- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-多机备份配置
本章节下载: 03-多机备份配置 (345.69 KB)
目 录
目前的组网应用中,用户对网络可靠性的要求越来越高,如何保证用户业务数据的不间断传输,成为急需解决的一个问题。如图1-1所示,在传统的单个网关的组网环境下,一旦出现链路、节点故障,所有用户的业务都会中断,业务恢复的时间也无法确定。
采用多机备份VSRP(Virtual Service Redundancy Protocol,虚拟业务冗余协议)的部署方法,通过提高网络的可靠性来提高用户业务的稳定性;在网络发生故障的情况下,备用设备能够快速接管用户业务,使得用户感知不到网络的故障,继续使用网络资源。多机备份功能由以下几部分组成:
· 多机备份组:承担多机备份任务的两台设备组成一个多机备份组;
· 多机备份对端:多机备份组包含两台设备,其中的每一台设备都叫做另一台设备的多机备份对端。管理员需要在这两台设备上分别配置对端设备的IP地址等信息,多机备份组才能创建成功;
· 多机备份实例:业务(如IPoE等)需要与多机备份实例相关联,才能启用多机备份功能,保障业务运行的可靠性。
属于同一个多机备份组的两台设备上需要创建同一个VRRP备份组(此处以IPv4 VRRP备份组为例,IPv6 VRRP备份组同理)。多机备份实例中的主用设备和VRRP备份组中的Master对应,执行业务数据转发的工作,备用设备和VRRP备份组中的Backup对应,监听主用设备的状态,同步主用设备上的业务数据,在主用设备发生故障时,备用设备切换成主用设备,保证当前运行的业务不被中断。
目前,多机备份功能主要应用于BRAS(Broadband Remote Access Server,宽带远端接入服务器)组网中,对网络汇聚层中的BRAS设备进行多机备份,主用设备和备用设备实时交互用户的BRAS认证信息、计费信息和客户管理信息,从而保证了BRAS系统不间断运行,提高了可靠性。
多机备份的主用设备和备用设备之间需要使用通道进行多机备份状态数据和业务数据的同步。通道使用TCP连接的方式创建。多机备份系统的通道包括以下两种:
· 控制通道:通过在多机备份组中的两台设备之间建立TCP连接实现的。控制通道实时同步多机备份实例的状态变化信息给备用设备。在一个多机备份组中,所有的多机备份实例使用同一个控制通道。
· 业务数据通道:当业务(如IPoE)与多机备份实例相关联的时候,在该多机备份实例两端的设备上会创建一个业务数据通道,业务数据通道用来同步该业务的实时状态和业务运行信息,以保证当主用设备故障时,备用设备能够代替主用设备,使业务不会中断。
以上两种通道的创建过程相同,都是IP地址较大的设备建立TCP监听,而IP地址较小的设备向对端设备发起建立TCP的连接。TCP连接建立成功后,开始实时向对端设备同步信息。
· 热备份:当备用设备收到主用设备的备份信息后,立即下发备份信息到转发平面。这样,主用设备发生故障时,备用设备能马上指导报文转发,可以实现业务快速切换到备用设备,这种形式适用于1+1备份的情况。
未启用多机备份监视功能时,多机备份组中的两台设备只能依靠TCP连接的状态来检查控制通道是否可用。
启用了多机备份监视功能后,多机备份可以快速检测出当前控制通道是否可用。通过NQA(Network Quality Analyzer,网络质量分析)、BFD(Bidirectional Forwarding Detection,双向转发检测)等监测主用设备和备用设备之间的链路状态,并通过Track功能在多机备份通道状态和NQA/BFD之间建立关联。当关联Track状态为Positive或Notready时,多机备份模块才会尝试与对端设备建立控制TCP连接;当关联Track的状态为Negative时,断开与对端设备的控制TCP连接。
关于Track的详细介绍,请参见“可靠性配置指导”中的“Track”。
|
配置VRRP备份组 |
|||
|
配置IPv6虚拟地址 |
对IPv6 IPoE来说,为必选 |
||
|
配置IPoE支持多机备份功能 |
|||
|
配置PPPoE支持多机备份功能 |
|||
|
配置L2TP支持多机备份功能 |
|||
|
配置Portal支持多机备份功能 |
|||
多机备份目前采用VRRP协议来确认设备的主备关系,VRRP是运行在以太网上的协议,其他链路检测协议(包括BFD和NQA等)可以与VRRP配合,以实现VRRP备份组中设备的状态变化,并通过Track功能在VRRP设备状态和NQA/BFD之间建立关联。
如果当前是IPv4组网环境,则需要配置IPv4 VRRP备份组;如果当前是IPv6组网环境,则需要配置IPv6 VRRP备份组。
|
(可选)配置VRRP工作在标准协议模式 |
缺省情况下,VRRP工作在标准协议模式 |
|
|
vrrp vrid virtual-router-id preempt-mode [ delay delay-value ] |
||
配置VRRP抢占模式时,需要设置抢占延迟时间,这样可以防止原Master重新启动后,还没有从新的Master设备上恢复到运行数据就发生状态切换,进而导致运行数据丢失。
|
配置TCP连接 |
peer peer-ip-address local local-ip-address [ port port-id ] |
监听端口号不能与已有的TCP或IPv6 TCP监听服务冲突 缺省情况下,没有配置TCP或IPv6 TCP连接,如果配置了TCP或IPv6 TCP连接,缺省的连接的端口号为60032 |
|
peer ipv6 peer-ipv6-address local local-ipv6-address [ port port-id ] |
||
|
缺省情况下, 没有配置Track项 |
多机备份实例用来指导业务备份行为,包括指定多机备份组备份ID、指定备份形式、指定备份时间间隔或流量阈值和配置NAS参数等。业务通过关联多机备份实例来完成业务备份功能。
一个多机备份实例只能属于一个多机备份组,在该多机备份组内,使用备份ID标识多机备份实例。互为备份的两台设备上的多机备份实例在相关联的多机备份组内的备份ID必须相同。
多机备份实例支持配置流量备份时间间隔和流量备份阈值。以特定业务为例,当业务持续转发时间达到流量备份时间间隔或转发业务的流量达到阈值时,多机备份实例需要对该业务模块数据进行备份操作。
通过绑定VRRP备份组或IPv6 VRRP备份组到多机备份实例中,多机备份决策出当前设备的主备身份,从而确定使用哪台设备转发业务流量。
NAS(Network Access Server)表示网络接入服务。用户可以在多机备份实例下配置业务逻辑IP地址、业务逻辑接口和业务逻辑主机名,使互为备份的设备上发送给RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器报文的NAS-IP-Address、NAS-Port属性以及上送给DHCP服务器报文的Option82字段信息保持一致。
|
vsrp instance instance-name |
||
|
backup id backup-id peer peer-name |
||
|
配置绑定VRRP备份组 |
bind vrrp vrid virtual-router-id interface interface-type interface-number |
