• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-BRAS业务配置指导

目录

06-EDSG业务配置

本章节下载 06-EDSG业务配置  (258.52 KB)

06-EDSG业务配置


1 EDSG业务策略

1.1  EDSG业务策略简介

EDSG是Enhanced Dynamic Service Gateway的简称,是一种将用户的一路流量单独标识出来并独立限速、计费和管理的业务模式。

用户通过RADIUS认证后,若RADIUS服务器为用户授权了EDSG业务策略,设备将使用下发的EDSG业务策略名称查询本地配置的EDSG业务策略,并使用该策略中定义的业务参数对用户提供基于业务的差别化服务:

·     独立认证:对用户的EDSG业务采用独立的认证方案,与用户接入时采用的认证方案不同。RADIUS服务器向用户下发EDSG业务策略后,设备将采向策略中指定的RADIUS服务器发起EDSG业务认证,从而为用户获得相应的EDSG业务授权信息。若下发的EDSG业务策略携带了用户名和密码,则使用该用户名和密码进行EDSG业务认证;否则使用用户上线时的用户名和密码进行EDSG业务认证。

·     独立计费:对用户的EDSG业务流量采用独立的计费方案,与对普通业务流量采用的计费方案不同。例如,Internet外网流量费用与内网流量费用差异很大,可以将用户的内外网流量按照业务区分开来,使其按照不同的费率级别分别计费。

·     独立限速:对用户EDSG业务采用独立的限速策略。例如,用户订购某网站的在线视频业务后,服务提供商通过为此用户授权相应的EDSG业务策略,对此业务进行独立计费,并且在网络拥塞的情况下,优先保证用户访问该视频网站的流量。

·     动态授权:可以根据用户的业务需求,为用户单独授权指定的EDSG业务策略,或者同时授权多个不同的EDSG业务策略。在用户停止使用某项服务的时候,可以动态取消该EDSG业务的授权。

1.2  EDSG业务策略配置限制和指导

本特性仅在standard工作模式下支持。有关系统工作模式的介绍,请参见“基础配置指导”中的“设备管理”。

仅SPEX类单板、CSPEX类单板(CSPEX-1104-E除外)、CEPC类单板支持EDSG业务策略,且仅IPoE用户(静态个人接入用户、未知源个人接入用户、DHCP个人接入用户和IPoE Web认证接入用户)、PPPoE类型的用户支持EDSG业务策略的应用。

对于同一个用户,配置EDSG业务策略时,有如下注意事项:

·     如果RADIUS服务器同时下发了ITA业务策略和EDSG业务策略,则仅ITA业务策略生效;如果RADIUS服务器仅下发了EDSG业务策略,则EDSG业务策略生效。

·     EDSG业务策略和接口入方向限速(配置qos lr inbound命令)不能同时生效,且EDSG业务策略优先级高。

·     EDSG业务策略和部分基于用户的QoS策略不能同时配置。

¡     EDSG业务策略和基于用户的流量整形(User Profile视图下配置qos gts命令)不能同时配置。

¡     EDSG业务策略和指定上线用户流量进入队列(User Profile视图下配置qos queue命令)不能同时配置。

¡     EDSG业务策略和在User Profile出方向配置调度权重(User Profile视图下配置qos weight outbound命令)不能同时配置。

¡     EDSG业务策略和队列调度策略(User Profile视图下配置qos apply qmprofile命令)不能同时应用。

¡     对于不同的EDSG业务策略,EDSG双栈业务流量独立限速功能(rate-limit dual-stack separate命令)的开启状态要配置相同,否则新配置的EDSG业务策略无法生效。

对于同一个用户,请不要同时配置EDSG业务策略和部分基于接口应用QoS策略(接口视图下配置qos apply scheduler-policy命令)。

关于RADIUS服务器为用户授权EDSG业务策略,有如下注意事项:

·     若RADIUS服务器同时下发了多个EDSG业务策略,且多个策略的业务ID不冲突,则多个策略可同时生效。若下发的多个EDSG业务策略中存在业务ID相同的业务策略,则相同业务ID的策略中能够首先成功发起EDSG业务认证的那条策略生效。

·     用户的EDSG业务认证成功后,若RADIUS服务器为该业务授权了流量限速参数,则授权给该用户的EDSG业务策略下配置的流量限速参数不会生效。

·     设备仅支持RADIUS服务器通过私有属性H3C-AV-Pair和Cisco-AVPair下发的EDSG业务策略名称以及用户名和密码信息。若RADIUS服务器通过其它属性下发了EDSG策略信息,则需要在设备开启RADIUS属性转换功能来完成属性转换和解析。

