MX960BRAS配置手冊(cè)簿

1、實(shí)用標(biāo)準(zhǔn)MX960 BRA配置手冊(cè)2015年04月Longjiang.LiV1.0juniperWNETWORKS目錄1 IPOE 簡(jiǎn)介 21.1 IPoE用戶(hù)認(rèn)證的特點(diǎn) 21.2 Web重定向過(guò)程 21.3 IPOE認(rèn)證過(guò)程 21.4 IPOE下線過(guò)程 41.5 IPOE基于用戶(hù)業(yè)務(wù)的流量計(jì)費(fèi) 52 PPPOE簡(jiǎn)介 62.1 PPPoE認(rèn)證特點(diǎn) 62.2 PPPOEA證過(guò)程 62.3 PPPOEF線過(guò)程 72.4 PPPOEg于用戶(hù)業(yè)務(wù)的流量計(jì)費(fèi) 73 配置方法 83.1 Filter 簡(jiǎn)介 83.1.1 Filter 配置方法 83.2 IPOE BRAS配置方法 93.2.1 認(rèn)證服務(wù)器

2、配置 93.2.2 dynamic-profiles配置 103.2.3 DHCPI 己置 113.2.4 接口配置 123.3 PPPOE BRAS己置方法 133.3.1 認(rèn)證服務(wù)器配置 133.3.2 dynamic-profiles配置 133.3.3 DHCPI 己置 153.3.4 接口配置 161 IPOE簡(jiǎn)介1.1 IPoE用戶(hù)認(rèn)證的特點(diǎn)用戶(hù)認(rèn)證通過(guò) WEB方式進(jìn)行，使得學(xué)校的師生不必安裝撥號(hào)客戶(hù)端，認(rèn)證功能通過(guò)IE瀏覽器即可方便地完成身份認(rèn)證過(guò)程。認(rèn)證后臺(tái)系統(tǒng)由WEB Portal和RADIU和成，認(rèn)證平臺(tái)可調(diào)用統(tǒng)一的用戶(hù)數(shù)據(jù)庫(kù)，以實(shí)現(xiàn)統(tǒng)一身份認(rèn)證。用戶(hù)的訪問(wèn)權(quán)限、上網(wǎng)速率

3、以及其他跟上網(wǎng)相關(guān)的行為管理由 RADIU繇統(tǒng)根據(jù)用戶(hù)身份下發(fā)相應(yīng)的策略給 MX路由 器來(lái)實(shí)現(xiàn)。這使得網(wǎng)絡(luò)具備較高的控制能力和可管理性，運(yùn)維管理更加方便。在這一架構(gòu)下，有線、無(wú)線（校內(nèi)師生、訪客）用戶(hù)均可通過(guò)同一套設(shè)備、同一套 軟件、同一用戶(hù)身份驗(yàn)證服務(wù)器，經(jīng)過(guò)一次認(rèn)證，即可根據(jù)預(yù)先設(shè)置的策略訪問(wèn)相應(yīng)的 資源，而不必進(jìn)行多次認(rèn)證。無(wú)線和有線用戶(hù)均做了相同的測(cè)試。1.2 Web重定向過(guò)程通過(guò)策略路由將目的端口為80的流量引入到防火墻，通過(guò)防火墻目的端口轉(zhuǎn)換，實(shí) 現(xiàn)web重定向。1.3 IPOE認(rèn)證過(guò)程IPOE認(rèn)證可分為兩個(gè)部分，HDCPA證和portal認(rèn)證兩個(gè)部分HDCPU證：用戶(hù)首先通過(guò)DH

4、CPI證獲取IP地址，認(rèn)證后給邏輯接口下發(fā)出入方向 策略“prb”和“10MT,不允許用戶(hù)之間互訪。42 Aee&ssrequestWith session-ID3. Acct»Ace*ptWith input pclic/ pbr&, QMtput policy 1M5, Acct-start川曲 sessian-lDand client IPAttt-IM UpdateSRXD-NATPortal &Radius Server6, generateiPSession -IDrratching table:4, DHCP offer/requesl And

