DCFS 融合网关认证计费功能快速配置指导神州数码网络(北京)有限公司2009-10-271. 前言DCFS 作为流量整形设备已经得到规模应用,在此基础之上继续开发了认证、计费功能模块,作为 DCBA 的升级及替换设备完善认证计费的解决方案本文档以场景需求方式来讲解 DCFS 的相关配置2. 版本说明本文档验证版本如下:DCFS:V5.0 For DCFS-8500 20090909 发布版本DCBI: V3.0 20091010 版本Client: 20090617 即 3.5.05.0617 版本3. 网络拓扑及需求描述拓扑结构需求描述:1、 采用有限流量包月预付策略2、 内部所有用户访问外部门户站点* 免认证、不计流量3、 PC2 访问 DCBI Server 的 Userweb 自服务免认证、不记流量4、 192.168.1.0/24(包括 PC1、PC2 )访问 Internet 其它资源需认证且记录流量4. 配置步骤DCFS 提供 WEB 界面配置方式定义网络接口名称4.1.首先配置地址对象在“对象管理”—“地址对象管理”中点击“新增地址对象” ,添加 PC2,如图并依次添加门户站点 的地址段(从 DNS 解析来看属于 61.135.253.0/24 地址段)、免认证及免计费目标主机 192.168.1.245,添加完毕后的地址对象为:4.2.其次定义预置安全策略在“控制策略”--“预置安全策略”中,可以定义源 IP、目标 IP、服务之间的放行、认证、阻断等关系(注:是否计算流量并不在这里控制,详见下文 4.5 章节) ,规则设计非常灵活,由于 DCFS 在处理时会依据预置安全策略中规则的前后顺序进行匹配,所以DCFS 中预置安全策略中各规则的前后顺序非常重要。
第一步:在配置之前,为了放行 DNS 和 ICMP 报文(对于 DNS 在 DCFS 外侧情况是必须放行 DNS报文,DCFS 对 DNS 报文进行检测,可以阻断 netpas 软件冒充的 DNS 报文 ) ,需要先定义该规则,点击“预置安全策略”中的“新增规则” ,在“常规”栏中定义名称为“放行 DNS 及 ICMP”,操作为 “放行” ,接口根据需要进行选择,选中“双向匹配”选项(一定要选择该选项,否则 DNS、ICMP 回应报文会被 DCFS 阻断)配置如下:在“协议”中选择 DNS 和 ICMP,如下:点击“设定”后进行生成此规则,如图:第二步:其次要放行访问门户网站 163 的所有数据,定义规则名称为“放行 163”,配置如下:在目标选项中选择地址对象管理中添加的“门户 163”第三步,放行 pc2 访问特定主机 DCBI Server,添加步骤如下:第四步添加认证计费规则, “常规栏”定义规则名称为“认证规则” ,操作选择“拦截” ,在出现的认证选项中选择“WEB/客户端认证” ,接口根据实际情况选择,并选中“双向匹配”选项:在“来源”栏选择“未认证的用户”规则添加完毕后如下:4.3.对于 WEB 页面认证,首先设置认证门户设置在“控制策略”—“认证门户设置”中定义“认证门户页面 URL”,一般而言,该认证门户页面 URL 为“http://DCFS_IP” ,页面引导方式使用默认值:“由接口原路返回” ,如下图:点击“设定”确认操作。
