报文ipv6资源
ipv6资源 时间:2021-02-28 阅读:()
知IPv6PortalWeb页面ipoe徐猛2018-11-08发表某局点使用SR8804-X配置IPOE+web认证,仅针对ipv4做认证,ipv4业务正常,但是ipv6业务不通经验案例组网及说明现场在SR8804-X上起子接口,在该子接口上配置了ipv4地址和ipv6的地址,并使用该子接口的作为终端的网关.
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
老薛主机VPS年付345元,活动进行时。
老薛主机,虽然是第一次分享这个商家的信息,但是这个商家实际上也有存在有一些年头。看到商家有在进行夏季促销,比如我们很多网友可能有需要的香港VPS主机季度及以上可以半价优惠,如果有在选择不同主机商的香港机房的可以看看老薛主机商家的香港VPS。如果没有记错的话,早年这个商家是主营个人网站虚拟主机业务的,还算不错在异常激烈的市场中生存到现在,应该算是在众多商家中早期积累到一定的用户群的,主打小众个人网站...
LetBox:美国洛杉矶/新泽西AMD大硬盘VPS,10TB流量,充值返余额,最低3.3美元两个月
LetBox此次促销依然是AMD Ryzen处理器+NVME硬盘+HDD大硬盘,以前是5TB月流量,现在免费升级到10TB月流量。另外还有返余额的活动,如果月付,月付多少返多少;如果季付或者半年付,返25%;如果年付,返10%。依然全部KVM虚拟化,可自定义ISO系统。需要大硬盘vps、大流量vps、便宜AMD VPS的朋友不要错过了。不过LetBox对帐号审核严格,最好注册邮箱和paypal帐号...
易探云服务器怎么过户/转让?云服务器PUSH实操步骤
易探云服务器怎么过户/转让?易探云支持云服务器PUSH功能,该功能可将云服务器过户给指定用户。可带价PUSH,收到PUSH请求的用户在接收云服务器的同时,系统会扣除接收方的款项,同时扣除相关手续费,然后将款项打到发送方的账户下。易探云“PUSH服务器”的这一功能,可以让用户将闲置云服务器转让给更多需要购买的用户!易探云服务器怎么过户/PUSH?1.PUSH双方必须为认证用户:2.买家未接收前,卖家...
ipv6资源为你推荐
-
无线路由器限速设置wifi怎么设置限速渗透测试web渗透测试有前途吗渗透测试网站渗透测试怎么做?网站运营网络运营主管的主要工作职责是什么?网店推广网站开网店如何做推广?奇虎论坛奇虎问答是什么商标注册查询官网怎么查商标是否注册成功什么是云平台谁能简单说一下什么是云平台啊?网站优化方案一个网站进行优化的流程及步骤铁路客服中心铁路客户服务中心怎么订票