- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-PPPoE配置
本章节下载: 09-PPPoE配置 (1.58 MB)
目 录
1.3.3 转发与控制分离模式下PPPoE server配置任务简介
1.3.10 配置PPPoE会话的NAS-PORT-ID属性相关参数
1.3.11 配置PPPoE接入用户的NAS-PORT-ID精绑
1.3.12 配置PPPoE server的Service Name
1.3.13 配置设备每秒能够接收PADI报文的最大数目(一体化设备)
1.3.14 配置UP上每个slot每秒能够接收PADI报文的最大数目(UP设备)
1.3.19 配置PPPoE用户接入响应延迟的MAC地址偏移值
1.6.1 PPPoE server通过本地DHCP服务器为用户分配IPv4地址配置举例
1.6.2 PPPoE server通过远端DHCP服务器为双栈用户分配IP地址配置举例
1.6.3 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(AAA授权前缀)
1.6.4 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(ND前缀池授权前缀)
1.6.5 PPPoE server通过IA_NA方式为用户分配IPv6地址配置举例
1.6.6 PPPoE server通过IA_PD方式为用户分配IPv6地址配置举例
1.6.7 PPPoE server通过远端DHCPv4服务器+(NDRA+IA_PD)方式为双栈用户分配IP地址配置举例
1.6.8 PPPoE server通过IA_NA+IA_PD方式为用户分配IPv6地址配置举例
1.6.9 PPPoE server通过本地DHCP服务器为双栈用户分配IP地址配置举例
1.6.10 PPPoE server为接入用户授权地址池和VPN配置举例
1.6.11 PPPoE代拨配置举例(一体化PPPoE代拨模式+授权远端BAS IP地址池)
1.6.12 PPPoE代拨配置举例(运营商侧代拨网关+授权远端BAS IP地址池)
1.7.1 PPPoE server通过本地DHCP服务器为用户分配IPv4地址
1.7.2 PPPoE server通过本地DHCP服务器为双栈用户分配IP地址配置举例
1.7.3 PPPoE server通过远端DHCP服务器为双栈用户分配IP地址配置举例
1.7.4 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(AAA授权前缀)
1.7.5 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(ND前缀池授权前缀)
1.7.6 PPPoE server通过IA_NA方式为用户分配IPv6地址配置举例
1.7.7 PPPoE server通过IA_PD方式为用户分配IPv6地址配置举例
1.7.8 PPPoE server通过远端DHCPv4服务器+(NDRA+IA_PD)方式为双栈用户分配IP地址配置举例
1.7.9 PPPoE server通过IA_NA+IA_PD方式为用户分配IPv6地址配置举例
PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)是对PPP协议的扩展,它在以太网上建立PPPoE会话,将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接,解决了PPP无法应用于以太网的问题。PPPoE还可以通过远端接入设备对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。
PPPoE使用Client/Server模型。PPPoE client向PPPoE server发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoE server向PPPoE client提供接入控制、认证、计费等功能。
根据PPPoE会话的起点所在位置的不同,PPPoE分为Router-Initiated和Host-Initiated两种组网结构。
如图1-1所示,在Router-Initiated组网结构中,PPPoE会话是在两台设备之间建立的,所有用户终端设备均通过该PPPoE会话进行数据传输。在这种组网结构中,PPPoE Client位于企业内部网络,PPPoE server则由运营商提供。用户终端设备无需安装PPPoE客户端拨号软件,通常一个企业使用一个共享账号接入网络。
如图1-2所示,在Host-Initiated组网结构中,每台用户终端设备都需要安装PPPoE客户端拨号软件。这些设备作为PPPoE client,与运营商的PPPoE server单独建立PPPoE会话。这样做的好处在于能够方便运营商对用户进行有效的计费和管理控制。
图1-2 Host-Initiated组网结构图
PPPoE报文的格式就是在以太网帧中携带PPP报文。其报文封装结构如图1-3所示。
表1-1 PPPoE报文字段信息描述表
|
字段 |
含义 |
|
Destination_address |
一个以太网单播目的地址或者以太网广播地址(0xffffffffffff): · 对于Discovery阶段来,该字段的值是单播或者广播地址,PPPoEClient寻找PPPoEServer的过程使用广播地址,确认PPPoEServer后使用单播地址 · 对于Session阶段,该字段必须是Discovery阶段已确定的通信对方的单播地址 |
|
Source_address |
源设备的以太网MAC地址 |
|
Ether_type |
设置为0x8863(Discovery阶段)或者0x8864(Session阶段) |
|
Ver |
4bits,PPPoE版本号,值为0x1 |
|
Type |
4bits,PPPoE类型,值为0x1 |
|
Code |
8bits,PPPoE报文类型: · Code取值为0x00,表示会话数据 · Code取值为0x09,表示PADI报文 · Code取值为0x07,表示PADO或PADT报文 · Code取值为0x19,表示PADR报文 · Code取值为0x65,表示PADS报文 |
|
Session_ID |
16bits,对于一个给定的PPP会话,该值是一个固定值,并且与以太网Source_address和Destination_address一起实际地定义了一个PPP会话。值0xffff为将来的使用保留,不允许使用 |
|
Length |
16bits,定义PPPoE的Payload长度。不包括以太网头部和PPPoE头部的长度 |
|
PPP Packet |
PPP报文结构请参见PPP的基本概念 PPP报文封装的帧格式 |
PPPoE用户上线过程要经过PPPoE协商和PPP协商两个阶段,其中PPP协商包括LCP协商、PAP/CHAP认证、NCP协商等阶段。
PPPoE协商是Device为用户分配PPPoE接入用的Session ID,用来唯一标识一条用户与Device之间的PPPoE虚拟链路。PPPoE的协商过程如图1-4所示。
(1) 用户广播一个PADI(PPPoE Active Discovery Initiation,PPPoE激活发现起始)报文,在此报文中包含用户想要得到的服务类型信息。
(2) 以太网内的所有接入集中器(如图中的Device)在收到这个初始化报文后,将其中请求的服务与自己能提供的服务进行比较,其中可以为此用户提供此服务的Device回应PADO(PPPoE Active Discovery Offer,PPPoE激活发现服务)报文。
(3) 用户可能会收到多个Device回应的PADO报文。用户根据一定的条件从返回PADO报文的Device中选定符合条件的Device,并向它返回一个会话请求报文PADR(非广播)(PPPoE Active Discovery Request,PPPoE激活发现请求),在PADR报文中封装所需的服务信息。
(4) 被选定的Device在收到PADR报文后开始进入PPP会话阶段。它会产生一个会话标识以唯一的标识它和主机的这段PPPoE会话。并把这个特定的会话标识包含在会话确认报文PADS(PPPoE Active Discovery Session-confirmation,PPPoE激活发现会话确认)中回应给用户,如果没有错误发生就进入到PPP会话阶段,而用户在收到会话确认报文后如果没有错误发生也进入到PPP会话阶段。
图1-4 PPPoE协商过程
PPP协商包括LCP协商、PAP/CHAP认证、NCP协商等阶段。
进入PPP协商阶段后,首先开始LCP协商,LCP协商过程如图1-5所示:
(1) 用户与Device互相发送LCP Configure-Request报文。
(2) 双方收到Configure-Request报文后,根据报文中协商选项支持情况做出适当的回应(请参见表1-2)。若两端都回应了Configure-ACK,则标志LCP链路建立成功,否则会继续发送Request报文:
¡ 如果在设定的LCP协商间隔与协商次数内,对端回应了Configure-ACK,则LCP链路建立成功。
¡ 如果在超过了设定的LCP协商次数后,对端尚未回应Configure-ACK,则终止LCP协商。
(3) LCP链路建立成功后,Device会周期性的向用户发送LCP Echo-Request报文,然后接收对端回应的Echo-Reply报文,来探测LCP链路是否正常,以维持LCP连接。
图1-5 LCP协商的基本过程
|
回应报文类型 |
含义 |
|
Configure-ACK |
若完全支持对端的LCP选项,则回应Configure-ACK报文,报文中必须完全协带对端Request报文中的选项 |
|
Configure-NAK |
若支持对端的协商选项,但不认可该项协商的内容,则回应Configure-NAK报文,在Configure-NAK的选项中填上本端期望的内容,如:对端MRU值为1500,而本端期望MRU值为1492,则在Configure-NAK报文中埴上1492 |
|
Configure-Reject |
若不能支持对端的协商选项,则回应Configure-Reject报文,报文中带上不能支持的选项 |
LCP协商完成后,进入认证阶段,分为PAP认证和CHAP认证两种认证方式。
· PAP认证
PAP为两次握手协议,它通过用户名及密码来对用户进行认证,且以明文的方式传递用户名及密码,因此,适用于对网络安全要求相对较低的环境。PAP认证过程如图1-6所示:
a. 被认证方发送本端的用户名及密码到认证方。
b. 认证方根据本端的用户表查看是否存在此用户。若存在,则认证密码是否正确。
- 若密码正确,则发送Authenticate-ACK报文到对端,通告对端已被允许进入下一阶段协商。
- 若密码不正确,则发送Authenticate-NAK报文到对端,通告对端认证失败。
若不存在,则认证失败。
认证失败后,不会直接将链路关闭。只有当认证不过次数达到一定值时,才会关闭链路。
图1-6 PAP认证流程
· CHAP认证
CHAP为三次握手协议。只在网络上传输用户名,并不传输用户密码,因此它的安全性要比PAP高。CHAP的认证如图1-7所示。
c. 认证方主动发起认证请求,认证方向被认证方发送一些包含随机数的报文(Challenge),并同时将本端的用户名附带上一起发送给被认证方。
d. 被认证方接到认证方的认证请求后,先检查本端接口上是否配置了CHAP密码。
- 若已配置CHAP密码,则被认证方通过哈希算法对报文ID、配置的密码和报文中的随机数计算哈希值,将该哈希值和自己的用户名发回认证方(Response)。
- 若未配置CHAP密码,则根据此报文中认证方的用户名在本端的用户表查找该用户对应的密码,通过哈希算法对报文ID、此用户的密码和报文中的随机数计算哈希值,将生成的哈希值和被认证方自己的用户名发回认证方(Response)。
e. 认证方通过哈希算法对报文ID、自己保存的被认证方密码和Challenge报文中的随机数计算哈希值,并与Response报文中的哈希值进行比较,若比较结果一致,认证通过,若比较结果不一致,认证失败。
图1-7 CHAP认证流程
NCP协商主要功能是协商PPP报文的网络层参数,如IPCP、IPv6CP等,其中最为常见的是IPCP协议。PPPoE用户主要通过IPCP协议来获取访问网络的IP地址或IP地址段。
如图1-8所示,NCP流程与LCP流程类似,用户与Device之间互相发送Configure-Request报文并且互相回应Configure-ACK报文后,标志NCP协商成功,可以正常访问网络。
图1-8 NCP的基本协商流程
下面将介绍NCP协商中常见的IPCP协议及IPv6CP协议。
· IPCP
IPCP协商过程是基于PPP状态机进行协商的。经过双方协商,通过配置请求、配置确认、配置否认等报文交换配置信息,最终IPCP状态由initial(或closed)状态变为Opened状态。IPCP状态变为Opened的条件必须是发送方和接收方都发送和接收过确认报文。
IPCP协商过程中,协商报文可包含多个选项,即参数,如IP Address、网关、掩码等。各个选项的拒绝或否认都不影响IPCP的协商成功,此外,IPCP还支持无选项协商。
· IPv6CP
IPv6控制协议(IPv6CP)是一种网络控制协议。IPv6CP主要负责在点对点链路终端双方上配置,可用及停用IPv6协议模块,可协商的参数包括接口ID和IPv6压缩协议。IPv6CP使用与链路控制协议(LCP)相同的包交换机制。但只有在PPP达到网络层协议阶段时,IPv6CP包才可以被交换。在达到这种阶段前接收的IPv6CP包需要被丢弃。
目前,IPv6CP协商的选项只支持接口ID的协商,不支持IPv6压缩协议的协商。
IPv6网络中,PPP用户与IPoE用户都需要使用ND协议或DHCPv6协议完成全球单播地址和配置信息的分配,使用DHCPv6协议的IA_PD选项完成CPE路由模式下LAN口IPv6前缀的分配。
在PPPoE用户上线交互过程中,会对接口MTU及MRU的值进行协商,然后进行双方报文的发送及接收。其协商方式主要分为如下两种。
PPPoE发现阶段:
· 如果用户报文中携带PPP-Max-Payload字段且该值大于1492,该值将和BAS接口下的MTU值减8进行比较,取较小值作为协商值,并命名为PPP_MRU_Max,该协商值不是最终MTU协商结果,是作为参考值之一。
· 如果用户报文中携带的PPP-Max-Payload字段小于等于1492。则PPP_MRU_Max取缺省值1492,作为参考值之一。
· 如果用户报文没有携带PPP-Max-Payload字段,则取PPP_MRU_Max为0,不作为参考值之一。
LCP协商阶段:
· 用户如果在LCP阶段的Config-Request报文中携带有MRU字段:
¡ 如果用户报文中携带的MRU与PPPoE发现阶段协商出的PPP_MRU_Max相等,将取用户携带的MRU作为用户的最终MTU。
¡ 如果用户报文中携带的MRU与PPPoE发现阶段协商出的PPP_MRU_Max不相等或者PPP_MRU_Max为0,用户携带的MRU将会和VT下的MTU值减8进行比较,取最小值作为用户的最终MTU。
· 用户如果在LCP阶段的Config-Request报文没有携带MRU字段,则取1492和VT下的MTU值减8进行比较,取最小的值作为用户最终的MTU。
PPPoE发现阶段:
· 用户报文中如果携带PPP-Max-Payload字段,该值与BAS口下的MTU的较小值作为协商值,命名为PPP_MRU_Max,该值不是最终MTU协商结果,是作为参考值之一。
· 用户报文中如果没有携带PPP-Max-Payload字段,则取PPP_MRU_Max为缺省值0,不作为参考值。
LCP协商阶段:
· 用户如果在LCP阶段的Config-Request报文携带有MRU字段,该值将会和VT下的MTU比较,取最小值作为用户的最终MTU。
· 用户如果在LCP阶段的Config-Request报文没有携带MRU字段:
¡ 如果用户在PPPoE发现阶段没有协商PPP_MRU_Max,则取VT下的MTU作为用户最终的MTU。
¡ 如果在PPPoE发现阶段协商了PPP_MRU_Max,则取VT下的MTU和PPP-Max-Payload的最小值作为用户最终的MTU。
为满足校园网用户对网络出口多样化的需求,以及学校自身简化校园网搭建和维护的需要,越来越多的高校选择与运营商联合运营,共同建设校园网。联合运营场景下,通过部署PPPoE代拨功能(即PPPoE agency),可以为校园网用户提供自主选择运营商网络,以及通过模拟PPPoE client向对应运营商网络中的PPPoE server自动为其发起PPPoE拨号上网的服务。该功能不仅简化了校方和运营商的联合运营模式,又为学生提供了极佳的网络体验。
在PPPoE代拨组网中,根据提供PPPoE代拨功能的设备不同分为如下两种模式:
· 一体化PPPoE代拨模式:该模式下,由校内BRAS设备兼任PPPoE代拨设备,即由校园网BRAS设备同时提供校园网用户的BRAS接入认证功能和PPPoE代拨功能。
· PPPoE代拨网关模式:该模式下,PPPoE代拨功能由一台独立的运营商BRAS设备(PPPoE代拨网关)提供,不再由校园网BRAS设备兼任PPPoE代拨设备。根据PPPoE代拨网关设备部署的位置不同,代拨网关分为学校侧代拨网关和运营商侧代拨网关。
¡ 学校侧代拨网关:在校园网中部署代拨网关。
¡ 运营商侧代拨网关:在运营商网络中部署代拨网关。
如图1-9所示,一体化PPPoE代拨模式下,由校内BRAS设备兼任PPPoE代拨设备,即由校园网BRAS设备同时提供校园网用户的BRAS接入认证功能和PPPoE代拨功能
图1-9 一体化PPPoE代拨模式组网示意图
一体化PPPoE代拨模式下,PPPoE代拨的基本工作过程如下:
(1) 校内用户在运营商处开通运营商“代拨”业务,并在校内AAA服务器上将运营商提供的“代拨”账号与校内账号进行绑定。对于“代拨”账号与校内账号的绑定操作,具体是校内用户自己绑定还是校内用户上报给校园网管理员,然后由校园网管理员代为绑定以校内AAA服务器的支持情况为准。
