FAQ-MA5200G如何针对相同域不同VLAN接入用户设置不同的CAR

发布时间:  2012-07-26 浏览次数:  56 下载次数:  0
问题描述

 Q:某局点开局,使用MA5200G VRP3.30-2211版本,客户需要我们针对同一个域下不同VLAN用户作不同的CAR。

MA5200G如果需要实现对用户作CAR,可以通过RADIUS下发相关属性。
该局点RADIUS不支持下发CAR相关属性。该功能只能靠MA5200G实现。
MA5200G软件不支持同一个域用户作多种CAR,也不支持对VLAN作CAR。只能考虑使用强制域来实现相关功能。
一、在正常情况下,用户输入域名形如:username@domainname 和密码
1、接口下配置强制域标记(force)
     上送radius的用户名(username@domainname)不变,
     但认证策略从接口配置的认证域下取,接入的用户实际也算是强制认证域的用户,通过display access-user 查看;
     如果没有配置,则视接口下漫游标记进行处理,上送的用户名不变
2、接口下打开漫游域开关(默认打开,roam-domain)
     解析用户名中的漫游字符roam-character,默认为“:”,从用户名中取出漫游字符前的域名,进行认证派发
     向radius发送的时候用户名保持不变 username@domainname:roamdomain,
     还有一种情况就是用户输入的域名不存在,这时候的就会到接口下配置的认证域获取认证策略,上送radius的时候,用户名还是不改变的;
     如果没有打开漫游开关,则不进行漫游字符检测,找不到相应的域则上线失败
3、接口下关闭漫游开关,也不进行强制
     这时候,如果找不到相应的域名,则直接进行下线处理,向CM发送CUT
  
  总结:在用户输入域名的情况下,强制的优先级大于漫游,用户名不会被改变
二、用户不输入域名(接口下默认的认证域是default1,认证前域是default0)
1、不漫游,不强制
     根据接口下配置的认证域(default-domain authentication authendomain)下的策略进行认证派发,
     我们会给添加上域名,上送的radius,形如:username@authendomain
2、强制
     和1 的处理一样
3、漫游
     在不进行配置的情况下,接口下默认认证域和漫游域是一样的(default1)
     
   总结:在用户不输入域名的情况下,默认的我们会加上default1域名上送radius ,
         但如果接口下配置了认证域,则会根据这个域名进行分析,并上送radius。

告警信息


处理过程

 A:把不同VLAN配置为不同的强制域,相关域设定相关CAR参数。当用户上网时,输入用户名密码,上送RADIUS用户名密码不变,可以认证通过。同时,用户带宽由相关强制域下配置的CAR参数控制。

根因

END