1. <form id='Nv6Fzy'></form>
        <bdo id='Nv6Fzy'><sup id='Nv6Fzy'><div id='Nv6Fzy'><bdo id='Nv6Fzy'></bdo></div></sup></bdo>

          • 当前位置:首页 >> 计算机硬件及网络 >>

            华为数通BRAS与防火墙维护宝典(印刷版)


            文档名称

            文档密级

            华为数通BRAS/防火墙/SRG维护宝典

            Huawei Technologies Co., Ltd. 华为技术有限公司
            All rights reserved 版权所有 侵权必究

            2015-10-13

            华为保密信息,未经授权禁止扩散

            第 1 页, 共 308 页

            本资料内容主要摘自support.huawei.com网站以及常见问题整理,由华为技术有限公司 中国地区部管理服务与网络保障业务部数通产品团队收集整理,并负责审核校对。

            收集整理:同文玲、郑慧慧、王海龙、傅江森、蒋夕光 审核校对:蒋夕光

            文档名称

            文档密级

            2015-10-13

            华为保密信息,未经授权禁止扩散

            第 3 页, 共 308 页


            尊敬的客户,您好! 感谢您一直以来对华为公司的支持!



            为客户服务是华为存在的唯一理由,客户需求是华为发展的原动力。在技 术支持和网络保障中我们坚持以客户为中心,聚焦客户关注的挑战和压力,快 速响应客户需求,提供方案和解决问题,持续为客户创造价值。 成就客户是华为的核心价值观之一,也是我们工作的方向。 为有效协同客户做好网络运行维护,从2005年开始我们面向客户印刷出版 《维护宝典》到现在已经持续了九年,从刚开始的《华为交换机维护宝典》和 《华为接入网维护宝典》,到目前《维护宝典》已经涉及到核心网、接入网、 数通、光网络、无线、业务软件等六大产品系列几十个产品族,本次对应出版 三十多册。 《维护宝典》由华为技术支持专家、研发专家,结合技术支持实践收集并 总结了该产品近期最常见最实用的技术案例和解决方案(也包括新产品知识介 绍、新型业务应用介绍)。在里面也许可以看到您贡献的技术资料或案例。出 版的目的是让设备维护人员通过这个资料能更加方便使用和维护华为设备,提 升维护质量和效率,同时也是辅助一线设备维护人员技术能力提升的好材料。 《维护宝典》中描述可能涉及到对设备的操作,它与设备软件、硬件版本 甚至第三方设备有关,因此您在依据案例从事维护操作前需要对软硬件版本等 进行确认,必要时可咨询华为公司客户服务热线400-830-2118。 《维护宝典》将依客户需求按产品分类不定期出版,您对此出版物有什么意见
            华为公司,2014 版权所有

            和建议,欢迎您通过邮件反馈给vicky.wangru@huawei.com和

            华为公司,2014 版权所有

            目录
            第一部分 BRAS维护宝典 ............................................................................ 1 1 配置PPPoE接入示例 .............................................................................. 3
            1.1 1.2 1.3 1.4 组网需求 ................................................................................................................... 3 配置思路 ................................................................................................................... 3 数据准备 ................................................................................................................... 4 操作步骤 ................................................................................................................... 4

            2

            配置静态用户示例 ................................................................................... 6
            2.1 2.2 2.3 2.4 组网需求 ................................................................................................................... 6 配置思路 ................................................................................................................... 6 数据准备 ................................................................................................................... 7 操作步骤 ................................................................................................................... 7

            3

            强制web认证配置示例 ............................................................................ 9
            3.1 3.2 3.3 3.4 组网需求 ................................................................................................................... 9 配置思路 ................................................................................................................. 10 数据准备 ................................................................................................................. 10 操作步骤 ................................................................................................................. 11

            4

            配置Dot1q终结三层子接口业务示例 ..................................................... 15
            4.1 4.2 组网需求 ................................................................................................................. 15 配置思路 ................................................................................................................. 16
            华为公司,2014 版权所有 ~i~

            4.3 4.4

            数据准备 ................................................................................................................. 16 操作步骤 ................................................................................................................. 16

            5

            配置QinQ终结三层子接口业务示例....................................................... 18
            5.1 5.2 5.3 5.4 组网需求 ................................................................................................................. 19 配置思路 ................................................................................................................. 19 数据准备 ................................................................................................................. 20 操作步骤 ................................................................................................................. 20

            6

            配置L2TP VPN业务示例 ....................................................................... 24
            6.1 6.2 6.3 6.4 组网需求 ................................................................................................................. 24 配置思路 ................................................................................................................. 24 数据准备 ................................................................................................................. 25 操作步骤 ................................................................................................................. 26

            7

            配置Martini方式VPLS示例 .................................................................... 31
            7.1 7.2 7.3 7.4 组网需求 ................................................................................................................. 31 配置思路 ................................................................................................................. 31 数据准备 ................................................................................................................. 32 操作步骤 ................................................................................................................. 32

            8

            配置BGP/MPLS IP VPN示例 ................................................................ 37
            8.1 8.2 8.3 8.4 组网需求 ................................................................................................................. 37 配置思路 ................................................................................................................. 38 数据准备 ................................................................................................................. 39 操作步骤 ................................................................................................................. 39

            ~ii~

            华为公司,2014 版权所有

            9

            配置用户信息备份地址池部署示例-本地地址池优先.............................. 49
            9.1 9.2 9.3 9.4 组网需求 ................................................................................................................. 49 配置思路 ................................................................................................................. 51 数据准备 ................................................................................................................. 52 操作步骤 ................................................................................................................. 52

            10 应用ACL禁止用户侧www服务配置指导 ................................................ 60
            10.1 限制用户提供www或8080服务................................................................................ 60 10.2 限制网络侧的www或8080服务................................................................................ 62 10.3 同时限制网络侧和用户侧提供的www或8080服务 ................................................ 63

            11 BRAS常见故障定位 .............................................................................. 63
            11.1 Radius故障定位步骤 ............................................................................................. 63 11.2 PPPOE故障处理步骤 ............................................................................................... 66 11.3 DHCP用户无法获取IP地址处理步骤...................................................................... 72 11.4 强制Web认证失败故障处理步骤............................................................................ 76

            12 用户上下线失败原因解释 ...................................................................... 78
            12.1 用户上线失败原因介绍.......................................................................................... 78 12.2 用户下线失败原因介绍.......................................................................................... 80

            13 现网操作License注意事项 .................................................................... 81 第二部分 高端防火墙维护宝典 .................................................................. 87 1 2 Eudemon产品简介 ................................................................................ 89 Eudemon 8000E系列常见配置及故障案例 ........................................... 89
            2.1 配置域内NAT和NAT Server举例............................................................................ 89
            华为公司,2014 版权所有 ~iii~

            2.2 2.3 2.4 2.5 2.6

            配置基于OSPF的GRE隧道........................................................................................ 94 (主备)示例:业务接口工作在三层,上下行连接路由器 ............................ 104 (负载分担)示例:业务接口工作在三层,上下行连接路由器 .................... 111 PC通过L2TP拨号到LNS失败.................................................................................. 117 IPSec网关同时部署NAT, 由于ACL未匹配NAT后的地址造成无法建立IPSec 隧道 ....................................................................................................................... 126

            2.7 2.8 2.9

            由于ACL的rule规则范围不一致,导致IPSec协商失败 .................................... 129 处理双机热备份业务不通故障............................................................................ 132 私网地址转换为公网地址失败............................................................................ 141

            2.10 通过公网IP访问私网服务器失败........................................................................ 148 2.11 PC通过L2TP方式拨号成功但业务不通................................................................ 153

            3

            高端防火墙FAQ .................................................................................. 160

            第三部分 中低端防火墙维护宝典 ............................................................ 173 1 2 中低端Eudemon产品简介 ................................................................... 175 中低端Eudemon 系列常见配置及故障案例 ........................................ 175
            2.1 2.2 2.3 2.4 2.5 2.6 2.7 出口网关双链路接入不同运营商举例一............................................................ 175 配置域内NAT+NAT Server双出口...................................................................... 187 配置NAS-Initialized VPN举例(本地认证) .................................................. 196 配置NAS-Initialized VPN举例(RADIUS认证) .............................................. 201 配置Client-Initialized VPN举例.................................................................... 209 配置基于不同网段的策略路由............................................................................ 216 配置基于不同协议的策略路由............................................................................ 221

            ~iv~

            华为公司,2014 版权所有

            2.8 2.9

            配置IP-MAC绑定 ................................................................................................... 226 配置黑名单 ........................................................................................................... 229

            2.10 通过安全策略进行访问控制................................................................................ 233 2.11 配置会话表老化时间和长连接............................................................................ 238 2.12 登陆密码案例 ....................................................................................................... 243 2.13 由于没有配置长连接导致用户访问SQL数据库不正常 ...................................... 248 2.14 TCP分片导致网管登陆很慢的问题...................................................................... 249

            第四部分 SRG路由器维护宝典 ............................................................... 253 1 SRG1200/SRG2200/SRG3200 .......................................................... 255
            1.1 1.2 产品外观及槽位分布 ........................................................................................... 255 常见配置示例 ....................................................................................................... 255 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 设备作为FTP服务器进行系统软件升级................................................. 255 通过PPPoE拨号接入Internet................................................................. 259 通过3G接入Internet .............................................................................. 265 配置L2TP多实例 ...................................................................................... 270 配置基于IP地址的连接数限制和带宽限制........................................... 279

            2

            SRG1300/SRG2300/SRG3300 .................................................................. 286
            2.1 2.2 产品外观及槽位分布 ........................................................................................... 286 常见配置示例 ....................................................................................................... 286 2.2.1 配置通过NAT Server和NAT Outbound实现公网用户与公网服务器间 互访的示例 .............................................................................................. 286 2.2.2 配置流量监管,对内网IP限速的示例................................................... 288

            华为公司,2014 版权所有

            ~v~

            2.2.3 2.2.4 2.2.5

            配置设备作为DHCP Server,为用户动态分配IP地址的示例 ............. 291 配置流量监管,对网段的每个IP单独限速的示例 ............................... 293 配置通过基于ACL规则的包过滤, 使内网用户无法访问所有外网的示 例 .............................................................................................................. 295

            ~vi~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            1 配置PPPoE接入示例

            第一部分

            BRAS维护宝典

            华为公司,2014 版权所有

            ~1~

            华为数通BRAS/防火墙/SRG维护宝典

            ~2~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            1 配置PPPoE接入示例

            1 配置 PPPoE 接入示例
            介绍一个 PPPoE 接入业务的配置示例,结合配置组网图来理解业务的配置过程。配置示例包 括组网需求、思路准备、操作步骤和配置文件。

            1.1

            组网需求

            如图 1 所示,PPPoE 接入组网需求为: ? 用户归属于 isp1 域, 从 ME 设备的 GE1/0/2 接口下以 PPPoE 方式接入。 且与之连接的设 备是支持拨号功能的设备。 ? ? 采用 RADIUS 认证和 RADIUS 计费。 RADIUS 服务器地址为 192.168.7.249,认证和计费端口分别是 1645 和 1646,采用 RADIUS+1.1 协议,密钥为 itellin。 ? DNS 服务器地址为 192.168.7.252。

            图1 PPPoE配置举例组网图

            1.2

            配置思路

            1. 配置虚拟接口模板 2. 配置 AAA 方案

            华为公司,2014 版权所有

            ~3~

            华为数通BRAS/防火墙/SRG维护宝典

            3. 配置 RADIUS 服务器组 4. 配置 IPv4 地址池 5. 配置域 6. 为接口指定虚拟接口模板 7. 配置 BAS 接口

            1.3
            ? ? ? ? ? ?

            数据准备
            虚拟接口模板编号 认证计费方案及名称 RADIUS 服务器组名称、服务器地址 DNS 服务器地址 用户归属域 BAS 接口参数

            1.4
            1.

            操作步骤
            配置虚拟接口模板。
            <HUAWEI> system-view [HUAWEI] interface virtual-template 1 [HUAWEI-Virtual-Template1] ppp authentication-mode chap [HUAWEI-Virtual-Template1] quit

            2.

            配置认证方案。
            [HUAWEI] aaa [HUAWEI-aaa] authentication-scheme auth1 [HUAWEI-aaa-authen-auth1] authentication-mode radius [HUAWEI-aaa-authen-auth1] quit

            ~4~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            1 配置PPPoE接入示例

            3.

            配置计费方案。
            [HUAWEI-aaa] accounting-scheme acct1 [HUAWEI-aaa-accounting-acct1] accounting-mode radius [HUAWEI-aaa-accounting-acct1] quit [HUAWEI-aaa] quit

            4.

            配置 RADIUS 服务器组。
            [HUAWEI] radius-server group rd1 [HUAWEI-radius-rd1] radius-server authentication 192.168.7.249 1645 [HUAWEI-radius-rd1] radius-server accounting 192.168.7.249 1646 [HUAWEI-radius-rd1] radius-server type plus11 [HUAWEI-radius-rd1] radius-server shared-key itellin [HUAWEI-radius-rd1] quit

            5.

            配置地址池。
            [HUAWEI] ip pool pool1 bas local [HUAWEI-ip-pool-pool1] gateway 172.82.0.1 255.255.255.0 [HUAWEI-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [HUAWEI-ip-pool-pool1] dns-server 192.168.7.252 [HUAWEI-ip-pool-pool1] quit

            6.

            配置 isp1 域。
            [HUAWEI] aaa [HUAWEI-aaa] domain isp1 [HUAWEI-aaa-domain-isp1] authentication-scheme auth1 [HUAWEI-aaa-domain-isp1] accounting-scheme acct1 [HUAWEI-aaa-domain-isp1] radius-server group rd1 [HUAWEI-aaa-domain-isp1] ip-pool pool1 [HUAWEI-aaa-domain-isp1] quit [HUAWEI-aaa] quit

            7.

            为接口指定虚拟接口模板。
            [HUAWEI] interface gigabitethernet 1/0/2

            华为公司,2014 版权所有

            ~5~

            华为数通BRAS/防火墙/SRG维护宝典 [HUAWEI-GigabitEthernet1/0/2] pppoe-server bind virtual-template 1

            8.

            配置 BAS 接口。
            [HUAWEI-GigabitEthernet1/0/2] bas [HUAWEI-GigabitEthernet1/0/2-bas] access-type layer2-subscriber [HUAWEI-GigabitEthernet1/0/2-bas] authentication-method ppp [HUAWEI-GigabitEthernet1/0/2-bas] quit [HUAWEI-GigabitEthernet1/0/2] quit

            2 配置静态用户示例
            介绍一个不认证静态用户的配置示例, 结合配置组网图来理解业务的配置过程。 配置示例包括组网需求、思路准备、操作步骤和配置文件。

            2.1

            组网需求
            如图 1 所示。
            ?

            用户从 ME 设备的 7/0/2.1 接口下以静态用户方式接入,固定 IP 地址为 172.192.0.8。

            ? ?

            用户使用本地认证模式。 使用用户报文携带的 IP 地址生成用户名。

            图:本地认证静态用户配置组网图

            2.2

            配置思路
            本地认证静态用户的配置思路如下: 1. 配置认证方案

            ~6~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            2 配置静态用户示例

            2. 配置地址池 3. 配置认证域 4. 配置 BAS 接口和上行接口 5. 配置静态用户

            2.3

            数据准备
            完成此配置举例,需要准备以下数据:
            ? ? ? ?

            认证模板的名称和认证方式 地址池名称、网关地址、DNS 服务器地址 域的名称 BAS 接口参数

            2.4

            操作步骤

            1. 配置认证方案
            [HUAWEI] aaa [HUAWEI-aaa] authentication-scheme local [HUAWEI-aaa-authen-local] authentication-mode none [HUAWEI-aaa-authen-local] quit

            2. 配置地址池
            [HUAWEI] ip pool pool1 bas local [HUAWEI-ip-pool-pool1] gateway 172.192.0.1 255.255.255.0 [HUAWEI-ip-pool-pool1] section 0 172.192.0.2 172.192.0.200 [HUAWEI-ip-pool-pool1] excluded-ip-address 172.192.0.8 [HUAWEI-ip-pool-pool1] quit

            3. 配置域
            [HUAWEI] aaa [HUAWEI-aaa] domain isp1 [HUAWEI-aaa-domain-isp1] authentication-scheme local 华为公司,2014 版权所有 ~7~

            华为数通BRAS/防火墙/SRG维护宝典 [HUAWEI-aaa-domain-isp1] accounting-scheme default0 [HUAWEI-aaa-domain-isp1] ip-pool pool1 [HUAWEI-aaa-domain-isp1] quit [HUAWEI-aaa] quit

            4. 配置 BAS 接口
            [HUAWEI-GigabitEthernet7/0/2] interface GigabitEthernet 7/0/2.1 [HUAWEI-GigabitEthernet7/0/2.1] user-vlan 100 [HUAWEI-GigabitEthernet8/0/2.1-vlan-1-2] quit [HUAWEI-GigabitEthernet7/0/2.1] bas [HUAWEI-GigabitEthernet7/0/2.1-bas] access-type layer2-subscriber [HUAWEI-GigabitEthernet7/0/2.1-bas] authentication-method bind [HUAWEI-GigabitEthernet7/0/2.1-bas] default-domain authentication isp1 [HUAWEI-GigabitEthernet7/0/2.1-bas] ip-trigger [HUAWEI-GigabitEthernet7/0/2.1-bas] arp-trigger [HUAWEI-GigabitEthernet7/0/2.1-bas] quit [HUAWEI-GigabitEthernet7/0/2.1] quit

            5. 配置静态用户
            [HUAWEI] static-user 172.192.0.8 interface GigabitEthernet 7/0/2.1 vlan 100 detect

            6. 配置上行接口
            [HUAWEI] interface GigabitEthernet 7/0/0 [HUAWEI-GigabitEthernet7/0/0] ip address 192.168.8.1 255.255.255.0

            7. 验证配置结果。 完成上述配置后,使用命令 display access-user domain 查看域下用户在线 情况,用户能够正常上线。
            <HUAWEI> display access-user domain isp1 -----------------------------------------------------------------------------UserID Username IPv6 address -----------------------------------------------------------------------------Interface IP address MAC

            ~8~

            华为公司,2014 版权所有

            第一部分 20 172.192.0.8@isp1

            BRAS维护宝典 GE7/0/2.1

            3 强制web认证配置示例 172.192.0.8

            0002-0101-0101 ------------------------------------------------------------------------------Total users : 1

            3 强制 web 认证配置示例
            介绍一个 WEB 认证业务的配置示例,结合配置组网图来理解业务的配置过程。 配置示例包括组网需求、思路准备、操作步骤和配置文件。

            3.1

            组网需求
            如图所示,普通 WEB 接入组网需求为: ? ? ? 用户归属于 isp2 域,从 ME 设备的 GE8/0/2 接口下以普通 IPoE 方式接入。 用户采用 Web 认证,并采用 RADIUS 认证模式和 RADIUS 计费模式。 RADIUS 服务器地址为 192.168.8.249,认证和计费端口分别是 1812 和 1813, 采用标准 RADIUS 协议,密钥为 hello。 ? ? ? DNS 服务器地址为 192.168.8.252。 Web 认证服务器地址为 192.168.8.251,密钥为 webvlan。 网络侧接口为 GE7/0/2。

            图:WEB配置举例组网图

            华为公司,2014 版权所有

            ~9~

            华为数通BRAS/防火墙/SRG维护宝典

            3.2

            配置思路
            普通 IPoE 接入 VPN 的配置思路如下: 1. 配置认证方案和计费方案 2. 配置 RADIUS 服务器组 3. 配置地址池 4. 配置 Web 认证的认证前域和认证域 5. 配置 Web 认证服务器 6. 配置 ACL 规则和流量管理策略 7. 配置 BAS 接口和上行接口

            3.3

            数据准备
            完成此配置举例,需要准备以下数据: ? ? ? 认证模板的名称和认证方式 计费模板的名称和计费方式 RADIUS 服务器组名称,RADIUS 认证服务器和 RADIUS 计费服务器的 IP 地址、 端口号

            ~10~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            3 强制web认证配置示例

            ? ? ? ? ? ?

            地址池名称、网关地址、DNS 服务器地址 域的名称 Web 认证服务器地址 ACL 规则 流量管理策略 BAS 接口参数

            3.4

            操作步骤

            1. 配置 AAA 方案
            # 配置认证方案。
            <HUAWEI> system-view [HUAWEI] aaa [HUAWEI-aaa] authentication-scheme auth2 [HUAWEI-aaa-authen-auth2] authentication-mode radius [HUAWEI-aaa-authen-auth2] quit

            # 配置计费方案
            [HUAWEI-aaa] accounting-scheme acct2 [HUAWEI-aaa-accounting-acct2] accounting-mode radius [HUAWEI-aaa-accounting-acct2] quit [HUAWEI-aaa] quit

            2. 配置 RADIUS 服务器组
            [HUAWEI] radius-server group rd2 [HUAWEI-radius-rd2] radius-server authentication 192.168.8.249 1812 [HUAWEI-radius-rd2] radius-server accounting 192.168.8.249 1813 [HUAWEI-radius-rd2] radius-server type standard

            华为公司,2014 版权所有

            ~11~

            华为数通BRAS/防火墙/SRG维护宝典 [HUAWEI-radius-rd2] radius-server shared-key hello [HUAWEI-radius-rd2] quit

            3. 配置地址池
            [HUAWEI] ip pool pool2 bas local [HUAWEI-ip-pool-pool2] gateway 172.82.1.1 255.255.255.0 [HUAWEI-ip-pool-pool2] section 0 172.82.1.2 172.82.1.200 [HUAWEI-ip-pool-pool2] dns-server 192.168.8.252 [HUAWEI-ip-pool-pool2] quit

            4. 配置域
            # 配置 default0 域,作为 Web 认证的认证前域。
            [HUAWEI] user-group huawei [HUAWEI] aaa [HUAWEI-aaa]http-redirect enable *备注:aaa 下使能访问 http 页面重定向功能。凡

            是域下有 web-server 相关配置,均要求配置 http-redirect enable [HUAWEI-aaa] domain default0 [HUAWEI-aaa-domain-default0] http-hostcar enable [HUAWEI-aaa-domain-default0] ip-pool pool2 [HUAWEI-aaa-domain-default0] user-group huawei [HUAWEI-aaa-domain-default0] web-server 192.168.8.251 [HUAWEI-aaa-domain-default0] web-server url http://192.168.8.251 [HUAWEI-aaa-domain-default0] quit

            # 配置 isp2 域,作为 Web 认证的认证域。 [HUAWEI-aaa] domain isp2 [HUAWEI-aaa-domain-isp2] authentication-scheme auth2 [HUAWEI-aaa-domain-isp2] accounting-scheme acct2 [HUAWEI-aaa-domain-isp2] radius-server group rd2
            华为公司,2014 版权所有

            ~12~

            第一部分

            BRAS维护宝典

            3 强制web认证配置示例

            [HUAWEI-aaa-domain-isp2] quit [HUAWEI-aaa] quit

            5. 配置 Web 认证服务器
            [HUAWEI] web-auth-server 192.168.8.251 key webvlan

            6. 配置 ACL
            # 配置 ACL 规则、允许认证前域用户只能访问 dns 和 web 服务器及其 BAS 本身。 访问其他的地址就重定向 web 认证。 [HUAWEI] acl number 6000 [HUAWEI-acl-ucl-6000]rule permit tcp source user-group huawei destination-port eq www [HUAWEI-acl-ucl-6000] rule permit tcp source user-group huawei destination-port eq 8080 [HUAWEI-acl-ucl-6000] rule permit ip source user-group huawei [HUAWEI-acl-ucl-6000] quit [HUAWEI-acl-ucl-6000] acl number 6001 [HUAWEI-acl-ucl-6001] rule permit ip source user-group huawei destination ip-address 192.168.8.251 0.0.0.0 [HUAWEI-acl-ucl-6001] rule permit ip source user-group huawei destination ip-address 192.168.8.252 0.0.0.0 [HUAWEI-acl-ucl-6001]rule permit ip source user-group huawei destination ip-address 127.0.0.1 0 [HUAWEI-acl-ucl-6001]rule permit ip source user-group huawei destination ip-address 172.82.1.1 *备注:允许用户在认证前域访问自己网关地址

            [HUAWEI-acl-ucl-6001] quit

            华为公司,2014 版权所有

            ~13~

            华为数通BRAS/防火墙/SRG维护宝典

            # 配置流管理策略。 [HUAWEI] traffic classifier c1 [HUAWEI-classifier-c1] if-match acl 6000 [HUAWEI-classifier-c2] quit [HUAWEI] traffic classifier c2 [HUAWEI-classifier-c2] if-match acl 6001 [HUAWEI-classifier-c2] quit [HUAWEI] traffic behavior deny1 [HUAWEI-behavior-deny1] http-redirect plus [HUAWEI-behavior-deny1] traffic behavior perm1 [HUAWEI-behavior-perm1] permit [HUAWEI-behavior-perm1] quit [HUAWEI] traffic policy action1 [HUAWEI-policy-action1] classifier c2 behavior perm1 [HUAWEI-policy-action1] classifier c1 behavior deny1 [HUAWEI-policy-action1] quit # 在全局下应用策略。 [HUAWEI] traffic-policy action1 inbound

            7. 配置接口
            # 配置 BAS 接口。 [HUAWEI-GigabitEthernet8/0/2] bas [HUAWEI-GigabitEthernet8/0/2-bas] access-type layer2-subscriber [HUAWEI-GigabitEthernet8/0/2-bas] authentication-method web
            华为公司,2014 版权所有

            ~14~

            第一部分

            BRAS维护宝典

            4 配置Dot1q终结三层子接口业务示例

            [HUAWEI-GigabitEthernet8/0/2-bas] default-domain authentication isp2 [HUAWEI-GigabitEthernet8/0/2-bas] quit [HUAWEI-GigabitEthernet8/0/2] quit [HUAWEI]slot 8 [HUAWEI-slot8]http-reply enable # 配置上行接口 [HUAWEI] interface GigabitEthernet 7/0/2 [HUAWEI-GigabitEthernet7/0/2] ip address 192.168.8.1 255.255.255.0

            4 配置 Dot1q 终结三层子接口业务示例
            通过本示例了解 Dot1q 终结子接口支持 ARP 代理如何配置,如何实现同一网段 不同 VLAN 间的用户如何互通。

            4.1

            组网需求
            如图所示,ME601 通过以太网子接口与 ME602 相连,ME602 的接口 GE1/0/0 和 GE1/0/1 属于不同的 VLAN。 ME602 分别与 PC1 和 PC2 连接, PC1 与 PC2 属于同一 个网段。两台计算机 PC1 和 PC2 没有配置默认网关,要求在 ME601 的子接口 GE1/0/0.1 上配置 ARP 代理,使 PC1 和 PC2 能够互通。

