MX960BRAS配置手冊04月Longjiang.LiV1.01IPOE簡介1.1IPoE用戶認證的特點用戶認證通過WEB方式進行，使得學校的師生不必安裝撥號客戶端，認證功能通過IE瀏覽器即可方便地完成身份認證過程。認證后臺系統(tǒng)由WEBPortal和RADIUS組成，認證平臺可調(diào)用統(tǒng)一的用戶數(shù)據(jù)庫，以實現(xiàn)統(tǒng)一身份認證。用戶的訪問權(quán)限、上網(wǎng)速率以及其他跟上網(wǎng)相關(guān)的行為管理由RADIUS系統(tǒng)根據(jù)用戶身份下發(fā)相應的策略給MX路由器來實現(xiàn)。這使得網(wǎng)絡(luò)具備較高的控制能力和可管理性，運維管理更加方便。在這一架構(gòu)下，有線、無線（校內(nèi)師生、訪客）用戶均可通過同一套設(shè)備、同一套軟件、同一用戶身份驗證服務(wù)器，經(jīng)過一次認證，即可根據(jù)預先設(shè)置的策略訪問相應的資源，而不必進行多次認證。無線和有線用戶均做了相同的測試。1.2Web重定向過程通過策略路由將目的端口為80的流量引入到防火墻，通過防火墻目的端口轉(zhuǎn)換，實現(xiàn)web重定向。1.3IPOE認證過程IPOE認證可分為兩個部分，HDCP認證和portal認證兩個部分HDCP認證：用戶首先通過DHCP認證獲取IP地址，認證后給邏輯接口下發(fā)出入方向策略“prb”和“10M”，不允許用戶之間互訪。portal認證：用戶獲得IP地址后通過portal認證，此時radius下發(fā)COA，MX將用戶策略變更為O-1M，I-4M，對用戶進行限速。1.4IPOE下線過程用戶在portal頁面申請下線過程：用戶在web頁面點擊登出，radius下發(fā)DM，MX收到DM后，MX清除HDCPBINDING，解除用戶關(guān)系。通過radius主動離線用戶管理員在radius界面清除用戶，radius下發(fā)DM后，MX清除DHCPBINGDING，解除用戶關(guān)系。用戶異常離線過程用戶異常離線后，在DHCPLEASETIME超時后，MX給radius發(fā)送計費停止報文，radius清除用戶信息1.5IPOE基于用戶業(yè)務(wù)的流量計費MX支持ServiceBasedAccounting（SBA）功能，在每個用戶的session基礎(chǔ)上，生成多個servicesession，針對每個servicesession實現(xiàn)基于time/volume的statistics，如對campus，cernet，telecom等實現(xiàn)單獨的流量統(tǒng)計和計費功能，radius屬性如下：2PPPOE簡介2.1PPPoE認證特點PPPoE其案簡要流程為：用戶PC通過客戶端發(fā)起PPPoE請求到后臺接入服務(wù)器BAS，然后交付深瀾進行認證及計費。由于MX直接提供了用戶接入網(wǎng)絡(luò)時的PPPoE認證功能，相應的控制力度也更強。用戶均通過PPPoE會話實現(xiàn)到網(wǎng)絡(luò)的接入和訪問，由于PPPoE通道的隔離而互不影響，因此能夠天然抵御ARP欺騙、仿冒源地址攻擊等問題，極大減輕網(wǎng)絡(luò)管理員的工作量，并有效保障了整個校園網(wǎng)絡(luò)的可靠性和穩(wěn)定性。對于每個用戶的PPPoE會話，都可以根據(jù)用戶的身份信息通過深瀾的后臺管理平臺進行策略下發(fā)，進行相應的訪問權(quán)限控制、上下行速率限制以及根據(jù)流量、時長等采取不同策略的計費功能。對于PPPoE方式，在用戶認證通過后，由MX向深瀾服務(wù)器發(fā)送計費開始包，在用戶下線后（用戶主動掛斷、異常死機、網(wǎng)絡(luò)斷等），由MX向深瀾服務(wù)器發(fā)送計費結(jié)束包。深瀾業(yè)務(wù)支撐平臺便可根據(jù)計費起始包、結(jié)束包按時長、按流量進行實時計費。采用這種方式，計費數(shù)據(jù)相當準確。另外，由于MX及深瀾認證計費系統(tǒng)均為運營商級設(shè)備，設(shè)備的處理能力，對用戶的控制能力完全能夠滿足校園網(wǎng)網(wǎng)絡(luò)的需求，可以對每個用戶進行帶寬限制，權(quán)限管理、QoS等各種操作。并且，在使用BRAS+PPPoE的接入方式下，在接入層是一張大的二層網(wǎng)絡(luò)，用戶間通過VLAN隔離，互相之間沒有影響，避免了ARP病毒等問題；同時，對校園網(wǎng)的管理維護來說，管理員只需要管理大的BARS設(shè)備，接入層設(shè)備僅僅是二層接入，不需要在接入設(shè)備上作負責設(shè)置，極大的減輕了管理員的維護工作量。PPPoE方式適合于需要進行精細控制與計費的校園網(wǎng)客戶，如學生宿舍等。2.2PPPOE認證過程PPPOE認證過程，首先用戶發(fā)起PPPOE連接，包括PPPOED和LCP協(xié)商，同時將用戶名發(fā)給MX，MX發(fā)起accessrequest給radius，radius驗證用戶信息，回復accessaccept，攜帶用戶接入策略，MX與用戶交互IPCP，獲得IP地址，同時將計費信息發(fā)給radius。2.3PPPOE下線過程參考IPOE下線過程，用戶主動下線和管理員離線用戶通過DM信息實現(xiàn)，用戶異常下線在PPPOEkeepalive超時后，由MX發(fā)給radius記賬停止信息下線。2.4PPPOE基于用戶業(yè)務(wù)的流量計費同IPOE3配置方法3.1Filter簡介Filter非常關(guān)鍵，radius上所有使用的filter，BRAS中必須定義，如果BRAS沒有radius所調(diào)用的filter用戶將無法認證通過。深瀾和MX960BRAS預定用的限速filter為：1）IPOE:I-4M,O-4M(一定大寫)，I-8M,O-8M等。（I,O為限速的兩個方向）pbr（小寫），pbr為域認證取地址后的策略。pbr為重定向filter。