11-H3C vBRAS转控分离场景支持IPoE Web逃生功能典型配置举例
本章节下载: 11-H3C vBRAS转控分离场景支持IPoE Web逃生功能典型配置举例 (310.77 KB)
H3C vBRAS转控分离场景支持IPoE WEB逃生功能典型配置举例
资料版本:5W100-20190625
产品版本:E1218 and later
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍了vBRAS(Virtual Broadband Remote Access Server,虚拟宽带远程接入服务器)转控分离场景下支持IPoE Web逃生的典型配置举例。
IPoE Web认证的逃生功能是指当设备探测到Web认证服务器或AAA认证服务器不可达时,可自动打开接口上的网络限制,允许用户不需经过Web认证即可访问网络资源;当设备探测到Web认证服务器或AAA认证服务器可达时,会把当前认证前域中所有在线用户从逃生用户组重新迁移到授权用户组,再重新启动认证前域用户的认证功能,认证前域用户需要通过认证之后才能继续访问网络资源,已通过认证的用户不受影响。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解ACL(Access Control List,访问控制列表)、QOS(quality of service服务质量)、策略路由、AAA(Authentication、Authorization、Accounting,认证、授权、计费)、NQA(Network Quality Analyzer,网络质量分析)、TRACK等特性。
如图1所示:
· POP交换机与DP建立VXLAN-DCI隧道,CP和DP建立VXLAN隧道。
· 用户认证和计费通过RADIUS server完成。
· 用户地址分配通过DHCP server完成。
· 用户上线过程通过Portal&Web server完成。
· CP和DP设备采用堆叠热备组网,与Portal server三层互通。
图1 IPoE Web逃生功能典型配置举例组网图
· 完成转控分离组网以及IPoE+web基本业务的配置。
· 配置Portal Server认证需要的端口组、地址组和接入设备信息的配置。
· CP配置NQA,Track,配置逃生用户组与Track项关联。
· DP配置逃生组以及对应逃生组的qos策略。
建议将IPoE Web认证与Portal认证配置在不同接口上。
# 配置IPoE Web认证(配置过程略)。
# 配置NQA探测,用于检测Portal服务器是否可达。
<vBRAS> system
[vBRAS] nqa entry admin test_imc
[vBRAS-nqa-1-1] type icmp-echo
# 配置目的IP为Portal服务器IP地址。
[vBRAS-nqa-1-1] destination ip 28.28.28.100
[vBRAS-nqa-1-1] frequency 500
[vBRAS-nqa-1-1] history-record enable
[vBRAS-nqa-1-1] history-record number 10
[vBRAS—nqa-1-1] probe count 3
[vBRAS-nqa-1-1] probe timeout 500
[vBRAS—nqa-1-1] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[vBRAS-nqa-1-1] quit
# 配置Track,关联NQA实例。
[vBRAS] track 1 nqa entry admin test_imc reaction 1
# 配置NQA测试组启动并持续测试。
[vBRAS] nqa schedule admin test_imc start-time now lifetime forever
# 接口下配置逃生用户组与Track项关联,当track 1检测失败时,将用户迁移到逃生用户组。
[vBRAS] interface vsi-interface 1
[vBRAS-Vsi-interface1] ip subscriber pre-auth track 1 fail-permit user-group back
# 配置逃生组。
[vBRAS] user-group back
[vBRAS-back] quit
# 在QOS策略中允许通过的ACL规则中添加允许逃生用户组的IP报文通过
[vBRAS] acl advanced 3525
[vBRAS-acl-ipv4-adv-3525] rule 10 permit ip user-group back
[vBRAS-acl-ipv4-adv-3525] quit
#配置CB对,并在QOS中引用,目的是允许用户组的报文访问外网
[DP] traffic classifier a-wifi_permit operator and
[DP-classifier-a-wifi_permit] if-match acl 3525
[DP-classifier-a-wifi_permit] traffic behavior a-wifi_permit
[DP-behavior-a-wifi_permit] filter permit
[DP-behavior-a-wifi_permit] qos policy web
[DP-qospolicy-web] classifier a-wifi behavior a-wifi_permit
[DP-qospolicy-web]
# 在vBRAS查看用户状态,用户处于正常的认证前用户组,无法访问外网。
<CP> display ip subscriber session verbose
Basic:
Description : -
Username : 000c29490bab
Domain : dm0
VPN instance : N/A
IP address : 20.20.16.2
IPv6 address : ::
User address type : N/A
MAC address : 000c-2949-0bab
Service-VLAN/Customer-VLAN : 200/-
Access interface : Vsi1
User ID : 0x382002e4
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83886081
VXLAN ID : 200
DNS servers : 172.16.16.222
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 83727 sec
DHCPv6 lease : N/A
DHCPv6 remain lease : N/A
Access time : Feb 18 03:50:55 2019
Online time(hh:mm:ss) : 00:30:10
Service node : Slot 1 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : N/A
IPv6 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : po2
IPv6 pool : po1
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 18 04:05:17 2019
Redirect URL : http://172.16.16.222:8080/portal/
