SR8812-X(7591P11) BRAS做IPoE WEB 无感知认证重定向配置问题
- 0关注
- 1收藏,1284浏览
问题描述:
BRAS技术专题的案例『IPoE Web 双栈用户 MAC 无感知认证配置举例』中配置重定向的qos policy时,需要匹配认证前域中带有user-group属性的用户的报文重定向到CPU,以完成MAC无感知认证。
此时qos policy中还有一条匹配前域用户动作是deny的CB对,在MAC无感知场景下,如果已经匹配所有前域的用户流量重定向至CPU,是否就不需要这条deny的CB对了?
以下是案例中配置举例:
######################################################
[BRAS] qos policy Web
# 为类指定对应的流行为,规则为对于用户组 Web 中的用户:
允许目的地址为 Portal 服务器和内网服务器 IP 地址的报文通过;
对于目的端口为 80(HTTP 报文)和 443(HTTPS 报文)的报文重定向到 CPU;
除上述报文外,其余报文都重定向到 CPU,如果重定向无感知认证失败,则丢弃报文。
[BRAS-qospolicy-Web] classifier Web_permit behavior Web_permit
[BRAS-qospolicy-Web] classifier neiwang behavior neiwang
[BRAS-qospolicy-Web] classifier Web_http behavior Web_http
[BRAS-qospolicy-Web] classifier Web_https behavior Web_https
[BRAS-qospolicy-Web] classifier ip_cpu behavior Web_cpu
[BRAS-qospolicy-Web] classifier ip_deny behavior Web_deny
[BRAS-qospolicy-Web] quit
######################################################
组网及组网描述:
如图 所示: Device 为某学校的一台 BRAS 设备, 为学校用户提供 IPoE 接入服务。 要求:
• DHCP Client 经由二层网络以 IPoE 方式接入到 BRAS 接入设备。
• BRAS 接入设备作为 DHCP 中继向远端 DHCP 服务器申请 IP 地址。
• 由一台安装了 H3C iMC 的服务器同时承担 Portal 认证服务器和 Portal Web 服务器的职责。
• 由一台支持 MAC 绑定功能的 RADIUS 服务器同时承担认证、授权和计费服务器以及 MAC 绑定服务器的职责。
• FTP server 是一台内网服务器。
- 2022-05-30提问
- 举报
-
(0)
deny 动作是认证不通过在认证前域的时候拒绝流量,认证前域只允许portal dns等地址
- 2022-05-30回答
- 评论(1)
- 举报
-
(0)
这个作用能理解,但是现在有重定向到CPU的这个CB对,匹配的就是所有前域中对应user-group的流量,deny这条CB对匹配的也是这个,这样是不是就匹配不到deny这条了?
是不是流量就匹配不到最后一条deny的CB对?
置举例如下 :
# 配置类 ip_cpu,匹配 ACL ip。
[BRAS] traffic classifier ip_cpu operator or
[BRAS-classifier-ip_cpu] if-match acl name ip
[BRAS-classifier-ip_cpu] if-match acl ipv6 name ip
# 配置类 ip_deny,匹配 ACL ip。
[BRAS] traffic classifier ip_deny operator or
[BRAS-classifier-ip_deny] if-match acl name ip
[BRAS-classifier-ip_deny] if-match acl ipv6 name ip
# 配置流行为 Web_cpu,对用户组 Web 中用户的所有 IP 报文都重定向到 CPU。
[BRAS] traffic behavior Web_cpu
[BRAS-behavior-Web_cpu] redirect cpu
[BRAS-behavior-Web_cpu] quit
# 配置流行为 Web_deny,禁止用户组 Web 中用户的所有 IP 报文通过。
[BRAS] traffic behavior Web_deny
[BRAS-behavior-Web_deny] filter deny
[BRAS-behavior-Web_deny] free account
[BRAS-behavior-Web_deny] quit
# 配置入方向 QoS 策略 Web
[BRAS] qos policy Web
# 为类指定对应的流行为,规则为对于用户组 Web 中的用户:
允许目的地址为 Portal 服务器和内网服务器 IP 地址的报文通过;
对于目的端口为 80(HTTP 报文)和 443(HTTPS 报文)的报文重定向到 CPU;
除上述报文外,其余报文都重定向到 CPU,如果重定向无感知认证失败,则丢弃报文。
[BRAS-qospolicy-Web] classifier Web_permit behavior Web_permit
[BRAS-qospolicy-Web] classifier neiwang behavior neiwang
[BRAS-qospolicy-Web] classifier Web_http behavior Web_http
[BRAS-qospolicy-Web] classifier Web_https behavior Web_https
[BRAS-qospolicy-Web] classifier ip_cpu behavior Web_cpu
[BRAS-qospolicy-Web] classifier ip_deny behavior Web_deny
- 2022-05-30回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
现在有重定向到CPU的这个CB对,匹配的就是所有前域中对应user-group的流量,deny这条CB对匹配的也是这个,这样是不是就匹配不到deny这条了。