现场做IPOE开局,认证可以正常通过并能正常上网。现在有两条运营商出口,希望根据user-group属性走不同运营商(两条运营)。
1、现场参考案例通过QOS重定向实现现场需求: https://zhiliao.h3c.com/Theme/details/18044
配置完成后,利用联通账号和移动账号认证分别认证上网,display ip subscriber session verbose查看user group acl属性正常active,但百度查询自己的IP地址都为移动公网地址。
2、采用PBR方法引流也无效:
开启pbr,deny节点在前,认证成功,但无法访问互联网 。
Deny节点在后 认证后无法访问任何资源(包括网关)
问题出在这里,全局多了一个c b对,最后一个CB对是用来对内网用户进行nat引流的,因为全局qos高于接口qos,所以先匹配了全局qos,导致接口的匹配不上。
qos policy web classifier web_permit behavior web_permit
classifier web_http behavior web_http
classifier web_https behavior web_https
classifier web_deny behavior web_deny
classifier 1 behavior 1
#
acl basic 2001
rule 0 permit
#
#
traffic classifier 1 operator and
if-match acl 2001
#
#
traffic behavior 1
redirect slot 2
#
另外,客户的设备,既要做bras又要做nat引流,这种场景,解决不了,因为流量只能匹配并执行一种动作,需要配置防火墙插卡(咨询售前),或者将nat移到其他上行设备。
删除匹配nat引流配置classifier 1 behavior 1 后正常。
QOS重定向和PBR的方式都可正常引流,当引流异常时,需要注意这些QACL相关命令优先级。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作