04-多机备份配置
本章节下载: 04-多机备份配置 (481.61 KB)
目前的组网应用中,用户对网络可靠性的要求越来越高,如何保证用户业务数据的不间断传输,成为急需解决的一个问题。如图1-1所示,在传统的单个网关的组网环境下,一旦出现链路、节点故障,所有用户的业务都会中断,业务恢复的时间也无法确定。
采用多机备份VSRP(Virtual Service Redundancy Protocol,虚拟业务冗余协议)的部署方法,通过提高网络的可靠性来提高用户业务的稳定性;在网络发生故障的情况下,备用设备能够快速接管用户业务,使得用户感知不到网络的故障,继续使用网络资源。多机备份功能由以下几部分组成:
· 多机备份组:承担多机备份任务的两台设备组成一个多机备份组;
· 多机备份对端:多机备份组包含两台设备,其中的每一台设备都叫做另一台设备的多机备份对端。管理员需要在这两台设备上分别配置对端设备的IP地址等信息,多机备份组才能创建成功;
· 多机备份实例:业务(如IPoE等)需要与多机备份实例相关联,才能启用多机备份功能,保障业务运行的可靠性。
属于同一个多机备份组的两台设备上需要创建同一个VRRP备份组(此处以IPv4 VRRP备份组为例,IPv6 VRRP备份组同理)。多机备份实例中的主用设备和VRRP备份组中的Master对应,执行业务数据转发的工作,备用设备和VRRP备份组中的Backup对应,监听主用设备的状态,同步主用设备上的业务数据,在主用设备发生故障时,备用设备切换成主用设备,保证当前运行的业务不被中断。
目前,多机备份功能主要应用于BRAS(Broadband Remote Access Server,宽带远端接入服务器)组网中,对网络汇聚层中的BRAS设备进行多机备份,主用设备和备用设备实时交互用户的BRAS认证信息、计费信息和客户管理信息,从而保证了BRAS系统不间断运行,提高了可靠性。
多机备份的主用设备和备用设备之间需要使用通道进行多机备份状态数据和业务数据的同步。通道使用TCP连接的方式创建。多机备份系统的通道包括以下两种:
· 控制通道:通过在多机备份组中的两台设备之间建立TCP连接实现的。控制通道实时同步多机备份实例的状态变化信息给备用设备。在一个多机备份组中,所有的多机备份实例使用同一个控制通道。
· 业务数据通道:当业务(如IPoE)与多机备份实例相关联的时候,在该多机备份实例两端的设备上会创建一个业务数据通道,业务数据通道用来同步该业务的实时状态和业务运行信息,以保证当主用设备故障时,备用设备能够代替主用设备,使业务不会中断。
以上两种通道的创建过程相同,都是IP地址较大的设备建立TCP监听,而IP地址较小的设备向对端设备发起建立TCP的连接。TCP连接建立成功后,开始实时向对端设备同步信息。
· 热备份:当备用设备收到主用设备的备份信息后,立即下发备份信息到转发平面。这样,主用设备发生故障时,备用设备能马上指导报文转发,可以实现业务快速切换到备用设备,这种形式适用于1+1备份的情况。
未启用多机备份监视功能时,多机备份组中的两台设备只能依靠TCP连接的状态来检查控制通道是否可用。
启用了多机备份监视功能后,多机备份可以快速检测出当前控制通道是否可用。通过NQA(Network Quality Analyzer,网络质量分析)、BFD(Bidirectional Forwarding Detection,双向转发检测)等监测主用设备和备用设备之间的链路状态,并通过Track功能在多机备份通道状态和NQA/BFD之间建立关联。当关联Track状态为Positive或Notready时,多机备份模块才会尝试与对端设备建立控制TCP连接;当关联Track的状态为Negative时,断开与对端设备的控制TCP连接。
关于Track的详细介绍,请参见“可靠性配置指导”中的“Track”。
配置VRRP备份组 |
|||
配置IPv6虚拟地址 |
对IPv6 IPoE和DHCPv6来说,为必选 |
||
配置IPoE支持多机备份功能 |
|||
配置PPPoE支持多机备份功能 |
|||
配置Portal支持多机备份功能 |
|||
配置DHCPv4服务器支持多机备份功能 |
|||
配置DHCPv6服务器支持多机备份功能 |
多机备份目前采用VRRP协议来确认设备的主备关系,VRRP是运行在以太网上的协议,其他链路检测协议(包括BFD和NQA等)可以与VRRP配合,以实现VRRP备份组中设备的状态变化,并通过Track功能在VRRP设备状态和NQA/BFD之间建立关联。
如果当前是IPv4组网环境,则需要配置IPv4 VRRP备份组;如果当前是IPv6组网环境,则需要配置IPv6 VRRP备份组。
(可选)配置VRRP工作在标准协议模式 |
缺省情况下,VRRP工作在标准协议模式 |
|
vrrp vrid virtual-router-id preempt-mode [ delay delay-value ] |
||
vrrp vrid virtual-router-id track track-entry-number [ reduced priority-reduced | switchover ] |
配置VRRP抢占模式时,需要根据业务数据大小合理设置抢占延迟时间。如果业务数据量较大,推荐设置抢占延迟时间为1800s。这样可以防止原Master重新启动后,还没有从新的Master设备上恢复到运行数据就发生状态切换,进而导致运行数据丢失。
配置TCP连接 |
peer peer-ip-address local local-ip-address [ port port-id ] |
监听端口号不能与已有的TCP或IPv6 TCP监听服务冲突 缺省情况下,没有配置TCP或IPv6 TCP连接,如果配置了TCP或IPv6 TCP连接,缺省的连接的端口号为60032 |
peer ipv6 peer-ipv6-address local local-ipv6-address [ port port-id ] |
||
缺省情况下, 没有配置Track项 |
多机备份实例用来指导业务备份行为,包括指定多机备份组备份ID、指定备份形式、指定备份时间间隔或流量阈值和配置NAS参数等。业务通过关联多机备份实例来完成业务备份功能。
一个多机备份实例只能属于一个多机备份组,在该多机备份组内,使用备份ID标识多机备份实例。互为备份的两台设备上的多机备份实例在相关联的多机备份组内的备份ID必须相同。
多机备份实例支持配置流量备份时间间隔和流量备份阈值。以特定业务为例,当业务持续转发时间达到流量备份时间间隔或转发业务的流量达到阈值时,多机备份实例需要对该业务模块数据进行备份操作。
通过绑定VRRP备份组或IPv6 VRRP备份组到多机备份实例中,多机备份决策出当前设备的主备身份,从而确定使用哪台设备转发业务流量。
NAS(Network Access Server)表示网络接入服务。用户可以在多机备份实例下配置业务逻辑IP地址、业务逻辑接口和业务逻辑主机名,使互为备份的设备上发送给RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器报文的NAS-IP-Address、NAS-Port属性以及上送给DHCP服务器报文的Option82字段信息保持一致。
vsrp instance instance-name |
||
backup id backup-id peer peer-name |
||
配置绑定VRRP备份组 |
bind vrrp vrid virtual-router-id interface interface-type interface-number |
缺省情况下,未绑定VRRP或IPv6 VRRP备份组 |
bind vrrp ipv6 vrid virtual-router-id interface interface-type interface-number |
||
traffic backup { interval interval-value | threshold threshold-value } * |
缺省情况下,备份时间间隔为10分钟,流量阈值为50MB |
|
nas { id host-name | ip ip-address | port interface-type interface-number } |
在某些特殊组网(如BRAS组网)中,IPv6实现和IPv4实现不一致,IPv6实现需要在业务作用的接口下配置IPv6虚拟地址功能:多机备份组中的主用设备和备用设备在相同的多机备份实例下需要配置相同的IPv6虚拟地址,并且由主用设备将该IPv6地址添加到RA报文中发送给用户,即可实现把用户的业务流量引导到主用设备的目的。在配置IPv6 IPoE和DHCPv6的多机备份功能时,必须与此功能配合使用。
表1-6 配置IPv6虚拟地址
配置IPv6虚拟地址,并绑定多机备份实例 |
多机备份属于基础特性,它可以使业务在关键节点出现单点故障的情况下,业务通信不会被中断。业务需要在使能业务功能的接口上(如IPoE)或特性视图下(如DHCP)通过配置与多机备份实例相关联,关联关系生效后,业务才会创建自己的业务数据备份通道,用来同步该业务的数据。
各业务还可以调整业务数据备份通道的TCP端口号,业务数据可以通过此端口进行数据备份。
目前支持多机备份功能的业务包括IPoE(IP over Ethernet)、PPPoE、Portal和DHCP。
需要注意的是,在多机备份功能的组网环境中,不能使能accounting-on功能及accounting-on扩展功能,否则设备或业务板重启后会导致已上线的用户强制下线。关于accounting-on功能及accounting-on扩展功能的详细介绍和相关配置请参见“安全配置指导”中的“AAA”。
为实现IPoE会话多机备份功能,需要在使能IPoE功能的接口上使能IPoE会话多机备份功能,且将该接口与多机备份实例进行关联。关联生效之后,主用设备将使用多机备份特性提供的数据备份通道实时备份此接口上接入的动态IPoE会话信息。
· 多机备份不支持IPoE专线用户。
· 互为备份的接入设备上的对应接口必须绑定相同的多机备份实例。
· 如果互为备份的接入设备上的子接口上配置了VLAN终结功能,则必须终结相同的VLAN。
· 同一设备上的不同主接口引用的多机备份实例不能相同。
· 同一接口下的不同子接口可以引用不同的多机备份实例。
· 当接口上有在线的IPoE用户时,配置、修改和取消接口上引用的多机备份实例,都会导致接口上的用户下线。
· 如果IPoE用户需要使用DHCP/DHCPv6地址池上线,则地址池必须绑定和IPoE相同的多机备份实例。
· 主备设备配置的静态IPoE会话要求一致。
· 主备设备上需要配置相同的DHCP地址池和发布相同的网关路由。
· 一个多机备份实例要独占一个DHCP地址池,不允许不同的多机备份实例共享DHCP地址池。
表1-7 配置IPv4 IPoE会话支持多机备份功能
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口 |
||
配置接口上的IPv4 IPoE会话绑定的多机备份实例 |
缺省情况下,接口上的IPv4 IPoE会话未绑定多机备份实例 |
表1-8 配置IPv6 IPoE会话支持多机备份功能
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口 |
||
配置接口上的IPv6 IPoE会话绑定的多机备份实例 |
缺省情况下,接口上的IPv6 IPoE会话未绑定多机备份实例 |
通过该配置可以调整IPoE建立数据备份通道使用的TCP端口号,后续的动态IPoE会话信息将通过该通道进行备份。
表1-9 配置IPoE建立IPv4数据备份通道使用的TCP端口号
配置IPoE建立IPv4数据备份通道使用的TCP端口号 |
缺省情况下,IPoE建立IPv4数据备份通道使用的TCP端口号为60033 |
表1-10 配置IPoE建立IPv6数据备份通道使用的TCP端口号
配置IPoE建立IPv6数据备份通道使用的TCP端口号 |
缺省情况下,IPoE建立IPv6数据备份通道使用的TCP端口号60040 |
多机备份功能可以保证PPPoE在关键业务节点在单点故障的情况下,用户业务不被中断。配置了PPPoE的多机备份功能后,主用设备将使用业务建立的PPPoE业务数据备份通道,将本地生成的动态PPPoE业务信息实时备份到备用设备。当主用设备发生故障时,备用设备能够代替主用设备工作。由于备用设备上已经存在备份的PPPoE业务信息,所以已上线的用户不需要重新拨号,计费、授权信息也不会丢失,用户业务不会中断,提高了网络的可靠性。
为了实现PPPoE业务支持多机备份功能,需要在启用PPPoE Server功能的接口上将PPPoE Server与多机备份实例进行绑定。关于PPPoE Server功能的详细介绍和相关配置请参见“二层技术-广域网接入配置指导”中的“PPPoE”。
在多机备份组网中,PPPoE Server必须使用地址池为PPPoE Client分配IP地址,并配置该地址池对应的地址池路由,而且引用该地址池的接口绑定的多机备份实例要和该地址池对应的地址池路由绑定的多机备份实例相同。关于地址池和地址池路由的详细介绍请参见“二层技术-广域网接入配置指导”中的“PPP和MP”。
· 主用设备和备用设备上互为备份的接入接口必须绑定相同的多机备份实例。
· 一个多机备份实例要独占一个地址池,不允许不同的多机备份实例共享地址池。
· 配置本功能时,不支持PPPoE Server通过DHCP地址池为PPPoE Client分配IP地址。
表1-11 配置PPPoE支持多机备份功能
配置接口下PPPoE Server绑定的多机备份实例 |
缺省情况下,PPPoE Server未绑定多机备份实例 |
在进行PPPoE业务的数据备份之前,需要与对端备份设备建立两条数据备份通道:PPP会话数据备份通道和PPPoE会话数据备份通道,这两条通道均为TCP连接。用户可以通过下面的配置调整这两个TCP连接使用的端口号。
· 主用设备和备用设备上配置的对应端口号必须一致,否则TCP连接将建立失败,数据备份通道不通。
表1-12 配置PPPoE业务数据备份通道的TCP端口号
