Portal雙機備份配置

1、Portal雙機備份配置案例內(nèi)部公開Portal雙機備份配置案例【大類別】方案【小類別】EAD【產(chǎn) 品】iMC V300R006 【日 期】2009 年 06 月 18日【部 門】業(yè)務軟件測試部 【作 者】 王鈺潔（04741） 【關鍵字】Portal雙機備份【摘 要】本文描述了如何使用兩臺S75E設備配置Portal設備備份環(huán)境，以解決正在使用的Portal設備發(fā)生故障時，保證用戶的上網(wǎng)業(yè)務不中斷?！菊?文】Portal雙機備份的原理是使用VRRP進行設備備份，將兩臺設備的狀態(tài)信息同步，包括通過做Portal認證的在線用戶信息的同步，如果用戶使用的主設備出現(xiàn)故障，備份設備會自動切換到主設備狀

2、態(tài)，接管主設備的業(yè)務，保證用戶上網(wǎng)業(yè)務不中斷。本文介紹了如何使用兩臺S75E設備配置通過VRRP方式的Portal設備備份。1 需求當Portal主設備出現(xiàn)故障時，使用Portal備份設備，故障前后使用的RADIUS、EAD和Portal認證服務器為同一個。2 所需資源及用途1臺主服務器：安裝UAM、Portal和EAD組件2臺接入設備：支持Portal認證和Portal雙機備份，當前僅S75E支持。3 組網(wǎng)圖4 Portal服務器配置1、 部署平臺、UAM、Portal、EAD及其他所需要的組件。2、 配置安全策略、服務、用戶賬號及接入設備，接入設備需要將主、備設備的IP都加入。3、 進行P

3、ortal配置（1） 配置IP地址組（2） 配置Portal設備（3） 點擊Portal設備配置中的端口組信息管理按鈕，增加端口組，引用IP地址組5 主設備配置1、 增加RADIUS、domain配置radius scheme 230 server-type huawei primary authentication 0 primary accounting 0 key authentication expert key accounting expert timer realtime-accounting 3 user-name-format wi

4、th-domaindomain 230authentication default radius-scheme 230authorization default radius-scheme 230accounting default radius-scheme 2302、 增加Portal服務器配置portal server 230 ip 0 key expert url 0:8080/portal3、 配置portal free-ruleportal free-rule 0 source ip mask 255.255

5、.255.255 destination any將備份portal設備啟用Portal的VLAN接口IP配置為free ip，即portal主設備允許備用設備的該IP發(fā)送的報文通過，否則由于啟用了Portal認證，接入用戶的VLAN不能建立VRRP備份。4、 在用戶接入VLAN虛接口下配置interface Vlan-interface2 ip address vrrp vrid 2 virtual-ip /vrrp虛ip與備份設備相同 vrrp vrid 2 priority 200 /vrrp 優(yōu)先級，數(shù)字越大優(yōu)先級越大 vrr

6、p vrid 2 preempt-mode timer delay 60 /這個可以不配置。主要是為了避免設備沒有準備好時（比如沒有啟動完全時），延遲60秒后再搶占master地位。 vrrp vrid 2 track interface Vlan-interface1 reduced 150 /這個可以不配置。這個命令的意思是，如果VLAN1虛接口down掉，則該設備的vrrp優(yōu)先級減少150，如果備用設備的優(yōu)先級配置為200，則主設備的優(yōu)先級減少150后變?yōu)?0，相當于主設備自動放棄master地位，變?yōu)閎ackup。 vrrp vrid 2 track 1 switchover vrrp

7、 vrid 2 track 2 switchover portal server 230 method direct /啟用portal portal backup-group 1 /配置portal備份組5、 上行VLAN虛接口配置ip address vrrp vrid 1 virtual-ip 1 vrrp vrid 1 priority 200 vrrp vrid 1 preempt-mode timer delay 60 vrrp vrid 1 track 1 switchover vrrp vrid 1 track

8、2 switchover vrrp vrid 1 track interface Vlan-interface2 reduced 1506、 配置接入用戶使用的地址池本例中使用的是設備地址池dhcp enabledhcp server ip-pool 75 network mask gateway-list /將用戶網(wǎng)關一定要配置為VRRP的虛IPdhcp server forbidden-ip 07、 配置設備間的備份鏈路vlan 3interface Ethernet3/0/47 port a

9、ccess vlan 3將主備設備直接用網(wǎng)線連接起來，連接的接口使用獨立的VLAN，以便進行vrrp備份。本例中主備設備均使用了Ethernet3/0/47，且將該端口都劃分到vlan 3中。8、 指定主備nas-ipradius nas-ip /主nas ip為本設備ip radius nas-backup-ip /備nas ip為備份設備ip。 nas device-id 1 /主設備的nas device-id為19、 啟用dhbkdhbk enable backup-type symmetric-pathdhbk vlan 3 /備份設備信息使用

10、的是vlan 310、 指定vrrp methodvrrp method real-mac11、 指定交換模式switch-mode standard12、 配置路由 本例中使用的動態(tài)路由ospf 1 area network 55 network 556 備份設備配置備份設備大部分配置與主設備一致，僅在IP和指定對端等部分配置不同1、 增加RADIUS、domain配置與主設備配置一致radius scheme 230 server-type huawei primary authentication 192.

