发布时间 : 星期日 文章MX960BRAS配置手册更新完毕开始阅读11dd4b05ae45b307e87101f69e3143323968f588
3 配置方法
3.1 Filter 简介
Filter非常关键,radius上所有使用的filter,BRAS中必须定义,如果BRAS没有radius所调用的filter用户将无法认证通过。 深澜和MX960 BRAS 预定用的限速filter为:
1) IPOE : I-4M,O-4M(一定大写),I-8M,O-8M等。(I,O为限速的两个方向) pbr(小写),pbr为域认证取地址后的策略。pbr为重定向filter。 2) PPPOE:up4m,down4m(一定要小写),up8m,down8m等。(up,down为限速的两个方向)
3.1.1 Filter配置方法
firewall {
family inet {
filter pbr {#重定向filter interface-specific; term 5 { from {
service-filter-hit; #标记 }
then accept; }
term 20 {#标记认证前开始的端口,UDP 53为DNS服务,如果不开,客户端打域名无法重定向。 from {
protocol udp;
destination-port 53; }
then accept; }
term 30 {#访问radius webport服务器直通过。 from {
destination-address { 172.16.108.13/32; } }
then {
routing-instance webport; } }
term 40 {#所有TCP 80端口服务全部使用策略路由 webport,也就是数据全部扔到防火墙,让防火墙做目的地址转换(重定向)。如果需要开重定向前可以访问的服务,可以在这条前添加策略。(注:所有正常数据流通过BRAS直接转发,重定向防火墙在radius和bras中间,认证后的正常数据流不通过重定向防火墙)
8
from {
protocol tcp;
destination-port 80; }
then {
routing-instance webport; } }
term 50 {#拒绝其他数据流 then {
discard; } } }
filter I-4M {#IPOE的限速filter。 interface-specific; term 30 { then {
policer 4m; accept; } }
}#PPPOE up4m,down4m写法相同。
3.2 IPOE BRAS配置方法
3.2.1 认证服务器配置
access {
profile sbr {
accounting-order radius; #计费方式为radius authentication-order radius;#认证方式为radius radius {
authentication-server 172.16.108.13;#认证服务器IP地址 accounting-server 172.16.108.13;#计费服务器IP地址 options {#radius参数
ethernet-port-type-virtual;
accounting-session-id-format decimal; vlan-nas-port-stacked-format; } }
radius-server {#radius server配置 172.16.108.13 { port 1812;
accounting-port 1813;
secret \ source-address 222.27.244.1; } }
accounting {#计费配置 order radius;
immediate-update;
coa-immediate-update; update-interval 10; statistics volume-time;
9
} }
3.2.2 dynamic-profiles配置
dynamic-profiles {
dhcp-demux { #定义IPOE vlandemux接口 routing-instances {
\
interface \ any; } } }
interfaces { demux0 {
unit \#生产动态子接口 no-traps;
proxy-arp unrestricted; demux-options {
underlying-interface \#定义demux物理接口 }
family inet {
demux-source {
$junos-subscriber-ip-address; #调用DHCP分配的地址 } filter {
input \ #调用radius下发的filter output \#调用radius下发的filter }
unnumbered-address \preferred-source-address \#调用loopback IP地址作为DHCP与网关转发 }
family inet6 {#IPV6 相关配置与IPV4同理。 filter {
input \ output \ }
demux-source {
\ }
unnumbered-address \preferred-source-address \ } } } } }
IPOE-HEU-WLAN {#定义不同的动态配置,用于接口调用。 interfaces {
\#接收接口的变量 unit \#子接口变量 demux-source inet;
vlan-tags outer \#接收接口终结的VLAN标签 family inet {
10
mac-validate strict;#防止用户私设IP地址
unnumbered-address lo0.0 preferred-source-address 10.128.0.1;#调用的lo0.0的接口IP,这里的地址与DHCP绑定。 } } } } } }
3.2.3 DHCP配置
1)DHCP认证配置
system {
services {
dhcp-local-server {
dhcpv6 {#DHCP IPV6配置 group 1 {
authentication {
password Juniper6;#IPOE 域认证是所用的密码,只有通过与深澜认证,才可下发地址 username-include {
user-prefix Juniper6;#域认证用户名 } }
dynamic-profile dhcp-demux;#调用dhcp-demux动态配置 interface ge-8/2/0.0;#可以获取IP的接口 interface ge-8/2/1.0; } }
group 1 {#DHCP IPV4配置 authentication {
password Juniper; username-include { user-prefix Juniper; } }
dynamic-profile dhcp-demux; interface ge-8/2/0.0; interface ge-8/2/1.0; } }
}
2)DHCP地址池配置
access {
pool ipoe {#地址池名称 family inet {
network 222.27.244.128/25;#地址池网段 range 1 {
low 222.27.244.130;#地址池开始地址 high 222.27.244.254;#地址池结束地址 }
11