|
学校路由器场景配置案例:BRAS综合场景配置示例 弱电Bar 2019-11-25 10:25:16 本例介绍在BRAS综合场景中,通过配置IPoE接入、PPPoE接入、MAC认证等实现高校园区用户的有线、无线网络接入的典型配置过程。 适用产品和版本 本方案适用的产品和版本如下表所示。 表1-25 产品和软件版本 组网需求 说明:本方案ME60作为网关认证设备,实现用户的接入认证,适用于用户规模较大(20000+用户)的高校园区场景。 某校园网要实现学生宿舍区和教师办公区的有线无线网络一体化认证,如图1-27所示,组网需求如下: · 接入需求:有线、无线网络同时部署,并支持有线、无线用户的接入。 · 认证需求:有线、无线用户接入网络均需进行认证,有线采用PPPoE认证,无线采用IPoE认证,哑终端采用MAC认证。 · 访问外网需求:校园内网用户IP地址为私网地址,需要通过地址转换(NAT)才能访问外网ISP1、ISP2(比如互联网、教育网),外网用户也能访问内网中的服务器资源。 · 网络权限需求:有线、无线用户基于学生、教师等角色有不同的账号和网络权限,如下面的表1-26所示。 · 差异化限速需求:学生、教师、商业、哑终端用户访问校园内网带宽不同,例如,学生10M、老师20M、联通用户50M、哑终端20M,通过DAA(DestinationAddress Accounting)实现不同用户、不同目的地址的带宽控制。 · 差异化计费需求:学生、教师等访问校园内网不计费,访问校园外网运营商网络ISP1和ISP2计费,通过DAA实现校园内网、运营商网络的差异化计费。 · 安全需求:对进出校园网的流量要进行识别、过滤,确保网络安全。 图1-27 BRAS综合场景组网图 表1-26 用户账号认证方式、网络权限、带宽控制数据规划 配置思路 · 用户接入S5700交换机或AP配置用户VLAN,上行汇聚至S7700配置外层VLAN,通过QinQ实现用户隔离。 · 核心交换机S12708是所有汇聚交换机的连接点,并内置随板AC(无需额外购买硬件AC,减少网络设备投资)。在S12708上配置随板AC功能,管理全网的AP,实现无线网络的接入。 · 核心交换机S12708透传QinQ报文到ME60,ME60进行QinQ终结。 · ME60作为网关认证设备,为有线无线用户提供丰富的认证方式,包括IPoE认证、PPPoE认证、MAC认证等,满足用户灵活认证的需求。另外,在ME60上配置DAA功能,能实现不同用户、不同目的地址的差异化限速和计费需求。 · 出口防火墙USG6680承担外网出口业务,隔离内外网区域,实现内外网业务路由和NAT功能。防火墙开启智能选路功能,根据出口链路带宽动态地选择出接口,实现链路资源的合理利用和用户体验的提升。在出口防火墙的上行配置NAT,实现私网地址和公网地址之间的转换,使得内网用户可以访问外网。在出口防火墙上配置安全策略,可以针对用户上网报文进行过滤,防止用户访问非法网站,同时可对用户网络报文进行监控和追溯。 说明:下面主要介绍ME60的配置,其他设备介绍请参考具体产品手册。 初始配置 首次登录设备 详细请参见“公共特性”章节中的“首次登录设备”。 配置设备名称 为每个设备设置特定的名称,以便于用户登录后识别不同的设备。例如,把设备的名称配置为“ME60”。 #
sysname ME60
#
配置设备接口IP地址 · 总体规划设备接口IP地址规划如下:表1-27 接口IP地址规划 · 接口IP地址配置 例如,配置ME60接口GE1/0/1的IP地址为172.16.11.6/30。 #
interface GigabitEthernet1/0/1
undo shutdown
ip address 172.16.11.6 255.255.255.252//为接口配置IP地址
#
其余IP地址配置方法类似,此处不再赘述。 配置远程登录功能 可以通过Telnet或者SSH协议远程登录设备。使用Telnet协议存在安全风险,建议使用安全级别更高的SSH登录设备。 详细请参见“公共特性”章节中的“配置通过STelnet(SSH)远程登录设备”。 配置静态路由 总体规划 路由协议是设备之间维护路由表的规则,用于发现路由,生成路由表,并指导报文转发。通常的路由协议有静态路由协议和动态路由协议。 本校园网网络结构比较简单,同时考虑到后期维护的简单性,只需配置静态路由协议就可以满足用户需求。 ME60到各设备的静态路由如下: 表1-28 设备静态路由 静态路由配置 ME60到各设备的静态路由配置方法如下。 #
ip route-static 172.16.10.1 255.255.255.255 172.16.11.5 //配置ME60到USG6680-A的静态路由
ip route-static 172.16.10.2 255.255.255.255 172.16.11.9 //配置ME60到USG6680-B的静态路由
ip route-static 172.16.10.4 255.255.255.255 172.16.11.14 //配置ME60到S12708的静态路由
#
配置IPoE接入 总体规划 校园网学生、教师无线用户使用IPoE接入方式认证。ME60作为网关认证设备,认证通过后给用户分配一个私网IP地址,能够指定其访问权限。WEB认证通过后才能访问外网。 表1-29 IPoE接入参数规划 IPoE接入配置 IPoE接入配置方法如下。 #
aaa //配置AAA方案
http-redirect enable //使能http报文重定向功能
authentication-scheme none //配置认证方案名称none
authentication-mode none //配置认证模式为不认证
accounting-scheme none //配置计费方案名称none
accounting-mode none //配置计费模式为不计费
authentication-scheme authen //配置认证方案名称authen
accounting-scheme acc //配置计费方案名称acc
accounting interim interval 15 //配置实时计费间隔为15分钟
