- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-ITA业务配置
本章节下载: 05-ITA业务配置 (299.59 KB)
ITA(Intelligent Target Accounting,智能靶向计费)表示根据接入用户访问的不同目的地址定义不同的计费级别,实现基于目的地址的差别化计费。例如在校园网中,可以通过在用户的接入设备上应用ITA业务策略对访问教育网内的用户流量不收费或者收很低的费用,而对于访问教育网外Internet的用户流量收取较高的费用。
在部署了ITA业务策略的组网环境中,我们将标记了计费级别的用户流量称为ITA业务流量,其它的用户流量称做非ITA业务流量。这样,根据每个用户是否有ITA业务流量可以将该用户的总计费流量将分成两种情况:一,总计费流量仅由非ITA业务流量组成;二,总计费流量是ITA业务流量和非ITA业务流量的和。用户的总计费流量是否包含ITA业务流量可以通过配置进行控制。各个级别的ITA业务流量可以独立于用户的总流量进行计费,可以与总计费流量采用不同的计费方案。
如果授权给用户的ITA业务策略中配置了ITA业务所属的用户组,则该用户的ITA业务可加入指定的用户组,属于不同用户组的ITA业务流量将被授予不同的流量计费级别以及不同的流量监管参数。
本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。
仅SPEX类单板、CSPEX类单板(CSPEX-1104-E除外)、CEPC类单板支持配置ITA功能,ITA功能仅对IPoE、Portal和PPPoE用户生效。
指定需要进行计费的流量计费级别时,需要注意的是:
· 对于双栈PPPoE用户,不支持对IPv4和IPv6流量同时指定相同的计费级别。当指定的计费级别相同时,最后一次的配置生效。
· 指定需要进行计费的流量计费级别时,如果关键字ipv4或ipv6均未配置,则表示不进行计费。
· 对于不同接入方式的用户,流量计费级别配置的数量各不相同,如表1-1所示。
|
ITA用户 |
流量计费级别配置的数量 |
|
|
SPEX-1204单板 |
CSPEX类单板(CSPEX-1104-E除外)和CEPC类单板 |
|
|
通过VLAN接口接入的Portal用户 |
7个 |
7个 |
|
· 通过三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口接入的Portal用户 · IPoE用户 · PPPoE用户 |
1个(目前只支持level 1) |
4个(目前只支持level 1~level 4) |
需要通过以下几个步骤完成ITA业务策略的部署:
(1) 配置QoS策略。
通过配置流行为将访问不同目的地址的流量重标记为多个流量级别。流量重标记的详细配置请参见“ACL和QoS配置指导”中的“QoS”。
(2) 应用用于标记流量级别的QoS策略,有以下两种配置方式:
¡ 接口视图或者全局视图下直接应用用于标记流量级别的QoS策略。本配置不适用于通过VLAN接口接入的Portal用户。
¡ 定义User Profile,并在User Profile内应用用于标记流量级别的QoS策略。
User Profile的详细配置请参见“BRAS业务配置指导”中的“User Profile”。
应用用于标记流量级别的QoS策略的两种配置方式不能同时配置,否则会导致ITA功能出现异常,无法正常计费。
(3) 配置授权User Profile。请选择其中一项进行配置。
¡ 在RADIUS服务器或设备上(取决于采用远程认证还是本地认证)为用户指定授权User Profile属性。
当用户通过认证后,由RADIUS服务器或设备为接入用户下发User Profile。RADIUS服务器上的配置请参见服务器的相关手册;设备上网络接入类本地用户属性的配置,请参见“BRAS业务配置指导”中的“AAA”。
¡ 在用户的认证域中指定授权User Profile属性。
若RADIUS服务器或设备未给用户下发User Profile,则将使用用户认证域中指定的授权User Profile。用户认证域中授权User Profile的配置请参见“BRAS业务配置指导”中的“AAA”。
(4) 定义ITA业务策略。
a. 进入系统视图。
system-view
b. 创建ITA业务策略。
ita policy policy-name
c. 指定ITA业务使用的计费方案。
accounting-method { none | radius-scheme radius-scheme-name [ none ] }
缺省情况下,使用的计费方案为none,即不计费。
d. 指定需要进行计费的流量计费级别。
accounting-level level { { ipv4 | ipv6 } | [ car { inbound cir committed-information-rate [ pir peak-information-rate ] | outbound cir committed-information-rate [ pir peak-information-rate ] } * } *
缺省情况下,未指定需要计费的流量计费级别。
e. (可选)开启统一计费功能。
accounting-merge enable
缺省情况下,统一计费功能处于关闭状态。
f. (可选)配置ITA业务流量配额耗尽策略。
traffic-quota-out { offline | online } [ no-accounting-update ]
缺省情况下,用户的当前流量配额耗尽后,设备会向服务器发送计费更新报文来获取新的流量配额,若计费回应报文未携带新的流量配额,则该用户不能访问授权的目的IP地址段。
g. (可选)开启ITA业务流量与用户总计费流量分离功能。
traffic-separate enable [ level level&<1-8> ]
缺省情况下,ITA业务流量与用户总计费流量分离功能处于关闭状态。
h. (可选)配置ITA业务所属的用户组。
user-group name group-name [ nat-instance instance-name ]
缺省情况下,未配置ITA业务所属的用户组。
(5) 在RADIUS服务器上或用户认证域中指定授权ITA业务策略。
(6) 当用户通过认证后,若RADIUS服务器为当前用户授权了ITA业务策略,将使用RADIUS服务器授权的ITA业务策略,否则使用用户认证域中指定的ITA业务策略。
