DCFS8000融合网关认证计费功能快速配置手册.docVIP

DCFS 融合网关 认证计费功能快速配置指导 神州数码网络（北京）有限公司 2009-10-27 前言 DCFS作为流量整形设备已经得到规模应用，在此基础之上继续开发了认证、计费功能模块，作为DCBA的升级及替换设备完善认证计费的解决方案。 本文档以场景需求方式来讲解DCFS的相关配置。 版本说明 本文档验证版本如下： DCFS：V5.0 For DCFS-8500布版本 DCBI: V3.0本 Client3.5.05.0617版本 网络拓扑及需求描述 拓扑结构 需求描述： 采用有限流量包月预付策略 内部所有用户访问外部门户站点*.163.com免认证、不计流量 PC2访问DCBI Server的Userweb自服务免认证、不记流量 /24（包括PC1、PC2）访问Internet其它资源需认证且记录流量 配置步骤 DCFS提供WEB界面配置方式。定义网络接口名称 首先配置地址对象 在“对象管理”—“地址对象管理”中点击“新增地址对象”，添加PC2，如图 并依次添加门户站点163.com的地址段（从DNS解析来看属于/24地址段）、免认证及免计费目标主机45，添加完毕后的地址对象为： 其次定义预置安全策略 在“控制策略”--“预置安全策略”中，可以定义源IP、目标IP、服务之间的放行、认证、阻断等关系（注：是否计算流量并不在这里控制，详见下文4.5章节），规则设计非常灵活，由于DCFS在处理时会依据预置安全策略中规则的前后顺序进行匹配，所以DCFS中预置安全策略中各规则的前后顺序非常重要。 第一步： 在配置之前，为了放行DNS和ICMP报文（对于DNS在DCFS外侧情况是必须放行DNS报文，DCFS对DNS报文进行检测，可以阻断netpas软件冒充的DNS报文。），需要先定义该规则，点击“预置安全策略”中的“新增规则”，在“常规”栏中定义名称为“放行DNS及ICMP”，操作为“放行”，接口根据需要进行选择，选中“双向匹配”选项（一定要选择该选项，否则DNS、ICMP回应报文会被DCFS阻断）配置如下： 在“协议”中选择 DNS和ICMP，如下： 点击“设定”后进行生成此规则，如图: 第二步： 其次要放行访问门户网站163的所有数据，定义规则名称为“放行163”，配置如下： 在目标选项中选择地址对象管理中添加的“门户163” 第三步，放行pc2访问特定主机DCBI Server，添加步骤如下： 第四步 添加认证计费规则，“常规栏”定义规则名称为“认证规则”，操作选择“拦截”，在出现的认证选项中选择“WEB/客户端认证”，接口根据实际情况选择，并选中“双向匹配”选项： 在“来源”栏选择“未认证的用户” 规则添加完毕后如下： 对于WEB页面认证，首先设置认证门户设置 在“控制策略”—“认证门户设置”中定义“认证门户页面URL”，一般而言，该认证门户页面URL为“http://DCFS_IP”，页面引导方式使用默认值：“由接口原路返回”，如下图： 点击“设定”确认操作。设置完成后会提示是否重启门户服务，点击“确定”进行门户服务重启，如下： 设定认证策略即Radius相关及其它参数 在“策略设置”—“认证策略设置”中定义Radius相关参数，如下图： 其中 【认证方式】 “认证方式”选项有“DCBI认证”、“本地认证”、“Radius认证”、“DCSM认证”，DCBI认证即通过神州数码DCBI认证系统进行认证，本地认证即使用DCFS本地创建用户进行认证，Radius认证指使用其它Radius系统进行认证。 【认证服务器地址】 指DCBI服务器或其它Radius的IP地址。 【本地NAS地址】 指DCFS的IP地址。 【计费服务端口】 指DCBI或Radius服务器上的认证端口，一般为1812，而计费端口为认证端口+1，一般为1813 【计费密钥】 指Radius key，此值需要与DCBI或Radius上定义该DCFS即Radius Client时的key一致。 【登陆空闲超时时间】 该选项定义了客户端/PC WEB连接页面与DCFS在认证成功之后保活的超时时间，一旦保活失败，则DCFS将向DCBI发送计费终止报文，并同时置该用户为未认证通过状态。 【登陆后弹出页面的URL】 该选项定义了WEB认证连接成功后跳转页面。类似与DCBA webp url address\webp redirect_url enable。目前版本未提供跳转功能关闭功能。且跳转功能无效。研发解决中。 【WEB认证保活选项】 该选项有三个值：“基于WEB页面保活”、“基于单向用户流量保活”、“基于双向用户流量保活”。 基于WEB页面保活： 即指PC通过WEB页面认证成功后得到了认证连接窗口（该连