            华为公司,2014 版权所有

            ~15~

            华为数通BRAS/防火墙/SRG维护宝典

            图: Dot1q 终结子接口支持 ARP 代理组网图

            4.2

            配置思路
            采用如下的思路配置基于 Dot1q 终结子接口支持 ARP 代理的基本功能:

            1. 将 ME602 的三层接口转换为二层接口。 2. 配置 ME602 的基本的二层转发功能。 3. 配置 ME601 的 Dot1q 终结子接口并使能 ARP 代理功能。

            4.3

            数据准备
            为完成此配置例,需准备如下的数据: ? ? ME601 的 Dot1q 终结子接口名称。 ME602 各个接口所属的 VLAN ID。

            4.4

            操作步骤

            1. 将接口转换为二层接口
            # 配置 ME602。
            <HUAWEI> system-view

            ~16~

            华为公司,2014 版权所有

            第一部分 [HUAWEI] sysname ME602

            BRAS维护宝典

            4 配置Dot1q终结三层子接口业务示例

            [ME602] interface gigabitethernet 1/0/0 [ME602-GigabitEthernet1/0/0] portswitch [ME602-GigabitEthernet1/0/0] undo shutdown [ME602-GigabitEthernet1/0/0] quit [ME602] interface gigabitethernet 1/0/1 [ME602-GigabitEthernet1/0/1] portswitch [ME602-GigabitEthernet1/0/1] undo shutdown [ME602-GigabitEthernet1/0/1] quit [ME602] interface gigabitethernet 1/0/2 [ME602-GigabitEthernet1/0/2] portswitch [ME602-GigabitEthernet1/0/2] undo shutdown [ME602-GigabitEthernet1/0/2] quit

            说明: 如果设备的接口已经是二层接口,则不需要执行上面的配置。

            2. 配置基本二层转发功能
            # 配置 ME602。
            [ME602] vlan 10 [ME602-vlan10] port gigabitethernet 1/0/0 [ME602-vlan10] quit [ME602] vlan 20 [ME602-vlan20] port gigabitethernet 1/0/1 [ME602-vlan20] quit [ME602] interface gigabitethernet 1/0/2 [ME602-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 20 [ME602-GigabitEthernet1/0/2] quit 华为公司,2014 版权所有 ~17~

            华为数通BRAS/防火墙/SRG维护宝典

            3. 配置 Dot1q 终结子接口并在子接口上使能 ARP 代理
            # 配置 ME601。
            <HUAWEI> system-view [HUAWEI] sysname ME601 [ME601] interface gigabitethernet 1/0/0 [ME601-GigabitEthernet1/0/0] mode user-termination [ME601-GigabitEthernet1/0/0] undo shutdown [ME601-GigabitEthernet1/0/0] quit [ME601] interface gigabitethernet 1/0/0.1 [ME601-GigabitEthernet1/0/0.1] control-vid 1 dot1q-termination [ME601-GigabitEthernet1/0/0.1] dot1q termination vid 10 [ME601-GigabitEthernet1/0/0.1] dot1q termination vid 20 [ME601-GigabitEthernet1/0/0.1] ip address 10.1.1.254 24 [ME601-GigabitEthernet1/0/0.1] arp-proxy inter-sub-vlan-proxy enable [ME601-GigabitEthernet1/0/0.1] arp broadcast enable [ME601-GigabitEthernet1/0/0.1] undo shutdown [ME601-GigabitEthernet1/0/0.1] quit

            4. 检查配置结果
            主机 PC1 上 Ping 主机 PC2,可以 Ping 通。查看 PC1 的 ARP 表,可以看到 PC2 所对 应的 MAC 地址是 ME601 的接口 GE1/0/0 的 MAC 地址。

            5 配置 QinQ 终结三层子接口业务示例
            通过本示例了解 QinQ 终结子接口支持 ARP 代理如何配置, 如何实现同一网段不 同 VLAN 范围段的用户如何互通。

            ~18~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            5 配置QinQ终结三层子接口业务示例

            5.1

            组网需求
            如图所示, ME601 通过子接口与 ME602 相连。 ME602 的接口 GE1/0/0 和接口 GE1/0/1 属于不同的 VLAN,ME602 通过 ME603 和 ME604 分别与 PC1 和 PC2 连接。PC1 与 PC2 属于同一个网段。在汇聚设备 ME602 上配置 QinQ,外层 Tag 为 100,这样 ME602 发 送到 ME601 的报文带有两层 Tag。两台计算机 PC1 和 PC2 没有配置默认网关,要求 在 ME601 的子接口 GE1/0/0.1 上配置 ARP 代理,使 PC1 和 PC2 能够互通。 图: QinQ终结子接口支持ARP代理组网图

            5.2

            配置思路
            采用如下的思路配置基于 QinQ 终结子接口支持 ARP 代理的基本功能:

            1. 将 ME602、ME603 和 ME604 的三层接口转换为二层接口。 2. 配置 ME603 和 ME604 的基本的二层转发功能。 3. 配置 ME602 的二层接口的 QinQ 功能。 4. 配置 ME601 的 QinQ 终结子接口并使能 ARP 代理功能。

            华为公司,2014 版权所有

            ~19~

            华为数通BRAS/防火墙/SRG维护宝典

            5.3

            数据准备
            为完成此配置例,需准备如下的数据: ? ? ? ME601 的 QinQ 终结子接口名称。 ME602 发往 ME601 的报文的外层 Tag 值。 ME603、ME604 各个接口所属的 VLAN ID。

            5.4

            操作步骤

            1. 将接口转换为二层接口
            # 配置 ME602。
            <HUAWEI> system-view [HUAWEI] sysname ME602 [ME602] interface gigabitethernet 1/0/0 [ME602-GigabitEthernet1/0/0] portswitch [ME602-GigabitEthernet1/0/0] undo shutdown [ME602-GigabitEthernet1/0/0] quit [ME602] interface gigabitethernet 1/0/1 [ME602-GigabitEthernet1/0/1] portswitch [ME602-GigabitEthernet1/0/1] undo shutdown [ME602-GigabitEthernet1/0/1] quit [ME602] interface gigabitethernet 1/0/2 [ME602-GigabitEthernet1/0/2] portswitch [ME602-GigabitEthernet1/0/2] undo shutdown [ME602-GigabitEthernet1/0/2] quit

            # 配置 ME603。
            <HUAWEI> system-view

            ~20~

            华为公司,2014 版权所有

            第一部分 [HUAWEI] sysname ME603

            BRAS维护宝典

            5 配置QinQ终结三层子接口业务示例

            [ME603] interface gigabitethernet 1/0/0 [ME603-GigabitEthernet1/0/0] portswitch [ME603-GigabitEthernet1/0/0] undo shutdown [ME603-GigabitEthernet1/0/0] quit [ME603] interface gigabitethernet 1/0/1 [ME603-GigabitEthernet1/0/1] portswitch [ME603-GigabitEthernet1/0/1] undo shutdown [ME603-GigabitEthernet1/0/1] quit

            # 配置 ME604。
            <HUAWEI> system-view [HUAWEI] sysname ME604 [ME604] interface gigabitethernet 1/0/0 [ME604-GigabitEthernet1/0/0] portswitch [ME604-GigabitEthernet1/0/0] undo shutdown [ME604-GigabitEthernet1/0/0] quit [ME604] interface gigabitethernet 1/0/1 [ME604-GigabitEthernet1/0/1] portswitch [ME604-GigabitEthernet1/0/1] undo shutdown [ME604-GigabitEthernet1/0/1] quit

            说明: 如果设备的接口已经是二层接口,则不需要执行上面的配置。

            2. 配置基本二层转发功能
            # 配置 ME603。
            [ME603] vlan 10

            华为公司,2014 版权所有

            ~21~

            华为数通BRAS/防火墙/SRG维护宝典 [ME603-vlan10] port gigabitethernet 1/0/0 [ME603-vlan10] quit [ME603] interface gigabitethernet 1/0/1 [ME603-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 [ME603-GigabitEthernet1/0/1] quit

            # 配置 ME604。
            [ME604] vlan 20 [ME604-vlan20] port gigabitethernet 1/0/0 [ME604-vlan20] quit [ME604] interface gigabitethernet 1/0/1 [ME604-GigabitEthernet1/0/1] port trunk allow-pass vlan 20 [ME604-GigabitEthernet1/0/1] quit

            3. 配置 QinQ 功能,使 ME602 上送到 ME601 的报文带有两层 Tag
            # 配置 ME602。
            [ME602] vlan 100 [ME602-vlan100] quit [ME602] interface gigabitethernet 1/0/0 [ME602-GigabitEthernet1/0/0] port vlan-stacking vlan 10 stack-vlan 100 [ME602-GigabitEthernet1/0/0] quit [ME602] interface gigabitethernet 1/0/1 [ME602-GigabitEthernet1/0/1] port vlan-stacking vlan 20 stack-vlan 100 [ME602-GigabitEthernet1/0/1] quit [ME602] interface gigabitethernet 1/0/2 [ME602-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 [ME602-GigabitEthernet1/0/2] quit

            说明:
            华为公司,2014 版权所有

            ~22~

            第一部分

            BRAS维护宝典

            5 配置QinQ终结三层子接口业务示例

            如果设备不支持port vlan-stacking命令,也可以在接口上使用port link-type dot1q-tunnel和port default vlan来配置QinQ功能。

            4. 配置 QinQ 终结子接口并在子接口上使能 ARP 代理
            # 配置 ME601。
            <HUAWEI> system-view [HUAWEI] sysname ME601 [ME601] interface gigabitethernet 1/0/0 [ME601-GigabitEthernet1/0/0] mode user-termination [ME601-GigabitEthernet1/0/0] undo shutdown [ME601-GigabitEthernet1/0/0] quit [ME601] interface gigabitethernet 1/0/0.1 [ME601-GigabitEthernet1/0/0.1] control-vid 1 qinq-termination [ME601-GigabitEthernet1/0/0.1] qinq termination pe-vid 100 ce-vid 10 [ME601-GigabitEthernet1/0/0.1] qinq termination pe-vid 100 ce-vid 20 [ME601-GigabitEthernet1/0/0.1] ip address 10.1.1.254 24 [ME601-GigabitEthernet1/0/0.1] arp-proxy inter-sub-vlan-proxy enable [ME601-GigabitEthernet1/0/0.1] arp broadcast enable [ME601-GigabitEthernet1/0/0.1] undo shutdown [ME601-GigabitEthernet1/0/0.1] quit

            说明: 同一主接口上使用qinq termination命令时,当两个不同的子接口的pe-vid取值相同 时,ce-vid的取值范围不能有重叠。

            5. 检查配置结果 主机 PC1 上 Ping 主机 PC2,可以 Ping 通。查看 PC1 的 ARP 表,可以看到 PC2 所对应的 MAC 地址是 ME601 的接口 GE1/0/0 的 MAC 地址。

            华为公司,2014 版权所有

            ~23~

            华为数通BRAS/防火墙/SRG维护宝典

            6 配置 L2TP VPN 业务示例
            介绍一个 L2TP VPN 的配置示例,结合配置组网图来理解业务的配置过程。配置 示例包括组网需求、思路准备、操作步骤和配置文件。

            6.1

            组网需求
            如图,PC1 通过调制解调器 Modem 与 PSTN 网络相连,再连接到接入服务器 LAC(本 例的 LAC 使用 ME60A)。LAC 与 LNS 之间是广域网,LAC 与 LNS 通讯通过隧道传输。 用户使用域名接入,在 LAC 侧和 LNS 侧均使用本地认证方式认证用户名和密码。 图: 配置NAS-Initialized VPN组网图

            6.2

            配置思路
            用户需要与总部进行通讯,而总部网络的地址采用的是私有地址,用户无法通过 Internet 直接访问内部服务器。因此,需要建立 VPN,使用户可以访问内部网络的 数据。用户接入时使用域名 huawei.com,LNS 侧需要在域下配置为用户分配地址的 地址池。 配置 NAS-Initialized VPN 的思路如下: 1. 配置用户侧 2. 配置 LAC

            ?

            配置 LAC 的接口地址并且有路由可达 LNS

            ~24~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            6 配置L2TP VPN业务示例

            ?

            配置 LAC 的 PPPoX 接入业务相关任务:配置虚模板接口、配置 AAA 方案、为接 口指定虚模板接口、配置 BAS 接口

            ? ? ? ?

            使能 L2TP 基本能力 配置 LAC 侧的 L2TP 隧道连接 配置隧道验证方式 配置 L2TP 用户属性
            3. 配置 LNS

            ? ? ? ? ? ? ?

            配置 LNS 的接口地址并且有路由可达 LAC 配置虚模板接口 配置 LNS 侧的 L2TP 隧道连接 配置隧道验证方式和用户认证方式 配置 LNS 侧隧道参数 配置用于为 L2TP 用户分配 IP 地址的地址池 配置 L2TP 用户的域,并在域中指定地址池

            6.3

            数据准备
            为完成此配置例,需准备如下的数据: ? 用户侧与 LAC 侧 ME 设备的用户名、域名及口令。用户侧与 LAC 侧的用户名、 域名及口令(需设置成相同值) ? LNS 侧采用的协议,选择通道验证方式(这里用 CHAP 验证)、通道的密码;LNS 侧本端名称及远端名称 ? ? ? 虚拟接口模板编号、IP 地址、掩码 L2TP 组编号 远端地址池编号、范围及掩码

            华为公司,2014 版权所有

            ~25~

            华为数通BRAS/防火墙/SRG维护宝典

            6.4

            操作步骤

            1. 用户侧的配置
            创建一个拨号网络,号码为 huawei1ME 设备的接入号码,接收由 LNS 服务器端分配 的地址。 在弹出的拨号终端窗口中输入用户名 vpdnuser@huawei.com,口令为 Hello(此用 户名与口令已在公司 LNS 中注册)。

            2. ME60A(LAC 侧)的配置
            (本例中 LAC 侧与通道相连接的接口(gigabitethernet1/0/0)的 IP 地址为 202.38.160.1,LNS 侧与通道相连接的接口(gigabitethernet1/0/0)的 IP 地址 为 202.38.160.2)。 # 在 gigabitethernet1/0/0 接口上配置 IP 地址。
            <HUAWEI> system-view [HUAWEI] sysname ME60A [ME60A] interface gigabitethernet 1/0/0 [ME60A-GigabitEthernet1/0/0] ip address 202.38.160.1 255.255.255.0 [ME60A-GigabitEthernet1/0/0] undo shutdown [ME60A-GigabitEthernet1/0/0] quit

            配置 PPPoX 接入业务相关任务。 # 配置虚模板接口。
            [ME60A] interface virtual-template 1 [ME60A-Virtual-Template1] ppp authentication-mode chap [ME60A-Virtual-Template1] quit

            # 在GE2/0/0.100接口上绑定虚模板接口1。
            [ME60A] interface gigabitethernet 2/0/0.100 [ME60A-GigabitEthernet2/0/0.100] pppoe-server bind virtual-template 1

            ~26~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            6 配置L2TP VPN业务示例

            [ME60A-GigabitEthernet2/0/0.100] user-vlan 1 100 [ME60A-GigabitEthernet2/0/0.100-vlan-1-100] quit

            # 配置BAS接口。
            [ME60A-GigabitEthernet2/0/0.100] bas [ME60A-GigabitEthernet2/0/0.100-bas] access-type layer2-subscriber default-domain authentication huawei.com [ME60A-GigabitEthernet2/0/0.100-bas] quit [ME60A-GigabitEthernet2/0/0.100] quit

            # 配置使能 L2TP 基本能力和 LAC 侧的 L2TP 连接。
            [ME60A] l2tp enable [ME60A] l2tp-group 1 [ME60A-l2tp-1] tunnel name LAC [ME60A-l2tp-1] start l2tp ip 202.38.160.2 [ME60A-l2tp-1] tunnel source gigabitethernet 1/0/0

            # 配置隧道验证方式。
            [ME60A-l2tp-1] tunnel authentication [ME60A-l2tp-1] tunnel password simple huawei [ME60A-l2tp-1] quit

            # 设置用户名及口令(应与用户侧的设置一致)。
            [ME60A] local-aaa-server [ME60A-local-aaa-server] user vpdnuser@huawei.com password simple Hello authentication-type p # 配置用户接入时的域。 [ME60A] aaa [ME60A-aaa] authentication-scheme auth1 [ME60A-aaa-authen-auth1] authentication-scheme auth1 [ME60A-aaa-authen-auth1] authentication-mode local 华为公司,2014 版权所有 ~27~

            华为数通BRAS/防火墙/SRG维护宝典 [ME60A-aaa-authen-auth1] quit [ME60A-aaa] domain huawei.com [ME60A-aaa-huawei.com] authentication-scheme auth1 [ME60A-aaa-huawei.com] accounting-scheme default0

            3. ME60B(LNS 侧)的配置
            # 与通道相连接的接口上配置 IP 地址。
            <HUAWEI> system-view [HUAWEI] sysname ME60B [ME60B] interface gigabitethernet 1/0/0 [ME60B-gigabitethernet1/0/0] ip address 202.38.160.2 255.255.255.0 [ME60B-gigabitethernet1/0/0] undo shutdown [ME60B-gigabitethernet1/0/0] quit

            # 创建虚模板 Virtual-Template 并配置相关信息。
            [ME60B] interface virtual-template 1 [ME60B-Virtual-Template1] ppp authentication-mode chap [ME60B-Virtual-Template1] quit

            # 使能 L2TP 基本能力。
            [ME60B] l2tp enable [ME60B] l2tp-group 1

            # 配置 LNS 侧本端名称及接收的通道对端名称。
            [ME60B-l2tp-1] tunnel name LNS [ME60B-l2tp-1] allow l2tp virtual-template 1 remote LAC

            # 启用通道验证并设置通道验证密码。
            [ME60B-l2tp-1] tunnel authentication [ME60B-l2tp-1] tunnel password simple huawei

            # 强制进行本端 CHAP 验证。
            ~28~ 华为公司,2014 版权所有

            第一部分 [ME60B-l2tp-1] mandatory-chap [ME60B-l2tp-1] quit

            BRAS维护宝典

            6 配置L2TP VPN业务示例

            # 创建LNS组group1。
            [ME60B] lns-group group1

            # 为LNS组指定隧道板1。
            [ME60B-lns-group-group1] bind slot 1

            # 为LNS组指定接口。
            [ME60B-lns-group-group1] bind source gigabitethernet 1/0/0 [ME60B-lns-group-group1] quit

            # 设置用户名及口令(应与 LAC 侧的设置一致)。
            [ME60B] local-aaa-server [ME60B-local-aaa-server] user vpdnuser@huawei.com password simple Hello authentication-type p [ME60B-local-aaa-server] quit

            # 定义一个地址池,为拨入用户分配地址。
            [ME60B] ip pool 1 bas local [ME60B-ip-pool-1] gateway 192.168.0.2 255.255.255.0 [ME60B-ip-pool-1] section 0 192.168.0.10 192.168.0.100 [ME60B-ip-pool-1] quit

            # 配置用户接入时的域。
            [ME60B] aaa [ME60B-aaa] authentication-scheme auth1 [ME60B-aaa-authen-auth1] authentication-mode local [ME60B-aaa-authen-auth1] quit [ME60B-aaa] domain huawei.com [ME60B-aaa-huawei.com] authentication-scheme auth1

            华为公司,2014 版权所有

            ~29~

            华为数通BRAS/防火墙/SRG维护宝典 [ME60B-aaa-huawei.com] accounting-scheme default0 [ME60B-aaa-huawei.com] ip-pool 1 [ME60B-aaa-huawei.com] quit [ME60B-aaa] quit

            4. 检查配置结果。
            # 配置成功后, 当有 VPN 用户上线时, 分别在 LAC 和 LNS 上执行 display l2tp tunnel 命令可发现隧道建立成功。以 LNS 侧的显示为例:
            [ME60B] display l2tp tunnel -------------------------------------------------------------------tunnel information in LAC---------------------Total 0,0 printed -------------------------------------------------------------------tunnel information in LNS---------------------The tunnel information of k board 1 LocalTID RemoteTID RemoteAddress Port Sessions RemoteName

            --------------------------------------------------------1 1 202.38.160.1 57344 1 LAC

            --------------------------------------------------------Total 1,1 printed from slot 1

            # 执行 display l2tp session 命令可看到会话连接建立情况。以 LNS 侧的显示为 例: [ME60B] display l2tp session lns slot 1
            LocalSID RemoteSID LocalTID RemoteTID UserID UserName

            -----------------------------------------------------------------------------2036 1469 13921 7958 62172 vpdnuser@huawei.com

            ------------------------------------------------------------------------------

            ~30~

            华为公司,2014 版权所有

            第一部分 Total 1, 1 printed from slot 1

            BRAS维护宝典

            7 配置Martini方式VPLS示例

            # 同时 VPN 用户可以访问公司总部。

            7 配置 Martini 方式 VPLS 示例
            当 PE 设备支持 LDP 作为 VPLS 信令时,可以配置 Martini 方式的 VPLS。为了使一 个 VPLS 中的 PE 之间能够通过 PW 全连接,必须在所有 PE 之间建立 LDP 会话。

            7.1

            组网需求
            如图,两台 ME 设备 PE1 和 PE2 作为 PE 启动 VPLS 功能。CE1 挂在 PE1 设备上,CE2 挂在 PE2 上。 CE1 和 CE2 属于一个 VPLS。 采用 LDP 作为 VPLS 信令建立 PW, 配置 VPLS, 实现 CE1 与 CE2 的互通。 图: 配置Martini方式VPLS组网图

            7.2

            配置思路
            采用如下的思路配置 Martini 方式 VPLS 的基本功能: 1. 在骨干网上配置路由协议实现互通。 2. 在 PE 之间建立远端 LDP 会话。 3. PE 间建立传输用户数据所使用的隧道。
            ~31~

            华为公司,2014 版权所有

            华为数通BRAS/防火墙/SRG维护宝典

            4. PE 上使能 MPLS L2VPN。 5. 在 PE 上创建 VSI,指定信令为 LDP,然后将 VSI 与 AC 接口绑定。

            7.3

            数据准备
            为完成此配置例,需准备如下的数据: ? ? ? VSI 名称及 VSI ID。 对等体的 IP 地址及建立对等体时使用的隧道策略。 绑定 VSI 的接口。

            7.4

            操作步骤

            1. 配置 IGP,本例中使用 OSPF。
            配置完成后,在 PE1、P 和 PE2 上执行 display ip routing-table 命令可以看到已 学到彼此的路由。 按图配置 PE 和 P 的各接口地址,配置 OSPF 时,注意需要发布 PE1、P 和 PE2 的 32 位 Loopback 接口地址(LSR-ID)。 具体配置步骤参考后面的配置文件。

            2. 配置 MPLS 基本能力和 LDP
            具体配置步骤参考后面的配置文件。 配置完成后,在 PE1、P 和 PE2 上执行 display mpls ldp session 命令可以看到 PE1 和 P 之间或 PE2 和 P 之间的对等体的 Status 项为“Operational”,即对等体 关系已建立。执行 display mpls lsp 命令可以看到 LSP 的建立情况。

            3. 在 PE 之间建立远端 LDP 会话
            # 配置 PE1。
            [PE1] mpls ldp remote-peer 3.3.3.9 [PE1-mpls-ldp-remote-3.3.3.9] remote-ip 3.3.3.9

            ~32~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            7 配置Martini方式VPLS示例

            [PE1-mpls-ldp-remote-3.3.3.9] quit

            # 配置 PE2。
            [PE2] mpls ldp remote-peer 1.1.1.9 [PE2-mpls-ldp-remote-1.1.1.9] remote-ip 1.1.1.9 [PE2-mpls-ldp-remote-1.1.1.9] quit

            配置完成后,在 PE1 或 PE2 上执行 display mpls ldp session 命令可以看到 PE1 和 PE2 之间的对等体的 Status 项为“Operational”,即远端对等体关系已建立。

            4. 在 PE 上使能 MPLS L2VPN
            # 配置 PE1。
            [PE1] mpls l2vpn

            # 配置 PE2。 [PE2] mpls l2vpn

            5. 在 PE 上配置 VSI
            # 配置 PE1。
            [PE1] vsi a2 static [PE1-vsi-a2] pwsignal ldp [PE1-vsi-a2-ldp] vsi-id 2 [PE1-vsi-a2-ldp] peer 3.3.3.9

            # 配置 PE2。
            [PE2] vsi a2 static [PE2-vsi-a2] pwsignal ldp [PE2-vsi-a2-ldp] vsi-id 2 [PE2-vsi-a2-ldp] peer 1.1.1.9

            6. 在 PE 上配置 VSI 与接口的绑定
            # 配置 PE1。

            华为公司,2014 版权所有

            ~33~

            华为数通BRAS/防火墙/SRG维护宝典 [PE1] interface gigabitethernet1/0/0.1 [PE1-GigabitEthernet1/0/0.1] shutdown [PE1-GigabitEthernet1/0/0.1] vlan-type dot1q 10 [PE1-GigabitEthernet1/0/0.1] l2 binding vsi a2 [PE1-GigabitEthernet1/0/0.1] undo shutdown [PE1-GigabitEthernet1/0/0.1] quit

            # 配置 PE2。
            [PE2] interface gigabitethernet2/0/0.1 [PE2-GigabitEthernet2/0/0.1] shutdown [PE2-GigabitEthernet2/0/0.1] vlan-type dot1q 10 [PE2-GigabitEthernet2/0/0.1] l2 binding vsi a2 [PE2-GigabitEthernet2/0/0.1] undo shutdown [PE2-GigabitEthernet2/0/0.1] quit

            7. 配置 CE
            # 配置 CE1
            <HUAWEI> sysname CE1 [CE1] interface gigabitethernet1/0/0.1 [CE1-GigabitEthernet1/0/0.1] shutdown [CE1-GigabitEthernet1/0/0.1] vlan-type dot1q 10 [CE1-GigabitEthernet1/0/0.1] ip address 10.1.1.1 255.255.255.0 [CE1-GigabitEthernet1/0/0.1] undo shutdown [CE1-GigabitEthernet1/0/0.1] quit

            # 配置 CE2
            <HUAWEI> sysname CE2 [CE2] interface gigabitethernet1/0/0.1 [CE2-GigabitEthernet1/0/0.1] shutdown

            ~34~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            7 配置Martini方式VPLS示例

            [CE2-GigabitEthernet1/0/0.1] vlan-type dot1q 10 [CE2-GigabitEthernet1/0/0.1] ip address 10.1.1.2 255.255.255.0 [CE2-GigabitEthernet1/0/0.1] undo shutdown [CE2-GigabitEthernet1/0/0.1] quit

            8. 验证配置结果
            完成上述配置后,在 PE1 上执行 display vsi name a2 verbose 命令,可以看到名 字为 a2 的 VSI 建立了一条 PW 到 PE2,VSI 状态为 UP。
            <PE1> display vsi name a2 verbose ***VSI Name Administrator VSI Isolate Spoken VSI Index PW Signaling : a2 : no : disable : 0 : ldp

            Member Discovery Style : static PW MAC Learn Style Encapsulation Type MTU Diffserv Mode Service Class Color DomainId Domain Name Ignore AcState : unqualify : vlan : 1500 : uniform : -: -: 255 : : disable

            Multicast Fast Swicth : disable Create Time VSI State VSI ID : 0 days, 3 hours, 30 minutes, 31 seconds : up : 2 华为公司,2014 版权所有 ~35~

            华为数通BRAS/防火墙/SRG维护宝典 *Peer Router ID VC Label Peer Type Session Tunnel ID Broadcast Tunnel ID CKey NKey StpEnable PwIndex Interface Name State Last Up Time Total Up Time **PW Information: *Peer Ip Address PW State Local VC Label Remote VC Label PW Type Tunnel ID Broadcast Tunnel ID Ckey Nkey Main PW Token Slave PW Token OutInterface : 3.3.3.9 : up : 23552 : 23552 : label : 0x2002001, : 0x2002001 : 0x6 : 0x5 : 0x801008 : 0x0 : Pos1/0/0 : 3.3.3.9 : 23552 : dynamic : up : 0x2002001, : 0x2002001 : 6 : 5 : 0 : 0 : GigabitEthernet1/0/0.1 : up : 2008-08-15 15:41:59 : 0 days, 0 hours, 1 minutes, 2 seconds

            ~36~

            华为公司,2014 版权所有

            第一部分 Stp Enable Mac Flapping PW Last Up Time PW Total Up Time

            BRAS维护宝典 : 0 : 0

            8 配置BGP/MPLS IP VPN示例

            : 2008-08-15 15:41:59 : 0 days, 0 hours, 1 minutes, 3 seconds

            # 在 CE1(10.1.1.1)上能够 ping 通 CE2(10.1.1.2)。

            <CE1> ping 10.1.1.2
            PING 10.1.1.2: 56 data bytes, press CTRL_C to break Reply from 10.1.1.2: bytes=56 Sequence=1 ttl=255 time=90 ms Reply from 10.1.1.2: bytes=56 Sequence=2 ttl=255 time=77 ms Reply from 10.1.1.2: bytes=56 Sequence=3 ttl=255 time=34 ms Reply from 10.1.1.2: bytes=56 Sequence=4 ttl=255 time=46 ms Reply from 10.1.1.2: bytes=56 Sequence=5 ttl=255 time=94 ms --- 10.1.1.2 ping statistics --5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 34/68/94 ms

            8 配置 BGP/MPLS IP VPN 示例
            介绍基本的 BGP/MPLS IP VPN 配置过程,包括配置 MPLS LSP、VPNv4 对等体和 VPN 实例等。

            8.1

            组网需求
            如图: ? ? CE1、CE3 属于 VPN-A。 CE2、CE4 属于 VPN-B。
            华为公司,2014 版权所有 ~37~

            华为数通BRAS/防火墙/SRG维护宝典

            ? ?

