EDSG配置
EDSG概述
EDSG(Enhanced Dynamic Service Gateway)是一种将用户的一路流量单独标识出来并独立限速、计费和管理的业务模式。
在宽带发展初期,运营商为了促进用户量增加,大多采用粗放式的运营模式,即不断扩建新网络,通过宣传高带宽来吸引用户。随着宽带网络运营环境的发展变化,传统运营模式给运营商带来了很多难题:
如何提高投入产出比
如何保证本地运营商的运营收入
如何实现客户的此类精细化运营需求
如何细分客户需求
如何解决流量流经不同NSP(Network Service Provider)时的利益分配问题
为了解决上述问题,EDSG具有业务扩展灵活、动态部署的特点,面向大量用户提速并且业务丰富。
运营商通过为用户组合多种EDSG业务,或者用户通过运营商(也可能是与运营商合作联动的服务提供商)提供的自助页面按需选择服务,能够实现灵活丰富的业务模式,提高用户体验,增加运营商收入。
EDSG License支持与配置注意事项
License支持情况
请参考《特性描述-License支持情况》。
配置注意事项--S2F
配置注意事项 |
规避措施 |
影响性 |
|---|---|---|
NE20ENE20E-S2F形态不支持EDSG业务的SQ调度。 |
NE20ENE20E-S2F上避免部署基于SQ的EDSG业务。 |
影响NE20ENE20E-S2FEDSG业务的SQ调度。 |
|
无 |
影响业务的Portal强推次数。 |
|
无 |
影响业务流限速动作。 |
EDSG业务/DAA/BOD不支持L2TP LAC用户/二层专线下用户。 |
无 |
EDSG业务激活失败。 |
VLL\VPLS接入场景对于EDSG\DAA的下行HQoS队列不生效,转为CAR处理。如果按SQ方式限速,会占用用户的流量配额。 |
避免使用SQ限速。 |
VLL\VPLS接入时用户配HQoS队列、EDSG也配HQoS队列,则用户HQoS队列生效,EDSG是CAR限速生效。用户配置CAR限速、EDSG配置HQoS队列,则两个均是CAR限速生效。 |
Web用户支持生成EDSG业务有以下限制:
|
无 |
影响前域配置增值业务。 |
同一个用户DAA与EDSG不能叠加使用,用户上线同时激活DAA与EDSG的情况下DAA生效。 |
无 |
用户上线同时激活DAA与EDSG的情况下DAA生效。 |
配置EDSG业务
在配置EDSG业务之前了解此特性的应用环境、配置此特性的前置任务和数据准备,可以帮助您快速、准确地完成配置任务。
应用场景
某些地区规模较小的本地运营商需要租用骨干网运营商昂贵的出口线路以便连接到Internet,并需要向骨干网运营商结算昂贵的骨干网访问流量费用。骨干网访问流量费用高,本地网访问流量费用低,两种流量费用差异大,运营商希望将用户的骨干网访问流量和本地网流量区分开来,并按照不同的网络类型别计费,保证运营商的运营收入。这时可以按照不同的目的地址,将本地网、骨干网配置为两个EDSG业务,实现两个EDSG业务的差异化计费。
校园网中,一般校园网用户访问校内网时,运营商不收费或收取很低的费用,且不限速,而校园网用户访问校外网时,运营商会收取较高的费用,同时会限速。运营商希望将校内网和校外网进行差异化计费和限速,保证运营商的运营收入。这时可以按照不同的目的地址,将校内网和校外网配置为两个EDSG业务,实现两个EDSG业务的差异化计费和限速。
当前Internet上提供的服务内容日新月异,但不同的服务内容(比如Game、FTP、VoD、News等),其制作成本是有差异的,且对带宽的要求也有差异。运营商希望根据用户使用的不同服务内容进行差异化计费和限速,这时可以将不同的服务内容Game、FTP、VoD、News等配置成不同的EDSG业务,实现不同EDSG业务的差异化计费和限速。
本节将通过如下组网介绍EDSG业务的配置过程,如图4-1所示,PPPoE用户访问Network1和Network2流量费用差异大,且用户访问Network1和Network2对带宽的要求不同。这时可以在BRAS上配置两个EDSG业务,实现对Network1和Network2的差异化计费、限速,保证运营商的运营收入。据此,运营商可开展差异化服务,针对用户的不同需求推出灵活的业务和资费政策。
AAA Server:提供用户的认证、授权和计费,通常RADIUS Server做AAA Server。
Policy Server:用于EDSG业务策略下发,目前仅支持RADIUS Server做Policy Server。
Portal Server:提供用户界面,用户可到Portal Server上按需选择EDSG业务。一般Portal Server集成在AAA Server或者Policy Server中。
配置EDSG流量策略
为区分用户访问Network1和Network2的网络流量,需要配置EDSG流量策略。通过创建两个不同的服务组,定义匹配指定服务组的EDSG流量策略,实现用户访问Network1和Network2网络流量的区分。本节介绍配置EDSG流量策略的方法与步骤。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令service-group service-group-name,创建服务组。
- 定义匹配指定服务组的ACL规则。
- 执行命令acl { name ucl-acl-name [ ucl | [ ucl ] number ucl-acl-number ] | [ number ] ucl-acl-number } [ match-order { auto | config } ],创建一个访问控制列表并进入ACL视图。
需要使用UCL,UCL对应的acl-number的取值范围是6000~9999。
- 执行命令acl { name ucl-acl-name [ ucl | [ ucl ] number ucl-acl-number ] | [ number ] ucl-acl-number } [ match-order { auto | config } ],创建一个访问控制列表并进入ACL视图。
- 定义流分类。
- 执行命令traffic classifier classifier-name [ operator { and | or } ],定义一个流分类并进入流分类视图。
- 执行命令if-match acl { acl-number | name acl-name },匹配上述的acl-number。
- 执行命令commit,提交配置。
- 执行命令quit,返回系统视图。
- 定义流行为。
- 执行命令traffic behavior behavior-name,定义一个流行为并进入流行为视图。
- (可选)执行命令service-class edsg keep-queue-level,配置EDSG业务匹配到流动作之后保持原有报文的服务等级。
- 执行命令commit,提交配置。
- 执行命令quit,返回系统视图。
- 定义EDSG流量策略。
- 执行命令traffic policy policy-name,定义一个EDSG流量策略并进入流量策略视图。
- 执行命令classifier classifier-name behavior behavior-name [ precedence precedence-value ],用来在定义的EDSG流策略中为流分类指定采用的流行为。此处的classifier-name和behavior-name为上述定义的流分类和流行为。
- 执行命令commit,提交配置。
- 执行命令quit,返回系统视图。
- 执行命令traffic-policy policy-name { inbound | outbound },全局应用EDSG流量策略。
- 执行命令commit,提交配置。
配置EDSG业务策略
为实现用户访问Network1和Network2网络的差异化计费和限速,需要配置两个EDSG业务策略。通过将EDSG业务策略关联对应的服务组,并在两个EDSG业务策略中绑定不同的计费方案,配置不同的流量限速的带宽参数,实现两个EDSG业务的差异化计费和限速。本节介绍配置EDSG业务策略的方法与步骤。
操作步骤
- 执行命令system-view,进入系统视图。
- (可选)执行命令service-policy cache update interval interval-value,配置EDSG缓存策略模板的更新时间间隔。
- (可选)执行命令value-added-service update-online-edsg rate-limit service-policy [ cache [ cache-policy-name ] | configuration [ configuration ] ],手动触发刷新在线EDSG业务的带宽限制参数。
- (可选)执行命令radius-attribute hw-policy-name support-type edsg,配置HW-Policy-Name属性扩展支持EDSG业务策略名。
- (可选)执行命令radius-attribute include edsg-service-name accounting-request,配置用户计费报文中携带EDSG业务策略名。
如果配置了radius-attribute hw-policy-name support-type edsg命令,则代表华为私有95号属性,未配置该命令则代表华为私有185号属性。
- 执行命令service-policy name policy-name edsg,创建EDSG业务策略,并进入EDSG业务策略视图。
若区分策略模板名称的大小写,需要先执行命令service-policy name-case-sensitive enable,使能EDSG业务模板名称大小写敏感功能。
- (可选)执行命令ip-type ipv6,配置EDSG业务的流量统计类型为IPv6类型。
- 执行命令service-group service-group-name [ inbound | outbound ] [ priority priority ],配置EDSG业务策略绑定的服务组。
服务组必须已经存在,可在系统视图下执行命令service-group service-group-name创建。
- 执行命令radius-server group group-name,配置EDSG业务策略绑定的RADIUS服务器组。
- 执行命令authentication-scheme authentication-scheme-name,配置EDSG业务策略的认证方案。
- 执行命令accounting-scheme accounting-scheme-name,配置EDSG业务策略的计费方案。
目前EDSG业务只支持RADIUS计费和不计费两种方式。
设备上固定有两个计费方案,名称为default0和default1,不能删除,只能修改。
- 执行命令rate-limit cir cir-value [ pir pir-value ] [ cbs cbs-value [ pbs pbs-value ] [ flow-queue-pbs flow-queue-pbs ] ] { inbound | outbound },配置EDSG业务上下行流量限速的带宽参数。
- (可选)执行命令diameter monitor-key monitor-key,配置业务策略的Diameter监控键值。
- (可选)执行命令service-class { cs7 | cs6 | ef | af4 | af3 | af2 | af1 | be } { inbound | outbound },指定业务上下行的调度等级。
- 执行命令commit,提交配置。
(可选)配置时间段模板与业务带宽的对应关系
配置时间段模板与业务带宽的对应关系,可以实现随着时间段的变化调整EDSG业务带宽。
背景信息
用户的业务流量在不同的时间段对业务带宽有不同的需求,举例来说,用户在白天某个时间段所使用的业务流量往往大于凌晨所使用的业务流量,那么白天某个时间段业务带宽设置要考虑比凌晨的业务带宽设置更大。为了能够更加合理的安排业务流量,要求业务带宽能够实现随着时间的范围而灵活变化的功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令time-range time1 { start2 to end-time days | from time1 date1 [ to time2 date2 ] },定义一个时间段,描述一个时间范围。
