12-H3C vBRAS转控分离场景支持IPoE Web特通功能典型配置举例
本章节下载: 12-H3C vBRAS转控分离场景支持IPoE Web特通功能典型配置举例 (679.26 KB)
H3C vBRAS转控分离场景支持IPoE Web特通功能典型配置举例
资料版本:5W100-20190625
产品版本:E1218 and later
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍H3C vBRAS(Virtual Broadband Remote Access Server,虚拟宽带远程接入服务器)转控分离场景支持IPoE Web(IP over Ethernet)特通功能典型配置举例。H3C vBRAS虚拟路由器有别于H3C公司以往的各系列物理路由器,是一款运行在标准服务器虚拟机上的纯软件路由器产品。IPoE Web特通功能是为大型国际会议允许特定账号可直接访问国际出口而设计。
· 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
· 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 本文档假设您已了解ACL(Access Control List,访问控制列表)、QoS(quality of service服务质量)、策略路由、AAA(Authentication、Authorization、Accounting,认证、授权、计费)等特性。
如图1所示:
· POP交换机与DP建立VXLAN-DCI隧道(VXLAN Data Center Interconnect,VXLAN数据中心互联),CP和DP建立VXLAN隧道(Virtual eXtensible LAN,可扩展虚拟局域网络)。
· 用户认证和计费通过RADIUS server完成。
· 用户地址分配通过DHCP server完成。
· 用户上线过程通过portal&web server完成。
· CP和DP设备采用堆叠热备组网,与Portal server三层互通。
图1 IPoE Web特通功能典型配置举例组网图
(1) 配置 IPoE Web转控分离的基础配置。
(2) DP上配置特通功能,配置特通用户ACL,特通用户类匹配ACL规则,流行为对特通用户流量打标记,特通QoS策略关联类和流行为,配置用户user-profile和策略路由。
(3) CP上配置特通功能,给特通用户授权user-profile。
特通策略路由应用在DP的VXLAN网关接口上。
(1) 转控分离支持IPoE Web基础配置参考典型配置(配置过程略)。
(2) IPoE Web特通功能主要有两部分组成认证前DNS流量控制,认证后特通用户流量控制。
(3) 认证前DNS流量控制。
# 把地址池中用户dns地址放通,192.168.20.100 是DNS服务器的地址。
<VBRAS-DP> system
[VBRAS-DP] acl advanced 3500
[VBRAS-DP-acl-ipv4-adv-3500] rule 10 permit ip destination 192.168.20.100 0 user-group web
[VBRAS-DP] acl advanced 3504
[VBRAS-DP-acl-ipv4-adv-3504] rule 10 permit ip source 192.168.20.100 0 user-group web
[VBRAS-DP-acl-ipv4-adv-3504] quit
# 配置ACL匹配认证前用户的DNS流量。
[VBRAS-DP] acl advanced 3900
[VBRAS-DP-acl-ipv4-adv-3900] description acl_for_pre_dns
[VBRAS-DP-acl-ipv4-adv-3900] rule 10 permit udp destination-port eq dns
[VBRAS-DP-acl-ipv4-adv-3900] rule 20 permit tcp destination-port eq dns
[VBRAS-DP-acl-ipv4-adv-3900] quit
# 配置流量类DNS的规则。
[VBRAS-DP] traffic classifier dns operator or
[VBRAS-DP-classifier-dns] if-match acl 3900
[VBRAS-DP-classifier-dns] quit
# 配置DNS流量类行为,标记ID值为4095。
[VBRAS-DP] traffic behavior dns
[VBRAS-DP-behavior-dns] remark qos-local-id 4095
[VBRAS-DP-behavior-dns] quit
# 配置DNS流量QoS规则。
[VBRAS-DP] qos policy dns
[VBRAS-DP-qospolicy-dns] classifier dns behavior dns
[VBRAS-DP-qospolicy-dns] quit
# 配置用户的DNS流量策略dns,入方向引用QoS策略dns。
[VBRAS-DP] user-profile dns
[VBRAS-DP-user-profile-dns] qos apply policy dns inbound
[VBRAS-DP-user-profile-dns] quit
(4) 认证后特通用户流量控制。
# 配置匹配特通用户的报文ACL,匹配特通用户除portal server方向流量所有流量。
[VBRAS-DP] acl advanced 3999
[VBRAS-DP-acl-ipv4-adv-3900] rule 0 deny ip destination 172.16.55.166 0
[VBRAS-DP-acl-ipv4-adv-3900] rule 5 permit ip
[VBRAS-DP-acl-ipv4-adv-3900] quit
# 配置类tetong匹配规则3999。
[VBRAS-DP] traffic classifier tetong operator and
[VBRAS-DP-classifier-tetong] if-match acl 3999
[VBRAS-DP-classifier-tetong] quit
# 配置流行为tetong,标记ID值为4095。
[VBRAS-DP] traffic behavior tetong
[VBRAS-DP-behavior-tetong] remark qos-local-id 4095
