32-IPv6
本章节下载: 32-IPv6 (1.80 MB)
目 录
通过菜单“网络配置 > IPv6网络 > IPv6路由通告”,进入路由通告信息显示页面。如图1-1所示。
图1-1 IPv6路由通告信息显示
点击<编辑>按钮,进入如图1-2所示的路由通告信息配置页面。各个配置项的含义如表1-1所示。
标题项 |
说明 |
接口名称 |
配置发布路由通告的接口名称 |
发布路由通告 |
是否发布路由通告,如果选中,则发布,否则不发布 |
发布间隔 |
配置发布路由通告的最大间隔,最小间隔是最大时间间隔的三分之一 |
默认路由器时间 |
PC把发布通告的路由器作为默认路由的下一跳的时间 |
邻居可达时间 |
通告的邻居可达时间,如果为0,则表示路由器不指定邻居可达时间 |
NS重传间隔 |
通告的NS重传间隔,如果为0,则表示路由器不指定NS重传间隔 |
MTU |
通告的链路MTU值,如果为0,则表示不通告链路MTU |
跳数 |
通告的hop-limit值 |
被管理标记 |
如果选中被管理标记,则表示PC不使用通告的前缀进行无状态地址自动配置 |
其它标记 |
如果选中其它配置标记,则表示PC应该向DHCPv6服务器请求DNS配置信息 |
如需添加新的路由前缀,可点击“前缀信息配置”框中的<新建>按钮,进入如图1-3所示的配置页面。通过该页面添加前缀信息,各个配置项的含义如表1-2所示。
标题项 |
说明 |
路由前缀 |
通告的网段前缀,PC可使用该前缀进行无状态地址自动配置 |
有效生存期 |
通过该网段前缀进行无状态地址自动配置生成地址后,该地址的有效时间 |
首选生存期 |
通过该网段前缀进行无状态地址自动配置生成地址后,该地址的优先使用时间 |
在链路标记 |
如果选中该标记,则表示可使用该前缀进行判定是否与其它主机在同一链路上 |
自治标记 |
如果选中该标记,则表示可使用该前缀进行无状态地址自动配置 |
通过菜单“网络配置 > IPv6网络 > IPv6隧道”,进入IPv6隧道页面,如图1-4所示。在该页面上可以新建、编辑、删除、浏览IPv6隧道。
图1-4 IPv6隧道概览页面
点击<新建>按钮,进入IPv6隧道的新建页面,如图1-5所示。各个配置项的含义如表1-3所示。
图1-5 IPv6隧道新建页面
表1-3 IPv6隧道各个配置项含义描述表
标题项 |
说明 |
名称 |
tunnel前缀加上tunnel id即为tunnel接口的名称 |
隧道模式 |
该隧道采用的隧道模式,有三种模式,分别为: · 手动隧道 · isatap隧道 · 6to4隧道 |
隧道源 |
指定封装隧道报文时,用哪个地址作为外层的源IPv4地址 可以使用指定的地址作为隧道源地址,也可以使用某个接口的主IP地址作为隧道源地址 |
源地址 |
指定封装隧道报文时,作为外层封装的IPv4报文的源地址 |
隧道目的 |
指定封装隧道报文时,作为外层封装的IPv4报文的目的地址 |
IPv6地址 |
配置隧道接口的IPv6主地址,只有隧道模式选择istap模式才需要配置 |
点击<提交>按钮,提交配置。提交配置后可在如图1-6所示的页面上查看配置的IPv6隧道信息。
图1-6 IPv6隧道信息
点击<编辑>按钮,可对选中条目进行编辑。
点击<删除>按钮,可对选中条目进行删除。
通过菜单“网络配置 > IPv6网络 > IPv6静态路由”,进入IPv6静态路由页面,如图1-7所示。在该页面上可以新建、删除、浏览IPv6静态路由。
图1-7 IPv6静态路由页面
点击<新建>按钮,进入IPv6静态路由的新建页面,如图1-8所示。各个配置项的含义如表1-4所示。
图1-8 IPv6静态路由新建页面
表1-4 IPv6静态路由各项配置含义描述表
标题项 |
说明 |
目的前缀 |
静态路由的目的网络前缀 |
掩码长度 |
静态路由的目的网络的前缀长度 |
下一跳/出接口 |
静态路由的下一跳,为IP地址或接口 |
下一跳 |
静态路由的下一跳使用指定的地址作为网关地址 |
出接口 |
静态路由的下一跳使用指定的接口作为下一跳的出接口 |
点击<提交>按钮,提交配置。提交配置后可在如图1-9所示的页面上查看配置的IPv6静态路由信息。
图1-9 IPv6静态路由信息
点击<删除>按钮,可对选中条目进行删除。