完成上述配置后,在任意视图下执行display命令可以显示ITA业务策略的配置信息。
表1-2 ITA业务策略显示和维护
|
操作 |
命令 |
|
显示ITA业务策略的配置信息 |
display ita policy [ policy-name ] |
仅SPEX类单板、CSPEX类单板(CSPEX-1104-E除外)、CEPC类单板支持配置本举例。
· 用户主机经由三层网络接入IPoE设备Router。
· 采用RADIUS server1作为认证、授权和计费服务器。
· 采用RADIUS server2作为ITA(Intelligent Target Accounting,智能靶向计费)业务流量的计费服务器,对用户访问FTP server的业务流量按照级别1进行计费。
· Router上报给RADIUS server1的用户计费流量中不包含ITA业务流量,且不允许用户ITA业务流量配额耗尽后继续访问FTP server。
图1-1 IPoE支持ITA业务配置组网图
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 分别在RADIUS server1和RADIUS server2上配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
client 5.5.5.2/32 {
ipaddr = 5.5.5.2
netmask=32
secret=radius
}
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址2.2.2.2。
(1) 配置各接口IP地址,具体配置步骤略
(2) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server1作为认证、授权和计费服务器。
<Router> system-view
[Router] radius scheme rs1
# 配置主认证和主计费服务器及其通信密钥。
[Router-radius-rs1] primary authentication 4.4.4.1
[Router-radius-rs1] primary accounting 4.4.4.1
[Router-radius-rs1] key authentication simple radius
[Router-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
# 创建名称为rs2的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server2作为ITA业务流量计费服务器。
[Router] radius scheme rs2
# 配置主计费服务器及其通信密钥。
[Router-radius-rs2] primary accounting 5.5.5.1
[Router-radius-rs2] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
(3) 定义匹配数据包的规则
# 定义类class1的匹配规则为:匹配已认证用户的数据包(认证方式必须为IPoE、Portal或PPPoE),且匹配ACL 3000的规则。
[Router] traffic classifier class1 operator and
[Router-classifier-class1] if-match authenticated-user
[Router-classifier-class1]if-match acl 3000
[Router-classifier-class1] quit
(4) 配置QoS策略
# 配置ACL 3000,允许目的地址为1.1.1.1的报文通过。
[Router] acl advanced 3000
[Router-acl-ipv4-adv-3000] rule 0 permit ip destination 1.1.1.1 0
[Router-acl-ipv4-adv-3000] quit
# 配置类classifier_1,匹配ACL 3000。
[Router] traffic classifier classifier_1
[Router-classifier-classifier_1] if-match acl 3000
[Router-classifier-classifier_1] quit
# 定义流行为behavior_1。
[Router] traffic behavior behavior_1
# 标记流量计费级别为1。
[Router-behavior-behavior_1] remark account-level 1
# 配置基于字节进行流量统计。
[Router-behavior-behavior_1] accounting byte
[Router-behavior-behavior_1] quit
# 定义QoS策略policy,为类classifier_1指定流行为behavior_1。
[Router] qos policy policy
[Router-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Router-qospolicy-policy] quit
(5) 应用QoS策略
# 在接口上对接收到的上线用户流量应用QoS策略。
[Router] interface gigabitethernet 3/1/1
[Router-GigabitEthernet3/1/1] qos apply policy policy inbound
[Router–GigabitEthernet3/1/1] quit
(6) 配置ITA业务策略
# 创建ITA业务策略ita。
[Router] ita policy ita
# 配置ITA业务使用计费方案rs2。
[Router-ita-policy-ita] accounting-method radius-scheme rs2
# 配置IPv4流量计费级别为1。
[Router-ita-policy-ita] accounting-level 1 ipv4
# 开启ITA业务流量与用户总计费流量分离功能。
[Router-ita-policy-ita] traffic-separate enable
# 配置ITA业务流量配额耗尽后用户不可以继续访问授权的目的IP地址段。
[Router-ita-policy-ita] traffic-quota-out offline
