Вы находитесь здесь: version6.ru » Настройка JunOS для раздачи IPv6
Различия
Здесь показаны различия между выбранной ревизией и текущей версией данной страницы.
|
juniper [2024-10-21 08:05 UTC] w создано |
juniper [2024-10-21 15:39 UTC] (текущий) rm |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| - | Настройка jun OS для раздачи ipv6: | + | ====== Настройка JunOS для раздачи IPv6 ====== |
| - | Во первых настройка динамического профиля для интерфейсов: | + | |
| + | Во-первых, требуется настройка динамического профиля для интерфейсов: | ||
| <code> | <code> | ||
| dynamic-profiles { | dynamic-profiles { | ||
| Строка 31: | Строка 32: | ||
| } | } | ||
| </code> | </code> | ||
| - | Тут RA создается без какого-либо префикса, т.к. он нужен до какой-либо авторизации чтобы CPE запросил DHCPv6. | + | Здесь RA создается без какого-либо префикса, т.к. он нужен до какой-либо авторизации, чтобы CPE запросил DHCPv6. |
| - | Профиль DHCP: | + | Затем настраиваем профиль DHCP: |
| <code> | <code> | ||
| dynamic-profiles { | dynamic-profiles { | ||
| Строка 85: | Строка 86: | ||
| DHCP сервер: | DHCP сервер: | ||
| <code> | <code> | ||
| - | dhcpv6 { | + | system { |
| - | group dhcp { | + | services { |
| - | overrides { | + | dhcp-local-server { |
| - | rapid-commit; | + | dhcpv6 { |
| - | process-inform { | + | group dhcp { |
| - | pool p6; | + | overrides { |
| - | } | + | rapid-commit; |
| - | always-add-option-dns-server; | + | process-inform { |
| - | asymmetric-lease-time 600; | + | pool p6; |
| - | asymmetric-prefix-lease-time 600; | + | } |
| - | dual-stack dhcp; | + | always-add-option-dns-server; |
| + | asymmetric-lease-time 600; | ||
| + | asymmetric-prefix-lease-time 600; | ||
| + | dual-stack dhcp; | ||
| + | } | ||
| + | interface demux0.0; | ||
| + | } | ||
| + | } | ||
| + | group dhcp { | ||
| + | overrides { | ||
| + | asymmetric-lease-time 600; | ||
| + | dual-stack dhcp; | ||
| + | } | ||
| + | interface demux0.0; | ||
| + | } | ||
| + | dual-stack-group dhcp { | ||
| + | authentication { | ||
| + | password juniper; | ||
| + | username-include { | ||
| + | mac-address; | ||
| + | } | ||
| + | } | ||
| + | dynamic-profile DHCP_MAC_VALIDATE; | ||
| + | classification-key { | ||
| + | mac-address; | ||
| + | } | ||
| + | } | ||
| } | } | ||
| - | interface demux0.0; | ||
| } | } | ||
| } | } | ||
| - | group dhcp { | + | </code> |
| - | overrides { | + | |
| - | asymmetric-lease-time 600; | + | Крайне рекомендую lease-time настраивать именно здесь(asymmetric-lease-time), иначе с некоторыми роутерами IP пропадает, это касается и v4, а в пулах адресов указывать бесконечное время аренды: |
| - | dual-stack dhcp; | + | <code> |
| - | } | + | access { |
| - | interface demux0.0; | + | address-assignment { |
| + | pool p4 { | ||
| + | family inet { | ||
| + | network 192.0.2.0; | ||
| + | dhcp-attributes { | ||
| + | maximum-lease-time infinite; | ||
| + | grace-period 700; | ||
| + | name-server { | ||
| + | 192.0.2.5; | ||
| + | 192.0.2.7; | ||
| + | } | ||
| + | router { | ||
| + | 192.0.2.254; | ||
| + | } | ||
| + | } | ||
| + | excluded-address 192.0.2.254; | ||
| + | excluded-address 192.0.2.255; | ||
| + | } | ||
| + | } | ||
| + | pool p6 { | ||
| + | family inet6 { | ||
| + | prefix 2001:db8::/32; | ||
| + | range pd prefix-length 48; | ||
| + | dhcp-attributes { | ||
| + | maximum-lease-time infinite; | ||
| + | dns-server { | ||
| + | 2001:db8::5; | ||
| + | 2001:db8::7; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | } | ||
| } | } | ||
| - | dual-stack-group dhcp { | + | </code> |
| - | authentication { | + | |
| - | password juniper; | + | И динамический профиль INTF нужно забиндить на основном интерфейсе, для примера qinq: |
| - | username-include { | + | <code> |
| - | mac-address; | + | interfaces { |
| + | et-0/0/0 { | ||
| + | description USERS; | ||
| + | flexible-vlan-tagging; | ||
| + | auto-configure { | ||
| + | stacked-vlan-ranges { | ||
| + | dynamic-profile INTF { | ||
| + | accept [ dhcp-v4 inet6 ]; | ||
| + | ranges { | ||
| + | 200-227,251-4094; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | remove-when-no-subscribers; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | </code> | ||
| + | |||
| + | Настройка шейперов: | ||
| + | <code> | ||
| + | firewall { | ||
| + | family inet { | ||
| + | filter 100000 { | ||
| + | interface-specific; | ||
| + | term 0 { | ||
| + | then { | ||
| + | policer p_100000_limit; | ||
| + | next term; | ||
| + | } | ||
| + | } | ||
| + | term 1 { | ||
| + | then accept; | ||
| + | } | ||
| } | } | ||
| } | } | ||
| - | dynamic-profile DHCP_MAC_VALIDATE; | + | family inet6 { |
| - | classification-key { | + | filter 100000 { |
| - | mac-address; | + | interface-specific; |
| + | term 0 { | ||
| + | then { | ||
| + | policer p_100000_limit; | ||
| + | next term; | ||
| + | } | ||
| + | } | ||
| + | term 1 { | ||
| + | then accept; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | family any { | ||
| + | filter 100000 { | ||
| + | interface-specific; | ||
| + | term 0 { | ||
| + | then { | ||
| + | policer p_100000_limit; | ||
| + | next term; | ||
| + | } | ||
| + | } | ||
| + | term 1 { | ||
| + | then accept; | ||
| + | } | ||
| + | } | ||
| + | } | ||
| + | policer p_100000_limit { | ||
| + | if-exceeding { | ||
| + | bandwidth-limit 100m; | ||
| + | burst-size-limit 18750000; | ||
| + | } | ||
| + | then discard; | ||
| } | } | ||
| } | } | ||
| </code> | </code> | ||
| - | Крайне рекомендую lease тайм настраивать именно тут(asymmetric-lease-time), иначе с некоторыми роутерами ip пропадает, это касается и v4, а в пулах адресов указывать бесконечное время: | + | В данной конфигурации на RADIUS приходят имя пользователя в виде мака: xxxx.xxxx.xxxx с паролем juniper. |
| + | Отдавать джуниперу надо переменные для скорости: | ||
| + | |||
| + | ipv4 для $junos-input-filter и $junos-output-filter: | ||
| + | <code> | ||
| + | ERX-Ingress-Policy-Name | ||
| + | ERX-Egress-Policy-Name | ||
| + | </code> | ||
| + | ipv6 для $junos-input-ipv6-filter и $junos-output-ipv6-filter: | ||
| + | <code> | ||
| + | ERX-IPv6-Ingress-Policy-Name | ||
| + | ERX-IPv6-Egress-Policy-Name | ||
| + | </code> | ||
| + | для всего интерфейса ($junos-input-interface-filter $junos-output-interface-filter) - не рекомендую, т.к. вероятно служебный трафик вроде arp и icmp6 тоже зарежет: | ||
| + | <code> | ||
| + | ERX-Input-Interface-Filter | ||
| + | ERX-Output-Interface-Filter | ||
| + | </code> | ||
| + | Для статического префикса/адреса на WAN: | ||
| + | <code> | ||
| + | Framed-IPv6-Prefix | ||
| + | </code> | ||
| + | Если отдать /64 то будет использоваться для slaac($junos-ipv6-ndra-prefix), если 128 - для IA_NA. | ||
| + | |||
| + | Для динамического префикса на WAN(**для статики крайне рекомендую отдавать этот параметр тоже, иначе не всегда привязывается пул и нормально работает время аренды**): | ||
| + | <code> | ||
| + | Framed-IPv6-Pool | ||
| + | </code> | ||
| + | |||
| + | Для статического префикса PD: | ||
| + | <code> | ||
| + | Delegated-IPv6-Prefix | ||
| + | </code> | ||
| + | |||
| + | Для динамического префикса PD(**для статики крайне рекомендую отдавать этот параметр тоже, иначе не всегда привязывается пул и нормально работает время аренды**): | ||
| + | <code> | ||
| + | ERX-IPv6-Delegated-Pool-Name | ||
| + | </code> | ||
juniper.1729497900.txt.gz · Последние изменения: 2024-10-21 08:05 UTC От w