通过菜单“网络配置 > IPv6网络 > IPv6路由表”,进入IPv6路由表,如图1-10所示。在该页面上可以浏览所有IPv6路由。
图1-10 IPv6路由表
通过菜单“安全防护 > 网络层攻击防护 > 异常包攻击防御 > IPv6异常包攻击防御”,进入IPv6路由表,如图1-11所示。在该页面上可以配置IPv6异常包攻击防御。各个配置项的含义如表1-5所示。
图1-11 IPv6异常包攻击防御配置页面
表1-5 IPv6异常包攻击防御配置项含义描述表
标题项 |
说明 |
Winnuke |
winnuke报文攻击 |
Land-Base |
Land-base报文攻击 |
TCP flag |
异常的TCP flag报文攻击 |
Fraggle |
fraggle报文攻击 |
IP spoof |
IP地址欺骗攻击 |
IPv6安全策略对通过SecPath ACG设备的源接口,目的接口,源ip,目的ip,服务,用户,以及应用七元组进行访问控制。(目前仅支持源接口、目的接口、源ip、目的ip、服务五元组的匹配,用户和应用默认是any,不支持修改。)
通过菜单“上网行为管理 > 策略配置 > IPv6策略”,进入IPv6策略配置页面,如图1-12所示。在该页面上可以新建、删除、启用、禁用、优先策略。
图1-12 IPv6策略概览页面
点击<新建>按钮,进入IPv6策略的新建页面,如图1-13所示。各个配置项的含义如表1-6所示。
图1-13 IPv6策略新建页面
表1-6 IPv6策略各个配置项含义描述表
标题项 |
说明 |
行为 |
策略的动作,允许配置的动作为拒绝、允许 · 允许:匹配到该条策略时放行 · 拒绝:匹配到该条策略时阻断 |
启用 |
策略启用和禁用,勾选表示开启策略,不勾选表示禁用策略 |
源接口/域 |
安全策略指定的源接口 |
源地址 |
匹配安全策略的源地址 |
用户 |
匹配安全策略的用户对象,默认是any,不允许修改 |
目的接口/域 |
安全策略指定的目的接口 |
目的地址 |
匹配安全策略的目的地址 |
应用 |
安全策略匹配的应用,默认是any,不允许修改 |
服务 |
安全策略匹配的服务,可选择预定义和自定义的服务类型 |
时间 |
该条策略的用于进行匹配的时间段 |
点击<提交>,提交配置。提交配置后可在如图1-14所示的页面上查看配置的IPv6安全策略的配置信息。
图1-14 IPv6安全策略配置信息
点击<编辑>按钮,可以编辑选中的条目。
点击<删除>按钮,可以删除选中的条目。
点击<启用>按钮,可以启用选中的条目。
点击<禁用>按钮,可以禁用选中的条目。
点击<匹配次数清零>按钮,可以清零选中条目的匹配次数。
点击<允许>或<拒绝>按钮,可以启用或禁用默认策略规则。
当策略条目多于1条时,可以使用“优先级”调整策略匹配的优先级。
选中某条策略,点击<优先级>按钮,配置策略匹配的优先级,进入如图1-15所示页面。各个配置项的含义如表1-7所示。
标题项 |
说明 |
被移动策略ID |
被移动的策略的ID |
目标位置 |
有四个选项,如下: · 策略最前:第一条策略,最先被匹配的策略 · 策略ID之前:被移动策略移动到目标策略之前 · 策略ID之后:被移动策略移动到目标策略之后 · 策略最后:最后一条策略,最后被匹配的策略 |
目标位置策略ID |
作为被移动策略的目标策略的ID |
要求ACG发布路由通告信息,对网络内的主机进行无状态地址自动配置。
图1-16 路由通告配置组网图
· 在ACG的接口ge0上配置RA,发布前缀为3004::/64的前缀。
· HostA和HostB收到ACG的RA信息,自动生成前缀为3004::/64的IPv6地址。
# 按图1-17所示配置路由通告。
在ACG设备上使用display ipv6 rtadv-conf 验证配置结果。
host# display ipv6 rtadv-conf ge0
ipv6 nd rtadv disable (suppress ra)
---------------------------------------------------
Field-name Value Units
---------------------------------------------------
link-mtu 0 byte
hop-limit 64 -
ra-maxinterval 600 second
