-ipv4-adv-3001] rule 20 permit ip source 4.4.4.0 0.0.0.255 destination 6.6.0.0 0.0.255.255 user-group g1

# 配置匹配PPPoE拨号认证后vpn_isp1中用户(用户网段为6.6.0.0/16)间互访的报文。

[BRAS-acl-ipv4-adv-3001] rule 30 permit ip source 6.6.0.0 0.0.255.255 destination 6.6.0.0 0.0.255.255 user-group g1

# 配置匹配PPPoE拨号认证后vpn_isp2中用户(用户网段为7.7.0.0/16)和服务器(服务器网段为4.4.4.0/24)间互访的报文。

[BRAS-acl-ipv4-adv-3001] rule 40 permit ip source 7.7.0.0 0.0.255.255 destination 4.4.4.0 0.0.0.255 user-group g2

[BRAS-acl-ipv4-adv-3001] rule 50 permit ip source 4.4.4.0 0.0.0.255 destination 7.7.0.0 0.0.255.255 user-group g2

# 配置匹配PPPoE拨号认证后vpn_isp2中用户(用户网段为7.7.0.0/16)间互访的报文。

[BRAS-acl-ipv4-adv-3001] rule 60 permit ip source 7.7.0.0 0.0.255.255 destination 7.7.0.0 0.0.255.255 user-group g2

[BRAS-acl-ipv4-adv-3001] quit

说明

因设备ACL规则缺省为无(即缺省既不是Permit也不是Deny),对于没匹配到的流量该ACL不作处理,所以请不要在ACL 3001中最后再配置一条Deny所有报文的规则(例如:rule 70 deny ip),否则将造成设备执行策略nei_waiwang_share时,classifier 3001 behavior 3001之后的所有CB对匹配不到任何用户流量。

 

# 配置流分类器3001,并设置流匹配规则为ACL 3001且已认证的用户报文。

[BRAS] traffic classifier 3001 operator and

[BRAS-classifier-3001] if-match acl 3001

[BRAS-classifier-3001] if-match authenticated-user

[BRAS-classifier-3001] quit

# 定义流行为3001,并配置标记计费级别为1

[BRAS] traffic behavior 3001

[BRAS-behavior-3001] remark account-level 1

[BRAS-behavior-3001] accounting byte

[BRAS-behavior-3001] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier 3001 behavior 3001