·     RADIUS服务器下发的EDSG业务策略中携带的用户名长度不能超过253,携带的PPP用户密码长度不能超过128,携带的IPoE用户密码长度不能超过64。

·     若RADIUS服务器给用户下发了多个EDSG业务策略,则要求所有EDSG业务策略中的双栈业务流量独立限速模式必须相同。

以下情况发生时,用户的EDSG业务将会停止:

·     设备与EDSG业务策略使用的RADIUS服务器之间路由不可达。

·     用户的EDSG业务流量耗尽。

·     用户的EDSG业务在线时长耗尽。

·     EDSG业务计费开始或计费更新过程失败。

·     用户的主业务会话下线。

配置EDSG业务流量限速模式时,有如下注意事项:

·     对于同一个用户,EDSG业务流量带内限速和以下用户组QoS策略不能同时生效,EDSG带内限速优先级高。

¡     Session Group Profile下流量整形(Session Group Profile视图下配置qos gts命令)

¡     Session Group Profile出方向调度权重(配置qos weight outbound命令)

¡     Session Group Profile上应用队列调度策略(配置qos apply qmprofile命令)

·     同时配置EDSG业务流量带内限速和用户优先级(配置authorization-attribute user-priority命令)时,上行流量限速的EDSG业务策略(配置car inbound命令)和用户优先级可以同时生效,下行流量限速的EDSG业务策略(配置car outbound命令)和用户优先级不能同时生效,且下行流量限速的EDSG业务策略优先生效。

·     配置EDSG业务流量限速模式为带内限速时,不建议配置端口优先级信任模式(配置qos trust命令)、配置CBQ队列、重新标记报文的本地优先级(配置remark local-precedence命令)、重新标记流所属的转发类(配置remark forwarding-class命令)、重新标记报文的QoS本地ID(配置remark qos-local-id命令),否则可能会导致EDSG业务策略不生效。关于配置CBQ队列的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。

·     当EDSG业务流量限速模式不同时,不同单板上可创建的EDSG业务策略情况各不相同,如表1-1所示

表1-1 EDSG业务策略创建限制

EDSG业务策略

带外限速

带内限速

CSPEX类单板(CSPEX-1104-E除外)和CEPC类单板

CSPEX类单板(CSPEX-1104-E除外)和CEPC类单板

可创建的策略ID值

1~4

1~4

策略个数

1~4个

1~4个

策略生效优先级

各策略优先级相同

策略ID值越大,优先级越高

 

关于EDSG业务流量限速模式的详细介绍,请参见“BRAS业务配置指导”的“AAA”。

1.3  配置EDSG业务策略

1.3.1  配置准备

需要在对用户进行接入认证的RADIUS服务器上指定下发给用户的EDSG业务策略。若还要求设备使用专门的用户名和密码对用户发起EDSG业务认证,则需要同时在RADIUS服务器上指定下发给用户的EDSG认证用户名和密码。

若需要对用户的EDSG业务进行独立认证、授权和计费,则需要独立配置EDSG业务应用的认证、授权和计费方案。

1.3.2  配置步骤

(1)     进入系统视图。

system-view

(2)     创建EDSG业务策略,并进入EDSG业务策略视图。

service policy policy-name

(3)     指定EDSG业务ID。

service-id number

缺省情况下,未配置EDSG业务ID。

一个EDSG业务策略视图下,只能指定一个业务ID。

(4)     (可选)指定EDSG业务使用的认证方案。

authentication-method { none | radius-scheme radius-scheme-name [ none ] }

缺省情况下,不对EDSG业务进行认证。

(5)     (可选)指定EDSG业务使用的计费方案。

accounting-method { none | radius-scheme radius-scheme-name [ none ] }

缺省情况下,不对EDSG业务进行计费。

(6)     (可选)配置EDSG业务流量限速模式。

service rate-limit mode { merge | separate }

缺省情况下,采用ISP域视图下配置的EDSG业务流量限速模式。

ISP域视图和EDSG业务策略视图下均可以配置EDSG业务流量限速模式,EDSG业务策略视图下的配置优先级高。

(7)     (可选)配置EDSG业务流量限速参数。

car { inbound | outbound } cir cir-value [ pir pir-value ] [ cbs cbs-value ] [ ebs ebs-value ]