设置完成后会提示是否重启门户服务,点击“确定”进行门户服务重启,如下:4.4.设定认证策略即 Radius 相关及其它参数在“策略设置”—“认证策略设置”中定义 Radius 相关参数,如下图:其中【认证方式】“认证方式”选项有“DCBI 认证” 、 “本地认证” 、 “Radius 认证” 、 “DCSM 认证” ,DCBI认证即通过神州数码 DCBI 认证系统进行认证,本地认证即使用 DCFS 本地创建用户进行认证,Radius 认证指使用其它 Radius 系统进行认证认证服务器地址】指 DCBI 服务器或其它 Radius 的 IP 地址本地 NAS 地址】指 DCFS 的 IP 地址计费服务端口】指 DCBI 或 Radius 服务器上的认证端口,一般为 1812,而计费端口为认证端口+1,一般为 1813【计费密钥】指 Radius key,此值需要与 DCBI 或 Radius 上定义该 DCFS 即 Radius Client 时的 key 一致登陆空闲超时时间】该选项定义了客户端/PC WEB 连接页面与 DCFS 在认证成功之后保活的超时时间,一旦保活失败,则 DCFS 将向 DCBI 发送计费终止报文,并同时置该用户为未认证通过状态。
登陆后弹出页面的 URL】该选项定义了 WEB 认证连接成功后跳转页面类似与 DCBA webp url \webp redirect_url enable目前版本未提供跳转功能关闭功能且跳转功能无效研发解决中WEB 认证保活选项】该选项有三个值:“基于 WEB 页面保活” 、 “基于单向用户流量保活” 、 “基于双向用户流量保活” 基于 WEB 页面保活:即指 PC 通过 WEB 页面认证成功后得到了认证连接窗口(该连接窗口每分钟会更新一次用户时间、入出流量) ,该窗口会于 DCFS 进行保活,即通过每分钟更新用户时间、入出流量的方式来完成保活基于 WEB 页面保活情况下由 PC 的连接窗口主动发起保活请求,而客户端认证情况下,是客户端主动发起保活请求基于单向用户流量保活:指依据用户是否有出流量的方式确定用户是否--而不是依据保活报文来确定,如果发现该用户有出流量,即认为该用户,即便每分钟的保活失败(实测时在 pc 与DCFS 架设 DCS-3950-X,认证成功后阻断 pc2 至 DCFS 的 tcp 80 报文--表现为 1 分钟后连接窗口为空白内容,同时 pc2 长 ping 外网 ip,DCFS 在保活失效情况下也不阻断该用户)。
具体粒度:在登陆空闲超时时间内不管哪个方向只要有流量,则不会断开基于双向用户流量保活:指依据用户是否有入/出流量的方式确定用户是否--而不是依据保活报文来确定,如果发现该用户有出流量,即认为该用户,即便每分钟的保活失败具体粒度:在登陆空闲超时时间内只要两个方向均有流量,则不会断开WEB 认证 Coockie 选项】该选项有两个值:基于浏览器当前窗口保活、基于客户端浏览器保活该选项两个参数对应用的区别如下:基于浏览器当前窗口保活在用户连接窗口所在的浏览器异常退出或者直接关闭后,如果再打开浏览器输入外部 url,则得到认证页面即必须重新认证而基于客户端浏览器保活在在用户连接窗口所在的浏览器异常退出或者直接关闭后,再打开浏览器输入外部 url 时可以直接访问外网站点,无需认证流量超出限额处理选项】该选项在计费策略为流量预付时会生效,其它计费策略下不会生效当使用流量预付、有限流量包月预付策略时建议选择仅总流量超额后强制下线,当使用国内外区分费率流量预付策略时根据需要选择总流量超额后强制下线或仅国际流量超额后强制下线或总流量或国际流量超额后强制下线该选项有四个值:不启用强制下线、仅总流量超额后强制下线、仅国际流量超额后强制下线、总流量或国际流量超额后强制下线。
防私接/克隆选项】启用防 NAT 私接功能选项,指防止客户端使用 Router 拨号,该选项对 WEB 页面认证无效类似于 DCBA 的 set chk_cli_ip on启用防 pc 克隆功能选项,指防止用户使用克隆方式盗用,开启该功能后,使用 WEB 页面认证,可以认证通过,但客户端无法得到认证连接窗口,且无法访问外部任何站点客户端必须安装防克隆驱动后才能访问外网网络(对应 Clientconfig.ini 中 DriverFlag=1) 上述两个选项均全局生效设置认证方式】DCFS 对认证用户可以控制其认证方式,示例中对 192.168.1.47-192.168.1.60 的源 IP 地址的认证方式不做限制,定义 192.168.1.220-192.168.1.230 的源 IP 地址只能使用 client 认证方式 (这些源 IP 地址访问外网时可以得到 WEB 认证页面,但输入正确的用户名和密码后会得到 WEB 认证被阻止的提示信息 )4.5.