[BRAS-qospolicy-nei_waiwang_share] quit

3. 配置访问外网的计费和限速类型的QoS策略

# 配置ACL规则列表3002

[BRAS] acl advanced 3002

# 配置匹配所有报文。

[BRAS-acl-ipv4-adv-3002] rule 0 permit ip user-group g1

[BRAS-acl-ipv4-adv-3002] rule 10 permit ip user-group g2

[BRAS-acl-ipv4-adv-3002] quit

# 配置流分类器cl_user1,并设置流匹配规则为用户VLAN 11ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user1 operator and

[BRAS-classifier-cl_user1] if-match customer-vlan-id 11

[BRAS-classifier-cl_user1] if-match acl 3002

[BRAS-classifier-cl_user1] if-match authenticated-user

[BRAS-classifier-cl_user1] quit

# 配置流分类器cl_user2,并设置流匹配规则为用户VLAN 12ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user2 operator and

[BRAS-classifier-cl_user2] if-match customer-vlan-id 12

[BRAS-classifier-cl_user2] if-match acl 3002

[BRAS-classifier-cl_user2] if-match authenticated-user

[BRAS-classifier-cl_user2] quit

# 配置流分类器cl_user3,并设置流匹配规则为用户VLAN 13ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user3 operator and

[BRAS-classifier-cl_user3] if-match customer-vlan-id 13

[BRAS-classifier-cl_user3] if-match acl 3002

[BRAS-classifier-cl_user3] if-match authenticated-user

[BRAS-classifier-cl_user3] quit

# 配置流分类器cl_user4,并设置流匹配规则为用户VLAN 14ACL 3002且已认证的用户报文。

[BRAS] traffic classifier cl_user4 operator and

[BRAS-classifier-cl_user4] if-match customer-vlan-id 14

[BRAS-classifier-cl_user4] if-match acl 3002

[BRAS-classifier-cl_user4] if-match authenticated-user

[BRAS-classifier-cl_user4] quit

# 定义流行为be_2M,标记计费级别为2

[BRAS] traffic behavior be_2M

[BRAS-behavior-be_2M] remark account-level 2

[BRAS-behavior-be_2M] accounting byte

[BRAS-behavior-be_2M] quit

# 定义流行为be_5M,标记计费级别为3

[BRAS] traffic behavior be_5M

[BRAS-behavior-be_5M] remark account-level 3

[BRAS-behavior-be_5M] accounting byte

[BRAS-behavior-be_5M] quit

# 定义流行为be_10M,标记计费级别为4

[BRAS] traffic behavior be_10M

[BRAS-behavior-be_10M] remark account-level 4

[BRAS-behavior-be_10M] accounting byte

[BRAS-behavior-be_10M] quit

# 定义策略nei_waiwang_share绑定流分类及行为。

[BRAS] qos policy nei_waiwang_share

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user1 behavior be_2M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user2 behavior be_5M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user3 behavior be_5M

[BRAS-qospolicy-nei_waiwang_share] classifier cl_user4 behavior be_10M

[BRAS-qospolicy-nei_waiwang_share] quit

4. 应用QoS策略

# 进入接口GigabitEthernet3/1/1.1视图。

[BRAS] interface gigabitethernet 3/1/1.1

# 配置当前接口上应用QoS策略nei_waiwang_share

[BRAS–GigabitEthernet3/1/1.1] qos apply policy nei_waiwang_share inbound

[BRAS–GigabitEthernet3/1/1.1] qos apply policy nei_waiwang_share outbound

[BRAS–GigabitEthernet3/1/1.1] quit

5. 配置Radius方案

# 创建名字为rs1Radius方案并进入该方案视图。

[BRAS] radius scheme rs1

# 配置Radius方案的主认证和主计费服务器及其通信密钥。

[BRAS-radius-rs1] primary authentication 4.4.4.2

[BRAS-radius-rs1] primary accounting 4.4.4.2

[BRAS-radius-rs1] key authentication simple 123456

[BRAS-radius-rs1] key accounting simple 123456

# 使能RADIUS认证方案rs1accounting-on功能。

[BRAS-radius-rs1] accounting-on enable

[BRAS-radius-rs1] quit

# 设置RADIUS DAE客户端的IP地址为4.4.4.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456

[BRAS] radius dynamic-author server

[BRAS-radius-da-server] client ip 4.4.4.2 key simple 123456

[BRAS-radius-da-server] quit

6. 配置ITA策略

# 配置ITA策略pl_ita,配置ITA计费服务器为rs1

[BRAS] ita policy pl_ita

[BRAS-ita-policy-pl_ita] accounting-method radius-scheme rs1

# 配置计费级别并限速。

[BRAS-ita-policy-pl_ita] accounting-level 1 ipv4 car inbound cir 5000 outbound cir 5000

[BRAS-ita-policy-pl_ita] accounting-level 2 ipv4 car inbound cir 2000 outbound cir 2000

[BRAS-ita-policy-pl_ita] accounting-level 3 ipv4 car inbound cir 5000 outbound cir 5000

[BRAS-ita-policy-pl_ita] accounting-level 4 ipv4 car inbound cir 10000 outbound cir 10000

7. 配置DHCP中继

# 全局使能DHCP

[BRAS] dhcp enable

# 进入接口GigabitEthernet3/1/1.1视图。

[BRAS] interface gigabitethernet 3/1/1.1

# 启用DHCP中继的用户地址表项记录功能。

[BRAS] dhcp relay client-information record

# 创建中继地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool1

[BRAS-dhcp-pool-pool1] gateway-list 6.6.6.1 export-route

[BRAS-dhcp-pool-pool1] remote-server 4.4.4.3

# 指定中继地址池pool1所在的VPNvpn_isp1

[BRAS-dhcp-pool-pool1] vpn-instance vpn_isp1

[BRAS-dhcp-pool-pool1] quit

# 创建中继地址池pool2,指定匹配该地址池的DHCPv4客户端所在的网段地址,并指定中继地址池对应的DHCP服务器地址。

[BRAS] dhcp server ip-pool pool2

[BRAS-dhcp-pool-pool2] gateway-list 7.7.7.1 export-route

[BRAS-dhcp-pool-pool2] remote-server 4.4.4.3

# 指定中继地址池pool2所在的VPNvpn_isp2

[BRAS-dhcp-pool-pool2] vpn-instance vpn_isp2

[BRAS-dhcp-pool-pool2] quit

8. 配置认证域

# 创建并进入名字为isp1ISP域。

[BRAS] domain name isp1

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp1] authentication ppp radius-scheme rs1

