通过RADIUS下发策略路由属性,用户在MA5200G上实现多归属上行

发布时间:  2012-07-27 浏览次数:  86 下载次数:  0
问题描述
MA5200G有2个上行链路,分别连接到2个ISP,下行通过ATM接口连接ATM-DSLAM,将其中一个ATM的子接口的VPI整体批发给一个宽带代理商。要求在MA5200G上识别这两类ISP用户,并将流量引导到各自的上行链路。
所有用户采用RADIUS认证,根据当地习惯,用户拨号认证是只输入用户名和密码,并没有域信息。
告警信息

处理过程
1.通过RADIUS下发属性,给不同的用户名指定不同的ip pool,属性下发正常,但MA5200G不能支持根据源地址指定下一跳的策略路由,测试失败。
2.让每一个用户拨号时添加domain信息,这需要通知每一个用户做更改,工作量大,不现实。
3.查看MA5200G的RADIUS属性有87号华为私有属性hw-Policy-Route,可以通过RADIUS给用户下发策略路由。通过这个属性,用户名和密码到RADIUS认证时,RADIUS配置HW-Policy-Route下一跳地址通过COA下发给用户,在MA5200G上生效后可使每个用户走不同的下一跳接口。这需要在RADIUS上为每一个用户名配置hw-policy-route,并指定下一跳,测试正
常。
根因
在BRAS上把业务流量引导到不同的上行链路最好的办法是在domain下配置策略路由,例如:
[Quidway-aaa] domain isp1
[Quidway-aaa-domain-isp1] policy-route 20.1.1.1
这个应用场景中在MA5200G上无法区分每个用户所属的domain,也就无法在domain下配置策略路由,因为:
1.用户拨号不带domain信息;
2.ATM子接口VPI整体批发,无法通过default-domain确认某具体用户的域信息。
建议与总结
 

END