- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-EDSG业务配置
本章节下载: 06-EDSG业务配置 (258.52 KB)
EDSG是Enhanced Dynamic Service Gateway的简称,是一种将用户的一路流量单独标识出来并独立限速、计费和管理的业务模式。
用户通过RADIUS认证后,若RADIUS服务器为用户授权了EDSG业务策略,设备将使用下发的EDSG业务策略名称查询本地配置的EDSG业务策略,并使用该策略中定义的业务参数对用户提供基于业务的差别化服务:
· 独立认证:对用户的EDSG业务采用独立的认证方案,与用户接入时采用的认证方案不同。RADIUS服务器向用户下发EDSG业务策略后,设备将采向策略中指定的RADIUS服务器发起EDSG业务认证,从而为用户获得相应的EDSG业务授权信息。若下发的EDSG业务策略携带了用户名和密码,则使用该用户名和密码进行EDSG业务认证;否则使用用户上线时的用户名和密码进行EDSG业务认证。
· 独立计费:对用户的EDSG业务流量采用独立的计费方案,与对普通业务流量采用的计费方案不同。例如,Internet外网流量费用与内网流量费用差异很大,可以将用户的内外网流量按照业务区分开来,使其按照不同的费率级别分别计费。
· 独立限速:对用户EDSG业务采用独立的限速策略。例如,用户订购某网站的在线视频业务后,服务提供商通过为此用户授权相应的EDSG业务策略,对此业务进行独立计费,并且在网络拥塞的情况下,优先保证用户访问该视频网站的流量。
· 动态授权:可以根据用户的业务需求,为用户单独授权指定的EDSG业务策略,或者同时授权多个不同的EDSG业务策略。在用户停止使用某项服务的时候,可以动态取消该EDSG业务的授权。
本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。
仅SPEX类单板、CSPEX类单板(CSPEX-1104-E除外)、CEPC类单板支持EDSG业务策略,且仅IPoE用户(静态个人接入用户、未知源个人接入用户、DHCP个人接入用户和IPoE Web认证接入用户)、PPPoE类型的用户支持EDSG业务策略的应用。
对于同一个用户,配置EDSG业务策略时,有如下注意事项:
· 如果RADIUS服务器同时下发了ITA业务策略和EDSG业务策略,则仅ITA业务策略生效;如果RADIUS服务器仅下发了EDSG业务策略,则EDSG业务策略生效。
· EDSG业务策略和接口入方向限速(配置qos lr inbound命令)不能同时生效,且EDSG业务策略优先级高。
· EDSG业务策略和部分基于用户的QoS策略不能同时配置。
¡ EDSG业务策略和基于用户的流量整形(User Profile视图下配置qos gts命令)不能同时配置。
¡ EDSG业务策略和指定上线用户流量进入队列(User Profile视图下配置qos queue命令)不能同时配置。
¡ EDSG业务策略和在User Profile出方向配置调度权重(User Profile视图下配置qos weight outbound命令)不能同时配置。
¡ EDSG业务策略和队列调度策略(User Profile视图下配置qos apply qmprofile命令)不能同时应用。
¡ 对于不同的EDSG业务策略,EDSG双栈业务流量独立限速功能(rate-limit dual-stack separate命令)的开启状态要配置相同,否则新配置的EDSG业务策略无法生效。
对于同一个用户,请不要同时配置EDSG业务策略和部分基于接口应用QoS策略(接口视图下配置qos apply scheduler-policy命令)。
关于RADIUS服务器为用户授权EDSG业务策略,有如下注意事项:
· 若RADIUS服务器同时下发了多个EDSG业务策略,且多个策略的业务ID不冲突,则多个策略可同时生效。若下发的多个EDSG业务策略中存在业务ID相同的业务策略,则相同业务ID的策略中能够首先成功发起EDSG业务认证的那条策略生效。
· 用户的EDSG业务认证成功后,若RADIUS服务器为该业务授权了流量限速参数,则授权给该用户的EDSG业务策略下配置的流量限速参数不会生效。
· 设备仅支持RADIUS服务器通过私有属性H3C-AV-Pair和Cisco-AVPair下发的EDSG业务策略名称以及用户名和密码信息。若RADIUS服务器通过其它属性下发了EDSG策略信息,则需要在设备开启RADIUS属性转换功能来完成属性转换和解析。
· RADIUS服务器下发的EDSG业务策略中携带的用户名长度不能超过253,携带的PPP用户密码长度不能超过128,携带的IPoE用户密码长度不能超过64。
· 若RADIUS服务器给用户下发了多个EDSG业务策略,则要求所有EDSG业务策略中的双栈业务流量独立限速模式必须相同。
以下情况发生时,用户的EDSG业务将会停止:
· 设备与EDSG业务策略使用的RADIUS服务器之间路由不可达。
· 用户的EDSG业务流量耗尽。
· 用户的EDSG业务在线时长耗尽。
· EDSG业务计费开始或计费更新过程失败。
· 用户的主业务会话下线。
配置EDSG业务流量限速模式时,有如下注意事项:
· 对于同一个用户,EDSG业务流量带内限速和以下用户组QoS策略不能同时生效,EDSG带内限速优先级高。
