17-H3C vBRAS支持路由器转控分离典型配置举例-5W100
本章节下载: 17-H3C vBRAS支持路由器转控分离典型配置举例-5W100 (180.81 KB)
H3C vBRAS系列虚拟宽带远程接入服务器支持路由器转控分离模式典型配置举例
Copyright © 2018 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
目 录
本文档介绍路由器转控分离模式下的典型配置举例。转控分离模式就是打破现有物理BRAS设备控制和转发一体化的结构,遵循“控制集中,转发高效,交互简单,弹性可扩”的原则,选择合适的网元分别承载控制面和转发面,控制面要求能处理复杂逻辑和维护状态机,需要强计算、大内存、高扩展能力,适合X86来承载。转发面功能简单但性能压力大,需要高性能、低时延、低抖动能力,适合采用网络处理器或可编程ASIC来承载。控制面和转发面网元之间松耦合,以标准接口交互,以便实现未来可期的异厂家互通。
· 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
· 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 本文档假设您已了解VXLAN、Openflow、PPPoE/IPoE等特性。
如图1所示:
· DP为转发平面,不对PPPoE/IPoE控制报文进行解析,直接通过VXLAN隧道将其透传至CP。
· 待CP认证完成并下发流表后,DP将流表转换为可指导转发的硬件表项,后续用户数据报文直接由DP处理。
· CP为控制平面,负责处理PPPoE/IPoE控制报文,以控制报文触发建立并维护用户会话表,并与远端AAA服务器或iMC服务器等进行交互认证。
· 用户认证通过后,CP整合用户二三层信息和业务信息形成流表,通过OpenFlow接口下发到DP,指导DP对后续用户数据报文独立转发。
vBRAS设备需要支持PPPoE和IPoE的转发控制分离,其中DP为用户接入相连的设备,负责报文转发与流量控制等,CP为PPPOE/IPOE控制模块设备,负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制。在DP和CP之间有两条传输通道,其中OpenFlow提供CP/DP间的表项下发通道,VXLAN隧道提供CP/DP间的协议报文通道,DP的接入模块同时需要识别上送CP的报文,CP需要把会话下发到DP上,DP对下发的会话进行回复。
本举例是在vBRAS1000_H3C-CMW710-E1116-X64版本上进行配置和验证的。
· DP和CP的VSI-interface需配置相同的MAC地址。如果CP与DP的MAC地址不同,协议报文和数据报文的网关就不一致。
· 用户终端可能会认为手工配置的MAC地址无效,从而导致数据报文无法正常收发,因此DP的MAC地址采用原有的物理地址,然后再在CP上手工配置与其相同的地址。
· 实际的组网比较复杂,DP和CP之间可能存在很多网络设备,需要通过静态路由或者动态路由,保证DP和CP之间用于VXLAN和OpenFlow连接的地址能够互通。
# 配置vBRAS设备工作在转发模式。
<DP> system-view
[DP] ip subscriber work-mode data-plane
[DP] pppoe-server work-mode data-plane
# 开启L2VPN功能。
[DP] l2vpn enable
# 创建VSI实例vpna和VXLAN10。
[DP] vsi vpna
[DP-vsi-vpna] vxlan 10
[DP-vsi-vpna-vxlan-10] quit
[DP-vsi-vpna] quit
# 创建LoopBack接口并为LoopBack接口配置IP地址。
[DP] interface loopback 1
[DP-LoopBack1] ip address 77.77.77.1 255.255.255.255
# 在DP和CP之间建立VXLAN隧道:创建隧道接口Tunnel1,指定隧道的源端地址为DP上环回口的地址66.66.66.1,指定隧道的目的端地址为CP上环回口的地址77.77.77.1。
[DP] interface tunnel 1 mode vxlan
[DP-Tunnel1] source 66.66.66.1
[DP-Tunnel1] destination 77.77.77.1
[DP-Tunnel1] quit
# 配置Tunnel1与VXLAN 10关联。
[DP] vsi vpna
[DP-vsi-vpna] vxlan 10
[DP-vsi-vpna-vxlan-10] tunnel 1
[DP-vsi-vpna-vxlan-10] quit
[DP-vsi-vpna] quit
# 创建VSI虚接口VSI-interface1,并为其配置IP地址,该IP地址作为VXLAN 10内虚拟机的网关地址。指定该VSI虚接口为分布式本地网关接口。
[DP] inter vsi-interface 1
[DP-Vsi-interface1] ip address 2.2.2.1 255.255.255.0
[DP-Vsi-interface1] distributed-gateway local
# 为DP和CP的VSI口配置相同的MAC地址。
[DP-Vsi-interface1] mac-address 9070-091f-0200
[DP-Vsi-interface1] quit
# 配置VXLAN 10所在的VSI实例和接口VSI-interface1关联。
[DP] vsi vpna
[DP-Vsi-vpna] gateway vsi-interface 1
[DP-Vsi-vpna] quit
# 在接入服务器的接口GigabitEthernet4/2/3上关联VSI实例vpna。
[DP] inter gigabitethernet 4/2/3
[DP-GigabitEthernet4/2/3] xconnect vsi vpna
[DP-GigabitEthernet4/2/3] quit