(2) 校内用户使用校内账号在校内BRAS设备认证上线后,BRAS设备在维护校内用户的校内接入认证用户信息的同时,会将该用户标记为PPPoE代拨用户,即针对每个开通了“代拨”业务的校内用户,在校内BRAS设备上都会为其标记并维护“校内接入认证用户”和“PPPoE代拨用户”两种身份,其中:
¡ 对于校内用户的内网流量,BRAS设备按照上线时的校内接入认证用户(如IPoE用户)处理,直接放行内网流量。
¡ 对于校内用户的外网流量,BRAS设备按照PPPoE代拨用户处理。
(3) 当校内AAA服务器收到校内BRAS设备发送的关于某用户的计费开始报文时,校内AAA服务器会通过COA消息通知校内BRAS设备为计费用户启动PPPoE代拨,COA消息中会携带该用户开通的“代拨”账号等信息。
(4) 校内BRAS设备根据收到的COA消息,模拟PPPoE client,并使用COA消息中携带的“代拨”账号信息通过代拨接口向对应运营商的BRAS设备发起PPPoE代拨。其中,运营商BRAS设备担任PPPoE server角色。
(5) 运营商对PPPoE代拨用户进行认证,认证通过后,经过NCP协商,由运营商为PPPoE代拨用户分配IP地址等信息。
(6) 代拨成功后,校内BRAS设备上会生成并维护该代拨用户的会话信息。
(7) 当校内BRAS设备收到用户的外网流量时,先将报文源IP地址替换成运营商为代拨用户分配的IP地址,再将报文进行PPPoE封装后转发给对应运营商BRAS设备。
(8) 当校内BRAS设备收到外网回程流量时,先对报文进行PPPoE解封装,再将报文目的IP地址替换成用户的校内IP地址后转发给对应校内用户。
在学校侧代拨网关组网中,支持下列2种组网方案:
· 多家运营商共用一台PPPoE代拨网关设备,如图1-10所示。
· 每家运营商各自单独使用一台PPPoE代拨网关设备,如图1-11所示。
图1-10 学校侧代拨网关(多家运营商共享代拨网关)组网示意图
在学校侧代拨网关组网中,PPPoE代拨的基本工作过程如下:
(1) 校内用户在运营商处开通运营商“代拨”业务,并在校内AAA服务器上将运营商提供的“代拨”账号与校内账号进行绑定。对于“代拨”账号与校内账号的绑定操作,具体是校内用户自己绑定还是校内用户上报给校园网管理员,然后由校园网管理员代为绑定以校内AAA服务器的支持情况为准。
(2) 校内用户使用校内账号在校内BRAS设备认证上线后,校内AAA服务器根据上线用户的校内账号信息查询该校内账号绑定的运营商代拨账号。
(3) 校内AAA服务器查询到校内账号绑定的运营商代拨账号时,通过COA消息通知PPPoE代拨网关为用户启动PPPoE代拨,COA消息中会携带该用户开通的“代拨”账号等信息。
(4) PPPoE代拨网关根据收到的COA消息,模拟PPPoE client,并使用COA消息中携带的“代拨”账号信息通过代拨接口向对应运营商的BRAS设备发起PPPoE代拨。其中,运营商BRAS设备担任PPPoE server角色。
(5) 运营商对PPPoE代拨用户进行认证,认证通过后,经过NCP协商,由运营商为PPPoE代拨用户分配IP地址等信息。
(6) 代拨成功后, PPPoE代拨网关上会生成并维护该代拨用户的会话信息。
(7) 当校内BRAS设备收到用户的外网流量时,将报文发送给PPPoE代拨网关。
(8) PPPoE代拨网关收到用户的外网流量时,先将报文源IP地址替换成运营商为代拨用户分配的IP地址,再将报文进行PPPoE封装后转发给对应运营商BRAS设备。
(9) 当PPPoE代拨网关收到外网回程流量时,先对报文进行PPPoE解封装,再将报文目的IP地址替换成用户的校内IP地址后转发给对应的校内BRAS设备。
(10) 校内BRAS设备收到外网回程流量时,根据校内接入认证用户会话信息,将报文转发给对应的校内用户。
如图1-12所示,PPPoE代拨功能由一台独立的运营商BRAS设备(PPPoE代拨网关)提供,不再由校园网BRAS设备兼任PPPoE代拨设备。
图1-12 PPPoE代拨网关模式组网示意图
在运营商侧代拨网关组网中,PPPoE代拨的基本工作过程如下:
(1) 校内AAA服务器和运营商AAA服务器之间建立通信通道,该通道用于二者之间传输校内用户账号等信息。
(2) 校内用户在运营商处开通运营商“代拨”业务,并由运营商负责在运营商AAA服务器上将运营商提供的“代拨”账号与校内账号进行绑定。
(3) 校内用户使用校内账号在校园网BRAS设备认证上线后,由校内AAA服务器通过自己与运营商AAA服务器之间建立的通信通道将校内用户账号等信息发送给运营商AAA服务器。
(4) 运营商AAA服务器根据收到的校内账号信息查询该校内账号绑定的运营商代拨账号。
(5) 运营商AAA服务器查询到校内账号绑定的运营商代拨账号时,通过COA消息通知PPPoE代拨网关为用户启动PPPoE代拨,COA消息中会携带该用户开通的“代拨”账号等信息。
(6) PPPoE代拨网关根据收到的COA消息,模拟PPPoE client,并使用COA消息中携带的“代拨”账号信息通过代拨接口向对应运营商的BRAS设备发起PPPoE代拨。其中,运营商BRAS设备担任PPPoE server角色。
(7) 运营商对PPPoE代拨用户进行认证,认证通过后,经过NCP协商,由运营商为PPPoE代拨用户分配IP地址等信息。
(8) 代拨成功后,PPPoE代拨网关上会生成并维护该代拨用户的会话信息。
(9) 当校园网BRAS设备收到用户的外网流量时,将报文发送给PPPoE代拨网关。
(10) PPPoE代拨网关收到用户的外网流量时,先将报文源IP地址替换成运营商为代拨用户分配的IP地址,再将报文进行PPPoE封装后转发给对应运营商BRAS设备。
(11) 当PPPoE代拨网关收到外网回程流量时,先对报文进行PPPoE解封装,再将报文目的IP地址替换成用户的校内IP地址后转发给对应的校内BRAS设备。
(12) 校园网BRAS设备收到外网回程流量时,根据校内接入认证用户会话信息,将报文转发给对应的校内用户。
与PPPoE相关的协议规范有:
RFC 2516:A Method for Transmitting PPP Over Ethernet (PPPoE)
配置PPPoE server功能时,需要注意:
· 本设备仅支持作为PPPoE server,不支持作为PPPoE client(PPPoE agency组网中模拟PPPoE client代拨除外)。
· standard工作模式下,仅下表所列单板支持本功能。
表1-3 单板信息一览表
|
单板类型 |
单板丝印 |
|
CEPC单板 |
CEPC-XP4LX、CEPC-XP24LX、CEPC-XP48RX、CEPC-CP4RX、CEPC-CP4RX-L |
|
CSPEX单板 |
CSPEX-1304X、CSPEX-1404X、CSPEX-1502X、CSPEX-1504X、CSPEX-1602X、CSPEX-1804X、CSPEX-1512X、CSPEX-1612X、CSPEX-1812X、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G、CSPEX-2304X-LG |
|
SPE单板 |
RX-SPE200、RX-SPE200-E |
· sdn-wan工作模式下,设备不支持本功能。
配置PPPoE agency功能时,需要注意:
· standard工作模式下,仅下表所列单板支持本功能。
表1-4 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G、CSPEX-2304X-LG |
|
SPE单板 |
RX-SPE200-E |
· sdn-wan工作模式下,设备不支持本功能。
· 当校园网用户为三层接入IPoE用户时,如果需要为这类用户提供PPPoE代拨服务,在运营商的PPPoE server设备上需要通过pppoe-server session-limit per-mac命令配置每个用户所能创建PPPoE会话的最大数目大于等于实际校园网内网用户的个数,否则因MAC地址冲突导致PPPoE代拨用户无法上线。
· 配置了PPPoE代拨功能的用户组不允许和ACL报文过滤(由packet-filter命令配置)的ACL规则中指定的用户组相同,否则代拨功能不可用。
· 仅一体化组网支持PPPoE代拨功能,转发与控制分离组网不支持。
· 仅IPv4单播业务支持PPPoE代拨功能,不支持IPv6,不支持组播。
· 代拨场景下,运营商侧PPPoE server仅支持PAP认证和CHAP认证,不支持MSCHAP和MSCHAPv2的认证。
· 代拨网关接入接口和代拨接口(包括一体化代拨模式和代拨网关模式)都仅支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口。其中,对于代拨网关接入接口和代拨接口的子接口都有如下要求:
¡ 支持普通VLAN终结方式,不支持用户VLAN终结方式。
¡ 支持明确的Dot1q终结和QinQ终结,不支持模糊的Dot1q终结和QinQ终结。
¡ 不支持Untagged终结和Default终结。
在PPPoE应用中,广告推送功能仅对使用80和8080端口号的HTTP报文生效。
在PPPoE server作为DHCP relay的中继组网中,对于普通IP地址池,涉及下列命令的配置时,要求DHCP relay和远端DHCP server保持一致:
· DHCPv4
¡ network命令(用来配置IP地址池动态分配的IP地址网段)
¡ address range命令(用来配置IP地址池动态分配的IP地址范围)
¡ forbidden-ip命令(用来配置IP地址池中不参与自动分配的IP地址)
上述命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”。
· DHCPv6:
¡ network命令(用来配置IPv6地址池动态分配的IPv6地址网段)
¡ address range命令(用来配置地址池中动态分配的IPv6非临时地址范围)
¡ forbidden-address命令(用来配置不参与自动分配的IPv6地址或地址段)
¡ forbidden-prefix命令(用来配置不参与自动分配的IPv6前缀或前缀段)
¡ prefix-pool命令(用来配置地址池引用前缀池,以便从前缀池中动态选择前缀分配给客户端)
上述命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCPv6”。
为解决传统BRAS(Broadband Remote Access Server,宽带远程接入服务器)中存在的控制平面与转发平面能力不匹配、无法共享资源以及新业务部署不及时等问题,业界提出了基于vBRAS(Virtual Broadband Remote Access Server,虚拟化宽带远程接入服务器)的转发与控制分离方案。
转发与控制分离是指将转发平面与控制平面完全解耦,二者互不约束。在转发与控制分离方案中,包括CP和UP两种角色,由二者共同实现BRAS功能。其中:
· CP(Control Plane,控制平面):负责完成用户身份认证、地址分配与管理等控制平面功能。其中,CP一般由vBRAS系列虚拟宽带远程接入服务器担任。
· UP(User Plane,用户平面):负责完成用户数据流量转发和流量控制等转发平面功能。其中,UP可由路由器或者vBRAS虚拟宽带远程接入服务器担任。
CP和UP之间通过建立如下三条通道实现转发与控制分离功能:
· 管理通道:用作CP和UP之间配置下发的通道。
· 控制通道:用作CP和UP之间表项下发的通道。
· 协议通道:用作CP和UP之间协议报文交互的通道。
在转发与控制分离的组网环境中,PPPoE server有三种工作模式:普通模式、控制模式和转发模式。其中控制模式和转发模式又统称为转发与控制分离模式。
· 普通模式:本模式下,不区分CP和UP,BRAS模块的控制及数据转发业务均由同一台设备完成。工作在本模式的设备称作一体化设备。
· 控制模式:根据CP功能的实现方式不同,目前支持以下两种控制模式。
¡ session模式:该模式基于远端接口实现CP功能。当CP所连接的UP设备支持PPPoE功能时,可采用session模式,工作在session模式的CP将会向UP发送BRAS会话信息,UP根据从CP收到的BRAS会话信息指导数据报文转发。有关远端接口的介绍,请参见vBRAS-CP产品配置指导中的“CP-UP连接管理”。
· 转发模式:本模式下,设备仅完成数据转发业务。工作在本模式的设备称作UP。
· 除特殊说明外,本手册中的PPPoE Server均指工作在普通模式的情况。
· 转发与控制分离模式下,本设备仅支持作为UP,不支持作为CP。
在session模式下,UP会将接收到的认证报文通过VXLAN隧道上送给CP进行认证授权,认证通过之后CP上创建PPPoE会话并将PPPoE会话及授权信息等通过CUSP通道发送给UP,具体流程如图1-13所示。
图1-13 session模式下PPPoE用户接入流程图
1. 用户主机向UP发送PPPoE discovery(发现阶段所有报文统称)报文。
(2) UP通过VXLAN隧道将报文上送CP处理。
(3) CP创建PPPoE会话,进行PPP协商,CP向AAA服务器发送认证请求,认证请求消息中包含用户名和密码等信息。
(4) AAA服务器返回认证结果,若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文,CP获取用户认证和授权结果,若用户认证失败,用户下线,认证成功,则继续进行NCP协商。
(5) NCP协商成功后,CP将PPPoE会话通过CUSP通道发送给UP。
(6) CP向AAA服务器发送计费开始报文,开始对该用户计费。
(7) UP定时收集用户流量,并通过CUSP通道上送CP。
普通模式下PPPoE server配置任务如下:
(1) 配置PPPoE会话
(2) (可选)配置允许创建PPPoE会话的最大数目
(3) (可选)配置PPPoE日志功能
(4) (可选)配置限制用户创建PPPoE会话的速度
(5) (可选)配置PPPoE会话的NAS-PORT-ID属性相关参数
当需要根据NAS-PORT-ID精确获取PPPoE用户的接入接口的物理位置信息时需要配置本功能。
(7) (可选)配置PPPoE server的Service Name
(8) (可选)配置设备每秒能够接收PADI报文的最大数目
(9) (可选)配置PPPoE用户静默功能
(10) (可选)配置PPPoE协议报文防攻击功能
(11) (可选)配置禁止PPPoE用户上线功能
(12) (可选)配置PPPoE用户的接入响应延迟时间
(13) (可选)配置PPPoE用户接入响应延迟的MAC地址偏移值
· 在转发与控制分离组网中,本设备仅支持作为UP,不支持作为CP。
· 本节仅介绍本设备作为UP时的相关配置。有关CP的相关配置,请参见担任CP角色的设备的产品手册。
当UP上联的CP工作在session模式时,UP配置任务如下:
(1) 配置设备工作在转发模式
(2) 配置CP-UP连接管理
在PPPoE server转发与控制分离模式组网环境中,当UP上联的CP工作在session模式时,需要通过本节配置指定设备工作在转发模式。
(1) 进入系统视图。
system-view
(2) 配置设备工作在转发模式。
work-mode user-plane
缺省情况下,设备工作在普通模式。
本命令的详细介绍请参见“BRAS业务命令参考”中的“UCM”。
具体配置请参见vBRAS-CP产品配置指导中的“CP-UP连接管理”。
(1) 进入系统视图。
system-view
(2) 创建虚拟模板接口并进入指定的虚拟模板接口视图。
interface virtual-template number
(3) 配置PPP的工作参数
具体工作参数的配置请参见“BRAS业务配置指导”中的“PPP”。
当配置PPP认证时,需要配置PPPoE server作为认证方。
(4) 退回系统视图。
quit
(5) 进入接口视图。
interface interface-type interface-number
(6) 在接口上启用PPPoE server协议,将该接口与指定的虚拟模板接口绑定。
pppoe-server bind virtual-template number
缺省情况下,接口上的PPPoE server协议处于关闭状态。
(7) (可选)配置PPPoE server的AC Name(Access Concentrator Name,接入集中器名称)。
pppoe-server tag ac-name name
缺省情况下,PPPoE server的AC Name为设备名称。
PPPoE client可以根据AC Name来选择PPPoE server。
(8) (可选)配置对PPP最大负载TAG的支持,并指定最大负载的范围。
pppoe-server tag ppp-max-payload [ minimum min-number maximum max-number ]
缺省情况下,不支持PPP最大负载TAG。
(9) 退回系统视图。
quit
(10) 配置PPPoE server对PPP用户进行认证、授权、计费。
相关内容请参见“BRAS业务配置指导”中的“AAA”。
系统创建PPPoE会话时,需同时满足如下限制,若其中任何一项不满足,则无法创建会话:
· 接口上每个用户所能创建PPPoE会话的最大数目限制。
· 接口上每个VLAN所能创建PPPoE会话的最大数目限制。
· 接口上所能创建PPPoE会话的最大数目限制。
· 单板所能创建PPPoE会话的最大数目限制。(独立运行模式)(IRF模式)
如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
建议设备上配置的所有单板/成员设备所能创建PPPoE会话的最大数目之和,不要超过整机PPPoE的最大会话数,否则会有部分PPPoE用户因为整机最大用户数已达到而无法上线。(独立运行模式)(IRF模式)
在接口板上配置pppoe-server session-limit total命令时,无法限制全局接口(例如聚合接口)上能创建的最大PPPoE会话数目;在主控板上配置pppoe-server session-limit total命令时,该命令只能限制全局接口上能创建的PPPoE会话总数。在备用主控板上配置pppoe-server session-limit total命令后,只有当备用主控板通过主备倒换成为主用主控板时,该命令才能生效。(独立运行模式)(IRF模式)
