06-ITA配置
本章节下载: 06-ITA配置 (175.85 KB)
ITA(Intelligent Target Accounting,智能靶向计费)表示根据接入用户访问的不同目的地址定义不同的计费级别,实现基于目的地址的差别化计费。例如在校园网中,可以通过在用户的接入设备上应用ITA业务策略对访问教育网内的用户流量不收费或者收很低的费用,而对于访问教育网外Internet的用户流量收取较高的费用。目前,仅Portal、IPoE、PPP类型的用户支持ITA业务。
在部署了ITA业务策略的组网环境中,我们将标记了计费级别的用户流量称为ITA业务流量,其它的用户流量称做非ITA业务流量。这样,根据每个用户是否有ITA业务流量可以将该用户的总计费流量将分成两种情况:一,总计费流量仅由非ITA业务流量组成;二,总计费流量是ITA业务流量和非ITA业务流量的和。用户的总计费流量是否包含ITA业务流量可以通过配置进行控制。各个级别的ITA业务流量可以独立于用户的总流量进行计费,可以与总计费流量采用不同的计费方案。
仅CSPEX单板、CEPC类单板支持配置ITA功能,ITA功能仅对IPoE、Portal和PPPoE用户生效。
需要通过以下几个步骤完成ITA业务策略的部署:
(1) 配置Qos策略:通过配置流行为将访问不同目的地址的流量重标记为多个流量级别。流量重标记的详细配置请参见“ACL和QoS配置指导”中的“Qos”。
(2) 应用用于标记流量级别的QoS策略,有以下两种配置方式:
· 接口视图或者全局视图下直接应用用于标记流量级别的QoS策略。本配置不适用于通过VLAN接口接入的Portal用户。
· 定义User Profile,并在User Profile内应用用于标记流量级别的Qos策略,User Profile的详细配置请参见“BRAS业务配置指导”中的“User Profile”。
需要注意的是,应用用于标记流量级别的QoS策略的两种配置方式不能同时配置,否则会导致ITA功能出现异常,无法正常计费。
(3) 配置授权User Profile,有以下两种配置方式:
· 在RADIUS服务器或设备上(取决于采用远程认证还是本地认证)为用户指定授权User Profile属性。当用户通过认证后,由RADIUS服务器或设备为接入用户下发User Profile。
· 在用户的认证域中指定授权User Profile属性。若AAA服务器或设备未给用户下发User Profile,则将使用用户认证域中指定的授权User Profile。
(4) 定义ITA业务策略,主要包括指定计费方案和流量计费级别,具体如表1-2所示。
指定需要进行计费的流量计费级别时,需要注意的是:
· 双栈PPPoE用户的ITA业务流量类型(IPv4或IPv6)必须和指定需要进行计费的流量类型(配置关键字ipv4或ipv6)相同,否则会导致非ITA业务流量计费错误。
· 对于双栈PPPoE用户,不支持对IPv4和IPv6流量同时指定相同的计费级别。当指定的计费级别相同时,最后一次的配置生效。
· 指定需要进行计费的流量计费级别时,如果关键字ipv4或ipv6均未配置,则表示不进行计费。
· 对于不同接入方式的用户,流量计费级别配置的数量各不相同,如表1-1所示。
ITA用户 |
流量计费级别配置的数量 |
|
CSPEX-1204单板 |
CSPEX类单板(除CSPEX-1204之外)、CEPC类单板 |
|
通过VLAN接口接入的Portal用户 |
7个 |
7个 |
· 通过三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口接入的Portal用户 · IPoE用户 · PPPoE用户 |
1个(目前只支持level 1) |
4个(目前只支持level 1~level 4) |
(5) 配置授权ITA业务策略。可在RADIUS服务器上或用户认证域中指定授权的ITA业务策略。当用户通过认证后,若RADIUS服务器为当前用户授权了ITA业务策略,将使用RADIUS服务器授权的ITA业务策略,否则使用用户认证域中指定的ITA业务策略。
表1-2 配置并应用ITA业务策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建ITA业务策略 |
ita policy policy-name |
缺省情况下,不存在ITA业务策略 |
指定ITA业务使用的计费方案 |
accounting-method { none | radius-scheme radius-scheme-name [ none ] } |
缺省情况下,使用的计费方案为none,即不计费 |
指定需要进行计费的流量计费级别 |
accounting-level level { { ipv4 | ipv6 } | [ car { inbound cir committed-information-rate [ pir peak-information-rate ] | outbound cir committed-information-rate [ pir peak-information-rate ] } * } * |
缺省情况下,未指定需要计费的流量计费级别 |
(可选)开启统一计费功能 |
accounting-merge enable |
缺省情况下,统一计费功能处于关闭状态 |
(可选)配置ITA业务流量配额耗尽策略 |
traffic-quota-out { offline | online } |
缺省情况下,流量配额耗尽后用户不能访问授权的目的地址段 |
(可选)开启ITA业务流量与用户总计费流量分离功能 |
traffic-separate enable [ level level&<1-8> ] |
缺省情况下,ITA业务流量与用户总计费流量分离功能处于关闭状态 |
完成上述配置后,在任意视图下执行display命令可以显示ITA业务策略的配置信息。
表1-3 ITA业务策略显示和维护
操作 |
命令 |
显示ITA业务策略的配置信息 |
display ita policy [ policy-name ] |
仅CSPEX单板、CEPC类单板支持配置本举例。
· 用户主机经由三层网络接入IPoE设备Router。
· 采用RADIUS server1作为认证、授权和计费服务器。
· 采用RADIUS server2作为ITA(Intelligent Target Accounting,智能靶向计费)业务流量的计费服务器,对用户访问FTP server的业务流量按照级别1进行计费。
· Router上报给RADIUS server1的用户计费流量中不包含ITA业务流量,且不允许用户ITA业务流量配额耗尽后继续访问FTP server。
图1-1 IPoE支持ITA业务配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 分别在RADIUS server1和RADIUS server2上配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
client 5.5.5.2/32 {
ipaddr = 5.5.5.2