[BRAS-isp-isp1] authorization ppp radius-scheme rs1

[BRAS-isp-isp1] accounting ppp radius-scheme rs1

# 配置当前isp1使用的ITA策略pl_ita

[BRAS-isp-isp1] ita-policy pl_ita

# 配置当前isp1域下的用户授权地址池pool1及指定用户的授权User Group

[BRAS-isp-isp1] authorization-attribute ip-pool pool1

[BRAS-isp-isp1] authorization-attribute user-group g1

# 配置当前isp1域下的用户授权VPN

[BRAS-isp-isp1] authorization-attribute vpn-instance vpn_isp1

[BRAS-isp-isp1] quit

# 创建并进入名字为isp2ISP域。

[BRAS] domain name isp2

# 配置ISP域使用的Radius方案rs1

[BRAS-isp-isp2] authentication ppp radius-scheme rs1

[BRAS-isp-isp2] authorization ppp radius-scheme rs1

[BRAS-isp-isp2] accounting ppp radius-scheme rs1

# 配置当前isp2使用的ITA策略pl_ita

[BRAS-isp-isp2] ita-policy pl_ita

# 配置当前isp2域下的用户授权地址池pool2及指定用户的授权User Group

[BRAS-isp-isp2] authorization-attribute ip-pool pool2

[BRAS-isp-isp2] authorization-attribute user-group g2

# 配置当前isp2域下的用户授权VPN

[BRAS-isp-isp2] authorization-attribute vpn-instance vpn_isp2

[BRAS-isp-isp2] quit

9. 配置虚拟模板接口

# 创建虚拟模板接口1,并开启PPP计费统计和CHAP认证功能。

[BRAS] interface virtual-template 1

[BRAS-Virtual-Template1] ppp account-statistics enable

[BRAS-Virtual-Template1] ppp authentication-mode chap

[BRAS-Virtual-Template1] quit

10. 配置VLAN终结

# 在用户的接入子接口GigabitEthernet3/1/1.1配置VLAN终结,并绑定虚拟模板接口1

[BRAS] interface gigabitethernet 3/1/1.1

[BRAS-GigabitEthernet3/1/1.1] vlan-type dot1q vid 101 second-dot1q 11 to 14

[BRAS-GigabitEthernet3/1/1.1] pppoe-server bind virtual-template 1

11. 配置策略路由

说明

为保证VPN间流量正常转发,需要配置静态路由和策略路由。

 

(1)     通过配置静态路由,将VPN内的DHCP请求方向的流量引入到DHCP服务器端

# 配置静态路由,将vpn_isp1内的DHCP请求方向的流量引入到DHCP服务器端。

[BRAS] ip route-static vpn-instance vpn_isp1 4.4.4.0 24 4.4.4.3 public

# 配置静态路由,将vpn_isp2内的DHCP请求方向的流量引入到DHCP服务器端。

[BRAS] ip route-static vpn-instance vpn_isp2 4.4.4.0 24 4.4.4.3 public

(2)     通过配置策略路由,将DHCP服务器回应的流量导入到DHCP客户端所在的VPN

# 创建ACL 3010匹配目的为6.6.0.0/16网段的报文。

[BRAS] acl advanced 3010

[BRAS-acl-ipv4-adv-3010] rule 0 permit ip destination 6.6.0.0 0.0.255.255 user-group g1

[BRAS-acl-ipv4-adv-3010] quit

# 创建ACL 3020匹配目的为7.7.0.0/16网段的报文。

[BRAS] acl advanced 3020

[BRAS-acl-ipv4-adv-3020] rule 0 permit ip destination 7.7.0.0 0.0.255.255 user-group g2

[BRAS-acl-ipv4-adv-3020] quit

# 创建一个策略P_to_Bras,其节点序号为0,匹配模式permit,指定匹配ACL 3010的报文在vpn_isp1内转发。

[BRAS] policy-based-route P_to_Bras permit node 0

[BRAS-pbr-P_to_Bras-0] if-match acl 3010

[BRAS-pbr-P_to_Bras-0] apply access-vpn vpn-instance vpn_isp1

[BRAS-pbr-P_to_Bras-0] quit

# 在策略P_to_Bras中再创建节点序号1,匹配模式permit,指定匹配ACL 3020的报文在vpn_isp2内转发。

[BRAS] policy-based-route P_to_Bras permit node 1

[BRAS-pbr-P_to_Bras-1] if-match acl 3020

[BRAS-pbr-P_to_Bras-1] apply access-vpn vpn-instance vpn_isp2

[BRAS-pbr-P_to_Bras-1] quit

# 在以太接口GigabitEthernet3/1/1.2上应用该策略路由P_to_Bras

[BRAS] interface gigabitethernet 3/1/1.2

[BRAS–GigabitEthernet3/1/1.2] ip policy-based-route P_to_Bras

[BRAS–GigabitEthernet3/1/1.2] quit

 