# //配置RADIUS服务器
radius-server source interface LoopBack0//配置RADIUS服务器的源接口
radius-server group radius //配置RADIUS服务器组radius
radius-server authentication192.168.10.55 1812 weight 0
radius-server accounting 192.168.10.551813 weight 0
radius-server shared-key-cipher%$%$]&yT6A~x)JPlIv#3CKo2Vs\R%$%$
#
radius-server authorization 192.168.10.55 shared-key-cipher%$%$/g"p5}]wvO1JPz$/gbc%R)=M%$%$ //配置RADIUS授权服务器
radius-server authorization 192.168.10.241 shared-key-cipher%$%$L(eNJFNKu1}D`&2JJbnRmh)R%$%$ //配置RADIUS授权服务器
# //配置WEB服务器
web-auth-server source interface LoopBack0 //配置WEB服务器的源接口为Loopback0
web-auth-server 192.168.10.53 port 50100 key cipher%$%$lj5k020t7.0:*p'fCdM4WL0`%$%$ //配置WEB服务器IP地址、端口号
# //配置地址池
ip pool xuesheng bas local //配置地址池xuesheng
gateway 10.254.0.1 255.255.128.0 //配置网关地址
section 0 10.254.0.2 10.254.127.254 //配置网段地址
dns-server 192.168.10.2 10.255.57.5 //配置DNS服务器
lease 0 12 0 //配置租期为12小时
ip pool pre-pool bas local //配置地址池per-pool
gateway 10.253.0.1 255.255.128.0
section 0 10.253.0.2 10.253.127.254
dns-server 192.168.10.2 10.255.57.5
lease 0 12 0
ip pool jiaoshi bas local //配置地址池jiaoshi
gateway 10.254.128.1 255.255.128.0
section 0 10.254.128.2 10.254.255.254
excluded-ip-address 10.254.128.210.254.129.254 //配置IP地址池中不参与自动分配的IP地址范围
dns-server 192.168.10.2 10.255.57.5
lease 0 12 0
#
user-group pre-web //配置用户组pre-web
#
aaa
domain pre-authen //配置认证前域pre-authen
authentication-scheme none //配置域使用认证方案none
accounting-scheme none //配置域使用计费方案none
ip-pool pre-pool //配置域绑定地址池pre-pool
user-group pre-web //配置域绑定用户组pre-web
web-server 192.168.10.53 //配置WEB认证服务器
web-server url http://192.168.10.53/help/help.html //配置域下强制WEB认证的重定向URL
#
#
acl number 6010 //配置UCL规则6010,能访问RADIUS、WEB、DNS服务器
rule 3 permit ip source user-grouppre-web destination ip-address 192.168.10.2 0
rule 6 permit ip source user-grouppre-web destination ip-address 192.168.10.53 0
rule 7 permit ip source user-grouppre-web destination ip-address 192.168.10.55 0
rule 10 permit ip source user-grouppre-web destination ip-address 192.168.10.241 0
rule 15 permit ip source user-grouppre-web destination ip-address 10.255.57.5 0
#
acl number 6011 //配置UCL规则6011,命中重定向到WEB认证页面
rule 5 permit tcp source user-grouppre-web destination-port eq www
rule 10 permit tcp source user-grouppre-web destination-port eq 8080
rule 20 permit ip source user-grouppre-web
#
traffic classifier 6010 operator or //配置流分类6010
if-match acl 6010
traffic classifier 6011 operator or //配置流分类6011
if-match acl 6011
#
traffic behavior 6010 //配置流行为6010
traffic behavior 6011 //配置流行为6011,触发http跳转
http-redirect
#
traffic policy traffic-policy-1 //配置流量策略traffic-policy-1
share-mode //配置流量策略为共享属性
classifier 6010 behavior 6010
