- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-PPPoE配置
本章节下载: 10-PPPoE配置 (1.12 MB)
目 录
1.3.3 转发与控制分离模式下PPPoE server配置任务简介
1.3.10 配置PPPoE会话的NAS-PORT-ID属性相关参数
1.3.11 配置PPPoE接入用户的NAS-PORT-ID精绑
1.3.12 配置PPPoE server的Service Name
1.3.13 配置设备每秒能够接收PADI报文的最大数目(一体化设备)
1.3.14 配置UP上每个slot每秒能够接收PADI报文的最大数目(UP设备)
1.6.1 PPPoE server通过本地DHCP服务器为用户分配IPv4地址配置举例
1.6.2 PPPoE server通过远端DHCP服务器为双栈用户分配IP地址配置举例
1.6.3 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(AAA授权前缀)
1.6.4 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(ND前缀池授权前缀)
1.6.5 PPPoE server通过IA_NA方式为用户分配IPv6地址配置举例
1.6.6 PPPoE server通过IA_PD方式为用户分配IPv6地址配置举例
1.6.7 PPPoE server通过远端DHCPv4服务器+(NDRA+IA_PD)方式为双栈用户分配IP地址配置举例
1.6.8 PPPoE server通过IA_NA+IA_PD方式为用户分配IPv6地址配置举例
1.6.9 PPPoE server通过本地DHCP服务器为双栈用户分配IP地址配置举例
1.6.10 PPPoE server为接入用户授权地址池和VPN配置举例
1.6.11 PPPoE代拨配置举例(授权远端BAS IP地址池)
1.7.1 PPPoE server通过本地DHCP服务器为用户分配IPv4地址
1.7.2 PPPoE server通过本地DHCP服务器为双栈用户分配IP地址配置举例
1.7.3 PPPoE server通过远端DHCP服务器为双栈用户分配IP地址配置举例
1.7.4 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(AAA授权前缀)
1.7.5 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(ND前缀池授权前缀)
1.7.6 PPPoE server通过IA_NA方式为用户分配IPv6地址配置举例
1.7.7 PPPoE server通过IA_PD方式为用户分配IPv6地址配置举例
1.7.8 PPPoE server通过远端DHCPv4服务器+(NDRA+IA_PD)方式为双栈用户分配IP地址配置举例
1.7.9 PPPoE server通过IA_NA+IA_PD方式为用户分配IPv6地址配置举例
PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)是对PPP协议的扩展,它在以太网上建立PPPoE会话,将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接,解决了PPP无法应用于以太网的问题。PPPoE还可以通过远端接入设备对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。
PPPoE使用Client/Server模型。PPPoE client向PPPoE server发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoE server向PPPoE client提供接入控制、认证、计费等功能。
根据PPPoE会话的起点所在位置的不同,PPPoE分为Router-Initiated和Host-Initiated两种组网结构。
如图1-1所示,Router-Initiated组网结构是在两台路由器之间建立PPPoE会话,所有主机通过同一个PPPoE会话传送数据,主机上不用安装PPPoE客户端拨号软件,一般是一个企业共用一个账号接入网络(图中PPPoE client位于企业/公司内部,PPPoE server是运营商的设备)。
如图1-2所示,Host-Initiated组网结构是将PPPoE会话建立在Host和运营商的路由器之间,为每一个Host建立一个PPPoE会话,每个Host都是PPPoE client,每个Host使用一个账号,方便运营商对用户进行计费和控制。Host上必须安装PPPoE客户端拨号软件。
图1-2 Host-Initiated组网结构图
如图1-3所示,为满足校园网用户对网络出口多样化的需求,以及学校自身简化校园网搭建和维护的需要,越来越多的高校选择与运营商联合运营,共同建设校园网。联合运营场景下,通过在校园网BRAS设备上部署PPPoE代拨功能(即PPPoE agency),可以为校园网用户提供自主选择运营商网络,以及通过模拟PPPoE client向对应运营商网络中的PPPoE server自动为其发起PPPoE拨号上网的服务。该功能不仅简化了校方和运营商的联合运营模式,又为学生提供了极佳的网络体验。
图1-3 PPPoE代拨组网示意图
与PPPoE相关的协议规范有:
RFC 2516:A Method for Transmitting PPP Over Ethernet (PPPoE)
配置PPPoE server功能时,需要注意::
· 本设备仅支持作为PPPoE server,不支持作为PPPoE client(PPPoE agency组网中模拟PPPoE client代拨除外)。
· standard工作模式下,仅下表所列单板支持本功能。
表1-1 单板信息一览表
|
单板类型 |
单板丝印 |
|
CEPC单板 |
CEPC-XP4LX、CEPC-XP24LX、CEPC-XP48RX、CEPC-CP4RX、CEPC-CP4RX-L |
|
CSPEX单板 |
CSPEX-1304X、CSPEX-1304S、CSPEX-1404X、CSPEX-1404S、CSPEX-1502X、CSPEX-1504X、CSPEX-1504S、CSPEX-1602X、CSPEX-1804X、CSPEX-1512X、CSPEX-1612X、CSPEX-1812X、CSPEX-1802XB、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G |
|
SPE单板 |
RX-SPE200、RX-SPE200-E |
· sdn-wan工作模式下,设备不支持本功能。
配置PPPoE agency功能时,需要注意:
· standard工作模式下,仅下表所列单板支持本功能。
表1-2 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1802XB、CSPEX-1802X、CSPEX-1812X-E、CSPEX-2304X-G |
|
SPE单板 |
RX-SPE200-E |
· sdn-wan工作模式下,设备不支持本功能。
· 当校园网用户为三层接入IPoE用户时,如果需要为这类用户提供PPPoE代拨服务,在运营商的PPPoE server设备上需要通过pppoe-server session-limit per-mac命令配置每个用户所能创建PPPoE会话的最大数目大于等于实际校园网内网用户的个数,否则因MAC地址冲突导致PPPoE代拨用户无法上线。
· 配置了PPPoE代拨功能的用户组不允许和ACL报文过滤(由packet-filter命令配置)的ACL规则中指定的用户组相同,否则代拨功能不可用。
· 仅一体化组网支持PPPoE代拨功能,转发与控制分离组网不支持。
· 仅IPv4单播业务支持PPPoE代拨功能,不支持IPv6,不支持组播。
· 代拨场景下,运营商侧PPPoE server仅支持PAP认证和CHAP认证,不支持MSCHAP和MSCHAPv2的认证。
· 代拨网关接入接口和代拨接口(包括一体化代拨模式和代拨网关模式)都仅支持三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口。其中,对于代拨网关接入接口和代拨接口的子接口都有如下要求:
¡ 支持普通VLAN终结方式,不支持用户VLAN终结方式。
¡ 支持明确的Dot1q终结和QinQ终结,不支持模糊的Dot1q终结和QinQ终结。
¡ 不支持Untagged终结和Default终结。
在PPPoE应用中,广告推送功能仅对使用80和8080端口号的HTTP报文生效。
在PPPoE server作为DHCP relay的中继组网中,对于普通IP地址池,涉及下列命令的配置时,要求DHCP relay和远端DHCP server保持一致:
· DHCPv4
¡ network命令(用来配置IP地址池动态分配的IP地址网段)
¡ address range命令(用来配置IP地址池动态分配的IP地址范围)
¡ forbidden-ip命令(用来配置IP地址池中不参与自动分配的IP地址)
上述命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”。
· DHCPv6:
¡ network命令(用来配置IPv6地址池动态分配的IPv6地址网段)
¡ address range命令(用来配置地址池中动态分配的IPv6非临时地址范围)
¡ forbidden-address命令(用来配置不参与自动分配的IPv6地址或地址段)
¡ forbidden-prefix命令(用来配置不参与自动分配的IPv6前缀或前缀段)
¡ prefix-pool命令(用来配置地址池引用前缀池,以便从前缀池中动态选择前缀分配给客户端)
上述命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCPv6”。
为解决传统BRAS(Broadband Remote Access Server,宽带远程接入服务器)中存在的控制平面与转发平面能力不匹配、无法共享资源以及新业务部署不及时等问题,业界提出了基于vBRAS(Virtual Broadband Remote Access Server,虚拟化宽带远程接入服务器)的转发与控制分离方案。
转发与控制分离是指将转发平面与控制平面完全解耦,二者互不约束。在转发与控制分离方案中,包括CP和UP两种角色,由二者共同实现BRAS功能。其中:
· CP(Control Plane,控制平面):负责完成用户身份认证、地址分配与管理等控制平面功能。其中,CP一般由vBRAS系列虚拟宽带远程接入服务器担任。
· UP(User Plane,用户平面):负责完成用户数据流量转发和流量控制等转发平面功能。其中,UP可由路由器或者vBRAS虚拟宽带远程接入服务器担任。
CP和UP之间通过建立如下三条通道实现转发与控制分离功能:
· 管理通道:用作CP和UP之间配置下发的通道。
· 控制通道:用作CP和UP之间表项下发的通道。
· 协议通道:用作CP和UP之间协议报文交互的通道。
在转发与控制分离的组网环境中,PPPoE server有三种工作模式:普通模式、控制模式和转发模式。其中控制模式和转发模式又统称为转发与控制分离模式。
· 普通模式:本模式下,不区分CP和UP,BRAS模块的控制及数据转发业务均由同一台设备完成。工作在本模式的设备称作一体化设备。
· 控制模式:根据CP功能的实现方式不同,目前支持以下两种控制模式。
¡ session模式:该模式基于远端接口实现CP功能。当CP所连接的UP设备支持PPPoE功能时,可采用session模式,工作在session模式的CP将会向UP发送BRAS会话信息,UP根据从CP收到的BRAS会话信息指导数据报文转发。有关远端接口的介绍,请参见vBRAS-CP产品配置指导中的“CP-UP连接管理”。
· 转发模式:本模式下,设备仅完成数据转发业务。工作在本模式的设备称作UP。
· 除特殊说明外,本手册中的PPPoE Server均指工作在普通模式的情况。
· 转发与控制分离模式下,本设备仅支持作为UP,不支持作为CP。
在session模式下,UP会将接收到的认证报文通过VXLAN隧道上送给CP进行认证授权,认证通过之后CP上创建PPPoE会话并将PPPoE会话及授权信息等通过CUSP通道发送给UP,具体流程如图1-4所示。
图1-4 session模式下PPPoE用户接入流程图
(2) 用户主机向UP发送PPPoE discovery(发现阶段所有报文统称)报文。
(3) UP通过VXLAN隧道将报文上送CP处理。
(4) CP创建PPPoE会话,进行PPP协商,CP向AAA服务器发送认证请求,认证请求消息中包含用户名和密码等信息。
(5) AAA服务器返回认证结果,若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文,CP获取用户认证和授权结果,若用户认证失败,用户下线,认证成功,则继续进行NCP协商。
(6) NCP协商成功后,CP将PPPoE会话通过CUSP通道发送给UP。
(7) CP向AAA服务器发送计费开始报文,开始对该用户计费。
(8) UP定时收集用户流量,并通过CUSP通道上送CP。
(9) CP将流量上送给AAA服务器进行计费处理。
普通模式下PPPoE server配置任务如下:
(1) 配置PPPoE会话
(2) (可选)配置允许创建PPPoE会话的最大数目
(3) (可选)配置PPPoE日志功能
(4) (可选)配置限制用户创建PPPoE会话的速度
(5) (可选)配置PPPoE会话的NAS-PORT-ID属性相关参数
当需要根据NAS-PORT-ID精确获取PPPoE用户的接入接口的物理位置信息时需要配置本功能。
(7) (可选)配置PPPoE server的Service Name
(8) (可选)配置设备每秒能够接收PADI报文的最大数目
(9) (可选)配置PPPoE用户静默功能
(10) (可选)配置PPPoE协议报文防攻击功能
(11) (可选)配置禁止PPPoE用户上线功能
· 在转发与控制分离组网中,本设备仅支持作为UP,不支持作为CP。
· 本节仅介绍本设备作为UP时的相关配置。有关CP的相关配置,请参见担任CP角色的设备的产品手册。
当UP上联的CP工作在session模式时,UP配置任务如下:
(1) 配置设备工作在转发模式
(2) 配置CP-UP连接管理
在PPPoE server转发与控制分离模式组网环境中,当UP上联的CP工作在session模式时,需要通过本节配置指定设备工作在转发模式。
(1) 进入系统视图。
system-view
(2) 配置设备工作在转发模式。
work-mode user-plane
缺省情况下,设备工作在普通模式。
本命令的详细介绍请参见“BRAS业务命令参考”中的“UCM”。
具体配置请参见vBRAS-CP产品配置指导中的“CP-UP连接管理”。
(1) 进入系统视图。
system-view
(2) 创建虚拟模板接口并进入指定的虚拟模板接口视图。
interface virtual-template number