[Router-ita-policy-ita] quit
(7) 配置认证域
# 创建并进入名称为dm1的ISP域。
[Router] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Router-isp-dm1] authentication ipoe radius-scheme rs1
[Router-isp-dm1] authorization ipoe radius-scheme rs1
[Router-isp-dm1] accounting ipoe radius-scheme rs1
# 配置ISP域使用的ITA策略ita。
[Router-isp-dm1] ita-policy ita
[Router-isp-dm1] quit
(8) 配置IPoE认证
# 进入接口GigabitEthernet3/1/2视图。
[Router] interface gigabitethernet 3/1/2
# 使能IPoE功能,并指定三层接入模式。
[Router–GigabitEthernet3/1/2] ip subscriber routed enable
# 使能未知源IP报文触发方式。
[Router–GigabitEthernet3/1/2] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Router–GigabitEthernet3/1/2] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Router–GigabitEthernet3/1/2] ip subscriber password plaintext radius
用户认证通过之后,访问目的地址为1.1.1.1的报文将被按照Level 1级别在RADIUS server2上进行单独计费,访问其它目的IP地址的报文将在RADIUS server1上进行计费。可以通过display ip subscriber session verbose显示命令查看到IPoE在线用户的详细信息,其中包括了ITA业务流量统计信息。
主机通过PPPoE接入Router,并连接到外部网络。Router作为BRAS设备对主机提供接入服务,同时通过CGN单板提供地址转换功能。具体要求如下:
· Router作为PPPoE Server,对主机进行远程CHAP认证,并通过DHCP地址池为主机分配IP地址。
· Router采用RADIUS服务器对主机进行认证、授权和计费,与RADIUS服务器交互报文时的共享密钥为expert,向RADIUS服务器发送的用户名要携带域名。
· Router上实现NAT与BRAS联动,在主机通过认证并分配私网地址的同时,为该主机分配公网地址(111.8.0.200)和端口块。
· 用户上线后,可由RADIUS服务器对用户的不同业务流量动态授权不同的ITA业务策略:
¡ 对于Xunlei业务流量,要求下行CIR为30M,计费级别为Level 3。
¡ 对于Tianyiyun业务流量,要求上行CIR为20M,下行CIR为20M,计费级别为Level 1。
¡ 对于Xunlei和Tianyiyun的混合业务流量,要求上行CIR为20M,下行CIR为30M,计费级别为Level 4。
¡ 在RADIUS服务器上对ITA业务流量与非ITA业务流量独立计费。
· RADIUS服务器可以通过下发特定名称的ITA业务策略(本例中为default),取消已经授权的ITA业务策略。
图1-2 PPPoE用户应用动态ITA业务策略配置组网图
在RADIUS服务器上设置与Router交互报文时的共享密钥为expert;添加PPP用户及密码,具体配置步骤略。
(1) 配置用户组
# 创建普通业务用户组nat1。
[Router] user-group nat1
[Router-ugroup-nat1] quit
# 创建Xunlei业务用户组nat1_xunlei。
[Router] user-group nat1_xunlei
[Router-ugroup-nat1_xunlei] quit
# 创建Tianyiyun业务用户组nat1_tianyiyun。
[Router] user-group nat1_tianyiyun
[Router-ugroup-nat1_tianyiyun] quit
# 创建混合业务用户组nat1_allapp。
[Router] user-group nat1_allapp
[Router-ugroup-nat1_allapp] quit
(2) 配置认证域
# 创建名称为rad的RADIUS方案,并进入该方案视图。
[Router] radius scheme rad
# 配置主计费服务器和主认证服务器的IP地址为10.1.1.1,并配置主计费服务器的端口号为1813(缺省值)、主认证服务器的端口号为1812(缺省值)。
[Router-radius-rad] primary accounting 10.1.1.1 1813
[Router-radius-rad] primary authentication 10.1.1.1 1812
# 配置与认证、计费服务器交互报文时的共享密钥为明文expert。
[Router-radius-rad] key authentication simple expert
[Router-radius-rad] key accounting simple expert
# 配置向RADIUS服务器发送的用户名要携带域名。
[Router-radius-rad] user-name-format with-domain
[Router-radius-rad] quit
# 创建名称为pppoe的ISP域,并进入该域视图。
[Router] domain name pppoe
# 配置用户组nat1绑定NAT实例nat1。
[Router-isp-pppoe] user-group name nat1 bind nat-instance nat1
# 为PPP用户配置AAA认证方法为RADIUS认证/授权/计费。
[Router-isp-pppoe] authentication ppp radius-scheme rad
[Router-isp-pppoe] authorization ppp radius-scheme rad
[Router-isp-pppoe] accounting ppp radius-scheme rad
