版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
DCFS融合網(wǎng)關(guān)認(rèn)證計(jì)費(fèi)功能快速配置指導(dǎo)神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司2009-10-27前言DCFS作為流量整形設(shè)備已經(jīng)得到規(guī)模應(yīng)用,在此基礎(chǔ)之上繼續(xù)開(kāi)發(fā)了認(rèn)證、計(jì)費(fèi)功能模塊,作為DCBA的升級(jí)及替換設(shè)備完善認(rèn)證計(jì)費(fèi)的解決方案。本文檔以場(chǎng)景需求方式來(lái)講解DCFS的相關(guān)配置。版本說(shuō)明本文檔驗(yàn)證版本如下:DCFS:V5.0ForDCFS-850020090909發(fā)布版本DCBI:V3.020091010版本Client:20090617即3.5.05.0617版本網(wǎng)絡(luò)拓?fù)浼靶枨竺枋鐾負(fù)浣Y(jié)構(gòu)需求描述:采用有限流量包月預(yù)付策略內(nèi)部所有用戶訪問(wèn)外部門(mén)戶站點(diǎn)*.163.com免認(rèn)證、不計(jì)流量PC2訪問(wèn)DCBIServer的Userweb自服務(wù)免認(rèn)證、不記流量/24(包括PC1、PC2)訪問(wèn)Internet其它資源需認(rèn)證且記錄流量配置步驟DCFS提供WEB界面配置方式。定義網(wǎng)絡(luò)接口名稱(chēng)首先配置地址對(duì)象在“對(duì)象管理”—“地址對(duì)象管理”中點(diǎn)擊“新增地址對(duì)象”,添加PC2,如圖并依次添加門(mén)戶站點(diǎn)163.com的地址段(從DNS解析來(lái)看屬于/24地址段)、免認(rèn)證及免計(jì)費(fèi)目標(biāo)主機(jī)45,添加完畢后的地址對(duì)象為:其次定義預(yù)置安全策略在“控制策略”--“預(yù)置安全策略”中,可以定義源IP、目標(biāo)IP、服務(wù)之間的放行、認(rèn)證、阻斷等關(guān)系(注:是否計(jì)算流量并不在這里控制,詳見(jiàn)下文4.5章節(jié)),規(guī)則設(shè)計(jì)非常靈活,由于DCFS在處理時(shí)會(huì)依據(jù)預(yù)置安全策略中規(guī)則的前后順序進(jìn)行匹配,所以DCFS中預(yù)置安全策略中各規(guī)則的前后順序非常重要。第一步:在配置之前,為了放行DNS和ICMP報(bào)文(對(duì)于DNS在DCFS外側(cè)情況是必須放行DNS報(bào)文,DCFS對(duì)DNS報(bào)文進(jìn)行檢測(cè),可以阻斷netpas軟件冒充的DNS報(bào)文。),需要先定義該規(guī)則,點(diǎn)擊“預(yù)置安全策略”中的“新增規(guī)則”,在“常規(guī)”欄中定義名稱(chēng)為“放行DNS及ICMP”,操作為“放行”,接口根據(jù)需要進(jìn)行選擇,選中“雙向匹配”選項(xiàng)(一定要選擇該選項(xiàng),否則DNS、ICMP回應(yīng)報(bào)文會(huì)被DCFS阻斷)配置如下:在“協(xié)議”中選擇DNS和ICMP,如下:點(diǎn)擊“設(shè)定”后進(jìn)行生成此規(guī)則,如圖:第二步:其次要放行訪問(wèn)門(mén)戶網(wǎng)站163的所有數(shù)據(jù),定義規(guī)則名稱(chēng)為“放行163”,配置如下:在目標(biāo)選項(xiàng)中選擇地址對(duì)象管理中添加的“門(mén)戶163”第三步,放行pc2訪問(wèn)特定主機(jī)DCBIServer,添加步驟如下:第四步添加認(rèn)證計(jì)費(fèi