MX960BRAS配置手册

1、MX960 BRAS配置手册2015年04月Lon gjia ng.LiV1.01 IPOE 简介21.1 IPoE用户认证的特点21.2 Web重定向过程21.3 IPOE认证过程21.4 IPOE下线过程41.5 IPOE基于用户业务的流量计费 52 PPPOE 简介62.1 PPPoE认证特点 62.2 PPPOE认证过程72.3 PPPOE下线过程72.4 PPPOE基于用户业务的流量计费 73 配置方法83.1 Filter 简介83.1.1 Filter 配置方法83.2 IPOE BRAS配置方法93.2.1 认证服务器配置93.2.2 dynamic-profiles配置103

2、.2.3 DHCP 配置113.2.4 接口配置123.3 PPPOE BRA配置方法123.3.1 认证服务器配置123.3.2 dynamic-profiles配置133.3.3 DHCP 配置143.3.4 接口配置151 IPOE简介1.1 IPoE用户认证的特点用户认证通过 WEB方式进行，使得学校的师生不必安装拨号客户端，认证功能通过IE浏览器即可方便地完成身份认证过程。认证后台系统由WEB Portal和RADIUS组成，认证平台可调用统一的用户数据库，以实现统一身份认证。用户的访问权限、上网速率 以及其他跟上网相关的行为管理由RADIUS系统根据用户身份下发相应的策略给 MX路

3、由器来实现。这使得网络具备较高的控制能力和可管理性，运维管理更加方便。在这一架构下，有线、无线（校内师生、访客）用户均可通过同一套设备、同一套软件、同一用户身份验证服务器，经过一次认证，即可根据预先设置的策略访问相应的 资源，而不必进行多次认证。无线和有线用户均做了相同的测试。1.2 Web重定向过程通过策略路由将目的端口为80的流量引入到防火墙，通过防火墙目的端口转换，实现web重定向。1.3 IPOE认证过程IPOE认证可分为两个部分，HDCPA证和portal认证两个部分HDCP认证：用户首先通过DHC认证获取IP地址，认证后给逻辑接口下发出入方向 策略“ prb ”和“ 10M”，不允

4、许用户之间互访。Interne2 Act&ss requestWith session-IDtl.DHGPDiscovery5, Acct-startZ/tti sessiarvlDand client IPAca-IM UpdateSRXD-NATPortal &RadiusServer6, gensratel 円Session-IDmatching table:4, DHCP o(HSflfVWr & users UhP au(hen(ic alien, IP/Sassion -ID matchy ACCT 仙 arid1.4 IPOE下线过程用户在portal页面申请下线过程：用户在we

5、b页面点击登出，radius下发DM MX收到DM后，MX清除HDCP BINDING 解除用户关系。3 ATTC2r Send out DM rressage6 Cbent wd wart and sen-d DHCP r|ii09.t to gt IP4. ciMr DHCP binding aindSRXD-MATPortall &Radius Soever3. ek* DHCP b心申end ( demux interfaceATTOSTO-P1 r S4tnd &ut DM ma$Agt$RXPortsI &Radiu Server4. radius willclear 则sessi

6、onal P-Qfths cliKCaiculiffi* iim-aid mfonnablon5 Cl4nt ll vMdatMd SJ&HdDHCP1 request 忆 gel IP oiddretBAgdiR5, Ffldvf i#lli the of the Gfe&nt； wd vc*unrfe inFocmaUon通过radius主动离线用户管理员在radius界面清除用户，radius下发DM后, MX清除DHCP BINGDING解除用户关系。用户异常离线过程用户异常离线后，在DHCFLEASETIME超时后，MX给radius发送计费停止报文，radius清除用户信息ACKb

7、ma .MZIIclr DHCP-4 |baling and曲mur interfaceSRX DNATPortal &尺测皿酗湎5中环嗣| clear the socn-UDcf flhe client CiCuM bm wd vcilunrw miformatOTi1. uMKshtrtdcw-nPCwxxrt logout1.5 IPOE基于用户业务的流量计费MX支持Service Based Accounting (SBA功能，在每个用户的 session 基础上， 生成多个 service sessi on，针对每个service sessi on实现基于 time/volume 的

8、statistics ，如对campus cernet，telecom 等实现单独的流量统计和计费功能，radius属性如下：描谨【26嗨5Activate SarvieciService toforthe subscriberstrin.se rvc B-nameSorvice-ActkLtJ - campus Service-Activated cemeF 可沖It牛用户Mfsionit fn-serviee【26七3De acttBle-ServiceServ ic e to deactivforthe subscriberstririgzsefvice-iiarneService-De

9、activate = c&mpus 可為某牛用户s*ionSE f去激活誌rvic26-69ServifieStatutici-tag XEnable or doable statistics for the serviceirrttgen0 = disable;1 - enable time statistics,2 = enable time and volume statisticsftio i 2Serve-Sfati stit$ 2 - 2 可 tf对单xs#rvice.定 戈竦计方式2 PPPOE简介2.1 PPPoE认证特点PPPoE其案简要流程为：用户PC通过客户端发起PPPo