配置PPP会话数据备份通道的TCP端口号 |
缺省情况下,PPP会话数据备份通道的TCP端口号为60035 |
|
配置PPPoE会话数据备份通道的TCP端口号 |
缺省情况下,PPPoE会话数据备份通道的TCP端口号为60034 |
为实现Portal会话多机备份功能,需要在使能Portal的接口上配置Portal多机备份功能,且将该接口与多机备份实例进行关联。关联生效之后,主用设备将使用多机备份提供的数据备份通道实时备份此接口上的Portal业务信息。
· 互为备份的接入设备上的对应接口必须引用相同的多机备份实例。
· 如果互为备份的接入设备上的子接口上配置了VLAN终结功能,则必须终结相同的VLAN。
· 接口上引用多机备份实例后,Portal多机备份功能对于IPv4 Portal和IPv6 Portal用户都生效。
· 同一接口下的不同子接口可以引用相同的多机备份实例,也可以引用不同的多机备份实例。
· 当接口上有在线Portal用户时,配置、修改、取消接口上引用的多机备份实例,都会导致接口上的Portal用户下线。
· 接口上引用多机备份实例后,接口上的Portal多机备份功能对于该接口上的IPv4 Portal和IPv6 Portal用户都生效。
· 仅Portal的认证方式为直接认证方式时,Portal的多机备份功能才生效。
表1-13 配置Portal支持多机备份功能
使能接口上的Portal功能绑定多机备份实例 |
缺省情况下,接口的Portal未绑定多机备份实例 |
多机备份组网环境中,本端设备在进行Portal数据备份之前,需要与对端备份设备建立一条VSRP数据备份通道,此通道为TCP连接。两端成功建立了TCP连接后,Portal业务的数据信息将通过该通道进行实时备份。本特性用来指定Portal业务使用的VSRP数据备份通道的TCP端口号。
表1-14 配置Portal建立数据备份通道使用的TCP端口号
配置Portal建立数据备份通道使用的TCP端口号 |
缺省情况下,Portal建立数据备份通道使用的TCP端口号为60038 |
(1) 配置DHCPv4服务器支持多机备份功能
两台DHCPv4服务器上存在相同的地址池信息,只有主用DHCPv4服务器才能为DHCP客户端分配地址租约;备用DHCPv4服务器不能为客户端分配租约,只能接收主用DHCPv4服务器发送过来的业务数据(包括合法租约,冲突租约和老化租约)。关于DHCPv4的详细介绍,请参见“三层技术-IP业务”中的“DHCP”。
DHCPv4服务器的多机备份功能不支持温备份模式。
表1-15 配置DHCPv4服务器支持多机备份功能
创建DHCP地址池,并进入地址池视图 |
||
配置DHCPv4服务器地址池绑定的多机备份实例 |
配置地址池绑定多机备份实例,绑定的多机备份实例为主用状态时,该地址池所在的DHCPv4服务器为主用设备,否则地址池所在的DHCPv4服务器为备用设备 缺省情况下,DHCPv4服务器地址池未绑定多机备份实例 |
配置DHCP服务器多机备份功能时,当用户连接的主用设备和备用设备的接口名不相同时,需要通过该命令进行主用设备和备用设备接口匹配。如果主用设备和备用设备连接用户的接口的接口名相同,则不需要再配置该命令。
支持三层以太网接口/三层以太网子接口/三层聚合口/三层聚合子接口 |
||
在进行DHCPv4服务器的业务数据备份之前,主用和备用DHCPv4服务器之间需要先建立一条DHCPv4数据备份通道,此通道为TCP连接。通过下面的配置可以调整这个TCP连接使用的端口号。
表1-17 配置DHCPv4服务器数据备份通道的TCP端口号
配置DHCPv4服务器数据备份通道的TCP端口号 |
缺省情况下,DHCPv4服务器数据备份通道的TCP端口号为60037 |
目前,DHCP多机备份多用于BRAS组网环境中,与IPoE和PPPoE等接入功能配合使用,为需要接入的客户端提供IP地址等信息。
(1) 配置DHCPv6服务器支持多机备份功能
两台DHCPv6服务器上存在相同的地址池信息,只有主用DHCPv6服务器才能为DHCPv6客户端分配地址租约;备用DHCPv6服务器不能为客户端分配租约,只能接收主用DHCPv6服务器发送过来的业务数据(包括合法租约,冲突租约和老化租约)。关于DHCPv6的详细介绍,请参见“三层技术-IP业务”中的“DHCPv6”。
DHCPv6服务器的多机备份功能不支持温备份模式。
表1-18 配置DHCPv6服务器支持多机备份功能
创建DHCPv6地址池,并进入DHCPv6地址池视图 |
||
配置DHCPv6服务器地址池绑定的多机备份实例 |
配置地址池绑定多机备份实例,绑定的多机备份实例为主用状态时,该地址池所在的DHCPv6服务器为主用设备,否则该地址池所在的DHCPv6服务器为备用设备 缺省情况下,DHCPv6服务器地址池未绑定多机备份实例 |
|
配置DHCPv6服务器使用的虚拟DUID |
virtual-duid { enterprise-number enterprise-number identifier identifier | hardware-type hardware-type address address } |
缺省情况下,设备未配置虚拟DUID DHCPv6服务器支持多机备份功能要求必须配置DHCPv6服务器使用的虚拟DUID。如果不配置DHCPv6服务器使用的虚拟DUID,DHCPv6服务器默认使用本设备独有的虚拟DUID作为DHCPv6服务器使用的虚拟DUID,可能会导致多机备份功能主用设备和备用设备切换后,DHCPv6客户端无法正常续约和释放DHCPv6地址 配置DHCPv6服务器多机备份功能时,主用设备和备用设备使用的虚拟DUID必须相同 |
配置DHCPv6服务器多机备份功能时,当用户连接的主用设备和备用设备的接口名不相同时,需要通过该命令进行主用设备和备用设备接口匹配。如果主用设备和备用设备连接用户的接口的接口名相同,则不需要再配置该命令。
支持三层以太网接口/三层以太网子接口/三层聚合口/三层聚合子接口 |
||
在进行DHCPv6服务器的业务数据备份之前,主用和备用DHCPv6服务器之间需要先建立一条DHCPv6数据备份通道,此通道为TCP连接。通过下面的配置可以调整这个TCP连接使用的端口号。
表1-20 配置DHCPv6服务器数据备份通道的TCP端口号
配置DHCPv6 服务器数据备份通道的TCP端口号 |
缺省情况下,DHCPv6 数据备份通道的TCP端口号为60038 |
目前,DHCPv6多机备份多用于BRAS组网环境中,与IPv6 IPoE等接入功能配合使用,为需要接入的客户端提供IPv6地址等信息。
在完成上述配置后,在任意视图下执行display命令可以显示配置后多机备份功能的运行情况,通过查看显示信息验证配置的效果。
显示同步的PPP会话信息 |
display ppp sync-session [ vsrp-instance vsrp-instance-name ] |
显示同步的PPPoE会话信息 |
display pppoe-server sync-session [ vsrp-instance vsrp-instance-name ] |
用户使用DHCP动态分配地址方式,通过IPoE认证接入网络。接入设备上行链路采用OSPF进行路由学习和发布。接入设备Device A和Device B之间采用多机备份进行双机热备,具体要求如下:
· 在接入设备连接用户侧接口上使能IPoE认证,且动态IPv4 IPoE的会话触发方式为DHCP触发方式。
· 在接入设备连接用户侧的一个子接口上运行VRRP协议,并在此接口上终结VRRP协议报文交互使用的VLAN 10。
· 接入设备使用上行链路构建多机备份数据备份通道,用于备份上线的IPoE用户信息。
· 采用RADIUS服务器作为认证/计费服务器。
图1-3 IPv4 IPoE支持多机备份功能配置组网图
(1) 配置各接口IP地址和全网路由
# 按照组网图配置设备各接口的IP地址,配置各设备路由可达。(配置步骤略)
(2) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
client 5.5.5.2/32 {
ipaddr = 5.5.5.2
netmask=24
secret=radius
}
client 2.2.2.1/32 {
ipaddr = 2.2.2.1
netmask=24
secret=radius
}
以上信息表示:三个RADIUS客户端的IP地址分别为4.4.4.2、5.5.5.2、2.2.2.1,共享密钥均为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
001094000001 Cleartext-Password :="radius"
Framed-Pool = 1
001094000002 Cleartext-Password :="radius"
Framed-Pool = 1
001094000003 Cleartext-Password :="radius"
Framed-Pool = 1
以上信息表示:三个用户的用户名分别为Host的MAC地址0010-9400-0001、0010-9400-0002、0010-9400-0003,用户密码均为字符串radius,授权池名为1。
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[DeviceA] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[DeviceA-radius-rs1] primary authentication 10.20.30.1
[DeviceA-radius-rs1] primary accounting 10.20.30.1
[DeviceA-radius-rs1] key authentication simple radius
[DeviceA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[DeviceA-radius-rs1] user-name-format without-domain
[DeviceA-radius-rs1] quit
# 使能RADIUS session control功能。
[DeviceA] radius session-control enable
# 创建并进入名字为dm1的ISP域。
# 配置ISP域使用的RADIUS方案rs1。
[DeviceA-isp-dm1] authentication ipoe radius-scheme rs1
[DeviceA-isp-dm1] authorization ipoe radius-scheme rs1
[DeviceA-isp-dm1] accounting ipoe radius-scheme rs1
[DeviceA-isp-dm1] quit
· 配置DHCP Server
# 使能DHCP Server功能,并配置地址池。
[DeviceA] dhcp enable
[DeviceA] dhcp server ip-pool 1
[DeviceA-dhcp-pool-1] network 2.2.2.0 mask 255.255.255.0 export-route
[DeviceA-dhcp-pool-1] gateway-list 2.2.2.1 export-route
[DeviceA-dhcp-pool-1] vsrp-instance vs1
[DeviceA-dhcp-pool-1] forbidden-ip 2.2.2.1
[DeviceA-dhcp-pool-1] quit
# 配置接口上绑定的多机备份实例。
[DeviceA] interface gigabitethernet 3/1/1
[DeviceA–GigabitEthernet3/1/1] dhcp vsrp-instance vs1
[DeviceA–GigabitEthernet3/1/1] quit
· 配置VRRP备份组
# 进入接口GigabitEthernet3/1/1.10视图。
[DeviceA] interface gigabitethernet 3/1/1.10
# 配置VRRP备份组1,虚拟IP地址为3.3.3.3。
[DeviceA–GigabitEthernet3/1/1.10] vrrp vrid 1 virtual-ip 3.3.3.3
# 配置Device A在VRRP备份组中的优先级为250(此值高于Device B上配置的优先级,使得Device A可以选举为Master)。
[DeviceA-GigabitEthernet3/1/1.10] vrrp vrid 1 priority 250
# 配置VRRP备份组工作在抢占模式,抢占延时时间为1800秒。
[DeviceA–GigabitEthernet3/1/1.10] vrrp vrid 1 preempt-mode delay 1800
[DeviceA–GigabitEthernet3/1/1.10] quit
# 创建和上行接口GigabitEthernet3/1/2所连链路状态关联的Track项1。如果Track项的状态为Negative,则说明设备的上行链路故障。
[DeviceA] track 1 interface gigabitethernet 3/1/2
# 配置路由器监视Track项1。Track项的状态为Negative时,降低Device A的优先级,使其低于Device B的优先级。
[DeviceA] interface gigabitethernet 3/1/1.10
[DeviceA-GigabitEthernet3/1/1.10] vrrp vrid 1 track 1 reduced 200
[DeviceA-GigabitEthernet3/1/1.10] quit
· 配置多机备份实例
# 创建名字为pr1的多机备份对端,并进入多机备份对端视图。
# 配置多机备份本地地址为4.4.4.2,对端地址为5.5.5.2。
[DeviceA-vsrp-peer-pr1] peer 5.5.5.2 local 4.4.4.2
