- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
10-PPPoE配置
本章节下载: 10-PPPoE配置 (1.05 MB)
目 录
1.3.3 转发与控制分离模式下PPPoE server配置任务简介
1.3.10 配置PPPoE会话的NAS-PORT-ID属性相关参数
1.3.11 配置PPPoE接入用户的NAS-PORT-ID精绑
1.3.12 配置PPPoE server的Service Name
1.3.13 配置设备每秒能够接收PADI报文的最大数目(一体化设备)
1.3.14 配置UP上每个slot每秒能够接收PADI报文的最大数目(UP设备)
1.3.19 配置PPPoE用户接入响应延迟的MAC地址偏移值
1.5.1 PPPoE server通过本地DHCP服务器为用户分配IPv4地址配置举例
1.5.2 PPPoE server通过远端DHCP服务器为双栈用户分配IP地址配置举例
1.5.3 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(AAA授权前缀)
1.5.4 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(ND前缀池授权前缀)
1.5.5 PPPoE server通过IA_NA方式为用户分配IPv6地址配置举例
1.5.6 PPPoE server通过IA_PD方式为用户分配IPv6地址配置举例
1.5.7 PPPoE server通过远端DHCPv4服务器+(NDRA+IA_PD)方式为双栈用户分配IP地址配置举例
1.5.8 PPPoE server通过IA_NA+IA_PD方式为用户分配IPv6地址配置举例
1.5.9 PPPoE server通过本地DHCP服务器为双栈用户分配IP地址配置举例
1.5.10 PPPoE server为接入用户授权地址池和VPN配置举例
1.6.1 PPPoE server通过本地DHCP服务器为用户分配IPv4地址
1.6.2 PPPoE server通过本地DHCP服务器为双栈用户分配IP地址配置举例
1.6.3 PPPoE server通过远端DHCP服务器为双栈用户分配IP地址配置举例
1.6.4 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(AAA授权前缀)
1.6.5 PPPoE server通过NDRA方式为用户分配IPv6地址配置举例(ND前缀池授权前缀)
1.6.6 PPPoE server通过IA_NA方式为用户分配IPv6地址配置举例
1.6.7 PPPoE server通过IA_PD方式为用户分配IPv6地址配置举例
1.6.8 PPPoE server通过远端DHCPv4服务器+(NDRA+IA_PD)方式为双栈用户分配IP地址配置举例
1.6.9 PPPoE server通过IA_NA+IA_PD方式为用户分配IPv6地址配置举例
PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载PPP协议)是对PPP协议的扩展,它在以太网上建立PPPoE会话,将PPP报文封装在以太网帧之内,在以太网上提供点对点的连接,解决了PPP无法应用于以太网的问题。PPPoE还可以通过远端接入设备对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能,PPPoE被广泛应用于小区接入组网等环境中。
PPPoE使用Client/Server模型。PPPoE client向PPPoE server发起连接请求,两者之间会话协商通过后,就建立PPPoE会话,此后PPPoE server向PPPoE client提供接入控制、认证、计费等功能。
根据PPPoE会话的起点所在位置的不同,PPPoE分为Router-Initiated和Host-Initiated两种组网结构。
如图1-1所示,Router-Initiated组网结构是在两台路由器之间建立PPPoE会话,所有主机通过同一个PPPoE会话传送数据,主机上不用安装PPPoE客户端拨号软件,一般是一个企业共用一个账号接入网络(图中PPPoE client位于企业/公司内部,PPPoE server是运营商的设备)。
如图1-2所示,Host-Initiated组网结构是将PPPoE会话建立在Host和运营商的路由器之间,为每一个Host建立一个PPPoE会话,每个Host都是PPPoE client,每个Host使用一个账号,方便运营商对用户进行计费和控制。Host上必须安装PPPoE客户端拨号软件。
图1-2 Host-Initiated组网结构图
与PPPoE相关的协议规范有:
RFC 2516:A Method for Transmitting PPP Over Ethernet (PPPoE)
本设备仅支持作为PPPoE Server,不支持作为PPPoE Client。
standard工作模式下,仅下表所列单板支持本功能。
表1-1 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
sdn-wan工作模式下,设备不支持本功能。
在PPPoE应用中,广告推送功能仅对使用80和8080端口号的HTTP报文生效。
在PPPoE server作为DHCP relay的中继组网中,对于普通IP地址池,涉及下列命令的配置时,要求DHCP relay和远端DHCP server保持一致:
· DHCPv4
¡ network命令(用来配置IP地址池动态分配的IP地址网段)
¡ address range命令(用来配置IP地址池动态分配的IP地址范围)
¡ forbidden-ip命令(用来配置IP地址池中不参与自动分配的IP地址)
上述命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCP”。
· DHCPv6:
¡ network命令(用来配置IPv6地址池动态分配的IPv6地址网段)
¡ address range命令(用来配置地址池中动态分配的IPv6非临时地址范围)
¡ forbidden-address命令(用来配置不参与自动分配的IPv6地址或地址段)
¡ forbidden-prefix命令(用来配置不参与自动分配的IPv6前缀或前缀段)
¡ prefix-pool命令(用来配置地址池引用前缀池,以便从前缀池中动态选择前缀分配给客户端)
上述命令的详细介绍,请参见“BRAS业务命令参考”中的“DHCPv6”。
为解决传统BRAS(Broadband Remote Access Server,宽带远程接入服务器)中存在的控制平面与转发平面能力不匹配、无法共享资源以及新业务部署不及时等问题,业界提出了基于vBRAS(Virtual Broadband Remote Access Server,虚拟化宽带远程接入服务器)的转发与控制分离方案。
转发与控制分离是指将转发平面与控制平面完全解耦,二者互不约束。在转发与控制分离方案中,包括CP和UP两种角色,由二者共同实现BRAS功能。其中:
· CP(Control Plane,控制平面):负责完成用户身份认证、地址分配与管理等控制平面功能。其中,CP一般由vBRAS系列虚拟宽带远程接入服务器担任。
· UP(User Plane,用户平面):负责完成用户数据流量转发和流量控制等转发平面功能。其中,UP可由路由器或者vBRAS虚拟宽带远程接入服务器担任。
CP和UP之间通过建立如下三条通道实现转发与控制分离功能:
· 管理通道:用作CP和UP之间配置下发的通道。
· 控制通道:用作CP和UP之间表项下发的通道。
· 协议通道:用作CP和UP之间协议报文交互的通道。
在转发与控制分离的组网环境中,PPPoE server有三种工作模式:普通模式、控制模式和转发模式。其中控制模式和转发模式又统称为转发与控制分离模式。
· 普通模式:本模式下,不区分CP和UP,BRAS模块的控制及数据转发业务均由同一台设备完成。工作在本模式的设备称作一体化设备。
· 控制模式:根据CP功能的实现方式不同,目前支持以下两种控制模式。
¡ session模式:该模式基于远端接口实现CP功能。当CP所连接的UP设备支持PPPoE功能时,可采用session模式,工作在session模式的CP将会向UP发送BRAS会话信息,UP根据从CP收到的BRAS会话信息指导数据报文转发。有关远端接口的介绍,请参见vBRAS-CP产品配置指导中的“CP-UP连接管理”。
· 转发模式:本模式下,设备仅完成数据转发业务。工作在本模式的设备称作UP。
· 除特殊说明外,本手册中的PPPoE Server均指工作在普通模式的情况。
· 转发与控制分离模式下,本设备仅支持作为UP,不支持作为CP。
在session模式下,UP会将接收到的认证报文通过VXLAN隧道上送给CP进行认证授权,认证通过之后CP上创建PPPoE会话并将PPPoE会话及授权信息等通过CUSP通道发送给UP,具体流程如图1-3所示。
图1-3 session模式下PPPoE用户接入流程图
(2) 用户主机向UP发送PPPoE discovery(发现阶段所有报文统称)报文。
(3) UP通过VXLAN隧道将报文上送CP处理。
(4) CP创建PPPoE会话,进行PPP协商,CP向AAA服务器发送认证请求,认证请求消息中包含用户名和密码等信息。
(5) AAA服务器返回认证结果,若用户认证通过,则发送认证接受报文,并携带授权信息;否则发送认证拒绝报文,CP获取用户认证和授权结果,若用户认证失败,用户下线,认证成功,则继续进行NCP协商。
(6) NCP协商成功后,CP将PPPoE会话通过CUSP通道发送给UP。
(7) CP向AAA服务器发送计费开始报文,开始对该用户计费。
(8) UP定时收集用户流量,并通过CUSP通道上送CP。
(9) CP将流量上送给AAA服务器进行计费处理。
普通模式下PPPoE server配置任务如下:
(1) 配置PPPoE会话
(2) (可选)配置允许创建PPPoE会话的最大数目
(3) (可选)配置PPPoE日志功能
(4) (可选)配置限制用户创建PPPoE会话的速度
(5) (可选)配置PPPoE会话的NAS-PORT-ID属性相关参数
当需要根据NAS-PORT-ID精确获取PPPoE用户的接入接口的物理位置信息时需要配置本功能。
(7) (可选)配置PPPoE server的Service Name
(8) (可选)配置设备每秒能够接收PADI报文的最大数目
(9) (可选)配置PPPoE用户静默功能
(10) (可选)配置PPPoE协议报文防攻击功能
(11) (可选)配置禁止PPPoE用户上线功能
(12) (可选)配置PPPoE用户的接入响应延迟时间
(13) (可选)配置PPPoE用户接入响应延迟的MAC地址偏移值
· 在转发与控制分离组网中,本设备仅支持作为UP,不支持作为CP。
· 本节仅介绍本设备作为UP时的相关配置。有关CP的相关配置,请参见担任CP角色的设备的产品手册。
当UP上联的CP工作在session模式时,UP配置任务如下:
(1) 配置设备工作在转发模式
(2) 配置CP-UP连接管理
在PPPoE server转发与控制分离模式组网环境中,当UP上联的CP工作在session模式时,需要通过本节配置指定设备工作在转发模式。
(1) 进入系统视图。
system-view
(2) 配置设备工作在转发模式。
work-mode user-plane
缺省情况下,设备工作在普通模式。
本命令的详细介绍请参见“BRAS业务命令参考”中的“UCM”。
具体配置请参见vBRAS-CP产品配置指导中的“CP-UP连接管理”。
(1) 进入系统视图。
system-view
(2) 创建虚拟模板接口并进入指定的虚拟模板接口视图。
interface virtual-template number
(3) 配置PPP的工作参数
具体工作参数的配置请参见“BRAS业务配置指导”中的“PPP”。
当配置PPP认证时,需要配置PPPoE server作为认证方。
(4) 退回系统视图。
quit
(5) 进入接口视图。
interface interface-type interface-number
(6) 在接口上启用PPPoE server协议,将该接口与指定的虚拟模板接口绑定。
pppoe-server bind virtual-template number
缺省情况下,接口上的PPPoE server协议处于关闭状态。
(7) (可选)配置PPPoE server的AC Name(Access Concentrator Name,接入集中器名称)。
pppoe-server tag ac-name name
缺省情况下,PPPoE server的AC Name为设备名称。
PPPoE client可以根据AC Name来选择PPPoE server。
(8) (可选)配置对PPP最大负载TAG的支持,并指定最大负载的范围。
pppoe-server tag ppp-max-payload [ minimum min-number maximum max-number ]
缺省情况下,不支持PPP最大负载TAG。
(9) 退回系统视图。
