一、组网需求
内网有交换机或无线设备开启认证,网关只需要进行流量记费,PC与EG设备之间不能有NAT环境,且PC和ePortal之间不能用NAT
二、组网拓扑
PC--SW--EG--出口
|
SAM
三、功能原理
内网有交换机或无线设备与SAM联动开启认证功能,SAM添加网关设备时选择“Web网关认证设备“,也是就“网关认证计费模式”,但EG上不开启认证功能,只是接收SAM同步的实名信息,并统计用户的流量发送给SAM;
说明:SAM联动模式由SAM添加网关设备时选择的设备类型决定的,EG两种模式默认都是开启的:
网关认证计费模式:同时支持认证和计费、用户路由、实名流控,SAM添加网关设备时请选择“Web网关认证设备”,默认端口号2009;开启ipfix流量计费必须选择本模式。
网关认证模式:仅支持认证、用户路由、实名流控,不支持计费,SAM添加网关设备时请选择“出口联动设备”,默认端口2012。 (针对不支持流量的计费的网关版本,是属于网关认证模式,SAM上选择“出口联动设备”)
四、配置要点
1、在网关认证计费模式下默认端口为TCP 2009,EG开启与SAM服务器联动功能
2、SAM服务器配置“网关策略名称”,注意不能与用户名相同,反之也是
3、一台EG设备有多个IP地址,SAM上对同一台EG设备最多只能添加一次,即EG设备的一个IP地址,且不能使用MGMT口和SAM联动
从网关认证模式切换到网关认证计费模式(不包含从EG旧版本升级到支持计费的版本)
4、EG配置的SAM监听端口号默认2009,可通过cli下“show link-sam statistic ace”命令查看,网关认证计费模式的监听端口号
5、由于认证不在EG上不能开启IPFIX无流量检测功能;否则会出现异常下线的问题,无流量检测应该在认证的设备上开启;
五、配置步骤
以下从SAM服务器、ePortal服务器、EG设备,3个方面进行介绍配置步骤,如:
SAM地址为202.0.0.6
ePortal地址为202.0.0.5
EG地址为202.0.0.2
1、SAM服务器配置
SAM服务器版本:RG-SAM+ ENTERPRISE_4.0_Build20151130
SAM服务器配置有两个步骤:1、添加设备(EG和ePortal设备登记);2、添加用户(包括用户模板、套餐、接入控制、用户开户等操作)
1.1 添加设备
要实现EG/SAM/ePortal三者之间的联动,必须将EG和ePortal都登记到SAM的设备中,以下先进行EG和ePortal在SAM服务器中的登记操作。
1.1.1 添加EG设备
添加位置:在SAM的web管理系统,系统管理—设备管理—添加,跳转到添加设备界面。
(1)设备IP地址
输入EG的IP地址,一般为EG的某个网口IP地址,保证SAM访问EG和EG访问SAM的路由收发接口一致,不支持MGMT口。 (2)IP类型
默认选择IPv4。
(3)设备类型
选择“Web网关认证设备”
(4)联动端口
这是SAM和EG联动时使用的端口号,两者必须保持一致。比如,此处默认端口号为2009。
.files/image001.png)
图1-1 添加EG设备设置-1
(5)具体型号
选择“V5及以后”
(6)设备组
选择上面新建的default,可自定义其他设备组。
.files/image002.png)
图1-2 添加EG设备配置-2
具体操作信息,参考图1-1和1-2所示,添加红色字体填写对应信息,其他未涉及项目默认,保存即可。
注:SAM上添加同一台EG设备,最多只能添加一次(即同一台EG设备的多个IP最多只能添加一个),且不能为MGMT口IP
1.1.2 添加ePortal
添加位置:同上
(1)设备IP地址
输入ePortal服务器的IP地址。
(2)IP类型
默认选择IPv4。
(3)设备类型
添加的是ePortal设备,选择“RG-ePortal”。
(4)设备key