)規(guī)則,“常規(guī)欄”定義規(guī)則名稱(chēng)為“認(rèn)證規(guī)則”,操作選擇“攔截”,在出現(xiàn)的認(rèn)證選項(xiàng)中選擇“WEB/客戶端認(rèn)證”,接口根據(jù)實(shí)際情況選擇,并選中“雙向匹配”選項(xiàng):在“來(lái)源”欄選擇“未認(rèn)證的用戶”規(guī)則添加完畢后如下:對(duì)于WEB頁(yè)面認(rèn)證,首先設(shè)置認(rèn)證門(mén)戶設(shè)置在“控制策略”—“認(rèn)證門(mén)戶設(shè)置”中定義“認(rèn)證門(mén)戶頁(yè)面URL”,一般而言,該認(rèn)證門(mén)戶頁(yè)面URL為“http://DCFS_IP”,頁(yè)面引導(dǎo)方式使用默認(rèn)值:“由接口原路返回”,如下圖:點(diǎn)擊“設(shè)定”確認(rèn)操作。設(shè)置完成后會(huì)提示是否重啟門(mén)戶服務(wù),點(diǎn)擊“確定”進(jìn)行門(mén)戶服務(wù)重啟,如下:設(shè)定認(rèn)證策略即Radius相關(guān)及其它參數(shù)在“策略設(shè)置”—“認(rèn)證策略設(shè)置”中定義Radius相關(guān)參數(shù),如下圖:其中【認(rèn)證方式】“認(rèn)證方式”選項(xiàng)有“DCBI認(rèn)證”、“本地認(rèn)證”、“Radius認(rèn)證”、“DCSM認(rèn)證”,DCBI認(rèn)證即通過(guò)神州數(shù)碼DCBI認(rèn)證系統(tǒng)進(jìn)行認(rèn)證,本地認(rèn)證即使用DCFS本地創(chuàng)建用戶進(jìn)行認(rèn)證,Radius認(rèn)證指使用其它Radius系統(tǒng)進(jìn)行認(rèn)證?!菊J(rèn)證服務(wù)器地址】指DCBI服務(wù)器或其它Radius的IP地址。【本地NAS地址】指DCFS的IP地址?!居?jì)費(fèi)服務(wù)端口】指DCBI或Radius服務(wù)器上的認(rèn)證端口,一般為1812,而計(jì)費(fèi)端口為認(rèn)證端口+1,一般為1813【計(jì)費(fèi)密鑰】指Radiuskey,此值需要與DCBI或Radius上定義該DCFS即RadiusClient時(shí)的key一致。【登陸空閑超時(shí)時(shí)間】該選項(xiàng)定義了客戶端/PCWEB連接頁(yè)面與DCFS在認(rèn)證成功之后?;畹某瑫r(shí)時(shí)間,一旦?;钍?,則DCFS將向DCBI發(fā)送計(jì)費(fèi)終止報(bào)文,并同時(shí)置該用戶為未認(rèn)證通過(guò)狀態(tài)?!镜顷懞髲棾鲰?yè)面的URL】該選項(xiàng)定義了WEB認(rèn)證連接成功后跳轉(zhuǎn)頁(yè)面。類(lèi)似與DCBAwebpurl<address>\webpredirect_urlenable。目前版本未提供跳轉(zhuǎn)功能關(guān)閉功能。且跳轉(zhuǎn)功能無(wú)效。研發(fā)解決中?!網(wǎng)EB認(rèn)證保活選項(xiàng)】該選項(xiàng)有三個(gè)值:“基于WEB頁(yè)面?;睢薄ⅰ盎趩蜗蛴脩袅髁勘;睢?、“基于雙向用戶流量?;睢?。基于WEB頁(yè)面保活:即指PC通過(guò)WEB頁(yè)面認(rèn)證成功后得到了認(rèn)證連接窗口(該連接窗口每分鐘會(huì)更新一次用戶在線時(shí)間、入出流量),該窗口會(huì)于DCFS進(jìn)行保活,即通過(guò)每分鐘更新用戶在線時(shí)間、入出流量的方式來(lái)完成?;睢;赪EB頁(yè)面保活情況下由PC的連接窗口主動(dòng)發(fā)起?;钫?qǐng)求,而客戶端認(rèn)證情況下,是客戶端主動(dòng)發(fā)起保活請(qǐng)求?;趩蜗蛴脩袅髁勘;睿褐敢罁?jù)用戶是否有出流量的方式確定用戶是否在線--而不是依據(jù)?;顖?bào)文來(lái)確定,如果發(fā)現(xiàn)該用戶有出流量,即認(rèn)為該用戶在線,即便每分鐘的?;钍。