¡ Session Group Profile下流量整形(Session Group Profile视图下配置qos gts命令)
¡ Session Group Profile出方向调度权重(配置qos weight outbound命令)
¡ Session Group Profile上应用队列调度策略(配置qos apply qmprofile命令)
· 同时配置EDSG业务流量带内限速和用户优先级(配置authorization-attribute user-priority命令)时,上行流量限速的EDSG业务策略(配置car inbound命令)和用户优先级可以同时生效,下行流量限速的EDSG业务策略(配置car outbound命令)和用户优先级不能同时生效,且下行流量限速的EDSG业务策略优先生效。
· 配置EDSG业务流量限速模式为带内限速时,不建议配置端口优先级信任模式(配置qos trust命令)、配置CBQ队列、重新标记报文的本地优先级(配置remark local-precedence命令)、重新标记流所属的转发类(配置remark forwarding-class命令)、重新标记报文的QoS本地ID值(配置remark qos-local-id命令),否则可能会导致EDSG业务策略不生效。关于配置CBQ队列的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
· 当EDSG业务流量限速模式不同时,不同单板上可创建的EDSG业务策略情况各不相同,如表1-1所示。
表1-1 EDSG业务策略创建限制
|
EDSG业务策略 |
带外限速 |
带内限速 |
|
CSPEX类单板(CSPEX-1104-E除外)和CEPC类单板 |
CSPEX类单板(CSPEX-1104-E除外)和CEPC类单板 |
|
|
可创建的策略ID值 |
1~4 |
1~4 |
|
1~4个 |
1~4个 |
|
|
策略生效优先级 |
各策略优先级相同 |
策略ID值越大,优先级越高 |
关于EDSG业务流量限速模式的详细介绍,请参见“BRAS业务配置指导”的“AAA”。
需要在对用户进行接入认证的RADIUS服务器上指定下发给用户的EDSG业务策略。若还要求设备使用专门的用户名和密码对用户发起EDSG业务认证,则需要同时在RADIUS服务器上指定下发给用户的EDSG认证用户名和密码。
若需要对用户的EDSG业务进行独立认证、授权和计费,则需要独立配置EDSG业务应用的认证、授权和计费方案。
(1) 进入系统视图。
system-view
(2) 创建EDSG业务策略,并进入EDSG业务策略视图。
service policy policy-name
(3) 指定EDSG业务ID。
service-id number
缺省情况下,未配置EDSG业务ID。
一个EDSG业务策略视图下,只能指定一个业务ID。
(4) (可选)指定EDSG业务使用的认证方案。
authentication-method { none | radius-scheme radius-scheme-name [ none ] }
缺省情况下,不对EDSG业务进行认证。
(5) (可选)指定EDSG业务使用的计费方案。
accounting-method { none | radius-scheme radius-scheme-name [ none ] }
缺省情况下,不对EDSG业务进行计费。
(6) (可选)配置EDSG业务流量限速模式。
service rate-limit mode { merge | separate }
缺省情况下,采用ISP域视图下配置的EDSG业务流量限速模式。
ISP域视图和EDSG业务策略视图下均可以配置EDSG业务流量限速模式,EDSG业务策略视图下的配置优先级高。
(7) (可选)配置EDSG业务流量限速参数。
car { inbound | outbound } cir cir-value [ pir pir-value ] [ cbs cbs-value ] [ ebs ebs-value ]
缺省情况下,未配置EDSG流量限速参数。
(8) (可选)配置EDSG业务流量统计策略。
traffic statistics { merge | separate }
缺省情况下,EDSG业务流量与用户总流量分开统计。
(9) (可选)开启EDSG双栈业务流量独立限速功能。
rate-limit dual-stack separate
缺省情况下,EDSG双栈业务流量独立限速功能处于关闭状态,即对用户的IPv4业务流量和IPv6业务流量合并起来进行限速。
此功能仅在EDSG业务流量限速模式为带内限速时有效(带内限速模式可通过ISP域视图或EDSG业务策略下的service rate-limit mode merge命令设置)。
完成上述配置后,在任意视图下执行display命令可以显示EDSG业务策略的配置信息。
表1-2 EDSG业务策略显示和维护
|
操作 |
命令 |
|
显示EDSG业务策略的配置信息 |
display service policy [ policy-name ] |
CSPEX类单板(CSPEX-1104-E除外)和CEPC类单板
支持配置本举例。
· 用户主机经由三层网络接入IPoE设备Router。
· 访问Web server的用户业务报文需要进行EDSG业务处理。
