05-H3C vBRAS支持IPoE Web典型配置举例-5W100
本章节下载: 05-H3C vBRAS支持IPoE Web典型配置举例-5W100 (376.13 KB)
H3C vBRAS系列虚拟宽带远程接入服务器IPoE Web典型配置举例
Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
本文档介绍vBRAS路由器IPoE Web功能典型配置举例,IPoE Web功能用来代替Portal功能,当用户使用浏览器进行web认证时,可以主动登录Portal Web服务器的Web认证页面,用户只需输入用户名密码,由vBRAS完成与AAA认证交互,完成认证之后便可以访问外部流量。
· 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
· 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 本文档假设您已了解Track、冗余口、冗余组以及IRF等特性。
如图1所示,vBRAS设备通过IRF进行堆叠,两侧分别连接交换机Switch A和Switch B。RADIUS server和Portal server分别外挂在Switch B 上,实现用户的Portal认证、AAA认证和计费。DHCP接入用户需要通过Web页面接受用户输入的用户名和密码,对用户身份进行认证,以达到对用户访问进行控制的目的。
· 用户通过VXLAN隧道以DHCP的方式获取地址之后,访问HTTP页面重定向到portal web-server页面.
· 输入用户名和密码之后完成认证,便可以访问外部流量。
图1 IPoE Web典型配置举例组网图
用户通过DHCP方式接入,通过VXLAN隧道与vBRAS相连,vBRAS使用IRF进行堆叠,冗余口加入到冗余组中。
本举例是在vBRAS1000_H3C-CMW710-E1116-X64版本上进行配置和验证的。
· vBRAS各主接口连接的交换机接口开启Dot1q终结功能,通过配置不同的pvid避免报文互相影响。
· 实际组网环境中,用户需通过ACL规则匹配DNS报文,并允许其通过。
· 若实际组网环境中需配置包含IP地址、域名或MAC地址的白名单,可通过执行ACL和QoS相关命令达到配置要求。有关ACL和QoS相关命令的详细介绍,请参见《H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/jsp/ir/fileList.do?classID=103&fileID=165210命令参考》。
(1) 配置各接口IP地址(配置过程略)。
(2) 配置Portal认证服务器:名称为newpt,IP地址为70.1.1.200,密钥为明文123。
[vBRAS] portal server newpt
[vBRAS-portal-server-newpt] ip 70.1.1.200 key simple 123 [vBRAS-portal-server-newpt] quit
(3) 创建认证前域用户组,名称为web。
[vBRAS] user-group web
(4) 配置用于认证前域用户的ACL规则。
# 为IPv4高级ACL 3500创建规则如下:匹配用户组web中用户的目的地址为Portal服务器地址的报文。
[vBRAS]acl advanced 3500
[vBRAS-acl-ipv4-adv-3500] rule 0 permit ip destination 70.1.1.200 0 user-group web
[vBRAS-acl-ipv4-adv-3500] quit
# 为IPv4高级ACL 3501创建规则如下:匹配用户组web中用户的目的端口为80的TCP报文(即HTTP报文)。
[vBRAS] acl advanced 3501
[vBRAS-acl-ipv4-adv-3501] rule 0 permit tcp destination-port eq www user-group web
[vBRAS-acl-ipv4-adv-3501] quit
# 为IPv4高级ACL 3502创建规则如下:匹配用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)。
[vBRAS] acl advanced 3502
[vBRAS-acl-ipv4-adv-3502] rule 0 permit tcp destination-port eq 443 user-group web
[vBRAS-acl-ipv4-adv-3502] quit
# 为IPv4高级ACL 3503创建规则如下:匹配用户组web中用户的IP报文。
[vBRAS] acl advanced 3503
[vBRAS-acl-ipv4-adv-3503] rule 0 permit ip user-group web
[vBRAS-acl-ipv4-adv-3503] quit
# 为IPv4高级ACL 3504创建规则如下:匹配用户组web中源地址为Portal服务器IP地址的报文。
[vBRAS] acl advanced 3504
[vBRAS-acl-ipv4-adv-3504] rule 0 permit ip source 70.1.1.200 0 user-group web
[vBRAS-acl-ipv4-adv-3504] quit
(5) 配置用于认证前域用户的类。
# 配置类web_permit,匹配ACL 3500。
[vBRAS] traffic classifier web_permit operator and
[vBRAS-classifier-web_permit] if-match acl 3500
[vBRAS-classifier-web_permit] quit
# 配置类web_http,匹配ACL 3501。
[vBRAS] traffic classifier web_http operator and
[vBRAS-classifier-web_http] if-match acl 3501
[vBRAS-classifier-web_http] quit
# 配置类web_https,匹配ACL 3502。
[vBRAS] traffic classifier web_https operator and
[vBRAS-classifier-web_https] if-match acl 3502
[vBRAS-classifier-web_https] quit
# 配置类web_deny,匹配ACL 3503。
[vBRAS] traffic classifier web_deny operator and
[vBRAS-classifier-web_deny] if-match acl 3503
[vBRAS-classifier-web_deny] quit
# 配置类web_out,匹配ACL 3504。
[vBRAS] traffic classifier web_out operator and
[vBRAS-classifier-web_out] if-match acl 3504
[vBRAS-classifier-web_out] quit
(6) 配置流行为。
# 配置流行为web_permit,允许用户组web中用户的目的地址为Portal服务器IP地址的报文通过。
[vBRAS] traffic behavior web_permit
[vBRAS-behavior-web_permit] filter permit
[vBRAS-behavior-web_permit] quit
# 配置流行为web_http,对用户组web中用户的目的端口为80的TCP报文(即HTTP报文)重定向到CPU。
[vBRAS] traffic behavior web_http
[vBRAS-behavior-web_http] redirect http-to-cpu
[vBRAS-behavior-web_http] quit
# 配置流行为web_https,对用户组web中用户的目的端口为443的TCP报文(即HTTPS报文)重定向到CPU。
[vBRAS] traffic behavior web_https
[vBRAS-behavior-web_https] redirect https-to-cpu
[vBRAS-behavior-web_https] quit
# 配置流行为web_deny,禁止用户组web中用户的所有IP报文通过。
[vBRAS] traffic behavior web_deny
[vBRAS-behavior-web_deny] filter deny
[vBRAS-behavior-web_deny] quit
# 配置流行为web_out,允许用户组web中源地址为Portal服务器IP地址的报文通过。
[vBRAS] traffic behavior web_out
[vBRAS-behavior-web_out] filter permit
[vBRAS-behavior-web_out] quit
# 配置https报文重定向端口号。
[vBRAS]http-redirect https-port 99
(7) 配置QoS策略。
# 配置入方向QoS策略web。
[vBRAS] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:允许目的地址为Portal服务器IP地址的报文通过;对于目的端口为80(HTTP报文)和443(HTTPS报文)的报文重定向到CPU;除上述报文之外,其余报文均禁止通过。
[vBRAS-qospolicy-web] classifier web_permit behavior web_permit
[vBRAS-qospolicy-web] classifier web_http behavior web_http
[vBRAS-qospolicy-web] classifier web_https behavior web_https
[vBRAS-qospolicy-web] classifier web_deny behavior web_deny
[vBRAS-qospolicy-web] quit
# 配置出方向QoS策略out。
[vBRAS] qos policy out
# 为类web_out指定流行为web_out,即允许用户组web中源地址为Portal服务器IP地址的报文通过,其余报文禁止通过。
[vBRAS-qospolicy-out] classifier web_out behavior web_out
[vBRAS-qospolicy-out] classifier web_deny behavior web_deny
[vBRAS-qospolicy-out] quit
(8) 配置应用策略。
# 对接收的用户流量应用QoS策略,策略名为web,
[vBRAS] qos apply policy web global inbound
# 对发送的上线用户流量应用QoS策略,策略名为out。
[vBRAS] qos apply policy out global outbound
(9) 配置RADIUS方案。
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[vBRAS] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[vBRAS-radius-rs1] primary authentication 172.16.29.11 key simple radius
[vBRAS-radius-rs1] primary accounting 172.16.29.11 key simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[vBRAS-radius-rs1] user-name-format without-domain
[vBRAS-radius-rs1] quit
(10) 配置认证前域和Web认证域。
# 配置IPoE用户认证前使用的认证域,前域配置为不认证。
[vBRAS] domain name dm0
[vBRAS-isp-dm0] authentication ipoe none
[vBRAS-isp-dm0] authorization ipoe none
[vBRAS-isp-dm0] accounting ipoe none
# 配置授权地址池以及用户组。
[vBRAS-isp-dm0] authorization-attribute user-group web
[vBRAS-isp-dm0] authorization-attribute ip-pool pool1
# 配置Web认证页面URL和Web认证服务器IP地址。
[vBRAS-isp-dm0] web-server url http://70.1.1.200:8080/portal/
[vBRAS-isp-dm0] web-server ip 70.1.1.200
[vBRAS-isp-dm0] quit
# 配置IPoE用户在Web认证阶段使用的认证域。
[vBRAS] domain name dm1
[vBRAS-isp-dm1] authentication ipoe radius-scheme rs1
[vBRAS-isp-dm1] authorization ipoe radius-scheme rs1
[vBRAS-isp-dm1] accounting ipoe radius-scheme rs1
[vBRAS-isp-dm1] quit
# 配置认证域dm2作为系统缺省认证域。
[vBRAS] domain default enable dm1
(11) 配置IPoE。
# 开启IPoE功能,并配置二层接入模式。
[vBRAS]interface Vsi-interface 1
[vBRAS-Vsi-interface1] ip subscriber l2-connected enable
# 配置IPoE用户采用Web认证方式。
[vBRAS-Vsi-interface1] ip subscriber authentication-method web
# 配置Web认证前域。
[vBRAS-Vsi-interface1] ip subscriber pre-auth domain dm0
[vBRAS-Vsi-interface1] quit
(1) 配置RADIUS客户端信息,即在clients.conf文件中增加如下信息。
client 0.0.0.0/0{
secret = radius
}
以上信息表示:Radius客户端IP地址为任意ip,共享密钥为字符串radius。
(2) 配置合法用户信息,即在users文件中增加如下信息。
admin Cleartext-Password := "123456"
以上信息表示:用户名为admin,用户密码为字符串123456。
(1) 登录iMC管理平台,选择“用户”页签。
(2) 单击导航树中[接入策略管理/Portal服务管理/IP地址组管理]菜单项,进入IP地址组配置页面。
(3) 单击<增加>按钮,进入增加IP地址组页面。
(4) 配置IP地址组相关参数后,单击<确定>按钮完成操作。
图2 增加IP地址组页面
(1) 单击导航树中[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面。
(2) 单击<增加>按钮,进入增加设备信息页面。
(3) 配置设备信息相关参数后,单击<确定>按钮完成操作。
图3 增加设备信息页面
(1) 单击导航树中[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面。
(2) 在设备列表中,单击端口组信息管理图标,进入端口组信息配置页面。
(3) 单击<增加>按钮,进入增加端口组信息页面。
(4) 配置端口组信息相关参数后,单击<确定>按钮完成操作。
图4 增加端口组信息页面
(1) Host用户认证前域认证通过之后,执行以下命令显示IPoE个人会话详细信息,其中,vlan77的用户获得的IP地址为192.168.82.0。
<vBRAS> display ip subscriber session verbose
Basic:
Description : -
Username : 000c294d53cd
Domain : dm0
VPN instance : N/A
IP address : 192.168.82.0
User address type : N/A
MAC address : 000c-294d-53cd
Service-VLAN/Customer-VLAN : 77/-
Access interface : Vsi1
User ID : 0x38200000
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83886380
VXLAN ID : 300
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86359 sec
Access time : Mar 30 07:42:22 2018
Online time(hh:mm:ss) : 00:00:40
Service node : Slot 1 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : ipoe
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Mar 30 07:42:22 2018
Redirect URL : http://70.1.1.200:8080/portal/
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web (active)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
(2) 登录Web页面,输入任意IP地址,被重定向至iMC Portal登录页面,如下图所示。
图5 iMC Portal登录页面
(3) 输入用户名admin,密码123456,提示用户上线成功,IPoE会话显示用户已经上线。
图6 用户上线成功页面
(4) 执行以下命令显示IPoE个人会话详细信息。
<vBRAS> display ip subscriber session verbose
Basic:
Description : -
Username : admin
Domain : dm1
VPN instance : N/A
IP address : 192.168.82.0
User address type : N/A
MAC address : 000c-294d-53cd
Service-VLAN/Customer-VLAN : 77/-
Access interface : Vsi1
User ID : 0x38200000
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83886380
VXLAN ID : 300
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86197 sec
Access time : Mar 30 07:42:22 2018
Online time(hh:mm:ss) : 00:00:19
Service node : Slot 1 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : ipoe
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Separate
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Mar 30 07:45:25 2018
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
#
sysname vBRAS
#
telnet server enable
#
irf mac-address persistent always
irf auto-update enable
irf auto-merge enable
irf domain 20171121
irf member 1 priority 20
irf member 2 priority 1
#
track 1 interface Ten-GigabitEthernet1/5/0
#
track 2 interface Ten-GigabitEthernet1/6/0
#
track 3 interface Ten-GigabitEthernet2/5/0
#
track 4 interface Ten-GigabitEthernet2/6/0
#
dhcp enable
#
password-recovery enable
#
irf-port 1
port group interface GigabitEthernet1/2/0
#
irf-port 2
port group interface GigabitEthernet2/2/0
#
traffic classifier web_permit operator and
if-match acl 3500
#
traffic classifier web_http operator and
if-match acl 3501
#
traffic classifier web_https operator and
if-match acl 3502
#
traffic classifier web_deny operator and
if-match acl 3503
#
traffic classifier web_out operator and
if-match acl 3504
#
traffic behavior web_permit
filter permit
#
traffic behavior web_http
redirect http-to-cpu
#
traffic behavior web_https
redirect https-to-cpu
#
traffic behavior web_deny
filter deny
#
traffic behavior web_out
filter permit
#
qos policy out
classifier web_out behavior web_out
classifier web_deny behavior web_deny
#
qos policy web
classifier web_permit behavior web_permit
classifier web_http behavior web_http
classifier web_https behavior web_https
classifier web_deny behavior web_deny
#
dhcp server ip-pool pool1
gateway-list 192.168.1.1
network 192.168.0.0 mask 255.255.0.0
forbidden-ip 192.168.1.1
#
l2vpn enable
#
vsi ipoe
gateway vsi-interface 1
vxlan 300
tunnel 300
#
interface Reth1
description UP
mtu 2000
member interface Ten-GigabitEthernet1/5/0 priority 100
member interface Ten-GigabitEthernet2/5/0 priority 1
#
interface Reth1.1
mtu 2000
ip address 70.1.1.1 255.255.255.0
vlan-type dot1q vid 77
#
interface Reth2
description DOWN
member interface Ten-GigabitEthernet1/6/0 priority 100
member interface Ten-GigabitEthernet2/6/0 priority 1
#
interface Reth2.1
mtu 2000
ip address 10.10.10.1 255.255.255.0
vlan-type dot1q vid 77
#
interface Reth3
description telnet
ip address 172.16.12.195 255.255.255.0
member interface GigabitEthernet1/1/0 priority 100
member interface GigabitEthernet2/1/0 priority 1
#
interface NULL0
#
interface LoopBack0
ip address 1.1.1.2 255.255.255.255
#
interface GigabitEthernet1/1/0
port link-mode route
description Reth1
#
interface GigabitEthernet1/2/0
port link-mode route
description irf
#
interface GigabitEthernet1/3/0
port link-mode route
#
interface GigabitEthernet1/4/0
port link-mode route
#
interface GigabitEthernet2/1/0
port link-mode route
description Reth1
#
interface GigabitEthernet2/2/0
port link-mode route
description irf
#
interface GigabitEthernet2/3/0
port link-mode route
#
interface GigabitEthernet2/4/0
port link-mode route
#
interface Ten-GigabitEthernet1/5/0
port link-mode route
mtu 2000
#
interface Ten-GigabitEthernet1/6/0
port link-mode route
#
interface Ten-GigabitEthernet2/5/0
port link-mode route
mtu 2000
#
interface Ten-GigabitEthernet2/6/0
port link-mode route
#
interface Vsi-interface1
ip address 192.168.1.1 255.255.0.0
ip subscriber l2-connected enable
ip subscriber authentication-method web
ip subscriber pre-auth domain dm0
#
interface Tunnel300 mode vxlan
source 1.1.1.2
destination 2.2.2.2
#
scheduler logfile size 16
#
line class aux
user-role network-operator
#
line class console
user-role network-admin
#
line class vty
user-role network-operator
#
line aux 0 1
user-role network-operator
#
line con 0 1
user-role network-admin
#
line vty 0 63
authentication-mode none
user-role network-admin
user-role network-operator
idle-timeout 0 0
#
ip route-static 2.2.2.2 32 10.10.10.10
ip route-static 172.16.0.0 16 172.16.12.1
#
qos apply policy web global inbound
qos apply policy out global outbound
#
redundancy group 1
member interface Reth1
member interface Reth2
member interface Reth3
node 1
bind slot 1
priority 100
track 1 interface Ten-GigabitEthernet1/5/0
track 2 interface Ten-GigabitEthernet1/6/0
node 2
bind slot 2
track 3 interface Ten-GigabitEthernet2/5/0
track 4 interface Ten-GigabitEthernet2/6/0
#
acl advanced 3500
rule 0 permit ip destination 70.1.1.200 0 user-group web
#
acl advanced 3501
rule 0 permit tcp destination-port eq www user-group web
#
acl advanced 3502
rule 0 permit tcp destination-port eq 443 user-group web
#
acl advanced 3503
rule 0 permit ip user-group web
#
acl advanced 3504
rule 0 permit ip source 70.1.1.200 0 user-group web
#
acl ipv6 advanced 3100
rule 0 permit ipv6 destination 26::/64 user-group web
#
acl ipv6 advanced 3101
rule 0 permit tcp destination-port eq www user-group web
#
acl ipv6 advanced 3102
rule 0 permit ipv6 user-group web
#
acl ipv6 advanced 3103
rule 0 permit ipv6 source 26::/64 user-group web
#
radius scheme rs1
primary authentication 172.16.29.11 key cipher $c$3$rpPT8B0o7mAWukTugCdHFrYcq/dgJGopfQ==
primary accounting 172.16.29.11 key cipher $c$3$ZVa9o7ZeSJKeQW96TbL0wz6JiREV8H+GQg==
user-name-format without-domain
#
domain name dm0
authorization-attribute user-group web
authorization-attribute ip-pool pool1
authentication ipoe none
authorization ipoe none
accounting ipoe none
web-server url http://70.1.1.200:8080/portal/
web-server ip 70.1.1.200
#
domain name dm1
authentication ipoe radius-scheme rs1
authorization ipoe radius-scheme rs1
accounting ipoe radius-scheme rs1
#
domain name system
#
domain default enable dm1
#
role name level-0
description Predefined level-0 role
#
role name level-1
description Predefined level-1 role
#
role name level-2
description Predefined level-2 role
#
role name level-3
description Predefined level-3 role
#
role name level-4
description Predefined level-4 role
#
role name level-5
description Predefined level-5 role
#
role name level-6
description Predefined level-6 role
#
role name level-7
description Predefined level-7 role
#
role name level-8
description Predefined level-8 role
#
role name level-9
description Predefined level-9 role
#
role name level-10
description Predefined level-10 role
#
role name level-11
description Predefined level-11 role
#
role name level-12
description Predefined level-12 role
#
role name level-13
description Predefined level-13 role
#
role name level-14
description Predefined level-14 role
#
user-group 1
#
user-group system
#
user-group web
#
local-user admin class manage
password hash $h$6$hCF8ngQxFryQeuqp$9zobscNldgfOsQ9mUQUedmdfeOkmj6AQuJgawF0QES3kdHj5LkJyYNsoowGmqwfHfvIOHOn5HErhR6BkK0/2Rw==
service-type ftp
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
ftp server enable
#
portal server newpt
ip 70.1.1.200 key cipher $c$3$Fr7QdNf98IyrALDHj32MxUMxYS9jIA==
#
http-redirect https-port 99
#
return
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/jsp/ir/fileList.do?classID=103&fileID=165210配置指导
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/jsp/ir/fileList.do?classID=103&fileID=165210命令参考
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!