缺省情况下,未绑定VRRP或IPv6 VRRP备份组 |
|
bind vrrp ipv6 vrid virtual-router-id interface interface-type interface-number |
||
|
traffic backup { interval interval-value | threshold threshold-value } * |
缺省情况下,备份时间间隔为10分钟,流量阈值为50MB |
|
|
nas { id host-name | ip ip-address | port interface-type interface-number } |
在某些特殊组网(如BRAS组网)中,IPv6实现和IPv4实现不一致,IPv6实现需要在业务作用的接口下配置IPv6虚拟地址功能:多机备份组中的主用设备和备用设备在相同的多机备份实例下需要配置相同的IPv6虚拟地址,并且由主用设备将该IPv6地址添加到RA报文中发送给用户,即可实现把用户的业务流量引导到主用设备的目的。在配置IPv6 IPoE多机备份功能时,必须与此功能配合使用。
表1-6 配置IPv6虚拟地址
|
配置IPv6虚拟地址,并绑定多机备份实例 |
多机备份属于基础特性,它可以使业务在关键节点出现单点故障的情况下,业务通信不会被中断。业务需要在使能业务功能的接口上(如IPoE)或特性视图下通过配置与多机备份实例相关联,关联关系生效后,业务才会创建自己的业务数据备份通道,用来同步该业务的数据。
各业务还可以调整业务数据备份通道的TCP端口号,业务数据可以通过此端口进行数据备份。
目前支持多机备份功能的业务包括IPoE(IP over Ethernet)、PPPoE、L2TP和Portal。
为实现IPoE会话多机备份功能,需要在使能IPoE功能的接口上使能IPoE会话多机备份功能,且将该接口与多机备份实例进行关联。关联生效之后,主用设备将使用多机备份特性提供的数据备份通道实时备份此接口上接入的动态IPoE会话信息。
· 互为备份的接入设备上的对应接口必须绑定相同的多机备份实例。
· 如果互为备份的接入设备上的子接口上配置了VLAN终结功能,则必须终结相同的VLAN。
· 当接口上有在线的IPoE用户时,配置、修改和取消接口上引用的多机备份实例,都会导致接口上的用户下线。
· 主备设备配置的静态IPoE会话要求一致。
表1-7 配置IPv4 IPoE会话支持多机备份功能
|
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口 |
||
|
配置接口上的IPv4 IPoE会话绑定的多机备份实例 |
缺省情况下,接口上的IPv4 IPoE会话未绑定多机备份实例 |
表1-8 配置IPv6 IPoE会话支持多机备份功能
|
可支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口 |
||
|
配置接口上的IPv6 IPoE会话绑定的多机备份实例 |
缺省情况下,接口上的IPv6 IPoE会话未绑定多机备份实例 |
通过该配置可以调整IPoE建立数据备份通道使用的TCP端口号,后续的动态IPoE会话信息将通过该通道进行备份。
表1-9 配置IPoE建立IPv4数据备份通道使用的TCP端口号
|
配置IPoE建立IPv4数据备份通道使用的TCP端口号 |
缺省情况下,IPoE建立IPv4数据备份通道使用的TCP端口号为60033 |
表1-10 配置IPoE建立IPv6数据备份通道使用的TCP端口号
|
配置IPoE建立IPv6数据备份通道使用的TCP端口号 |
缺省情况下,IPoE建立IPv6数据备份通道使用的TCP端口号60040 |
多机备份功能可以保证PPPoE在关键业务节点在单点故障的情况下,用户业务不被中断。配置了PPPoE的多机备份功能后,主用设备将使用业务建立的PPPoE业务数据备份通道,将本地生成的动态PPPoE业务信息实时备份到备用设备。当主用设备发生故障时,备用设备能够代替主用设备工作。由于备用设备上已经存在备份的PPPoE业务信息,所以已上线的用户不需要重新拨号,计费、授权信息也不会丢失,用户业务不会中断,提高了网络的可靠性。
为了实现PPPoE业务支持多机备份功能,需要在启用PPPoE Server功能的接口上将PPPoE Server与多机备份实例进行绑定。关于PPPoE Server功能的详细介绍和相关配置请参见“二层技术-广域网接入配置指导”中的“PPPoE”。
在多机备份组网中,PPPoE Server必须使用地址池为PPPoE Client分配IP地址,并配置该地址池对应的地址池路由,而且引用该地址池的接口绑定的多机备份实例要和该地址池对应的地址池路由绑定的多机备份实例相同。关于地址池和地址池路由的详细介绍请参见“二层技术-广域网接入配置指导”中的“PPP和MP”。
· 主用设备和备用设备上互为备份的接入接口必须绑定相同的多机备份实例。
· 一个多机备份实例要独占一个地址池,不允许不同的多机备份实例共享地址池。
表1-11 配置PPPoE支持多机备份功能
|
配置接口下PPPoE Server绑定的多机备份实例 |
缺省情况下,PPPoE Server未绑定多机备份实例 |
在进行PPPoE业务的数据备份之前,需要与对端备份设备建立两条数据备份通道:PPP会话数据备份通道和PPPoE会话数据备份通道,这两条通道均为TCP连接。用户可以通过下面的配置调整这两个TCP连接使用的端口号。
· 主用设备和备用设备上配置的对应端口号必须一致,否则TCP连接将建立失败,数据备份通道不通。
表1-12 配置PPPoE业务数据备份通道的TCP端口号
|
配置PPP会话数据备份通道的TCP端口号 |
缺省情况下,PPP会话数据备份通道的TCP端口号为60035 |
|
|
配置PPPoE会话数据备份通道的TCP端口号 |
缺省情况下,PPPoE会话数据备份通道的TCP端口号为60034 |
L2TP支持多机备份功能可以提高L2TP接入的可靠性。在主用和备用LAC设备上配置L2TP支持多机备份后,二者之间会通过多机备份建立L2TP数据备份通道,主用LAC设备将通过该通道向备用LAC设备实时同步L2TP隧道和L2TP会话的信息。当主用LAC设备发生故障时,备用LAC设备能够接替主用LAC设备继续工作,确保用户业务不会中断。
配置L2TP支持多机备份功能前,必须先在主/备LAC设备和LNS设备上配置L2TP,保证主/备LAC设备与LNS设备之间都能成功建立L2TP隧道,并且主用和备用LAC设备上的L2TP配置要一致。详细配置请参见“二层技术-广域网接入配置指导”中的“L2TP”。
L2TP业务的多机备份功能目前只支持PPPoE类型的用户接入,因此要实现L2TP业务的多机备份,LAC设备上还必须配置PPPoE Server支持多机备份功能,详细配置请参见“1.7.2 配置PPPoE支持多机备份功能”。
为了实现L2TP支持多机备份功能,需要将L2TP组与多机备份实例进行关联。关联生效之后,主用LAC设备将向备用LAC设备实时备份此L2TP组的业务信息。某些情况下(如设备重启),备用LAC设备也会向主用LAC设备请求L2TP组的业务信息。
· 一对主用和备用LAC设备上的对应L2TP组必须关联相同的多机备份实例。
