所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置终结L3VPN接入BRAS示例

配置终结L3VPN接入BRAS示例

介绍终结L3VPN接入BRAS的配置过程。

组网需求

RouterB设备不同单板上的不同端口通过OSPF与下行设备RouterA通过协议达成流量负载分担(相同用户的流量可能通过不同单板接入),随后通过策略路由将相同用户不同单板流量通过备板送到同一认证单板进行三层用户认证,如图6-13所示。

说明:
终结L3VPN接入BRAS场景只支持三层静态用户。
需求如下:
  • 用户上行流量在RouterA通过路由负载分担hash进入RouterB的不同接口。
  • RouterB把所有用户流量进入的接口加入L3VPN并配置策略路由,根据源IP/VLAN/DSCP把对应用户的所有流量重定向到指定的下一跳,下一跳的出接口和配置了BRAS功能的接口直连并配置同一网段IP。

  • RouterB上用户流量进入bas功能接口后触发用户上线,上线成功后下发用户相关转发表,后续用户流量通过查询用户表项核对合法性并转发出去。

  • 用户下行流量在RouterB上通过用户相关转发表项从配置了bas功能的接口转发出去,进入L3VPN域内转发。

  • 进入RouterB的L3VPN域内的用户下行流量根据路由进行转发(可以为负载分担),流量进入RouterA转发给用户。

图6-13  终结L3VPN接入BRAS组网图

采用如下思路配置VE接口终结三层后接入BRAS:

  1. 配置策略路由,使用重定向到主备下一跳,主下一跳故障后可以自动切换到备下一跳上进行bas上线。

  2. 配置用户接入口A1和A2。

  3. 配置重定向下一跳为接口C的IP地址。

  4. 配置B1、B2接口,bas用户上线接口C1和备份口C2。

  5. 接口A和B处于同一个本地L3VPN,B和C的IP配置为同一网段,用于查策略路由命中下一跳是C后,流可以从B出去。

数据准备

完成本例配置,需准备如下数据:

  • VE-Group号。

  • 本地L3VPN的名称。

  • OSPF相关配置。

  • 三层用户认证方式、计费方式、认证域名等。

  • 接口IP地址。

配置步骤

  1. 配置本地L3VPN。

    HUAWEI设备配置本地L2VPN,接口A1、A2和B1、B2同处于此本地L2VPN。

    <HUAWEI> system-view
    [~HUAWEI] ip vpn-instance access
    [*HUAWEI-vpn-instance-access] ipv4-family
    [*HUAWEI-vpn-instance-access] route-distinguisher 200:1
    [*HUAWEI-vpn-instance-access] vpn-target 111:1 both
    [*HUAWEI-vpn-instance-access] quit
  2. 配置策略路由。

    匹配源IP重定向到主备下一跳,主下一跳故障后可以自动切换到备下一跳上进行bas上线。

    [~HUAWEI] acl 3000
    [*HUAWEI-acl-adv-3000] rule permit source 192.168.1.1 255.255.255.255
    [*HUAWEI-acl-adv-3000] quit
    [~HUAWEI] traffic classifier class1
    [*HUAWEI-classifier-class1] if-match acl 3000
    [*HUAWEI-classifier-class1] quit
    [~HUAWEI] traffic behavior behavior1
    [*HUAWEI-behavior-behavior1] redirect ipv4-MultiNhp nhp 192.168.112.2 vpn access nhp 192.168.223.2 vpn access non-revertive
    [*HUAWEI-behavior-behavior1] quit
    [~HUAWEI] traffic policy loadbalance
    [*HUAWEI-trafficpolicy-loadbalance] share-mode
    [*HUAWEI-trafficpolicy-loadbalance] classifier class1 behavior behavior1
    [*HUAWEI-trafficpolicy-loadbalance] quit
  3. 配置用户接入口A1和A2。

    [~HUAWEI] interface GigabitEthernet1/0/3.100
    [*HUAWEI-GigabitEthernet1/0/3.100] vlan-type dot1q 100
    [*HUAWEI-GigabitEthernet1/0/3.100] ip binding vpn-instance access
    [*HUAWEI-GigabitEthernet1/0/3.100] ip address 192.168.111.1 255.255.255.0
    [*HUAWEI-GigabitEthernet1/0/3.100]  traffic-policy loadbalance inbound
    [*HUAWEI-GigabitEthernet1/0/3.100] ospf enable 100 area 0.0.0.0
    [*HUAWEI-GigabitEthernet1/0/3.100] quit
    [~HUAWEI] interface GigabitEthernet2/2/7.100
    [*HUAWEI-GigabitEthernet2/2/7.100] vlan-type dot1q 100
    [*HUAWEI-GigabitEthernet2/2/7.100] ip binding vpn-instance access
    [*HUAWEI-GigabitEthernet2/2/7.100] ip address 192.168.222.1 255.255.255.0
    [*HUAWEI-GigabitEthernet2/2/7.100] traffic-policy loadbalance inbound
    [*HUAWEI-GigabitEthernet2/2/7.100] ospf enable 100 area 0.0.0.0
    [*HUAWEI-GigabitEthernet2/2/7.100] quit
  4. 配置重定向下一跳出接口B1接口。