quit
(10) 配置PPPoE server对PPP用户进行认证、授权、计费。
相关内容请参见“BRAS业务配置指导”中的“AAA”。
系统创建PPPoE会话时,需同时满足如下限制,若其中任何一项不满足,则无法创建会话:
· 接口上每个用户所能创建PPPoE会话的最大数目限制。
· 接口上每个VLAN所能创建PPPoE会话的最大数目限制。
· 接口上所能创建PPPoE会话的最大数目限制。
· 单板所能创建PPPoE会话的最大数目限制。(独立运行模式)(IRF模式)
如果本命令配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
建议设备上配置的所有单板/成员设备所能创建PPPoE会话的最大数目之和,不要超过整机PPPoE的最大会话数,否则会有部分PPPoE用户因为整机最大用户数已达到而无法上线。(独立运行模式)(IRF模式)
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 配置允许创建PPPoE会话的最大数目。
¡ 配置每个接口上所能创建PPPoE会话的最大数目。
pppoe-server session-limit number
缺省情况下,不限制接口上所能创建PPPoE会话的数目。
¡ 配置每个VLAN所能创建PPPoE会话的最大数目。
pppoe-server session-limit per-vlan number
缺省情况下,不限制每个VLAN所能创建PPPoE会话的数目。
¡ 配置每个用户所能创建PPPoE会话的最大数目。
pppoe-server session-limit per-mac number
缺省情况下,每个用户可创建1个PPPoE会话。
(1) 进入系统视图。
system-view
(2) 配置允许创建PPPoE会话的最大数目。
(独立运行模式)
pppoe-server session-limit slot slot-number total number
(IRF模式)
pppoe-server session-limit chassis chassis-number slot slot-number total number
缺省情况下,不限制允许创建的PPPoE会话数目。
PPPoE日志是为了满足网络管理员维护的需要,对PPPoE达到会话限制的信息进行记录,包括接口会话限制、MAC会话限制、VLAN会话限制、系统会话限制。
开启PPPoE日志功能后,当PPPoE会话数目达到每个接口、每个用户、每个VLAN或整个系统允许的最大会话数目时,如果再有新的用户请求上线,设备将生成日志信息。设备生成的PPPoE日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的PPPoE日志信息,一般情况下建议不要开启此功能。
(1) 进入系统视图。
system-view
(2) 开启PPPoE日志功能。
pppoe-server log enable
缺省情况下,PPPoE日志功能处于关闭状态。
设备可以限制特定接口下每个用户(每个用户通过MAC地址进行标识)创建会话的速度。如果用户建立会话的速度达到门限值,即在监视时间段内该用户的会话请求数目达到配置的允许数目,则扼制该用户新的会话请求,在监视时间段内该用户的超出允许数目的请求都会被丢弃,并输出对应的Log信息。如果扼制时间配置为0,表示不扼制会话请求,但仍然会输出Log信息。
· 监视表:监视各用户在监视时间周期内创建的会话数。监视表的规格为8K。当监视表达到规格时,对新用户的会话请求不进行监视和扼制,正常建立会话。监视表项的老化时间为配置的session-request-period值,老化后对用户重新监视。
· 扼制表:当某用户建立会话的速度超过门限值时,会将该用户的信息加入扼制表,扼制该用户的会话请求。扼制表规格为8K。当扼制表达到规格时,对新用户的会话请求只进行监视和发送Log信息,但不触发扼制。扼制表项的老化时间为配置的blocking-period值,老化后对用户重新监视。
修改本功能的配置后,系统将删除已记录的监视表和扼制表,重新开始监视每个用户的会话请求。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 配置接口允许每个用户创建会话的速度。
pppoe-server throttle per-mac session-requests session-request-period blocking-period
缺省情况下,不限制会话建立的速度。
如图1-4所示,在PPPoE+组网,或者含有DSLAM的组网中,PPPoE+设备(一般为部署了PPPoE+特性的Switch)或DSLAM通过接入线路ID(access-line-id)把用户的物理位置信息传送给BRAS设备(PPPoE server功能部署在BRAS设备上),接入线路ID的内容包括circuit-id和remote-id两部分。BRAS设备直接将接入线路ID复制到RADIUS的NAS-PORT-ID属性中发送给RADIUS服务器,RADIUS服务器通过收到的NAS-PORT-ID属性和数据库中已配置好的物理位置信息比较,验证用户的物理位置信息是否正确。
用户可以通过下面的配置控制BRAS设备上传给RADIUS服务器的NAS-PORT-ID属性的内容。
图1-4 PPPoE+组网示意图
如果在RADIUS方案视图下配置了attribute 87 format命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由该命令决定,PPPoE模块定义的RADIUS NAS-Port-ID属性格式不再生效。有关attribute 87 format命令的详细介绍,请参见“BRAS业务命令参考”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 配置上传给RADIUS服务器的NAS-PORT-ID属性中包含的内容。
pppoe-server access-line-id content { all [ separator ] | circuit-id | remote-id }
缺省情况下,上传给RADIUS服务器的NAS-PORT-ID属性中仅包含circuit-id。
(4) 配置在NAS-PORT-ID属性中自动插入BAS信息。
pppoe-server access-line-id bas-info [ cn-163 | cn-163-redback ]
缺省情况下,在NAS-PORT-ID属性中不自动插入BAS信息。
(5) 配置设备信任接收到的报文中的接入线路ID的内容。
pppoe-server access-line-id trust
缺省情况下,设备不信任接收到的报文中的接入线路ID的内容。
(6) 配置接入线路ID中circuit-id的传输格式。
pppoe-server access-line-id circuit-id trans-format { ascii | hex }
缺省情况下,接入线路ID中circuit-id的传输格式为字符串格式。
(7) 配置接入线路ID中remote-id的传输格式。
pppoe-server access-line-id remote-id trans-format { ascii | hex }
缺省情况下,接入线路ID中remote-id的传输格式为字符串格式。
(8) 配置在NAS-PORT-ID属性中插入VXLAN信息
pppoe-server access-line-id vxlan-info enable
缺省情况下,在NAS-PORT-ID属性中不插入VXLAN信息。
缺省情况下,设备使用用户上线的接口信息填充NAS-PORT-ID属性上送RADIUS服务器。在某些特殊应用中,当需要手工指定用于填充NAS-PORT-ID属性的上线接口信息时,可配置本特性。例如,若RADIUS服务器上限制了用户A只能通过接口A上线,当用户A切换到一个新接口B上线时,若不想更改RADIUS服务器的配置,可通过本特性配置用户A仍使用接口A的信息填充NAS-PORT-ID属性上送RADIUS服务器。
当BAS信息采用中国电信163格式且配置了pppoe-server nas-port-id interface命令时:
· 若同时配置了access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:
¡ 非转发与控制分离组网:chassis=NAS_chassis;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
¡ 转发与控制分离组网中:chassis=UP_ID;slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
· 若未配置access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下接入接口信息字段:slot=NAS_slot;subslot=NAS_subslot;port=NAS_port。
当BAS信息采用中国电信格式且配置了pppoe-server nas-port-id interface命令时:
· 若同时配置了access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:
¡ 非转发与控制分离组网:{eth|trunk|atm} NAS_chassis/NAS_slot/NAS_subslot/NAS_port。
¡ 转发与控制分离组网:{eth|trunk|atm} UP_ID/NAS_slot/NAS_subslot/NAS_port。
· 若未配置access-user four-dimension-mode enable命令,将使用pppoe-server nas-port-id interface命令的配置填充NAS-PORT-ID属性中的如下NAS信息字段:{eth|trunk|atm} NAS_slot/NAS_subslot/NAS_port。
如果在RADIUS方案视图下配置了attribute 87 format命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由该命令决定,PPPoE模块定义的RADIUS NAS-Port-ID属性格式不再生效。有关attribute 87 format命令的详细介绍,请参见“BRAS业务命令参考”中的“AAA”。
本特性仅在设备上通过pppoe-server access-line-id bas-info命令配置了在NAS-PORT-ID属性中自动插入BAS信息的情况下才生效。
若配置本特性,除使用本特性的配置填充NAS-PORT-ID属性外,还将填充NAS-PORT属性。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置使用指定接口信息填充RADIUS的NAS-PORT-ID属性。
pppoe-server nas-port-id interface interface-type interface-number
缺省情况下,使用用户上线的接口信息填充NAS-PORT-ID。
在转发与控制分离组网环境中,本命令中指定的接口必须是UP上PPPoE用户的接入接口,接口编号形式为UP ID/UP上实际接入接口编号,例如用户通过UP 1024上的Ten-GigabitEthernet3/1/1接口接入,则本命令中指定的接口编号应为1024/3/1/1。
当PPPoE server收到PPPoE client的PADI/PADR报文时,需要检查报文中的Service Name TAG字段并和本机上配置的Service Name进行匹配,只有匹配成功,PPPoE server才会接受PPPoE client的会话建立请求。不同匹配模式下的匹配规则有所不同,具体请见表1-2。
|
匹配模式 |
PPPoE client |
PPPoE server |
匹配结果 |
|
精确匹配 |
未指定Service Name |
配置的Service Name数目小于8 |
成功 |
|
配置的Service Name数目等于8 |
失败 |
||
|
指定Service Name |
已配置和客户端相同的Service Name |
成功 |
|
|
不存在和客户端相同的Service Name |
失败 |
||
|
模糊匹配 |
未指定Service Name |
任何配置 |
成功 |
|
指定Service Name |
已配置和客户端相同的Service Name,或配置的Service Name数目小于8 |
成功 |
|
|
不存在和客户端相同的Service Name,且配置的Service Name数目等于8 |
失败 |
当组网环境中存在两个或者两个以上PPPoE server提供不同的服务时,PPPoE client可以根据自身的Service Name选择不同的服务器来建立连接,这时PPPoE server将根据本机上的Service Name来进行匹配处理。
