DCFS8000融合網(wǎng)關(guān)認(rèn)證計(jì)費(fèi)功能快速配置手冊

DCFS融合網(wǎng)關(guān)認(rèn)證計(jì)費(fèi)功能快速配置指導(dǎo)神州數(shù)碼網(wǎng)絡(luò)（北京）有限公司2009-10-27前言DCFS作為流量整形設(shè)備已經(jīng)得到規(guī)模應(yīng)用，在此基礎(chǔ)之上繼續(xù)開發(fā)了認(rèn)證、計(jì)費(fèi)功能模塊，作為DCBA的升級及替換設(shè)備完善認(rèn)證計(jì)費(fèi)的解決方案。本文檔以場景需求方式來講解DCFS的相關(guān)配置。版本說明本文檔驗(yàn)證版本如下：DCFS：V5.0ForDCFS-850020090909發(fā)布版本DCBI:V3.020091010版本Client：20090617即3.5.05.0617版本網(wǎng)絡(luò)拓?fù)浼靶枨竺枋鐾負(fù)浣Y(jié)構(gòu)需求描述：采用有限流量包月預(yù)付策略內(nèi)部所有用戶訪問外部門戶站點(diǎn)*.163.com免認(rèn)證、不計(jì)流量PC2訪問DCBIServer的Userweb自服務(wù)免認(rèn)證、不記流量/24（包括PC1、PC2）訪問Internet其它資源需認(rèn)證且記錄流量配置步驟DCFS提供WEB界面配置方式。定義網(wǎng)絡(luò)接口名稱首先配置地址對象在“對象管理”—“地址對象管理”中點(diǎn)擊“新增地址對象”，添加PC2，如圖并依次添加門戶站點(diǎn)163.com的地址段（從DNS解析來看屬于/24地址段）、免認(rèn)證及免計(jì)費(fèi)目標(biāo)主機(jī)45，添加完畢后的地址對象為：其次定義預(yù)置安全策略在“控制策略”--“預(yù)置安全策略”中，可以定義源IP、目標(biāo)IP、服務(wù)之間的放行、認(rèn)證、阻斷等關(guān)系（注：是否計(jì)算流量并不在這里控制，詳見下文4.5章節(jié)），規(guī)則設(shè)計(jì)非常靈活，由于DCFS在處理時會依據(jù)預(yù)置安全策略中規(guī)則的前后順序進(jìn)行匹配，所以DCFS中預(yù)置安全策略中各規(guī)則的前后順序非常重要。第一步：在配置之前，為了放行DNS和ICMP報文（對于DNS在DCFS外側(cè)情況是必須放行DNS報文，DCFS對DNS報文進(jìn)行檢測，可以阻斷netpas軟件冒充的DNS報文。），需要先定義該規(guī)則，點(diǎn)擊“預(yù)置安全策略”中的“新增規(guī)則”，在“常規(guī)”欄中定義名稱為“放行DNS及ICMP”，操作為“放行”，接口根據(jù)需要進(jìn)行選擇，選中“雙向匹配”選項(xiàng)（一定要選擇該選項(xiàng)，否則DNS、ICMP回應(yīng)報文會被DCFS阻斷）配置如下：在“協(xié)議”中選擇DNS和ICMP，如下：點(diǎn)擊“設(shè)定”后進(jìn)行生成此規(guī)則，如圖:第二步：其次要放行訪問門戶網(wǎng)站163的所有數(shù)據(jù)，定義規(guī)則名稱為“放行163”，配置如下：在目標(biāo)選項(xiàng)中選擇地址對象管理中添加的“門戶163”第三步，放行pc2訪問特定主機(jī)DCBIServer，添加步驟如下：第四步添加認(rèn)證計(jì)費(fèi)規(guī)則，“常規(guī)欄”定義規(guī)則名稱為“認(rèn)證規(guī)則”，操作選擇“攔截”，在出現(xiàn)的認(rèn)證選項(xiàng)中選擇“WEB/客戶端認(rèn)證”，接口根據(jù)實(shí)際情況選擇，并選中“雙向匹配”選項(xiàng)：在“來源”欄選擇“未認(rèn)證的用戶”規(guī)則添加完畢后如下：對于WEB頁面認(rèn)證，首先設(shè)置認(rèn)證門戶設(shè)置在“控制策略”—“認(rèn)證門戶設(shè)置”中定義“認(rèn)證門戶頁面URL”，一般而言，該認(rèn)證門戶頁面URL為“http://DCFS_IP”，頁面引導(dǎo)方式使用默認(rèn)值：“由接口原路返回”，如下圖：點(diǎn)擊“設(shè)定”確認(rèn)操作。