(3) 配置PPP的工作参数
具体工作参数的配置请参见“BRAS业务配置指导”中的“PPP”。
当配置PPP认证时,需要配置PPPoE server作为认证方。
(4) 退回系统视图。
quit
(5) 进入接口视图。
interface interface-type interface-number
(6) 在接口上启用PPPoE server协议,将该接口与指定的虚拟模板接口绑定。
pppoe-server bind virtual-template number
缺省情况下,接口上的PPPoE server协议处于关闭状态。
(7) (可选)配置PPPoE server的AC Name(Access Concentrator Name,接入集中器名称)。
pppoe-server tag ac-name name
缺省情况下,PPPoE server的AC Name为设备名称。
PPPoE client可以根据AC Name来选择PPPoE server。
(8) (可选)配置对PPP最大负载TAG的支持,并指定最大负载的范围。
pppoe-server tag ppp-max-payload [ minimum min-number maximum max-number ]
缺省情况下,不支持PPP最大负载TAG。
(9) (可选)配置用户接入响应延迟时间。
pppoe-server access-delay delay-time [ even-mac | odd-mac ]
缺省情况下,对用户接入响应不延迟。
(10) 退回系统视图。
quit
(11) 配置PPPoE server对PPP用户进行认证、授权、计费。
相关内容请参见“BRAS业务配置指导”中的“AAA”。
系统创建PPPoE会话时,需同时满足如下限制,若其中任何一项不满足,则无法创建会话:
· 接口上每个用户所能创建PPPoE会话的最大数目限制。
· 接口上每个VLAN所能创建PPPoE会话的最大数目限制。
· 接口上所能创建PPPoE会话的最大数目限制。
· 单板所能创建PPPoE会话的最大数目限制。(独立运行模式)(IRF模式)
如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
建议设备上配置的所有单板/成员设备所能创建PPPoE会话的最大数目之和,不要超过整机PPPoE的最大会话数,否则会有部分PPPoE用户因为整机最大用户数已达到而无法上线。(独立运行模式)(IRF模式)
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 配置允许创建PPPoE会话的最大数目。
¡ 配置每个接口上所能创建PPPoE会话的最大数目。
pppoe-server session-limit number
缺省情况下,不限制接口上所能创建PPPoE会话的数目。
¡ 配置每个VLAN所能创建PPPoE会话的最大数目。
pppoe-server session-limit per-vlan number
缺省情况下,不限制每个VLAN所能创建PPPoE会话的数目。
¡ 配置每个用户所能创建PPPoE会话的最大数目。
pppoe-server session-limit per-mac number
缺省情况下,每个用户可创建1个PPPoE会话。
(1) 进入系统视图。
system-view
(2) 配置允许创建PPPoE会话的最大数目。
(独立运行模式)
pppoe-server session-limit slot slot-number [ cpu cpu-number ] total number
(IRF模式)
pppoe-server session-limit chassis chassis-number slot slot-number [ cpu cpu-number ] total number
缺省情况下,不限制允许创建的PPPoE会话数目。
PPPoE日志是为了满足网络管理员维护的需要,对PPPoE达到会话限制的信息进行记录,包括接口会话限制、MAC会话限制、VLAN会话限制、系统会话限制。
开启PPPoE日志功能后,当PPPoE会话数目达到每个接口、每个用户、每个VLAN或整个系统允许的最大会话数目时,如果再有新的用户请求上线,设备将生成日志信息。设备生成的PPPoE日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的PPPoE日志信息,一般情况下建议不要开启此功能。
(1) 进入系统视图。
system-view
(2) 开启PPPoE日志功能。
pppoe-server log enable
缺省情况下,PPPoE日志功能处于关闭状态。
设备可以限制特定接口下每个用户(每个用户通过MAC地址进行标识)创建会话的速度。如果用户建立会话的速度达到门限值,即在监视时间段内该用户的会话请求数目达到配置的允许数目,则扼制该用户新的会话请求,在监视时间段内该用户的超出允许数目的请求都会被丢弃,并输出对应的Log信息。如果扼制时间配置为0,表示不扼制会话请求,但仍然会输出Log信息。
· 监视表:监视各用户在监视时间周期内创建的会话数。监视表的规格为8K。当监视表达到规格时,对新用户的会话请求不进行监视和扼制,正常建立会话。监视表项的老化时间为配置的session-request-period值,老化后对用户重新监视。
· 扼制表:当某用户建立会话的速度超过门限值时,会将该用户的信息加入扼制表,扼制该用户的会话请求。扼制表规格为8K。当扼制表达到规格时,对新用户的会话请求只进行监视和发送Log信息,但不触发扼制。扼制表项的老化时间为配置的blocking-period值,老化后对用户重新监视。
修改本功能的配置后,系统将删除已记录的监视表和扼制表,重新开始监视每个用户的会话请求。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 配置接口允许每个用户创建会话的速度。
pppoe-server throttle per-mac session-requests session-request-period blocking-period
缺省情况下,不限制会话建立的速度。
如图1-5所示,在PPPoE+组网,或者含有DSLAM的组网中,PPPoE+设备(一般为部署了PPPoE+特性的Switch)或DSLAM通过接入线路ID(access-line-id)把用户的物理位置信息传送给BRAS设备(PPPoE server功能部署在BRAS设备上),接入线路ID的内容包括circuit-id和remote-id两部分。BRAS设备直接将接入线路ID复制到RADIUS的NAS-PORT-ID属性中发送给RADIUS服务器,RADIUS服务器通过收到的NAS-PORT-ID属性和数据库中已配置好的物理位置信息比较,验证用户的物理位置信息是否正确。
用户可以通过下面的配置控制BRAS设备上传给RADIUS服务器的NAS-PORT-ID属性的内容。
图1-5 PPPoE+组网示意图
如果在RADIUS方案视图下配置了attribute 87 format命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由该命令决定,PPPoE模块定义的RADIUS NAS-Port-ID属性格式不再生效。有关attribute 87 format命令的详细介绍,请参见“BRAS业务命令参考”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 配置上传给RADIUS服务器的NAS-PORT-ID属性中包含的内容。
pppoe-server access-line-id content { all [ separator ] | circuit-id | remote-id }
缺省情况下,上传给RADIUS服务器的NAS-PORT-ID属性中仅包含circuit-id。
(4) 配置在NAS-PORT-ID属性中自动插入BAS信息。
pppoe-server access-line-id bas-info [ cn-163 | cn-163-redback ]
缺省情况下,在NAS-PORT-ID属性中不自动插入BAS信息。
(5) 配置设备信任接收到的报文中的接入线路ID的内容。
pppoe-server access-line-id trust
缺省情况下,设备不信任接收到的报文中的接入线路ID的内容。
(6) 配置接入线路ID中circuit-id的传输格式。
pppoe-server access-line-id circuit-id trans-format { ascii | hex }
缺省情况下,接入线路ID中circuit-id的传输格式为字符串格式。
(7) 配置接入线路ID中remote-id的传输格式。
pppoe-server access-line-id remote-id trans-format { ascii | hex }
缺省情况下,接入线路ID中remote-id的传输格式为字符串格式。
(8) 配置在NAS-PORT-ID属性中插入VXLAN信息
pppoe-server access-line-id vxlan-info enable
缺省情况下,在NAS-PORT-ID属性中不插入VXLAN信息。
缺省情况下,设备使用用户上线的接口信息填充NAS-PORT-ID属性上送RADIUS服务器。在某些特殊应用中,当需要手工指定用于填充NAS-PORT-ID属性的上线接口信息时,可配置本特性。例如,若RADIUS服务器上限制了用户A只能通过接口A上线,当用户A切换到一个新接口B上线时,若不想更改RADIUS服务器的配置,可通过本特性配置用户A仍使用接口A的信息填充NAS-PORT-ID属性上送RADIUS服务器。
当BAS信息采用中国电信163格式且配置了pppoe-server nas-port-id interface命令时:
· 若同时配置了access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:
¡ 非转发与控制分离组网:chassis=NAS_chassis;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
¡ 转发与控制分离组网中:chassis=UP_ID;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
· 若未配置access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
当BAS信息采用中国电信格式且配置了pppoe-server nas-port-id interface命令时:
· 若同时配置了access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:
¡ 非转发与控制分离组网:{eth|trunk|atm} NAS_chassis/NAS_slot/NAS_subslot/NAS_port。
¡ 转发与控制分离组网:{eth|trunk|atm} UP_ID/NAS_slot/NAS_subslot/NAS_port。
· 若未配置access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:{eth|trunk|atm} NAS_slot/NAS_subslot/NAS_port。
如果在RADIUS方案视图下配置了attribute 87 format命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由该命令决定,PPPoE模块定义的RADIUS NAS-Port-ID属性格式不再生效。有关attribute 87 format命令的详细介绍,请参见“BRAS业务命令参考”中的“AAA”。
本特性仅在设备上通过pppoe-server access-line-id bas-info命令配置了在NAS-PORT-ID属性中自动插入BAS信息的情况下才生效。
若配置本特性,除使用本特性的配置填充NAS-PORT-ID属性外,还将填充NAS-PORT属性。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置使用指定接口信息填充RADIUS的NAS-PORT-ID属性。
pppoe-server nas-port-id interface interface-type interface-number
缺省情况下,使用用户上线的接口信息填充NAS-PORT-ID。
在转发与控制分离组网环境中,本命令中指定的接口必须是UP上PPPoE用户的接入接口,接口编号形式为UP ID/UP上实际接入接口编号,例如用户通过UP 1024上的Ten-GigabitEthernet3/1/1接口接入,则本命令中指定的接口编号应为1024/3/1/1。
当PPPoE server收到PPPoE client的PADI/PADR报文时,需要检查报文中的Service Name TAG字段并和本机上配置的Service Name进行匹配,只有匹配成功,PPPoE server才会接受PPPoE client的会话建立请求。不同匹配模式下的匹配规则有所不同,具体请见表1-3。
|
匹配模式 |
PPPoE client |
PPPoE server |
匹配结果 |
|
精确匹配 |
未指定Service Name |
配置的Service Name数目小于8 |
成功 |
|
配置的Service Name数目等于8 |
失败 |
||
|
指定Service Name |
已配置和客户端相同的Service Name |
成功 |
|
|
不存在和客户端相同的Service Name |
失败 |
||
|
模糊匹配 |
未指定Service Name |
任何配置 |
成功 |
|
指定Service Name |
已配置和客户端相同的Service Name,或配置的Service Name数目小于8 |
成功 |
|
|
不存在和客户端相同的Service Name,且配置的Service Name数目等于8 |
失败 |
当组网环境中存在两个或者两个以上PPPoE server提供不同的服务时,PPPoE client可以根据自身的Service Name选择不同的服务器来建立连接,这时PPPoE server将根据本机上的Service Name来进行匹配处理。
每接口下最多可配置8个Service Name。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置PPPoE server的Service Name匹配模式为精确匹配。
pppoe-server service-name-tag exact-match
缺省情况下,Service Name的匹配模式为模糊匹配。
(4) 配置PPPoE server的Service Name。
pppoe-server tag service-name name
缺省情况下,未配置PPPoE server的Service Name。
