Sadržaj sakriti
1 Korisnički vodič za bežični kontroler CISCO IPv6 Clients
2 Mobilnost IPv6 klijenata
3 Preduvjeti za konfiguriranje IPv6 mobilnosti
4 Ograničenja u konfiguraciji IPv6 mobilnosti
5 RA Guard
6 IPv6 Neighbor Discovery
7 Dokumenti / Resursi
7.1 Reference

Korisnički vodič za bežični kontroler CISCO IPv6 Clients

CISCO IPv6 klijenti bežični kontroler.jpg

 

Mobilnost IPv6 klijenata

Internet Protocol verzija 6 (IPv6) je Internet protokol mrežnog sloja sljedeće generacije namijenjen zamjeni
verzija 4 (IPv4) u TCP/IP paketu protokola. Ova nova verzija povećava internet globalni adresni prostor
kako bi se prilagodili korisnicima i aplikacijama koje zahtijevaju jedinstvene globalne IP adrese. IPv6 uključuje 128-bit
izvorne i odredišne ​​adrese, koje pružaju znatno više adresa od 32-bitnih IPv4 adresa.
Kako bi se podržali IPv6 klijenti na svim kontrolerima, ICMPv6 poruke se moraju posebno tretirati kako bi se osiguralo IPv6
klijent ostaje na istoj mreži Layer 3. Kontroleri prate IPv6 klijente presretanjem
ICMPv6 poruke za pružanje besprijekorne mobilnosti i zaštitu mreže od mrežnih napada. ICMPv6
paketi se konvertuju iz multicast u unicast i isporučuju pojedinačno po klijentu. Ovaj proces dozvoljava
više kontrole. Određeni klijenti mogu primiti specifične pakete Neighbor Discovery i Router Advertisement,
koji osigurava ispravno IPv6 adresiranje i izbjegava nepotreban multicast promet.
Konfiguracija za IPv6 mobilnost je ista kao i za IPv4 mobilnost i ne zahtijeva poseban softver na uređaju
strani klijenta kako bi se postigao besprijekoran roming. Kontrolori moraju biti dio iste grupe mobilnosti. Oba IPv4
i mobilnost IPv6 klijenata su podrazumevano omogućeni.

 

Preduvjeti za konfiguriranje IPv6 mobilnosti

• Može se pratiti do osam adresa klijenata po klijentu.
• Da biste omogućili pravilno funkcionisanje DHCPv6 IP adresiranja sa stanjem, morate imati prekidač ili ruter koji
podržava funkciju DHCP za IPv6 koja je konfigurirana da djeluje kao DHCPv6 server ili vam je potreban namjenski
server kao što je Windows 2008 server sa ugrađenim DHCPv6 serverom.

Da biste podržali besprijekornu IPv6 mobilnost, možda ćete morati konfigurirati sljedeće:

  • Konfiguriranje RA Guard-a za IPv6 klijente
  • Konfiguriranje RA Throttling za IPv6 klijente
  • Konfiguriranje IPv6 Neighbor Discovery keširanja

 