[VBRAS-DP-behavior-tetong] quit
# 配置tetong策略,为类tetong指定对应的流行为为增加标记4095。
[VBRAS-DP] qos policy tetong
[VBRAS-DP-qospolicy-tetong] classifier tetong behavior tetong
[VBRAS-DP-qospolicy-tetong] quit
# 配置用户策略tetong,入方向引用QoS策略tetong。
[VBRAS-DP] user-profile tetong
[VBRAS-DP-isp-tetong] qos apply policy tetong inbound
[VBRAS-DP-isp-tetong] quit
# 配置tetong策略路由,如果匹配标记为4095,则流量下一跳为特通防火墙。
[VBRAS-DP] policy-based-route tetong permit node 10
[VBRAS-DP-pbr-tetong-10] if-match qos-local-id 4095
[VBRAS-DP-pbr-tetong-10] apply next-hop 202.1.1.254
[VBRAS-DP-pbr-tetong-10] quit
# 接入接口引用策略路由。
[VBRAS-DP] interface Vsi-interface1
[VBRAS-DP-Reth2] ip policy-based-route tetong
[VBRAS-DP-Reth2] quit
# 配置大陆防火墙设备连通链路的出接口地址。
[VBRAS-DP] interface reth 4
[VBRAS-DP-Reth4] ip address 203.1.1.1 255.255.255.0
[VBRAS-DP-Reth4] quit
# 配置特通防火墙设备连通链路的出接口地址。
[VBRAS-DP] interface reth3
[VBRAS-DP-Reth3] ip address 202.1.1.1 255.255.255.0
[VBRAS-DP-Reth3] quit
# 指定默认路由,下一跳为大陆防火墙。
[VBRAS-DP] ip route-static 0.0.0.0 0 203.1.1.250 description default-firewall
# 用户在认证时,RADIUS服务器向用户下发用户策略user-profile tetong。
(1) 认证前域下配置授权DNS流量策略dns。
<CP> system
[CP] domain name ipoe
[CP-isp-ipoe] authorization-attribute user-profile dns
[CP-isp-ipoe] quit
(2) CP上配置user-profile dns 和tetong。
[CP] user-profile tetong
[CP-user-profile-tetong] quit
[CP] user-profile dns
[CP-user-profile-dns] quit
Router A作为默认大陆方向防火墙,与DP路由可达,不作详细介绍。
Router B作为默认特通方向防火墙,与DP路由可达,不作详细介绍。
# 用户接入进入认证前状态,此时用户授权得到DNS策略,用户的所有DNS流量走到特通防火墙。
[CP]dis ip subscriber session verbose
Basic:
Description : -
Username : 005056be51ae
Domain : ipoe
VPN instance : N/A
IP address : 10.0.0.2
User address type : N/A
MAC address : 0050-56be-51ae
Service-VLAN/Customer-VLAN : 304/-
Access interface : Vsi1
User ID : 0x3820000c
VPI/VCI(for ATM) : -/-
VSI Index : 1
VSI link ID : 83886081
VXLAN ID : 22
DNS servers : 192.168.20.100
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Feb 18 10:29:32 2019
Online time(hh:mm:ss) : 00:00:08
Service node : Slot 1 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool group : ipoe2
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 18 10:34:34 2019
Redirect URL : http://172.16.55.166:8080/portal/
Subscriber ID : -
QoS:
User profile : dns(N/A)
Session group profile : N/A
User group ACL : web(N/A)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 422/23832
Downlink packets/bytes : 4/376
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 使特通防火墙下一跳不可达,用户PC无法解析网址,无法完成网页重定向,获取认证页面。
图2 重定向页面
# 使特通防火墙下一跳可达,用户PC解析网址,获取认证页面。
图3 iMC Portal登录页面
# 特通用户输入用户名和密码认证,此时用户授权得到特通策略。
[CP] dis ip subscriber session verbose
Basic:
Description : -
Username : admin
Domain : web
VPN instance : N/A
IP address : 10.0.0.2
User address type : N/A
MAC address : 0050-56be-51ae
Service-VLAN/Customer-VLAN : 304/-
Access interface : Vsi1
User ID : 0x3820000d
VPI/VCI(for ATM) : -/-
VSI Index : 1