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 配置允许创建PPPoE会话的最大数目。
¡ 配置每个接口上所能创建PPPoE会话的最大数目。
pppoe-server session-limit number
缺省情况下,不限制接口上所能创建PPPoE会话的数目。
¡ 配置每个VLAN所能创建PPPoE会话的最大数目。
pppoe-server session-limit per-vlan number
缺省情况下,不限制每个VLAN所能创建PPPoE会话的数目。
¡ 配置每个用户所能创建PPPoE会话的最大数目。
pppoe-server session-limit per-mac number
缺省情况下,每个用户可创建1个PPPoE会话。
(1) 进入系统视图。
system-view
(2) 配置允许创建PPPoE会话的最大数目。
(独立运行模式)
pppoe-server session-limit slot slot-number [ cpu cpu-number ] total number
(IRF模式)
pppoe-server session-limit chassis chassis-number slot slot-number [ cpu cpu-number ] total number
缺省情况下,不限制允许创建的PPPoE会话数目。
PPPoE日志是为了满足网络管理员维护的需要,对PPPoE达到会话限制的信息进行记录,包括接口会话限制、MAC会话限制、VLAN会话限制、系统会话限制。
开启PPPoE日志功能后,当PPPoE会话数目达到每个接口、每个用户、每个VLAN或整个系统允许的最大会话数目时,如果再有新的用户请求上线,设备将生成日志信息。设备生成的PPPoE日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的PPPoE日志信息,一般情况下建议不要开启此功能。
(1) 进入系统视图。
system-view
(2) 开启PPPoE日志功能。
pppoe-server log enable
缺省情况下,PPPoE日志功能处于关闭状态。
设备可以限制特定接口下每个用户(每个用户通过MAC地址进行标识)创建会话的速度。如果用户建立会话的速度达到门限值,即在监视时间段内该用户的会话请求数目达到配置的允许数目,则扼制该用户新的会话请求,在监视时间段内该用户的超出允许数目的请求都会被丢弃,并输出对应的Log信息。如果扼制时间配置为0,表示不扼制会话请求,但仍然会输出Log信息。
· 监视表:监视各用户在监视时间周期内创建的会话数。监视表的规格为8K。当监视表达到规格时,对新用户的会话请求不进行监视和扼制,正常建立会话。监视表项的老化时间为配置的session-request-period值,老化后对用户重新监视。
· 扼制表:当某用户建立会话的速度超过门限值时,会将该用户的信息加入扼制表,扼制该用户的会话请求。扼制表规格为8K。当扼制表达到规格时,对新用户的会话请求只进行监视和发送Log信息,但不触发扼制。扼制表项的老化时间为配置的blocking-period值,老化后对用户重新监视。
修改本功能的配置后,系统将删除已记录的监视表和扼制表,重新开始监视每个用户的会话请求。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 配置接口允许每个用户创建会话的速度。
pppoe-server throttle per-mac session-requests session-request-period blocking-period
缺省情况下,不限制会话建立的速度。
如图1-14所示,在PPPoE+组网,或者含有DSLAM的组网中,PPPoE+设备(一般为部署了PPPoE+特性的Switch)或DSLAM通过接入线路ID(access-line-id)把用户的物理位置信息传送给BRAS设备(PPPoE server功能部署在BRAS设备上),接入线路ID的内容包括circuit-id和remote-id两部分。BRAS设备直接将接入线路ID复制到RADIUS的NAS-PORT-ID属性中发送给RADIUS服务器,RADIUS服务器通过收到的NAS-PORT-ID属性和数据库中已配置好的物理位置信息比较,验证用户的物理位置信息是否正确。
用户可以通过下面的配置控制BRAS设备上传给RADIUS服务器的NAS-PORT-ID属性的内容。
图1-14 PPPoE+组网示意图
如果在RADIUS方案视图下配置了attribute 87 format命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由该命令决定,PPPoE模块定义的RADIUS NAS-Port-ID属性格式不再生效。有关attribute 87 format命令的详细介绍,请参见“BRAS业务命令参考”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 配置上传给RADIUS服务器的NAS-PORT-ID属性中包含的内容。
pppoe-server access-line-id content { all [ separator ] | circuit-id | remote-id }
缺省情况下,上传给RADIUS服务器的NAS-PORT-ID属性中仅包含circuit-id。
(4) 配置在NAS-PORT-ID属性中自动插入BAS信息。
pppoe-server access-line-id bas-info [ cn-163 | cn-163-redback ]
缺省情况下,在NAS-PORT-ID属性中不自动插入BAS信息。
(5) 配置设备信任接收到的报文中的接入线路ID的内容。
pppoe-server access-line-id trust
缺省情况下,设备不信任接收到的报文中的接入线路ID的内容。
(6) 配置接入线路ID中circuit-id的传输格式。
pppoe-server access-line-id circuit-id trans-format { ascii | hex }
缺省情况下,接入线路ID中circuit-id的传输格式为字符串格式。
(7) 配置接入线路ID中remote-id的传输格式。
pppoe-server access-line-id remote-id trans-format { ascii | hex }
缺省情况下,接入线路ID中remote-id的传输格式为字符串格式。
(8) 配置在NAS-PORT-ID属性中插入VXLAN信息
pppoe-server access-line-id vxlan-info enable
缺省情况下,在NAS-PORT-ID属性中不插入VXLAN信息。
缺省情况下,设备使用用户上线的接口信息填充NAS-PORT-ID属性上送RADIUS服务器。在某些特殊应用中,当需要手工指定用于填充NAS-PORT-ID属性的上线接口信息时,可配置本特性。例如,若RADIUS服务器上限制了用户A只能通过接口A上线,当用户A切换到一个新接口B上线时,若不想更改RADIUS服务器的配置,可通过本特性配置用户A仍使用接口A的信息填充NAS-PORT-ID属性上送RADIUS服务器。
当BAS信息采用中国电信163格式且配置了pppoe-server nas-port-id interface命令时:
· 若同时配置了access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:
¡ 非转发与控制分离组网:chassis=NAS_chassis;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
¡ 转发与控制分离组网中:chassis=UP_ID;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
· 若未配置access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
当BAS信息采用中国电信格式且配置了pppoe-server nas-port-id interface命令时:
· 若同时配置了access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:
¡ 非转发与控制分离组网:{eth|trunk|atm} NAS_chassis/NAS_slot/NAS_subslot/NAS_port。
¡ 转发与控制分离组网:{eth|trunk|atm} UP_ID/NAS_slot/NAS_subslot/NAS_port。
· 若未配置access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:{eth|trunk|atm} NAS_slot/NAS_subslot/NAS_port。
如果在RADIUS方案视图下配置了attribute 87 format命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由该命令决定,PPPoE模块定义的RADIUS NAS-Port-ID属性格式不再生效。有关attribute 87 format命令的详细介绍,请参见“BRAS业务命令参考”中的“AAA”。
本特性仅在设备上通过pppoe-server access-line-id bas-info命令配置了在NAS-PORT-ID属性中自动插入BAS信息的情况下才生效。
若配置本特性,除使用本特性的配置填充NAS-PORT-ID属性外,还将填充NAS-PORT属性。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置使用指定接口信息填充RADIUS的NAS-PORT-ID属性。
pppoe-server nas-port-id interface interface-type interface-number
缺省情况下,使用用户上线的接口信息填充NAS-PORT-ID。
在转发与控制分离组网环境中,本命令中指定的接口必须是UP上PPPoE用户的接入接口,接口编号形式为UP ID/UP上实际接入接口编号,例如用户通过UP 1024上的Ten-GigabitEthernet3/1/1接口接入,则本命令中指定的接口编号应为1024/3/1/1。
当PPPoE server收到PPPoE client的PADI/PADR报文时,需要检查报文中的Service Name TAG字段并和本机上配置的Service Name进行匹配,只有匹配成功,PPPoE server才会接受PPPoE client的会话建立请求。不同匹配模式下的匹配规则有所不同,具体请见表1-5。
|
匹配模式 |
PPPoE client |
PPPoE server |
匹配结果 |
|
精确匹配 |
未指定Service Name |
配置的Service Name数目小于8 |
成功 |
|
配置的Service Name数目等于8 |
失败 |
||
|
指定Service Name |
已配置和客户端相同的Service Name |
成功 |
|
|
不存在和客户端相同的Service Name |
失败 |
||
|
模糊匹配 |
未指定Service Name |
任何配置 |
成功 |
|
指定Service Name |
已配置和客户端相同的Service Name,或配置的Service Name数目小于8 |
成功 |
|
|
不存在和客户端相同的Service Name,且配置的Service Name数目等于8 |
失败 |
当组网环境中存在两个或者两个以上PPPoE server提供不同的服务时,PPPoE client可以根据自身的Service Name选择不同的服务器来建立连接,这时PPPoE server将根据本机上的Service Name来进行匹配处理。
每接口下最多可配置8个Service Name。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置PPPoE server的Service Name匹配模式为精确匹配。
pppoe-server service-name-tag exact-match
缺省情况下,Service Name的匹配模式为模糊匹配。
(4) 配置PPPoE server的Service Name。
pppoe-server tag service-name name
缺省情况下,未配置PPPoE server的Service Name。
在设备重启或者版本升级等情况下,为避免大量PPPoE用户的突发上线请求对设备性能造成影响,同时又确保PPPoE用户能够平稳上线,可以通过本命令调整设备接收PADI报文的速率。
缺省情况下,根据设备运行的主控板类型不同,单板每秒能够接收PADI报文的最大数目也有所差异,具体请见下表。
表1-6 PADI缺省情况
|
设备运行主控板的型号 |
CSR05SRP1L1 CSR05SRP1L3 CSR05SRP1P3 CSR05SRP1R3 CSR05SRP1R3A CSR05SRP1P3-G |
其它主控板 |
|
单板每秒最多能够接收PADI报文的个数 |
500 |
200 |
(1) 进入系统视图。
system-view
(2) 配置设备每秒能够接收PADI报文的最大数目
(独立运行模式)
pppoe-server padi-limit slot slot-number [ cpu cpu-number ] number
(IRF模式)
pppoe-server padi-limit chassis chassis-number slot slot-number [ cpu cpu-number ] number
缺省情况下,根据设备运行的主控板类型不同,单板每秒能够接收PADI报文的最大数目也有所差异,具体请见上表。
在转发与控制分离环境下,当设备重启或者版本升级时,为避免大量PPPoE用户的突发上线请求对设备性能造成影响,同时又确保PPPoE用户能够平稳上线,可以通过本命令统一调整指定UP上所有单板接收PADI报文的速率。
(1) 进入系统视图。
system-view
(2) 配置UP上每个slot每秒能够接收PADI报文的最大数目
pppoe-server padi-limit per-slot number
缺省情况下,UP上每个slot每秒能够接收PADI报文的最大数目为2000。
在PPPoE链路建立过程的Discovery阶段,PPPoE client会通过发送PADI/PADR报文寻找可为其提供接入服务的PPPoE server,并可在PPPoE会话建立起来后的任意时间发送PADT报文终止PPPPoE会话。
为防止大量用户频繁上下线或非法用户通过协议报文发起攻击占用设备大量系统资源,可配置PPPoE用户静默功能。配置本功能后,当某PPPoE用户在检测周期内的上下线次数或请求连接次数达到指定次数时,将被静默一段时间。在静默周期内,设备直接丢弃来自此PPPoE用户的报文,同时设备会继续对处于静默周期内的PPPoE用户进行防攻击检测,如果在静默定时器超时前该PPPoE用户达到条件“(本次静默之后的丢包数×request-period)≥(requests×blocking-period)”,设备会将该PPPoE用户的静默时间延长一个静默周期。静默期后,如果设备再次收到该PPPoE用户的报文,则依然可以对其进行认证处理。
设备目前支持基于MAC地址和基于Option 105两种方式的PPPoE用户静默功能。
您既可在系统视图下配置本命令也可在接口视图下配置本命令,前者对所有PPPoE用户生效,后者只对通过该接口接入的PPPoE用户生效。如果在两个视图下都配置本命令,则先达到静默条件的命令生效。
开启基于MAC地址的PPPoE静默功能后,设备将根据用户MAC地址、最外层VLAN ID和用户接入接口三个字段信息唯一标识一个静默用户。
开启基于Option 105地址的PPPoE静默功能后,设备将根据用户Circuit ID、Remote ID和用户接入接口三个字段信息唯一标识一个静默用户。
在一体化场景中,当满足静默条件时,仅在实际接收报文的接口所在slot上生成静默表项。例如,对于通过三层聚合接口接入的用户,当该用户满足静默条件时,仅会在该实际接入的三层聚合组中成员接口所在slot上生成静默表项。
在转发与控制分离场景中,当满足静默条件时:
· 基于MAC地址的PPPoE静默功能:对于通过UP设备上的全局接口接入的用户,会在管理该UP的主BRAS-VM上以及该UP的所有slot上都生成静默表项。对于通过UP设备上的局部接口接入的用户,会在管理该UP的主BRAS-VM上以及该UP上局部接口所在slot上生成静默表项。
· 基于Option 105的PPPoE用户静默功能:不论通过UP设备上的全局接口还是局部接口接入的用户,都仅会在管理该UP的主BRAS-VM上生成静默表项,不会在UP设备上生成静默表项。
(1) 进入系统视图。
system-view
(2) 开启基于MAC地址的PPPoE静默功能。
pppoe-server connection chasten [ quickoffline ] [ multi-sessions-permac ] requests request-period blocking-period
缺省情况下, 基于MAC地址的PPPoE用户在60秒内连续请求连接次数达到120次时,将被静默300秒。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 开启基于MAC地址的PPPoE静默功能。
pppoe-server connection chasten [ quickoffline ] [ multi-sessions-permac ] requests request-period blocking-period
缺省情况下,基于MAC地址的PPPoE静默功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启基于Option 105的PPPoE静默功能。