classifier 6011 behavior 6011
# //全局应用流量策略traffic-policy-1,匹配BAS用户侧报文
traffic-policy traffic-policy-1 inbound
traffic-policy traffic-policy-1 outbound
#
#
aaa
domain xs //配置认证域xs
authentication-scheme authen //配置域使用认证方案authen
accounting-scheme acc //配置域使用计费方案acc
ip-pool xuesheng //配置域使用的地址池xuesheng
value-added-service account-type none //配置DAA业务的计费方式为不计费
value-added-service policy 10m //配置域使用的DAA业务策略为10m
radius-server group radius //配置域使用的RADIUS服务器组radius
quota-out online //配置用户配额用完后保持用户在线
#
domain jg //配置认证域jg
authentication-scheme authen //配置域使用认证方案authen
accounting-scheme acc //配置域使用计费方案acc
ip-pool jiaoshi //配置域使用的地址池jiaoshi
value-added-service account-type none //配置DAA业务的计费方式为不计费
value-added-service policy 20m //配置域使用的DAA业务策略为20m
radius-server group radius //配置域使用的RADIUS服务器radius
quota-out online //配置用户配额用完后保持用户在线
#
#
interface GigabitEthernet3/0/2.1001 //配置BAS接口
description xuesheng-web
user-vlan 3001 3500 qinq 1601 1800
bas
# //配BAS接口类型为二层普通用户接口,认证前域为pre-authen,认证域为xs
access-type layer2-subscriberdefault-domain pre-authentication pre-authen authentication xs
authentication-method web //配置WEB认证方式
#
#
interface GigabitEthernet3/0/2.1003 //配置BAS接口
description jiaoshi-web
user-vlan 3001 3500 qinq 1801 2000
bas
# //配BAS接口类型为二层普通用户接口,认证前域为pre-authen,认证域为jg
access-type layer2-subscriberdefault-domain pre-authentication pre-authen authentication jg
dhcp session-mismatch action offline
authentication-method web //配置WEB认证方式
#
#
配置PPPoE接入 总体规划 校园网学生、教师有线用户使用PPPoE接入方式认证。ME60作为网关认证设备,将用户的账号、密码发送到Radius服务器进行认证,认证通过后分配IP地址。 表1-30 PPPoE接入参数规划 PPPoE接入配置 以学生PPPoE接入为例,配置方法如下(此处仅介绍PPPoE接入相关配置,AAA方案、Radius服务器和认证域配置,请参见IPoE接入的配置)。 #
ip pool xuesheng bas local //配置地址池xuesheng
gateway 10.254.0.1 255.255.128.0 //配置网关地址
section 0 10.254.0.2 10.254.127.254 //配置网段地址
dns-server 192.168.10.2 10.255.57.5 //配置DNS服务器
lease 0 12 0 //配置租期为12小时
ip pool pre-ppp bas local //配置地址池per-ppp
gateway 10.253.128.1 255.255.128.0
section 0 10.253.128.2 10.253.255.254
dns-server 192.168.10.2 10.255.57.5
lease 0 12 0
#
user-group pre-ppp //配置用户组pre-ppp
#
aaa
domain pre-ppp //配置认证前域pre-ppp
authentication-scheme none //配置域使用认证方案none
accounting-scheme none //配置域使用计费方案none
ip-pool pre-ppp //配置域绑定地址池pre-ppp
user-group pre-ppp //配置域绑定用户组pre-ppp
web-server 192.168.10.55 //配置WEB认证服务器
web-server url http://192.168.10.55/help/help.html //配置域下强制WEB认证的重定向URL
#
#
acl number 6012 //配置UCL规则6012,能访问Radius、WEB、DNS服务器
rule 5 permit ip source user-grouppre-ppp destination ip-address 192.168.10.55 0
rule 6 permit ip source user-grouppre-ppp destination ip-address 192.168.10.53 0
rule 15 permit ip source user-group pre-ppp destination ip-address 192.168.10.20
#
acl number 6013 //配置UCL规则6012,命中重定向到WEB认证页面