流量相关策略设置在“策略设置”--“计费策略设置”中定义流量相关策略其中类别为免费流量的定义对于任何流量相关的计费策略均相关,而类别为国际、国内流量的定义仅仅与国内外流量区分计费(预付/后付)策略有效。
DCFS 默认所有流量均定义为国内流量,所有如果使用国内外流量区分计费策略,则需要定义国际流量地址段1、 定义类别为免费的特殊流量(注:不管“控制策略”—“认证控制策略”中【流量超出限额处理选项】的选项如何定义,对于免费类型的流量,既不会统计在下发的流量限制中--即不会因为免费类型流量被强制下线,也不会在用户下线后作为统计为用户流量计入上网日志 )在 3.2 第三步中,定义了 pc2 访问 192.168.1.245 为免认证,如果不做其他设置,pc2认证后访问 192.168.1.245,则访问所导致的流量也会计入用户流量(当然如果 pc2 未认证,访问 192.168.1.245 的流量不会记录,因为根本没有上网记录) A、定义访问 pc2 访问 192.168.1.245 时不统计流量在“策略设置”--“计费策略设置”中新建免费策略, “常规设置”栏中定义策略名称为“pc2-245 不统计流量” ,如下:B、 “计费对象 ”栏中选择“ pc2-226”(如果计费对象栏中不选择任何对象,则表示任何源主机访问该目标均不统计流量)C、 “计费目标”栏中定义目标为“Free-245”D、点击“设定”创建此免费策略,得到如下策略信息:同理,如果在步骤 C 中同时选择地址:门户 163,则访问所有 163 的流量均不会被记录。
2、 定义属于国际流量的 IP 目标地址段第一步在“对象管理”—“地址对象管理”中创建国际网段,示例中定义192.168.10.0/24 网段为国际网段,如图第二步在“控制策略”—“计费策略设置”中新增“新增国际计费策略” ,在 DCFS 上定义计费目标为上述创建的国际网段所代表的 192.168.10.0/24 的流量为国际流量,如下:3、 类型不属于免费、国际的其他流量均为国内流量4.6.针对 DCFS,DCBI 下发速率控制的配置在使用 DCBA 时,DCBI 针对每个用户认证时将用户所属计费策略中定义的外网上下行带宽分配给 DCBA,从而 DCBA 进行速率控制在使用 DCFS 时,并没有沿用这一方法因为 DCFS 之前就具备较好的速率控制方法但之前 DCFS 实施速率控制时是依据源 IP 做控制的在实际环境中,可能存在同一网段的两个用户认证后获得的外网上下行速率不一致的情况,如果使用 DCBA,则这两个用户分属不同计费策略就可以实现(20090226 之前 DCBI 版本速率控制则是由授权组控制的) 如果使用 DCFS,如果按照源 IP 的方式就没有办法实现灵活控制(DCFS 定义大量的 IP 地址或 IP地址段,根据源 IP 进行控制情况下,必然要求用户的 IP 地址是固定的或者属于特定范围) ,所有 DCFS 创造了根据用户组的方式来限制速率的方法,用户认证时获得用户组属性—由DCBI 授权组中的“DCBA 策略组”定义,如果下发的策略组名称与 DCFS 上定义的用户组名称一致,则速率控制由 DCFS 的“控制策略”—“带卡分配策略”或“二级带宽策略”中来源为“DCBA 策略组”名称的带宽管理策略所控制。
(注:如果实现上下行带宽单独控制,则带宽通道管理--常规设置--策。