10-H3C vBRAS转控分离场景支持IPoE Web NAT穿越功能典型配置举例
本章节下载: 10-H3C vBRAS转控分离场景支持IPoE Web NAT穿越功能典型配置举例 (453.13 KB)
H3C vBRAS转控分离场景支持IPoE WEB NAT穿越功能典型配置举例
资料版本:5W100-20190625
产品版本:E1218 and later
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知
目 录
本文档介绍H3C vBRAS(Virtual Broadband Remote Access Server,虚拟宽带远程接入服务器)系列虚拟路由器IPoE Web NAT功能典型配置举例。
为解决传统BRAS(Broadband Remote Access Server,宽带远程接入服务器)中存在的转发平面和控制平面能力不匹配、无法共享资源以及新业务部署不及时等问题,引入了vBRAS(Virtual Broadband Remote Access Server,虚拟化宽带远程接入服务器)概念。vBRAS的思想是分离控制平面和数据平面,即:
· 把用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等控制平面业务提取出来由一台单独的设备CP(Control Plane,控制平面)来完成。其中,CP一般由vBRAS虚拟宽带远程接入服务器担任。
· 用户数据报文转发、流量控制等数据平面业务由另一台单独的设备DP(Data Plane,数据平面)来完成。其中,DP可由三层交换机、路由器或者vBRAS虚拟宽带远程接入服务器担任。本文中的DP均以vBRAS虚拟宽带远程接入服务器为例进行介绍。
CP和DP之间通过OpenFlow通道和VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)隧道来实现表项下发和协议报文的交互。其中,OpenFlow通道作为CP和DP之间的表项下发通道,VXLAN隧道作为CP和DP之间协议报文交互的通道。
NAT功能可实现私网到公网地址的转换,使IPoE Web(IP over Ethernet)用户能够在内部网络访问外部网络的组网环境。
· 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
· 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 本文档假设您已了解ACL(Access Control List,访问控制列表)、QoS(quality of service服务质量)、策略路由、AAA(Authentication、Authorization、Accounting,认证、授权、计费)、NAT(Network Address Translation,网络地址转换)等特性。
如图1所示:
· POP交换机与DP建立VXLAN-DCI隧道,CP和DP建立VXLAN隧道。
· 用户认证和计费通过RADIUS server完成。
· 用户地址分配通过DHCP server完成。
· 用户上线过程通过portal&web server完成。
· CP设备采用IRF热备,NAT工作在控制模式,负责公网IP地址和端口块资源的分配。用户上线之前获得私网IPv4地址, NAT为其分配公网IP地址和端口块资源。CP同时作为IPoE+Web接入设备,工作在会话表项控制模式,通过OpenFlow向DP下发用户表项。
· DP设备采用IRF热备,NAT工作在转发模式,负责出接口方向上,将用户的私网IP地址进行转换。DP同时作为IPoE接入设备,工作在转发模式,根据从CP下发的用户表项,指导数据转发。
图1 IPoE Web转控分离典型配置举例组网图
· 完成转控分离组网以及IPoE+web基本业务的配置。
· 配置Portal Server认证需要的端口组、地址组和接入设备信息的配置。
· CP配置NAT工作模式和NAT地址池。
· DP配置NAT地址组,外网地址的端口范围和端口块大小与CP上NAT地址池的配置保持一致。
· 用户上线后,无法更改NAT端口块配置。只有在所有用户下线后,才能更改NAT端口块配置。
· 在IRF组网中,需要保证冗余组中的主和备份组中的主一致,否则会导致端口块或会话业务备份失败。
· 在IRF组网中,建议同时开启NAT端口块备份功能,以保证主备倒换时尽可能缩短流量中断的时间。
· CP是IRF组网时,不支持备份NAT端口块。但不影响CP在主备倒换时的高可靠性。
· 转控分离组网以及IPoE+web基本业务的配置见《H3C vBRAS路由器转控分离场景支持IPoE+web业务典型配置举例》,此处不再赘述。
(1) 单击导航树中[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
(2) 配置Portal主页(采用缺省配置即可),单击<确定>按钮完成操作。
图2 服务器配置页面
(1) 单击导航树中[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入IP地址组配置页面。
(2) 单击<增加>按钮,进入增加IP地址组页面。
(3) 输入IP地址组名,输入起始地址11.0.0.2,终止地址11.0.255.254,类型选择NAT。。其余参数采用缺省配置。用户主机IP地址必须包含在该IP地址组范围内,设备配置的转换地址须包含在转换地址范围内。
(4) 单击<确定>按钮完成操作。
图3 增加IP地址组页面
(1) 单击导航树中[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面。
(2) 单击<增加>按钮,进入增加设备信息页面。
(3) 输入设备名,输入IP地址100.100.1.3,该地址为与接入用户相连的设备接口IP地址。输入密钥123456,组网方式选择“直连”。其余参数采用缺省配置。
(4) 单击<确定>按钮完成操作。
图4 增加设备信息页面
(1) 单击导航树中[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面。
(2) 在设备列表中,单击端口组信息管理图标,进入端口组信息配置页面。
(3) 单击<增加>按钮,进入增加端口组信息页面。
(4) 配置端口组信息相关参数后,单击<确定>按钮完成操作。
图5 增加端口组信息页面
(5) 输入端口组名,选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组。其余参数采用缺省配置。
(6) 单击<确定>按钮完成操作。
# 配置IPoE WEB认证(配置过程略)。
# 配置vBRAS的NAT工作模式为控制模式。
<CP> system-view
[CP] nat work-mode control-plane
# 配置NAT地址池:
[CP] nat address-pool cp
[CP-address-pool-cp] ip-block size 1
[CP-address-pool-cp] port-range 1024 65535
[CP-address-pool-cp] port-block block-size 200
[CP-address-pool-cp] address 202.1.1.1 202.1.255.255
[CP-address-pool-cp] quit
# 在前域domain中配置user-address-type。
[CP] domain name dm
[CP-isp-dm0] user-address-type private-ipv4
