02-H3C vBRAS转控分离场景支持IPoE业务典型配置举例
本章节下载: 02-H3C vBRAS转控分离场景支持IPoE业务典型配置举例 (176.97 KB)
H3C vBRAS路由器转控分离场景支持IPoE业务典型配置举例
资料版本:5W100-20190625
产品版本:E1218 and later
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
3.4.4 配置AAA服务器(以Free RADIUS服务器为例)
本文档介绍了vBRAS(Virtual Broadband Remote Access Server,虚拟宽带远程接入服务器)转控分离场景下支持IPoE的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPoE、DHCP、AAA等特性。
· Host经由POP交换机以IPoE方式接入,CP建立、维护用户会话,并将用户表项下发到DP,指导用户流量转发。
· vBRAS为路由器转控分离方式部署,DP和CP之间建VXLAN隧道和OpenFlow连接。OpenFlow提供CP/DP间的表项下发通道,VXLAN隧道提供CP/DP间的协议报文通道。
· POP交换机与DP之间建立VXLAN-DCI隧道,DP与CP之间建立VXLAN隧道。用户在VXLAN网关接口上线。
· CP提供DHCP服务,为接入用户分配地址。
· RADUS server连接CP,为接入用户提供认证、授权和计费服务。
图1 IPoE转控分离典型配置举例组网图
设备 |
接口 |
IPv4地址 |
POP(AC) |
Loop10 |
9.123.123.123/32 |
vBRAS(DP) |
Loop10 |
51.52.1.1/32 |
vBRAS(CP) |
Loop10 |
51.52.133.1/32 |
· 在POP交换机上配置AC口,绑定VSI实例,配置VXLAN隧道。
· 在DP和CP上分别配置VSI实例,VXLAN隧道,并配置VSI网关,VSI网关接口的MAC地址需保持一致。
· 在DP上配置OpenFlow实例,在CP上配置OpenFlow控制器。
· 在DP和CP上的VSI网关下配置IPoE业务。
· 在CP上配置DHCP服务。
· 在RADIUS server上配置AAA服务。
· 各设备上的IP地址和路由协议配置略,请按照实际组网要求完成配置。
· VXLAN隧道的源/目的IP是设备上的LoopBack口地址,本文档假设所有LoopBack口地址三层互通。
(1) 配置VXLAN隧道和VSI实例
# 在交换机上开启L2VPN能力。
<POP> system-view
[POP] l2vpn enable
# 配置VXLAN隧道。
[POP] interface tunnel 2001 mode vxlan
[POP-Tunnel2001] source 9.123.123.123
[POP-Tunnel2001] destination 51.52.1.1
[POP-Tunnel2001] quit
# 配置VSI实例。
[POP] vsi dp1
[POP-vsi-dp1] vxlan 2001
[POP-vsi-dp1-vxlan-2001] tunnel 2001
[POP-vsi-dp1-vxlan-2001] quit
(2) 配置AC口
[POP] intface ten-gigabitethernet 1/0/15
[POP-Ten-GigabitEthernet1/0/15] port link-type trunk
# 配置接口允许vlan tag为2001的报文通过。
[POP-Ten-GigabitEthernet1/0/15] port trunk permit vlan 2001
# 配置服务实例,将外层VLAN Tag为2001的报文映射到VSI实例dp1。
[POP-Ten-GigabitEthernet1/0/15] service-instance 1
[POP-Ten-GigabitEthernet1/0/15-srv1] encapsulation s-vid 2001
[POP-Ten-GigabitEthernet1/0/15-srv1] xconnect vsi dp1 access-mode ethernet
[POP-Ten-GigabitEthernet1/0/15-srv1] quit
[POP-Ten-GigabitEthernet1/0/15] quit
# 配置vlan 2001。
[POP] vlan 2001
[POP-vlan-2001] quit
(1) 配置DP的工作模式,DP工作在数据平面
# 配置DP的工作模式为数据平面。
<DP> system-view
[DP] ip subscriber work-mode data-plane
(2) 配置DP上的vXLAN隧道和VSI
# 在DP上开启L2VPN能力。
[DP] l2vpn enable
# 配置到CP的VXLAN隧道。
[DP] interface tunnel 21 mode vxlan
[DP-Tunnel21] source 51.52.1.1
[DP-Tunnel21] destination 51.52.133.1
[DP-Tunnel21] quit
# 配置到Pool-gateway交换机的VXLAN-DCI隧道。
[DP] interface tunnel 2001 mode vxlan-dci
[DP-Tunnel2001] source 51.52.1.1
[DP-Tunnel2001] destination 9.123.123.123
[DP-Tunnel2001] quit
# 配置VSI实例。
[DP] vsi dp1
[DP-vsi-dp1] gateway vsi-interface 1
[DP-vsi-dp1] vxlan 2001
[DP-vsi-dp1-vxlan-2001] tunnel 21
[DP-vsi-dp1-vxlan-2001] tunnel 2001
[DP-vsi-dp1-vxlan-2001] quit
[DP-vsi-dp1] quit
(3) 配置DP上的openflow实例
