15-H3C vBRAS支持地址冲突检测典型配置举例-5W100
本章节下载: 15-H3C vBRAS支持地址冲突检测典型配置举例-5W100 (160.75 KB)
H3C vBRAS虚拟宽带远程接入服务器地址冲突检测典型配置举例
Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
本文档介绍vBRAS虚拟路由器对地址冲突的用户是否可正常上线且不影响其他功能的地址冲突检测特性进行举例说明。一般情况下,如果检测到有地址冲突,只能有一个用户在线,至于是新用户上线还是老用户在线可以通过命令来控制;但是在现网中有可能需要存在一个终端两个会话,相同IP的情况。H3C虚拟路由器vBRAS通过命令可以对地址冲突检测特性根据需求进行检测或允许相同IP的会话共存。
· 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
· 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 本文档假设您已了解PPPoE等特性。
· Host经由二层网络以PPPoE方式接入到vBRAS。
· vBRAS设备承载DHCP服务器角色为Host动态分配IP地址。
· RADIUS作为认证、授权和计费服务器。
· vBRAS通过对地址池冲突检测功能的开启或关闭来适应不同场景相同IP地址的客户端是否允许同时在线的需求。
vBRAS设备作为DHCP服务器及接入设备。RADIUS Server作为认证、授权和计费服务器。L2 Switch仅作汇聚和透传设备。
本举例是在vBRAS1000_H3C-CMW710-E1116-X64版本上进行配置和验证的。
· 缺省情况下,开启DHCP服务后,DHCP会授权IP地址冲突检测。
· dhcp authorized-ip-conflict ignore命令用来配置DHCP忽略授权IP地址冲突;dhcp conflict-ip-address offline命令用来配置当为新DHCP客户端分配的地址和已在线DHCP客户端的IP地址发生冲突时,释放已在线DHCP客户端的IP地址。
· 缺省情况下,为新DHCP客户端分配的地址和已在线DHCP客户端的IP地址发生冲突时,已在线DHCP客户端不受影响。
· 若设备原来配置DHCP忽略授权IP地址冲突,即允许相同地址会话在线,当恢复至缺省情况时,后上线的会话会下线。
(1) 配置RADIUS客户端信息,即在clients.conf文件中增加如下信息。
client 4.4.4.2/32{
ipaddr = 4.4.4.2
netmask=32
secret=radius
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.2,共享密钥为字符串radius。
(2) 配置合法用户信息,即在users文件中增加如下信息。
3 Cleartext-Password := "3"
Framed-IP-Address = "9.1.1.1",
Framed-IP-Netmask = "255.255.255.0"
以上信息表示:用户名为3,用户密码为字符串3;并为下发属性为IP地址9.1.1.1/16
(1) 配置各接口IP地址(配置过程略)。
(2) 配置RADIUS方案。
#创建RADIUS方案rs1,并配置主认证和主计费服务器,以及通信密钥。
<VBRAS> system-view
[vBRAS]radius scheme rs1
[vBRAS-radius-rs1]primary authentication 4.4.4.1
[vBRAS-radius-rs1]primary accounting 4.4.4.1
[vBRAS-radius-rs1]key authentication simple radius
[vBRAS-radius-rs1]key accounting simple radius
#配置发送给RADIUS服务器的用户名不携带ISP域名。
[vBRAS-radius-rs1]user-name-format without-domain
[vBRAS-radius-rs1]quit
(3) DHCP相关配置。
#开启DHCP服务。
[vBRAS]dhcp enable
#创建地址池9,并配置网关和动态分配的IP地址网段。
[vBRAS]dhcp server ip-pool 9
[vBRAS-dhcp-pool-9] gateway-list 9.1.1.254 export-route
[vBRAS-dhcp-pool-9] network 9.1.1.0 24
[vBRAS-dhcp-pool-9] quit
(4) 配置认证域。
#创建ISP域pppoe,并配置该域使用RADIUS方案rs1。
[vBRAS]domain name pppoe
[vBRAS-isp-pppoe]authentication ppp radius-scheme rs1
[vBRAS-isp-pppoe]authorization ppp radius-scheme rs1
[vBRAS-isp-pppoe]accounting ppp radius-scheme rs1
[vBRAS-isp-pppoe]quit
(5) 配置虚拟模板接口。
#创建虚拟模板接口1,并配置该虚拟模板接口采用PAP认证对端,使用DHCP地址池9为用户分配IP地址及DNS服务器地址。
[vBRAS]interface virtual-template 1
[vBRAS-Virtual-Template1]ppp authentication-mode pap domain pppoe
[vBRAS-Virtual-Template1]remote address pool 9
[vBRAS-Virtual-Template1]quit
(6) 配置接口并启用PPPoE Server协议。
#进入接口GigabitEthernet1/2/0视图。
[vBRAS]interface gigabitethernet 1/2/0
#给接口配置IP地址9.1.1.254/24。
[vBRAS-GigabitEthernet1/2/0] ip address 9.1.1.254 24
#在GigabitEthernet1/2/0接口上启用PPPoE Server协议,将该以太网接口与虚拟模板接口1绑定。
[vBRAS-GigabitEthernet1/2/0]pppoe-server bind virtual-template 1
# 设备未配置dhcp enable时,其地址冲突检测功能处于关闭状态。此时,设备允许相同IP地址的DHCP客户端同时在线。
[vBRAS]%Mar 14 08:28:51:226 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0013-9400-0009; The user came online successfully.
%Mar 14 08:28:55:199 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0015-9400-0009; The user came online successfully.
[vBRAS]dis ppp access-user user pppoe
Interface Username MAC address IP address IPv6 address IPv6 PDPrefix
BAS0 3 0013-9400-0009 9.1.1.1 - -
BAS0 3 0015-9400-0009 9.1.1.1 - -
# 设备配置dhcp enable后,其地址冲突检测功能处于开启状态。此时,设备不允许相同IP地址的DHCP客户端同时在线。默认情况下,当地址发生冲突时,新用户将上线失败,已在线用户保持在线状态。
[vBRAS] dhcp enable
[vBRAS] %Mar 14 08:29:44:193 2018 H3C PPP/6/PPP_USER_LOGON_FAILED: -UserName=3-IPAddr=255.255.255.255-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0015-9400-0009-Reason=IP conflict on DHCP server; The user failed to come online.
[vBRAS]%Mar 14 08:29:45:771 2018 H3C PPP/6/PPP_USER_LOGON_FAILED: -UserName=3-IPAddr=255.255.255.255-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0015-9400-0009-Reason=IP conflict on DHCP server; The user failed to come online.
[vBRAS]
[vBRAS]dis ppp access-user user pppoe
Interface Username MAC address IP address IPv6 address IPv6 PDPrefix
BAS0 3 0013-9400-0009 9.1.1.1 - -
# 设备配置dhcp conflict-ip-address offline后,当地址发生冲突时,设备将释放已在线DHCP客户端的IP地址。
[H3C] dhcp conflict-ip-address offline
[H3C] %Apr 10 11:49:27:405 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -Slot=1; -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/4/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0010-9400-0001; The user came online successfully.
[H3C]dis ppp acc use pppoe
Interface Username MAC address IP address IPv6 address IPv6 PDPrefix
BAS0 3 0010-9400-0001 9.1.1.1 - -
%Apr 10 11:49:35:542 2018 H3C PPP/6/PPP_USER_LOGON_FAILED: -Slot=1; -UserName=3-IPAddr=255.255.255.255-IfName=GigabitEthernet1/4/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0010-9400-0001-Reason=IP conflict on DHCP server; The user failed to come online.
%Apr 10 11:49:35:763 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -Slot=1; -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/4/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0011-9400-0001; The user came online successfully.
[H3C]dis ppp acc use pppoe
Interface Username MAC address IP address IPv6 address IPv6 PDPrefix
BAS0 3 0011-9400-0001 9.1.1.1 - -
# 设备配置dhcp authorized-ip-conflict ignore后,其地址冲突检测忽略功能将开启。此时,设备允许相同IP地址的DHCP客户端同时在线。
[vBRAS] dhcp authorized-ip-conflict ignore
[vBRAS] %Mar 14 08:30:32:669 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0015-9400-0009; The user came online successfully.
[vBRAS]dis ppp access-user user pppoe
Interface Username MAC address IP address IPv6 address IPv6 PDPrefix
BAS0 3 0013-9400-0009 9.1.1.1 - -
BAS0 3 0015-9400-0009 9.1.1.1 - -
vBRAS的配置文件如下:
sysname vBRAS
#
telnet server enable
#
irf mac-address persistent always
irf auto-update enable
irf auto-merge enable
irf member 1 priority 1
#
ppp access-user log enable successful-login failed-login normal-logout abnormal-logout
#
dhcp enable
dhcp authorized-ip-conflict ignore
#
password-recovery enable
#
irf-port 1
#
dhcp server ip-pool 9
gateway-list 9.1.1.254 export-route
network 9.1.1.0 mask 255.255.255.0
#
interface Virtual-Template1
ppp authentication-mode pap domain pppoe
remote address pool 9
ppp account-statistics enable
#
interface NULL0
#
interface GigabitEthernet1/1/0
port link-mode route
ip address 4.4.4.2 255.255.255.0
#
interface GigabitEthernet1/2/0
port link-mode route
ip address 9.1.1.254 255.255.255.0
pppoe-server bind virtual-template 1
#
interface GigabitEthernet1/3/0
port link-mode route
#
interface GigabitEthernet1/4/0
port link-mode route
#
scheduler logfile size 16
#
line class aux
user-role network-operator
#
line class console
user-role network-admin
#
line class vty
user-role network-operator
#
line aux 0
user-role network-operator
#
line con 0
user-role network-admin
#
line vty 0 63
authentication-mode none
user-role network-admin
user-role network-operator
idle-timeout 0 0
#
radius scheme rs1
primary authentication 172.16.2.228 key cipher $c$3$qxO0mKGZUmZUXF7E84T+ILeRm/nhn/gVqA==
primary accounting 172.16.2.228 key cipher $c$3$eQa8niISOcWrI3+9yWgVr1hPashTiPGKoA==
user-name-format without-domain
#
domain name pppoe
authentication ppp radius-scheme rs1
authorization ppp radius-scheme rs1
accounting ppp radius-scheme rs1
#
domain name system
#
domain default enable system
#
role name level-0
description Predefined level-0 role
#
role name level-1
description Predefined level-1 role
#
role name level-2
description Predefined level-2 role
#
role name level-3
description Predefined level-3 role
#
role name level-4
description Predefined level-4 role
#
role name level-5
description Predefined level-5 role
#
role name level-6
description Predefined level-6 role
#
role name level-7
description Predefined level-7 role
#
role name level-8
description Predefined level-8 role
#
role name level-9
description Predefined level-9 role
#
role name level-10
description Predefined level-10 role
#
role name level-11
description Predefined level-11 role
#
role name level-12
description Predefined level-12 role
#
role name level-13
description Predefined level-13 role
#
role name level-14
description Predefined level-14 role
#
user-group system
#
local-user abc class manage
password hash $h$6$SE2h092oaN6oEnoj$fs59RFSdCCNLTtUToF5efEAAxieC5Yyb6NwnDLsQBko8ku4C8X/7zaB37eMm7PyKmP8r2YwED7no+cPIncSbXg==
service-type ftp
authorization-attribute work-directory flash:/
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
ftp server enable
#
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/data/infoblade/Comware V7平台B75分支中文/1.2.07 三层技术-IP业务/1.2.07.03 DHCP/DHCP命令.htm配置指导
· H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/data/infoblade/Comware V7平台B75分支中文/1.2.07 三层技术-IP业务/1.2.07.03 DHCP/DHCP命令.htm命令参考
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!