1.1 测试拓扑

 

拓扑描述：

        核心N18k使用gi1/24接口对接服务器区的SDN、SAM、eportal、elog等服务器，gi1/1为N18k上联口。通过内联口T4/3、T4/4、T4/5分别对接MSC线卡的T0/1、T0/2、T0/3，分别作为LAN口、WAN口、管理口。

 

1.2 测试基础配置

 

 

1、ONC基础配置与信息下发配置：

 

2、配置终端组关联一个子网

（此处以极简X-管理员为例，根据需要配置终端组关联子网）

 

ONC下发到N18k段配置信息：

ip dhcp pool RG-ONC-IPPOOL-10.21.0.0-255.255.0.0

 solidify

 user-group 极简X-管理员

 lease 0 1 0

 network 10.21.0.0 255.255.0.0

 dns-server 192.168.58.110

 default-router 10.21.0.1

 

user-group 极简X-管理员

 

3、SAM配置

接入控制：

 

 

计费策略：

 

 

 

模板套餐：

 

用户组配置

 

开户：

 

缴费：

 

4、N18k认证基础配置

N18007(config)#snmp-server if-index persist   //配置接口索引值固化

N18007(config)#aaa authorization ip-auth-mode mixed   //aaa认证ip地址获取模式为混合模式

N18007(config)#ip dhcp snooping arp-detect  //开启ip地址快速回收

N18007(config)#ip dhcp snooping check-giaddr  //开启DHCP中继兼容

N18007(config)#ip portal source-interface loo0  //与portal服务器通信源为loopback0

N18007(config)#no http redirect port 443  //关闭https重定向

N18007(config)#web-auth dhcp-check   //开启web认证防私设

N18007(config)#web-auth station-move auto  //开启web认证的认证迁移

N18007(config)#no web-auth station-move arp-detect  //关闭认证迁移的arp探测

N18007(config)#web-auth station-move info-update   //开启web认证信息更新

N18007(config)#web-auth port key ruijie  //web认证portal key为ruijie

N18007(config)#web-auth portal-check interval 3 timeout 3 retransmit 10  //portal逃生检测

N18007(config)#web-auth portal-escape nokick  //portal逃生生效时不提在线用户下线

N18007(config)#web-auth radius-escape   //radius服务器逃生配置

N18007(config)#web-auth template eportalv2  //web认证模板

N18007(config.tmplt.eportalv2)#ip  172.18.157.133

N18007(config.tmplt.eportalv2)#url http://172.18.157.133/eportal/index.jsp

N18007(config.tmplt.eportalv2)#exi  

N18007(config)#aaa accounting update periodic 10  //配置记账更新时间为10min

N18007(config)#aaa accounting update

N18007(config)#aaa accounting network default start-stop group SAM  //aaa认证记账列表

N18007(config)#aaa authentication dot1x default group SAM //配置1x认证列表

N18007(config)#aaa authentication web default group SAM  //配置web认证记账列表

N18007(config)#no aaa log enable

N18007(config)#ip dhcp server arp-detect   //开启dhcp的arp探测，使得地址快速回收

N18007(config)#aaa group server radius SAM  //配置aaa认证组SAM

N18007(config-gs-radius)#server 172.18.157.132

N18007(config-gs-radius)#exi

N18007(config)#ip radius source-interface lo0   //radius通信源为loopback0

N18007(config)#radius-server host 172.18.157.132 key ruijie  //radius key为ruijie，radius服务器为172.18.157.132

N18007(config)#radius-server host 172.18.157.132 test username ruijie idle-time 2 key ruijie  //radius服务器逃生检测

N18007(config)#radius-server dead-criteria time 120 tries 12

N18007(config)#dot1x mac-auth-bypass valid-ip-auth  //防1x认证私设地址

N18007(config)#dot1x valid-ip-acct enable

N18007(config)#no dot1x station-move arp-detect

N18007(config)#address-bind ipv6-mode compatible   //ipv6地址为兼容模式

N18007(config)#offline-detect interval 6 threshold 0  //无流量下线检测时间为6min

N18007(config)#station-move permit   //全局认证迁移的开关开启

N18007(config)#snmp-server host 172.18.157.132 traps ruijie   //snmp 的trap信息配置，其服务器为172.18.157.132

N18007(config)#snmp-server host 172.18.157.132 informs version 2c ruijie

N18007(config)#radius-server group-attribute 25   //配置N18k识别radius报文中的25号属性

 

5、MSC配置：

MSC引流配置与网关模式配置：

MSC(config)#auth-mode gateway  //配置MSC的部署模式为网关模式配置

 

MSC(config)#int te0/1  //配置MSC与N18k的互通地址配置

MSC(config-if-TenGigabitEthernet 0/1)#ip add 13.13.13.1 255.255.255.0

MSC(config-if-TenGigabitEthernet 0/1)#exi

MSC(config)#int te0/2

MSC(config-if-TenGigabitEthernet 0/2)#ip add 24.24.24.2 255.255.255.0

MSC(config-if-TenGigabitEthernet 0/2)#ex

MSC(config)#int te0/3

MSC(config-if-TenGigabitEthernet 0/3)#ip add 35.35.35.3 255.255.255.0

MSC(config-if-TenGigabitEthernet 0/3)#ex

 