    [~HUAWEI] interface Virtual-Ethernet1/0/0
    [*HUAWEI-Virtual-Ethernet1/0/0] ve-group 1 l3-terminate
    [*HUAWEI-Virtual-Ethernet1/0/0] quit
    [~HUAWEI] interface Virtual-Ethernet1/0/0.100
    [*HUAWEI-Virtual-Ethernet1/0/0.100] vlan-type dot1q 100
    [*HUAWEI-Virtual-Ethernet1/0/0.100] ip address 192.168.112.1 255.255.255.0
    [*HUAWEI-Virtual-Ethernet1/0/0.100] quit

    配置备份口B2接口。

    [~HUAWEI] interface Virtual-Ethernet2/0/0
    [*HUAWEI-Virtual-Ethernet2/0/0] ve-group 1 l3-terminate
    [*HUAWEI-Virtual-Ethernet2/0/0] quit
    [~HUAWEI] interface Virtual-Ethernet2/0/0.100
    [*HUAWEI-Virtual-Ethernet2/0/0.100] vlan-type dot1q 100
    [*HUAWEI-Virtual-Ethernet2/0/0.100] ip address 192.168.223.1 255.255.255.0
    [*HUAWEI-Virtual-Ethernet2/0/0.100] quit
  5. 配置bas接口认证域。

    # 配置AAA方案。

    [~HUAWEI] aaa
    [*HUAWEI-aaa-authen-auth2] authentication-scheme auth2
    [*HUAWEI-aaa-authen-auth2] authentication-mode radius
    [*HUAWEI-aaa-authen-auth2] commit
    [~HUAWEI-aaa-authen-auth2] quit

    # 配置计费方案。

    [*HUAWEI] accounting-scheme acct2
    [*HUAWEI-aaa-accounting-acct2] authentication-mode radius
    [*HUAWEI-aaa-accounting-acct2] commit
    [~HUAWEI-aaa-accounting-acct2] quit
    [~HUAWEI-aaa] quit

    # 配置RADIUS服务器组。

    [~HUAWEI] radius-server group rd2
    [*HUAWEI-radius-rd2] radius-server authentication 192.168.8.249 1812
    [*HUAWEI-radius-rd2] radius-server accounting 192.168.8.249 1813
    [*HUAWEI-radius-rd2] radius-server type standard
    [*HUAWEI-radius-rd2] radius-server shared-key-cipher it-is-my-secret1
    [*HUAWEI-radius-rd2] commit
    [~HUAWEI-radius-rd2] quit

    # 配置地址池。

    [~HUAWEI] ip pool pool2 bas local
    [*HUAWEI-ip-pool-pool2] gateway 10.82.1.1 255.255.255.0
    [*HUAWEI-ip-pool-pool2] section 0 10.82.1.2 10.82.1.200
    [*HUAWEI-ip-pool-pool2] dns-server 192.168.8.252
    [*HUAWEI-ip-pool-pool2] vpn-instance vpn1
    [*HUAWEI-ip-pool-pool2] commit
    [~HUAWEI-ip-pool-pool2] quit

    # 配置域。

    [~HUAWEI-BRAS] aaa
    [~HUAWEI-BRAS-aaa] domain ipv4
    [*HUAWEI-BRAS-aaa-domain-ipv4] commit
    [~HUAWEI-BRAS-aaa-domain-ipv4] authentication-scheme none
    [*HUAWEI-BRAS-aaa-domain-ipv4] accounting-scheme none
    [*HUAWEI-BRAS-aaa-domain-ipv4] commit
    [~HUAWEI-BRAS-aaa-domain-ipv4] ip-pool ipv4
    [*HUAWEI-BRAS-aaa-domain-ipv4] quit
    [~HUAWEI-BRAS-aaa] quit
  6. 配置bas用户上线接口C1。

    [~HUAWEI] interface Virtual-Ethernet1/0/1
    [*HUAWEI-Virtual-Ethernet1/0/1] ve-group 1 l3-access
    [*HUAWEI-Virtual-Ethernet1/0/1] quit
    [~HUAWEI] interface Virtual-Ethernet1/0/1.100
    [*HUAWEI-Virtual-Ethernet1/0/1.100] vlan-type dot1q 100
    [*HUAWEI-Virtual-Ethernet1/0/0.100] ip binding vpn-instance access
    [*HUAWEI-Virtual-Ethernet1/0/1.100]  ip address 192.168.112.2 255.255.255.0
    [HUAWEI-Virtual-Ethernet1/0/1.100] bas
    [*HUAWEI-Virtual-Ethernet1/0/1.100-bas] access-type layer3-subscriber default-domain pre-authentication fastweb
    [*HUAWEI-Virtual-Ethernet1/0/1.100-bas] default-user-name-template fastweb
    [*HUAWEI-Virtual-Ethernet1/0/1.100-bas] default-password-template fastweb
    [*HUAWEI-Virtual-Ethernet1/0/1.100-bas] quit
    [~HUAWEI-Virtual-Ethernet1/0/1.100] quit