每接口下最多可配置8个Service Name。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置PPPoE server的Service Name匹配模式为精确匹配。
pppoe-server service-name-tag exact-match
缺省情况下,Service Name的匹配模式为模糊匹配。
(4) 配置PPPoE server的Service Name。
pppoe-server tag service-name name
缺省情况下,未配置PPPoE server的Service Name。
在设备重启或者版本升级等情况下,为避免大量PPPoE用户的突发上线请求对设备性能造成影响,同时又确保PPPoE用户能够平稳上线,可以通过本命令调整设备接收PADI报文的速率。
缺省情况下,根据设备运行的主控板类型不同,单板每秒能够接收PADI报文的最大数目也有所差异,具体请见下表。
表1-3 PADI缺省情况
|
设备运行主控板的型号 |
CSR07SRPUD3 |
其它主控板 |
|
单板每秒最多能够接收PADI报文的个数 |
500 |
200 |
(1) 进入系统视图。
system-view
(2) 配置设备每秒能够接收PADI报文的最大数目
(独立运行模式)
pppoe-server padi-limit slot slot-number number
(IRF模式)
pppoe-server padi-limit chassis chassis-number slot slot-number number
缺省情况下,根据设备运行的主控板类型不同,单板每秒能够接收PADI报文的最大数目也有所差异,具体请见上表。
在转发与控制分离环境下,当设备重启或者版本升级时,为避免大量PPPoE用户的突发上线请求对设备性能造成影响,同时又确保PPPoE用户能够平稳上线,可以通过本命令统一调整指定UP上所有单板接收PADI报文的速率。
(1) 进入系统视图。
system-view
(2) 配置UP上每个slot每秒能够接收PADI报文的最大数目
pppoe-server padi-limit per-slot number
缺省情况下,UP上每个slot每秒能够接收PADI报文的最大数目为2000。
在PPPoE链路建立过程的Discovery阶段,PPPoE client会通过发送PADI/PADR报文寻找可为其提供接入服务的PPPoE server,并可在PPPoE会话建立起来后的任意时间发送PADT报文终止PPPPoE会话。
为防止大量用户频繁上下线或非法用户通过协议报文发起攻击占用设备大量系统资源,可配置PPPoE用户静默功能。配置本功能后,当某PPPoE用户在检测周期内的上下线次数或请求连接次数达到指定次数时,将被静默一段时间。在静默周期内,设备直接丢弃来自此PPPoE用户的报文,同时设备会继续对处于静默周期内的PPPoE用户进行防攻击检测,如果在静默定时器超时前该PPPoE用户达到条件“(本次静默之后的丢包数×request-period)≥(requests×blocking-period)”,设备会将该PPPoE用户的静默时间延长一个静默周期。静默期后,如果设备再次收到该PPPoE用户的报文,则依然可以对其进行认证处理。
设备目前支持基于MAC地址和基于Option 105两种方式的PPPoE用户静默功能。
您既可在系统视图下配置本命令也可在接口视图下配置本命令,前者对所有PPPoE用户生效,后者只对通过该接口接入的PPPoE用户生效。如果在两个视图下都配置本命令,则先达到静默条件的命令生效。
开启基于MAC地址的PPPoE静默功能后,设备将根据用户MAC地址、最外层VLAN ID和用户接入接口三个字段信息唯一标识一个静默用户。
开启基于Option 105地址的PPPoE静默功能后,设备将根据用户Circuit ID、Remote ID和用户接入接口三个字段信息唯一标识一个静默用户。
在一体化场景中,当满足静默条件时,仅在实际接收报文的接口所在slot上生成静默表项。例如,对于通过三层聚合接口接入的用户,当该用户满足静默条件时,仅会在该实际接入的三层聚合组中成员接口所在slot上生成静默表项。
在转发与控制分离场景中,当满足静默条件时:
· 基于MAC地址的PPPoE静默功能:对于通过UP设备上的全局接口接入的用户,会在管理该UP的主BRAS-VM上以及该UP的所有slot上都生成静默表项。对于通过UP设备上的局部接口接入的用户,会在管理该UP的主BRAS-VM上以及该UP上局部接口所在slot上生成静默表项。
· 基于Option 105的PPPoE用户静默功能:不论通过UP设备上的全局接口还是局部接口接入的用户,都仅会在管理该UP的主BRAS-VM上生成静默表项,不会在UP设备上生成静默表项。
(1) 进入系统视图。
system-view
(2) 开启基于MAC地址的PPPoE静默功能。
pppoe-server connection chasten [ quickoffline ] [ multi-sessions-permac ] requests request-period blocking-period
缺省情况下, 基于MAC地址的PPPoE用户在60秒内连续请求连接次数达到120次时,将被静默300秒。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 开启基于MAC地址的PPPoE静默功能。
pppoe-server connection chasten [ quickoffline ] [ multi-sessions-permac ] requests request-period blocking-period
缺省情况下,基于MAC地址的PPPoE静默功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启基于Option 105的PPPoE静默功能。
pppoe-server connection chasten option105 [ quickoffline ] requests request-period blocking-period
缺省情况下,基于Option 105的PPPoE静默功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 开启基于Option 105的PPPoE静默功能。
pppoe-server connection chasten option105 [ quickoffline ] requests request-period blocking-period
缺省情况下,基于Option 105的PPPoE静默功能处于关闭状态。
在PPPoE链路建立过程的Discovery阶段,PPPoE client会通过发送PADI/PADR报文寻找可为其提供接入服务的PPPoE server,并可在PPPoE会话建立起来后的任意时间发送PADT报文终止PPPoE会话。
为防止大量用户频繁上下线或非法用户通过协议报文发起攻击占用设备大量系统资源,可配置PPPoE协议报文防攻击功能。配置本功能后,当PPPoE server在interval时间内从某接口接收到的PPPoE协议报文个数达到number时,将对后续从该接口接收的PPPoE协议报文进行限速,限速时长为rate-limit-period。在限速时长内,当接口收到超过限速值的PPPoE协议报文时,超速部分的报文将被丢弃,同时设备会继续对处于限速时长内的接口进行防攻击检测,如果在限速时长超时前,该接口收到的PPPoE协议报文的丢包数达到条件“(本次限速之后的丢包数×interval)≥(number×rate-limit-period)”,设备会将该接口的限速时间延长一个限速时长。限速时长超时后,将解除对该接口接收PPPoE协议报文的限速。
您既可在系统视图下配置本命令也可在接口视图下配置本命令,前者对所有接口生效,后者只对该接口生效。如果在两个视图下都配置本命令,则接口下配置生效。
(1) 进入系统视图。
system-view
(2) 开启PPPoE协议报文防攻击功能。
pppoe-server connection chasten per-interface number interval rate-limit-period
缺省情况下,PPPoE协议报文防攻击功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
该接口为启用PPPoE server协议的接口。
(3) 开启PPPoE协议报文防攻击功能。
pppoe-server connection chasten per-interface number interval rate-limit-period
缺省情况下,PPPoE协议报文防攻击功能处于关闭状态。
配置本功能后,当接口收到PADI和PADR报文后会将直接丢弃,以阻止新的PPPoE用户从该接口上线。
本功能配置后仅对新接入的PPPoE用户生效,对当前已经存在用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置禁止接口上的PPPoE用户上线。
pppoe-server block
缺省情况下,允许接口上的PPPoE用户上线。
本功能适用于管理员希望在网络中部署多台BRAS设备,并在这多台BRAS设备之间根据用户奇偶MAC地址进行用户负载分担及备份的场景。
如图1-5所示,为提供设备级备份及流量负载分担,在网络中部署了2台BRAS设备,并进行如下配置:
· 在BRAS A上配置对MAC地址为偶数的用户执行延迟响应,对MAC地址为奇数的用户采用缺省配置即不延迟响应。
· 在BRAS B上配置对MAC地址为奇数的用户执行延迟响应,对MAC地址为偶数的用户采用缺省配置即不延迟响应。
通过上述配置后,正常情况下,BRAS A将先于BRAS B响应MAC地址为奇数的用户的上线请求,故MAC地址为奇数的用户优先分担到BRAS A上线;同理,BRAS B将先于BRAS A响应MAC地址为偶数的用户的上线请求,故MAC地址为偶数的用户优先分担到BRAS B上线,从而实现用户流量在BRAS A和BRAS B之间负载分担。
图1-5 功能示意图(所有BRAS设备均正常)
当某台BRAS设备故障时,如图1-6所示,假设BRAS A故障,此时MAC地址为奇数的用户可以通过BRAS B上线,即由BRAS B为所有用户提供接入服务,从而实现设备级备份。其中:
· 对于在BRAS A故障前未上线的奇数MAC地址用户,在BRAS A故障后这类用户可直接通过BRAS B上线。
· 对于在BRAS A故障前已上线的奇数MAC地址用户,在BRAS A故障后这类用户需要先下线才可通过BRAS B上线。
图1-6 功能示意图(某台BRAS设备故障)
配置PPPoE用户接入响应延迟时间后,系统将按照配置的时间对PPPoE用户的上线请求进行延迟响应,并支持分别为奇数MAC和偶数MAC配置不同的响应延迟时间。
· 该场景中,BRAS设备之间需要做地址隔离,即公网地址池、私网地址池、NAS-IP地址,在每台BRAS设备上应是唯一配置,不能交叉复用,否则可能导致路由问题。例如:当一台BRAS设备上配置1.1.1.1为NAS-IP地址,则另一台BRAS设备的NAS-IP地址不能配置为1.1.1.1。
· 本功能可与pppoe-server access-delay odd-even mac offset命令配合使用,用来根据MAC地址偏移值灵活部署奇偶MAC用户接入响应延迟策略,具体请见pppoe-server access-delay odd-even mac offset命令。
· 本功能配置后仅对新接入的PPPoE用户生效,对当前已在线PPPoE用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置PPPoE用户接入响应延迟时间。
pppoe-server access-delay delay-time [ even-mac | odd-mac ]
缺省情况下,对PPPoE用户接入响应不延迟。
¡ 如果未指定任何参数,配置的响应延迟时间对从当前接口新接入的奇MAC用户和偶MAC用户都生效。
¡ 如果先配置了携带even-mac(或odd-mac)参数的本命令,再配置未携带任何参数的本命令,则后者会覆盖前者,反之亦然。
奇偶位,是指BRAS设备用来判断用户奇偶MAC的比特位。其中,该比特位取值为0,表示用户为偶数MAC;取值为1,表示用户为奇数MAC。
缺省情况下,设备只能选取用户MAC地址的最低比特位作为奇偶位来判断奇偶MAC,然后再根据奇偶MAC的延迟时间(由pppoe-server access-delay命令配置)对用户上线请求进行延迟响应。
如果管理员希望根据实际需要灵活指定用户MAC地址中的某一比特位作为判断奇偶MAC的依据,可配置本功能。
配置了MAC地址偏移值后,当设备收到PPPoE用户上线请求时,按照从低位向高位偏移原则,将用户MAC地址的第(offset-value+1)位作为偏移后的奇偶位来判断该用户MAC地址是奇数MAC还是偶数MAC,然后再根据奇偶MAC的延迟时间(由pppoe-server access-delay命令配置)对用户进行上线请求延迟响应。
