NESTA PÁGINA
Configuração de um perfil dinâmico de PPPoE para uso com NDRA em uma rede de pilha dupla
Configurando uma interface lógica de PPPoE estática para NDRA
Configuração de um pool de atribuição de endereços usado para anúncios de roteadores
Configuração de proteção de prefixo IPv6 duplicada para anúncio de roteador
Exemplo: configurar uma pilha dupla que usa ND/RA sobre PPPoE
Exemplo: configurar uma pilha dupla que usa a delegação de prefixo ND/RA e DHCPv6 sobre PPPoE
Configuração de assinantes acionados por pacotes usando interfaces de IP demux em perfis dinâmicos
Pilha dupla para redes de acesso PPPoE usando NDRA
Configuração de um perfil dinâmico de PPPoE para uso com NDRA em uma rede de pilha dupla
Configure um perfil dinâmico para assinantes IPv4 e IPv6 PPPoE que acessam a rede. O perfil dinâmico define os atributos da interface dinâmica de assinantes lógicos do PPPoE.
Esse perfil dinâmico é para configurações que usam a NDRA para atribuir um endereço IP global ao link CPE WAN.
Para configurar um perfil dinâmico de PPPoE para NDRA:
Veja também
Configurando uma interface lógica de PPPoE estática para NDRA
Para configurar uma interface lógica PPPoE estática para configurações estáticas de NDRA:
Veja também
Configuração de um pool de atribuição de endereços usado para anúncios de roteadores
Se você estiver usando pools locais de atribuição de endereços para serem usados para anúncios de roteadores, crie um pool e adicione prefixos IPv6 ao pool.
Você deve configurar pools separados para a delegação de prefixo DHCPv6, IA_NA DHCPv6 e anúncio de roteador.
Para configurar um pool de atribuição de endereços NDRA.
Veja também
Configuração de proteção de prefixo IPv6 duplicada para anúncio de roteador
Se você estiver usando AAA para fornecer prefixos IPv6 para anúncio de roteador, você pode ativar a proteção de prefixo duplicado para evitar que prefixos sejam usados mais de uma vez. Se habilitados, os seguintes atributos recebidos de servidores externos são verificados:
Framed-IPv6-Prefix
Framed-IPv6-Pool
Em seguida, o roteador toma uma das seguintes ações:
Se um prefixo corresponde a um prefixo em um pool de endereços, o prefixo é retirado do pool se estiver disponível.
Se o prefixo já estiver em uso, ele será rejeitado como indisponível.
Se o comprimento do prefixo solicitado do servidor externo não corresponder exatamente ao comprimento do prefixo do pool, a solicitação de autenticação é negada. Se configurada, a mensagem Acct-Stop incluirá uma causa de encerramento.
Para configurar a proteção de prefixo duplicada:
Veja também
Configuração do endereço IPv6 link-local para interfaces dinâmicas de demux em interfaces estáticas de Demux VLAN
Quando você está usando o anúncio do roteador para assinantes IPv6 em interfaces dinâmicas de demux que passam por interfaces de demux estáticas subjacentes, ambas as interfaces devem usar o mesmo endereço local do link.
O endereço local do link deve ser atribuído usando um identificador de interface IPv6 exclusivo de 64 Bits (EUI-64), obtido com base no endereço MAC da interface subjacente.
Fazer com que o sistema implemente o endereço local de enlace com base no endereço MAC da interface subjacente e cumpra com o Identificador Exclusivo Estendido de 64 bits (EUI-64):
Exemplo: configurar uma pilha dupla que usa ND/RA sobre PPPoE
Este exemplo mostra uma configuração de pilha dupla para um assinante residencial com um único PC. Ele usa ND/RA para fornecer um prefixo usado para obter um endereço IPv6 global para o PC.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Roteador de borda universal 3D da Série MX
Junos OS Versão 11.4 ou posterior
Visão geral
Este design usa ND/RA em sua rede de acesso ao assinante da seguinte forma:
A rede de acesso é PPPoE.
ND/RA é usado para atribuir um endereço IPv6 global no link WAN. Os prefixos usados em anúncios de roteador vêm de um pool local especificado usando AAA RADIUS.
Topologia
A Tabela 1 descreve os componentes de configuração usados neste exemplo.
Componente de configuração |
Nome do componente |
Propósito |
|---|---|---|
Perfis dinâmicos |
DS-dyn-ipv4v6-ndra |
Perfil que cria uma interface lógica PPPoE quando o assinante faz login. |
Interfaces |
ge-3/3/0 |
Interface Ethernet subjacente. |
lo0 |
Interface de loopback para uso na rede de acesso. A interface de loopback é usada automaticamente para interfaces não numeradas. |
|
Pools de atribuição de endereços |
ipv4-pool-2 padrão |
Pool que fornece endereços IPv4 para a LAN de assinantes. |
ndra-2010 |
Pool que fornece prefixos IPv6 usados em anúncios de roteador. Esses prefixos são usados para criar um endereço IPv6 global que é atribuído ao enlace CPE WAN. |
Configuração
Para configurar este exemplo, realize essas tarefas:
- Configuração rápida de CLI
- Configuração de um perfil dinâmico para a interface lógica do PPPoE
- Configuração de uma interface de loopback
- Configuração de uma interface Ethernet subjacente estática para interfaces dinâmicas de assinantes de PPPoE
- Especificando o endereço IP BNG
- Configuração do acesso do servidor RADIUS
- Configuração do perfil de acesso do servidor RADIUS
- Especificando o perfil de acesso do servidor RADIUS para usar
- Configuração de pools locais de atribuição de endereços
Configuração rápida de CLI
A seguir, a configuração completa para este exemplo:
dynamic-profiles {
DS-dyn-ipv4v6-ra {
interfaces {
pp0 {
unit "$junos-interface-unit" {
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
unnumbered-address lo0.0;
}
family inet6 {
address $junos-ipv6-address;
}
}
}
}
protocols {
router-advertisement {
interface "$junos-interface-name" {
prefix $junos-ipv6-ndra-prefix;
}
}
}
}
}
system {
services {
dhcp-local-server {
dhcpv6 {
group DHCPv6-over-pppoe {
interface pp0.0;
}
}
}
}
}
access-profile Access-Profile;
interfaces {
ge-3/3/0 {
unit 1004 {
description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd";
encapsulation ppp-over-ether;
vlan-id 1004;
pppoe-underlying-options {
duplicate-protection;
dynamic-profile DS-dyn-ipv4v6-ra;
}
}
}
lo0 {
description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd";
unit 0 {
family inet {
address 192.0.2.77/32 {
primary;
}
}
family inet6 {
address 2001:db8:2030:0:0:0::1/64 {
primary;
}
}
}
}
}
routing-options {
router-id 203.0.113.0;
}
access {
radius-server {
203.0.113.99 {
secret "$ABC123$ABC123ABC123"; ## SECRET-DATA
timeout 45;
retry 4;
source-address 203.0.113.1;
}
}
profile Access-Profile {
authentication-order radius;
radius {
authentication-server 203.0.113.99;
accounting-server 203.0.113.99;
}
accounting {
order [ radius none ];
update-interval 120;
statistics volume-time;
}
}
address-assignment {
neighbor-discovery-router-advertisement ndra-2010;
pool default-ipv4-pool-2 {
family inet {
network 203.0.113.10/16;
range r5 {
low 203.0.113.11;
high 203.0.113.150;
}
}
}
pool ndra-2010 {
family inet6 {
prefix 2001:db8:2010:0:0:0::/48;
range L prefix-length 64;
}
}
}
address-protection;
}
Configuração de um perfil dinâmico para a interface lógica do PPPoE
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit dynamic-profiles DS-dyn-ipv4v6-ra edit interfaces pp0 unit $junos-interface-unit set family inet unnumbered-address lo0.0 set family inet6 address $junos-ipv6-address set pppoe-options underlying-interface "$junos-underlying-interface" set pppoe-options server set ppp-options pap set ppp-options chap set keepalives interval 30 up 3 edit protocols router-advertisement edit interface $junos-interface-name set prefix $junos-ipv6-ndra-prefix
Procedimento passo a passo
Crie um perfil dinâmico para a interface lógica do PPPoE. Esse perfil dinâmico oferece suporte a sessões IPv4 e IPv6 na mesma interface lógica.
