Portal双机备份配置

Portal双机备份配置案例
【大类别】方案
【小类别】EAD
【产品】iMC V300R006
【日期】2009 年06 月18日
【部门】业务软件测试部
【作者】王钰洁（04741）
【关键字】Portal双机备份
【摘要】本文描述了如何使用两台S75E设备配置Portal设备备份环境，以解决正在使用的Portal设备发生故障时，保证用户的上网业务不中断。

【正文】
Portal双机备份的原理是使用VRRP进行设备备份，将两台设备的状态信息同步，包括通过做Portal认证的在线用户信息的同步，如果用户使用的主设备出现故障，备份设备会自动切换到主设备状态，接管主设备的业务，保证用户上网业务不中断。

本文介绍了如何使用两台S75E设备配置通过VRRP方式的Portal设备备份。

1 需求
当Portal主设备出现故障时，使用Portal备份设备，故障前后使用的RADIUS、EAD和Portal 认证服务器为同一个。

2 所需资源及用途
1台主服务器：安装UAM、Portal和EAD组件
2台接入设备：支持Portal认证和Portal双机备份，当前仅S75E支持。

3 组网图
4 Portal服务器配置
1、部署平台、UAM、Portal、EAD及其他所需要的组件。

2、配置安全策略、服务、用户账号及接入设备，接入设备需要将主、备设备的IP都加
入。

3、进行Portal配置
（1）配置IP地址组
（2）配置Portal设备
（3）点击Portal设备配置中的端口组信息管理按钮，增加端口组，引用IP地址组
5 主设备配置
1、增加RADIUS、domain配置
radius scheme 230
server-type huawei
primary authentication 192.168.2.30
primary accounting 192.168.2.30
key authentication expert
key accounting expert
timer realtime-accounting 3
user-name-format with-domain
domain 230
authentication default radius-scheme 230
authorization default radius-scheme 230
accounting default radius-scheme 230
2、增加Portal服务器配置
portal server 230 ip 192.168.2.30 key expert url http://192.168.2.30:8080/portal
3、配置portal free-rule
portal free-rule 0 source ip 75.2.0.2 mask 255.255.255.255 destination any
将备份portal设备启用Portal的VLAN接口IP配置为free ip，即portal主设备允许备用设备的该IP发送的报文通过，否则由于启用了Portal认证，接入用户的VLAN不能建立VRRP备份。

4、在用户接入VLAN虚接口下配置
interface Vlan-interface2
ip address 75.2.0.1 255.255.255.0
vrrp vrid 2 virtual-ip 75.2.0.3 //vrrp虚ip与备份设备相同
vrrp vrid 2 priority 200 //vrrp 优先级，数字越大优先级越大
vrrp vrid 2 preempt-mode timer delay 60 //这个可以不配置。

主要是为了避免设备没有准备好时（比如没有启动完全时），延迟60秒后再抢占master地位。

vrrp vrid 2 track interface Vlan-interface1 reduced 150 //这个可以不配置。

这个命令的意思是，如果VLAN1虚接口down掉，则该设备的vrrp优先级减少150，如果备用设备的优先级配置为200，则主设备的优先级减少150后变为50，相当于主设备自动放弃master地位，变为backup。

vrrp vrid 2 track 1 switchover
vrrp vrid 2 track 2 switchover
portal server 230 method direct //启用portal
portal backup-group 1 //配置portal备份组
5、上行VLAN虚接口配置
ip address 172.2.1.6 255.255.255.0
vrrp vrid 1 virtual-ip 172.2.1.11
vrrp vrid 1 priority 200
vrrp vrid 1 preempt-mode timer delay 60
vrrp vrid 1 track 1 switchover
vrrp vrid 1 track 2 switchover
vrrp vrid 1 track interface Vlan-interface2 reduced 150
6、配置接入用户使用的地址池
本例中使用的是设备地址池
dhcp enable
dhcp server ip-pool 75
network 75.2.0.0 mask 255.255.255.0
gateway-list 75.2.0.3 //将用户网关一定要配置为VRRP的虚IP
dhcp server forbidden-ip 75.2.0.1 75.2.0.10
7、配置设备间的备份链路
vlan 3
interface Ethernet3/0/47
port access vlan 3
将主备设备直接用网线连接起来，连接的接口使用独立的VLAN，以便进行vrrp备份。

本例中主备设备均使用了Ethernet3/0/47，且将该端口都划分到vlan 3中。

8、指定主备nas-ip
radius nas-ip 172.2.1.6 //主nas ip为本设备ip
radius nas-backup-ip 172.2.1.7 //备nas ip为备份设备ip。

nas device-id 1 //主设备的nas device-id为1
9、启用dhbk
dhbk enable backup-type symmetric-path
dhbk vlan 3 //备份设备信息使用的是vlan 3
10、指定vrrp method
vrrp method real-mac
11、指定交换模式
switch-mode standard
12、配置路由
本例中使用的动态路由
ospf 1
area 0.0.0.0
network 172.2.1.0 0.0.0.255
network 75.2.0.0 0.0.0.255
6 备份设备配置
备份设备大部分配置与主设备一致，仅在IP和指定对端等部分配置不同1、增加RADIUS、domain配置
与主设备配置一致
radius scheme 230
server-type huawei
primary authentication 192.168.2.30
primary accounting 192.168.2.30
key authentication expert
key accounting expert
timer realtime-accounting 3
user-name-format with-domain
domain 230
authentication default radius-scheme 230
authorization default radius-scheme 230
accounting default radius-scheme 230
2、增加Portal服务器配置
与主设备配置一致
portal server 230 ip 192.168.2.30 key expert url http://192.168.2.30:8080/portal
3、配置portal free-rule
此处需要指定主设备的接入VLAN ip为free ip，否则接入用户的VLAN不能建立VRRP备份。