5、ACKemuK */itb inpuJ policy 戶(hù)匕 Ard ulpkJt pc lie/ 1LJportal認(rèn)證：用戶(hù)獲得IP地址后通過(guò)portal認(rèn)證，止匕時(shí)radius下發(fā)COA MX將用 戶(hù)策略變更為O-1M I-4M,對(duì)用戶(hù)進(jìn)行限速。7, poiy change2, FBF To edi rector9 HTTP Vititri, HTTPRequest6 Sewion-IDCqAPortal &SRXD-NATMill3 DestinationMAT to portalRadiusServer4 Portal bawd Auth«rrticalion&

6、; user's LLPaulhecticdtion,iP/Ssssion -IDmatekACCT Artimearid Volu<¥i41.4IPOE下線過(guò)程用戶(hù)在portal頁(yè)面申請(qǐng)下線過(guò)程：用戶(hù)在 web頁(yè)面點(diǎn)擊登出，radius下發(fā)DM MX收到DMB, MX消除HDCP BINDING 解除用戶(hù)關(guān)系。.ATTC2r Send coE 口" mes找g*Portal &SRXRadius ServerS Cient wfl wait 畬 and wnd DHCP reqiwttto get IP WKldirB»4giQini

7、63;. rMs will皿，th*M tliOfV-10。1th* (hart.Cai亡心。啟tmeand volumei耐電力¥電力白口通過(guò)radius主動(dòng)離線用戶(hù)管理員在radius界面消除用戶(hù)，radius下發(fā)DMt, MX清除DHCP BINGDING解除 用戶(hù)關(guān)系。Tnterne)3. eta* DHCP birg ®nd | dernux ntrfae#SRXPortal 8.Radius Server4 radius wills 如 ftesesiaolDafthe clieMC*ul制： tirmad m/rr*infwmnablon5Ci*m的巾四也 a

8、nd send DHCP r#qu«ftt E gM IP jMkaddrMBainjuniperWNETWORKS用戶(hù)異常離線過(guò)程用戶(hù)異常離線后，在DHCFLEASETIME超時(shí)后，MX合radius發(fā)送計(jì)費(fèi)停止報(bào)文，radius 消除用戶(hù)信息3,AT-C-STOPACK2日箕曰曰曰曰與w ga MX 刷I cltar DHCPirrterfiacsD-NATPortal $ Radius Server5. r3diij& wfllctertJiedie clieni;C*cu* timeid vokinrw哦口 nnat舊r1. uwrshurtdwH PC wthwt

9、logout1.5IPOE基于用戶(hù)業(yè)務(wù)的流量計(jì)費(fèi)MX支持Service Based Accounting (SBA功能，在每個(gè)用戶(hù)的 session 基礎(chǔ)上， 生成多個(gè) service session ,針對(duì)每個(gè) service session 實(shí)現(xiàn)基于 time/volume 的 statistics ,如對(duì)campus, cernet , telecom 等實(shí)現(xiàn)單獨(dú)的流量統(tǒng)計(jì)和計(jì)費(fèi)功能，radius屬性如下：工性1描述1舉例M即Aciivate-SsrvieflService to Mrtfvat*for the subscriberBtring 鼻B FEEDSe rvic t&

10、-Actkvatt; 1 言，! campus1'Servic e-Actlivate 2 =wrnef可為某個(gè)用戶(hù)session考-service26-661Deactiete-ServiceSwv ice to deactivate for the subscriberSt-mc servServke-Dfl3ctrvat& ="carripus*司l 二章- jessioR-l；個(gè)去激活車(chē)GM"26-69SeMce-StStiStics-tgXEnaWe or doablestatistics for the mfviceinteger0 - d li

11、able;1 : enable time statistics2 = enable time and volume statisticsService-SUtiistm 1 ;Z Service-St-atii sties 2 * 2 可加對(duì)單個(gè)pruic5定 義統(tǒng)計(jì)方式2 PPPO前介2.1 PPPoE認(rèn)證特點(diǎn)PPPo虱案簡(jiǎn)要流程為：用戶(hù)PC!過(guò)客戶(hù)端發(fā)起PPPoE青求到后臺(tái)接入服務(wù)器BAS 然后交付深瀾進(jìn)行認(rèn)證及計(jì)費(fèi)。由于MX直接提供了用戶(hù)接入網(wǎng)絡(luò)時(shí)的 PPPo以證功能，相應(yīng)的控制力度也更強(qiáng)。用 戶(hù)均通過(guò)PPPoEiH舌實(shí)現(xiàn)到網(wǎng)絡(luò)的接入和訪問(wèn)，由于 PPPoEffi道的隔離而互不影響，因

