目录
Ⅰ 场景概述
大二层认证+VSU+WS+MSC-ED双机双卡场景
拓扑:
说明:
Ⅱ 原理说明
- 卡
MSC卡主要是提供流量计费、流控、URL审计的功能。
如下图所示在,MSC卡采用是pbr均衡的方式,校内访问校外的流量被pbr到两张计费卡的lan 口,组成一个ecmp,采用的是源ip均衡。校外的流量访问校内被pbr到两张计费卡的wan口,采用的是目的ip均衡。
假设MSC卡1和MSC卡2的MAC分别是NH1和NH2。对内网访问外网的流采用SIP均衡,对外网回来的报文采用DIP均衡,是用PBR将两个流量相同的下一跳组{NH1,NH2},而路由内部对下一跳组成员进行MAC排序,故最终PBR指向相同的ECMP组,同一个会话流量会均衡到同一计费卡。这个均衡方式的变更需要采用基于策略的ecmp均衡算法的变更,策略模块提供指定均衡方式的下一跳行为。
流量计费卡引流
Ⅲ 传统极简+MSC配置举例
一、概述
1、MSC-ED系列是锐捷新推出的多业务卡产品,是锐捷网络面向网关认证计费场景特别开发的一款业务模块板卡,是业界首次在交换机实现多种部署模式的认证计费业务模块,适用于RG-N18000系列新一代云架构网络核心交换机,支持按流量计费,URL审计和流控功能
2、MSC-ED卡需要配置时钟同步协议,默认会以Internet上的服务器作为SNTP Server,但如果计费卡无法上网建议把SNTP Server改成18K的IP,并且在N18k上使能时钟协议,N18K、MSC、SAM三者时间的一致性,方能保证用户计费以及实名审计的准确性。
3、本方案为“极简”功能+MSC-ED线卡的组合。(在极简X的多业务承载网的基础上同样适用,无差别)
1、如图所示,线卡与18K之间的数据交互是通过内联接口进行的
2、在本方案中,MSC-ED卡插在N18K的3槽位,在N18K上show interface status可以看到该槽位对应的端口有7个,仅有3个可以使用。
其中可以使用的端口为:3/3 3/4 3/5
分别对应MSC线卡接口:0/1 0/2 0/3
端口有严格的业务规划,部署业务时切勿颠倒使用
端口解释:
LAN接口:用户侧通往互联网的上行流量端口,需要进入LAN接口;
WAN接口:互联网返回到用户侧的下行流量端口,需要进入WAN接口;
管理口:用户18K与MSC线卡之间内部数据库、时钟同步的通道。
引流上行逻辑(pbr-upload): IN→1/2→3/3→0/1→0/2→3/4→1/1→OUT
引流下行逻辑(pbr-download): IN→1/1→3/4→0/2→0/1→3/3→1/2→OUT
(注:1/1为核心与上连设备互联接口,1/2为核心与汇聚设备互联接口)
DSW-18KX_LX(config)#clock timezone dongba +8 0
DSW-18KX_LX(config)#ntp master 8 // N18K为系统时间源,为MSC业务卡提供ntp server服务,时钟同步功能首要必配
DSW-18KX_LX(config)#web-auth acct-method ipfix //web认证记账方式设置为IPFIX方式
DSW-18KX_LX(config)#ip auth-flow export destination 172.29.2.9 4739 //将流量信息上传到SAM服务器
DSW-18KX_LX(config)#ip access-list extended AUTHUSER
DSW-18KX_LX(config-ext-nacl)# 10 permit ip 10.0.0.0 0.255.255.255 any //标记出方向的用户流量
DSW-18KX_LX(config)#ip access-list extended AUTH-IN
DSW-18KX_LX(configconfig-ext-nacl)# 10 permit ip any 10.0.0.0 0.255.255.255 // 标记入方向的用户流量
DSW-18KX_LX(config)#route-map pbr-upload permit 10 //配置上行PBR引流策略
DSW-18KX_LX(config-route-map)# match ip address AUTHUSER
DSW-18KX_LX(config-route-map)# set ip policy no-ttl-decrease //不扣除进MSC的TTL跳数(必配)
DSW-18KX_LX(config-route-map)# set ip next-hop 10.0.20.2 //对于MSC业务卡,WAN固定为Te 0/2、LAN固定为 Te0/1
DSW-18KX_LX(config)#route-map pbr-download permit 10 //配置下行PBR引流策略
DSW-18KX_LX(config-route-map)# match ip address AUTH-IN
DSW-18KX_LX(config-route-map)# set ip policy no-ttl-decrease //不扣除进MSC的TTL跳数(必配)
DSW-18KX_LX(config-route-map)# set ip next-hop 10.0.21.2 //对于MSC业务卡,WAN固定为Te 0/2、LAN固定为 Te0/1
DSW-18KX_LX(config)#interface VLAN 2000 //办公区网关
DSW-18KX_LX(config-if-VLAN 2000)#ip policy route-map pbr-upload // 业务出口进行PBR引流使能
DSW-18KX_LX(config)#interface VLAN 2001 //宿舍区网关
DSW-18KX_LX(config-if-VLAN 2001)#ip policy route-map pbr-upload // 业务出口进行PBR引流使能
DSW-18KX_LX(config)#interface GigabitEthernet 1/1 //核心N18K与出口设备互联接口
DSW-18KX_LX(config-if-GigabitEthernet 1/1)# ip policy route-map pbr-download //业务入口进行PBR引流使能
DSW-18KX_LX(config)#interface GigabitEthernet 3/3 //内联接口
DSW-18KX_LX(config-if-GigabitEthernet 3/3)#no switchport