# 创建OpenFlow实例1并指定为全局实例。
[DP] openflow instance 1
[DP-of-inst-1] classification global
# 配置控制器CP的IP地址为77.77.77.1及缺省table miss动作。
[DP-of-inst-1] controller 1 address ip 77.77.77.1 local address ip 66.66.66.1
[DP-of-inst-1] default table-miss permit
# 配置CP识别下发DHCP表项。
[DP-of-inst-1] flow-table mac-ip 1
# 配置主备倒换过程能够重连。
[DP-of-inst-1] undo tcp-connection backup
# 激活实例。
[DP-of-inst-1] active instance
[DP-of-inst-1] quit
# 创建虚拟模板接口1。
[DP] interface virtual-template 1
[DP-Virtual-Template1] quit
# 创建LoopBack接口1,并配置其IP地址为CP为用户分配地址的地址池网关地址。
[DP] interface loopback 1
[DP-LoopBack1] ip address 3.3.3.1 255.255.255.255
# 进入VSI虚接口。
[DP] interface vsi-interface 1
# 开启IPoE功能,并指定二层接入模式。
[DP–Vsi-interface1] ip subscriber l2-connected enable
# 开启未知源IP报文触发方式。
[DP–Vsi-interface1] ip subscriber initiator dhcp enable
# 在接口VSI-interface1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[DP-Vsi-interface1] pppoe-server bind virtual-template 1
[DP–Vsi-interface1] quit
# 配置VSI-interface1工作在会话表项控制模式。
<CP> system-view
[CP] interface vsi-interface 1
[CP-Vsi-interface1] ip subscriber control-plane-mode session
[CP-Vsi-interface1] pppoe-server control-plane-mode session
# 开启L2VPN功能。
[CP] l2vpn enable
# 创建VSI实例vpna和VXLAN 10。
[CP] vsi vpna
[CP-vsi-vpna] vxlan 10
[CP-vsi-vpna-vxlan-10] quit
[CP-vsi-vpna] quit
# 创建LoopBack接口并为LoopBack接口配置IP地址。
[CP] interface loopback 1
[CP-LoopBack1] ip address 66.66.66.1 255.255.255.255
# 在CP和DP之间建立VXLAN隧道:创建模式为VXLAN的隧道接口Tunnel1,指定隧道的源端地址为CP上环回口的地址77.77.77.1,指定隧道的目的端地址为DP上环回口的地址66.66.66.1。
[CP] interface tunnel 1 mode vxlan
[CP-Tunnel1] source 77.77.77.1
[CP-Tunnel1] destination 66.66.66.1
[CP-Tunnel1] quit
# 配置Tunnel1与VXLAN 10关联。
[CP] vsi vpna
[CP-vsi-vpna] vxlan 10
[CP-vsi-vpna-vxlan-10] tunnel 1
[CP-vsi-vpna-vxlan-10] quit
[CP-vsi-vpna] quit
# 创建VSI虚接口VSI-interface1,并为其配置IP地址,该IP地址作为VXLAN 10内虚拟机的网关地址。指定该VSI虚接口为分布式本地网关接口。
[CP] interface vsi-interface 1
[CP-Vsi-interface1] ip address 2.2.2.1 255.255.255.0
[CP-Vsi-interface1] distributed-gateway local
# 为CP和DP的VSI口配置相同的MAC地址。
[CP-Vsi-interface1] mac-address 9070-091f-0210
[CP-Vsi-interface1] quit
# 配置VXLAN 10所在的VSI实例和接口VSI-interface1关联。
[CP] vsi vpna
[CP-vsi-vpna] gateway vsi-interface 1
[CP-vsi-vpna] quit
# 开启CP作为OpenFlow控制器功能。
[CP] openflow controller enable
# 启用DHCP服务。
[CP] dhcp enable
# 配置DHCP地址池pool1,为IPOE用户分配IP地址。
[CP] dhcp server ip-pool pool1
[CP-dhcp-pool-pool1] network 2.2.2.0 24
[CP-dhcp-pool-pool1] gateway-list 2.2.2.1 export-route
# 将IP地址2.2.2.1配置为禁用地址。
[CP-dhcp-pool-pool1] forbidden-ip 2.2.2.1
[CP-dhcp-pool-pool1] quit
# 配置DHCP地址池pool2,为PPPOE用户分配IP地址。
[CP] dhcp server ip-pool pool2
[CP-dhcp-pool-pool2] network 3.3.3.0 24
