13-H3C vBRAS转控分离场景支持IPoE Web支持访问控制典型配置举例
本章节下载: 13-H3C vBRAS转控分离场景支持IPoE Web支持访问控制典型配置举例 (502.41 KB)
H3C vBRAS路由器转控分离场景支持IPoE Web支持访问限制配置举例
资料版本:5W100-20190625
产品版本:E1218 and later
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍vBRAS(Virtual Broadband Remote Access Server,虚拟宽带远程接入服务器)转控分离场景支持IPoE Web(IP over Ethernet)支持访问限制配置举例。可以实现对通过IPoE Web方式登录的用户进行访问限制。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)、IPoE冗余口、冗余组以及IRF(Intelligent Resilient Framework,智能弹性架构)等特性。
如图1所示:
· POP交换机与DP建立VXLAN-DCI隧道(VXLAN Data Center Interconnect,VXLAN数据中心互联),CP和DP建立VXLAN隧道;
· 用户认证和计费通过RADIUS server完成;
· 用户地址分配通过DHCP server完成;
· 用户上线过程通过portal&web server完成;
· CP和DP设备采用堆叠热备组网,与portal server三层互通。
图1 IPoE Web 访问控制典型配置举例组网图
· 配置IPoE Web转控分离的基础配置;
· DP上配置访问控制用户的ACL,用户的类,流行为,QoS策略关联类和流行为;
· CP上配置访问控制用户组信息。
· IPoE Web访问限制通过全局MQC(模块化QoS配置,Modular QoS Configuration匹配带指定user-group属性的用户流量实现访问限制。
· 下发的user-group必须是vBRAS已经创建的user-group才能生效。
转控分离支持IPoE Web基础配置参考典型配置(配置过程略)。
(1) 创建本地用户组。
# 创建访问控制用户组,名称为usercontrol。
[DP] user-group usercontrol
[DP-ugroup-usercontrol]quit
(2) 配置用于访问控制用户的ACL规则。
# 为IPv4高级ACL 3530创建规则如下:匹配用户组usercontrol中目的地址为白名单模式中要放行的地址,或者黑名单模式中要禁止访问的地址。
[DP] acl advanced 3530
[DP-acl-ipv4-adv-3530] rule 0 permit ip destination 200.200.200.200 0 user-group usercontrol
[DP-acl-ipv4-adv-3530] quit
# 为IPv4高级ACL 3531创建规则如下:匹配用户组usercontrol的所有ip报文,匹配白名单模式中所有不允许访问的地址。
[DP] acl advanced 3531
[DP-acl-ipv4-adv-3530] rule 0 permit ip user-group usercontrol
[DP-acl-ipv4-adv-3530] quit
(3) 配置用于访问控制用户的类。
# 配置类usercontrol,匹配ACL 3530。
[DP] traffic classifier usercontrol operator and
[DP-classifier-usercontrol] if-match acl 3530
[DP-classifier-usercontrol] quit
# 配置类white,匹配ACL 3531。
[DP] traffic classifier white operator and
[DP-classifier-usercontrol] if-match acl 3531
[DP-classifier-usercontrol] quit
(4) 配置用于访问控制用户流行为。
# 配置流行为usercontrol。
[DP] traffic behavior usercontrol
· 如果为黑名单模式,则配置如下一条命令。
[DP-behavior-usercontrol] filter deny
· 如果为白名单模式,则配置如下一条命令。
[DP-behavior-usercontrol] filter permit
[DP-behavior-usercontrol] quit
# 配置流行为white,白名单模式中禁止用户组usercontrol访问所有不在白名单的地址。
[DP] traffic behavior white
[DP-behavior-usercontrol] filter deny
[DP-behavior-usercontrol] quit
(5) 配置QoS策略。
# 配置入方向QoS策略web。
[DP] qos policy web
# 为类指定对应的流行为,规则为对于用户组usercontrol中的用户:允许目的地址为acl 3530中配置的IP地址的报文通过,其余报文均禁止通过。
[DP-qospolicy-web] classifier usercontrol behavior usercontrol
若为白名单模式,则配置如下一条类和对应流行为,黑名单模式不配置。
[DP-qospolicy-web] classifier white behavior white
[DP-qospolicy-web] quit
# 创建访问控制用户组,名称为usercontrol。
[CP] user-group usercontrol
[CP-ugroup-usercontrol]quit
# Host通过DHCP向vBRAS获取地址,获取成功后用户即通过认证前域可以在vBRAS上查看会话。此时用户的认证类型为web pre-auth,user-group为web。
[CP]display ip subscriber session verbose
Basic:
Description : -
Username : 005056be51ae
Domain : ipoe
VPN instance : N/A
IP address : 10.0.0.2
User address type : N/A
MAC address : 0050-56be-51ae
Service-VLAN/Customer-VLAN : 304/-
Access interface : Vsi1
User ID : 0x38200013
VPI/VCI(for ATM) : -/-
VSI Index : 1