            VPN-A 使用的 VPN-target 属性为 111:1,VPN-B 为 222:2。 不同 VPN 用户之间不能互相访问。

            图:BGP/MPLS IP VPN组网图

            8.2

            配置思路
            采用如下的思路配置 BGP/MPLS IP VPN: 1. 骨干网上配置 OSPF 实现 PE 之间的互通。 2. 配置 MPLS 基本能力和 MPLS LDP,建立 MPLS LSP。 3. PE 之间配置 MP-IBGP 交换 VPN 路由信息。 4. PE 上配置 VPN 实例,并把与 CE 相连的接口和相应的 VPN 实例绑定。 5. CE 与 PE 之间配置 EBGP 交换 VPN 路由信息。

            ~38~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            8 配置BGP/MPLS IP VPN示例

            8.3

            数据准备
            为完成此配置例,需准备如下的数据: ? ? ? PE 及 P 上的 MPLS LSR-ID VPN-A 与 VPN-B 的路由区分符 RD VPN-A 与 VPN-B 的收发路由属性 VPN-Target

            8.4

            操作步骤

            1. 在 MPLS 骨干网上配置 IGP 协议,实现骨干网 PE 和 P 的互通
            # 配置 PE1。
            <HUAWEI> system-view [HUAWEI] sysname PE1 [PE1] interface loopback 1 [PE1-LoopBack1] ip address 1.1.1.9 32 [PE1-LoopBack1] quit [PE1] interface pos3/0/0 [PE1-Pos3/0/0] ip address 172.1.1.1 24 [PE1-Pos3/0/0] quit [PE1] ospf [PE1-ospf-1] area 0 [PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255 [PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0 [PE1-ospf-1-area-0.0.0.0] quit [PE1-ospf-1] quit

            # 配置 P。
            <HUAWEI> system-view

            华为公司,2014 版权所有

            ~39~

            华为数通BRAS/防火墙/SRG维护宝典 [HUAWEI] sysname P [P] interface loopback 1 [P-LoopBack1] ip address 2.2.2.9 32 [P-LoopBack1] quit [P] interface pos 1/0/0 [P-Pos1/0/0] ip address 172.1.1.2 24 [P-Pos1/0/0] quit [P] interface pos 2/0/0 [P-Pos2/0/0] ip address 172.2.1.1 24 [P-Pos2/0/0] quit [P] ospf [P-ospf-1] area 0 [P-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255 [P-ospf-1-area-0.0.0.0] network 172.2.1.0 0.0.0.255 [P-ospf-1-area-0.0.0.0] network 2.2.2.9 0.0.0.0 [P-ospf-1-area-0.0.0.0] quit [P-ospf-1] quit

            # 配置 PE2。
            <HUAWEI> system-view [HUAWEI] sysname PE2 [PE2] interface loopback 1 [PE2-LoopBack1] ip address 3.3.3.9 32 [PE2-LoopBack1] quit [PE2] interface pos 3/0/0 [PE2-Pos3/0/0] ip address 172.2.1.2 24 [PE2-Pos3/0/0] quit [PE2] ospf 华为公司,2014 版权所有

            ~40~

            第一部分 [PE2-ospf-1] area 0

            BRAS维护宝典

            8 配置BGP/MPLS IP VPN示例

            [PE2-ospf-1-area-0.0.0.0] network 172.2.1.0 0.0.0.255 [PE2-ospf-1-area-0.0.0.0] network 3.3.3.9 0.0.0.0 [PE2-ospf-1-area-0.0.0.0] quit [PE2-ospf-1] quit

            配置完成后,PE1、P、PE2 之间应能建立 OSPF 邻居关系,执行 display ospf peer 命令可以看到邻居状态为 Full。执行 display ip routing-table 命令可以看到 PE 之间学习到对方的 Loopback1 路由。 以 PE1 的显示为例:
            [PE1] display ip routing-table Route Flags: R - relay, D - download to fib -----------------------------------------------------------------------------Routing Tables: Public Destinations : 8 Destination/Mask 1.1.1.9/32 2.2.2.9/32 3.3.3.9/32 127.0.0.0/8 127.0.0.1/32 172.1.1.0/24 172.1.1.1/32 172.2.1.0/24 Proto Pre Direct 0 OSPF OSPF 10 10 Routes : 8 Cost 0 2 3 0 0 0 0 2 Flags NextHop D 127.0.0.1 D 172.1.1.2 D 172.1.1.2 D 127.0.0.1 D 127.0.0.1 D 172.1.1.1 D 127.0.0.1 D 172.1.1.2 Interface InLoopBack0 Pos3/0/0 Pos3/0/0 InLoopBack0 InLoopBack0 Pos3/0/0 InLoopBack0 Pos3/0/0

            Direct 0 Direct 0 Direct 0 Direct 0 OSPF 10

            [PE1] display ospf peer OSPF Process 1 with Router ID 1.1.1.9 Neighbors Area 0.0.0.0 interface 172.1.1.1(Pos3/0/0)'s neighbors 华为公司,2014 版权所有 ~41~

            华为数通BRAS/防火墙/SRG维护宝典 Router ID: 172.1.1.2 State: Full DR: None Mode:Nbr is BDR: None Address: 172.1.1.2 Master Priority: 1

            MTU: 1500

            Dead timer due in 38 sec Neighbor is up for 00:02:44 Authentication Sequence: [ 0 ]

            2. 在 MPLS 骨干网上配置 MPLS 基本能力和 MPLS LDP,建立 LDP LSP
            # 配置 PE1。
            [PE1] mpls lsr-id 1.1.1.9 [PE1] mpls [PE1-mpls] quit [PE1] mpls ldp [PE1-mpls-ldp] quit [PE1] interface pos 3/0/0 [PE1-Pos3/0/0] mpls [PE1-Pos3/0/0] mpls ldp [PE1-Pos3/0/0] quit

            # 配置 P。
            [P] mpls lsr-id 2.2.2.9 [P] mpls [P-mpls] quit [P] mpls ldp [P-mpls-ldp] quit [P] interface pos 1/0/0 [P-Pos1/0/0] mpls [P-Pos1/0/0] mpls ldp

            ~42~

            华为公司,2014 版权所有

            第一部分 [P-Pos1/0/0] quit [P] interface pos 2/0/0 [P-Pos2/0/0] mpls [P-Pos2/0/0] mpls ldp [P-Pos2/0/0] quit

            BRAS维护宝典

            8 配置BGP/MPLS IP VPN示例

            # 配置 PE2。
            [PE2] mpls lsr-id 3.3.3.9 [PE2] mpls [PE2-mpls] quit [PE2] mpls ldp [PE2-mpls-ldp] quit [PE2] interface pos 3/0/0 [PE2-Pos3/0/0] mpls [PE2-Pos3/0/0] mpls ldp [PE2-Pos3/0/0] quit

            上述配置完成后, PE1 与 P、 P 与 PE2 之间应能建立 LDP 会话, 执行 display mpls ldp session 命令可以看到显示结果中 Status 项为 “Operational” 。 执行 display mpls ldp lsp 命令,可以看到 LDP LSP 的建立情况。 以 PE1 的显示为例:
            [PE1] display mpls ldp session LDP Session(s) in Public Network Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM) A '*' before a session means the session is being deleted. ------------------------------------------------------------------------PeerID Status LAM SsnRole SsnAge KASent/Rcv

            -------------------------------------------------------------------------

            华为公司,2014 版权所有

            ~43~

            华为数通BRAS/防火墙/SRG维护宝典 2.2.2.9:0 Operational DU Passive 0000:00:01 5/5

            ------------------------------------------------------------------------TOTAL: 1 session(s) Found. [PE1] display mpls ldp lsp LDP LSP Information ------------------------------------------------------------------------------DestAddress/Mask In/OutLabel UpstreamPeer NextHop OutInterface

            ------------------------------------------------------------------------------1.1.1.9/32 *1.1.1.9/32 2.2.2.9/32 2.2.2.9/32 3.3.3.9/32 3.3.3.9/32 3/NULL Liberal NULL/3 1024/3 NULL/1025 1025/1025 2.2.2.9 2.2.2.9 172.1.1.2 172.1.1.2 172.1.1.2 172.1.1.2 Pos3/0/0 Pos3/0/0 Pos3/0/0 Pos3/0/0 2.2.2.9 127.0.0.1 InLoop0

            ------------------------------------------------------------------------------TOTAL: 5 Normal LSP(s) Found. TOTAL: 1 Liberal LSP(s) Found. TOTAL: 0 Frr LSP(s) Found. A '*' before an LSP means the LSP is not established A '*' before a Label means the USCB or DSCB is stale A '*' before a UpstreamPeer means the session is in GR state A '*' before a NextHop means the LSP is FRR LSP

            3. 在 PE 之间建立 MP-IBGP 对等体关系
            # 配置 PE1。
            [PE1] bgp 100 [PE1-bgp] peer 3.3.3.9 as-number 100

            ~44~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            8 配置BGP/MPLS IP VPN示例

            [PE1-bgp] peer 3.3.3.9 connect-interface loopback 1 [PE1-bgp] ipv4-family vpnv4 [PE1-bgp-af-vpnv4] peer 3.3.3.9 enable [PE1-bgp-af-vpnv4] quit [PE1-bgp] quit

            # 配置 PE2。
            [PE2] bgp 100 [PE2-bgp] peer 1.1.1.9 as-number 100 [PE2-bgp] peer 1.1.1.9 connect-interface loopback 1 [PE2-bgp] ipv4-family vpnv4 [PE2-bgp-af-vpnv4] peer 1.1.1.9 enable [PE2-bgp-af-vpnv4] quit [PE2-bgp] quit

            配置完成后,在 PE 设备上执行 display bgp peer 或 display bgp vpnv4 all peer 命令,可以看到 PE 之间的 BGP 对等体关系已建立,并达到 Established 状态。
            [PE1] display bgp vpnv4 all peer BGP local router ID : 1.1.1.9 Local AS number : 100 Total number of peers : 3 Peer PrefRcv 3.3.3.9 4 100 12 18 0 00:09:38 Established 0 V AS MsgRcvd MsgSent Peers in established state : 3 OutQ Up/Down State

            4. 在 PE 设备上配置 VPN 实例,将 CE 接入 PE
            # 配置 PE1。
            [PE1] ip vpn-instance vpna [PE1-vpn-instance-vpna] route-distinguisher 100:1

            华为公司,2014 版权所有

            ~45~

            华为数通BRAS/防火墙/SRG维护宝典 [PE1-vpn-instance-vpna] vpn-target 111:1 both [PE1-vpn-instance-vpna] quit [PE1] ip vpn-instance vpnb [PE1-vpn-instance-vpnb] route-distinguisher 100:2 [PE1-vpn-instance-vpnb] vpn-target 222:2 both [PE1-vpn-instance-vpnb] quit [PE1] interface gigabitethernet 1/0/0 [PE1-GigabitEthernet1/0/0] ip binding vpn-instance vpna [PE1-GigabitEthernet1/0/0] ip address 10.1.1.2 24 [PE1-GigabitEthernet1/0/0] quit [PE1] interface gigabitethernet 2/0/0 [PE1-GigabitEthernet2/0/0] ip binding vpn-instance vpnb [PE1-GigabitEthernet2/0/0] ip address 10.2.1.2 24 [PE1-GigabitEthernet2/0/0] quit

            # 配置 PE2。
            [PE2] ip vpn-instance vpna [PE2-vpn-instance-vpna] route-distinguisher 200:1 [PE2-vpn-instance-vpna] vpn-target 111:1 both [PE2-vpn-instance-vpna] quit [PE2] ip vpn-instance vpnb [PE2-vpn-instance-vpnb] route-distinguisher 200:2 [PE2-vpn-instance-vpnb] vpn-target 222:2 both [PE2-vpn-instance-vpnb] quit [PE2] interface gigabitethernet 1/0/0 [PE2-GigabitEthernet1/0/0] ip binding vpn-instance vpna [PE2-GigabitEthernet1/0/0] ip address 10.3.1.2 24 [PE2-GigabitEthernet1/0/0] quit 华为公司,2014 版权所有

            ~46~

            第一部分

            BRAS维护宝典

            8 配置BGP/MPLS IP VPN示例

            [PE2] interface gigabitethernet 2/0/0 [PE2-GigabitEthernet2/0/0] ip binding vpn-instance vpnb [PE2-GigabitEthernet2/0/0] ip address 10.4.1.2 24 [PE2-GigabitEthernet2/0/0] quit

            # 按图配置各 CE 的接口 IP 地址,配置过程略。 配置完成后,在 PE 设备上执行 display ip vpn-instance verbose 命令可以看到 VPN 实例的配置情况。各 PE 能 ping 通自己接入的 CE。 说明: 当PE上有多个绑定了同一个VPN的接口,则使用ping -vpn-instance命令ping对端PE 接入的CE时,要指定源IP地址,即要指定ping -vpn-instance vpn-instance-name -a source-ip-address dest-ip-address命令中的参数-a source-ip-address,否则可能ping不 通。

            5. 在 PE 与 CE 之间建立 EBGP 对等体关系,引入 VPN 路由
            # 配置 CE1。
            [CE1] bgp 65410 [CE1-bgp] peer 10.1.1.2 as-number 100 [CE1-bgp] import-route direct

            说明: 另外3个CE设备(CE2~CE4)配置与CE1设备配置类似,配置过程省略。 # 配置 PE1。
            [PE1] bgp 100 [PE1-bgp] ipv4-family vpn-instance vpna [PE1-bgp-vpna] peer 10.1.1.1 as-number 65410 [PE1-bgp-vpna] import-route direct

            华为公司,2014 版权所有

            ~47~

            华为数通BRAS/防火墙/SRG维护宝典 [PE1-bgp-vpna] quit [PE1-bgp] ipv4-family vpn-instance vpnb [PE1-bgp-vpnb] peer 10.2.1.1 as-number 65420 [PE1-bgp-vpnb] import-route direct [PE1-bgp-vpnb] quit

            说明: PE2的配置与PE1类似,配置过程省略。 配置完成后,在 PE 设备上执行 display bgp vpnv4 vpn-instance peer 命令,可 以看到 PE 与 CE 之间的 BGP 对等体关系已建立,并达到 Established 状态。 以 PE1 与 CE1 的对等体关系为例:
            [PE1] display bgp vpnv4 vpn-instance vpna peer BGP local router ID : 1.1.1.9 Local AS number : 100 Total number of peers : 1 Peer PrefRcv 10.1.1.1 4 65410 11 9 0 00:06:37 Established 1 V Peers in established state : 1 OutQ Up/Down State

            AS MsgRcvd MsgSent

            6. 检查配置结果
            在 PE 设备上执行 display ip routing-table vpn-instance 命令,可以看到去往 对端 CE 的路由。 以 PE1 的显示为例:
            [PE1] display ip routing-table vpn-instance vpna Route Flags: R - relay, D - download to fib Routing Tables: vpna Destinations : 3 Routes : 3

            ~48~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            9 配置用户信息备份地址池部署示例-本地地址池优先 Flags NextHop D 10.1.1.2 Interface

            Destination/Mask 10.1.1.0/24 GigabitEthernet1/0/0 10.1.1.2/32 10.3.1.0/24

            Proto Pre Cost Direct 0 0

            Direct 0 BGP

            0

            D RD

            127.0.0.1 3.3.3.9

            InLoopBack0 Pos3/0/0

            255 0

            [PE1] display ip routing-table vpn-instance vpnb Route Flags: R - relay, D - download to fib Routing Tables: vpnb Destinations : 3 Destination/Mask 10.2.1.0/24 GigabitEthernet2/0/0 10.2.1.2/32 10.4.1.0/24 Direct 0 BGP 0 D RD 127.0.0.1 3.3.3.9 InLoopBack0 Pos3/0/0 Routes : 3 Flags NextHop D 10.2.1.2 Interface

            Proto Pre Cost Direct 0 0

            255 0

            同一 VPN 的 CE 能够相互 Ping 通,不同 VPN 的 CE 不能相互 Ping 通。

            9 配置用户信息备份地址池部署示例-本地地址池优先
            介绍配置用户信息备份地址池部署示例,结合配置组网图来理解业务的配置过程。配置示例 包括组网需求、思路准备、操作步骤和配置文件。

            9.1

            组网需求

            如图 1 所示,用户通过 LSW(Lan Switch)接入 ME60A 和 ME60B,并使两台设备通过运行 VRRP 成为主备备份。通过在 ME60A 和 ME60B 上配置用户基本上线功能,满足用户能够正常通过主 设备上线。 在 ME60A 和 ME60B 之间部署直连链路,当用户侧链路或接口出现故障时,采用 IP 重定向保 护方式保证网络侧流量能够正常回送。

            华为公司,2014 版权所有

            ~49~

            华为数通BRAS/防火墙/SRG维护宝典

            在 ME60B 上配置混合型地址池,配置远端 DHCP Server,从 ME60B 上线用户先从本地分配, 后从远端宿主申请地址。 图1 用户信息备份地址池部署示例图

            设备

            接口

            IP地址

            ME60A

            GE1/0/0

            100.0.0.1/24

            GE2/0/0

            10.0.0.1/24

            GE3/0/0

            133.1.1.6/24

            ~50~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            9 配置用户信息备份地址池部署示例-本地地址池优先

            Loopback0

            1.1.1.9/32

            Loopback1

            22.22.22.22/32

            ME60B

            GE1/0/0

            100.0.0.2/24

            GE2/0/0

            11.0.0.1/24

            GE3/0/0

            133.1.1.7/24

            Loopback0

            2.2.2.9/32

            Loopback1

            88.88.88.88/32

            RouterC

            GE2/0/0

            10.0.0.2/24

            GE2/0/1

            11.0.0.2/24

            9.2

            配置思路

            采用如下的思路配置用户信息备份的功能。 1. 配置基本的 bas,满足用户上线,且待备份的两台设备上配置相同。 2. 建立多机备份平台。

            华为公司,2014 版权所有

            ~51~

            华为数通BRAS/防火墙/SRG维护宝典

            3. 配置远端备份服务、地址池和远端备份策略。 4. 配置网络侧流量回程的保护路径。 5. 在用户上线接口下绑定远端备份策略。

            9.3

            数据准备

            为完成此配置例,需准备如下的数据。 ? ? ? ? VRRP ID 互为备份的 ME60 的各自 IP 地址 Backup ID,可以根据用户的 Backup ID 和远端备份服务确定用户所属的远端备份策略 混合型地址池名称

            9.4
            1.

            操作步骤
            建立多机备份平台,以 ME60A 为例,ME60B 的配置与此类似。

            说明: 本例只列出组网中用户信息备份的相关配置。 # 在接入侧配置 BFD 会话 bfd,快速感知端口或链路的异常,并触发 VRRP 主备切换。 其中 100.0.0.2 为 ME60B 设备接口 GE1/0/0.2 的 IP 地址。
            [ME60A] bfd [ME60A-bfd] quit [ME60A] bfd bfd bind peer-ip 100.0.0.2 [ME60A-bfd-session-bfd] discriminator local 1 [ME60A-bfd-session-bfd] discriminator remote 2 [ME60A-bfd-session-bfd] commit

            ~52~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            9 配置用户信息备份地址池部署示例-本地地址池优先

            [ME60A-bfd-session-bfd] quit

            # 配置 VRRP 状态的绑定接口(此例中为子接口 GE1/0/0.2),并配置此 VRRP 监视 BFD 会话状态和网络侧接口状态。
            [ME60A] interface gigabitethernet 1/0/0.2 [ME60A-GigabitEthernet1/0/0.2] vlan-type dot1q 200 [ME60A-GigabitEthernet1/0/0.2] ip address 100.0.0.1 255.255.255.0 [ME60A-GigabitEthernet1/0/0.2] vrrp vrid 1 virtual-ip 100.0.0.100 [ME60A-GigabitEthernet1/0/0.2] admin-vrrp vrid 1 [ME60A-GigabitEthernet1/0/0.2] vrrp vrid 1 priority 120 [ME60A-GigabitEthernet1/0/0.2] vrrp vrid 1 preempt-mode timer delay 600 [ME60A-GigabitEthernet1/0/0.2] vrrp vrid 1 track bfd-session 1 peer [ME60A-GigabitEthernet1/0/0.2] vrrp vrid 1 track interface gigabitethernet 2/0/0 reduced 50 [ME60A-GigabitEthernet1/0/0.2] quit

            说明: 为了区分主备设备,需要在两台设备上配置不同的vrrp优先级。其中,优先级高的为主 设备。 2. 配置远端备份服务、地址池和远端备份策略。 # 配置远端备份服务。
            [ME60A] remote-backup-service service1 [ME60A-rm-backup-srv-service1] peer 88.88.88.88 source 22.22.22.22 port 2046 [ME60A-rm-backup-srv-service1] track interface gigabitethernet 2/0/0 [ME60A-rm-backup-srv-service1] quit

            说明: 在远端备份服务视图下,还可以通过命令track bfd-session跟踪建立在主备设备网络侧
            华为公司,2014 版权所有 ~53~

            华为数通BRAS/防火墙/SRG维护宝典

            的peer bfd会话状态,以达到快速检测对端状态的目的,本举例中不再描述。 # 在主用设备ME60A上配置宿主地址池和备份地址池。
            [ME60A] ip pool hsi bas local [ME60A-ip-pool-hsi] gateway 1.1.1.1 24 [ME60A-ip-pool-hsi] section 0 1.1.1.2 1.1.1.254 [ME60A-ip-pool-hsi] quit [ME60A] ip pool hsi-bak bas local [ME60A-ip-pool-hsi-bak] gateway 2.2.2.2 24 [ME60A-ip-pool-hsi-bak] section 0 2.2.2.3 2.2.2.254 [ME60A-ip-pool-hsi-bak] quit

            # 在备用设备ME60B上配置DHCP Server,指向主用设备ME60A。
            [ME60B] dhcp-server group gm1 remote-backup-service service1 [ME60B-dhcp-server-group-gm1] dhcp-server 22.22.22.22 [ME60B-dhcp-server-group-gm1] quit

            # 在 ME60B 上配置宿主地址池 hsi-main,指定为 local。
            [ME60B] ip pool hsi-main bas local [ME60B-ip-pool-hsi-main] gateway 2.2.2.2 24 [ME60B-ip-pool-hsi-main] section 0 2.2.2.3 2.2.2.254 [ME60B-ip-pool-hsi-main] quit

            # 配置备份地址池 hsi-bak,指定地址池为混合型。
            [ME60B] ip pool hsi-bak bas local rui-slave [ME60B-ip-pool-hsi-bak] gateway 1.1.1.1 24 [ME60B-ip-pool-hsi-bak] section 0 1.1.1.2 1.1.1.254 [ME60B-ip-pool-hsi-bak] dhcp-server group gm1

            # 在 ME60A 和 ME60B 上配置远端备份策略。

            ~54~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            9 配置用户信息备份地址池部署示例-本地地址池优先

            [ME60A] remote-backup-profile profile1 [ME60A-rm-backup-prf-profile1] peer-backup hot [ME60A-rm-backup-prf-profile1] vrrp-id 1 interface gigabitethernet 1/0/0.2 [ME60A-rm-backup-prf-profile1] backup-id 10 remote-backup-service service1 [ME60A-rm-backup-prf-profile1] service-type bras [ME60A-rm-backup-prf-profile1] quit [ME60B] remote-backup-profile profile1 [ME60B-rm-backup-prf-profile1] peer-backup hot [ME60B-rm-backup-prf-profile1] vrrp-id 1 interface gigabitethernet 1/0/0.2 [ME60B-rm-backup-prf-profile1] backup-id 10 remote-backup-service service1 [ME60B-rm-backup-prf-profile1] service-type bras [ME60B-rm-backup-prf-profile1] ip-pool hsi include hsi-main node 5 [ME60B-rm-backup-prf-profile1] ip-pool hsi include hsi-bak node 10 [ME60B-rm-backup-prf-profile1] quit

            3.

