报文ipv6资源
ipv6资源 时间:2021-02-28 阅读:()
知IPv6PortalWeb页面ipoe徐猛2018-11-08发表某局点使用SR8804-X配置IPOE+web认证,仅针对ipv4做认证,ipv4业务正常,但是ipv6业务不通经验案例组网及说明现场在SR8804-X上起子接口,在该子接口上配置了ipv4地址和ipv6的地址,并使用该子接口的作为终端的网关.
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
蓝速数据(58/年)秒杀服务器独立1核2G 1M
蓝速数据金秋上云季2G58/年怎么样?蓝速数据物理机拼团0元购劲爆?蓝速数据服务器秒杀爆产品好不好?蓝速数据是广州五联科技信息有限公司旗下品牌云计算平台、采用国内首选Zkeys公有云建设多种开通方式、具有IDC、ISP从业资格证IDC运营商新老用户值得信赖的商家。我司主要从事内地的枣庄、宿迁、深圳、绍兴、成都(市、县)。待开放地区:北京、广州、十堰、西安、镇江(市、县)。等地区数据中心业务,均KV...
LiCloud:香港CMI/香港CN2+BGP服务器,30Mbps,$39.99/月;香港KVM VPS仅$6.99/月
licloud怎么样?licloud目前提供香港cmi服务器及香港CN2+BGP服务器/E3-1230v2/16GB内存/240GB SSD硬盘/不限流量/30Mbps带宽,$39.99/月。licloud 成立於2021年,是香港LiCloud Limited(CR No.3013909)旗下的品牌,主要提供香港kvm vps,分为精简网络和高级网络A、高级网络B,现在精简网络和高级网络A。现在...
CloudCone2核KVM美国洛杉矶MC机房机房2.89美元/月,美国洛杉矶MC机房KVM虚拟架构2核1.5G内存1Gbps带宽,国外便宜美国VPS七月特价优惠
近日CloudCone发布了七月的特价便宜优惠VPS云服务器产品,KVM虚拟架构,性价比最高的为2核心1.5G内存1Gbps带宽5TB月流量,2.89美元/月,稳定性还是非常不错的,有需要国外便宜VPS云服务器的朋友可以关注一下。CloudCone怎么样?CloudCone服务器好不好?CloudCone值不值得购买?CloudCone是一家成立于2017年的美国服务器提供商,国外实力大厂,自己开...
ipv6资源为你推荐
-
郭吉军新媒体营销的咨询行业有哪些好的老师?照片转手绘如何把真人图片用photoshop做成手绘图片9flash怎么使用ePSXe啊?网店推广网站可以介绍几个可以做店铺推广的网站吗?godaddyGodaddy域名怎么接受开机滚动条谁会调开机的滚动条创维云电视功能创维新出的4K超高清健康云电视有谁用过,功能效果怎么样?电子商务网站模板做电子商务网站用什么cms或者模版比较好?系统分析员一个优秀的系统分析师应该具备哪些方面的知识和素质?如何清理ie缓存怎么清除IE缓存.