在设备重启或者版本升级等情况下,为避免大量PPPoE用户的突发上线请求对设备性能造成影响,同时又确保PPPoE用户能够平稳上线,可以通过本命令调整设备接收PADI报文的速率。
缺省情况下,根据设备运行的主控板类型不同,单板每秒能够接收PADI报文的最大数目也有所差异,具体请见下表。
表1-4 PADI缺省情况
|
设备运行主控板的型号 |
SR05SRP1L1 SR05SRP1L3 SR05SRP1P3 SR07SRPUD3 CSR05SRP1R3 CSR05SRP1P3-G |
其它主控板 |
|
单板每秒最多能够接收PADI报文的个数 |
500 |
200 |
(1) 进入系统视图。
system-view
(2) 配置设备每秒能够接收PADI报文的最大数目
(独立运行模式)
pppoe-server padi-limit slot slot-number [ cpu cpu-number ] number
(IRF模式)
pppoe-server padi-limit chassis chassis-number slot slot-number [ cpu cpu-number ] number
缺省情况下,根据设备运行的主控板类型不同,单板每秒能够接收PADI报文的最大数目也有所差异,具体请见上表。
在转发与控制分离环境下,当设备重启或者版本升级时,为避免大量PPPoE用户的突发上线请求对设备性能造成影响,同时又确保PPPoE用户能够平稳上线,可以通过本命令统一调整指定UP上所有单板接收PADI报文的速率。
(1) 进入系统视图。
system-view
(2) 配置UP上每个slot每秒能够接收PADI报文的最大数目
pppoe-server padi-limit per-slot number
缺省情况下,UP上每个slot每秒能够接收PADI报文的最大数目为2000。
在PPPoE链路建立过程的Discovery阶段,PPPoE client会通过发送PADI/PADR报文寻找可为其提供接入服务的PPPoE server,并可在PPPoE会话建立起来后的任意时间发送PADT报文终止PPPPoE会话。
为防止大量用户频繁上下线或非法用户通过协议报文发起攻击占用设备大量系统资源,可配置PPPoE用户静默功能。配置本功能后,当某PPPoE用户在检测周期内的上下线次数或请求连接次数达到指定次数时,将被静默一段时间。在静默周期内,设备直接丢弃来自此PPPoE用户的报文,同时设备会继续对处于静默周期内的PPPoE用户进行防攻击检测,如果在静默定时器超时前该PPPoE用户达到条件“(本次静默之后的丢包数×request-period)≥(requests×blocking-period)”,设备会将该PPPoE用户的静默时间延长一个静默周期。静默期后,如果设备再次收到该PPPoE用户的报文,则依然可以对其进行认证处理。
设备目前支持基于MAC地址和基于Option 105两种方式的PPPoE用户静默功能。
您既可在系统视图下配置本命令也可在接口视图下配置本命令,前者对所有PPPoE用户生效,后者只对通过该接口接入的PPPoE用户生效。如果在两个视图下都配置本命令,则先达到静默条件的命令生效。
开启基于MAC地址的PPPoE静默功能后,设备将根据用户MAC地址、最外层VLAN ID和用户接入接口三个字段信息唯一标识一个静默用户。
开启基于Option 105地址的PPPoE静默功能后,设备将根据用户Circuit ID、Remote ID和用户接入接口三个字段信息唯一标识一个静默用户。
在一体化场景中,当满足静默条件时,仅在实际接收报文的接口所在slot上生成静默表项。例如,对于通过三层聚合接口接入的用户,当该用户满足静默条件时,仅会在该实际接入的三层聚合组中成员接口所在slot上生成静默表项。
在转发与控制分离场景中,当满足静默条件时:
· 基于MAC地址的PPPoE静默功能:对于通过UP设备上的全局接口接入的用户,会在管理该UP的主BRAS-VM上以及该UP的所有slot上都生成静默表项。对于通过UP设备上的局部接口接入的用户,会在管理该UP的主BRAS-VM上以及该UP上局部接口所在slot上生成静默表项。
· 基于Option 105的PPPoE用户静默功能:不论通过UP设备上的全局接口还是局部接口接入的用户,都仅会在管理该UP的主BRAS-VM上生成静默表项,不会在UP设备上生成静默表项。
(1) 进入系统视图。
system-view
(2) 开启基于MAC地址的PPPoE静默功能。
pppoe-server connection chasten [ quickoffline ] [ multi-sessions-permac ] requests request-period blocking-period
缺省情况下, 基于MAC地址的PPPoE用户在60秒内连续请求连接次数达到120次时,将被静默300秒。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 开启基于MAC地址的PPPoE静默功能。
pppoe-server connection chasten [ quickoffline ] [ multi-sessions-permac ] requests request-period blocking-period
缺省情况下,基于MAC地址的PPPoE静默功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启基于Option 105的PPPoE静默功能。
pppoe-server connection chasten option105 [ quickoffline ] requests request-period blocking-period
缺省情况下,基于Option 105的PPPoE静默功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 开启基于Option 105的PPPoE静默功能。
pppoe-server connection chasten option105 [ quickoffline ] requests request-period blocking-period
缺省情况下,基于Option 105的PPPoE静默功能处于关闭状态。
在PPPoE链路建立过程的Discovery阶段,PPPoE client会通过发送PADI/PADR报文寻找可为其提供接入服务的PPPoE server,并可在PPPoE会话建立起来后的任意时间发送PADT报文终止PPPoE会话。
为防止大量用户频繁上下线或非法用户通过协议报文发起攻击占用设备大量系统资源,可配置PPPoE协议报文防攻击功能。配置本功能后,当PPPoE server在interval时间内从某接口接收到的PPPoE协议报文个数达到number时,将对后续从该接口接收的PPPoE协议报文进行限速,限速时长为rate-limit-period。在限速时长内,当接口收到超过限速值的PPPoE协议报文时,超速部分的报文将被丢弃,同时设备会继续对处于限速时长内的接口进行防攻击检测,如果在限速时长超时前,该接口收到的PPPoE协议报文的丢包数达到条件“(本次限速之后的丢包数×interval)≥(number×rate-limit-period)”,设备会将该接口的限速时间延长一个限速时长。限速时长超时后,将解除对该接口接收PPPoE协议报文的限速。
您既可在系统视图下配置本命令也可在接口视图下配置本命令,前者对所有接口生效,后者只对该接口生效。如果在两个视图下都配置本命令,则接口下配置生效。
(1) 进入系统视图。
system-view
(2) 开启PPPoE协议报文防攻击功能。
pppoe-server connection chasten per-interface number interval rate-limit-period
缺省情况下,PPPoE协议报文防攻击功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 开启PPPoE协议报文防攻击功能。
pppoe-server connection chasten per-interface number interval rate-limit-period
缺省情况下,PPPoE协议报文防攻击功能处于关闭状态。
配置本功能后,当接口收到PADI和PADR报文后会将直接丢弃,以阻止新的PPPoE用户从该接口上线。
本功能配置后仅对新接入的PPPoE用户生效,对当前已经存在用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置禁止接口上的PPPoE用户上线。
pppoe-server block
缺省情况下,允许接口上的PPPoE用户上线。
PPPoE agency配置任务如下:
(1) 配置PPPoE代拨转发策略
(2) 配置PPPoE代拨用户的认证域
(4) (可选)配置PPPoE代拨日志功能
如下图所示,对于校园网的IPoE、PPPoE用户,如果在用户认证上线时校园网AAA服务器为其授权配置了PPPoE代拨转发策略的用户组,则表示该类用户有访问外网的需求,BRAS设备需要为该类用户做PPPoE代拨处理,具体过程如下:
(1) 在用户认证上线后,BRAS设备在维护校园网用户的校内接入认证用户信息的同时,会将该用户标记为PPPoE代拨用户,即针对同一个校园网用户,如果该用户开通了“代拨”账号,在BRAS设备上会为该用户维护两种类型的身份标记,其中:
¡ 对于该类用户的内网流量,BRAS设备按照上线时的接入认证用户(如IPoE用户)处理,直接放行内网流量。
¡ 对于该类用户的外网流量,BRAS设备按照PPPoE代拨用户处理。
(2) 当AAA服务器收到校园网BRAS设备发送的计费开始报文时,AAA服务器会通过COA消息通知校园网BRAS设备为计费用户启动PPPoE代拨流程,COA消息中会携带该用户开通的运营商账号和取值为PPPoE拨号组名称的Framed-Pool属性等信息。
(3) 校园网BRAS设备根据收到的COA消息,模拟PPPoE client,并根据COA消息中携带的账号信息以及PPPoE代拨组名称向对应运营商的PPPoE server发起PPPoE拨号。
(4) PPPoE代拨用户上线成功后,当BRAS设备收到该用户的数据流量时,会将未匹配PPPoE代拨转发策略中指定ACL规则的流量视为外网流量,并将外网流量发送给对应的运营商处理。
图1-6 PPPoE代拨功能示意图
在校园网BRAS设备向对应运营商的PPPoE server发起PPPoE拨号上线前,如果校园网BRAS设备收到代拨用户的外网流量,会直接丢弃。
目前仅IPoE个人接入用户和PPPoE用户支持PPPoE代拨功能。其中,对于IPoE Web个人接入用户,仅在后域阶段支持PPPoE代拨功能,在前域阶段不支持。
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,存在一个用户组,名称为system。
本命令的详细介绍请参见“BRAS业务命令参考”中的“AAA”。
(3) 配置PPPoE代拨转发策略。
pppoe-agency forward { ipv4 | ipv6 } acl { acl-number | name acl-name }
缺省情况下,未配置PPPoE代拨转发策略。
在校园网BRAS设备模拟PPPoE client,并根据COA消息中携带的PPPoE代拨组名称向对应运营商的PPPoE server发起PPPoE拨号上线的过程中,BRAS设备会首先根据pppoe-agency authentication domain命令指定的认证域对PPPoE代拨用户进行认证,若未通过pppoe-agency authentication domain命令指定认证域或者指定的认证域不存在,则使用AAA模块选择的认证域。只有在校园网BRAS侧对PPPoE代拨用户的认证和运营商侧PPPoE server对PPPoE client的认证都成功的情况下,PPPoE代拨才能成功,如果任何一端认证上线失败,则代拨失败,此时,用户仅能访问内网,无法访问外网。
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,存在一个用户组,名称为system。
本命令的详细介绍请参见“BRAS业务命令参考”中的“AAA”。
(3) 配置PPPoE代拨用户的认证域。
pppoe-agency authentication domain domain-name
缺省情况下,未配置PPPoE代拨用户的认证域。
配置本功能后,当有校园网BRAS用户触发代拨流程时,校园网BRAS设备会从所有配置了pppoe-agency bind命令的接口(即PPPoE代拨接口)中选择一个和COA消息中携带的PPPoE代拨组名称相匹配的代拨接口来模拟PPPoE client,向对应运营商的PPPoE server发起PPPoE拨号上线流程。
如果为某用户授权的COA消息中携带的PPPoE代拨组名称可以同时匹配多个接口上配置的pppoe-agency-group-name,则设备会选择其中一个上线代拨用户数最少的接口来为该用户模拟PPPoE client进行PPPoE拨号处理。
如果接口上已经启用PPPoE agency且绑定了虚拟模板接口,则不能直接使用该命令绑定新的虚拟模板接口。如需绑定新的虚拟模板接口,请先关闭PPPoE agency协议,再重新启用PPPoE agency并绑定新的虚拟模板接口。
接口上启用PPPoE agency协议时,绑定的虚拟模板必须已存在。
如果在接口上同时启用PPPoE client与PPPoE agency功能,则PPPoE client功能不生效。
当设备工作在转发模式(由work-mode user-plane命令配置)时,不支持在该设备的任何接口上开启PPPoE agency协议。
在同一个接口上,pppoe-agency bind命令配置和pppoe-server bind命令互斥。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 在接口上启用PPPoE agency协议,将该接口绑定到PPPoE代拨组。
pppoe-agency bind virtual-template number pppoe-agency-group pppoe-agency-group-name
缺省情况下,接口上的PPPoE agency协议处于关闭状态。
为了满足网络管理员安全审计(例如溯源)的需要,可以开启PPPoE代拨日志功能,以便对校内用户的内网IP地址与运营商为PPPoE代拨用户分配的IP地址之间的映射关系进行记录。
开启PPPoE代拨日志功能后,当PPPoE代拨用户上线后,校内BRAS设备将生成关于校内用户的内网IP地址与运营商为PPPoE代拨用户分配的IP地址之间映射关系的日志信息。设备生成的PPPoE代拨日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的PPPoE代拨日志信息,一般情况下建议关闭此功能。
(1) 进入系统视图。
system-view
(2) 开启PPPoE代拨日志功能。
pppoe-agency log enable