MSC(config)#route-map Te0/1  //配置MSC的route-map引流配置

MSC(config-route-map)#match ip add  PBR-ACL

MSC(config-route-map)#set  ip next-hop24.24.24.4

MSC(config-route-map)#exi

MSC(config)#route-map Te0/2

MSC(config-route-map)#match ip add  PBR-ACL

MSC(config-route-map)#set  ip next-hop 13.13.13.3

MSC(config-route-map)#exi

 

MSC(config)#interface TenGigabitEthernet 0/1  //route-map在接口下调用

MSC(config-if-TenGigabitEthernet 0/1)#iip address 13.13.13.1 255.255.255.0

MSC(config-if-TenGigabitEthernet 0/1)#iip policy route-map Te0/1

MSC(config)#interface TenGigabitEthernet 0/2

MSC(config-if-TenGigabitEthernet 0/2)#iip address 24.24.24.2 255.255.255.0

MSC(config-if-TenGigabitEthernet 0/2)#iip policy route-map Te0/2

 

配置MSC与N18k联动

 

配置MSC与N18k时间同步

在MSC的【高级】->【系统配置】->【时间配置】将时间与N18k的T4/5接口同步

 

6、N18k对接MSC配置

N18007(config)#ntp master   //配置N18k为时间服务器

N18007(config)#clock timezone dongba +8 0

 

N18007(config)#int ten4/3  //配置互联接口地址

N18007(config-if-TenGigabitEthernet 4/3)#ip add 13.13.13.3 255.255.255.0

N18007(config-if-TenGigabitEthernet 4/3)#exi

N18007(config)#int ten4/4

N18007(config-if-TenGigabitEthernet 4/4)#no sw

N18007(config-if-TenGigabitEthernet 4/4)#ip add 24.24.24.4 255.255.255.0

N18007(config-if-TenGigabitEthernet 4/4)#ex

N18007(config)#int te4/5

N18007(config-if-TenGigabitEthernet 4/5)#no sw

N18007(config-if-TenGigabitEthernet 4/5)#ip add 35.35.35.5 255.255.255.0

N18007(config-if-TenGigabitEthernet 4/5)#ex

 

N18007(config)#ip access-list extended upload-student  //配置上行用户流量acl

N18007(config-ext-nacl)#permit ip 10.41.0.0 0.0.255.255 any

N18007(config-ext-nacl)# permit ip 10.31.0.0 0.0.255.255 any

N18007(config-ext-nacl)#exi

N18007(config)#ip access-list extended download-student  //配置下行用户流量acl

N18007(config-ext-nacl)#permit ip any 10.41.0.0 0.0.255.255

N18007(config-ext-nacl)#permit ip any 10.31.0.0 0.0.255.255

N18007(config-ext-nacl)#exi

N18007(config)#route-map UPLOAD-data-studen   //配置上行用户route-map        

N18007(config-route-map)#match ip add upload-student

N18007(config-route-map)#set ip next-hop 13.13.13.1

N18007(config-route-map)#exi

N18007(config)#route-map DOWNLOAD-data-student   //配置下行用户route-map       

N18007(config-route-map)#match ip add  download-student

N18007(config-route-map)#set ip next-hop 24.24.24.2

N18007(config-route-map)#exi

N18007(config)#int vla 2000

N18007(config-if-VLAN 2000)#ip policy route-map  UPLOAD-data-studen    //在svi下调用上行流量的route-map

N18007(config-if-VLAN 2000)#exi

N18007(config)#int gi1/1  //在N18k的上联口调用下行用户流量route-map

N18007(config-if-GigabitEthernet 1/1)#ip policy route-map DOWNLOAD-data-student

N18007(config-if-GigabitEthernet 1/1)#exi

 

 

7、基础联通配置：

 

 

1.3 测试过程

 

1、MSC配置流量计费功能

在MSC的【计费卡】->【流量计费配置】勾选“开启ipfix模块功能”，并且“添加ipfix策略”。

此处的源IP组以及目的IP组可在【流控】->【对象定义】处定义。若源IP组和目的IP组都写0，则表示匹配所有。流量类型根据需要进行选择，当前SAM支持的流量类型有国内流量、国际流量

 

 

2、N18k配置

N18007(config)#ip auth-flow export source loopback 0  //配置上流量的接口为回环口0,，该接口为SAM添加的对接N18k的接口地址

N18007(config)#web-auth acct-method ipfix   //web认证记账方式为ipfix

N18007(config)#dot1x acct-method ipfix  //dot1x认证记账方式为ipfix

N18007(config)#ip auth-flow export destination 172.18.157.132 4739  //流量上传到SAM服务器的4739端口

 

 

3、终端测试

用户stu01认证在线，其归属的用户组为极简X-学生

终端登录后看视频，产生网关实时流量，终端下线后有流量信息汇总

 

4、查看用户登录下发的用户组信息

尽管在接入控制中配置了网关策略，并且抓包中看到access-acept报文也下发了11号属性（网关策略名称），但由于配置了radius-server group-attribute 25，因此只接收25号属性，将该属性获得的用户组作为网关策略传递到MSC上。

 

 

1.4 抓包结果

 

 

1.5 测试总结

 

1、终端认证在线后，MSC会对终端所使用网络流量信息作统计，并且传递到SAM作流量计费

2、当在接入控制中配置了网关策略，并且抓包中看到access-acept报文也下发了11号属性（网关策略）和25号属性（用户组），但由于配置了radius-server group-attribute 25，因此只接收25号属性，N18k上查看SAM下发信息时，可看到其记录的是用户组而非网关策略名称