pppoe-server connection chasten option105 [ quickoffline ] requests request-period blocking-period
缺省情况下,基于Option 105的PPPoE静默功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 开启基于Option 105的PPPoE静默功能。
pppoe-server connection chasten option105 [ quickoffline ] requests request-period blocking-period
缺省情况下,基于Option 105的PPPoE静默功能处于关闭状态。
在PPPoE链路建立过程的Discovery阶段,PPPoE client会通过发送PADI/PADR报文寻找可为其提供接入服务的PPPoE server,并可在PPPoE会话建立起来后的任意时间发送PADT报文终止PPPoE会话。
为防止大量用户频繁上下线或非法用户通过协议报文发起攻击占用设备大量系统资源,可配置PPPoE协议报文防攻击功能。配置本功能后,当PPPoE server在interval时间内从某接口接收到的PPPoE协议报文个数达到number时,将对后续从该接口接收的PPPoE协议报文进行限速,限速时长为rate-limit-period。在限速时长内,当接口收到超过限速值的PPPoE协议报文时,超速部分的报文将被丢弃,同时设备会继续对处于限速时长内的接口进行防攻击检测,如果在限速时长超时前,该接口收到的PPPoE协议报文的丢包数达到条件“(本次限速之后的丢包数×interval)≥(number×rate-limit-period)”,设备会将该接口的限速时间延长一个限速时长。限速时长超时后,将解除对该接口接收PPPoE协议报文的限速。
您既可在系统视图下配置本命令也可在接口视图下配置本命令,前者对所有接口生效,后者只对该接口生效。如果在两个视图下都配置本命令,则接口下配置生效。
(1) 进入系统视图。
system-view
(2) 开启PPPoE协议报文防攻击功能。
pppoe-server connection chasten per-interface number interval rate-limit-period
缺省情况下,PPPoE协议报文防攻击功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 开启PPPoE协议报文防攻击功能。
pppoe-server connection chasten per-interface number interval rate-limit-period
缺省情况下,PPPoE协议报文防攻击功能处于关闭状态。
配置本功能后,当接口收到PADI和PADR报文后会将直接丢弃,以阻止新的PPPoE用户从该接口上线。
本功能配置后仅对新接入的PPPoE用户生效,对当前已经存在用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置禁止接口上的PPPoE用户上线。
pppoe-server block
缺省情况下,允许接口上的PPPoE用户上线。
本功能适用于管理员希望在网络中部署多台BRAS设备,并在这多台BRAS设备之间根据用户奇偶MAC地址进行用户负载分担及备份的场景。
如图1-15所示,为提供设备级备份及流量负载分担,在网络中部署了2台BRAS设备,并进行如下配置:
· 在BRAS A上配置对MAC地址为偶数的用户执行延迟响应,对MAC地址为奇数的用户采用缺省配置即不延迟响应。
· 在BRAS B上配置对MAC地址为奇数的用户执行延迟响应,对MAC地址为偶数的用户采用缺省配置即不延迟响应。
通过上述配置后,正常情况下,BRAS A将先于BRAS B响应MAC地址为奇数的用户的上线请求,故MAC地址为奇数的用户优先分担到BRAS A上线;同理,BRAS B将先于BRAS A响应MAC地址为偶数的用户的上线请求,故MAC地址为偶数的用户优先分担到BRAS B上线,从而实现用户流量在BRAS A和BRAS B之间负载分担。
图1-15 功能示意图(所有BRAS设备均正常)
当某台BRAS设备故障时,如图1-16所示,假设BRAS A故障,此时MAC地址为奇数的用户可以通过BRAS B上线,即由BRAS B为所有用户提供接入服务,从而实现设备级备份。其中:
· 对于在BRAS A故障前未上线的奇数MAC地址用户,在BRAS A故障后这类用户可直接通过BRAS B上线。
· 对于在BRAS A故障前已上线的奇数MAC地址用户,在BRAS A故障后这类用户需要先下线才可通过BRAS B上线。
图1-16 功能示意图(某台BRAS设备故障)
配置PPPoE用户接入响应延迟时间后,系统将按照配置的时间对PPPoE用户的上线请求进行延迟响应,并支持分别为奇数MAC和偶数MAC配置不同的响应延迟时间。
· 该场景中,BRAS设备之间需要做地址隔离,即公网地址池、私网地址池、NAS-IP地址,在每台BRAS设备上应是唯一配置,不能交叉复用,否则可能导致路由问题。例如:当一台BRAS设备上配置1.1.1.1为NAS-IP地址,则另一台BRAS设备的NAS-IP地址不能配置为1.1.1.1。
· 本功能可与pppoe-server access-delay odd-even mac offset命令配合使用,用来根据MAC地址偏移值灵活部署奇偶MAC用户接入响应延迟策略,具体请见pppoe-server access-delay odd-even mac offset命令。
· 本功能配置后仅对新接入的PPPoE用户生效,对当前已在线PPPoE用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置PPPoE用户接入响应延迟时间。
pppoe-server access-delay delay-time [ even-mac | odd-mac ]
缺省情况下,对PPPoE用户接入响应不延迟。
¡ 如果未指定任何参数,配置的响应延迟时间对从当前接口新接入的奇MAC用户和偶MAC用户都生效。
¡ 如果先配置了携带even-mac(或odd-mac)参数的本命令,再配置未携带任何参数的本命令,则后者会覆盖前者,反之亦然。
奇偶位,是指BRAS设备用来判断用户奇偶MAC的比特位。其中,该比特位取值为0,表示用户为偶数MAC;取值为1,表示用户为奇数MAC。
缺省情况下,设备只能选取用户MAC地址的最低比特位作为奇偶位来判断奇偶MAC,然后再根据奇偶MAC的延迟时间(由pppoe-server access-delay命令配置)对用户上线请求进行延迟响应。
如果管理员希望根据实际需要灵活指定用户MAC地址中的某一比特位作为判断奇偶MAC的依据,可配置本功能。
配置了MAC地址偏移值后,当设备收到PPPoE用户上线请求时,按照从低位向高位偏移原则,将用户MAC地址的第(offset-value+1)位作为偏移后的奇偶位来判断该用户MAC地址是奇数MAC还是偶数MAC,然后再根据奇偶MAC的延迟时间(由pppoe-server access-delay命令配置)对用户进行上线请求延迟响应。
例如,如图1-17所示,对于MAC地址为0012-3400-ABCD的PPPoE用户,缺省情况下,该用户MAC地址的奇偶位取值为1,为奇数MAC;假设配置的MAC地址偏移值为17bit,那么偏移后(从偏移前的奇偶位开始计算的第17+1=18位)该用户MAC地址的奇偶位取值为0,为偶数MAC。
图1-17 MAC地址偏移值计算示例
· 本功能需要与pppoe-server access-delay命令配合使用才有意义。在未配置pppoe-server access-delay命令的情况下,单独配置本功能没有意义,因该情况下不论配置的MAC地址偏移值是多少,设备都对PPPoE用户上线请求立即响应。
· 本功能配置后仅对新接入的PPPoE用户生效,对当前已在线PPPoE用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置设备对PPPoE用户接入进行延迟响应时使用的MAC地址偏移值。
pppoe-server access-delay odd-even mac offset offset-value
缺省情况下,不对PPPoE用户的MAC地址做偏移匹配,以MAC地址的最低比特位(左高右低原则)判断奇偶MAC。
多次执行本命令,最后一次执行的命令生效。
一体化PPPoE代拨模式下,PPPoE agency配置任务如下:
(1) 配置PPPoE代拨转发策略
(2) 配置PPPoE代拨用户的认证域
(4) (可选)配置PPPoE代拨日志功能
PPPoE代拨网关模式下,PPPoE agency配置任务如下:
(1) 开启PPPoE代拨网关功能
(2) 配置接口绑定到PPPoE代拨组
如下图所示,对于校园网的IPoE、PPPoE用户,如果在用户认证上线时校园网AAA服务器为其授权配置了PPPoE代拨转发策略的用户组,则表示该类用户有访问外网的需求,BRAS设备需要为该类用户做PPPoE代拨处理,具体过程如下:
(1) 在用户认证上线后,BRAS设备在维护校园网用户的校内接入认证用户信息的同时,会将该用户标记为PPPoE代拨用户,即针对同一个校园网用户,如果该用户开通了“代拨”账号,在BRAS设备上会为该用户维护两种类型的身份标记,其中:
¡ 对于该类用户的内网流量,BRAS设备按照上线时的接入认证用户(如IPoE用户)处理,直接放行内网流量。
¡ 对于该类用户的外网流量,BRAS设备按照PPPoE代拨用户处理。
(2) 当AAA服务器收到校园网BRAS设备发送的计费开始报文时,AAA服务器会通过COA消息通知校园网BRAS设备为计费用户启动PPPoE代拨流程,COA消息中会携带该用户开通的运营商账号和取值为PPPoE拨号组名称的Framed-Pool属性等信息。
(3) 校园网BRAS设备根据收到的COA消息,模拟PPPoE client,并根据COA消息中携带的账号信息以及PPPoE代拨组名称向对应运营商的PPPoE server发起PPPoE拨号。
(4) PPPoE代拨用户上线成功后,当BRAS设备收到该用户的数据流量时,会将未匹配PPPoE代拨转发策略中指定ACL规则的流量视为外网流量,并将外网流量发送给对应的运营商处理。
图1-18 PPPoE代拨功能示意图
在校园网BRAS设备向对应运营商的PPPoE server发起PPPoE拨号上线前,如果校园网BRAS设备收到代拨用户的外网流量,会直接丢弃。
目前仅IPoE个人接入用户和PPPoE用户支持PPPoE代拨功能。其中,对于IPoE Web个人接入用户,仅在后域阶段支持PPPoE代拨功能,在前域阶段不支持。
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,存在一个用户组,名称为system。
本命令的详细介绍请参见“BRAS业务命令参考”中的“AAA”。
(3) 配置PPPoE代拨转发策略。
pppoe-agency forward { ipv4 | ipv6 } acl { acl-number | name acl-name }
缺省情况下,未配置PPPoE代拨转发策略。
在校园网BRAS设备模拟PPPoE client,并根据COA消息中携带的PPPoE代拨组名称向对应运营商的PPPoE server发起PPPoE拨号上线的过程中,BRAS设备会首先根据pppoe-agency authentication domain命令指定的认证域对PPPoE代拨用户进行认证,若未通过pppoe-agency authentication domain命令指定认证域或者指定的认证域不存在,则使用AAA模块选择的认证域。只有在校园网BRAS侧对PPPoE代拨用户的认证和运营商侧PPPoE server对PPPoE client的认证都成功的情况下,PPPoE代拨才能成功,如果任何一端认证上线失败,则代拨失败,此时,用户仅能访问内网,无法访问外网。
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,存在一个用户组,名称为system。
本命令的详细介绍请参见“BRAS业务命令参考”中的“AAA”。
(3) 配置PPPoE代拨用户的认证域。
pppoe-agency authentication domain domain-name
缺省情况下,未配置PPPoE代拨用户的认证域。
如果需要将某台BRAS设备作为PPPoE代拨网关使用,可在该BRAS设备上开启PPPoE代拨网关功能。开启PPPoE代拨网关功能后,该BRAS设备将作为专用PPPoE代拨网关使用,不再支持一体化PPPoE代拨模式。
在PPPoE代拨网关设备上有PPPoEA用户在线的情况下,不允许执行undo pppoe-agency-relay enable命令用来关闭PPPoE代拨网关功能。如需关闭PPPoE代拨网关功能,请先执行cut access-user命令下线所有PPPoEA用户后再执行undo pppoe-agency-relay enable命令。
PPPoE代拨网关设备仅用于PPPoE代拨组网,不允许在该设备上部署非PPPoE代拨业务(例如,IPoE或L2TP等),在执行本命令前,请确保代拨网关设备上没有非PPPoEA用户在线,否则不允许执行本命令。
本命令和下列命令互斥:
· pppoe-agency authentication domain
· pppoe-agency forward
· work-mode user-plane(UP设备)
(1) 进入系统视图。
system-view
(2) 开启PPPoE代拨网关功能。
pppoe-agency-relay enable
缺省情况下,PPPoE代拨网关功能处于关闭状态。
在学校侧代拨网关组网中,PPPoE代拨网关作为学校设备可能通过不同的PPPoE代拨接口上联多家运营商。为便于区分不同运营商的用户流量,需要通过本命令将PPPoE代拨网关设备上分配给指定运营商使用的用于连接校内BRAS设备的PPPoE代拨网关接入接口与该运营商的代拨组进行绑定。例如,如图1-19所示,对于A运营商,在PPPoE代拨网关上:
· 通过pppoe-agency-relay-group命令将PPPoE代拨网关接入接口Port B与A运营商的PPPoE代拨组进行绑定。
· 通过pppoe-agency bind命令将PPPoE代拨接口Port D与A运营商的PPPoE代拨组进行绑定。
这样,当PPPoE代拨网关从PPPoE代拨网关接入接口Port B收到A学校用户的上行流量时就知道从PPPoE代拨接口Port D转发出去;当从PPPoE代拨接口Port D收到A学校用户的下行流量时就知道从PPPoE代拨网关接入接口Port B转发出去。
在运营商侧代拨网关组网中,PPPoE代拨网关作为运营商设备可能通过不同的PPPoE代拨网关接入接口下联多个学校。为便于区分不同学校的用户流量,需要通过本命令将PPPoE代拨网关设备上用于连接指定学校的接口与该学校的代拨组进行绑定。例如,如图1-20所示,对于A学校,在PPPoE代拨网关上:
· 通过pppoe-agency-relay-group命令将PPPoE代拨网关接入接口Port B与A学校的PPPoE代拨组进行绑定。
· 通过pppoe-agency bind命令将PPPoE代拨接口Port D与A学校的PPPoE代拨组进行绑定。
这样,当PPPoE代拨网关从PPPoE代拨网关接入接口Port B收到A学校用户的上行流量时就知道从PPPoE代拨接口Port D转发出去;当从PPPoE代拨接口Port D收到A学校用户的下行流量时就知道从PPPoE代拨网关接入接口Port B转发出去。
在学校侧PPPoE代拨网关设备上,不支持多家运营商共用同一个PPPoE代拨网关接入接口或PPPoE代拨接口,要求针对每家运营商都需要独占一对PPPoE代拨网关接入接口和PPPoE代拨接口,接口类型可以是主接口或子接口。
在运营商侧的PPPoE代拨网关设备上,不支持多个学校共用同一个PPPoE代拨网关接入接口或PPPoE代拨接口,要求针对每个学校都需要独占一对PPPoE代拨网关接入接口和PPPoE代拨接口,接口类型可以是主接口或子接口。
同一时刻,一个PPPoE代拨网关接入接口只能和一个PPPoE代拨组绑定;同理,一个PPPoE代拨组也只能和一个PPPoE代拨网关接入接口绑定。如需更改已配置的PPPoE代拨组和PPPoE代拨网关接入接口之间的绑定关系,请先执行undo pppoe-agency-relay-group命令解除绑定后,再执行pppoe-agency-relay-group命令。
当PPPoE代拨组对应的PPPoE代拨接口上有PPPoEA用户在线的情况下:
· 不允许直接执行undo pppoe-agency-relay-group命令解除绑定关系。如需解除绑定,请先将PPPoE代拨组对应的PPPoE代拨接口上所有在线PPPoEA用户下线后,再执行undo pppoe-agency-relay-group命令。
· 不允许直接执行本命令修改该PPPoE代拨组和PPPoE代拨网关接入接口的绑定关系。如需修改该PPPoE代拨组和PPPoE代拨网关接入接口的绑定关系,请按按如下顺序操作:
¡ 首先,将PPPoE代拨组对应的PPPoE代拨接口上所有在线PPPoEA用户下线。
¡ 然后,执行undo pppoe-agency-relay-group命令解除绑定关系。
¡ 最后,执行pppoe-agency-relay-group命令重新配置。
(1) 进入系统视图。
system-view
(2) 将接口绑定到PPPoE代拨组。
pppoe-agency-relay-group pppoe-agency-group-name interface interface-type interface-number peer-ip peer-ip-address
缺省情况下,未配置任何接口与PPPoE代拨组进行绑定。
配置本功能后,根据提供PPPoE代拨功能的设备不同分为如下两种情况:
· 对于一体化PPPoE代拨模式:当有校园网BRAS用户触发代拨流程时,校园网BRAS设备会从所有配置了pppoe-agency bind命令的接口(即PPPoE代拨接口)中选择一个和COA消息中携带的PPPoE代拨组名称相匹配的代拨接口来模拟PPPoE client,向对应运营商的PPPoE server发起PPPoE拨号上线流程。
· 对于PPPoE代拨网关模式:当有校园网BRAS用户触发代拨流程时,PPPoE代拨网关设备会从所有配置了pppoe-agency bind命令的接口(即PPPoE代拨接口,简称代拨接口)中选择一个和COA消息中携带的PPPoE代拨组名称相匹配的代拨接口来模拟PPPoE client,向对应运营商的PPPoE server发起PPPoE拨号上线流程。
如果为某用户授权的COA消息中携带的PPPoE代拨组名称可以同时匹配多个接口上配置的pppoe-agency-group-name,则设备会选择其中一个上线代拨用户数最少的接口(如果同时存在多个接口满足该条件,则随机选择其中一个接口)来为该用户模拟PPPoE client进行PPPoE拨号处理。
如果接口上已经启用PPPoE agency且绑定了虚拟模板接口,则不能直接使用该命令绑定新的虚拟模板接口。如需绑定新的虚拟模板接口,请先关闭PPPoE agency协议,再重新启用PPPoE agency并绑定新的虚拟模板接口。
接口上启用PPPoE agency协议时,绑定的虚拟模板必须已存在。
如果在接口上同时启用PPPoE client与PPPoE agency功能,则PPPoE client功能不生效。
当设备工作在转发模式(由work-mode user-plane命令配置)时,不支持在该设备的任何接口上开启PPPoE agency协议。
在同一个接口上,pppoe-agency bind命令配置和pppoe-server bind命令互斥。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 在接口上启用PPPoE agency协议,将该接口绑定到PPPoE代拨组。
pppoe-agency bind virtual-template number pppoe-agency-group pppoe-agency-group-name
缺省情况下,接口上的PPPoE agency协议处于关闭状态。
为了满足网络管理员安全审计(例如溯源)的需要,可以开启PPPoE代拨日志功能,以便对校内用户的内网IP地址与运营商为PPPoE代拨用户分配的IP地址之间的映射关系进行记录。
开启PPPoE代拨日志功能后,当PPPoE代拨用户上线后,校内BRAS设备将生成关于校内用户的内网IP地址与运营商为PPPoE代拨用户分配的IP地址之间映射关系的日志信息。设备生成的PPPoE代拨日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的PPPoE代拨日志信息,一般情况下建议关闭此功能。
仅一体化PPPoE代拨模式组网中支持本功能。
(1) 进入系统视图。
system-view
(2) 开启PPPoE代拨日志功能。
pppoe-agency log enable
缺省情况下,PPPoE代拨日志功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE server配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令,可在PPPoE server端清除PPPoE会话。
表1-7 PPPoE server显示和维护
|
操作 |
命令 |
|
显示PPPoE静默功能的配置信息 |
display pppoe-server chasten configuration [ global | interface interface-type interface-number ] |
|
显示PPPoE协议报文防攻击表项的信息 |
(独立运行模式) display pppoe-server chasten per-interface [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-server chasten per-interface [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示PPPoE协议报文防攻击功能的配置信息 |
display pppoe-server chasten per-interface configuration [ interface interface-type interface-number ] |
|
显示静默功能检测到的PPPoE用户统计信息 |
(独立运行模式) display pppoe-server chasten statistics [ mac-address | option105 ] [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-server chasten statistics [ mac-address | option105 ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示被静默PPPoE用户的信息 |
(独立运行模式) display pppoe-server chasten user [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ] (IRF模式) display pppoe-server chasten user [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ] |
|
显示PPPoE的协商报文统计信息 |
(独立运行模式) display pppoe-server packet statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-server packet statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示PPPoE会话的摘要信息 |
(独立运行模式) display pppoe-server session summary [ [ interface interface-type interface-number | slot slot-number [ cpu cpu-number ] ] | mac-address mac-address ] * (IRF模式) display pppoe-server session summary [ [ interface interface-type interface-number | chassis chassis-number slot slot-number [ cpu cpu-number ] ] | mac-address mac-address ] * |
|
显示被扼制的用户信息 |
(独立运行模式) display pppoe-server throttled-mac { slot slot-number [ cpu cpu-number ] | interface interface-type interface-number } (IRF模式) display pppoe-server throttled-mac { chassis chassis-number slot slot-number [ cpu cpu-number ] | interface interface-type interface-number } |
|
清除PPPoE会话 |
reset pppoe-server { all | [ interface interface-type interface-number | mac-address mac-address ] * | virtual-template number } |
|
清除PPPoE协议报文防攻击表项的相关信息 |
(独立运行模式) reset pppoe-server chasten per-interface [ packets ] [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset pppoe-server chasten per-interface [ packets ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除被静默PPPoE用户的相关信息 |
(独立运行模式) reset pppoe-server chasten user [ packets ] [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset pppoe-server chasten user [ packets ] [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除PPPoE的协商报文统计信息 |
(独立运行模式) reset pppoe-server packet statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset pppoe-server packet statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE agency配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令,可以清除PPPoE agency的报文统计信息。
表1-8 PPPoE agency显示和维护
|
操作 |
命令 |
|
显示在PPPoE代拨应用中ACL规则匹配报文的统计信息 |
(独立运行模式) display pppoe-agency { ipv4 | ipv6 } acl statistics user-group user-group-name slot slot-number [ cpu cpu-number ] (IRF模式) display pppoe-agency { ipv4 | ipv6 } acl statistics user-group user-group-name chassis chassis-number slot slot-number [ cpu cpu-number ] |
|
显示PPPoE agency的协商报文统计信息 |
(独立运行模式) display pppoe-agency packet statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-agency packet statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示PPPoE代拨用户会话的摘要信息 |
(独立运行模式) display pppoe-agency session summary [ interface interface-type interface-number | slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-agency session summary [ interface interface-type interface-number | chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
在PPPoE agency端清除PPPoE代拨会话 |
reset pppoe-agency { all | interface interface-type interface-number | virtual-template number } |
|
清除在PPPoE代拨应用中ACL规则匹配报文的统计信息 |
(独立运行模式) reset pppoe-agency { ipv4 | ipv6 } acl statistics user-group user-group-name slot slot-number [ cpu cpu-number ] (IRF模式) reset pppoe-agency { ipv4 | ipv6 } acl statistics user-group user-group-name chassis chassis-number slot slot-number [ cpu cpu-number ] |
|
清除PPPoE agency的协商报文统计信息 |
(独立运行模式) reset pppoe-agency packet statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset pppoe-agency packet statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过DHCPv4协议为Host分配IP地址。
图1-21 配置PPPoE server通过本地DHCP服务器为用户分配IPv4地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 启用DHCP服务。
[Router] dhcp enable
# 配置本地BAS IP地址池pool1。
[Router] ip pool pool1 bas local
[Router-ip-pool-pool1] gateway 1.1.1.1 24
[Router-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ip-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,Router通过DHCPv4协议为Host分配一个IP地址。
# 显示所有DHCP地址绑定信息。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
-
Host和Router A之间通过以太网接口相连,Router B为远端DHCP服务器。Host通过PPPoE接入Router A,Router A作为PPPoE server、DHCP中继向远端DHCP服务器申请IPv4地址和IPv6地址。
图1-22 PPPoE server通过远端DHCP服务器为双栈用户分配IP地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
(1) 配置Router A(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[RouterA-Virtual-Template1] undo ipv6 nd ra halt
[RouterA-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[RouterA-Virtual-Template1] ipv6 nd autoconfig other-flag
[RouterA-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterA-Ten-GigabitEthernet3/1/1] quit
# 启用DHCP服务。
[RouterA] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将IP地址1.1.1.1配置为禁用地址,并指定中继地址池对应的DHCP服务器地址。
[RouterA] ip pool pool1 bas remote
[RouterA-ip-pool-pool1] gateway 1.1.1.1 24
[RouterA-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterA-ip-pool-pool1] remote-server 10.1.1.1
[RouterA-ip-pool-pool1] quit
# 创建IPv6远端地址池pool2,指定匹配该地址池的DHCPv6客户端所在的网段地址,将IPv6地址1::1配置为禁止地址,并指定IPv6远端地址池对应的DHCP服务器地址。
[RouterA] ipv6 pool pool2
[RouterA-ipv6-pool-pool2] gateway-list 1::1
[RouterA-ipv6-pool-pool2] network 1::/64 export-route
[RouterA-ipv6-pool-pool2] forbidden-address 1::1
[RouterA-ipv6-pool-pool2] remote-server 10::1
[RouterA-ipv6-pool-pool2] quit
# 进入接口Ten-GigabitEthernet3/1/1视图。
[RouterA] interface ten-gigabitethernet 3/1/1
# 配置接口工作在中继模式。
[RouterA–Ten-GigabitEthernet3/1/1] dhcp select relay
[RouterA–Ten-GigabitEthernet3/1/1] ipv6 dhcp select relay
[RouterA–Ten-GigabitEthernet3/1/1] ipv6 dhcp relay release-agent
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[RouterA–Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消设备发布RA消息的抑制。
[RouterA–Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
[RouterA–Ten-GigabitEthernet3/1/1] quit
# 配置PPPoE用户。
[RouterA] local-user user1 class network
[RouterA-luser-network-user1] password simple 123456TESTplat&!
