■ 湖南 周序生
编者按:随着移动互联网、物联网、工业4.0等新兴产业迅速发展,当前互联网(IPv4)地址已分配殆尽,而下一代互联网(IPv6)拥有足够IP地址长度,广阔的网络地址空间完全满足发展需要,IPv6经过二十多年的发展,目前IPv6技术应用完全成熟。下面以某高校园区网为例,探讨如何实现IPV6地址分配及要注意的问题。
某高校学生宿舍区已实现扁平化改造,认证及地址分配全部集中在锐 捷N18014核心交换机上,下联用户约35000人,采 用dot1x及Web认证,现申请到2001:DA8:D021::/48这一段IPV6的地址,拟分配给用户使用,希望快速部署。
因无状态IPv6地址获取的功能主要是运用在三层交换机作为局域网用户的网关,需要启用v4/v6双栈服务,下联的主机用户有访问IPv6资源的需要,但是由于IPv6的地址有128位之多,配置起来复杂而且还容易出错,所以希望各主机能够不用配置即可获取到IPv6的前缀和网关信息,实现IPv6的即插即用的特点。
故考虑在用户的网关上启用无状态IPv6地址分配功能,给下联的各主机分配IPv6地址前缀及网关信息。
一个主机的IPv6地址由前缀和接口ID组成,接口ID的长度固定是64位,可以由48位MAC地址自动生成64位Interface ID,通常称为EUI-64。IPv6前缀的实际作用是标识主机与路由器之间的网络。主机需要的这个前缀就是网关的前缀。为了自动获得这个前缀,只要在网关交换机和主机之间运行一个协议即可。
使用NDP协议的Router Solicitation恳求和Router Advertisement通告消息,前者用于发现网关,并促使网关发送Router Advertiseme nt消息通报前缀信息给主机。RA中 包含前缀、生存期、缺省网关等信息。
注 意 :RA通告无法下发DNS域名服务器的IPv6地址信息缺省路由通告关闭,需在接口下使用 no ipv6 nd suppress-ra开启这个功能。
1.在核心交换机上开启IPv6功能,并super vlan上配置IPv6地址;
2.在用户的网关上(vlan 3999接口上)开启RA通告。
1.开启IPv6路由功能,配置如下:
HX-H18014>enable
HX-H18014#configure terminal
HX-H18014(config)#ipv 6 unicast-r o u t i n g------>开启IPv6路由功能
HX-H18014(config)#end
2.接口下配置IPv6地址,并在接口下使能IPv6
HX-H18014#conf t
HX-H18014(config)#
HX-H18014(config)#int erface VLAN 3999
HX-H18014(config-if-VLAN 3999)# ipv6 address 2001:DA8:D021:C::1/64---->配置接口IPv6地址
HX-H18014(config-if-VLAN 3999)#ipv6 enable---->接口下开启IPv6功能
HX-H18014(config-if-VLAN 3999)#no ipv6 nd suppress-ra ---->开启路由通告功能
HX-H18014(config-if-VLAN 3999)#end
HX-H18014#wr
1.如果开启了DOT1X及WEB认证,需要在全局模式把宽松模式加上,之前因为没有加上,导致只能看到接口的v6地址,开启功能如下:
HX-H18014(config)#add ress-bind ipv6-mode loose
2.无状态只能分配/64前缀,之前分配了/56的前缀,导致核心上无法分配ipv6地址下去。
通过sh ipv6 neighbors及认证管理平台或客户端可以看到分派效果。配置后约10000人获取到地址。