2025年MX960BRAS配置手册簿

MX960BRAS配置手册04月Longjiang.LiV1.01IPOE简介1.1IPoE用户认证的特点用户认证通过WEB方式进行，使得学校的师生不必安装拨号客户端，认证功能通过IE浏览器即可方便地完成身份认证过程。认证后台系统由WEBPortal和RADIUS组成，认证平台可调用统一的用户数据库，以实现统一身份认证。用户的访问权限、上网速率以及其他跟上网相关的行为管理由RADIUS系统根据用户身份下发相应的策略给MX路由器来实现。这使得网络具备较高的控制能力和可管理性，运维管理更加方便。在这一架构下，有线、无线（校内师生、访客）用户均可通过同一套设备、同一套软件、同一用户身份验证服务器，经过一次认证，即可根据预先设置的策略访问相应的资源，而不必进行多次认证。无线和有线用户均做了相同的测试。1.2Web重定向过程通过策略路由将目的端口为80的流量引入到防火墙，通过防火墙目的端口转换，实现web重定向。1.3IPOE认证过程IPOE认证可分为两个部分，HDCP认证和portal认证两个部分HDCP认证：用户首先通过DHCP认证获取IP地址，认证后给逻辑接口下发出入方向策略“prb”和“10M”，不允许用户之间互访。portal认证：用户获得IP地址后通过portal认证，此时radius下发COA，MX将用户策略变更为O-1M，I-4M，对用户进行限速。1.4IPOE下线过程用户在portal页面申请下线过程：用户在web页面点击登出，radius下发DM，MX收到DM后，MX清除HDCPBINDING，解除用户关系。通过radius主动离线用户管理员在radius界面清除用户，radius下发DM后，MX清除DHCPBINGDING，解除用户关系。用户异常离线过程用户异常离线后，在DHCPLEASETIME超时后，MX给radius发送计费停止报文，radius清除用户信息1.5IPOE基于用户业务的流量计费MX支持ServiceBasedAccounting（SBA）功能，在每个用户的session基础上，生成多个servicesession，针对每个servicesession实现基于time/volume的statistics，如对campus，cernet，telecom等实现单独的流量统计和计费功能，radius属性如下：2PPPOE简介2.1PPPoE认证特点PPPoE其案简要流程为：用户PC通过客户端发起PPPoE请求到后台接入服务器BAS，然后交付深澜进行认证及计费。由于MX直接提供了用户接入网络时的PPPoE认证功能，相应的控制力度也更强。用户均通过PPPoE会话实现到网络的接入和访问，由于PPPoE通道的隔离而互不影响，因此能够天然抵御ARP欺骗、仿冒源地址攻击等问题，极大减轻网络管理员的工作量，并有效保障了整个校园网络的可靠性和稳定性。对于每个用户的PPPoE会话，都可以根据用户的身份信息通过深澜的后台管理平台进行策略下发，进行相应的访问权限控制、上下行速率限制以及根据流量、时长等采取不同策略的计费功能。对于PPPoE方式，在用户认证通过后，由MX向深澜服务器发送计费开始包，在用户下线后（用户主动挂断、异常死机、网络断等），由MX向深澜服务器发送计费结束包。深澜业务支撑平台便可根据计费起始包、结束包按时长、按流量进行实时计费。采用这种方式，计费数据相当准确。另外，由于MX及深澜认证计费系统均为运营商级设备，设备的处理能力，对用户的控制能力完全能够满足校园网网络的需求，可以对每个用户进行带宽限制，权限管理、QoS等各种操作。并且，在使用BRAS+PPPoE的接入方式下，在接入层是一张大的二层网络，用户间通过VLAN隔离，互相之间没有影响，避免了ARP病毒等问题；同时，对校园网的管理维护来说，管理员只需要管理大的BARS设备，接入层设备仅仅是二层接入，不需要在接入设备上作负责设置，极大的减轻了管理员的维护工作量。PPPoE方式适合于需要进行精细控制与计费的校园网客户，如学生宿舍等。2.2PPPOE认证过程PPPOE认证过程，首先用户发起PPPOE连接，包括PPPOED和LCP协商，同时将用户名发给MX，MX发起accessrequest给radius，radius验证用户信息，回复accessaccept，携带用户接入策略，MX与用户交互IPCP，获得IP地址，同时将计费信息发给radius。2.3PPPOE下线过程参考IPOE下线过程，用户主动下线和管理员离线用户通过DM信息实现，用户异常下线在PPPOEkeepalive超时后，由MX发给radius记账停止信息下线。2.4PPPOE基于用户业务的流量计费同IPOE3配置方法3.1Filter简介Filter非常关键，radius上所有使用的filter，BRAS中必须定义，如果BRAS没有radius所调用的filter用户将无法认证通过。深澜和MX960BRAS预定用的限速filter为：1）IPOE:I-4M,O-4M(一定大写)，I-8M,O-8M等。（I,O为限速的两个方向）pbr（小写），pbr为域认证取地址后的策略。pbr为重定向filter。2）PPPOE：up4m，down4m（一定要小写），up8m，down8m等。（up，down为限速的两个方向）3.1.1Filter配置方法firewall{familyinet{filterpbr{#重定向filterinterface-specific;term5{from{service-filter-hit;#标记}thenaccept;}term20{#标记认证前开始的端口，UDP53为DNS服务，如果不开，客户端打域名无法重定向。