例如,如图1-7所示,对于MAC地址为0012-3400-ABCD的PPPoE用户,缺省情况下,该用户MAC地址的奇偶位取值为1,为奇数MAC;假设配置的MAC地址偏移值为17bit,那么偏移后(从偏移前的奇偶位开始计算的第17+1=18位)该用户MAC地址的奇偶位取值为0,为偶数MAC。
图1-7 MAC地址偏移值计算示例
· 本功能需要与pppoe-server access-delay命令配合使用才有意义。在未配置pppoe-server access-delay命令的情况下,单独配置本功能没有意义,因该情况下不论配置的MAC地址偏移值是多少,设备都对PPPoE用户上线请求立即响应。
· 本功能配置后仅对新接入的PPPoE用户生效,对当前已在线PPPoE用户无影响。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置设备对PPPoE用户接入进行延迟响应时使用的MAC地址偏移值。
pppoe-server access-delay odd-even mac offset offset-value
缺省情况下,不对PPPoE用户的MAC地址做偏移匹配,以MAC地址的最低比特位(左高右低原则)判断奇偶MAC。
多次执行本命令,最后一次执行的命令生效。
在完成上述配置后,在任意视图下执行display命令可以显示PPPoE server配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令,可在PPPoE server端清除PPPoE会话。
表1-4 PPPoE server显示和维护
|
操作 |
命令 |
|
显示PPPoE静默功能的配置信息 |
display pppoe-server chasten configuration [ global | interface interface-type interface-number ] |
|
显示PPPoE协议报文防攻击表项的信息 |
(独立运行模式) display pppoe-server chasten per-interface [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) display pppoe-server chasten per-interface [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示PPPoE协议报文防攻击功能的配置信息 |
display pppoe-server chasten per-interface configuration [ interface interface-type interface-number ] |
|
显示静默功能检测到的PPPoE用户统计信息 |
(独立运行模式) display pppoe-server chasten statistics [ mac-address | option105 ] [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) display pppoe-server chasten statistics [ mac-address | option105 ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
显示被静默PPPoE用户的信息 |
(独立运行模式) display pppoe-server chasten user [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ slot slot-number ] [ verbose ] (IRF模式) display pppoe-server chasten user [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] [ verbose ] |
|
显示PPPoE的协商报文统计信息 |
(独立运行模式) display pppoe-server packet statistics [ slot slot-number ] (IRF模式) display pppoe-server packet statistics [ chassis chassis-number slot slot-number ] |
|
显示PPPoE会话的摘要信息 |
(独立运行模式) display pppoe-server session summary [ [ interface interface-type interface-number | slot slot-number ] | mac-address mac-address ] * (IRF模式) display pppoe-server session summary [ [ interface interface-type interface-number | chassis chassis-number slot slot-number ] | mac-address mac-address ] * |
|
显示被扼制的用户信息 |
(独立运行模式) display pppoe-server throttled-mac { slot slot-number | interface interface-type interface-number } (IRF模式) display pppoe-server throttled-mac { chassis chassis-number slot slot-number | interface interface-type interface-number } |
|
清除PPPoE会话 |
reset pppoe-server { all | [ interface interface-type interface-number | mac-address mac-address ] * | virtual-template number } |
|
清除PPPoE协议报文防攻击表项的相关信息 |
(独立运行模式) reset pppoe-server chasten per-interface [ packets ] [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) reset pppoe-server chasten per-interface [ packets ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
清除被静默PPPoE用户的相关信息 |
(独立运行模式) reset pppoe-server chasten user [ packets ] [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) reset pppoe-server chasten user [ packets ] [ mac-address [ mac-address ] | option105 [ circuit-id circuit-id ] [ remote-id remote-id ] ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
清除PPPoE的协商报文统计信息 |
(独立运行模式) reset pppoe-server packet statistics [ slot slot-number ] (IRF模式) reset pppoe-server packet statistics [ chassis chassis-number slot slot-number ] |
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过DHCPv4协议为Host分配IP地址。
图1-8 配置PPPoE server通过本地DHCP服务器为用户分配IPv4地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 启用DHCP服务。
[Router] dhcp enable
# 配置本地BAS IP地址池pool1。
[Router] ip pool pool1 bas local
[Router-ip-pool-pool1] gateway 1.1.1.1 24
[Router-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ip-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,Router通过DHCPv4协议为Host分配一个IP地址。
# 显示所有DHCP地址绑定信息。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
-
Host和Router A之间通过以太网接口相连,Router B为远端DHCP服务器。Host通过PPPoE接入Router A,Router A作为PPPoE server、DHCP中继向远端DHCP服务器申请IPv4地址和IPv6地址。
图1-9 PPPoE server通过远端DHCP服务器为双栈用户分配IP地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
(1) 配置Router A(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[RouterA-Virtual-Template1] undo ipv6 nd ra halt
[RouterA-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[RouterA-Virtual-Template1] ipv6 nd autoconfig other-flag
[RouterA-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterA-Ten-GigabitEthernet3/1/1] quit
# 启用DHCP服务。
[RouterA] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将IP地址1.1.1.1配置为禁用地址,并指定中继地址池对应的DHCP服务器地址。
[RouterA] ip pool pool1 bas remote
[RouterA-ip-pool-pool1] gateway 1.1.1.1 24
[RouterA-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterA-ip-pool-pool1] remote-server 10.1.1.1
[RouterA-ip-pool-pool1] quit
# 创建IPv6远端地址池pool2,指定匹配该地址池的DHCPv6客户端所在的网段地址,将IPv6地址1::1配置为禁止地址,并指定IPv6远端地址池对应的DHCP服务器地址。
[RouterA] ipv6 pool pool2
[RouterA-ipv6-pool-pool2] gateway-list 1::1
[RouterA-ipv6-pool-pool2] network 1::/64 export-route
[RouterA-ipv6-pool-pool2] forbidden-address 1::1
[RouterA-ipv6-pool-pool2] remote-server 10::1
[RouterA-ipv6-pool-pool2] quit
# 进入接口Ten-GigabitEthernet3/1/1视图。
[RouterA] interface ten-gigabitethernet 3/1/1
# 配置接口工作在中继模式。
[RouterA–Ten-GigabitEthernet3/1/1] dhcp select relay
[RouterA–Ten-GigabitEthernet3/1/1] ipv6 dhcp select relay
[RouterA–Ten-GigabitEthernet3/1/1] ipv6 dhcp relay release-agent
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[RouterA–Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消设备发布RA消息的抑制。
[RouterA–Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
[RouterA–Ten-GigabitEthernet3/1/1] quit
# 配置PPPoE用户。
[RouterA] local-user user1 class network
[RouterA-luser-network-user1] password simple 123456TESTplat&!
