MX960BRAS配置手册

1、.MX960 BRAS配置手册2015年04月龙江. LiV1.0目录1IPOE概述21.1IPoE用户认证的特征21.2Web重定向进程21.3IPOE认证流程21.4IPOE脱机进程41.5基于ipoe用户业务的流量计费52PPPOE的介绍62.1PPPoE认证的特征62.2PPPOE认证步骤62.3PPPOE离线进程72.4PPPOE用户业务的流量计费73配置方法83.1过滤器的概要83.1.1Filter构成方法83.2IPOE BRAS配置方法93.2.1认证服务器配置93.2.2动态简档配置103.2.3DHCP配置113.2.4接口配置123.3PPPOE BRAS的构成方法12

2、3.3.1认证服务器配置123.3.2动态简档配置133.3.3DHCP配置143.3.4接口配置151 IPOE概述1.1 IPoE用户认证的特征用户认证是通过WEB方式进行的，所以学校的老师和学生不需要安装拨号客户端，认证功能可以通过IE浏览器简单地完成认证过程。 认证后台系统由web门户和RADIUS组成，认证平台调用统一的用户数据库以实现统一的认证。 通过RADIUS系统根据用户id向MX路由器分发相应的策略来实现用户的访问权限、互联网速度和其他与因特网相关的行为管理。 由此，网络具备高控制能力和管理性，运输管理更加方便。在该框架下，有线、无线(校内教师、访客)用户可以通过相同的设备、

3、相同的软件、相同的用户认证服务器，经过一次认证，根据预先设定的策略访问相应的资源，无需多次进行认证。无线和有线用户都进行了同样的测试。1.2 Web重定向过程策略路由将目标端口80上的通信引入防火墙，并通过防火墙的目标端口转换实现web重定向。1.3 IPOE认证流程IPOE认证分为两个部分： HDCP认证和门户认证HDCP认证：用户首先通过DHCP认证获取IP地址，认证后向逻辑接口发布出入方向策略“prb”和“10M”，不允许用户之间相互访问。入口认证：如果用户获得IP地址后通过了入口认证，则radius发出COA，MX将用户策略更改为O-1M、I-4M，并使用户达到限制速度。1.4 IPO

4、E离线流程要用户在门户页面上申请离线进程，请：用户在网页上单击注销，radius发出DM，MX收到DM时，MX清除hdcp绑定，解除用户关系。通过radius主动离线用户管理员通过radius界面清除用户，radius发行DM后，MX清除DHCP绑定并解除用户关系。用户异常离线进程。在用户异常离线后，DHCP LEASE TIME超时后，MX向radius发送停止计费消息，radius清除用户信息1.5基于ipoe用户业务的流量计费MX支持基于服务的计算(SBA )功能，根据每个用户的会话生成多个服务会话，并在每个服务会话上运行基于时间/卷的统计2 PPPOE介绍2.1 PPPoE认证的特征P

5、PPoE的情况的简单流程是，用户PC通过客户端在后台访问服务器BAS，进行认证和计费。由于MX提供了用户访问网络时的PPPoE认证功能，所以相应的控制能力也很强。 用户通过PPPoE会话实现网络的访问和访问，不相互影响PPPoE频道的隔离，因此可以自然地防止ARP欺骗、源地址攻击等问题，大大减少网络管理员的工作量，并提高密钥对于各用户的PPPoE会话，可以根据用户的身份信息，通过深的后台管理平台进行策略分发，根据适当的访问权限控制、上下速度限制、通信量、时间等采用不同的策略来进行计费功能在PPPoE方案中，在用户认证通过后，MX将计费开始分组发送给深圳服务器，在用户离线后(用户自主断开、异常死