2）PPPOE：up4m，down4m（一定要小寫），up8m，down8m等。（up，down為限速的兩個方向）3.1.1Filter配置方法firewall{familyinet{filterpbr{#重定向filterinterface-specific;term5{from{service-filter-hit;#標記}thenaccept;}term20{#標記認證前開始的端口，UDP53為DNS服務(wù)，如果不開，客戶端打域名無法重定向。from{protocoludp;destination-port53;}thenaccept;}term30{#訪問radiuswebport服務(wù)器直通過。from{destination-address{172.16.108.13/32;}}then{routing-instancewebport;}}term40{#所有TCP80端口服務(wù)全部使用策略路由webport，也就是數(shù)據(jù)全部扔到防火墻，讓防火墻做目的地址轉(zhuǎn)換（重定向）。如果需要開重定向前可以訪問的服務(wù)，可以在這條前添加策略。（注：所有正常數(shù)據(jù)流通過BRAS直接轉(zhuǎn)發(fā)，重定向防火墻在radius和bras中間，認證后的正常數(shù)據(jù)流不通過重定向防火墻）from{protocoltcp;destination-port80;}then{routing-instancewebport;}}term50{#拒絕其他數(shù)據(jù)流then{discard;}}}filterI-4M{#IPOE的限速filter。interface-specific;term30{then{policer4m;accept;}}}#PPPOEup4m，down4m寫法相同。3.2IPOEBRAS配置方法3.2.1認證服務(wù)器配置access{profilesbr{accounting-orderradius;#計費方式為radiusauthentication-orderradius;#認證方式為radiusradius{authentication-server172.16.108.13;#認證服務(wù)器IP地址accounting-server172.16.108.13;#計費服務(wù)器IP地址options{#radius參數(shù)ethernet-port-type-virtual;accounting-session-id-formatdecimal;vlan-nas-port-stacked-format;}}radius-server{#radiusserver配置172.16.108.13{port1812;accounting-port1813;secret"$9$uhkGBRSvWxwYoreYoJGq.0BI";##SECRET-DATAsource-address222.27.244.1;}}accounting{#計費配置orderradius;immediate-update;coa-immediate-update;update-interval10;statisticsvolume-time;}}3.2.2dynamic-profiles配置dynamic-profiles{dhcp-demux{#定義IPOEvlandemux接口routing-instances{"$junos-routing-instance"{interface"$junos-interface-name"{any;}}}interfaces{demux0{unit"$junos-interface-unit"{#生產(chǎn)動態(tài)子接口no-traps;proxy-arpunrestricted;demux-options{underlying-interface"$junos-underlying-interface";#定義demux物理接口}familyinet{demux-source{$junos-subscriber-ip-address;#調(diào)用DHCP分配的地址}filter{input"$junos-input-filter"precedence1;#調(diào)用radius下發(fā)的filteroutput"$junos-output-filter"precedence1;#調(diào)用radius下發(fā)的filter}unnumbered-address"$junos-loopback-interface"preferred-source-address"$junos-preferred-source-address";#調(diào)用loopbackIP地址作為DHCP與網(wǎng)關(guān)轉(zhuǎn)發(fā)}familyinet6{#IPV6相關(guān)配置與IPV4同理。filter{input"$junos-input-ipv6-filter"precedence1;output"$junos-output-ipv6-filter"precedence1;}demux-source{"$junos-subscriber-ipv6-multi-address";}unnumbered-address"$junos-loopback-interface"preferred-source-address"$junos-preferred-source-ipv6-address";}}}}}IPOE-HEU-WLAN{#定義不同的動態(tài)配置，用于接口調(diào)用。interfaces{"$junos-interface-ifd-name"{#接收接口的變量unit"$junos-interface-unit"{#子接口變量demux-sourceinet;vlan-tagsouter"$junos-vlan-id";#接收接口終結(jié)的VLAN標簽familyinet{mac-validatestrict;#防止用戶私設(shè)IP地址unnumbered-addresslo0.0preferred-source-address10.128.0.1;#調(diào)用的lo0.0的接口IP，這里的地址與DHCP綁定。