缺省情况下,PPPoE代拨日志功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE server配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令,可在PPPoE server端清除PPPoE会话。
表1-5 PPPoE server显示和维护
|
操作 |
命令 |
|
显示PPPoE静默功能的配置信息 |
display pppoe-server chasten configuration [ global | interface interface-type interface-number ] |
|
显示PPPoE协议报文防攻击表项的信息 |
(独立运行模式) display pppoe-server chasten per-interface [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-server chasten per-interface [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示PPPoE协议报文防攻击功能的配置信息 |
display pppoe-server chasten per-interface configuration [ interface interface-type interface-number ] |
|
显示静默功能检测到的PPPoE用户统计信息 |
(独立运行模式) display pppoe-server chasten statistics [ mac-address | option105 ] [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-server chasten statistics [ mac-address | option105 ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示被静默PPPoE用户的信息 |
(独立运行模式) display pppoe-server chasten user [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ] (IRF模式) display pppoe-server chasten user [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ] |
|
显示PPPoE的协商报文统计信息 |
(独立运行模式) display pppoe-server packet statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-server packet statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示PPPoE会话的摘要信息 |
(独立运行模式) display pppoe-server session summary [ [ interface interface-type interface-number | slot slot-number [ cpu cpu-number ] ] | mac-address mac-address ] * (IRF模式) display pppoe-server session summary [ [ interface interface-type interface-number | chassis chassis-number slot slot-number [ cpu cpu-number ] ] | mac-address mac-address ] * |
|
显示被扼制的用户信息 |
(独立运行模式) display pppoe-server throttled-mac { slot slot-number [ cpu cpu-number ] | interface interface-type interface-number } (IRF模式) display pppoe-server throttled-mac { chassis chassis-number slot slot-number [ cpu cpu-number ] | interface interface-type interface-number } |
|
清除PPPoE会话 |
reset pppoe-server { all | [ interface interface-type interface-number | mac-address mac-address ] * | virtual-template number } |
|
清除PPPoE协议报文防攻击表项的相关信息 |
(独立运行模式) reset pppoe-server chasten per-interface [ packets ] [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset pppoe-server chasten per-interface [ packets ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除被静默PPPoE用户的相关信息 |
(独立运行模式) reset pppoe-server chasten user [ packets ] [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset pppoe-server chasten user [ packets ] [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除PPPoE的协商报文统计信息 |
(独立运行模式) reset pppoe-server packet statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset pppoe-server packet statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE agency配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令,可以清除PPPoE agency的报文统计信息。
表1-6 PPPoE agency显示和维护
|
操作 |
命令 |
|
显示在PPPoE代拨应用中ACL规则匹配报文的统计信息 |
(独立运行模式) display pppoe-agency { ipv4 | ipv6 } acl statistics user-group user-group-name slot slot-number [ cpu cpu-number ] (IRF模式) display pppoe-agency { ipv4 | ipv6 } acl statistics user-group user-group-name chassis chassis-number slot slot-number [ cpu cpu-number ] |
|
显示PPPoE agency的协商报文统计信息 |
(独立运行模式) display pppoe-agency packet statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-agency packet statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示PPPoE代拨用户会话的摘要信息 |
(独立运行模式) display pppoe-agency session summary [ interface interface-type interface-number | slot slot-number [ cpu cpu-number ] ] (IRF模式) display pppoe-agency session summary [ interface interface-type interface-number | chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
在PPPoE agency端清除PPPoE代拨会话 |
reset pppoe-agency { all | interface interface-type interface-number | virtual-template number } |
|
清除在PPPoE代拨应用中ACL规则匹配报文的统计信息 |
(独立运行模式) reset pppoe-agency { ipv4 | ipv6 } acl statistics user-group user-group-name slot slot-number [ cpu cpu-number ] (IRF模式) reset pppoe-agency { ipv4 | ipv6 } acl statistics user-group user-group-name chassis chassis-number slot slot-number [ cpu cpu-number ] |
|
清除PPPoE agency的协商报文统计信息 |
(独立运行模式) reset pppoe-agency packet statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset pppoe-agency packet statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过DHCPv4协议为Host分配IP地址。
图1-7 配置PPPoE server通过本地DHCP服务器为用户分配IPv4地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 启用DHCP服务。
[Router] dhcp enable
# 配置本地BAS IP地址池pool1。
[Router] ip pool pool1 bas local
[Router-ip-pool-pool1] gateway 1.1.1.1 24
[Router-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ip-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,Router通过DHCPv4协议为Host分配一个IP地址。
# 显示所有DHCP地址绑定信息。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
-
Host和Router A之间通过以太网接口相连,Router B为远端DHCP服务器。Host通过PPPoE接入Router A,Router A作为PPPoE server、DHCP中继向远端DHCP服务器申请IPv4地址和IPv6地址。
图1-8 PPPoE server通过远端DHCP服务器为双栈用户分配IP地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
(1) 配置Router A(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[RouterA-Virtual-Template1] undo ipv6 nd ra halt
[RouterA-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[RouterA-Virtual-Template1] ipv6 nd autoconfig other-flag
[RouterA-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterA-Ten-GigabitEthernet3/1/1] quit
# 启用DHCP服务。
[RouterA] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将IP地址1.1.1.1配置为禁用地址,并指定中继地址池对应的DHCP服务器地址。
[RouterA] ip pool pool1 bas remote
[RouterA-ip-pool-pool1] gateway 1.1.1.1 24
[RouterA-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterA-ip-pool-pool1] remote-server 10.1.1.1
[RouterA-ip-pool-pool1] quit
# 创建IPv6远端地址池pool2,指定匹配该地址池的DHCPv6客户端所在的网段地址,将IPv6地址1::1配置为禁止地址,并指定IPv6远端地址池对应的DHCP服务器地址。
[RouterA] ipv6 pool pool2
[RouterA-ipv6-pool-pool2] gateway-list 1::1
[RouterA-ipv6-pool-pool2] network 1::/64 export-route
[RouterA-ipv6-pool-pool2] forbidden-address 1::1
[RouterA-ipv6-pool-pool2] remote-server 10::1
[RouterA-ipv6-pool-pool2] quit
# 进入接口Ten-GigabitEthernet3/1/1视图。
[RouterA] interface ten-gigabitethernet 3/1/1
# 配置接口工作在中继模式。
[RouterA–Ten-GigabitEthernet3/1/1] dhcp select relay
[RouterA–Ten-GigabitEthernet3/1/1] ipv6 dhcp select relay
[RouterA–Ten-GigabitEthernet3/1/1] ipv6 dhcp relay release-agent
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[RouterA–Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消设备发布RA消息的抑制。
[RouterA–Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
[RouterA–Ten-GigabitEthernet3/1/1] quit
# 配置PPPoE用户。
[RouterA] local-user user1 class network
[RouterA-luser-network-user1] password simple 123456TESTplat&!