ra-mininterval 198 second
reachable-time 0 millisecond
ns-retrans-interval 0 millisecond
other-config-flag false -
managed-config-flag false -
default-rt-lifetime 1800 second
----------------------------------------------------------------------------------------
Prefix Valid-lifetime Preferred-lifetime On-link Autonomous ----------------------------------------------------------------------------------------
3004::/64 2592000 604800 true true
如图1-18所示,两个IPv6网络分别通过ACG A和ACG B与IPv4网络连接,ACG A与ACG B之间路由可达,要求在ACG A和ACG B之间建立IPv6手动隧道,使两个IPv6网络可以互通。
图1-18 IPv6手动隧道组网图
(1) 按照图1-18组网。
(2) ACG A配置IPv6手动隧道。如图1-19所示。
图1-19 ACG A配置页面
(3) 配置ACG B手动隧道。如图1-20所示。
图1-20 配置ACG B手动隧道
(4) 配置主机。
配置Host A的IPv6地址为2003:7856::3/64,默认网关配置为ACG A的ge0口的地址2003:7856::1。
配置Host B的IPv6地址为3003:7856::3/64,默认网关配置为ACG B的ge0口的地址3003:7856::1。
在HostB上ping 2003:7856::3 来验证。
hostA# ping6 2003:7856::3
PING 2003:7856::3 (3003:7856::3) 56 data bytes
seq ttl time(ms)
1 128 1.178
2 128 1.339
3 128 1.053
4 128 1.111
5 128 1.170
--- 2003:7856::3 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms
要求各问题重复之间配置IPv6静态路由协议后,可以使所有主机和问题重复之间互通。
(1) 如图1-21所示,给各个设备的相应接口上配置IPv6地址(略)。
(2) 配置IPv6静态路由。
# 在ACG A上配置IPv6缺省路由,如图1-22所示。
图1-22 配置ACG A静态路由
# 在ACG B上配置静态路由。如图1-23所示。
图1-23 配置ACG B静态路由
# 在ACG C上配置静态路由。如图1-24所示。
图1-24 配置ACG C静态路由
(3) 配置主机地址和网关。
根据组网图配置好各主机的IPv6地址,并将HostA的缺省网关配置为2002::1,HostB的缺省网关配置为2001::1/64,HostC的缺省网关配置为2003::1。
# 在ACG B上执行ping6命令验证。
hostB# ping6 2002::2
PING 2002::2 (2002::2) 56 data bytes
seq ttl time(ms)
1 128 1.178
2 128 1.339
3 128 1.053
4 128 1.111
5 128 1.170
--- 2002::2 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms
设备作为网关,内网用户通过设备访问外网资源。
· 内网PC通过ge1口进入设备,从ge0口接入外网。
· 在设备上配置对icmpv6流量的阻断。
· 其它流量均允许通过设备。
(1) 按图1-25组网。
(2) 按图1-26所示配置IPv6策略。
网关设备和链路均正常工作时,局域网内主机和外网的通讯正常。除了icmpv6报文外,其余报文能够正常通过设备。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!