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : web(N/A)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 10900/569605
Downlink packets/bytes : 22/1428
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 当Portal服务器不可达,查看用户迁移到逃生用户组。
<CP> display ip subscriber session verbose
Basic:
Description : -
Username : 000c29490bab
Domain : dm0
VPN instance : N/A
IP address : 20.20.16.2
IPv6 address : ::
User address type : N/A
MAC address : 000c-2949-0bab
Service-VLAN/Customer-VLAN : 200/-
Access interface : Vsi1
User ID : 0x382002e4
VPI/VCI(for ATM) : -/-
VSI Index : 0
VSI link ID : 83886081
VXLAN ID : 200
DNS servers : 172.16.16.222
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 83442 sec
DHCPv6 lease : N/A
DHCPv6 remain lease : N/A
Access time : Feb 18 03:50:55 2019
Online time(hh:mm:ss) : 00:34:56
Service node : Slot 1 CPU 0
Authentication type : Web pre-auth
IPv4 access type : DHCP
IPv6 access type : DHCP
IPv4 detect state : N/A
IPv6 detect state : N/A
State : Online
AAA:
ITA policy name : N/A
IP pool : po2
IPv6 pool : po1
Primary DNS server : N/A
Secondary DNS server : N/A
Primary IPv6 DNS server : N/A
Secondary IPv6 DNS server : N/A
Session idle cut : N/A
Session duration : N/A, remaining: N/A
Traffic quota : N/A
Traffic remained : N/A
Acct start-fail action : Online
Acct update-fail action : Online
Acct quota-out action : Offline
Dual-stack accounting mode : Merge
Max IPv4 multicast addresses: 4
IPv4 multicast address list : N/A
Max IPv6 multicast addresses: 4
IPv6 multicast address list : N/A
Accounting start time : Feb 18 04:05:17 2019
Redirect URL : http://172.16.16.222:8080/portal/
Subscriber ID : -
QoS:
User profile : N/A
Session group profile : N/A
User group ACL : back(N/A)
Inbound CAR : N/A
Outbound CAR : N/A
Inbound user priority : N/A
Outbound user priority : N/A
Flow statistic:
Uplink packets/bytes : 10900/569605
Downlink packets/bytes : 22/1428
IPv6 uplink packets/bytes : 0/0
IPv6 downlink packets/bytes : 0/0
# 用户在逃生组可访问外网
C:\Windows\system32> ping 29.29.0.1
正在 Ping 29.29.0.1 具有 32 字节的数据:
来自 29.29.0.1 的回复: 字节=32 时间=1ms TTL=253
来自 29.29.0.1 的回复: 字节=32 时间=1ms TTL=253
来自 29.29.0.1 的回复: 字节=32 时间=10ms TTL=253
来自 29.29.0.1 的回复: 字节=32 时间=1ms TTL=253
29.29.0.1 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 1ms,最长 = 10ms,平均 = 3ms
#Portal服务器可达后,用户回到认证前状态,用户需进行认证,才能访问外网。
C:\Windows\system32> ping 29.29.0.1
正在 Ping 29.29.0.1 具有 32 字节的数据:
请求超时。
请求超时。
请求超时。
请求超时。
29.29.0.1 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 0,丢失 = 4 (100% 丢失)
# 打开Host上的浏览器,输入认证IP地址,重定向至iMC Portal登录页面,如下图所示
图2 iMC Portal登录页面
# 输入用户名密码后认证完成,可以访问外网。
图3 用户上线成功页面
· CP
#
track 1 nqa entry admin test_imc reaction 1
#
nqa entry admin test_imc
type icmp-echo
destination ip 28.28.28.100
frequency 500
history-record enable
history-record number 10
probe count 3
probe timeout 500
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type
trigger-only
#
nqa schedule admin test_imc start-time now lifetime forever
#
interface Vsi-interface1
ip subscriber pre-auth track 1 fail-permit user-group back
#
· DP
#
traffic classifier a-wifi_permit operator and
if-match acl 3525
#
traffic behavior a-wifi_permit
filter permit
#
qos policy web
classifier a-wifi_permit behavior a-wifi_permit
#
user-group back
#
· H3C vBRAS系列虚拟宽带远程接入服务器 配置指导-E1218
· H3C vBRAS系列虚拟宽带远程接入服务器 命令参考-E1218
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!