MX960BRAS配置手册.docx
《MX960BRAS配置手册.docx》由会员分享,可在线阅读,更多相关《MX960BRAS配置手册.docx(22页珍藏版)》请在冰点文库上搜索。
MX960BRAS配置手册
MX960BRAS配置手册
2015年04月
Longjiang.Li
V1.0
1IPOE简介2
1.1IPoE用户认证的特点2
1.2Web重定向过程2
1.3IPOE认证过程2
1.4IPOE下线过程4
1.5IPOE基于用户业务的流量计费5
2PPPOE简介6
2.1PPPoE认证特点6
2.2PPPOE认证过程7
2.3PPPOE下线过程7
2.4PPPOE基于用户业务的流量计费7
3配置方法8
3.1Filter简介8
3.1.1Filter配置方法8
3.2IPOEBRAS配置方法9
3.2.1认证服务器配置9
3.2.2dynamic-profiles配置10
3.2.3DHCP配置11
3.2.4接口配置12
3.3PPPOEBRA配置方法12
3.3.1认证服务器配置12
3.3.2dynamic-profiles配置13
3.3.3DHCP配置14
3.3.4接口配置15
1IPOE简介
1.1IPoE用户认证的特点
用户认证通过WEB方式进行,使得学校的师生不必安装拨号客户端,认证功能通过
IE浏览器即可方便地完成身份认证过程。
认证后台系统由WEBPortal和RADIUS组成,
认证平台可调用统一的用户数据库,以实现统一身份认证。
用户的访问权限、上网速率以及其他跟上网相关的行为管理由RADIUS系统根据用户身份下发相应的策略给MX路由
器来实现。
这使得网络具备较高的控制能力和可管理性,运维管理更加方便。
在这一架构下,有线、无线(校内师生、访客)用户均可通过同一套设备、同一套
软件、同一用户身份验证服务器,经过一次认证,即可根据预先设置的策略访问相应的资源,而不必进行多次认证。
无线和有线用户均做了相同的测试。
1.2Web重定向过程
通过策略路由将目的端口为80的流量引入到防火墙,通过防火墙目的端口转换,实
现web重定向。
1.3IPOE认证过程
IPOE认证可分为两个部分,HDCPA证和portal认证两个部分
HDCP认证:
用户首先通过DHC认证获取IP地址,认证后给逻辑接口下发出入方向策略“prb”和“10M”,不允许用户之间互访。
3,Ace#**AcceptWitt^inputpolicypbr
&CutoutpiQlicy1M
portal认证:
用户获得IP地址后通过portal认证,此时radius下发COAMX将用
户策略变更为O-1MI-4M,对用户进行限速。
9HTTP
Vi>H
7.
pciK:
ychange0-1M.I-4U
6Ses»ion-IDCqA.
2,FBFTof&dinector
1,HTTPRequest
D-NAT
3DestinationMATtoportal
4PortalbawdAutharrtication
SflfVWr&user'sUhPau(hen(icalien,IP/Sassion-IDmatchyACCT仙arid
1.4IPOE下线过程
用户在portal页面申请下线过程:
用户在web页面点击登出,radius下发DMMX收到DM后,MX清除HDCPBINDING解除用户关系。
2rSendoutDMrressage
5Cl[4nt^llvMdat
MdSJ&HdDHCP1request忆gelIPoiddretBAgdiR
3.ek*DHCPb■心申end(demuxinterface
ATTOSTO-P
1rS4tnd&utDMma>$Agt
$RX
PortsI&
Radiu®Server
4.radiuswill
clear则
sessionalP-Qf
thscli«K
Caiculiffi*iim«-
aid«
mfonnablon
5,Ffldvfi#llitheoftheGfe&nt;wdvc*unrfe»inFocmaUon
通过radius主动离线用户
管理员在radius界面清除用户,radius下发DM后,MX清除DHCPBINGDING解除
用户关系。
用户异常离线过程
用户异常离线后,在DHCFLEASETIME超时后,MX给radius发送计费停止报文,radius
清除用户信息
1.uMKshtrtdcw-n
PCw^xxrtlogout
1.5IPOE基于用户业务的流量计费
MX支持ServiceBasedAccounting(SBA功能,在每个用户的session基础上,生成多个servicesession,针对每个servicesession实现基于time/volume的
statistics,如对campuscernet,telecom等实现单独的流量统计和计费功能,radius
属性如下:
描谨
【26嗨5]
ActivateSarvieci
Servicetofor
thesubscriber
strin^.servcB-name