- 执行命令service-policy name policy-name edsg,进入EDSG业务策略模板。
- 执行命令time-range time-range-name rate-limit cir cir-value [ pir pir-value ] [ cbs cbs-value [ pbs pbs-value ] ] [ inbound | outbound ],配置时间段的模板与EDSG业务带宽的对应关系。
(可选)配置预付费功能
预付费是指RADIUS服务器预先为用户下发指定配额(分为时长配额和流量配额)的EDSG业务,当下发的配额耗尽后,重新向RADIUS服务器申请该EDSG业务的配额,直到RADIUS服务器返回配额为零,再执行该EDSG业务配额耗尽后的策略(去激活或重定向)。当运营商希望使用用户预先付费,预订时长配额或流量配额的运营模式时,可以配置预付费功能。本节介绍配置预付费功能的方法与步骤。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置预付费模板
- (可选)执行命令threshold volume volume-threshold { kbytes | mbytes | bytes },配置EDSG业务向RADIUS服务器重新申请流量配额的剩余流量阈值。
当用户EDSG业务的流量配额还有volume-threshold(kbytes/mbytes/bytes)时,会向RADIUS服务器重新申请该EDSG业务的流量配额给用户,直到RADIUS服务器返回流量配额为零,再执行该EDSG业务配额耗尽后的策略(去激活或重定向)。
设备支持同时配置EDSG业务向RADIUS服务器重新申请配额的剩余时间阈值和剩余流量阈值。时长配额或流量配额,哪种配额先到达配置的阈值,设备就会向RADIUS服务器重新申请EDSG业务的配额给用户。例如,同时配置了剩余时间阈值和剩余流量阈值,分别为60s和5M,当用户EDSG业务剩余的流量为5M,但该EDSG业务剩余的时长大于60s时,设备会向RADIUS服务器重新申请该EDSG业务的流量配额给用户;或者当用户EDSG业务剩余的时长为60s,但该EDSG业务剩余的流量大于5M时,设备也会向RADIUS服务器重新申请该EDSG业务的时长配额给用户。
- (可选)执行命令threshold volume volume-threshold { kbytes | mbytes | bytes },配置EDSG业务向RADIUS服务器重新申请流量配额的剩余流量阈值。
- (可选)配置配额耗尽后的策略。请根据实际需要,选择其中一种策略。
- 配置在业务策略视图下应用预付费模板。
- (可选)执行命令service volume-quota apply { inbound | outbound },配置EDSG业务流量配额应用的方向。
- 执行命令commit,提交配置。
(可选)配置EDSG业务的下载方式
通过本地或RADIUS服务器获取EDSG业务,实现EDSG业务的下载方式。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令service-policy download { local | radius server-group password cipher cipher-password }*,配置EDSG业务策略的下载方式。设备支持4种EDSG业务策略的获取方式,包括:
本地配置获取:如果本地未配置EDSG业务策略,请继续执行下面的步骤进行配置。
RADIUS服务器获取:如果从RADIUS服务器获取,则使用RADIUS服务器下发的EDSG业务策略,无需执行以下步骤。
先本地配置获取后RADIUS服务器获取:先尝试从本地配置获取EDSG业务策略,如果本地未配置,则从RADIUS服务器获取。
先RADIUS服务器获取后本地配置获取:先尝试从RADIUS服务器获取EDSG业务策略,如果RADIUS服务器超时未响应,则从本地配置获取。
当从本地配置获取EDSG业务策略时,需要已完成EDSG业务策略使用的认证方案、计费方案、RADIUS服务器组的配置,具体配置请参见配置AAA方案;当从RADIUS服务器获取EDSG业务策略时,需要已完成获取EDSG业务策略的RADIUS服务器的配置,具体配置请参见配置RADIUS。
(可选)配置IPv4 in IPv6报文使用IPv4地址匹配EDSG业务
检查配置结果
配置EDSG业务成功后,查看配置的业务策略信息和用户增值业务相关的信息,确保EDSG正常运行。
操作步骤
- 执行命令display service-policy { configuration [ name config-policy-name ] | cache [ name config-policy-name ] }查看EDSG业务策略的配置信息。
- 执行命令display service-policy configuration global,查看业务策略的全局配置。
- 执行命令display prepaid-profile [ name prepaid-profile-name ]查看预付费策略模板的配置信息。
- 执行命令display value-added-service update-online-edsg process-information查看在线EDSG业务刷新的执行信息。
- 执行命令display value-added-service policy,查看业务策略信息。
- 执行命令display value-added-service user,查看用户增值业务相关的信息。
- 执行命令display value-added-service edsg time-range process-information,查看基于时间段刷新EDSG业务带宽的刷新进展。
维护EDSG
维护EDSG包括清除EDSG统计信息或监控EDSG业务的运行状况。
监控业务运行的记录信息
介绍了使用display命令监控EDSG业务运行状况。
操作步骤
- 在任意视图下执行命令display service activate-fail-record [ time begin-time end-time [ date begin-date end-date ] | user-id user-id | policy-name policy-name ] *,查看EDSG业务激活失败记录。
- 在任意视图下执行命令display service deactivate-record [ time begin-time end-time [ date begin-date end-date ] | user-id user-id | policy-name policy-name ] *,查看EDSG业务去激活记录。
- 在任意视图下执行命令display service update-fail-record [ time begin-time end-time [ date begin-date end-date ] | user-id user-id | policy-name policy-name ] *,查看EDSG业务更新失败记录信息。
- 在任意视图下执行命令display service update-fail-record statistics,查看EDSG业务更新失败记录统计信息。
- 在任意视图下执行命令display service-policy { configuration [ name configuration-policy-name ] | cache [ name cache-policy-name ] },查看业务策略的简要信息或详细配置信息,包括本地配置的业务策略和从服务器上下载到本地缓存中的业务策略。
- 在任意视图下执行命令display value-added-service user,查看用户增值业务相关的信息。
- 在任意视图下执行命令display service-policy configuration global,查看业务策略的全局配置。
- 在任意视图下执行命令display service-policy download-configuration,查看业务策略模板下载方式的配置信息。
- 在任意视图下执行命令display prepaid-profile [ name prepaid-profile-name ],查看预付费策略模板的配置参数。
EDSG配置举例
本地下发EDSG业务限制带宽配置示例
本节介绍EDSG业务本地限制带宽的配置示例,请结合配置思路理解本地下发EDSG业务限制带宽的配置过程。
组网需求
如图4-2所示,PPPoE访问Network1和Network2流量费用差异大,用户访问Network1(192.168.100.0/24)和Network2(192.168.200.0/24)对带宽的要求不同,访问Network1的上下行流量带宽限制为1Mbit/s,访问Network2的上下行流量带宽限制为2Mbit/s。
配置思路
- 使能增值业务功能。
- 配置策略服务器。
- 配置EDSG的流量策略。
- 配置AAA认证方案和计费方案。
- 配置EDSG业务策略的下载方式。
- 配置EDSG业务策略。
- 配置用户本地地址池。
- 配置AAA域下绑定地址池和RADIUS服务器组。
- 配置接口。
- 配置上线用户。
数据准备
策略服务器相关参数,包括IP地址、端口号等。
EDSG流量策略相关参数,包括服务组名、ACL规则、流分类、流行为、流策略。
EDSG业务策略使用的RADIUS服务器组的名称、RADIUS认证服务器和RADIUS计费服务器的IP地址、端口号。
EDSG业务策略使用的认证方案名称和认证模式,计费方案名称和计费模式。
域下使用的本地地址池名称、网关以及用户地址池范围。
EDSG业务策略相关参数,包括EDSG业务策略的下载方式、名称、绑定的RADIUS服务器组、认证方案、计费方案、EDSG业务上下行流量限速的带宽参数。
操作步骤
- 使能增值业务功能。
<HUAWEI> system-view[~HUAWEI] value-added-service enable
- 配置策略服务器。
# 设置RADIUS服务器组名称为rad_group1,RADIUS认证服务器的IP地址为10.10.10.2,端口为1812;RADIUS计费服务器的IP地址为10.10.10.2,端口为1813;RADIUS认证服务器和RADIUS计费服务器的共享密钥为huawei@123。
[~HUAWEI] radius-server group rad_group1
[~HUAWEI-radius-rad_group1] radius-server authentication 10.10.10.2 1812
[~HUAWEI-radius-rad_group1] radius-server accounting 10.10.10.2 1813
[~HUAWEI-radius-rad_group1] radius-server shared-key-cipher huawei@123
[~HUAWEI-radius-rad_group1] commit
[~HUAWEI-radius-rad_group1] quit
具体RADIUS服务组的配置请参见《HUAWEI NE20E-S2 配置指南-用户接入》中的配置RADIUS服务器。
- 配置EDSG的流量策略。
- 配置AAA认证方案和计费方案。
# 配置AAA认证方案名称为auth1,认证模式为RADIUS认证。
[~HUAWEI] aaa
[*HUAWEI-aaa] authentication-scheme auth1
[*HUAWEI-aaa-authen-auth1] authentication-mode radius
[*HUAWEI-aaa-authen-auth1] commit
[~HUAWEI-aaa-authen-auth1] quit