12、此能夠天然抵御 ARP欺騙、仿冒源地址攻擊等問(wèn)題，極大減輕網(wǎng)絡(luò)管理員的工作量，并 有效保障了整個(gè)校園網(wǎng)絡(luò)的可靠性和穩(wěn)定性。對(duì)于每個(gè)用戶(hù)的PPPo匕話(huà)，都可以根據(jù)用戶(hù)的身份信息通過(guò)深瀾 的后臺(tái)管理平臺(tái) 進(jìn)行策略下發(fā)，進(jìn)行相應(yīng)的訪問(wèn)權(quán)限控制、上下行速率限制以及根據(jù)流量、時(shí)長(zhǎng)等采取 不同策略的計(jì)費(fèi)功能。對(duì)于 PPPoEf式，在用戶(hù)認(rèn)證通過(guò)后，由 MX深瀾服務(wù)器發(fā)送計(jì) 費(fèi)開(kāi)始包，在用戶(hù)下線后（用戶(hù)主動(dòng)掛斷、異常死機(jī)、網(wǎng)絡(luò)斷等），由MX向深瀾服務(wù)器發(fā)送計(jì)費(fèi)結(jié)束包。深瀾業(yè)務(wù)支撐平臺(tái)便可根據(jù)計(jì)費(fèi)起始包、結(jié)束包按時(shí)長(zhǎng)、按流量進(jìn)行 實(shí)時(shí)計(jì)費(fèi)。采用這種方式，計(jì)費(fèi)數(shù)據(jù)相當(dāng)準(zhǔn)確。另外，由于MX及深瀾認(rèn)證計(jì)費(fèi)系統(tǒng)均為運(yùn)

13、營(yíng)商級(jí)設(shè)備，設(shè)備的處理能力，對(duì)用戶(hù)的 控制能力完全能夠滿(mǎn)足校園網(wǎng)網(wǎng)絡(luò)的需求，可以對(duì)每個(gè)用戶(hù)進(jìn)行帶寬限制，權(quán)限管理、 QoS等各種操作。并且，在使用 BRAS+PPPoE接入方式下，在接入層是一張大的二層網(wǎng) 絡(luò)，用戶(hù)間通過(guò)VLAN隔離，互相之間沒(méi)有影響，避免了 ARP病毒等問(wèn)題；同時(shí)，對(duì)校園 網(wǎng)的管理維護(hù)來(lái)說(shuō)，管理員只需要管理大的 BARSS備，接入層設(shè)備僅僅是二層接入，不 需要在接入設(shè)備上作負(fù)責(zé)設(shè)置，極大的減輕了管理員的維護(hù)工作量。PPPoEf式適合于需 要進(jìn)行精細(xì)控制與計(jì)費(fèi)的校園網(wǎng)客戶(hù)，如學(xué)生宿舍等。2.2 PPPOEA證過(guò)程PPPOEI證過(guò)程，首先用戶(hù)發(fā)起 PPPOE!接，包括PPPOE&

14、#174; LCP協(xié)商，同時(shí)將用戶(hù) 名發(fā)給 MX M戒起 access request 給 radius ,radius 驗(yàn)證用戶(hù)信息，回復(fù) access accept, 攜帶用戶(hù)接入策略，MXt用戶(hù)交互IPCP,獲得IP地址，同時(shí)將計(jì)費(fèi)信息發(fā)給radius 。2.3l.pppoed/LCPoffer/r9 questPPPO壞線過(guò)程5JPCPRequest/ACK6, eel-startWith “subn ID andclitniPXcctdM Up由怡2,Ac»ss(equ£s1wiffi session'id2, Access Accept witn pol

15、ity &SBAIPSfskn-IDMatching tableRadius Server4 generate參考IPOE下線過(guò)程，用戶(hù)主動(dòng)下線和管理員離線用戶(hù)通過(guò)DM信息實(shí)現(xiàn)，用戶(hù)異常下線在PPPOE keepalive超時(shí)后，由MX發(fā)名& radius記賬停止信息下線。2.4PPPO聿于用戶(hù)業(yè)務(wù)的流量計(jì)費(fèi)同 IPOE103 配置方法3.1 Filter 簡(jiǎn)介Filter非常關(guān)鍵，radius上所有使用的filter , BRAS必須定義，如果 BRASS有radius所調(diào)用的filter 用戶(hù)將無(wú)法認(rèn)證通過(guò)。深瀾和MX960 BRAS®定用白限速filter 為：