11、168.2.30 primary accounting 0 key authentication expert key accounting expert timer realtime-accounting 3 user-name-format with-domaindomain 230authentication default radius-scheme 230authorization default radius-scheme 230accounting default radius-scheme 2302、 增加Portal服務器配置與主設備配置一致portal

12、 server 230 ip 0 key expert url 0:8080/portal3、 配置portal free-rule此處需要指定主設備的接入VLAN ip為free ip，否則接入用戶的VLAN不能建立VRRP備份。portal free-rule 0 source ip mask 55 destination any4、 在用戶接入VLAN虛接口下配置interface Vlan-interface2 ip address vrrp

13、vrid 2 virtual-ip /與主設備配置的該虛IP相同 vrrp vrid 2 priority 200 /vrrp 優(yōu)先級，數(shù)字越大優(yōu)先級越大 vrrp vrid 2 preempt-mode timer delay 60 vrrp vrid 2 track interface Vlan-interface1 reduced 150 vrrp vrid 2 track 1 switchover vrrp vrid 2 track 2 switchover portal server 230 method direct /啟用portal portal backup

14、-group 1 /配置portal備份組，與主設備配置相同5、 上行VLAN虛接口配置ip address vrrp vrid 1 virtual-ip 1 /與主設備該虛IP相同 vrrp vrid 1 priority 200 vrrp vrid 1 preempt-mode timer delay 60 vrrp vrid 1 track 1 switchover vrrp vrid 1 track 2 switchover vrrp vrid 1 track interface Vlan-interface2 redu

15、ced 1506、 配置接入用戶使用的地址池與主設備配置相同，本例中使用的是設備地址池dhcp enabledhcp server ip-pool 75 network mask gateway-list /將用戶網(wǎng)關一定要配置為VRRP的虛IPdhcp server forbidden-ip 07、 配置設備間的備份鏈路與主設備配置相同vlan 3interface Ethernet3/0/47 port access vlan 3將主備設備直接用網(wǎng)線連接起來，連接的接口使用獨立的VLAN，以便

16、進行vrrp備份。本例中主備設備均使用了Ethernet3/0/47，且將該端口都劃分到vlan 3中。8、 指定主備nas-ipradius nas-ip /主nas ip為本設備ip radius nas-backup-ip /備nas ip為主設備ip。 nas device-id 2 /備份設備的nas device-id為29、 啟用dhbk與主設備配置相同dhbk enable backup-type symmetric-pathdhbk vlan 3 /備份設備信息使用的是vlan 310、 指定vrrp method與主設備配置相同vrrp

17、 method real-mac11、 指定交換模式與主設備配置相同switch-mode standard12、 配置路由 本例中使用的動態(tài)路由ospf 1 area network 55 network 557 測試預期結(jié)果在Portal雙機備份環(huán)境配置好后，使用iNode客戶端認證，當主設備出現(xiàn)以下情況時，客戶端在備份設備狀態(tài)自動切換為master后，可以正常訪問網(wǎng)絡，可以ping某個非free ip測試：1、 主設備上行vlan虛接口down掉。2、 主設備上行接口網(wǎng)線斷開。3、 主設備下行vlan虛接口

18、down掉。4、 主設備下行接口網(wǎng)線斷開。5、 主設備重啟。6、 主設備斷電。8 說明（1）在備份設備偵測到主設備出現(xiàn)故障及切換到master狀態(tài)的過程，需要一點時間，故障不同，需要的時間也會不同，最多的時候是ping丟6、7個包，所以在發(fā)生設備主備切換時，短時間不能ping通的現(xiàn)象是正常的。（2）可以通過設備的display vrrp命令來看當前設備是主（master）設備還是備設備（backup），也可以通過display vrrp verbose查看vrrp詳細信息。（3）設備默認配置為搶占模式，此時，在主設備恢復后，如果主設備的vrrp優(yōu)先級高于備設備，則主設備會重新?lián)屨糾aster地位，業(yè)務回歸到主設備處理，備設備同步主設備信息。（4）在配置完成時，分別在兩個設備上display vrrp，查看主備狀態(tài)，如果一個設備的上下行vlan都是master，另外一個設備的上下行vlan都是backup，配置才是正確的，否則配置有問題，需要確認vrrp配置是否正確，以及portal free-rule中是否正確指定以對端設備接入vlan的虛ip為源ip發(fā)送來的報文是free的。（5）使用portal用戶認證成功后，在兩個設備上分別display connection，如果均能查看到相同的在線用戶信息，則說明portal雙機備份配置正確，否則說明配置有誤。（