- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-增值业务配置
本章节下载: 04-增值业务配置 (319.89 KB)
增值业务是指,在用户的基础业务之上,根据不同的用户需求,提供的差异化、个性化服务。
目前,设备支持如下增值业务:
· ITA(Intelligent Target Accounting,智能靶向计费):根据接入用户访问的不同目的地址定义不同的计费级别,提供基于目的地址的差别化计费服务。例如在校园网中,可以通过在用户的接入设备上应用ITA业务策略对访问教育网内的用户流量不收费或者收很低的费用,而对于访问教育网外Internet的用户流量收取较高的费用。
· EDSG(Enhanced Dynamic Service Gateway,增强动态服务网关):将用户的某一路流量单独标识出来,提供独立限速、计费和管理服务
ITA(Intelligent Target Accounting,智能靶向计费)表示根据接入用户访问的不同目的地址定义不同的计费级别,实现基于目的地址的差别化计费。例如在校园网中,可以通过在用户的接入设备上应用ITA业务策略对访问教育网内的用户流量不收费或者收很低的费用,而对于访问教育网外Internet的用户流量收取较高的费用。
在部署了ITA业务策略的组网环境中,我们将标记了计费级别的用户流量称为ITA业务流量,其它的用户流量称做非ITA业务流量。这样,根据每个用户是否有ITA业务流量可以将该用户的总计费流量将分成两种情况:一,总计费流量仅由非ITA业务流量组成;二,总计费流量是ITA业务流量和非ITA业务流量的和。用户的总计费流量是否包含ITA业务流量可以通过配置进行控制。各个级别的ITA业务流量可以独立于用户的总流量进行计费,可以与总计费流量采用不同的计费方案。
如果授权给用户的ITA业务策略中配置了ITA业务所属的用户组,则该用户的ITA业务可加入指定的用户组,属于不同用户组的ITA业务流量将被授予不同的流量计费级别以及不同的流量监管参数。
本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。
仅CSPEX-1304S、CSPEX-1404S、CSPEX-1504S单板支持配置ITA功能,ITA功能仅对IPoE、和PPPoE用户生效。
指定需要进行计费的流量计费级别时,需要注意的是:
· 对于双栈PPPoE用户,不支持对IPv4和IPv6流量同时指定相同的计费级别。当指定的计费级别相同时,最后一次的配置生效。
· 指定需要进行计费的流量计费级别时,如果关键字ipv4或ipv6均未配置,则表示不进行计费。
· 对于不同接入方式的用户,流量计费级别配置的数量各不相同,如表1-1所示。
|
ITA用户 |
流量计费级别配置的数量 |
|
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S单板 |
|
|
· IPoE用户 · PPPoE用户 |
4个(目前只支持level 1~level 4) |
需要通过以下几个步骤完成ITA业务策略的部署:
(1) 配置QoS策略。
通过配置流行为将访问不同目的地址的流量重标记为多个流量级别。流量重标记的详细配置请参见“ACL和QoS配置指导”中的“QoS”。
(2) 应用QoS策略
(基于User Profile),有以下两种配置方式:
a. 定义User Profile,并在User Profile内应用用于标记流量级别的QoS策略。
User Profile的详细配置请参见“BRAS业务配置指导”中的“User Profile”。
b. 配置授权User Profile。请选择其中一项进行配置。
- 在RADIUS服务器或设备上(取决于采用远程认证还是本地认证)为用户指定授权User Profile属性。
当用户通过认证后,由RADIUS服务器或设备为接入用户下发User Profile。RADIUS服务器上的配置请参见服务器的相关手册;设备上网络接入类本地用户属性的配置,请参见“BRAS业务配置指导”中的“AAA”。
- 在用户的认证域中指定授权User Profile属性。
若RADIUS服务器或设备未给用户下发User Profile,则将使用用户认证域中指定的授权User Profile。用户认证域中授权User Profile的配置请参见“BRAS业务配置指导”中的“AAA”。
(基于接口或全局)
将配置了重标记流量级别动作的QoS策略应用在用户接入的接口上或应用在全局,使得接口上的所有用户共用一套QoS策略。接口或全局应用QoS策略的详细配置请参见“ACL和QoS配置指导”中的“QoS”。
(3) 定义ITA业务策略。
a. 进入系统视图。
system-view
b. 创建ITA业务策略。
ita policy policy-name
c. 指定ITA业务使用的计费方案。
accounting-method { none | radius-scheme radius-scheme-name [ none ] }
缺省情况下,使用的计费方案为none,即不计费。
d. 指定需要进行计费的流量计费级别。
accounting-level level { { ipv4 | ipv6 } | [ car { inbound cir committed-information-rate [ pir peak-information-rate ] | outbound cir committed-information-rate [ pir peak-information-rate ] } * } *