缺省情况下,未配置EDSG流量限速参数。

(8)     (可选)配置EDSG业务流量统计策略。

traffic statistics { merge | separate }

缺省情况下,EDSG业务流量与用户总流量分开统计。

(9)     (可选)开启EDSG双栈业务流量独立限速功能。

rate-limit dual-stack separate

缺省情况下,EDSG双栈业务流量独立限速功能处于关闭状态,即对用户的IPv4业务流量和IPv6业务流量合并起来进行限速。

此功能仅在EDSG业务流量限速模式为带内限速时有效(带内限速模式可通过ISP域视图或EDSG业务策略下的service rate-limit mode merge命令设置)。

1.4  EDSG业务策略显示和维护

完成上述配置后,在任意视图下执行display命令可以显示EDSG业务策略的配置信息。

表1-2 EDSG业务策略显示和维护

操作

命令

显示EDSG业务策略的配置信息

display service policy [ policy-name ]

 

1.5  EDSG业务策略典型配置举例

说明

CSPEX类单板(CSPEX-1104-E除外)和CEPC类单板

支持配置本举例。

 

1. 组网需求

·     用户主机经由三层网络接入IPoE设备Router。

·     访问Web server的用户业务报文需要进行EDSG业务处理。

·     采用RADIUS server1作为普通业务的认证、授权和计费服务器。

·     采用RADIUS server2作为EDSG业务的认证、授权和计费服务器。

·     由RADIUS server2下发EDSG业务的流量监管参数。

2. 组网图

图1-1 IPoE支持EDSG业务配置组网图

 

3. 配置RADIUS服务器

说明

·     本例以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。

·     在Free Radius服务器上,同一个RADIUS属性对于同一个用户只能配置一次。若EDSG业务策略下发时还需要携带用户名和密码,则需要通过其它属性代替它下发EDSG策略用户名和密码,然后在设备上通过RADIUS属性转换功能将替代的属性转换为设备可解析的属性。

·     EDSG业务策略下发时携带的用户名长度不能超过253,携带的PPP用户密码长度不能超过128,携带的IPoE用户密码长度不能超过64。

 

# 分别在RADIUS server1和RADIUS server2上配置RADIUS客户端信息。

在clients.conf文件中增加如下信息:

client 4.4.4.2/32 {

ipaddr = 4.4.4.2

netmask=32

secret=radius

}

client 5.5.5.2/32 {

ipaddr = 5.5.5.2

netmask=32

secret=radius

}

 

# 在RADIUS server1的users文件中增加如下用户信息:

2.2.2.2 Cleartext-Password :="radius"

H3C-AV-Pair := "edsg-policy:activelist=sp1",

Cisco-AVPair := "edsg-policy:username=[sp1]edsg",

H3c-Server-String := "edsg-policy:password=[sp1]abc"

以上信息表示,用户2.2.2.2的接入认证密码为radius,授权的EDSG业务策略名称为sp1,EDSG业务认证使用的用户名为edsg、密码为abc。

# 在RADIUS server2的users文件中增加如下用户信息:

edsg Cleartext-Password := "abc"

H3c-Input-Average-Rate := 700000,

H3c-Input-Peak-Rate := 800000,H3C-Output-Average-Rate = 1000003,

H3C-Output-Peak-Rate = 1000004

以上信息表示,用户edsg的接入认证密码为abc,授权CAR参数为入方向的承诺信息速率为700000bps,入方向的峰值信息速率为800000bps,出方向的承诺信息速率为为1000003 bps、出方向的峰值信息速率为为1000004bps。

4. 配置Router

(1)     配置各接口IP地址,具体配置步骤略

(2)     配置RADIUS方案

# 创建名称为rs1的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server1作为认证、授权和计费服务器。

<Router> system-view

[Router] radius scheme rs1

# 配置主认证和主计费服务器及其通信密钥。

[Router-radius-rs1] primary authentication 4.4.4.1

[Router-radius-rs1] primary accounting 4.4.4.1

[Router-radius-rs1] key authentication simple radius

[Router-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

# 开启RADIUS属性解释功能,并配置将收到的H3c-Server-String属性转换为H3c-AVPair。

[Router-radius-rs1] attribute translate

[Router-radius-rs1] attribute convert H3c-Server-String to H3c-AVPair received

[Router-radius-rs1] quit

# 创建名称为rs2的RADIUS方案并进入该方案视图,该方案用于指定RADIUS server2作为EDSG业务认证、授权和计费服务器。

[Router] radius scheme rs2

# 配置主认证服务器及其通信密钥。

[Router-radius-rs2] primary authentication 5.5.5.1

[Router-radius-rs2] key authentication simple radius

# 配置主计费服务器及其通信密钥。

[Router-radius-rs2] primary accounting 5.5.5.1

[Router-radius-rs2] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router-radius-rs1] user-name-format without-domain

