vBRAS PPPoE用户认证与NAT联动支持冗余备份配置举例

关键词:
功能需求

vBRAS AvBRAS B组成IRF的组网环境下,希望实现IRF主备倒换时NAT业务不中断,以及接收、处理、发送都能在同一台成员设备上进行。具体要求如下:

·              主机作为PPPoE Client,运行PPPoE客户端拨号软件。

·              冗余组节点1vBRAS A绑定,作为主节点;冗余组节点2vBRAS B绑定,作为备节点。

·              vBRAS A作为PPPoE Server,与RADIUS服务器配合对主机进行远程CHAP认证,并通过PPP地址池为主机分配IP地址。

·              vBRAS A与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,向RADIUS服务器发送的用户名要携带域名。

·              vBRAS A上实现NATBRAS联动,在主机通过认证并分配私网地址的同时,为该主机分配公网地址和端口块。

·              vBRAS A上的CGN单板作为备份组的主节点,vBRAS B上的CGN单板作为备份组的备节点,并将此备份组作为冗余组成员。开启NAT端口块备份功能和会话业务热备份功能,实现NAT端口块表项和会话表项的热备份。冗余组发生倒换,备节点切换成主节点接替原主节点工作时,备份组也发生倒换,让备份组的备节点处于激活状态,从而保证倒换前后,NAT业务处理的连续性。

·              冗余组节点的倒回延时为5分钟,当冗余组倒回时,节点有充分的时间进行准备,准备完毕后,再将业务从优先级低的节点倒换到优先级高的节点。从而尽可能的避免主备节点表项不同步的情况发生。

组网信息及描述

配置步骤

(1)      配置vBRAS AvBRAS B组成IRF

搭建成的IRF中,vBRAS A的成员设备编号为1vBRAS B的成员设备编号为2,并保证vBRAS A为主设备。IRF的具体配置请参见“虚拟化技术配置指导”中的“IRF”。

(2)      配置RADIUS服务器

RADIUS服务器上设置与vBRAS交互报文时的共享密钥为expert;添加PPP用户名及密码。

(3)      配置RADIUS方案

# 创建RADIUS方案rad

<Sysname> system-view

[Sysname] radius scheme rad

# 配置主认证服务器和主计费服务器的IP地址为10.0.0.1,并配置主认证、计费服务器的UDP端口号分别为18121813

[Sysname-radius-rad] primary authentication 10.0.0.1 1812

[Sysname-radius-rad] primary accounting 10.0.0.1 1813

# 配置与认证、计费服务器交互报文时的共享密钥为明文expert

[Sysname-radius-rad] key authentication simple expert

[Sysname-radius-rad] key accounting simple expert

# 配置向RADIUS服务器发送的用户名要携带域名。

[Sysname-radius-rad] user-name-format with-domain

[Sysname-radius-rad] quit

# 创建名称为user的用户组。

[Sysname] user-group user

[Sysname-ugroup-user] quit

# 创建ISPcgn

[Sysname] domain name cgn

# PPP用户配置AAA认证方法为RADIUS认证/授权/计费。

[Sysname-isp-cgn] authentication ppp radius-scheme rad

[Sysname-isp-cgn] authorization ppp radius-scheme rad

[Sysname-isp-cgn] accounting ppp radius-scheme rad

# 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT地址分配。

[Sysname-isp-cgn] user-address-type private-ipv4

# 设置ISPcgn下的用户授权属性为user-group

[Sysname-isp-cgn] authorization-attribute user-group user

[Sysname-isp-cgn] quit

(4)      配置以太网冗余接口

# 创建Reth1,成员接口为GigabitEthernet1/0/1GigabitEthernet2/0/1,其中GigabitEthernet1/0/1的优先级为100GigabitEthernet2/0/1的优先级为80

[Sysname] interface reth 1

[Sysname-Reth1] member interface gigabitEthernet1/0/1 priority 100

[Sysname-Reth1] member interface gigabitEthernet2/0/1 priority 80

# 创建Reth2IP地址为111.8.0.101/24,成员接口为GigabitEthernet1/0/2GigabitEthernet2/0/2,其中GigabitEthernet1/0/2的优先级为100GigabitEthernet2/02的优先级为80

[Sysname] interface reth 2

[Sysname-Reth2] ip address 111.8.0.101 255.255.255.0

[Sysname-Reth2] member interface gigabitEthernet1/0/2 priority 100

[Sysname-Reth2] member interface gigabitEthernet2/0/2 priority 80

(5)      配置Track,监测GigabitEthernet1/0/1GigabitEthernet1/0/2GigabitEthernet2/0/1GigabitEthernet2/0/2的状态。

