• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SR8812-X(7591P11) BRAS做IPoE WEB 无感知认证重定向配置问题

2022-05-30提问
  • 0关注
  • 1收藏,1880浏览
粉丝:0人 关注:2人

问题描述:

    BRAS技术专题的案例『IPoE Web 双栈用户 MAC 无感知认证配置举例』中配置重定向的qos policy时,需要匹配认证前域中带有user-group属性的用户的报文重定向到CPU,以完成MAC无感知认证。

    此时qos policy中还有一条匹配前域用户动作是deny的CB对,在MAC无感知场景下,如果已经匹配所有前域的用户流量重定向至CPU,是否就不需要这条deny的CB对了?

    以下是案例中配置举例:

######################################################

[BRAS] qos policy Web
# 为类指定对应的流行为,规则为对于用户组 Web 中的用户:
允许目的地址为 Portal 服务器和内网服务器 IP 地址的报文通过;
对于目的端口为 80(HTTP 报文)和 443(HTTPS 报文)的报文重定向到 CPU;
除上述报文外,其余报文都重定向到 CPU,如果重定向无感知认证失败,则丢弃报文。
[BRAS-qospolicy-Web] classifier Web_permit behavior Web_permit
[BRAS-qospolicy-Web] classifier neiwang behavior neiwang
[BRAS-qospolicy-Web] classifier Web_http behavior Web_http
[BRAS-qospolicy-Web] classifier Web_https behavior Web_https
[BRAS-qospolicy-Web] classifier ip_cpu behavior Web_cpu
[BRAS-qospolicy-Web] classifier ip_deny behavior Web_deny
[BRAS-qospolicy-Web] quit

 ######################################################


组网及组网描述:


如图 所示: Device 为某学校的一台 BRAS 设备, 为学校用户提供 IPoE 接入服务。 要求:
• DHCP Client 经由二层网络以 IPoE 方式接入到 BRAS 接入设备。
• BRAS 接入设备作为 DHCP 中继向远端 DHCP 服务器申请 IP 地址。
• 由一台安装了 H3C iMC 的服务器同时承担 Portal 认证服务器和 Portal Web 服务器的职责。
• 由一台支持 MAC 绑定功能的 RADIUS 服务器同时承担认证、授权和计费服务器以及 MAC 绑定服务器的职责。
• FTP server 是一台内网服务器。


最佳答案

粉丝:103人 关注:0人

您好,还是需要的

现在有重定向到CPU的这个CB对,匹配的就是所有前域中对应user-group的流量,deny这条CB对匹配的也是这个,这样是不是就匹配不到deny这条了。

Anubarak 发表时间:2022-05-30 更多>>

现在有重定向到CPU的这个CB对,匹配的就是所有前域中对应user-group的流量,deny这条CB对匹配的也是这个,这样是不是就匹配不到deny这条了。

Anubarak 发表时间:2022-05-30
2 个回答
粉丝:0人 关注:1人

deny 动作是认证不通过在认证前域的时候拒绝流量,认证前域只允许portal dns等地址

这个作用能理解,但是现在有重定向到CPU的这个CB对,匹配的就是所有前域中对应user-group的流量,deny这条CB对匹配的也是这个,这样是不是就匹配不到deny这条了?

Anubarak 发表时间:2022-05-30 更多>>

这个作用能理解,但是现在有重定向到CPU的这个CB对,匹配的就是所有前域中对应user-group的流量,deny这条CB对匹配的也是这个,这样是不是就匹配不到deny这条了?

Anubarak 发表时间:2022-05-30
粉丝:0人 关注:2人

是不是流量就匹配不到最后一条deny的CB对?

置举例如下 :

# 配置类 ip_cpu,匹配 ACL ip。
[BRAS] traffic classifier ip_cpu operator or
[BRAS-classifier-ip_cpu] if-match acl name ip
[BRAS-classifier-ip_cpu] if-match acl ipv6 name ip

# 配置类 ip_deny,匹配 ACL ip。
[BRAS] traffic classifier ip_deny operator or
[BRAS-classifier-ip_deny] if-match acl name ip
[BRAS-classifier-ip_deny] if-match acl ipv6 name ip

# 配置流行为 Web_cpu,对用户组 Web 中用户的所有 IP 报文都重定向到 CPU。
[BRAS] traffic behavior Web_cpu
[BRAS-behavior-Web_cpu] redirect cpu
[BRAS-behavior-Web_cpu] quit
# 配置流行为 Web_deny,禁止用户组 Web 中用户的所有 IP 报文通过。
[BRAS] traffic behavior Web_deny
[BRAS-behavior-Web_deny] filter deny
[BRAS-behavior-Web_deny] free account
[BRAS-behavior-Web_deny] quit

# 配置入方向 QoS 策略 Web
[BRAS] qos policy Web
# 为类指定对应的流行为,规则为对于用户组 Web 中的用户:
允许目的地址为 Portal 服务器和内网服务器 IP 地址的报文通过;
对于目的端口为 80(HTTP 报文)和 443(HTTPS 报文)的报文重定向到 CPU;
除上述报文外,其余报文都重定向到 CPU,如果重定向无感知认证失败,则丢弃报文。
[BRAS-qospolicy-Web] classifier Web_permit behavior Web_permit
[BRAS-qospolicy-Web] classifier neiwang behavior neiwang
[BRAS-qospolicy-Web] classifier Web_http behavior Web_http
[BRAS-qospolicy-Web] classifier Web_https behavior Web_https
[BRAS-qospolicy-Web] classifier ip_cpu behavior Web_cpu
[BRAS-qospolicy-Web] classifier ip_deny behavior Web_deny


编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明