[RouterA-luser-network-user1] service-type ppp
[RouterA-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[RouterA] domain name dm1
[RouterA-isp-dm1] authentication ppp local
[RouterA-isp-dm1] accounting ppp local
[RouterA-isp-dm1] authorization ppp local
[RouterA-isp-dm1] authorization-attribute ip-pool pool1
[RouterA-isp-dm1] authorization-attribute ipv6-pool pool2
[RouterA-isp-dm1] quit
(2) 配置Router B(DHCP服务器)
¡ 配置IP地址池
# 启用DHCP服务。
<RouterB> system-view
[RouterB] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[RouterB] ip pool pool1
[RouterB-ip-pool-pool1] network 1.1.1.0 24
[RouterB-ip-pool-pool1] gateway-list 1.1.1.1
[RouterB-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterB-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterB-ip-pool-pool1] quit
# 配置到PPPoE server的缺省路由。
[RouterB] ip route-static 0.0.0.0 0 10.1.1.2
¡ 配置IPv6地址池
# 创建名称为pool2的IPv6地址池,配置为DHCP客户端分配的IPv6地址网段和DNS服务器地址。
[RouterB] ipv6 pool pool2
[RouterB-ipv6-pool-pool2] network 1::/64
[RouterB-ipv6-pool-pool2] dns-server 8::8
# 将IPv6地址1::1配置为禁止地址。
[RouterB-ipv6-pool-pool2] forbidden-address 1::1
[RouterB-ipv6-pool-pool2] quit
# 配置接口Ten-GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
[RouterB-Ten-GigabitEthernet3/1/1] quit
# 配置到PPPoE server的缺省路由。
[RouterB] ipv6 route-static :: 0 10::2
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入RouterA后,Host分配一个IPv4地址和一个IPv6地址。
[RouterA] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
1::2
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于授权前缀。
图1-10 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# (仅用于发布前缀网段路由)创建IPv6地址池并进入IPv6地址池视图,指定匹配该地址池的DHCPv6客户端所在的网段地址并发布网段路由。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] network 10::/64 export-route
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权IPv6前缀属性及DNS信息。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ipv6-prefix 10:: 64
[Router-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于ND前缀池。
图1-11 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置前缀池1,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[Router] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为pool1的IPv6地址池,并引用前缀池1。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] prefix-pool 1 export-route
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权ND前缀池及IPv6 DNS地址池信息。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ipv6-nd-prefix-pool pool1
[Router-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过DHCPv6协议为Host分配IPv6地址。
图1-12 配置PPPoE server通过IA_NA方式为用户分配IPv6地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[Router-Virtual-Template1] ipv6 nd autoconfig other-flag
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[Router-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 创建名称为pool1的IPv6地址池,配置IPv6地址池动态分配的地址网段为1::/32,分配的DNS服务器地址为8::8。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] network 1::/32 export-route
[Router-ipv6-pool-pool1] dns-server 8::8
# (可选)配置IPv6地址池按照接口ID动态分配IPv6地址。
当网络中存在使用Windows 7系统的拨号用户时,必须配置本功能。
[Router-ipv6-pool-pool1] address-alloc-mode interface-id
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ipv6-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,Router通过DHCPv6协议为Host分配一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::1
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE server通过DHCPv6协议给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-13 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
(1) 配置Router B(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
[RouterB-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[RouterB-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterB-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# 配置DHCPv6前缀池6,包含的前缀为20::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 20::/32 assign-len 42
# 创建名称为pool1的IPv6地址池,在地址池下引用前缀池6。
[RouterB] ipv6 pool pool1
[RouterB-ipv6-pool-pool1] prefix-pool 6 export-route
[RouterB-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ppp local
[RouterB-isp-dm1] accounting ppp local
[RouterB-isp-dm1] authorization ppp local
[RouterB-isp-dm1] authorization-attribute ipv6-pool pool1
[RouterB-isp-dm1] quit
(2) 配置Router A(PPPoE client)
· 本设备(本例中为Router B)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router B后,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration
20::/42 Auto(C) Jul 10 19:45:01 2019
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/42 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/42再分配给Host,Host用来生成IPv6全球单播地址。
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE server,Router C为远端DHCP服务器,并:
· IPv4:
¡ Router B作为DHCP中继向远端DHCP服务器为Router A申请IPv4地址。
· IPv6:
¡ Router B通过NDRA方式给Router A上的WAN口(本例为Dialer1)分配IPv6地址前缀,IPv6地址前缀来源于ND前缀池。
¡ Router B通过IA_PD方式给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-14 配置PPPoE server通过远端DHCPv4服务器+(NDRA+IA_PD)方式为双栈用户分配IP地址组网图
(1) 配置Router C(DHCP服务器)
# 启用DHCP服务。
<RouterC> system-view
[RouterC] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[RouterC] ip pool pool1
[RouterC-ip-pool-pool1] network 1.1.1.0 24
[RouterC-ip-pool-pool1] gateway-list 1.1.1.1
[RouterC-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterC-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterC-ip-pool-pool1] quit
# 配置到PPPoE server的缺省路由。
[RouterC] ip route-static 0.0.0.0 0 10.1.1.2
(2) 配置Router B(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
[RouterB-Virtual-Template1] quit
# 启用DHCP服务。
[RouterB] dhcp enable
# 创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将IP地址1.1.1.1配置为禁用地址,并指定中继地址池对应的DHCP服务器地址。
[RouterB] ip pool pool1 bas remote
[RouterB-ip-pool-pool1] gateway 1.1.1.1 24
[RouterB-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterB-ip-pool-pool1] remote-server 10.1.1.1
[RouterB-ip-pool-pool1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[RouterB-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv4中继模式。
[RouterB-Ten-GigabitEthernet3/1/1] dhcp select relay
# 配置接口工作在DHCPv6服务器模式。
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterB-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# (NDRA使用)配置DHCPv6前缀池1,包含的前缀为10::/32,分配的前缀长度为64,即前缀池1包含10::/64~10:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[RouterB] ipv6 dhcp prefix-pool 1 prefix 10::/32 assign-len 64
# 创建名称为ndra的IPv6地址池,并引用前缀池1。
[RouterB] ipv6 pool ndra
[RouterB-ipv6-pool-ndra] prefix-pool 1 export-route
[RouterB-ipv6-pool-ndra] quit
# (IA_PD使用)配置DHCPv6前缀池6,包含的前缀为20::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 20::/32 assign-len 42
# 创建名称为iapd的IPv6地址池,在地址池下引用前缀池6。
[RouterB] ipv6 pool iapd
[RouterB-ipv6-pool-iapd] prefix-pool 6 export-route
[RouterB-ipv6-pool-iapd] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权IP地址池、ND前缀池、IPv6 DNS地址和地址池属性。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ppp local
[RouterB-isp-dm1] accounting ppp local
[RouterB-isp-dm1] authorization ppp local
[RouterB-isp-dm1] authorization-attribute ip-pool pool1
[RouterB-isp-dm1] authorization-attribute ipv6-nd-prefix-pool ndra
[RouterB-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[RouterB-isp-dm1] authorization-attribute ipv6-pool iapd
[RouterB-isp-dm1] quit
(3) 配置Router A(PPPoE client)
· 本设备(本例中为Router B)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# (IPv4使用)配置Dialer1接口通过协商获取IPv4地址,Dialer1接口主动向对端请求DNS服务器地址,以及Dialer1接口可以被动地接收对端指定的DNS服务器地址。
[RouterA-Dialer1] ip address ppp-negotiate
[RouterA-Dialer1] ppp ipcp dns request
[RouterA-Dialer1] ppp ipcp dns admit-any
# (IPv4使用)配置直接使用Dialer1接口的IP地址对内网访问外网的IP流量进行地址转换。
[RouterA-Dialer1] nat outbound
# (NDRA使用)在Dialer1接口上开启无状态地址自动配置功能,使接口通过无状态自动配置方式生成全球单播地址。
[RouterA-Dialer1] ipv6 address auto
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 dialer 1
[RouterA] ipv6 route-static :: 0 dialer 1
# 启用DHCP服务。
[RouterA] dhcp enable
# 配置IP地址池pool1,以便为内网用户分配私网IPv4地址。
[RouterA] ip pool pool1
[RouterA-ip-pool-pool1] network 192.168.1.0 24
[RouterA-ip-pool-pool1] gateway-list 192.168.1.1
[RouterA-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.1.1配置为禁用地址。
[RouterA-ip-pool-pool1] forbidden-ip 192.168.1.1
[RouterA-ip-pool-pool1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置内网用户的IPv4网关地址。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] ip address 192.168.1.1 24
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router B后,Router B通过DHCPv4获取到一个IPv4地址,以及通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[RouterB] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: iapd
IPv6 prefix Type Lease expiration
20::/42 Auto(C) Jul 10 19:45:01 2019
Pool: ndra
IPv6 prefix Type Lease expiration
10::/64 Auto(C) Expires after 2100
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/42 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/42再分配给Host,Host用来生成IPv6全球单播地址。
Router A和Router B之间通过以太网接口相连,Router A通过PPPoE接入Router B,Router B作为PPPoE server,并:
· 通过IA_NA方式给Router A上的WAN口(本例为Dialer1)分配IPv6全球单播地址。
· 通过IA_PD方式给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-15 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
(1) 配置Router B(PPPoE server)
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<RouterB> system-view
[RouterB] interface virtual-template 1
[RouterB-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[RouterB-Virtual-Template1] undo ipv6 nd ra halt
[RouterB-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[RouterB-Virtual-Template1] ipv6 nd autoconfig other-flag
[RouterB-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[RouterB-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[RouterB-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[RouterB-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# (IA_PD使用)配置DHCPv6前缀池6,包含的前缀为20::/32,分配的前缀长度为42。
[RouterB] ipv6 dhcp prefix-pool 6 prefix 20::/32 assign-len 42
# 创建名称为pool1的IPv6地址池。
[RouterB] ipv6 pool pool1
# (IA_NA使用)配置IPv6地址池动态分配的地址网段为1::/32,分配的DNS服务器地址为8::8
[RouterB-ipv6-pool-pool1] network 1::/32
[RouterB-ipv6-pool-pool1] dns-server 8::8
# (IA_PD使用)在地址池下引用前缀池6。
[RouterB-ipv6-pool-pool1] prefix-pool 6 export-route
[RouterB-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[RouterB] local-user user1 class network
[RouterB-luser-network-user1] password simple 123456TESTplat&!