[RouterA-luser-network-user1] service-type ppp
[RouterA-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[RouterA] domain name dm1
[RouterA-isp-dm1] authentication ppp local
[RouterA-isp-dm1] accounting ppp local
[RouterA-isp-dm1] authorization ppp local
[RouterA-isp-dm1] authorization-attribute ip-pool pool1
[RouterA-isp-dm1] authorization-attribute ipv6-pool pool2
[RouterA-isp-dm1] quit
(2) 配置Router B(DHCP服务器)
¡ 配置IP地址池
# 启用DHCP服务。
<RouterB> system-view
[RouterB] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[RouterB] ip pool pool1
[RouterB-ip-pool-pool1] network 1.1.1.0 24
[RouterB-ip-pool-pool1] gateway-list 1.1.1.1
[RouterB-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterB-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterB-ip-pool-pool1] quit
# 配置到PPPoE server的缺省路由。
[RouterB] ip route-static 0.0.0.0 0 10.1.1.2
¡ 配置IPv6地址池
# 创建名称为pool2的IPv6地址池,配置为DHCP客户端分配的IPv6地址网段和DNS服务器地址。
[RouterB] ipv6 pool pool2
[RouterB-ipv6-pool-pool2] network 1::/64
[RouterB-ipv6-pool-pool2] dns-server 8::8
# 将IPv6地址1::1配置为禁止地址。
[RouterB-ipv6-pool-pool2] forbidden-address 1::1
[RouterB-ipv6-pool-pool2] quit
# 配置接口Ten-GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
[RouterB-Ten-GigabitEthernet3/1/1] quit
# 配置到PPPoE server的缺省路由。
[RouterB] ipv6 route-static :: 0 10::2
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入RouterA后,Host分配一个IPv4地址和一个IPv6地址。
[RouterA] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
1::2
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于授权前缀。
图1-9 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# (仅用于发布前缀网段路由)创建IPv6地址池并进入IPv6地址池视图,指定匹配该地址池的DHCPv6客户端所在的网段地址并发布网段路由。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] network 10::/64 export-route
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权IPv6前缀属性及DNS信息。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ipv6-prefix 10:: 64
[Router-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于ND前缀池。
图1-10 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置前缀池1,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[Router] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为pool1的IPv6地址池,并引用前缀池1。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] prefix-pool 1 export-route
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权ND前缀池及IPv6 DNS地址池信息。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ipv6-nd-prefix-pool pool1
[Router-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过DHCPv6协议为Host分配IPv6地址。
图1-11 配置PPPoE server通过IA_NA方式为用户分配IPv6地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[Router-Virtual-Template1] ipv6 nd autoconfig other-flag
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[Router-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 创建名称为pool1的IPv6地址池,配置IPv6地址池动态分配的地址网段为1::/32,分配的DNS服务器地址为8::8。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] network 1::/32 export-route
[Router-ipv6-pool-pool1] dns-server 8::8
# (可选)配置IPv6地址池按照接口ID动态分配IPv6地址。
当网络中存在使用Windows 7系统的拨号用户时,必须配置本功能。
[Router-ipv6-pool-pool1] address-alloc-mode interface-id
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ipv6-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,Router通过DHCPv6协议为Host分配一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::1
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE server通过DHCPv6协议给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-12 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
(1) 配置Router B(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
[RouterB-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[RouterB-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterB-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# 配置DHCPv6前缀池6,包含的前缀为20::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 20::/32 assign-len 42
# 创建名称为pool1的IPv6地址池,在地址池下引用前缀池6。
[RouterB] ipv6 pool pool1
[RouterB-ipv6-pool-pool1] prefix-pool 6 export-route
[RouterB-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ppp local
[RouterB-isp-dm1] accounting ppp local
[RouterB-isp-dm1] authorization ppp local
[RouterB-isp-dm1] authorization-attribute ipv6-pool pool1
[RouterB-isp-dm1] quit
(2) 配置Router A(PPPoE client)
· 本设备(本例中为Router B)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router B后,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration
20::/42 Auto(C) Jul 10 19:45:01 2019
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/42 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/42再分配给Host,Host用来生成IPv6全球单播地址。
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE server,Router C为远端DHCP服务器,并:
· IPv4:
¡ Router B作为DHCP中继向远端DHCP服务器为Router A申请IPv4地址。
· IPv6:
¡ Router B通过NDRA方式给Router A上的WAN口(本例为Dialer1)分配IPv6地址前缀,IPv6地址前缀来源于ND前缀池。
¡ Router B通过IA_PD方式给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-13 配置PPPoE server通过远端DHCPv4服务器+(NDRA+IA_PD)方式为双栈用户分配IP地址组网图
(1) 配置Router C(DHCP服务器)
# 启用DHCP服务。
<RouterC> system-view
[RouterC] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[RouterC] ip pool pool1
[RouterC-ip-pool-pool1] network 1.1.1.0 24
[RouterC-ip-pool-pool1] gateway-list 1.1.1.1
[RouterC-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterC-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterC-ip-pool-pool1] quit
# 配置到PPPoE server的缺省路由。
[RouterC] ip route-static 0.0.0.0 0 10.1.1.2
(2) 配置Router B(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
[RouterB-Virtual-Template1] quit
# 启用DHCP服务。
[RouterB] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将IP地址1.1.1.1配置为禁用地址,并指定中继地址池对应的DHCP服务器地址。
[RouterB] ip pool pool1 bas remote
[RouterB-ip-pool-pool1] gateway 1.1.1.1 24
[RouterB-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterB-ip-pool-pool1] remote-server 10.1.1.1
[RouterB-ip-pool-pool1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[RouterB-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv4中继模式。
[RouterB-Ten-GigabitEthernet3/1/1] dhcp select relay
# 配置接口工作在DHCPv6服务器模式。
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterB-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# (NDRA使用)配置DHCPv6前缀池1,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[RouterB] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为ndra的IPv6地址池,并引用前缀池1。
[RouterB] ipv6 pool ndra
[RouterB-ipv6-pool-ndra] prefix-pool 1 export-route
[RouterB-ipv6-pool-ndra] quit
# (IA_PD使用)配置DHCPv6前缀池6,包含的前缀为20::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 20::/32 assign-len 42
# 创建名称为iapd的IPv6地址池,在地址池下引用前缀池6。
[RouterB] ipv6 pool iapd
[RouterB-ipv6-pool-iapd] prefix-pool 6 export-route
[RouterB-ipv6-pool-iapd] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权IP地址池、ND前缀池、IPv6 DNS地址和地址池属性。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ppp local
[RouterB-isp-dm1] accounting ppp local
[RouterB-isp-dm1] authorization ppp local
[RouterB-isp-dm1] authorization-attribute ip-pool pool1
[RouterB-isp-dm1] authorization-attribute ipv6-nd-prefix-pool ndra
[RouterB-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[RouterB-isp-dm1] authorization-attribute ipv6-pool iapd
[RouterB-isp-dm1] quit
(3) 配置Router A(PPPoE client)
· 本设备(本例中为Router B)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# (IPv4使用)配置Dialer1接口通过协商获取IPv4地址,Dialer1接口主动向对端请求DNS服务器地址,以及Dialer1接口可以被动地接收对端指定的DNS服务器地址。
[RouterA-Dialer1] ip address ppp-negotiate
[RouterA-Dialer1] ppp ipcp dns request
[RouterA-Dialer1] ppp ipcp dns admit-any
# (IPv4使用)配置直接使用Dialer1接口的IP地址对内网访问外网的IP流量进行地址转换。
[RouterA-Dialer1] nat outbound
# (NDRA使用)在Dialer1接口上开启无状态地址自动配置功能,使接口通过无状态自动配置方式生成全球单播地址。
[RouterA-Dialer1] ipv6 address auto
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 dialer 1
[RouterA] ipv6 route-static :: 0 dialer 1
# 启用DHCP服务。
[RouterA] dhcp enable
# 配置IP地址池pool1,以便为内网用户分配私网IPv4地址。
[RouterA] ip pool pool1
[RouterA-ip-pool-pool1] network 192.168.1.0 24
[RouterA-ip-pool-pool1] gateway-list 192.168.1.1
[RouterA-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.1.1配置为禁用地址。
[RouterA-ip-pool-pool1] forbidden-ip 192.168.1.1
[RouterA-ip-pool-pool1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置内网用户的IPv4网关地址。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] ip address 192.168.1.1 24
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router B后,Router B通过DHCPv4获取到一个IPv4地址,以及通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[RouterB] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: iapd
IPv6 prefix Type Lease expiration
20::/42 Auto(C) Jul 10 19:45:01 2019
Pool: ndra
IPv6 prefix Type Lease expiration
10::/64 Auto(C) Expires after 2100
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/42 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/42再分配给Host,Host用来生成IPv6全球单播地址。
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE server,并:
· 通过IA_NA方式给Router A上的WAN口(本例为Dialer1)分配IPv6全球单播地址。
· 通过IA_PD方式给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-14 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
(1) 配置Router B(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
[RouterB-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[RouterB-Virtual-Template1] ipv6 nd autoconfig other-flag
[RouterB-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[RouterB-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterB-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# (IA_PD使用)配置DHCPv6前缀池6,包含的前缀为20::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 20::/32 assign-len 42
# 创建名称为pool1的IPv6地址池。
[RouterB] ipv6 pool pool1
# (IA_NA使用)配置IPv6地址池动态分配的地址网段为1::/32,分配的DNS服务器地址为8::8
[RouterB-ipv6-pool-pool1] network 1::/32
[RouterB-ipv6-pool-pool1] dns-server 8::8
# (IA_PD使用)在地址池下引用前缀池6。
[RouterB-ipv6-pool-pool1] prefix-pool 6 export-route
[RouterB-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ppp local
[RouterB-isp-dm1] accounting ppp local
[RouterB-isp-dm1] authorization ppp local
[RouterB-isp-dm1] authorization-attribute ipv6-pool pool1
[RouterB-isp-dm1] quit
(2) 配置Router A(PPPoE client)
· 本设备(本例中为Router B)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# (IA_NA+IA_PD共用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router B后,Router B通过DHCPv6协议为Router A分配一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::1
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration
20::/42 Auto(C) Jul 10 19:45:01 2019
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/42 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/42再分配给Host,Host用来生成IPv6全球单播地址。
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过DHCPv4协议为Host分配IPv4地址,通过DHCPv6协议为Host分配IPv6地址。
图1-15 配置PPPoE server通过本地DHCP服务器为双协议栈用户分配IP地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[Router-Virtual-Template1] ipv6 nd autoconfig other-flag
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[Router-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 启用DHCPv4服务。
[Router] dhcp enable
# 配置本地BAS IP地址池pool1。
[Router] ip pool pool1 bas local
[Router-ip-pool-pool1] gateway 1.1.1.1 24
[Router-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] quit
# 创建名称为pool1的IPv6地址池,配置IPv6地址池动态分配的地址网段为1::/32,分配的DNS服务器地址为8::8。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] network 1::/32 export-route
[Router-ipv6-pool-pool1] dns-server 8::8
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ip-pool pool1
[Router-isp-dm1] authorization-attribute ipv6-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后, Host分配一个IPv4地址和一个IPv6地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
1::1
· 采用RADIUS作为认证、授权和计费服务器。本举例以Linux系统下的Free RADIUS服务器为例,说明RADIUS 服务器的基本配置。
· RADIUS服务器为PPPoE接入用户授权的IP地址池和VPN实例分别为pool1、vpn1。
· vpn1中的用户在服务器授权的IP地址池pool1中获取IP地址。
图1-16 PPPoE server为接入用户授权地址池和VPN配置组网图
启动PPPoE功能之前,需要首先配置MPLS L3VPN功能,通过为两端的VPN 1指定匹配的VPN Target,确保两端的VPN 1之间可以互通。本例仅介绍连接客户端的PE 1上接入认证的相关配置,其它配置请参考“MPLS配置指导”中的“MPLS L3VPN”。
(1) 配置RADIUS服务器
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 10.1.1.1/24 {
secret = radius
}
以上信息表示:RADIUS客户端的IP地址为10.1.1.1,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
user1 Auth-Type == CHAP,User-Password := 123456TESTplat&!