    配置bas用户上线的备份接口C2。

    [~HUAWEI] interface Virtual-Ethernet2/0/1
    [*HUAWEI-Virtual-Ethernet2/0/1] ve-group 1 l3-access
    [*HUAWEI-Virtual-Ethernet2/0/1] quit
    [~HUAWEI] interface Virtual-Ethernet2/0/1.100
    [*HUAWEI-Virtual-Ethernet2/0/1.100] vlan-type dot1q 100
    [*HUAWEI-Virtual-Ethernet2/0/0.100] ip binding vpn-instance access
    [*HUAWEI-Virtual-Ethernet2/0/1.100]  ip address 192.168.223.2 255.255.255.0
    [*HUAWEI-Virtual-Ethernet2/0/1.100] bas
    [*HUAWEI-Virtual-Ethernet2/0/1.100-bas] access-type layer3-subscriber default-domain pre-authentication fastweb
    [*HUAWEI-Virtual-Ethernet2/0/1.100-bas] default-user-name-template fastweb
    [*HUAWEI-Virtual-Ethernet2/0/1.100-bas] default-password-template fastweb
    [*HUAWEI-Virtual-Ethernet2/0/1.100-bas] quit
    [*HUAWEI-Virtual-Ethernet2/0/1.100] quit
  7. 配置三层静态用户。

    [~HUAWEI] layer3-subscriber 192.168.1.1 vpn-instance access domain-name fastweb

配置文件

  • HUAWEI的配置文件

    #
     sysname HUAWEI
    #
    ip vpn-instance access
     ipv4-family
     route-distinguisher 200:1
     vpn-target 111:1 export-extcommunity
     vpn-target 111:1 import-extcommunity
    #
    acl 3000
     rule permit source 192.168.1.1 255.255.255.255
    #
    traffic classifier classifier1
     if-match acl 3000
    #
    traffic behavior behavior1
     redirect ipv4-MultiNhp nhp 192.168.112.2 vpn access nhp 192.168.223.2 vpn access non-revertive
    #
    traffic policy loadbalance
     share-mode
     classifier classifier1 behavior behavior1
    #
    #
    interface gigabitethernet1/0/3.100
    vlan-type dot1q 100
    ip binding vpn-instance access 
    ip address 192.168.111.1 255.255.255.0
    traffic-policy loadbalance inbound
    ospf enable 100 area 0.0.0.0
    interface GigabitEthernet2/2/7.100 
    vlan-type dot1q 100
    ip binding vpn-instance access
    ip address 192.168.222.1 255.255.255.0
    traffic-policy loadbalance inbound
    ospf enable 100 area 0.0.0.0
    #
    #
    interface Virtual-Ethernet1/0/0
    ve-group 1 l3-terminate
    interface Virtual-Ethernet1/0/0.100
    vlan-type dot1q 100
    ip binding vpn-instance access
    ip address 192.168.112.1 255.255.255.0
    interface Virtual-Ethernet2/0/0
    ve-group 1 l3-terminate
    interface Virtual-Ethernet2/0/0.100
    vlan-type dot1q 100
    ip binding vpn-instance access
    ip address 192.168.223.1 255.255.255.0
    #
    aaa
     authentication-scheme auth2
      authentication-mode radius
    #
     accounting-scheme acct2
      authentication-mode radius
      radius-server group rd2 
      radius-server authentication 192.168.8.249 1812
      radius-server accounting 192.168.8.249 1813
      radius-server type standard
      radius-server shared-key-cipher it-is-my-secret1
      ip pool pool2 bas local
      gateway 10.82.1.1 255.255.255.0 
      section 0 10.82.1.2 10.82.1.200
      dns-server 192.168.8.252
      vpn-instance vpn1
    #
    aaa
      domain ipv4
      authentication-scheme none
      accounting-scheme none
      ip-pool ipv4
    interface Virtual-Ethernet1/0/1 
     ve-group 1 l3-access
    #
    interface Virtual-Ethernet1/0/1.100
     vlan-type dot1q 100
     interface Virtual-Ethernet1/0/1.100
     ip address 192.168.112.2 255.255.255.0
      access-type layer3-subscriber default-domain pre-authentication fastweb
      default-user-name-template fastweb
      default-password-template fastweb
    #
    interface Virtual-Ethernet2/0/1
     ve-group 1 l3-access
    #
    interface Virtual-Ethernet2/0/1.100
    vlan-type dot1q 100
     ip address 192.168.223.1 255.255.255.0
    #
          bas
     access-type layer3-subscriber default-domain pre-authentication fastweb
      default-user-name-template fastweb
      default-password-template fastweb
    #
    layer3-subscriber 192.168.1.1 domain-name fastweb
    #
    ospf 100
     area 0.0.0.0
    #
    return
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:18745

下载量:223

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页