[DeviceA-vsrp-peer-pr1] quit
# 创建名字为vs1的多机备份实例,并进入多机备份实例视图。
# 配置备份ID为1,关联的多机备份对端名称为pr1。
[DeviceA-vsrp-instance-vs1] backup id 1 peer pr1
# 配置多机备份实例vs1绑定接口GigabitEthernet3/1/1.10上的VRRP备份组1。
[DeviceA-vsrp-instance-vs1] bind vrrp vrid 1 interface gigabitethernet 3/1/1.10
# 配置业务逻辑IP地址为2.2.2.1。
[DeviceA-vsrp-instance-vs1] nas ip 2.2.2.1
# 配置业务逻辑接口为GigabitEthernet3/1/2。
[DeviceA-vsrp-instance-vs1] nas port gigabitethernet 3/1/2
[DeviceA-vsrp-instance-vs1] quit
· 配置IPoE认证
# 使能IPoE功能,并指定二层接入模式。
# 进入接口GigabitEthernet3/1/1视图。
[DeviceA] interface gigabitethernet 3/1/1
[DeviceA–GigabitEthernet3/1/1] ip subscriber l2-connected enable
# 使能DHCP报文触发方式。
[DeviceA–GigabitEthernet3/1/1] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[DeviceA–GigabitEthernet3/1/1] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[DeviceA–GigabitEthernet3/1/1] ip subscriber password plaintext radius
# 绑定多机备份实例vs1。
[DeviceA–GigabitEthernet3/1/1] ip subscriber vsrp-instance vs1
[DeviceA–GigabitEthernet3/1/1] quit
# 指定IPoE发送多机备份数据的TCP端口为1025。
[DeviceA] ip subscriber vsrp-port 1025
· 配置OSPF
# 启动OSPF进程1,配置Router ID为上行接口GigabitEthernet3/1/2的IP地址。
[DeviceA] ospf 1 router-id 4.4.4.2
# 引入静态路由,其目的是当多机备份主用设备的子接口为用户分配IP地址后,用户所在网段的静态路由会被Device A发布到OSPF域中上行设备Device C上,使得Device C可以根据多机备份的主备状态为外网到用户的下行流量选择路由。
[DeviceA-ospf-1] import-route static route-policy 1
[DeviceA-ospf-1] quit
# 当收到前缀为2.2.2.0网段的报文时,向Device C发送Device A的主机网络的网段地址。
[DeviceA] ip prefix-list 1 permit 2.2.2.0 24
[DeviceA] route-policy 1 permit node 1
[DeviceA-route-policy-1-1] if-match ip address prefix-list 1
[DeviceA-route-policy-1-1] quit
[DeviceA] ospf
[DeviceA-ospf-1] area 0.0.0.1
[DeviceA-ospf-1-area-0.0.0.1] network 4.4.4.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.1] quit
[DeviceA-ospf-1] quit
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[DeviceB] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[DeviceB-radius-rs1] primary authentication 10.20.30.1
[DeviceB-radius-rs1] primary accounting 10.20.30.1
[DeviceB-radius-rs1] key authentication simple radius
[DeviceB-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[DeviceB-radius-rs1] user-name-format without-domain
[DeviceB-radius-rs1] quit
# 使能RADIUS session control功能。
[DeviceB] radius session-control enable
# 创建并进入名字为dm1的ISP域。
# 配置ISP域使用的RADIUS方案rs1。
[DeviceB-isp-dm1] authentication ipoe radius-scheme rs1
[DeviceB-isp-dm1] authorization ipoe radius-scheme rs1
[DeviceB-isp-dm1] accounting ipoe radius-scheme rs1
[DeviceB-isp-dm1] quit
· 配置DHCP Server
# 使能DHCP Server功能,并配置地址池。
[DeviceB] dhcp enable
[DeviceB] dhcp server ip-pool 1
[DeviceB-dhcp-pool-1] network 2.2.2.0 mask 255.255.255.0 export-route
[DeviceB-dhcp-pool-1] gateway-list 2.2.2.1 export-route
[DeviceB-dhcp-pool-1] vsrp-instance vs1
[DeviceB-dhcp-pool-1] forbidden-ip 2.2.2.1
[DeviceB-dhcp-pool-1] quit
# 配置接口上绑定的多机备份实例。
[DeviceB] interface gigabitethernet 3/1/1
[DeviceB–GigabitEthernet3/1/1] dhcp vsrp-instance vs1
[DeviceB–GigabitEthernet3/1/1] quit
· 配置VRRP备份组
# 进入接口GigabitEthernet3/1/1.10。
[DeviceB] interface gigabitethernet 3/1/1.10
# 配置VRRP备份组1,虚拟IP地址为3.3.3.3。
[DeviceB–GigabitEthernet3/1/1.10] vrrp vrid 1 virtual-ip 3.3.3.3
# 配置Device B在备份组中的优先级为200(此值低于Device A上配置的优先级,使得Device A可以选举为主设备)。
[DeviceB-GigabitEthernet3/1/1.10] vrrp vrid 1 priority 200
# 配置VRRP备份组工作在抢占模式,抢占延时时间为1800秒。
[DeviceB–GigabitEthernet3/1/1.10] vrrp vrid 1 preempt-mode delay 1800
[DeviceB–GigabitEthernet3/1/1.10] quit
· 配置多机备份实例
# 创建名字为pr1的多机备份对端,并进入多机备份对端视图。
# 配置多机备份本地地址为5.5.5.2,对端地址为4.4.4.2。
[DeviceB-vsrp-peer-pr1] peer 4.4.4.2 local 5.5.5.2
[DeviceB-vsrp-peer-pr1] quit
# 创建名字为vs1的多机备份实例,并进入多机备份实例视图。
# 配置备份ID为1,关联的多机备份对端名称为pr1。
[DeviceB-vsrp-instance-vs1] backup id 1 peer pr1
# 配置多机备份实例vs1绑定接口GigabitEthernet3/1/1.10上的VRRP备份组1。
[DeviceB-vsrp-instance-vs1] bind vrrp vrid 1 interface gigabitethernet 3/1/1.10
# 配置业务逻辑IP地址为2.2.2.1。
[DeviceB-vsrp-instance-vs1] nas ip 2.2.2.1
# 配置业务逻辑接口为GigabitEthernet3/1/2。
[DeviceB-vsrp-instance-vs1] nas port gigabitethernet 3/1/2
[DeviceB-vsrp-instance-vs1] quit
· 配置IPoE认证
# 进入接口GigabitEthernet3/1/1视图。
[DeviceB] interface gigabitethernet 3/1/1
# 使能IPoE功能,并指定二层接入模式。
[DeviceB–GigabitEthernet3/1/1] ip subscriber l2-connected enable
# 使能DHCP报文触发方式。
[DeviceB–GigabitEthernet3/1/1] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[DeviceB–GigabitEthernet3/1/1] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[DeviceB–GigabitEthernet3/1/1] ip subscriber password plaintext radius
# 绑定VSRP实例vs1。
[DeviceB–GigabitEthernet3/1/1] ip subscriber vsrp-instance vs1
[DeviceB–GigabitEthernet3/1/1] quit
# 指定IPoE发送多机备份数据的TCP端口为1025。
[DeviceB] ip subscriber vsrp-port 1025
· 配置OSPF
# 启动OSPF进程1,配置Router ID为上行接口GigabitEthernet3/1/2的IP地址。
[DeviceB] ospf 1 router-id 5.5.5.2
# 引入静态路由,其目的是当多机备份主用设备的子接口为用户分配IPv6地址后,用户所在网段的静态路由会被Device B发布到OSPF域中上行设备Device C上,使得Device C可以根据多机备份的主备状态为外网到用户的下行流量选择路由。
[DeviceB-ospf-1] import-route static route-policy 1
[DeviceB-ospf-1] quit
# 当收到前缀为2.2.2.0网段的报文时,向Device C发送Device B的主机网络的网段地址。
[DeviceB] ip prefix-list 1 permit 2.2.2.0 24
[DeviceB] route-policy 1 permit node 1
[DeviceB-route-policy-1-1] if-match ip address prefix-list 1
[DeviceB-route-policy-1-1] quit
# 使能OSPF。
[DeviceB] ospf
[DeviceB-ospf-1] area 0.0.0.2
[DeviceB-ospf-1-area-0.0.0.2] network 5.5.5.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.2] quit
[DeviceB-ospf-1] quit
(5) 配置Device C
# 启动OSPF进程1,配置Router ID为接口GigabitEthernet3/0/1的IP地址。
<DeviceC> system-view
[DeviceC] ospf 1 router-id 4.4.4.1
# 配置OSPF区域0、1、2。
[DeviceC-ospf-1] area 0.0.0.0
[DeviceC-ospf-1-area-0.0.0.0] network 10.20.30.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] quit
[DeviceC-ospf-1] area 0.0.0.1
[DeviceC-ospf-1-area-0.0.0.1] network 4.4.4.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.1] quit
[DeviceC-ospf-1] area 0.0.0.2
[DeviceC-ospf-1-area-0.0.0.2] network 5.5.5.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.2] quit
# 用户认证通过之后,可以通过显示命令分别在主用、备用设备看到两台设备拥有相同的IPoE用户信息。
[DeviceA] display ip subscriber session
Type: D-Dhcp S-Static U-Unclassified-ip N-Ndrs
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/1 2.2.2.4 0010-9400-0001 D Online
GE3/1/1 2.2.2.5 0010-9400-0002 D Online
GE3/1/1 2.2.2.6 0010-9400-0003 D Online
[DeviceB] display ip subscriber session
Type: D-Dhcp S-Static U-Unclassified-ip N-Ndrs
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/1 2.2.2.4 0010-9400-0001 D Backup
GE3/1/1 2.2.2.5 0010-9400-0002 D Backup
GE3/1/1 2.2.2.6 0010-9400-0003 D Backup
用户使用DHCPv6动态分配地址方式,通过IPoE认证接入网络。接入设备上行链路采用OSPF进行路由学习和发布。接入设备Device A和Device B之间采用多机备份进行双机热备,具体要求如下:
· 在接入设备连接用户侧接口上使能IPoE认证,且动态IPv6 IPoE会话触发方式为DHCP触发方式。
· 在接入设备连接用户侧的一个子接口上运行IPv6 VRRP协议,并在此接口上终结IPv6 VRRP协议报文交互使用的VLAN 10。
· 接入设备使用上行链路构建多机备份数据备份通道,用于备份上线的IPoE用户信息。
· 采用RADIUS服务器作为认证/计费服务器。
图1-4 IPv6 IPoE支持多机备份功能配置组网图
# 按照组网图配置设备各接口的IPv6地址,配置各设备路由可达。(配置步骤略)
(2) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
ipaddr = 4::2
netmask=64
secret=radius
}
client 5::2/64 {
ipaddr = 5::2
netmask=64
secret=radius
}
以上信息表示:两个RADIUS客户端的IP地址分别为4::2和5::2,共享密钥均为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息,以Host的MAC地址作为用户名。
001094000001 Cleartext-Password :="radius"
Framed-Pool = 1
001094000002 Cleartext-Password :="radius"
Framed-Pool = 1
001094000003 Cleartext-Password :="radius"
Framed-Pool = 1
以上信息表示:三个用户的用户名分别为Host的MAC地址0010-9400-0001、0010-9400-0002、0010-9400-0003,用户密码均为字符串radius,授权池名为1。
(3) 配置Device A
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[DeviceA] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[DeviceA-radius-rs1] primary authentication ipv6 100::1
[DeviceA-radius-rs1] primary accounting ipv6 100::1
[DeviceA-radius-rs1] key authentication simple radius
[DeviceA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[DeviceA-radius-rs1] user-name-format without-domain
[DeviceA-radius-rs1] quit
# 使能RADIUS session control功能。
[DeviceA] radius session-control enable
# 创建并进入名字为dm1的ISP域。
# 配置ISP域使用的RADIUS方案rs1。
[DeviceA-isp-dm1] authentication ipoe radius-scheme rs1
[DeviceA-isp-dm1] authorization ipoe radius-scheme rs1
[DeviceA-isp-dm1] accounting ipoe radius-scheme rs1
[DeviceA-isp-dm1] quit
· 配置DHCPv6 Server
# 配置接口GigabitEthernet 3/1/1为DHCPv6服务器模式。
[DeviceA] interface gigabitethernet 3/1/1
[DeviceA–GigabitEthernet3/1/1] ipv6 dhcp select server
[DeviceA–GigabitEthernet3/1/1] undo ipv6 nd ra halt
[DeviceA–GigabitEthernet3/1/1] quit
# 配置DHCPv6服务器上的地址池。
[DeviceA] ipv6 dhcp pool 1
[DeviceA-dhcp-pool-1] network 3::/64 export-route
[DeviceA-dhcp-pool-1] vsrp-instance vs1
[DeviceA-dhcp-pool-1] quit
# 接口上绑定的多机备份实例。
[DeviceA] interface gigabitethernet 3/1/1
[DeviceA–GigabitEthernet3/1/1] ipv6 dhcp vsrp-instance vs1
[DeviceA–GigabitEthernet3/1/1] quit
· 配置VRRP备份组
# 进入子接口GigabitEthernet3/1/1.10视图。
[DeviceA] interface gigabitethernet 3/1/1.10
# 配置IPv6 VRRP备份组1,虚拟IP地址为fe80::2。
[DeviceA–GigabitEthernet3/1/1.10] vrrp ipv6 vrid 1 virtual-ip fe80::2 link-local
# 设置接口IPv6链路本地地址。
[DeviceA–GigabitEthernet3/1/1.10] ipv6 address auto link-local
# 配置Device A在备份组中的优先级为250(此值高于Device B上配置的优先级,使得Device A可以选举为Master)。
[DeviceA-GigabitEthernet3/1/1.10] vrrp ipv6 vrid 1 priority 250
# 配置IPv6 VRRP备份组工作在抢占模式,抢占延时时间为1800秒。
[DeviceA–GigabitEthernet3/1/1.10] vrrp ipv6 vrid 1 preempt-mode delay 1800
[DeviceA–GigabitEthernet3/1/1.10] quit
# 创建和上行接口GigabitEthernet3/1/2所连链路状态关联的Track项1。如果Track项的状态为Negative,则说明设备的上行链路故障。
[DeviceA] track 1 interface gigabitethernet 3/1/2
# 配置路由器监视Track项1。Track项的状态为Negative时,降低Device A的优先级,使其低于Device B的优先级。
[DeviceA] interface gigabitethernet 3/1/1.10
[DeviceA-GigabitEthernet3/1/1.10] vrrp ipv6 vrid 1 track 1 reduced 200
[DeviceA-GigabitEthernet3/1/1.10] quit
· 配置多机备份实例
# 创建名字为pr1的多机备份对端,并进入多机备份对端视图。
# 配置多机备份本地地址为4::2,对端地址为5::2。
[DeviceA-vsrp-peer-pr1] peer ipv6 5::2 local 4::2
[DeviceA-vsrp-peer-pr1] quit
# 创建名字为vs1的多机备份实例,并进入多机备份实例视图。
# 配置备份ID为1,关联的多机备份对端名称为pr1。
[DeviceA-vsrp-instance-vs1] backup id 1 peer pr1
# 配置多机备份实例vs1绑定接口GigabitEthernet3/1/1.10上的IPv6 VRRP备份组1。
[DeviceA-vsrp-instance-vs1] bind vrrp ipv6 vrid 1 interface gigabitethernet 3/1/1.10
# 配置业务逻辑主机名abc。
[DeviceA-vsrp-instance-vs1] nas id abc
# 配置业务逻辑接口为GigabitEthernet3/1/2。
[DeviceA-vsrp-instance-vs1] nas port gigabitethernet 3/1/2
[DeviceA-vsrp-instance-vs1] quit
· 配置接口的IPv6虚地址
# 进入接口GigabitEthernet3/1/1视图。
[DeviceA] interface gigabitethernet 3/1/1
#设置接口IPv6虚拟地址为fe80::100。
[DeviceA–GigabitEthernet3/1/1] ipv6 virtual-address fe80::100 vsrp vs1
· 配置IPoE认证
# 使能IPoE功能,并指定二层接入模式。
[DeviceA–GigabitEthernet3/1/1] ipv6 subscriber l2-connected enable
# 使能DHCP报文触发方式。
[DeviceA–GigabitEthernet3/1/1] ipv6 subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[DeviceA–GigabitEthernet3/1/1] ipv6 subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[DeviceA–GigabitEthernet3/1/1] ipv6 subscriber password plaintext radius
# 绑定多机备份实例vs1。
[DeviceA–GigabitEthernet3/1/1] ipv6 subscriber vsrp-instance vs1
[DeviceA–GigabitEthernet3/1/1] quit
# 指定IPoE发送多机备份数据的TCP端口为1026。
[DeviceA] ipv6 subscriber vsrp-port 1026
· 配置OSPFv3
# 启动OSPFv3进程1,配置Router ID为1.1.1.1。
[DeviceA] ospfv3
[DeviceA-ospfv3-1] router-id 1.1.1.1
# 引入静态路由,其目的是当多机备份主用设备的子接口为用户分配IPv6地址后,用户所在网段的静态路由会被Device A发布到OSPF域中上行设备Device C上,使得Device C可以根据多机备份的主备状态为外网到用户的下行流量选择路由。
[DeviceA-ospfv3-1] import-route static route-policy 1
[DeviceA-ospfv3-1] quit
# 当收到前缀为3::/64网段的报文时,向Device C发送Device A的主机网络的网段地址。
[DeviceA] ipv6 prefix-list 1 permit 3:: 64
[DeviceA] route-policy 1 permit node 1
[DeviceA-route-policy-1-1] if-match ipv6 address prefix-list 1
[DeviceA-route-policy-1-1] quit
# 进入接口GigabitEthernet3/1/2视图,在接口上使能ospfv3。
[DeviceA] interface gigabitethernet 3/1/2
[DeviceA–GigabitEthernet3/1/2] ospfv3 1 area 1
[DeviceA–GigabitEthernet3/1/2] quit
(4) 配置Device B
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[DeviceB] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[DeviceB-radius-rs1] primary authentication ipv6 100::1
[DeviceB-radius-rs1] primary accounting ipv6 100::1
[DeviceB-radius-rs1] key authentication simple radius
[DeviceB-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[DeviceB-radius-rs1] user-name-format without-domain
[DeviceB-radius-rs1] quit
# 使能RADIUS session control功能。
[DeviceB] radius session-control enable
# 创建并进入名字为dm1的ISP域。
# 配置ISP域使用的RADIUS方案rs1。
[DeviceB-isp-dm1] authentication ipoe radius-scheme rs1
[DeviceB-isp-dm1] authorization ipoe radius-scheme rs1
[DeviceB-isp-dm1] accounting ipoe radius-scheme rs1
[DeviceB-isp-dm1] quit
· 配置DHCPv6 Server
# 配置接口GigabitEthernet 3/1/1为DHCPv6服务器模式。
[DeviceB] interface gigabitethernet 3/1/1
[DeviceB–GigabitEthernet3/1/1] ipv6 dhcp select server
[DeviceB–GigabitEthernet3/1/1] undo ipv6 nd ra halt
[DeviceB–GigabitEthernet3/1/1] quit
# 配置DHCPv6服务器上的地址池。
[DeviceB] ipv6 dhcp pool 1
[DeviceB-dhcp-pool-1] network 3::/64 export-route
[DeviceB-dhcp-pool-1] vsrp-instance vs1
[DeviceB-dhcp-pool-1] quit
# 接口上绑定的多机备份实例。
[DeviceB] interface gigabitethernet 3/1/1
[DeviceB–GigabitEthernet3/1/1] ipv6 dhcp vsrp-instance vs1
[DeviceB–GigabitEthernet3/1/1] quit
· 配置VRRP备份组
# 进入子接口GigabitEthernet3/1/1.10。
[DeviceB] interface gigabitethernet 3/1/1.10
# 配置IPv6 VRRP备份组1,虚拟IP地址为fe80::2。
[DeviceB–GigabitEthernet3/1/1.10] vrrp ipv6 vrid 1 virtual-ip fe80::2 link-local
# 设置接口IPv6链路本地地址。
[DeviceB–GigabitEthernet3/1/1.10] ipv6 address auto link-local
# 配置Device B在备份组中的优先级为200(此值低于Device A上配置的优先级,使得Device A可以选举为Master)。
[DeviceB-GigabitEthernet3/1/1.10] vrrp ipv6 vrid 1 priority 200
# 配置IPv6 VRRP备份组工作在抢占模式,抢占延时时间为1800秒。
[DeviceB–GigabitEthernet3/1/1.10] vrrp ipv6 vrid 1 preempt-mode delay 1800
[DeviceB–GigabitEthernet3/1/1.10] quit
· 配置多机备份实例
# 创建名字为pr1的多机备份对端,并进入多机备份对端视图。
# 配置多机备份本地地址为5::2,对端地址为4::2。
[DeviceB-vsrp-peer-pr1] peer ipv6 4::2 local 5::2
[DeviceB-vsrp-peer-pr1] quit
# 创建名字为vs1的多机备份实例,并进入多机备份实例视图。
# 配置备份ID为1,关联的多机备份对端名称为pr1。
[DeviceB-vsrp-instance-vs1] backup id 1 peer pr1
# 配置多机备份实例vs1绑定接口GigabitEthernet3/1/1.10上的IPv6 VRRP备份组1。
[DeviceB-vsrp-instance-vs1] bind vrrp ipv6 vrid 1 interface gigabitethernet 3/1/1.10
# 配置业务逻辑主机名主机名为abc 。
[DeviceB-vsrp-instance-vs1] nas id abc
# 配置业务逻辑接口为GigabitEthernet3/1/2。
[DeviceB-vsrp-instance-vs1] nas port gigabitethernet 3/1/2
[DeviceB-vsrp-instance-vs1] quit
· 配置接口的IPv6虚地址
# 进入接口GigabitEthernet3/1/1视图。
[DeviceB] interface gigabitethernet 3/1/1
#设置接口IPv6虚拟地址为fe80::100。
[DeviceB–GigabitEthernet3/1/1] ipv6 virtual-address fe80::100 vsrp vs1
· 配置IPoE认证
# 使能IPoE功能,并指定二层接入模式。
[DeviceB–GigabitEthernet3/1/1] ipv6 subscriber l2-connected enable
# 使能DHCP报文触发方式。
[DeviceB–GigabitEthernet3/1/1] ipv6 subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[DeviceB–GigabitEthernet3/1/1] ipv6 subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[DeviceB–GigabitEthernet3/1/1] ipv6 subscriber password plaintext radius
# 绑定多机备份实例vs1。
[DeviceB–GigabitEthernet3/1/1] ipv6 subscriber vsrp-instance vs1
[DeviceB–GigabitEthernet3/1/1] quit
# 指定IPoE发送多机备份数据的TCP端口为1026。
[DeviceB] ipv6 subscriber vsrp-port 1026
· 配置OSPFv3
# 启动OSPFv3进程1,配置Router ID为2.2.2.2。
[DeviceB] ospfv3
[DeviceB-ospfv3-1] router-id 2.2.2.2
# 引入静态路由,其目的是当多机备份主用设备的子接口为用户分配IPv6地址后,用户所在网段的静态路由会被Device B发布到OSPF域中上行设备Device C上,使得Device C可以根据多机备份的主备状态为外网到用户的下行流量选择路由。
[DeviceB-ospfv3-1] import-route static route-policy 1
[DeviceB-ospfv3-1] quit
# 当收到前缀为3::/64网段的报文时,向Device C发送Device B的主机网络的网段地址。
[DeviceB] ipv6 prefix-list 1 permit 3:: 64
[DeviceB] route-policy 1 permit node 1
[DeviceB-route-policy-1-1] if-match ipv6 address prefix-list 1
[DeviceB-route-policy-1-1] quit
# 进入接口GigabitEthernet3/1/2视图,使能ospfv3。
[DeviceB] interface gigabitethernet 3/1/2
[DeviceB–GigabitEthernet3/1/2] ospfv3 1 area 2
[DeviceB–GigabitEthernet3/1/2] quit
(5) 配置Device C
# 启动OSPFv3进程1,配置Router ID为3.3.3.3。
<DeviceC> system-view
[DeviceC] ospfv3
[DeviceC-ospfv3-1]router-id 3.3.3.3
# 配置OSPF区域0、1、2。
[DeviceC]interface gigabitethernet 3/0/3
[DeviceC-GigabitEthernet3/0/3]ospfv3 1 area 0
[DeviceC-GigabitEthernet3/0/3]quit
[DeviceC] interface gigabitethernet 3/0/1
[DeviceC–GigabitEthernet3/0/1]ospfv3 1 area 1
[DeviceC–GigabitEthernet3/0/1]quit
[DeviceC] interface gigabitethernet 3/0/2
[DeviceC–GigabitEthernet3/0/2]ospfv1 1 area 2
[DeviceC–GigabitEthernet3/0/2]quit
# 用户认证通过之后,可以通过显示命令分别在主用、备用设备看到两台设备拥有相同的IPoE用户信息。
[DeviceA] display ipv6 subscriber session
Type: D-Dhcp S-Static U-Unclassified-ip N-Ndrs
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/1 3::1 0010-9400-0001 D Online
GE3/1/1 3::2 0010-9400-0002 D Online
GE3/1/1 3::3 0010-9400-0003 D Online
[DeviceB] display ipv6 subscriber session
Type: D-Dhcp S-Static U-Unclassified-ip N-Ndrs
Interface IP address MAC address Type State
--------------------------------------------------------------------------------
GE3/1/1 3::1 0010-9400-0001 D Backup
GE3/1/1 3::2 0010-9400-0002 D Backup
GE3/1/1 3::3 0010-9400-0003 D Backup
· Host作为PPPoE Client,运行PPPoE客户端拨号软件。
· 为了提高PPPoE业务的可靠性,使用BRAS A和BRAS B两台设备作为PPPoE Server,进行多机备份。BRAS A为主用设备,BRAS B为备用设备。当BRAS A发生故障时,由BRAS B接替BRAS A继续工作,并保证PPPoE业务不会中断。
· 采用RADIUS作为认证、授权和计费服务器。
图1-5 PPPoE多机备份配置组网图
# 按照组网图配置设备各接口的IP地址,配置各设备路由可达。(配置步骤略)
(2) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 4.4.4.1/32 {
ipaddr = 4.4.4.1
netmask=24
secret=radius
}
client 6.6.6.1/32 {
ipaddr = 6.6.6.1
netmask=24
secret=radius
}
client 5.5.5.1/32 {
ipaddr = 5.5.5.1
netmask=24
secret=radius
}
以上信息表示: RADIUS客户端的IP地址分别为4.4.4.1、6.6.6.1、5.5.5.1,共享密钥均为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
user1 Cleartext-Password :="pass1"
以上信息表示:用户的用户名为user1,用户密码均为字符串pass1。
(3) 配置BRAS A
· 配置VRRP备份组
# 创建VRRP备份组1,配置接口GigabitEthernet3/1/1.1的IP地址、备份组的虚拟IP地址及本端在备份组中的优先级。
[BRASA] interface gigabitethernet 3/1/1.1
[BRASA-GigabitEthernet3/1/1.1] ip address 5.5.5.98 255.255.255.0
[BRASA-GigabitEthernet3/1/1.1] vrrp vrid 1 virtual-ip 5.5.5.100
[BRASA-GigabitEthernet3/1/1.1] vrrp vrid 1 priority 105
# 配置VRRP备份组工作在抢占模式,抢占延时时间为1800秒。
[BRASA–GigabitEthernet3/1/1.1] vrrp vrid 1 preempt-mode delay 1800
[BRASA-GigabitEthernet3/1/1.1] quit
# 创建和上行接口GigabitEthernet3/1/2所连链路状态关联的Track项1。如果Track项的状态为Negative,则说明设备的上行链路故障。
[BRASA] track 1 interface gigabitethernet 3/1/2
# 配置路由器监视Track项1。Track项的状态为Negative时,降低BRAS A的优先级为5。
[BRASA] interface gigabitethernet 3/1/1.1
[BRASA-GigabitEthernet3/1/1.1] vrrp vrid 1 track 1 reduced 100
[BRASA-GigabitEthernet3/1/1.1] quit
# 配置Loopback1接口的IP地址。
[BRASA-Loopback1] ip address 1.1.1.1 32
[BRASA-Loopback1] quit
# 创建多机备份对端,配置多机备份对端的TCP连接。
[BRASA-vsrp-peer-1] peer 2.2.2.2 local 1.1.1.1
[BRASA-vsrp-peer-1] quit
# 创建多机备份实例1,关联到多机备份对端,绑定接口GigabitEthernet3/1/1.1上的VRRP备份组1,并配置备份模式为热备份。
[BRASA-vsrp-instance-1] backup id 1 peer 1
[BRASA-vsrp-instance-1] bind vrrp vrid 1 interface gigabitethernet 3/1/1.1
[BRASA-vsrp-instance-1] backup mode hot
# 配置业务逻辑IP地址为5.5.5.1。
[BRASA-vsrp-instance-1] nas ip 5.5.5.1
[BRASA-vsrp-instance-1] quit
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[BRASA] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[BRASA-radius-rs1] primary authentication 10.20.30.1
[BRASA-radius-rs1] primary accounting 10.20.30.1
[BRASA-radius-rs1] key authentication simple radius
[BRASA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[BRASA-radius-rs1] user-name-format without-domain
[BRASA-radius-rs1] quit
# 开启RADIUS session control功能。
[BRASA] radius session-control enable
· 进入认证域
# 创建并进入名字为dm1的ISP域。
[BRASA] domain dm1
# 配置ISP域使用RADIUS方案rs1。
[BRASA-isp-dm1] authentication ppp radius-scheme rs1
[BRASA-isp-dm1] authorization ppp radius-scheme rs1
[BRASA-isp-dm1] accounting ppp radius-scheme rs1
[BRASA-isp-dm1] authorization-attribute ip-pool pool1
[BRASA-isp-dm1] quit
· 配置PPPoE认证
# 配置PPP地址池pool1,包含9个可分配IP地址。
[BRASA] ip pool pool1 5.5.5.2 5.5.5.10
# 为PPP地址池pool1配置网关地址为5.5.5.1。
[BRASA] ip pool pool1 gateway 5.5.5.1
# 在多机备份实例1中配置地址池路由。
[BRASA] ppp ip-pool route 5.5.5.0 255.255.255.0 vsrp-instance 1
# 创建虚拟模板接口10,PPP认证方式为CHAP,认证域为dm1,并使用PPP地址池pool1为PPP用户分配IP地址,开启PPP计费统计功能。
[BRASA] interface virtual-template 10
[BRASA-Virtual-Template10] ppp authentication-mode chap domain dm1
[BRASA-Virtual-Template10] ppp account-statistics enable
[BRASA-Virtual-Template10] quit
# 在接口GigabitEthernet3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口10绑定
[BRASA] interface gigabitethernet 3/1/1
[BRASA-GigabitEthernet3/1/1] pppoe-server bind virtual-template 10
# 在接口GigabitEthernet3/1/1上配置PPPoE Server绑定多机备份实例1
[BRASA-GigabitEthernet3/1/1] pppoe-server vsrp-instance 1
[BRASA-GigabitEthernet3/1/1] quit
(4) 配置BRAS B
· 配置VRRP备份组
# 创建VRRP备份组1,配置接口IP地址、备份组的虚拟IP地址及本端在备份组中的优先级。
[BRASB] interface gigabitethernet 3/1/1.1
[BRASB-GigabitEthernet3/1/1.1] ip address 5.5.5.99 255.255.255.0
[BRASB-GigabitEthernet3/1/1.1] vrrp vrid 1 virtual-ip 5.5.5.100
# 配置VRRP备份组工作在抢占模式,抢占延时时间为1800秒。
[BRASB–GigabitEthernet3/1/1.1] vrrp vrid 1 preempt-mode delay 1800
[BRASB-GigabitEthernet3/1/1.1] quit
# 配置Loopback1接口的IP地址。
[BRASB-Loopback1] ip address 2.2.2.2 32
[BRASB-Loopback1] quit
# 创建多机备份对端,配置多机备份对端的TCP连接。
[BRASB-vsrp-peer-1] peer 1.1.1.1 local 2.2.2.2
[BRASB-vsrp-peer-1] quit
# 创建多机备份实例1,关联到多机备份对端,绑定接口GigabitEthernet3/1/1.1上的VRRP备份组1,并配置备份模式为热备份。
[BRASB-vsrp-instance-1] backup id 1 peer 1
[BRASB-vsrp-instance-1] bind vrrp vrid 1 interface gigabitethernet 3/1/1.1
[BRASB-vsrp-instance-1] backup mode hot
# 配置业务逻辑IP地址为5.5.5.1。
[BRASB-vsrp-instance-1] nas ip 5.5.5.1
[BRASB-vsrp-instance-1] quit
· 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[BRASB] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[BRASB-radius-rs1] primary authentication 10.20.30.1
[BRASB-radius-rs1] primary accounting 10.20.30.1
[BRASB-radius-rs1] key authentication simple radius
[BRASB-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[BRASB-radius-rs1] user-name-format without-domain
[BRASB-radius-rs1] quit
# 开启RADIUS session control功能
[BRASB] radius session-control enable
· 配置认证域
# 创建并进入名字为dm1的ISP域。
[BRASB] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[BRASB-isp-dm1] authentication ppp radius-scheme rs1
[BRASB-isp-dm1] authorization ppp radius-scheme rs1
[BRASB-isp-dm1] accounting ppp radius-scheme rs1
[BRASB-isp-dm1] authorization-attribute ip-pool pool1
[BRASB-isp-dm1] quit
· 配置PPPoE认证
# 配置PPP地址池pool1,包含9个可分配IP地址。
[BRASB] ip pool pool1 5.5.5.2 5.5.5.10
# 为PPP地址池pool1配置网关地址为5.5.5.1
[BRASB] ip pool pool1 gateway 5.5.5.1
# 在多机备份实例1中配置地址池路由。
[BRASB] ppp ip-pool route 5.5.5.0 255.255.255.0 vsrp-instance 1
# 创建虚拟模板接口10, PPP认证方式为CHAP,认证域为dm1,并使用PPP地址池pool1为PPP用户分配IP地址,开启PPP计费统计功能。
[BRASB] interface virtual-template 10
[BRASB-Virtual-Template10] ppp authentication-mode chap domain dm1
[BRASB-Virtual-Template10] ppp account-statistics enable
[BRASB-Virtual-Template10] quit
# 在接口GigabitEthernet3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口10绑定。
[BRASB] interface gigabitethernet 3/1/1
[BRASB-GigabitEthernet3/1/1] pppoe-server bind virtual-template 10
# 在接口GigabitEthernet3/1/1上配置PPPoE Server绑定多机备份实例1。
[BRASB-GigabitEthernet3/1/1] pppoe-server vsrp-instance 1
[BRASB-GigabitEthernet3/1/1] quit
Host上运行PPPoE客户端拨号软件,输入用户名user1和密码pass1拨号上网后,BRAS A和BRAS B上都会有PPP会话和PPPoE会话信息,而且信息完全相同。
# 在BARS A上查看PPP会话信息,BARS A为主用设备。
[BRASA] display ppp sync-session
VSRP instance: 1
VSRP instance state: Master
Total synchronized PPP sessions: 1
SID MAC address Interface IP address Username
1 000c-2984-90d2 GE3/1/1 5.5.5.2 user1
# 在BRAS A上查看PPPoE会话信息,BARS A为主用设备。
[BRASA] display pppoe-server sync-session
VSRP instance: 1
VSRP instance state: Master
Total synchronized PPPoE sessions: 1
SID Service VLAN Customer VLAN MAC address Interface
1 N/A N/A 000c-2984-90d2 GE3/1/1
# 在BRAS B上查看PPP会话信息,BARS B为备用设备。
[BRASB] display ppp sync-session
VSRP instance: 1
VSRP instance state: Backup
Total synchronized PPP sessions: 1
SID MAC address Interface IP address Username
1 000c-2984-90d2 GE3/1/1 5.5.5.2 user1
# 在BRAS B上查看PPPoE会话信息,BARS B为备用设备。
[BRASB] display pppoe-server sync-session
VSRP instance: 1
VSRP instance state: Backup
Total synchronized PPPoE sessions: 1
SID Service VLAN Customer VLAN MAC address Interface
1 N/A N/A 000c-2984-90d2 GE3/1/1
当BRAS A发生故障时(比如GigabitEthernet3/1/1接口Down掉),此时查看BRAS B上的PPP会话和PPPoE会话信息,可以看到BRAS B已经成为主用设备,BRAS B接替BRAS A继续工作,PPPoE业务没有中断,用户可以正常上网。
# 在BRAS B上查看PPP会话信息,BARS B成为主用设备。
[BRASB] display ppp sync-session
VSRP instance: 1
VSRP instance state: Master
Total synchronized PPP sessions: 1
SID MAC address Interface IP address Username
1 000c-2984-90d2 GE3/1/1 5.5.5.2 user1
# 在BRAS B上查看PPPoE会话信息,BARS B成为主用设备。
[BRASB] display pppoe-server sync-session
VSRP instance: 1
VSRP instance state: Master
Total synchronized PPPoE sessions: 1
SID Service VLAN Customer VLAN MAC address Interface
1 N/A N/A 000c-2984-90d2 GE3/1/1
位于VLAN 1000的用户使用DHCP动态分配地址方式,通过Portal认证接入网络。接入设备上行链路采用OSPF进行路由学习和发布。接入设备Router A和Router B之间采用多机备份进行双机热备,具体要求如下:
· 在接入设备连接用户侧的一个子接口上使能Portal认证,并在此接口上指定Portal认证前使用的地址池,以及终结用户报文所在的VLAN 1000;