· 配置L2TP组关联的多机备份实例时,该L2TP组下所有已建立的L2TP隧道将会被清除。
· 当L2TP组下存在L2TP隧道时,不能修改或取消该L2TP组关联的多机备份实例。
表1-13 配置L2TP支持多机备份功能
|
进入LAC侧L2TP组视图 |
||
|
配置L2TP组关联的多机备份实例 |
缺省情况下,L2TP组没有关联任何多机备份实例 |
主用和备用LAC设备必须通过本配置设置相同的L2TP隧道源端地址,作为封装后L2TP隧道报文的源地址。完成了本配置后,主用LAC设备上会生成到源端地址的静态路由,路由的出接口为Loopback接口。当主用LAC设备故障,发生主备倒换后,原主用LAC设备将删除该静态路由,并利用动态路由协议发布路由删除消息。新的主用LAC设备(即原备用LAC设备)也会生成到源端地址的静态路由,并利用动态路由协议发布路由添加消息。这样,LNS到远端的下行流量会自动切换到新的主用LAC设备上,LNS会认为原来的L2TP隧道仍然保持建立。
· L2TP隧道的源端地址可以是设备上32位掩码的Loopback接口地址,也可以不是本设备上接口的地址,只要保证源端地址不与网络中的IP地址冲突即可。
· 建议为不同的L2TP组配置不同的L2TP隧道源端IP地址。
· 必须先配置L2TP组关联的多机备份实例,才能为该L2TP组配置L2TP隧道的源端IP地址。
· 当L2TP组下存在L2TP隧道时,不能修改或删除为该L2TP组配置的L2TP隧道源端IP地址。
· 在L2TP多机备份的情况下,如果L2TP组视图下同时配置了tunnel vsrp source-ip和source-ip命令,将使用tunnel vsrp source-ip命令指定的地址作为L2TP隧道的源端地址;如果L2TP组视图下配置了source-ip命令,没有配置tunnel vsrp source-ip命令,将会导致L2TP多机备份故障。关于source-ip命令的详细介绍请参见“二层技术-广域网接入命令参考”中的“L2TP”。
表1-14 配置L2TP隧道的源端地址
|
进入LAC侧L2TP组视图 |
||
|
配置L2TP隧道的源端地址 |
缺省情况下,L2TP隧道的源端地址为本端L2TP隧道出接口的IP地址 |
L2TP多机备份组网中的两台LAC设备可以利用不同的多机备份实例来实现负载分担,比如:在多机备份实例1中LAC 1为主用设备,LAC 2为备用设备;而在多机备份实例2中LAC 2为主用设备,LAC 1为备用设备。这种情况下,要求不同多机备份实例中的主用LAC设备建立的L2TP隧道的ID不能冲突,因此需要为两台LAC设备配置不同的L2TP隧道ID分配范围。
需要注意的是,当LAC设备上存在L2TP隧道时,不能修改L2TP隧道ID分配范围。
表1-15 配置L2TP隧道ID分配范围
|
配置L2TP隧道ID的分配范围 |
缺省情况下,L2TP隧道ID的分配范围为1~65535 |
在进行L2TP数据备份之前,主用和备用LAC设备之间需要先建立一条L2TP数据备份通道,此通道为TCP连接。通过下面的配置可以调整这个TCP连接使用的端口号。
· 主用和备用LAC设备必须配置相同的TCP端口号,才能正确建立L2TP数据备份通道。
· 指定的L2TP数据备份通道的TCP端口号不能与系统中已经使用的端口号冲突。
表1-16 配置L2TP数据备份通道的TCP端口号
|
配置L2TP数据备份通道的TCP端口号 |
缺省情况下,L2TP数据备份通道的TCP端口号为60036 |
为实现Portal会话多机备份功能,需要在使能Portal的接口上配置Portal多机备份功能,且将该接口与多机备份实例进行关联。关联生效之后,主用设备将使用多机备份提供的数据备份通道实时备份此接口上的Portal业务信息。
· 互为备份的接入设备上的对应接口必须引用相同的多机备份实例。
· 如果互为备份的接入设备上的子接口上配置了VLAN终结功能,则必须终结相同的VLAN。
· 接口上引用多机备份实例后,Portal多机备份功能对于IPv4 Portal和IPv6 Portal用户都生效。
· 同一接口下的不同子接口可以引用相同的多机备份实例,也可以引用不同的多机备份实例。
· 当接口上有在线Portal用户时,配置、修改、取消接口上引用的多机备份实例,都会导致接口上的Portal用户下线。
· 接口上引用多机备份实例后,接口上的Portal多机备份功能对于该接口上的IPv4 Portal和IPv6 Portal用户都生效。
· 只有采用直接认证方式接入的Portal用户才能支持多机备份功能。
表1-17 配置Portal支持多机备份功能
|
使能接口上的Portal功能绑定多机备份实例 |
缺省情况下,接口的Porta未绑定多机备份实例 |
多机备份组网环境中,本端设备在进行Portal数据备份之前,需要与对端备份设备建立一条VSRP数据备份通道,此通道为TCP连接。两端成功建立了TCP连接后,Portal业务的数据信息将通过该通道进行实时备份。本特性用来指定Portal业务使用的VSRP数据备份通道的TCP端口号。
表1-18 配置Portal建立数据备份通道使用的TCP端口号
|
配置Portal建立数据备份通道使用的TCP端口号 |
缺省情况下,Portal建立数据备份通道使用的TCP端口号为60038 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后多机备份功能的运行情况,通过查看显示信息验证配置的效果。
· Host作为PPPoE Client,运行PPPoE客户端拨号软件。
· 为了提高PPPoE业务的可靠性,使用BRAS A和BRAS B两台设备作为PPPoE Server,进行多机备份。BRAS A为主用设备,BRAS B为备用设备。当BRAS A发生故障时,由BRAS B接替BRAS A继续工作,并保证PPPoE业务不会中断。
· 采用RADIUS作为认证、授权和计费服务器。
图1-3 PPPoE多机备份配置组网图
# 按照组网图配置设备各接口的IP地址,配置各设备路由可达。(配置步骤略)
(2) 配置RADIUS服务器
下面以Linux系统下的Free Radius服务器为例,说明RADIUS server的基本配置。
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
ipaddr = 4.4.4.1
netmask=24
secret=radius
}
client 6.6.6.1/32 {
ipaddr = 6.6.6.1
netmask=24
secret=radius
}
client 5.5.5.100/32 {
ipaddr = 5.5.5.100
netmask=24
secret=radius
}
以上信息表示:两个RADIUS客户端的IP地址分别为4.4.4.1、6.6.6.1、5.5.5.100,共享密钥均为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
user1 Cleartext-Password :="pass1"
以上信息表示:用户的用户名为user1,用户密码均为字符串pass1。
(3) 配置BRAS A
· 配置VRRP备份组
# 创建VRRP备份组1,配置接口GigabitEthernet1/0/1的IP地址、备份组的虚拟IP地址及本端在备份组中的优先级。
[BRASA] interface gigabitethernet 1/0/1
[BRASA-GigabitEthernet1/0/1] ip address 5.5.5.98 255.255.255.0
[BRASA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 5.5.5.100
[BRASA-GigabitEthernet1/0/1] vrrp vrid 1 priority 105
# 配置VRRP备份组工作在抢占模式,抢占延迟时间为5000厘秒。
[BRASA-GigabitEthernet1/0/1] vrrp vrid 1 preempt-mode delay 5000
[BRASA-GigabitEthernet1/0/1] quit
# 创建和上行接口GigabitEthernet1/0/2所连链路状态关联的Track项1。如果Track项的状态为Negative,则说明设备的上行链路故障。
[BRASA] track 1 interface gigabitethernet 1/0/2
# 配置路由器监视Track项1。Track项的状态为Negative时,降低BRAS A的优先级为5。
[BRASA] interface gigabitethernet 1/0/1
[BRASA-GigabitEthernet1/0/1] vrrp vrid 1 track 1 priority reduced 100
[BRASA-GigabitEthernet1/0/1] quit
# 配置Loopback1接口的IP地址。
[BRASA-Loopback1] ip address 1.1.1.1 32
[BRASA-Loopback1] quit
# 创建多机备份对端,配置多机备份对端的TCP连接。
[BRASA-vsrp-peer-1] peer 2.2.2.2 local 1.1.1.1
[BRASA-vsrp-peer-1] quit
# 创建多机备份实例1,关联到多机备份对端,绑定接口GigabitEthernet1/0/1上的VRRP备份组1,并配置备份模式为热备份。
[BRASA-vsrp-instance-1] backup id 1 peer 1
[BRASA-vsrp-instance-1] bind vrrp vrid 1 interface gigabitethernet 1/0/1
[BRASA-vsrp-instance-1] backup mode hot
# 配置业务逻辑IP地址为5.5.5.100。
[BRASA-vsrp-instance-1] nas ip 5.5.5.100
# 配置业务逻辑接口为GigabitEthernet1/0/2。
[BRASA-vsrp-instance-1] nas port gigabitethernet 1/0/2
[BRASA-vsrp-instance-1] quit
· 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[BRASA-radius-rs1] primary authentication 10.20.30.1
[BRASA-radius-rs1] primary accounting 10.20.30.1
[BRASA-radius-rs1] key authentication simple radius
[BRASA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[BRASA-radius-rs1] user-name-format without-domain
[BRASA-radius-rs1] quit
# 开启RADIUS session control功能。
[BRASA] radius session-control enable
# 创建并进入名字为dm1的ISP域。
# 配置ISP域使用RADIUS方案rs1。
[BRASA-isp-dm1] authentication ppp radius-scheme rs1
[BRASA-isp-dm1] authorization ppp radius-scheme rs1
[BRASA-isp-dm1] accounting ppp radius-scheme rs1
[BRASA-isp-dm1] quit
· 配置PPPoE认证
# 配置PPP地址池pool1,包含9个可分配IP地址。
[BRASA] ip pool pool1 5.5.5.2 5.5.5.10
# 为PPP地址池pool1配置网关地址为5.5.5.1。
[BRASA] ip pool pool1 gateway 5.5.5.1
# 在多机备份实例1中配置地址池路由。
[BRASA] ppp ip-pool route 5.5.5.0 255.255.255.0 vsrp-instance 1
# 配置PPP对话和PPPoE对话数据备份通道的TCP端口号。
[BRASA] pppoe-server vsrp-port 20000
# 创建虚拟模板接口10,配置接口的IP地址为5.5.5.1,PPP认证方式为CHAP,认证域为dm1,并使用PPP地址池radius为PPP用户分配IP地址,开启PPP计费统计功能。
[BRASA] interface virtual-template 10
[BRASA-Virtual-Template10] ppp authentication-mode chap domain dm1
[BRASA-Virtual-Template10] remote address pool pool1
[BRASA-Virtual-Template10] ppp account-statistics enable
[BRASA-Virtual-Template10] quit
# 在接口GigabitEthernet1/0/1上启用PPPoE Server协议,并将该接口与虚拟模板接口10绑定
[BRASA] interface gigabitethernet 1/0/1
[BRASA-GigabitEthernet1/0/1] pppoe-server bind virtual-template 10
# 在接口GigabitEthernet1/0/1上配置PPPoE Server绑定多机备份实例1
[BRASA-GigabitEthernet1/0/1] pppoe-server vsrp-instance 1
[BRASA-GigabitEthernet1/0/1] quit
(4) 配置BRAS B
· 配置VRRP备份组
# 创建VRRP备份组1,配置接口IP地址、备份组的虚拟IP地址及本端在备份组中的优先级。
[BRASB] interface gigabitethernet 1/0/1
[BRASB-GigabitEthernet1/0/1] ip address 5.5.5.99 255.255.255.0
[BRASB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 5.5.5.100
# 配置VRRP备份组工作在抢占模式,抢占延迟时间为5000厘秒。
[BRASB–GigabitEthernet1/0/1] vrrp vrid 1 preempt-mode delay 5000