Para configurar o perfil dinâmico:
Crie e nomeie o perfil dinâmico.
[edit] user@host# edit dynamic-profiles DS-dyn-ipv4v6-ra
Configure uma interface lógica PPPoE (pp0) usada para criar interfaces lógicos de PPPoE para os assinantes IPv4 e IPv6.
[edit dynamic-profiles DS-dyn-ipv4v6-ra] user@host# edit interfaces pp0
Especifique
$junos-interface-unitcomo a variável predefinida para representar o número de unidade lógica para a interface pp0. A variável é substituída dinamicamente pelo número de unidade real fornecido pela rede quando o assinante faz login.[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0] user@host# edit unit $junos-interface-unit
Especifique
$junos-underlying-interfacecomo a variável predefinida para representar o nome da interface Ethernet subjacente na qual o roteador cria a interface lógica PPPoE dinâmica. A variável é substituída dinamicamente pelo nome real da interface subjacente fornecida pela rede quando o assinante faz login.[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set pppoe-options underlying-interface $junos-underlying-interface
Configure o roteador para atuar como um servidor PPPoE quando uma interface lógica PPPoE for criada dinamicamente.
[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set pppoe-options server
Configure a família IPv4 para a interface pp0. Especifique o endereço nãonumerado para criar interfaces de loopback dinamicamente.
[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set family inet unnumbered-address lo0.0
Configure a família IPv6 para a interface pp0. Como o exemplo usa anúncio de roteador, atribua a variável
$junos-ipv6-addresspredefinida.[edit dynamic-profilesDS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set family inet6 unnumbered-address $junos-ipv6-address
Configure um ou mais protocolos de autenticação de PPP para a interface pp0.
[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set ppp-options chap user@host# set ppp-options pap
Habilite keepalives e estabeleça um intervalo para keepalives. Recomendamos um intervalo de 30 segundos.
[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set keepalives interval 30
Acesse a configuração de anúncio do roteador.
[edit dynamic-profiles DS-dyn-ipv4v6-ra] user@host# edit protocols router-advertisement
Especifique a interface na qual a configuração ND/RA é aplicada.
[edit dynamic-profiles DS-dyn-ipv4v6-ra protocols router-advertisement] user@host# edit interface $junos-interface-name
Especifique um valor de prefixo contido em mensagens de anúncio de roteador enviadas ao CPE em interfaces criadas com este perfil dinâmico. Se você especificar a variável predefinida $junos-ipv6-ndra-predefinida, o valor real é obtido de um pool local ou por meio de AAA.
[edit dynamic-profiles DS-dyn-ipv4v6-ra protocols router-advertisement interface "$junos-interface-name"] user@host# set prefix $junos-ipv6-ndra-prefix
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit dynamic-profiles DS-dyn-ipv4v6-ra]
user@host# show
interfaces {
pp0 {
unit "$junos-interface-unit" {
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
unnumbered-address lo0.0;
}
family inet6 {
address $junos-ipv6-address;
}
}
}
}
protocols {
router-advertisement {
interface "$junos-interface-name" {
prefix $junos-ipv6-ndra-prefix;
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de uma interface de loopback
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit interfaces lo0 unit 0 set family inet address 192.0.2.77/32 primary set family inet6 address 2001:db8:2030:0:0::1/64 primary
Procedimento passo a passo
Para configurar uma interface de loopback:
Crie a interface de loopback e especifique um número de unidade.
[edit] user@host# edit interfaces lo0 unit 0
Configure a interface para IPv4.
[edit interfaces lo0 unit 0] user@host# set family inet address 192.0.2.77/32 primary
Configure a interface para IPv6.
[edit interfaces lo0 unit 0] user@host# set family inet6 address 2001:db8:2030:0:0::1/64 primary
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit interfaces lo0]
user@host# show
unit 0 {
family inet {
address 192.0.2.77/32 {
primary;
}
}
family inet6 {
address 2001:db8:2030:0:0::1/64 {
primary;
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de uma interface Ethernet subjacente estática para interfaces dinâmicas de assinantes de PPPoE
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit interfaces ge-3/3/0 unit 1004 set description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd" set encapsulation ppp-over-ether set vlan-id 1004 set pppoe-underlying-options duplicate-protection set pppoe-underlying-options dynamic-profile DS-dyn-ipv4v6-ra
Procedimento passo a passo
Para configurar a interface Ethernet subjacente:
Especifique o nome e o número de unidade lógica da interface Ethernet estática subjacente à qual você deseja anexar o perfil dinâmico IPv4 e IPv6.
[edit] user@host# edit interfaces ge-3/3/0 unit 1004
Configure uma descrição para a interface.
[edit interfaces ge-3/3/0 unit 1004] user@host# set description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd”
Configure o encapsulamento de PPPoE na interface subjacente.
[edit interfaces ge-3/3/0 unit 1004] user@host# set encapsulation ppp-over-ether
Configure o ID VLAN.
[edit interfaces ge-3/3/0 unit 1004] user@host# set vlan-id 1004
Anexe o perfil dinâmico à interface subjacente.
[edit interfaces ge-3/3/0 unit 1004] user@host# set pppoe-underlying-options dynamic-profile DS-dyn-ipv4v6-ra
(Opcional) Impeça que várias sessões de PPPoE sejam criadas para o mesmo assinante PPPoE na mesma interface VLAN.
[edit interfaces ge-3/3/0 unit 1004] user@host# set pppoe-underlying-options duplicate-protection
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit interfaces]
user@host# show
ge-3/3/0 {
unit 1004 {
description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd";
encapsulation ppp-over-ether;
vlan-id 1004;
pppoe-underlying-options {
duplicate-protection;
dynamic-profile DS-dyn-ipv4v6-ra;
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Especificando o endereço IP BNG
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit routing-options set router-id 203.0.113.0
Recomendamos fortemente que você configure o endereço IP BNG para evitar um comportamento imprevisível se o endereço da interface em uma interface de loopback mudar.
Procedimento passo a passo
Para configurar o endereço IP do BNG:
Acesse a configuração de opções de roteamento.
[edit] user@host# edit routing-options
Especifique o endereço IP ou o BNG.
[edit routing-options] user@host# set router-id 203.0.113.0
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit routing-options] user@host# show router-id 203.0.113.0;
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do acesso do servidor RADIUS
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit access radius-server 203.0.113.99 set secret "$ABC123$ABC123ABC123" set timeout 45 set retry 4 set source-address 203.0.113.1
Procedimento passo a passo
Para configurar servidores RADIUS:
Crie uma configuração de servidor RADIUS e especifique o endereço do servidor.
[edit] user@host# edit access radius-server 203.0.113.99
Configure a (senha) secreta necessária para o servidor. Segredos fechados entre aspas podem conter espaços.
[edit access radius-server 203.0.113.99] user@host# set secret "$ABC123$ABC123ABC123"
Configure o endereço de origem que o BNG usa quando envia solicitações RADIUS para o servidor RADIUS.
