1.拓扑及组网
1.1 组网拓扑
H3C SR8804-X(BRAS)多运营商出口选路配置解析.jpg
1.2 组网拓扑说明
多数局点实际组网中SR8804-X都旁挂于核心交换机(尤其以后期增加BRAS的局点居多),出口路由器与SR8804-X之间没有物理线路连接。业务流量网关位于SR8804-X,出方向业务流量模型为接入交换机---核心交换机---SR88---核心交换机---出口设备。
本文档为便于理解,将拓扑稍作改动,这部分改动不影响出口选路的核心配置。
案例涉及接口互联信息如下:
| 下一跳出口 | 下一跳地址 |
|---|---|
| 联通 | 172.19.191.2/30 |
| 移动 | 172.19.191.10/30 |
| 电信 | 172.19.191.18/30 |
2.需求说明
网络中所有业务网关都配置在SR8804-X,SR8804-X同时作为BRAS设备提供接入认证服务。局点有电信、移动、联通三条互联网链路。客户需求是在认证过程中通过账号携带的域名进行区分,携带不同运营商域名的用户通过对应的运营商链路转发公网流量,例如携带电信域名认证的用户通过电信链路转发。
3.实现思路
通过在业务网关上应用策略路由实现需求。
策略路由部署思路:首先在domain内定义授权用户组,当用户通过不同域名进行认证时下发用户组,之后在ACL中定义匹配用户组的流量,最后在策略路由动作中针对不同用户组指定下一跳地址,实现用户从对应的运营商出口转发流量。
4.关键配置
- 第一步:创建运营商对应的domain
#
domain name dx //定义dx域名,对应电信用户
authorization-attribute user-group chinanet //下发chinanet的用户组
authentication ipoe radius-scheme dx
authorization ipoe radius-scheme dx
accounting ipoe radius-scheme dx
#
domain name lt //定义lt域名,对应联通用户
authorization-attribute user-group unicom //下发unicom的用户组
authentication ipoe radius-scheme lt
authorization ipoe radius-scheme lt
accounting ipoe radius-scheme lt
#
domain name yd //定义yd域名,对应移动用户
authorization-attribute user-group cmcc //下发cmcc的用户组
authentication ipoe radius-scheme lt
authorization ipoe radius-scheme lt
accounting ipoe radius-scheme lt
#
- 第二步:创建对应的radius服务
#
radius scheme dx
primary authentication 202.197.121.190 //3A服务器地址
primary accounting 202.197.121.190 //以下的认证计费密钥与服务器端一致
key authentication cipher $c$3$R6CuUWX2kIHZ/SuC55MbQSkamX5d7heyVXRzd2lcm00=
key accounting cipher $c$3$Y/7xEujWRvZj/67pzOHCZ2HP5Saqz25prhYEfAI8HwE=
timer realtime-accounting 5 //实时计费间隔,默认12分钟,可根据实际需求更改
nas-ip 192.168.255.237 //radius数据包源地址,此地址与3A服务器端需一致
#
radius scheme lt
primary authentication 202.197.121.190
primary accounting 202.197.121.190
key authentication cipher $c$3$TZFZc0tJaSm/zE9Rv0wCjcLvadGTrWOgT5yl2wAjXEI=
key accounting cipher $c$3$e5oqozOWgwUZeTyWtiSDrAXDdcW+9Tjqt7FGg29VWD8=
timer realtime-accounting 5
nas-ip 192.168.255.237
#
radius scheme yd
primary authentication 202.197.121.190
primary accounting 202.197.121.190
key authentication cipher $c$3$cwGddI3LzPLyyX+RijOCSUJFQnjMiz+Yy/dI1p4thYk=
key accounting cipher $c$3$wA7uf1U659Ojw9Rbw7OjWENgrpLUDHb0fHTUAhrsdig=
timer realtime-accounting 5
nas-ip 192.168.255.237
#
- 第三步:创建ACL匹配用户组
#
acl advanced name chinanet //定义ACL,名称为chinanet
rule 0 permit ip user-group chinanet //匹配chinanet用户组,以下策略类似
#
acl advanced name unicom
rule 0 permit ip user-group unicom
#
acl advanced name cmcc
rule 0 permit ip user-group cmcc
#
- 第四步:创建策略路由
#
policy-based-route isp_xuanlu permit node 1 //定义策略路由,名称为isp_xuanlu,节点一
if-match acl name unicom //策略路由流量匹配ACL unicom
apply next-hop 172.19.191.2 //策略路由动作是下一跳地址为172.19.191.2,此地址为联通出口链路地址,以下电信、移动节点下一跳地址分别匹配电信、移动出口链路地址
#
policy-based-route isp_xuanlu permit node 2 //定义策略路由isp_xuanlu,节点二,电信用户
if-match acl name chinanet
apply next-hop 172.19.191.18
#
policy-based-route isp_xuanlu permit node 3 //定义策略路由isp_xuanlu,节点三,移动用户
if-match acl name cmcc
apply next-hop 172.19.191.10
#
以上配置在同一策略路由里通过三个节点匹配三条运营商链路
- 第五步:业务网关接口应用策略路由
#
interface Ten-GigabitEthernet3/1/1.729 //业务网关接口
description txuesheng_area-TianMa
ip address 172.19.167.1 255.255.255.0
qos apply policy web inbound
qos apply policy out outbound
vlan-type dot1q vid 729
dhcp select relay
dhcp client-detect
dhcp relay server-address 202.197.120.73
dhcp session-mismatch action fast-renew
ip policy-based-route isp_xuanlu //接口下应用策略路由实现出口链路选路需求
ip subscriber l2-connected enable
ip subscriber initiator dhcp enable
ip subscriber initiator unclassified-ip enable matching-user
ip subscriber initiator arp enable
ip subscriber user-detect ip arp retry 3 interval 1200
ip subscriber authentication-method web mac-auth
ip subscriber roaming enable
ip subscriber pre-auth domain before_ipoe_auth
#
以上接口信息中未注释部分配置与选路无关。
用户通过认证后下发不同用户组,在网关接口匹配策略路由,之后流量转发到策略路由中定义的下一跳地址。
5.注意事项
1、RADIUS配置与3A服务器相关,如3A服务器使用第三方产品,需要沟通清楚相关配置要求,保证设备与3A服务器之间radius报文能正常交互。
2、此选路配置思路适用于业务网关位于认证设备的场景。
3、多数IPOE_WEB配置过程中,在业务网关接口会下发认证前域及认证后域。存在选路需求的实际组网中认证后域是否会对选路造成影响未进行验证,推荐不配置认证后域。