10、E请求到后台接入服务器BAS, 然后交付深澜进行认证及计费。由于MX直接提供了用户接入网络时的 PPPoE认证功能，相应的控制力度也更强。用户均通过PPPoE会话实现到网络的接入和访问，由于 PPPoE通道的隔离而互不影响， 因此能够天然抵御ARP欺骗、仿冒源地址攻击等问题，极大减轻网络管理员的工作量， 并有效保障了整个校园网络的可靠性和稳定性。对于每个用户的PPPoE会话，都可以根据用户的身份信息通过深澜的后台管理平台进行策略下发，进行相应的访问权限控制、上下行速率限制以及根据流量、时长等采取不同策略的计费功能。对于 PPPoE方式，在用户认证通过后，由 MX向深澜服务器发送计费开始包，在用

11、户下线后（用户主动挂断、异常死机、网络断等），由MX向深澜服务器发送计费结束包。深澜业务支撑平台便可根据计费起始包、结束包按时长、按流量进 行实时计费。采用这种方式，计费数据相当准确。另外，由于MX及深澜认证计费系统均为运营商级设备，设备的处理能力，对用户PPPoE 方的控制能力完全能够满足校园网网络的需求， 可以对每个用户进行带宽限制，权限管理、 QoS等各种操作。并且，在使用 BRAS+PPPoE的接入方式下，在接入层是一张大的二 层网络，用户间通过 VLAN隔离，互相之间没有影响，避免了 ARP病毒等问题；同时， 对校园网的管理维护来说，管理员只需要管理大的 BARS设备，接入层设备仅仅

12、是二层接入，不需要在接入设备上作负责设置，极大的减轻了管理员的维护工作量式适合于需要进行精细控制与计费的校园网客户，如学生宿舍等。2.2 PPPOEA证过程PPPO认证过程，首先用户发起 PPPO连接，包括PPPOE和 LCP协商，同时将用户名发给 MXMX发起 access request 给 radius ,radius 验证用户信息，回复 access accept，携带用户接入策略，MX与用户交互IPCP,获得IP地址，同时将计费信息发给radius。5, RedstartWith Bsuion ID anddientFAcct-IM UpdaleAccess Accept witfl

13、 poli础 &SB-.4 generateIP/Spsian-IDNatching table1,pppo&d/LCP offer/rsqu&st5JPCPRequeft/ACK2,Acss(equss1wim session-idRadius Server2.3 PPPOEF线过程参考IPOE下线过程，用户主动下线和管理员离线用户通过DM信息实现，用户异常下线在PPPOE keepalive超时后，由MX发给radius记账停止信息下线。2.4 PPPO蚩于用户业务的流量计费同 IPOE3配置方法3.1 Filter 简介Filter 非常关键，radius上所有使用的filter , B

14、RAS中必须定义，如果 BRAS没有 radius所调用的filter 用户将无法认证通过。深澜和MX960 BRAS预定用的限速filter 为：1 ）IPOE : l-4M,O-4M（ 定大写），l-8M,O-8M等。（1,0为限速的两个方向）pbr（小写），pbr为域认证取地址后的策略。pbr为重定向filter 。2 ） PPPOE up4m down4m（ 定要小写），up8m down8n等。（up，down为限速的两 个方向）3.1.1 Filter配置方法firewall family inet filter pbr # 重定向 filterinterface-specific

15、;term 5 from service-filter-hit; # 标记then accept;term 20 #标记认证前开始的端口，UDP 53为DNS服务，如果不开，客户端打域名无法重定向from protocol udp;destination-port 53;then accept;term 30 #访问radius webport服务器直通过。from destination-address 172.16.108.13/32;then routing-instance webport;I term 40 #所有TCP 80端口服务全部使用策略路由webport ，也就是数据全部扔

16、到防火墙，让防火墙做目的地址转换（重定向）。如果需要开重定向前可以访问的服务，可以在这条前添加策略。（注：所有正常数据流通 过BRAS直接转发，重定向防火墙在radius和bras中间，认证后的正常数据流不通过重定向防火墙）Ifrom protocol tcp; destination-port 80;Ithen routing-instance webport;| term 50 #拒绝其他数据流then discard;Ifilter I-4M #IPOE 的限速 filter。interface-specific;term 30 then policer 4m; accept;i #PP

17、POE up4m ，down4m 写法相同。3.2 IPOE BRAS配置方法3.2.1 认证服务器配置access iiprofile sbr accounting-order radius;# 计费方式为 radiusauthentication-order radius;# 认证方式为 radiusradius authentication-server 172.16.108.13;# 认证服务器 IP 地址accounting-server 172.16.108.13;# 计费服务器 IP 地址options #radius 参数ethernet-port-type-virtual;a

18、ccounting-session-id-format decimal; vlan-nas-port-stacked-format;I i radius-server #radius server配己置172.16.108.13 port 1812;accounting-port 1813;secret $9$uhkGBRSvWxwYoreYoJGq.0BI; # SECRET-DATAsource-address 222.27.244.1;accounting # 计费配置iorder radius;immediate-update; coa-immediate-update; update

