H3C vBRAS转控分离场景典型配置案例集-E1218-5W100

12-H3C vBRAS转控分离场景支持IPoE Web特通功能典型配置举例

H3C vBRAS转控分离场景支持IPoE Web特通功能典型配置举例

资料版本：5W100-20190625

产品版本：E1218 and later

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

1 简介

本文档介绍H3C vBRAS（Virtual Broadband Remote Access Server，虚拟宽带远程接入服务器）转控分离场景支持IPoE Web（IP over Ethernet）特通功能典型配置举例。H3C vBRAS虚拟路由器有别于H3C公司以往的各系列物理路由器，是一款运行在标准服务器虚拟机上的纯软件路由器产品。IPoE Web特通功能是为大型国际会议允许特定账号可直接访问国际出口而设计。

2 配置前提

· 本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

· 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

· 本文档假设您已了解ACL（Access Control List，访问控制列表）、QoS(quality of service服务质量)、策略路由、AAA（Authentication、Authorization、Accounting，认证、授权、计费）等特性。

3 配置举例

3.1 组网需求

如图1所示：

· POP交换机与DP建立VXLAN-DCI隧道（VXLAN Data Center Interconnect，VXLAN数据中心互联），CP和DP建立VXLAN隧道(Virtual eXtensible LAN，可扩展虚拟局域网络)。

· 用户认证和计费通过RADIUS server完成。

· 用户地址分配通过DHCP server完成。

· 用户上线过程通过portal&web server完成。

· CP和DP设备采用堆叠热备组网，与Portal server三层互通。

图1 IPoE Web特通功能典型配置举例组网图

3.2 配置思路

(1) 配置 IPoE Web转控分离的基础配置。

(2) DP上配置特通功能，配置特通用户ACL，特通用户类匹配ACL规则，流行为对特通用户流量打标记，特通QoS策略关联类和流行为，配置用户user-profile和策略路由。

(3) CP上配置特通功能，给特通用户授权user-profile。

(3) 认证前DNS流量控制。

# 把地址池中用户dns地址放通,192.168.20.100 是DNS服务器的地址。

<VBRAS-DP> system

[VBRAS-DP] acl advanced 3500

[VBRAS-DP-acl-ipv4-adv-3500] rule 10 permit ip destination 192.168.20.100 0 user-group web

[VBRAS-DP] acl advanced 3504

[VBRAS-DP-acl-ipv4-adv-3504] rule 10 permit ip source 192.168.20.100 0 user-group web

