某局点IPOE双栈用户WEB认证三层接入无法实现一次认证双栈放行的经验案例
- 1关注
- 2收藏 2375浏览
组网及说明
BRAS设备作为有线终端的DHCP server,核心交换机作为有线终端的网关和DHCP relay设备,使能IPOE三层接入
BRAS设备作为无线终端的DHCP server和无线终端的网关设备,使能IPOE 二层接入
问题描述
无线终端无论IPV4还是IPV6只要一个认证成功后,双栈都能够放行正常访问外网
有线终端IPV4或者IPV6认证成功后,只有相应的地址能够访问外网,无法实现一次认证双栈放行;
过程分析
1、查看有线终端的IPOE会话,发现同一有线终端的IPOE双栈会话被BRAS识别成2个不同的会话,由于认证成功后只会将对应的会话置位认证后域即认证成功状态,2个不同的会话肯定无法实现一次认证双栈放行
<bras>dis ip subscriber session inter Ten-GigabitEthernet 0/0/3
Type: D-DHCP S-Static U-Unclassified-IP N-NDRS
Interface IP address MAC address Type State
IPv6 address SVLAN/CVLAN VXLAN
Username
XGE0/0/3 172.16.144.2 586a-b1ca-6978 S/- Online
- -/- -
yqm
XGE0/0/3 - 586a-b1ca-6978 -/S Online
2001:DA8:E004:254::5 -/- -
2001:DA8:E004:254::5
2、继续查看IPOE会话详细信息发现
< bras>dis ip subscriber session ipv6 2001:DA8:E004:299::2 verbose
Basic:
Description : -
Username : yqm
Domain : dm2
VPN instance : N/A
IPv6 address : 2001:DA8:E004:299::2
User address type : N/A
MAC address : 586a-b1ca-6978
Service-VLAN/Customer-VLAN : -/-
Access interface : XGE0/0/3
User ID : 0x30000058
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591839 sec
Access time : Aug 24 19:01:56 2020
Online time(hh:mm:ss) : 00:00:31
Service node : Slot 0 CPU 0
Authentication type : Web
IPv6 access type : DHCP //IPV6会话是DHCP报文触发创建的
IPv6 detect state : Detecting
State : Online
<bras>dis ip subscriber session ip 172.16.144.2 verbose
Basic:
Description : -
Username : yqm
Domain : dm2
VPN instance : N/A
IP address : 172.16.144.2
User address type : N/A
MAC address : 586a-b1ca-6978
Service-VLAN/Customer-VLAN : -/-
Access interface : XGE0/0/3
User ID : 0x30000057
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCP lease : N/A
DHCP remain lease : N/A
Access time : Aug 24 19:01:47 2020
Online time(hh:mm:ss) : 00:02:58
Service node : Slot 0 CPU 0
Authentication type : Web
IPv4 access type : Static //IPV4会话是静态配置的
IPv4 detect state : Detecting
State : Online
3、检查配置发现现场配置了IPOE静态会话,静态会话优于动态生成的会话
ip subscriber session static ip 172.16.144.1 172.16.144.254 domain yx-cs
ip subscriber session static ip 192.168.254.245 domain yx-cs
4、DHCP server或者DHCP relay是我们BRAS设备的情况下,不需要配置IPOE静态会话,直接通过DHCP报文触发即可,让现场将IPOE静态会话删除后发现会话创建方式统一了,但是同一终端的双栈地址依旧是独立的2个会话
[bras]dis ip subscriber session ipv 2001:DA8:E004:299::2 ver
Basic:
Description : -
Username : yqm
Domain : dm2
VPN instance : N/A
IPv6 address : 2001:DA8:E004:299::2
User address type : N/A
MAC address : 586a-b1ca-6978
Service-VLAN/Customer-VLAN : -/-
Access interface : XGE0/0/3
User ID : 0x3000005d
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : N/A
IPv6 DNS servers : N/A
DHCPv6 lease : 2592000 sec
DHCPv6 remain lease : 2591849 sec
Access time : Aug 24 19:09:54 2020
Online time(hh:mm:ss) : 00:00:44
Service node : Slot 0 CPU 0
Authentication type : Web
IPv6 access type : DHCP
IPv6 detect state : Detecting
State : Online
[bras]dis ip subscriber session ip 172.16.144.2 verbose
Basic:
Description : -
Username : yqm
Domain : dm2
VPN instance : N/A
IP address : 172.16.144.2
User address type : N/A
MAC address : 586a-b1ca-6978
Service-VLAN/Customer-VLAN : -/-
Access interface : XGE0/0/3
User ID : 0x3000005c
VPI/VCI(for ATM) : -/-
VSI Index : -
VSI link ID : -
VXLAN ID : -
DNS servers : 202.101.172.35
IPv6 DNS servers : N/A
DHCP lease : 86400 sec
DHCP remain lease : 86213 sec
Access time : Aug 24 19:07:34 2020
Online time(hh:mm:ss) : 00:02:36
Service node : Slot 0 CPU 0
Authentication type : Web
IPv4 access type : DHCP
IPv4 detect state : Detecting
State : Online
5、经确认跨三层的ipoe web,只有BRAS设备作为双栈的dhcp,并且BRAS和dhcp relay都支持dhcp option 79的情况下才能实现联动,也就是IPv4上线后,IPv6不需要再认证直接上线,反过来也可以。Dhcp option 79可以让dhcp relay把终端mac带到bras上,bras才能知道IPv4和IPv6属于同一个用户。BRAS是在R7953的版本才支持option79,只有V7交换机才支持option79。
解决方法
由于现场核心交换机是V5设备无法支持option79,因此将有线终端的网关上移到BRAS设备采用二层接入的方式,实现一次认证双栈放行;
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作