Ograničenja u konfiguraciji IPv6 mobilnosti

• Funkcija Dynamic VLAN za IPv6 nije podržana.
• Roaming IPv6 klijenata koji su povezani sa WLAN mrežom koja je mapirana na untagged interfejs na drugi WLAN koji je mapiran na a tagged interfejs nije podržan.
• Kontroleri koji imaju istu grupu mobilnosti, isti VLAN ID i različite IPv4 i IPv6 podmreže, generišu različite IPv6 reklame rutera. WLAN na ovim kontrolerima je dodijeljen istom dinamičkom sučelju sa istim VLAN ID-om na svim kontrolerima. Klijent prima ispravnu IPv4 adresu; međutim, prima reklamu rutera iz različitih podmreža koje dopiru do drugih kontrolera.
Može postojati problem da nema saobraćaja od klijenta jer se prva data IPv6 adresa klijentu ne podudara sa podmrežom za IPv4 adresu. Da biste to riješili, uvjerite se da je izvođenje Layer 3 luta između kontrolera da je klijent dodijeljen različitim VLAN-ovima.
• IPv6 nije podržan u Flex lokalnom prebacivanju sa AAA nadjačavanjem VLAN-a.
• IPv6 ping od kontrolera do klijenta nije podržan ako je klijent u podmreži za upravljanje.
• Kontrolor šalje sav IPv6 saobraćaj aplikacije na gateway čak i ako je host u istoj podmreži. Gateway prosljeđuje promet do hosta u istoj podmreži. Ako je mrežni prolaz Cisco ASA, prema zadanim postavkama, Cisco ASA odbacuje saobraćaj koji kontrolor šalje na gateway, ako se saobraćaj mora poslati na istu podmrežu. To je zato što je ulazni i izlazni interfejs isti. Da dozvoli Cisco ASA da prosleđuje
ovog saobraćaja, koristite komandu unutar interfejsa iste-security-traffic permit u Cisco ASA. Za više informacija pogledajte https://www.cisco.com/c/en/us/td/docs/security/asa/asa92/configuration/vpn/asa-vpn-cli/vpn-params.html#56144.

 

Globalni IPv6

Ovaj odjeljak sadrži sljedeće pododjeljke:

Ograničenja za globalni IPv6
• IPv4 adresa mora biti konfigurisana na interfejsu pre konfigurisanja IPv6 adrese.

Globalno konfiguriranje IPv6 (GUI)
Procedura
Korak 1 Izaberi Kontroler > General.

Korak 2 Sa padajuće liste Global IPv6 Config izaberite Omogućeno or Onemogućeno.
Korak 3 Kliknite Prijavite se.
Korak 4 Kliknite Sačuvaj konfiguraciju.

Globalno konfiguriranje IPv6 (CLI)
Procedura
• Omogućite ili onemogućite IPv6 globalno unošenjem ove komande: config ipv6 {enable | onemogućiti}

 

RA Guard

IPv6 klijenti konfigurišu IPv6 adrese i popunjavaju svoje tabele rutera na osnovu IPv6 paketa oglasa za ruter (RA). Funkcija RA Guard slična je funkciji RA Guard žičanih mreža. RA Guard povećava sigurnost IPv6 mreže odbacivanjem neželjenih ili lažnih RA paketa koji dolaze od bežičnih klijenata. Ako ova funkcija nije konfigurirana, zlonamjerni IPv6 klijenti mogli bi se najaviti kao ruter za mrežu, što bi imalo veći prioritet u odnosu na legitimne IPv6 rutere.

RA Guard se javlja na kontroleru. Možete konfigurirati kontroler da ispušta RA poruke na pristupnoj tački ili na kontroleru. Podrazumevano, RA Guard je konfigurisan na pristupnoj tački i takođe omogućen u kontroleru. Sve IPv6 RA poruke se odbacuju, što štiti druge bežične klijente i uzvodnu ožičenu mrežu od zlonamjernih IPv6 klijenata.

Napomena

  • IPv6 RA guard funkcija radi samo na bežičnim klijentima. Ova funkcija ne radi na ožičenom pristupu za goste (GA).
  • RA guard je takođe podržan u Flex Connect režimu lokalnog prebacivanja.

Ovaj odjeljak sadrži sljedeće pododjeljke:

Konfiguriranje RA Guard-a (GUI)
Procedura
Korak 1 Odaberite Controller > IPv6 > RA Guard da otvorite stranicu IPv6 RA Guard. Podrazumevano je omogućen IPv6 RA Guard na AP-u.
Korak 2 Sa padajuće liste izaberite Onemogući da biste onemogućili RA Guard. Kontroler također prikazuje klijente koji su identificirani da šalju RA pakete.
Korak 3 Kliknite na Primijeni da unesete svoje promjene.

Korak 4 Kliknite na Sačuvaj konfiguraciju da sačuvate promene.