設(shè)置完成后會提示是否重啟門戶服務(wù)，點(diǎn)擊“確定”進(jìn)行門戶服務(wù)重啟，如下：設(shè)定認(rèn)證策略即Radius相關(guān)及其它參數(shù)在“策略設(shè)置”—“認(rèn)證策略設(shè)置”中定義Radius相關(guān)參數(shù)，如下圖：其中【認(rèn)證方式】“認(rèn)證方式”選項(xiàng)有“DCBI認(rèn)證”、“本地認(rèn)證”、“Radius認(rèn)證”、“DCSM認(rèn)證”，DCBI認(rèn)證即通過神州數(shù)碼DCBI認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，本地認(rèn)證即使用DCFS本地創(chuàng)建用戶進(jìn)行認(rèn)證，Radius認(rèn)證指使用其它Radius系統(tǒng)進(jìn)行認(rèn)證?！菊J(rèn)證服務(wù)器地址】指DCBI服務(wù)器或其它Radius的IP地址。【本地NAS地址】指DCFS的IP地址。【計(jì)費(fèi)服務(wù)端口】指DCBI或Radius服務(wù)器上的認(rèn)證端口，一般為1812，而計(jì)費(fèi)端口為認(rèn)證端口+1，一般為1813【計(jì)費(fèi)密鑰】指Radiuskey，此值需要與DCBI或Radius上定義該DCFS即RadiusClient時的key一致?！镜顷懣臻e超時時間】該選項(xiàng)定義了客戶端/PCWEB連接頁面與DCFS在認(rèn)證成功之后保活的超時時間，一旦?；钍。瑒tDCFS將向DCBI發(fā)送計(jì)費(fèi)終止報文，并同時置該用戶為未認(rèn)證通過狀態(tài)?！镜顷懞髲棾鲰撁娴腢RL】該選項(xiàng)定義了WEB認(rèn)證連接成功后跳轉(zhuǎn)頁面。類似與DCBAwebpurl<address>\webpredirect_urlenable。目前版本未提供跳轉(zhuǎn)功能關(guān)閉功能。且跳轉(zhuǎn)功能無效。研發(fā)解決中?！網(wǎng)EB認(rèn)證保活選項(xiàng)】該選項(xiàng)有三個值：“基于WEB頁面?；睢?、“基于單向用戶流量保活”、“基于雙向用戶流量?；睢??；赪EB頁面?；睿杭粗窹C通過WEB頁面認(rèn)證成功后得到了認(rèn)證連接窗口（該連接窗口每分鐘會更新一次用戶在線時間、入出流量），該窗口會于DCFS進(jìn)行保活，即通過每分鐘更新用戶在線時間、入出流量的方式來完成保活?；赪EB頁面?；钋闆r下由PC的連接窗口主動發(fā)起保活請求，而客戶端認(rèn)證情況下，是客戶端主動發(fā)起?；钫埱?。基于單向用戶流量?；睿褐敢罁?jù)用戶是否有出流量的方式確定用戶是否在線--而不是依據(jù)保活報文來確定，如果發(fā)現(xiàn)該用戶有出流量，即認(rèn)為該用戶在線，即便每分鐘的?；钍。▽?shí)測時在pc與DCFS架設(shè)DCS-3950-X，認(rèn)證成功后阻斷pc2至DCFS的tcp80報文--表現(xiàn)為1分鐘后連接窗口為空白內(nèi)容，同時pc2長ping外網(wǎng)ip，DCFS在保活失效情況下也不阻斷該用戶）。具體粒度：在登陸空閑超時時間內(nèi)不管哪個方向只要有流量，則不會斷開?；陔p向用戶流量?；睿褐敢罁?jù)用戶是否有入/出流量的方式確定用戶是否在線--而不是依據(jù)保活報文來確定，如果發(fā)現(xiàn)該用戶有出流量，即認(rèn)為該用戶在線，即便每分鐘的保活失敗。