rule 5 permit tcp source user-grouppre-ppp destination-port eq www
rule 10 permit tcp source user-grouppre-ppp destination-port eq 8080
rule 20 deny ip source user-grouppre-ppp
#
traffic classifier 6012 operator or //配置流分类6012
if-match acl 6012
traffic classifier 6013 operator or //配置流分类6013
if-match acl 6013
#
traffic behavior 6012 //配置流行为6012
traffic behavior 6013 //配置流行为6013,触发http跳转
http-redirect
#
traffic policy traffic-policy-1 //配置流量策略traffic-policy-1
share-mode //配置流量策略为共享属性
classifier 6012 behavior 6012
classifier 6013 behavior 6013
# //全局应用流量策略traffic-policy-1,匹配BAS用户侧报文
traffic-policy traffic-policy-1 inbound
traffic-policy traffic-policy-1 outbound
#
interface Virtual-Template1 //创建虚拟接口模板1
ppp authentication-mode auto //配置本端PPP协议使用自适应协商方式验证对端设备
#
interface GigabitEthernet3/0/2.1000 //配置虚拟以太网接口
pppoe-server bind Virtual-Template 1 //配置为接口指定虚拟接口模板1
description xuesheng-ppp
user-vlan 2001 3000 qinq 101 200 //配置用户侧VLAN
bas
# //配BAS接口类型为二层普通用户接口,认证前域为pre-ppp,认证域为xs
access-type layer2-subscriberdefault-domain pre-authentication pre-ppp authentication xs
authentication-method ppp web //配置PPP WEB认证方式
#
#
配置MAC认证 总体规划 校园网的打印机、传真机等哑终端使用MAC认证。MAC认证主要用于简化WEB认证过程。若配置了MAC认证,在WEB认证过程中,WEB认证用户只需在第一次认证时输入用户名和密码,同时RADIUS服务器会记录下用户的MAC地址,当用户再需要WEB认证时,RADIUS服务器便可以根据其MAC信息进行认证,而不需要用户再次输入用户名和密码。 表1-31 MAC认证参数规划 MAC认证配置 MAC认证配置方法如下,此处仅介绍MAC认证相关配置,AAA方案、Radius服务器、WEB服务器、地址池、UCL规则等配置,请参见IPoE、PPOE接入的配置。 #
aaa
default-user-name include mac-address -//配置直接使用用户连接请求报文携带的MAC地址作为纯用户名
default-password cipher%$%$MD{\.!~j'P#Jl%3cJBm6#QWv%$%$ //配置默认的用户密码
authentication-scheme mac //配置认证方案mac
authening authen-fail onlineauthen-domain pre-authen //MAC快速认证,认证失败快速切换到pre-authen进行WEB认证
#
radius-server group mac //配置RADIUS服务器组mac
radius-server authentication192.168.10.55 1812 weight 0
radius-server accounting 192.168.10.551813 weight 0
radius-server shared-key-cipher%$%$wJ\~N5\D[,Zw-qP$[.=GR!A}%$%$
#
aaa
domain mac //配置认证域mac
authentication-scheme mac //配置域使用认证方案mac
accounting-scheme acc //配置域使用计费方案acc
ip-pool pre-pool //配置域使用的地址池
mac-authentication enable //配置使能MAC认证功能
radius-server group mac //配置域使用的RADIUS服务器组mac
#
#
interface GigabitEthernet3/0/2.1101 //配置虚拟以太网接口
description mac-web
user-vlan 600
bas
#
access-type layer2-subscriberdefault-domain pre-authentication mac authentication jg //配BAS接口类型为二层普通用户接口,认证前域为mac,认证域为jg
authentication-method web //配置WEB认证方式
#
#
配置DAA DAA是一种根据用户访问的目的地址进行限速和计费的技术。在ME60上配置DAA实现了对用户接入业务访问目的地址的差别进行管理,并根据不同目的地址定义不同的费率级别进行收费和不同的带宽控制。学生、教师、商业、哑终端用户访问校园内网带宽不同,例如,学生10M、老师20M、联通用户50M、哑终端20M,通过DAA(DestinationAddress Accounting)实现不同用户、不同目的地址的带宽控制。 表1-32 DAA参数规划 DAA配置 下面只介绍DAA相关配置,AAA方案、RADIUS服务器、WEB服务器等配置请参见IPoE接入的配置。 #