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Pool = "pool1",
H3C-VPN-Instance = "vpn1",
以上信息表示:用户名为user1,用户密码为字符串123456TESTplat&!,授权VPN实例名称为vpn1,授权IP地址池名称为pool1。
(2) 配置Router A
¡ 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端,并使用ISP域dm1作为认证域。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap domain dm1
[RouterA-Virtual-Template1] quit
# 启用DHCP服务。
[RouterA] dhcp enable
# 配置本地BAS IP地址池pool1。
[RouterA] ip pool pool1 bas local
[RouterA-ip-pool-pool1] vpn-instance vpn1
[RouterA-ip-pool-pool1] gateway 1.1.1.1 24
[RouterA-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterA-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterA-ip-pool-pool1] quit
# 在接口Ten-GigabitEthernet3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterA-Ten-GigabitEthernet3/1/1] quit
¡ 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[RouterA] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[RouterA-radius-rs1] primary authentication 10.1.1.2
[RouterA-radius-rs1] primary accounting 10.1.1.2
[RouterA-radius-rs1] key authentication simple radius
[RouterA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[RouterA-radius-rs1] user-name-format without-domain
[RouterA-radius-rs1] quit
¡ 配置认证域
# 创建并进入名称为dm1的ISP域。
[RouterA] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[RouterA-isp-dm1] authentication ppp radius-scheme rs1
[RouterA-isp-dm1] authorization ppp radius-scheme rs1
[RouterA-isp-dm1] accounting ppp radius-scheme rs1
[RouterA-isp-dm1] quit
用户认证通过后,在Host A上可以Ping通对端VPN1中的CE。
# 显示VPN1中DHCP地址绑定信息。
[RouterA] display dhcp server ip-in-use vpn-instance vpn1
IP address Client identifier/ Lease expiration Type
Hardware address
1.1.1.2 3030-3030-2e30-3030- Unlimited Auto(C)
662e-3030-3033-2d45-
7468-6572-6e65-74
校园网用户作为DHCP client经由二层网络以IPoE方式接入到校园网BRAS设备。校园网BRAS设备与运营商BRAS设备互联,对校园网用户的外网流量进行PPPoE代拨,即当校园网用户需要访问外网时,由校园网BRAS模拟PPPoE client,向由运营商BRAS担任的PPPoE server发起拨号上线请求。其中:
· 内网流量:
¡ 在校园网BRAS的Ten-GigabitEthernet3/1/2接口上开启IPoE功能,为校园网用户提供BRAS接入服务。
¡ 采用DHCP服务器为校园网用户分配IPv4地址。
¡ 采用一台服务器同时担任AAA服务器和Web服务器职责。
¡ DHCP client异常下线后通过IPv4报文重新触发上线。
· 外网流量:
¡ 在校园网BRAS的Ten-GigabitEthernet3/1/3接口上开启PPPoE代拨功能,当校园网用户需要访问外网时,为其提供代拨服务,代拨成功后可以访问指定的运营商网络。
图1-17 PPPoE代拨配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达,具体配置过程略。
正确配置AAA服务器和Web服务器功能,具体配置过程略。
校园网用户需开通运营商账号,并在校园网AAA服务器上将校园网用户内网账号与开通的运营商账号、所属运营商的PPPoE拨号组名称等信息进行绑定,以便校园网用户上线后可以触发代拨流程并通过运营商的PPPoE认证。
(1) 配置DHCP服务器
# 全局开启DHCP。
<DHCP-server> system-view
[DHCP-server] dhcp enable
# 创建名称为pool1地址池并进入其视图。
[DHCP-server] ip pool pool1
# 配置地址池动态分配的IP地址网段3.3.3.0/24。
[DHCP-server-ip-pool-pool1] network 3.3.3.0 24
# 配置为用户分配的网关地址为3.3.3.1。
[DHCP-server-ip-pool-pool1] gateway-list 3.3.3.1
# 将3.3.3.1设置为禁止地址。
[DHCP-server-ip-pool-pool1] forbidden-ip 3.3.3.1
[DHCP-server-ip-pool-pool1] quit
# 配置缺省路由。
[DHCP-server] ip route-static 0.0.0.0 0 4.4.4.2
(2) 配置Device
a. 配置DHCP relay
# 全局开启DHCP。
<Device> system-view
[Device] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将3.3.3.1设置为禁止地址,并指定远端BAS IP地址池对应的DHCP服务器地址。
[Device] ip pool pool1 bas remote
[Device-ip-pool-pool1] gateway 3.3.3.1 24
[Device-ip-pool-pool1] forbidden-ip 3.3.3.1
[Device-ip-pool-pool1] remote-server 4.4.4.3
[Device-ip-pool-pool1] quit
b. 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 4.4.4.5
[Device-radius-rs1] primary accounting 4.4.4.5
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名与用户的输入保持一致。
[Device-radius-rs1] user-name-format keep-original
[Device-radius-rs1] quit
c. 配置认证域
# (IPoE认证前域)配置IPoE用户认证前域阶段使用的认证域dm1。
[Device] domain name dm1
[Device-isp-dm1] authentication ipoe none
[Device-isp-dm1] authorization ipoe none
[Device-isp-dm1] accounting ipoe none
# 配置前域授权地址池以及用户组。
[Device-isp-dm1] authorization-attribute user-group pre
[Device-isp-dm1] authorization-attribute ip-pool pool1
# 配置Web认证页面URL和Web认证服务器IP地址。
[Device-isp-dm1] web-server url http://4.4.4.5:8080/portal/
[Device-isp-dm1] web-server ip 4.4.4.5
[Device-isp-dm1] quit
# (IPoE认证后域)配置IPoE用户Web认证阶段使用的认证域dm2。
[Device] domain name dm2
[Device-isp-dm2] authentication ipoe radius-scheme rs1
[Device-isp-dm2] authorization ipoe radius-scheme rs1
[Device-isp-dm2] accounting ipoe radius-scheme rs1
# 配置后域授权PPPoE代拨的用户组。
[Device-isp-dm2] authorization-attribute user-group pppoea
[Device-isp-dm2] quit
# (PPPoE代拨用户的认证域)创建并进入名称为dm3的ISP域。
[Device] domain name dm3
# 配置PPPoE代拨用户使用RADIUS方案rs1进行计费(对于域下的PPPoE代拨用户,目前只支持为其配置计费方法,不支持配置认证、授权方法;系统默认为域下的PPPoE代拨用户采用不认证、不授权方法)。
[Device-isp-dm3] accounting pppoea radius-scheme rs1
[Device-isp-dm3] quit
d. 配置IPoE Web认证
IPoE Web认证具体配置请参见“BRAS业务配置指导”中的“IPoE”。
e. 配置PPPoE代拨
# 为IPv4高级ACL neiwang_permit创建规则如下:
- 匹配用户的目的地址为4.4.4.6的报文(本例以4.4.4.6代指内网流量,现网中请根据实际情况进行配置)。
- 匹配用户的目的地址为用户网段(3.3.3.0/24)的报文,以便同网段用户之间以及用户和网关之间可以互通(若不配置该rule规则,该类流量会被作为外网流量处理导致同网段用户之间以及用户和网关之间不能互通)。
[Device] acl advanced name neiwang_permit
[Device-acl-ipv4-adv-neiwang_permit] rule 0 permit ip destination 4.4.4.6 0
[Device-acl-ipv4-adv-neiwang_permit] rule 10 permit ip destination 3.3.3.0 0.0.0.255
[Device-acl-ipv4-adv-neiwang_permit] quit
# 创建PPPoE代拨用户使用的用户组,名称为pppoea。
[Device] user-group pppoea
New user group added.
