一、组网需求

新旧校区各一台EG3000XE与SAM、Eportal联动实现准出方案，同时要求两台EG设备通过multi-ace做主从设备，并与SAM/Eportal联动（双机无流量下线检测）；部署的功能主要为：NAT、路由、流控、认证计费（与SAM、Eportal联动）

 

二、组网拓扑

拓扑图如上图：

1、两台EG设备需要支持multi-ace功能（双机无流量下线检测）

2、其中SAM跟Eportal都为集群环境，两台EG设备访问同一个集群服务器地址，集群之间通过裸光纤直连。

 

三、配置要点

1、EG3000XE做准出基本功能，包括NAT、路由、流控、认证计费等（基本路由，NAT功能，流控等本章节略，详细参见附件配置）

2、两台EG3000XE设备开启multi-ace功能

 

四、配置步骤

1)   设备配置

EG主设备

1)    进入multi-ace命令模式

EG3000XE_master #enable

EG3000XE_master #config

Enter configuration commands, one per line.  End with CNTL/Z.

EG3000XE_master (config)#multi-ace

2)    配置主机模式

EG3000XE_master (config-multi-ace)#mode master

3)    配置从机IP地址

EG3000XE_master (config-multi-ace)#slave ip 10.0.1.1

4)    开启双机

EG3000XE_master (config-multi-ace)#multi-ace enable

EG从设备

1)    配置从机模式

EG3000XE_slave (config-multi-ace)#mode slave

2)    配置主机IP地址

EG3000XE_slave (config-multi-ace)#master ip 10.0.0.1

EG3000XE_slave (config-multi-ace)#

3)    配置监听端口号【默认2010】

EG3000XE_slave (config-multi-ace)#master port 2010

EG3000XE_slave (config-multi-ace)#

4)    开启双机

EG3000XE_slave (config-multi-ace)#multi-ace enable

详细配置参考如下：

2)   服务器配置

对于WEB认证，需要在Eportal跟SAM上添加设备，二代WEB认证Eportal上添加设备配置参考如下：

读写Community：与设备上的SNMP Community配置需要保持一致

◆ web-auth portal key：对应到设备上的Portal key

◆ 设备类型 & 设备IP：顾名思义，本文为二代Web认证配置举例，显然这里就是“二代Web认证接入设备”

◆ NAT代理模式：NAT代理模式的开启与否跟Portal服务器相对于网关设备所处的位置有关，一般网关设备使用LAN口跟Portal进行通信，则处处不需要开启NAT代理；如果网关设备使用WAN口跟Portal服务器进行通信，则此处需要开启NAT代理。

SAM上添加设备配置参考如下：

这里要注意设备类型、设备key、读写Community的配置，以及最重要的启用2009端口的配置，这个开启后才能支持网关设备跟SAM+联动的IPFIX计费功能。

◆ 设备类型&具体型号：诸如，锐捷交换机——>N18K，出口联动设备——>EG设备系列，Web网关认证设备——>V5以后（对应到ACE设备）。

◆ 设备Key：此处对应到Radius key

◆ 读写Community：这个对应SNMP Community

◆ 联动端口：对应LINK-SAM端口，采用默认就好

◆ N18K特性：二代Web认证当前只能将网关产品指定为N18K来进行测试（SAM服务器端未添加网关产品支持二代Web认证的设备类型），“启用2009端口”则是用来支持IPFIX计费功能的

其他配置项采用默认。

 

五、配置验证

1)EG3000XE做准出基本功能验证：

WEB下执行快速配置，勾选NAT、缺省路由、流控方案选择高校，然后配置WEB认证以及IPFIX计费，用户能正常认证上线，如下图：

 

SAM上配置计费策略为1元/M，PC下载802M文件，SAM上计费正常，如下图：

 

 

2)双EG设备multi-ace功能

双机用户同步         

a.设备配置流量计费：

1、从机检测到无流量用户信息将使用的流量通告给sam并且将下线信息同步给主机（主机也没有该用户的流量），此时主机接到从机的无流量下线信息，并且将该用户下线信息同步给sam

2、从机检测到无流量用户信息将使用的流量通告给sam并且将下线信息同步给主机（主机有该用户的流量），此时主机不会将该用户下线

3、同一用户流量分别通过2台EG，用户正常使用过程中不会被下线，并且产生的流量合并计费

b.设备配置时长计费：

4、从机检测到无流量用户信息同步给主机（主机也没有该在线用户），主机接收后将该用户下线信息同步给sam

5、从机检测到无流量用户信息同步给主机（主机有该用户的流量），此时主机不会将该用户下线

6、同一用户流量分别通过2台EG，用户正常使用过程中不会被下线，并且产生的时长合并计费

 

 

六、注意问题(可选)---如常见的容易配错的点，一些限制，一些容易产品的问题等；

1、要求两台EG设备通过multi-ace做主从设备，版本至少是11.1(6)B21及以上版本，型号只支持EG高端系列（EG2000XE\UE、EG3000GE\ME\XE\UE)

2、EG3000XE开启multi-ace功能+高校典型场景（NAT、路由、流控、认证计费）与SAM、Eportal联动，推荐带宽10G

3、逃生功能（slave config relation）默认是disable的，一般按照默认关闭设置即可，实现效果如下：

1）主EG默认配置关掉slave config relation逃生功能（no slave config relation）：

    从机跟主机断开连接时，一旦主机检测到无流量时通告sam，无流量用户将被下线

2）主EG配置slave config relation逃生功能：

     从机跟主机断开连接时，一旦主机检测到无流量时不会通告sam，无流量用户仍可正常上网