08-H3C vBRAS转控分离场景支持IPoE联动CGN NAT典型配置举例
本章节下载: 08-H3C vBRAS转控分离场景支持IPoE联动CGN NAT典型配置举例 (178.86 KB)
H3C vBRAS转控分离场景支持IPoE联动CGN NAT典型配置举例
资料版本:5W100-20190625
产品版本:E1218 and later
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文介绍路由器转控分离组网中IPoE与NAT联动的典型配置举例。CGN(Carrier Grade NAT,运营商级网络地址转换),也称LSN(Large-scale NAT,大规模网络地址转换)。传统NAT多部署在CPE(Customer Premises Equipment,用户侧设备)上,实现少量用户地址的转换。而CGN部署在运营商网络中,通过将承担CGN功能的单板插在其他功能(如BRAS)的设备上,实现大量用户的地址转换,在支持并发用户数、性能、溯源等方面有很大提升。
在VBRAS上,IPoE业务联动NAT444(通过在认证ISP域中指定具体的用户地址类型)实现私网到公网地址的转换。在转控分离组网中,NAT功能需要同时在CP和DP设备上进行配置。
· 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
· 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 本文档假设您已了解VXLAN、IRF、IPoE、转控分离等特性。
如图1所示:
· POP交换机与DP建立VXLAN-DCI隧道,CP和DP建立VXLAN隧道。
· 用户认证和计费通过RADIUS server完成。
· CP设备采用IRF堆叠热备,工作在NAT的控制模式,负责公网IP地址和端口块资源的分配。用户上线之前获得私网IPv4地址,NAT为其分配公网IP地址和端口块资源。CP同时作为IPoE接入设备,工作在会话表项控制模式,通过OpenFlow向DP下发用户表项。
· DP设备采用IRF堆叠热备,工作在NAT的转发模式,负责出接口方向上,将用户的私网IP地址进行转换。DP同时作为IPoE接入设备,工作在转发模式,根据从CP下发的用户表项,指导数据转发。
图1 CGN NAT典型配置举例组网图
(1) 在POP、DP、CP上完成VXLAN、Openflow的配置。
(2) 在CP上配置IPoE业务和IPoE接入相关的DHCP、AAA策略。
(3) 配置RADIUS server,为上线用户提供AAA服务。
(4) CP配置NAT地址池,采用NAT端口块动态映射方式复用两个外网地址202.38.1.2和202.38.1.3,外网地址地址块大小为1,端口范围为1024~65535,端口块大小为300。
(5) DP配置NAT地址组,外网地址的端口范围和端口块大小与CP上NAT地址池的配置保持一致。
· 用户上线后,无法更改NAT端口块配置。只有在所有用户下线后,才能更改NAT端口块配置。
· 在IRF组网中,需要保证冗余组中的主和备份组中的主一致,否则会导致端口块或会话业务备份失败。
· 在IRF组网中,建议同时开启NAT端口块备份功能,以保证主备倒换时尽可能缩短流量中断的时间。
· CP在IRF组网时,不支持备份NAT端口块。但不影响CP在主备倒换时的高可靠性。
· 转控分离组网以及IPoE基本业务的配置见《H3C vBRAS路由器转控分离场景支持IPoE业务典型配置举例》,此处不再赘述。
(1) 配置vBRAS的NAT工作模式
# 配置vBRAS的NAT工作模式为控制模式。
<CP> system-view
[CP] nat work-mode control-plane
(2) 配置备份组
# 创建备份组cp,将堆叠主设备配置为primary,备份设备配置为secondary。
[CP] failover group cp
[CP-failover-group-CP] bind slot 1 primary
[CP-failover-group-CP] bind slot 2 secondary
[CP-failover-group-CP] quit
(3) 冗余组绑定备份组
[CP] redundancy group test
[CP-redundancy-group-test] member failover group cp
[CP-redundancy-group-test] quit
(4) 配置OpenFlow
# 开启OpenFlow控制器功能。
[CP] openflow controller enable
(5) 配置NAT地址池
# 创建一个名称为cp的NAT地址池。
[CP] nat address-pool cp
# 添加地址成员202.38.1.2和202.38.1.3
[CP-address-pool-cp] address 202.38.1.2 202.38.1.3
# 配置地址块大小为1
[CP-address-pool-cp] ip-block size 1
# 配置地址池的端口块参数,端口块大小为300
[CP-address-pool-cp] port-block block-size 300
# 公网IP地址端口端口范围为1024~65535
[CP-address-pool-cp] port-range 1024 65535
[CP-address-pool-cp] quit
(6) 配置DHCP
# 开启DHCP服务。
[CP] dhcp enable
# 配置DHCP地址池cp,网关地址为3.3.1.1,动态分配的地址网段为3.3.0.0/16。
[CP] dhcp server ip-pool cp
[CP-dhcp-pool-cp] gateway-list 3.3.1.1
[CP-dhcp-pool-cp] network 3.3.0.0 mask 255.255.0.0
[CP-dhcp-pool-cp] forbidden-ip 3.3.1.1
[CP-dhcp-pool-cp] quit
(7) 配置用户上线的认证域
# 创建名称为cp的ISP域,并指定为用户分配IPv4地址的地址池为cp,用户使用的认证/授权/计费方案均为local,地址类型为私网IPv4地址,该地址类型的用户认证成功后将触发地址分配。
[CP] domain name ipoe_rs2
[CP-isp-ipoe_rs2] authorization-attribute ip-pool cp
[CP-isp-ipoe_rs2] authentication ipoe radius-scheme rs2
[CP-isp-ipoe_rs2] authorization ipoe radius-scheme rs2
[CP-isp-ipoe_rs2] accounting ipoe radius-scheme rs2
[CP-isp-ipoe_rs2] user-address-type private-ipv4
[CP-isp-ipoe_rs2] quit
# 在接口VSI-interface1上启用IPoE二层接入,使能DHCP报文触发上线,配置上线用户名、密码和认证使用的ISP
[CP] interface vsi-interface1