[RouterB-luser-network-user1] service-type ppp
[RouterB-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[RouterB] domain name dm1
[RouterB-isp-dm1] authentication ppp local
[RouterB-isp-dm1] accounting ppp local
[RouterB-isp-dm1] authorization ppp local
[RouterB-isp-dm1] authorization-attribute ipv6-pool pool1
[RouterB-isp-dm1] quit
(2) 配置Router A(PPPoE client)
· 本设备(本例中为Router B)仅支持作为PPPoE Server,不支持作为PPPoE Client。
· 担任PPPoE Client角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关PPPoE Client上配置的详细介绍,请参见担任PPPoE Client角色的设备的产品手册。
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被Router B以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# (IA_NA+IA_PD共用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router B后,Router B通过DHCPv6协议为Router A分配一个IPv6全球单播地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 XGE3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::1
# 显示DHCPv6前缀绑定信息。
[RouterB] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration
20::/42 Auto(C) Jul 10 19:45:01 2019
以上信息表示,Router B通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/42 Dynamic
以上信息表示,Router A从Router B获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/42再分配给Host,Host用来生成IPv6全球单播地址。
Host和Router之间通过以太网接口相连,Host通过PPPoE接入Router,Router作为PPPoE server通过DHCPv4协议为Host分配IPv4地址,通过DHCPv6协议为Host分配IPv6地址。
图1-16 配置PPPoE server通过本地DHCP服务器为双协议栈用户分配IP地址组网图
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[Router-Virtual-Template1] ipv6 nd autoconfig other-flag
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[Router-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 启用DHCPv4服务。
[Router] dhcp enable
# 配置本地BAS IP地址池pool1。
[Router] ip pool pool1 bas local
[Router-ip-pool-pool1] gateway 1.1.1.1 24
[Router-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] quit
# 创建名称为pool1的IPv6地址池,配置IPv6地址池动态分配的地址网段为1::/32,分配的DNS服务器地址为8::8。
[Router] ipv6 pool pool1
[Router-ipv6-pool-pool1] network 1::/32 export-route
[Router-ipv6-pool-pool1] dns-server 8::8
[Router-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ip-pool pool1
[Router-isp-dm1] authorization-attribute ipv6-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后, Host分配一个IPv4地址和一个IPv6地址。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
1::1
· 采用RADIUS作为认证、授权和计费服务器。本举例以Linux系统下的Free RADIUS服务器为例,说明RADIUS 服务器的基本配置。
· RADIUS服务器为PPPoE接入用户授权的IP地址池和VPN实例分别为pool1、vpn1。
· vpn1中的用户在服务器授权的IP地址池pool1中获取IP地址。
图1-17 PPPoE server为接入用户授权地址池和VPN配置组网图
启动PPPoE功能之前,需要首先配置MPLS L3VPN功能,通过为两端的VPN 1指定匹配的VPN Target,确保两端的VPN 1之间可以互通。本例仅介绍连接客户端的PE 1上接入认证的相关配置,其它配置请参考“MPLS配置指导”中的“MPLS L3VPN”。
(1) 配置RADIUS服务器
# 配置RADIUS客户端信息。
在clients.conf文件中增加如下信息:
client 10.1.1.1/24 {
secret = radius
}
以上信息表示:RADIUS客户端的IP地址为10.1.1.1,共享密钥为字符串radius。
# 配置合法用户信息。
在users文件中增加如下信息:
user1 Auth-Type == CHAP,User-Password := 123456TESTplat&!
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Pool = "pool1",
H3C-VPN-Instance = "vpn1",
以上信息表示:用户名为user1,用户密码为字符串123456TESTplat&!,授权VPN实例名称为vpn1,授权IP地址池名称为pool1。
(2) 配置Router A
¡ 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端,并使用ISP域dm1作为认证域。
<RouterA> system-view
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap domain dm1
[RouterA-Virtual-Template1] quit
# 启用DHCP服务。
[RouterA] dhcp enable
# 配置本地BAS IP地址池pool1。
[RouterA] ip pool pool1 bas local
[RouterA-ip-pool-pool1] vpn-instance vpn1
[RouterA-ip-pool-pool1] gateway 1.1.1.1 24
[RouterA-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterA-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterA-ip-pool-pool1] quit
# 在接口Ten-GigabitEthernet3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterA-Ten-GigabitEthernet3/1/1] quit
¡ 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[RouterA] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[RouterA-radius-rs1] primary authentication 10.1.1.2
[RouterA-radius-rs1] primary accounting 10.1.1.2
[RouterA-radius-rs1] key authentication simple radius
[RouterA-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[RouterA-radius-rs1] user-name-format without-domain
[RouterA-radius-rs1] quit
¡ 配置认证域
# 创建并进入名称为dm1的ISP域。
[RouterA] domain name dm1
# 配置ISP域使用的RADIUS方案rs1。
[RouterA-isp-dm1] authentication ppp radius-scheme rs1
[RouterA-isp-dm1] authorization ppp radius-scheme rs1
[RouterA-isp-dm1] accounting ppp radius-scheme rs1
[RouterA-isp-dm1] quit
用户认证通过后,在Host A上可以Ping通对端VPN1中的CE。
# 显示VPN1中DHCP地址绑定信息。
[RouterA] display dhcp server ip-in-use vpn-instance vpn1
IP address Client identifier/ Lease expiration Type
Hardware address
1.1.1.2 3030-3030-2e30-3030- Unlimited Auto(C)
662e-3030-3033-2d45-
7468-6572-6e65-74
Host手工配置了静态IPv4地址1.1.1.2/24,静态IPv6地址1::021B:21FF:FEA8:0949/64,静态IPv6 DNS服务器地址8::F85B:7EE1:1410:74C9,Host和Router之间通过以太网接口相连,Router作为PPPoE server。要求,允许Host使用手工配置的静态IP地址通过PPPoE方式接入Router。
图1-18 PPPoE静态双栈用户组网图
部分操作系统,例如Windows 7系统,如果DHCPv6客户端申请到的IPv6全球单播地址中的接口标识部分和该DHCPv6客户端链路本地地址中的接口标识部分不一致,Windows 7系统会认为这个IPv6全球单播地址不可用,DHCPv6客户端无法使用该地址作为报文源地址发送报文。因此,为确保功能正常,建议配置静态IPv6地址时将接口标识部分配置成和链路本地地址中的接口标识部分一致。例如,本例中,链路本地地址为FE80::021B:21FF:FEA8:0949,静态IPv6地址为1::021B:21FF:FEA8:0949。
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<Router> system-view
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain dm1
# 配置设备接受对端用户使用自行配置的静态IPv4地址和IPv6地址上线。
[Router-Virtual-Template1] ppp accept remote-ip-address
[Router-Virtual-Template1] ppp accept remote-ipv6-address
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1(目的是为了避免IPv6静态用户误采用NDRA方式上线)。
[Router-Virtual-Template1] undo ipv6 nd ra halt
[Router-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[Router-Virtual-Template1] quit
# 在Ten-GigabitEthernet3/1/1接口上配置本端自动生成IPv6链路本地地址。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 取消接口工作在DHCPv6服务器或者DHCPv6中继模式(目的是为了避免IPv6静态用户误采用IA_NA方式上线)。(缺省配置)
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 dhcp select
# 在Ten-GigabitEthernet3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 启用DHCPv4服务。
[Router] dhcp enable
# 配置本地BAS IP地址池pool1。
[Router] ip pool pool1 bas local
[Router-ip-pool-pool1] gateway 1.1.1.1 24
[Router-ip-pool-pool1] dns-list 8.8.8.8
# 将网关IP地址1.1.1.1和静态用户IP地址1.1.1.2配置为禁用地址。
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] forbidden-ip 1.1.1.2
[Router-ip-pool-pool1] quit
# 将静态用户IPv6地址1::021B:21FF:FEA8:0949配置为禁用地址。
[Router] ipv6 dhcp server forbidden-address 1::021B:21FF:FEA8:0949
# 配置PPPoE用户。
[Router] local-user user1 class network
[Router-luser-network-user1] password simple 123456TESTplat&!