}}}}}}3.2.3DHCP配置1）DHCP認證配置system{services{dhcp-local-server{dhcpv6{#DHCPIPV6配置group1{authentication{passwordJuniper6;#IPOE域認證是所用的密碼，只有通過與深瀾認證，才可下發(fā)地址username-include{user-prefixJuniper6;#域認證用戶名}}dynamic-profiledhcp-demux;#調(diào)用dhcp-demux動態(tài)配置interfacege-8/2/0.0;#可以獲取IP的接口interfacege-8/2/1.0;}}group1{#DHCPIPV4配置authentication{passwordJuniper;username-include{user-prefixJuniper;}}dynamic-profiledhcp-demux;interfacege-8/2/0.0;interfacege-8/2/1.0;}}}2）DHCP地址池配置access{poolipoe{#地址池名稱familyinet{network222.27.244.128/25;#地址池網(wǎng)段range1{low222.27.244.130;#地址池開始地址high222.27.244.254;#地址池結(jié)束地址}dhcp-attributes{maximum-lease-time43200;#地址池超時時間name-server{#DNS地址202.118.176.2;}router{222.27.244.129;#網(wǎng)關(guān)地址，lookback地址。}}}}3.2.4接口配置interfaces{ge-8/2/0{flexible-vlan-tagging;#QINQ封裝方式，flexible為單雙層都可以。speed1g;auto-configure{vlan-ranges{dynamic-profiledhcp-wlan-vlan{#調(diào)用dhcp-wlan-vlan動態(tài)配置acceptinet;ranges{#終結(jié)的VLANID214-214;}}}}3.3PPPOEBRAS配置方法3.3.1認證服務(wù)器配置access{profilesbr{accounting-orderradius;#計費方式為radiusauthentication-orderradius;#認證方式為radiusradius{authentication-server172.16.108.13;#認證服務(wù)器IP地址accounting-server172.16.108.13;#計費服務(wù)器IP地址options{#radius參數(shù)ethernet-port-type-virtual;accounting-session-id-formatdecimal;vlan-nas-port-stacked-format;}}radius-server{#radiusserver配置172.16.108.13{port1812;accounting-port1813;secret"$9$uhkGBRSvWxwYoreYoJGq.0BI";##SECRET-DATAsource-address222.27.244.1;}}accounting{#計費配置orderradius;immediate-update;coa-immediate-update;update-interval10;statisticsvolume-time;}}3.3.2dynamic-profiles配置dynamic-profiles{pppoe{predefined-variable-defaults{#默認下發(fā)的限速策略，在radius未下發(fā)的限速策略時調(diào)用input-filterup4m;output-filterdown4m;}routing-instances{"$junos-routing-instance"{interface"$junos-interface-name"{any;}}}interfaces{pp0{unit"$junos-interface-unit"{#動態(tài)生成pp子接口ppp-options{chap;pap;}pppoe-options{underlying-interface"$junos-underlying-interface";#定義pppoe物理接口server;}keepalivesinterval60;#keepalives心跳報文，在非正常下線需要等待5次心跳報文，用戶才能下線。familyinet{filter{input"$junos-input-filter"precedence20;#動態(tài)調(diào)用filteroutput"$junos-output-filter"precedence20;}unnumbered-address"$junos-loopback-interface";#借用loopback接口轉(zhuǎn)發(fā)數(shù)據(jù)}familyinet6{address$junos-ipv6-address;}}}}protocols{router-advertisement{interface"$junos-interface-name"{link-mtu;prefix$junos-ipv6-ndra-prefix;}}}}pppoe-stacked-vlan{#定義不同的動態(tài)配置，用于接口調(diào)用。interfaces{"$junos-interface-ifd-name"{#接收的接口變量unit"$junos-interface-unit"{#接收的子接口變量vlan-tagsouter"$junos-stacked-vlan-id"inner"$junos-vlan-id";#接收的QINQ變量familypppoe