具體粒度：在登陸空閑超時時間內(nèi)只要兩個方向均有流量，則不會斷開?！網(wǎng)EB認(rèn)證Coockie選項(xiàng)】該選項(xiàng)有兩個值：基于瀏覽器當(dāng)前窗口保活、基于客戶端瀏覽器?；睢Ｔ撨x項(xiàng)兩個參數(shù)對應(yīng)用的區(qū)別如下：基于瀏覽器當(dāng)前窗口?；钤谟脩暨B接窗口所在的瀏覽器異常退出或者直接關(guān)閉后，如果再打開瀏覽器輸入外部url，則得到認(rèn)證頁面即必須重新認(rèn)證。而基于客戶端瀏覽器保活在在用戶連接窗口所在的瀏覽器異常退出或者直接關(guān)閉后，再打開瀏覽器輸入外部url時可以直接訪問外網(wǎng)站點(diǎn)，無需認(rèn)證。【流量超出限額處理選項(xiàng)】該選項(xiàng)在計(jì)費(fèi)策略為流量預(yù)付時會生效，其它計(jì)費(fèi)策略下不會生效。當(dāng)使用流量預(yù)付、有限流量包月預(yù)付策略時建議選擇僅總流量超額后強(qiáng)制下線，當(dāng)使用國內(nèi)外區(qū)分費(fèi)率流量預(yù)付策略時根據(jù)需要選擇總流量超額后強(qiáng)制下線或僅國際流量超額后強(qiáng)制下線或總流量或國際流量超額后強(qiáng)制下線。該選項(xiàng)有四個值：不啟用強(qiáng)制下線、僅總流量超額后強(qiáng)制下線、僅國際流量超額后強(qiáng)制下線、總流量或國際流量超額后強(qiáng)制下線。【防私接/克隆選項(xiàng)】啟用防NAT私接功能選項(xiàng)，指防止客戶端使用Router撥號，該選項(xiàng)對WEB頁面認(rèn)證無效。類似于DCBA的setchk_cli_ipon。啟用防pc克隆功能選項(xiàng)，指防止用戶使用克隆方式盜用，開啟該功能后，使用WEB頁面認(rèn)證，可以認(rèn)證通過，但客戶端無法得到認(rèn)證連接窗口，且無法訪問外部任何站點(diǎn)。客戶端必須安裝防克隆驅(qū)動后才能訪問外網(wǎng)網(wǎng)絡(luò)（對應(yīng)Clientconfig.ini中DriverFlag=1）。上述兩個選項(xiàng)均全局生效?！驹O(shè)置認(rèn)證方式】DCFS對認(rèn)證用戶可以控制其認(rèn)證方式，示例中對7-0的源IP地址的認(rèn)證方式不做限制，定義20-30的源IP地址只能使用client認(rèn)證方式。（這些源IP地址訪問外網(wǎng)時可以得到WEB認(rèn)證頁面，但輸入正確的用戶名和密碼后會得到WEB認(rèn)證被阻止的提示信息。）流量相關(guān)策略設(shè)置在“策略設(shè)置”--“計(jì)費(fèi)策略設(shè)置”中定義流量相關(guān)策略。其中類別為免費(fèi)流量的定義對于任何流量相關(guān)的計(jì)費(fèi)策略均相關(guān)，而類別為國際、國內(nèi)流量的定義僅僅與國內(nèi)外流量區(qū)分計(jì)費(fèi)（預(yù)付/后付）策略有效。DCFS默認(rèn)所有流量均定義為國內(nèi)流量，所有如果使用國內(nèi)外流量區(qū)分計(jì)費(fèi)策略，則需要定義國際流量地址段。定義類別為免費(fèi)的特殊流量（注：不管“控制策略”—“認(rèn)證控制策略”中【流量超出限額處理選項(xiàng)】的選項(xiàng)如何定義，對于免費(fèi)類型的流量，既不會統(tǒng)計(jì)在下發(fā)的流量限制中--即不會因?yàn)槊赓M(fèi)類型流量被強(qiáng)制下線，也不會在用戶下線后作為統(tǒng)計(jì)為用戶流量計(jì)入上網(wǎng)日志。）