报文ipv6资源
ipv6资源 时间:2021-02-28 阅读:()
知IPv6PortalWeb页面ipoe徐猛2018-11-08发表某局点使用SR8804-X配置IPOE+web认证,仅针对ipv4做认证,ipv4业务正常,但是ipv6业务不通经验案例组网及说明现场在SR8804-X上起子接口,在该子接口上配置了ipv4地址和ipv6的地址,并使用该子接口的作为终端的网关.
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
组网配置说明:1.
用户主要实现ipv4的无感知,第一次登陆弹出portal认证界面进行认证;2.
下次用户接入网络时,直接使用mac地址作为用户向AAA发送radius报文,认证成功直接上线;3.
若认证不成功,终端弹出portal页面;4.
对于ipv6地址不做认证要求,IPv6资源放通访问;问题描述该局点使用SR8804-X配置IPOE+web认证,现场仅需要针对ipv4做认证,当前ipv4业务正常,但是ipv6业务不通,终端无法ping通自己的IPV6网关,取消ipsubscriberl2-connectedenable后(即关闭IPOE认证),ipv6业务正常.
具体现场测试情况如下:1、用户终端能够获取IPV6地址截图:2、客户端测试ipv6不能ping通网关过程分析1.
首先检查设备侧配置:现场测试终端下联在3101子接口,且3101子接口为测试终端网关:#interfaceRoute-Aggregation1.
3101ipaddress172.
19.
0.
1255.
255.
248.
0arpsend-gratuitous-arpvlan-typedot1qvid3101vlan-terminationuser-modeipv6dhcpselectserveripv6address2001:DA8:5018:320::1/64ipv6ndautoconfigother-flagundoipv6ndrahaltipsubscriberl2-connectedenable//开启ipoe功能,并配置二层接入模式ipsubscriberinitiatordhcpenableipsubscriberinitiatorunclassified-ipenablematching-user//只配置了未知源IPv4报文触发生成IPoE会话的功能,并未配置ipv6的.
ipsubscriberuser-detectiparpretry2interval60ipsubscriberauthentication-methodwebmac-authipsubscriberpre-authdomaindm1ipsubscribermac-authdomaindm2ipsubscriberweb-authdomaindm2#命令说明:1.
1.
36ipsubscriberenableipsubscriberenable命令用来在接口上开启IPoE功能并指定用户的接入模式.
undoipsubscriberenable命令用来关闭接口上的IPoE功能.
【命令】ipsubscriber{l2-connected|routed}enableundoipsubscriber{l2-connected|routed}enable【缺省情况】接口上的IPoE功能处于关闭状态.
【视图】三层以太网接口视图/三层以太网子接口视图三层聚合接口视图/三层聚合子接口视图L3VE接口视图/L3VE子接口视图检查了下现场的配置:全局下发了qos策略,且这里确认了下:·在基于端口、基于VLAN和基于全局三种应用QoS策略的方式中,基于端口的方式优先级高于基于VLAN的方式,而基于全局的方式优先级最高.
即设备对于接收/发送的流量,首先匹配全局应用的QoS策略中的流分类条件,如果匹配则直接执行全局的QoS策略而不再执行基于端口和VLAN的策略.
#qosapplypolicywebglobalinboundqosapplypolicyoutglobaloutbound#以下是出入方向的qos明细内容:#aclipv6advancednameneiwangrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwangoperatororif-matchaclnameneiwangif-matchaclipv6nameneiwang#trafficbehaviorneiwangfilterpermit#qospolicywebclassifierweb_permitbehaviorweb_permitclassifierneiwangbehaviorneiwang//入方向的qos通过流分类neiwang已经放通进来的ipv6报文classifierweb_httpbehaviorweb_httpclassifierweb_httpsbehaviorweb_httpsclassifierip_cpubehaviorweb_cpuclassifierip_denybehaviorweb_deny#aclipv6advancednameneiwang_outrule0permitipv6user-groupwebrule5permitipv6#trafficclassifierneiwang_outoperatororif-matchaclnameneiwang_outif-matchaclipv6nameneiwang_out#trafficbehaviorneiwang_outfilterpermit#qospolicyoutclassifierweb_outbehaviorweb_outclassifierneiwang_outbehaviorneiwang_out//出方向的qos通过流分类neiwang_out放通ipv6报文classifierip_denybehaviorweb_deny#后续针对ipv6的报文进行了debug,收集debuggingipsubscriberall,debuggingportalall的信息.
用测试终端测试,并收集debug,发现有相应IPOEdebug信息,但是现场qos都是放通的,且触发认证配置中并未配置ipv6报文触发认证.
*Sep1314:18:30:4372018SR8804-XIPOE/7/TIMER:-MDC=1-Chassis=2-Slot=4;Userdetectiontimerexpired:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4382018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;SentNSpacketsuccessfully:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
*Sep1314:18:30:4402018SR8804-XIPOE/7/EVENT:-MDC=1-Chassis=2-Slot=4;ReceivedanNAreply:Interface=Route-Aggregation1.
3101,IP=2001:DA8:5018:320::E,VLAN=3101,CVLAN=65535.
后续协调产品线工程师一同进行定位后,发现如下官网有如下说明:对于IPoEWeb认证,在IPv6网络中,为避免终端使用临时IPv6地址进行认证,从而导致认证失败,可在用户上线接口配置ipv6ndraprefix{ipv6-prefixprefix-length|ipv6-prefix/prefix-length}no-advertise命令禁止终端生成临时IPv6地址.
解决方法Ipoe的v4认证参考典型配置即可,v6只能配置成dhcpv6的方式获取地址,再通过全局mqc中放行所有ipv6的用户来达到不认证的效果,同时借口需要关闭ra报文的功能,相关关键配置如下标红1.
入出方向mqc下增加以下针对ipv6报文的cb对,对ipv6计费报文不计费classifieripv6behavioripv6trafficclassifieripv6operatorandif-matchaclipv6nameipv6#trafficbehavioripv6filterpermitfreeaccount#aclipv6advancednameipv6rule0permitipv62.
接口增加配置,关闭ra报文,使pc不生成ipv6临时地址interfaceRoute-Aggregation1.
1001descriptionYeWu-vlanipaddress10.
63.
0.
1255.
255.
192.
0vlan-typedot1qvid1001dhcpserverapplyip-poolvlan1001ipv6dhcpselectserveripv6dhcpserverapplypoolvlan1001ipv6ndraprefix2001:250:4402:1112::/64no-advertiseipv6addressFE80:101::1link-localipv6address2001:250:4402:1112::1/64ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigother-flagundoipv6ndrahaltipv6ndrano-advlinkmtuipsubscriberl2-connectedenableipsubscriberuser-detectiparpretry3interval270ipsubscriberauthentication-methodwebmac-authipsubscriberhttp-fast-replyenableipsubscribercaptive-bypassenableiosoptimizeipsubscriberpre-authdomainipoe
#消息# contabo:德国老牌机房新增美国“纽约、西雅图”数据中心,免设置费
运作了18年的德国老牌机房contabo在继去年4月开办了第一个美国数据中心(中部城市:圣路易斯)后立马在本月全新上马两个数据中心:纽约、西雅图。当前,为庆祝美国独立日,美国三个数据中心的VPS全部免除设置费,VPS本身的配置很高,价格适中,有较高的性价比!官方网站:https://contabo.com/en/SSD VPSKVM虚拟,纯SSD阵列,不限制流量,自带一个IPv4内存CPUSSD带...
GigsGigsCloud(年付26美元)国际线路美国VPS主机
已经有一段时间没有听到Gigsgigscloud服务商的信息,这不今天看到商家有新增一款国际版线路的美国VPS主机,年付也是比较便宜的只需要26美元。线路上是接入Cogentco、NTT、AN2YIX以及其他亚洲Peering。这款方案的VPS主机默认的配置是1Gbps带宽,比较神奇的需要等待手工人工开通激活,不是立即开通的。我们看看这款服务器在哪里选择看到套餐。内存CPUSSD流量价格购买地址1...
ProfitServer$34.56/年,西班牙vps、荷兰vps、德国vps/不限制流量/支持自定义ISO
profitserver怎么样?profitserver是一家成立于2003的主机商家,是ITC控股的一个部门,主要经营的产品域名、SSL证书、虚拟主机、VPS和独立服务器,机房有俄罗斯、新加坡、荷兰、美国、保加利亚,VPS采用的是KVM虚拟架构,硬盘采用纯SSD,而且最大的优势是不限制流量,大公司运营,机器比较稳定,数据中心众多。此次ProfitServer正在对德国VPS(法兰克福)、西班牙v...
ipv6资源为你推荐
-
视频截图软件怎么在视频中剪切一张图片?用什么软件邮箱群发如何在电子邮箱中实现群发邮件?伪装微信地理位置微信和微信伪装地理位置打不开怎么办?一点就一闪就完了安装程序配置服务器失败安装用友u8的数据库最后说:“安装程序配置服务器失败。参考服务器错误日志和 C:WINDOWSsqlstp.log 了解更多信息。”淘宝收费淘宝卖东西收多少手续费百度抢票浏览器手机百度浏览器抢票版根本就没预约抢票。噱头而已!bluestacksbluestacks到底是叫蓝手指还是叫蓝叠bluestacksBluestacks安卓模拟器是什么机型的?1433端口路由器1433端口怎么开启直播加速怎么让已拍摄好的视频加速