ejGOUw,portal选路

1680362147,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

这个案例根据Portal认证携带的域名来选择出口路径，认证设备和业务网关都是一个设备，如果网关在核心交换机上，需要通过BRAS策略路由，怎么配置？如何把用户的认证域传给BRAS
https://www.jianshu.com/p/19e5402814ce

组网及组网描述：

4小时前提问

domain name dx //定义dx域名，对应电信用户 authorization-attribute user-group chinanet //下发chinanet的用户组 authentication ipoe radius-scheme dx authorization ipoe radius-scheme dx accounting ipoe radius-scheme dx 黑体的下发用户组属性,然后在出口设备上进行用户组的策略路由 相当于就是携带了相关的属性

4小时前回答

比如用户组属性在核心交换机上下发，数据上行转发到出口设备的时候还会携带这个属性吗

用户组属性是在domain域上进行配置的,上来应该是带的,可以试一下

按我个人理解是不行，domain和radius，以及用户组策略，都是设备本地跟AAA服务器交互有效，核心交换机认证完就变成普通流量接扔给下一跳到路由器了吧，路由器只知道IP地址，不按那个案例网关和出口放一起感觉实现不了，除非出口路由器用ACL IP的方式判断用户，核心给3个运营商分不同vlan网段，没接触过BRAS，不太清楚是否可以用vlan划分的方式了

3小时前回答

好的，想再请教一下，还是文章这个情况下，如果BRAS前面还有一个工作在网关模式的防火墙，防火墙上行连接运营商设备，能实现这样的选路吗，BRAS策略路由匹配对应的用户组以后下一跳怎么写，能让防火墙知道该往哪转发

防火墙和路由器是一样的，只要认证不在防火墙上，防火墙也只看到有IP流量经过他，防火墙只能通过ACL IP方式+策略路由引流到三大运营商，案例里的对象组那些配置都可以删掉了

Cloud_Strife

你正在,portal选路