H3C vBRAS虚拟宽带远程接入服务器地址冲突检测典型配置举例

目录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置注意事项

3.5 配置步骤

3.5.1 配置RADIUS服务器（以Free RADIUS服务器为例）

3.5.2 配置vBRAS

3.6 验证配置

3.7 配置文件

4 相关资料

1  简介

本文档介绍vBRAS虚拟路由器对地址冲突的用户是否可正常上线且不影响其他功能的地址冲突检测特性进行举例说明。一般情况下，如果检测到有地址冲突，只能有一个用户在线，至于是新用户上线还是老用户在线可以通过命令来控制；但是在现网中有可能需要存在一个终端两个会话，相同IP的情况。H3C虚拟路由器vBRAS通过命令可以对地址冲突检测特性根据需求进行检测或允许相同IP的会话共存。

2  配置前提

·     本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

·     本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

·     本文档假设您已了解PPPoE等特性。

3  配置举例

3.1  组网需求

如图1所示：

·     Host经由二层网络以PPPoE方式接入到vBRAS。

·     vBRAS设备承载DHCP服务器角色为Host动态分配IP地址。

·     RADIUS作为认证、授权和计费服务器。

·     vBRAS通过对地址池冲突检测功能的开启或关闭来适应不同场景相同IP地址的客户端是否允许同时在线的需求。

图1 地址冲突检测典型配置举例组网图

3.2  配置思路

vBRAS设备作为DHCP服务器及接入设备。RADIUS Server作为认证、授权和计费服务器。L2 Switch仅作汇聚和透传设备。

3.3  使用版本

本举例是在vBRAS1000_H3C-CMW710-E1116-X64版本上进行配置和验证的。

3.4  配置注意事项

·     缺省情况下，开启DHCP服务后，DHCP会授权IP地址冲突检测。

·     dhcp authorized-ip-conflict ignore命令用来配置DHCP忽略授权IP地址冲突；dhcp conflict-ip-address offline命令用来配置当为新DHCP客户端分配的地址和已在线DHCP客户端的IP地址发生冲突时，释放已在线DHCP客户端的IP地址。

·     缺省情况下，为新DHCP客户端分配的地址和已在线DHCP客户端的IP地址发生冲突时，已在线DHCP客户端不受影响。

·     若设备原来配置DHCP忽略授权IP地址冲突，即允许相同地址会话在线，当恢复至缺省情况时，后上线的会话会下线。

3.5  配置步骤

3.5.1  配置RADIUS服务器（以Free RADIUS服务器为例）

(1)     配置RADIUS客户端信息，即在clients.conf文件中增加如下信息。

client 4.4.4.2/32{

ipaddr = 4.4.4.2

netmask=32

secret=radius

}

以上信息表示：RADIUS客户端的IP地址为4.4.4.2，共享密钥为字符串radius。

(2)     配置合法用户信息，即在users文件中增加如下信息。

3 Cleartext-Password := "3"

  Framed-IP-Address = "9.1.1.1",

  Framed-IP-Netmask = "255.255.255.0"