[Router-radius-rs1] quit

(3)     配置EDSG业务策略

# 创建EDSG业务策略sp1。

[Router] service policy sp1

# 配置EDSG业务使用的认证方案为rs2。

[Router-service-policy-sp1] authentication-method radius-scheme rs2

# 配置EDSG业务使用的计费方案为rs2。

[Router-service-policy-sp1] accounting-method radius-scheme rs2

# 配置EDSG业务ID为1。

[Router-service-policy-sp1] service-id 1

[Router-service-policy-sp1] quit

(4)     配置认证域

# 创建并进入名称为dm1的ISP域。

[Router] domain name dm1

# 配置IPoE用户认证/授权/计费均使用的RADIUS方案rs1。

[Router-isp-dm1] authentication ipoe radius-scheme rs1

[Router-isp-dm1] authorization ipoe radius-scheme rs1

[Router-isp-dm1] accounting ipoe radius-scheme rs1

[Router-isp-dm1] quit

(5)     配置IPoE认证

# 进入接口GigabitEthernet3/1/1视图。

[Router] interface gigabitethernet 3/1/1

# 使能IPoE功能,并指定三层接入模式。

[Router–GigabitEthernet3/1/1] ip subscriber routed enable

# 使能未知源IP报文触发方式。

[Router–GigabitEthernet3/1/1] ip subscriber initiator unclassified-ip enable

# 设置未知源IP报文触发方式使用的认证域为dm1。

[Router–GigabitEthernet3/1/1] ip subscriber unclassified-ip domain dm1

# 设置动态用户的认证密码为明文radius。

[Router–GigabitEthernet3/1/1] ip subscriber password plaintext radius

[Router–GigabitEthernet3/1/1] quit

(6)     配置QoS策略

# 配置ACL 3000,对发送给Web server的报文进行分类。

[Router] acl advanced 3000

[Router-acl-ipv4-adv-3000] rule 0 permit ip destination 1.1.1.1 0

[Router-acl-ipv4-adv-3000] quit

# 配置ACL 3001,对来自Web server的报文进行分类。

[Router] acl advanced 3001

[Router-acl-ipv4-adv-3001] rule 0 permit ip source 1.1.1.1 0

[Router-acl-ipv4-adv-3001] quit

# 定义类sp1,匹配ACL 3000。

[Router] traffic classifier sp1

[Router-classifier-sp1] if-match acl 3000

[Router-classifier-sp1] quit

# 定义类sp2,匹配ACL 3001。

[Router] traffic classifier sp2

[Router-classifier-sp2] if-match acl 3001

[Router-classifier-sp2] quit

# 定义流行为sp1,并将报文的EDSG业务ID标记为1。

[Router] traffic behavior sp1

[Router-behavior-sp1] remark service-id 1

[Router-behavior-sp1] quit

# 定义流行为sp2,并将报文的EDSG业务ID标记为1。

[Router] traffic behavior sp2

[Router-behavior-sp2] remark service-id 1

[Router-behavior-sp2] quit

# 配置QoS策略sp1,为类sp1指定流行为sp1。

[Router] qos policy sp1

[Router-qospolicy-sp1] classifier sp1 behavior sp1

[Router-qospolicy-sp1] quit

# 配置QoS策略sp2,为类sp2指定流行为sp2。

[Router] qos policy sp2

[Router-qospolicy-sp2] classifier sp2 behavior sp2

[Router-qospolicy-sp2] quit

# 在接口入方向上应用QoS策略。

[Router] interface gigabitethernet 3/1/1

[Router–GigabitEthernet3/1/1] qos apply policy sp1 inbound

[Router–GigabitEthernet3/1/1] qos apply policy sp2 outbound

[Router–GigabitEthernet3/1/1] quit

5. 验证配置

用户认证通过之后,可以通过display ip subscriber session verbose显示命令查看到IPoE在线用户的详细信息,其中包括EDSG业务信息。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们