说明

·     为保证VPN实例与公网实例间流量正常转发(即保证用户PPPoE拨号成功后可以访问学校内容,例如可以访问P设备的lookback0的地址2.2.2.9),需要配置静态路由和策略路由。

·     VPN实例和公网实例间需要互访的网段在步骤(3)中配置的静态路由和步骤(4)ACL匹配的网段必须一一对应才能双向互通。

 

(3)     通过配置静态路由,将VPN实例内用户访问公网实例方向的流量引入到公网实例中

# 配置静态路由,允许vpn_isp1内的用户单向访问公网实例中的2.2.2.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp1 2.2.2.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp1内的用户单向访问公网实例中的3.3.0.0/16网段。

[BRAS] ip route-static vpn-instance vpn_isp1 3.3.0.0 16 10.1.1.2 public

# 配置静态路由,允许vpn_isp2内的用户单向访问公网实例中的2.2.2.0/24网段。

[BRAS] ip route-static vpn-instance vpn_isp2 2.2.2.0 24 10.1.1.2 public

# 配置静态路由,允许vpn_isp2内的用户单向访问公网实例中的3.3.0.0/16网段。

[BRAS] ip route-static vpn-instance vpn_isp2 3.3.0.0 16 10.1.1.2 public

(4)     通过配置策略路由,将公网实例中回应步骤(3)中的单向流量的流量导入到对应的VPN

# 创建ACL 3030匹配源地址为2.2.2.0/243.3.0.0/16网段,目的为6.6.0.0/16网段的报文。

[BRAS] acl advanced 3030

[BRAS-acl-ipv4-adv-3030] rule permit ip source 2.2.2.0 0.0.0.255 destination 6.6.0.0 0.0.255.255 user-group g1

[BRAS-acl-ipv4-adv-3030] rule permit ip source 3.3.0.0 0.0.255.255 destination 6.6.0.0 0.0.255.255 user-group g1

[BRAS-acl-ipv4-adv-3030] quit

# 创建ACL 3040匹配源地址为2.2.2.0/243.3.0.0/16网段,目的为7.7.0.0/16网段的报文。

[BRAS] acl advanced 3040

[BRAS-acl-ipv4-adv-3040] rule permit ip source 2.2.2.0 0.0.0.255 destination 7.7.0.0 0.0.255.255 user-group g2

[BRAS-acl-ipv4-adv-3040] rule permit ip source 3.3.0.0 0.0.255.255 destination 7.7.0.0 0.0.255.255 user-group g2

[BRAS-acl-ipv4-adv-3040] quit

说明

BRAS上和P互联的三层接口只有子接口GigabitEthernet3/1/1.2,而每个子接口上只能部署一个策略,所以步骤(4)中的经PBRAS的返回流量需要和步骤(2)DHCP回应报文共用同一个策略P_to_Bras

 