缺省情况下,未指定需要计费的流量计费级别。
e. (可选)开启统一计费功能。
accounting-merge enable
缺省情况下,统一计费功能处于关闭状态。
f. (可选)配置ITA业务流量配额耗尽策略。
traffic-quota-out { offline | online } [ no-accounting-update ]
缺省情况下,用户的当前流量配额耗尽后,设备会向服务器发送计费更新报文来获取新的流量配额,若计费回应报文未携带新的流量配额,则该用户不能访问授权的目的IP地址段。
g. (可选)配置ITA业务所属的用户组。
user-group name group-name [ nat-instance instance-name ]
缺省情况下,未配置ITA业务所属的用户组。
h. (可选)开启ITA业务流量与用户总计费流量分离功能。
traffic-separate enable [ level level&<1-8> ]
缺省情况下,ITA业务流量与用户总计费流量分离功能处于关闭状态。
(4) 在RADIUS服务器上或用户认证域中指定授权ITA业务策略。
(5) 当用户通过认证后,若RADIUS服务器为当前用户授权了ITA业务策略,将使用RADIUS服务器授权的ITA业务策略,否则使用用户认证域中指定的ITA业务策略。
EDSG是Enhanced Dynamic Service Gateway的简称,是一种将用户的一路流量单独标识出来并独立限速、计费和管理的业务模式。
用户通过RADIUS认证后,若RADIUS服务器为用户授权了EDSG业务策略,设备将使用下发的EDSG业务策略名称查询本地配置的EDSG业务策略,并使用该策略中定义的业务参数对用户提供基于业务的差别化服务:
· 独立认证:对用户的EDSG业务采用独立的认证方案,与用户接入时采用的认证方案不同。RADIUS服务器向用户下发EDSG业务策略后,设备将向策略中指定的RADIUS服务器发起EDSG业务认证,从而为用户获得相应的EDSG业务授权信息。若下发的EDSG业务策略携带了用户名和密码,则使用该用户名和密码进行EDSG业务认证;否则使用用户上线时的用户名和密码进行EDSG业务认证。
· 独立计费:对用户的EDSG业务流量采用独立的计费方案,与对普通业务流量采用的计费方案不同。例如,Internet外网流量费用与内网流量费用差异很大,可以将用户的内外网流量按照业务区分开来,使其按照不同的费率级别分别计费。
· 独立限速:对用户EDSG业务采用独立的限速策略。例如,用户订购某网站的在线视频业务后,服务提供商通过为此用户授权相应的EDSG业务策略,对此业务进行独立计费,并且在网络拥塞的情况下,优先保证用户访问该视频网站的流量。
· 动态授权:可以根据用户的业务需求,为用户单独授权指定的EDSG业务策略,或者同时授权多个不同的EDSG业务策略。在用户停止使用某项服务的时候,可以动态取消该EDSG业务的授权。
本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。
仅CSPEX-1304S、CSPEX-1404S、CSPEX-1504S单板支持EDSG业务策略,且仅IPoE用户(静态个人接入用户、未知源个人接入用户、DHCP个人接入用户和IPoE Web认证接入用户)、PPPoE类型的用户支持EDSG业务策略的应用。
对于同一个用户,配置EDSG业务策略时,有如下注意事项:
· 若RADIUS服务器同时下发了ITA业务策略和EDSG业务策略,则仅ITA业务策略生效;若RADIUS服务器仅下发了EDSG业务策略,则EDSG业务策略生效。
· EDSG业务策略和接口入方向限速(配置qos lr inbound命令)不能同时生效,且EDSG业务策略优先级高。
· EDSG业务策略和部分基于用户的QoS策略不能同时配置。
¡ EDSG业务策略和基于用户的流量整形(User Profile视图下配置qos gts命令)不能同时配置。
¡ EDSG业务策略和指定上线用户流量进入队列(User Profile视图下配置qos queue命令)不能同时配置。
¡ EDSG业务策略和在User Profile出方向配置调度权重(User Profile视图下配置qos weight outbound命令)不能同时配置。
¡ EDSG业务策略和队列调度策略(User Profile视图下配置qos apply qmprofile命令)不能同时应用。
¡ 对于不同的EDSG业务策略,EDSG双栈业务流量独立限速功能(rate-limit dual-stack separate命令)的开启状态要配置相同,否则新配置的EDSG业务策略无法生效。
· 对于同一个用户,请不要同时配置EDSG业务策略和部分基于接口应用QoS策略(接口视图下配置qos apply scheduler-policy命令)。
关于RADIUS服务器为用户授权EDSG业务策略,有如下注意事项:
· 若RADIUS服务器同时下发了多个EDSG业务策略,且多个策略的业务ID不冲突,则多个策略可同时生效。若下发的多个EDSG业务策略中存在业务ID相同的业务策略,则相同业务ID的策略中能够首先成功发起EDSG业务认证的那条策略生效。
· 用户的EDSG业务认证成功后,若RADIUS服务器为该业务授权了流量限速参数,则授权给该用户的EDSG业务策略下配置的流量限速参数不会生效。