Sorvice-Actk^LtJ-"campus^Service-Activated~"cemeF可沖It牛用户Mfsionitfn^-^serviee
【26七3]
Deactt^Ble-Service
Servicetodeactivfor
thesubscriber
stririgzsefvice-iiarne
Service-Deactivate=^c&mpus^可為某牛用户s*«ionSEf去激活誌rvic
[26-69]
Servifie'Statutici-tagX
Enableordoablestatisticsfortheservice
irrttgen
0=disable;
1-enabletimestatistics,
2=enabletimeandvolumestatistics
ftioi~2
Serv^e-Sfatistit$2-2可tf■对单"xs#rvice.定戈竦计方式
2PPPOE简介
2.1PPPoE认证特点
PPPoE其案简要流程为:
用户PC通过客户端发起PPPoE请求到后台接入服务器BAS,然后交付深澜进行认证及计费。
由于MX直接提供了用户接入网络时的PPPoE认证功能,相应的控制力度也更强。
用户均通过PPPoE会话实现到网络的接入和访问,由于PPPoE通道的隔离而互不影响,因此能够天然抵御ARP欺骗、仿冒源地址攻击等问题,极大减轻网络管理员的工作量,并有效保障了整个校园网络的可靠性和稳定性。
对于每个用户的PPPoE会话,都可以根据用户的身份信息通过深澜的后台管理平台
进行策略下发,进行相应的访问权限控制、上下行速率限制以及根据流量、时长等采取
不同策略的计费功能。
对于PPPoE方式,在用户认证通过后,由MX向深澜服务器发送
计费开始包,在用户下线后(用户主动挂断、异常死机、网络断等),由MX向深澜服务
器发送计费结束包。
深澜业务支撑平台便可根据计费起始包、结束包按时长、按流量进行实时计费。
采用这种方式,计费数据相当准确。
另外,由于MX及深澜认证计费系统均为运营商级设备,设备的处理能力,对用户
PPPoE方
的控制能力完全能够满足校园网网络的需求,可以对每个用户进行带宽限制,权限管理、QoS等各种操作。
并且,在使用BRAS+PPPoE的接入方式下,在接入层是一张大的二层网络,用户间通过VLAN隔离,互相之间没有影响,避免了ARP病毒等问题;同时,对校园网的管理维护来说,管理员只需要管理大的BARS设备,接入层设备仅仅是二层
接入,不需要在接入设备上作负责设置,极大的减轻了管理员的维护工作量
式适合于需要进行精细控制与计费的校园网客户,如学生宿舍等。
2.2PPPOEA证过程
PPPO认证过程,首先用户发起PPPO连接,包括PPPOE和LCP协商,同时将用户
名发给MXMX发起accessrequest给radius,radius验证用户信息,回复accessaccept,
携带用户接入策略,MX与用户交互IPCP,获得IP地址,同时将计费信息发给radius。
1,pppo&d/LCPoffer/rsqu&st
5JPCP
Requeft/ACK
2,Ac«ss(equss1
wimsession-id
RadiusServer
2.3PPPOEF线过程
参考IPOE下线过程,用户主动下线和管理员离线用户通过DM信息实现,用户异常
下线在PPPOEkeepalive超时后,由MX发给radius记账停止信息下线。
2.4PPPO蚩于用户业务的流量计费
同IPOE
3配置方法
3.1Filter简介
Filter非常关键,radius上所有使用的filter,BRAS中必须定义,如果BRAS没有radius所调用的filter用户将无法认证通过。
深澜和MX960BRAS预定用的限速filter为:
1)IPOE:
l-4M,O-4M(—定大写),l-8M,O-8M等。
(1,0为限速的两个方向)
pbr(小写),pbr为域认证取地址后的策略。
pbr为重定向filter。
2)PPPOEup4mdown4m(—定要小写),up8mdown8n等。
(up,down为限速的两个方向)
3.1.1Filter配置方法
firewall{
familyinet{
filterpbr{#重定向filter
interface-specific;
term5{
from{
service-filter-hit;#标记
}
thenaccept;
}
term20{#标记认证前开始的端口,UDP53为DNS服务,如果不开,客户端打域名无法重定向
from{
protocoludp;
destination-port53;
}
thenaccept;
}
term30{#访问radiuswebport服务器直通过。
from{
destination-address{
172.16.108.13/32;
then{
routing-instancewebport;
I}}
term40{#所有TCP80端口服务全部使用策略路由webport,也就是数据全部扔到防火墙,让防火
墙做目的地址转换(重定向)。
如果需要开重定向前可以访问的服务,可以在这条前添加策略。
(注:
所有正常数据流通过BRAS直接转发,重定向防火墙在radius和bras中间,认证后的正常数据流不通过重定向防火墙)
I
from{
protocoltcp;destination-port80;
I}
then{
routing-instancewebport;
|}}
term50{#拒绝其他数据流
then{discard;
I
}
}}
filterI-4M{#IPOE的限速filter。
interface-specific;
term30{then{policer4m;accept;
i}
}
}#PPPOEup4m,down4m写法相同。
3.2IPOEBRAS配置方法
3.2.1认证服务器配置
access{
ii
profilesbr{accounting-orderradius;#计费方式为radius
authentication-orderradius;#认证方式为radius
radius{
authentication-server172.16.108.13;#认证服务器IP地址
accounting-server172.16.108.13;#计费服务器IP地址
options{#radius参数
ethernet-port-type-virtual;
accounting-session-id-formatdecimal;vlan-nas-port-stacked-format;
I}
i}
radius-server{#radiusserver配己置
172.16.108.13{
port1812;
accounting-port1813;
secret"$9$uhkGBRSvWxwYoreYoJGq.0BI";##SECRET-DATA
source-address222.27.244.1;
accounting{#计费配置
iorderradius;
immediate-update;coa-immediate-update;update-interval10;statisticsvolume-time;
丨}
i}
3.2.2dynamic-profiles配置
dynamic-profiles{
dhcp-demux{#定义IPOEvlandemux接口
routing-instances{
"$junos-routing-instance"{
interface"$junos-interface-name"{
any;
I}
I}}
interfaces{
demux0{
unit"$junos-interface-unit"{#生产动态子接口
no-traps;
proxy-arpunrestricted;
demux-options{
underlying-interface"$junos-underlying-interface";#定义demux物理接口
|}
familyinet{
demux-source{
$junos-subscriber-ip-address;#调用DHCP分配的地址
}
filter{
input"$junos-input-filter"precedence1;#调用radius下发的filter
output"$junos-output-filter"precedence1;#调用radius下发的filter
i
}
unnumbered-address"$junos-loopback-interface"preferred-source-address
"$junos-preferred-source-address";#调用loopbackIP地址作为DHCP与网关转发
I}
familyinet6{#IPV6相关配置与IPV4同理。
filter{
input"$junos-input-ipv6-filter"precedence1;
output"$junos-output-ipv6-filter"precedence1;
|}demux-source{"$junos-subscriber-ipv6-multi-address";
|}
unnumbered-address"$junos-loopback-interface"preferred-source-address
i
"$junos-preferred-source-ipv6-address";
■}
:
}
i}
I}
}
IPOE-HEU-WLAN{#定义不同的动态配置,用于接口调用。
interfaces{
"$junos-interface-ifd-name"{#接收接口的变量
unit"$junos-interface-unit"{#子接口变量
demux-sourceinet;
vlan-tagsouter"$junos-vlan-id";#接收接口终结的VLAN标签
familyinet{
mac-validatestrict;#防止用户私设IP地址
unnumbered-addressloO.Opreferred-source-address10.128.0.1;#调用的loO.O的!