[CP-dhcp-pool-pool2] gateway-list 3.3.3.1 export-route
# 将IP地址3.3.3.1配置为禁用地址。
[CP-dhcp-pool-pool2] forbidden-ip 3.3.3.1
[CP-dhcp-pool-pool2] quit
# 配置虚拟模板接口1的参数,采用PAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode pap domain dm2
[CP-Virtual-Template1] quit
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[CP] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[CP-radius-rs1] primary authentication 172.16.2.237
[CP-radius-rs1] primary accounting 172.16.2.237
[CP-radius-rs1] key authentication simple radius
[CP-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[CP-radius-rs1] user-name-format without-domain
[CP-radius-rs1] quit
#创建并进入名称为dm1的ISP域。
[CP] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authentication ipoe radius-scheme rs1
[CP-isp-dm1] authorization ipoe radius-scheme rs1
[CP-isp-dm1] accounting ipoe radius-scheme rs1
[CP-isp-dm1] quit
# 创建并进入名称为dm2的ISP域。
[CP] domain name dm2
# 配置ISP域使用的RADIUS方案rs1。
[CP-isp-dm2] authorization-attribute ip-pool pool2
[CP-isp-dm2] authentication ppp radius-scheme rs1
[CP-isp-dm2] authorization ppp radius-scheme rs1
[CP-isp-dm2] accounting ppp radius-scheme rs1
[CP-isp-dm2] quit
# 进入VSI虚接口。
[CP] interface vsi-interface 1
# 开启IPoE功能,并指定二层接入模式。
[CP–Vsi-interface1] ip subscriber l2-connected enable
# 开启DHCP报文触发方式。
[CP–Vsi-interface1] ip subscriber initiator dhcp enable
# 设置DHCP报文触发方式使用的认证域为dm1。
[CP–Vsi-interface1] ip subscriber dhcp domain dm1
# 设置动态用户的认证密码为明文radius。
[CP–Vsi-interface1] ip subscriber password plaintext radius
# 在接口VSI-interface1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[CP-Vsi-interface1] pppoe-server bind virtual-template 1
[CP–Vsi-interface1] quit
配置完成后,PC端使用用户名、密码,通过DP可接入到Internet。PC的IP地址为CP所指定的地址。
# 显示CP上PPPoE接入用户的信息。
[CP] display ppp access-user user-type pppoe verbose
Basic:
Interface: BAS0
PPP index: 0x140004289
User ID: 0x28000003
Username: 1
Domain: dm2
Access interface: Vsi1
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 0010-9400-0001
IP address: 3.3.3.2
IPv6 address: -
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: N/A
VPN instance: -
Access type: PPPoE
Authentication type: PAP
PPPoE:
Session ID: 1
AAA:
Authentication state: Authenticated
Authorization state: Authorized
Realtime accounting switch: Open
Realtime accounting interval: 720s
Login time: 2018-04-19 03:06:37:465
Accounting start time: 2018-04-19 03:06:37:513
Online time(hh:mm:ss): 00:02:38
Accounting state: Accounting
Acct start-fail action: Online
Acct update-fail action: Online
Acct quota-out action: Offline
Dual-stack accounting mode: Merge
Idle cut: 0 sec 0 bytes, direction: Both
Session timeout: -
Time remained: -
Traffic quota: -
Traffic remained: -
Redirect WebURL: -
ITA policy name: -
MRU: 1492 bytes
IPv4 MTU: 1492 bytes
IPv6 MTU: 1492 bytes
ACL&QoS:
User profile: -
Session group profile: -
User group acl: -
Inbound CAR: -
Outbound CAR: -
User inbound priority: -
User outbound priority: -
Flow Statistic:
IPv4 uplink packets/bytes: 0/0
IPv4 downlink packets/bytes: 0/0
IPv6 uplink packets/bytes: 0/0
IPv6 downlink packets/bytes: 0/0
# 显示DP上PPPoE接入用户的信息。
[DP] display ppp access-user user-type pppoe verbose
Basic:
Interface: BAS1
PPP index: 0x14000428c
User ID: 0x28000001
Username: -
Domain: -
Access interface: Vsi1
Service-VLAN/Customer-VLAN: -/-
VXLAN ID: -
MAC address: 0010-9400-0001
IP address: 3.3.3.2
IPv6 address: -
IPv6 PD prefix: -
IPv6 ND prefix: -
User address type: N/A
VPN instance: -
Access type: PPPoE
Authentication type: -
PPPoE:
Session ID: 1
AAA:
Redirect WebURL: -
MRU: 1492 bytes
IPv4 MTU: 1492 bytes
IPv6 MTU: 1492 bytes
ACL&QoS:
User profile: -
Session group profile: -
User group acl: -
Inbound CAR: -
Outbound CAR: -
User inbound priority: -
User outbound priority: -
# 查看CP上的IPoE用户在线信息。
[CP] display ip subscriber session verbose
Basic:
Description : -
Username : 001094000002
Domain : dm1
VPN instance : N/A
IP address : 2.2.2.2
User address type : N/A
MAC address : 0010-9400-0002
Service-VLAN/Customer-VLAN : -/-
Access interface : Vsi1
User ID : 0x38200000
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83886080
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86372 sec
Access time : Apr 19 03:23:44 2018
Online time(hh:mm:ss) : 00:00:28
Service node : Slot 1 CPU 0
Authentication type : Bind
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
AAA:
ITA policy name : N/A
IP pool : pool1
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Apr 19 03:23:44 2018
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 查看DP上的IPoE用户在线信息。
[DP] display ip subscriber session verbose
Basic:
VPN instance : N/A
IP address : 2.2.2.2
User address type : N/A
MAC address : 0010-9400-0002
Service-VLAN/Customer-VLAN : -/-
Access interface : Vsi1
User ID : 0x38200000
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 0
VXLAN ID : -
Authentication type : Bind
IPv4 access type : DHCP
State : Online
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
[DP]display openflow summary
Fail-open mode: Se - Secure mode, Sa - Standalone mode
ID Status Datapath-ID Channel Table-num Port-num Reactivate
1 Active 0x000174258ae442e0 Connected 1 6 N
# 显示CP上openflow的信息。
[CP]display openflow-controller datapath
Datapath ID : 0x000174258ae442e0
Port number : 0
Auxiliary channel number : 0
Buffer number : 1024
Table number : 1
Capabilities :
Flow statistics.