# 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT地址分配。
[Router-isp-pppoe] user-address-type private-ipv4
# 配置用户的授权IP地址池为pool1。
[Router-isp-pppoe] authorization-attribute ip-pool pool1
[Router-isp-pppoe] quit
(3) 配置ITA业务策略
# 创建ITA业务策略nat1_xunlei,并进入该策略视图。
[Router] ita policy nat1_xunlei
# 配置ITA业务使用计费方案rad。
[Router-ita-policy-nat1_xunlei] accounting-method radius-scheme rad
# 配置IPv4业务流量计费级别为3,出方向流量的承若信息速率为30720kbps(30M)。
[Router-ita-policy-nat1_xunlei] accounting-level 3 ipv4 car outbound cir 30720
# 配置ITA业务所属的用户组为nat1_xunlei,与它绑定的NAT实例为nat1。
[Router-ita-policy-nat1_xunlei] user-group name nat1_xunlei nat-instance nat1
# 开启统一计费功能。
[Router-ita-policy-nat1_xunlei] accounting-merge enable
# 开启ITA业务流量与用户总计费流量分离功能。
[Router-ita-policy-nat1_xunlei] traffic-separate enable level 3
[Router-ita-policy-nat1_xunlei] quit
# 创建ITA业务策略nat1_tianyiyun,并进入该策略视图。
[Router] ita policy nat1_tianyiyun
# 配置ITA业务使用计费方案rad。
[Router-ita-policy-nat1_tianyiyun] accounting-method radius-scheme rad
# 配置IPv4业务流量计费级别为1,入方向流量的承若信息速率为20480kbps(20M),出方向流量的承若信息速率为20480kbps(20M)。
[Router-ita-policy-nat1_tianyiyun] accounting-level 1 ipv4 car inbound cir 20480 outbound cir 20480
# 配置ITA业务所属的用户组为nat1_tianyiyun,与它绑定的NAT实例为nat1。
[Router-ita-policy-nat1_tianyiyun] user-group name nat1_tianyiyun nat-instance nat1
# 开启统一计费功能。
[Router-ita-policy-nat1_tianyiyun] accounting-merge enable
# 开启ITA业务流量与用户总计费流量分离功能。
[Router-ita-policy-nat1_tianyiyun] traffic-separate enable level 1
[Router-ita-policy-nat1_tianyiyun] quit
# 配置ITA业务策略nat1_allapp,并进入该策略视图。
[Router] ita policy nat1_allapp
# 配置ITA业务使用计费方案rad。
[Router-ita-policy-nat1_allapp] accounting-method radius-scheme rad
# 配置IPv4业务流量计费级别为4,入方向流量的承若信息速率为20480kbps(20M),出方向流量的承若信息速率为30720kbps(30M)。
[Router-ita-policy-nat1_allapp] accounting-level 4 ipv4 car inbound cir 20480 outbound cir 30720
# 配置ITA业务所属的用户组为nat1_allapp,与它绑定的NAT实例为nat1。
[Router-ita-policy-nat1_allapp] user-group name nat1_allapp nat-instance nat1
# 开启统一计费功能。
[Router-ita-policy-nat1_allapp] accounting-merge enable
# 开启ITA业务流量与用户总计费流量分离功能。
[Router-ita-policy-nat1_allapp] traffic-separate enable level 4
[Router-ita-policy-nat1_allapp] quit
# 创建ITA业务策略default,内容为空,用于服务器取消已授权的ITA业务策略。
[Router] ita policy default
[Router-ita-policy-default] quit
(4) 配置匹配ITA业务流量的ACL规则
# 配置ACL 3000,允许目的地址为3.3.3.3的报文通过,所属的用户组为nat1_xunlei。
[Router] acl advanced 3000
[Router-acl-ipv4-adv-3000] rule 0 permit ip destination 3.3.3.3 0 user-group nat1_xunlei
[Router-acl-ipv4-adv-3000] quit
# 配置ACL 3001,允许源地址为3.3.3.3的报文通过,所属的用户组为nat1_xunlei。
[Router] acl advanced 3001
[Router-acl-ipv4-adv-3001] rule 0 permit ip source 3.3.3.3 0 user-group nat1_xunlei
[Router-acl-ipv4-adv-3001] quit
# 配置ACL 3100,允许目的地址为4.4.4.4的报文通过,所属的用户组为nat1_tianyiyun。
[Router] acl advanced 3100
[Router-acl-ipv4-adv-3100] rule 0 permit ip destination 4.4.4.4 0 user-group nat1_tianyiyun