接口IP,这里的地址与DHCP绑定。
}
}
丨}i
}
}
..}
3.2.3DHCF配置
1)DHCP!
证配置
system{
services{
dhcp-local-server{dhcpv6{#DHCPIPV6配置group1{
authentication{
passwordJuniper6;#IPOE域认证是所用的密码,只有通过与深澜认证,才可下发地址username-include{
user-prefixJuniper6;#域认证用户名
I
}
I}
dynamic-profiledhcp-demux;#调用dhcp-demux动态配置
interfacege-8/2/0.0;#可以获取IP的接口
interfacege-8/2/1.0;
}
i}
group1{#DHCPIPV4配己置
authentication{
passwordJuniper;
username-include{
user-prefixJuniper;
}
I
i}
dynamic-profiledhcp-demux;
interfacege-8/2/0.0;
interfacege-8/2/1.0;
}
I}
!
}—
2)DHC地址池配置
access{
poolipoe{#地址池名称
familyinet{
network222.27.244.128/25;#地址池网段
range1{
low222.27.244.130;high222.27.244.254;
#地址池开始地址
#地址池结束地址
}
dhcp-attributes{maximum-lease-time43200;#地址池超时时间
name-server{#DNS地址
202.118.176.2;
}router{
222.27.244.129;#网关地址,lookback地址
}
}
}
}
3.2.4接口配置
interfaces{ge-8/2/0{
flexible-vlan-tagging;#QINQ
speed1g;
auto-configure{
封装方式,
flexible为单双层都可以。
vlan-ranges{
dynamic-profiledhcp-wlan-vlan{
#调用dhcp-wlan-vlan
动态配置
acceptinet;
ranges{#终结的
VLANID
214-214;
}
}
}
}
3.3PPPOEBRASS置方法
3.3.1认证服务器配置
access{
profilesbr{
accounting-orderradius;#计费方式为radius
authentication-orderradius;#认证方式为radius
radius{
authentication-server172.16.108.13;#认证服务器IP地址
accounting-server172.16.108.13;#计费服务器IP地址
options{#radius参数
ethernet-port-type-virtual;
accounting-session-id-formatdecimal;vlan-nas-port-stacked-format;
}
I}|
radius-server{#radiusserver酉己置
172.16.108.13{
port1812;
accounting-port1813;
secret"$9$uhkGBRSvWxwYoreYoJGq.0BI";##SECRET-DATAsource-address222.27.244.1;
丨};i
IJI
}accounting{#计费配置
orderradius;
immediate-update;
coa-immediate-update;
update-interval10;statisticsvolume-time;
}
i}_____i
3.3.2dynamic-profiles配置
dynamic-profiles{
pppoe{
predefined-variable-defaults{#默认下发的限速策略,在radius未下发的限速策略时调用
input-filterup4m;
output-filterdown4m;
}
routing-instances{
"$junos-routing-instance"{
interface"$junos-interface-name"{
any;
}
}
}
interfaces{
pp0{
unit"$junos-interface-unit"{#动态生成pp子接口
ppp-options{
chap;
pap;
}
pppoe-options{
underlying-interface"$junos-underlying-interface";#定义pppoe物理接口
server;
}
keepalivesinterval60;#keepalives心跳报文,在非正常下线需要等待5次心跳报文,用户才
能下线。
familyinet{
filter{
input"$junos-input-filter"precedence20;#动态调用filter
output"$junos-output-filter"precedence20;
}
unnumbered-address"$junos-loopback-interface";
}
familyinet6{
address$junos-ipv6-address;
}
}
}
}
protocols{
router-advertisement{
interface"$junos-i
升级会员 