[edit access radius-server 203.0.113.99] user@host# set source address 203.0.113.1
(Opcional) Configure o número de vezes que o roteador tenta entrar em contato com um servidor de contabilidade RADIUS. Você pode configurar o roteador para tentar novamente de 1 a 16 vezes. A configuração padrão é de 3 tentativas de tentativas de remissão.
[edit access radius-server 203.0.113.99] user@host# set retry 4
(Opcional) Configure o tempo que o roteador ou switch local espera para receber uma resposta de um servidor RADIUS. Por padrão, o roteador ou switch espera 3 segundos. Você pode configurar o tempo limite para ser de 1 a 90 segundos.
[edit access radius-server 203.0.113.99] user@host# set timeout 45
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit access]
user@host# show
radius-server {
203.0.113.99 {
secret "$ABC123$ABC123ABC123"; ## SECRET-DATA
timeout 45;
retry 4;
source-address 203.0.113.1;
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do perfil de acesso do servidor RADIUS
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit access profile Access-Profile set authentication-order radius set radius authentication-server 203.0.113.99 set radius accounting-server 203.0.113.99 set accounting order radius set accounting order none set accounting update-interval 120 set accounting statistics volume-time
Procedimento passo a passo
Para configurar um perfil de acesso de servidor RADIUS:
Crie um perfil de acesso de servidor RADIUS.
[edit] user@host# edit access profile Access-Profile
Especifique a ordem em que os métodos de autenticação são usados.
[edit access profile Access-Profile] user@host# set authentication-order radius
Especifique o endereço do servidor RADIUS usado para autenticação e o servidor usado para contabilidade.
[edit access profile Access-Profile] user@host# set radius authentication-server 203.0.113.99 user@host# set radius accounting-server 203.0.113.99
Configure valores de contabilidade RADIUS para o perfil de acesso.
[edit access profile Access-Profile] user@host# set accounting order [ radius none ] user@host# set accounting update-interval 120 user@host# set accounting statistics volume-time
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit access]
user@host# show
profile Access-Profile {
authentication-order radius;
radius {
authentication-server 203.0.113.99;
accounting-server 203.0.113.99;
}
accounting {
order [ radius none ];
update-interval 120;
statistics volume-time;
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Especificando o perfil de acesso do servidor RADIUS para usar
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie o seguinte comando e cole-o no CLI no nível de [edit] hierarquia.
set access-profile Access-Profile
Procedimento passo a passo
Para especificar o perfil de acesso do servidor RADIUS a ser usado para autenticação:
Especifique o perfil de acesso.
[edit] user@host# set access-profile Access-Profile
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit] user@host# show ... access-profile Access-Profile; ...
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de pools locais de atribuição de endereços
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit access set address-assignment pool default-ipv4-pool-2 family inet network 203.0.113.10/16 set address-assignment pool default-ipv4-pool-2 family inet range r5 low 203.0.113.11 set address-assignment pool default-ipv4-pool-2 family inet range r5 high 203.0.113.150 set address-assignment pool ndra-2010 family inet6 prefix 2001:db8:2010:0:0:0::/48 set address-assignment pool ndra-2010 family inet6 range L prefix-length 64 set address-assignment neighbor-discovery-router-advertisement ndra-2010 set address-protection
Procedimento passo a passo
Configure três pools de atribuição de endereço para DHCPv4, delegação de prefixo DHCPv6 e ND/RA.
Para configurar os pools de atribuição de endereços:
Configure o pool de atribuição de endereços para DHCPv4.
[edit] user@host# edit access address-assignment pool default-ipv4-pool-2 user@host# edit family inet user@host# set network 203.0.113.10/16 user@host# set range r5 low 203.0.113.11 user@host# set range r5 high 203.0.113.150
Configure o pool de atribuição de endereços para ND/RA.
[edit] user@host# edit access address-assignment pool ndra-2010 user@host# edit family inet6 user@host# set prefix 2001:db8:2010:0:0:0::/48 user@host# set range L prefix-length 64
Especifique se o pool de atribuição de endereços é usado para NDRA.
[edit] user@host# edit access address-assignment user@host# set neighbor-discovery-router-advertisement ndra-2010
(Opcional) Habilite a proteção de prefixo duplicado.
[edit access] user@host# set address-protection
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit access]
user@host# show
address-assignment {
neighbor-discovery-router-advertisement ndra-2010;
pool default-ipv4-pool-2 {
family inet {
network 203.0.113.10/16;
range r5 {
low 203.0.113.11;
high 203.0.113.150;
}
}
}
pool ndra-2010 {
family inet6 {
prefix 2001:db8:2010:0:0:0::/48;
range L prefix-length 64;
}
}
}
address-protection;
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificação de sessões ativas de assinantes
- Verificando o endereço IPv4 e IPv6 em instância de roteamento correta
- Verificação de sessões dinâmicas de assinantes
- Verificando o pool de prefixo ND/RA e o comprimento do prefixo
- Verificando o status da interface lógica do PPPoE
- Verificação de anúncios de roteador
Verificação de sessões ativas de assinantes
Propósito
Verifique sessões ativas de assinantes.
Ação
A partir do modo operacional, entre no show subscribers summary comando.
user@host>show subscribers summary Subscribers by State Active: 2 Total: 2 Subscribers by Client Type DHCP: 1 PPPoE: 1 Total: 2
Significado
Os campos abaixo Subscribers by State mostram o número de assinantes ativos.
Os campos abaixo Subscribers by Client Type mostram o número de sessões ativas de assinantes DHCP e DHCPoE.
Verificando o endereço IPv4 e IPv6 em instância de roteamento correta
Propósito
Verifique se o assinante tem um endereço IPv4 e IPv6 e é colocado na instância de roteamento correta.
Ação
A partir do modo operacional, entre no show subscribers comando.
user@host>show subscribers Interface IP Address/VLAN ID User Name LS:RI pp0.1073741864 192.0.2.5 dual-stack-v4v6-pd default:default * 2001:db8:2010:0:0:8::/64 pp0.1073741864 2001:db8:2040:2000:2000:5::/64 default:default
Significado
O Interface campo mostra que existem duas sessões de assinantes em execução na mesma interface. O IP Address campo mostra que uma sessão é atribuída a um endereço IPv4, e uma sessão é atribuída no endereço IPv6.
O LS:RI campo mostra que o assinante é colocado na instância de roteamento correta e que o tráfego pode ser enviado e recebido.
Verificação de sessões dinâmicas de assinantes
Propósito
Verifique se a sessão dinâmica de assinantes está ativa, e o prefixo IPv6 obtido forma o pool ND/RA.
Ação
A partir do modo operacional, entre no show subscribers detail comando.
user@host>show subscribers detail Type: PPPoE User Name: dual-stack-v4v6-nas IP Address: 192.0.2.4 IP Netmask: 255.255.0.0 IPv6 User Prefix: 2001:db8:2010:0:0:6::/64 Logical System: default Routing Instance: default Interface: pp0.1073741859 Interface type: Dynamic Dynamic Profile Name: DS-dyn-ipv4v6-ra MAC Address: 00:00:5E:00:53:02 State: Active Radius Accounting ID: 81 Session ID: 81 Login Time: 2012-01-17 14:19:41 PST
Significado
O IPv6 User Prefix campo mostra o prefixo obtido do pool ND/RA. O State campo mostra que a sessão está ativa.