# DP上的相关配置。
# 配置DP的NAT工作方式为转发模式。
<DP> system-view
[DP] nat work-mode data-plane
# 创建备份组,并将节点加入备份组,其中slot1配置为主节点,slot2配置为备节点。
[DP] failover group dp
[DP-failover-group-dp] bind slot 1 primary
[DP-failover-group-dp] bind slot 2 secondary
[DP-failover-group-dp] quit
# 创建地址组,并配置NAT地址组与备份组绑定,设置跟CP一致的端口块范围和大小
[DP] nat address-group 1
[DP-address-group-1] failover-group dp
[DP-address-group-1] port-range 1024 65535
[DP-address-group-1] port-block block-size 200
[DP-address-group-1] quit
# 配置ACL,匹配需转换的源IP地址。
[DP] acl advanced 3000
[DP-acl-ipv4-adv-3000] rule 5 permit ip source 20.20.0.0 0.0.255.255
[DP-acl-ipv4-adv-3000] quit
# 对匹配指定ACL中permit规则的业务,配置指定处理基于会话业务的备份组。
[DP] session service-location acl 3000 failover-group dp
# 开启会话统计功能和会话同步功能。
[DP] session statistics enable
[DP] session synchronization enable
# 开启NAT动态端口块备份功能。
[DP] nat port-block synchronization enable
# 在公网出方向接口配置动态NAT地址转换。
[DP] interface Reth 2
[DP-Reth2] nat outbound 3000 address-group 1
[DP-Reth2] quit
冗余口组网下还需配置如下配置:
# 创建冗余组,并为其添加成员备份组。
[vBRAS] redundancy group A_Wifi
[vBRAS-redundancy-group-A_Wifi] member interface Reth2
[vBRAS-redundancy-group-A_Wifi] member interface Reth3
[vBRAS-redundancy-group-A_Wifi] member failover group dp
# 在vBRAS查看用户状态,用户处于认证前域,详细信息中包含分配的私网IP地址、转换后的公网IP地址以及端口块。
<CP> display ip subscriber session verbose
Basic:
Description : -
Username : 000c29490bab
Domain : dm0
VPN instance : N/A
IP address : 20.20.16.2
User address type : private-ipv4
MAC address : 000c-2949-0bab
Service-VLAN/Customer-VLAN : 200/-
Access interface : Vsi1
User ID : 0x38200004
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83886081
VXLAN ID : 200
DNS servers : 172.16.16.222
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86390 sec
Access time : Feb 16 11:00:53 2019
Online time(hh:mm:ss) : 00:00:09
Service node : Slot 1 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : po2
IPv6 pool : po1
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 16 11:00:53 2019
Redirect URL : http://172.16.16.222:8080/portal/
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web(N/A)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
NAT:
Global IP address : 202.1.1.1
Port block : 1024-1223
Flow statistic:
Uplink packets/bytes : 346/26298
Downlink packets/bytes : 0/0
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 查看用户生成的动态端口块表项。
<DP> display nat port-block dynamic
Slot 1:
Local VPN Local IP Global IP Port block Connections Extend
--- 20.20.16.2 202.1.1.1 1024-1223 0 ---
Total mappings found: 1
Slot 2:
Local VPN Local IP Global IP Port block Connections Extend
--- 20.20.16.2 202.1.1.1 1024-1223 0 ---
Total mappings found: 1
# 登录Web界面,输入任意IP地址,重定向至iMC Portal登录页面,如下图所示。
图6 iMC Portal登录页面
# 用户认证通过后,执行以下命令查看详细信息。详细信息中包含分配的私网IP地址、转换后的公网IP地址以及端口块。
<CP> display ip subscriber session verbose
Basic:
Description : -
Username : wuxin
Domain : dm1
VPN instance : N/A
IP address : 20.20.16.2
User address type : private-ipv4
MAC address : 000c-2949-0bab
Service-VLAN/Customer-VLAN : 200/-
Access interface : Vsi1
User ID : 0x38200004
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83886081
VXLAN ID : 200
DNS servers : 172.16.16.222
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86119 sec
Access time : Feb 16 11:00:53 2019
Online time(hh:mm:ss) : 00:00:19
Service node : Slot 1 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : po2