# 配置PPPoE代拨转发策略,匹配ACL的流量视为内网流量,直接转发;没有匹配ACL的流量视为外网流量,需要走PPPoE代拨转发流程。
[Device-ugroup-pppoea] pppoe-agency forward ipv4 acl name neiwang_permit
# 配置PPPoE代拨用户的认证域,只有PPPoE代拨用户基于该域认证上线成功后(此处认证使用的用户名和密码仅支持由AAA服务器通过COA下发,且为校园网用户在运营商开通的账号),BRAS设备才会向对应运营商发起PPPoE拨号。
[Device-ugroup-pppoea] pppoe-agency authentication domain dm3
[Device-ugroup-pppoea] quit
# 创建一个虚拟模板接口1。
[Device] interface virtual-template 1
[Device-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/3接口上启用PPPoE agency协议,将该接口绑定到PPPoE代拨组(代拨组的名称由AAA服务器通过COA下发,这里假设COA下发的代拨组名称为cmcc)。
[Device] interface ten-gigabitethernet 3/1/3
[Device–Ten-GigabitEthernet3/1/3] pppoe-agency bind virtual-template 1 pppoe-agency-group cmcc
[Device–Ten-GigabitEthernet3/1/3] quit
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[Device] radius dynamic-author server
# 指定RADIUS DAE客户端IP地址为4.4.4.5,共享密钥为明文123456。
[Device-radius-da-server] client ip 4.4.4.5 key simple 123456
# 配置PPPoE代拨过程中,服务器监听代拨应答报文的目的端口为3799。(这里为缺省端口3799为例)
[Device-radius-da-server] pppoe-agency reply-port 3799
[Device-radius-da-server] quit
# 用户认证前域认证通过之后,可以使用以下的显示命令查看IPoE用户在线信息,其中,用户获得的IP地址为3.3.3.2。
[Device] display access-user interface ten-gigabitethernet 3/1/2
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x5c XGE3/1/2 3.3.3.2 000c-29a6-b656 -/-
000c29a6b656 L2 IPoE dynamic
-
# 用户认证前域认证通过之后,可登录Web页面输入用户名/密码完成Web认证,用户通过Web认证后,可以使用以下的显示命令查看IPoE用户在线信息。
[Device] display access-user interface ten-gigabitethernet 3/1/2
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x5c XGE3/1/2 3.3.3.2 000c-29a6-b656 -/-
user1@dm2 Web auth
-
# AAA服务器通过COA下发一个PPPoE的代拨请求报文,报文中的代拨组名称为cmcc,用户名/密码为在运营商开通的账号信息,PPPoE代拨成功上线后,可以看到如下信息。
[Device] display access-user interface ten-gigabitethernet 3/1/3
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x5d XGE3/1/3 6.0.0.2 000c-29a6-b656 -/-
test PPPoEA
-
Host手工配置了静态IPv4地址1.1.1.2/24,静态IPv6地址1::021B:21FF:FEA8:0949/64,静态IPv6 DNS服务器地址8::F85B:7EE1:1410:74C9,Host和Router之间通过以太网接口相连,Router作为PPPoE server。要求,允许Host使用手工配置的静态IP地址通过PPPoE方式接入Router。
图1-18 PPPoE静态双栈用户组网图
部分操作系统,例如Windows 7系统,如果DHCPv6客户端申请到的IPv6全球单播地址中的接口标识部分和该DHCPv6客户端链路本地地址中的接口标识部分不一致,Windows 7系统会认为这个IPv6全球单播地址不可用,DHCPv6客户端无法使用该地址作为报文源地址发送报文。因此,为确保功能正常,建议配置静态IPv6地址时将接口标识部分配置成和链路本地地址中的接口标识部分一致。例如,本例中,链路本地地址为FE80::021B:21FF:FEA8:0949,静态IPv6地址为1::021B:21FF:FEA8:0949。
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 配置设备接受对端用户使用自行配置的静态IPv4地址和IPv6地址上线。
[Router-Virtual-Template1] ppp accept remote-ip-address
[Router-Virtual-Template1] ppp accept remote-ipv6-address
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1(目的是为了避免IPv6静态用户误采用NDRA方式上线)。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 取消接口工作在DHCPv6服务器或者DHCPv6中继模式(目的是为了避免IPv6静态用户误采用IA_NA方式上线)。(缺省配置)
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 dhcp select
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 启用DHCPv4服务。
[Router] dhcp enable
# 配置本地BAS IP地址池pool1。
[Router] ip pool pool1 bas local
[Router-ip-pool-pool1] gateway 1.1.1.1 24
[Router-ip-pool-pool1] dns-list 8.8.8.8
# 将网关IP地址1.1.1.1和静态用户IP地址1.1.1.2配置为禁用地址。
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] forbidden-ip 1.1.1.2
[Router-ip-pool-pool1] quit
# 将静态用户IPv6地址1::021B:21FF:FEA8:0949配置为禁用地址。
[Router] ipv6 dhcp server forbidden-address 1::021B:21FF:FEA8:0949
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ip-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,通过下列命令查看可以查看到Host已使用手工设置的静态IP地址成功上线。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
1::021B:21FF:FEA8:0949
· 在转发与控制分离组网中,由CP和UP共同作为BRAS接入设备,对用户提供BRAS功能。
· 在转发与控制分离组网中,本设备仅支持作为UP,不支持作为CP。
· 担任CP角色的产品的不同版本的配置命令可能存在差异,本节CP上的配置仅供参考,有关CP上配置的详细介绍,请参见担任CP角色的设备的产品手册。
· 主机作为PPPoE client,运行PPPoE客户端拨号软件。
· CP设备通过DHCPv4协议为Host分配IPv4地址。
· BRAS设备需要支持PPPoE server的转发与控制分离,其中UP作为转发设备负责报文转发与流量控制等,CP作为控制设备负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。
图1-19 PPPoE server IPv4转发与控制分离组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置设备工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
a. 配置DHCP服务器
# 配置ODAP类型的IP地址池pool1。
<CP> system-view
[CP] ip pool pool1 odap
[CP-ip-pool-pool1] network 1.0.0.0 8 export-route
[CP-ip-pool-pool1] subnet mask-length 16
[CP-ip-pool-pool1] gateway 1.1.1.1 8
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] dns-list 8.8.8.8
[CP-ip-pool-pool1] quit
b. 配置本地用户
# 创建一个PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
c. 配置认证域
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] quit
d. 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
[CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,就能通过设备Router接入到Internet。Host的IP地址为CP所指定的地址。
# 显示CP上PPPoE接入用户的信息。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 1.0.0.1 0000-5e08-9d00 -/-
user1 PPPoE
-
· 主机作为PPPoE client,运行PPPoE客户端拨号软件。
· CP设备通过DHCPv4协议为Host分配IPv4地址,通过DHCPv6协议为Host分配IPv6地址。
· BRAS设备需要支持PPPoE server的转发与控制分离,其中UP作为转发设备负责报文转发与流量控制等,CP作为控制设备负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。
图1-20 PPPoE server IPv6转发与控制分离接入配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
a. 配置DHCP服务器
# 配置ODAP类型的IP地址池pool1。
<CP> system-view
[CP] ip pool pool1 odap
[CP-ip-pool-pool1] network 1.0.0.0 8 export-route
[CP-ip-pool-pool1] subnet mask-length 16
[CP-ip-pool-pool1] gateway 1.1.1.1 8
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] dns-list 8.8.8.8
[CP-ip-pool-pool1] quit
# 配置ODAP类型的IPv6地址池pool1。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] network 1::/32 export-route
[CP-ipv6-pool-pool1] dynamic address assign-length 64
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] dns-server 8::8
[CP-ipv6-pool-pool1] quit
# 配置远端接口Remote-XGE1024/3/1/1工作在DHCPv6服务器模式。
[CP] interface remote-xge 1024/3/1/1
[CP–Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[CP–Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP–Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
[CP–Remote-XGE1024/3/1/1] quit
b. 配置本地用户
# 创建一个PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
c. 配置认证域
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
d. 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 查看CP上的PPPoE用户在线信息。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x1 R-XGE1024/3/1/1 1.0.0.1 000c-29a6-b656 -/-
user1 PPPoE
1::2
· 主机作为PPPoE client,运行PPPoE客户端拨号软件。
· Router设备作为远端DHCP服务器,CP设备作为DHCP中继向远端DHCP服务器申请IPv4地址和IPv6地址。
· BRAS设备需要支持PPPoE server的转发与控制分离,其中UP作为转发设备负责报文转发与流量控制等,CP作为控制设备负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。
图1-21 PPPoE server IPv6转发与控制分离接入配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
a. 配置DHCP服务器
# 配置远端BAS IP地址池pool1。
<CP> system-view
[CP] ip pool pool1 bas remote
[CP-ip-pool-pool1] gateway 1.1.1.1 16
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] remote-server 13.1.1.1
[CP-ip-pool-pool1] binding up-id 1024
[CP-ip-pool-pool1] quit
# 配置远端BAS IPv6地址池pool1。
[CP] ipv6 pool pool1 bas remote
[CP-ipv6-pool-pool1] gateway-list 1::1
[CP-ipv6-pool-pool1] network 1::/64 export-route
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] remote-server 13::1
[CP-ipv6-pool-pool1] dhcpv6-relay source-address interface loopback 0
[CP-ipv6-pool-pool1] binding up-id 1024
[CP-ipv6-pool-pool1] quit
# 配置远端接口Remote-XGE1024/3/1/1工作在DHCP中继模式。
[CP] interface remote-xge 1024/3/1/1
[CP–Remote-XGE1024/3/1/1] dhcp select relay
[CP–Remote-XGE1024/3/1/1] ipv6 dhcp select relay
[CP–Remote-XGE1024/3/1/1] ipv6 dhcp relay release-agent
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[CP–Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP–Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
[CP–Remote-XGE1024/3/1/1] quit
b. 配置本地用户
# 创建一个PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
c. 配置认证域
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
d. 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
(3) 配置Router(DHCP服务器)
¡ 配置IP地址池
# 启用DHCP服务。
<Router> system-view
[Router] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[Router] ip pool pool1
[Router-ip-pool-pool1] network 1.1.0.0 16
[Router-ip-pool-pool1] gateway-list 1.1.1.1
[Router-ip-pool-pool1] dns-list 8.8.8.8
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] quit
# 配置到CP设备的缺省路由。
[Router] ip route-static 0.0.0.0 0 12.1.1.1
¡ 配置IPv6地址池
# 创建名称为pool2的IPv6地址池,配置为DHCP客户端分配的IPv6地址网段和DNS服务器地址。
[Router] ipv6 pool pool2
[Router-ipv6-pool-pool2] network 1::/64
[Router-ipv6-pool-pool2] dns-server 8::8
[Router-ipv6-pool-pool2] forbidden-address 1::1
[Router-ipv6-pool-pool2] quit
# 配置接口Ten-GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置到CP设备的缺省路由。
[Router] ipv6 route-static :: 0 12::1
# 查看CP上的PPPoE用户在线信息。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x1 R-XGE1024/3/1/1 1.1.0.1 000c-29a6-b656 -/-
user1 PPPoE
1::2
CP和UP作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于授权前缀。
图1-22 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# (仅用于发布前缀网段路由)配置本地BAS IPv6地址池pool1,指定匹配该地址池的DHCPv6客户端所在的网段地址并发布网段路由。
[CP] ipv6 pool pool1 bas local
[CP-ipv6-pool-pool1] network 10::/64 export-route
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权IPv6前缀属性及DNS信息。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-prefix 10:: 64
[CP-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[CP-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
CP和UP作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于ND前缀池。
图1-23 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 配置前缀池1,包含的前缀为10::/16,分配的前缀长度为32,即前缀池1包含10::/32~10:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 1 prefix 10::/16 assign-len 32