▽?shí)測(cè)時(shí)在pc與DCFS架設(shè)DCS-3950-X,認(rèn)證成功后阻斷pc2至DCFS的tcp80報(bào)文--表現(xiàn)為1分鐘后連接窗口為空白內(nèi)容,同時(shí)pc2長(zhǎng)ping外網(wǎng)ip,DCFS在保活失效情況下也不阻斷該用戶)。具體粒度:在登陸空閑超時(shí)時(shí)間內(nèi)不管哪個(gè)方向只要有流量,則不會(huì)斷開(kāi)。基于雙向用戶流量?;睿褐敢罁?jù)用戶是否有入/出流量的方式確定用戶是否在線--而不是依據(jù)保活報(bào)文來(lái)確定,如果發(fā)現(xiàn)該用戶有出流量,即認(rèn)為該用戶在線,即便每分鐘的?;钍?。具體粒度:在登陸空閑超時(shí)時(shí)間內(nèi)只要兩個(gè)方向均有流量,則不會(huì)斷開(kāi)?!網(wǎng)EB認(rèn)證Coockie選項(xiàng)】該選項(xiàng)有兩個(gè)值:基于瀏覽器當(dāng)前窗口保活、基于客戶端瀏覽器?;?。該選項(xiàng)兩個(gè)參數(shù)對(duì)應(yīng)用的區(qū)別如下:基于瀏覽器當(dāng)前窗口?;钤谟脩暨B接窗口所在的瀏覽器異常退出或者直接關(guān)閉后,如果再打開(kāi)瀏覽器輸入外部url,則得到認(rèn)證頁(yè)面即必須重新認(rèn)證。而基于客戶端瀏覽器?;钤谠谟脩暨B接窗口所在的瀏覽器異常退出或者直接關(guān)閉后,再打開(kāi)瀏覽器輸入外部url時(shí)可以直接訪問(wèn)外網(wǎng)站點(diǎn),無(wú)需認(rèn)證?!玖髁砍鱿揞~處理選項(xiàng)】該選項(xiàng)在計(jì)費(fèi)策略為流量預(yù)付時(shí)會(huì)生效,其它計(jì)費(fèi)策略下不會(huì)生效。當(dāng)使用流量預(yù)付、有限流量包月預(yù)付策略時(shí)建議選擇僅總流量超額后強(qiáng)制下線,當(dāng)使用國(guó)內(nèi)外區(qū)分費(fèi)率流量預(yù)付策略時(shí)根據(jù)需要選擇總流量超額后強(qiáng)制下線或僅國(guó)際流量超額后強(qiáng)制下線或總流量或國(guó)際流量超額后強(qiáng)制下線。該選項(xiàng)有四個(gè)值:不啟用強(qiáng)制下線、僅總流量超額后強(qiáng)制下線、僅國(guó)際流量超額后強(qiáng)制下線、總流量或國(guó)際流量超額后強(qiáng)制下線?!痉浪浇?克隆選項(xiàng)】啟用防NAT私接功能選項(xiàng),指防止客戶端使用Router撥號(hào),該選項(xiàng)對(duì)WEB頁(yè)面認(rèn)證無(wú)效。類(lèi)似于DCBA的setchk_cli_ipon。啟用防pc克隆功能選項(xiàng),指防止用戶使用克隆方式盜用,開(kāi)啟該功能后,使用WEB頁(yè)面認(rèn)證,可以認(rèn)證通過(guò),但客戶端無(wú)法得到認(rèn)證連接窗口,且無(wú)法訪問(wèn)外部任何站點(diǎn)??蛻舳吮仨毎惭b防克隆驅(qū)動(dòng)后才能訪問(wèn)外網(wǎng)網(wǎng)絡(luò)(對(duì)應(yīng)Clientconfig.ini中DriverFlag=1)。上述兩個(gè)選項(xiàng)均全局生效。【設(shè)置認(rèn)證方式】DCFS對(duì)認(rèn)證用戶可以控制其認(rèn)證方式,示例中對(duì)7-0的源IP地址的認(rèn)證方式不做限制,定義20-30的源IP地址只能使用client認(rèn)證方式。