Table statistics.
Port statistics.
Group statistics.
Queue statistics.
Switch will block looping ports.
Switch IPv4 address : 66.66.66.1
Port ID : 20648
Connect type : TCP
Auxiliary ID : 0
Bytes sent : 112702
Bytes received : 532452412
· CP的配置文件
#
sysname CP
#
telnet server enable
#
dhcp enable
#
openflow controller enable
#
dhcp server ip-pool pool1
gateway-list 2.2.2.1 export-route
network 2.2.2.0 mask 255.255.0.0
forbidden-ip 2.2.2.1
#
dhcp server ip-pool pool2
gateway-list 3.3.3.1 export-route
network 3.3.3.0 mask 255.255.0.0
forbidden-ip 3.3.3.1
#
l2vpn enable
#
vsi vpna
gateway vsi-interface 1
vxlan 10
tunnel 1
#
interface Virtual-Template1
ppp authentication-mode pap domain dm2
ppp account-statistics enable
#
interface LoopBack1
ip address 66.66.66.1 255.255.255.255
ospf 1 area 0.0.0.0
#
interface Vsi-interface1
mac-address 9070-091f-0210
ip subscriber l2-connected enable
ip subscriber initiator dhcp enable
ip subscriber control-plane-mode session
ip subscriber dhcp domain ipoe
pppoe-server bind virtual-template 1
pppoe-server control-plane-mode session
#
interface Tunnel1 mode vxlan
source 77.77.77.1
destination 66.66.66.1
#
ssh server enable
ssh user 1 service-type all authentication-type password
#
radius scheme rs
primary authentication 172.16.2.237 key cipher $c$3$dziHyNeOc/JCiLI1QED4h+ZBCsUsPg==
primary accounting 172.16.2.237 key cipher $c$3$umN0Cr8iKDOPOpUyykHS7swdama7aw==
user-name-format without-domain
#
domain name dm1
authorization-attribute ip-pool pool1
authentication ipoe radius-scheme rs1
authorization ipoe radius-scheme rs1
accounting ipoe radius-scheme rs1
#
domain name dm2
authorization-attribute ip-pool pooi2
authentication ppp radius-scheme rs1
authorization ppp radius-scheme rs1
accounting ppp radius-scheme rs1
#
Return
· DP的配置文件
#
sysname DP
#
telnet server enable
#
ip subscriber work-mode data-plane
#
openflow instance 1
default table-miss permit
undo tcp-connection backup
flow-table mac-ip 0
classification global
data-plane enable
controller 1 address ip 77.77.77.1 local address ip 66.66.66.1
active instance
#
l2vpn enable
#
vsi vpna
gateway vsi-interface 1
vxlan 10
tunnel 1
#
interface Virtual-Template1
ppp account-statistics enable
#
interface LoopBack1
ip address 3.3.3.1 255.255.255.255
ospf 1 area 0.0.0.0
#
interface Vsi-interface1
mac-address 9070-091f-0200
ip subscriber l2-connected enable
ip subscriber initiator dhcp enable
ip subscriber initiator unclassified-ip enable
pppoe-server bind virtual-template 1
#
interface Tunnel1 mode vxlan
source 66.66.66.1
destination 77.77.77.1
#
local-user admin class manage
password hash $h$6$NyxdSX1JhWl933Zs$MpGk8HeeRoVt8mb390s7s5aIVqPL0LvLXmR6TxMHBPWPNKqxcU0AlcLf6vrluSqUB+y0631EOUs27VyFeRymOg==
service-type http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
pppoe-server work-mode data-plane
#
return
· H3C vBRAS系列虚拟宽带远程接入服务器 OpenFlow配置指导
· H3C vBRAS系列虚拟宽带远程接入服务器 OpenFlow命令参考
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!