6、机、网络断开等)，MX将计费结束分组发送给深圳服务器。 深澜业务支持平台，计费开始分组、结束分组按时长，可以以流量实时计费。 在这种方式中，收费数据相当准确。此外，MX和澜澜认证计费系统都是运营商级设备，设备的处理能力、对用户的控制能力完全满足校园网的需要，每个用户都可以进行带宽限制、权限管理、QoS等各种操作。 另外，在使用了BRAS PPPoE的接入方式中，接入层有较大的双层网络，用户间被VLAN隔离，彼此没有影响，避免了ARP病毒等问题，同时，对于校园网的管理维护，管理者也考虑到了较大的ba 接入层设备只是双层接入，不需要对接入设备负责，大大减轻了管理员的维护工作。 PPPoE方式适用于

7、需要精密控制和收费的校园网客户，如学生宿舍等。2.2 PPPOE认证过程PPPOE认证过程首先由用户启动PPPOE连接，将用户名发送到MX，包括PPPOE和LCP的协商，MX将访问请求发送到radius，返回radius认证用户信息，然后访问访问访问2.3 PPPOE离线流程参考IPOE离线流程，用户自主离线、管理员离线的用户通过DM消息来实现，用户异常离线的是PPPOE keepalive超时后，MX发出的radius停止记账的消息2.4 PPPOE用户业务的流量计费和IPOE一样3配置方法3.1过滤器的概要过滤器非常重要，在radius中使用的所有过滤器都必须在BRAS中定义，并且如果没有

8、在radius中调用BRAS的过滤器用户，则无法进行认证。澜澜和MX960 BRAS预定的限速过滤器如下1) IPOE : I-4M、O-4M (必须是大写字母)、I-8M、O-8M等。 (I、o是限制速度的两个方向)pbr (小写)，pbr是为域认证取地址后的策略。 pbr是重定向filter。2) PPPOE:up4m、down4m (必须是小写字母)、up8m、down8m等。 (up，down是限制速度的两个方向)3.1.1 Filter构成方法firewall family inet 过滤器pbr #重定向过滤器接口特定；interface-specific；term 5 从来服务过

9、滤器- hit； #标签以下then accept；以下term 20 #标记认证前启动的端口，UDP 53是DNS服务，如果不打开，客户端将无法重定向域名。从来协议UDP；目标端口53；以下then accept；以下访问term30 # radius web端口服务器。从来destination-address 172.16.108.13/32；以下以下then ；路由实例web端口；以下以下term 40 #所有TCP 80端口服务都使用策略来路由web端口，即，所有数据都丢弃在防火墙后，使防火墙进行目标地址的转换(重定向)。 如果在重定向前需要可以访问的服务，可以在此之前添加策略。 (

10、注：所有正常的数据流都通过BRAS直接传输，重定向防火墙位于radius和BRAS之间，经过认证的正常数据流不通过重定向防火墙)从来协议TCP；目标端口80。以下then ；路由实例web端口；以下以下term 50 #拒绝其他数据流then ；盘片；以下以下以下过滤器I-4m # ipoe的限速过滤器。接口特定；interface-specific；term 30 then ；policer 4m；接受；以下以下#PPPOE up4m、down4m的写法相同。3.2 IPOE BRAS配置方法3.2.1认证服务器的构成access220000000000空中空气653简档SBR会计-订单ra

11、dius； #收费方法是radius认证-订单radius； #认证方式为radiusradius P 22222222222652认证服务器172.16.108.13； #认证服务器IP地址会计服务器172.16.108.13； #计费服务器IP地址options #radius参数以太网端口类型虚拟化；会计会话- id -格式decimal；VLAN-nas -端口堆叠式格式；以下以下radius-server #radius server配置172.16.108.13 灬端口1812；帐户-端口1813；secret $9$ uhkgbrsvwxwyoreyjgq.0bi ； # SECRET-DATA源地址222.27.244.1；以下以下会计 #计费结构order radius；immediate -更新；coa-immediate -更新；更新间隔10；静态卷时间；时间；以下以下3.2.2动态简档配置动态简档(profil