            将域下配置完成的地址池绑定在 RBS 下,同时配置网络侧流量回程的保护路径。
            [ME60A] remote-backup-service service1 [ME60A-rm-backup-srv-service1] ip-pool hsi [ME60A-rm-backup-srv-service1] protect redirect ip-nexthop 133.1.1.7 interface gigabitethernet 3/0/0 [ME60B] remote-backup-service service1 [ME60B-rm-backup-srv-service1] ip-pool hsi-main [ME60B-rm-backup-srv-service1] protect redirect ip-nexthop 133.1.1.6 interface gigabitethernet 3/0/0

            4.

            将远端备份策略绑定到用户上线的接口下(此例中为子接口 GE1/0/0.1),以 ME60A 为例,ME60B 的配置与此类似。
            [ME60A] interface gigabitethernet 1/0/0.1 [ME60A-GigabitEthernet1/0/0.1] remote-backup-profile profile1 华为公司,2014 版权所有 ~55~

            华为数通BRAS/防火墙/SRG维护宝典 [ME60A-GigabitEthernet1/0/0.1] quit

            5.

            验证配置结果 当远端信息备份策略配置成功时,可以看到配置的备份业务类型为 bras,此备份策略 profile1 绑定在用户上线接口 GigabitEthernet1/0/0.1 下, 并且 ME60A 状态为 Master。
            <ME60A> display remote-backup-profile profile1 ----------------------------------------------Profile-Index Profile-Name Service : 0x803 : profile1 : bras

            Remote-backup-service: service1 Backup-ID track protocol VRRP-ID VRRP-Interface Interface : 10 : VRRP : 1 : GigabitEthernet1/0/0.2 : GigabitEthernet1/0/0.1 State Peer-state Backup mode Slot-Number Card-Number Port-Number IP-Pool Traffic threshold Traffic interval : Master : Slave : hot : 1 : 0 : 0 : hsi : 50(MB) : 10(minutes)

            <ME60B> display remote-backup-profile profile1

            ~56~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            9 配置用户信息备份地址池部署示例-本地地址池优先

            ----------------------------------------------Profile-Index Profile-Name Service : 0x803 : profile1 : bras

            Remote-backup-service: service1 Backup-ID track protocol VRRP-ID VRRP-Interface Interface : 10 : VRRP : 1 : GigabitEthernet1/0/0.2 : GigabitEthernet1/0/0.1 State Peer-state Backup mode Slot-Number Card-Number Port-Number IP-Pool Traffic threshold Traffic interval : Slave : Master : hot : 1 : 0 : 0 : hsi : 50(MB) : 10(minutes)

            ip pool include info: * ip pool hsi include sub-pool hsi-main (5), hsi-bak (10)

            当远端备份服务配置成功时,可以看到 TCP 连接的状态为 Connected。
            <ME60A> display remote-backup-service service1 ---------------------------------------------------------Service-Index Service-Name : 0 : service1 华为公司,2014 版权所有 ~57~

            华为数通BRAS/防火墙/SRG维护宝典 TCP-State Peer-ip Source-ip TCP-Port Track-BFD : Connected : 88.88.88.88 : 22.22.22.22 : 2046 : --

            Track-interface0 : GigabitEthernet2/0/0 Track-interface1 : -----------------------------------------------------------

            IP Pool: hsi ---------------------------------------------------------Rbs-ID Protect-type Next-hop Vlanid Peer-ip Vrfid Tunnel-index Tunnel-state : 0 : ip-redirect : 133.1.1.7 : 0 : 133.1.1.7 : 0 : 0x0 : UP

            Tunnel-OperFlag: NORMAL Spec-interface : GigabitEthernet3/0/0 Out-interface User-number : GigabitEthernet3/0/0 : 0

            待用户上线后,可以查看备份用户的信息。
            <HUAWEI> display backup-user Remote-backup-service: service1 ~58~ 华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            9 配置用户信息备份地址池部署示例-本地地址池优先

            Total Users Numer: 10 -----------------------------------------------------------------------100 101 102 103 104 105 106 107 108 109

            ------------------------------------------------------------------------

            可以查看指定接口下的在线用户信息。
            <HUAWEI> display access-user interface GigabitEthernet 1/0/0.1 -----------------------------------------------------------------------------UserID Username Interface IP address MAC

            IPv6 address ------------------------------------------------------------------------------------------------------------------------------------------------------100 user@lsh GE1/0/0.1 GE1/0/0.1 GE1/0/0.1 GE1/0/0.1 GE1/0/0.1 GE1/0/0.1 GE1/0/0.1 GE1/0/0.1 2.2.2.2 2.2.2.3 2.2.2.4 2.2.2.5 2.2.2.6 2.2.2.7 2.2.2.8 2.2.2.9 GE1/0/0.1 2.2.2.10

            0002-0101-0101 101 user@lsh

            0002-0101-0102 102 user@lsh

            0002-0101-0103 103 user@lsh

            0002-0101-0104 104 user@lsh

            0002-0101-0105 105 user@lsh

            0002-0101-0106 106 user@lsh

            0002-0101-0107 107 user@lsh

            0002-0101-0108 108 user@lsh

            0002-0101-0109

            华为公司,2014 版权所有

            ~59~

            华为数通BRAS/防火墙/SRG维护宝典 109 user@lsh GE1/0/0.1 2.2.2.11

            0002-0101-0110

            -------------------------------------------------------------------------Normal users RUI Local users RUI Remote users Total users : 0 : 10 : 0 : 10

            10 应用 ACL 禁止用户侧 www 服务配置指导
            为配合公安部扫黄打非、不良信息网站整治工作,需要屏蔽个人用户提供的web 服务。

            10.1 限制用户提供 www 或 8080 服务
            如果只限制用户侧提供www或8080服务,可以配置简单用户侧ACL,如下:
            acl number 6001 rule 5 permit tcp source user-group any source-port eq 8080 rule 10 permit tcp source user-group any source-port eq www

            traffic classifier www operator or if-match acl 6001 traffic behavior www deny

            然后与入方向流行为或出方向流行为组成分类行为对绑定到流策略下:
            traffic policy www classifier www behavior www

            ~60~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            10 应用ACL禁止用户侧www服务配置指导

            traffic-policy www inbound

            //全局应用

            当需要对某些用户开放 www 或 8080 服务时,需要在屏蔽的 ACL 之前配置允许的 ACL。以 user-group web 为例,配置如下: acl number 6001 rule 5 permit tcp source user-group web source-port eq 8080 rule 10 permit tcp source user-group web source-port eq www acl number 6002 rule 5 permit tcp source user-group any source-port eq 8080 rule 10 permit tcp source user-group any source-port eq www

            traffic classifier w1 operator or if-match acl 6001 traffic behavior w1

            traffic classifier w2 operator or if-match acl 6002 traffic behavior w2 deny

            traffic policy www classifier w1 behavior w1 classifier w2 behavior w2

            traffic-policy www inbound

            //全局应用

            华为公司,2014 版权所有

            ~61~

            华为数通BRAS/防火墙/SRG维护宝典

            10.2 限制网络侧的 www 或 8080 服务
            单纯限制网络侧www或8080服务除将ACL规则中的源由user-group改为 ip-address,其余配置及注意事项与上面介绍的用户侧ACL基本类似。限制网络 侧www或8080服务的流策略适用于配置在全局下。 以下配置达到的效果是限制用户只能访问121.14.88.14这个IP的服务器的www和 8080服务,其他都不允许。
            acl number 6001 rule 5 permit tcp source ip-address 121.14.88.14 0.0.0.0 source-port eq www rule 10 permit tcp source ip-address 121.14.88.14 0.0.0.0 source-port eq 8080

            acl number 6002 rule 5 permit tcp source ip-address any source-port eq www rule 10 permit tcp source ip-address any source-port eq 8080

            traffic classifier w1 operator or if-match acl 6001 traffic behavior w1

            traffic classifier w2 operator or if-match acl 6002 traffic behavior w2 deny

            traffic policy www classifier w1 behavior w1 classifier w2 behavior w2

            ~62~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            11 BRAS常见故障定位

            traffic-policy www inbound

            //全局应用

            10.3 同时限制网络侧和用户侧提供的 www 或 8080 服务
            当需要同时限制网络侧和用户侧的www和8080服务时,可以在配置ACL规则时 不指定ip-address和user-group。如下:
            acl number 6001 rule 5 permit tcp source any source-port eq www rule 10 permit tcp source any source-port eq 8080

            traffic classifier w1 operator or if-match acl 6001

            traffic behavior w1 deny

            traffic policy www classifier w1 behavior w1

            traffic-policy www inbound

            //全局应用

            此配置适用于需要屏蔽www或8080服务需要在全局下应用,此配置务必谨慎配 置,否则影响用户上网业务。

            11 BRAS 常见故障定位
            11.1 Radius 故障定位步骤
            背景信息
            华为公司,2014 版权所有 ~63~

            华为数通BRAS/防火墙/SRG维护宝典

            RADIUS和ME60的交互过程包括认证阶段、开始计费阶段、实时计费阶段、停止 计费阶段。任何一步失败都可能导致故障。所以对于RADIUS故障,首先通过业 务跟踪功能定位故障,如果业务跟踪无法定位,再使用调试信息定位故障。定 位RADIUS故障首先需要打开trace开关,索取一个故障用户的MAC地址,然后 trace该MAC地址,跟踪用户上线过程。基本上从上线过程信息中就可以判断出 问题原因。如果用户量少的情况下,也可以打开radius debug开关,跟踪上线流 程。但一般现网上用户量都比较大,所以不建议打开debug开关。 操作步骤
            [V6R2]trace enable [V6R2]trace access-user object 1 mac-address 00ec-fc01-0000 [V6R2]quit < V6R2>terminal monitor < V6R2>terminal debugging

            这样操作后,00ec-fc01-0000用户的radius信息及其拨号信息都会在登陆终端显 示出来。系统默认15分钟关闭trace,所以操作完毕在15分钟内需要让用户拨号 或者获取地址。 先确认radius的认证请求报文是否发出,在trace信息中如果有如下信息,说明 报文发出,如果没有,说明认证请求报文没有发出。 Radius Sent a Packet Server Template: 2 Server IP : 221.13.223.140

            Vpn-Instance: Protocol: Standard Code Len ID : 229
            ~64~ 华为公司,2014 版权所有

            : Auth req : 400

            第一部分

            BRAS维护宝典

            11 BRAS常见故障定位

            如果认证报文没有发出,这种情况一般是由于配置不正确或者ME60和用户之间 没有正确完成协商造成的,请检查以下内容:
            ? ? ? ?

            域的认证方式是否是 RADIUS 认证。 是否正确配置了 RADIUS 服务器组。 域是否正确引用了 RADIUS 服务器组。 各类业务在 RADIUS 认证前的协商阶段是否正确完成。

            如果认证请求报文已发出,请确认链路是否正常,确认到radius服务器的路由是 否可达,ping radius服务器是否有丢包,检查到达radius服务器的出接口是否有 错包统计(CRC,InRangeLength,Symbol)在增长。 如果链路正常, 并且收不到raidius服务器的回应报文, 请检查radius服务器配置, 确认radius服务器配置是否正确。现象一般表现为:用户认证时,看到ME60发 出了一次或多次RADIUS认证请求报文 (Code为1) , 但是收不到任何响应报文。 RADIUS服务器不响应认证请求可能有如下原因:
            ? ? ? ?

            RADIUS 服务器没有配置对应 ME60 的 NAS-ID。 RADIUS 服务器和 ME60 配置的共享密钥不一致。 RADIUS 服务器和 ME60 配置的端口号不一致。 RADIUS 服务器和 ME60 配置的协议类型不一致。

            如果收到radius拒绝报文,如下信息: * [0.7287570-] RDS-8-02033000: Radius Recieved a Packet Server Group: 2 Server IP : 10.164.45.213

            Server Port : 1645 Protocol: Standard
            华为公司,2014 版权所有 ~65~

            华为数通BRAS/防火墙/SRG维护宝典

            Code Len ID

            :3 : 36 :0

            [Reply-Message(18)] [14] [Access Limit] RADIUS认证被拒绝是指ME60发送RADIUS认证请求报文后,收到RADIUS的响应 报文,且响应报文的Code为3,表示拒绝用户的认证请求。对于此类问题,一般 RADIUS服务器在响应拒绝报文中会通过18号属性(Reply-Message)指出拒绝的 原因, 根据原因进行相应的处理即可。 比如上述调试信息中的原因为Access Limit, 表示同一帐号或同一VLAN下同时接入的用户数过多。 如果RADIUS服务器在响应报文中没有说明拒绝原因,或者拒绝原因不可识别, 请向RADIUS服务器厂商咨询。如果认证通过了,但没有发送开始计费报文。那 么请检查计费模板,是否配置的是radius计费。如果配置正确,还有一种情况就 是RADIUS认证成功的响应报文中带了ME60不识别的属性,所以ME60不会发送 计费报文,用户上线失败。 如果是radius计费失败,表现的现象为:ME60发出了一次或多次RADIUS计费请 求报文(Code为4),但是收不到任何响应报文(Code为5)。这种情况如果链 路正常的话,多数都是radius计费服务器配置问题,请检查radius计费服务器配 置是否正确。 很多人都会误认为radius认证没有问题,那么计费是同一台服务器,所以肯定配 置没有问题,这种想法是不对的,计费服务器也需要配置,而且根radius认证配 置不完全相同。 如果以上均不能解决问题,那么请寻求技术支持。

            11.2 PPPOE 故障处理步骤
            操作步骤 1. 使用命令 display aaa online-fail-record 查看用户上线失败原因。

            ~66~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            11 BRAS常见故障定位

            <HUAWEI> display aaa online-fail-record username test@hauwei ------------------------------------------------------------------User name User MAC User access type User interface User Pe Vlan User Ce Vlan User IP address User ID : test@radius : 0001-0101-0101 : PPPoE : Atm4/0/2 : 99 : 99 :: 233

            User authen state : Authened User acct state User author state User login time : AcctIdle : AuthorIdle : 2009-09-04 15:14:14

            Online fail reason : PPP with authentication fail ------------------------------------------------------------------User online fail reason显示的是用户上线失败的原因,根据原因我们可以大概判 断故障,为后面的具体定位提供指引,常见的PPPoX用户上线失败的原因如表1 所示。

            表1 PPPoX用户上线失败原因 User online fail reason 解释

            华为公司,2014 版权所有

            ~67~

            华为数通BRAS/防火墙/SRG维护宝典

            表1 PPPoX用户上线失败原因 User online fail reason PPP authentication fail IP address alloc fail IP address conflict mac address conflict Start accounting fail Domain or user access limit Port access limit PPP negotiate fail Send authentication request fail Radius authentication reject Radius authentication send fail Local authentication reject Local authentication no user Local Authentication user type not match Local Authentication user block 解释 PPP用户认证失败。 IP地址分配失败。 IP地址冲突。 MAC地址冲突。 开始计费失败。 域或用户接入限制。 端口接入限制。 PPP协商失败。 发送认证请求失败。 RADIUS认证拒绝。 发送认证RADIUS请求失败。 本地认证拒绝。 找不到本地用户。 本地帐号类型不匹配。 本地帐号未激活。

            ~68~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            11 BRAS常见故障定位

            2. 检查配置是否正确。 从步骤1 看到的用户认证失败原因中,有些是可以明确配置原因的,如Local authentication no user、Domain or user access limit对这类问题可以直接通过检查 配置解决问题。有些上线失败的原因里无法看到记录,因为用户并没有上线, 在下线记录中也没有用户的记录, 这说明用户PPPoX的链路没有建立, 对于这种 情况,可以通过业务跟踪来处理。 3. 查看业务跟踪的消息。 使用命令trace access-user(详细命令见radius故障定位)打开用户的业务跟踪功 能,进行用户上线测试,在用户上线过程结束后,查看业务跟踪的消息。如果 ME60没有收到PADI或PADR报文,请检查二层网络是否可达;端口状态是否正 常;接入类型是否是二层用户;认证方式是否包括PPP;接口下是否绑定了虚模 板等。 如果无法看到业务跟踪的消息,说明用户没有任何报文送到ME60,可能造成这 种情况的可能原因有:
            ? ? ? ? ?

            用户接入类型错误。 用户认证方法错误。 物理端口没有绑定虚模板(VT)。 设备物理联接错误。 二层设备的配置错误。

            4. 数据配置检查。 对于出现看不到用户任何业务跟踪消息情况时,请检查以下配置:
            ? ? ? ?

            确认设备物理联接均正常。 确认 ME60 上相应的配置均正确无误。 确认二层网络配置正确。 确认报文正确可以到达 ME60。
            华为公司,2014 版权所有 ~69~

            华为数通BRAS/防火墙/SRG维护宝典

            只要保证这些的配置均是正确的,则正确的业务跟踪一定可以看到消息。 如果确认用户上线失败原因是数据配置问题,请根据跟踪消息检查相应的本地 配置。 使用display access-user mac-address [ mac ]来查看同一个MAC是否已经有用户 在线,保证MAC没有冲突即可解决。 请检查认证方法的配置,RADIUS认证的用户是否正确配置是RADIUS服务器, 是 否在域下引用户以及RADIUS状态是否正常;检查本地帐号的配置是否正确且没 有接入数限制等。 5. 判断 LCP 过程是否完成,可从客户端抓包进行判断。 这样可以很快地定位出LCP失败是BRAS的原因还是客户端的原因,或是设备间 的配合问题。比较常见的故障现象: 某些PPPoE客户端实现的不标准,发送了config-request报文,ME60响应了 config-nak/config-reject报文, 此时客户端应当修改/增减相应config-request中的 属性值或属性,但客户端可能一直不改变这些协商属性导致协商失败。 ME60配置了CHAP验证,但客户端支持PAP验证,所以LCP协商一直不通过导致 失败等。 判断认证是否成功。 如果是本地认证,可能是本地帐号不存在、域未激活、帐号未激活、帐号类型 不一致、接入限制。 如果是RADIUS认证的,可能是认证报文没有响应。如果不能判断,请参见 “RADIUS故障处理”。 判断NCP是否成功。 NCP在PPPoE中一般只有地址的协商,所以NCP的失败也就是地址协商失败。 检查地址分配。 对于本地分配地址的情况

            ~70~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            11 BRAS常见故障定位

            请检查域下是否引用了相关的地址池,地址池中是否有空闲的IP地址。如果是 RAIDUS指定地址池和section,则需要下发的属性(88,Framed-Pool)正确,要 求格式为“pool-name#section1,section2”,如果只下发section则必须以“#” 开始。需要保证指定的地址池在ME60上。 对于RADIUS分配地址的情况 请查看RADIUS认证响应报文中8号Framed-IP-Address属性是否还有正确的值 如果是255.255.255.255或255.255.255.254则仍然是由本地分配地址,此时域下必 须配置相应的地址池。如果RADIUS没有下发这个属性值,也将由域下的本地地 址池分配地址。如果这个值不正确,分配IP地址失败。 对于由ME60代理作为DHCP客户端向DHCP服务器申请地址的情况 如果IP地址分配失败,则需要检查以下方面:
            ? ? ? ? ? ? ?

            ME60 上 DHCP 服务器组配置是否正确,且在对应的地址池下引用。 到 DHCP 服务器组路由是否可达。 服务器工作是否正常。 DHCP 分配的地址是否合法。 是否在 ME60 相应地址池的范围内。 掩码和 ME60 地址池配置是否一致。 地址是否和当前在线用户有冲突。

            计费处理。 如果这时用户还无法上线,则说明是计费故障,最常见的是开始计费失败。对 ME60来说,不存在本地计费的情况。只有RADIUS、HWTACAS和不计费三种, 不计费的情况不会产生计费失败。如果RADIUS和HWTACAS这两种计费失败后, ME60将计费先转入本地保存后续计费话单, 计费服务器恢复后, ME60将话单上 传给服务器。如果在本地保存的计费信息已满,而计费服务器还未恢复时,后 续的计费信息将丢弃。

            华为公司,2014 版权所有

            ~71~

            华为数通BRAS/防火墙/SRG维护宝典

            后续处理 如果检查结束,故障仍然无法排除,请联系华为的技术支持工程师。

            11.3 DHCP 用户无法获取 IP 地址处理步骤
            可能存在以下原因:
            ? ?

            如果是本地分配 IP 地址,可能是本地地址池的相关配置有问题。 如果用户 IP 地址由远端 DHCP 服务器分配,可能是地址池配置或与服务器 通信故障。

            ?

            相应域下的认证方式配置不正确。

            操作步骤 1. 检查是本地分配 IP 地址,还是通过远端 DHCP 服务器分配 IP 地址。 2. 检查本地分配 IP 地址配置,请检查如下信息。
            ?

            如果用户 IP 地址由本地分配,请使用 display domain 命令检查域下引 用的地址池。

            ? ? ?

            对 Web 认证用户,检查认证前域配置是否正确。 对于绑定认证用户,检查认证域配置是否正确。 使用 display ip pool 命令检查对应的地址池下是否还有空闲的 IP 地址。

            3. 检查 DHCP 服务器。 如果用户 IP 地址由远端 DHCP 服务器分配,请检查以下方面:
            ? ? ?

            使用 ping 命令检查 DHCP 服务器组和 ME60 之间通信是否正常。 使用 display domain 命令查看域下引用的地址池是否正确。 使用 display ip pool 命令查看对应的地址池是否为 remote 类型,并且引 用了相应的 DHCP 服务器组。

            4. 检查认证。

            ~72~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            11 BRAS常见故障定位

            在 ME60 中用户如果要获取 IP 地址,必须首先通过相应域的认证。
            ? ? ?

            Web 认证的用户,用户是在认证前域认证,采用绑定格式的用户名进行。 绑定认证的用户,用户是在认证域认证,采用绑定格式的用户名进行。 本地认证或 RADIUS 认证的,AAA 服务器上一定要配置用户名和密码。

            5. 打开业务跟踪(trace access-user,见 radius 故障定位部分)。 下面是一个 DHCP 正常获取地址的业务跟踪消息的过程中几个比较重要的阶段 消息: DHCP DISCOVER 报文 Dec 4 2009 16:39:38.940.2 HUAWEI DHCPACC/7/DHCPACC_DBG:

            PKT INFO: Hardware Type = 1, Hardware Address Length = 6 Hops = 0, Transaction ID = 0 Seconds = 0, Broadcast Flag = 1 Client IP Address = 0.0.0.0, Your IP Address = 0.0.0.0 Server IP Address = 0.0.0.0, Gateway IP Address = 0.0.0.0 Client Hardware Address = 0001-9901-0101 Server Host Name = [N/A], Boot File Name = [N/A] Dhcp message type = DHCP_DISCOVER 这是DHCP的第一个消息。如果看不到此消息请检查二层网络是否正常。检查 ME60的BAS端口下接入类型是否配置为layer2-subscriber。检查BAS端口下认证 方式是否包括web/fast。检查端口状态是否正常等。如果此用户不是第一次上线 则不会有此报文,而是直接发送DHCP Request报文。 认证消息
            [UCM DBG]MSG Recv From:DHCP Code:DHCPACC_UCM_CONN_REQ(200) Event:CONN_REQ Src:635 Dst:4294967295

            华为公司,2014 版权所有

            ~73~

            华为数通BRAS/防火墙/SRG维护宝典 [UCM DBG]MSG Send To:AAA Code:UCM_AAA_AUTH_REQ(83) Src:628 Dst:628 Dec 4 2009 16:39:38.940.30 HUAWEI UCM/7/DebugInfo: [UCM DBG]UserName:HUAWEI@kouki Dec 4 2009 16:39:38.940.31 HUAWEI UCM/7/DebugInfo: [UCM DBG]UCM -> AAA : Send Msg Success

            请注意消息中的Result,如果返回Fail的消息就需要检查认证的相关配置。 认证响应消息
            Dec 4 2009 16:39:38.940.46 HUAWEI AAA/7/AAADBG: [AAA debug] Code: AAA->UCM authen ack UserID: 628

            Dec 4 2009 16:39:38.940.47 HUAWEI AAA/7/AAADBG: AAA EVENT:CID = 628,UserName = HUAWEI@kouki Authen State is OK Dec 4 2009 16:39:38.940.48 HUAWEI UCM/7/DebugInfo: [UCM DBG]Translate Msg(84) to Event(3) Dec 4 2009 16:39:38.940.49 HUAWEI UCM/7/DebugInfo: [UCM DBG]MSG Recv From:AAA Code:AAA_UCM_AUTH_ACK(84) Event:AUTH_PASS Src:628 Dst:628

            连接回应消息
            Dec 4 2009 16:39:38.940.56 HUAWEI UCM/7/DebugInfo: [UCM DBG]Send Connect Ack to DHCPACC. Lease Time = 0 NeedReAuthen = 0 Dec 4 2009 16:39:38.940.57 HUAWEI UCM/7/DebugInfo: [UCM DBG]MSG Send To:DHCP Code:UCM_DHCPACC_CONN_ACK(201) Src:628 Dst:635 Dec 4 2009 16:39:38.940.58 HUAWEI UCM/7/DebugInfo: [UCM DBG]Result:0 Server:0 Gate:ffffffff Dec 4 2009 16:39:38.940.59 HUAWEI UCM/7/DebugInfo: [UCM DBG]UCM -> DACC : Send Msg Success

            认证成功后,CM 会向 DHCPACC 发连接响应消息。

            ~74~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            11 BRAS常见故障定位

            IP 地址分配请求消息
            Dec 4 2009 16:39:38.940.71 HUAWEI DHCPS/7/DHCPS_DBG: Event: Enter AM_DHCPS_ReqIp to apply ip [ffffffff] Dec 4 2009 16:39:38.940.72 HUAWEI DHCPS/7/DHCPS_DBG: Event: The applied free ip is a000061 Dec 4 2009 16:39:38.940.73 HUAWEI DHCPS/7/DHCPS_DBG:AM_DHCPS_ReqIp return VOS_OK Dec 4 2009 16:39:38.940.74 HUAWEI DHCPS/7/DHCPS_DBG: Event: DHCPS:AM_DHCPS_ReqIp return VOS_OK.Apply OK and send Offer.