以上信息表示：用户名为3，用户密码为字符串3；并为下发属性为IP地址9.1.1.1/16

3.5.2  配置vBRAS

(1)     配置各接口IP地址（配置过程略）。

(2)     配置RADIUS方案。

#创建RADIUS方案rs1，并配置主认证和主计费服务器，以及通信密钥。

<VBRAS> system-view

[vBRAS]radius scheme rs1

[vBRAS-radius-rs1]primary authentication 4.4.4.1

[vBRAS-radius-rs1]primary accounting 4.4.4.1

[vBRAS-radius-rs1]key authentication simple radius

[vBRAS-radius-rs1]key accounting simple radius

#配置发送给RADIUS服务器的用户名不携带ISP域名。

[vBRAS-radius-rs1]user-name-format without-domain

[vBRAS-radius-rs1]quit

(3)     DHCP相关配置。

#开启DHCP服务。

[vBRAS]dhcp enable

#创建地址池9，并配置网关和动态分配的IP地址网段。

[vBRAS]dhcp server ip-pool 9

[vBRAS-dhcp-pool-9] gateway-list 9.1.1.254 export-route

[vBRAS-dhcp-pool-9] network 9.1.1.0 24

[vBRAS-dhcp-pool-9] quit

(4)     配置认证域。

#创建ISP域pppoe，并配置该域使用RADIUS方案rs1。

[vBRAS]domain name pppoe

[vBRAS-isp-pppoe]authentication ppp radius-scheme rs1

[vBRAS-isp-pppoe]authorization ppp radius-scheme rs1

[vBRAS-isp-pppoe]accounting ppp radius-scheme rs1

[vBRAS-isp-pppoe]quit

(5)     配置虚拟模板接口。

#创建虚拟模板接口1，并配置该虚拟模板接口采用PAP认证对端，使用DHCP地址池9为用户分配IP地址及DNS服务器地址。

[vBRAS]interface virtual-template 1

[vBRAS-Virtual-Template1]ppp authentication-mode pap domain pppoe

[vBRAS-Virtual-Template1]remote address pool 9

[vBRAS-Virtual-Template1]quit

(6)     配置接口并启用PPPoE Server协议。

#进入接口GigabitEthernet1/2/0视图。

[vBRAS]interface gigabitethernet 1/2/0

#给接口配置IP地址9.1.1.254/24。

[vBRAS-GigabitEthernet1/2/0] ip address 9.1.1.254 24

#在GigabitEthernet1/2/0接口上启用PPPoE Server协议，将该以太网接口与虚拟模板接口1绑定。

[vBRAS-GigabitEthernet1/2/0]pppoe-server bind virtual-template 1

3.6  验证配置

# 设备未配置dhcp enable时，其地址冲突检测功能处于关闭状态。此时，设备允许相同IP地址的DHCP客户端同时在线。

[vBRAS]%Mar 14 08:28:51:226 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0013-9400-0009; The user came online successfully.

%Mar 14 08:28:55:199 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0015-9400-0009; The user came online successfully.

[vBRAS]dis ppp access-user user pppoe

Interface Username MAC address    IP address      IPv6 address   IPv6 PDPrefix

BAS0      3        0013-9400-0009 9.1.1.1         -              -            

BAS0      3        0015-9400-0009 9.1.1.1         -              -            

# 设备配置dhcp enable后，其地址冲突检测功能处于开启状态。此时，设备不允许相同IP地址的DHCP客户端同时在线。默认情况下，当地址发生冲突时，新用户将上线失败，已在线用户保持在线状态。

[vBRAS] dhcp enable

[vBRAS] %Mar 14 08:29:44:193 2018 H3C PPP/6/PPP_USER_LOGON_FAILED: -UserName=3-IPAddr=255.255.255.255-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0015-9400-0009-Reason=IP conflict on DHCP server; The user failed to come online.

[vBRAS]%Mar 14 08:29:45:771 2018 H3C PPP/6/PPP_USER_LOGON_FAILED: -UserName=3-IPAddr=255.255.255.255-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0015-9400-0009-Reason=IP conflict on DHCP server; The user failed to come online.

[vBRAS]

[vBRAS]dis ppp access-user user pppoe

Interface Username MAC address    IP address      IPv6 address   IPv6 PDPrefix

BAS0      3        0013-9400-0009 9.1.1.1         -              -            

# 设备配置dhcp conflict-ip-address offline后，当地址发生冲突时，设备将释放已在线DHCP客户端的IP地址。

[H3C] dhcp conflict-ip-address offline

[H3C] %Apr 10 11:49:27:405 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -Slot=1; -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/4/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0010-9400-0001; The user came online successfully.

[H3C]dis ppp acc use pppoe

Interface Username MAC address    IP address      IPv6 address   IPv6 PDPrefix

BAS0      3        0010-9400-0001 9.1.1.1         -              -            

%Apr 10 11:49:35:542 2018 H3C PPP/6/PPP_USER_LOGON_FAILED: -Slot=1; -UserName=3-IPAddr=255.255.255.255-IfName=GigabitEthernet1/4/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0010-9400-0001-Reason=IP conflict on DHCP server; The user failed to come online.

%Apr 10 11:49:35:763 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -Slot=1; -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/4/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0011-9400-0001; The user came online successfully.

[H3C]dis ppp acc use pppoe

Interface Username MAC address    IP address      IPv6 address   IPv6 PDPrefix

BAS0      3        0011-9400-0001 9.1.1.1         -              -            

# 设备配置dhcp authorized-ip-conflict ignore后，其地址冲突检测忽略功能将开启。此时，设备允许相同IP地址的DHCP客户端同时在线。

[vBRAS] dhcp authorized-ip-conflict ignore 

[vBRAS] %Mar 14 08:30:32:669 2018 H3C PPP/6/PPP_USER_LOGON_SUCCESS: -UserName=3-IPAddr=9.1.1.1-IfName=GigabitEthernet1/2/0-OuterVLAN=N/A-InnerVLAN=N/A-MACAddr=0015-9400-0009; The user came online successfully.

[vBRAS]dis ppp access-user user pppoe

Interface Username MAC address    IP address      IPv6 address   IPv6 PDPrefix

BAS0      3        0013-9400-0009 9.1.1.1         -              -            

BAS0      3        0015-9400-0009 9.1.1.1         -              -       

3.7  配置文件

vBRAS的配置文件如下：

 sysname vBRAS

#

 telnet server enable

#

 irf mac-address persistent always

 irf auto-update enable

 irf auto-merge enable

 irf member 1 priority 1

#

 ppp access-user log enable successful-login failed-login normal-logout abnormal-logout

#

 dhcp enable

 dhcp authorized-ip-conflict ignore

#

 password-recovery enable

#

irf-port 1

#

dhcp server ip-pool 9

 gateway-list 9.1.1.254 export-route

 network 9.1.1.0 mask 255.255.255.0

#             

interface Virtual-Template1

 ppp authentication-mode pap domain pppoe

 remote address pool 9

 ppp account-statistics enable

#

interface NULL0

#

interface GigabitEthernet1/1/0

 port link-mode route

 ip address 4.4.4.2 255.255.255.0

#

interface GigabitEthernet1/2/0

 port link-mode route

 ip address 9.1.1.254 255.255.255.0

 pppoe-server bind virtual-template 1

#

interface GigabitEthernet1/3/0

 port link-mode route

#

interface GigabitEthernet1/4/0

 port link-mode route

#

 scheduler logfile size 16

#

line class aux

 user-role network-operator

#

line class console

 user-role network-admin

#

line class vty

 user-role network-operator

#

line aux 0

 user-role network-operator

#

line con 0

 user-role network-admin

#

line vty 0 63

 authentication-mode none

 user-role network-admin

 user-role network-operator

 idle-timeout 0 0

#

radius scheme rs1

 primary authentication 172.16.2.228 key cipher $c$3$qxO0mKGZUmZUXF7E84T+ILeRm/nhn/gVqA==

 primary accounting 172.16.2.228 key cipher $c$3$eQa8niISOcWrI3+9yWgVr1hPashTiPGKoA==

 user-name-format without-domain

#

domain name pppoe

 authentication ppp radius-scheme rs1

 authorization ppp radius-scheme rs1

 accounting ppp radius-scheme rs1

#

domain name system

#

 domain default enable system

#

role name level-0

 description Predefined level-0 role

#

role name level-1

 description Predefined level-1 role

#

role name level-2

 description Predefined level-2 role

#

role name level-3

 description Predefined level-3 role

#

role name level-4

 description Predefined level-4 role

#

role name level-5

 description Predefined level-5 role

#

role name level-6

 description Predefined level-6 role

#

role name level-7

 description Predefined level-7 role

#

role name level-8

 description Predefined level-8 role

#

role name level-9

 description Predefined level-9 role

#

role name level-10

 description Predefined level-10 role

#             

role name level-11

 description Predefined level-11 role

#

role name level-12

 description Predefined level-12 role

#

role name level-13

 description Predefined level-13 role

#

role name level-14

 description Predefined level-14 role

#

user-group system

#

local-user abc class manage

 password hash $h$6$SE2h092oaN6oEnoj$fs59RFSdCCNLTtUToF5efEAAxieC5Yyb6NwnDLsQBko8ku4C8X/7zaB37eMm7PyKmP8r2YwED7no+cPIncSbXg==

 service-type ftp

 authorization-attribute work-directory flash:/

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

ftp server enable

#

return

4  相关资料

·     H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/data/infoblade/Comware V7平台B75分支中文/1.2.07 三层技术-IP业务/1.2.07.03 DHCP/DHCP命令.htm配置指导

·     H3C vBRAS系列虚拟宽带远程接入服务器 http://press.h3c.com/data/infoblade/Comware V7平台B75分支中文/1.2.07 三层技术-IP业务/1.2.07.03 DHCP/DHCP命令.htm命令参考