[CP-Vsi-interface1] ip subscriber l2-connected enable
[CP-Vsi-interface1] ip subscriber control-plane-mode session
[CP-Vsi-interface1] ip subscriber dhcp username include string ipoe
[CP-Vsi-interface1] ip subscriber unclassified-ip username include string ipoe
[CP-Vsi-interface1] ip subscriber password ciphertext $c$3/QxjRzLA8kghH=
[CP-Vsi-interface1] ip subscriber dhcp domain ipoe_rs2
(1) 配置Router的NAT工作模式
# 配置Router的NAT工作模式为转发。
<DP> system-view
[DP] nat work-mode data-plane
(2) 配置备份组
# 创建备份组dp,将堆叠主设备配置为primary,备设备配置为secondary。
[DP] failover group dp
[DP-failover-group-dp] bind slot 1 primary
[DP-failover-group-dp] bind slot 2 secondary
[DP-failover-group-dp] quit
(3) 配置地址组
# 创建一个地址组,编号为1。
[DP] nat address-group 1
# 将地址组与备份组dp绑定。
[DP-address-group-1] failover-group dp
# 配置地址池的端口块参数,端口块大小为300。
[DP-address-group-1] port-block block-size 300
[DP-address-group-1] port-range 1024 65535
[DP-address-group-1] quit
(4) 冗余组绑定备份组
[DP] redundancy group test
[DP-redundancy-group-test] member failover group dp
[DP-redundancy-group-test] quit
(5) 配置ACL,仅允许对指定私网网段的用户报文进行地址转换
[DP] acl advanced 3000
[DP-acl-ipv4-adv-3000] rule permit ip source 3.3.0.0 0.0.255.255
[DP-acl-ipv4-adv-3000] quit
(6) 配置处理基于会话业务的备份组,即仅允许将匹配ACL 3000的报文引流到备份组nat的主节点上进行业务处理。
[DP] session service-location acl 3000 failover-group dp
#开启会话统计功能、会话业务热备份功能和NAT动态端口块备份功能。
[DP] session statistics enable
[DP] session synchronization enable
[DP] nat port-block synchronization enable
(7) 配置出方向动态地址转换
# 在接口Reth2上配置出方向动态地址转换,允许对匹配ACL 3000的报文进行源地址转换,并在转换过程中使用端口信息。
[DP]interface Reth 2
[DP-Reth2] nat outbound 3000 address-group 1
[DP-Reth2] quit
(8) 配置IPoE
# 在接口VSI-interface1上启用IPoE二层接入,使能DHCP报文触发上线。
[DP] interface vsi-interface1
[DP-Vsi-interface1]ip subscriber l2-connected enable
[DP-Vsi-interface1]ip subscriber initiator dhcp enable
# 在CP显示IPoE用户的详细信息,在NAT部分可以看到对应的公网地址和端口号:
<CP>display ip subscriber session verbose
Basic:
Description : -
Username : ipoe
Domain : ipoe_rs2
VPN instance : N/A
IP address : 3.3.0.1
User address type : private-ipv4
MAC address : 0010-9401-0001
Service-VLAN/Customer-VLAN : 1015/100
Access interface : Vsi11
User ID : 0x38200003
VPI/VCI(for ATM) : -/-
VSI Index : 5
VSI link ID : 83886201
VXLAN ID : 511
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86382 sec
Access time : Feb 16 00:44:31 2019
Online time(hh:mm:ss) : 00:00:18
Service node : Slot 1 CPU 0
Authentication type : Bind
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : cp
IPv6 pool : 2001
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 16 00:44:31 2019
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
NAT:
Global IP address : 202.38.1.2
Port block : 1024-1123
Flow statistic:
Uplink packets/bytes : 0/0
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 在DP上显示IPoE用户的详细信息,在NAT部分可以看到对应的公网地址和端口号:
<DP>display ip subscriber session verbose
Basic:
VPN instance : N/A
IP address : 3.3.0.1
User address type : private-ipv4
MAC address : 0010-9401-0001
Service-VLAN/Customer-VLAN : 1015/100
Access interface : Vsi11
User ID : 0x38200003
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83886280
VXLAN ID : 511
Authentication type : Bind
IPv4 access type : DHCP
State : Online