# 配置AAA计费方案名称为acct1,计费模式为RADIUS计费。
[~HUAWEI-aaa] accounting-scheme acct1
[*HUAWEI-aaa-accounting-acct1] accounting-mode radius
[*HUAWEI-aaa-accounting-acct1] commit
[~HUAWEI-aaa-accounting-acct1] quit
- 配置EDSG业务策略的下载方式。
# 配置EDSG业务策略的下载方式为先本地后从RADIUS下载,即先从本地获取再从RADIUS服务器获取配置。
[~HUAWEI] service-policy download local radius rad_group1 password cipher huawei@123
[~HUAWEI] commit
EDSG业务策略的下载方式有四种方式:本地下载、RADIUS下载、先本地后RADIUS、先RADIUS后本地。请根据实际情况执行命令service-policy download选择对应的EDSG业务策略下载方式。
- 配置EDSG业务策略。
- 配置用户本地地址池。
# 配置本地地址池名称为edsg_pool,设置用户上线的网关地址172.31.0.0/16和从172.31.0.0到172.31.255.255的地址段。
[~HUAWEI] ip pool edsg_pool bas local
[*HUAWEI-ip-pool-edsg_pool] gateway 172.31.0.0 255.255.0.0
[*HUAWEI-ip-pool-edsg_pool] section 0 172.31.0.0 172.31.255.255
[*HUAWEI-ip-pool-edsg_pool] commit
[~HUAWEI-ip-pool-edsg_pool] quit
- 配置AAA域下绑定地址池和RADIUS服务器组。
# 在AAA域下绑定本地地址池edsg_pool,并绑定RADIUS服务组rad_group1。
[~HUAWEI] aaa
[*HUAWEI-aaa] domain domain1
[*HUAWEI-aaa-domain-domain1] ip-pool edsg_pool
[*HUAWEI-aaa-domain-domain1] radius-server group rad_group1
[*HUAWEI-aaa-domain-domain1] quit
[*HUAWEI-aaa] commit
[~HUAWEI-aaa] quit
- 配置接口。
- 配置BAS接口。
配置BAS接口具体请参照《HUAWEI NE20E-S2 配置指南-用户接入》中的配置IPv4用户PPPoE接入示例。
[~HUAWEI] interface GigabitEthernet0/1/2.1
[*HUAWEI-GigabitEthernet0/1/2.1] user-vlan 1000 2000
[*HUAWEI-GigabitEthernet0/1/2.1] user-vlan 1 1000 qinq 100
[*HUAWEI-GigabitEthernet0/1/2.1] bas
[*HUAWEI-GigabitEthernet0/1/2.1-bas] access-type layer2-subscriber default-domain pre-authentication domain1
[*HUAWEI-GigabitEthernet0/1/2.1-bas] authentication-method ppp web
[*HUAWEI-GigabitEthernet0/1/2.1-bas] quit
[*HUAWEI-GigabitEthernet10/1/2.1] commit
[~HUAWEI-GigabitEthernet10/1/2.1] quit
- 配置BAS接口。
- 配置上线用户。
# 在AAA服务器为PPPoE用户user1下发RADIUS属性User-Password,User-Password是huawei@123。
User-Password表示用户的密码,RADIUS服务组的设置的密码决定了User-Password内容。
# 在AAA服务器为PPPoE用户user1下发RADIUS属性HW-Account-Info,HW-Account-Info内容是Aservice_edsg1和Aservice_edsg2。
HW-Account-Info以“A”为第一个字符,后接业务名,用在用户认证回应中下发EDSG自动生效业务(下发后直接激活业务)。
- 检查配置结果。
# 查看EDSG业务的当前上线用户索引号。
<HUAWEI> display value-added-service user edsgThe used user id table are: 128000
# 根据用户ID号为128000查看当前用户生效的业务组名以及业务状态信息。
<HUAWEI> display value-added-service user user-id 128000 edsg------------------------------------------------------- User access index : 128000 User name : user1 ------------------------------------------------------- Traffic rate mode : Separate Traffic statistic mode : Separate Inbound rate limit mode : Car Outbound rate limit mode : Car Service change mode : Stop-start ------------------------------------------------------- User edsg service table: ------------------------------------------------------- Index Service name State ------------------------------------------------------- 0 service_edsg1 Active 1 service_edsg2 Active -------------------------------------------------------
# 查看EDSG业务索引号为0的在线用户ID为128000的详细信息。
<HUAWEI> display value-added-service user user-id 128000 edsg service-index 0------------------------------------------------------- Service index : 0 Service name : service_edsg1 Service type : EDSG Service state : Active Service group : s_1m Service group priority : 0 Authentication method : None Account method : Radius Radius server template : rad_group1 Account session id : HUAWEI05001SSG000100d39d7b128000 Service online time(HH:MM:SS) : 00:04:36 Up committed information rate : 1000(kbps) Up Peak information rate : 1000(kbps) Up committed burst size : 187000(bytes) Up Peak burst size : 187000(bytes) Down committed information rate : 1000(kbps) Down Peak information rate : 1000(kbps) Down committed burst size : 187000(bytes) Down Peak burst size : 187000(bytes) Up flow packets(high, low) : (0, 0) Up flow bytes(high, low) : (0, 0) Down flow packets(high, low) : (0, 0) Down flow bytes(high, low) : (0, 0) ----------------------------------------------# 查看当前域domain1下用户信息。
<HUAWEI> display access-user domain domain1 verbose------------------------------------------------------------------- Basic: User access index : 128000 State : Used User name : user1 Domain name : domain1 User backup state : No RUI user state : - User access interface : GigabitEthernet0/1/2.1 User access PeVlan/CeVlan : 100/100 User access slot : 5 User MAC : e000-0161-4e1a User IP address : 172.31.24.253 User IP netmask : 255.255.255.255 User gateway address : 172.31.0.1 User Authen IP Type : ipv4/-/- User Basic IP Type : -/-/- User access type : PPPoE User authentication type : PPP authentication Agent-Circuit-Id : - Agent-Remote-Id : - Access-line-id Information(pppoe+): - Access start time : 2014-10-17 10:42:15 User-Group : - Next-hop : - Policy-route-IPV6-address : - AAA: RADIUS-server-template : rad_group1 Server-template of second acct: - Current authen method : RADIUS authentication Authen result : Success Current author method : Idle Author result : Success Action flag : Idle Authen state : Authed Author state : Idle Configured accounting method : RADIUS accounting Quota-out : Offline Current accounting method : RADIUS accounting Realtime-accounting-switch : Close Realtime-accounting-interval(sec) : - Realtime-accounting-send-update : No Realtime-accounting-traffic-update : No Accounting start time : 2014-10-17 10:42:15 Online time (h:min:sec) : 00:07:45 Accounting state : Accounting MTU : 1492 MRU : 1492 Idle-cut direction : Both Idle-cut-data (time,rate,idle): 0 sec, 60 kbyte/min, 0 min 0 sec Ipv4 Realtime speed : 0 kbyte/min Ipv4 Realtime speed inbound : 0 kbyte/min Ipv4 Realtime speed outbound : 0 kbyte/min Dot1X: User MSIDSN name : - EAP user : No MD5 end : No VPN&Policy-route: Vpn-Instance : - Multicast Service: Multicast-profile : - Multicast-profile-ipv6 : - Max Multicast List Number : 4 IGMP enable : Yes ACL&QoS: Link bandwidth auto adapt : Disable UpPriority : Unchangeable DownPriority : Unchangeable EDSG information: Service info : Aservice_edsg1 Flow Statistic: If flow info contain l2-head : Yes Flow-Statistic-Up : Yes Flow-Statistic-Down : Yes Up packets number(high,low) : (0,0) Up bytes number(high,low) : (0,0) Down packets number(high,low) : (0,0) Down bytes number(high,low) : (0,0) IPV6 Up packets number(high,low) : (0,0) IPV6 Up bytes number(high,low) : (0,0) IPV6 Down packets number(high,low) : (0,0) IPV6 Down bytes number(high,low) : (0,0) Dslam information : Circuit ID :- Remote ID :- Actual datarate upstream :0(Kbps) Actual datarate downstream :0(Kbps) Min datarate upstream :0(Kbps) Min datarate downstream :0(Kbps) Attainable datarate upstream :0(Kbps) Attainable datarate downstream :0(Kbps) Max datarate upstream :0(Kbps) Max datarate downstream :0(Kbps) Min lowpower datarate upstream :0(Kbps) Min lowpower datarate downstream :0(Kbps) Max delay upstream :0(s) Max delay downstream :0(s) Actual delay upstream :0(s) Actual delay downstream :0(s) Access loop encapsulation :0x000000 ------------------------------------------------------------------- Are you sure to display some information?(Y/N)[Y]:# 查看已上线用户的流量情况。
<HUAWEI> display access-user domain domain1 verbose------------------------------------------------------------------- Flow Statistic: If flow info contain l2-head : Yes Flow-Statistic-Up : Yes Flow-Statistic-Down : Yes Up packets number(high,low) : (0,12799800) Up bytes number(high,low) : (2,4094944316) Down packets number(high,low) : (0,12634395) Down bytes number(high,low) : (2,4145535568) IPV6 Up packets number(high,low) : (0,0) IPV6 Up bytes number(high,low) : (0,0) IPV6 Down packets number(high,low) : (0,0) IPV6 Down bytes number(high,low) : (0,0) Value-added-service Flow Statistic: EDSG(service1) Up packets number(high,low) : (0,12774777) EDSG(service1) Up bytes number(high,low) : (2,4069869415) EDSG(service1) Down packets number(high,low) : (0,0) EDSG(service1) Down bytes number(high,low) : (0,0)
配置文件
HUAWEI的配置文件
# sysname HUAWEI # value-added-service enable # radius-server group rad_group1 radius-server authentication 10.10.10.2 1812 weight 0 radius-server accounting 10.10.10.2 1813 weight 0 radius-server shared-key-cipher %^%#x*CgITP4C~;q,*+DEW'JBWe#)"Q&|7bX]b:Y<{w'%^%# # ip pool edsg_pool bas local gateway 172.31.0.0 255.255.0.0 section 0 172.31.0.0 172.31.255.255 # aaa authentication-scheme auth1 authentication-scheme radius accounting-scheme acct1 accounting-mode radius domain domain1 ip-pool edsg_pool radius-server group rad_group1 # service-group s_1m service-group s_2m # acl number 6020 rule 10 permit ip source service-group s_1m destination ip-address 192.168.100.0 0.0.0.255 rule 11 permit ip source ip-address 192.168.100.0 0.0.0.255 destination service-group s_1m # acl number 6021 rule 15 permit ip source service-group s_2m destination ip-address 192.168.200.0 0.0.0.255 rule 16 permit ip source ip-address 192.168.200.0 0.0.0.255 destination service-group s_2m # traffic classifier c1 operator or if-match acl 6020 # traffic classifier c2 operator or if-match acl 6021 # traffic behavior b1 # traffic behavior b2 # traffic policy traffic_policy_edsg share-mode classifier c1 behavior b1 classifier c2 behavior b2 # traffic-policy traffic_policy_edsg inbound traffic-policy traffic_policy_edsg outbound # service-policy download local radius rad_group1 password cipher $$e:TY%^%glhJ;yPG#$=tC&(Is%q!S_";(k.Ef$%^%#:978 # service-policy name service_edsg1 edsg radius-server group rad_group1 service-group s_1m authentication-scheme auth1 accounting-scheme acct1 rate-limit cir 1000 inbound rate-limit cir 1000 outbound # service-policy name service_edsg2 edsg radius-server group rad_group1 service-group s_2m authentication-scheme auth1 accounting-scheme acct1 rate-limit cir 2000 inbound rate-limit cir 2000 outbound # interface GigabitEthernet0/1/0.1 vlan-type dot1q 1 ip address 192.168.100.1 255.255.255.0 # interface GigabitEthernet0/1/1 ip address 10.10.10.1 255.255.255.0 # interface GigabitEthernet0/1/2.1 user-vlan 1000 2000 user-vlan 1 1000 qinq 100 bas access-type layer2-subscriber default-domain pre-authentication domain1 authentication-method ppp web # return
通过RADIUS下发EDSG业务限制带宽配置示例
本节介绍通过RADIUS下发EDSG业务限制带宽的配置示例,通过RADIUS服务器的用户认证报文下发EDSG业务并且设置EDSG业务策略的上下行带宽,请结合配置思路理解通过RADIUS下发EDSG业务限制带宽的配置过程。
组网需求
如图4-3所示,PPPoE访问Network1和Network2流量费用差异大,用户访问Network1(192.168.100.0/24)和Network2(192.168.200.0/24)对带宽的要求不同,访问Network1的上下行流量带宽限制为1Mbit/s,访问Network2的上下行流量带宽限制为2Mbit/s。AAA服务器通过RADIUS协议下发EDSG业务策略,设置EDSG业务策略的计费方式、认证方式、上下行带宽等。
配置思路
- 使能增值业务功能。
- 配置策略服务器。
- 配置EDSG的流量策略。
- 配置AAA认证方案和计费方案。
- 配置EDSG业务策略的下载方式。
- 配置EDSG业务策略。
- 配置用户本地地址池。
- 配置AAA域下绑定地址池和RADIUS服务器组。
- 配置接口。
- 配置上线用户。
数据准备
策略服务器相关参数,包括IP地址、端口号等。
EDSG流量策略相关参数,包括服务组名、ACL规则、流分类、流行为、流策略。
EDSG业务策略使用的RADIUS服务器组的名称、RADIUS认证服务器和RADIUS计费服务器的IP地址、端口号。