IPv6 pool : po1
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : 10000000 sec, remaining: 9999981 sec
Traffic quota : 1048576 bytes
Traffic remained : 1007932 bytes
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 16 11:05:15 2019
Subscriber ID : -
QoS:
User profile : ita(N/A)
Session group profile : N/A
User group ACL : N/A
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
NAT:
Global IP address : 202.1.1.1
Port block : 1024-1223
Flow statistic:
Uplink packets/bytes : 543/32501
Downlink packets/bytes : 25/8143
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
/0
图7 用户上线成功页面
用户与外网通信,查看nat session:
<DP> display nat session verbose
Slot 1:
Initiator:
Source IP/port: 20.20.16.2/1
Destination IP/port: 18.18.0.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vsi-interface1
Responder:
Source IP/port: 18.18.0.1/1024
Destination IP/port: 202.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Reth2
State: ICMP_REPLY
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2019-02-16 11:10:10 TTL: 9s
Initiator->Responder: 2 packets 120 bytes
Responder->Initiator: 2 packets 120 bytes
Initiator:
Source IP/port: 20.20.16.2/1
Destination IP/port: 18.18.0.2/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vsi-interface1
Responder:
Source IP/port: 18.18.0.2/1025
Destination IP/port: 202.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Reth2
State: ICMP_REPLY
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2019-02-16 11:10:13 TTL: 14s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 2
Slot 2:
Initiator:
Source IP/port: 20.20.16.2/1
Destination IP/port: 18.18.0.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vsi-interface1
Responder:
Source IP/port: 18.18.0.1/1024
Destination IP/port: 202.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Reth2
State: ICMP_REPLY
Application: OTHER
Role: Standby
Failover group ID: 1
Start time: 2019-02-16 11:10:10 TTL: 13s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 20.20.16.2/1
Destination IP/port: 18.18.0.2/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vsi-interface1
Responder:
Source IP/port: 18.18.0.2/1025
Destination IP/port: 202.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Reth2
State: ICMP_REPLY
Application: OTHER
Role: Standby
Failover group ID: 1
Start time: 2019-02-16 11:10:13 TTL: 16s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
· CP
#
domain name dm
user-address-type private-ipv4
#
nat work-mode control-plane
#
nat address-pool cp
ip-block size 1
port-range 1024 6553
port-block block-size 200
address 202.1.1.1 202.1.255.255
#
· DP
#
failover group dp
bind slot 1 primary
#
interface Reth2
nat outbound 3000 address-group 1
#
redundancy group A_Wifi
member interface Reth2
member interface Reth3
member failover group dp
#
acl advanced 3000
rule 5 permit ip source 20.20.0.0 0.0.255.255
#
domain name system
#
domain default enable system
#
session service-location acl 3000 failover-group dp
session statistics enable
session synchronization enable
#
nat port-block synchronization enable
nat work-mode control-plane
#
nat address-group 1
failover-group dp
port-range 1024 65535
port-block block-size 200
#
· H3C vBRAS系列虚拟宽带远程接入服务器 配置指导-E1218
· H3C vBRAS系列虚拟宽带远程接入服务器 命令参考-E1218
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!