16、1 ） IPOE : I-4M,O-4M（ 一定大寫(xiě)），I-8M,O-8M等。（I,O為限速的兩個(gè)方向） pbr（小寫(xiě)），pbr為域認(rèn)證取地址后的策略。pbr為重定向filter 。2 ） PPPOE up4ml down4m（一定要小寫(xiě)）,up8m down8m#。 （up, down為限速的兩 個(gè)方向）3.1.1 Filter配置方法firewall Ifamily inet filter pbr #重定向 filter,interface-specific;term 5 from service-filter-hit;# 標(biāo) t已then accept;1term 20 #標(biāo)記認(rèn)證前開(kāi)始

17、的端口，UDP 53為DNS服務(wù)，如果不開(kāi)，客戶(hù)端打域名無(wú)法重定向from protocol udp;destination-port 53;,then accept;term 30 #訪問(wèn)radius webport服務(wù)器直通過(guò)。from destination-address 3/32;1,then routing-instance webport; term 40 #所有TCP80端口服務(wù)全部使用策略路由webport ,也就是數(shù)據(jù)全部扔到防火墻，讓防火墻做 目的地址轉(zhuǎn)換（重定向）。如果需要開(kāi)重定向前可以訪問(wèn)的服務(wù)，可以在這條前添加策略。（注：所有正常數(shù)據(jù)流通過(guò)

18、BRAS,直接轉(zhuǎn)發(fā)，重定向防火墻在 radius和bras中間，認(rèn)證后的正常數(shù)據(jù)流不通過(guò)重定向防火墻）from protocol tcp;destination-port 80;then ,routing-instance webport;1term 50 #拒絕其他數(shù)據(jù)流then discard;1 filter I-4M #IPOE的限速 filter 。iinterface-specific;term 30 then policer 4m;,accept;11#PPPOE up4m down4nW法相同。3.2 IPOE BRAS配置方法3.2.1 認(rèn)證服務(wù)器配置access profi

19、le sbr accounting-order radius;#計(jì)費(fèi)方式為 radiusauthentication-order radius;# 認(rèn)證方式為 radiusradius authentication-server 3;# 認(rèn)證服務(wù)器 IP 地址accounting-server 3;# 計(jì)費(fèi)服務(wù)器 IP 地址options #radius 參數(shù)ethernet-port-type-virtual;accounting-session-id-format decimal;vlan-nas-port-stacked-format;ra

20、dius-server #radius server 配置3 port 1812;accounting-port 1813;secret "$9$uhkGBRSvWxwYoreYoJGq.0BI" # SECRET-DATA source-address ;accounting #計(jì)費(fèi)配置order radius;, immediate-update;coa-immediate-update; update-interval 10; statistics volume-time; 3.2.2 dynamic-profiles

21、配置dynamic-profiles ' dhcp-demux #定義 IPOE vlan demux 接口routing-instances "$junos-routing-instance" ,interface "$junos-interface-name" any;11 interfaces demux0 unit "$junos-interface-unit" #生產(chǎn)動(dòng)態(tài)子接口,no-traps;proxy-arp unrestricted; ,demux-options underlying-interface &

22、quot;$junos-underlying-interface"#定義 demux 物理接口 family inet demux-source $junos-subscriber-ip-address;# 調(diào)用 DHC吩配的地址 filter input "$junos-input-filter" precedence 1;# 調(diào)用 radius 下發(fā)的 filteroutput "$junos-output-filter"precedence1;#調(diào)用 radius 下發(fā)的 filter1unnumbered-address"$j

23、unos-loopback-interface"preferred-source-address'"$junos-preferred-source-address"#調(diào)用 loopback IP 地址作為 DHC當(dāng)網(wǎng)關(guān)轉(zhuǎn)發(fā) family inet6 #IPV6 相關(guān)配置與 IPV4 同理。filter input "$junos-input-ipv6-filter" precedence 1; output "$junos-output-ipv6-filter" precedence 1; :demux-source