netmask=32
secret=radius
}
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
Filter-Id :="profile1"
以上信息表示:用户名为Host的IP地址2.2.2.2,授权User Profile为profile1。
(2) 配置Router
# 配置各接口IP地址(略)。
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server1作为认证、授权和计费服务器。
<Router> system-view
[Router] radius scheme rs1
# 配置主认证和主计费服务器及其通信密钥。
[Router-radius-rs1] primary authentication 4.4.4.1
[Router-radius-rs1] primary accounting 4.4.4.1
[Router-radius-rs1] key authentication simple radius
[Router-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
# 创建名称为rs2的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server2作为ITA业务流量计费服务器。
[Router] radius scheme rs2
# 配置主计费服务器及其通信密钥。
[Router-radius-rs2] primary accounting 5.5.5.1
[Router-radius-rs2] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
· 配置QoS策略
# 配置ACL 3000,允许目的地址为1.1.1.1的报文通过。
[Router] acl advanced 3000
[Router -acl-ipv4-adv-3000] rule 0 permit ip destination 1.1.1.1 0
[Router -acl-ipv4-adv-3000] quit
# 配置类classifier_1,匹配ACL 3000。
[Router] traffic classifier classifier_1
[Router-classifier-classifier_1] if-match acl 3000
[Router-classifier-classifier_1] quit
# 定义流行为behavior_1。
[Router] traffic behavior behavior_1
# 标记流量计费级别为1。
[Router-behavior-behavior_1] remark account-level 1
# 配置基于字节进行流量统计。
[Router-behavior-behavior_1] accounting byte
[Router-behavior-behavior_1] quit
# 定义QoS策略policy,为类classifier_1指定流行为behavior_1。
[Router] qos policy policy
[Router-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Router-qospolicy-policy] quit
· 配置User Profile
# 创建User Profile profile1。
[Router] user-profile profile1
# 对接收到的上线用户流量应用QoS策略。
[Router-user-profile-profile1] qos apply policy policy inbound
[Router-user-profile-profile1] quit
· 配置ITA业务策略
# 创建ITA业务策略ita。
[Router] ita policy ita
# 配置ITA业务使用计费方案rs2。
[Router-ita-policy-ita] accounting-method radius-scheme rs2
# 配置IPv4流量计费级别为1。
[Router-ita-policy-ita] accounting-level 1 ipv4
# 开启ITA业务流量与用户总计费流量分离功能。
[Router-ita-policy-ita] traffic-separate enable
# 配置ITA业务流量配额耗尽后用户不可以继续访问授权的目的IP地址段。
[Router-ita-policy-ita] traffic-quota-out offline
[Router-ita-policy-ita] quit
· 配置认证域
# 创建并进入名称为dm1的ISP域。
[Router] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Router-isp-dm1] authentication ipoe radius-scheme rs1
[Router-isp-dm1] authorization ipoe radius-scheme rs1
[Router-isp-dm1] accounting ipoe radius-scheme rs1
# 配置ISP域使用的ITA策略ita。
[Router-isp-dm1] ita-policy ita
[Router-isp-dm1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet1/0/2视图。
[Router] interface gigabitethernet 1/0/2
# 使能IPoE功能,并指定三层接入模式。
[Router–GigabitEthernet1/0/2] ip subscriber routed enable
# 使能未知源IP报文触发方式。
[Router–GigabitEthernet1/0/2] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Router–GigabitEthernet1/0/2] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Router–GigabitEthernet1/0/2] ip subscriber password plaintext radius
用户认证通过之后,访问目的地址为1.1.1.1的报文将被按照Level 1级别在RADIUS server2上进行单独计费,访问其它目的IP地址的报文将在RADIUS server1上进行计费。可以通过display ip subscriber session verbose显示命令查看到IPoE在线用户的详细信息,其中包括了授权User Profile信息以及ITA业务流量统计信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!