EDSG业务策略使用的认证方案名称和认证模式,计费方案名称和计费模式。
域下使用的本地地址池名称、网关以及用户地址池范围。
EDSG业务策略相关参数,包括EDSG业务策略的下载方式、名称、绑定的RADIUS服务器组、认证方案、计费方案、EDSG业务上下行流量限速的带宽参数。
操作步骤
- 使能增值业务功能。
<HUAWEI> system-view[~HUAWEI] value-added-service enable
- 配置策略服务器。
# 设置RADIUS服务器组名称为rad_group1,RADIUS认证服务器的IP地址为10.10.10.2,端口为1812;RADIUS计费服务器的IP地址为10.10.10.2,端口为1813;RADIUS认证服务器和RADIUS计费服务器的共享密钥为huawei@123。
[~HUAWEI] radius-server group rad_group1
[*HUAWEI-radius-rad_group1] radius-server authentication 10.10.10.2 1812
[*HUAWEI-radius-rad_group1] radius-server accounting 10.10.10.2 1813
[*HUAWEI-radius-rad_group1] radius-server shared-key-cipher huawei@123
[*HUAWEI-radius-rad_group1] commit
[~HUAWEI-radius-rad_group1] quit
具体RADIUS服务组的配置请参见《HUAWEI NE20E-S2 配置指南-用户接入》中的配置RADIUS服务器。
- 配置EDSG的流量策略。
- 配置AAA认证方案和计费方案。
# 配置AAA认证方案名称为auth1,认证模式为RADIUS认证。
[~HUAWEI] aaa
[*HUAWEI-aaa] authentication-scheme auth1
[*HUAWEI-aaa-authen-auth1] authentication-mode radius
[*HUAWEI-aaa-authen-auth1] commit
# 配置AAA计费方案名称为acct1,计费模式为RADIUS计费。
[~HUAWEI-aaa] accounting-scheme acct1
[*HUAWEI-aaa-accounting-acct1] accounting-mode radius
[*HUAWEI-aaa-accounting-acct1] quit
[*HUAWEI-aaa] commit
[~HUAWEI-aaa] quit
- 配置EDSG业务策略的下载方式。
# 配置EDSG业务策略的下载方式为RADIUS,即通过认证报文从RADIUS服务器下载。
[~HUAWEI] service-policy download radius rad_group1 password cipher huawei@123
- 配置EDSG业务策略。
- 配置访问Network1的EDSG业务策略。
# 在AAA服务器为上线用户的业务策略service_edsg1下发RADIUS属性User-Password,User-Password内容是huawei@123。
User-Password表示用户的密码,RADIUS服务组的设置的密码决定了User-Password内容。
# 在AAA服务器上为上线用户的业务策略service_edsg1下发RADIUS属性HW-AVpair:<service:service-group>表示为业务策略service_edsg1绑定业务服务组s_1m。
<service:authentication-scheme>表示为业务策略service_edsg1设置认证方案auth1。
<service:accounting-scheme>表示为业务策略service_edsg1设置计费方案acct1。
<service:radius-server-group>表示为业务策略service_edsg1设置RADIUS服务组rad_group1。
# 在AAA服务器上为业务策略service_edsg1下发RADIUS属性HW-Input-Committed-Information-Rate,HW-Input-Committed-Information-Rate内容是1000000bits。表示业务策略service_edsg1的上行带宽设置为1Mbit/s。
# 在AAA服务器上为业务策略service_edsg1下发RADIUS属性HW-Output-Committed-Information-Rate,HW-Output-Committed-Information-Rate内容是1000000bits。表示业务策略service_edsg1的下行带宽设置为1Mbit/s。
- 配置访问Network1的EDSG业务策略。
- 配置用户本地地址池。
# 配置本地地址池名称为edsg_pool,设置用户上线的网关地址172.31.0.0/16和地址段从172.31.0.0到172.31.255.255。
[~HUAWEI] ip pool edsg_pool bas local
[*HUAWEI-ip-pool-edsg_pool] gateway 172.31.0.0 255.255.0.0
[*HUAWEI-ip-pool-edsg_pool] section 0 172.31.0.0 172.31.255.255
[*HUAWEI-ip-pool-edsg_pool] commit
[~HUAWEI-ip-pool-edsg_pool] quit
- 配置AAA域下绑定地址池和RADIUS服务器组。
# 在AAA域下绑定本地地址池edsg_pool和RADIUS服务组rad_group1。
[~HUAWEI] aaa
[*HUAWEI-aaa] domain domain1
[*HUAWEI-aaa-domain-domain1] ip-pool edsg_pool
[*HUAWEI-aaa-domain-domain1] radius-server group rad_group1
[*HUAWEI-aaa-domain-domain1] quit
[*HUAWEI-aaa] commit
[~HUAWEI-aaa] quit
- 配置接口。
- 配置BAS接口。
配置BAS接口具体请参照《HUAWEI NE20E-S2 配置指南-用户接入》中的配置IPv4用户PPPoE接入示例。
[~HUAWEI] interface GigabitEthernet0/1/2.1
[*HUAWEI-GigabitEthernet0/1/2.1] user-vlan 1000 2000
[*HUAWEI-GigabitEthernet0/1/2.1] user-vlan 1 1000 qinq 100
[*HUAWEI-GigabitEthernet0/1/2.1] bas
[*HUAWEI-GigabitEthernet0/1/2.1-bas] access-type layer2-subscriber default-domain pre-authentication domain1
[*HUAWEI-GigabitEthernet0/1/2.1-bas] authentication-method ppp web
[*HUAWEI-GigabitEthernet0/1/2.1-bas] quit
[*HUAWEI-GigabitEthernet10/1/2.1] commit
[~HUAWEI-GigabitEthernet10/1/2.1] quit
- 配置BAS接口。
- 配置上线用户。
# 在AAA服务器为PPPoE用户user1下发RADIUS属性User-Password,User-Password是huawei@123。
User-Password表示用户的密码,RADIUS服务组的设置的密码决定了User-Password内容。
# 在AAA服务器为PPPoE用户user1下发RADIUS属性HW-Account-Info,HW-Account-Info内容是Aservice_edsg1和Aservice_edsg2。
HW-Account-Info以“A”为第一个字符,后接业务名,用在用户认证回应中下发EDSG自动生效业务(下发后直接激活业务)。
- 检查配置结果。
# 查看当前上线用户的用户ID号。
<HUAWEI> display value-added-service userThe used user id table are: 128000
# 根据用户ID号为128000查看当前用户生效的业务组名以及业务状态信息。
<HUAWEI> display value-added-service user user-id 128000 edsg------------------------------------------------------- User access index : 128000 User name : user1 ------------------------------------------------------- Traffic rate mode : Separate Traffic statistic mode : Separate Inbound rate limit mode : Car Outbound rate limit mode : Car Service change mode : Stop-start ------------------------------------------------------- User edsg service table: ------------------------------------------------------- Index Service name State ------------------------------------------------------- 0 service_edsg1 Active 1 service_edsg2 Active -------------------------------------------------------
# 查看EDSG业务索引号为0的在线用户ID为128000的详细信息。
<HUAWEI> display value-added-service user user-id 128000 edsg service-index 0------------------------------------------------------- Service index : 0 Service name : service_edsg1 Service type : EDSG Service state : Active Service group : s_1m Service group priority : 0 Authentication method : auth1 Account method : Radius Radius server template : rad_group1 Account session id : HUAWEI05001SSG000100d39d7b128000 Service online time(HH:MM:SS) : 00:04:36 Up committed information rate : 1000(kbps) Up Peak information rate : 1000(kbps) Up committed burst size : 187000(bytes) Up Peak burst size : 187000(bytes) Down committed information rate : 1000(kbps) Down Peak information rate : 1000(kbps) Down committed burst size : 187000(bytes) Down Peak burst size : 187000(bytes) Up flow packets(high, low) : (0, 0) Up flow bytes(high, low) : (0, 0) Down flow packets(high, low) : (0, 0) Down flow bytes(high, low) : (0, 0) ----------------------------------------------# 查看当前域domain1下用户信息。