from{protocoludp;destination-port53;}thenaccept;}term30{#访问radiuswebport服务器直通过。from{destination-address{172.16.108.13/32;}}then{routing-instancewebport;}}term40{#所有TCP80端口服务全部使用策略路由webport，也就是数据全部扔到防火墙，让防火墙做目的地址转换（重定向）。如果需要开重定向前可以访问的服务，可以在这条前添加策略。（注：所有正常数据流通过BRAS直接转发，重定向防火墙在radius和bras中间，认证后的正常数据流不通过重定向防火墙）from{protocoltcp;destination-port80;}then{routing-instancewebport;}}term50{#拒绝其他数据流then{discard;}}}filterI-4M{#IPOE的限速filter。interface-specific;term30{then{policer4m;accept;}}}#PPPOEup4m，down4m写法相同。3.2IPOEBRAS配置方法3.2.1认证服务器配置access{profilesbr{accounting-orderradius;#计费方式为radiusauthentication-orderradius;#认证方式为radiusradius{authentication-server172.16.108.13;#认证服务器IP地址accounting-server172.16.108.13;#计费服务器IP地址options{#radius参数ethernet-port-type-virtual;accounting-session-id-formatdecimal;vlan-nas-port-stacked-format;}}radius-server{#radiusserver配置172.16.108.13{port1812;accounting-port1813;secret"$9$uhkGBRSvWxwYoreYoJGq.0BI";##SECRET-DATAsource-address222.27.244.1;}}accounting{#计费配置orderradius;immediate-update;coa-immediate-update;update-interval10;statisticsvolume-time;}}3.2.2dynamic-profiles配置dynamic-profiles{dhcp-demux{#定义IPOEvlandemux接口routing-instances{"$junos-routing-instance"{interface"$junos-interface-name"{any;}}}interfaces{demux0{unit"$junos-interface-unit"{#生产动态子接口no-traps;proxy-arpunrestricted;demux-options{underlying-interface"$junos-underlying-interface";#定义demux物理接口}familyinet{demux-source{$junos-subscriber-ip-address;#调用DHCP分配的地址}filter{input"$junos-input-filter"precedence1;#调用radius下发的filteroutput"$junos-output-filter"precedence1;#调用radius下发的filter}unnumbered-address"$junos-loopback-interface"preferred-source-address"$junos-preferred-source-address";#调用loopbackIP地址作为DHCP与网关转发}familyinet6{#IPV6相关配置与IPV4同理。filter{input"$junos-input-ipv6-filter"precedence1;output"$junos-output-ipv6-filter"precedence1;}demux-source{"$junos-subscriber-ipv6-multi-address";}unnumbered-address"$junos-loopback-interface"preferred-source-address"$junos-preferred-source-ipv6-address";}}}}}IPOE-HEU-WLAN{#定义不同的动态配置，用于接口调用。interfaces{"$junos-interface-ifd-name"{#接收接口的变量unit"$junos-interface-unit"{#子接口变量demux-sourceinet;vlan-tagsouter"$junos-vlan-id";#接收接口终结的VLAN标签familyinet{mac-validatestrict;#防止用户私设IP地址unnumbered-addresslo0.0preferred-source-address10.128.0.1;#调用的lo0.0的接口IP，这里的地址与DHCP绑定。