[VBRAS-DP-acl-ipv4-adv-3504] quit

# 配置ACL匹配认证前用户的DNS流量。

[VBRAS-DP] acl advanced 3900

[VBRAS-DP-acl-ipv4-adv-3900] description acl_for_pre_dns

[VBRAS-DP-acl-ipv4-adv-3900] rule 10 permit udp destination-port eq dns

[VBRAS-DP-acl-ipv4-adv-3900] rule 20 permit tcp destination-port eq dns

[VBRAS-DP-acl-ipv4-adv-3900] quit

# 配置流量类DNS的规则。

[VBRAS-DP] traffic classifier dns operator or

[VBRAS-DP-classifier-dns] if-match acl 3900

[VBRAS-DP-classifier-dns] quit

# 配置DNS流量类行为，标记ID值为4095。

[VBRAS-DP] traffic behavior dns

[VBRAS-DP-behavior-dns] remark qos-local-id 4095

[VBRAS-DP-behavior-dns] quit

# 配置DNS流量QoS规则。

[VBRAS-DP] qos policy dns

[VBRAS-DP-qospolicy-dns] classifier dns behavior dns

[VBRAS-DP-qospolicy-dns] quit

# 配置用户的DNS流量策略dns，入方向引用QoS策略dns。

[VBRAS-DP] user-profile dns

[VBRAS-DP-user-profile-dns] qos apply policy dns inbound

[VBRAS-DP-user-profile-dns] quit

(4) 认证后特通用户流量控制。

# 配置匹配特通用户的报文ACL，匹配特通用户除portal server方向流量所有流量。

[VBRAS-DP] acl advanced 3999

[VBRAS-DP-acl-ipv4-adv-3900] rule 0 deny ip destination 172.16.55.166 0

[VBRAS-DP-acl-ipv4-adv-3900] rule 5 permit ip

[VBRAS-DP-acl-ipv4-adv-3900] quit

# 配置类tetong匹配规则3999。

[VBRAS-DP] traffic classifier tetong operator and

[VBRAS-DP-classifier-tetong] if-match acl 3999

[VBRAS-DP-classifier-tetong] quit

# 配置流行为tetong，标记ID值为4095。

[VBRAS-DP] traffic behavior tetong

[VBRAS-DP-behavior-tetong] remark qos-local-id 4095

[VBRAS-DP-behavior-tetong] quit

# 配置tetong策略，为类tetong指定对应的流行为为增加标记4095。

[VBRAS-DP] qos policy tetong

[VBRAS-DP-qospolicy-tetong] classifier tetong behavior tetong

[VBRAS-DP-qospolicy-tetong] quit

# 配置用户策略tetong，入方向引用QoS策略tetong。

[VBRAS-DP] user-profile tetong

[VBRAS-DP-isp-tetong] qos apply policy tetong inbound

[VBRAS-DP-isp-tetong] quit

# 配置tetong策略路由，如果匹配标记为4095，则流量下一跳为特通防火墙。

[VBRAS-DP] policy-based-route tetong permit node 10

[VBRAS-DP-pbr-tetong-10] if-match qos-local-id 4095

[VBRAS-DP-pbr-tetong-10] apply next-hop 202.1.1.254

[VBRAS-DP-pbr-tetong-10] quit

# 接入接口引用策略路由。

[VBRAS-DP] interface Vsi-interface1

[VBRAS-DP-Reth2] ip policy-based-route tetong

[VBRAS-DP-Reth2] quit

# 配置大陆防火墙设备连通链路的出接口地址。

[VBRAS-DP] interface reth 4

[VBRAS-DP-Reth4] ip address 203.1.1.1 255.255.255.0

[VBRAS-DP-Reth4] quit

# 配置特通防火墙设备连通链路的出接口地址。

[VBRAS-DP] interface reth3

[VBRAS-DP-Reth3] ip address 202.1.1.1 255.255.255.0

[VBRAS-DP-Reth3] quit

# 指定默认路由，下一跳为大陆防火墙。

[VBRAS-DP] ip route-static 0.0.0.0 0 203.1.1.250 description default-firewall

# 用户在认证时，RADIUS服务器向用户下发用户策略user-profile tetong。

3.4.2 配置CP

(1) 认证前域下配置授权DNS流量策略dns。

<CP> system

[CP] domain name ipoe

[CP-isp-ipoe] authorization-attribute user-profile dns

[CP-isp-ipoe] quit

(2) CP上配置user-profile dns 和tetong。

[CP] user-profile tetong

[CP-user-profile-tetong] quit

[CP] user-profile dns

[CP-user-profile-dns] quit

Basic:

Description : -

Username : 005056be51ae

Domain : ipoe

VPN instance : N/A

IP address : 10.0.0.2

User address type : N/A

MAC address : 0050-56be-51ae

Service-VLAN/Customer-VLAN : 304/-

Access interface : Vsi1

User ID : 0x3820000c

VPI/VCI(for ATM) : -/-

VSI Index : 1

VSI link ID : 83886081

VXLAN ID : 22

DNS servers : 192.168.20.100

IPv6 DNS servers : N/A

DHCP lease : 86400 sec

DHCP remain lease : N/A

Access time : Feb 18 10:29:32 2019

Online time(hh:mm:ss) : 00:00:08

Service node : Slot 1 CPU 0

Authentication type : Web pre-auth

IPv4 access type : DHCP

IPv4 detect state : N/A

State : Online

AAA:

ITA policy name : N/A

IP pool group : ipoe2

IPv6 pool : N/A

Primary DNS server : N/A

Secondary DNS server : N/A

Primary IPv6 DNS server : N/A

Secondary IPv6 DNS server : N/A

Session idle cut : N/A

Session duration : N/A, remaining: N/A

Traffic quota : N/A

Traffic remained : N/A

Acct start-fail action : Online

Acct update-fail action : Online

Acct quota-out action : Offline

Dual-stack accounting mode : Merge

Max IPv4 multicast addresses: 4

IPv4 multicast address list : N/A

Max IPv6 multicast addresses: 4

IPv6 multicast address list : N/A

Accounting start time : Feb 18 10:34:34 2019

Redirect URL : http://172.16.55.166:8080/portal/

Subscriber ID : -

QoS:

User profile : dns(N/A)

Session group profile : N/A

User group ACL : web(N/A)

Inbound CAR : N/A

Outbound CAR : N/A

Inbound user priority : N/A

Outbound user priority : N/A

Flow statistic:

Uplink packets/bytes : 422/23832

Downlink packets/bytes : 4/376

IPv6 uplink packets/bytes : 0/0

IPv6 downlink packets/bytes : 0/0

# 使特通防火墙下一跳不可达，用户PC无法解析网址，无法完成网页重定向，获取认证页面。

图2 重定向页面

# 使特通防火墙下一跳可达，用户PC解析网址，获取认证页面。

图3 iMC Portal登录页面

# 特通用户输入用户名和密码认证，此时用户授权得到特通策略。

[CP] dis ip subscriber session verbose

Basic:

Description : -

Username : admin

Domain : web

VPN instance : N/A

IP address : 10.0.0.2

User address type : N/A

MAC address : 0050-56be-51ae

Service-VLAN/Customer-VLAN : 304/-

Access interface : Vsi1

User ID : 0x3820000d

VPI/VCI(for ATM) : -/-

VSI Index : 1

VSI link ID : 83886081

VXLAN ID : 22

DNS servers : 192.168.20.100

IPv6 DNS servers : N/A

DHCP lease : 86400 sec

DHCP remain lease : N/A

Access time : Feb 18 10:45:32 2019

Online time(hh:mm:ss) : 00:00:07

Service node : Slot 1 CPU 0

Authentication type : Web

IPv4 access type : DHCP

IPv4 detect state : N/A

State : Online

AAA:

ITA policy name : N/A

IP pool group : ipoe2

IPv6 pool : N/A

Primary DNS server : N/A

Secondary DNS server : N/A

Primary IPv6 DNS server : N/A

Secondary IPv6 DNS server : N/A

Session idle cut : N/A

Session duration : N/A, remaining: N/A

Traffic quota : N/A

Traffic remained : N/A

Acct start-fail action : Online

Acct update-fail action : Online

Acct quota-out action : Offline

Dual-stack accounting mode : Merge

Max IPv4 multicast addresses: 4

IPv4 multicast address list : N/A

Max IPv6 multicast addresses: 4

IPv6 multicast address list : N/A

Accounting start time : Feb 18 10:50:57 2019

Subscriber ID : -

QoS:

User profile : tetong(N/A)

Session group profile : N/A

User group ACL : N/A

Inbound CAR : CIR 10240kbps PIR 10240kbps CBS N/A(N/A)

Outbound CAR : CIR 40960kbps PIR 40960kbps CBS N/A(N/A)

Inbound user priority : N/A

Outbound user priority : N/A

Flow statistic:

Uplink packets/bytes : 461/30311

Downlink packets/bytes : 14/7565

IPv6 uplink packets/bytes : 0/0

IPv6 downlink packets/bytes : 0/0

# 用户PC ping外网，走特通防火墙，当特通防火墙不可达，无法访问外网；恢复后可以正常访问。

# 普通用户无特通策略，走默认大陆防火墙。

[CP] dis ip subscriber session verbose

Basic:

Description : -

Username : h3c

Domain : web

VPN instance : N/A

IP address : 10.0.0.2

User address type : N/A

MAC address : 0050-56be-51ae

Service-VLAN/Customer-VLAN : 304/-

Access interface : Vsi1

User ID : 0x3820000d

VPI/VCI(for ATM) : -/-

VSI Index : 1

VSI link ID : 83886081

VXLAN ID : 22

DNS servers : 192.168.20.100

IPv6 DNS servers : N/A

DHCP lease : 86400 sec

DHCP remain lease : N/A

Access time : Feb 18 10:45:32 2019

Online time(hh:mm:ss) : 00:00:11

Service node : Slot 1 CPU 0

Authentication type : Web

IPv4 access type : DHCP

IPv4 detect state : N/A

State : Online

AAA:

ITA policy name : N/A

IP pool group : ipoe2

IPv6 pool : N/A

Primary DNS server : N/A

Secondary DNS server : N/A

Primary IPv6 DNS server : N/A

Secondary IPv6 DNS server : N/A

Session idle cut : N/A

Session duration : N/A, remaining: N/A

Traffic quota : N/A

Traffic remained : N/A

Acct start-fail action : Online

Acct update-fail action : Online

Acct quota-out action : Offline

Dual-stack accounting mode : Merge

Max IPv4 multicast addresses: 4

IPv4 multicast address list : N/A

Max IPv6 multicast addresses: 4

IPv6 multicast address list : N/A

Accounting start time : Feb 18 10:59:43 2019

Subscriber ID : -

QoS:

User profile : N/A

Session group profile : N/A

User group ACL : N/A

Inbound CAR : N/A

Outbound CAR : N/A

Inbound user priority : N/A

Outbound user priority : N/A

Flow statistic:

Uplink packets/bytes : 630/39081

Downlink packets/bytes : 14/7567

IPv6 uplink packets/bytes : 0/0

IPv6 downlink packets/bytes : 0/0

# 普通用户ping 外网正常，即使特通防火墙不可达也不受影响。

3.6 配置文件

· DP

traffic classifier dns operator or

if-match acl 3900

traffic classifier tetong operator and

if-match acl 3999

traffic behavior dns

remark qos-local-id 4095

traffic behavior tetong

remark qos-local-id 4095

qos policy dns

classifier dns behavior dns

qos policy tetong

classifier tetong behavior tetong

policy-based-route tetong permit node 10

if-match qos-local-id 4095

apply next-hop 202.1.1.254

interface Reth3

ip address 202.1.1.1 255.255.255.0

interface Reth4

ip address 203.1.1.1 255.255.255.0

ip route-static 0.0.0.0 0 203.1.1.250 description default-firewall

acl advanced 3500

rule 10 permit ip destination 192.168.20.100 0 user-group web

acl advanced 3504

rule 10 permit ip source 192.168.20.100 0 user-group web

acl advanced 3900

description acl_for_pre_dns

rule 10 permit udp destination-port eq dns

rule 20 permit tcp destination-port eq dns

acl advanced 3999

rule 0 deny ip destination 172.16.55.166 0

rule 5 permit ip

user-profile dns

qos apply policy dns inbound

user-profile tetong

qos apply policy tetong inbound

· CP

user-profile dns

user-profile tetong

domain name ipoe

authorization-attribute user-profile dns

4 相关资料

· H3C vBRAS系列虚拟宽带远程接入服务器配置指导-E1218

· H3C vBRAS系列虚拟宽带远程接入服务器命令参考-E1218

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

热门推荐

智能联接

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

行业解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

H3C vBRAS转控分离场景典型配置案例集-E1218-5W100

目录

12-H3C vBRAS转控分离场景支持IPoE Web特通功能典型配置举例

联系我们