# 配置ODAP类型的IPv6地址池pool1,并引用前缀池1,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] prefix-pool 1
[CP-ipv6-pool-pool1] dynamic prefix assign-length 64
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权ND前缀池及IPv6 DNS地址池信息。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-nd-prefix-pool pool1
[CP-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[CP-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Host和Router之间通过以太网接口相连,Host通过PPPoE接入PPPoE server,CP和UP作为PPPoE server通过DHCPv6协议为Host分配IPv6地址。
图1-24 配置PPPoE server通过IA_NA方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 配置ODAP类型的IPv6地址池pool1。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] network 1::/32 export-route
[CP-ipv6-pool-pool1] dynamic address assign-length 64
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] dns-server 8::8
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv6协议为Host分配一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::2
Router作为PPPoE client,并通过PPPoE接入PPPoE server。
CP和UP作为PPPoE server通过DHCPv6协议给Router分配代理前缀,Router再通过代理前缀给下面的主机分配IPv6地址。
图1-25 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 配置前缀池6,包含的前缀为20::/16,分配的前缀长度为32,即前缀池6包含20::/32~20:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 6 prefix 20::/16 assign-len 32
# 配置ODAP类型的IPv6地址池pool1,并引用前缀池6,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] prefix-pool 6
[CP-ipv6-pool-pool1] dynamic prefix assign-length 64
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
(3) 配置Router(PPPoE client)
# 在Dialer1接口上开启共享DDR。
<Router> system-view
[Router] interface dialer 1
[Router-Dialer1] dialer bundle enable
# 配置Router被CP设备以CHAP方式认证时Router发送的CHAP用户名和密码。
[Router-Dialer1] ppp chap user user1
[Router-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[Router-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[Router-Dialer1] dialer timer autodial 60
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[Router-Dialer1] ipv6 address dhcp-alloc
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[Router-Dialer1] ipv6 dhcp client pd 1
[Router-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[Router] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[Router-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[Router-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv6协议为Router分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[CP] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/32 Auto(C) Expires after 2100 31303234
Slot 97:
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/64 Auto(C) Expires after 2100 0540c4d7310107
以上信息表示,CP通过DHCPv6协议为Router分配一个代理前缀。
# 显示Router上创建的IPv6前缀信息。
[Router] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router从CP获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router把分配到的代理前缀20::/64再分配给Host,Host用来生成IPv6全球单播地址。
Router A和PPPoE server之间通过以太网接口相连,Router A作为PPPoE client,并通过PPPoE接入PPPoE server,CP和UP作为PPPoE server,并:
· IPv4:
¡ Router C为远端DHCP服务器。Router A通过PPPoE接入PPPoE server,PPPoE server同时作为DHCP中继向远端DHCP服务器申请IPv4地址。
· IPv6:
¡ 通过NDRA方式给Router A上的WAN口(本例为Dialer1)分配IPv6地址前缀,IPv6地址前缀来源于ND前缀池。
¡ 通过IA_PD方式给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-26 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置Router C(DHCP服务器)
# 启用DHCP服务。
<RouterC> system-view
[RouterC] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[RouterC] ip pool pool1
[RouterC-ip-pool-pool1] network 1.1.1.0 24
[RouterC-ip-pool-pool1] gateway-list 1.1.1.1
[RouterC-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterC-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterC-ip-pool-pool1] quit
# 配置到PPPoE server的缺省路由。
[RouterC] ip route-static 0.0.0.0 0 13.1.1.2
(2) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(3) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv4中继模式。
[CP-Remote-XGE1024/3/1/1] dhcp select relay
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# (DHCPv4使用)创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将IP地址1.1.1.1配置为禁用地址,并指定中继地址池对应的DHCP服务器地址。
[CP] ip pool pool1 bas remote
[CP-ip-pool-pool1] gateway 1.1.1.1 24
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] remote-server 10.1.1.1
[CP-ip-pool-pool1] quit
# (NDRA使用)配置前缀池1,包含的前缀为10::/16,分配的前缀长度为32,即前缀池1包含10::/32~10:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 1 prefix 10::/16 assign-len 32
# 配置ODAP类型的IPv6地址池ndra,并引用前缀池1,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool ndra odap
[CP-ipv6-pool-ndra] prefix-pool 1
[CP-ipv6-pool-ndra] dynamic prefix assign-length 64
[CP-ipv6-pool-ndra] quit
# (IA_PD使用)配置前缀池6,包含的前缀为20::/16,分配的前缀长度为32,即前缀池6包含20::/32~20:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 6 prefix 20::/16 assign-len 32
# 配置ODAP类型的IPv6地址池iapd,并引用前缀池6,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool iapd odap
[CP-ipv6-pool-iapd] prefix-pool 6
[CP-ipv6-pool-iapd] dynamic prefix assign-length 64
[CP-ipv6-pool-iapd] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权IP地址池、ND前缀池、IPv6 DNS地址和地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authorization-attribute ipv6-nd-prefix-pool ndra
[CP-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[CP-isp-dm1] authorization-attribute ipv6-pool iapd
(4) 配置Router A(PPPoE client)
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被CP以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# (IPv4使用)配置Dialer1接口通过协商获取IP地址,Dialer1接口主动向对端请求DNS服务器地址,以及Dialer1接口可以被动地接收对端指定的DNS服务器地址。
[RouterA-Dialer1] ip address ppp-negotiate
[RouterA-Dialer1] ppp ipcp dns request
[RouterA-Dialer1] ppp ipcp dns admit-any
# (IPv4使用)配置直接使用Dialer1接口的IP地址对内网访问外网的IP流量进行地址转换。
[RouterA-Dialer1] nat outbound
# (NDRA使用)在Dialer1接口上开启无状态地址自动配置功能,使接口通过无状态自动配置方式生成全球单播地址。
[RouterA-Dialer1] ipv6 address auto
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 dialer 1
[RouterA] ipv6 route-static :: 0 dialer 1
# 启用DHCP服务。
[RouterA] dhcp enable
# 配置IP地址池pool1。
[RouterA] ip pool pool1
[RouterA-ip-pool-pool1] network 192.168.1.0 24
[RouterA-ip-pool-pool1] gateway-list 192.168.1.1
[RouterA-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.1.1配置为禁用地址。
[RouterA-ip-pool-pool1] forbidden-ip 192.168.1.1
[RouterA-ip-pool-pool1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置内网用户的IPv4网关地址。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] ip address 192.168.1.1 24
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv4获取到一个IPv4地址,以及通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
CP通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[CP] display ipv6 dhcp server pd-in-use
Pool: iapd
IPv6 prefix Type Lease expiration DUID
20::/32 Auto(C) Expires after 2100 31303234
Pool: ndra
IPv6 prefix Type Lease expiration DUID
10::/32 Auto(C) Expires after 2100 31303234
Slot 97:
Pool: iapd
IPv6 prefix Type Lease expiration DUID
20::/64 Auto(C) Expires after 2100 0540c4d7310107
Pool: ndra
IPv6 prefix Type Lease expiration DUID
10::/64 Auto(C) Expires after 2100 0640c4d7310107
以上信息表示,CP通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router A从CP获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/64再分配给Host,Host用来生成IPv6全球单播地址。
Router和PPPoE server之间通过以太网接口相连,Router通过PPPoE接入CP,PPPoE server作为PPPoE server,并:
· 通过IA_NA方式给Router上的WAN口(本例为Dialer1)分配IPv6全球单播地址。
· 通过IA_PD方式给Router分配代理前缀,Router再通过代理前缀给下面的主机分配IPv6地址。
图1-27 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# (IA_PD使用)配置前缀池6,包含的前缀为20::/16,分配的前缀长度为32,即前缀池6包含20::/32~20:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 6 prefix 20::/16 assign-len 32
# 配置ODAP类型的IPv6地址池pool1。
[CP] ipv6 pool pool1 odap
# (IA_NA使用)配置IPv6地址池动态分配的地址网段为1::/32,指定分配的IPv6地址的前缀长度为64,禁止分配IPv6地址为1::1,分配的DNS服务器地址为8::8。
[CP-ipv6-pool-pool1] network 1::/32 export-route
[CP-ipv6-pool-pool1] dynamic address assign-length 64
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] dns-server 8::8
# (IA_PD使用)在地址池下引用前缀池6,并指定分配的IPv6前缀段的前缀长度为64。
[CP-ipv6-pool-pool1] prefix-pool 6
[CP-ipv6-pool-pool1] dynamic prefix assign-length 64
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
(3) 配置Router(PPPoE client)
# 在Dialer1接口上开启共享DDR。
<Router> system-view
[Router] interface dialer 1
[Router-Dialer1] dialer bundle enable
# 配置Router被CP以CHAP方式认证时Router发送的CHAP用户名和密码。
[Router-Dialer1] ppp chap user user1
[Router-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[Router-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[Router-Dialer1] dialer timer autodial 60
# (IA_NA+IA_PD共用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[Router-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[Router-Dialer1] ipv6 dhcp client pd 1
[Router-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[Router] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[Router-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[Router-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv6协议为Router分配一个IPv6全球单播地址。
[Router] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::2
# 显示DHCPv6前缀绑定信息。
[CP] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/32 Auto(C) Expires after 2100 31303234
Slot 97:
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/64 Auto(C) Expires after 2100 0540c4d7310107
以上信息表示,CP通过DHCPv6协议为Router分配一个代理前缀。
# 显示Router上创建的IPv6前缀信息。
[Router] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router从CP获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router把分配到的代理前缀20::/64再分配给Host,Host用来生成IPv6全球单播地址。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