· 采用RADIUS server1作为普通业务的认证、授权和计费服务器。
· 采用RADIUS server2作为EDSG业务的认证、授权和计费服务器。
· 由RADIUS server2下发EDSG业务的流量监管参数。
图1-1 IPoE支持EDSG业务配置组网图
· 本例以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
· 在Free Radius服务器上,同一个RADIUS属性对于同一个用户只能配置一次。若EDSG业务策略下发时还需要携带用户名和密码,则需要通过其它属性代替它下发EDSG策略用户名和密码,然后在设备上通过RADIUS属性转换功能将替代的属性转换为设备可解析的属性。
· EDSG业务策略下发时携带的用户名长度不能超过253,携带的PPP用户密码长度不能超过128,携带的IPoE用户密码长度不能超过64。
# 分别在RADIUS server1和RADIUS server2上配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
client 5.5.5.2/32 {
ipaddr = 5.5.5.2
netmask=32
secret=radius
}
# 在RADIUS server1的users文件中增加如下用户信息:
2.2.2.2 Cleartext-Password :="radius"
H3C-AV-Pair := "edsg-policy:activelist=sp1",
Cisco-AVPair := "edsg-policy:username=[sp1]edsg",
H3c-Server-String := "edsg-policy:password=[sp1]abc"
以上信息表示,用户2.2.2.2的接入认证密码为radius,授权的EDSG业务策略名称为sp1,EDSG业务认证使用的用户名为edsg、密码为abc。
# 在RADIUS server2的users文件中增加如下用户信息:
edsg Cleartext-Password := "abc"
H3c-Input-Average-Rate := 700000,
H3c-Input-Peak-Rate := 800000,H3C-Output-Average-Rate = 1000003,
H3C-Output-Peak-Rate = 1000004
以上信息表示,用户edsg的接入认证密码为abc,授权CAR参数为入方向的承诺信息速率为700000bps,入方向的峰值信息速率为800000bps,出方向的承诺信息速率为为1000003 bps、出方向的峰值信息速率为为1000004bps。
(1) 配置各接口IP地址,具体配置步骤略
(2) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server1作为认证、授权和计费服务器。
<Router> system-view
[Router] radius scheme rs1
# 配置主认证和主计费服务器及其通信密钥。
[Router-radius-rs1] primary authentication 4.4.4.1
[Router-radius-rs1] primary accounting 4.4.4.1
[Router-radius-rs1] key authentication simple radius
[Router-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
# 开启RADIUS属性解释功能,并配置将收到的H3c-Server-String属性转换为H3c-AVPair。
[Router-radius-rs1] attribute translate
[Router-radius-rs1] attribute convert H3c-Server-String to H3c-AVPair received
[Router-radius-rs1] quit
# 创建名称为rs2的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server2作为EDSG业务认证、授权和计费服务器。
[Router] radius scheme rs2
# 配置主认证服务器及其通信密钥。
[Router-radius-rs2] primary authentication 5.5.5.1
[Router-radius-rs2] key authentication simple radius
# 配置主计费服务器及其通信密钥。
[Router-radius-rs2] primary accounting 5.5.5.1
[Router-radius-rs2] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
(3) 配置EDSG业务策略
# 创建EDSG业务策略sp1。
[Router] service policy sp1
# 配置EDSG业务使用的认证方案为rs2。
[Router-service-policy-sp1] authentication-method radius-scheme rs2
