02-ITA配置
本章节下载: 02-ITA配置 (183.29 KB)
ITA(Intelligent Target Accounting,智能靶向计费)表示根据接入用户访问的不同目的地址定义不同的计费级别,实现基于目的地址的差别化计费。例如在校园网中,可以通过在用户的接入设备上应用ITA业务策略对访问教育网内的用户流量不收费或者收很低的费用,而对于访问教育网外Internet的用户流量收取较高的费用。目前,仅Portal、IPoE、PPPoE类型的用户支持ITA业务。
在部署了ITA业务策略的组网环境中,我们将标记了计费级别的用户流量称为ITA业务流量,其它的用户流量称做非ITA业务流量。这样,根据每个用户是否有ITA业务流量可以将该用户的总计费流量将分成两种情况:一,总计费流量仅由非ITA业务流量组成;二,总计费流量是ITA业务流量和非ITA业务流量的和。用户的总计费流量是否包含ITA业务流量可以通过配置进行控制。各个级别的ITA业务流量可以独立于用户的总流量进行计费,可以与总计费流量采用不同的计费方案。
仅SPEX-1204单板、CSPEX-1404X/CSPEX-1404S单板、CSPEX-1504X/CSPEX-1504S单板支持配置ITA功能,且ITA功能仅对IPoE、Portal和PPPoE用户生效。
需要通过以下几个步骤完成ITA业务策略的部署:
(1) 配置QoS策略
· 配置流行为将访问不同目的地址的流量重标记为多个流量级别(配置remark account-level命令)。
· 配置流量统计动作(配置accounting命令)。仅存在通过VLAN接口接入的Portal用户时,需要配置本功能。
关于配置流量重标记和流量统计动作的详细介绍,请参见“ACL和QoS命令参考”中的“QoS”。
(2) 应用用于标记流量级别的QoS策略,有以下两种配置方式:
· 接口视图或者全局视图下直接应用用于标记流量级别的QoS策略。本配置不适用于通过VLAN接口接入的Portal用户。
· 定义User Profile,并在User Profile内应用用于标记流量级别的QoS策略,User Profile的详细配置请参见“BRAS业务配置指导”中的“User Profile”。
需要注意的是,应用用于标记流量级别的QoS策略的两种配置方式不能同时配置,否则会导致ITA功能出现异常,无法正常计费。
(3) 在User Profile内应用用于标记流量级别的QoS策略时,需配置授权User Profile,有以下两种配置方式:
· 在RADIUS服务器或设备上(取决于采用远程认证还是本地认证)为用户指定授权User Profile属性。当用户通过认证后,由RADIUS服务器或设备为接入用户下发User Profile。
· 在用户的认证域中指定授权User Profile属性。若AAA服务器或设备未给用户下发User Profile,则将使用用户认证域中指定的授权User Profile。
(4) 定义ITA业务策略,主要包括指定计费方案和流量计费级别,具体如表1-2所示。
指定需要进行计费的流量计费级别时,需要注意的是:
· 请不要将ITA业务流量计费级别指定为1,因为该级别的流量还包括非ITA业务流量,会导致无法对ITA业务流量准确计费。
· 双栈PPPoE用户的ITA业务流量类型(IPv4或IPv6)必须和指定需要进行计费的流量类型(配置关键字ipv4或ipv6)相同,否则会导致非ITA业务流量计费错误。
· 对于双栈PPPoE用户,同时指定某一级别的流量按照IPv4和IPv6流量分别进行计费(同时配置关键字ipv4和ipv6)时,请确保配置的承诺信息速率(配置关键字cir committed-information-rate)是实际需求速率的一半。例如用户实际需求速率为6kbps,需配置承诺信息速率为3kbps。
· 指定需要进行计费的流量计费级别时,如果关键字ipv4或ipv6均未配置,则表示不进行计费。
· 对于不同接入方式的用户,流量计费级别配置的数量各不相同,如表1-1所示。
ITA用户 |
流量计费级别配置的数量 |
|
SPEX-1204单板 |
CSPEX-1404X/CSPEX-1404S单板、CSPEX-1504X/CSPEX-1504S单板 |
|
通过VLAN接口接入的Portal用户 |
8个 |
8个 |
· 通过三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口接入的Portal用户 · IPoE用户 · PPPoE用户 |
2个 |
5个 |
(5) 配置授权ITA业务策略。可在RADIUS服务器上或用户认证域中指定授权的ITA业务策略。当用户通过认证后,若RADIUS服务器为当前用户授权了ITA业务策略,将使用RADIUS服务器授权的ITA业务策略,否则使用用户认证域中指定的ITA业务策略。
表1-2 配置并应用ITA业务策略
创建ITA业务策略 |
缺省情况下,无ITA业务策略 |
|
指定ITA业务使用的计费方案 |
accounting-method { none | radius-scheme radius-scheme-name [ none ] } |
缺省情况下,使用的计费方案为none,即不计费 |
通过VLAN接口接入的Portal用户配置car参数不生效 |
||
(可选)配置ITA业务流量配额耗尽策略 |
||
(可选)开启ITA业务流量与用户总计费流量分离功能 |
traffic-separate enable [ level level&<1-8> ] |
缺省情况下,ITA业务流量与用户总计费流量分离功能处于关闭状态 关键字level仅对Portal和IPoE用户生效 |
完成上述配置后,在任意视图下执行display命令可以显示配置后ITA的运行情况,通过查看显示信息验证配置的效果。
操作 |
命令 |
显示所有或指定ITA业务策略的配置信息 |
display ita policy [ policy-name ] |
仅SPEX-1204单板、CSPEX-1404X/CSPEX-1404S单板、CSPEX-1504X/CSPEX-1504S单板支持配置本举例。
· 用户主机经由三层网络接入IPoE设备Router。
· 采用RADIUS server1作为认证、授权和计费服务器。
· 采用RADIUS server2作为ITA(Intelligent Target Accounting,智能靶向计费)业务流量的计费服务器,对用户访问FTP server的业务流量按照级别2进行计费。
· Router上报给RADIUS server1的用户计费流量中不包含ITA业务流量,且不允许用户ITA业务流量配额耗尽后继续访问FTP server。