(這些源IP地址訪問(wèn)外網(wǎng)時(shí)可以得到WEB認(rèn)證頁(yè)面,但輸入正確的用戶名和密碼后會(huì)得到WEB認(rèn)證被阻止的提示信息。)流量相關(guān)策略設(shè)置在“策略設(shè)置”--“計(jì)費(fèi)策略設(shè)置”中定義流量相關(guān)策略。其中類(lèi)別為免費(fèi)流量的定義對(duì)于任何流量相關(guān)的計(jì)費(fèi)策略均相關(guān),而類(lèi)別為國(guó)際、國(guó)內(nèi)流量的定義僅僅與國(guó)內(nèi)外流量區(qū)分計(jì)費(fèi)(預(yù)付/后付)策略有效。DCFS默認(rèn)所有流量均定義為國(guó)內(nèi)流量,所有如果使用國(guó)內(nèi)外流量區(qū)分計(jì)費(fèi)策略,則需要定義國(guó)際流量地址段。定義類(lèi)別為免費(fèi)的特殊流量(注:不管“控制策略”—“認(rèn)證控制策略”中【流量超出限額處理選項(xiàng)】的選項(xiàng)如何定義,對(duì)于免費(fèi)類(lèi)型的流量,既不會(huì)統(tǒng)計(jì)在下發(fā)的流量限制中--即不會(huì)因?yàn)槊赓M(fèi)類(lèi)型流量被強(qiáng)制下線,也不會(huì)在用戶下線后作為統(tǒng)計(jì)為用戶流量計(jì)入上網(wǎng)日志。)在3.2第三步中,定義了pc2訪問(wèn)45為免認(rèn)證,如果不做其他設(shè)置,pc2認(rèn)證后訪問(wèn)45,則訪問(wèn)所導(dǎo)致的流量也會(huì)計(jì)入用戶流量(當(dāng)然如果pc2未認(rèn)證,訪問(wèn)45的流量不會(huì)記錄,因?yàn)楦緵](méi)有上網(wǎng)記錄)。A、定義訪問(wèn)pc2訪問(wèn)45時(shí)不統(tǒng)計(jì)流量。在“策略設(shè)置”--“計(jì)費(fèi)策略設(shè)置”中新建免費(fèi)策略,“常規(guī)設(shè)置”欄中定義策略名稱(chēng)為“pc2-245不統(tǒng)計(jì)流量”,如下:B、“計(jì)費(fèi)對(duì)象”欄中選擇“pc2-226”(如果計(jì)費(fèi)對(duì)象欄中不選擇任何對(duì)象,則表示任何源主機(jī)訪問(wèn)該目標(biāo)均不統(tǒng)計(jì)流量)C、“計(jì)費(fèi)目標(biāo)”欄中定義目標(biāo)為“Free-245”D、點(diǎn)擊“設(shè)定”創(chuàng)建此免費(fèi)策略,得到如下策略信息:同理,如果在步驟C中同時(shí)選擇地址:門(mén)戶163,則訪問(wèn)所有163的流量均不會(huì)被記錄。定義屬于國(guó)際流量的IP目標(biāo)地址段第一步在“對(duì)象管理”—“地址對(duì)象管理”中創(chuàng)建國(guó)際網(wǎng)段,示例中定義/24網(wǎng)段為國(guó)際網(wǎng)段,如圖第二步在“控制策略”—“計(jì)費(fèi)策略設(shè)置”中新增“新增國(guó)際計(jì)費(fèi)策略”,在DCFS上定義計(jì)費(fèi)目標(biāo)為上述創(chuàng)建的國(guó)際網(wǎng)段所代表的/24的流量為國(guó)際流量,如下:類(lèi)型不屬于免費(fèi)、國(guó)際的其他流量均為國(guó)內(nèi)流量。針對(duì)DCFS,DCBI下發(fā)速率控制的配置在使用DCBA時(shí),DCBI針對(duì)每個(gè)用戶認(rèn)證時(shí)將用戶所屬計(jì)費(fèi)策略中定義的外網(wǎng)上下行帶寬分配給DCBA,從而DCBA進(jìn)行速率控制。在使用DCFS時(shí),并沒(méi)有沿用這一方法。因?yàn)镈CFS之前就具備較好的速率控制方法。