[Router-luser-network-user1] service-type ppp
[Router-luser-network-user1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[Router] domain name dm1
[Router-isp-dm1] authentication ppp local
[Router-isp-dm1] accounting ppp local
[Router-isp-dm1] authorization ppp local
[Router-isp-dm1] authorization-attribute ip-pool pool1
[Router-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入Router后,通过下列命令查看可以查看到Host已使用手工设置的静态IP地址成功上线。
[Router] display access-user interface ten-gigabitethernet 3/1/1
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0xc XGE3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
1::021B:21FF:FEA8:0949
· 在转发与控制分离组网中,由CP和UP共同作为BRAS接入设备,对用户提供BRAS功能。
· 在转发与控制分离组网中,本设备仅支持作为UP,不支持作为CP。
· 担任CP角色的产品的不同版本的配置命令可能存在差异,本节CP上的配置仅供参考,有关CP上配置的详细介绍,请参见担任CP角色的设备的产品手册。
· 主机作为PPPoE client,运行PPPoE客户端拨号软件。
· CP设备通过DHCPv4协议为Host分配IPv4地址。
· BRAS设备需要支持PPPoE server的转发与控制分离,其中UP作为转发设备负责报文转发与流量控制等,CP作为控制设备负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。
图1-19 PPPoE server IPv4转发与控制分离组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置设备工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
a. 配置DHCP服务器
# 配置ODAP类型的IP地址池pool1。
<CP> system-view
[CP] ip pool pool1 odap
[CP-ip-pool-pool1] network 1.0.0.0 8 export-route
[CP-ip-pool-pool1] subnet mask-length 16
[CP-ip-pool-pool1] gateway 1.1.1.1 8
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] dns-list 8.8.8.8
[CP-ip-pool-pool1] quit
b. 配置本地用户
# 创建一个PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
c. 配置认证域
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] quit
d. 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
[CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,就能通过设备Router接入到Internet。Host的IP地址为CP所指定的地址。
# 显示CP上PPPoE接入用户的信息。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 1.0.0.1 0000-5e08-9d00 -/-
user1 PPPoE
-
· 主机作为PPPoE client,运行PPPoE客户端拨号软件。
· CP设备通过DHCPv4协议为Host分配IPv4地址,通过DHCPv6协议为Host分配IPv6地址。
· BRAS设备需要支持PPPoE server的转发与控制分离,其中UP作为转发设备负责报文转发与流量控制等,CP作为控制设备负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。
图1-20 PPPoE server IPv6转发与控制分离接入配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
a. 配置DHCP服务器
# 配置ODAP类型的IP地址池pool1。
<CP> system-view
[CP] ip pool pool1 odap
[CP-ip-pool-pool1] network 1.0.0.0 8 export-route
[CP-ip-pool-pool1] subnet mask-length 16
[CP-ip-pool-pool1] gateway 1.1.1.1 8
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] dns-list 8.8.8.8
[CP-ip-pool-pool1] quit
# 配置ODAP类型的IPv6地址池pool1。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] network 1::/32 export-route
[CP-ipv6-pool-pool1] dynamic address assign-length 64
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] dns-server 8::8
[CP-ipv6-pool-pool1] quit
# 配置远端接口Remote-XGE1024/3/1/1工作在DHCPv6服务器模式。
[CP] interface remote-xge 1024/3/1/1
[CP–Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[CP–Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP–Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
[CP–Remote-XGE1024/3/1/1] quit
b. 配置本地用户
# 创建一个PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
c. 配置认证域
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
d. 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 查看CP上的PPPoE用户在线信息。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x1 R-XGE1024/3/1/1 1.0.0.1 000c-29a6-b656 -/-
user1 PPPoE
1::2
· 主机作为PPPoE client,运行PPPoE客户端拨号软件。
· Router设备作为远端DHCP服务器,CP设备作为DHCP中继向远端DHCP服务器申请IPv4地址和IPv6地址。
· BRAS设备需要支持PPPoE server的转发与控制分离,其中UP作为转发设备负责报文转发与流量控制等,CP作为控制设备负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。
图1-21 PPPoE server IPv6转发与控制分离接入配置组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
a. 配置DHCP服务器
# 配置远端BAS IP地址池pool1。
<CP> system-view
[CP] ip pool pool1 bas remote
[CP-ip-pool-pool1] gateway 1.1.1.1 16
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] remote-server 13.1.1.1
[CP-ip-pool-pool1] binding up-id 1024
[CP-ip-pool-pool1] quit
# 配置远端BAS IPv6地址池pool1。
[CP] ipv6 pool pool1 bas remote
[CP-ipv6-pool-pool1] gateway-list 1::1
[CP-ipv6-pool-pool1] network 1::/64 export-route
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] remote-server 13::1
[CP-ipv6-pool-pool1] dhcpv6-relay source-address interface loopback 0
[CP-ipv6-pool-pool1] binding up-id 1024
[CP-ipv6-pool-pool1] quit
# 配置远端接口Remote-XGE1024/3/1/1工作在DHCP中继模式。
[CP] interface remote-xge 1024/3/1/1
[CP–Remote-XGE1024/3/1/1] dhcp select relay
[CP–Remote-XGE1024/3/1/1] ipv6 dhcp select relay
[CP–Remote-XGE1024/3/1/1] ipv6 dhcp relay release-agent
# 配置自动生成IPv6链路本地地址,该IPv6链路本地地址作为用户的网关。
[CP–Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP–Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
[CP–Remote-XGE1024/3/1/1] quit
b. 配置本地用户
# 创建一个PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
c. 配置认证域
# 在ISP域dm1下,配置域用户使用本地AAA方案,并授权地址池。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
d. 配置PPPoE server
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE server协议,并将该接口与虚拟模板接口1绑定。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
(3) 配置Router(DHCP服务器)
¡ 配置IP地址池
# 启用DHCP服务。
<Router> system-view
[Router] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[Router] ip pool pool1
[Router-ip-pool-pool1] network 1.1.0.0 16
[Router-ip-pool-pool1] gateway-list 1.1.1.1
[Router-ip-pool-pool1] dns-list 8.8.8.8
[Router-ip-pool-pool1] forbidden-ip 1.1.1.1
[Router-ip-pool-pool1] quit
# 配置到CP设备的缺省路由。
[Router] ip route-static 0.0.0.0 0 12.1.1.1
¡ 配置IPv6地址池
# 创建名称为pool2的IPv6地址池,配置为DHCP客户端分配的IPv6地址网段和DNS服务器地址。
[Router] ipv6 pool pool2
[Router-ipv6-pool-pool2] network 1::/64
[Router-ipv6-pool-pool2] dns-server 8::8
[Router-ipv6-pool-pool2] forbidden-address 1::1
[Router-ipv6-pool-pool2] quit
# 配置接口Ten-GigabitEthernet3/1/1工作在DHCPv6服务器模式。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ipv6 dhcp select server
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置到CP设备的缺省路由。
[Router] ipv6 route-static :: 0 12::1
# 查看CP上的PPPoE用户在线信息。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x1 R-XGE1024/3/1/1 1.1.0.1 000c-29a6-b656 -/-
user1 PPPoE
1::2
CP和UP作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于授权前缀。
图1-22 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# (仅用于发布前缀网段路由)配置本地BAS IPv6地址池pool1,指定匹配该地址池的DHCPv6客户端所在的网段地址并发布网段路由。
[CP] ipv6 pool pool1 bas local
[CP-ipv6-pool-pool1] network 10::/64 export-route
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权IPv6前缀属性及DNS信息。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-prefix 10:: 64
[CP-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[CP-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
CP和UP作为PPPoE server通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于ND前缀池。
图1-23 配置PPPoE server通过NDRA方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 配置前缀池1,包含的前缀为10::/16,分配的前缀长度为32,即前缀池1包含10::/32~10:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 1 prefix 10::/16 assign-len 32
# 配置ODAP类型的IPv6地址池pool1,并引用前缀池1,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] prefix-pool 1
[CP-ipv6-pool-pool1] dynamic prefix assign-length 64
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置域用户使用本地AAA方案,为用户授权ND前缀池及IPv6 DNS地址池信息。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-nd-prefix-pool pool1
[CP-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[CP-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
Host和Router之间通过以太网接口相连,Host通过PPPoE接入PPPoE server,CP和UP作为PPPoE server通过DHCPv6协议为Host分配IPv6地址。
图1-24 配置PPPoE server通过IA_NA方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 配置ODAP类型的IPv6地址池pool1。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] network 1::/32 export-route
[CP-ipv6-pool-pool1] dynamic address assign-length 64
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] dns-server 8::8
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
[CP-isp-dm1] quit
配置完成后,当Host使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv6协议为Host分配一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::2
Router作为PPPoE client,并通过PPPoE接入PPPoE server。
CP和UP作为PPPoE server通过DHCPv6协议给Router分配代理前缀,Router再通过代理前缀给下面的主机分配IPv6地址。
图1-25 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# 配置前缀池6,包含的前缀为20::/16,分配的前缀长度为32,即前缀池6包含20::/32~20:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 6 prefix 20::/16 assign-len 32
# 配置ODAP类型的IPv6地址池pool1,并引用前缀池6,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool pool1 odap
[CP-ipv6-pool-pool1] prefix-pool 6
[CP-ipv6-pool-pool1] dynamic prefix assign-length 64
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
(3) 配置Router(PPPoE client)
# 在Dialer1接口上开启共享DDR。
<Router> system-view
[Router] interface dialer 1
[Router-Dialer1] dialer bundle enable
# 配置Router被CP设备以CHAP方式认证时Router发送的CHAP用户名和密码。
[Router-Dialer1] ppp chap user user1
[Router-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[Router-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[Router-Dialer1] dialer timer autodial 60
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[Router-Dialer1] ipv6 address dhcp-alloc
# 配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[Router-Dialer1] ipv6 dhcp client pd 1
[Router-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[Router] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[Router-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[Router-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv6协议为Router分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[CP] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/32 Auto(C) Expires after 2100 31303234
Slot 97:
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/64 Auto(C) Expires after 2100 0540c4d7310107
以上信息表示,CP通过DHCPv6协议为Router分配一个代理前缀。