[Sysname] track 1 interface gigabitethernet 1/0/1 physical

[Sysname] track 2 interface gigabitethernet 1/0/2 physical

[Sysname] track 3 interface gigabitethernet 2/0/1 physical

[Sysname] track 4 interface gigabitethernet 2/0/2 physical

(6)      配置备份组

# 创建名称为vbras的备份组。

[Sysname] failover group vbras

# vBRAS A上的slot指定为备份组的主节点,vBRAS B上的slot指定为备份组的备节点。

[Sysname-failover-group-vbras] bind slot 1 primary

[Sysname-failover-group-vbras] bind slot 2 secondary

[Sysname-failover-group-vbras] quit

(7)      配置冗余组

# 创建Node 1Node 1vBRAS A绑定,为主节点。关联的Track项为12

[Sysname] redundancy group aaa

[Sysname-redundancy-group-aaa] node 1

[Sysname-redundancy-group-aaa-node-1] bind slot 1

[Sysname-redundancy-group-aaa-node-1] priority 100

[Sysname-redundancy-group-aaa-node-1] track 1 interface gigaitEthernet 1/0/1

[Sysname-redundancy-group-aaa-node-1] track 2 interface gigaitEthernet 1/0/2

# 创建Node 2Node 2vBRAS B绑定,为备节点。关联的Track项为34

[Sysname-redundancy-group-aaa] node 2

[Sysname-redundancy-group-aaa-node-1] bind slot 2

[Sysname-redundancy-group-aaa-node-1] priority 80

[Sysname-redundancy-group-aaa-node-1] track 3 interface gigaitEthernet 2/0/1

[Sysname-redundancy-group-aaa-node-1] track 4 interface gigaitEthernet 2/0/2

[Sysname-redundancy-group-aaa-node-1] quit

# Reth1Reth2和备份组vbras添加到冗余组中。

[Sysname-redundancy-group-aaa] member interface reth 1

[Sysname-redundancy-group-aaa] member interface reth 2

[Sysname-redundancy-group-aaa] member failover group vbras

# 配置冗余组节点的倒回等待时间为5分钟。

[Sysname-redundancy-group-aaa] preempt-delay 5

[Sysname-redundancy-group-aaa] quit

(8)      配置PPPoE Server

# 配置虚拟模板接口1的参数,采用CHAP认证对端,并使用PPP地址池1为对端分配IP地址。

[Sysname] interface virtual-template 1

[Sysname-Virtual-Template1] ppp authentication-mode chap domain vbras

[Sysname-Virtual-Template1] remote address pool 1

[Sysname-Virtual-Template1] ip address 10.210.0.1 24

# 创建名为pool1地址池,IP地址范围为10.210.0.210.210.0.255

[Sysname] ip pool pool1 10.210.0.2 10.210.0.255

# 在以太网冗余接口Reth1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。

[Sysname] interface reth 1

[Sysname-Reth1] pppoe-server bind virtual-template 1

[Sysname-Reth1] quit

(9)      配置NAT

# 配置ACL 3000,仅允许对内部网络中10.210.0.0/24网段的用户报文进行地址转换。

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule 0 permit ip source 10.210.0.0 0.0.0.255 user-group user

[Sysname-acl-ipv4-adv-3000] quit

# 配置地址组1与备份组vbras绑定,包含一个外网地址111.8.0.200,外网地址的端口范围为102465535,端口块大小为10

[Sysname] nat address-group 1

[Sysname-address-group-1] failover-group vbras

[Sysname-address-group-1] port-block block-size 10

[Sysname-address-group-1] port-range 1024 65535

[Sysname-address-group-1] address 111.8.0.200 111.8.0.200

# 在冗余口Reth2上配置出方向动态地址转换,允许使用地址组1中的地址对匹配ACL 3000的报文进行源地址转换,并在转换过程中使用端口信息。

[Sysname] interface reth 2

[Sysname-Reth2] nat outbound 3000 address-group 1

[Sysname-Reth2] quit

# 配置处理基于会话业务的备份组,即仅允许将匹配ACL 3000的报文引流到备份组vbras的主节点上进行业务处理。

[Sysname] session service-location acl 3000 failover-group vbras

(10)   开启热备功能

# 开启NAT动态端口块备份功能。

[Sysname] nat port-block synchronization enable

# 开启会话业务备份功能。

[Sysname] session synchronization enable

配置关键点及注意事项

# 主机安装PPPoE客户端软件后,使用正确的用户名和密码即可接入到Internet。当用户登录成功后,可以在IRF设备上通过display ppp access-user命令查看PPP用户的详细信息(包括分配的私网IP地址、转换后的公网IP地址以及端口块),同时还可以通过以下显示命令看到为该用户生成的动态端口块表项。

[Sysname] display nat port-block dynamic

Slot 1:

Local VPN     Local IP         Global IP        Port block   Connections  Extend

---           10.210.0.4       111.8.0.200      1024-1323    1            ---

Total mappings found: 1

# 正常情况下,由备份组vbras的主节点处理NAT业务。

[Sysname] display failover group

Stateful failover local group information:

ID   Name                             Primary   Secondary        Active status

1    vbras                            1         2                Primary

# 备份组vbras的主节点故障时,由备节点处理NAT业务。

[Sysname] display failover group

Stateful failover local group information:

ID   Name                             Primary   Secondary        Active status

1    vbras                            1         2                Secondary

 

案例信息

案例类型:典型配置
案例号:201804130014
创建时间:2018年4月13日
更新时间:2018年4月17日
发布时间:2018/4/17 9:48:55
文章密级:游客可见
有效期:长期有效
发布者:王鹤1 [w12957]
点击次数:12564
评论平均得分:0
关键词:
产品线:新网络产品
产品系列:
产品版本:
技术分类:广域数据链路层协议

常用操作
收藏