# 配置EDSG业务使用的计费方案为rs2。
[Router-service-policy-sp1] accounting-method radius-scheme rs2
# 配置EDSG业务ID为1。
[Router-service-policy-sp1] service-id 1
[Router-service-policy-sp1] quit
(4) 配置认证域
# 创建并进入名称为dm1的ISP域。
[Router] domain name dm1
# 配置IPoE用户认证/授权/计费均使用的RADIUS方案rs1。
[Router-isp-dm1] authentication ipoe radius-scheme rs1
[Router-isp-dm1] authorization ipoe radius-scheme rs1
[Router-isp-dm1] accounting ipoe radius-scheme rs1
[Router-isp-dm1] quit
(5) 配置IPoE认证
# 进入接口GigabitEthernet3/1/1视图。
[Router] interface gigabitethernet 3/1/1
# 使能IPoE功能,并指定三层接入模式。
[Router–GigabitEthernet3/1/1] ip subscriber routed enable
# 使能未知源IP报文触发方式。
[Router–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Router–GigabitEthernet3/1/1] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Router–GigabitEthernet3/1/1] ip subscriber password plaintext radius
[Router–GigabitEthernet3/1/1] quit
(6) 配置QoS策略
# 配置ACL 3000,对发送给Web server的报文进行分类。
[Router] acl advanced 3000
[Router-acl-ipv4-adv-3000] rule 0 permit ip destination 1.1.1.1 0
[Router-acl-ipv4-adv-3000] quit
# 配置ACL 3001,对来自Web server的报文进行分类。
[Router] acl advanced 3001
[Router-acl-ipv4-adv-3001] rule 0 permit ip source 1.1.1.1 0
[Router-acl-ipv4-adv-3001] quit
# 定义类sp1,匹配ACL 3000。
[Router] traffic classifier sp1
[Router-classifier-sp1] if-match acl 3000
[Router-classifier-sp1] quit
# 定义类sp2,匹配ACL 3001。
[Router] traffic classifier sp2
[Router-classifier-sp2] if-match acl 3001
[Router-classifier-sp2] quit
# 定义流行为sp1,并将报文的EDSG业务ID标记为1。
[Router] traffic behavior sp1
[Router-behavior-sp1] remark service-id 1
[Router-behavior-sp1] quit
# 定义流行为sp2,并将报文的EDSG业务ID标记为1。
[Router] traffic behavior sp2
[Router-behavior-sp2] remark service-id 1
[Router-behavior-sp2] quit
# 配置QoS策略sp1,为类sp1指定流行为sp1。
[Router] qos policy sp1
[Router-qospolicy-sp1] classifier sp1 behavior sp1
[Router-qospolicy-sp1] quit
# 配置QoS策略sp2,为类sp2指定流行为sp2。
[Router] qos policy sp2
[Router-qospolicy-sp2] classifier sp2 behavior sp2
[Router-qospolicy-sp2] quit
# 在接口入方向上应用QoS策略。
[Router] interface gigabitethernet 3/1/1
[Router–GigabitEthernet3/1/1] qos apply policy sp1 inbound
[Router–GigabitEthernet3/1/1] qos apply policy sp2 outbound
[Router–GigabitEthernet3/1/1] quit
用户认证通过之后,可以通过display ip subscriber session verbose显示命令查看到IPoE在线用户的详细信息,其中包括EDSG业务信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
