DHCP 和 PPP 用户接入网络的路由
用于订阅者管理的访问和访问内部路由
路由器上的 DHCP 和 PPP 使用访问路由和访问内部路由来表示订阅者或所连接路由器后面的网络。访问路由表示所连接路由器后面的网络,优先级设置为 13。访问内部路由是 /32
表示直连订阅者的路由,其优先级设置为 12。
接入路由通常用于为 IPv4 路由应用 RADIUS 帧路由属性 [22] 的值,对 IPv6 路由应用帧 IPv6 路由属性 [99] 的值。帧路由由代表 CPE 后面的公共网络的前缀、下一跃点网关和可选路由属性组成,该属性由指标、首选项和标签的组合组成。帧路由的唯一必需组件是前缀。下一跃点网关可以在帧路由中显式指定为 0.0.0.0、::0 或由帧 IP 地址 (8) 或帧 IPv6 前缀 (97) 属性分配的用户固定地址(企业订阅者的常见做法)。或者,缺少网关地址意味着地址 0.0.0.0。地址 0.0.0.0 或 ::0(无论是隐式配置还是显式配置)都会解析为订阅者分配的地址(主机路由)。因此,约定是下一跃点网关是订阅者的 IP 地址。
您可以将动态配置文件配置为使用预定义变量,以使用 RADIUS 属性中指定的值动态配置访问路由。配置访问路由 access
包括层次结构级别的节 [edit dynamic-profiles profile-name routing-options]
。
从 Junos OS 15.1 版开始,我们建议您仅将接入路由用于帧路由支持。我们建议您不要在动态配置文件配置中使用访问内部路由。如果 RADIUS 帧路由属性 (22) 或帧 IPv6 路由属性 [99] 未指定下一跃点网关(通常),则表示下一跃点($junos帧路由下一跃点或$junos帧路由-ipv6-下一跃点)的变量将自动解析为订阅者的 IP 地址。如果在动态配置文件中配置语句 access-internal
,则会忽略该语句。
从 Junos OS 15.1R4 版开始,路由器不再支持静态路由指向绑定到订阅者的下一跃点的配置。通常,当 RADIUS 使用“帧 IP 地址”属性分配下一跃点时,可能会发生这种情况。这种错误配置的替代方法是让 RADIUS 服务器提供与静态路由匹配的帧路由属性。
为订阅者管理配置动态访问路由
您可以根据以下 RADIUS 属性中指定的值为 DHCP 和 PPP 订阅者动态配置访问路由:
对于 IPv4 访问路由,请使用变量
$junos-framed-route-ip-address-prefix
.路由前缀变量将动态替换为帧路由 RADIUS 属性 [22] 中的值。对于 IPv6 访问路由,请使用变量
$junos-framed-route-ipv6-address-prefix
.该变量将动态替换为帧 IPv6 路由 RADIUS 属性 [99] 中的值。
要动态配置访问路由:
从 Junos OS 15.1 版开始,我们建议您仅将接入路由用于帧路由支持。建议您不要使用访问内部路由。如果 RADIUS 帧路由属性 (22) 或帧 IPv6 路由属性 [99] 未指定下一跃点网关(通常),则表示下一跃点的变量($junos帧路由下一跃点)将自动解析。如果在动态配置文件中配置语句 access-internal
,则会忽略该语句。
为 DHCP 和 PPP 订阅者配置动态访问内部路由
您可以动态配置访问内部路由。在 Junos OS 15.1 之前的版本中,此配置是可选的;如果包含该值,则当相关 RADIUS 属性(IPv4 的帧路由 [22]和 IPv6 的帧 IPv6 路由 [99])中缺少下一跃点值时,将使用访问内部变量中的值。
从 Junos OS 15.1R1 版开始,当该节存在以提供成帧路由支持时,我们不再建议您始终 access-internal
在动态配置文件 access
中包含该节。在动态配置文件安装成帧路由之前,订户的地址存储在会话数据库条目中,以便在帧路由 RADIUS 属性 (22) 或帧 IPv6 路由属性 [99] 中未明确指定时解析下一跃点地址。
DHCP 订阅者接口需要合格的下一跃点来识别接口和 MAC 地址。对于 PPP 用户接口,您无需为访问内部路由指定 MAC 地址。
要为 DHCP 或 PPP 订阅者动态配置访问内部路由,请执行以下操作:
抑制 DHCP 访问、内部访问和目标路由
在 DHCP 客户端绑定操作期间,默认情况下,DHCP 进程会添加 DHCP 会话的路由信息。DHCP 进程添加以下路由:
DHCPv4 会话 — 访问内部路由和目标路由。
DHCPv6 会话 — 访问内部和访问路由。
接入路由表示连接的视频服务路由器后面的网络,并设置为优先级 13。
访问内部路由是表示直接连接的最终用户的 /32 路由,并设置为首选项 12。
视频服务路由器上的 DHCP 应用程序使用这些路由来表示最终用户或附加的视频服务路由器后面的网络。
在某些情况下,您可能希望覆盖默认行为并阻止 DHCP 自动安装路由信息。
例如,默认情况下,DHCP 中继会安装目标(主机)路由 — 在某些配置中,此操作是必需的,以使来自 DHCP 服务器的地址续订能够正常工作。但是,使用静态订阅者接口配置 DHCP 中继时,目标路由的默认安装可能会导致冲突。
为避免此类配置冲突,您可以覆盖默认行为并阻止 DHCP 中继安装路由。
默认情况下阻止 DHCP 安装访问路由、访问内部路由和目标路由
您可以使用路由抑制选项覆盖默认路由安装行为。您可以配置路由抑制并阻止 DHCP 为以下各项安装特定类型的路由:
DHCP 本地服务器和 DHCP 中继代理
DHCPv4 和 DHCPv6 会话
全局或用于命名接口组
对于 DHCPv4,您可以覆盖仅目标路由或访问内部路由的安装(访问内部选项可防止同时安装目标路由和访问内部路由)。对于 DHCPv6,您可以指定访问路由和/或访问内部路由。
例子:
对于 DHCP 本地服务器路由抑制(例如,全局配置):
[edit system services dhcp-local-server] user@host# set route-suppression access-internal
对于 DHCP 中继(例如,特定于组的配置):
[edit forwarding-options dhcp-relay group southeast] user@host# set route-suppression destination
对于 DHCPv6 本地服务器(例如,特定于组的配置):
[edit system services dhcp-local-server group southern3] user@host# set dhcpv6 route-suppression access access-internal
对于 DHCPv6 中继(例如,全局配置):
[edit forwarding-options dhcp-relay] user@host# set dhcpv6 route-suppression access
配置路由抑制选项时,请注意以下事项:
当订阅者同时配置了通过 IP 多路复用接口的 IA_NA 地址和 IA_PD 地址时,您无法抑制访问内部路由 — IA_PD 路由依赖于IA_NA路由进行下一跃点连接。
no-arp
旧版 DHCP 支持的语句将替换为该route-suppression
语句。
验证 DHCP 和 PPP 订阅者的访问和访问内部路由配置
access-internal
在动态配置文件
access
中包含该节。