此设备key必须和后面ePortal设置SAM服务器信息中的RADIUS key保持一致,用于SAM和ePortal之间通讯验证。比如,此处填写“ruijie”,后面ePortal中 配置SAM服务器信息同样也必须配置“ruijie”。
.files/image003.png)
图1-3 添加ePortal设备配置-1
(5)读写community
配置和设备key一致即可。
(6)设备组
同上选择一个组,可自定义其他设备组,便于管理而已。
.files/image004.png)
图1-4 添加ePortal设备配置-2
其他选项默认,如图1-3和1-4所示,保存即可。
1.2 添加用户
每个用户必须关联一个用户模板,用户关联一个模板之后,还要选择关联用户模板内的某个套餐。每个用户模板可以包含多个套餐,每个套餐可以添加多个规则,规则选择对应的接入控制即可。以下按照相反的顺序进行添加。
1.2.1 添加/修改接入控制
添加位置:SAM服务器web管理系统,接入控制管理—接入控制管理—添加
填写接入控制名,这项供后面添加套餐规则的时候使用。
填写网关策略名称,必须填写,否则SAM服务器无法将在线用户信息同步给EG。
注:必须填写“网关策略名称”【此名称作为同步到EG上的实名信息的组名】,否则会出现无法同步在线用户信息。此外,用户名不能与“网关策略名称”相 同,否则无法同步。
.files/image006.jpg)
图1-5 添加/修改接入控制
1.2.2 添加/修改用户模板
(1) 添加用户模板
添加位置:SAM服务器web管理系统,用户管理—用户模板管理—添加用户模板
.files/image007.png)
图1-6 添加用户模板
(2)用户模板添加套餐
添加位置:SAM服务器web管理系统,用户管理—用户模板管理,在用户模板列表中找到要添加套餐的用户模板,点击对应行最后一列的修改按钮。
进入模板界面后,在套餐列表的左边,点击添加套餐按钮
.files/image008.png)
图1-7 用户模板添加套餐1
在套餐添加界面,输入套餐名,修改套餐相关信息。
.files/image009.png)
图1-8 用户模板添加套餐2
(3)添加套餐规则
在套餐列表对应套餐的最后一列,点击该按钮可以添加/修改规则
.files/image010.png)
图1-9 添加套餐规则-1
填写服务名,服务名有限制必须跟后面ePortal启用“网关认证模式”的外网服务名称相一致。如2.1节中(5)所示。
注:此处必须和ePortal配置保持一致,否则使用该模板的用户认证登录时,容易出现例如“用户不允许使用本服务”的错误提示。
.files/image011.png)
图1-10 添加套餐规则-2
到此,用户模板相关的配置结束,套餐内的规则的接入控制方式,为前面自己添加或者修改过的方式。
.files/image013.jpg)
图1-11 添加套餐规则结果
1.2.3 添加用户
同添加设备一样,添加用户之前,添加一个新的用户组。添加位置SAM服务器系统web界面,用户管理—用户组管理。比如,添加一个‘usr_group’用户组。
添加用户位置:SAM服务器web管理系统,用户管理—用户管理—开户
用户名、密码,即web认证时登录用的用户名和密码。
用户组,指定用户所在用户组。
用户模板,选择之前创建或者修改的用户模板,并选择对应的套餐。注意此处的套餐,是前面确认过已经有选择了接入控制方式、出口联动策略的套餐
.files/image015.jpg)
1-12 添加用户
到此,SAM服务器上的配置结束。
2、ePortal服务器配置
不认证只计费场景下,因为EG不做NAS,与ePortal配置无关,此处不做描述。
3、EG设备配置
EG版本EG_RGOS 11.1(6)B1P1及以后
3.1 SAM联动配置
配置位置:高级->系统设置->SAM联动配置
(1)开启SAM联动
(2)配置SAM服务器信息:填写SAM服务器的IP地址,只支持一个SAM,SAM和EG的关系必须是一对一
(3)已链接的SAM:显示已链接上的SAM服务器IP地址和SAM联动模式
.files/image017.jpg)
图3-1 SAM联动配置
3.2 IPFIX配置
IPFIX功能用于实现EG设备对实名用户进行计流量、计时长的功能,如果只是简单的对实名用户实现流控此项可不用开启。
注:开启IPFIX功能,SAM联动模式必须为网关认证计费模式
配置位置:用户->IPFIX流量计费
(1)开启IPFIX模块功能:开启IPFIX流量计费功能
(2)开启IPFIX无流量检测:勾选后,若用户在周期内无流量,EG通告SAM服务器将用户下线,不开启就不会通告
a)不支持多台EG与一台SAM联动,同时开启IPFIX无流量检测,会造成误下线
b)开启IPFIX无流量检测,必须关闭”web认证->高级配置->用户下线检测“
(3)IPFIX无流量检测周期:配合上一项内容使用,设定无流量检测周期,单位是秒,默认是10分钟
(4)计费报文限速:EG每秒发送给SAM的计费报文个数,默认值22
---22这个数值瓶颈在于SAM的处理速度,3.98的版本建议就维持这个值,之后的版本可适当提升到500以内,太大值影响设备性能
.files/image018.png)
图3-2 IPFIX全局配置
(4)IPFIX策略配置:配置策略与IP对象关联,IP对象通过不同的网段IP来区分不同的用户组访问不同的目的IP,关联不同的计费策略;流量类型可分校内、国内、国外
IP对象配置位置:流控->对象定义->IP对象
a)每条IPFIX策略有一个序号标识,最多支持100条
b)源IP组:选择匹配中的源IP,0表示any
c)目的IP组:选择匹配中的目的IP组,0表示any
d)流量类型:选择匹配中本策略的流量属于哪种流量类型,有校内、国内、国外,其中校内不收费
.files/image019.png)
图3-3 IPFIX策略配置
3.3 上网实名策略
不认证只计费场景,EG不作为NAS,不开启web认证功能,此处不需要配置
六、配置验证
1、SAM上能看到用户流量
七、注意问题
1、版本配套性说明【推荐】
EG:如EG2000高端推荐11.1(1)B1P3,EG3000高端推荐11.1(6)B5P1
sam+:RG-SAM+ ENTERPRISE_4.20(p2)_Build20160901或者3.98
2、SAM联动模式由SAM添加网关设备时选择的设备类型决定的,EG两种模式默认都是开启的:
网关认证计费模式:同时支持认证和计费、用户路由、实名流控,SAM添加网关设备时请选择“Web网关认证设备”,默认端口号2009;开启ipfix流量计费必须选择本模式。
网关认证模式:仅支持认证、用户路由、实名流控,不支持计费,SAM添加网关设备时请选择“出口联动设备”,默认端口2012。 (针对不支持流量的计费的网关版本,是属于网关认证模式,SAM上选择“出口联动设备”)
3、由于认证不在EG上不能开启IPFIX无流量检测功能;否则会出现异常下线的问题,无流量检测应该在认证的设备上开启;
4、SAM服务器必须配置“网关策略名称”,否用户用户无法同步到EG设备,注意不能与用户名相同,反之也是
5、如果需要实现用户准入时无法上外网,只需要针对内网服务关联的“网关策略名称”(EG上表现为用户组)做一条拒绝上网的流控策略及可,没有认证时由交换机控用户无法上网,选择外网服务时,EG没有针对外网服务关联的“网关策略名称”做限制,所以可以上网;EG只针对内网服务用户组做限制,所以认证前DNS报文也是放通的,匹配不到拒绝策略。
6、SAM与网关联动的通讯协议有V1和V2两个版本,设备类型为“NPE50及之后”的版本采用V2协议,其余的采用V1协议。切换协议时需要手动重启SAM之后才能生效。更换与SAM联动的设备类型时,如果新旧设备采用的协议不一致,需要重启SAM才能使新协议生效
7、 设备2009或2012端口监听SAM的连接请求(依据具体的配置模式采用不同的端口),用于传递在线用户信息等消息。在有攻击设备2009或者2012端口的情况下,要配置相关的ACL应用到端口的in方向,只允许源IP是SAM的IP访问设备2009或2012端口,防止SAM连接断开影响用户上网