            DHCPACC 收到连接响应消息后,向 DHCPS 转发 DHCP Discovery 报文,DHCPS 收 到该报文后向 AM(Address Manager)申请 IP 地址。
            Sep 5 2009 11:31:54.230.5 HUAWEI DHCPACC/7/DHCPACC_DBG: Event: DHCPACC_UcmAcp tForDiscover: Send discovery packet to server successfully and useris state is c hanged to DHCPACC_DIS_WAIT_SERVER_OFFER

            如果这里消息不是 successfully,请检查相应的本地地址池的相关配置。 DHCP 协议报文
            Dec 4 2009 16:39:38.940.77 HUAWEI DHCPS/7/DHCPS_DBG: [ DHCPS send ] : ===== [ Xid [ cmd ]:0 ]:2

            [ Htype ]:1 [ Hlen [ Hops [ Secs [ Flag ]:6 ]:0 ]:0 ]:32768

            [ Ciadd ]:0.0.0.0 [ Yiadd ]:10.0.0.97

            华为公司,2014 版权所有

            ~75~

            华为数通BRAS/防火墙/SRG维护宝典 [ Siadd ]:0.0.0.0 [ Giadd ]:10.0.0.1 [ Sname ]: [ File ]:

            [ Option]:----Message type:OFFER Server id:10.0.0.1 leasetime:259200s Renewtime:129600s Rebindtime:226800s Option82 :RID:HUAWEI-0100-0000-GE,CID:0100-0000-GE

            对应DHCP协议中的DHCP Offer、DHCP Request、DHCP Ack报文,如果某一步失 败请根据返回的消息具体确认故障原因。 对于远端分配IP地址的过程, 只是在消息中多了与远端DHCP服务器通信的过程, 但基本的过程是一致的。 6. 查看调试信息。 调试信息比业务跟踪消息更多一些,更有助于定位故障。 案例总结 通过DHCP服务器分配IP地址的时候,首先要保证DHCP和ME60能够正常通信。

            11.4 强制 Web 认证失败故障处理步骤
            故障分析:主要有以下原因:
            ? ? ?

            用户未分配到 IP 地址。 Web 服务器路由不正确。 应用 ACL。

            ~76~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            11 BRAS常见故障定位

            ? ? ?

            服务器的工作不正常。 用户组配置不正确。 DNS 服务器配置不正确。

            操作步骤 1. 是否获取 IP 地址。 获取 IP 地址是用户业务正常进行的基础,如果无法获取地址请参见“10.3 用 户无法获取 IP 地址”。 2. 直接 IP 地址访问 Web 服务器。 如果用户可以获取地址, 可以在浏览器中直接输入 Web 服务器的 IP 地址看是否 可以打开 Web 页面,如果可以打开说明 traffic-policy、路由、服务器工作正 常。如果无法打开请检查以下内容:
            ? ?

            到 Web 服务器路由是否正常,请使用 ping 和 tracert 命令检查。 traffic-pollicy 配置是否正确,是否配置了相应的 ACL、classfilter、 behaivor、traffic-pollicy 并把相应的 traffic-policy 在相应的端口下 引用,特别注意 traffic-policy 应用的方式。

            ?

            检查服务器的工作是否正常等。

            3. 使用任意 IP 地址访问。 如果直接输入 Web 服务器的 IP 地址可以访问, 则可以在浏览器中输入一个任意 的 IP 地址(不在允许访问的范围内)看是否可以强制,如果不能强制,则肯定 是配置问题,需要检查以下内容:
            ?

            用户组号是否正确配置,且用户属于这个组,请使用 display access-user 命令查看。

            ?

            traffic-policy 的配置是否正确,是否除 Web 服务器、DNS 等免费服务器 外,其它地址应当都不允许访问。不要把允许访问的地址禁止。

            华为公司,2014 版权所有

            ~77~

            华为数通BRAS/防火墙/SRG维护宝典

            ?

            traffic-policy 的应用是否合理,比如对某些用户的控制应当是引用在对 应的子接口下,而不能是主接口下。

            4. 输入域名强制。 如果使用任意 IP 地址可以强制到 Web 服务器,但是输入域名不能强制到 Web 服务器,则是 DNS 的问题,则需要检查以下方面:
            ? ? ?

            DNS 是否在 ACL 允许访问。 到 DNS 的路由是否可达。 DNS 的工作是否正常等。

            也可以使用其它的DNS服务器代替以判断是否是DNS服务器的问题。 5. 客户端抓包。 如果通过以上的方法还不能解决问题,可以在客户端抓包来分析。 案例总结 如果直接输入Web服务器的IP地址可以访问Web服务器,而不能实现强制,则要 看配置上用户组号和traffic policy是否有问题。如果使用任意IP地址可以强制到 Web服务器,但是输入域名不能强制,则是DNS的问题。

            12 用户上下线失败原因解释
            ME60 display aaa online-fail-record和display aaa offline-record命令可以查看用户 上线失败原因和用户下线原因,建议根据MAC地址查询,其结果可以作为用户 拨号异常的参考。

            12.1 用户上线失败原因介绍
            问:Web user request 是什么原因 答:web 用户主动请求下线。 问:DHCP decline 是什么原因?
            ~78~ 华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            12 用户上下线失败原因解释

            答:分配的 IP 地址已经被使用。 问:IP address alloc fail 是什么原因? 答:IP 地址分配失败导致上线失败,一般是 IP 地址用完了,请检查 IP 地址使 用情况。 问:IP address conflict 是什么原因? 答:ip 地址冲突导致上线失败,检查一下,IP 地址池配置是否有冲突。 问:MAC address conflict 是什么原因 答:MAC 地址冲突,上线的用户中已经有这个 MAC 地址了。 问:Start accounting fail 是什么原因? 答:开始计费报文发送失败,计费服务器配置是否正确,检查 ME60 的配置是否 正确,检查链路是否正常。 问:Domain or user access limit 是什么原因? 答:域下接入限制,这种情况一般是域下配置了用户接入数量限制导致,请检 查配置。 问:Port access limit 是什么原因? 答:端口接入数量限制,一般是接口下配置了用户接入数量限制导致,请检查 配置。 问:Send authentication request fail 是什么原因? 答:发送认证请求失败,请检查 radius 服务器的配置是否正确,me60 的配置 是否正确,链路是否正常。 问:RADIUS authentication reject 是什么原因? 答:radius 认证拒绝,一般是用户名或密码错误,或者属性不匹配导致。 问:RADIUS authentication send fail 是什么原因?

            华为公司,2014 版权所有

            ~79~

            华为数通BRAS/防火墙/SRG维护宝典

            答:发送认证 Radius 请求失败,请检查 radius 服务器配置是否正确,ME60 配 置是否正确,链路是否正常。 问:Local authentication reject 是什么原因? 答:本地认证拒绝,一般是用户名或密码不正确,注意:用户名必须带域名。 问:Local authentication no user 是什么原因? 答:找不到本地用户,一般是 ME60 本地认证下没有配置该用户名。 问:Local Authentication user type not match 是什么原因?
            [ME60] display aaa online-fail-record <username/ip/??>

            答:本地帐号类型不匹配。 问:Local Authentication user block 是什么原因? 答:本地帐号未激活。

            12.2 用户下线失败原因介绍
            问:web user request 是什么原因? 答:web 用户请求下线。 问:Arp detect fail 是什么原因? 答:arp 探测失败下线,可能是用户 PC 断电,或拔网线导致,也可能是链路不 好导致。 问:WEBS heartbeat fail 是什么原因? 答:web 用户心跳超时下线,可能是链路不好有丢包导致,也可能是 web 服务 器性能不行。 问:Dhcp release 是什么原因? 答:DHCP 释放 IP 地址,一般是用户主动请求下线。 问:AAA cut command 是什么原因?

            ~80~

            华为公司,2014 版权所有

            第一部分

            BRAS维护宝典

            13 现网操作License注意事项

            答:管理员使用命令强行将用户 cut 下线。 问:Block domain force user to offline 是什么原因? 答:域被置为 block 强制用户下线。 问:Session time out 是什么原因? 答:RADIUS 下发了 27 号 Session-time-out 属性,用户在线时间超过这个时间 而下线。 问:Idle cut 是什么原因? 答:闲置切断,用户长期不妨问网络,没有流量,系统 cut 用户。 问:Realtime accouting fail 是什么原因? 答:实时计费失败下线,一般是链路不好导致,请检查链路。 问:Flow limit 是什么原因? 答:流量限制,一般是访问流量达到规定限制值导致,因为 RADIUS 下发了 80 号 Remanent_Volume 属性。 问:Radius server cut command 是什么原因? 答:Radius 下发 DM 命令切断。 问:Slot down 是什么原因? 答:用户上线的槽位单板 down。 问:Interface net down 是什么原因? 答:用户上线的接口 down。 关于设备license

            13 现网操作 License 注意事项
            警告:

            华为公司,2014 版权所有

            ~81~

            华为数通BRAS/防火墙/SRG维护宝典

            在现网操作 License 时如果操作失误会导致用户不能上线,大量用户掉线等问 题。 注意事项如下:
            ? ?

            License 文件不能手动编辑,编辑后将不可用 License 文件中会定义本 License 支持用户上线数情况, 支持的各功能 (防 火墙,BTV,VPDN,SSG 等)的支持情况。如果手动编辑修改这些定义,那 么 License 文件将不可用。

            ?

            打 License 时设备会对这些数据与 License 中的数字签名进行对比。如果 不匹配将打 License 失败。

            ?

            打 License 时不能删除之前的 License

            License 中规定了当前设备可以支持用户上线数。如果没有打 License 最多只 支持 4 K 用户上线。
            ?

            主用主控板和备用主控板需要分别打

            与打补丁不同,打 License 时主用主控板和备用主控板是相对独立的。也就是 说打 license 或删除 license 都需要使用命令单独对主用主控板和备用主控板 进行操作。命令如下:
            [Quidway] license filename [Quidway] license slave filename

            使用 display license 命令查看 license 状态时也是发开显示主用主控板和备 用主控板的状态。 通过如下命令查看 License 是否打成功。
            [ME60] display license

            如果成功打成商用 License,则会打印如下信息:
            [ME60] display license Active License on master board: cfcard:/lic7574365-a8038cb50ea4d_me60.dat

            ~82~

            华为公司,2014 版权所有

            第一部分 License SN: Creator: Created time: Product: License type:

            BRAS维护宝典

            13 现网操作License注意事项

            LIC20090409011900 Huawei Technologies Co., Ltd. 2009-04-09 21:16:53 ME60 COMM

            Expiration time: 9999-12-31 Function BRAS HAG SSG BTV VPDN Firewall Enabled Yes No No No No No Resource 32K -

            Active License on slave board: cfcard:/lic7574365-a8038cb50ea4d_me60.dat License SN: Creator: Created time: Product: License type: LIC20090409011900 Huawei Technologies Co., Ltd. 2009-04-09 21:16:53 ME60 COMM

            Expiration time: 9999-12-31 Function BRAS HAG SSG BTV VPDN Firewall Enabled Yes No No No No No Resource 32K -

            华为公司,2014 版权所有

            ~83~

            华为数通BRAS/防火墙/SRG维护宝典

            如果打的 License 为非商用的临时 License,则会打印如下类似信息:
            [ME60] display license

            Active License on master board: cfcard:/lic2009070601b000_me60.dat License SN: Creator: Created time: Product: License type: LIC2009070601B000 Huawei Technologies Co., Ltd. 2009-07-06 16:23:40 ME60 COMM

            Expiration time: 9999-12-31 Function BRAS HAG SSG BTV VPDN Firewall Enabled Yes No No No No No Resource 26K *备注:此数值表示允许接入用户数 -

            This is a partly active license file, and it will be obsolete in 82 day(s) 13 h our(s) 49 minute(s), please apply for a commercial license and activate it. Active License on slave board: cfcard:/lic2009070601b000_me60.dat License SN: Creator: Created time: Product: License type: LIC2009070601B000 Huawei Technologies Co., Ltd. 2009-07-06 16:23:40 ME60 COMM

            Expiration time: 9999-12-31

            Function 华为公司,2014 版权所有

            Enabled

            Resource

            ~84~

            第一部分 BRAS HAG SSG BTV VPDN Firewall Yes No No No No No

            BRAS维护宝典 26K -

            13 现网操作License注意事项

            This is a partly active license file, and it will be obsolete in 82 day(s) 13 h our(s) 44 minute(s), please apply for a commercial license and activate it.

            如果打 License 失败,则会打印如下信息
            [ME60] display license

            No License activated on master board No License activated on slave board

            华为公司,2014 版权所有

            ~85~

            华为数通BRAS/防火墙/SRG维护宝典

            ~86~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            13 现网操作License注意事项

            第二部分

            高端防火墙维护宝典

            华为公司,2014 版权所有

            ~87~

            华为数通BRAS/防火墙/SRG维护宝典

            ~88~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            1 Eudemon产品简介

            1 Eudemon 产品简介
            略,详见各个版本的产品文档。

            2 Eudemon 8000E 系列常见配置及故障案例
            2.1 配置域内 NAT 和 NAT Server 举例

            组网需求
            如图 1 所示,FTP 服务器和 PC 均处于 Eudemon8000E 的 Trust 区域,FTP 服务器的 IP 地址为 10.1.1.2,PC 的 IP 地址为 10.1.1.5,二者通过交换机与 Eudemon8000E 相连。 图1 配置域内NAT组网图

            配置域内 NAT,完成以下需求: ? ? FTP Server 对外公布的地址为 200.1.1.10,对外使用的端口号为缺省值。 当 PC 访问 FTP Server 的公网地址时,PC 机的地址也进行地址转换。这样做的目的是 保证 PC 机和 FTP Server 交互的所有报文能够经过 Eudemon8000E,并得到正确处理。

            配置思路
            1. 根据网络规划为 Eudemon8000E 分配接口,并将接口加入相应的安全区域。
            华为公司,2014 版权所有 ~89~

            华为数通BRAS/防火墙/SRG维护宝典

            2. 创建 ACL,并配置 ACL 规则。 3. 配置域内 NAT。

            数据准备
            为完成此配置举例,需准备如下的数据: ? ? Eudemon8000E 接口的 IP 地址。 FTP Server 的公网 IP 地址和端口号。

            操作步骤
            1. 完成 Eudemon8000E 的基本配置。 # 配置接口 GigabitEthernet 1/0/1 的 IP 地址。
            <Eudemon> system-view [Eudemon] interface GigabitEthernet 1/0/1 [Eudemon-GigabitEthernet1/0/1] ip address 10.1.1.1 24 [Eudemon-GigabitEthernet1/0/1] quit

            # 将接口 GigabitEthernet 1/0/1 加入 Trust 区域。
            [Eudemon] firewall zone trust [Eudemon-zone-trust] add interface GigabitEthernet 1/0/1 [Eudemon-zone-trust] quit

            2.

            配置域内 NAT 和内部服务器,完成需求。 # 创建基本 ACL 2000,配置源地址为 10.1.1.0/24 的规则。
            [Eudemon] acl 2000 [Eudemon-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255 [Eudemon-acl-basic-2000] quit

            # 配置 NAT 地址池和内部服务器, 其中 200.1.1.20~200.1.1.22 为 Trust 区域内的报 文经过地址转换后的源地址范围。
            [Eudemon] nat server protocol tcp global 200.1.1.10 ftp inside 10.1.1.2 ftp

            ~90~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            [Eudemon] nat address-group 0 [Eudemon-address-group-0] section 200.1.1.20 200.1.1.22 [Eudemon-address-group-0] quit

            # 配置黑洞路由。
            [Eudemon] ip route-static 200.1.1.10 32 NULL 0 [Eudemon] ip route-static 200.1.1.20 32 NULL 0 [Eudemon] ip route-static 200.1.1.21 32 NULL 0 [Eudemon] ip route-static 200.1.1.22 32 NULL 0

            # 配置域内 NAT。
            [Eudemon] firewall zone trust [Eudemon-zone-trust] nat 2000 address-group 0

            # 开启 FTP 协议的 ASPF 功能。
            [Eudemon-zone-trust] detect ftp

            说明: PC和FTP Server上需要配置到达外部网络(202.1.1.0/24)的路由,下一跳为10.1.1.1。

            配置结果验证
            1. 配置成功后,在 Eudemon8000E 上查看静态的 Server-map 表,表项建立成功。
            [Eudemon] display firewall server-map ServerMap item(s) on slot 6 cpu 0 -----------------------------------------------------------------------------Type: Nat Server, ANY -> 200.1.1.10:21[10.1.1.2:21], Left-Time:---, Zone:---

            Protocol: tcp(Appro: ftp), Vpn: public -> public

            NatAddrPool: ---

            Type: Nat Server Reverse,

            10.1.1.2[200.1.1.10] -> ANY, Left-Time:---,

            Zone:---

            Protocol: ANY(Appro: unknown), Vpn: public -> public

            NatAddrPool: ---

            华为公司,2014 版权所有

            ~91~

            华为数通BRAS/防火墙/SRG维护宝典 ServerMap item(s) on slot 6 cpu 1

            2. PC 向 FTP 服务器发起业务请求时,Eudemon8000E 上动态建立相应的 Server-map 表和会 话表。
            [Eudemon] display firewall server-map dynamic

            ServerMap item(s) on slot 6 cpu 0 -----------------------------------------------------------------------------Type: ASPF, 10.1.1.2 -> 200.1.1.20:1286[10.1.1.5:4618], Zone:--NatAddrPool: ---

            Protocol: tcp(Appro: ftp-data), Left-Time:00:00:04, Vpn: public -> public

            ServerMap item(s) on slot 6 cpu 1 -----------------------------------------------------------------------------Type: ASPF, 10.1.1.2 -> 200.1.1.20:1286[10.1.1.5:4618], Zone:--NatAddrPool: ---

            Protocol: tcp(Appro: ftp-data), Left-Time:00:00:03, Vpn: public -> public

            ServerMap item(s) on slot 6 cpu 2 -----------------------------------------------------------------------------Type: ASPF, 10.1.1.2 -> 200.1.1.20:1286[10.1.1.5:4618], Zone:--NatAddrPool: ---

            Protocol: tcp(Appro: ftp-data), Left-Time:00:00:01, Vpn: public -> public

            ServerMap item(s) on slot 6 cpu 3 -----------------------------------------------------------------------------Type: ASPF, 10.1.1.2 -> 200.1.1.20:1286[10.1.1.5:4618], Zone:--NatAddrPool: ---

            Protocol: tcp(Appro: ftp-data), Left-Time:00:00:01, Vpn: public -> public [Eudemon] display firewall session table verbose Current total sessions: 2 ftp-data VPN: public --> public

            Zone: trust --> trust Slot: 6 CPU: 1 TTL: 00:00:10 Left: 00:00:06 Interface: GigabitEthernet1/0/1 Nexthop: 10.1.1.5 ~92~ 华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            <--packets: 3 bytes: 124 -->packets: 5 bytes: 373 10.1.1.2:20[200.1.1.10:20] --> 200.1.1.20:3413[10.1.1.5:3413]

            ftp VPN: public --> public Zone: trust --> trust Slot: 6 CPU: 1 TTL: 00:10:00 Left: 00:09:56 Interface: GigabitEthernet1/0/1 Nexthop: 10.1.1.2 <--packets: 7 bytes: 456 -->packets: 11 bytes: 503 acl: default 10.1.1.5:3025[200.1.1.20:3025] +-> 200.1.1.10:21[10.1.1.2:21]

            3. 在 Eudemon8000E 上查看 NAT 相关配置信息。
            [Eudemon] display nat all NAT information on interzone: Total 0 item(s)

            NAT information on zone: vpn public, zone-trust: acl (2000) - addr-group( Total 0) - type( pat )

            1 item(s) on the zone

            NAT address-group information: number startaddr reference vpninstance : 0 : 200.1.1.20 : 1 : public name endaddr vrrp cpu ID : : 200.1.1.22 : 0 : ---

            Total

            1 address-group(s)

            Server in private network information: zone globaladdr globalport globalvpn protocol : ---: 200.1.1.10 : 21(ftp) : public : tcp insideaddr insideport insidevpn vrrp : 10.1.1.2 : 21(ftp) : public : --~93~

            华为公司,2014 版权所有

            华为数通BRAS/防火墙/SRG维护宝典 description : ---

            Total

            1 NAT server(s)

            2.2

            配置基于 OSPF 的 GRE 隧道

            当设备较多, 组网比较复杂时, 可以配置动态路由使设备连通, 并在此基础上配置 GRE 隧道。

            组网需求
            如图 1 所示,Eudemon8000E_A、Eudemon8000E_B、Eudemon8000E_C 属于 VPN 骨干网,它们之 间运行 OSPF。 Eudemon8000E_A 和 Eudemon8000E_C 之间使用三层隧道协议 GRE,实现 PC1 和 PC2 互联。 PC1 和 PC2 上分别指定 Eudemon8000E_A、Eudemon8000E_C 为自己的缺省网关。 VPN 骨干网上使用 OSPF 进程 1,用户接入部分使用 OSPF 进程 2。 图1 GRE隧道应用组网图

            ~94~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            配置思路
            配置GRE使用动态路由协议的思路如下: 1. 在骨干网上各防火墙上运行 IGP 协议实现互通,这里用 OSPF 进程 1。

            2. 在 Eudemon8000E_A 和 Eudemon8000E_C 上创建 GRE Tunnel 接口,配置 Tunnel 接口的 网络地址并指定 Tunnel 的源地址和目的地址。 Tunnel 接口的 IP 地址可以任意配置。 GRE 隧道两端 Tunnel 接口的 IP 地址必须配置为 同一网段。 注意 Tunnel 的源地址是发送报文的实际接口 IP 地址,目的地址是接收报文的实际接 口 IP 地址。 3. PC 接入骨干网的那部分网段运行 OSPF 协议, 这里需要新建一个进程 (OSPF 进程 2) , 在这个进程中添加 GRE Tunnel 接口所在网段和内外接口所在网段。
            华为公司,2014 版权所有 ~95~

            华为数通BRAS/防火墙/SRG维护宝典

            操作步骤
            1. 配置 Eudemon8000E_A 的基础配置。包括配置接口 IP 地址、接口加入安全区域、域 间安全策略。 a. 配置接口 GigabitEthernet 1/0/0 的 IP 地址,并将接口 GigabitEthernet 1/0/0 加入 Trust 区域。
            <Eudemon_A> system-view [Eudemon_A] interface GigabitEthernet 1/0/0 [Eudemon_A-GigabitEthernet1/0/0] ip address 10.1.1.1 24 [Eudemon_A-GigabitEthernet1/0/0] quit [Eudemon_A] firewall zone trust [Eudemon_A-zone-trust] add interface GigabitEthernet 1/0/0 [Eudemon_A-zone-trust] quit

            b.

            配置接口 GigabitEthernet 1/0/1 的 IP 地址,并将接口 GigabitEthernet 1/0/1 加入 Untrust 区域。
            [Eudemon_A] interface GigabitEthernet 1/0/1 [Eudemon_A-GigabitEthernet1/0/1] ip address 192.13.2.1 24 [Eudemon_A-GigabitEthernet1/0/1] quit [Eudemon_A] firewall zone untrust [Eudemon_A-zone-untrust] add interface GigabitEthernet 1/0/1 [Eudemon_A-zone-untrust] quit

            c.

            配置域间安全策略。 1. 配置 Trust 域与 Untrust 域之间的域间安全策略。
            [Eudemon_A] policy interzone trust untrust outbound [Eudemon_A-policy-interzone-trust-untrust-outbound] policy 0 [Eudemon_A-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0 0.0.0.255 [Eudemon_A-policy-interzone-trust-untrust-outbound-0] policy destination 10.1.3.0 0.0.0.255 [Eudemon_A-policy-interzone-trust-untrust-outbound-0] action permit [Eudemon_A-policy-interzone-trust-untrust-outbound-0] quit

            ~96~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            [Eudemon_A-policy-interzone-trust-untrust-outbound] quit [Eudemon_A] policy interzone trust untrust inbound [Eudemon_A-policy-interzone-trust-untrust-inbound] policy 0 [Eudemon_A-policy-interzone-trust-untrust-inbound-0] policy source 10.1.3.0 0.0.0.255 [Eudemon_A-policy-interzone-trust-untrust-inbound-0] policy destination 10.1.1.0 0.0.0.255 [Eudemon_A-policy-interzone-trust-untrust-inbound-0] action permit [Eudemon_A-policy-interzone-trust-untrust-inbound-0] quit [Eudemon_A-policy-interzone-trust-untrust-inbound] quit

            2. 配置 Local 域与 Untrust 域之间的域间安全策略。 配置 Local 域和 Untrust 域的域间安全策略的目的为允许 GRE 隧道建立。
            [Eudemon_A] policy interzone local untrust outbound [Eudemon_A-policy-interzone-local-untrust-outbound] policy 0 [Eudemon_A-policy-interzone-local-untrust-outbound-0] policy source 192.13.2.1 0 [Eudemon_A-policy-interzone-local-untrust-outbound-0] policy destination 128.18.196.248 0 [Eudemon_A-policy-interzone-local-untrust-outbound-0] action permit [Eudemon_A-policy-interzone-local-untrust-outbound-0] quit [Eudemon_A-policy-interzone-local-untrust-outbound] quit [Eudemon_A] policy interzone local untrust inbound [Eudemon_A-policy-interzone-local-untrust-inbound] policy 0 [Eudemon_A-policy-interzone-local-untrust-inbound-0] policy source 128.18.196.248 0 [Eudemon_A-policy-interzone-local-untrust-inbound-0] policy destination 192.13.2.1 0 [Eudemon_A-policy-interzone-local-untrust-inbound-0] action permit [Eudemon_A-policy-interzone-local-untrust-inbound-0] quit [Eudemon_A-policy-interzone-local-untrust-inbound] quit

            2.

            配置 Eudemon8000E_A 的 GRE 隧道。 a. 配置 Tunnel 接口。
            华为公司,2014 版权所有 ~97~

            华为数通BRAS/防火墙/SRG维护宝典

            说明: Tunnel两端的IP地址应配置为同一网段。 Tunnel两端设置的识别关键字完全一致时才能通过验证。Tunnel两端可以都不配 置GRE Key,或者两端配置相同的key-number。
            [Eudemon_A] interface tunnel 1 [Eudemon_A-Tunnel1] tunnel-protocol gre [Eudemon_A-Tunnel1] ip address 10.1.2.1 255.255.255.0 [Eudemon_A-Tunnel1] source GigabitEthernet1/0/1 [Eudemon_A-Tunnel1] destination 128.18.196.248 [Eudemon_A-Tunnel1] quit

            b.

            将 Tunnel 接口加入 Untrust 区域。
            [Eudemon_A] firewall zone untrust [Eudemon_A-zone-untrust] add interface tunnel 1 [Eudemon_A-zone-untrust] quit

            c.

            配置 Tunnel 接口的 OSPF 协议。
            [Eudemon_A]ospf 2 [Eudemon_A-ospf-2]area 0 [Eudemon_A-ospf-2-area-0.0.0.0]network 10.1.1.0 0.0.0.255 [Eudemon_A-ospf-2-area-0.0.0.0]network 10.1.2.0 0.0.0.255

            3.

            配置 Eudemon8000E_C 的的基础配置。包括配置接口 IP 地址、接口加入安全区域、域 间安全策略 a. 配置接口 GigabitEthernet 1/0/0 的 IP 地址,并将接口 GigabitEthernet 1/0/0 加入 Trust 区域。
            <Eudemon_C> system-view [Eudemon_C] interface GigabitEthernet 1/0/0 [Eudemon_C-GigabitEthernet1/0/0] ip address 10.1.3.1 24 [Eudemon_C-GigabitEthernet1/0/0] quit [Eudemon_C] firewall zone trust

            ~98~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            [Eudemon_C-zone-trust] add interface GigabitEthernet 1/0/0 [Eudemon_C-zone-trust] quit

            b.