· 在接入设备连接用户侧的另一个子接口上运行VRRP协议,并在此接口上终结VRRP协议报文交互使用的VLAN 1001;
· 接入设备使用上行链路构建多机备份数据备份通道,用于备份上线的Portal用户信息;
· 采用RADIUS服务器作为认证/计费服务器。(本例中Portal服务器和RADIUS服务器的功能均由Server实现)
图1-6 Portal支持多机备份功能配置组网图
(1) 配置各接口的IP地址和全网路由
# 按照组网图配置设备各接口的IP地址,配置各设备路由可达。(配置步骤略)
(2) 配置Server
完成Server上的配置,保证Portal用户的认证/计费功能正常运行。需要注意的是:
· 在RADIUS服务器上需要添加3个接入设备,IP地址分别是1.1.1.2、2.1.1.2、9.2.0.1。
· 在Portal服务器上只需要添加1个接入设备,IP地址为9.2.0.1。
# 启动OSPF进程1,配置Router ID为上行接口GigabitEthernet3/1/2的IP地址。
[RouterA] ospf 1 router-id 1.1.1.2
# 引入静态路由,其目的是当多机备份主用设备的子接口为用户分配IP地址后,用户所在网段的静态路由会被Router A发布到OSPF域中上行设备Router C上,使得Router C可以根据多机备份的主备状态为外网到用户的下行流量选择路由。
[RouterA-ospf-1] import-route static route-policy 1
[RouterA-ospf-1] quit
# 在接口GigabitEthernet3/1/2上使能OSPF进程1。
[RouterA] interface gigabitethernet 3/1/2
[RouterA-GigabitEthernet3/1/2] ospf 1 area 0.0.0.1
[RouterA-GigabitEthernet3/1/2] quit
# 使能DHCP功能。
# 创建DHCP地址池p1,并引用多机备份实例v1。
[RouterA] dhcp server ip-pool p1
[RouterA-dhcp-pool-p1] vsrp-instance v1
# 配置为客户端分配的网关地址为9.2.0.1、网段地址为9.2.0.0/16,且均指定导出相应的路由。当Router A作为多机备份主用设备的时候,在为用户分配IP地址的同时,会同时向路由表中添加一条网关地址对应的静态主机路由以及一条静态网段路由。
[RouterA-dhcp-pool-p1] gateway-list 9.2.0.1 export-route
[RouterA-dhcp-pool-p1] network 9.2.0.0 mask 255.255.0.0 export-route
[RouterA-dhcp-pool-p1] forbidden-ip 9.2.0.1
[RouterA-dhcp-pool-p1] quit
# 当收到前缀为9.2.0.0网段的报文时,Router A向RouterC发送本设备上的主机网络的网段地址。
[RouterA] ip prefix-list 1 permit 9.2.0.0 16
[RouterA] route-policy 1 permit node 1
[RouterA-route-policy-1-1] if-match ip address prefix-list 1
[RouterA-route-policy-1-1] quit
# 接口上绑定的多机备份实例。
[RouterA] interface gigabitethernet 3/1/1.1000
[RouterA–GigabitEthernet3/1/1.1000] dhcp vsrp-instance v1
[RouterA–GigabitEthernet3/1/1.1000] quit
# 在子接口GigabitEthernet3/1/1.1001上使能Dot1q终结功能,指定终结VRRP协议报文运行的VLAN 1001。
[RouterA] interface gigabitethernet 3/1/1.1001
[RouterA-GigabitEthernet3/1/1.1001] vlan-type dot1q vid 1001
# 创建VRRP备份组1,并配置虚拟IP为8.2.0.3,优先级为250(此值高于Router B上配置的优先级,使得Router A可以选举为Master)。
[RouterA-GigabitEthernet3/1/1.1001] vrrp vrid 1 virtual-ip 8.2.0.3
[RouterA-GigabitEthernet3/1/1.1001] vrrp vrid 1 priority 250
# 配置VRRP备份组工作在抢占模式,抢占延时时间为1800秒。
[RouterA–GigabitEthernet3/1/1.1001] vrrp vrid 1 preempt-mode delay 1800
[RouterA-GigabitEthernet3/1/1.1001] quit
# 创建和上行接口GigabitEthernet3/1/2所连链路状态关联的Track项1。如果Track项的状态为Negative,则说明设备的上行链路故障。
[RouterA] track 1 interface gigabitethernet 3/1/2
# 配置路由器监视Track项1。Track项的状态为Negative时,降低RouterA的优先级,使其低于RouterB的优先级。
[RouterA] interface gigabitethernet 3/1/1.1001
[RouterA-GigabitEthernet3/1/1.1001] vrrp vrid 1 track 1 reduced 200
[RouterA-GigabitEthernet3/1/1.1001] quit
· 配置多机备份
# 创建多机备份备份对端c2,指定对端地址为2.1.1.2,本端地址为1.1.1.2,使得Router A使用上行链路作为多机备份数据备份通道。
[RouterA-vsrp-peer-c2] peer 2.1.1.2 local 1.1.1.2
[RouterA-vsrp-peer-c2] quit
# 创建多机备份实例v1,配置备份通道的备份ID为1、对端为c2。
[RouterA-vsrp-instance-v1] backup id 1 peer c2
# 绑定下行链路子接口GigabitEthernet3/1/1.1001上的VRRP备份组1。
[RouterA-vsrp-instance-v1] bind vrrp vrid 1 interface gigabitethernet 3/1/1.1001
# 指定NAS IP地址为客户端分配的网关地址9.2.0.1,保证设备发送给RADIUS服务器的NAS-IP-Address属性值为9.2.0.1。
[RouterA-vsrp-instance-v1] nas ip 9.2.0.1
[RouterA-vsrp-instance-v1] quit
# 使能RADIUS session control功能,使得设备可以接收Server主动发送的session control报文。
[RouterA] radius session-control enable
# 创建RADIUS方案imc,配置认证、计费服务器,配置发送RADIUS服务器的用户名不携带域名,指定发送RADIUS报文的源IP为客户端分配的网关地址9.2.0.1。
[RouterA-radius-imc] primary authentication 111.8.0.244 key simple p124
[RouterA-radius-imc] primary accounting 111.8.0.244 key simple p124
[RouterA-radius-imc] user-name-format without-domain
[RouterA-radius-imc] nas-ip 9.2.0.1
[RouterA-radius-imc] quit
# 创建认证域portal,配置认证,授权和计费均采用方案imc。
[RouterA-isp-portal] authentication portal radius-scheme imc
[RouterA-isp-portal] authorization portal radius-scheme imc
[RouterA-isp-portal] accounting portal radius-scheme imc
[RouterA-radius-imc] quit
# 在子接口GigabitEthernet3/1/1.1000上使能Dot1q终结功能,指定终结用户报文的VLAN 1000。
[RouterA] interface gigabitethernet 3/1/1.1000
[RouterA-GigabitEthernet3/1/1.1000] vlan-type dot1q vid 1000
# 使能直接方式的Portal认证。
[RouterA-GigabitEthernet3/1/1.1000] portal enable method direct
# 指定认证域为portal。
[RouterA-GigabitEthernet3/1/1.1000] portal domain portal
# 指定设备主动发送Portal报文的源地址为客户端分配的网关地址9.2.0.1。
[RouterA-GigabitEthernet3/1/1.1000] portal bas-ip 9.2.0.1
# 应用Portal Web服务器ab。
[RouterA-GigabitEthernet3/1/1.1000] portal apply web-server ab
# 指定认证前Portal用户使用的地址池为p1。
[RouterA-GigabitEthernet3/1/1.1000] portal pre-auth ip-pool p1
# 开启多机备份功能,绑定多机备份实例v1。
[RouterA-GigabitEthernet3/1/1.1000] portal vsrp-instance v1
[RouterA-GigabitEthernet3/1/1.1000] quit
# 创建Portal Web服务器ab,并配置Portal Web服务器的URL。
[RouterA] portal web-server ab
[RouterA-portal-websvr-ab] url http://111.8.0.244:8080/portal
[RouterA-portal-websvr-ab] quit
# 创建Portal Web服务器pt,并指定Portal Web服务器的IP地址和使用的认证密钥。
[RouterA-portal-server-pt] ip 111.8.0.244 key simple h3c
[RouterA-portal-server-pt] quit
# 启动OSPF进程1,配置Router ID为上行接口GigabitEthernet3/1/2的IP地址。
[RouterB] ospf 1 router-id 2.1.1.2
# 引入静态路由,其目的是当多机备份主用设备的子接口为用户分配IP地址后,用户所在网段的静态路由会被Router B发布到OSPF域中上行设备Router C上,使得Router C可以根据多机备份的主备状态为外网到用户的下行流量选择路由。
[RouterB-ospf-1] import-route static route-policy 1
[RouterB-ospf-1] quit
# 在接口GigabitEthernet3/1/2上使能OSPF进程1。
[RouterB] interface gigabitethernet 3/1/2
[RouterB-GigabitEthernet3/1/2] ospf 1 area 0.0.0.2
[RouterB-GigabitEthernet3/1/2] ospf cost 10
[RouterB-GigabitEthernet3/1/2] quit
# 使能DHCP功能。
# 创建DHCP地址池p1,并引用多机备份实例v1。
[RouterB] dhcp server ip-pool p1
[RouterB-dhcp-pool-p1] vsrp-instance v1
# 配置为客户端分配的网关地址为9.2.0.1、网段地址为9.2.0.0/16,且均指定导出相应的路由。当Router B作为多机备份主用设备的时候,在为用户分配IP地址的同时,会同时向路由表中添加一条网关地址对应的静态主机路由以及一条静态网段路由。
[RouterB-dhcp-pool-p1] gateway-list 9.2.0.1 export-route
[RouterB-dhcp-pool-p1] network 9.2.0.0 mask 255.255.0.0 export-route
[RouterB-dhcp-pool-p1] forbidden-ip 9.2.0.1
[RouterB-dhcp-pool-p1] quit
# 当收到前缀为9.2.0.0网段的报文时,Router B向RouterC发送本设备上的主机网络的网段地址。
[RouterB] ip prefix-list 1 permit 9.2.0.0 16
[RouterB] route-policy 1 permit node 1
[RouterB-route-policy-1-1] if-match ip address prefix-list 1
[RouterB-route-policy-1-1] quit
# 接口上绑定的多机备份实例。
[RouterB] interface gigabitethernet 3/1/1.1000
[RouterB–GigabitEthernet3/1/1.1000] dhcp vsrp-instance v1
[RouterB–GigabitEthernet3/1/1.1000] quit