· 设备仅支持RADIUS服务器通过私有属性H3C-AV-Pair和Cisco-AVPair下发的EDSG业务策略名称以及用户名和密码信息。若RADIUS服务器通过其它属性下发了EDSG策略信息,则需要在设备开启RADIUS属性转换功能来完成属性转换和解析。
· RADIUS服务器下发的EDSG业务策略中携带的用户名长度不能超过253,携带的PPP用户密码长度不能超过128,携带的IPoE用户密码长度不能超过64。
· 若RADIUS服务器给用户下发了多个EDSG业务策略,则要求所有EDSG业务策略中的双栈业务流量独立限速模式必须相同。
以下情况发生时,用户的EDSG业务将会停止:
· 设备与EDSG业务策略使用的RADIUS服务器之间路由不可达。
· 用户的EDSG业务流量耗尽。
· 用户的EDSG业务在线时长耗尽。
· EDSG业务计费开始或计费更新过程失败。
· 用户的主业务会话下线。
配置EDSG业务流量限速模式时,有如下注意事项:
· 对于同一个用户,EDSG业务流量带内限速和以下用户组QoS策略不能同时生效,EDSG带内限速优先级高。
¡ Session Group Profile下流量整形(Session Group Profile视图下配置qos gts命令)
¡ Session Group Profile出方向调度权重(配置qos weight outbound命令)
¡ Session Group Profile上应用队列调度策略(配置qos apply qmprofile命令)
· 同时配置EDSG业务流量带内限速和用户优先级(配置authorization-attribute user-priority)时,上行流量限速的EDSG业务策略(配置car inbound)和用户优先级可以同时生效,下行流量限速的EDSG业务策略(配置car outbound)和用户优先级不能同时生效,且下行流量限速的EDSG业务策略优先生效。
· 配置EDSG业务流量限速模式为带内限速时,不建议配置端口优先级信任模式(配置qos trust命令)、配置CBQ队列、重新标记报文的本地优先级(配置remark local-precedence命令)、重新标记流所属的转发类(配置remark forwarding-class命令)、重新标记报文的QoS本地ID值(配置remark qos-local-id命令),否则可能会导致EDSG业务策略不生效。关于配置CBQ队列的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
当EDSG业务流量限速模式不同时,不同单板上可创建的EDSG业务策略情况各不相同,如表1-2所示。
表1-2 EDSG业务策略创建限制
|
EDSG业务策略 |
带外限速 |
带内限速 |
|
|
可创建的策略ID值 |
1~4 |
1~4 |
|
|
策略个数 |
1~4个 |
1~4个 |
|
|
策略生效优先级 |
-各策略优先级相同 |
策略ID值越大,优先级越高 |
|
关于EDSG业务流量限速模式的详细介绍,请参见“BRAS业务配置指导”的“AAA”。
需要在对用户进行接入认证的RADIUS服务器上指定下发给用户的EDSG业务策略。若还要求设备使用专门的用户名和密码对用户发起EDSG业务认证,则需要同时在RADIUS服务器上指定下发给用户的EDSG认证用户名和密码。
若需要对用户的EDSG业务进行独立认证、授权和计费,则需要独立配置EDSG业务应用的认证、授权和计费方案。
(1) 进入系统视图。
system-view
(2) 创建EDSG业务策略,并进入EDSG业务策略视图。
service policy policy-name
(3) 指定EDSG业务ID。
service-id number
缺省情况下,未配置EDSG业务ID。
一个EDSG业务策略视图下,只能指定一个业务ID。
(4) (可选)指定EDSG业务使用的认证方案。
authentication-method { none | radius-scheme radius-scheme-name [ none ] }
缺省情况下,不对EDSG业务进行认证。
(5) (可选)指定EDSG业务使用的计费方案。
accounting-method { none | radius-scheme radius-scheme-name [ none ] }
缺省情况下,不对EDSG业务进行计费。
(6) (可选)配置EDSG业务流量限速模式。
service rate-limit mode { merge | separate }
缺省情况下,采用ISP域视图下配置的EDSG业务流量限速模式。
ISP域视图和EDSG业务策略视图下均可以配置EDSG业务流量限速模式,EDSG业务策略视图下的配置优先级高。
(7) (可选)配置EDSG业务流量限速参数。
car { inbound | outbound } cir cir-value [ pir pir-value ] [ cbs cbs-value ] [ ebs ebs-value ]
缺省情况下,未配置EDSG流量限速参数。
(8) (可选)配置EDSG业务流量统计策略。
traffic statistics { merge | separate }
缺省情况下,EDSG业务流量与用户总流量分开统计。
(9) (可选)开启EDSG双栈业务流量独立限速功能。
rate-limit dual-stack separate
缺省情况下,EDSG双栈业务流量独立限速功能处于关闭状态,即对用户的IPv4业务流量和IPv6业务流量合并起来进行限速。
此功能仅在EDSG业务流量限速模式为带内限速时有效(带内限速模式可通过ISP域视图或EDSG业务策略下的service rate-limit mode merge命令设置)。
完成上述配置后,在任意视图下执行display命令可以显示增值业务策略的配置信息。
表1-3 EDSG业务策略显示和维护
|
操作 |
命令 |
|
显示EDSG业务策略的配置信息 |
display service policy [ policy-name ] |
|
显示EDSG业务用户的统计信息 |
display value-added-service user edsg |
|
显示指定IP地址的EDSG业务用户信息 |
display value-added-service user { ip-address ipv4-address | ipv6-address ipv6-address } [ vpn-instance vpn-instance-name ] [ verbose ] |
|
显示指定User ID的EDSG业务用户信息 |
display value-added-service user user-id user-id edsg [ service-id service-id ] |
|
显示指定用户名的EDSG业务用户信息 |
display value-added-service user username username [ verbose ] |
|
显示ITA业务策略的配置信息 |
display ita policy [ policy-name ] |
|
显示ITA业务用户的统计信息 |
display value-added-service user ita |
|
显示指定IP地址的ITA业务用户信息 |
display value-added-service user { ip-address ipv4-address | ipv6-address ipv6-address } [ vpn-instance vpn-instance-name ] [ verbose ] |
|
显示指定User ID的ITA业务用户信息 |
display value-added-service user user-id user-id ita-level level |
|
显示指定用户名的ITA业务用户信息 |
display value-added-service user username username [ verbose ] |
· 用户主机经由三层网络接入IPoE设备Router
· 采用Free RADIUS server1作为认证、授权和计费服务器。
· 采用Free RADIUS server2作为ITA(Intelligent Target Accounting,智能靶向计费)业务流量的计费服务器,对用户访问FTP server的业务流量按照级别1进行计费。
· Router上报给RADIUS server1的用户计费流量中不包含ITA业务流量,且不允许用户ITA业务流量配额耗尽后继续访问FTP server。
图1-1 IPoE支持ITA业务配置组网图
配置各接口的IP地址,且确保各设备之间路由可达。
# 分别在RADIUS server1和RADIUS server2上配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
client 5.5.5.2/32 {
ipaddr = 5.5.5.2
netmask=32
secret=radius
}
# 配置合法用户信息。
在users文件中增加如下信息:
2.2.2.2 Cleartext-Password :="radius"
以上信息表示:用户名为Host的IP地址2.2.2.2。
(1) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server1作为认证、授权和计费服务器。
<Router> system-view
[Router] radius scheme rs1
# 配置主认证和主计费服务器及其通信密钥。
[Router-radius-rs1] primary authentication 4.4.4.1
[Router-radius-rs1] primary accounting 4.4.4.1
[Router-radius-rs1] key authentication simple radius
[Router-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
# 创建名称为rs2的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server2作为ITA业务流量计费服务器。
[Router] radius scheme rs2
# 配置主计费服务器及其通信密钥。
[Router-radius-rs2] primary accounting 5.5.5.1
[Router-radius-rs2] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
(2) 定义匹配数据包的规则
# 定义类class1的匹配规则为:匹配已认证用户的数据包(认证方式必须为IPoE或PPPoE),且匹配ACL 3000的规则。
[Router] traffic classifier class1 operator and
[Router-classifier-class1] if-match authenticated-user
[Router-classifier-class1]if-match acl 3000
[Router-classifier-class1] quit
(3) 配置QoS策略
# 配置ACL 3000,允许目的地址为1.1.1.1的报文通过。
[Router] acl advanced 3000
[Router-acl-ipv4-adv-3000] rule 0 permit ip destination 1.1.1.1 0
[Router-acl-ipv4-adv-3000] quit
# 配置类classifier_1,匹配ACL 3000。
[Router] traffic classifier classifier_1
[Router-classifier-classifier_1] if-match acl 3000
[Router-classifier-classifier_1] quit
# 定义流行为behavior_1。
[Router] traffic behavior behavior_1
# 标记流量计费级别为1。
[Router-behavior-behavior_1] remark account-level 1
# 配置基于字节进行流量统计。
[Router-behavior-behavior_1] accounting byte
[Router-behavior-behavior_1] quit
# 定义QoS策略policy,为类classifier_1指定流行为behavior_1。
[Router] qos policy policy
[Router-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Router-qospolicy-policy] quit
(4) 应用QoS策略
# 在接口上对接收到的上线用户流量应用QoS策略。
[Router] interface ten-gigabitethernet 3/1/1
[Router-ten-GigabitEthernet3/1/1] qos apply policy policy inbound
[Router–ten-GigabitEthernet3/1/1] quit
(5) 配置ITA业务策略
# 创建ITA业务策略ita。
[Router] ita policy ita
# 配置ITA业务使用计费方案rs2。
[Router-ita-policy-ita] accounting-method radius-scheme rs2
# 配置IPv4流量计费级别为1。
[Router-ita-policy-ita] accounting-level 1 ipv4
# 开启ITA业务流量与用户总计费流量分离功能。
[Router-ita-policy-ita] traffic-separate enable
# 配置ITA业务流量配额耗尽后用户不可以继续访问授权的目的IP地址段。
[Router-ita-policy-ita] traffic-quota-out offline
[Router-ita-policy-ita] quit
(6) 配置认证域
# 创建并进入名称为dm1的ISP域。
[Router] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[Router-isp-dm1] authentication ipoe radius-scheme rs1
[Router-isp-dm1] authorization ipoe radius-scheme rs1
[Router-isp-dm1] accounting ipoe radius-scheme rs1
# 配置ISP域使用的ITA策略ita。
[Router-isp-dm1] ita-policy ita
[Router-isp-dm1] quit
(7) 配置IPoE认证
# 进入接口Ten-GigabitEthernet3/1/1视图。
[Router] interface ten-gigabitethernet 3/1/1
# 使能IPoE功能,并指定三层接入模式。
[Router–ten-GigabitEthernet3/1/1] ip subscriber routed enable
# 使能未知源IP报文触发方式。
[Router–ten-GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Router–ten-GigabitEthernet3/1/1] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Router–ten-GigabitEthernet3/1/1 ip subscriber password plaintext radius
用户认证通过之后,访问目的地址为1.1.1.1的报文将被按照Level 1级别在RADIUS server2上进行单独计费,访问其它目的IP地址的报文将在RADIUS server1上进行计费。可以通过display value-added-service user显示命令查看到IPoE在线用户的ITA业务流量信息。
仅CSPEX-1304S、CSPEX-1404S、CSPEX-1504S单板支持配置本举例。
· 用户主机经由三层网络接入IPoE设备Router。
· 访问Web server的用户业务报文需要进行EDSG业务处理。
· 采用Free RADIUS server1作为普通业务的认证、授权和计费服务器。
· 采用Free RADIUS server2作为EDSG业务的认证、授权和计费服务器。
· 由RADIUS server2下发EDSG业务的流量监管参数。
图1-2 IPoE支持EDSG业务配置组网图
配置各接口的IP地址,且确保各设备之间路由可达。
在Free RADIUS服务器上,同一个RADIUS属性对于同一个用户只能配置一次。若EDSG业务策略下发时还需要携带用户名和密码,则需要通过其它属性代替它下发EDSG策略用户名和密码,然后在设备上通过RADIUS属性转换功能将替代的属性转换为设备可解析的属性。
服务器下发EDSG业务策略时携带的用户名长度不能超过253,携带的PPP用户密码长度不能超过128,携带的IPoE用户密码长度不能超过64。
# 分别在RADIUS server1和RADIUS server2上配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
client 5.5.5.2/32 {
ipaddr = 5.5.5.2
netmask=32
secret=radius
}
# 在RADIUS server1的users文件中增加如下用户信息:
2.2.2.2 Cleartext-Password :="radius"
H3C-AV-Pair := "edsg-policy:activelist=sp1",
Cisco-AVPair := "edsg-policy:username=[sp1]edsg",
H3c-Server-String := "edsg-policy:password=[sp1]abc"
以上信息表示,用户2.2.2.2的接入认证密码为radius,授权的EDSG业务策略名称为sp1,EDSG业务认证使用的用户名为edsg、密码为abc。
# 在RADIUS server2的users文件中增加如下用户信息:
edsg Cleartext-Password := "abc"
H3c-Input-Average-Rate := 700000,
H3c-Input-Peak-Rate := 800000,H3C-Output-Average-Rate = 1000003,
H3C-Output-Peak-Rate = 1000004
以上信息表示,用户edsg的接入认证密码为abc,授权CAR参数为入方向的承诺信息速率为700000bps,入方向的峰值信息速率为800000bps,出方向的承诺信息速率为为1000003 bps、出方向的峰值信息速率为为1000004bps。
(1) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server1作为认证、授权和计费服务器。
<Router> system-view
[Router] radius scheme rs1
# 配置主认证和主计费服务器及其通信密钥。
[Router-radius-rs1] primary authentication 4.4.4.1
[Router-radius-rs1] primary accounting 4.4.4.1
[Router-radius-rs1] key authentication simple radius
[Router-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
# 开启RADIUS属性解释功能,并配置将收到的H3c-Server-String属性转换为H3c-AVPair。
[Router-radius-rs1] attribute translate
[Router-radius-rs1] attribute convert H3c-Server-String to H3c-AVPair received
[Router-radius-rs1] quit
# 创建名称为rs2的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server2作为EDSG业务认证、授权和计费服务器。
[Router] radius scheme rs2
# 配置主认证服务器及其通信密钥。
[Router-radius-rs2] primary authentication 5.5.5.1
[Router-radius-rs2] key authentication simple radius
# 配置主计费服务器及其通信密钥。
[Router-radius-rs2] primary accounting 5.5.5.1
[Router-radius-rs2] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
(2) 配置EDSG业务策略
# 创建EDSG业务策略sp1。
[Router] service policy sp1
# 配置EDSG业务使用的认证方案为rs2。
[Router-service-policy-sp1] authentication-method radius-scheme rs2