value-added-service enable //全局使能增值业务功能
#
user-group xuesheng //配置用户组xuesheng
user-group jiaoshi //配置用户组jiaoshi
#
acl number 6003 //配置UCL规则6003
rule 5 permit ip source user-groupjiaoshi destination ip-address 10.0.0.0 0.255.255.255
rule 10 permit ip source ip-address10.0.0.0 0.255.255.255 destination user-group jiaoshi
rule 15 permit ip source user-groupjiaoshi destination ip-address 172.16.0.0 0.15.255.255
rule 20 permit ip source ip-address 172.16.0.00.15.255.255 destination user-group jiaoshi
rule 25 permit ip source user-groupjiaoshi destination ip-address 192.168.0.0 0.0.255.255
rule 30 permit ip source ip-address192.168.0.0 0.0.255.255 destination user-group jiaoshi
#
acl number 6005 //配置UCL规则6005
rule 5 permit ip source user-groupxuesheng destination ip-address 10.0.0.0 0.255.255.255
rule 10 permit ip source ip-address10.0.0.0 0.255.255.255 destination user-group xuesheng
rule 15 permit ip source user-groupxuesheng destination ip-address 172.16.0.0 0.15.255.255
rule 20 permit ip source ip-address172.16.0.0 0.15.255.255 destination user-group xuesheng
rule 25 permit ip source user-groupxuesheng destination ip-address 192.168.0.0 0.0.255.255
rule 30 permit ip source ip-address 192.168.0.00.0.255.255 destination user-group xuesheng
#
traffic classifier 6003 operator or //配置流分类6003
if-match acl 6003
traffic classifier 6005 operator or //配置流分类6005
if-match acl 6005
#
traffic behavior 6003 //配置流行为6003
tariff-level 1 //配置DAA业务的费率级别为1
car //配置使能DAA业务的流量监管功能
traffic-statistic //配置使能DAA业务的流量统计功能
traffic behavior 6005 //配置流行为6005
tariff-level 1
car
traffic-statistic
#
traffic policy traffic_policy_daa //配置DAA流量策略traffic_policy_daa
share-mode
classifier 6003 behavior 6003
classifier 6005 behavior 6005
#
accounting-service-policy traffic_policy_daa //配置全局下应用DAA流量策略traffic_policy_daa
#
qos-profile 10M //配置QoS模板10M
car cir 10000 cbs 1870000 green pass reddiscard inbound
car cir 10000 cbs 1870000 green pass reddiscard outbound
qos-profile 20M //配置QoS模板20M
car cir 20000 cbs 3740000 green pass reddiscard inbound
car cir 20000 cbs 3740000 green pass reddiscard outbound
#
value-added-service policy 10m daa //配置DAA业务策略10m
accounting-scheme none
traffic-separate enable
tariff-level 1 qos-profile 10M
#
value-added-service policy 20m daa //配置DAA业务策略20m
accounting-scheme none
traffic-separate enable
tariff-level 1 qos-profile 20M
#
aaa
domain xs //配置认证域xs
value-added-service account-type none //配置DAA业务的计费方式为不计费
value-added-service policy 10m //配置域使用的DAA业务策略为10m
#
domain jg //配置认证域jg
value-added-service account-type none //配置DAA业务的计费方式为不计费
value-added-service policy 20m //配置域使用的DAA业务策略为20m
#
#
| 
发表于 2020-2-4 21:15:13