}}}}}}3.2.3DHCP配置1）DHCP认证配置system{services{dhcp-local-server{dhcpv6{#DHCPIPV6配置group1{authentication{passwordJuniper6;#IPOE域认证是所用的密码，只有通过与深澜认证，才可下发地址username-include{user-prefixJuniper6;#域认证用户名}}dynamic-profiledhcp-demux;#调用dhcp-demux动态配置interfacege-8/2/0.0;#可以获取IP的接口interfacege-8/2/1.0;}}group1{#DHCPIPV4配置authentication{passwordJuniper;username-include{user-prefixJuniper;}}dynamic-profiledhcp-demux;interfacege-8/2/0.0;interfacege-8/2/1.0;}}}2）DHCP地址池配置access{poolipoe{#地址池名称familyinet{network222.27.244.128/25;#地址池网段range1{low222.27.244.130;#地址池开始地址high222.27.244.254;#地址池结束地址}dhcp-attributes{maximum-lease-time43200;#地址池超时时间name-server{#DNS地址202.118.176.2;}router{222.27.244.129;#网关地址，lookback地址。}}}}3.2.4接口配置interfaces{ge-8/2/0{flexible-vlan-tagging;#QINQ封装方式，flexible为单双层都可以。speed1g;auto-configure{vlan-ranges{dynamic-profiledhcp-wlan-vlan{#调用dhcp-wlan-vlan动态配置acceptinet;ranges{#终结的VLANID214-214;}}}}3.3PPPOEBRAS配置方法3.3.1认证服务器配置access{profilesbr{accounting-orderradius;#计费方式为radiusauthentication-orderradius;#认证方式为radiusradius{authentication-server172.16.108.13;#认证服务器IP地址accounting-server172.16.108.13;#计费服务器IP地址options{#radius参数ethernet-port-type-virtual;accounting-session-id-formatdecimal;vlan-nas-port-stacked-format;}}radius-server{#radiusserver配置172.16.108.13{port1812;accounting-port1813;secret"$9$uhkGBRSvWxwYoreYoJGq.0BI";##SECRET-DATAsource-address222.27.244.1;}}accounting{#计费配置orderradius;immediate-update;coa-immediate-update;update-interval10;statisticsvolume-time;}}3.3.2dynamic-profiles配置dynamic-profiles{pppoe{predefined-variable-defaults{#默认下发的限速策略，在radius未下发的限速策略时调用input-filterup4m;output-filterdown4m;}routing-instances{"$junos-routing-instance"{interface"$junos-interface-name"{any;}}}interfaces{pp0{unit"$junos-interface-unit"{#动态生成pp子接口ppp-options{chap;pap;}pppoe-options{underlying-interface"$junos-underlying-interface";#定义pppoe物理接口server;}keepalivesinterval60;#keepalives心跳报文，在非正常下线需要等待5次心跳报文，用户才能下线。familyinet{filter{input"$junos-input-filter"precedence20;#动态调用filteroutput"$junos-output-filter"precedence20;}unnumbered-address"$junos-loopback-interface";#借用loopback接口转发数据}familyinet6{address$junos-ipv6-address;}}}}protocols{router-advertisement{interface"$junos-interface-name"{link-mtu;prefix$junos-ipv6-ndra-prefix;}}}}pppoe-stacked-vlan{#定义不同的动态配置，用于接口调用。interfaces{"$junos-interface-ifd-name"{#接收的接口变量unit"$junos-interface-unit"{#接收的子接口变量vlan-tagsouter"$junos-stacked-vlan-id"inner"$junos-vlan-id";#接收的QINQ变量familypppoe