# 配置EDSG业务使用的计费方案为rs2。
[Router-service-policy-sp1] accounting-method radius-scheme rs2
# 配置EDSG业务ID为1。
[Router-service-policy-sp1] service-id 1
[Router-service-policy-sp1] quit
(3) 配置认证域
# 创建并进入名称为dm1的ISP域。
[Router] domain name dm1
# 配置IPoE用户认证/授权/计费均使用的RADIUS方案rs1。
[Router-isp-dm1] authentication ipoe radius-scheme rs1
[Router-isp-dm1] authorization ipoe radius-scheme rs1
[Router-isp-dm1] accounting ipoe radius-scheme rs1
[Router-isp-dm1] quit
(4) 配置IPoE认证
# 进入接口Ten-GigabitEthernet3/1/1视图。
[Router] interface ten-gigabitethernet 3/1/1
# 使能IPoE功能,并指定三层接入模式。
[Router–ten-GigabitEthernet3/1/1] ip subscriber routed enable
# 使能未知源IP报文触发方式。
[Router–ten-GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable
# 设置未知源IP报文触发方式使用的认证域为dm1。
[Router–ten-GigabitEthernet3/1/1] ip subscriber unclassified-ip domain dm1
# 设置动态用户的认证密码为明文radius。
[Router–ten-GigabitEthernet3/1/1] ip subscriber password plaintext radius
[Router–ten-GigabitEthernet3/1/1] quit
(5) 配置QoS策略
# 配置ACL 3000,对发送给Web server的报文进行分类。
[Router] acl advanced 3000
[Router-acl-ipv4-adv-3000] rule 0 permit ip destination 1.1.1.1 0
[Router-acl-ipv4-adv-3000] quit
# 配置ACL 3001,对来自Web server的报文进行分类。
[Router] acl advanced 3001
[Router-acl-ipv4-adv-3001] rule 0 permit ip source 1.1.1.1 0
[Router-acl-ipv4-adv-3001] quit
# 定义类sp1,匹配ACL 3000。
[Router] traffic classifier sp1
[Router-classifier-sp1] if-match acl 3000
[Router-classifier-sp1] quit
# 定义类sp2,匹配ACL 3001。
[Router] traffic classifier sp2
[Router-classifier-sp2] if-match acl 3001
[Router-classifier-sp2] quit
# 定义流行为sp1,并将报文的EDSG业务ID标记为1。
[Router] traffic behavior sp1
[Router-behavior-sp1] remark service-id 1
[Router-behavior-sp1] quit
# 定义流行为sp2,并将报文的EDSG业务ID标记为1。
[Router] traffic behavior sp2
[Router-behavior-sp2] remark service-id 1
[Router-behavior-sp2] quit
# 配置QoS策略sp1,为类sp1指定流行为sp1。
[Router] qos policy sp1
[Router-qospolicy-sp1] classifier sp1 behavior sp1
[Router-qospolicy-sp1] quit
# 配置QoS策略sp2,为类sp2指定流行为sp2。
[Router] qos policy sp2
[Router-qospolicy-sp2] classifier sp2 behavior sp2
[Router-qospolicy-sp2] quit
# 在接口入方向上应用QoS策略。
[Router] interface ten-gigabitethernet 3/1/1
[Router–ten-GigabitEthernet3/1/1] qos apply policy sp1 inbound
[Router–ten-GigabitEthernet3/1/1] qos apply policy sp2 outbound
[Router–ten-GigabitEthernet3/1/1] quit
用户认证通过之后,可以通过display value-added-service user显示命令查看到IPoE在线用户的EDSG业务信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