Verificando o pool de prefixo ND/RA e o comprimento do prefixo
Propósito
Verifique o pool usado para ND/RA e o comprimento do prefixo usado com o pool
Ação
A partir do modo operacional, entre no show subscribers extensive comando.
user@host>show subscribers extensive Type: PPPoE User Name: dual-stack-v4v6-nas IP Address: 192.0.2.4 IP Netmask: 255.255.0.0 IPv6 User Prefix: 2001:db8:2010:0:0:6::/64 Logical System: default Routing Instance: default Interface: pp0.1073741859 Interface type: Dynamic Dynamic Profile Name: DS-dyn-ipv4v6-ra MAC Address: 00:00:5E:00:53:02 State: Active Radius Accounting ID: 81 Session ID: 81 Login Time: 2012-01-17 14:19:41 PST IPv6 Delegated Address Pool: ndra-2010 IPv6 Delegated Network Prefix Length: 48 IPv6 Interface Address: 2001:db8:2010:0:0:6::1/64
Significado
Na sessão do PPPoE, o IPv6 Delegated Address Pool campo mostra o nome do pool usado para prefixos ND/RA. O IPv6 Delegated Network Prefix Length campo mostra o comprimento do prefixo usado para atribuir o endereço IPv6 para esta sessão de assinantes. O IPv6 Interface Address campo mostra o endereço IPv6 atribuído à interface CPE do pool ND/RA.
Verificando o status da interface lógica do PPPoE
Propósito
Exibir informações de status sobre a interface lógica do PPPoE (pp0).
Ação
A partir do modo operacional, entre no show interfaces pp0.logical comando.
user@host>show interfaces pp0.1073741859
Logical interface pp0.1073741859 (Index 388) (SNMP ifIndex 674)
Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPPoE
PPPoE:
State: SessionUp, Session ID: 10,
Session AC name: almach, Remote MAC address: 00:00:5E:00:53:02,
Underlying interface: ge-3/3/0.1004 (Index 354)
Bandwidth: 1000mbps
Input packets : 15
Output packets: 44
Keepalive settings: Interval 30 seconds, Up-count 1, Down-count 3
LCP state: Opened
NCP state: inet: Opened, inet6: Opened, iso: Not-configured, mpls: Not-configured
CHAP state: Closed
PAP state: Success
Protocol inet, MTU: 65531
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Primary
Local: 192.0.2.77
Protocol inet6, MTU: 65531
Addresses, Flags: Is-Preferred Is-Primary
Destination: 2001:db8:2010:0:0:6::/64, Local: 2001:db8:2010:0:0:6::1
Local: fe80::2a0:a50f:fc63:a842
Significado
O Local campo abaixo Protocol inet mostra o endereço IPv4 da interface pp0. Este é o endereço IPv4 configurado para a interface de loopback.
O Destination campo abaixo Protocol inet6 mostra o endereço IPv6 obtido por meio de ND/RA. Esse é o valor da $junos-ipv6-ndra-prefix variável configurada no perfil dinâmico.
O Local campo abaixo Protocol inet6 mostra o valor da $junos-ipv6-address variável configurada para inet6 familiar na configuração pp0 do perfil dinâmico.
Verificação de anúncios de roteador
Propósito
Verifique se anúncios de roteador estão sendo enviados e solicitações de roteador estão sendo recebidas.
Ação
A partir do modo operacional, entre no show ipv6 router-advertisement comando.
user@host>show ipv6 router-advertisement Interface: pp0.1073741859 Advertisements sent: 3, last sent 00:09:53 ago Solicits received: 0 Advertisements received: 0
Se você tiver um grande número de interfaces de assinantes, você pode exibir anúncios de roteador para uma interface específica.
user@host>show ipv6 router-advertisement interface pp0.1073741859 Interface: pp0.1073741859 Advertisements sent: 3, last sent 00:10:31 ago Solicits received: 0 Advertisements received: 0
Significado
O display mostra o número de anúncios que o roteador enviou, o número de solicitações e anúncios que o roteador recebeu.
Exemplo: configurar uma pilha dupla que usa a delegação de prefixo ND/RA e DHCPv6 sobre PPPoE
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Roteador de borda universal 3D da Série MX
Junos OS Versão 11.4 ou posterior
Visão geral
Este projeto usa a delegação de prefixo ND/RA e DHCPv6 em sua rede de acesso ao assinante da seguinte forma:
A rede de acesso é PPPoE.
ND/RA é usado para atribuir um endereço IPv6 global no link WAN. Os prefixos usados em anúncios de roteador vêm de um pool local especificado usando AAA RADIUS.
A delegação de prefixo DHCPv6 é usada para endereçamento de LAN de assinantes. Ele usou um prefixo delegado de um pool local especificado usando AAA RADIUS.
O DHCPv4 é usado para endereçamento lan para assinantes.
As sessões de assinantes do DHCPv6 são colocadas em camadas em uma sessão de assinantes de PPPoE subjacente.
Topologia
A Tabela 2 descreve os componentes de configuração usados neste exemplo.
Componente de configuração |
Nome do componente |
Propósito |
|---|---|---|
Perfis dinâmicos |
DS-dyn-ipv4v6-ndra |
Perfil que cria uma interface lógica PPPoE quando o assinante faz login. |
Interfaces |
ge-3/3/0 |
Interface Ethernet subjacente. |
lo0 |
Interface de loopback para uso na rede de acesso. A interface de loopback é usada automaticamente para interfaces não numeradas. |
|
Pools de atribuição de endereços |
ipv4-pool-2 padrão |
Pool que fornece endereços IPv4 para a LAN de assinantes. |
ndra-2010 |
Pool que fornece prefixos IPv6 usados em anúncios de roteador. Esses prefixos são usados para criar um endereço IPv6 global que é atribuído ao enlace CPE WAN. |
|
dhcpv6-pd-pool |
Pool que fornece um pool de prefixos que são delegados ao CPE e são usados para atribuir endereços globais IPv6 na LAN de assinantes. |
Configuração
- Configuração rápida de CLI
- Configuração de um servidor local DHCPv6 para DHCPv6 por PPPoE
- Configuração de um perfil dinâmico para a interface lógica do PPPoE
- Configuração de uma interface de loopback
- Configuração de uma interface Ethernet subjacente estática para interfaces dinâmicas de assinantes de PPPoE
- Especificando o endereço IP BNG
- Configuração do acesso do servidor RADIUS
- Configuração do perfil de acesso do servidor RADIUS
- Especificando o perfil de acesso do servidor RADIUS para usar
- Configuração de pools locais de atribuição de endereços
- Especificando o pool de atribuição de endereços a ser usado para a delegação de prefixo DHCPv6
Configuração rápida de CLI
A seguir, a configuração completa para este exemplo:
dynamic-profiles {
DS-dyn-ipv4v6-ra {
interfaces {
pp0 {
unit "$junos-interface-unit" {
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
unnumbered-address lo0.0;
}
family inet6 {
address $junos-ipv6-address;
}
}
}
}
protocols {
router-advertisement {
interface "$junos-interface-name" {
prefix $junos-ipv6-ndra-prefix;
}
}
}
}
}
system {
services {
dhcp-local-server {
dhcpv6 {
overrides {
delegated-pool dhcpv6-pd-pool;
}
group DHCPv6-over-pppoe {
interface pp0.0;
}
}
}
}
}
access-profile Access-Profile;
interfaces {
ge-3/3/0 {
unit 1109 {
description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd";
encapsulation ppp-over-ether;
vlan-id 1109;
pppoe-underlying-options {
duplicate-protection;
dynamic-profile DS-dyn-ipv4v6-ra;
}
}
}
lo0 {
description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd";
unit 0 {
family inet {
address 192.0.2.77/32 {
primary;
}
}
family inet6 {
address 2001:db8:2030:0:0::1/64 {
primary;
}
}
}
}
}
routing-options {
router-id 203.0.113.0;
}
access {
radius-server {
203.0.113.99 {
secret "$ABC123$ABC123ABC123"; ## SECRET-DATA
timeout 45;
retry 4;
source-address 203.0.113.1;
}
}
profile Access-Profile {
authentication-order radius;
radius {
authentication-server 203.0.113.99;
accounting-server 203.0.113.99;
}
accounting {
order [ radius none ];
update-interval 120;
statistics volume-time;
}
}
address-assignment {
pool default-ipv4-pool-2 {
family inet {
network 203.0.113.10/16;
range r5 {
low 203.0.113.11;
high 203.0.113.150;
}
}
}
pool dhcpv6-pd-pool {
family inet6 {
prefix 2001:db8:2040:2000:2000::/48;
range r1 prefix-length 64;
}
}
pool ndra-2010 {
family inet6 {
prefix 2001:db8:2010:0:0:0::/48;
range L prefix-length 64;
}
}
}
address-protection;
}
Configuração de um servidor local DHCPv6 para DHCPv6 por PPPoE
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit system services dhcp-local-server dhcpv6 edit group DHCPv6-over-pppoe set interface pp0.0
Procedimento passo a passo
Para camada DHCPv6 acima da família PPPoE IPv6 (inet6), associe o DHCPv6 com as interfaces PPPoE adicionando as interfaces PPPoE à configuração do servidor local DHCPv6. Como este exemplo usa uma interface PPPoE dinâmica, estamos usando a interface lógica pp0.0 (PPPoE) como um wildcard para indicar que uma vinculação DHCPv6 pode ser feita em cima de uma interface PPPoE.
Para configurar um servidor local DHCPv6:
Acesse a configuração do servidor local DHCPv6.
[edit] user@host# edit system services dhcp-local-server dhcpv6
Crie um grupo para interfaces de PPPoE dinâmicas e atribua um nome.
O grupo apresenta a grupos um conjunto de interfaces e, em seguida, aplica uma configuração DHCP comum ao grupo de interface nomeado.
[edit system services dhcp-local-server dhcpv6] user@host# edit group DHCPv6-over-pppoe
Adicione uma interface para interfaces lógicas de PPPoE dinâmicas.
[edit system services dhcp-local-server dhcpv6 group DHCPv6-over-pppoe] user@host# set interface pp0.0
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit]
user@host# show
system {
services {
dhcp-local-server {
dhcpv6 {
group DHCPv6-over-pppoe {
interface pp0.0;
}
}
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de um perfil dinâmico para a interface lógica do PPPoE
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit dynamic-profiles DS-dyn-ipv4v6-ra edit interfaces pp0 unit $junos-interface-unit set family inet unnumbered-address lo0.0 set family inet6 address $junos-ipv6-address set pppoe-options underlying-interface "$junos-underlying-interface" set pppoe-options server set ppp-options pap set ppp-options chap set keepalives interval 30 up 3 edit protocols router-advertisement edit interface $junos-interface-name set prefix $junos-ipv6-ndra-prefix
Procedimento passo a passo
Crie um perfil dinâmico para a interface lógica do PPPoE. Esse perfil dinâmico oferece suporte a sessões IPv4 e IPv6 na mesma interface lógica.
Para configurar o perfil dinâmico:
Crie e nomeie o perfil dinâmico.
[edit] user@host# edit dynamic-profiles DS-dyn-ipv4v6-ra
Configure uma interface lógica PPPoE (pp0) usada para criar interfaces lógicos de PPPoE para os assinantes IPv4 e IPv6.
[edit dynamic-profiles DS-dyn-ipv4v6-ra] user@host# edit interfaces pp0
Especifique
$junos-interface-unitcomo a variável predefinida para representar o número de unidade lógica para app0interface. A variável é substituída dinamicamente pelo número de unidade real fornecido pela rede quando o assinante faz login.[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0] user@host# edit unit $junos-interface-unit
Especifique
$junos-underlying-interfacecomo a variável predefinida para representar o nome da interface Ethernet subjacente na qual o roteador cria a interface lógica PPPoE dinâmica. A variável é substituída dinamicamente pelo nome real da interface subjacente fornecida pela rede quando o assinante faz login.[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set pppoe-options underlying-interface $junos-underlying-interface
Configure o roteador para atuar como um servidor PPPoE quando uma interface lógica PPPoE for criada dinamicamente.
[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set pppoe-options server
Configure a família IPv4 para a interface pp0. Especifique o endereço nãonumerado para criar interfaces de loopback dinamicamente.
[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set family inet unnumbered-address lo0.0
Configure a família IPv6 para a interface pp0. Como o exemplo usa anúncio de roteador, atribua a variável
$junos-ipv6-addresspredefinida.[edit dynamic-profilesDS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set family inet6 unnumbered-address $junos-ipv6-address
Configure um ou mais protocolos de autenticação de PPP para a interface pp0.
[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set ppp-options chap user@host# set ppp-options pap
Habilite keepalives e estabeleça um intervalo para keepalives. Recomendamos um intervalo de 30 segundos.
[edit dynamic-profiles DS-dyn-ipv4v6-ra interfaces pp0 unit "$junos-interface-unit"] user@host# set keepalives interval 30
Acesse a configuração de anúncio do roteador.
[edit dynamic-profiles DS-dyn-ipv4v6-ra] user@host# edit protocols router-advertisement
Especifique a interface na qual a configuração ND/RA é aplicada.
[edit dynamic-profiles DS-dyn-ipv4v6-ra protocols router-advertisement] user@host# edit interface $junos-interface-name
Especifique um valor de prefixo contido em mensagens de anúncio de roteador enviadas ao CPE em interfaces criadas com este perfil dinâmico. Se você especificar a variável predefinida $junos-ipv6-ndra-predefinida, o valor real é obtido de um pool local ou por meio de AAA.
[edit dynamic-profiles DS-dyn-ipv4v6-ra protocols router-advertisement interface "$junos-interface-name"] user@host# set prefix $junos-ipv6-ndra-prefix
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit dynamic-profiles DS-dyn-ipv4v6-ra]
user@host# show
interfaces {
pp0 {
unit "$junos-interface-unit" {
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
unnumbered-address lo0.0;
}
family inet6 {
address $junos-ipv6-address;
}
}
}
}
protocols {
router-advertisement {
interface "$junos-interface-name" {
prefix $junos-ipv6-ndra-prefix;
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de uma interface de loopback
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit interfaces lo0 unit 0 set family inet address 192.0.2.77/32 primary set family inet6 address 2001:db8:2030:0:0::1/64 primary
Procedimento passo a passo
Para configurar uma interface de loopback:
Crie a interface de loopback e especifique um número de unidade.
[edit] user@host# edit interfaces lo0 unit 0
Configure a interface para IPv4.
[edit interfaces lo0 unit 0] user@host# set family inet address 192.0.2.77/32 primary
Configure a interface para IPv6.
[edit interfaces lo0 unit 0] user@host# set family inet6 address 2001:db8:2030:0:0::1/64 primary
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit interfaces lo0]
user@host# show
unit 0 {
family inet {
address 192.0.2.77/32 {
primary;
}
}
family inet6 {
address 2001:db8:2030:0:0::1/64 {
primary;
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de uma interface Ethernet subjacente estática para interfaces dinâmicas de assinantes de PPPoE
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit interfaces ge-3/3/0 unit 1109 set description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd" set encapsulation ppp-over-ether set vlan-id 1109 set pppoe-underlying-options duplicate-protection set pppoe-underlying-options dynamic-profile DS-dyn-ipv4v6-ra
Procedimento passo a passo
Para configurar a interface Ethernet subjacente:
Especifique o nome e o número de unidade lógica da interface Ethernet estática subjacente à qual você deseja anexar o perfil dinâmico IPv4 e IPv6.
[edit] user@host# edit interfaces ge-3/3/0 unit 1109
Configure uma descrição para a interface.
[edit interfaces ge-3/3/0 unit 1109] user@host# set description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd”
Configure o encapsulamento de PPPoE na interface subjacente.
[edit interfaces ge-3/3/0 unit 1109] user@host# set encapsulation ppp-over-ether
Configure o ID VLAN.
[edit interfaces ge-3/3/0 unit 1109] user@host# set vlan-id 1109
Anexe o perfil dinâmico à interface subjacente.
[edit interfaces ge-3/3/0 unit 1109] user@host# set pppoe-underlying-options dynamic-profile DS-dyn-ipv4v6-ra
(Opcional) Impeça que várias sessões de PPPoE sejam criadas para o mesmo assinante PPPoE na mesma interface VLAN.
[edit interfaces ge-3/3/0 unit 1109] user@host# set pppoe-underlying-options duplicate-protection
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit interfaces]
user@host# show
ge-3/3/0 {
unit 1109 {
description "dynamic ipv4v6 dual stack, ndra, dhcpv6 pd";
encapsulation ppp-over-ether;
vlan-id 1109;
pppoe-underlying-options {
duplicate-protection;
dynamic-profile DS-dyn-ipv4v6-ra;
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Especificando o endereço IP BNG
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit routing-options set router-id 203.0.113.0
Recomendamos fortemente que você configure o endereço IP BNG para evitar um comportamento imprevisível se o endereço da interface em uma interface de loopback mudar.
Procedimento passo a passo
Para configurar o endereço IP do BNG:
Acesse a configuração de opções de roteamento.
[edit] user@host# edit routing-options
Especifique o endereço IP ou o BNG.
[edit routing-options] user@host# set router-id 203.0.113.0
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit routing-options] user@host# show router-id 203.0.113.0;
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do acesso do servidor RADIUS
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit access radius-server 203.0.113.99 set secret "$ABC123$ABC123ABC123" set timeout 45 set retry 4 set source-address 203.0.113.1
Procedimento passo a passo
Para configurar servidores RADIUS:
Crie uma configuração de servidor RADIUS e especifique o endereço do servidor.
[edit] user@host# edit access radius-server 203.0.113.99
Configure a (senha) secreta necessária para o servidor. Segredos fechados entre aspas podem conter espaços.
[edit access radius-server 203.0.113.99] user@host# set secret "$ABC123$ABC123ABC123"
Configure o endereço de origem que o BNG usa quando envia solicitações RADIUS para o servidor RADIUS.
[edit access radius-server 203.0.113.99] user@host# set source address 203.0.113.1
(Opcional) Configure o número de vezes que o roteador tenta entrar em contato com um servidor de contabilidade RADIUS. Você pode configurar o roteador para tentar novamente de 1 a 16 vezes. A configuração padrão é de 3 tentativas de tentativas de remissão.
[edit access radius-server 203.0.113.99] user@host# set retry 4
(Opcional) Configure o tempo que o roteador ou switch local espera para receber uma resposta de um servidor RADIUS. Por padrão, o roteador ou switch espera 3 segundos. Você pode configurar o tempo limite para ser de 1 a 90 segundos.
[edit access radius-server 203.0.113.99] user@host# set timeout 45
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit access]
user@host# show
radius-server {
203.0.113.99 {
secret "$ABC123$ABC123ABC123"; ## SECRET-DATA
timeout 45;
retry 4;
source-address 203.0.113.1;
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do perfil de acesso do servidor RADIUS
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit access profile Access-Profile set authentication-order radius set radius authentication-server 203.0.113.99 set radius accounting-server 203.0.113.99 set accounting order radius set accounting order none set accounting update-interval 120 set accounting statistics volume-time top set access-profile Access-Profile
Procedimento passo a passo
Para configurar um perfil de acesso de servidor RADIUS:
Crie um perfil de acesso de servidor RADIUS.
[edit] user@host# edit access profile Access-Profile
Especifique a ordem em que os métodos de autenticação são usados.
[edit access profile Access-Profile] user@host# set authentication-order radius
Especifique o endereço do servidor RADIUS usado para autenticação e o servidor usado para contabilidade.
[edit access profile Access-Profile] user@host# set radius authentication-server 203.0.113.99 user@host# set radius accounting-server 203.0.113.99
Configure valores de contabilidade RADIUS para o perfil de acesso.
[edit access profile Access-Profile] user@host# set accounting order [ radius none ] user@host# set accounting update-interval 120 user@host# set accounting statistics volume-time
No topo da hierarquia de configuração, entre no seguinte comando para habilitar o perfil de acesso.
[edit] user@host# set access-profile Access-Profile
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit access]
user@host# show
profile Access-Profile {
authentication-order radius;
radius {
authentication-server 203.0.113.99;
accounting-server 203.0.113.99;
}
accounting {
order [ radius none ];
update-interval 120;
statistics volume-time;
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Especificando o perfil de acesso do servidor RADIUS para usar
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie o seguinte comando e cole-o no CLI no nível de [edit] hierarquia.
set access-profile Access-Profile
Procedimento passo a passo
Para especificar o perfil de acesso do servidor RADIUS a ser usado para autenticação:
Especifique o perfil de acesso.
[edit] user@host# set access-profile Access-Profile
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit] user@host# show ... access-profile Access-Profile; ...
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de pools locais de atribuição de endereços
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit access set address-assignment pool default-ipv4-pool-2 family inet network 203.0.113.10/16 set address-assignment pool default-ipv4-pool-2 family inet range r5 low 203.0.113.11 set address-assignment pool default-ipv4-pool-2 family inet range r5 high 203.0.113.150 set address-assignment pool dhcpv6-pd-pool family inet6 prefix 2001:db8:2040:2000:2000::/48 set address-assignment pool dhcpv6-pd-pool family inet6 range r1 prefix-length 64 set address-assignment pool ndra-2010 family inet6 prefix 2001:db8:2010:0:0:0::/48 set address-assignment pool ndra-2010 family inet6 range L prefix-length 64 set address-protection
Procedimento passo a passo
Configure três pools de atribuição de endereço para DHCPv4, delegação de prefixo DHCPv6 e ND/RA.
Para configurar os pools de atribuição de endereços:
Configure o pool de atribuição de endereços para DHCPv4.
[edit] user@host# edit access address-assignment pool default-ipv4-pool-2 user@host# edit family inet user@host# set network 203.0.113.10/16 user@host# set range r5 low 203.0.113.11 user@host# set range r5 high 203.0.113.150
Configure o pool de atribuição de endereços para a delegação de prefixo DHCPv6
[edit] user@host# edit access address-assignment pool dhcpv6-pd-pool user@host# edit family inet6 user@host# set prefix 2001:db8:2040:2000:2000::/48 user@host# set range r1 prefix-length 64
Configure o pool de atribuição de endereços para ND/RA.
[edit] user@host# edit access address-assignment pool ndra-2010 user@host# edit family inet6 user@host# set prefix 2001:db8:2010:0:0:0::/48 user@host# set range L prefix-length 64
(Opcional) Habilite a proteção de prefixo duplicado.
[edit access] user@host# set address-protection
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit access]
user@host# show
address-assignment {
pool default-ipv4-pool-2 {
family inet {
network 203.0.113.10/16;
range r5 {
low 203.0.113.11;
high 203.0.113.150;
}
}
}
pool dhcpv6-pd-pool {
family inet6 {
prefix 2001:db8:2040:2000:2000::/48;
range r1 prefix-length 64;
}
}
pool ndra-2010 {
family inet6 {
prefix 2001:db8:2010:0:0:0::/48;
range L prefix-length 64;
}
}
}
address-protection;
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Especificando o pool de atribuição de endereços a ser usado para a delegação de prefixo DHCPv6
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
edit system services dhcp-local-server dhcpv6 set overrides delegated-pool dhcpv6-pd-pool
Procedimento passo a passo
Para especificar que o dhcpv6-pd-pool é usado para a delegação de prefixo DHCPv6:
Acesse a configuração do servidor local DHCPv6.
[edit] user@host# edit system services dhcp-local-server dhcpv6
Especifique o pool de endereços que atribui o prefixo delegado.
[edit system services dhcp-local-server dhcpv6] user@host# set overrides delegated-pool dhcpv6-pd-pool
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando.
[edit system]
user@host# show
services {
dhcp-local-server {
dhcpv6 {
overrides {
delegated-pool dhcpv6-pd-pool;
}
}
}
}
Se terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificação de sessões ativas de assinantes
- Verificando o endereço IPv4 e IPv6 em instância de roteamento correta
- Verificação de sessões dinâmicas de assinantes
- Verificação de pools de endereço DHCPv6 usados para delegação de prefixo NDRA e DHCPv6
- Verificação de vinculações de endereços DHCPv6
- Verificação de anúncios de roteador
- Verificando o status da interface lógica do PPPoE
Verificação de sessões ativas de assinantes
Propósito
Verifique sessões ativas de assinantes.
Ação
A partir do modo operacional, entre no show subscribers summary comando.
user@host>show subscribers summary Subscribers by State Active: 2 Total: 2 Subscribers by Client Type DHCP: 1 PPPoE: 1 Total: 2
Significado
Os campos abaixo Subscribers by State mostram o número de assinantes ativos.
Os campos abaixo Subscribers by Client Type mostram o número de sessões ativas de assinantes DHCP e DHCPoE.
Verificando o endereço IPv4 e IPv6 em instância de roteamento correta
Propósito
Verifique se o assinante tem um endereço IPv4 e IPv6 e é colocado na instância de roteamento correta.
Ação
A partir do modo operacional, entre no show subscribers comando.
user@host>show subscribers Interface IP Address/VLAN ID User Name LS:RI pp0.1073741864 203.0.113.5 dual-stack-v4v6-pd default:default * 2001:db8:2010:0:0:8::/64 pp0.1073741864 2001:db8:2040:2000:2000:5::/64 default:default
Significado
O Interface campo mostra que existem duas sessões de assinantes em execução na mesma interface. O IP Address campo mostra que uma sessão é atribuída a um endereço IPv4, e uma sessão é atribuída no endereço IPv6.
O LS:RI campo mostra que o assinante é colocado na instância de roteamento correta e que o tráfego pode ser enviado e recebido.
Verificação de sessões dinâmicas de assinantes
Propósito
Verifique sessões dinâmicas de assinantes PPPoE e DHCPv6. Nesta configuração de exemplo, a sessão de assinantes DHCPv6 deve ser colocada em camadas na sessão de assinantes do PPPoE subjacente.
Ação
A partir do modo operacional, entre no show subscribers detail comando.
user@host>show subscribers detail Type: PPPoE User Name: dual-stack-v4v6-pd IP Address: 203.0.113.5 IP Netmask: 255.255.0.0 IPv6 User Prefix: 2001:db8:2010:0:0:8::/64 Logical System: default Routing Instance: default Interface: pp0.1073741864 Interface type: Dynamic Dynamic Profile Name: DS-dyn-ipv4v6-ra MAC Address: 00:00:5E:00:53:02 State: Active Radius Accounting ID: 87 Session ID: 87 Login Time: 2012-01-17 14:45:30 PST Type: DHCP IPv6 Prefix: 2001:db8:2040:2000:2000:5::/64 Logical System: default Routing Instance: default Interface: pp0.1073741864 Interface type: Static MAC Address: 00:00:5E:00:53:02 State: Active Radius Accounting ID: 88 Session ID: 88 Underlying Session ID: 87 Login Time: 2012-01-17 14:46:00 PST DHCP Options: len 42 00 08 00 02 0b b8 00 01 00 0a 00 03 00 01 00 07 64 11 07 02 00 06 00 02 00 19 00 19 00 0c 00 00 00 00 00 00 00 00 00 00 00 00
Significado
Quando um assinante faz login e inicia uma sessão IPv4 e IPv6, a saída mostra a sessão de PPPoE ativa subjacente e a sessão ATIVA DHCPv6.
O Session ID campo para a sessão de PPPoE é 87. A Underlying Session ID sessão do DHCP é 87, o que mostra que a sessão do PPPoE é a sessão subjacente.
Verificação de pools de endereço DHCPv6 usados para delegação de prefixo NDRA e DHCPv6
Propósito
Verifique o pool usado para ND/RA, o pool de endereços delegado usado para a delegação de prefixo DHCPv6 e o comprimento dos prefixos IPv6 que foram delegados ao CPE.
Ação
A partir do modo operacional, entre no show subscribers extensive comando.
user@host>show subscribers extensive Type: PPPoE User Name: dual-stack-v4v6-pd IP Address: 203.0.113.5 IP Netmask: 255.255.0.0 IPv6 User Prefix: 2001:db8:2010:0:0:8::/64 Logical System: default Routing Instance: default Interface: pp0.1073741864 Interface type: Dynamic Dynamic Profile Name: DS-dyn-ipv4v6-ra MAC Address: 00:00:5E:00:53:02 State: Active Radius Accounting ID: 87 Session ID: 87 Login Time: 2012-01-17 14:45:30 PST IPv6 Delegated Address Pool: dhcpv6-pd-pool IPv6 Delegated Network Prefix Length: 64 IPv6 Interface Address: 2001:db8:2040:2000:2000::/48 Type: DHCP IPv6 Prefix: 2001:db8:2040:2000:2000:5::/64 Logical System: default Routing Instance: default Interface: pp0.1073741864 Interface type: Static MAC Address: 00:00:5E:00:53:02 State: Active Radius Accounting ID: 88 Session ID: 88 Underlying Session ID: 87 Login Time: 2012-01-17 14:46:00 PST DHCP Options: len 42 00 08 00 02 0b b8 00 01 00 0a 00 03 00 01 00 07 64 11 07 02 00 06 00 02 00 19 00 19 00 0c 00 00 00 00 00 00 00 00 00 00 00 00 IPv6 Delegated Address Pool: dhcpv6-pd-pool IPv6 Delegated Network Prefix Length: 64
Significado
Na sessão do PPPoE, os IPv6 Delegated Address Pool campos mostram os nomes dos pools usados para a delegação de prefixo DHCPv6 e para prefixos ND/RA. O IPv6 Delegated Network Prefix Length campo mostra o comprimento do prefixo usado para atribuir o endereço IPv6 para esta sessão de assinantes. O IPv6 Interface Address campo mostra o endereço IPv6 atribuído à interface CPE do pool ND/RA.
Sob a sessão DHCP, os IPv6 Delegated Address Pool campos mostram o nome do pool usado para a delegação de prefixo DHCPv6. Os IPv6 Delegated Network Prefix Length campos mostram o comprimento do prefixo usado na delegação de prefixo DHCPv6.
Verificação de vinculações de endereços DHCPv6
Propósito
Exibir as vinculações de endereço na tabela do cliente no servidor local DHCPv6.
Ação
A partir do modo operacional, entre no show dhcpv6 server binding comando.
user@host>show dhcpv6 server binding Prefix Session Id Expires State Interface Client DUID 2001:db8:2040:2000:2000:5::/64 88 86189 BOUND pp0.1073741864 LL0x1-00:07:64:11:07:02
Se você tiver muitas sessões de assinante ativas, você pode exibir a vinculação do servidor para uma interface específica.
user@host>show dhcpv6 server binding interface pp0.1073741864 Prefix Session Id Expires State Interface Client DUID 2001:db8:2040:2000:2000:5::/64 88 86182 BOUND pp0.1073741864 LL0x1-00:07:64:11:07:02
Significado
O Prefix campo mostra o prefixo DHCPv6 atribuído à sessão de assinantes do pool usado para a delegação de prefixo DHCPv6.
Verificação de anúncios de roteador
Propósito
Verifique se anúncios de roteador estão sendo enviados e solicitações de roteador estão sendo recebidas.
Ação
A partir do modo operacional, entre no show ipv6 router-advertisement comando.
user@host>show ipv6 router-advertisement Interface: pp0.1073741864 Advertisements sent: 3, last sent 00:03:29 ago Solicits received: 0 Advertisements received: 0
Se você tiver um grande número de interfaces de assinantes, você pode exibir anúncios de roteador para uma interface específica.
user@host>show ipv6 router-advertisement interface pp0.1073741864 Interface: pp0.1073741864 Advertisements sent: 3, last sent 00:03:34 ago Solicits received: 0 Advertisements received: 0
Significado
O display mostra o número de anúncios que o roteador enviou, o número de solicitações e anúncios que o roteador recebeu.
Verificando o status da interface lógica do PPPoE
Propósito
Exibir informações de status sobre a interface lógica do PPPoE (pp0).
Ação
A partir do modo operacional, entre no show interfaces pp0.logical comando.
user@host>show interfaces pp0.1073741864
Logical interface pp0.1073741864 (Index 388) (SNMP ifIndex 681)
Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPPoE
PPPoE:
State: SessionUp, Session ID: 10,
Session AC name: almach, Remote MAC address: 00:00:5E:00:53:02,
Underlying interface: ge-3/3/0.1109 (Index 367)
Bandwidth: 1000mbps
Input packets : 22
Output packets: 50
Keepalive settings: Interval 30 seconds, Up-count 1, Down-count 3
LCP state: Opened
NCP state: inet: Opened, inet6: Opened, iso: Not-configured, mpls: Not-configured
CHAP state: Closed
PAP state: Success
Protocol inet, MTU: 65531
Flags: Sendbcast-pkt-to-re
Addresses, Flags: Is-Primary
Local: 192.0.2.77
Protocol inet6, MTU: 65531
Addresses, Flags: Is-Preferred Is-Primary
Destination: 2001:db8:2010:0:8::/64, Local: 2001:db8:2010:0:8::1
Local: fe80::2a0:a50f:fc63:a842
Significado
O Underlying interface campo mostra a interface Ethernet subjacente configurada no exemplo.
O Destination campo abaixo Protocol inet6 mostra o endereço IPv6 obtido por meio de ND/RA. Esse é o valor da $junos-ipv6-ndra-prefix variável configurada no perfil dinâmico.
O Local campo abaixo Protocol inet6 mostra o valor da $junos-ipv6-address variável configurada para inet6 familiar na configuração pp0 do perfil dinâmico.
Visão geral das interfaces de desmultiplemento de IP nos serviços de assinantes acionados por pacotes
O recurso de assinantes acionados por pacotes cria interfaces de demultiplexing IP (IP demux IFL) ao receber um pacote de dados de clientes com endereço IP pré-assinado. Ao receber o primeiro pacote, o plano de controle verifica o endereço IP. Se o endereço IP de origem corresponde a uma das faixas de endereço IP configuradas, o assinante é autenticado com servidor autenticado. Na autenticação bem-sucedida, o IP demux IFL é criado usando o perfil dinâmico especificado na CLI. O IP demux IFL adiciona a fonte de rota emoldurada e demux para assinantes usando a máscara passada pelo servidor autenticador. Se a máscara não for enviada pelo servidor de autenticação, as rotas de acesso e demux forem instaladas usando a máscara especificada no CLI.
Para o IPv4, todo o tráfego de uma única casa tem o mesmo endereço público IPv4 de origem. Assim, para cada casa, apenas um IP demux IFL é criado. Para assinantes de negócios, vários endereços IP públicos são criados usando rotas emolduradas. Para o IPv6, o endereço de origem do tráfego vindo da mesma casa é diferente, pois cada dispositivo tem endereço de origem diferente. Por uma razão de escalonamento, não é possível ter um IFL de IP demux para cada dispositivo em cada casa. Assim, todos os dispositivos da mesma casa compartilham o mesmo IP demux IFL.
Um tráfego TCP recebido dos clientes não pode desencadear uma sessão de assinantes.
Durante a criação do IFL de IP demux, se a autenticação falhar, o IFL de ip demux ainda será criado, mas esse DEMux IFL não pode encaminhar nenhum tráfego. Qualquer tráfego recebido para o assinante associado é descartado. Todos esses IFLs de IP rejeitados permanecem em estado configurado e são chamados de assinantes configurados. Criar o IP demux IFL mesmo que a autenticação falhe evitará o fracasso, pois os pacotes subsequentes serão descartados no PFE e não serão colocados no RE. Todos os assinantes no estado 'Configurado' serão removidos periodicamente. Assim que esses assinantes forem removidos, todos os novos pacotes recebidos da mesma fonte serão entregues ao RE.
Benefícios das interfaces de desmultiplegem de IP nos serviços de assinantes acionados por pacotes
Oferece suporte a assinantes acionados por pacotes usando autenticação e seleção de serviços pelo servidor RADIUS e permite um máximo de 16 faixas de endereço IPv4 e 16 IPv6 por IFL subjacente.
Permite que o servidor de autenticação passe no perfil dinâmico para usar. Quando o servidor de autenticação passa esses valores, eles têm precedência sobre os valores configurados por meio da CLI.
Fornece um mecanismo de estrangulamento para mitigar ataques semelhantes ao DoS e limitar a taxa de pacotes de exceção enviados ao RE para autenticação e criação de IP demux. O mecanismo de estrangulamento usa o mecanismo DDoS existente.
Veja também
Configuração de assinantes acionados por pacotes usando interfaces de IP demux em perfis dinâmicos
Você pode configurar os assinantes acionados por pacotes para interfaces demux para endereços IPv4 e IPv6. O recurso de assinantes acionados por pacotes cria o IP demux IFL ao receber um pacote de dados de clientes com endereço IP pré-assinado. Assim que o IP demux IFL for criado, a rota emoldurada e a fonte de demux são adicionadas para assinantes usando a máscara passada pelo servidor de autenticação.
Para habilitar o recurso de assinantes acionados por pacotes, configure as opções de demux em um perfil dinâmico. Os perfis dinâmicos permitem aplicar valores configurados dinamicamente às interfaces dinâmicas, tornando-os mais fáceis de gerenciar.
Antes de começar:
Configure o perfil dinâmico.
Se o endereço MAC mudar para um assinante acionado por pacotes após o login e a sessão estiver ativada, o assinante não poderá fazer login no novo dispositivo com o mesmo endereço IP. Por exemplo, um assinante pode fazer login de um laptop e, em seguida, tentar fazer login a partir de um segundo laptop. Você pode evitar isso configurando um período durante o qual a sessão é monitorada para atividades de assinantes. Use a opção client-idle-timeout no nível de [edit access profile profile-name session-options] hierarquia. Quando o tempo limite expira, o assinante é graciosamente logado. O assinante pode fazer login com sucesso no segundo dispositivo. Veja a configuração de opções de tempo limite de sessão para assinantes.
Depois de configurar o perfil dinâmico, configure as interfaces de assinantes acionadas por pacotes começando pela interface de demux: