报文ipv6资源
ipv6资源 时间:2021-02-28 阅读:()
知IPv6PortalWeb页面ipoe徐猛2018-11-08发表某局点使用SR8804-X配置IPOE+web认证,仅针对ipv4做认证,ipv4业务正常,但是ipv6业务不通经验案例组网及说明现场在SR8804-X上起子接口,在该子接口上配置了ipv4地址和ipv6的地址,并使用该子接口的作为终端的网关.
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
ZoeCloud:香港BGP云服务器,1GB内存/20GB SSD空间/2TB流量/500Mbps/KVM,32元/月
zoecloud怎么样?zoecloud是一家国人商家,5月成立,暂时主要提供香港BGP KVM VPS,线路为AS41378,并有首发永久8折优惠:HKBGP20OFF。目前,解锁香港区 Netflix、Youtube Premium ,但不保证一直解锁,谢绝以不是原生 IP 理由退款。不保证中国大陆连接速度,建议移动中转使用,配合广州移动食用效果更佳。点击进入:zoecloud官方网站地址zo...
EtherNetservers年付仅10美元,美国洛杉矶VPS/1核512M内存10GB硬盘1Gpbs端口月流量500GB/2个IP
EtherNetservers是一家成立于2013年的英国主机商,提供基于OpenVZ和KVM架构的VPS,数据中心包括美国洛杉矶、新泽西和杰克逊维尔,商家支持使用PayPal、支付宝等付款方式,提供 60 天退款保证,这在IDC行业来说很少见,也可见商家对自家产品很有信心。有需要便宜VPS、多IP VPS的朋友可以关注一下。优惠码SUMMER-VPS-15 (终身 15% 的折扣)SUMMER-...
器安装环境和运维管理工具推荐
今天看到一个网友从原来虚拟主机准备转移至服务器管理自己的业务。这里问到虚拟主机和服务器到底有什么不同,需要用到哪些工具软件。那准备在下班之间稍微摸鱼一下整理我们服务器安装环境和运维管理中常见需要用到的软件工具推荐。第一、系统镜像软件一般来说,我们云服务器或者独立服务器都是有自带镜像的。我们只需要选择镜像安装就可以,比如有 Windows和Linux。但是有些时候我们可能需要自定义镜像的高级玩法,这...
ipv6资源为你推荐
-
有趣的广告比较有趣的广告词有哪些万维读者网《读者》要订购有网站吗?伪装微信地理位置伪装微信地理位置 朋友圈显示地理位置怎么改简体翻译成繁体简体中文转换成繁体怎么转换?最新qq空间代码qq空间都是有哪些免费代码!(要全部)缓冲区溢出教程哪里可以下载黑客教程,详细网址,中国电信互联星空电信的互联星空服务是什么?蘑菇街美丽说蘑菇街美丽说唯品会天猫京东。女生买衣服,哪个好qq怎么发邮件怎样在QQ上发送邮件?保护气球抖音里面看的,这是什么游戏