问
BRAS下分配给企业静态公网IP,如何让raidus服务器进行3A
2026-02-11提问
- 0关注
- 0收藏,346浏览
问题描述:
各位大佬,现在组网如下,路由器作为BRAS连接RA服务器,要做绑定静态公网IP给企业用户设备,有什么配置让RAD服务器或者路由器对这些公网IP进行监管,3A呢
我的想法是做PPPOE,公网DHCP地址池,地址池绑定企业用户拨号的MAC,还有其他办法吗
组网及组网描述:
根据您的组网图和需求,华三BRAS上通过RADIUS服务器对企业分配的静态公网IP进行3A认证(认证、授权、计费),有多种实现方式。下面详细介绍几种主流方案:
一、总体方案对比
方案 | 适用场景 | 优点 | 缺点 |
|---|---|---|---|
PPPoE + RADIUS | 企业专线拨号接入 | 安全性高、认证可靠、支持3A完整 | 需要客户端支持PPPoE |
IPoE + RADIUS | 企业固定IP专线 | 无需客户端拨号、配置简单 | 基于端口/MAC认证,安全性稍低 |
Portal认证 | 临时访客接入 | 用户无需客户端、Web页面认证 | 不适合企业专线场景 |
二、PPPoE方案详细配置(推荐)
这是最成熟的企业专线接入方案,您的想法完全可行。
1. BRAS设备配置
# 1. 配置公网地址池
ip pool public-pool
gateway-list 111.8.0.1
network 111.8.0.0 mask 255.255.255.0
forbidden-ip 111.8.0.1
# 可以绑定特定MAC分配固定IP
static-bind ip-address 111.8.0.10 hardware-address 0001-0203-0405
static-bind ip-address 111.8.0.11 hardware-address 0002-0304-0506
# 2. 配置RADIUS方案
radius scheme radius1
primary authentication 10.0.0.1 # RADIUS服务器IP
primary accounting 10.0.0.1
key authentication cipher h3c@123
key accounting cipher h3c@123
user-name-format with-domain # 带域名认证
accounting-on enable # 启用计费
# 3. 配置认证域
domain public-domain
authentication ppp radius-scheme radius1
authorization ppp radius-scheme radius1
accounting ppp radius-scheme radius1
ip pool public-pool # 关联地址池
# 4. 配置虚拟模板(PPPoE服务器)
interface Virtual-Template 1
ppp authentication-mode chap domain public-domain
ip address 111.8.0.1 255.255.255.0
remote address pool public-pool
ppp ipcp dns 114.114.114.114
ppp keepalive interval 30
# 5. 在企业侧接口启用PPPoE
interface GigabitEthernet0/1 # 连接企业的接口
pppoe-server bind virtual-template 1
mac-authentication # 可选,MAC认证
# 6. NAT转换(如果需要)
acl advanced 3000
rule 0 permit ip source 111.8.0.0 0.0.0.255
interface GigabitEthernet0/2 # 外网接口
nat outbound 30002. RADIUS服务器配置(以FreeRADIUS为例)
# /etc/freeradius/3.0/users
# 企业用户配置
"company1@public-domain" Cleartext-Password := "password123"
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 111.8.0.10, # 分配固定IP
Framed-IP-Netmask = 255.255.255.255,
Acct-Interim-Interval = 600, # 计费间隔10分钟
# 计费策略
H3C-Input-Average-Rate = 10000000, # 10Mbps
H3C-Output-Average-Rate = 10000000
# 基于MAC地址的用户
"000102030405" Cleartext-Password := "macpass"
Calling-Station-Id = "00-01-02-03-04-05",
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 111.8.0.10三、IPoE + MAC认证方案
如果企业设备不支持PPPoE,可采用IPoE+MAC认证:
1. BRAS配置
# 1. 配置接口认证
interface GigabitEthernet0/1 # 企业接入端口
ip subscriber l2-connected enable # 启用二层接入
ip subscriber authentication-method web # 或使用mac认证
# 2. 配置MAC认证
mac-authentication
domain public-domain
interface GigabitEthernet0/1
mac-authentication
mac-authentication domain public-domain
# 3. 配置RADIUS计费
radius session-control enable
