报文ipv6资源
ipv6资源 时间:2021-02-28 阅读:()
知IPv6PortalWeb页面ipoe徐猛2018-11-08发表某局点使用SR8804-X配置IPOE+web认证,仅针对ipv4做认证,ipv4业务正常,但是ipv6业务不通经验案例组网及说明现场在SR8804-X上起子接口,在该子接口上配置了ipv4地址和ipv6的地址,并使用该子接口的作为终端的网关.
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
易探云:香港大带宽/大内存物理机服务器550元;20Mbps带宽!三网BGP线路
易探云怎么样?易探云隶属于纯乐电商旗下网络服务品牌,香港NTT Communications合作伙伴,YiTanCloud Limited旗下合作云计算品牌,数十年云计算行业经验。发展至今,我们已凝聚起港内领先的开发和运维团队,积累起4年市场服务经验,提供电话热线/在线咨询/服务单系统等多种沟通渠道,7*24不间断服务,3分钟快速响应。目前,易探云提供香港大带宽20Mbps、16G DDR3内存、...
Hostinger 限时外贸美国主机活动 低至月12元且赠送1个COM域名
Hostinger 商家我们可能一些新用户不是太熟悉,因为我们很多新人用户都可能较多的直接从云服务器、独立服务器起步的。而Hostinger商家已经有将近十年的历史的商家,曾经主做低价虚拟主机,也是比较有知名度的,那时候也有接触过,不过一直没有过多的使用。这不这么多年过去,Hostinger商家一直比较稳妥的在运营,最近看到这个商家在改版UI后且产品上也在活动策划比较多。目前Hostinger在进...
PacificRack:洛杉矶KVM月付1.5美元起,1G内存套餐年付12美元起
PacificRack在本月发布了几款特价产品,其中最低款支持月付仅1.5美元,基于KVM架构,洛杉矶机房,PR-M系列。PacificRack简称PR,QN机房旗下站点,主要提供低价VPS主机产品,基于KVM架构,数据中心为自营洛杉矶机房,现在只有PR-M一个系列,分为了2个类别:常规(Elastic Compute Service)和多IP产品(Multi IP Server)。下面列出几款秒...
ipv6资源为你推荐
-
易pc易PC价格多少会声会影12下载谁有免费的会声会影12的素材下载地址给俺发个!要没有毒的,谢谢咧!拂晓雅阁我对电脑操作不熟悉,想买一本自学的电脑书籍,是电脑入门那一类的,最好还有办公软件应用那一类的qq怎么发邮件用QQ怎样发送文件神雕侠侣礼包大全神雕侠侣手游版四重大礼包怎么得到啊?免费qq空间装扮有办法免费装扮QQ空间吗??小米手柄手机用小米手柄能玩什么游戏服务器连接异常服务器连接异常是怎么回事啊,怎么解决购买流量现在中国移动怎么买流量火狐flash插件崩溃flash插件总崩溃怎么办