USG5120针对PPPOE拨号用户限速

发布时间:  2014-12-28 浏览次数:  191 下载次数:  0
问题描述
需求如下:客户有一台USG5120防火墙(版本:V300R001C00SPCA00),内网用户通过PPPOE拨到防火墙上后才能访问外网,现要求对用户进行IP限速配置,不同用户分配不同权限。
解决方案
以 3 个典型的场景为例:
1、 用户网络中有 100 个人,所有人的限速均为 1M;
在防火墙端配置 PPPoE 时,在绑定的 VT 口上引用地址池 1。
在限流策略中配置对该地址池 1 的所有地址限流为 1M;

2、 用户网络中有 100 个人,99 个人限速均为 1M,其中 1 个人限速为 10M;
99 个人限速 1M 的需求同上。
单独一个人限速 10M 的需求,在 AAA 上配置该用户时,引用不同于上述 IP 地址池的 IP
(local-user test l2tp-ip X.X.X.X)
在限流策略中配置对该 IP 地址限流为 10M;

3、 用户网络中有 100 个人,90 个人限速均为 1M, 10 个人限速为 10M;
可以按第二个场景来配置,就是配置稍麻烦一点,也可以采用一下方式。
配置 PPPoE 时,VT 口上不要引用地址池。在 aaa 视图下配置不同的域,引用不同的地址池(具
体命令见下)。
PPPoE 客户端拨号时采用带域名的用户名来认证,例如 test@a(用 @a 的用户名认证通过后,
设备会从 pool 1 内分配地址。用 @b 的用户名认证通过后,设备会从 pool2 内分配地址)
在限流策略中针对 pool 1 地址限流 1M,针对 pool 2 地址限流 10M。

aaa 下配置不同的域:
domain a
  ip pool 1 10.10.10.2 10.10.10.254
domain b
  ip pool 2 11.11.11.2 11.11.11.254

END