<HUAWEI> display access-user domain domain1 verbose------------------------------------------------------------------- Basic: User access index : 128000 State : Used User name : user1 Domain name : domain1 User backup state : No RUI user state : - User access interface : GigabitEthernet0/1/2.1 User access PeVlan/CeVlan : 100/100 User access slot : 5 User MAC : e000-0161-4e1a User IP address : 172.31.24.253 User IP netmask : 255.255.255.255 User gateway address : 172.31.0.1 User Authen IP Type : ipv4/-/- User Basic IP Type : -/-/- User access type : PPPoE User authentication type : PPP authentication Agent-Circuit-Id : - Agent-Remote-Id : - Access-line-id Information(pppoe+): - Access start time : 2013-10-17 10:42:15 User-Group : - Next-hop : - Policy-route-IPV6-address : - AAA: RADIUS-server-template : rad_group1 Server-template of second acct: - Current authen method : RADIUS authentication Authen result : Success Current author method : Idle Author result : Success Action flag : Idle Authen state : Authed Author state : Idle Configured accounting method : RADIUS accounting Quota-out : Offline Current accounting method : RADIUS accounting Realtime-accounting-switch : Close Realtime-accounting-interval(sec) : - Realtime-accounting-send-update : No Realtime-accounting-traffic-update : No Accounting start time : 2013-10-17 10:42:15 Online time (h:min:sec) : 00:07:45 Accounting state : Accounting MTU : 1492 MRU : 1492 Idle-cut direction : Both Idle-cut-data (time,rate,idle): 0 sec, 60 kbyte/min, 0 min 0 sec Ipv4 Realtime speed : 0 kbyte/min Ipv4 Realtime speed inbound : 0 kbyte/min Ipv4 Realtime speed outbound : 0 kbyte/min Dot1X: User MSIDSN name : - EAP user : No MD5 end : No VPN&Policy-route: Vpn-Instance : - Multicast Service: Multicast-profile : - Multicast-profile-ipv6 : - Max Multicast List Number : 4 IGMP enable : Yes ACL&QoS: Link bandwidth auto adapt : Disable UpPriority : Unchangeable DownPriority : Unchangeable EDSG information: Service info : Aservice_edsg1 Flow Statistic: If flow info contain l2-head : Yes Flow-Statistic-Up : Yes Flow-Statistic-Down : Yes Up packets number(high,low) : (0,0) Up bytes number(high,low) : (0,0) Down packets number(high,low) : (0,0) Down bytes number(high,low) : (0,0) IPV6 Up packets number(high,low) : (0,0) IPV6 Up bytes number(high,low) : (0,0) IPV6 Down packets number(high,low) : (0,0) IPV6 Down bytes number(high,low) : (0,0) Dslam information : Circuit ID :- Remote ID :- Actual datarate upstream :0(Kbps) Actual datarate downstream :0(Kbps) Min datarate upstream :0(Kbps) Min datarate downstream :0(Kbps) Attainable datarate upstream :0(Kbps) Attainable datarate downstream :0(Kbps) Max datarate upstream :0(Kbps) Max datarate downstream :0(Kbps) Min lowpower datarate upstream :0(Kbps) Min lowpower datarate downstream :0(Kbps) Max delay upstream :0(s) Max delay downstream :0(s) Actual delay upstream :0(s) Actual delay downstream :0(s) Access loop encapsulation :0x000000 ------------------------------------------------------------------- Are you sure to display some information?(Y/N)[Y]:# 查看已上线用户的流量情况。
<HUAWEI> display access-user domain domain1 verbose------------------------------------------------------------------- Flow Statistic: If flow info contain l2-head : Yes Flow-Statistic-Up : Yes Flow-Statistic-Down : Yes Up packets number(high,low) : (0,670580346) Up bytes number(high,low) : (19,4229905664) Down packets number(high,low) : (0,670597972) Down bytes number(high,low) : (21,3689402864) IPV6 Up packets number(high,low) : (0,0) IPV6 Up bytes number(high,low) : (0,0) IPV6 Down packets number(high,low) : (0,0) IPV6 Down bytes number(high,low) : (0,0) Value-added-service Flow Statistic: EDSG(service1) Up packets number(high,low) : (0,12774777) EDSG(service1) Up bytes number(high,low) : (2,4069869415) EDSG(service1) Down packets number(high,low) : (0,0) EDSG(service1) Down bytes number(high,low) : (0,0)
配置文件
HUAWEI的配置文件
# sysname HUAWEI # value-added-service enable # radius-server group rad_group1 radius-server authentication 10.10.10.2 1812 weight 0 radius-server accounting 10.10.10.2 1813 weight 0 radius-server shared-key-cipher %^%#x*CgITP4C~;q,*+DEW'JBWe#)"Q&|7bX]b:Y<{w'%^%# # ip pool edsg_pool bas local gateway 172.31.0.0 255.255.0.0 section 0 172.31.0.0 172.31.255.255 # aaa authentication-scheme auth1 authentication-scheme radius accounting-scheme acct1 accounting-mode radius domain domain1 ip-pool edsg_pool radius-server group rad_group1 # service-group s_1m service-group s_2m # acl number 6020 rule 10 permit ip source service-group s_1m destination ip-address 192.168.100.0 0.0.0.255 rule 20 permit ip source ip-address 192.168.100.0 0.0.0.255 destination service-group s_1m # acl number 6021 rule 15 permit ip source service-group s_2m destination ip-address 192.168.200.0 0.0.0.255 rule 25 permit ip source ip-address 192.168.200.0 0.0.0.255 destination service-group s_2m # traffic classifier c1 operator or if-match acl 6020 # traffic classifier c2 operator or if-match acl 6021 # traffic behavior b1 # traffic behavior b2 # traffic policy traffic_policy_edsg share-mode classifier c1 behavior b1 classifier c2 behavior b2 # traffic-policy traffic_policy_edsg inbound traffic-policy traffic_policy_edsg outbound # service-policy download radius rad_group1 password cipher $$e:TY%^%glhJ;yPG#$=tC&(Is%q!S_";(k.Ef$%^%#:978 # interface GigabitEthernet0/1/1 ip address 10.10.10.1 255.255.255.0 # interface GigabitEthernet0/1/2.1 user-vlan 1000 2000 user-vlan 1 1000 qinq 100 bas # access-type layer2-subscriber default-domain pre-authentication domain1 authentication-method ppp web # interface GigabitEthernet0/1/0.1 vlan-type dot1q 1 ip address 192.168.100.1 255.255.255.0 # return
通过RADIUS下发EDSG业务预付费配置示例