            配置接口 GigabitEthernet 1/0/1 的 IP 地址,并将接口 GigabitEthernet 1/0/1 加入 Untrust 区域。
            [Eudemon_C] interface GigabitEthernet 1/0/1 [Eudemon_C-GigabitEthernet1/0/1] ip address 128.18.196.248 24 [Eudemon_C-GigabitEthernet1/0/1] quit [Eudemon_C] firewall zone untrust [Eudemon_C-zone-untrust] add interface GigabitEthernet 1/0/1 [Eudemon_C-zone-untrust] quit

            c.

            配置域间安全策略。 1. 配置 Trust 域与 Untrust 域之间的域间安全策略。
            [Eudemon_C] policy interzone trust untrust outbound [Eudemon_C-policy-interzone-trust-untrust-outbound] policy 0 [Eudemon_C-policy-interzone-trust-untrust-outbound-0] policy source 10.1.3.0 0.0.0.255 [Eudemon_C-policy-interzone-trust-untrust-outbound-0] policy destination 10.1.1.0 0.0.0.255 [Eudemon_C-policy-interzone-trust-untrust-outbound-0] action permit [Eudemon_C-policy-interzone-trust-untrust-outbound-0] quit [Eudemon_C-policy-interzone-trust-untrust-outbound] quit [Eudemon_C] policy interzone trust untrust inbound [Eudemon_C-policy-interzone-trust-untrust-inbound] policy 0 [Eudemon_C-policy-interzone-trust-untrust-inbound-0] policy source 10.1.1.0 0.0.0.255 [Eudemon_C-policy-interzone-trust-untrust-inbound-0] policy destination 10.1.3.0 0.0.0.255 [Eudemon_C-policy-interzone-trust-untrust-inbound-0] action permit [Eudemon_C-policy-interzone-trust-untrust-inbound-0] quit [Eudemon_C-policy-interzone-trust-untrust-inbound] quit

            2. 配置 Local 域与 Untrust 域之间的域间安全策略。

            华为公司,2014 版权所有

            ~99~

            华为数通BRAS/防火墙/SRG维护宝典

            配置 Local 域和 Untrust 域的域间安全策略的目的为允许 GRE 隧道建立。
            [Eudemon_C] policy interzone local untrust outbound [Eudemon_C-policy-interzone-local-untrust-outbound] policy 0 [Eudemon_C-policy-interzone-local-untrust-outbound-0] policy source 128.18.196.248 0 [Eudemon_C-policy-interzone-local-untrust-outbound-0] policy destination 192.13.2.1 0 [Eudemon_C-policy-interzone-local-untrust-outbound-0] action permit [Eudemon_C-policy-interzone-local-untrust-outbound-0] quit [Eudemon_C-policy-interzone-local-untrust-outbound] quit [Eudemon_C] policy interzone local untrust inbound [Eudemon_C-policy-interzone-local-untrust-inbound] policy 0 [Eudemon_C-policy-interzone-local-untrust-inbound-0] policy source 192.13.2.1 0 [Eudemon_C-policy-interzone-local-untrust-inbound-0] policy destination 128.18.196.248 0 [Eudemon_C-policy-interzone-local-untrust-inbound-0] action permit [Eudemon_C-policy-interzone-local-untrust-inbound-0] quit [Eudemon_C-policy-interzone-local-untrust-inbound] quit

            4.

            配置 Eudemon8000E_C 的 GRE 隧道。 a. 配置 Tunnel 接口。
            [Eudemon_C] interface tunnel 1 [Eudemon_C-Tunnel1] tunnel-protocol gre [Eudemon_C-Tunnel1] ip address 10.1.2.2 255.255.255.0 [Eudemon_C-Tunnel1] source GigabitEthernet1/0/2 [Eudemon_C-Tunnel1] destination 192.13.2.1 [Eudemon_C-Tunnel1] quit

            b.

            将 Tunnel 接口加入 Untrust 区域。
            [Eudemon_C] firewall zone untrust [Eudemon_C-zone-untrust] add interface tunnel 1 [Eudemon_C-zone-untrust] quit

            ~100~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            c.

            配置 Tunnel 接口的 OSPF 协议。
            [Eudemon_C]ospf 2 [Eudemon_C-ospf-2]area 0 [Eudemon_C-ospf-2-area-0.0.0.0]network 10.1.3.0 0.0.0.255 [Eudemon_C-ospf-2-area-0.0.0.0]network 10.1.2.0 0.0.0.255

            5.

            配置 Eudemon8000E_B。 a. 配置接口 GigabitEthernet 1/0/0 的 IP 地址,并将接口 GigabitEthernet 1/0/0 加入 Trust 区域。
            <Eudemon_B> system-view [Eudemon_B] interface GigabitEthernet 1/0/0 [Eudemon_B-GigabitEthernet1/0/0] ip address 128.18.196.200 24 [Eudemon_B-GigabitEthernet1/0/0] quit [Eudemon_B] firewall zone trust [Eudemon_B-zone-trust] add interface GigabitEthernet 1/0/0 [Eudemon_B-zone-trust] quit

            b.

            配置接口 GigabitEthernet 1/0/1 的 IP 地址,并将接口 GigabitEthernet 1/0/1 加入 Untrust 区域。
            [Eudemon_B] interface GigabitEthernet 1/0/1 [Eudemon_B-GigabitEthernet1/0/1] ip address 192.13.2.2 24 [Eudemon_B-GigabitEthernet1/0/1] quit [Eudemon_B] firewall zone untrust [Eudemon_B-zone-untrust] add interface GigabitEthernet 1/0/1 [Eudemon_B-zone-untrust] quit

            c.

            配置域间安全策略。 1. 配置 Trust 域与 Untrust 域之间的域间安全策略。
            [Eudemon_B] policy interzone trust untrust outbound [Eudemon_B-policy-interzone-trust-untrust-outbound] policy 0 [Eudemon_B-policy-interzone-trust-untrust-outbound-0] policy source 10.1.3.0 0.0.0.255

            华为公司,2014 版权所有

            ~101~

            华为数通BRAS/防火墙/SRG维护宝典 [Eudemon_B-policy-interzone-trust-untrust-outbound-0] policy destination 10.1.1.0 0.0.0.255 [Eudemon_B-policy-interzone-trust-untrust-outbound-0] action permit [Eudemon_B-policy-interzone-trust-untrust-outbound-0] quit [Eudemon_B-policy-interzone-trust-untrust-outbound] quit [Eudemon_B] policy interzone trust untrust inbound [Eudemon_B-policy-interzone-trust-untrust-inbound] policy 0 [Eudemon_B-policy-interzone-trust-untrust-inbound-0] policy source 10.1.1.0 0.0.0.255 [Eudemon_B-policy-interzone-trust-untrust-inbound-0] policy destination 10.1.3.0 0.0.0.255 [Eudemon_B-policy-interzone-trust-untrust-inbound-0] action permit [Eudemon_B-policy-interzone-trust-untrust-inbound-0] quit [Eudemon_B-policy-interzone-trust-untrust-inbound] quit

            d.

            配置 VPN 骨干网的 IGP。
            [Eudemon_B] ospf 1 [Eudemon_B-ospf-1] area 0 [Eudemon_B-ospf-1-area-0.0.0.0] network 192.13.2.0 0.0.0.255 [Eudemon_B-ospf-1-area-0.0.0.0] network 128.18.196.0 0.0.0.255 [Eudemon_B-ospf-1-area-0.0.0.0] quit [Eudemon_B-ospf-1] quit

            结果验证
            1. 配置完成 VPN 骨干网的 IGP 后, 在 Eudemon8000E_A 和 Eudemon8000E_C 上执行 display ip routing-table 命令, 可以看到它们能够学到去往对端接口网段地址的 OSPF 路由。 # 以 Eudemon8000E_A 的显示为例。
            [Eudemon_A] display ip routing-table Routing Table: public net Destination/Mask 10.1.1.0/24 10.1.1.1/32 127.0.0.0/8 127.0.0.1/32 Protocol Pre DIRECT DIRECT DIRECT DIRECT 0 0 0 0 Cost 0 0 0 0 Nexthop 10.1.1.1 127.0.0.1 127.0.0.1 127.0.0.1 Interface GE1/0/0 InLoopBack0 InLoopBack0 InLoopBack0

            ~102~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典 OSPF DIRECT DIRECT

            2 Eudemon 8000E系列常见配置及故障案例 10 0 0 2 0 0 192.13.2.2 192.13.2.1 127.0.0.1 GE1/0/1 GE1/0/1 InLoopBack0

            128.18.196.0/24 192.13.2.0/24 192.13.2.1/32

            2. 配置完成 Tunnel 接口后,Tunnel 接口状态变为 Up,Tunnel 接口之间可以 Ping 通。 # 以 Eudemon8000E_A 的显示为例:
            [Eudemon_A] ping -a 10.1.2.1 10.1.2.2 20:13:26 2009/10/14

            PING 10.1.2.2: 56 data bytes, press CTRL+C to break Reply from 10.1.2.2: bytes=56 Sequence=1 ttl=255 time=1 ms Reply from 10.1.2.2: bytes=56 Sequence=2 ttl=255 time=1 ms Reply from 10.1.2.2: bytes=56 Sequence=3 ttl=255 time=1 ms Reply from 10.1.2.2: bytes=56 Sequence=4 ttl=255 time=1 ms Reply from 10.1.2.2: bytes=56 Sequence=5 ttl=255 time=1 ms

            --- 10.1.2.2 ping statistics --5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 1/1/1 ms

            3. 全部配置完成后,在 Eudemon8000E_A 和 Eudemon8000E_C 上执行 display ip routing-table 命令,可以看到经过 Tunnel 接口去往对端用户侧网段(10.1.3.0)的 OSPF 路由,并且,去往 Tunnel 目的端物理地址(131.108.5.0/24)的路由下一跳不 是 Tunnel 接口。 # 以 Eudemon8000E_A 的显示为例。
            [Eudemon_A] display ip routing-table Routing Table: public net Destination/Mask 10.1.1.0/24 10.1.1.1/32 10.1.2.0/24 Protocol Pre DIRECT DIRECT DIRECT 0 0 0 Cost 0 0 0 Nexthop 10.1.1.1 127.0.0.1 10.1.2.1 Interface GE1/0/0 InLoopBack0 Tunnel1

            华为公司,2014 版权所有

            ~103~

            华为数通BRAS/防火墙/SRG维护宝典 10.1.2.1/32 10.1.3.0/24 127.0.0.0/8 127.0.0.1/32 128.18.196.0/24 192.13.2.0/24 192.13.2.1/32 DIRECT OSPF DIRECT DIRECT OSPF DIRECT DIRECT 0 10 0 0 10 0 0 0 1563 0 0 2 0 0 127.0.0.1 10.1.2.2 127.0.0.1 127.0.0.1 192.13.2.2 192.13.2.1 127.0.0.1 InLoopBack0 Tunnel1 InLoopBack0 InLoopBack0 GE1/0/1 GE1/0/1 InLoopBack0

            4. PC1 和 PC2 可以相互 Ping 通。 5. 执行命令 display interface tunnel 1 , 查看 Tunnel 接口的工作状态。 配置成功后, 显示 Tunnel 接口的发送和接收报文信息。

            2.3

            (主备)示例:业务接口工作在三层,上下行连接路由器

            介绍业务接口工作在三层,上下行连接路由器场景下的主备备份双机热备份配置。

            组网需求
            Eudemon8000E 作为安全设备被部署在业务节点上。其中上下行设备均是路由器, Eudemon8000E_A、Eudemon8000E_B 以主备备份方式工作,上下行业务接口工作在三层。 组网图如图 1 所示,具体描述如下: 图1 业务接口工作在三层,上下行连接路由器的组网图

            ~104~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            ?

            两台 Eudemon8000E 和路由器之间运行动态路由 OSPF 协议, 路由器根据路由计算结果 将业务报文送到主 Eudemon8000E 上。

            ?

            配置 HRP 监控上下行业务接口状态。

            网络规划如下: ? 需要保护的网段地址为 1.1.1.0/24, 与 Eudemon8000E 的 GigabitEthernet 1/0/1 接口相连, 部署在 Trust 区域。 ? 外部网络与 Eudemon8000E 的 GigabitEthernet 1/0/3 接口相连,部署在 Untrust 区域。

            数据规划
            Eudemon8000E Eudemon8000E_A 接口 GigabitEthernet 1/0/1 GigabitEthernet 1/0/3 IP地址 10.100.10.2/24 10.100.30.2/24

            华为公司,2014 版权所有

            ~105~

            华为数通BRAS/防火墙/SRG维护宝典

            Eudemon8000E

            接口 GigabitEthernet 1/0/2

            IP地址 10.100.50.2/24 10.100.20.2/24 10.100.40.2/24 10.100.50.3/24

            Eudemon8000E_B

            GigabitEthernet 1/0/1 GigabitEthernet 1/0/3 GigabitEthernet 1/0/2

            配置要点
            1. Eudemon8000E 上、下行业务口工作在三层,需要配置 IP 地址;两台 Eudemon8000E 与 上、下行路由器间运行 OSPF 协议,通过 OSPF 将业务流量送到不同的 Eudemon8000E 设备上。 2. 设备上需要开启根据 HRP 状态调整 OSPF 的 COST 值功能。 上下行路由器根据不同的 cost 值,将流量送到主用设备上。 3. 配置 HRP 监控上、下行业务接口状态。当某个业务口 down 时,可以影响相应 VGMP 管 理组的优先级,产生状态的切换,从而影响流量的倒换。 4. Eudemon8000E 和上、下行路由器运行 OSPF 动态路由协议,OSPF 区域尽量只包含 Eudemon8000E 和路由器,这样路由收敛速度快,Eudemon8000E 发生主备倒换后 OSPF 能快速收敛。 同时不要引入心跳口 IP 地址的路由,保证心跳口不转发业务报文。 5. 开启 HRP 功能,对两台 Eudemon8000E 的状态和关键配置进行实时备份,以避免流量 倒换后,业务中断。

            操作步骤
            1. 完成 Eudemon8000E_A 上、下行接口的配置。

            ~106~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            # 配置 GigabitEthernet 1/0/1 的 IP 地址。
            <Eudemon_A> system-view [Eudemon_A] interface GigabitEthernet 1/0/1 [Eudemon_A-GigabitEthernet1/0/1] ip address 10.100.10.2 24 [Eudemon_A-GigabitEthernet1/0/1] quit

            # 配置 GigabitEthernet 1/0/1 加入 Trust 区域。
            [Eudemon_A] firewall zone trust [Eudemon_A-zone-trust] add interface GigabitEthernet 1/0/1 [Eudemon_A-zone-trust] quit

            # 配置 GigabitEthernet 1/0/3 的 IP 地址。
            [Eudemon_A] interface GigabitEthernet 1/0/3 [Eudemon_A-GigabitEthernet1/0/3] ip address 10.100.30.2 24 [Eudemon_A-GigabitEthernet1/0/3] quit

            # 配置 GigabitEthernet 1/0/3 加入 Untrust 区域。
            [Eudemon_A] firewall zone untrust [Eudemon_A-zone-untrust] add interface GigabitEthernet 1/0/3 [Eudemon_A-zone-untrust] quit

            # 配置 hrp track 上、下行接口功能。
            [Eudemon_A] hrp track interface GigabitEthernet 1/0/1 [Eudemon_A] hrp track interface GigabitEthernet 1/0/3

            # 在 Eudemon8000E_A 上配置运行 OSPF 动态路由协议。
            [Eudemon_A] ospf 101 [Eudemon_A-ospf-101] area 0 [Eudemon_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255 [Eudemon_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255 [Eudemon_A-ospf-101-area-0.0.0.0] quit [Eudemon_A-ospf-101] quit

            注意:

            华为公司,2014 版权所有

            ~107~

            华为数通BRAS/防火墙/SRG维护宝典

            配置OSPF动态路由协议的时候,请准确配置域间安全策略,避免阻塞正常的路由协议 报文。 # 配置根据 HRP 状态调整 OSPF 相关的 COST 值命令功能。
            [Eudemon_A] hrp adjust ospf-cost enable

            2.

            完成 Eudemon8000E_A 的心跳口配置。 # 配置 GigabitEthernet 1/0/2 的 IP 地址。
            [Eudemon_A] interface GigabitEthernet 1/0/2 [Eudemon_A-GigabitEthernet1/0/2] ip address 10.100.50.2 24 [Eudemon_A-GigabitEthernet1/0/2] quit

            # 配置 GigabitEthernet 1/0/2 加入 DMZ 区域。
            [Eudemon_A] firewall zone dmz [Eudemon_A-zone-dmz] add interface GigabitEthernet 1/0/2 [Eudemon_A-zone-dmz] quit

            # 指定心跳口。
            [Eudemon_A] hrp interface GigabitEthernet 1/0/2 remote 10.100.50.3

            3.

            开启 HRP 功能。
            [Eudemon_A] hrp enable

            # 配置 VGMP 管理组的抢占功能为开启状态,且抢占延迟大于故障恢复后 OSPF 协议的 收敛时间。

            说明: 根据实际组网情况分析故障恢复后OSPF协议的收敛时间,必须配置此抢占延迟大于 OSPF的收敛时间。
            HRP_M[Eudemon_A] hrp preempt delay 60

            4.

            配置 Eudemon8000E_B。

            ~108~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            Eudemon8000E_B 和 Eudemon8000E_A 的配置基本相同,不同之处在于: ? Eudemon8000E_B 各接口的 IP 地址与 Eudemon8000E_A 各接口的 IP 地址不相同, 且 Eudemon8000E_B 和 Eudemon8000E_A 对应的业务接口的 IP 地址不能在同一 网段。 ? 在 Eudemon8000E_B 上配置运行 OSPF 动态路由协议时,应该发布与 Eudemon8000E_B 的业务接口直接相连的网段的路由。 ? 在 Eudemon8000E_B 的系统视图下配置命令 hrp standby-device,指定 Eudemon8000E_B 为备设备。 5. 在 Eudemon8000E_A 上启动配置命令的自动备份并配置 Trust 区域和 Untrust 区域的域 间安全策略规则。

            说明: 当Eudemon8000E_A和Eudemon8000E_B都启动HRP功能完成后,在Eudemon8000E_A 上开启自动备份,这样在Eudemon8000E_A上配置的域间安全策略规则将自动备份到 Eudemon8000E_B,不需要再在Eudemon8000E_B上单独配置。 # 启动自动备份功能。
            HRP_M[Eudemon_A] hrp auto-sync

            # 配置 Trust 区域和 Untrust 区域的域间安全策略规则。
            HRP_M[Eudemon_A] policy interzone trust untrust outbound HRP_M[Eudemon_A-policy-interzone-trust-untrust-outbound] policy 1 HRP_M[Eudemon_A-policy-interzone-trust-untrust-outbound-1] policy source 1.1.1.0 mask 24 HRP_M[Eudemon_A-policy-interzone-trust-untrust-outbound-1] action permit

            6.

            配置路由器。 在路由器上配置 OSPF,具体配置命令请参考路由器的相关文档。
            华为公司,2014 版权所有 ~109~

            华为数通BRAS/防火墙/SRG维护宝典

            结果验证
            1. 在 Eudemon8000E_A 上执行 display hrp state 命令,检查当前 HRP 的状态,显示以 下信息表示 HRP 建立成功。
            HRP_M[Eudemon_A] display hrp state Role: active, peer: standby Running priority: 49012, peer: 49012 Core state: normal, peer: normal Backup channel usage: 3% Stable time: 0 days, 5 hours, 1 minutes

            2. PC2 作为 HTTP 服务器位于 Untrust 区域,对外提供 HTTP 服务。在 Trust 区域的 PC1 端访问 Untrust 区域的 HTTP 服务器, 并进行文件的下载操作。 分别在 Eudemon8000E_A 和 Eudemon8000E_B 上检查会话。
            HRP_M[Eudemon_A] display firewall session table verbose Current total sessions: 1 http: VPN: public --> public Zone: trust --> untrust Slot: 4 CPU: 0 TTL: 00:00:10 Left: 00:00:03 Interface: GigabitEthernet1/0/3 NextHop: 10.100.30.9 <--packets: 908 bytes: 7548 -->packets: 23 bytes: 306 acl: 2000 rule: 0

            1.1.1.3:2048 --> 2.2.2.3:80

            HRP_S[Eudemon_B] display firewall session table verbose Current total sessions: 1 http: VPN: public --> public Zone: trust --> untrust Remote Slot: 4 CPU: 0 TTL: 00:00:10 Left: 00:00:03 Interface: GigabitEthernet1/0/3 NextHop: 10.100.30.9 <--packets: 908 bytes: 7548 -->packets: 23 bytes: 306 acl: 2000 rule: 0

            1.1.1.3:2048 --> 2.2.2.3:80

            可以看出 Eudemon8000E_B 上存在带有 Remote 标记的会话,表示配置双机热备份功能 后,会话备份成功。
            ~110~ 华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            常见问题
            注意 Eudemon8000E 的心跳口不能对外发布 OSPF 路由。

            2.4

            (负载分担)示例:业务接口工作在三层,上下行连接路由 器

            介绍业务接口工作在三层,上下行连接路由器场景下的负载分担双机热备份配置。

            组网需求
            Eudemon8000E 作为安全设备被部署在业务节点上。其中上下行设备均是路由器, Eudemon8000E_A、Eudemon8000E_B 以负载分担方式工作,业务接口工作在三层。 两台 Eudemon8000E 和路由器之间运行动态路由 OSPF 协议,由路由器根据路由计算结果,将 业务报文送到两台 Eudemon8000E 上。 组网图如图 1 所示,具体描述如下: 图1 业务接口工作在三层,上下行连接路由器的组网图

            华为公司,2014 版权所有

            ~111~

            华为数通BRAS/防火墙/SRG维护宝典

            网络规划如下: ? 需要保护的网段地址为 1.1.1.0/24, 与 Eudemon8000E 的 GigabitEthernet 1/0/1 接口相连, 部署在 Trust 区域。 ? 外部网络与 Eudemon8000E 的 GigabitEthernet 1/0/3 接口相连,部署在 Untrust 区域。

            数据规划
            Eudemon8000E Eudemon8000E A 接口 GigabitEthernet 1/0/1 GigabitEthernet 1/0/3 GigabitEthernet 1/0/2 IP地址 10.100.10.2/24 10.100.30.2/24 10.100.50.2/24

            ~112~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            Eudemon8000E Eudemon8000E B

            接口 GigabitEthernet 1/0/1 GigabitEthernet 1/0/3 GigabitEthernet 1/0/2

            IP地址 10.100.20.2/24 10.100.40.2/24 10.100.50.3/24

            配置要点
            1. Eudemon8000E 上、下行业务口工作在三层,需要配置 IP 地址;两台 Eudemon8000E 与 上、下行路由器间运行 OSPF 协议,通过 OSPF 将业务流量送到不同的 Eudemon8000E 设备上。 2. 负载分担组网时,两台 Eudemon8000E 都要转发业务流量,可以通过在上、下行路由器 配置等价路由的方式,将业务流量通过 OSPF 分别送到两台 Eudemon8000E 上。当其中 一台 Eudemon8000E 发生故障时,OSPF 可以自动收敛,将业务送到没有故障的 Eudemon8000E 上。 3. Eudemon8000E 和上、下行路由器运行 OSPF 动态路由协议,OSPF 区域尽量只包含 Eudemon8000E 和路由器,这样路由收敛速度快,Eudemon8000E 发生主备倒换后 OSPF 能快速收敛。同时不要引入心跳口 IP 地址的路由,保证心跳口不转发业务报文。 4. 开启 HRP 功能, 对两台 Eudemon8000E 的状态和关键配置进行实时备份, 以避免流量倒 换后,业务中断。 5. 在 Eudemon8000E 上配置会话快速备份功能, 保证在来回路径不一致的情况下报文可以 正常转发。

            操作步骤
            1. 完成 Eudemon8000E_A 上、下行接口的配置。 # 配置 GigabitEthernet 1/0/1 的 IP 地址。

            华为公司,2014 版权所有

            ~113~

            华为数通BRAS/防火墙/SRG维护宝典 <Eudemon_A> system-view [Eudemon_A] interface GigabitEthernet 1/0/1 [Eudemon_A-GigabitEthernet1/0/1] ip address 10.100.10.2 24 [Eudemon_A-GigabitEthernet1/0/1] quit

            # 配置 GigabitEthernet 1/0/1 加入 Trust 区域。
            [Eudemon_A] firewall zone trust [Eudemon_A-zone-trust] add interface GigabitEthernet 1/0/1 [Eudemon_A-zone-trust] quit

            # 配置 GigabitEthernet 1/0/3 的 IP 地址。
            [Eudemon_A] interface GigabitEthernet 1/0/3 [Eudemon_A-GigabitEthernet1/0/3] ip address 10.100.30.2 24 [Eudemon_A-GigabitEthernet1/0/3] quit

            # 配置 GigabitEthernet 1/0/3 加入 Untrust 区域。
            [Eudemon_A] firewall zone untrust [Eudemon_A-zone-untrust] add interface GigabitEthernet 1/0/3 [Eudemon_A-zone-untrust] quit

            # 配置 HRP 监控上、下行接口功能。
            [Eudemon_A] hrp track interface GigabitEthernet 1/0/1 [Eudemon_A] hrp track interface GigabitEthernet 1/0/3

            # 在 Eudemon8000E_A 上配置运行 OSPF 动态路由协议。
            [Eudemon_A] ospf 101 [Eudemon_A-ospf-101] area 0 [Eudemon_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255 [Eudemon_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255 [Eudemon_A-ospf-101-area-0.0.0.0] quit [Eudemon_A-ospf-101] quit

            注意: 配置OSPF动态路由协议的时候,请准确配置域间的安全策略,避免阻塞正常的路由协

            ~114~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            议报文。 # 配置根据 HRP 状态调整 OSPF 的相关 COST 值的功能。
            [Eudemon_A] hrp adjust ospf-cost enable

            2.

            完成 Eudemon8000E_A 的心跳口配置。 # 配置 GigabitEthernet 1/0/2 的 IP 地址。
            [Eudemon_A] interface GigabitEthernet 1/0/2 [Eudemon_A-GigabitEthernet1/0/2] ip address 10.100.50.2 24 [Eudemon_A-GigabitEthernet1/0/2] quit

            # 配置 GigabitEthernet 1/0/2 加入 DMZ 区域。
            [Eudemon_A] firewall zone dmz [Eudemon_A-zone-dmz] add interface GigabitEthernet 1/0/2 [Eudemon_A-zone-dmz] quit

            # 指定心跳口。
            [Eudemon_A] hrp interface GigabitEthernet 1/0/2 remote 10.100.50.3

            3.