[RouterA-luser-network-user1] service-type ppp
[RouterA-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[RouterA] domain name dm1
[RouterA-isp-dm1] authentication ppp local
[RouterA-isp-dm1] accounting ppp local
[RouterA-isp-dm1] authorization ppp local
[RouterA-isp-dm1] authorization-attribute ip-pool pool1
[RouterA-isp-dm1] authorization-attribute ipv6-pool pool2
[RouterA-isp-dm1] quit
(2) 配置Router B(DHCP服务器)
¡ 配置IP地址池
# 启用DHCP服务。
<RouterB> system-view
[RouterB] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[RouterB] ip pool pool1
[RouterB-ip-pool-pool1] network 1.1.1.0 24
[RouterB-ip-pool-pool1] gateway-list 1.1.1.1
[RouterB-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterB-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterB-ip-pool-pool1] quit
# 配置到PPPoE server的缺省路由。
[RouterB] ip route-static 0.0.0.0 0 10.1.1.2
¡ 配置IPv6地址池
# 创建名称为pool2的IPv6地址池,配置为DHCP客户端分配的IPv6地址网段和DNS服务器地址。
[RouterB] ipv6 pool pool2
[RouterB-ipv6-pool-pool2] network 1::/64
[RouterB-ipv6-pool-pool2] dns-server 8::8
# 将IPv6地址1::1配置为禁止地址。
[RouterB-ipv6-pool-pool2] forbidden-address 1::1
[RouterB-ipv6-pool-pool2] quit
# 配置接口Ten-GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
[RouterB-Ten-GigabitEthernet3/1/1] quit
# 配置到PPPoE server的缺省路由。
[RouterB] ipv6 route-static :: 0 10::2
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入RouterA后,Host分配一个IPv4地址和一个IPv6地址。
[RouterA] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
1::2
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于授权前缀。
图1-23 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# (仅用于发布前缀网段路由)创建IPv6地址池并进入IPv6地址池视图,指定匹配该地址池的DHCPv6客户端所在的网段地址并发布网段路由。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] network 10::/64 export-route
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权IPv6前缀属性及DNS信息。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ipv6-prefix 10:: 64
[Router-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于ND前缀池。
图1-24 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置前缀池1,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[Router] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为pool1的IPv6地址池,并引用前缀池1。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] prefix-pool 1 export-route
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权ND前缀池及IPv6 DNS地址池信息。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ipv6-nd-prefix-pool pool1
[Router-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过DHCPv6协议为Host分配IPv6地址。
图1-25 配置PPPoE server通过IA_NA方式为用户分配IPv6地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[Router-Virtual-Template1] ipv6 nd autoconfig other-flag
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[Router-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 创建名称为pool1的IPv6地址池,配置IPv6地址池动态分配的地址网段为1::/32,分配的DNS服务器地址为8::8。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] network 1::/32 export-route
[Router-ipv6-pool-pool1] dns-server 8::8
# (可选)配置IPv6地址池按照接口ID动态分配IPv6地址。
当网络中存在使用Windows 7系统的拨号用户时,必须配置本功能。
[Router-ipv6-pool-pool1] address-alloc-mode interface-id
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ipv6-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,Router通过DHCPv6协议为Host分配一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::1
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE server通过DHCPv6协议给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-26 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
(1) 配置Router B(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
[RouterB-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[RouterB-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterB-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# 配置DHCPv6前缀池6,包含的前缀为20::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 20::/32 assign-len 42
# 创建名称为pool1的IPv6地址池,在地址池下引用前缀池6。
[RouterB] ipv6 pool pool1
[RouterB-ipv6-pool-pool1] prefix-pool 6 export-route
[RouterB-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ppp local
[RouterB-isp-dm1] accounting ppp local
[RouterB-isp-dm1] authorization ppp local
[RouterB-isp-dm1] authorization-attribute ipv6-pool pool1
[RouterB-isp-dm1] quit
(2) 配置Router A(PPPoE client)
· 本设备(本例中为Router B)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router B后,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration
20::/42 Auto(C) Jul 10 19:45:01 2019
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/42 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/42再分配给Host,Host用来生成IPv6全球单播地址。
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE server,Router C为远端DHCP服务器,并:
· IPv4:
¡ Router B作为DHCP中继向远端DHCP服务器为Router A申请IPv4地址。
· IPv6:
¡ Router B通过NDRA方式给Router A上的WAN口(本例为Dialer1)分配IPv6地址前缀,IPv6地址前缀来源于ND前缀池。
¡ Router B通过IA_PD方式给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-27 配置PPPoE server通过远端DHCPv4服务器+(NDRA+IA_PD)方式为双栈用户分配IP地址组网图
(1) 配置Router C(DHCP服务器)
# 启用DHCP服务。
<RouterC> system-view
[RouterC] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[RouterC] ip pool pool1
[RouterC-ip-pool-pool1] network 1.1.1.0 24
[RouterC-ip-pool-pool1] gateway-list 1.1.1.1
[RouterC-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterC-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterC-ip-pool-pool1] quit
# 配置到PPPoE server的缺省路由。
[RouterC] ip route-static 0.0.0.0 0 10.1.1.2
(2) 配置Router B(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
[RouterB-Virtual-Template1] quit
# 启用DHCP服务。
[RouterB] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将IP地址1.1.1.1配置为禁用地址,并指定中继地址池对应的DHCP服务器地址。
[RouterB] ip pool pool1 bas remote
[RouterB-ip-pool-pool1] gateway 1.1.1.1 24
[RouterB-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterB-ip-pool-pool1] remote-server 10.1.1.1
[RouterB-ip-pool-pool1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[RouterB-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv4中继模式。
[RouterB-Ten-GigabitEthernet3/1/1] dhcp select relay
# 配置接口工作在DHCPv6服务器模式。
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterB-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# (NDRA使用)配置DHCPv6前缀池1,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[RouterB] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为ndra的IPv6地址池,并引用前缀池1。
[RouterB] ipv6 pool ndra
[RouterB-ipv6-pool-ndra] prefix-pool 1 export-route
[RouterB-ipv6-pool-ndra] quit
# (IA_PD使用)配置DHCPv6前缀池6,包含的前缀为20::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 20::/32 assign-len 42
# 创建名称为iapd的IPv6地址池,在地址池下引用前缀池6。
[RouterB] ipv6 pool iapd
[RouterB-ipv6-pool-iapd] prefix-pool 6 export-route
[RouterB-ipv6-pool-iapd] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权IP地址池、ND前缀池、IPv6 DNS地址和地址池属性。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ppp local
[RouterB-isp-dm1] accounting ppp local
[RouterB-isp-dm1] authorization ppp local
[RouterB-isp-dm1] authorization-attribute ip-pool pool1
[RouterB-isp-dm1] authorization-attribute ipv6-nd-prefix-pool ndra
[RouterB-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[RouterB-isp-dm1] authorization-attribute ipv6-pool iapd
[RouterB-isp-dm1] quit
(3) 配置Router A(PPPoE client)
· 本设备(本例中为Router B)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# (IPv4使用)配置Dialer1接口通过协商获取IPv4地址,Dialer1接口主动向对端请求DNS服务器地址,以及Dialer1接口可以被动地接收对端指定的DNS服务器地址。
[RouterA-Dialer1] ip address ppp-negotiate
[RouterA-Dialer1] ppp ipcp dns request
[RouterA-Dialer1] ppp ipcp dns admit-any
# (IPv4使用)配置直接使用Dialer1接口的IP地址对内网访问外网的IP流量进行地址转换。
[RouterA-Dialer1] nat outbound
# (NDRA使用)在Dialer1接口上开启无状态地址自动配置功能,使接口通过无状态自动配置方式生成全球单播地址。
[RouterA-Dialer1] ipv6 address auto
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 dialer 1
[RouterA] ipv6 route-static :: 0 dialer 1
# 启用DHCP服务。
[RouterA] dhcp enable
# 配置IP地址池pool1,以便为内网用户分配私网IPv4地址。
[RouterA] ip pool pool1
[RouterA-ip-pool-pool1] network 192.168.1.0 24
[RouterA-ip-pool-pool1] gateway-list 192.168.1.1
[RouterA-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.1.1配置为禁用地址。
[RouterA-ip-pool-pool1] forbidden-ip 192.168.1.1
[RouterA-ip-pool-pool1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置内网用户的IPv4网关地址。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] ip address 192.168.1.1 24
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router B后,Router B通过DHCPv4获取到一个IPv4地址,以及通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[RouterB] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: iapd
IPv6 prefix Type Lease expiration
20::/42 Auto(C) Jul 10 19:45:01 2019
Pool: ndra
IPv6 prefix Type Lease expiration
10::/64 Auto(C) Expires after 2100
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/42 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/42再分配给Host,Host用来生成IPv6全球单播地址。
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE server,并:
· 通过IA_NA方式给Router A上的WAN口(本例为Dialer1)分配IPv6全球单播地址。
· 通过IA_PD方式给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-28 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
(1) 配置Router B(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
[RouterB-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[RouterB-Virtual-Template1] ipv6 nd autoconfig other-flag
[RouterB-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[RouterB-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterB-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# (IA_PD使用)配置DHCPv6前缀池6,包含的前缀为20::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 20::/32 assign-len 42
# 创建名称为pool1的IPv6地址池。
[RouterB] ipv6 pool pool1
# (IA_NA使用)配置IPv6地址池动态分配的地址网段为1::/32,分配的DNS服务器地址为8::8
[RouterB-ipv6-pool-pool1] network 1::/32
[RouterB-ipv6-pool-pool1] dns-server 8::8
# (IA_PD使用)在地址池下引用前缀池6。
[RouterB-ipv6-pool-pool1] prefix-pool 6 export-route
[RouterB-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ppp local
[RouterB-isp-dm1] accounting ppp local
[RouterB-isp-dm1] authorization ppp local
[RouterB-isp-dm1] authorization-attribute ipv6-pool pool1
[RouterB-isp-dm1] quit
(2) 配置Router A(PPPoE client)
· 本设备(本例中为Router B)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# (IA_NA+IA_PD共用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router B后,Router B通过DHCPv6协议为Router A分配一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::1
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration
20::/42 Auto(C) Jul 10 19:45:01 2019
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/42 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/42再分配给Host,Host用来生成IPv6全球单播地址。
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过DHCPv4协议为Host分配IPv4地址,通过DHCPv6协议为Host分配IPv6地址。
图1-29 配置PPPoE server通过本地DHCP服务器为双协议栈用户分配IP地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[Router-Virtual-Template1] ipv6 nd autoconfig other-flag
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[Router-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 启用DHCPv4服务。
[Router] dhcp enable
# 配置本地BAS IP地址池pool1。
[Router] ip pool pool1 bas local
[Router-ip-pool-pool1] gateway 1.1.1.1 24
[Router-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] quit
# 创建名称为pool1的IPv6地址池,配置IPv6地址池动态分配的地址网段为1::/32,分配的DNS服务器地址为8::8。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] network 1::/32 export-route
[Router-ipv6-pool-pool1] dns-server 8::8
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ip-pool pool1
[Router-isp-dm1] authorization-attribute ipv6-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后, Host分配一个IPv4地址和一个IPv6地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
1::1
· 采用RADIUS作为认证、授权和计费服务器。本举例以Linux系统下的Free RADIUS服务器为例,说明RADIUS 服务器的基本配置。
· RADIUS服务器为PPPoE接入用户授权的IP地址池和VPN实例分别为pool1、vpn1。
· vpn1中的用户在服务器授权的IP地址池pool1中获取IP地址。
图1-30 PPPoE server为接入用户授权地址池和VPN配置组网图
启动PPPoE功能之前,需要首先配置MPLS L3VPN功能,通过为两端的VPN 1指定匹配的VPN Target,确保两端的VPN 1之间可以互通。本例仅介绍连接客户端的PE 1上接入认证的相关配置,其它配置请参考“MPLS配置指导”中的“MPLS L3VPN”。
(1) 配置RADIUS服务器
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 10.1.1.1/24 {
secret = radius
}
以上信息表示:RADIUS客户端的IP地址为10.1.1.1,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
user1 Auth-Type == CHAP,User-Password := 123456TESTplat&!
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Pool = "pool1",
H3C-VPN-Instance = "vpn1",
以上信息表示:用户名为user1,用户密码为字符串123456TESTplat&!,授权VPN实例名称为vpn1,授权IP地址池名称为pool1。
(2) 配置Router A
¡ 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端,并使用ISP域dm1作为认证域。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap domain dm1
[RouterA-Virtual-Template1] quit
# 启用DHCP服务。
[RouterA] dhcp enable
# 配置本地BAS IP地址池pool1。
[RouterA] ip pool pool1 bas local
[RouterA-ip-pool-pool1] vpn-instance vpn1
[RouterA-ip-pool-pool1] gateway 1.1.1.1 24
[RouterA-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterA-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterA-ip-pool-pool1] quit
# 在接口Ten-GigabitEthernet3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterA-Ten-GigabitEthernet3/1/1] quit
¡ 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[RouterA] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[RouterA-radius-rs1] primary authentication 10.1.1.2
[RouterA-radius-rs1] primary accounting 10.1.1.2
[RouterA-radius-rs1] key authentication simple radius
[RouterA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[RouterA-radius-rs1] user-name-format without-domain
[RouterA-radius-rs1] quit
¡ 配置认证域
# 创建并进入名称为dm1的ISP域。
[RouterA] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[RouterA-isp-dm1] authentication ppp radius-scheme rs1
[RouterA-isp-dm1] authorization ppp radius-scheme rs1
[RouterA-isp-dm1] accounting ppp radius-scheme rs1
[RouterA-isp-dm1] quit
用户认证通过后,在Host A上可以Ping通对端VPN1中的CE。
# 显示VPN1中DHCP地址绑定信息。
[RouterA] display dhcp server ip-in-use vpn-instance vpn1
IP address Client identifier/ Lease expiration Type
Hardware address
1.1.1.2 3030-3030-2e30-3030- Unlimited Auto(C)
662e-3030-3033-2d45-
7468-6572-6e65-74
校园网用户作为DHCP client经由二层网络以IPoE方式接入到校园网BRAS设备。校园网BRAS设备与运营商BRAS设备互联,对校园网用户的外网流量进行PPPoE代拨,即当校园网用户需要访问外网时,由校园网BRAS模拟PPPoE client,向由运营商BRAS担任的PPPoE server发起拨号上线请求。其中:
· 内网流量:
¡ 在校园网BRAS的Ten-GigabitEthernet3/1/2接口上开启IPoE功能,为校园网用户提供BRAS接入服务。
¡ 采用DHCP服务器为校园网用户分配IPv4地址。
¡ 采用一台服务器同时担任AAA服务器和Web服务器职责。
¡ DHCP client异常下线后通过IPv4报文重新触发上线。
· 外网流量:
¡ 在校园网BRAS的Ten-GigabitEthernet3/1/3接口上开启PPPoE代拨功能,当校园网用户需要访问外网时,为其提供代拨服务,代拨成功后可以访问指定的运营商网络。
图1-31 PPPoE代拨配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达,具体配置过程略。
正确配置AAA服务器和Web服务器功能,具体配置过程略。
校园网用户需开通运营商账号,并在校园网AAA服务器上将校园网用户内网账号与开通的运营商账号、所属运营商的PPPoE拨号组名称等信息进行绑定,以便校园网用户上线后可以触发代拨流程并通过运营商的PPPoE认证。
(1) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] ip pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-ip-pool-pool1] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-ip-pool-pool1] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-ip-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-ip-pool-pool1] quit
# 配置缺省路由。
[DHCP-server] ip route-static 0.0.0.0 0 4.4.4.2
(2) 配置Device
a. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将3.3.3.1设置为禁止地址,并指定远端BAS IP地址池对应的DHCP服务器地址。
[Device] ip pool pool1 bas remote
[Device-ip-pool-pool1] gateway 3.3.3.1 24
[Device-ip-pool-pool1] forbidden-ip 3.3.3.1
[Device-ip-pool-pool1] remote-server 4.4.4.3
[Device-ip-pool-pool1] quit
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.5
[Device-radius-rs1] primary accounting 4.4.4.5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名与用户的输入保持一致。
[Device-radius-rs1] user-name-format keep-original
[Device-radius-rs1] quit
c. 配置认证域
# (IPoE认证前域)配置IPoE用户认证前域阶段使用的认证域dm1。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置前域授权地址池以及用户组。
[Device-isp-dm1] authorization-attribute user-group pre
[Device-isp-dm1] authorization-attribute ip-pool pool1
# 配置Web认证页面URL和Web认证服务器IP地址。
[Device-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[Device-isp-dm1] web-server ip 4.4.4.5
[Device-isp-dm1] quit
# (IPoE认证后域)配置IPoE用户Web认证阶段使用的认证域dm2。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
# 配置后域授权PPPoE代拨的用户组。
[Device-isp-dm2] authorization-attribute user-group pppoea
[Device-isp-dm2] quit
# (PPPoE代拨用户的认证域)创建并进入名称为dm3的ISP域。
[Device] domain name dm3
# 配置PPPoE代拨用户使用RADIUS方案rs1进行计费(对于域下的PPPoE代拨用户,目前只支持为其配置计费方法,不支持配置认证、授权方法;系统默认为域下的PPPoE代拨用户采用不认证、不授权方法)。
[Device-isp-dm3] accounting pppoea radius-scheme rs1
[Device-isp-dm3] quit
d. 配置IPoE Web认证
IPoE Web认证具体配置请参见“BRAS业务配置指导”中的“IPoE”。
e. 配置PPPoE代拨
# 为IPv4高级ACL neiwang_permit创建规则如下:
- 匹配用户的目的地址为4.4.4.6的报文(本例以4.4.4.6代指内网流量,现网中请根据实际情况进行配置)。
- 匹配用户的目的地址为用户网段(3.3.3.0/24)的报文,以便同网段用户之间以及用户和网关之间可以互通(若不配置该rule规则,该类流量会被作为外网流量处理导致同网段用户之间以及用户和网关之间不能互通)。
[Device] acl advanced name neiwang_permit
[Device-acl-ipv4-adv-neiwang_permit] rule 0 permit ip destination 4.4.4.6 0
[Device-acl-ipv4-adv-neiwang_permit] rule 10 permit ip destination 3.3.3.0 0.0.0.255
[Device-acl-ipv4-adv-neiwang_permit] quit
# 创建PPPoE代拨用户使用的用户组,名称为pppoea。
[Device] user-group pppoea
New user group added.