本节介绍通过RADIUS下发EDSG业务预付费的配置示例,请结合配置思路理解通过RADIUS下发EDSG业务预付费的配置过程。
组网需求
如图4-4所示,PPPoE用户访问Network1和Network2流量费用差异大,用户访问Network1(192.168.100.0/24)和Network2(192.168.200.0/24)对带宽的要求不同,访问Network1的上下行流量带宽限制为1Mbit/s,访问Network2的上下行流量带宽限制为2Mbit/s。另外,运营商希望使用用户预先付费,预订时长配额或流量配额的运营模式。这时可以在BRAS上配置两个EDSG业务,实现对Network1和Network2的差异化计费、限速和预付费,保证运营商的运营收入。据此,运营商可开展差异化服务,针对用户的不同需求推出灵活的业务和资费政策。
配置思路
- 使能增值业务功能。
- 配置策略服务器。
- 配置EDSG的流量策略。
- 配置AAA认证方案和计费方案。
- 配置EDSG业务策略的下载方式。
- 配置EDSG业务策略。
- 配置用户本地地址池。
- 配置AAA域下绑定地址池和RADIUS服务器组。
- 配置预付费功能。
- 配置接口。
- 配置上线用户。
- 通过在AAA服务器上配置用户user1的预付费时间为120s。
- 通过在AAA服务器上配置用户user2的流量预付费为100M。
数据准备
策略服务器相关参数,包括IP地址、端口号等。
EDSG流量策略相关参数,包括服务组名、ACL规则、流分类、流行为、流策略。
EDSG业务策略使用的RADIUS服务器组的名称、RADIUS认证服务器和RADIUS计费服务器的IP地址、端口号。
EDSG业务策略使用的认证方案名称和认证模式,计费方案名称和计费模式。
域下使用的本地地址池名称、网关以及用户地址池范围。
EDSG业务策略相关参数,包括EDSG业务策略的下载方式、名称、绑定的RADIUS服务器组、认证方案、计费方案、EDSG业务上下行流量限速的带宽参数。
预付费模板使用的RADIUS服务器组的名称、RADIUS认证服务器和RADIUS计费服务器的IP地址、端口号。
预付费模板使用的认证方案名称和认证模式,计费方案名称和计费模式。
预付费模板相关参数,包括预付费模板的名称、绑定的RADIUS服务器组、认证方案、计费方案,以及预付费业务向RADIUS服务器组申请业务配额时使用的密码、剩余时间阈值和流量时间阈值,业务配额耗尽后的策略。
操作步骤
- 使能增值业务功能。
<HUAWEI> system-view[~HUAWEI] value-added-service enable
[~HUAWEI] commit
- 配置策略服务器。
# 设置RADIUS服务器组名称为rad_group1,RADIUS认证服务器的IP地址为10.10.10.2,端口为1812;RADIUS计费服务器的IP地址为10.10.10.2,端口为1813;RADIUS认证服务器和RADIUS计费服务器的共享密钥为huawei@123。
[~HUAWEI] radius-server group rad_group1
[*HUAWEI-radius-rad_group1] radius-server authentication 10.10.10.2 1812
[*HUAWEI-radius-rad_group1] radius-server accounting 10.10.10.2 1813
[*HUAWEI-radius-rad_group1] radius-server shared-key-cipher huawei@123
[*HUAWEI-radius-rad_group1] commit
[~HUAWEI-radius-rad_group1] quit
具体RADIUS服务组的配置请参见《HUAWEI NE20E-S2 配置指南-用户接入》中的配置RADIUS服务器。
- 配置EDSG的流量策略。
- 创建业务服务组。
# 创建业务服务组s_1m。
[~HUAWEI] service-group s_1m
# 创建业务服务组s_2m。
[~HUAWEI] service-group s_2m
无论是本地配置或者RADIUS下发配置,均需要创建业务组service-group。
- 创建业务服务组。
- 配置AAA认证方案和计费方案。
# 配置AAA认证方案名称为auth1,认证模式为RADIUS认证。
[~HUAWEI] aaa
[*HUAWEI-aaa] authentication-scheme auth1
[*HUAWEI-aaa-authen-auth1] authentication-mode radius
[*HUAWEI-aaa-authen-auth1] commit
[~HUAWEI-aaa-authen-auth1] quit
# 配置AAA计费方案名称为acct1,计费模式为RADIUS计费。
[~HUAWEI-aaa] accounting-scheme acct1
[*HUAWEI-aaa-accounting-acct1] accounting-mode radius
[*HUAWEI-aaa-accounting-acct1] quit
[*HUAWEI-aaa] commit
[~HUAWEI-aaa] quit
- 配置EDSG业务策略的下载方式。
# 配置EDSG业务策略的下载方式为先本地后RADIUS,即如果本地没有配置,再从RADIUS服务器下载业务模板。
[~HUAWEI] service-policy download local radius rad_group1 password cipher huawei@123
[~HUAWEI] commit
- 配置EDSG业务策略。
- 配置用户本地地址池。
# 配置本地地址池名称为edsg_pool,设置用户上线的网关地址172.31.0.0/16和从172.31.0.0到172.31.255.255的地址段。
[~HUAWEI] ip pool edsg_pool bas local
[*HUAWEI-ip-pool-edsg_pool] gateway 172.31.0.0 255.255.0.0
[*HUAWEI-ip-pool-edsg_pool] section 0 172.31.0.0 172.31.255.255
[*HUAWEI-ip-pool-edsg_pool] commit
[~HUAWEI-ip-pool-edsg_pool] quit
- 配置AAA域下绑定地址池和RADIUS服务器组。
# 在AAA域下绑定本地地址池edsg_pool和RADIUS服务组rad_group1。
[~HUAWEI] aaa
[*HUAWEI-aaa] domain domain1
[*HUAWEI-aaa-domain-domain1] ip-pool edsg_pool
[*HUAWEI-aaa-domain-domain1] radius-server group rad_group1
[*HUAWEI-aaa-domain-domain1] quit
[*HUAWEI-aaa] commit
[~HUAWEI-aaa] quit
- 配置预付费功能。
- 配置接口。
- 配置上线用户。
# 在AAA服务器为PPPoE用户user1和user2下发RADIUS属性User-Password,User-Password是huawei@123。
User-Password表示用户的密码,RADIUS服务组的设置的密码决定了User-Password内容。
# 在AAA服务器为PPPoE用户user1下发RADIUS属性HW-Account-Info,HW-Account-Info内容是Aservice_edsg1。
# 在AAA服务器为PPPoE用户user2下发RADIUS属性HW-Account-Info,HW-Account-Info内容是Aservice_edsg2。
HW-Account-Info以“A”为第一个字符,后接业务名,用在用户认证回应中下发EDSG自动生效业务(下发后直接激活业务)。
- 通过在AAA服务器上配置用户user1的预付费时间为120s。
# 在AAA服务器上为上线用户user1下发RADIUS属性Session-Timeout,Session-Timeout内容是120s,表示用户业务剩余的时间。
# 查看EDSG业务的当前上线用户索引号。
<HUAWEI> display value-added-service user edsgThe used user id table are: 128000 128001
# 用户使用EDSG业务达到60s,设备向AAA服务器提前发送重授权请求用来申请新的时间。
<HUAWEI> display value-added-service user user-id 128000 edsg service-index 0------------------------------------------------------- Service index : 0 Service name : service_edsg1 Service type : EDSG Service state : Active Service group : s_1m Service group priority : 0 Authentication method : None Account method : Radius Radius server template : rad_group1 Account session id : HUAWEI05001SSG000100f5fcb5128034 Service online time(HH:MM:SS) : 00:01:00 Up committed information rate : 1000(kbps) Up Peak information rate : 1000(kbps) Up committed burst size : 187000(bytes) Up Peak burst size : 187000(bytes) Down committed information rate : 1000(kbps) Down Peak information rate : 1000(kbps) Down committed burst size : 187000(bytes) Down Peak burst size : 187000(bytes) Up flow packets(high, low) : (0, 0) Up flow bytes(high, low) : (0, 0) Down flow packets(high, low) : (0, 0) Down flow bytes(high, low) : (0, 0) Prepaid state : Monitoring Time quota : 60(seconds) Time threshold : 120(seconds) -------------------------------------------------------# 查询业务去激活记录,发现用户的业务上线超过120s后业务自动失效。
