华为目的地址计费DAA配置指南

小乔

DAA简介
定义
目的地址计费DAA（Destination Address Accounting），是一种根据用户访问的目的地址进行精细化流量计费的技术。

目的
在校园网等可运营网络场景中，一般情况下，当用户访问内网资源时，运营商不收费；而当用户访问外网资源时，运营商需要收取一定费用。

通过DAA技术，可以在园区内网、外网分离控制的基础上，按照目的地址区分不同的业务类型并实施不同的流量统计和计费策略，最终实现基于业务的精细化运营计费功能。

基本概念

• 流量识别：按照用户访问的目的IP地址对流量进行分类。
• 费率级别：用来标识特定目的地址的数据流，目的是使设备可以根据费率级别来实现不同的流量统计或计费策略。
• 流量组：将识别出的流量与费率级别进行关联。
  

实现机制

DAA业务基本组网模型如图2-1所示，Router和计费服务器配合完成按照目的地址进行计费的功能。

图2-1  DAA业务基本组网模型图

                               
登录/注册后可看大图

对于一次用户认证上网过程，DAA业务的处理流程如下：

                               
登录/注册后可看大图

本流程省略用户进行认证的过程，假设已经认证成功。

• 用户正常上网并产生流量。
• 当用户访问Network1和Network2时，设备解析出流量中的目的地址，通过ACL流量规则来进行流量识别。
• 识别出流量后，设备获取ACL对应的费率级别，将流量映射到指定的费率级别。
• 设备按照费率级别对用户的流量信息进行统计。
• （可选）设备每隔一定的时间向计费服务器发送实时计费报文，并在此报文中携带每个费率级别对应的流量统计信息。
• （可选）计费服务器接收到实时计费报文后，解析出报文中每个费率级别的流量信息，按照一定的计费规则进行实时计费。
• 用户下线时，设备向计费服务器发送计费结束报文，此报文中携带用户此次上网每个费率级别的全部流量信息。
• 计费服务器接收到计费结束报文后，解析出报文中每个费率级别在此次上网过程中的所有流量信息，按照一定的计费规则进行计费。
• 用户上网过程结束。
  

配置对指定网络进行计费示例组网需求

如图2-3所示，校园网内Portal用户通过Router访问校园网络Network1（192.168.100.0/24）和Network2（10.102.64.0/24）的各种资源。Network1为免费资源，Network2需要按照流量收取相应费用。

此时，可以在Router上部署DAA功能，当用户访问Network1时，不收取费用；但当用户访问Network2时，会按照访问的流量来收取费用。

图2-3  配置对指定网络进行计费组网图

                               
登录/注册后可看大图

配置思路

采用如下的思路配置DAA示例：

• 创建VLAN并配置接口允许通过的VLAN，保证网络通畅。
• 创建并配置RADIUS服务器模板、AAA方案以及域，并在域下绑定RADIUS服务器模板与AAA方案，保证设备与RADIUS服务器之间的信息交互。
• 配置Portal认证，使用户终端能够通过Portal认证方式接入网络。
• 配置DAA，根据用户访问的目的地址进行计费。
  
  • 配置流量识别规则，针对两个不同网段，按照用户访问的目的地址的不同对流量进行分类。
  • 配置流量的费率级别，为去往两个不同网段的流量指定不同的费率级别。其中，去往Network1流量的费率级别为1，去往Network2流量的费率级别为2。
  • 根据费率级别分别配置流量的计费策略：
    
    • 对于费率级别1，统计流量但不计费。
    • 对于费率级别2，统计流量并且计费。
      

操作步骤
配置与用户连接的接口Eth0/0/0
<Huawei> system-view
[Huawei] sysname Router
[Router] interface ethernet 0/0/0
[Router-Ethernet0/0/0] undo portswitch
[Router-Ethernet0/0/0] ip address 192.168.10.1 24
[Router-Ethernet0/0/0] quit
配置AAA
# 配置RADIUS服务器模板shiva。RADIUS认证服务器的IP地址是10.7.66.66，端口为1812；RADIUS计费服务器的IP地址为10.7.66.66，端口为1813；共享密钥为Huawei@123。


[Router] radius-server template shiva
[Router-radius-shiva] radius-server authentication 10.7.66.66 1812
[Router-radius-shiva] radius-server accounting 10.7.66.66 1813
[Router-radius-shiva] radius-server shared-key cipher Huawei@123
[Router-radius-shiva] quit
# 配置认证方案auth，认证模式为RADIUS认证。


[Router] aaa
[Router-aaa] authentication-scheme auth
[Router-aaa-authen-auth] authentication-mode radius
[Router-aaa-authen-auth] quit
# 配置计费方案abc，计费模式为RADIUS计费。


[Router-aaa] accounting-scheme abc
[Router-aaa-accounting-abc] accounting-mode radius
[Router-aaa-accounting-abc] quit
# 配置AAA域huawei，在域下应用认证方案auth、计费方案abc和RADIUS模板shiva。