[BRASB–GigabitEthernet1/0/1] quit
# 配置Loopback1接口的IP地址。
[BRASB-Loopback1] ip address 2.2.2.2 32
[BRASB-Loopback1] quit
# 创建多机备份对端,配置多机备份对端的TCP连接。
[BRASB-vsrp-peer-1] peer 1.1.1.1 local 2.2.2.2
[BRASB-vsrp-peer-1] quit
# 创建多机备份实例1,关联到多机备份对端,绑定接口GigabitEthernet1/0/1上的VRRP备份组1,并配置备份模式为热备份。
[BRASB-vsrp-instance-1] backup id 1 peer 1
[BRASB-vsrp-instance-1] bind vrrp vrid 1 interface gigabitethernet 1/0/1
[BRASB-vsrp-instance-1] backup mode hot
# 配置业务逻辑IP地址为5.5.5.100。
[BRASB-vsrp-instance-1] nas ip 5.5.5.100
# 配置业务逻辑接口为GigabitEthernet1/0/2。
[BRASB-vsrp-instance-1] nas port gigabitethernet 1/0/2
[BRASB-vsrp-instance-1] quit
# 创建名字为rs1的RADIUS方案并进入该方案视图。
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[BRASB-radius-rs1] primary authentication 10.20.30.1
[BRASB-radius-rs1] primary accounting 10.20.30.1
[BRASB-radius-rs1] key authentication simple radius
[BRASB-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[BRASB-radius-rs1] user-name-format without-domain
[BRASB-radius-rs1] quit
# 开启RADIUS session control功能
[BRASB] radius session-control enable
# 创建并进入名字为dm1的ISP域。
# 配置ISP域使用的RADIUS方案rs1。
[BRASB-isp-dm1] authentication ppp radius-scheme rs1
[BRASB-isp-dm1] authorization ppp radius-scheme rs1
[BRASB-isp-dm1] accounting ppp radius-scheme rs1
[BRASB-isp-dm1] quit
# 配置PPP地址池pool1,包含9个可分配IP地址。
[BRASB] ip pool pool1 5.5.5.2 5.5.5.10
# 为PPP地址池pool1配置网关地址为5.5.5.1
[BRASB] ip pool pool1 gateway 5.5.5.1
# 在多机备份实例1中配置地址池路由。
[BRASB] ppp ip-pool route 5.5.5.0 255.255.255.0 vsrp-instance 1
# 配置PPP会话和PPPoE会话数据备份通道的TCP端口号。
[BRASB] pppoe-server vsrp-port 20000
# 创建虚拟模板接口10,配置接口的IP地址为5.5.5.1,PPP认证方式为CHAP,认证域为dm1,并使用PPP地址池radius为PPP用户分配IP地址,开启PPP计费统计功能。
[BRASB] interface virtual-template 10
[BRASB-Virtual-Template10] ppp authentication-mode chap domain dm1
[BRASB-Virtual-Template10] remote address pool pool1
[BRASB-Virtual-Template10] ppp account-statistics enable
[BRASB-Virtual-Template10] quit
# 在接口GigabitEthernet1/0/1上启用PPPoE Server协议,并将该接口与虚拟模板接口10绑定。
[BRASB] interface gigabitethernet 1/0/1
[BRASB-GigabitEthernet1/0/1] pppoe-server bind virtual-template 10
# 在接口GigabitEthernet1/0/1上配置PPPoE Server绑定多机备份实例1。
[BRASB-GigabitEthernet1/0/1] pppoe-server vsrp-instance 1
[BRASB-GigabitEthernet1/0/1] quit
Host上运行PPPoE客户端拨号软件,输入用户名user1和密码pass1拨号上网后,BRAS A和BRAS B上都会有PPP会话和PPPoE会话信息,而且信息完全相同。
# 在BARS A上查看PPP会话信息,BARS A为主用设备。
[BRASA] display ppp sync-session
VSRP instance: 1
VSRP instance state: Master
Total synchronized PPP sessions: 1
SID MAC address Interface IP address Username
1 000c-2984-90d2 GE1/0/1 5.5.5.2 user1
# 在BRAS A上查看PPPoE会话信息,BARS A为主用设备。
[BRASA] display pppoe-server sync-session
VSRP instance: 1
VSRP instance state: Master
Total synchronized PPPoE sessions: 1
SID Service VLAN Customer VLAN MAC address Interface
1 N/A N/A 000c-2984-90d2 GE1/0/1
# 在BRAS B上查看PPP会话信息,BARS B为备用设备。
[BRASB] display ppp sync-session
VSRP instance: 1
VSRP instance state: Backup
Total synchronized PPP sessions: 1
SID MAC address Interface IP address Username
1 000c-2984-90d2 GE1/0/1 5.5.5.2 user1
# 在BRAS B上查看PPPoE会话信息,BARS B为备用设备。
[BRASB] display pppoe-server sync-session
VSRP instance: 1
VSRP instance state: Backup
Total synchronized PPPoE sessions: 1
SID Service VLAN Customer VLAN MAC address Interface
1 N/A N/A 000c-2984-90d2 GE1/0/1
当BRAS A发生故障时(比如GigabitEthernet1/0/1接口Down掉),此时查看BRAS B上的PPP会话和PPPoE会话信息,可以看到BRAS B已经成为主用设备,BRAS B接替BRAS A继续工作,PPPoE业务没有中断,用户可以正常上网。
# 在BRAS B上查看PPP会话信息,BARS B成为主用设备。
[BRASB] display ppp sync-session
VSRP instance: 1
VSRP instance state: Master
Total synchronized PPP sessions: 1
SID MAC address Interface IP address Username
1 000c-2984-90d2 GE1/0/1 5.5.5.2 user1
# 在BRAS B上查看PPPoE会话信息,BARS B成为主用设备。
[BRASB] display pppoe-server sync-session
VSRP instance: 1
VSRP instance state: Master
Total synchronized PPPoE sessions: 1
SID Service VLAN Customer VLAN MAC address Interface
1 N/A N/A 000c-2984-90d2 GE1/0/1
为了提高L2TP业务的可靠性,使用两台LAC设备进行多机备份。其中,LAC 1作为主用设备,LAC 2作为备用设备。当LAC 1发生故障时,由LAC 2接替LAC 1继续工作,并保证L2TP业务不会中断。
图1-4 L2TP支持多机备份功能配置组网图
# 按照组网图配置设备各接口的IP地址,配置各设备路由可达。(配置步骤略)
(2) Radius服务器1和Radius服务器2配置步骤略。
(3) LNS侧的配置
# 创建名为rad的Radius方案并进入其视图,设置主认证服务器的IP地址为7.7.7.2,使用UDP端口1812提供Radius认证/授权服务,认证报文的共享密钥为明文auth2pass。
[LNS] radius scheme rad
[LNS-radius-rad] primary authentication 7.7.7.2 1812
[LNS-radius-rad] key authentication simple auth2pass
# 将GigabitEthernet1/0/2的主地址作为设备发送RADIUS报文使用的源地址。
[LNS-radius-rad] nas-ip 7.7.7.1
[LNS-radius-rad] quit
# 配置地址池pool1,包含9个可配置地址,配置网关为192.168.0.1。
[LNS] ip pool pool1 192.168.0.2 192.168.0.10
[LNS] ip pool pool1 gateway 192.168.0.1
# 配置ISP域bbb,为PPP用户配置AAA认证方法为Radius认证、授权和计费。
[LNS-isp-bbb] authentication ppp radius-scheme rad
[LNS-isp-bbb] authorization ppp radius-scheme rad
[LNS-isp-bbb] accounting ppp radius-scheme rad
[LNS-isp-bbb] authorization-attribute ip-pool pool1
[LNS-isp-bbb] quit
# 开启L2TP功能。
# 创建接口Virtual-Template1,配置接口的PPP认证方式为PAP,并指定为PPP用户从地址池pool1中获取IP地址。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ppp authentication-mode pap domain bbb
[LNS-Virtual-Template1] quit
# 创建LNS模式的L2TP组1,配置隧道本端名称为LNS,指定接收呼叫的虚拟模板接口为Virtual-Template1,并配置隧道对端名称为LAC。
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1 remote LAC
# 关闭隧道验证功能。
[LNS-l2tp1] undo tunnel authentication
[LNS-l2tp1] quit
(4) LAC 1侧的配置
# 创建RADIUS方案rad。
<LAC1> system-view
[LAC1] radius scheme rad
# 配置主认证服务器的IP地址1.1.1.3,认证端口号为1812。配置主计费服务器的IP地址为1.1.1.3,端口号为1813。
[LAC-radius-rad] primary authentication 1.1.1.3 1812
[LAC-radius-rad] primary accounting 1.1.1.3 1813
# 配置与认证服务器交互报文时的共享密钥为明文auth1pass。
[LAC1-radius-rad] key authentication simple auth1pass
# 将VRRP备份组1的虚拟地址1.1.1.100作为设备发送RADIUS报文使用的源IP地址。
[LAC1-radius-rad] nas-ip 1.1.1.100
[LAC1-radius-rad] quit
# 创建ISP域bbb,为PPP用户配置AAA认证方法为RADIUS认证、授权和计费。
[LAC1-isp-bbb] authentication ppp radius-scheme rad
[LAC1-isp-bbb] authorization ppp radius-scheme rad
[LAC1-isp-bbb] accounting ppp radius-scheme rad
[LAC1-isp-bbb] quit
# 创建接口Virtual-Template1,并配置PPP认证方式为PAP,认证域是bbb。
[LAC1] interface virtual-template 1
[LAC1-Virtual-Template1] ppp authentication-mode pap domain bbb
[LAC1-Virtual-Template1] quit
# 开启L2TP功能。
# 创建LAC模式的L2TP组1,配置隧道本端名称为LAC,指定接入的PPP用户的用户名为user1时LAC向LNS发起隧道建立请求,并指定LNS的IP地址为5.5.5.1。
[LAC1-l2tp1] tunnel name LAC
[LAC1-l2tp1] user fullusername user1
[LAC1-l2tp1] lns-ip 5.5.5.1
# 关闭隧道验证功能。
[LAC1-l2tp1] undo tunnel authentication
# 配置L2TP组1与多机备份实例l2tp1关联。
[LAC1-l2tp1] vsrp-instance l2tp1
