14-H3C vBRAS支持彩虹通道功能典型配置举例-5W100
本章节下载: 14-H3C vBRAS支持彩虹通道功能典型配置举例-5W100 (1.19 MB)
H3C vBRAS系列虚拟宽带远程接入服务器彩虹通道功能典型配置举例
Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
用户在欠费等情况下上网,可以访问设定的一些资源,如果访问其他URL,则重定向到一个网站(通知或者缴费)。在用户将要欠费的情况下访问URL,也会被重定向到一个网站,通知或者提示用户缴费。
· 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
· 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 本文档假设您已了解PPPoE、DHCP等特性。
· 本功能需要与AAA配合使用,进行本特性配置前,请先确认使用的AAA服务器是否支持H3C的246号(H3C-Auth-Detail-Result)和250号(H3c-WEB-URL)私有属性,并且可以在用户欠费或者即将欠费时下发此属性。
· 246号属性(H3C-Auth-Detail-Result),用于指示用户上线结果明细,比如当用户已经欠费或者即将欠费时通过此属性通知vBras(值为1时欠费,2为即将欠费)。
· 250号属性(H3c-WEB-URL),用于携带用户Web重定向URL,与246号属性配合使用。
如图1所示,要求以太网内的主机可以通过PPPoE接入vBRAS,并连接到外部网络。
· Host作为PPPoE Client,运行PPPoE客户端拨号软件。
· vBRAS作为PPPoE Server,配置本地CHAP认证,并通过PPP地址池为主机分配IP地址。
· 当用户即将欠费或者已经欠费时,访问网页会被重定向到指定的网页。
本举例是在vBRAS1000_H3C-CMW710-E1116-X64版本上进行配置和验证的。
· AAA下发的user profile必须事先在vBRAS配置完成。
· free-rule引用的ACL中必须放行dns server对应的ip地址以及重定向的url对应的IP地址。
# 配置RADIUS认证方案。
[vBRAS] radius scheme rs1
[vBRAS-radius-rs1] primary authentication 10.1.1.2
[vBRAS-radius-rs1] primary accounting 10.1.1.2
[vBRAS-radius-rs1] key authentication simple radius
[vBRAS-radius-rs1] key accounting simple radius
[vBRAS-radius-rs1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端,并使用PPP地址池为对端分配IP地址,并配置为对端指定DNS服务器的IP地址。
[vBRAS] interface virtual-template 1
[vBRAS-Virtual-Template1] ppp authentication-mode chap domain dm1
[vBRAS-Virtual-Template1] remote address pool 1
[vBRAS-Virtual-Template1] ppp ipcp dns 172.16.17.40
[vBRAS-Virtual-Template1] quit
# 配置PPP地址池(包含9个可分配的IP地址),和地址池网关地址。
[vBRAS] ip pool 1 172.18.0.2 172.18.0.254
[vBRAS] ip pool 1 gateway 172.18.0.1
# 在接口GigabitEthernet1/0/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface gigabitethernet 1/1/0
[vBRAS-GigabitEthernet1/1/0] pppoe-server bind virtual-template 1
[vBRAS-GigabitEthernet1/1/0] quit
# 创建ISP域dm1,配置域用户使用Radius认证方案。
[vBRAS] domain name dm1
[vBRAS-isp-dm1] authentication ppp radius-scheme rs1
[vBRAS-isp-dm1] authorization ppp radius-scheme rs1
[vBRAS-isp-dm1] accounting ppp radius-scheme rs1
[vBRAS-isp-dm1] quit
# 配置ACL,用于匹配白名单,此处只能配置IP过滤规则,其它规则无效,并且只支持acl advanced name和acl advanced 3000-3999。此处必须要放行dns server,以及重定向网址对应的IP。本例中的重定向网址及dns server的IP都为172.16.17.40。如需放行多个IP,则配置多条rule匹配。
[vBRAS] acl advanced 3000
[vBRAS-acl-ipv4-adv-3000] rule 5 permit ip destination 172.16.17.40 0
[vBRAS-acl-ipv4-adv-3000] rule 1000 deny ip
# 配置user-profile,匹配白名单acl。
[vBRAS]user-profile qf
[vBRAS-user-profile-qf] free-rule acl 3000
# AAA向用户下发如下属性:
H3C-Auth-Detail-Result=1 //为1时代表欠费,用户只能访问白名单内的ip,其它ip都被禁止,访问非白名单的http时,会被重定向到H3c-WEB-URL中的网址
H3c-WEB-URL="http://www.portal.com:8080/imc/" //此处为用户被重定向的网址,需要注意,此ip也必须在白名单中,本次中的url通过dns解析之后ip为172.16.17.40
Filter-Id="qf" //与配置中的user-profile名称相同
# 在vBRAS上查询用户详细信息如下(H3C-Auth-Detail-Result的值无法查看):
[vBRAS]display ppp access-user username qf verbose
Basic:
Interface: BAS1
PPP index: 0x140004302
User ID: 0x20000002
Username: qf
Domain: ppp
Access interface: GE1/3/0
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 000c-2935-8358
IP address: 172.18.0.2
Primary DNS server: 172.16.17.40
IPv6 address: -
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: N/A
VPN instance: -
Access type: PPPoE
Authentication type: PAP
PPPoE:
Session ID: 1
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Closed
Realtime accounting interval: -
Login time: 2018-03-29 09:58:14:563
Accounting start time: -
Online time(hh:mm:ss): 00:05:34
Accounting state: Stop
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 bytes, direction: Both
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Redirect WebURL: http://www.portal.com:8080/imc/
ITA policy name: -
MRU: 1480 bytes
IPv4 MTU: 1480 bytes
IPv6 MTU: 1480 bytes
ACL&QoS:
User profile: qf (active)
Session group profile: -
User group acl: -
Inbound CAR: -
Outbound CAR: -
User inbound priority: -
User outbound priority: -
Flow Statistic:
IPv4 uplink packets/bytes: 0/0
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
此时用户只能访问白名单中的IP,其它非HTTP的流量都不能访问,当访问非白名单的HTTP流量时,会被强制重定向到http://www.portal.com:8080/imc/。
# 在浏览器中输入http://www.163.com/之后,被重定向至iMC Portal登录页面,如下图所示。
图2 iMC Portal登录页面
# AAA向用户下发如下属性:
H3C-Auth-Detail-Result=2 //为2时代表即将欠费,用户可以正常上网,但是在访问http网页时会被重定向到H3c-WEB-URL中的网址,之后不会再被重定向。
H3c-WEB-URL="http://www.portal.com:8080/imc/" 此处为用户被重定向的网址
# 查询用户详细信息如下:
[vBRAS]display ppp access-user username qf verbose
Basic:
Interface: BAS1
PPP index: 0x140004302
User ID: 0x20000002
Username: qf
Domain: ppp
Access interface: GE1/3/0
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 000c-2935-8358
IP address: 172.18.0.3
Primary DNS server: 172.16.17.40
IPv6 address: -
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: N/A
VPN instance: -
Access type: PPPoE
Authentication type: PAP
PPPoE:
Session ID: 1
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Closed
Realtime accounting interval: -
Login time: 2018-03-29 10:07:10:84
Accounting start time: -
Online time(hh:mm:ss): 00:00:05
Accounting state: Stop
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 bytes, direction: Both
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Redirect WebURL: http://www.portal.com:8080/imc/
ITA policy name: -
MRU: 1480 bytes
IPv4 MTU: 1480 bytes
IPv6 MTU: 1480 bytes
ACL&QoS:
User profile: -
Session group profile: -
User group acl: -
Inbound CAR: -
Outbound CAR: -
User inbound priority: -
User outbound priority: -
Flow Statistic:
IPv4 uplink packets/bytes: 0/0
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
用户可以正常上网,但是当访问HTTP网页时,会被重定向到指定的网址。
# 首次在浏览器中输入http://www.h3c.com/,被重定向至iMC Portal登录页面,如下图所示。
图3 iMC Portal登录页面
# 再次查询用户信息,发现URL属性已经去掉。
[vBRAS]display ppp access-user username qf verbose
Basic:
Interface: BAS1
PPP index: 0x140004302
User ID: 0x20000002
Username: qf
Domain: ppp
Access interface: GE1/3/0
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 000c-2935-8358
IP address: 172.18.0.3
Primary DNS server: 172.16.17.40
IPv6 address: -
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: N/A
VPN instance: -
Access type: PPPoE
Authentication type: PAP
PPPoE:
Session ID: 1
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Closed
Realtime accounting interval: -
Login time: 2018-03-29 10:07:10:84
Accounting start time: -
Online time(hh:mm:ss): 00:05:27
Accounting state: Stop
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 bytes, direction: Both
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Redirect WebURL: -
ITA policy name: -
MRU: 1480 bytes
IPv4 MTU: 1480 bytes
IPv6 MTU: 1480 bytes
ACL&QoS:
User profile: -
Session group profile: -
User group acl: -
Inbound CAR: -
Outbound CAR: -
User inbound priority: -
User outbound priority: -
Flow Statistic:
IPv4 uplink packets/bytes: 0/0
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
# 此时用户再次输入http://www.h3c.com/,可以正常访问网页,之后不会再被重定向。
图4 http://www.h3c.com/对应网页
#
sysname vBRAS
#
ip pool 2 172.18.0.2 172.18.0.254
ip pool 2 gateway 172.18.0.1
#
interface Virtual-Template1
ppp authentication-mode pap chap domain ppp
ppp ipcp dns 172.16.17.40
remote address pool 2
#
interface GigabitEthernet1/1/0
pppoe-server bind virtual-template 1
#
acl advanced 3000 match-order auto
rule 5 permit ip destination 172.16.17.40 0
rule 10 deny ip
#
user-profile qf
free-rule acl 3000
#
radius scheme pc
primary authentication 172.16.17.17 key cipher $c$3$xbim8brzCEhCJU4S5elciYd6NX1
N9MZfJg==
primary accounting 172.16.17.17 key cipher $c$3$Y8h3ucCtJv8bjQmr/4EyqcD6zEy5zIc
UNw==
user-name-format without-domain
#
domain name ppp
authentication default radius-scheme pc
authorization default radius-scheme pc
accounting default radius-scheme pc
#
return
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/jsp/ir/fileList.do?classID=103&fileID=165210配置指导
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/jsp/ir/fileList.do?classID=103&fileID=165210命令参考
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!