            开启 HRP 功能。
            [Eudemon_A] hrp enable

            4.

            开启会话快速备份功能。
            HRP_M[Eudemon_A] hrp mirror session enable

            5.

            配置 Eudemon8000E_B。 Eudemon8000E_B 和 Eudemon8000E_A 的配置基本相同,不同之处在于: ? Eudemon8000E_B 各接口的 IP 地址与 Eudemon8000E_A 各接口的 IP 地址不相同, 且 Eudemon8000E_B 和 Eudemon8000E_A 对应的业务接口的 IP 地址不能在同一 网段。

            华为公司,2014 版权所有

            ~115~

            华为数通BRAS/防火墙/SRG维护宝典

            ?

            在 Eudemon8000E_B 上配置运行 OSPF 动态路由协议时,应该发布与 Eudemon8000E_B 的业务接口直接相连的网段的路由。

            6.

            在 Eudemon8000E_A 上启动配置命令的自动备份并配置 Trust 区域和 Untrust 区域的域 间安全策略规则。

            说明: 当Eudemon8000E_A和Eudemon8000E_B都启动HRP完成后,在Eudemon8000E_A上开 启自动备份,这样在Eudemon8000E_A上配置的域间安全策略规则都将自动备份到 Eudemon8000E_B,不需要再在Eudemon8000E_B上单独配置。 # 启动自动备份功能。
            HRP_M[Eudemon_A] hrp auto-sync

            # 配置 Trust 区域和 Untrust 区域的域间安全策略规则。
            HRP_M[Eudemon_A] policy interzone trust untrust outbound HRP_M[Eudemon_A-policy-interzone-trust-untrust-outbound] policy 1 HRP_M[Eudemon_A-policy-interzone-trust-untrust-outbound-1] policy source 1.1.1.0 mask 24 HRP_M[Eudemon_A-policy-interzone-trust-untrust-outbound-1] action permit

            7.

            配置路由器。 在路由器上配置 OSPF,具体配置命令请参考路由器的相关文档。

            结果验证
            1. 在 Eudemon8000E A 上执行 display hrp state 命令,检查当前 HRP 的状态,显示以 下信息表示 HRP 建立成功。
            HRP_M[Eudemon_A] display hrp state Role: active, peer: active Running priority: 51008, peer: 51008 Core state: normal, peer: normal

            ~116~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            Backup channel usage: 0% Stable time: 0 days, 18 hours, 41 minutes

            2. PC2 作为服务器位于 Untrust 区域,供外部用户访问。在 Trust 区域的 PC1 端访问 Untrust 区域的 HTTP 服务器,并进行文件的下载操作。分别在 Eudemon8000E_A 和 Eudemon8000E_B 上检查会话。
            HRP_M[Eudemon_A] display firewall session table Current total sessions: 1 http: VPN: public --> public Zone: trust --> untrust Slot: 4 CPU: 0 TTL: 00:00:10 Left: 00:00:03 Interface: GigabitEthernet1/0/3 NextHop: 10.100.30.9 <--packets: 908 bytes: 7548 -->packets: 23 bytes: 306 acl: 2000 rule: 0

            1.1.1.3:2048 --> 2.2.2.3:80 HRP_S[Eudemon_B] display firewall session table Current total sessions: 1 http: VPN: public --> public Zone: trust --> untrust Remote Slot: 4 CPU: 0 TTL: 00:00:10 Left: 00:00:03 Interface: GigabitEthernet1/0/3 NextHop: 10.100.30.9 <--packets: 0 bytes: 0 -->packets: 0 bytes: 0 acl: 2000 rule: 0

            1.1.1.3:2048 --> 2.2.2.3:80

            可以看出 Eudemon8000E_B 上存在带有 Remote 标记的会话,表示配置双机热备份功能 后,会话备份成功。

            常见问题
            注意 Eudemon8000E 的心跳口不能对外发布 OSPF 路由。

            2.5

            PC 通过 L2TP 拨号到 LNS 失败

            介绍 L2TP 作为 VPN 的实现方式、且 Eudemon8000E 作为 LNS 时,远端 PC 无法拨号到 Eudemon8000E 的故障处理办法。

            华为公司,2014 版权所有

            ~117~

            华为数通BRAS/防火墙/SRG维护宝典

            现象描述
            典型组网如图 1 所示,出差员工或者分支机构员工通过 L2TP 访问公司总部的资源, Eudemon8000E 作为公司总部的对外出口网关,在使用 PC 进行拨号时,拨号失败。 图1 Client-Initialized方式的L2TP组网图

            可能原因
            原因一:客户端 PC Ping 不通 LNS。 原因二:L2TP 隧道验证失败。 原因三:隧道名称配置错误。 原因四:PPP 验证失败,客户端 PC 和 LNS 上设置的 PPP 验证模式不一致。 原因五:客户端 PC 无法从 LNS 获取为它分配的 IP 地址。

            定位思路
            图2 PC通过L2TP拨号失败故障

            ~118~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            处理步骤
            ? 原因一:客户端 PC Ping 不通 LNS。 1. 在 PC 上执行 Ping 命令,检测与 Eudemon8000E 是否连通。

            华为公司,2014 版权所有

            ~119~

            华为数通BRAS/防火墙/SRG维护宝典

            ?

            当屏显信息如下所示时,表示 PC 与 Eudemon8000E 通信正常,进行原因二 中的步骤排查。
            <PC> C:\Documents and Settings\Administrator> ping 10.27.144.125

            Pinging 10.27.144.125 with 32 bytes of data:

            Reply from 10.27.144.125: bytes=32 time=30ms TTL=128 Reply from 10.27.144.125: bytes=32 time<1ms TTL=128 Reply from 10.27.144.125: bytes=32 time<1ms TTL=128 Reply from 10.27.144.125: bytes=32 time<1ms TTL=128

            Ping statistics for 10.27.144.125: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 30ms, Average = 7ms

            ?

            当屏显信息如下所示时表示 PC 与 Eudemon8000E 无法连通,执行 2。
            <PC> C:\Documents and Settings\Administrator> ping 10.27.144.125

            Pinging 10.27.144.125 with 32 bytes of data:

            Request timed out. Request timed out. Request timed out. Request timed out.

            Ping statistics for 10.27.144.125: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

            2. ?

            排查 Eudemon8000E 与 PC 不能 Ping 通故障, 具体处理方法请参见处理路由故障。

            原因二:L2TP 隧道验证失败。

            ~120~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            1.

            查看 LNS 是否启用隧道验证,如果启用隧道验证,将会显示隧道验证方式和密 文形式的密码。 如果不知道密文密码对应的明文密码,需要重新设置隧道验证密码。
            <Eudemon8000E> display current-configuration configuration l2tp # l2tp-group 99 allow l2tp virtual-template 99 remote lac # l2tp-group 100 allow l2tp virtual-template 99 remote l2tp tunnel password cipher %$%$|r$1-#D^f=;1V'![g~f0,/&z%$%$ # return

            2.

            检查 LNS 和拨号客户端是否同时启用隧道验证。 ? ? 如果 LNS 和拨号客户端同时启用隧道验证,执行 3。 如果 LNS 启用隧道验证, 而客户端没有启用, 在拨号客户端启用隧道验证, 并输入隧道验证密码。隧道验证密码必须与 LNS 上配置的隧道验证密码相 同。

            3.

            检查拨号客户端配置的隧道验证密码是否与 LNS 上配置的隧道验证密码相同。 ? ? 如果相同,则执行原因三。 如果不同,则在拨号客户端重新输入隧道验证密码。

            ?

            原因三:隧道名称配置错误。 1. 查看客户端配置的隧道名称, 以华为公司的 Secoway VPN Client 软件为例, 如图 3 所示。 图3 L2TP客户端示意图

            华为公司,2014 版权所有

            ~121~

            华为数通BRAS/防火墙/SRG维护宝典

            2.

            查看 LNS 上是否有匹配的隧道名称。
            <Eudemon8000E> display current-configuration configuration l2tp # l2tp-group 99 allow l2tp virtual-template 99 remote lac # l2tp-group 100 allow l2tp virtual-template 99 remote l2tp tunnel password cipher %$%$|r$1-#D^f=;1V'![g~f0,/&z%$%$ # return

            ? ?

            如果匹配,执行原因四。 如果不匹配,请在 L2TP Group 视图下使用 allow l2tp 命令指定匹配的隧道 名称。

            ?

            原因四:PPP 验证失败,客户端 PC 和 LNS 上设置的 PPP 验证模式不一致。 1. 查看拨号用户在客户端拨号工具中配置的 PPP 验证模式。

            ~122~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            以华为公司的 Secoway VPN Client 软件为例。如图 3 所示,PC 客户端设置的隧 道名称为“l2tp”,认证模式为“PAP”。 2. 在 LNS 上查看与隧道“l2tp”绑定的虚拟模板。
            <Eudemon8000E> display current-configuration configuration l2tp # l2tp-group 99 allow l2tp virtual-template 99 remote lac # l2tp-group 100 allow l2tp virtual-template 99 remote l2tp tunnel password cipher %$%$|r$1-#D^f=;1V'![g~f0,/&z%$%$ # return

            从显示信息可以看出,隧道“l2tp”使用的 L2TP Group 是 100,隧道“l2tp” 绑定的虚拟模板为 Virtual Template 99。 3. 查看 Virtual Template 99 使用的 PPP 认证模式。
            <Eudemon8000E> system-view Enter system view, return user view with Ctrl+Z. [Eudemon8000E] interface Virtual-Template 99 [Eudemon8000E-Virtual-Template99] display this # interface Virtual-Template99 ppp authentication-mode chap ip address 99.99.99.24 255.255.255.0 remote address pool 1 # return

            从显示信息可以看出,LNS 上设置的 PPP 验证模式为“CHAP”。 4. 判断 LNS 的 Virtual Template 配置的 PPP 验证方式与拨号客户端配置是否一致。

            华为公司,2014 版权所有

            ~123~

            华为数通BRAS/防火墙/SRG维护宝典

            ? ?

            如果一致,执行原因五。 如果不一致,重新设置 PPP 验证方式,保证客户端使用与 LNS 相同的 PPP 验证方式。

            ?

            原因五:客户端 PC 无法从 LNS 获取为它分配的 IP 地址。 1. 查看 LNS 使用哪个地址池为隧道“l2tp”分配私网 IP 地址。
            <Eudemon8000E> system-view Enter system view, return user view with Ctrl+Z. [Eudemon8000E] interface Virtual-Template 99 [Eudemon8000E-Virtual-Template99] display this # interface Virtual-Template99 ppp authentication-mode chap ip address 99.99.99.24 255.255.255.0 remote address pool 1 # return

            从显示信息可以看出,LNS 使用地址池 1 为隧道 l2tp 分配私网 IP 地址。 2. 打开客户端拨号工具, 查看拨号用户所属的域, 如图 4 所示, 属于域 huawei.com。 图4 客户端拨号连接的属性

            ~124~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            3.

            查看域 huawei.com 引用的地址池。
            <Eudemon8000E> display ip pool domain huawei.com

            --------------------------------------------------------------------------Pool-number Pool-start-addr Used-addr-number Pool-end-addr Pool-length

            --------------------------------------------------------------------------1 100.0.0.2 100.0.0.99 98 3

            --------------------------------------------------------------------------Total pool number: 1

            4.

            查看域 huawei.com 引用的地址池是否与 Virtual Template 引用的地址池一致。

            华为公司,2014 版权所有

            ~125~

            华为数通BRAS/防火墙/SRG维护宝典

            ?

            如果不一致,在 Virtual Template 视图下执行 remote address pool 命令,修 改 Virtual Template 引用的地址池。

            ? 5.

            如果一致,执行 5。

            查看上线人数是否已经达到最大值。 ? Used-addr-number 字段的值等于 Pool-length 字段的值,说明上线人数已经 达到域最大用户接入数,需要等待当前 L2TP 客户下线后,修改域最大用 户接入数。 ? Used-addr-number 字段的值小于 Pool-length 字段的值,说明上线人数没有 达到域最大用户接入数。

            至此,如果故障仍未排除,请联系华为技术工程师。

            2.6

            IPSec 网关同时部署 NAT,由于 ACL 未匹配 NAT 后的地址造 成无法建立 IPSec 隧道

            现象描述
            如图 1 所示,Eudemon8000E_A 上同时部署 NAT 和 IPSec,Eudemon8000E_B 上部署 IPSec。配 置完成后 PC A 无法访问 Server。在 Eudemon8000E_A 和 Eudemon8000E_B 上查看发现没有建 立 IPSec 隧道。 图1 IPSec与NAT同时部署在一台Eudemon8000E上

            可能原因
            ?
            ~126~

            网络层连通性问题。
            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            ?

            配置错误导致 IPSec 隧道无法建立。 如果 NAT 和 IPSec 同时存在,那么 Eudemon8000E 会先处理 NAT 流程,再进行 IPSec 封 装。所以在配置 ACL 的时候,要注意发起流量的源地址应该匹配 NAT 后的地址,而不是 原有的私网地址。

            处理步骤
            1. 查看 Eudemon8000E_A 的 IPSec 配置。 在 Eudemon8000E_A 上执行如下命令:
            <Eudemon_A> display current-configuration acl number 3000 rule permit ip source 192.168.10.10 0 destination 210.200.10.10 0 acl number 3001 rule permit ip ike local-name Eudemon_A ike proposal 10 encryption-algorithm des authentication-method pre-shared authentication-algorithm sha1 dh group1 sa duration 86400 ike peer a ike-proposal 10 local-id-type fqdn pre-shared-key test remote-address 202.101.99.1 ipsec proposal pro1 esp authentication-algorithm sha1 esp encryption-algorithm des encapsulation tunnel ipsec policy a 100 isakmp security acl 3000

            华为公司,2014 版权所有

            ~127~

            华为数通BRAS/防火墙/SRG维护宝典 proposal pro1 ike-peer a nat address-group 0 211.103.200.2 211.103.200.2 firewall interzone trust untrust nat outbound 3001 address-group 0

            2.

            确认需要 IPSec 保护的数据流与需要进行 NAT 转换的数据流配置的策略是否冲突。 从 1 的显示信息中可以看出,所有从 PC1 上发出的流量都匹配了 NAT 策略,其中包括 需要经过 IPSec 隧道的流量。由于 Eudemon8000E 优先处理 NAT 流程,故在进行 IPSec 处理之前,PC1 访问对端的数据流会首先进行 NAT 转换。 ? 如果访问对端的数据流需要在 IPSec 封装前进行 NAT 转换,则把 ACL 3000 的 源地址改为 NAT 转换后的地址。
            [Eudemon_A] acl 3000 [Eudemon_A-acl-adv-3000] rule permit ip source 211.103.200.2 0 destination 210.200.10.10 0

            ?

            如果访问对端的数据流不需要在 IPSec 封装前进行 NAT 转换,定义用于 NAT 的 ACL,先 deny 掉需要 IPSec 加密的数据流,再定义用于 NAT 的数据流, 这里需 要 deny 的数据流必须和 IPSec 加密的数据流严格一致。
            [Eudemon_A] acl 3001 [Eudemon_A-acl-adv-3001] rule deny ip source 192.168.10.10 0 destination 210.200.10.10 0 [Eudemon_A-acl-adv-3001] rule permit ip [Eudemon_A-acl-adv-3001] quit [Eudemon_A] nat address-group 0 211.103.200.2 211.103.200.2 [Eudemon_A] firewall interzone trust untrust [Eudemon_A-interzone-trust-untrust] nat outbound 3001 address-group 0 [Eudemon_A-interzone-trust-untrust] quit

            建议与总结
            当IPSec与NAT配置在同一台防火墙时,要确认经过IPSec封装的数据流是否需要先进行NAT 转换。

            ~128~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            ? ?

            如果需要先进行 NAT 转换,则 ACL 规则要匹配 NAT 后的地址。 如果不需要进行 NAT 转换, 则 ACL 规则要匹配 NAT 前的地址。 且 NAT 策略中要拒绝将经 过 IPSec 隧道的数据流。

            2.7

            由于 ACL 的 rule 规则范围不一致,导致 IPSec 协商失败

            现象描述
            如图 1 所示,在 Eudemon8000E_A 与 Eudemon8000E_B 之间建立 IPSec VPN。配置完成后,从 PC1 ping PC2,无法 ping 通;从 PC2 ping PC1,可以 ping 通,并正常建立隧道。经检查, 各 PC 的 IP 地址、网关等基本配置无误;Eudemon8000E_A 和 Eudemon8000E_B 的 IP 地址、路 由、安全域和域间策略等基本配置都无误。 图1 IPSec VPN组网图

            从 PC1 ping PC2 后,在 Eudemon8000E_A 上执行 display ipsec statistics,查看 IPSec 统计信息。发现发送的数据都没有经过 IPSec 加密。
            [Eudemon_A] display ipsec statistics Spu board slot 4, Primary information: the security packet statistics: input/output security packets: 0/0 input/output security bytes: 0/0 input/output dropped security packets: 0/0 the encrypt packet statistics send sae:0, recv sae:0, send err:0

            华为公司,2014 版权所有

            ~129~

            华为数通BRAS/防火墙/SRG维护宝典 local cpu:0, other cpu:0, recv other cpu:0 intact packet:0, first slice:0, after slice:0 the decrypt packet statistics send sae:0, recv sae:0, send err:0 local cpu:0, other cpu:0, recv other cpu:0 reass first slice:0, after slice:0, len err:0 dropped security packet detail: no enough memory: 0, too long: 0 can't find SA: 0, wrong SA: 0 authentication: 0, replay: 0 front recheck: 0, after recheck: 0 change cpu enc: 0, dec change cpu: 0 change datachan: 0, fib search: 0 rcv enc(dec) form sae said err: 0, 0 send port: 0, output l3: 0, l2tp input: 0 negotiate about packet statistics: IP packet ok:0, err:0, drop:0 IP rcv other cpu IKE packet inbound toike:0, drop:0 ok:0, err:0

            IKE packet outbound ok:0, err:0 SoftExpr:0, HardExpr:0, DPDOper:0, SwapSa:0

            执行命令 display ike sa 命令,发现 IKE SA 两个阶段均未建立。
            [Eudemon_A] display ike sa remote 202.38.169.1 ----------------------------------------------------------------------------conn-id peer flag phase vpn

            -----------------------------------------------------------------------------

            执行命令display acl 3010,却发现Eudemon8000E_A中ACL的命中次数增长了。
            [Eudemon_A] display acl 3010 Advanced ACL 3010, 1 rule,not binding with vpn-instance Acl's step is 5 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 (6 times matched)

            ~130~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            再次从PC1 ping PC2,然后执行命令display acl 3010,却发现Eudemon8000E_A中ACL的命中 次数增长了。
            [Eudemon_A] display acl 3010 Advanced ACL 3010, 1 rule,not binding with vpn-instance Acl's step is 5 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 (12 times matched)

            从 PC2 ping PC1 后,执行命令 display ike sa 命令,查看 IKE SA 建立情况,发现两个阶 段均正常建立。
            [Eudemon_B] display ike sa Spu board slot 6, cpu 1 ike sa information: current ike sa number: 2 -----------------------------------------------------------connection-id peer vpn flag phase doi

            -----------------------------------------------------------0x9c60 0x9c5f 202.38.163.1 202.38.163.1 0 0 RD|ST|A v1:2 RD|ST|A v1:1 IPSec IPSec

            可能原因
            只有 IPSec 隧道未建立时,发起协商的报文会命中 ACL,导致命中次数增长,而接受协商一 端的 ACL 不会增长。当 IPSec 隧道建立成功后,匹配 ACL 的数据流不会导致 ACL 命中次数增 长。 从以上现象来看,Eudemon8000E_A 的 ACL 命中了需保护的数据流,但是尚未触发 IPSec 隧道 协商,而从 Eudemon8000E_B 却可以触发隧道协商。说明 ACL 本身配置并没有错误,推断可 能原因是 Eudemon8000E_A 上配置的 ACL 规则范围比 Eudemon8000E_B 上配置的 ACL 规则范围 大。

            处理步骤
            1. 在 Eudemon8000E_A 上执行 display acl 3010。

            acl number 3010

            华为公司,2014 版权所有

            ~131~

            华为数通BRAS/防火墙/SRG维护宝典 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255

            2.

            在 Eudemon8000E_B 上执行 display acl 3010。

            acl number 3010 rule 5 permit ip source 10.0.0.0 0.0.255.255 destination 10.1.1.0 0.0.0.255

            Eudemon8000E_B 上配置的 ACL 规则与 Eudemon8000E_A 配置的 ACL 规则没有镜像对称, Eudemon8000E_A 上配置的 ACL 规则范围比 Eudemon8000E_B 上配置的 ACL 规则范围大, 导致从 PC1 ping PC2 时业务不通。 3. 更改 Eudemon8000E_B 上的 ACL 的规则。 修改为如下规则:
            acl number 3010 rule 5 permit ip source 10.0.0.0 0.255.255.255 destination 10.1.1.0 0.0.0.255

            可以正常通信,问题解决。

            建议与总结
            建议 IPSec 隧道两端配置的 ACL 规则互为镜像。配置为镜像不是必要条件,不过实际应用中 配置成镜像更简单也不易出错。一般来讲,只要发起方配置的 ACL 规则范围比响应方小就可 以。采用 IKEv2 进行协商时,双方 ACL 规则取交集。

            2.8

            处理双机热备份业务不通故障

            双机热备份组网出现业务不通故障时,需要检查以下几方面:业务板状态和 温度是否正常、 是否开启会话快速备份、 NAT 地址池路由发布和配置是否正确 以及主备 Eudemon 的配置是否一致。
            现象描述

            双机热备份主备备份方式的典型组网如图 1 所示,正常情况下核心网内用户 能够通过手机访问 PC2 各种业务。

            ~132~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            Eudemon 业务不通或业务时断时续时,可能会出现以下几种现象:
            ? ? ? ? ?

            手机终端播放视频中断或缓冲时间过长。 FTP 下载业务中断。 长时间 Ping PC2 端时,会出现时断时续的现象。 上网浏览页面时中断。 QQ 或 MSN 登录不上或断线。

            图1 VRRP和OSPF结合的双机热备份组网图

            可能原因
            ? ? ? ?

            原因一:业务板故障,但 OSPF 状态正常,路由照常发布,导致会话丢失而丢弃 报文。 原因二: 没有配置会话快速备份, 报文来回路径不一致时导致会话丢失而丢弃报 文。 原因三:配置了 NAT 功能后,到 NAT 地址池的静态路由下一跳是黑洞路由, 利用 OSPF 发布静态路由失败而丢弃报文。 原因四:主备 Eudemon 的配置不一致。

            定位思路 图2 Eudemon双机热备份业务不通故障诊断流程图

            处理步骤
            ?

            原因一:业务板故障,但 OSPF 状态正常,路由照常发布,导致会话丢失而丢弃 报文。
            华为公司,2014 版权所有 ~133~

            华为数通BRAS/防火墙/SRG维护宝典

            一台 Eudemon 的业务板故障或注册不上,或主备 Eudemon 的业务板配 置不一致,会导致主备 Eudemon 会话表项不一致,来回路径不一致时 会丢弃报文。当 Eudemon 只有一块业务板时,会导致所有业务丢失。
            1. 执行命令 display device,在主备 Eudemon 上分别查看业务板的状态:
            <Eudemon> display device Eudemon8080E's Device status: Slot # Type Online Register Status Primary

            - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 4 LPU LPU Present Present Registered Registered Normal Normal NA NA

            7
            10 14 16

            SPU
            MPU SFU CLK

            Present
            Present Present Present

            Registered
            NA Registered Registered

            Normal
            Normal Normal Normal NA

            NA
            Master

            Master

            如上显示信息所示:业务板状态正常并且注册成功。 如果业务板状态为 Unregistered, 则查看业务板是否已经插好, 如果没有插好,请插好业务板。如果已经插好,请执行 2。
            2. 执行命令 display temperature slot 7 查看业务板温度是否正常。
            <Eudemon> display temperature slot 7 I2CID:1 Unit:C Address Channel Status Minor Major Fatal Adjust_speed TMin Tmax Temp

            -------------------------------------------------------------------1 2 0 0 NORMAL NORMAL 61 62 73 73 85 85 30 38 45 53 35 38

            no temp sensors.

            I2CID:2 Unit:C Address Channel Status Minor Major Fatal Adjust_speed TMin Tmax Temp

            -------------------------------------------------------------------~134~ 华为公司,2014 版权所有

            第二部分 76 76

            高端防火墙维护宝典 1 2 NORMAL NORMAL 95 64

            2 Eudemon 8000E系列常见配置及故障案例 100 70 110 80 100 50 110 62 54 37

            SPU Board temperature information: --------------------------------------------------------------------

            CPU CPU

            0 1

            NORMAL 95 NORMAL 95

            100 100

            105 105

            NA NA

            NA NA

            41 40

            当业务板当前温度即上面显示信息中“Temp”列的温度高于 “Major”列的温度时,业务板会因为温度过高而注册失败。如 果温度过高,请检查设备间温度并清理 Eudemon 的防尘网。如 果不是以上原因请记录 Eudemon 的打印信息并联系相关的技术 支持工程师。注意:
            为防止业务板发生故障时,路由不能收敛,主备Eudemon都应该配置hrp ospf-cost adjust-enable命令,这样当业务板发生故障时,主备发生切 换,并且备Eudemon会调节发布路由的Cost值,将业务流量切换到新的主 用Eudemon上。
            ?

            原因二:没有配置会话快速备份,来回路径不一致时会话丢失而丢弃报文。 1. 执行命令 display current-configuration | include hrp, 查看主备 Eudemon 是否配置了会话快速备份。
            <Eudemon> display current-configuration | include hrp hrp mirror session enable hrp enable hrp interface Eth-Trunk30

            如上显示信息所示,配置了会话快速备份。
            如果没有配置会话快速备份,则执行 2。 ? 如果配置了会话快速备份,则执行原因三。 2. 在主备 Eudemon 上分别执行 hrp mirror session enable 命令开启会话快 速备份。
            ?

            华为公司,2014 版权所有

            ~135~

            华为数通BRAS/防火墙/SRG维护宝典

            [Eudemon] hrp mirror session enable ?