# 在策略P_to_Bras中,创建节点序号为2,匹配模式permit,指定匹配ACL 3030的报文在vpn_isp1内转发。

[BRAS] policy-based-route P_to_Bras permit node 2

[BRAS-pbr-P_to_Bras-2] if-match acl 3030

[BRAS-pbr-P_to_Bras-2] apply access-vpn vpn-instance vpn_isp1

[BRAS-pbr-P_to_Bras-2] quit

# 在策略P_to_Bras中再创建节点序号3,匹配模式permit,指定匹配ACL 3040的报文在vpn_isp2内转发。

[BRAS] policy-based-route P_to_Bras permit node 3

[BRAS-pbr-P_to_Bras-3] if-match acl 3040

[BRAS-pbr-P_to_Bras-3] apply access-vpn vpn-instance vpn_isp2

[BRAS-pbr-P_to_Bras-3] quit

# 在以太接口GigabitEthernet3/1/1.2上应用该策略路由P_to_Bras

[BRAS] interface gigabitethernet 3/1/1.2

[BRAS–GigabitEthernet3/1/1.2] ip policy-based-route P_to_Bras

[BRAS–GigabitEthernet3/1/1.2] quit

(5)     PE1上宣告PPPoE认证前用户网段的路由

# PE1上的OSPF进程中宣告5.5.0.0/16网段,以便PPE2可以学习到相应的路由。

[PE1] ospf

[PE1-ospf-1] area 0

[PE1-ospf-1-area-0.0.0.0] network 5.5.0.0 0.0.255.255

[PE1-ospf-1-area-0.0.0.0] quit

[PE1-ospf-1] quit

(6)     配置P上到PPPoE用户网段的路由

# P上配置到6.6.0.0/167.7.0.0/16网段的静态路由

[P] ip route-static 6.6.0.0 16 10.1.1.1

[P] ip route-static 7.7.0.0 16 10.1.1.1

(7)     配置PE2上到PPPoE用户网段的路由

# PE2上配置到6.6.0.0/167.7.0.0/16网段的静态路由

[PE2] ip route-static 6.6.0.0 16 10.1.4.1

[PE2] ip route-static 7.7.0.0 16 10.1.4.1

8.4.5  配置Switch A

# 创建运营商VLAN 101

<SwitchA> system-view

[SwitchA] vlan 101

[SwitchA-vlan101] quit

# 配置端口GigabitEthernet3/0/1Hybrid模式,并允许运营商VLAN 101(即用户数据的外层VLAN)带Tag通过。

[SwitchA] interface gigabitethernet 3/0/1

[SwitchA-GigabitEthernet3/0/1] port link-type hybrid

[SwitchA-GigabitEthernet3/0/1] port hybrid vlan 101 tagged

[SwitchA-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3Trunk模式,并允许运营商VLAN 101的报文通过。

[SwitchA] interface range gigabitethernet 3/0/2 to gigabitethernet 3/0/3

[SwitchA-if-range] port link-type trunk

[SwitchA-if-range] port trunk permit vlan 101

# 配置端口GigabitEthernet3/0/2GigabitEthernet3/0/3的缺省VLAN为运营商VLAN 101,并启用端口QinQ功能。

[SwitchA-if-range] port trunk pvid vlan 101

[SwitchA-if-range] qinq enable

[SwitchA-if-range] quit

8.4.6  配置Switch B

# 创建用户VLAN 1112

[SwitchB] vlan 11 to 12

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 11VLAN 12的报文通过。

[SwitchB] interface gigabitethernet 3/0/1

[SwitchB-GigabitEthernet3/0/1] port link-type trunk

[SwitchB-GigabitEthernet3/0/1] port trunk permit vlan 11 12

[SwitchB-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 11

[SwitchB] interface gigabitethernet 3/0/2

[SwitchB-GigabitEthernet3/0/2] port access vlan 11

[SwitchB-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 12

[SwitchB] interface gigabitethernet 3/0/3

[SwitchB-GigabitEthernet3/0/3] port access vlan 12

[SwitchB-GigabitEthernet3/0/3] quit

8.4.7  配置Switch C

# 创建用户VLAN 1314

[SwitchC] vlan 13 to 14

# 配置端口GigabitEthernet3/0/1Trunk模式,并允许用户VLAN 13VLAN 14的报文通过。

[SwitchC] interface gigabitethernet 3/0/1

[SwitchC-GigabitEthernet3/0/1] port link-type trunk

[SwitchC-GigabitEthernet3/0/1] port trunk permit vlan 13 14

[SwitchC-GigabitEthernet3/0/1] quit

# 配置端口GigabitEthernet3/0/2加入到VLAN 13

[SwitchC] interface gigabitethernet 3/0/2

[SwitchC-GigabitEthernet3/0/2] port access vlan 13

[SwitchC-GigabitEthernet3/0/2] quit

# 配置端口GigabitEthernet3/0/3加入到VLAN 14

[SwitchC] interface gigabitethernet 3/0/3

[SwitchC-GigabitEthernet3/0/3] port access vlan 14

[SwitchC-GigabitEthernet3/0/3] quit

8.5  验证配置

# 下面以用户主机Host A为例进行说明。

(1)     Host A未拨号认证前,

#使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。<BRAS>display dhcp relay client-information

Total number of client-information items: 1

Total number of dynamic items: 1

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1              N/A

以上信息表明,用户Host APPPoE拨号认证前,可以态获取到IP地址5.5.5.2。用户使用该IP地址仅可以访问学校内网。

(2)     Host A使用用户名:User1@isp1和密码:pass1拨号接入BRAS设备后

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

<BRAS> display dhcp relay client-information

Total number of client-information items: 2

Total number of dynamic items: 2

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1            N/A

6.6.6.2          e839-3563-fb21   Dynamic     BAS0                  vpn_isp1

以上信息表明,用户Host A使用@isp1后缀的用户名PPPoE拨号认证后,又态获取到在vpn_isp1中的IP地址6.6.6.2

# 查看用户User1@isp1的详细信息。

<BRAS> display ppp access-user username user1@isp1 verbose

Basic:

  Interface: BAS0

  PPP index: 0x140000105

  User ID: 0x20000001

  Username: User1@isp1                //PPPoE拨号使用的用户名

  Domain: isp1                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  VXLAN ID: -

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 6.6.6.2                 //DHCP Server为用户分配的IP地址

  Primary DNS server: 8.8.8.8

  IPv6 address: -

  IPv6 PD prefix: -

  IPv6 ND prefix: -

  User address type: N/A

  VPN instance: vpn_isp1             //用户所属VPN

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

PPPoE:

  Session ID: 1

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Closed

  Realtime accounting interval: -

  Login time: 2022-2-3  16:8:50:841

  Accounting start time: 2022-2-3  16:8:50:861

  Online time(hh:mm:ss): 0:0:7

  Accounting state: Accounting

  Acct start-fail action: Online

  Acct update-fail action: Online

  Acct quota-out action: Offline

  Dual-stack accounting mode: Merge

  Idle cut: 0 sec  0 byte, direction: Both

  Session timeout: -

  Time remained: -

  Traffic quota: -

  Traffic remained: -

  Redirect WebURL: -

  ITA policy name: pl_ita

  MRU: 1480 bytes

  IPv4 MTU: 1480 bytes

  IPv6 MTU: 1480 bytes

  Subscriber ID: -

 

ACL&QoS:

  User profile: -

  Session group profile: -

  User group acl: g1 (active)

  Inbound CAR: -

  Outbound CAR: -

  User inbound priority: -

  User outbound priority: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 119/11753

  IPv4 downlink packets/bytes: 73/6350

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

 

ITA:

  Level-1 uplink   packets/bytes: 109/11653

          downlink packets/bytes: 0/0

  Level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-3 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-4 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

# 查看vpn_isp1中的路由。

<BRAS> display ip routing-table vpn-instance vpn_isp1

 

Destinations : 20        Routes : 20

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

2.2.2.0/24         Static  60  0           10.1.1.2        GE3/1/1.2

3.3.0.0/16         Static  60  0           10.1.1.2        GE3/1/1.2

4.4.4.0/24         Static  60  0           4.4.4.3         GE3/1/1.2

6.6.6.1/32         Direct  0   0           127.0.0.1       InLoop0

6.6.6.2/32         Direct  0   0           6.6.6.2         BAS0

10.1.1.0/24        Static  60  0           10.1.1.2        GE3/1/1.2

10.1.4.0/24        Static  60  0           10.1.1.2        GE3/1/1.2

101.1.1.0/24       BGP     255 0           3.3.3.9         GE3/1/1.2

101.101.101.0/24   Direct  0   0           101.101.101.101 BAS0

101.101.101.0/32   Direct  0   0           101.101.101.101 BAS0

101.101.101.101/32 Direct  0   0           127.0.0.1       InLoop0

101.101.101.255/32 Direct  0   0           101.101.101.101 BAS0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

以上信息表明,在vpn_isp1中已有到内网(例如:2.2.2.0/24网段)和外网(101.1.1.0/24网段)的相应路由,用户可以使用获取到的IP地址6.6.6.2同时访问学校内网和外网,且访问外网时走的是ISP1出口。

(3)     Host A使用用户名:User1@isp2和密码:pass1拨号接入BRAS设备后

# 使用命令display dhcp relay client-information查看DHCP中继的用户地址表项信息。

<BRAS> display dhcp relay client-information

Total number of client-information items: 2

Total number of dynamic items: 2

Total number of temporary items: 0

IP address       MAC address      Type        Interface            VPN name

5.5.5.2          e839-3563-fb21   Dynamic     GE3/1/1.1            N/A

7.7.7.2          e839-3563-fb21   Dynamic     BAS0                  vpn_isp2

以上信息表明,用户Host A使用@isp2后缀的用户名PPPoE拨号认证后,又态获取到在vpn_isp2中的IP地址7.7.7.2

# 查看用户User1@isp2的详细信息。

<BRAS> display ppp access-user username user1@isp2 verbose

Basic:

  Interface: BAS0

  PPP index: 0x140000105

  User ID: 0x20000001

  Username: User1@isp2                //PPPoE拨号使用的用户名

  Domain: isp2                        //拨号用户所属的认证域

  Access interface: GE3/1/1.1         //拨号用户的接入接口

  Service-VLAN/Customer-VLAN: 101/11  //拨号用户数据封装的运营商VLAN/用户VLAN

  VXLAN ID: -

  MAC address: e839-3563-fb21         //拨号用户的主机MAC地址

  IP address: 7.7.7.2                 //DHCP Server为用户分配的IP地址

  Primary DNS server: 8.8.8.8

  IPv6 address: -

  IPv6 PD prefix: -

  IPv6 ND prefix: -

  User address type: N/A

  VPN instance: vpn_isp2             //用户所属VPN

  Access type: PPPoE                 //用户的接入类型

  Authentication type: CHAP          //用户接入时的认证类型

 

PPPoE:

  Session ID: 1

 

AAA:

  Authentication state: Authenticated

  Authorization state: Authorized

  Realtime accounting switch: Closed

  Realtime accounting interval: -

  Login time: 2022-2-3  16:10:37:389

  Accounting start time: 2022-2-3  16:10:37:412

  Online time(hh:mm:ss): 0:0:4

  Accounting state: Accounting

  Acct start-fail action: Online

  Acct update-fail action: Online

  Acct quota-out action: Offline

  Dual-stack accounting mode: Merge

  Idle cut: 0 sec  0 byte, direction: Both

  Session timeout: -

  Time remained: -

  Traffic quota: -

  Traffic remained: -

  Redirect WebURL: -

  ITA policy name: pl_ita

  MRU: 1480 bytes

  IPv4 MTU: 1480 bytes

  IPv6 MTU: 1480 bytes

  Subscriber ID: -

 

ACL&QoS:

  User profile: -

  Session group profile: -

  User group acl: g2 (active)

  Inbound CAR: -

  Outbound CAR: -

  User inbound priority: -

  User outbound priority: -

 

Flow Statistic:

  IPv4 uplink   packets/bytes: 56/5676

  IPv4 downlink packets/bytes: 0/0

  IPv6 uplink   packets/bytes: 0/0

  IPv6 downlink packets/bytes: 0/0

 

ITA:

  Level-1 uplink   packets/bytes: 46/5576

          downlink packets/bytes: 0/0

  Level-2 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-3 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

  Level-4 uplink   packets/bytes: 0/0

          downlink packets/bytes: 0/0

# 查看vpn_isp2中的路由。

<BRAS> display ip routing-table vpn-instance vpn_isp2

 

Destinations : 20        Routes : 20

 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

2.2.2.0/24         Static  60  0           10.1.1.2        GE3/1/1.2

3.3.0.0/16         Static  60  0           10.1.1.2        GE3/1/1.2

4.4.4.0/24         Static  60  0           4.4.4.3         GE3/1/1.2

7.7.7.1/32         Direct  0   0           127.0.0.1       InLoop0

7.7.7.2/32         Direct  0   0           7.7.7.2         BAS0

10.1.1.0/24        Static  60  0           10.1.1.2        GE3/1/1.2

10.1.4.0/24        Static  60  0           10.1.1.2        GE3/1/1.2

101.101.101.0/24   Direct  0   0           101.101.101.101 BAS0

101.101.101.0/32   Direct  0   0           101.101.101.101 BAS0

101.101.101.101/32 Direct  0   0           127.0.0.1       InLoop0

101.101.101.255/32 Direct  0   0           101.101.101.101 BAS0

127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0

127.0.0.0/32       Direct  0   0           127.0.0.1       InLoop0

127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0

127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

202.1.1.0/24       BGP     255 0           3.3.3.9         GE3/1/1.2

224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0

224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0

255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0

以上信息表明,在vpn_isp2中已有到内网(例如:2.2.2.0/24网段)和外网(202.1.1.0/24网段)的相应路由,用户可以使用获取到的IP地址7.7.7.2同时访问学校内网和外网,且访问外网时走的是ISP2出口。

8.6  配置文件

·     DHCP服务器:

#

 dhcp enable

#

dhcp server ip-pool pool1

 gateway-list 5.5.5.1

 network 5.5.0.0 mask 255.255.0.0

 dns-list 8.8.8.8

 forbidden-ip 5.5.5.1

#

dhcp server ip-pool pool2

 gateway-list 6.6.6.1

 network 6.6.0.0 mask 255.255.0.0

 dns-list 8.8.8.8

 forbidden-ip 6.6.6.1

#

dhcp server ip-pool pool3

 gateway-list 7.7.7.1

 network 7.7.0.0 mask 255.255.0.0

 dns-list 8.8.8.8

 forbidden-ip 7.7.7.1

#

interface GigabitEthernet3/0/1

 port link-mode route

 ip address 4.4.4.3 255.255.255.0

#

 ip route-static 0.0.0.0 0 4.4.4.1

#

·     PE 1BRAS):