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
NAT:
Global IP address : 202.38.1.2
Port block : 1024-1123
# 在DP上显示动态端口块表项。
<DP>display nat port-block dynamic
Slot 1:
Local VPN Local IP Global IP Port block Connections Extend
--- 3.3.0.1 202.38.1.2 1024-1123 0 ---
Total mappings found: 1
Slot 2:
Local VPN Local IP Global IP Port block Connections Extend
--- 3.3.0.1 202.38.1.2 1024-1123 0 ---
Total mappings found: 1
# 当用户的1024端口向公网发起UDP数据流时,在DP上显示NAT会话
<DP>display nat session
Slot 1:
Initiator:
Source IP/port: 3.3.0.1/1024
Destination IP/port: 202.38.1.11/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Vsi-interface11
Total sessions found: 1
Slot 2:
Total sessions found: 0
# 在DP上显示NAT会话详细信息
<DP>display nat session verbose
Slot 1:
Initiator:
Source IP/port: 3.3.0.1/1024
Destination IP/port: 202.38.1.11/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Vsi-interface11
Responder:
Source IP/port: 202.38.1.11/1024
Destination IP/port: 202.38.1.2/1034
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Reth2
State: UDP_OPEN
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2019-02-16 01:06:37 TTL: 30s
Initiator->Responder: 9291335 packets 947716170 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
Slot 2:
Total sessions found: 0
# 在DP上显示所有NAT统计信息的详细信息。
<DP>display nat statistics
Slot 1:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 645
Active static port block entries: 0
Active dynamic port block entries: 1
Slot 2:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 645
Active static port block entries: 0
Active dynamic port block entries: 1
· CP
#
failover group cp
bind slot 1 primary
bind slot 2 secondary
#
openflow controller enable
#
dhcp server ip-pool cp
gateway-list 3.3.1.1
network 3.3.0.0 mask 255.255.0.0
forbidden-ip 3.3.1.1
#
interface Vsi-interface1
ip policy-based-route tetong
ip subscriber l2-connected enable
ip subscriber control-plane-mode session
ip subscriber dhcp username include string ipoe
ip subscriber unclassified-ip username include string ipoe
ip subscriber dhcp domain ipoe_rs2
#
redundancy group test
member failover group cp
#
domain name ipoe_rs2
authorization-attribute ip-pool cp
authentication ipoe radius-scheme rs2
authorization ipoe radius-scheme rs2
accounting ipoe radius-scheme rs2
user-address-type private-ipv4
#
nat work-mode control-plane
#
nat address-pool cp
ip-block size 1
port-range 1024 65535
port-block block-size 300
address 202.38.1.2 202.38.1.3
#
· DP
#
failover group dp
bind slot 1 primary
bind slot 2 secondary
#
interface Reth2
nat outbound 3000 address-group 1
#
nat address-group 1
failover-group dp
port-range 1024 65535
port-block block-size 300
#
redundancy group test
member failover group dp
#
acl advanced 3000
rule 5 permit ip source 3.3.0.0 0.0.255.255
#
session service-location acl 3000 failover-group dp
session statistics enable
session synchronization enable
#
interface Reth2
nat outbound 3000 address-group 1
#
interface Vsi-interface1
ip subscriber l2-connected enable
ip subscriber initiator dhcp enable
#
· H3C vBRAS系列虚拟宽带远程接入服务器 配置指导-E1218
· H3C vBRAS系列虚拟宽带远程接入服务器 命令参考-E1218
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!