# 在子接口GigabitEthernet3/1/1.1001上使能Dot1q终结功能,指定终结VRRP协议报文运行的VLAN 1001。
[RouterB] interface gigabitethernet 3/1/1.1001
[RouterB-GigabitEthernet3/1/1.1001] vlan-type dot1q vid 1001
# 创建VRRP备份组1,并配置虚拟IP为8.2.0.3,优先级为200(此值低于Router A上配置的优先级,使得Router A可以选举为Master)。
[RouterB-GigabitEthernet3/1/1.1001] vrrp vrid 1 virtual-ip 8.2.0.3
[RouterB-GigabitEthernet3/1/1.1001] vrrp vrid 1 priority 200
# 配置VRRP备份组工作在抢占模式,抢占延时时间为1800秒。
[RouterB–GigabitEthernet3/1/1.1001] vrrp vrid 1 preempt-mode delay 1800
[RouterB-GigabitEthernet3/1/1.1001] quit
· 配置多机备份
# 创建多机备份对端c2,指定对端地址为1.1.1.2,本端地址为2.1.1.2,使得Router B使用上行链路作为多机备份数据备份通道。
[RouterB-vsrp-peer-c2] peer 1.1.1.2 local 2.1.1.2
[RouterB-vsrp-peer-c2] quit
# 创建多机备份实例v1,配置备份通道的备份ID为1、对端为c2。
[RouterB-vsrp-instance-v1] backup id 1 peer c2
# 绑定下行链路子接口GigabitEthernet3/1/1.1001上的VRRP备份组1。
[RouterB-vsrp-instance-v1] bind vrrp vrid 1 interface gigabitethernet 3/1/1.1001
# 指定NAS IP为客户端分配的网关地址9.2.0.1,保证设备发送给RADIUS服务器的NAS-IP-Address属性值为9.2.0.1。
[RouterB-vsrp-instance-v1] nas ip 9.2.0.1
[RouterB-vsrp-instance-v1] quit
# 使能RADIUS session control功能,使得设备可以接收Server主动发送的session control报文。
[RouterB] radius session-control enable
# 创建RADIUS方案imc,配置认证、计费服务器,配置发送RADIUS服务器的用户名不携带域名,指定发送RADIUS报文的源IP为客户端分配的网关地址9.2.0.1。
[RouterB-radius-imc] primary authentication 111.8.0.244 key simple p124
[RouterB-radius-imc] primary accounting 111.8.0.244 key simple p124
[RouterB-radius-imc] user-name-format without-domain
[RouterB-radius-imc] nas-ip 9.2.0.1
[RouterB-isp-portal] quit
# 创建认证域portal,配置认证,授权和计费均采用方案imc。
[RouterB-isp-portal] authentication portal radius-scheme imc
[RouterB-isp-portal] authorization portal radius-scheme imc
[RouterB-isp-portal] accounting portal radius-scheme imc
[RouterB-isp-portal] quit
# 在子接口GigabitEthernet3/1/1.1000上使能Dot1q终结功能,指定终结用户报文的VLAN 1000。
[RouterB] interface gigabitethernet 3/1/1.1000
[RouterB-GigabitEthernet3/1/1.1000] vlan-type dot1q vid 1000
# 使能直接方式的Portal认证。
[RouterB-GigabitEthernet3/1/1.1000] portal enable method direct
# 指定认证域为portal。
[RouterB-GigabitEthernet3/1/1.1000] portal domain portal
# 指定设备主动发送Portal报文的源地址为客户端分配的网关地址9.2.0.1。
[RouterB-GigabitEthernet3/1/1.1000] portal bas-ip 9.2.0.1
# 应用Portal Web服务器ab。
[RouterB-GigabitEthernet3/1/1.1000] portal apply web-server ab
# 指定认证前Portal用户使用的地址池为p1。
[RouterB-GigabitEthernet3/1/1.1000] portal pre-auth ip-pool p1
# 开启多机备份功能,绑定多机备份实例v1。
[RouterB-GigabitEthernet3/1/1.1000] portal vsrp-instance v1
[RouterB-GigabitEthernet3/1/1.1000] quit
# 创建Portal Web服务器ab,并配置Portal Web服务器的URL。
[RouterB] portal web-server ab
[RouterB-portal-websvr-ab] url http://111.8.0.244:8080/portal
[RouterB-portal-websvr-ab] quit
# 创建Portal Web服务器pt,并指定Portal Web服务器的IP地址和使用的认证密钥。
[RouterB-portal-server-pt] ip 111.8.0.244 key simple h3c
[RouterB-portal-server-pt] quit
# 创建用户接入的VLAN 1000和VRRP协议运行的VLAN 1001。
[L2Switch] vlan 1000
[L2Switch-vlan1000] quit
[L2Switch] vlan 1001
[L2Switch-vlan1001] quit
# 配置用户接入口GigabitEthernet3/0/1加入VLAN 1000。
[L2Switch] interface gigabitethernet 3/0/1
[L2Switch-GigabitEthernet3/0/1] port access vlan 1000
[L2Switch-GigabitEthernet3/0/1] quit
# 配置连接Router A的接口GigabitEthernet3/0/2允许VLAN 1000和VLAN 1001通过。
[L2Switch] interface gigabitethernet 3/0/2
[L2Switch-GigabitEthernet3/0/2] port link-type trunk
[L2Switch-GigabitEthernet3/0/2] port trunk permit vlan 1000 to 1001
[L2Switch-GigabitEthernet3/0/2] quit
# 配置连接Router B的接口GigabitEthernet3/0/3允许VLAN 1000和VLAN 1001通过。
[L2Switch] interface GigabitEthernet3/0/3
[L2Switch-GigabitEthernet3/0/3] port link-type trunk
[L2Switch-GigabitEthernet3/0/3] port trunk permit vlan 1000 to 1001
[L2Switch-GigabitEthernet3/0/3] quit
# 以上配置完成后,可以在Router A上可以查看到本端的Portal多机备份设备状态为主用设备。
[RouterA] display portal interface gigabitethernet 3/1/1
Portal information of GigabitEthernet3/1/1
VSRP Instance: v1
VSRP State: Master
Authorization Stict checking
ACL Disabled
User profile Disabled
IPv4:
Portal status: Enabled
Portal VSRP status: M_Synced
Authentication type: Direct
Portal Web server: pt
Authentication domain: portal
Max Portal users: Not configured
Pre-auth IP pool: p1
BAS-IP: 9.2.0.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authentication subnet:
IP address Mask
IPv6:
Portal status: Disabled
Authentication type: Disabled
Portal Web server: Not configured
Authentication domain: Not configured
Max Portal users: Not configured
Pre-auth IP pool: Not configured
BAS-IPv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authentication subnet:
IP address Prefix length
# 在Router B上可以查看到本端的Portal多机备份设备状态为备用设备。
[RouterB] display portal interface gigabitethernet 3/1/1
Portal information of GigabitEthernet3/1/1
VSRP Instance: v1
VSRP State: Backup
Authorization Strict checking
ACL Disabled
User profile Disabled
IPv4:
Portal status: Enabled
Portal VSRP status: B_Synced
Authentication type: Direct
Portal Web server: v4
Authentication domain: portal
Max Portal users: Not configured
Pre-auth IP pool: p1
BAS-IP: 9.2.0.1
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Mask
Destination authentication subnet:
IP address Mask
IPv6:
Portal status: Disabled
Authentication type: Disabled
Portal Web server: Not configured
Authentication domain: Not configured
Max Portal users: Not configured
Pre-auth IP pool: Not configured
BAS-IPv6: Not configured
User detection: Not configured
Action for server detection:
Server type Server name Action
-- -- --
Layer3 source network:
IP address Prefix length
Destination authentication subnet:
IP address Prefix length
# 用户上线后,可以通过以下命令查看Router A和Router B上的用户信息。
<RouterA> display portal user all
Total portal users: 1
Username: test
Portal server: pt
State: Online
VPN instance: --
MAC IP VLAN Interface
fc4d-d434-ed98 9.2.0.5 -- GigabitEthernet3/1/1
Authorization information:
IP pool: N/A
User profile: N/A
Sessin group profile: N/A
ACL: N/A
CAR: N/A
<RouterB> display portal user all
Total portal users: 1
Username: test
Portal server: pt
State: Online
VPN instance: --
MAC IP VLAN Interface
fc4d-d434-ed98 9.2.0.5 -- GigabitEthernet3/1/1
Authorization information:
IP pool: N/A
User profile: N/A
Sessin group profile: N/A
ACL: N/A
CAR: N/A
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!