[Router-acl-ipv4-adv-3100] quit
# 配置ACL 3101,允许源地址为4.4.4.4的报文通过,所属的用户组为nat1_tianyiyun。
[Router] acl advanced 3101
[Router-acl-ipv4-adv-3101] rule 0 permit ip source 4.4.4.4 0 user-group nat1_tianyiyun
[Router-acl-ipv4-adv-3101] quit
# 配置ACL 3200,允许目的地址为3.3.3.3和4.4.4.4的报文通过,所属的用户组为nat1_allapp。
[Router] acl advanced 3200
[Router-acl-ipv4-adv-3200] rule 0 permit ip destination 3.3.3.3 0 user-group nat1_allapp
[Router-acl-ipv4-adv-3200] rule 5 permit ip destination 4.4.4.4 0 user-group nat1_allapp
[Router-acl-ipv4-adv-3200] quit
# 配置ACL 3201,允许源地址为3.3.3.3和4.4.4.4的报文通过,所属的用户组为nat1_allapp。
[Router] acl advanced 3201
[Router-acl-ipv4-adv-3201] rule 0 permit ip source 3.3.3.3 0 user-group nat1_allapp
[Router-acl-ipv4-adv-3201] rule 5 permit ip source 4.4.4.4 0 user-group nat1_allapp
[Router-acl-ipv4-adv-3201] quit
# 配置ACL 3301,允许普通业务用户的报文通过,所属的用户组为nat1。
[Router] acl advanced 3301
[Router-acl-ipv4-adv-3301] rule 0 permit ip user-group nat1
[Router-acl-ipv4-adv-3301] quit
(5) 配置QoS策略
# 创建类nat1_xunlei_shangxing_class,匹配ACL 3000。
[Router] traffic classifier nat1_xunlei_shangxing_class
[Router-classifier-nat1_xunlei_shangxing_class] if-match acl 3000
[Router-classifier-nat1_xunlei_shangxing_class] quit
# 创建流行为nat1_xunlei_shangxing_action,配置基于字节进行流量统计,标记流量计费级别为3,并为流量绑定NAT实例nat1动作。
[Router] traffic behavior nat1_xunlei_shangxing_action
[Router-behavior-nat1_xunlei_shangxing_action] accounting byte
[Router-behavior-nat1_xunlei_shangxing_action] remark account-level 3
[Router-behavior-nat1_xunlei_shangxing_action] bind nat-instance nat1
[Router-behavior-nat1_xunlei_shangxing_action] quit
# 创建类nat1_xunlei_xiaxing_class,匹配ACL 3001。
[Router] traffic classifier nat1_xunlei_xiaxing_class
[Router-classifier-nat1_xunlei_xiaxing_class] if-match acl 3001
[Router-classifier-nat1_xunlei_xiaxing_class] quit
# 创建流行为nat1_xunlei_xiaxing_action,配置基于字节进行流量统计,标记流量计费级别为3。
[Router] traffic behavior nat1_xunlei_xiaxing_action
[Router-behavior-nat1_xunlei_xiaxing_action] accounting byte
[Router-behavior-nat1_xunlei_xiaxing_action] remark account-level 3
[Router-behavior-nat1_xunlei_xiaxing_action] quit
# 创建类nat1_tianyiyun_shangxing_class,匹配ACL 3100。
[Router] traffic classifier nat1_tianyiyun_shangxing_class
[Router-classifier-nat1_tianyiyun_shangxing_class] if-match acl 3100
[Router-classifier-nat1_tianyiyun_shangxing_class] quit
# 创建流行为nat1_tianyiyun_shangxing_action,配置基于字节进行流量统计,标记流量计费级别为1,并为流量绑定NAT实例nat1动作。
[Router] traffic behavior nat1_tianyiyun_shangxing_action
[Router-behavior-nat1_tianyiyun_shangxing_action] accounting byte
[Router-behavior-nat1_tianyiyun_shangxing_action] remark account-level 1
[Router-behavior-nat1_tianyiyun_shangxing_action] bind nat-instance nat1
[Router-behavior-nat1_tianyiyun_shangxing_action] quit
# 创建类nat1_tianyiyun_xiaxing_class,匹配ACL 3101。
[Router] traffic classifier nat1_tianyiyun_xiaxing_class