图1-1 IPoE支持ITA业务配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 分别在RADIUS server1和RADIUS server2上配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
client 5.5.5.2/32 {
ipaddr = 5.5.5.2
netmask=32
secret=radius
}
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址2.2.2.2。
# 配置各接口IP地址(略)。
# 创建名字为rs1的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server1作为认证、授权和计费服务器。
[Router] radius scheme rs1
# 配置主认证和主计费服务器及其通信密钥。
[Router-radius-rs1] primary authentication 4.4.4.1
[Router-radius-rs1] primary accounting 4.4.4.1
[Router-radius-rs1] key authentication simple radius
[Router-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
# 创建名字为rs2的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server2作为ITA业务流量计费服务器。
# 配置主计费服务器及其通信密钥。
[Router-radius-rs2] primary accounting 5.5.5.1
[Router-radius-rs2] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
· 配置QoS策略
# 配置ACL 3000,允许目的地址为1.1.1.1的报文通过。
[Router -acl-adv-3000] rule 0 permit ip destination 1.1.1.1 0
[Router -acl-adv-3000] quit
# 配置类classifier_1,匹配ACL 3000。
[Router] traffic classifier classifier_1
[Router-classifier-classifier_1] if-match acl 3000
[Router-classifier-classifier_1] quit
# 定义流行为behavior_1。
[Router] traffic behavior behavior_1
# 标记流量计费级别为2。
[Router-behavior-behavior_1] remark account-level 2
# 配置基于字节进行流量统计。
[Router-behavior-behavior_1] accounting byte
[Router-behavior-behavior_1] quit
# 定义QoS策略policy,为类classifier_1指定流行为behavior_1。
[Router-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Router-qospolicy-policy] quit
· 应用QoS策略
# 在接口上对接收到的上线用户流量应用QoS策略。
[Router] interface gigabitethernet 3/1/1
[Router-GigabitEthernet3/1/1] qos apply policy policy inbound
[Router–GigabitEthernet3/1/1] quit
· 配置ITA业务策略
# 创建ITA业务策略ita。
# 配置ITA业务使用计费方案rs2。
[Router-ita-policy-ita] accounting-method radius-scheme rs2
# 配置IPv4流量计费级别为2。
[Router-ita-policy-ita] accounting-level 2 ipv4
# 开启ITA业务流量与用户总计费流量分离功能。
[Router-ita-policy-ita] traffic-separate enable
# 配置ITA业务流量配额耗尽后用户不可以继续访问授权的目的IP地址段。
[Router-ita-policy-ita] traffic-quota-out offline
[Router-ita-policy-ita] quit
# 创建并进入名字为dm1的ISP域。
# 配置ISP域使用的RADIUS方案rs1。
[Router-isp-dm1] authentication ipoe radius-scheme rs1
[Router-isp-dm1] authorization ipoe radius-scheme rs1
[Router-isp-dm1] accounting ipoe radius-scheme rs1
# 配置ISP域使用的ITA策略ita。
[Router-isp-dm1] ita-policy ita
[Router-isp-dm1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet3/1/2视图。
[Router] interface gigabitethernet 3/1/2
# 使能IPoE功能,并指定三层接入模式。
[Router–GigabitEthernet3/1/2] ip subscriber routed enable
# 使能未知源IP报文触发方式。
[Router–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Router–GigabitEthernet3/1/2] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Router–GigabitEthernet3/1/2] ip subscriber password plaintext radius
用户认证通过之后,访问目的地址为1.1.1.1的报文将被按照Level 2级别在RADIUS server2上进行单独计费,访问其它目的IP地址的报文将在RADIUS server1上进行计费。可以通过display ip subscriber session verbose显示命令查看到IPoE在线用户的详细信息,其中包括了ITA业务流量统计信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!