<HUAWEI> display service deactivate-record------------------------------------------------------------------- Policy name : service_edsg1 User ID : 128000 Service index : 0 Access time : 2013-10-17 17:41:03 Deavtivate time : 2013-10-17 17:45:33 Deactivate reason : The server does not reply with prepaid authorization response
- 通过在AAA服务器上配置用户user2的流量预付费为100M。
# 在AAA服务器上为上线用户user2下发RADIUS属性HW-Remanent-Volume,HW-Remanent-Volume内容是100M,表示用户剩余可用流量。
# 查看预付费模板名prepaid2的状态信息。
<HUAWEI> display prepaid-profile name prepaid2------------------------------------------------ Prepaid-profile-index : 1 Prepaid-profile-name : prepaid2 Prepaid-password : ****** Reference-count : 0 Authentication-scheme-name : auth1 Accounting-scheme-name : acct1 Radius-server-template : rad_group1 Time-threshold : 300(s) Volume-threshold : 20(Mbytes) Quota-out-action : service deactivate HTTP-redirect-profile : http_redirect_profile ------------------------------------------------
# 查看EDSG业务索引号为0的在线用户ID为128001的详细信息。
<HUAWEI> display value-added-service user user-id 128001 edsg service-index 0------------------------------------------------------- Service index : 0 Service name : service_edsg2 Service type : EDSG Service state : Active Service group : s_2m Service group priority : 0 Authentication method : None Account method : Radius Radius server template : rad_group1 Account session id : HUAWEI05001SSG000100f5fcb5128034 Service online time(HH:MM:SS) : 00:04:28 Up committed information rate : 6000(kbps) Up Peak information rate : 6000(kbps) Up committed burst size : 1122000(bytes) Up Peak burst size : 1122000(bytes) Down committed information rate : 6000(kbps) Down Peak information rate : 6000(kbps) Down committed burst size : 1122000(bytes) Down Peak burst size : 1122000(bytes) Up flow packets(high, low) : (0, 248230) Up flow bytes(high, low) : (0, 25815920) Down flow packets(high, low) : (0, 0) Down flow bytes(high, low) : (0, 0) Prepaid state : Exhausted Volume quota : (0, 8966321)(bytes) Volume threshold : (0, 104857600)(bytes) HTTP redirect profile : http_redirect_profile Source : Diameter -------------------------------------------------------
配置文件
HUAWEI的配置文件
# sysname HUAWEI # value-added-service enable # radius-server group rad_group1 radius-server authentication 10.10.10.2 1812 weight 0 radius-server accounting 10.10.10.2 1813 weight 0 radius-server shared-key-cipher %^%#x*CgITP4C~;q,*+DEW'JBWe#)"Q&|7bX]b:Y<{w'%^%# # ip pool edsg_pool bas local gateway 172.31.0.0 255.255.0.0 section 0 172.31.0.0 172.31.255.255 # aaa authentication-scheme auth1 authentication-scheme radius accounting-scheme acct1 accounting-mode radius domain domain1 ip-pool edsg_pool radius-server group rad_group1 # service-group s_1m service-group s_2m # acl number 6020 rule 10 permit ip source service-group s_1m destination ip-address 192.168.100.0 0.0.0.255 rule 20 permit ip source ip-address 192.168.100.0 0.0.0.255 destination service-group s_1m # acl number 6021 rule 15 permit ip source service-group s_2m destination ip-address 192.168.200.0 0.0.0.255 rule 25 permit ip source ip-address 192.168.200.0 0.0.0.255 destination service-group s_2m # traffic classifier c1 operator or if-match acl 6020 # traffic classifier c2 operator or if-match acl 6021 # traffic behavior b1 # traffic behavior b2 # traffic policy traffic_policy_edsg share-mode classifier c1 behavior b1 classifier c2 behavior b2 # traffic-policy traffic_policy_edsg inbound traffic-policy traffic_policy_edsg outbound # aaa authentication-scheme auth1 # accounting-scheme acct1 # # http-redirect-profile http_redirect_profile web-server url http://www.huawei.com web-server mode post # prepaid-profile prepaid1 password cipher $$e:TY%^%glhJ;yPG#$=tC&(Is%q!S_";(k.Ef$%^%#:978 authentication-scheme auth1 accounting-scheme acct1 radius-server group rad_group1 threshold time 60 seconds threshold volume 10 mbytes # prepaid-profile prepaid2 password cipher $$e:TY%(k.Ef$%^%#:978^%glhJ;yPG#$=tC&(Is%q!S_"; authentication-scheme auth1 accounting-scheme acct1 radius-server group rad_group1 threshold time 300 seconds threshold volume 20 mbytes quota-out redirect http_redirect_profile # service-policy download local radius rad_group1 password cipher $J;yPG#$=tC&(Is%q!S_";$e:TY%(k.Ef$%^%#:978^%glh # service-policy name service_edsg1 edsg radius-server group rad_group1 service-group s_1m authentication-scheme auth1 accounting-scheme acct1 rate-limit cir 1000 inbound rate-limit cir 1000 outbound prepaid-profile prepaid1 # service-policy name service_edsg2 edsg radius-server group rad_group1 service-group s_2m authentication-scheme auth1 accounting-scheme acct1 rate-limit cir 2000 inbound rate-limit cir 2000 outbound prepaid-profile prepaid2 # interface GigabitEthernet0/1/1 ip address 10.10.10.1 255.255.255.0 # interface GigabitEthernet0/1/2.1 user-vlan 1000 2000 user-vlan 1 1000 qinq 100 bas # access-type layer2-subscriber default-domain pre-authentication domain1 authentication-method ppp web # interface GigabitEthernet0/1/0.1 vlan-type dot1q 1 ip address 192.168.100.1 255.255.255.0 # interface GigabitEthernet0/1/0.2 vlan-type dot1q 2 ip address 192.168.200.1 255.255.255.0 # return
