- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-ITA业务配置
本章节下载: 05-ITA业务配置 (211.55 KB)
ITA(Intelligent Target Accounting,智能靶向计费)表示根据接入用户访问的不同目的地址定义不同的计费级别,实现基于目的地址的差别化计费。例如在校园网中,可以通过在用户的接入设备上应用ITA业务策略对访问教育网内的用户流量不收费或者收很低的费用,而对于访问教育网外Internet的用户流量收取较高的费用。
在部署了ITA业务策略的组网环境中,我们将标记了计费级别的用户流量称为ITA业务流量,其它的用户流量称做非ITA业务流量。这样,根据每个用户是否有ITA业务流量可以将该用户的总计费流量将分成两种情况:一,总计费流量仅由非ITA业务流量组成;二,总计费流量是ITA业务流量和非ITA业务流量的和。用户的总计费流量是否包含ITA业务流量可以通过配置进行控制。各个级别的ITA业务流量可以独立于用户的总流量进行计费,可以与总计费流量采用不同的计费方案。
如果授权给用户的ITA业务策略中配置了ITA业务所属的用户组,则该用户的ITA业务可加入指定的用户组,属于不同用户组的ITA业务流量将被授予不同的流量计费级别以及不同的流量监管参数。
本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。
仅CSPEX类单板(CSPEX-1104-E除外)支持配置ITA功能,ITA功能仅对IPoE和PPPoE用户生效。
指定需要进行计费的流量计费级别时,需要注意的是:
· 对于双栈PPPoE用户,不支持对IPv4和IPv6流量同时指定相同的计费级别。当指定的计费级别相同时,最后一次的配置生效。
· 指定需要进行计费的流量计费级别时,如果关键字ipv4或ipv6均未配置,则表示不进行计费。
· 对于不同接入方式的用户,流量计费级别配置的数量各不相同,如表1-1所示。
|
ITA用户 |
流量计费级别配置的数量 |
||
|
CSPEX-1204单板 |
CSPEX类单板(除CSPEX-1204、CSPEX-1104-E之外) |
|
|
|
· IPoE用户 · PPPoE用户 |
1个(目前只支持level 1) |
4个(目前只支持level 1~level 4) |
5个(目前只支持level 1~level 5) |
需要通过以下几个步骤完成ITA业务策略的部署:
(1) 配置QoS策略。
通过配置流行为将访问不同目的地址的流量重标记为多个流量级别。流量重标记的详细配置请参见“ACL和QoS配置指导”中的“QoS”。
(2) 应用QoS策略
(基于User Profile)
a. 定义User Profile,并在User Profile内应用用于标记流量级别的QoS策略。
User Profile的详细配置请参见“BRAS业务配置指导”中的“User Profile”。
b. 配置授权User Profile。请选择其中一项进行配置。
- 在RADIUS服务器或设备上(取决于采用远程认证还是本地认证)为用户指定授权User Profile属性。
当用户通过认证后,由RADIUS服务器或设备为接入用户下发User Profile。RADIUS服务器上的配置请参见服务器的相关手册;设备上网络接入类本地用户属性的配置,请参见“BRAS业务配置指导”中的“AAA”。
- 在用户的认证域中指定授权User Profile属性。
若RADIUS服务器或设备未给用户下发User Profile,则将使用用户认证域中指定的授权User Profile。用户认证域中授权User Profile的配置请参见“BRAS业务配置指导”中的“AAA”。
(基于接口或全局)
将配置了重标记流量级别动作的QoS策略应用在用户接入的接口上或应用在全局,使得接口上的所有用户共用一套QoS策略。接口或全局应用QoS策略的详细配置请参见“ACL和QoS配置指导”中的“QoS”。
(3) 定义ITA业务策略。
a. 进入系统视图。
system-view
b. 创建ITA业务策略。
ita policy policy-name
c. 指定ITA业务使用的计费方案。
accounting-method { none | radius-scheme radius-scheme-name [ none ] }
缺省情况下,使用的计费方案为none,即不计费。
d. 指定需要进行计费的流量计费级别。
accounting-level level { { ipv4 | ipv6 } | [ car { inbound cir committed-information-rate [ pir peak-information-rate ] | outbound cir committed-information-rate [ pir peak-information-rate ] } * } *
缺省情况下,未指定需要计费的流量计费级别。
e. (可选)开启统一计费功能。
accounting-merge enable
缺省情况下,统一计费功能处于关闭状态。
f. (可选)配置ITA业务流量配额耗尽策略。
traffic-quota-out { offline | online } [ no-accounting-update ]
缺省情况下,用户的当前流量配额耗尽后,设备会向服务器发送计费更新报文来获取新的流量配额,若计费回应报文未携带新的流量配额,则该用户不能访问授权的目的IP地址段。
g. (可选)配置ITA业务所属的用户组。
user-group name group-name [ nat-instance instance-name ]
缺省情况下,未配置ITA业务所属的用户组。
h. (可选)开启ITA业务流量与用户总计费流量分离功能。
traffic-separate enable [ level level&<1-8> ]
缺省情况下,ITA业务流量与用户总计费流量分离功能处于关闭状态。
(4) 在RADIUS服务器上或用户认证域中指定授权ITA业务策略。
(5) 当用户通过认证后,若RADIUS服务器为当前用户授权了ITA业务策略,将使用RADIUS服务器授权的ITA业务策略,否则使用用户认证域中指定的ITA业务策略。
完成上述配置后,在任意视图下执行display命令可以显示ITA业务策略的配置信息。
关于显示ITA业务用户信息相关命令的详细介绍,请参见“BRAS业务命令参考”的“AAA”。
表1-2 ITA业务策略显示和维护
|
操作 |
命令 |
|
显示ITA业务策略的配置信息 |
display ita policy [ policy-name ] |
|
显示ITA业务用户的统计信息 |
display value-added-service user ita |
|
显示指定IP地址的ITA业务用户信息 |
display value-added-service user { ip-address ipv4-address | ipv6-address ipv6-address } [ vpn-instance vpn-instance-name ] [ verbose ] |
|
显示指定User ID的ITA业务用户信息 |
display value-added-service user user-id user-id ita-level level |
|
显示指定用户名的ITA业务用户信息 |
display value-added-service user username username [ verbose ] |
· 用户主机经由三层网络接入IPoE设备Router。
· 采用Free RADIUS server1作为认证、授权和计费服务器。
· 采用Free RADIUS server2作为ITA(Intelligent Target Accounting,智能靶向计费)业务流量的计费服务器,对用户访问FTP server的业务流量按照级别1进行计费。
· Router上报给RADIUS server1的用户计费流量中不包含ITA业务流量,且不允许用户ITA业务流量配额耗尽后继续访问FTP server。
图1-1 IPoE支持ITA业务配置组网图
配置各接口的IP地址,且确保各设备之间路由可达。
# 分别在RADIUS server1和RADIUS server2上配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
client 5.5.5.2/32 {
ipaddr = 5.5.5.2
netmask=32
secret=radius
}
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址2.2.2.2。
(1) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server1作为认证、授权和计费服务器。
<Router> system-view
[Router] radius scheme rs1
# 配置主认证和主计费服务器及其通信密钥。
[Router-radius-rs1] primary authentication 4.4.4.1
[Router-radius-rs1] primary accounting 4.4.4.1
[Router-radius-rs1] key authentication simple radius
[Router-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
# 创建名称为rs2的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server2作为ITA业务流量计费服务器。
[Router] radius scheme rs2
# 配置主计费服务器及其通信密钥。
[Router-radius-rs2] primary accounting 5.5.5.1
[Router-radius-rs2] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
(2) 定义匹配数据包的规则
# 定义类classifier_1的匹配规则为:匹配已认证用户的数据包(认证方式必须为IPoE或PPPoE),且匹配ACL 3000的规则。
[Router] traffic classifier classifier_1 operator and
[Router-classifier-classifier_1] if-match authenticated-user
[Router-classifier-classifier_1] if-match acl 3000
[Router-classifier-classifier_1] quit
(3) 配置QoS策略
# 配置ACL 3000,允许目的地址为1.1.1.1的报文通过。
[Router] acl advanced 3000
[Router-acl-ipv4-adv-3000] rule 0 permit ip destination 1.1.1.1 0
[Router-acl-ipv4-adv-3000] quit
# 配置类classifier_1,匹配ACL 3000。
[Router] traffic classifier classifier_1
[Router-classifier-classifier_1] if-match acl 3000
[Router-classifier-classifier_1] quit
# 定义流行为behavior_1。
[Router] traffic behavior behavior_1
# 标记流量计费级别为1。
[Router-behavior-behavior_1] remark account-level 1
# 配置基于字节进行流量统计。
[Router-behavior-behavior_1] accounting byte
[Router-behavior-behavior_1] quit
# 定义QoS策略policy,为类classifier_1指定流行为behavior_1。
[Router] qos policy policy
[Router-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Router-qospolicy-policy] quit
(4) 应用QoS策略
# 在接口上对接收到的上线用户流量应用QoS策略。
[Router] interface gigabitethernet 3/1/1
[Router-GigabitEthernet3/1/1] qos apply policy policy inbound
[Router–GigabitEthernet3/1/1] quit
(5) 配置ITA业务策略
# 创建ITA业务策略ita。
[Router] ita policy ita
# 配置ITA业务使用计费方案rs2。
[Router-ita-policy-ita] accounting-method radius-scheme rs2
# 配置IPv4流量计费级别为1。
[Router-ita-policy-ita] accounting-level 1 ipv4
# 开启ITA业务流量与用户总计费流量分离功能。
[Router-ita-policy-ita] traffic-separate enable
# 配置ITA业务流量配额耗尽后用户不可以继续访问授权的目的IP地址段。
[Router-ita-policy-ita] traffic-quota-out offline
[Router-ita-policy-ita] quit
(6) 配置认证域
# 创建并进入名称为dm1的ISP域。
[Router] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Router-isp-dm1] authentication ipoe radius-scheme rs1
[Router-isp-dm1] authorization ipoe radius-scheme rs1
[Router-isp-dm1] accounting ipoe radius-scheme rs1
# 配置ISP域使用的ITA策略ita。
[Router-isp-dm1] ita-policy ita
[Router-isp-dm1] quit
(7) 配置IPoE认证
# 进入接口GigabitEthernet3/1/1视图。
[Router] interface gigabitethernet 3/1/1
# 使能IPoE功能,并指定三层接入模式。
[Router–GigabitEthernet3/1/1] ip subscriber routed enable
# 使能未知源IP报文触发方式。
[Router–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Router–GigabitEthernet3/1/1] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Router–GigabitEthernet3/1/1] ip subscriber password plaintext radius
用户认证通过之后,访问目的地址为1.1.1.1的报文将被按照Level 1级别在RADIUS server2上进行单独计费,访问其它目的IP地址的报文将在RADIUS server1上进行计费。可以通过display value-added-service user显示命令查看到IPoE在线用户的ITA业务流量信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