[Router-aaa] domain huawei
[Router-aaa-domain-huawei] authentication-scheme auth
[Router-aaa-domain-huawei] accounting-scheme abc
[Router-aaa-domain-huawei] radius-server shiva
[Router-aaa-domain-huawei] quit
[Router-aaa] quit
配置DAA
# 配置流量的识别规则ACL规则3000和ACL规则3001。


[Router] acl 3000
[Router-acl-adv-3000] rule 1 permit ip destination 192.168.100.0 0.0.0.255
[Router-acl-adv-3000] quit
[Router] acl 3001
[Router-acl-adv-3001] rule 1 permit ip destination 10.102.64.0 0.0.0.255
[Router-acl-adv-3001] quit
# 配置流量的费率级别。其中，访问目的网络192.168.100.0/24的流量费率级别为1，访问目的网络10.102.64.0/24的流量费率级别为2。


[Router] traffic-group huawei
[Router-traffic-group-huawei] acl 3000 tariff-level 1
[Router-traffic-group-huawei] acl 3001 tariff-level 2
[Router-traffic-group-huawei] quit
[Router] traffic-group huawei enable
# 配置流量计费。


[Router] qos-profile huawei
[Router-qos-profile-huawei] statistics enable
[Router-qos-profile-huawei] quit
[Router] aaa
[Router-aaa] domain huawei
[Router-aaa-domain-huawei] tariff-level 1 qos-profile huawei
[Router-aaa-domain-huawei] tariff-level 2 qos-profile huawei accounting-on
[Router-aaa-domain-huawei] quit
[Router-aaa] quit
配置Portal认证
# 配置Portal服务器模板“abc”。
[Router] web-auth-server abc
[Router-web-auth-server-abc] server-ip 10.7.66.66
[Router-web-auth-server-abc] port 50200
[Router-web-auth-server-abc] url http://10.7.66.66:8080/webagent
[Router-web-auth-server-abc] shared-key cipher Huawei@123
[Router-web-auth-server-abc] quit
# 配置Portal接入模板“web1”。
[Router] portal-access-profile name web1
[Router-portal-acces-profile-web1] web-auth-server abc layer3
[Router-portal-acces-profile-web1] quit
# 配置免认证规则模板“default_free_rule”，放通到DNS服务器的报文。
[Router] free-rule-template name default_free_rule
[Router-free-rule-default_free_rule] free-rule 1 destination ip 10.7.66.65 mask 32
[Router-free-rule-default_free_rule] quit
# 配置认证模板“p1”，并在其上绑定Portal接入模板“web1”、指定认证模板下用户的强制认证域为“huawei”、绑定免认证规则模板为“default_free_rule”。


[Router] authentication-profile name p1
[Router-authen-profile-p1] portal-access-profile web1
[Router-authen-profile-p1] access-domain huawei force
[Router-authen-profile-p1] free-rule-template default_free_rule
[Router-authen-profile-p1] quit
# 在接口Eth0/0/0上绑定认证模板“p1”，使能Portal认证。


[Router] interface ethernet 0/0/0
[Router-Ethernet0/0/0] authentication-profile p1
[Router-Ethernet0/0/0] quit
验证配置结果
# 执行命令display traffic-group name group-name，查看流量组huawei中的信息。


[Router] display traffic-group name huawei
  ----------------------------------------------------------------------------
  Acl-id                Tariff-level                             
  ----------------------------------------------------------------------------
  3000                      1                          
  3001                      2                     
  ----------------------------------------------------------------------------
  Total: 2  
配置文件
Router的配置文件


#
sysname Router
#
authentication-profile name p1
portal-access-profile web1
free-rule-template default_free_rule
access-domain huawei force
#
radius-server template shiva
radius-server shared-key cipher %^%#}O.80;*E;-a|55;)dmDEL;b!0YmhAPafqkV{CMf;%^%#
radius-server authentication 10.7.66.66 1812 weight 80
radius-server accounting 10.7.66.66 1813 weight 80
#
acl number 3000
rule 1 permit ip destination 192.168.100.0 0.0.0.255
acl number 3001
rule 1 permit ip destination 10.102.64.0 0.0.0.255
#
qos-profile huawei
  statistics enable
#
free-rule-template name default_free_rule
free-rule 1 destination ip 10.7.66.65 mask 255.255.255.255
#
web-auth-server abc
server-ip 10.7.66.66
port 50200
shared-key cipher %^%#'=oP;*.KKUSPqB7M5Cf2G)!!!t/&,$!!!!!!!!!!%^%#
url http://10.7.66.66:8080/webagent
#
portal-access-profile name web1
web-auth-server abc layer3
#
aaa
authentication-scheme auth
  authentication-mode radius
accounting-scheme abc
  accounting-mode radius
domain huawei
  authentication-scheme auth
  accounting-scheme abc
  radius-server shiva
  tariff-level 1 qos-profile huawei
  tariff-level 2 qos-profile huawei accounting-on
  statistic enable
#
interface Ethernet0/0/0
undo portswitch                                                               
ip address 192.168.10.1 255.255.255.0
authentication-profile p1
#
traffic-group huawei
  acl 3000 tariff-level 1
  acl 3001 tariff-level 2
traffic-group huawei enable
#
return

游客，如果您要查看本帖隐藏内容请回复