# 配置PPPoE代拨转发策略,匹配ACL的流量视为内网流量,直接转发;没有匹配ACL的流量视为外网流量,需要走PPPoE代拨转发流程。
[Device-ugroup-pppoea] pppoe-agency forward ipv4 acl name neiwang_permit
# 配置PPPoE代拨用户的认证域,只有PPPoE代拨用户基于该域认证上线成功后(此处认证使用的用户名和密码仅支持由AAA服务器通过COA下发,且为校园网用户在运营商开通的账号),BRAS设备才会向对应运营商发起PPPoE拨号。
[Device-ugroup-pppoea] pppoe-agency authentication domain dm3
[Device-ugroup-pppoea] quit
# 创建一个虚拟模板接口1。
[Device] interface virtual-template 1
[Device-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/3接口上启用PPPoE agency协议,将该接口绑定到PPPoE代拨组(代拨组的名称由AAA服务器通过COA下发,这里假设COA下发的代拨组名称为cmcc)。
[Device] interface ten-gigabitethernet 3/1/3
[Device–Ten-GigabitEthernet3/1/3] pppoe-agency bind virtual-template 1 pppoe-agency-group cmcc
[Device–Ten-GigabitEthernet3/1/3] quit
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[Device] radius dynamic-author server
# 指定RADIUS DAE客户端IP地址为4.4.4.5,共享密钥为明文123456。
[Device-radius-da-server] client ip 4.4.4.5 key simple 123456
# 配置PPPoE代拨过程中,服务器监听代拨应答报文的目的端口为3799。(这里为缺省端口3799为例)
[Device-radius-da-server] pppoe-agency reply-port 3799
[Device-radius-da-server] quit
# 配置TCP MSS值为1400字节(推荐值)。
为避免校园网BRAS设备发送的报文过大,导致这些报文在传输过程中被校园网BRAS设备和运营商BRAS设备间的某个链路丢弃,从而影响到用户的网络业务,推荐在系统视图下使用tcp modify-mss命令来设置一个较小的TCP MSS值。
[Device] tcp modify-mss 1400
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3.3.3.2。
[Device] display access-user interface ten-gigabitethernet 3/1/2
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x5c XGE3/1/2 3.3.3.2 000c-29a6-b656 -/-
000c29a6b656 L2 IPoE dynamic
-
# 用户认证前域认证通过之后,可登录Web页面输入用户名/密码完成Web认证,用户通过Web认证后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display access-user interface ten-gigabitethernet 3/1/2
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x5c XGE3/1/2 3.3.3.2 000c-29a6-b656 -/-
user1@dm2 Web auth
-
# AAA服务器通过COA下发一个PPPoE的代拨请求报文,报文中的代拨组名称为cmcc,用户名/密码为在运营商开通的账号信息,PPPoE代拨成功上线后,可以看到如下信息。
[Device] display access-user interface ten-gigabitethernet 3/1/3
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x5d XGE3/1/3 6.0.0.2 000c-29a6-b656 -/-
test PPPoEA
-
校园网用户作为DHCP client经由二层网络以IPoE方式接入到校园网BRAS设备。校园网BRAS设备与代拨网关设备互联,由代拨网关设备为校园网用户的外网流量提供PPPoE代拨服务。当校园网用户需要访问外网时,流量经由校园网BRAS发送到代拨网关,代拨网关根据流量信息匹配代拨用户,经由代拨用户将流量转发到运营商BRAS。
其中:
· 内网流量:
¡ 在校园网BRAS的Ten-GigabitEthernet3/1/2接口上开启IPoE功能,为校园网用户提供BRAS接入服务。
¡ 采用DHCP服务器为校园网用户分配IPv4地址。
¡ 采用一台服务器担任校园AAA服务器,当用户在校内BRAS上线后,校内BRAS服务器会将用户信息通知到运营商AAA服务器。
¡ DHCP client异常下线后通过IPv4报文重新触发上线。
· 外网流量:
¡ 采用一台服务器担任运营商AAA服务器,用于在校园BRAS用户上线后,通知代拨网关模拟PPPoE client,向由运营商BRAS担任的PPPoE server发起拨号上线请求。
¡ 在代拨网关设备的Ten-GigabitEthernet3/1/1接口上开启PPPoE代拨功能,为校园网用户提供代拨服务,代拨成功后可以访问运营商网络。
图1-32 PPPoE代拨配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达,具体配置过程略。
正确配置校园AAA服务器、运营商AAA服务器、运营商BRAS,具体配置过程略。
校园网AAA服务器与运营商AAA服务器之间已建立用于传递校内用户账号信息的通信通道。
校园网用户需开通运营商账号,并在运营商AAA服务器上将校园网用户内网账号与开通的运营商账号、所属运营商的PPPoE拨号组名称等信息进行绑定,以便校园网用户上线后可以触发代拨流程并通过运营商的PPPoE认证。
(1) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] ip pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-ip-pool-pool1] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-ip-pool-pool1] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-ip-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-ip-pool-pool1] quit
# 配置缺省路由。
[DHCP-server] ip route-static 0.0.0.0 0 4.4.4.2
(2) 配置校园BRAS
a. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将3.3.3.1设置为禁止地址,并指定远端BAS IP地址池对应的DHCP服务器地址。
[Device] ip pool pool1 bas remote
[Device-ip-pool-pool1] gateway 3.3.3.1 24
[Device-ip-pool-pool1] forbidden-ip 3.3.3.1
[Device-ip-pool-pool1] remote-server 4.4.4.3
[Device-ip-pool-pool1] quit
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.5
[Device-radius-rs1] primary accounting 4.4.4.5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名与用户的输入保持一致。
[Device-radius-rs1] user-name-format keep-original
[Device-radius-rs1] quit
c. 配置用户组
# 创建前域用户使用的用户组,名称为pre。
[Device] user-group pre
New user group added.
[Device-ugroup-pre] quit
# 创建后域用户使用的用户组,名称为web。
[Device] user-group web
New user group added.
[Device-ugroup-web] quit
d. 配置认证域
# (IPoE认证前域)配置IPoE用户认证前域阶段使用的认证域dm1。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置前域授权地址池以及用户组。
[Device-isp-dm1] authorization-attribute user-group pre
[Device-isp-dm1] authorization-attribute ip-pool pool1
# 配置Web认证页面URL和Web认证服务器IP地址。
[Device-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[Device-isp-dm1] web-server ip 4.4.4.5
[Device-isp-dm1] quit
# (IPoE认证后域)配置IPoE用户Web认证阶段使用的认证域dm2。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
# 配置后域授权用户组web。
[Device-isp-dm2] authorization-attribute user-group web
[Device-isp-dm2] quit
e. 配置校内BRAS用户后域的ACL规则
# 为IPv4高级ACL neiwang创建规则如下:
- 匹配用户的目的地址为4.4.4.6的报文(本例以4.4.4.6代指内网流量,现网中请根据实际情况进行配置)。
- 匹配用户的目的地址为用户网段(3.3.3.0/24)的报文,以便同网段用户之间以及用户和网关之间可以互通。
[Device] acl advanced name neiwang
[Device-acl-ipv4-adv-neiwang] rule 0 permit ip destination 4.4.4.6 0 user-group web
[Device-acl-ipv4-adv-neiwang] rule 10 permit ip destination 3.3.3.0 0.0.0.255 user-group web
[Device-acl-ipv4-adv-neiwang] quit
# 为IPv4高级ACL waiwang创建规则如下:
- 匹配用户的源地址为用户网段(3.3.3.0/24)的报文,以便访问外网。
[Device] acl advanced name waiwang
[Device-acl-ipv4-adv-waiwang] rule 0 permit ip source 3.3.3.0 0.0.0.255 user-group web
[Device-acl-ipv4-adv-waiwang] quit
f. 配置校内BRAS用户后域的流分类
# 配置类neiwang,匹配ACL neiwang。
[Device] traffic classifier neiwang operator and
[Device-classifier-neiwang] if-match acl name neiwang
[Device-classifier-neiwang] quit
# 配置类waiwang,匹配ACL waiwang。
[Device] traffic classifier waiwang operator and
[Device-classifier-waiwang] if-match acl name waiwang
[Device-classifier-waiwang] quit
g. 配置校内BRAS用户后域的流行为
# 配置流行为neiwang,允许用户组web中用户的目的地址为校园内网服务器地址IP的报文通过。
[Device] traffic behavior neiwang
[Device-behavior-neiwang] filter permit
[Device-behavior-neiwang] free account
[Device-behavior-neiwang] quit
# 配置流行为waiwang,允许用户组web中用户的目的地址为非校园内网服务器IP地址的报文转发到代拨网关,重定向下一跳为代拨网关接入接口Ten-GigabitEthernet3/1/2的IP地址2.2.2.1。
[Device] traffic behavior waiwang
[Device-behavior-waiwang] redirect next-hop 2.2.2.1
[Device-behavior-waiwang] quit
h. 配置校内BRAS用户后域的QoS策略
#配置入方向QoS策略web
[Device] qos policy web
# 为类指定对应的流行为,规则为对于用户组web中的用户:
允许目的地址为内网流量的报文通过。
除了上述内网流量外,其余流量都按外网流量重定向到代拨网关处理。
[Device-qospolicy-web] classifier neiwang behavior neiwang
[Device-qospolicy-web] classifier waiwang behavior waiwang
[Device-qospolicy-web] quit
i. 配置校内BRAS用户的应用策略
# 对接收的用户流量应用QoS策略,策略名为web(应用策略后可以执行display qos policy global inbound命令查看策略是否生效)。
[Device] qos apply policy web global inbound
j. 配置IPoE Web认证
IPoE Web认证具体配置请参见“BRAS业务配置指导”中的“IPoE”。
(3) 配置代拨网关(代拨组名称由运营商决定,这里假设代拨组名称为school-1)
a. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Router> system-view
[Router] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Router-radius-rs1] primary authentication 5.5.5.1
[Router-radius-rs1] primary accounting 5.5.5.1
[Router-radius-rs1] key authentication simple radius
[Router-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名与用户的输入保持一致。
[Router-radius-rs1] user-name-format keep-original
[Router-radius-rs1] quit
b. 配置缺省域
# 进入缺省域system的ISP域视图。
[Router] domain name system
# 配置PPPoE代拨用户使用RADIUS方案rs1进行计费(对于域下的PPPoE代拨用户,目前只支持为其配置计费方法,不支持配置认证、授权方法;系统默认为域下的PPPoE代拨用户采用不认证、不授权方法)。
[Router-isp-system] accounting pppoea radius-scheme rs1
[Router-isp-system] quit
c. 配置代拨网关使能
# 全局开启PPPoE代拨网关功能。
[Router] pppoe-agency-relay enable
d. PPPoE代拨接口与运营商的PPPoE代拨组school-1进行绑定
# 将PPPoE代拨网关接入接口Ten-GigabitEthernet3/1/2与运营商的PPPoE代拨组school-1进行绑定,并指定对端IP地址为校内BRAS设备上Ten-GigabitEthernet3/1/3的IP地址2.2.2.3。
[Router] pppoe-agency-relay-group school-1 interface ten-gigabitethernet 3/1/2 peer-ip 2.2.2.3
# 创建一个虚拟模板接口1。
[Router] interface virtual-template 1
[Router-Virtual-Template1] quit
# 在代拨接口Ten-GigabitEthernet3/1/1上启用PPPoE agency协议,将该接口绑定到PPPoE代拨组school-1。
[Router] interface ten-gigabitethernet 3/1/1
[Router–Ten-GigabitEthernet3/1/1] pppoe-agency bind virtual-template 1 pppoe-agency-group school-1
[Router–Ten-GigabitEthernet3/1/1] quit
# 配置TCP MSS值为1400字节(推荐值)。
为避免校园网BRAS设备发送的报文过大,导致这些报文在传输过程中被校园网BRAS设备和运营商BRAS设备间的某个链路丢弃,从而影响到用户的网络业务,推荐在系统视图下使用tcp modify-mss命令来设置一个较小的TCP MSS值。
[Router] tcp modify-mss 1400
# 校园BRAS用户认证通过之后,在校园BRAS设备上使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3.3.3.2。
[Device] display access-user interface ten-gigabitethernet 3/1/2
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x5c XGE3/1/2 3.3.3.2 000c-29a6-b656 -/-
000c29a6b656 L2 IPoE dynamic
-
# 用户认证前域认证通过之后,可登录Web页面输入用户名/密码完成Web认证,用户通过Web认证后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display access-user interface ten-gigabitethernet 3/1/2
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x5c XGE3/1/2 3.3.3.2 000c-29a6-b656 -/-
user1@dm2 Web auth
-
# 代拨用户上线后,在代拨网关设备上查看PPPoEA用户已在线,用户名/密码为在运营商开通的账号信息。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x5d XGE3/1/1 6.0.0.2 000c-29a6-b656 -/-
test PPPoEA
-
Host手工配置了静态IPv4地址1.1.1.2/24,静态IPv6地址1::021B:21FF:FEA8:0949/64,静态IPv6 DNS服务器地址8::F85B:7EE1:1410:74C9,Host和Router之间通过以太网接口相连,Router作为PPPoE server。要求,允许Host使用手工配置的静态IP地址通过PPPoE方式接入Router。
图1-33 PPPoE静态双栈用户组网图
部分操作系统,例如Windows 7系统,如果DHCPv6客户端申请到的IPv6全球单播地址中的接口标识部分和该DHCPv6客户端链路本地地址中的接口标识部分不一致,Windows 7系统会认为这个IPv6全球单播地址不可用,DHCPv6客户端无法使用该地址作为报文源地址发送报文。因此,为确保功能正常,建议配置静态IPv6地址时将接口标识部分配置成和链路本地地址中的接口标识部分一致。例如,本例中,链路本地地址为FE80::021B:21FF:FEA8:0949,静态IPv6地址为1::021B:21FF:FEA8:0949。
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 配置设备接受对端用户使用自行配置的静态IPv4地址和IPv6地址上线。
[Router-Virtual-Template1] ppp accept remote-ip-address
[Router-Virtual-Template1] ppp accept remote-ipv6-address
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1(目的是为了避免IPv6静态用户误采用NDRA方式上线)。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 取消接口工作在DHCPv6服务器或者DHCPv6中继模式(目的是为了避免IPv6静态用户误采用IA_NA方式上线)。(缺省配置)
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 dhcp select
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 启用DHCPv4服务。
[Router] dhcp enable
# 配置本地BAS IP地址池pool1。
[Router] ip pool pool1 bas local
[Router-ip-pool-pool1] gateway 1.1.1.1 24
[Router-ip-pool-pool1] dns-list 8.8.8.8
# 将网关IP地址1.1.1.1和静态用户IP地址1.1.1.2配置为禁用地址。
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] forbidden-ip 1.1.1.2
[Router-ip-pool-pool1] quit
# 将静态用户IPv6地址1::021B:21FF:FEA8:0949配置为禁用地址。
[Router] ipv6 dhcp server forbidden-address 1::021B:21FF:FEA8:0949
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ip-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,通过下列命令查看可以查看到Host已使用手工设置的静态IP地址成功上线。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
· 在转发与控制分离组网中,由CP和UP共同作为BRAS接入设备,对用户提供BRAS功能。
· 在转发与控制分离组网中,本设备仅支持作为UP,不支持作为CP。
· 担任CP角色的产品的不同版本的配置命令可能存在差异,本节CP上的配置仅供参考,有关CP上配置的详细介绍,请参见担任CP角色的设备的产品手册。
· 主机作为PPPoE client,运行PPPoE客户端拨号软件。
· CP设备通过DHCPv4协议为Host分配IPv4地址。
· BRAS设备需要支持PPPoE server的转发与控制分离,其中UP作为转发设备负责报文转发与流量控制等,CP作为控制设备负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。
图1-34 PPPoE server IPv4转发与控制分离组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置设备工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
a. 配置DHCP服务器
# 配置ODAP类型的IP地址池pool1。
<CP> system-view
[CP] ip pool pool1 odap
[CP-ip-pool-pool1] network 1.0.0.0 8 export-route
[CP-ip-pool-pool1] subnet mask-length 16
[CP-ip-pool-pool1] gateway 1.1.1.1 8
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] dns-list 8.8.8.8
[CP-ip-pool-pool1] quit
b. 配置本地用户
# 创建一个PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
c. 配置认证域
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] quit
d. 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
[CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,就能通过设备Router接入到Internet。Host的IP地址为CP所指定的地址。
# 显示CP上PPPoE接入用户的信息。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 1.0.0.1 0000-5e08-9d00 -/-
user1 PPPoE
-
· 主机作为PPPoE client,运行PPPoE客户端拨号软件。
· CP设备通过DHCPv4协议为Host分配IPv4地址,通过DHCPv6协议为Host分配IPv6地址。
· BRAS设备需要支持PPPoE server的转发与控制分离,其中UP作为转发设备负责报文转发与流量控制等,CP作为控制设备负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。
图1-35 PPPoE server IPv6转发与控制分离接入配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
a. 配置DHCP服务器
# 配置ODAP类型的IP地址池pool1。
<CP> system-view
[CP] ip pool pool1 odap
[CP-ip-pool-pool1] network 1.0.0.0 8 export-route
[CP-ip-pool-pool1] subnet mask-length 16
[CP-ip-pool-pool1] gateway 1.1.1.1 8
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] dns-list 8.8.8.8
[CP-ip-pool-pool1] quit
# 配置ODAP类型的IPv6地址池pool1。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] network 1::/32 export-route
[CP-ipv6-pool-pool1] dynamic address assign-length 64
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] dns-server 8::8
[CP-ipv6-pool-pool1] quit
# 配置远端接口Remote-XGE1024/3/1/1工作在DHCPv6服务器模式。
[CP] interface remote-xge 1024/3/1/1
[CP–Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[CP–Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP–Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
[CP–Remote-XGE1024/3/1/1] quit
b. 配置本地用户
# 创建一个PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
c. 配置认证域