# 显示Router上创建的IPv6前缀信息。
[Router] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router从CP获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router把分配到的代理前缀20::/64再分配给Host,Host用来生成IPv6全球单播地址。
Router A和PPPoE server之间通过以太网接口相连,Router A作为PPPoE client,并通过PPPoE接入PPPoE server,CP和UP作为PPPoE server,并:
· IPv4:
¡ Router C为远端DHCP服务器。Router A通过PPPoE接入PPPoE server,PPPoE server同时作为DHCP中继向远端DHCP服务器申请IPv4地址。
· IPv6:
¡ 通过NDRA方式给Router A上的WAN口(本例为Dialer1)分配IPv6地址前缀,IPv6地址前缀来源于ND前缀池。
¡ 通过IA_PD方式给Router A分配代理前缀,Router A再通过代理前缀给下面的主机分配IPv6地址。
图1-26 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置Router C(DHCP服务器)
# 启用DHCP服务。
<RouterC> system-view
[RouterC] dhcp enable
# 创建IP地址池pool1,配置为DHCP客户端分配的IP地址网段、网关地址和DNS服务器地址。
[RouterC] ip pool pool1
[RouterC-ip-pool-pool1] network 1.1.1.0 24
[RouterC-ip-pool-pool1] gateway-list 1.1.1.1
[RouterC-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址1.1.1.1配置为禁用地址。
[RouterC-ip-pool-pool1] forbidden-ip 1.1.1.1
[RouterC-ip-pool-pool1] quit
# 配置到PPPoE server的缺省路由。
[RouterC] ip route-static 0.0.0.0 0 13.1.1.2
(2) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(3) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv4中继模式。
[CP-Remote-XGE1024/3/1/1] dhcp select relay
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# (DHCPv4使用)创建远端BAS IP地址池pool1,指定匹配该地址池的DHCPv4客户端所在的网段地址,将IP地址1.1.1.1配置为禁用地址,并指定中继地址池对应的DHCP服务器地址。
[CP] ip pool pool1 bas remote
[CP-ip-pool-pool1] gateway 1.1.1.1 24
[CP-ip-pool-pool1] forbidden-ip 1.1.1.1
[CP-ip-pool-pool1] remote-server 10.1.1.1
[CP-ip-pool-pool1] quit
# (NDRA使用)配置前缀池1,包含的前缀为10::/16,分配的前缀长度为32,即前缀池1包含10::/32~10:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 1 prefix 10::/16 assign-len 32
# 配置ODAP类型的IPv6地址池ndra,并引用前缀池1,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool ndra odap
[CP-ipv6-pool-ndra] prefix-pool 1
[CP-ipv6-pool-ndra] dynamic prefix assign-length 64
[CP-ipv6-pool-ndra] quit
# (IA_PD使用)配置前缀池6,包含的前缀为20::/16,分配的前缀长度为32,即前缀池6包含20::/32~20:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 6 prefix 20::/16 assign-len 32
# 配置ODAP类型的IPv6地址池iapd,并引用前缀池6,指定分配的IPv6前缀段的前缀长度为64。
[CP] ipv6 pool iapd odap
[CP-ipv6-pool-iapd] prefix-pool 6
[CP-ipv6-pool-iapd] dynamic prefix assign-length 64
[CP-ipv6-pool-iapd] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权IP地址池、ND前缀池、IPv6 DNS地址和地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ip-pool pool1
[CP-isp-dm1] authorization-attribute ipv6-nd-prefix-pool ndra
[CP-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[CP-isp-dm1] authorization-attribute ipv6-pool iapd
(4) 配置Router A(PPPoE client)
# 在Dialer1接口上开启共享DDR。
<RouterA> system-view
[RouterA] interface dialer 1
[RouterA-Dialer1] dialer bundle enable
# 配置Router A被CP以CHAP方式认证时Router A发送的CHAP用户名和密码。
[RouterA-Dialer1] ppp chap user user1
[RouterA-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[RouterA-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[RouterA-Dialer1] dialer timer autodial 60
# (IPv4使用)配置Dialer1接口通过协商获取IP地址,Dialer1接口主动向对端请求DNS服务器地址,以及Dialer1接口可以被动地接收对端指定的DNS服务器地址。
[RouterA-Dialer1] ip address ppp-negotiate
[RouterA-Dialer1] ppp ipcp dns request
[RouterA-Dialer1] ppp ipcp dns admit-any
# (IPv4使用)配置直接使用Dialer1接口的IP地址对内网访问外网的IP流量进行地址转换。
[RouterA-Dialer1] nat outbound
# (NDRA使用)在Dialer1接口上开启无状态地址自动配置功能,使接口通过无状态自动配置方式生成全球单播地址。
[RouterA-Dialer1] ipv6 address auto
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[RouterA-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[RouterA-Dialer1] ipv6 dhcp client pd 1
[RouterA-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 dialer 1
[RouterA] ipv6 route-static :: 0 dialer 1
# 启用DHCP服务。
[RouterA] dhcp enable
# 配置IP地址池pool1。
[RouterA] ip pool pool1
[RouterA-ip-pool-pool1] network 192.168.1.0 24
[RouterA-ip-pool-pool1] gateway-list 192.168.1.1
[RouterA-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.1.1配置为禁用地址。
[RouterA-ip-pool-pool1] forbidden-ip 192.168.1.1
[RouterA-ip-pool-pool1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置内网用户的IPv4网关地址。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] ip address 192.168.1.1 24
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[RouterA-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router A下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[RouterA-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[RouterA-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router A使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv4获取到一个IPv4地址,以及通过授权的IPv6前缀和IPv6CP协商获取的IPv6接口标识就自动生成一个IPv6全球单播地址。
[CP] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x6 R-XGE1024/3/1/1 1.1.1.2 001b-21a8-0949 -/-
user1 PPPoE
10::F85B:7EE1:1410:74C9
CP通过DHCPv6协议为Router A分配一个代理前缀。
# 显示DHCPv6前缀绑定信息。
[CP] display ipv6 dhcp server pd-in-use
Pool: iapd
IPv6 prefix Type Lease expiration DUID
20::/32 Auto(C) Expires after 2100 31303234
Pool: ndra
IPv6 prefix Type Lease expiration DUID
10::/32 Auto(C) Expires after 2100 31303234
Slot 97:
Pool: iapd
IPv6 prefix Type Lease expiration DUID
20::/64 Auto(C) Expires after 2100 0540c4d7310107
Pool: ndra
IPv6 prefix Type Lease expiration DUID
10::/64 Auto(C) Expires after 2100 0640c4d7310107
以上信息表示,CP通过DHCPv6协议为Router A分配一个代理前缀。
# 显示Router A上创建的IPv6前缀信息。
[RouterA] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router A从CP获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router A把分配到的代理前缀20::/64再分配给Host,Host用来生成IPv6全球单播地址。
Router和PPPoE server之间通过以太网接口相连,Router通过PPPoE接入CP,PPPoE server作为PPPoE server,并:
· 通过IA_NA方式给Router上的WAN口(本例为Dialer1)分配IPv6全球单播地址。
· 通过IA_PD方式给Router分配代理前缀,Router再通过代理前缀给下面的主机分配IPv6地址。
图1-27 配置PPPoE server通过IA_PD方式为用户分配IPv6地址组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置UP
# 配置UP工作在转发模式。
<UP> system-view
[UP] work-mode user-plane
(2) 配置CP
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
<CP> system-view
[CP] interface virtual-template 1
[CP-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址,配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
[CP-Virtual-Template1] undo ipv6 nd ra halt
[CP-Virtual-Template1] ipv6 nd autoconfig managed-address-flag
[CP-Virtual-Template1] ipv6 nd autoconfig other-flag
[CP-Virtual-Template1] quit
# 在Remote-XGE1024/3/1/1接口上配置本端自动生成IPv6链路本地地址。
[CP] interface remote-xge 1024/3/1/1
[CP-Remote-XGE1024/3/1/1] ipv6 address auto link-local
# 取消对RA消息发布的抑制。
[CP-Remote-XGE1024/3/1/1] undo ipv6 nd ra halt
# 配置接口工作在DHCPv6服务器模式。
[CP-Remote-XGE1024/3/1/1] ipv6 dhcp select server
# 在Remote-XGE1024/3/1/1接口上启用PPPoE server协议,将该以太网接口与虚拟模板接口1绑定。
[CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[CP-Remote-XGE1024/3/1/1] quit
# (IA_PD使用)配置前缀池6,包含的前缀为20::/16,分配的前缀长度为32,即前缀池6包含20::/32~20:FFFF::/32范围内的65536个前缀。
[CP] ipv6 dhcp prefix-pool 6 prefix 20::/16 assign-len 32
# 配置ODAP类型的IPv6地址池pool1。
[CP] ipv6 pool pool1 odap
# (IA_NA使用)配置IPv6地址池动态分配的地址网段为1::/32,指定分配的IPv6地址的前缀长度为64,禁止分配IPv6地址为1::1,分配的DNS服务器地址为8::8。
[CP-ipv6-pool-pool1] network 1::/32 export-route
[CP-ipv6-pool-pool1] dynamic address assign-length 64
[CP-ipv6-pool-pool1] forbidden-address 1::1
[CP-ipv6-pool-pool1] dns-server 8::8
# (IA_PD使用)在地址池下引用前缀池6,并指定分配的IPv6前缀段的前缀长度为64。
[CP-ipv6-pool-pool1] prefix-pool 6
[CP-ipv6-pool-pool1] dynamic prefix assign-length 64
[CP-ipv6-pool-pool1] quit
# 配置PPPoE用户。
[CP] local-user user1 class network
[CP-luser-network-user1] password simple 123456TESTplat&!
[CP-luser-network-user1] service-type ppp
[CP-luser-network-user1] quit
# 在ISP域下配置使用本地AAA方案,并为用户授权地址池属性。
[CP] domain name dm1
[CP-isp-dm1] authentication ppp local
[CP-isp-dm1] accounting ppp local
[CP-isp-dm1] authorization ppp local
[CP-isp-dm1] authorization-attribute ipv6-pool pool1
(3) 配置Router(PPPoE client)
# 在Dialer1接口上开启共享DDR。
<Router> system-view
[Router] interface dialer 1
[Router-Dialer1] dialer bundle enable
# 配置Router被CP以CHAP方式认证时Router发送的CHAP用户名和密码。
[Router-Dialer1] ppp chap user user1
[Router-Dialer1] ppp chap password simple 123456TESTplat&!
# 配置PPPoE client工作在永久在线模式。
[Router-Dialer1] dialer timer idle 0
# 配置DDR自动拨号的间隔时间为60秒。
[Router-Dialer1] dialer timer autodial 60
# (IA_NA+IA_PD共用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
[Router-Dialer1] ipv6 address dhcp-alloc
# (IA_PD使用)配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀。
[Router-Dialer1] ipv6 dhcp client pd 1
[Router-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] pppoe-client dial-bundle-number 1
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置缺省路由。
[Router] ipv6 route-static :: 0 dialer 1
# 接口Ten-GigabitEthernet3/1/1上取消对RA消息发布的抑制。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] undo ipv6 nd ra halt
# 在接口Ten-GigabitEthernet3/1/1上配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成自己的IPv6地址20::123:1:1(Router下连用户需要将该地址设置为自己的网关地址),并将编号为1的IPv6前缀通过RA报文分配给终端设备。
[Router-Ten-GigabitEthernet3/1/1] ipv6 address 1 123::123:1:1/64
[Router-Ten-GigabitEthernet3/1/1] quit
配置完成后,当Router使用用户名user1、密码123456TESTplat&!,通过PPPoE接入CP后,CP通过DHCPv6协议为Router分配一个IPv6全球单播地址。
[Router] display access-user interface remote-xge 1024/3/1/1
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x9 R-XGE1024/3/1/1 - 001b-21a8-0949 -/-
user1 PPPoE
1::2
# 显示DHCPv6前缀绑定信息。
[CP] display ipv6 dhcp server pd-in-use
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/32 Auto(C) Expires after 2100 31303234
Slot 97:
Pool: pool1
IPv6 prefix Type Lease expiration DUID
20::/64 Auto(C) Expires after 2100 0540c4d7310107
以上信息表示,CP通过DHCPv6协议为Router分配一个代理前缀。
# 显示Router上创建的IPv6前缀信息。
[Router] display ipv6 prefix
Number Prefix Type
1 20::/64 Dynamic
以上信息表示,Router从CP获取到代理前缀后,已根据ipv6 dhcp client pd 1配置创建了编号为1的IPv6前缀。
Router把分配到的代理前缀20::/64再分配给Host,Host用来生成IPv6全球单播地址。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