# 创建OpnFlow实例1并指定为全局实例。
[DP] openflow instance 1
[DP-of-inst-1] classification global
# 配置控制器CP的IP地址为1.1.1.1及缺省table miss动作。
[DP-of-inst-1] controller 1 address ip 51.52.133.1 local address ip 51.52.1.1
[DP-of-inst-1] default table-miss permit
# 配置流表类型和流表ID
[DP-of-inst-1] flow-table mac-ip 1
# 配置主备倒换过程能够重连。
[DP-of-inst-1] undo tcp-connection backup
# 开启OpenFlow数据转发平面功能。
[DP-of-inst-1] data-plane enable
# 激活实例。
[DP-of-inst-1] active instance
[DP-of-inst-1] quit
(4) 配置VXLAN网关接口
# MAC地址与CP的VSI虚接口地址保持一致。
[DP] interface vsi-interface1
[DP-Vsi-interface1] mac-address 0011-1111-aaaa
[DP-Vsi-interface1] distributed-gateway local
[DP-Vsi-interface1] ip subscriber l2-connected enable
(1) 配置CP上的VXLAN隧道和VSI实例
# 在CP上开启L2VPN能力。
<CP> system-view
[CP] l2vpn enable
# 在CP上创建VXLAN隧道和VSI实例。
[CP] interface tunnel 21 mode vxlan
[CP-Tunnel21] source 51.52.133.1
[CP-Tunnel21] destination 51.52.1.1
[CP-Tunnel21] quit
[CP] vsi dp1
[CP-vsi-dp1] gateway vsi-interface 1
[CP-vsi-dp1] vxlan 2001
[CP-vsi-dp1-vxlan-2001] tunnel 21
[CP-vsi-dp1-vxlan-2001] quit
[CP-vsi-dp1] quit
# 在CP创建VSI虚接口,并配置CP的VSI虚接口使用与DP的VSI虚接口相同的MAC地址。
[CP] interface vsi-interface 1
[CP-Vsi-interface1] mac-address 0011-1111-aaaa
[CP-Vsi-interface1] distributed-gateway local
[CP-Vsi-interface1] ip subscriber l2-connected enable
[CP-Vsi-interface1] quit
(2) 开启OpenFlow控制器功能
# 开启CP作为OpenFlow控制器功能。
[CP] openflow controller enable
(1) 在clients.conf文件中增加如下信息:
client 4.4.4.2/32 {
ipaddr = 4.4.4.2
netmask = 32
secret = 123
}
以上信息表示:RADIUS客户端的IP地址为4.4.4.1,共享密钥为字符串123。
(2) 配置合法用户信息:
在users文件中增加如下信息:
ipoe Cleartext-Password :="123"
(1) 在CP上的VSI虚接口下配置IPoE
[CP] interface vsi-interface1
# 使能IPoE二层接入和用DHCP触发接入的方式。
[CP-Vsi-interface1] ip subscriber l2-connected enable
[CP-Vsi-interface1] ip subscriber initiator dhcp enable
# 配置IPoE会话的下发到DP的方式为会话模式。
[CP-Vsi-interface1] ip subscriber control-plane-mode session
# 配置IPoE用户的登录名和密码,需要与AAA服务器中用户信息的配置保持一致。
[CP-Vsi-interface1] ip subscriber password plaintext 123
[CP-Vsi-interface1] ip subscriber dhcp username include string ipoe
[CP-Vsi-interface1] ip subscriber dhcp domain ipoe
(2) 在DP上的VSI虚接口下配置IPoE
[DP] interface Vsi-interface1
# DP上只需要使能IPoE二层接入和接入的触发方式。
[DP-Vsi-interface1] ip subscriber l2-connected enable
[DP-Vsi-interface1] ip subscriber initiator dhcp enable
(3) 在CP上配置DHCP地址池
[CP] dhcp server ip-pool local
[CP-dhcp-pool-local] gateway-list 11.0.0.1 export-route
[CP-dhcp-pool-local] network 11.0.0.0 mask 255.0.0.0
[CP-dhcp-pool-local] forbidden-ip 11.0.0.1
[CP-dhcp-pool-local] quit
(4) 在CP上配置AAA策略
[CP] radius scheme rs2
[CP-radius-rs2] primary authentication 4.4.4.1
[CP-radius-rs2] primary accounting 4.4.4.1
[CP-radius-rs2] key authentication simple 123
[CP-radius-rs2] key accounting simple 123