DSW-18KX_LX(config-if-GigabitEthernet 3/3)# description linkto-msc-1port-LAN
DSW-18KX_LX(config-if-GigabitEthernet 3/3)# ip address 10.0.20.1 255.255.255.0
DSW-18KX_LX(config)#interface GigabitEthernet 3/4 //内联接口
DSW-18KX_LX(config-if-GigabitEthernet 3/4)#no switchport
DSW-18KX_LX(config-if-GigabitEthernet 3/4)#description linkto-msc-2port-WAN
DSW-18KX_LX(config-if-GigabitEthernet 3/4)#ip address 10.0.21.1 255.255.255.0
DSW-18KX_LX(config)#interface GigabitEthernet 3/5 //内联接口
DSW-18KX_LX(config-if-GigabitEthernet 3/5)#no switchport
DSW-18KX_LX(config-if-GigabitEthernet 3/5)#description linkto-msc-3port-MG
DSW-18KX_LX(config-if-GigabitEthernet 3/5)# ip address 10.0.3.254 255.255.255.0
MSC(config)# sys-mode gateway //MSC需要配置变更为网关模式;此动作,线卡会进行自动重启
MSC(config)# ip access-list standard PBR-ACL
MSC(configconfig-ext-nacl)# 10 permit any
MSC(config)# route-map Te0/1 permit 10
MSC(config-route-map)# match ip address PBR-ACL
MSC(config)# set ip next-hop 10.0.21.1
MSC(config)# route-map Te0/2 permit 10
MSC(config-route-map)# match ip address PBR-ACL
MSC(config)# set ip next-hop 10.0.20.1
MSC(config)# interface TenGigabitEthernet 0/1
MSC(config-if-TenGigabitEthernet 0/1)# ip address 10.0.20.2 255.255.255.0
MSC(config-if-TenGigabitEthernet 0/1)# ip policy route-map Te0/1
MSC(config)# interface TenGigabitEthernet 0/2
MSC(config-if-TenGigabitEthernet 0/2)# ip address 10.0.21.2 255.255.255.0
MSC(config-if-TenGigabitEthernet 0/2)# ip policy route-map Te0/2
MSC(config)# interface TenGigabitEthernet 0/3
MSC(config-if-TenGigabitEthernet 0/3)# ip address 10.0.3.1 255.255.255.0
MSC(config-if-TenGigabitEthernet 0/3)# nexthop 10.0.3.2
1、MSC卡时钟同步配置(必配)
2、开启与N18K联动
3、 IPFIX流量计费配置
step1、添加老师组IP对象
step2、配置策略1:源IP ID为组1(老师网段)的流量类型为“免计费流量”;
step3、配置策略2:除老师组外,其余任意IP段流量为“国内计费”
4、 流量控制配置
step1、新建一条流控策略
step2、学生通道1M,保障0.5M,per-ip限速100kbps,(可根据实际需求做调整)
step3、选择用户
一般情况下,MSC支持基于用户组识别的限速,SAM+通过将网关策略名同步给MSC卡作为MSC卡的用户组。
所以在这一步如果无法找到对应的用户组,请参考上一步骤内容,解决用户组不同步问题。
step4、配置完成
step5、首次实施的时候,外部用户组里面是没用SAM上面的任何组织架构信息,所有需要定义一个IP段来挑选出这部分流量,让流控先生效,这样MSC上面就可以看到SAM同步过来的用户信息组,然后在重新编辑修改策略,在MSC上选择相应的SAM上面的组织,再做细化的 精细的流控策略
step6、用户认证通过后可通过在1该指令在18K查看用户组是否同步下发。
六、SAM+配置命令参考:
step1、点击管理系统 >设备管理,N18开启大网关模式
step2、自定义计费规则,学生上行,学生下行
step3、新建计费策略
step4、计费策略中选择计费规则
step5、用户模板套餐中关联计费策略
step6、用户认证登录
Ⅳ 多业务承载网+SC+MSC配置举例
一、原理介绍:
方案配合MSC多功能业务卡实现认证、计费、限速 三大主要功能。MSC的部署详见传统极简实施一本通,本章主要介绍MSC与其他方案的融合使用的关键点。
二、控制器及设备配置:
【控制器配置】
在极简X中,如果需要将MSC与SC/FW融合使用的话,只能将MSC当做SC的一个服务节点。控制器配置的时候只能将MSC配置成一个路由双臂的服务节点。
1、单张MSC计费卡
1)创建服务节点
2)创建服务链
3)创建业务编排
2、多张MSC计费卡
环境存在多张防火墙计费卡与SC共用时,每张MSC都当做SC的一个路由双臂节点,但是要均衡部署,不能串行部署,串行部署的话会导致流量经过多张计费卡,计费多次。
1)创建服务节点的方式同上
2)创建服务链(多张计费卡需要分别部署在不同服务链上)
如下图,两条服务链MSC2-引流和MSC引流,分别包含了一张计费卡。
3)创建业务编排
存在多张计费卡,一定要选择均衡模式
三、注意事项:
1、 MSC与SC共用,只是将其当成SC的一个服务节点。
3700
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