#

ip vpn-instance vpn_isp1

 route-distinguisher 100:1

 vpn-target 111:1 import-extcommunity

 vpn-target 222:1 export-extcommunity

#

ip vpn-instance vpn_isp2

 route-distinguisher 200:1

 vpn-target 333:1 import-extcommunity

 vpn-target 444:1 export-extcommunity

#

ospf 1

 area 0.0.0.0

  network 1.1.1.9 0.0.0.0

  network 5.5.0.0 0.0.255.255

  network 10.1.1.0 0.0.0.255

#

 mpls lsr-id 1.1.1.9

#

 dhcp enable

 dhcp relay client-information record

#

traffic classifier 3000 operator and

 if-match acl 3000

#

traffic classifier 3001 operator and

 if-match acl 3001

 if-match authenticated-user

#

traffic classifier cl_user1 operator and

 if-match customer-vlan-id 11

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user2 operator and

 if-match customer-vlan-id 12

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user3 operator and

 if-match customer-vlan-id 13

 if-match acl 3002

 if-match authenticated-user

#

traffic classifier cl_user4 operator and

 if-match customer-vlan-id 14

 if-match acl 3002

 if-match authenticated-user

#

traffic behavior 3000

 accounting byte

 car cir 5000 cbs 312500 ebs 0 green pass red discard yellow pass

#

traffic behavior 3001

 accounting byte

 remark account-level 1

#

traffic behavior be_10M

 accounting byte

 remark account-level 4

#

traffic behavior be_2M

 accounting byte

 remark account-level 2

#

traffic behavior be_5M

 accounting byte

 remark account-level 3

#

qos policy nei_waiwang_share

 classifier 3000 behavior 3000

 classifier 3001 behavior 3001

 classifier cl_user1 behavior be_2M

 classifier cl_user2 behavior be_5M

 classifier cl_user3 behavior be_5M

 classifier cl_user4 behavior be_10M

#

dhcp server ip-pool pool1

 vpn-instance vpn_isp1

 gateway-list 6.6.6.1 export-route

 remote-server 4.4.4.3

#

dhcp server ip-pool pool2

 vpn-instance vpn_isp2

 gateway-list 7.7.7.1 export-route

 remote-server 4.4.4.3

#

policy-based-route P_to_Bras permit node 0

 if-match acl 3010

 apply access-vpn vpn-instance vpn_isp1

#

policy-based-route P_to_Bras permit node 1

 if-match acl 3020

 apply access-vpn vpn-instance vpn_isp2

#

policy-based-route P_to_Bras permit node 2

 if-match acl 3030

 apply access-vpn vpn-instance vpn_isp1

#

policy-based-route P_to_Bras permit node 3

 if-match acl 3040

 apply access-vpn vpn-instance vpn_isp2

#

mpls ldp

#

interface Virtual-Template1

 ppp authentication-mode chap

 ppp account-statistics enable

#

interface LoopBack0

 ip address 1.1.1.9 255.255.255.255

#

interface GigabitEthernet3/1/1

 port link-mode route

#

interface GigabitEthernet3/1/1.1

 qos apply policy nei_waiwang_share inbound

 qos apply policy nei_waiwang_share outbound

 vlan-type dot1q vid 101 second-dot1q 11 to 14

 pppoe-server bind virtual-template 1

#

interface GigabitEthernet3/1/1.2

 ip address 10.1.1.1 255.255.255.0

 mpls enable

 mpls ldp enable

 vlan-type dot1q vid 100

 ip policy-based-route P_to_Bras

#

bgp 100

 peer 3.3.3.9 as-number 100

 peer 3.3.3.9 connect-interface LoopBack0

 #

 address-family vpnv4

  peer 3.3.3.9 enable

 #

 ip vpn-instance vpn_isp1

  #

  address-family ipv4 unicast

   import-route direct

 #

 ip vpn-instance vpn_isp2

  #

  address-family ipv4 unicast

   import-route direct

#

 ip route-static vpn-instance vpn_isp1 2.2.2.0 24 10.1.1.2 public

 ip route-static vpn-instance vpn_isp1 3.3.0.0 16