19、-interval 10; statistics volume-time;丨 i3.2.2 dyn amic-profiles配置dynamic-profiles dhcp-demux # 定义 IPOE vlan demux 接口routing-instances $junos-routing-instance interface $junos-interface-name any;II interfaces demux0 unit $junos-interface-unit # 生产动态子接口no-traps;proxy-arp unrestricted;demux-options und

20、erlying-interface $junos-underlying-interface;# 定义 demux 物理接口| family inet demux-source $junos-subscriber-ip-address;# 调用 DHCP 分配的地址filter input $junos-input-filter precedence 1;# 调用 radius 下发的 filteroutput $junos-output-filterprecedence1;# 调用 radius 下发的 filteriunnumbered-address$junos-loopback-inte

21、rfacepreferred-source-address$junos-preferred-source-address;# 调用 loopback IP地址作为 DHCP 与网关转发Ifamily inet6 #IPV6 相关配置与 IPV4 同理。filter input $junos-input-ipv6-filter precedence 1;output $junos-output-ipv6-filter precedence 1;| demux-source $junos-subscriber-ipv6-multi-address;| unnumbered-address$juno

22、s-loopback-interfacepreferred-source-addressi$junos-preferred-source-ipv6-address; : iI IPOE-HEU-WLAN #定义不同的动态配置，用于接口调用。interfaces $junos-interface-ifd-name # 接收接口 的变量unit $junos-interface-unit # 子接口变量demux-source inet;vlan-tags outer $junos-vlan-id;# 接收接口终结的 VLAN 标签family inet mac-validate strict;

23、#防止用户私设IP地址unnumbered-address loO.O preferred-source-address 10.128.0.1;# 调用的 loO.O 的!接口 IP，这里的地址与 DHCP绑定。丨i.3.2.3 DHCF配置1)DHCP!证配置system services dhcp-local-server dhcpv6 #DHCP IPV6 配置 group 1 authentication password Juniper6; #IPOE 域认证是所用的密码，只有通过与深澜认证，才可下发地址 username-include user-prefix Juniper6;

24、# 域认证用户名IIdynamic-profile dhcp-demux;# 调用 dhcp-demux 动态配置interface ge-8/2/0.0;# 可以获取 IP 的接口interface ge-8/2/1.0;igroup 1 #DHCP IPV4配己置authentication password Juniper;username-include user-prefix Juniper;Iidynamic-profile dhcp-demux;interface ge-8/2/0.0;interface ge-8/2/1.0;I !2) DHC地址池配置access pool

25、ipoe #地址池名称family inet network 222.27.244.128/25;# 地址池网段range 1 low 222.27.244.130; high 222.27.244.254;#地址池开始地址#地址池结束地址dhcp-attributes maximum-lease-time 43200;# 地址池超时时间name-server #DNS 地址202.118.176.2; router 222.27.244.129;# 网关地址，lookback 地址3.2.4 接口配置interfaces ge-8/2/0 flexible-vlan-tagging;#QIN

26、Qspeed 1g;auto-configure 封装方式，flexible为单双层都可以。vlan-ranges dynamic-profile dhcp-wlan-vlan # 调用 dhcp-wlan-vlan动态配置accept inet;ranges #终结的VLAN ID214-214;3.3 PPPOE BRASS 置方法3.3.1认证服务器配置access profile sbr accounting-order radius;# 计费方式为 radiusauthentication-order radius;# 认证方式为 radiusradius authenticatio

27、n-server 172.16.108.13;# 认证服务器 IP 地址accounting-server 172.16.108.13;# 计费服务器 IP 地址options #radius 参数ethernet-port-type-virtual;accounting-session-id-format decimal; vlan-nas-port-stacked-format;I |radius-server #radius server酉己置172.16.108.13 port 1812;accounting-port 1813;secret $9$uhkGBRSvWxwYoreYoJ

28、Gq.0BI; # SECRET-DATA source-address 222.27.244.1;丨;iIJI accounting # 计费配置order radius;immediate-update;coa-immediate-update;update-interval 10; statistics volume-time;i _ i3.3.2dyn amic-profiles配置dynamic-profiles pppoe predefined-variable-defaults #默认下发的限速策略，在radius未下发的限速策略时调用input-filter up4m;outp

29、ut-filter down4m;routing-instances $junos-routing-instance interface $junos-interface-name any;interfaces pp0 unit $junos-interface-unit # 动态生成 pp 子接口ppp-options chap;pap;pppoe-options underlying-interface $junos-underlying-interface;# 定义 pppoe 物理接口server;keepalives interval 60; #keepalives心跳报文，在非正常

30、下线需要等待5次心跳报文，用户才能下线。family inet filter input $junos-input-filter precedence 20;# 动态调用 filteroutput $junos-output-filter precedence 20;unnumbered-address $junos-loopback-interface;family inet6 address $junos-ipv6-address;protocols router-advertisement interface $junos-interface-name link-mtu;prefix $junos-ipv