24、 "$junos-subscriber-ipv6-multi-address" Iunnumbered-address"$junos-loopback-interface"preferred-source-address"$junos-preferred-source-ipv6-address" jumper"NETWORKSIPOE-HEU-WLAN #定義不同的動(dòng)態(tài)配置，用于接口調(diào)用。interfaces 133.2.3"$junos-inteface-ifd-name” unit "$junos-i

25、nterface-unit” demux-source inet;vlan-tags outer "$junos-vlan-id" family inet mac-validate strict;unnumbered-address這里的地址與 DHCFB定。#接收接口的變量#子接口變量#接收接口終結(jié)的 vlanB簽#防止用戶(hù)私設(shè)IP地址lo0.0 preferred-source-address ;#調(diào)用的 lo0.0 的接口 IP,DHCP0明1) DHCP1證配置system services dhcp-local-server dhcpv6 #D

26、HCP IPV6 配置group 1 authentication #IPOE域認(rèn)證是所用的密碼，只有通過(guò)與深瀾認(rèn)證，才可下發(fā)地址#域認(rèn)證用戶(hù)名#調(diào)用dhcp-demux動(dòng)態(tài)配置#可以獲取IP的接口password Juniper6;username-include user-prefix Juniper6;dynamic-profile dhcp-demux;interface ge-8/2/0.0;interface ge-8/2/1.0;group 1 #DHCP IPV4 配置authentication password Juniper;username-include user-p

27、refix Juniper;dynamic-profile dhcp-demux;interface ge-8/2/0.0;interface ge-8/2/1.0;#地址池網(wǎng)段#地址池開(kāi)始地址#地址池結(jié)束地址#地址池超時(shí)時(shí)間#DNSfc址2) DHC地址池配置access pool ipoe #地址池名稱(chēng)family inet network 28/25;range 1 low 30;high 54; dhcp-attributes maximum-lease-time 43200;name-server 202.118

28、.176.2;router 29;#網(wǎng)關(guān)地址，lookback地址3.2.4 接口配置interfaces ge-8/2/0 flexible-vlan-tagging;#QINQ 封裝方式，flexible為單雙層都可以。speed 1g;auto-configure vlan-ranges dynamic-profile dhcp-wlan-vlan #調(diào)用 dhcp-wlan-vlan動(dòng)態(tài)配置accept inet;ranges #終結(jié)的 VLAN ID214-214;juniperWNETWORKS3.3 PPPOE BRAS己置方法3.3.1 認(rèn)證服務(wù)器配置a

29、ccess ' profile sbr , accounting-order radius;#計(jì)費(fèi)方式為 radiusauthentication-order radius;# 認(rèn)證方式為 radiusradius ' authentication-server 3;# 認(rèn)證服務(wù)器 IP 地址accounting-server 3;# 計(jì)費(fèi)服務(wù)器 IP 地址, options #radius 參數(shù)ethernet-port-type-virtual;accounting-session-id-format decimal;vlan

30、-nas-port-stacked-format; I , radius-server #radius server 配置1 3 port 1812;accounting-port 1813;secret "$9$uhkGBRSvWxwYoreYoJGq.0BI" # SECRET-DATA source-address ;2 ,accounting #計(jì)費(fèi)配置order radius;immediate-update;coa-immediate-update;update-interval 10;statistics vol

31、ume-time; I 3.3.2 dynamic-profiles 配置dynamic-profiles pppoe predefined-variable-defaults 繳認(rèn)下發(fā)的限速策略，在 radius未下發(fā)的限速策略時(shí)調(diào)用input-filter up4m;output-filter down4m;routing-instances "$junos-routing-instance" interface "$junos-interface-name" any;interfaces pp0 unit "$junos-interfac

32、e-unit” #動(dòng)態(tài)生成 pp 子接口ppp-options 'chap;pap；:pppoe-options underlying-interface "$junos-underlying-interface"#定義 pppoe 物理接口server;1keepalivesinterval 60; #keepalives 心跳報(bào)文，在非正常下線需要等待5次心跳報(bào)文，用戶(hù)才能,下線。family inet filter input "$junos-input-filter" precedence 20;# 動(dòng)態(tài)調(diào)用 filteroutput "$junos-output-filter" precedence 20;1unnumbered-address "$junos-loopback-interface"#借用 loopback 接口轉(zhuǎn)發(fā)數(shù)據(jù),familyinet6 address $junos-ipv6-address;11:, protocols router-advertisement interface "$junos-interface-nam