VSI link ID : 83886081
VXLAN ID : 22
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Feb 18 12:52:11 2019
Online time(hh:mm:ss) : 00:00:14
Service node : Slot 1 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool group : ipoe2
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 18 12:52:11 2019
Redirect URL : http://172.16.55.166:8080/portal/
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web(N/A)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 811/43469
Downlink packets/bytes : 1/60
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 打开Host上的浏览器,输入任意IP地址,会被重定向至iMC Portal登录页面。
图2 iMC Portal登录页面
# 输入用户名和密码登录成功后会显示如下页面。
图3 用户上线成功计时页面
# 查看vBRAS上的会话信息,用户认证类型变为web,并且不带任何user-group属性。
[CP]display ip subscriber session verbose
Basic:
Description : -
Username : admin
Domain : web
VPN instance : N/A
IP address : 10.0.0.2
User address type : N/A
MAC address : 0050-56be-51ae
Service-VLAN/Customer-VLAN : 304/-
Access interface : Vsi1
User ID : 0x38200013
VPI/VCI(for ATM) : -/-
VSI Index : 1
VSI link ID : 83886081
VXLAN ID : 22
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Feb 18 12:52:11 2019
Online time(hh:mm:ss) : 00:00:21
Service node : Slot 1 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool group : ipoe2
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 18 12:53:50 2019
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 1266/70639
Downlink packets/bytes : 12/7485
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 此时用户不带访问限制属性,可以访问目的地址为acl 3050中的IP地址和其他地址。
# 通过COA下发user-group属性usercontrol给用户,下发后用户只限访问acl 3050中的IP地址,其他地址无法访问。
[CP]display ip subscriber session verbose
Basic:
Description : -
Username : admin
Domain : web
VPN instance : N/A
IP address : 10.0.0.2
User address type : N/A
MAC address : 0050-56be-51ae
Service-VLAN/Customer-VLAN : 304/-
Access interface : Vsi1
User ID : 0x38200012
VPI/VCI(for ATM) : -/-
VSI Index : 1
VSI link ID : 83886081
VXLAN ID : 22
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : N/A
Access time : Feb 18 11:54:34 2019
Online time(hh:mm:ss) : 00:21:42
Service node : Slot 1 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool group : ipoe2
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 18 11:55:26 2019
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : usercontrol(N/A)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 75012/3921877
Downlink packets/bytes : 1196/80030
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
· DP
#
sysname CP
#
traffic classifier usercontrol operator and
if-match acl 3530
#
traffic classifier white operator and
if-match acl 3531
#
traffic behavior usercontrol
filter permit
#
traffic behavior white
filter deny
#
qos policy web
classifier usercontrol behavior usercontrol
classifier white behavior white
#
user-group usercontrol
#
· CP
#
sysname CP
#
user-group usercontrol
#
· H3C vBRAS系列虚拟宽带远程接入服务器 配置指导-E1218
· H3C vBRAS系列虚拟宽带远程接入服务器 命令参考-E1218
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!