radius accounting-on enable
# 4. Portal认证(可选,需要Web认证时)
portal enable
portal server portal1
ip 10.0.0.1 key cipher h3c@123
portal free-rule 0 source ip 10.0.0.0 0.0.0.255
interface GigabitEthernet0/1
portal apply server portal1
portal domain public-domain2. 静态IP绑定到MAC地址
# 静态绑定MAC到IP(免认证)
interface GigabitEthernet0/1
ip source binding ip-address 111.8.0.10 mac-address 0001-0203-0405
ip source binding ip-address 111.8.0.11 mac-address 0002-0304-0506四、RADIUS服务器监管配置
RADIUS服务器通过以下属性实现3A监管:
1. 认证(Authentication)
- 用户名/密码认证
- MAC地址认证
- 证书认证
2. 授权(Authorization)
# RADIUS返回的属性
Framed-IP-Address = 111.8.0.10 # 分配固定IP
Framed-IP-Netmask = 255.255.255.255
Filter-Id = "acl-100" # 访问控制列表
Session-Timeout = 86400 # 会话超时时间
Idle-Timeout = 1800 # 空闲超时
# 华三专有属性
H3C-Input-Average-Rate = 10000000 # 入方向平均速率 10Mbps
H3C-Output-Average-Rate = 10000000 # 出方向平均速率
H3C-Input-Peak-Rate = 20000000 # 峰值速率
H3C-Output-Peak-Rate = 200000003. 计费(Accounting)
# BRAS发送给RADIUS的计费信息
Acct-Status-Type = Start/Interim-Update/Stop
Acct-Session-Id = "唯一会话ID"
Acct-Session-Time = 3600 # 会话时长
Acct-Input-Octets = 1048576 # 输入字节数
Acct-Output-Octets = 2097152 # 输出字节数
Acct-Input-Packets = 1000 # 输入包数
Acct-Output-Packets = 2000 # 输出包数
Framed-IP-Address = 111.8.0.10 # 使用的IP地址
Calling-Station-Id = "MAC地址" # 用户MAC
NAS-IP-Address = 10.210.0.1 # BRAS地址五、华三iMC RADIUS服务器配置
如果使用华三iMC作为RADIUS服务器:
- 添加接入设备
- 设备IP:10.210.0.1(BRAS)
- 共享密钥:与BRAS配置一致
- 设备类型:选择H3C设备
- 配置接入策略
- 创建接入服务:设置认证协议(PAP/CHAP)
- 绑定接入设备
- 配置接入用户
- 用户账号:company1@public-domain
- 密码策略
- IP地址绑定:111.8.0.10
- 带宽策略:上传/下载速率限制
- 访问时间:设置允许访问时间段
- 配置计费策略
- 实时计费间隔:10分钟
- 计费方式:时长+流量
- 阈值告警:流量超限告警
六、故障排查命令
# 查看用户在线状态
display ip subscriber session all
# 查看PPPoE用户
display ppp access-user
# 查看MAC认证用户
display mac-authentication
# 查看RADIUS服务器状态
display radius scheme radius1
# 查看计费信息
display connection statistics
display accounting session
# 调试认证过程
debugging radius all
debugging ppp all
terminal monitor
terminal debugging七、其他方案建议
方案一:VLAN+QoS+静态IP(最简单)
# 每个企业一个VLAN
vlan 100
name company1
interface GigabitEthernet0/1.100
ip address 111.8.0.1 255.255.255.252
qos car outbound cir 10000 # 限速10M
# RADIUS只做认证,IP静态配置方案二:DHCP Option 82 + RADIUS
# 启用DHCP Option 82
dhcp enable
dhcp server relay information enable
interface GigabitEthernet0/1
dhcp select relay
dhcp relay server-address 10.0.0.2 # DHCP服务器
# RADIUS根据Option 82信息分配策略八、最佳实践建议
- PPPoE方案:最推荐,技术成熟,支持完整的3A功能
- MAC绑定:对于小型企业,可以在BRAS上直接静态绑定
- 带宽控制:一定要在RADIUS或BRAS上配置QoS策略
- 定期审计:定期检查RADIUS日志,监控异常登录
您的"PPPoE + 公网DHCP地址池 + MAC绑定"思路是正确的,这是运营商常用的企业专线接入方案。配置完成后,可以实现:
- 企业通过PPPoE拨号获取固定公网IP
- RADIUS服务器完成认证、授权、计费
- 基于MAC的二次验证(可选)
- 完整的流量监控和审计
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论