portal free-rule 0 source ip 75.2.0.1 mask 255.255.255.255 destination any
4、在用户接入VLAN虚接口下配置
interface Vlan-interface2
ip address 75.2.0.2 255.255.255.0
vrrp vrid 2 virtual-ip 75.2.0.3 //与主设备配置的该虚IP相同
vrrp vrid 2 priority 200 //vrrp 优先级，数字越大优先级越大vrrp vrid 2 preempt-mode timer delay 60
vrrp vrid 2 track interface Vlan-interface1 reduced 150
vrrp vrid 2 track 1 switchover
vrrp vrid 2 track 2 switchover
portal server 230 method direct //启用portal
portal backup-group 1 //配置portal备份组，与主设备配置相同5、上行VLAN虚接口配置
ip address 172.2.1.7 255.255.255.0
vrrp vrid 1 virtual-ip 172.2.1.11 //与主设备该虚IP相同
vrrp vrid 1 priority 200
vrrp vrid 1 preempt-mode timer delay 60
vrrp vrid 1 track 1 switchover
vrrp vrid 1 track 2 switchover
vrrp vrid 1 track interface Vlan-interface2 reduced 150
6、配置接入用户使用的地址池
与主设备配置相同，本例中使用的是设备地址池
dhcp enable
dhcp server ip-pool 75
network 75.2.0.0 mask 255.255.255.0
gateway-list 75.2.0.3 //将用户网关一定要配置为VRRP的虚IP
dhcp server forbidden-ip 75.2.0.1 75.2.0.10
7、配置设备间的备份链路
与主设备配置相同
vlan 3
interface Ethernet3/0/47
port access vlan 3
将主备设备直接用网线连接起来，连接的接口使用独立的VLAN，以便进行vrrp备份。

本例中主备设备均使用了Ethernet3/0/47，且将该端口都划分到vlan 3中。

8、指定主备nas-ip
radius nas-ip 172.2.1.7//主nas ip为本设备ip
radius nas-backup-ip 172.2.1.6 //备nas ip为主设备ip。

nas device-id 2 //备份设备的nas device-id为2
9、启用dhbk
与主设备配置相同
dhbk enable backup-type symmetric-path
dhbk vlan 3 //备份设备信息使用的是vlan 3
10、指定vrrp method
与主设备配置相同
vrrp method real-mac
11、指定交换模式
与主设备配置相同
switch-mode standard
12、配置路由
本例中使用的动态路由
ospf 1
area 0.0.0.0
network 172.2.1.0 0.0.0.255
network 75.2.0.0 0.0.0.255
7 测试预期结果
在Portal双机备份环境配置好后，使用iNode客户端认证，当主设备出现以下情况时，客户端在备份设备状态自动切换为master后，可以正常访问网络，可以ping某个非free ip测试：
1、主设备上行vlan虚接口down掉。

2、主设备上行接口网线断开。

3、主设备下行vlan虚接口down掉。

4、主设备下行接口网线断开。

5、主设备重启。

6、主设备断电。

8 说明
（1）在备份设备侦测到主设备出现故障及切换到master状态的过程，需要一点时间，故障不同，需要的时间也会不同，最多的时候是ping丢6、7个包，所以在发生设备
主备切换时，短时间不能ping通的现象是正常的。

（2）可以通过设备的display vrrp命令来看当前设备是主（master）设备还是备设备
（backup），也可以通过display vrrp verbose查看vrrp详细信息。

（3）设备默认配置为抢占模式，此时，在主设备恢复后，如果主设备的vrrp优先级
高于备设备，则主设备会重新抢占master地位，业务回归到主设备处理，备设备同
步主设备信息。

（4）在配置完成时，分别在两个设备上display vrrp，查看主备状态，如果一个设备
的上下行vlan都是master，另外一个设备的上下行vlan都是backup，配置才是正确的，否则配置有问题，需要确认vrrp配置是否正确，以及portal free-rule中是否正确指定
以对端设备接入vlan的虚ip为源ip发送来的报文是free的。

（5）使用portal用户认证成功后，在两个设备上分别display connection，如果均能查看到相同的在线用户信息，则说明portal双机备份配置正确，否则说明配置有误。

（6）如果只能在一台机器上看到在线用户，先通过dis dhbk status，正常portal双机
备份状态为：
DHBK State: Enable
Backup Type: Symmetric path
Current state: Synchronization
VLAN ID: 3
如果同步状态不是Synchronization，而是independence，则dhbk同步状态存在问题，
需要确认同步链路是否通，本例中可以在两个设备的备份vlan启用三层虚接口，然
后通过ping对方的该vlan的三层虚接口，确认是否备份链路是否通畅。