# 配置AAA策略认证不带ISP域名。
[CP-radius-rs2] user-name-format without-domain
[CP-radius-rs2] quit
(5) 在 CP上配置认证域
[CP] domain name ipoe
# 为用户授权DHCP地址池。
[CP-isp-ipoe] authorization-attribute ip-pool local
# 配置用户的AAA认证策略。
[CP-isp-ipoe] authentication ipoe radius-scheme rs2
[CP-isp-ipoe] authorization ipoe radius-scheme rs2
[CP-isp-ipoe] accounting ipoe radius-scheme rs2
# 在CP上查看openflow-controller datapath,通道上有收发包个数统计,以及对端DP的IP地址。
[CP] display openflow-controller datapath
Datapath ID : 0x000174258ae3c5eb
Port number : 0
Auxiliary channel number : 0
Buffer number : 1024
Table number : 1
Capabilities :
Flow statistics.
Table statistics.
Port statistics.
Group statistics.
Queue statistics.
Switch will block looping ports.
Switch IPv4 address : 51.52.1.1
Port ID : 64149
Connect type : TCP
Auxiliary ID : 0
Bytes sent : 2233
Bytes received : 2504
# 查看控制面VSI虚接口信息,可以看到CP和DP之间VXLAN隧道,VXLAN ID,VXLAN虚接口控制模式等。
[CP] display ip subscriber vsi-interface control-plane
Interface VSI name VXLAN ID Tunnel name DP address CP mode
Vsi1 dp1 2001 Tunnel21 51.52.1.1 session
Total vsi-interface working in control-plane: 1
# 在DP上查看openflow controller,Connect state为Established说明openflow建立成功。
[DP] display openflow instance 1 controller
Instance 1 controller information:
Reconnect interval: 60 (s)
Echo interval : 10 (s)
Controller ID : 1
Controller IP address : 51.52.133.1
Controller port : 6633
Local IP address : 51.52.1.1
Controller role : Equal
Connect type : TCP
Connect state : Established
Packets sent : 29
Packets received : 26
SSL policy : --
VRF name : --
[DP] display openflow summary
Fail-open mode: Se - Secure mode, Sa - Standalone mode
ID Status Datapath-ID Channel Table-num Port-num Reactivate
1 Active 0x000174258ae3c5eb Connected 1 10 N
# 查看转发面VSI虚接口信息:可以看到CP和DP之间VXLAN隧道,VXLAN ID,CP设备IP地址。
[DP]display ip subscriber vsi-interface data-plane
Interface VSI name VXLAN ID Tunnel name CP address
Vsi1 dp1 2001 Tunnel21 51.52.133.1
Total vsi-interface working in data-plane: 1
# 在CP上查看用户详细信息。
[CP] display ip subscriber session verbose
Basic:
Description : -
Username : 192.0.0.2
Domain : ipoe
VPN instance : N/A
IP address : 192.0.0.2
User address type : N/A
MAC address : 0010-9400-0002
Service-VLAN/Customer-VLAN : 2001/100
Access interface : Vsi1
User ID : 0x38208b6f
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83889212
VXLAN ID : 321
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : N/A
DHCP remain lease : N/A
Access time : Feb 1 06:20:20 2019
Online time(hh:mm:ss) : 00:30:13
Service node : Slot 1 CPU 0
Authentication type : Bind
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : local
IPv6 pool : N/A
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 1 06:20:20 2019