[Router-classifier-nat1_tianyiyun_xiaxing_class] if-match acl 3101
[Router-classifier-nat1_tianyiyun_xiaxing_class] quit
# 创建流行为nat1_tianyiyun_xiaxing_action,配置基于字节进行流量统计,标记流量计费级别为1。
[Router] traffic behavior nat1_tianyiyun_xiaxing_action
[Router-behavior-nat1_tianyiyun_xiaxing_action] accounting byte
[Router-behavior-nat1_tianyiyun_xiaxing_action] remark account-level 1
[Router-behavior-nat1_tianyiyun_xiaxing_action] quit
# 创建类nat1_allapp_shangxing_class,匹配ACL 3200。
[Router] traffic classifier nat1_allapp_shangxing_class
[Router-classifier-nat1_allapp_shangxing_class] if-match acl 3200
[Router-classifier-nat1_allapp_shangxing_class] quit
# 创建流行为nat1_allapp_shangxing_action,配置基于字节进行流量统计,标记流量计费级别为4,并为流量绑定NAT实例nat1动作。
[Router] traffic behavior nat1_allapp_shangxing_action
[Router-behavior-nat1_allapp_shangxing_action] accounting byte
[Router-behavior-nat1_allapp_shangxing_action] remark account-level 4
[Router-behavior-nat1_allapp_shangxing_action] bind nat-instance nat1
[Router-behavior-nat1_allapp_shangxing_action] quit
# 创建类nat1_allapp_xiaxing_class,匹配ACL 3201。
[Router] traffic classifier nat1_allapp_xiaxing_class
[Router-classifier-nat1_allapp_xiaxing_class] if-match acl 3201
[Router-classifier-nat1_allapp_xiaxing_class] quit
# 创建流行为nat1_allapp_xiaxing_action,配置基于字节进行流量统计,标记流量计费级别为4。
[Router] traffic behavior nat1_allapp_xiaxing_action
[Router-behavior-nat1_allapp_xiaxing_action] accounting byte
[Router-behavior-nat1_allapp_xiaxing_action] remark account-level 4
[Router-behavior-nat1_allapp_xiaxing_action] quit
# 创建类nat1_class,匹配ACL 3301。
[Router] traffic classifier nat1_class
[Router-classifier-nat1_class] if-match acl 3301
[Router-classifier-nat1_class] quit
# 创建流行为nat1_action,配置基于字节进行流量统计,并为流量绑定NAT实例nat1动作。
[Router] traffic behavior nat1_action
[Router-behavior-nat1_action] accounting byte
[Router-behavior-nat1_action] bind nat-instance nat1
[Router-behavior-nat1_action] quit
# 创建QoS策略shangxing,并为匹配上行业务流量的类分别指定流行为。
[Router] qos policy shangxing
[Router-qospolicy-shangxing] classifier nat1_xunlei_shangxing_class behavior nat1_xunlei_shangxing_action
[Router-qospolicy-shangxing] classifier nat1_tianyiyun_shangxing_class behavior nat1_tianyiyun_shangxing_action
[Router-qospolicy-shangxing] classifier nat1_allapp_shangxing_class behavior nat1_allapp_shangxing_action
[Router-qospolicy-shangxing] classifier nat1_class behavior nat1_action
[Router-qospolicy-shangxing] quit
# 创建QoS策略xiaxing,并为匹配下行业务流量的类分别指定流行为。
[Router] qos policy xiaxing
[Router-qospolicy-xiaxing] classifier nat1_xunlei_xiaxing_class behavior nat1_xunlei_xiaxing_action
[Router-qospolicy-xiaxing] classifier nat1_tianyiyun_xiaxing_class behavior nat1_tianyiyun_xiaxing_action
[Router-qospolicy-xiaxing] classifier nat1_allapp_xiaxing_class behavior nat1_allapp_xiaxing_action
[Router-qospolicy-xiaxing] quit
# 全局应用QoS策略。
[Router] qos apply policy shangxing global inbound
[Router] qos apply policy xiaxing global outbound
(6) 配置PPPoE接入
# 开启DHCP服务。
[Router] dhcp enable
# 配置DHCP地址池pool1,IP地址范围为2.2.2.2到2.2.2.255。
[Router] dhcp server ip-pool pool1
[Router-dhcp-pool-pool1] network 2.2.2.2 24
[Router-dhcp-pool-pool1] gateway-list 2.2.2.1
# 将IP地址2.2.2.2配置为禁用地址。
[Router-dhcp-pool-pool1] forbidden-ip 2.2.2.1
[Router-dhcp-pool-pool1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端,认证域为pppoe,开启PPP计费统计功能。
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain pppoe
[Router-Virtual-Template1] ppp account-statistics enable
[Router-Virtual-Template1] quit
# 在接口GigabitEthernet1/0/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
[Router-GigabitEthernet1/0/1] quit
(7) 配置使用CGN单板提供NAT功能
# 创建备份组failgrp,并进入备份组视图。
[Router] failover group failgrp id 1
# 将slot 2作为备份组failgrp的主节点,slot 3作为备份组的备节点。
[Router-failover-group-failgrp] bind slot 2 primary
[Router-failover-group-failgrp] bind slot 3 secondary
[Router-failover-group-failgrp] quit
# 创建业务实例组sgrp,并进入业务实例组视图。
[Router] service-instance-group sgrp
# 将业务实例组sgrp和备份组failgrp关联。
[Router-service-instance-group-sgrp] failover-group failgrp
[Router-service-instance-group-sgrp] quit
# 创建ACL 3600,允许源地址为2.2.2.0/24网段的报文通过。
[Router] acl advanced 3600
[Router-acl-ipv4-adv-3600] rule permit ip source 2.2.2.0 0.0.0.255
[Router-acl-ipv4-adv-3600] quit
# 配置地址组1,包含一个外网地址111.8.0.200,外网地址的端口范围为1024~65535,端口块大小为2048。
[Router] nat address-group 1
[Router-address-group-1] port-block block-size 2048
[Router-address-group-1] port-range 1024 65535
[Router-address-group-1] address 111.8.0.200 111.8.0.200
[Router-address-group-1] quit
# 创建NAT实例nat1。
[Router] nat instance nat1 id 1
# 将NAT实例nat1与业务实例组sgrp关联。
[Router-nat-instance-nat1] service-instance-group sgrp
# 配置地址转换规则,对源地址为2.2.2.0/24网段的用户报文进行地址转换。
[Router-nat-instance-nat1] nat outbound 3600 address-group 1
[Router-nat-instance-nat1] quit
# 配置IPv4地址前缀列表,允许到111.8.0.200/24的路由通过。
[Router] ip prefix-list prefix-a index 10 permit 111.8.0.200 32 less-equal 32
# 配置路由策略。
[Router] route-policy 1 permit node 1
[Router-route-policy-1-1] if-match ip address prefix-list prefix-a
[Router-route-policy-1-1] quit
# 配置引入符合路由策略的直连路由。
[Router] ospf 99
[Router-ospf-99] import-route direct route-policy 1
[Router-ospf-99] quit
(8) 配置RADIUS动态授权
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[Router] radius dynamic-author server
# 指定RADIUS DAE客户端IP地址为10.1.1.1,共享密钥为明文expert。
[Router-radius-da-server] client ip 10.1.1.1 key simple expert
[Router-radius-da-server] quit
# 以上配置完成后,PPP用户上线通过执行如下显示命令可查看PPP用户详细信息。
<Router> display ppp access-user user-type pppoe verbose
Basic:
Interface: BAS1
PPP index: 0x140002381
User ID: 0x20102324
Username: PPPOE@pppoe
Domain: pppoe
Access interface: GE1/0/1
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 0010-9400-0051
IP address: 2.2.2.2
IPv6 address:
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: private-ipv4
VPN instance: -
Access type: PPPoE
Authentication type: CHAP
PPPoE:
Session ID: 1
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Open
Realtime accounting interval: 720s
Login time: 2019-02-21 15:25:03:924
Accounting start time: 2019-02-21 15:25:04:54
Online time(hh:mm:ss): 00:00:05
Accounting state: Accounting
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 bytes, direction: Both
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Redirect WebURL: -
ITA policy name: N/A
MRU: 1492 bytes
IPv4 MTU: 1492 bytes
IPv6 MTU: 1492 bytes
Subscriber ID: -
ACL&QoS:
User profile: -
Session group profile: -
User group acl: -
Inbound CAR: -
Outbound CAR: -
User inbound priority: -
User outbound priority: -
NAT:
Global IP address: 111.8.0.200
Port block: 1024-3071
Flow Statistic:
IPv4 uplink packets/bytes: 11/810
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
ITA:
Acct merge: Disabled
Traffic separate levels: None
Acct quota-out action: Offline
# RADIUS服务器动态下发名称为nat1_xunlei的ITA策略后,再查看PPP用户详细信息。
<Router> display ppp access-user user-type pppoe verbose
Basic:
Interface: BAS1
PPP index: 0x140002381
User ID: 0x20102324
Username: PPPOE@pppoe
Domain: pppoe
Access interface: GE1/0/1
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 0010-9400-0051
IP address: 2.2.2.2
IPv6 address: -
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: private-ipv4
VPN instance: -
Access type: PPPoE
Authentication type: CHAP
PPPoE:
Session ID: 1
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Open
Realtime accounting interval: 720s
Login time: 2019-02-21 15:25:03:924
Accounting start time: 2019-02-21 15:25:04:54
Online time(hh:mm:ss): 00:00:05
Accounting state: Accounting
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 bytes, direction: Both
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Redirect WebURL: -
ITA policy name: nat1_xunlei
MRU: 1492 bytes
IPv4 MTU: 1492 bytes
IPv6 MTU: 1492 bytes
Subscriber ID: -
ACL&QoS:
User profile: -
Session group profile: -
User group acl: nat1_xunlei (active)
Inbound CAR: -
Outbound CAR: -
User inbound priority: -
User outbound priority: -
NAT:
Global IP address: 100.8.0.200
Port block: 1024-1033
Flow Statistic:
IPv4 uplink packets/bytes: 11/810
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
ITA:
Acct merge: Enabled
Traffic separate levels: 3
Acct quota-out action: Offline
Level-3 Inbound CAR : -
Outbound CAR: CIR 30720 kbps PIR 30720 kbps
IPv4 uplink packets/bytes: 0/0
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
Accounting state: Accounting
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Denied state: Not denied
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