# 配置多机备份情况下L2TP隧道的源端地址为6.6.6.1,该地址不是设备接口的地址。
[LAC1-l2tp1] tunnel vsrp source-ip 6.6.6.1
[LAC1-l2tp1] quit
# 配置PPPoE Server。
[LAC1] interface gigabitethernet 1/0/1
[LAC1-GigabitEthernet1/0/1] pppoe-server bind virtual-template 1
# 配置PPPoE Server与多机备份实例l2tp1关联。
[LAC1-GigabitEthernet1/0/1] pppoe-server vsrp-instance l2tp1
[LAC1-GigabitEthernet1/0/1] quit
# 创建Track项2,监视上行接口GigabitEthernet1/0/2。
[LAC1] track 2 interface gigabitethernet 1/0/2
# 创建VRRP备份组1,指定其虚拟IP地址为1.1.1.100,LAC 1在备份组1中的优先级为120。
[LAC1] interface gigabitethernet 1/0/1
[LAC1-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.100
[LAC1-GigabitEthernet1/0/1] vrrp vrid 1 priority 120
# 配置VRRP备份组工作在抢占模式,抢占延时时间为5000厘秒。
[LAC1-GigabitEthernet1/0/1] vrrp vrid 1 preempt-mode delay 5000
# 设置监视Track项。当Track项2为Negative时,LAC 1在VRRP组的优先级降低50。
[LAC1-GigabitEthernet1/0/1] vrrp vrid 1 track 2 priority reduced 50
[LAC1-GigabitEthernet1/0/1] quit
# 创建多机备份对端pname,指定对端设备IP地址为3.3.3.3,本端设备IP地址为2.2.2.2。
[LAC1-vsrp-peer-pname] peer 3.3.3.3 local 2.2.2.2
[LAC1-vsrp-peer-pname] quit
# 创建多机备份实例l2tp1,指定备份ID为10,对端名称为pname,并与VRRP备份组1绑定。
[LAC1-vsrp-instance-l2tp1] backup id 10 peer pname
[LAC1-vsrp-instance-l2tp1] bind vrrp vrid 1 interface gigabitethernet 1/0/1
[LAC1-vsrp-instance-l2tp1] quit
(5) LAC2侧的配置
# 创建Radius方案rad。
<LAC2> system-view
[LAC2] radius scheme rad
# 配置主认证服务器的IP地址为1.1.1.3,认证端口号为1812。配置主计费服务器的IP地址为1.1.1.3,端口号为1813。
[LAC2-radius-rad] primary authentication 1.1.1.3 1812
[LAC2-radius-rad] primary accounting 1.1.1.3 1813
# 配置与认证服务器交互报文时的共享密钥为明文auth1pass。
[LAC2-radius-rad] key authentication simple auth1pass
# 将VRRP备份组1的虚拟地址1.1.1.100作为设备发送RADIUS报文使用的源IP地址。
[LAC2-radius-rad] nas-ip 1.1.1.100
[LAC2-radius-rad] quit
# 创建ISP域bbb,为PPP用户配置AAA认证方法为RADIUS认证、授权和计费。
[LAC2-isp-bbb] authentication ppp radius-scheme rad
[LAC2-isp-bbb] authorization ppp radius-scheme rad
[LAC2-isp-bbb] accounting ppp radius-scheme rad
[LAC2-isp-bbb] quit
# 创建接口Virtual-Template1,并配置PPP认证方式为PAP,认证域为bbb。
[LAC2] interface virtual-template 1
[LAC2-Virtual-Template1] ppp authentication-mode pap domain bbb
[LAC2-Virtual-Template1] quit
# 开启L2TP功能。
# 创建LAC模式的L2TP组1,配置隧道本端名称为LAC,指定接入的PPP用户的用户名为user1时LAC向LNS发起隧道建立请求,并指定LNS的IP地址为5.5.5.1。
[LAC2] l2tp-group 1 mode lac
[LAC2-l2tp1] tunnel name LAC
[LAC2-l2tp1] user fullusername user1
[LAC2-l2tp1] lns-ip 5.5.5.1
# 关闭隧道验证功能。
[LAC2-l2tp1] undo tunnel authentication
# 配置L2TP组1与多机备份实例l2tp1关联。
[LAC2-l2tp1] vsrp-instance l2tp1
# 配置多机备份情况下L2TP隧道的源端地址为6.6.6.1,该地址不是设备接口的地址。
[LAC2-l2tp1] tunnel vsrp source-ip 6.6.6.1
[LAC2-l2tp1] quit
# 配置PPPoE Server。
[LAC2] interface gigabitethernet 1/0/1
[LAC2-GigabitEthernet1/0/1] ospf prefix-suppression
# 配置PPPoE Server与多机备份实例l2tp1关联。
[LAC2-GigabitEthernet1/0/1] pppoe-server vsrp-instance l2tp1
[LAC2-GigabitEthernet1/0/1] quit
# 创建和BFD会话关联的Track项1,检测LAC2是否可达。
[LAC2] track 1 bfd echo interface gigabitethernet 1/0/1 remote ip 1.1.1.1 local ip 1.1.1.2
# 创建VRRP备份组1,指定其虚拟IP地址为1.1.1.100。
[LAC2] interface gigabitethernet 1/0/1
[LAC2-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.100
# 配置VRRP备份组工作在抢占模式,抢占延时时间为5000厘秒。
[LAC2–GigabitEthernet1/0/1] vrrp vrid 1 preempt-mode delay 5000
[LAC2-GigabitEthernet1/0/1] quit
# 创建多机备份对端pname,指定对端设备IP地址为2.2.2.2,本端设备IP地址为3.3.3.3。
[LAC2-vsrp-peer-pname] peer 2.2.2.2 local 3.3.3.3
[LAC2-vsrp-peer-pname] quit
# 创建多机备份实例l2tp1,指定备份ID为10,对端名称为pname,并与VRRP备份组1绑定。
[LAC2-vsrp-instance-l2tp1] backup id 10 peer pname
[LAC2-vsrp-instance-l2tp1] bind vrrp vrid 1 interface gigabitethernet 1/0/1
[LAC2-vsrp-instance-l2tp1] quit
(6) Remote user上运行PPPoE拨号软件,输入用户名user1和密码pwd进行拨号。
# 在LAC 1侧,通过display l2tp vsrp命令查看应用于L2TP的多机备份实例的运行信息,可以看到LAC 1为多机备份的主用设备,LAC 2为备用设备,二者之间已经完成数据同步。
VSRP instance name: l2tp1
VSRP mode: Hot
VSRP status: Switched
Local VSRP state: Master/Up
Remote VSRP state: Slave
VSRP channel state: Synced
Sent messages: 2
Received messages: 114954
Discarded sent messages: 0
Discarded received messages: 0
Sent tunnel adding messages: 0
Received tunnel adding messages: 3004
Sent tunnel deleting messages: 0
Received tunnel deleting messages: 3000
Sent session adding messages: 0
Received session adding messages: 3004
Sent session deleting messages: 0
Received session deleting messages: 3000
Current tunnels: 4
Current sessions: 4
Added tunnels: 3004
Deleted tunnels: 3000
Added sessions: 3004
Deleted sessions: 3000
# 分别在LAC 1和LAC 2侧,通过display l2tp session vsrp命令查看多机备份实例下的L2TP会话信息,可以看到LAC 2与LAC 1上的L2TP会话信息一致。
[LAC1] display l2tp session vsrp
VSRP instance name: l2tp1
Local session ID: 467
Remote session ID: 32060
Local tunnel ID: 28532
State: Established
User ID: 0002ffffffff0cda41c693a1
Interface: Virtual-Access1
[LAC2] display l2tp session vsrp
VSRP instance name: l2tp1
Local session ID: 467
Remote session ID: 32060
Local tunnel ID: 28532
State: Established
User ID: 0002ffffffff0cda41c693a1
Interface: Virtual-Access1
# 分别在LAC 1和LAC 2侧,通过display l2tp tunnel vsrp命令查看多机备份实例下的L2TP隧道信息,可以看到LAC 2与LAC 1上的L2TP隧道信息一致。
[LAC1] display l2tp tunnel vsrp
VSRP instance name: l2tp1
Local tunnel ID: 28532
Remote tunnel ID: 4
State: Established
Sessions: 1
Remote address: 5.5.5.1
Remote port: 1701
Remote name: LNS
Local address: 6.6.6.1
Send sequence number(Ns): 3
Receive sequence number(Nr): 2
[LAC2] display l2tp tunnel vsrp
VSRP instance name: l2tp1
Local tunnel ID: 28532
Remote tunnel ID: 4
State: Established
Sessions: 1
Remote address: 5.5.5.1
Remote port: 1701
Remote name: LNS
Local address: 6.6.6.1
Send sequence number(Ns): 3
Receive sequence number(Nr): 2
# 将LAC 1关机,LAC 2可以接替LAC 1与LNS保持L2TP隧道正常连接,L2TP业务没有中断。
# 在LAC 2侧,通过display l2tp vsrp命令查看应用于L2TP的多机备份实例的运行信息,可以看到此时LAC 2变为多机备份的主用设备,LAC 1变为备用设备,二者之间的数据备份通道断开。
VSRP instance name: l2tp1
VSRP mode: Hot
VSRP status: Switched
Local VSRP state: Master/Up
Remote VSRP state: Slave
VSRP channel state: Disconnected
Sent messages: 2
Received messages: 114954
Discarded sent messages: 0
Discarded received messages: 0
Sent tunnel adding messages: 0
Received tunnel adding messages: 3004
Sent tunnel deleting messages: 0
Received tunnel deleting messages: 3000
Sent session adding messages: 0
Received session adding messages: 3004
Sent session deleting messages: 0
Received session deleting messages: 3000
Current tunnels: 4
Current sessions: 4
Added tunnels: 3004
Deleted tunnels: 3000
Added sessions: 3004
Deleted sessions: 3000
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