            原因三:Eudemon 配置了 NAT 功能后,到 NAT 地址池的静态路由下一跳是黑 洞路由,利用 OSPF 发布静态路由失败而丢弃报文。

            Eudemon 配置了 NAT 后, 需要将 NAT 地址池地址的路由发布出去, 这种 情况下需要在 Eudemon 上配置目的地址为 NAT 地址池地址的静态路由, 下一跳是黑洞路由,并通过 OSPF 引入此静态路由,将 NAT 地址池地址 的路由发布出去。
            1. 查看目的地址为 NAT 地址池地址的静态路由下一跳是否是黑洞路由。
            <Eudemon> display fib FIB Table: Total number of Routes : 3

            Destination/Mask TunnelID 128.18.196.0/24

            Nexthop

            Flag TimeStamp

            Interface

            128.18.196.208

            U HU

            t[377] t[377]

            GE2/0/13 InLoop0 NULL0

            0x0 0x0 0x0

            128.18.196.255/32 127.0.0.1 10.100.10.0/24 0.0.0.0

            BSU t[2983]

            如上显示,到 NAT 地址池的静态路由下一跳是黑洞路由。
            如果静态路由配置正确,则执行 3。 ? 如果静态路由配置不正确,则执行 2。 2. 配置静态路由下一跳是黑洞路由。
            ?
            [Eudemon] ip route-static 10.100.10.1 24 NULL 0

            3. 查看 OSPF 是否将目的地址为 NAT 地址池地址的静态路由发布成功。

            在下一跳设备上查看是否有 NAT 地址池的路由,如果有,则表 示 OSPF 将静态路由发布成功,如果没有,执行以下命令发布静 态路由:
            [Eudemon] ospf 1 [Eudemon-ospf-1] import-route static

            ~136~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            ?

            原因四:主备 Eudemon 的配置不一致。包括板卡配置、软件版本以及 ACL 和 HRP 相关的配置。 1. 执行命令 display device, 在主备 Eudemon 上分别查看板卡配置是否一致。
            <Eudemon> display device Eudemon8080E's Device status: Slot # Type Online Register Status Primary

            - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2 4 7 10 14 16 LPU LPU SPU MPU SFU CLK Present Present Present Present Present Present Registered Registered Registered NA Registered Registered Normal Normal Normal Normal Normal Normal NA NA NA Master NA Master

            如上显示信息所示,主备 Eudemon 的 LPU 的位置、类型和数量 必须相同,ESPU 的数量和位置必须相同,否则会出现主用 Eudemon 备份过去的信息, 与备用 Eudemon 的物理配置无法兼容, 导致主备 Eudemon 切换后出现问题。
            ? ?

            如果主备 Eudemon 上板卡配置显示信息完全一致,则执行 2。

            ?

            如果主备 Eudemon 上板卡配置不完全一致,则需要通过 插拔备用 Eudemon 的单板使两台 Eudemon 的 LPU 的位置、 类型和数量都相同,ESPU 的数量和位置相同。 同时插拔主备 Eudemon 的单板会导致配置丢失或与原始 配置不一致,因此只能调整备用 Eudemon 的单板顺序保 证两者配置一致。

            2. 执行命令 display version 在主备 Eudemon 上分别查看软件版本是否一致。
            <Eudemon> display version Huawei Versatile Routing Platform Software Software Version: E8080E&E8160E V100R001C01SPC003 (VRP (R) Software, Version 5.30) Copyright (C) 2000-2007 Huawei Technologies Co., Ltd Quidway Eudemon8080E uptime is 1 day, 20 hours, 37 minutes ......

            华为公司,2014 版权所有

            ~137~

            华为数通BRAS/防火墙/SRG维护宝典

            如上显示信息所示,主备 Eudemon 的系统软件版本必须相同。 否则, 不同版本的软件的某些配置命令或会话表结构可能不同, 从而导致主备 Eudemon 在备份配置命令和状态时产生错误。
            如果主备 Eudemon 软件版本显示一致,则执行 3。 ? 如果主备 Eudemon 软件版本显示不一致,则需要通过升级一台 Eudemon 的软件版本使两者一致。 3. 在主备 Eudemon 上分别查看 ACL 的配置是否一致。 ? 在系统视图下执行命令 hrp configuration check acl 检查主备 Eudemon 的 ACL 配置的一致性,然后执行命令 display hrp configuration check acl 查看检查结果。
            ?
            <Eudemon> display hrp configuration check acl Module acl State finish Start-time End-time Result

            2009/07/12 12:15:38 2009/07/12 12:15:38 same

            configuration

            显示 same configuration 表示主备 Eudemon 的 ACL 配置 一致,则执行 4。 显示 different configuration 表示主备 Eudemon 的 ACL 配置不一致,则执行下面的步骤分别检查主备 Eudemon 的 ACL 配置。
            ? ? ? ?

            在安全域间视图下执行命令 display this 在主备 Eudemon 上分别 查看安全域间配置的 ACL、NAT 绑定的 ACL 是否一致。
            [Eudemon-interzone-trust-untrust] display this interzone trust untrust packet-filter 2000 inbound nat outbound 2000 address-group 1

            ?

            执行命令 display port-mapping 在主备 Eudemon 上分别查看 Port-mapping 绑定的 ACL 是否一致。
            <Eudemon> display port-mapping SERVICE PORT ACL TYPE

            ------------------------------------------------ftp 21 system defined

            ~138~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典 smtp http rtsp

            2 Eudemon 8000E系列常见配置及故障案例 25 80 554 2001 system defined system defined system defined

            ?

            在路由策略视图下执行命令 display this 在主备 Eudemon 上分别 查看路由策略应用的 ACL 是否一致。
            [Eudemon-route-policy] display this route-policy r1 permit node 1 if-match acl 2009

            4. 如果主备 Eudemon 的 ACL 配置不一致,则需要在主用 Eudemon 上先删除已配置应用的 ACL, 再重新在主用 Eudemon 上按照需求 配置各 ACL,使其备份到备用 Eudemon 上。
            5. 在主备 Eudemon 上分别查看 HRP 的配置和状态是否一致。 ? 在系统视图下执行命令 hrp configuration check hrp 检查主备 Eudemon 的 HRP 配置的一致性,然后执行命令 display hrp configuration check hrp 查看检查结果。
            <Eudemon> display hrp configuration check hrp Module Result hrp finish 2009/07/12 12:15:38 2009/07/12 12:15:38 same State Start-time End-time

            configuration

            显示 same configuration 表示主备 Eudemon 的 HRP 配置 一致。 显示 different configuration 表示主备 Eudemon 的 HRP 配置不一致,则执行下面的步骤分别检查主备 Eudemon 的 HRP 配置和状态。
            ?

            执行命令 display current-configuration | include hrp,查看 HRP 的配置是否一致。
            <Eudemon> display current-configuration | include hrp hrp mirror session enable hrp enable

            华为公司,2014 版权所有

            ~139~

            华为数通BRAS/防火墙/SRG维护宝典 hrp nat ports-segment primary hrp ospf-cost adjust-enable hrp interface Eth-Trunk1 hrp track ip-link 2 master

            如上显示信息所示: 主备 Eudemon 都要开启会话快速备份。 ? 主备 Eudemon 都要启动 HRP 功能。 ? 双机热备份和 NAT 结合的组网,主用 Eudemon 上配置 hrp nat ports-segment primary 命令,备用 Eudemon 上 配置 hrp nat ports-segment secodary 命令。 ? 双机热备份组网,上下行设备是路由器的情况,主备 Eudemon 上都需要配置 hrp ospf-cost adjust-enable 命令。 ? 主备 Eudemon 的 HRP 备份通道配置必须一致。 ? 主备 Eudemon 上 HRP 绑定 IP-link 链路配置必须一致。 执行命令 display hrp state 检查主备 Eudemon 的 HRP 状态是否 一致。
            ?
            <Eudemon> display hrp state The firewall's config state is: MASTER

            ?

            Current state of virtual routers configured as master: GigabitEthernet1/0/0 GigabitEthernet1/0/2 vrid vrid 2 : master 1 : master

            ? ?

            一台 Eudemon 的当前状态是 Master,另外一台 Eudemon 的状态必为 Slave。 一台 Eudemon VRRP 的当前状态为 Master,另外一台 Eudemon 相同 vrid 的 VRRP 状态必为 Slave。

            如果主备 Eudemon 的 HRP 配置不一致,则需要在主备 Eudemon 上分别配置各 HRP 功能,保持两者一致。
            参考信息

            ~140~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            HRP 组网故障一部分为配置问题, 请在配置后根据相关手册查看 HRP 配置是否 正确。另一部分为组网问题,比如 NAT 地址路由发布,HRP 调节 Cost 值命令 等配置,请确保 HRP 组网合理。

            2.9

            私网地址转换为公网地址失败

            当发生私网地址转换为公网地址失败故障时,请根据会话表的建立情况依次 排查故障原因。
            现象描述

            Eudemon 作为私网用户的网关,私网用户在访问 Internet 时,出现无法正常 访问的现象。
            图 1 私网用户访问公网典型组网图

            可能原因 首先查看Eudemon的会话表是否建立,如果Eudemon没有建立会话表,则可能原因如下:
            ? ?

            原因一:Eudemon 上的包过滤或者路由限制报文通过。 原因二:网络中其他设备有丢包,导致报文不能正常到达 Eudemon。

            如果Eudemon建立了会话表,但是会话表里的地址没有做NAT转换,则可能原因如下:
            ? ? ?

            原因三:配置 NAT 时,ACL 配置错误。 原因四:配置 NAT 时,域间方向配置错误。 原因五:Eudemon 上的路由配置错误,导致域间错误。

            如果Eudemon建立了会话表,但是会话表项信息错误,比如:地址转换信息错误,或者对
            华为公司,2014 版权所有 ~141~

            华为数通BRAS/防火墙/SRG维护宝典

            于多通道业务,没有建立数据通道会话,则可能原因如下:
            ? ?

            原因六:配置 NAT 地址池时,地址配置错误。 原因七:对于多通道协议,可能由于没有配置 NAT ALG,导致数据通道建立失 败,业务不通。

            如果Eudemon建立了会话表,且会话表项信息正确,则可能原因如下:
            ? ?

            原因八:Eudemon 没有对外发布到达 NAT 地址池地址的路由,导致报文找不到 回来路径。 原因九:下行接口板 ARP 学习错误,导致丢包。

            处理步骤
            ?

            执行命令 display firewall session table verbose,查看会话表建立情况。
            [Eudemon] display firewall session table verbose icmp: vpn(in):-, vpn(out):-, 1.1.1.253:512[7.7.7.100:2001] --> 1.1.1.5:2048 ttl: 00:00:20, left: 00:00:20 traffic: 179769(10786140) tag: 80000100

            # IP 地址 1.1.1.253 表示 NAT 转换前的私网地址;512 表示 NAT 转换 前的端口号。 # IP 地址 7.7.7.100 表示 NAT 转换后的公网地址;2001 表示 NAT 转换 后的端口号。 # IP 地址 1.1.1.5 表示访问的目的地址;2048 表示目的端口号。
            如果 Eudemon 没有建立会话表,则 Eudemon 的基本业务可能也不通。 o 如果 Eudemon 建立了会话表,但是会话表里的地址没有做 NAT 转换, 则执行原因三~原因五。 o 如果 Eudemon 建立了会话表,但是会话表项信息错误,则执行原因六~ 原因七。 o 如果 Eudemon 建立了会话表,且会话表项信息正确,则执行原因八~原 因九。 原因三:配置 NAT 时,ACL 配置错误。 1. 执行命令 display nat outbound,查看配置 NAT 绑定的 ACL。
            o

            ?

            ~142~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            [Eudemon] display nat outbound NAT information on interzone: Total 2 item(s)

            vpn public, interzone-trust-untrust: acl(3010) - addr-group( 11) - dir(out) acl(3001) - addr-group( 22) - dir(out) Total 2 item(s)

            # interzone-trust-untrust 表示在域间 Trust 和 Untrust 配置 NAT。 # acl(3010)表示对命中 ACL 为 3010 的数据流作地址转换; addr-group(11)中的 11 表示绑定的地址池 ID。
            2. 执行命令 display acl acl-number,查看与 NAT 地址池关联的 ACL 配置是否正确。
            [Eudemon] display acl 3010 Advanced ACL 3010, 1 rule,not binding with vpn-instance

            Acl's step is 5 rule 5 permit ip source 110.1.1.0 0.0.0.255

            上述命令行表示编号为 3010 的 ACL 定义允许源 IP 地址为 110.1.1.0 的数据流通过, 命中此规则的数据流与 NAT 地址池绑 定,经过 Eudemon 时做 NAT 转换。
            如果 NAT 绑定的 ACL 不正确,则重新配置 ACL。 ? 如果上述配置均没有问题,则执行原因四。 原因四:配置 NAT 时,域间方向配置错误。
            ?

            执行命令 display nat outbound,查看配置 NAT 绑定的 ACL。
            [Eudemon] display nat outbound NAT information on interzone: Total 2 item(s)

            vpn public, interzone-trust-untrust: acl(3010) - addr-group( 11) - dir(out) acl(3001) - addr-group( 22) - dir(out) Total 2 item(s) ~143~

            华为公司,2014 版权所有

            华为数通BRAS/防火墙/SRG维护宝典

            # dir(out)表示 NAT 配置的方向为 outbound,即对源地址做地 址转换; 如果这里是 dir(in), 则表示 NAT 配置的方向为 inbound, 即对目的地址做地址转换。
            如果 NAT 配置的方向不正确, 则执行 2, 重新配置 NAT 的方向。 ? 如果 NAT 配置方向正确,则继续执行原因五。 ? 执行命令 nat { inbound | outbound } acl-number address-group { group-name | group-number },重新配置 NAT 应用的方向。 原因五:Eudemon 上的路由错误,导致域间关系错误。
            ?

            当 Eudemon 路由表中目的 IP 下一跳接口所在的安全区域与配置 NAT 的 域间不一致时,可能导致 NAT 地址转换失败。
            0. 执行命令 display fib,查看到达目的地址下一跳接口。
            [Eudemon] display fib FIB Table: Total number of Routes : 138

            Destination/Mask TunnelID 127.0.0.1/32 0x0 127.0.0.0/8 0x0

            Nexthop

            Flag TimeStamp

            Interface

            127.0.0.1

            HU

            t[135]

            InLoop0

            127.0.0.1

            U

            t[135]

            InLoop0

            127.255.255.255/32 127.0.0.1 0x0 255.255.255.255/32 127.0.0.1 0x0 9.200.1.16/30 0x0 9.200.1.19/32 0x0 172.16.1.96/32 0x0 127.0.0.1 127.0.0.1 9.200.1.18

            HU

            t[135]

            InLoop0

            HU

            t[135]

            InLoop0

            U

            t[424]

            GE4/0/0

            HU

            t[424]

            InLoop0

            HU

            t[503]

            InLoop0

            ~144~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典 172.16.1.0/24 0x0 172.16.1.255/32 0x0

            2 Eudemon 8000E系列常见配置及故障案例 172.16.1.96 U t[503] GE2/0/23

            127.0.0.1

            HU

            t[503]

            InLoop0

            # GE2/0/23 表示到达目的 IP 为 172.16.1.0 网段的下一跳接口。
            执行命令 display zone interface,查看接口所在的安全区域。
            [Eudemon] display zone interface local # trust interface of the zone is (2): GigabitEthernet2/0/13 GigabitEthernet2/0/18 # untrust interface of the zone is (2): GigabitEthernet2/0/15 GigabitEthernet2/0/23 # dmz interface of the zone is (0): #

            # 上述命令行表示接口 GigabitEthernet2/0/23 加入了安全区 域 Untrust。 通过原因三中执行命令 display nat outbound, 查看 NAT 配置, 比较入接口与出接口所加入的安全区域是否与 NAT 配置的域间 一致。
            如果配置不一致,则请重新配置域间关系。 ? 如果配置没有问题,则请与华为技术工程联系,定位其他原因。 原因六:配置 NAT 地址池时,地址配置错误。
            ?

            执行命令 display nat address,查看 NAT 地址池的地址配置是否正确。
            华为公司,2014 版权所有 ~145~

            华为数通BRAS/防火墙/SRG维护宝典 [Eudemon] display nat address Total 1 address-group(s) START-ADDRESS END-ADDRESS VPN-INSTANCE REF

            NUM NAME CPUID 11 1 Total 4 -0

            202.10.1.2

            202.10.1.3

            public

            1 address-group(s)

            # START-ADDRESS 表示地址池的起始地址从 202.10.1.2 开始, END-ADDRESS 表示地址池的地址到 202.10.1.3 结束。

            说明:

            对于 Eudemon, 地址池地址不能与 Eudemon 出接口 IP 地址或 Nat Server 中的 IP 地址重叠。
            ? ?

            如果 NAT 地址池配置正确,则继续原因七。 如果 NAT 地址池配置不正确,则继续执行 2。

            执行命令 nat address-group group-number [ group-name ] start-address end-address ,重 新配置地址池的地址。 原因七:对于多通道协议,可能没有配置 NAT ALG,导致数据通道建立失败,业 务不通。 执行命令 display interzone [ zone-name1 zone-name2 ],查看 ASPF 的配 置信息。
            [Eudemon] display interzone trust untrust interzone trust untrust packet-filter 3010 outbound detect ftp #

            当 NAT 功能与 FTP、HTTP、MSN、QQ、RTSP、SMTP、TFTP 等协议 共同使用时, 需要在域间开启 ASPF 功能, 即配置 NAT ALG 功能。 如果在查看会话表的时候发现只建立了控制通道的会话,而没
            ~146~ 华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            有建立控制通道的会话,则可能是没有配置 NAT ALG,需要检查 域间是否配置了 NAT ALG 功能。
            如果未配置 ASPF,则继续执行 2。 ? 如果已配置 ASPF,则请与华为技术工程联系,以定位其他方面 原因。 1. 执行命令 firewall interzone trust untrust,进入域间视图。 2. 执行命令 detect protocol,配置 ASPF。 原因八:Eudemon 没有对外发布到达 NAT 地址池地址的路由,导致报文找不到回 来路径。
            ?

            当 Eudemon 和路由器运行 OSPF 协议, 业务流量在 Eudemon 通过 NAT 进 行地址转换,NAT 地址池的地址不能直接 Network 和 Import 发布,为 了保证路由器可以有 NAT 地址池的路由, 需要在 Eudemon 上面配置 NAT 地址池的静态路由,并且在 OSPF 进程中发布静态路由,这样 NAT 地址 池的路由可以被发布到 OSPF 进程中去了。
            执行命令 display current-configuration | include ip route-static,查看是否配置地址池的 静态路由。
            [Eudemon] display current-configuration | include ip route-static ip route-static 202.10.1.2 255.255.255.255 110.1.1.1 ip route-static 202.10.1.3 255.255.255.255 110.1.1.1

            # 上述命令行表示配置到地址池地址 202.10.1.2 和 202.10.1.3 的静态路由,即下一跳地址为 Eudemon 的入接口地 址 110.1.1.1。
            如果未配置到地址池地址的静态路由, 则执行 2, 配置静态路由。 ? 如果已配置到地址池地址的静态路由,则继续执行原因九。 1. 执行命令 ip route-static ip-address { mask | mask-length } { nexthop-address | interface-type interface-number [ nexthop-address ] },配置到地址池地址的静态路由。 原因九:下行接口板 ARP 学习错误,导致丢包。
            ?

            ARP 故障诊断方法请参见处理 ARP 故障。 如果问题仍未解决,可能是其他方面原因,请及时与华为技术工程联 系。

            华为公司,2014 版权所有

            ~147~

            华为数通BRAS/防火墙/SRG维护宝典

            2.10 通过公网 IP 访问私网服务器失败
            当公网 IP 访问私网服务器失败时,请根据以下操作查看 NAT Server 各项参 数配置,以及基本配置是否正确。
            现象描述

            典型组网如图 1 所示,服务器位于 DMZ 区域,Eudemon 作为 DMZ 区域的网关, 为外网用户提供服务。服务器对外提供服务时需要做 NAT Server,公网 IP 访问服务器时,出现拒绝访问的故障现象。
            图1 公网IP访问私网服务器典型组网图

            可能原因

            原因一:到 Inside 地址的路由不可达。 原因二:NAT Server 参数配置不正确。 原因三:配置域间包过滤时对协议类型或端口号进行了限制,导致报文不能 通过。 原因四:对于多通道协议,没有配置 ASPF,导致业务不通。
            说明:

            如果排除以上 NAT Server 配置的相关原因,故障仍未解决,则请参考基本业 务不通诊断流程,参见处理业务中断故障。
            定位思路 图2 公网IP访问私网服务器失败故障诊断流程图

            ~148~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典

            2 Eudemon 8000E系列常见配置及故障案例

            处理步骤
            ?

            执行命令 display firewall server-map,查看是否有对应的 Servermap 信息。
            [Eudemon] display firewall server-map ServerMap item(s) on slot 7 primary cpu:

            ----------------------------------------------------------------------------Type: Nat Server, ANY -> 200.1.1.10[10.1.1.1]

            Protocol: ANY, public -> public Type: Nat Server Reverse, 10.1.1.1[200.1.1.10] -> ANY

            Protocol: ANY, public -> public ServerMap item(s) on slot 7 secondary cpu: ----------------------------------------------------------------------------Type: Nat Server, ANY -> 200.1.1.10[10.1.1.1]

            Protocol: ANY, public -> public Type: Nat Server Reverse, Protocol: ANY, 10.1.1.1[200.1.1.10] -> ANY

            public -> public

            每个生效的 NAT Server 都会建立正反方向的两个静态 Servermap 表项, 当删除 NAT Server 时,ServerMap 表项也会同步删除。 # NAT Server 表示是 NAT Server 的正向表,指客户端访问服务器方向 的表项。 # NAT Server Reverse 表示是 NAT Server 的反向表,指服务器主动发 起连接到客户端的方向。 # 方括号内的内容表示 IP 地址和端口号的转换信息, 如果没有方括号 信息,则表示不做地址转换。 通过上述命令行显示, 查看 Eudemon 是否成功建立了 Servermap 表项, 以及 Servermap 表项信息是否正确。

            华为公司,2014 版权所有

            ~149~

            华为数通BRAS/防火墙/SRG维护宝典

            ?

            如果 Eudemon 没有建立 Servermap 表项, 或者 Servermap 表项信息有误, 继续执行原因一。 o 如果 Eudemon 已建立相应 Servermap 表项, 则表明 Inside 地址路由可达, 则继续执行原因二,查看 NAT Server 配置是否正确。 原因一:到 Inside 地址的路由不可达。
            o

            说明:

            在成功配置 NAT Server 后,FIB 表中应该既有到 Global 地址的路由, 又有到 Inside 地址的路由。
            1. 执行命令 display fib,查看 Eudemon 上是否有到服务器 Global 地址和 Inside 地址的路由,以及到达公网 IP 的路由。
            [Eudemon] display fib FIB Table: Total number of Routes : 11

            Destination/Mask TunnelID 127.0.0.1/32 0x0 127.0.0.0/8 0x0

            Nexthop

            Flag TimeStamp

            Interface

            127.0.0.1

            HU

            t[109]

            InLoop0

            127.0.0.1

            U

            t[109]

            InLoop0

            127.255.255.255/32 127.0.0.1 255.255.255.255/32 127.0.0.1 200.1.1.208/32 200.1.1.0/24 200.1.1.255/32 10.1.1.2/32 0x0 10.1.1.0/24 0x0 10.1.1.255/32 0x0 127.0.0.1 127.0.0.2 127.0.0.1 HU

            HU HU

            t[109] t[109] t[292] t[292] t[292]

            InLoop0 InLoop0 InLoop0 GE2/0/13 InLoop0 InLoop0

            0x0 0x0 0x0 0x0 0x0

            128.18.196.208 U 127.0.0.1 127.0.0.1 HU HU

            t[19740]

            U

            t[19740]

            GE2/0/7

            HU

            t[19740]

            InLoop0

            ~150~

            华为公司,2014 版权所有

            第二部分

            高端防火墙维护宝典 200.1.1.1

            2 Eudemon 8000E系列常见配置及故障案例 U t[19796] InLoop0 0x0

            200.1.1.10/32

            # NextHop 表示到达目的 IP 的下一跳 IP 地址。 # Interface 表示到达目的 IP 的下一跳出接口。
            如果路由配置信息不正确,或者没有相应的路由信息,则请参考 处理路由故障,重新配置路由信息。 ? 如果路由配置信息不正确,则继续执行原因二。 原因二:NAT Server 参数配置不正确。 0. 执行命令 display nat server,查看 NAT Server 配置是否正确。
            ?
            [Eudemon] display nat server Server in private network information: Total zone VPN ---public Total 1 NAT server(s) public 200.1.1.10 ---10.1.1.2 -----1 NAT server(s) VPN GlobalAddr Port InsideAddr Port Pro

            通过命令行显示查看 global 地址和 inside 地址是否配置正确。 # GlobalAddr 表示转换后的公网 IP 地址;InsideAddr 表示服 务器在局域网内部的 IP 地址。
            如果 Nat Server 配置不正确,则继续执行 2。 ? 如果 Nat Server 配置正确,则继续执行原因三。 1. 执行命令 nat server [ zone zone-name ] global global-address inside host-address,重新配置 NAT Server。 原因三:配置域间包过滤时对协议类型或端口号进行了限制,导致报文不能通过。 0. 执行命令 display interzone [ zone-name1 zone-name2 ],查看域间包过滤 的配置信息。
            ?

            如果在域间没有开启包过滤,则通过 Eudemon 的报文不会被允 许通过。
            [Eudemon] display interzone trust untrust interzone trust un

            相关文章:
            NE20配置及维护宝典V1.0
            NE20配置及维护宝典V1.0_生活休闲。华为各类数通设备配置及维护宝典 NE20 配置及维护宝典 V1.0 内部公开 NE20/NE20E 配置及维护宝典 V1.0 本文档涵盖了 NE20...
            NE40E、NE80E、NE5000E配置及维护宝典V1.0
            NE40E、NE80E、NE5000E配置及维护宝典V1.0_生活休闲。华为各类数通设备配置及维护宝典NE40E/NE80E/NE5000E 配置及维护宝典 V1.0 内部公开 NE40E/NE80E/NE...
            NE40、NE80配置及维护宝典V1.0
            NE40、NE80配置及维护宝典V1.0_生活休闲。华为各类数通设备配置及维护宝典NE40/NE80 配置及维护宝典 V1.0 内部公开 NE40/NE80 配置及维护宝典 V1.0 本文档...
            NE05、NE08E、NE16E配置及维护宝典V1.0
            NE05、NE08E、NE16E配置及维护宝典V1.0_生活休闲。华为各类数通设备配置及维护...3、检查 NE16 的防火墙和其它相关数据配置,未见对 C 路由器所处的网段作 ...
            华为PTN 维护宝典_图文
            华为PTN 维护宝典_互联网_IT/计算机_专业资料。OptiX PTN 3900&3900-8&1900&950&910 维护宝典 文档版本 发布日期 01 2012-01-10 华为技术有限公司 版权所有 ?...
            华为光网络维护宝典—故障处理专题篇
            文档名称 文档密级 华为光网络维护宝典——第 2 部分 故障处理专题篇 目录第1章 1.1 OptiX 光网络产品 IP 与 ID 故障处理专题 ... 6 背景知识 ......
            更多相关标签: