- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
33-防计费溢出配置
本章节下载: 33-防计费溢出配置 (354.59 KB)
目 录
2.3.1 内网用户通过IPoE上下线触发防计费溢出功能配置举例
在当前的网络环境中,准确无误的计费对于维护客户满意度至关重要。然而,当用户下线后,如果其会话没有及时老化,外网服务器的流量可能仍在继续发送给已下线的用户IP或是IP地址被重新分配给其他用户,就可能导致已下线的用户或新上线用户的计费数据出现错误,进而引发计费异常。上述情况会导致用户对计费系统的不信任。防计费溢出模块旨在避免因会话没有及时老化而导致的计费错误。
为实现防计费溢出功能,需在接入设备上配置Device为RADIUS计费服务器,同时在Device上开启防计费溢出功能,当用户下线时,接入设备会同时向RADIUS服务器和Device发送计费停止请求报文,Device上的防计费溢出模块接收并解析计费停止报文中的IP地址,并根据IP地址生成用户阻断表以拦截已下线的用户流量并清除其会话,从而防止异常计费问题。
如上图所示,A客户手机上网,通过接入设备向RADIUS服务器完成认证后,RADIUS服务器为A客户分配内网IP地址192.168.1.21,A客户访问外网服务器资源。当A客户下线,其会话未完全老化,此时B客户上网并分配相同地址192.168.1.21,外网服务器原本要发送给A客户(192.168.1.21)的数据流被B客户接收,导致B客户计费异常。
配置防计费溢出功能后,接入设备同时向RADIUS服务器和Device发送计费停止请求报文,Device上的防计费溢出模块接收并解析计费停止报文中包含的IP地址(192.168.1.21),并根据IP地址生成用户阻断表来拦截外网服务器发送给已下线的A客户的流量并删除该用户的会话(Device会比较会话的创建时间与阻断表的更新时间,并删除在阻断表更新时间之前就已创建的会话)。当B用户上网并分配相同地址192.168.1.21,由于A客户的会话被删除,所以外网服务器原本要发送给已下线的A客户(192.168.1.21)的数据流被拦截,从而避免了B客户计费异常的问题。
设备通过配置防计费溢出功能,在接收到接入设备(RADIUS客户端)发送的RADIUS计费停止请求报文后,生成用户下线阻断表来拦截已下线的用户流量并清除其会话,从而阻断服务器发送给已下线用户的流量。
配置本功能之前需同时在接入设备(RADIUS客户端)配置本设备为RADIUS计费服务器(primary accounting),目的是为了让接入设备同时发送计费停止报文给本设备。其中,关于配置RADIUS计费服务器功能介绍请参见“安全”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 配置开启防计费溢出功能。
safebilling enable
缺省情况下,防计费溢出功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后防计费溢出的运行情况,通过查看显示信息验证配置的效果。
表2-1 防计费溢出显示和维护
|
操作 |
命令 |
|
显示用户下线阻断表信息 |
(独立运行模式) display safebilling block [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display safebilling block [chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
配置Device B的防计费溢出功能,以确保内网用户的计费准确性,防止异常计费情况的发生。
图2-1 内网用户通过IPoE上下线触发防计费溢出功能配置组网图
(1) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 10.1.1.2/24 {
ipaddr = 10.1.1.2
netmask=24
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为10.1.1.2,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
192.168.1.21 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址192.168.1.21,用户密码为字符串radius。
(2) 配置Device A
a. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<DeviceA> system-view
[DeviceA] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[DeviceA-radius-rs1] primary authentication 10.1.1.1
[DeviceA-radius-rs1] primary accounting 10.1.1.1
[DeviceA-radius-rs1] key authentication simple radius
[DeviceA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[DeviceA-radius-rs1] user-name-format without-domain
[DeviceA-radius-rs1] quit
# 创建名称为rs2的RADIUS方案并进入该方案视图。
<DeviceA> system-view
[DeviceA] radius scheme rs2
# 配置rs2的RADIUS方案的主计费服务器及其通信密钥,目的为计费停止请求报文能够发送给Device B。
[DeviceA-radius-rs2] primary accounting 12.1.1.1
[DeviceA-radius-rs2] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[DeviceA-radius-rs2] user-name-format without-domain
[DeviceA-radius-rs2] quit
b. 配置认证域
# 创建并进入名称为dm1的ISP域。
[DeviceA] domain dm1
# 配置ISP域使用的RADIUS方案rs1、rs2。
[DeviceA-isp-dm1] authentication ipoe radius-scheme rs1
[DeviceA-isp-dm1] authorization ipoe radius-scheme rs1
[DeviceA-isp-dm1] accounting ipoe broadcast radius-scheme rs1 radius-scheme rs2
[DeviceA-isp-dm1] quit
c. 配置IPoE
# 进入接口GigabitEthernet1/0/1视图。
[DeviceA] interface gigabitethernet 1/0/1
# 开启IPoE功能,并指定三层接入模式。
[DeviceA–GigabitEthernet1/0/1] ip subscriber routed enable
# 开启未知源IP报文触发方式。
[DeviceA–GigabitEthernet1/0/1] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[DeviceA–GigabitEthernet1/0/1] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[DeviceA–GigabitEthernet1/0/1] ip subscriber password plaintext radius
[DeviceA–GigabitEthernet1/0/1] quit
(3) 配置Device B
a. 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 12.1.1.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
c. 配置安全策略
配置安全策略放行Untrust与Trust安全域、Trust与Local安全域之间的流量。
# 配置名称为trust-untrust的安全策略,保证Trust和Untrust之间的业务报文可正常转发。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name trust-untrust
[DeviceB-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-1-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-1-trust-untrust] action pass
[DeviceB-security-policy-ip-1-trust-untrust] quit
# 配置安全策略规则local-trust,使DeviceB可以向trust域资源发送报文。
[DeviceB-security-policy-ip] rule name local-trust
[DeviceB-security-policy-ip-2-local-trust] source-zone local
[DeviceB-security-policy-ip-2-local-trust] destination-zone trust
[DeviceB-security-policy-ip-2-local-trust] action pass
[DeviceB-security-policy-ip-2-local-trust] quit
# 配置安全策略规则trust-local,使trust域资源可以向DeviceB发送报文。
[DeviceB-security-policy-ip] rule name trust-local
[DeviceB-security-policy-ip-3-trust-local] source-zone trust
[DeviceB-security-policy-ip-3-trust-local] destination-zone local
[DeviceB-security-policy-ip-3-trust-local] action pass
[DeviceB-security-policy-ip-3-trust-local] quit
[DeviceB-security-policy-ip] quit
d. 配置Device B的防计费溢出功能
# 在Device B上配置防计费溢出功能
[DeviceB] safebilling enable
# 以上配置完成后,内网用户下线可以触发接入设备向Device B发送计费停止请求报文,DeviceB收到后生成阻断表。通过查看阻断表,可以验证以上配置成功。
[DeviceB] display safebilling block
CPU 0 on slot 1:
Total block entries found: 1
Framed-IP-Address Update time TTL
192.168.1.21 2024-03-23 14:29:41 50s
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
