07-H3C vBRAS路由器专控分离场景支持ITA功能典型配置举例
本章节下载: 07-H3C vBRAS路由器专控分离场景支持ITA功能典型配置举例 (178.16 KB)
资料版本:5W100-20190625
产品版本:E1218 and later
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍了CP虚拟路由器配合ITA(Intelligent Target Accounting,智能靶向计费)进行应用的举例,ITA根据接入用户访问的不同目的地址定义不同的计费级别,提供基于目的地址的差别化计费服务。例如在校园网中,可以通过在用户的接入设备上应用ITA业务策略对访问教育网内的用户流量不收费或者收很低的费用,而对于访问教育网外Internet的用户流量收取较高的费用。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VXLAN、ITA、PPPoE等特性。
· Host作为PPPoE Client,通过PoP交换机以PPPoE方式接入到vBRAS(CP)设备,其中PoP交换机和DP之间、DP与CP之间分别建立VXLAN隧道,用于承载CP与Host之间的PPPoE协商报文;
· CP作为PPPoE Server,并通过DHCP地址池为主机分配IP地址;
· 采用RADIUS server1作为认证、授权和主计费服务器;
· 采用RADIUS server2作为ITA(Intelligent Target Accounting,智能靶向计费)业务流量的计费服务器,对Host访问FTP server的业务流量按照级别1进行计费;
· CP(VBRAS)上报给RADIUS server1的用户计费流量中不包含ITA业务流量,且不允许用户在ITA业务流量配额耗尽后继续访问。
图1 PPPoE转控分离支持ITA业务配置组网图
· 配置PPPoE转控分离的基础配;
· 配置RADIUS服务器,以Free RADIUS为例,为用户进行认证和授权;
· 在CP上配置用户主业务计费服务器和ITA业务计费服务器,定义ITA策略;
· 在DP上配置ACL和QoS策略,用于标记ITA业务流量。
· 此文档只针对ITA功能给出配置举例,PPPoE转控分离的基础配置请参照《H3C vBRAS转控分离场景支持PPPoE业务典型配置举例》。
· 在部署了ITA业务策略的组网环境中,我们将标记了计费级别的用户流量称为ITA业务流量,其它的用户流量称做非ITA业务流量。这样,根据每个用户是否有ITA业务流量可以将该用户的总计费流量将分成两种情况:第一种情况,总计费流量仅由非ITA业务流量组成;第二种情况,总计费流量由ITA业务流量和非ITA业务流量组成。用户的总计费流量是否包含ITA业务流量可以通过配置进行控制。各个级别的ITA业务流量可以独立于用户的总流量进行计费,可以与总计费流量采用不同的计费方案。
# 分别在RADIUS server1和RADIUS server2上配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
client 5.5.5.2/32 {
ipaddr = 5.5.5.2
netmask=32
secret=radius
}
# 配置合法用户信息。
在users文件中增加如下信息:
test Cleartext-Password :="radius"
Filter-Id :="profile1"
以上信息表示:用户名为test,授权User Profile为profile1。
(1) 配置各接口IP地址和路由协议及转控分离的基础配置(略)。具体配置步骤请参照《H3C vBRAS转控分离场景支持PPPoE业务典型配置举例》。
(2) 配置RADIUS方案。
# 创建名称为rs1的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server1作为认证、授权和计费服务器。
<CP> system-view
[CP] radius scheme rs1
# 配置主认证和主计费服务器及其通信密钥。
[CP-radius-rs1] primary authentication 4.4.4.1
[CP-radius-rs1] primary accounting 4.4.4.1
[CP-radius-rs1] key authentication simple radius
[CP-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[VBRAS-radius-rs1] user-name-format without-domain
[VBRAS-radius-rs1] quit
# 创建名称为rs2的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server2作为ITA业务流量计费服务器。
[CP] radius scheme rs2
# 配置主计费服务器及其通信密钥。
[CP-radius-rs2] primary accounting 5.5.5.1
[CP-radius-rs2] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[CP-radius-rs1] user-name-format without-domain
[CP-radius-rs1] quit
(3) 配置ISP域。
# 创建并进入名称为dm1的ISP域。
[CP] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[CP-isp-dm1] authentication ppp radius-scheme rs1
[CP-isp-dm1] authorization ppp radius-scheme rs1
[CP-isp-dm1] accounting ppp radius-scheme rs1
# 配置ISP域使用的ITA策略ita。
[CP-isp-dm1] ita-policy ita
[CP-isp-dm1] quit
(4) 创建User Profile profile1。
[CP] user-profile profile1
(5) 配置ITA业务策略
# 创建ITA业务策略ita。
[CP] ita policy ita
# 配置ITA业务使用计费方案rs2。
[CP-ita-policy-ita] accounting-method radius-scheme rs2
# 配置IPv4流量计费级别为1。
[CP-ita-policy-ita] accounting-level 1 ipv4
# 开启ITA业务流量与用户总计费流量分离功能。
[CP-ita-policy-ita] traffic-separate enable
# 配置ITA业务流量配额耗尽后用户不可以继续访问授权的目的IP地址段。
[CP-ita-policy-ita] traffic-quota-out offline
[CP-ita-policy-ita] quit
(6) PPPoE接入配置(略)。
(1) 配置QoS策略。
# 配置ACL 3000,允许目的地址为103.1.1.3/32的报文通过。
[DP] acl advanced 3000
[DP-acl-ipv4-adv-3000] rule 0 permit ip destination 103.1.1.3 0
[DP-acl-ipv4-adv-3000] quit
# 配置类classifier_1,匹配ACL 3000。
[DP] traffic classifier classifier_1
[DP-classifier-classifier_1] if-match acl 3000
[DP-classifier-classifier_1] quit
# 定义流行为behavior_1。
[DP] traffic behavior behavior_1
# 标记流量计费级别为1。
[DP -behavior-behavior_1] remark account-level 1
# 定义QoS策略policy,为类classifier_1指定流行为behavior_1。
[DP] qos policy policy
[DP-qospolicy-policy] classifier classifier_1 behavior behavior_1
[DP-qospolicy-policy] quit
# 创建User Profile profile1。
[DP] user-profile profile1
# 对接收到的上线用户流量应用QoS策略。
[DP-user-profile-profile1] qos apply policy policy inbound
[DP-user-profile-profile1] quit
(2) PPPoE接入配置略
PPPoE用户接入成功后,查看用户详细信息,访问目的地址为1.1.1.1的报文将被按照Level 1级别在RADIUS server2上进行单独计费,访问其它目的IP地址的报文将在RADIUS server1上进行计费。可以通过display ppp access-user显示命令查看到在线用户的详细信息,其中包括了授权User Profile信息以及ITA业务流量统计信息。
[CP]display ppp access-user user-type pppoe verbose
Basic:
Interface: BAS0
PPP index: 0x140004400
User ID: 0x2800012d
Username: test
Domain: dm1
Access interface: Vsi1
Service-VLAN/Customer-VLAN: 1001/100
VXLAN ID: 1
MAC address: 0010-9400-1001
IP address: 50.1.0.2
IPv6 address: -
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: N/A
VPN instance: -
Access type: PPPoE
Authentication type: PAP
PPPoE:
Session ID: 1
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Closed
Realtime accounting interval: -
Login time: 2019-02-18 03:48:01:404
Accounting start time: 2019-02-18 03:48:01:407
Online time(hh:mm:ss): 00:00:15
Accounting state: Accounting
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 bytes, direction: Both
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Redirect WebURL: -
ITA policy name: ita
MRU: 1492 bytes
IPv4 MTU: 1492 bytes
IPv6 MTU: 1492 bytes
Subscriber ID: -
ACL&QoS:
User profile: profile1 (N/A)
Session group profile: -
User group acl: -
Inbound CAR: -
Outbound CAR: -
User inbound priority: -
User outbound priority: -
Flow Statistic:
IPv4 uplink packets/bytes: 0/0
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
ITA:
Acct merge: Disabled
Traffic separate levels: 1 2 3 4 5 6 7 8
Acct quota-out action: Offline
Level-1 Inbound CAR : -
Outbound CAR: -
IPv4 uplink packets/bytes: 170838/16058772
IPv4 downlink packets/bytes: 539089/50674366
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Denied state: Not denied
通过debugging radius packet user test 查看用户test的ITA计费报文。
*Feb 18 03:59:23:376 2019 CP RADIUS/7/PACKET:
Sent a RADIUS packet
Server IP : 5.5.5.1
NAS-IP : 5.5.5.2
VPN instance : --(public)
Server port : 1813
Type : Accounting request
Length : 347
Packet ID : 1
*Feb 18 03:59:23:376 2019 CP RADIUS/7/PACKET:
User-Name="test"
NAS-Identifier=" VBRAS "
NAS-Port=4196
NAS-Port-Type=Ethernet
NAS-Port-Id="slot=0;subslot=0;port=1;vlanid=100;vlanid2=1001;vxlanid=1;"
Acct-Multi-Session-Id="00000005201902180359230000000308100493"
Filter-Id="profile1"
H3C-Accounting-Level=1
Acct-Session-Id="00000005201902180359230000000408100493"
H3c-Ip-Host-Addr="50.1.0.2 00:10:94:00:10:01"
Calling-Station-Id="00-10-94-00-10-01"
Framed-IP-Address=50.1.0.2
H3c-Domain-Name="dm1"
Framed-Protocol=PPP
Service-Type=Framed-User
NAS-IP-Address=5.5.5.2
Acct-Status-Type=Start
Acct-Delay-Time=0
Event-Timestamp="Feb 18 2019 03:59:23 UTC"
H3c-Product-Id="H3C vBRAS1000"
H3c-Nas-Startup-Timestamp=1549955994
#
sysname CP
#
dhcp enable
dhcp relay client-information record
#
openflow controller enable
#
dhcp server ip-pool public1
gateway-list 50.1.0.1 export-route
network 50.1.0.0 mask 255.255.0.0 export-route
forbidden-ip 50.1.0.1
#
l2vpn enable
#
vsi 1
gateway vsi-interface 1
vxlan 1
tunnel 1
#
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
ospf 1 area 0.0.0.0
#
interface Reth222
description toDP
ip address 222.1.1.1 255.255.255.0
ospf 1 area 0.0.0.0
member interface GigabitEthernet1/2/0.222 priority 100
member interface GigabitEthernet2/2/0.222 priority 50
#
interface Virtual-Template1
ppp authentication-mode chap pap domain dm1
ppp account-statistics enable
#
interface Vsi-interface1
mac-address 7425-8ae3-ba33
distributed-gateway local
pppoe-server bind virtual-template 1
pppoe-server control-plane-mode session
#
interface Tunnel1 mode vxlan
description toDP1
source 1.1.1.1
destination 1.1.1.2
#
radius scheme rs1
primary authentication 4.4.4.1
primary accounting 4.4.4.1
accounting-on enable
key authentication cipher $c$3$5PKl8o1GWWDIXsruHNOlWGbfWC8cWQ==
key accounting cipher $c$3$Y68d1AD75kfI7/1FW5NOnOCmGf42Iw==
user-name-format without-domain
#
radius scheme rs2
primary accounting 5.5.5.1
key authentication cipher $c$3$7Gc5zw3bEXR8AYwyVqEe5Zs1aHxMKQ==
key accounting cipher $c$3$izlLFns+BibFyMQ44a6/DTwLKCrJ1w==
user-name-format without-domain
#
ita policy ita
accounting-method radius-scheme rs1
accounting-level 1 ipv4
traffic-separate enable
#
domain name dm1
authorization-attribute ip-pool public1
authentication ppp radius-scheme rs1
authorization ppp radius-scheme rs1
accounting ppp radius-scheme rs1
ita-policy ita
#
user-profile profile1
#
#
sysname DP
#
openflow instance 1
default table-miss permit
undo tcp-connection backup
flow-table mac-ip 0 extensibility 1
classification global
data-plane enable
controller 1 address ip 1.1.1.1 local address ip 1.1.1.2
active instance
#
pppoe-server work-mode data-plane
#
mpls ldp
#
l2vpn enable
#
vsi 1
gateway vsi-interface 1
vxlan 1
tunnel 1
tunnel 101
#
interface Reth222
description toCP
ip address 222.1.1.2 255.255.255.0
ospf 1 area 0.0.0.0
member interface GigabitEthernet1/2/0 priority 100
member interface GigabitEthernet2/4/0 priority 50
#
pppoe-server work-mode data-plane
#
interface Vsi-interface1
mac-address 7425-8ae3-ba33
distributed-gateway local
pppoe-server bind virtual-template 1
#
interface Tunnel1 mode vxlan
description toCP
source 1.1.1.2
destination 1.1.1.1
#
interface Tunnel101 mode vxlan-dci
description toPOP
source 1.1.1.102
destination 1.1.1.101
#
acl advanced 3000
rule 0 permit ip destination 103.1.1.3 0
#
traffic classifier classifier_1 operator and
if-match acl 3000
#
traffic behavior behavior_1
remark account-level 1
#
qos policy policy
classifier classifier_1 behavior behavior_1
#
user-profile profile1
qos apply policy policy inbound
#
· H3C vBRAS系列虚拟宽带远程接入服务器 配置指导-E1218
· H3C vBRAS系列虚拟宽带远程接入服务器 命令参考-E1218
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!