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 526/53652
Downlink packets/bytes : 125/13551
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 在DP上查看用户详细信息:DP上的用户信息不涉及AAA认证及流量统计。
[DP] display ip subscriber session verbose
Basic:
VPN instance : N/A
IP address : 192.0.0.2
User address type : N/A
MAC address : 0010-9400-0002
Service-VLAN/Customer-VLAN : 2001/100
Access interface : Vsi1
User ID : 0x3821ac7f
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83886203
VXLAN ID : 321
Authentication type : Bind
IPv4 access type : DHCP
State : Online
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
· PoP交换机(6800)
#
vlan 2001
#
l2vpn enable
#
vsi dp1
vxlan 2001
tunnel 2001
#
interface Ten-GigabitEthernet1/0/15
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 2001
#
service-instance 1
encapsulation s-vid 2001
xconnect vsi dp1 access-mode ethernet
#
interface Tunnel2001 mode vxlan
source 9.123.123.123
destination 51.52.1.1
#
· DP
#
ip subscriber work-mode data-plane
#
openflow instance 1
default table-miss permit
undo tcp-connection backup
flow-table mac-ip 1
classification global
data-plane enable
controller 1 address ip 51.52.133.1 local address ip 51.52.1.1
active instance
#
l2vpn enable
#
vsi dp1
gateway vsi-interface 1
vxlan 2001
tunnel 21
tunnel 2001
#
interface Vsi-interface1
mac-address 0011-1111-aaaa
distributed-gateway local
ip subscriber l2-connected enable
ip subscriber initiator dhcp enable
#
interface Tunnel21 mode vxlan
source 51.52.1.1
destination 51.52.133.1
#
interface Tunnel2001 mode vxlan-dci
source 51.52.1.1
destination 9.123.123.123
#
· CP
#
openflow controller enable
#
dhcp server ip-pool local
gateway-list 11.0.0.1 export-route
network 11.0.0.0 mask 255.0.0.0
forbidden-ip 11.0.0.1
#
l2vpn enable
#
vsi dp1
gateway vsi-interface 1
vxlan 2001
tunnel 21
#
interface Vsi-interface1
mac-address 0011-1111-aaaa
distributed-gateway local
ip subscriber l2-connected enable
ip subscriber initiator dhcp enable
ip subscriber control-plane-mode session
ip subscriber dhcp username include string ipoe
ip subscriber password ciphertext $c$3$Re1ipyW4lvPCm4TQWsC8Wre5KKbiXQ==
ip subscriber dhcp domain ipoe
#
radius scheme rs2
primary authentication 4.4.4.1
primary accounting 4.4.4.1
key authentication cipher $c$3$r2bWh5kCSJLzpw61oFPLk+3HDaWfkw==
key accounting cipher $c$3$SSUS4V/FIaSvOkd/o94EMZVDg5wmyw==
user-name-format without-domain
#
domain name ipoe
authorization-attribute ip-pool local
authentication ipoe radius-scheme rs2
authorization ipoe radius-scheme rs2
accounting ipoe radius-scheme rs2
· H3C vBRAS系列虚拟宽带远程接入服务器 配置指导-E1218
· H3C vBRAS系列虚拟宽带远程接入服务器 命令参考-E1218
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!