但之前DCFS實(shí)施速率控制時(shí)是依據(jù)源IP做控制的。在實(shí)際環(huán)境中,可能存在同一網(wǎng)段的兩個(gè)用戶認(rèn)證后獲得的外網(wǎng)上下行速率不一致的情況,如果使用DCBA,則這兩個(gè)用戶分屬不同計(jì)費(fèi)策略就可以實(shí)現(xiàn)(20090226之前DCBI版本速率控制則是由授權(quán)組控制的)。如果使用DCFS,如果按照源IP的方式就沒(méi)有辦法實(shí)現(xiàn)靈活控制(DCFS定義大量的IP地址或IP地址段,根據(jù)源IP進(jìn)行控制情況下,必然要求用戶的IP地址是固定的或者屬于特定范圍),所有DCFS創(chuàng)造了根據(jù)用戶組的方式來(lái)限制速率的方法,用戶認(rèn)證時(shí)獲得用戶組屬性—由DCBI授權(quán)組中的“DCBA策略組”定義,如果下發(fā)的策略組名稱(chēng)與DCFS上定義的用戶組名稱(chēng)一致,則速率控制由DCFS的“控制策略”—“帶卡分配策略”或“二級(jí)帶寬策略”中來(lái)源為“DCBA策略組”名稱(chēng)的帶寬管理策略所控制。(注:如果實(shí)現(xiàn)上下行帶寬單獨(dú)控制,則帶寬通道管理--常規(guī)設(shè)置--策略類(lèi)型選擇“雙向控制”,通道管理--常規(guī)設(shè)置—終端設(shè)置定義帶寬上限為“下行速率/上行速率”,例如1M/128K即表示下行1M上行128K帶寬控制(如果僅定義一個(gè)數(shù)值,例如128K,則表示上下行速率均控制在128K)。如果通道管理--常規(guī)設(shè)置--策略類(lèi)型選擇“單向控制”,則表示僅對(duì)下行速率進(jìn)行控制。)相關(guān)配置步驟DCBI用戶關(guān)聯(lián)的授權(quán)組中定義“DCBA策略組”如下圖,DCBA策略組名稱(chēng)為“test”在DCFS的“對(duì)象管理”--“用戶組管理”中添加用戶組,名稱(chēng)也為“test”。添加完畢如下圖:在“控制策略”--“帶寬通道管理”中添加帶寬通道定義策略名稱(chēng)為“出口2M”,接口帶寬為2
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 告別沈從文課件
- 少兒街舞 課件
- 籃球課件 英語(yǔ)
- 第二講 寫(xiě)寫(xiě)身邊的人(看圖寫(xiě)話教學(xué))-二年級(jí)語(yǔ)文上冊(cè)(統(tǒng)編版)
- 勝似親人 課件
- 西京學(xué)院《影視美學(xué)》2021-2022學(xué)年第一學(xué)期期末試卷
- 關(guān)于情緒 課件
- 三角形的高 (微課課件)
- 西京學(xué)院《紀(jì)錄片創(chuàng)作》2022-2023學(xué)年第一學(xué)期期末試卷
- 西京學(xué)院《采訪與寫(xiě)作》2021-2022學(xué)年第一學(xué)期期末試卷
- 高速公路改擴(kuò)建中央分隔帶光纜保通實(shí)施性方案
- 用電檢查培訓(xùn)
- 弘揚(yáng)偉大長(zhǎng)征精神圖文.ppt
- 西南石油大學(xué) 《油藏工程》教學(xué)提綱+復(fù)習(xí)提綱)PPT精品文檔
- 六年級(jí)數(shù)學(xué)下冊(cè) 圓錐的體積教案 西師大版 教案
- 企業(yè)質(zhì)量管理體系程序文件(全套)
- 莫迪溫產(chǎn)品介紹
- 天津市寶坻區(qū)土地利用總體規(guī)劃(2015-2020年)
- 話劇《阮玲玉》
- 電子商務(wù)十大風(fēng)云人物
- [專(zhuān)業(yè)英語(yǔ)考試復(fù)習(xí)資料]專(zhuān)業(yè)八級(jí)分類(lèi)模擬41
評(píng)論
0/150
提交評(píng)論