在3.2第三步中，定義了pc2訪問45為免認(rèn)證，如果不做其他設(shè)置，pc2認(rèn)證后訪問45，則訪問所導(dǎo)致的流量也會計(jì)入用戶流量（當(dāng)然如果pc2未認(rèn)證，訪問45的流量不會記錄，因?yàn)楦緵]有上網(wǎng)記錄）。A、定義訪問pc2訪問45時不統(tǒng)計(jì)流量。在“策略設(shè)置”--“計(jì)費(fèi)策略設(shè)置”中新建免費(fèi)策略，“常規(guī)設(shè)置”欄中定義策略名稱為“pc2-245不統(tǒng)計(jì)流量”，如下：B、“計(jì)費(fèi)對象”欄中選擇“pc2-226”（如果計(jì)費(fèi)對象欄中不選擇任何對象，則表示任何源主機(jī)訪問該目標(biāo)均不統(tǒng)計(jì)流量）C、“計(jì)費(fèi)目標(biāo)”欄中定義目標(biāo)為“Free-245”D、點(diǎn)擊“設(shè)定”創(chuàng)建此免費(fèi)策略，得到如下策略信息：同理，如果在步驟C中同時選擇地址：門戶163，則訪問所有163的流量均不會被記錄。定義屬于國際流量的IP目標(biāo)地址段第一步在“對象管理”—“地址對象管理”中創(chuàng)建國際網(wǎng)段，示例中定義/24網(wǎng)段為國際網(wǎng)段，如圖第二步在“控制策略”—“計(jì)費(fèi)策略設(shè)置”中新增“新增國際計(jì)費(fèi)策略”，在DCFS上定義計(jì)費(fèi)目標(biāo)為上述創(chuàng)建的國際網(wǎng)段所代表的/24的流量為國際流量，如下：類型不屬于免費(fèi)、國際的其他流量均為國內(nèi)流量。針對DCFS，DCBI下發(fā)速率控制的配置在使用DCBA時，DCBI針對每個用戶認(rèn)證時將用戶所屬計(jì)費(fèi)策略中定義的外網(wǎng)上下行帶寬分配給DCBA，從而DCBA進(jìn)行速率控制。在使用DCFS時，并沒有沿用這一方法。因?yàn)镈CFS之前就具備較好的速率控制方法。但之前DCFS實(shí)施速率控制時是依據(jù)源IP做控制的。在實(shí)際環(huán)境中，可能存在同一網(wǎng)段的兩個用戶認(rèn)證后獲得的外網(wǎng)上下行速率不一致的情況，如果使用DCBA，則這兩個用戶分屬不同計(jì)費(fèi)策略就可以實(shí)現(xiàn)（20090226之前DCBI版本速率控制則是由授權(quán)組控制的）。如果使用DCFS，如果按照源IP的方式就沒有辦法實(shí)現(xiàn)靈活控制（DCFS定義大量的IP地址或IP地址段，根據(jù)源IP進(jìn)行控制情況下，必然要求用戶的IP地址是固定的或者屬于特定范圍），所有DCFS創(chuàng)造了根據(jù)用戶組的方式來限制速率的方法，用戶認(rèn)證時獲得用戶組屬性—由DCBI授權(quán)組中的“DCBA策略組”定義，如果下發(fā)的策略組名稱與DCFS上定義的用戶組名稱一致，則速率控制由DCFS的“控制策略”—“帶卡分配策略”或“二級帶寬策略”中來源為“DCBA策略組”名稱的帶寬管理策略所控制。（注：如果實(shí)現(xiàn)上下行帶寬單獨(dú)控制，則帶寬通道管理--常規(guī)設(shè)置--策略類型選擇“雙向控制”，通道管理--常規(guī)設(shè)置—終端設(shè)置定義帶寬上限為“下行速率/上行速率”，例如1M/128K即表示下行1M上行128K帶寬控制（如果僅定義一個數(shù)值，例如128K，則表示上下行速率均控制在128K）。如果通道管理--常規(guī)設(shè)置--策略類型選擇“單向控制”，則表示僅對下行速率進(jìn)行控制。）相關(guān)配置步驟DCBI用戶關(guān)聯(lián)的授權(quán)組中定義“DCBA策略組”如下圖，DCBA策略組名稱為“test”在DCFS的“對象管理”--“用戶組管理”中添加用戶組，名稱也為“test”。添加完畢如下圖：在“控制策略”--“帶寬通道管理”中添加帶寬通道定義策略名稱為“出口2M”，接口帶寬為2