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
d. 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 查看CP上的PPPoE用户在线信息。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x1 R-XGE1024/3/1/1 1.0.0.1 000c-29a6-b656 -/-
user1 PPPoE
1::2
· 主机作为PPPoE client,运行PPPoE客户端拨号软件。
· Router设备作为远端DHCP服务器,CP设备作为DHCP中继向远端DHCP服务器申请IPv4地址和IPv6地址。
· BRAS设备需要支持PPPoE server的转发与控制分离,其中UP作为转发设备负责报文转发与流量控制等,CP作为控制设备负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。
图1-36 PPPoE server IPv6转发与控制分离接入配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
a. 配置DHCP服务器
# 配置远端BAS IP地址池pool1。
<CP> system-view
[CP] ip pool pool1 bas remote
[CP-ip-pool-pool1] gateway 1.1.1.1 16
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] remote-server 13.1.1.1
[CP-ip-pool-pool1] binding up-id 1024
[CP-ip-pool-pool1] quit
# 配置远端BAS IPv6地址池pool1。
[CP] ipv6 pool pool1 bas remote
[CP-ipv6-pool-pool1] gateway-list 1::1
[CP-ipv6-pool-pool1] network 1::/64 export-route
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] remote-server 13::1
[CP-ipv6-pool-pool1] dhcpv6-relay source-address interface loopback 0
[CP-ipv6-pool-pool1] binding up-id 1024
[CP-ipv6-pool-pool1] quit
# 配置远端接口Remote-XGE1024/3/1/1工作在DHCP中继模式。
[CP] interface remote-xge 1024/3/1/1
[CP–Remote-XGE1024/3/1/1] dhcp select relay
[CP–Remote-XGE1024/3/1/1] ipv6 dhcp select relay
[CP–Remote-XGE1024/3/1/1] ipv6 dhcp relay release-agent
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[CP–Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP–Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
[CP–Remote-XGE1024/3/1/1] quit
b. 配置本地用户
# 创建一个PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
c. 配置认证域
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
d. 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
(3) 配置Router(DHCP服务器)
¡ 配置IP地址池
# 启用DHCP服务。
<Router> system-view
[Router] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[Router] ip pool pool1
[Router-ip-pool-pool1] network 1.1.0.0 16
[Router-ip-pool-pool1] gateway-list 1.1.1.1
[Router-ip-pool-pool1] dns-list 8.8.8.8
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] quit
# 配置到CP设备的缺省路由。
[Router] ip route-static 0.0.0.0 0 12.1.1.1
¡ 配置IPv6地址池
# 创建名称为pool2的IPv6地址池,配置为DHCP客户端分配的IPv6地址网段和DNS服务器地址。
[Router] ipv6 pool pool2
[Router-ipv6-pool-pool2] network 1::/64
[Router-ipv6-pool-pool2] dns-server 8::8
[Router-ipv6-pool-pool2] forbidden-address 1::1
[Router-ipv6-pool-pool2] quit
# 配置接口Ten-GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置到CP设备的缺省路由。
[Router] ipv6 route-static :: 0 12::1
# 查看CP上的PPPoE用户在线信息。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x1 R-XGE1024/3/1/1 1.1.0.1 000c-29a6-b656 -/-
user1 PPPoE
1::2
CP和UP作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于授权前缀。
图1-37 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# (仅用于发布前缀网段路由)配置本地BAS IPv6地址池pool1,指定匹配该地址池的DHCPv6客户端所在的网段地址并发布网段路由。
[CP] ipv6 pool pool1 bas local
[CP-ipv6-pool-pool1] network 10::/64 export-route
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权IPv6前缀属性及DNS信息。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-prefix 10:: 64
[CP-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[CP-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
CP和UP作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于ND前缀池。
图1-38 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 配置前缀池1,包含的前缀为10::/16,分配的前缀长度为32,即前缀池1包含10::/32~10:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 1 prefix 10::/16 assign-len 32
# 配置ODAP类型的IPv6地址池pool1,并引用前缀池1,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] prefix-pool 1
[CP-ipv6-pool-pool1] dynamic prefix assign-length 64
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权ND前缀池及IPv6 DNS地址池信息。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-nd-prefix-pool pool1
[CP-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[CP-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Host和Router之间通过以太网接口相连,Host通过PPPoE接入PPPoE server,CP和UP作为PPPoE server通过DHCPv6协议为Host分配IPv6地址。
图1-39 配置PPPoE server通过IA_NA方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 配置ODAP类型的IPv6地址池pool1。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] network 1::/32 export-route
[CP-ipv6-pool-pool1] dynamic address assign-length 64
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] dns-server 8::8
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv6协议为Host分配一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::2
Router作为PPPoE client,并通过PPPoE接入PPPoE server。
CP和UP作为PPPoE server通过DHCPv6协议给Router分配代理前缀,Router再通过代理前缀给下面的主机分配IPv6地址。
图1-40 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 配置前缀池6,包含的前缀为20::/16,分配的前缀长度为32,即前缀池6包含20::/32~20:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 6 prefix 20::/16 assign-len 32
# 配置ODAP类型的IPv6地址池pool1,并引用前缀池6,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] prefix-pool 6
[CP-ipv6-pool-pool1] dynamic prefix assign-length 64
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
(3) 配置Router(PPPoE client)
· 本设备(本例中为UP和CP)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<Router> system-view
[Router] interface dialer 1
[Router-Dialer1] dialer bundle enable
# 配置Router被CP设备以CHAP方式认证时Router发送的CHAP用户名和密码。
[Router-Dialer1] ppp chap user user1
[Router-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[Router-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[Router-Dialer1] dialer timer autodial 60
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[Router-Dialer1] ipv6 address dhcp-alloc
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[Router-Dialer1] ipv6 dhcp client pd 1
[Router-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[Router] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[Router-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[Router-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv6协议为Router分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[CP] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/32 Auto(C) Expires after 2100 31303234
Slot 97:
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/64 Auto(C) Expires after 2100 0540c4d7310107
以上信息表示,CP通过DHCPv6协议为Router分配一个代理前缀。
# 显示Router上创建的IPv6前缀信息。
[Router] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router从CP获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router把分配到的代理前缀20::/64再分配给Host,Host用来生成IPv6全球单播地址。
Router A和PPPoE server之间通过以太网接口相连,Router A作为PPPoE client,并通过PPPoE接入PPPoE server,CP和UP作为PPPoE server,并:
· IPv4:
¡ Router C为远端DHCP服务器。Router A通过PPPoE接入PPPoE server,PPPoE server同时作为DHCP中继向远端DHCP服务器申请IPv4地址。
· IPv6:
¡ 通过NDRA方式给Router A上的WAN口(本例为Dialer1)分配IPv6地址前缀,IPv6地址前缀来源于ND前缀池。
¡ 通过IA_PD方式给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-41 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置Router C(DHCP服务器)
# 启用DHCP服务。
<RouterC> system-view
[RouterC] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[RouterC] ip pool pool1
[RouterC-ip-pool-pool1] network 1.1.1.0 24
[RouterC-ip-pool-pool1] gateway-list 1.1.1.1
[RouterC-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterC-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterC-ip-pool-pool1] quit
# 配置到PPPoE server的缺省路由。
[RouterC] ip route-static 0.0.0.0 0 13.1.1.2
(2) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(3) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv4中继模式。
[CP-Remote-XGE1024/3/1/1] dhcp select relay
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# (DHCPv4使用)创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将IP地址1.1.1.1配置为禁用地址,并指定中继地址池对应的DHCP服务器地址。
[CP] ip pool pool1 bas remote
[CP-ip-pool-pool1] gateway 1.1.1.1 24
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] remote-server 10.1.1.1
[CP-ip-pool-pool1] quit
# (NDRA使用)配置前缀池1,包含的前缀为10::/16,分配的前缀长度为32,即前缀池1包含10::/32~10:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 1 prefix 10::/16 assign-len 32
# 配置ODAP类型的IPv6地址池ndra,并引用前缀池1,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool ndra odap
[CP-ipv6-pool-ndra] prefix-pool 1
[CP-ipv6-pool-ndra] dynamic prefix assign-length 64
[CP-ipv6-pool-ndra] quit
# (IA_PD使用)配置前缀池6,包含的前缀为20::/16,分配的前缀长度为32,即前缀池6包含20::/32~20:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 6 prefix 20::/16 assign-len 32
# 配置ODAP类型的IPv6地址池iapd,并引用前缀池6,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool iapd odap
[CP-ipv6-pool-iapd] prefix-pool 6
[CP-ipv6-pool-iapd] dynamic prefix assign-length 64
[CP-ipv6-pool-iapd] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权IP地址池、ND前缀池、IPv6 DNS地址和地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authorization-attribute ipv6-nd-prefix-pool ndra
[CP-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[CP-isp-dm1] authorization-attribute ipv6-pool iapd
[CP-isp-dm1] quit
(4) 配置Router A(PPPoE client)
· 本设备(本例中为UP和CP)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被CP以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# (IPv4使用)配置Dialer1接口通过协商获取IP地址,Dialer1接口主动向对端请求DNS服务器地址,以及Dialer1接口可以被动地接收对端指定的DNS服务器地址。
[RouterA-Dialer1] ip address ppp-negotiate
[RouterA-Dialer1] ppp ipcp dns request
[RouterA-Dialer1] ppp ipcp dns admit-any
# (IPv4使用)配置直接使用Dialer1接口的IP地址对内网访问外网的IP流量进行地址转换。
[RouterA-Dialer1] nat outbound
# (NDRA使用)在Dialer1接口上开启无状态地址自动配置功能,使接口通过无状态自动配置方式生成全球单播地址。
[RouterA-Dialer1] ipv6 address auto
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 dialer 1
[RouterA] ipv6 route-static :: 0 dialer 1
# 启用DHCP服务。
[RouterA] dhcp enable
# 配置IP地址池pool1。
[RouterA] ip pool pool1
[RouterA-ip-pool-pool1] network 192.168.1.0 24
[RouterA-ip-pool-pool1] gateway-list 192.168.1.1
[RouterA-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.1.1配置为禁用地址。
[RouterA-ip-pool-pool1] forbidden-ip 192.168.1.1
[RouterA-ip-pool-pool1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置内网用户的IPv4网关地址。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] ip address 192.168.1.1 24
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv4获取到一个IPv4地址,以及通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
CP通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[CP] display ipv6 dhcp server pd-in-use
Pool: iapd
IPv6 prefix Type Lease expiration DUID
20::/32 Auto(C) Expires after 2100 31303234
Pool: ndra
IPv6 prefix Type Lease expiration DUID
10::/32 Auto(C) Expires after 2100 31303234
Slot 97:
Pool: iapd
IPv6 prefix Type Lease expiration DUID
20::/64 Auto(C) Expires after 2100 0540c4d7310107
Pool: ndra
IPv6 prefix Type Lease expiration DUID
10::/64 Auto(C) Expires after 2100 0640c4d7310107
以上信息表示,CP通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router A从CP获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/64再分配给Host,Host用来生成IPv6全球单播地址。
Router和PPPoE server之间通过以太网接口相连,Router通过PPPoE接入CP,PPPoE server作为PPPoE server,并:
· 通过IA_NA方式给Router上的WAN口(本例为Dialer1)分配IPv6全球单播地址。
· 通过IA_PD方式给Router分配代理前缀,Router再通过代理前缀给下面的主机分配IPv6地址。
图1-42 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# (IA_PD使用)配置前缀池6,包含的前缀为20::/16,分配的前缀长度为32,即前缀池6包含20::/32~20:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 6 prefix 20::/16 assign-len 32
# 配置ODAP类型的IPv6地址池pool1。
[CP] ipv6 pool pool1 odap
# (IA_NA使用)配置IPv6地址池动态分配的地址网段为1::/32,指定分配的IPv6地址的前缀长度为64,禁止分配IPv6地址为1::1,分配的DNS服务器地址为8::8。
[CP-ipv6-pool-pool1] network 1::/32 export-route
[CP-ipv6-pool-pool1] dynamic address assign-length 64
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] dns-server 8::8
# (IA_PD使用)在地址池下引用前缀池6,并指定分配的IPv6前缀段的前缀长度为64。
[CP-ipv6-pool-pool1] prefix-pool 6
[CP-ipv6-pool-pool1] dynamic prefix assign-length 64
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
(3) 配置Router(PPPoE client)
· 本设备(本例中为UP和CP)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<Router> system-view
[Router] interface dialer 1
[Router-Dialer1] dialer bundle enable
# 配置Router被CP以CHAP方式认证时Router发送的CHAP用户名和密码。
[Router-Dialer1] ppp chap user user1
[Router-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[Router-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[Router-Dialer1] dialer timer autodial 60
# (IA_NA+IA_PD共用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[Router-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[Router-Dialer1] ipv6 dhcp client pd 1
[Router-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[Router] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[Router-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[Router-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv6协议为Router分配一个IPv6全球单播地址。
[Router] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::2
# 显示DHCPv6前缀绑定信息。
[CP] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/32 Auto(C) Expires after 2100 31303234
Slot 97:
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/64 Auto(C) Expires after 2100 0540c4d7310107
以上信息表示,CP通过DHCPv6协议为Router分配一个代理前缀。
# 显示Router上创建的IPv6前缀信息。
[Router] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router从CP获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