VSI link ID : 83886081
VXLAN ID : 22
DNS servers : 192.168.20.100
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Feb 18 10:45:32 2019
Online time(hh:mm:ss) : 00:00:07
Service node : Slot 1 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool group : ipoe2
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 18 10:50:57 2019
Subscriber ID : -
QoS:
User profile : tetong(N/A)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : CIR 10240kbps PIR 10240kbps CBS N/A(N/A)
Outbound CAR : CIR 40960kbps PIR 40960kbps CBS N/A(N/A)
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 461/30311
Downlink packets/bytes : 14/7565
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户PC ping外网,走特通防火墙,当特通防火墙不可达,无法访问外网;恢复后可以正常访问。
# 普通用户无特通策略,走默认大陆防火墙。
[CP] dis ip subscriber session verbose
Basic:
Description : -
Username : h3c
Domain : web
VPN instance : N/A
IP address : 10.0.0.2
User address type : N/A
MAC address : 0050-56be-51ae
Service-VLAN/Customer-VLAN : 304/-
Access interface : Vsi1
User ID : 0x3820000d
VPI/VCI(for ATM) : -/-
VSI Index : 1
VSI link ID : 83886081
VXLAN ID : 22
DNS servers : 192.168.20.100
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Feb 18 10:45:32 2019
Online time(hh:mm:ss) : 00:00:11
Service node : Slot 1 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool group : ipoe2
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 18 10:59:43 2019
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 630/39081
Downlink packets/bytes : 14/7567
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 普通用户ping 外网正常,即使特通防火墙不可达也不受影响。
· DP
#
traffic classifier dns operator or
if-match acl 3900
#
traffic classifier tetong operator and
if-match acl 3999
#
traffic behavior dns
remark qos-local-id 4095
#
traffic behavior tetong
remark qos-local-id 4095
#
qos policy dns
classifier dns behavior dns
#
qos policy tetong
classifier tetong behavior tetong
#
policy-based-route tetong permit node 10
if-match qos-local-id 4095
apply next-hop 202.1.1.254
#
interface Reth3
ip address 202.1.1.1 255.255.255.0
#
interface Reth4
ip address 203.1.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0 203.1.1.250 description default-firewall
#
acl advanced 3500
rule 10 permit ip destination 192.168.20.100 0 user-group web
#
acl advanced 3504
rule 10 permit ip source 192.168.20.100 0 user-group web
#
acl advanced 3900
description acl_for_pre_dns
rule 10 permit udp destination-port eq dns
rule 20 permit tcp destination-port eq dns
#
acl advanced 3999
rule 0 deny ip destination 172.16.55.166 0
rule 5 permit ip
#
user-profile dns
qos apply policy dns inbound
#
user-profile tetong
qos apply policy tetong inbound
#
· CP
#
user-profile dns
#
user-profile tetong
#
domain name ipoe
authorization-attribute user-profile dns
#
· H3C vBRAS系列虚拟宽带远程接入服务器 配置指导-E1218
· H3C vBRAS系列虚拟宽带远程接入服务器 命令参考-E1218
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!