Konfiguriranje RA Guard-a (CLI)
Procedura
• Konfigurišite RA Guard unošenjem ove komande: config ipv6 ra-guard ap {enable | onemogućiti}

RA Throttling
RA prigušivanje omogućava kontroleru da nametne ograničenja za RA pakete koji se kreću prema bežičnoj mreži. Omogućavanjem RA throttlinga, ruteri koji šalju mnogo RA paketa mogu se smanjiti na minimalnu frekvenciju koja će i dalje održavati IPv6 klijentsku povezanost. Ako klijent pošalje RS paket, tada se RA šalje nazad klijentu.
Ovo je dozvoljeno preko kontrolora i jednostruko predato klijentu. Ovaj proces osigurava da na nove klijente ili klijente u romingu ne utiče RA prigušivanje.
Ovaj odjeljak sadrži sljedeće pododjeljke:

Konfiguriranje RA prigušivanja (GUI

Procedura

Korak 1 Odaberite Controller > IPv6 > RA Throttle Policy stranica. Prema zadanim postavkama, IPv6 RA Politika gasa je onemogućena.
Poništite izbor u polju za potvrdu da biste onemogućili RA politiku gasa.

Korak 2 Konfigurirajte sljedeće parametre:

  • Period gasa—Period vremena za prigušivanje. RA prigušivanje se dešava tek nakon što se dostigne ograničenje Max Through za VLAN ili kada se dostigne vrijednost Allow At-Most za određeni ruter. Raspon je od 10 sekundi do 86400 sekundi. Podrazumevano je 600 sekundi.
  • Max Through—Maksimalni broj RA paketa na VLAN-u koji se može poslati prije nego što dođe do prigušenja. Opcija No Limit dozvoljava neograničen broj RA paketa bez ograničenja.
    Raspon je od 0 do 256 RA paketa. Podrazumevano je 10 RA paketa.
  • Interval Opcija—Ova opcija dozvoljava kontroleru da djeluje drugačije na osnovu RFC 3775 vrijednosti postavljene u IPv6 RA paketima.
  • Passthrough— Dozvoljava prolazak bilo koje RA poruke s opcijom intervala RFC 3775 bez prigušivanja.
  • Ignoriraj—uzrokuje RA prigušivanje da tretira pakete s opcijom intervala kao običan RA i podliježe smanjenju ako je na snazi.
  • Prigušivanje—uzrokuje da RA paketi s opcijom intervala uvijek podliježu ograničenju brzine.
  • Dozvoli najmanje—Minimalni broj RA paketa po ruteru koji se može poslati kao višestruko slanje prije nego što dođe do regulacije. Raspon je od 0 do 32 RA paketa.
  • Dozvoli najviše—Maksimalni broj RA paketa po ruteru koji se mogu poslati kao višestruko slanje prije nego što dođe do regulacije. Opcija No Limit dozvoljava neograničen broj RA paketa kroz ruter.
    Raspon je od 0 do 256 RA paketa.

Napomena Kada dođe do RA prigušenja, dozvoljen je prolaz samo prvom ruteru sposobnom za IPv6. Za mreže koje imaju više IPv6 prefiksa koje opslužuju različiti ruteri, trebali biste onemogućiti RA prigušivanje.

Korak 3 Sačuvajte konfiguraciju.

 

Konfiguriranje RA prigušne politike (CLI)

Procedura
Konfigurirajte RA politiku gasa unosom ove naredbe:
config ipv6 neigbhor-binding ra-throttle {allow at-least at-least-value | omogućiti | onemogućiti | interval-option { ignore | prolaz | gas} | max-kroz {max-kroz-vrijednost | bez ograničenja}}

 

IPv6 Neighbor Discovery

IPv6 Neighbor Discovery je skup poruka i procesa koji određuju odnose između susjednih čvorova. Neighbor Discovery zamjenjuje ARP, ICMP Router Discovery i ICMP Redirect koji se koriste u IPv4.

U svakom trenutku, samo osam IPv6 adresa je podržano po klijentu. Kada se naiđe na devetu IPv6 adresu, kontroler uklanja najstariji zastarjeli unos i prilagođava najnoviji.

Inspekcija IPv6 Neighbor Discovery analizira poruke o otkrivanju susjeda kako bi se izgradila pouzdana baza podataka tablice povezivanja, a IPv6 paketi otkrivanja susjeda koji nisu usklađeni se odbacuju. Tablica povezivanja susjeda u kontroleru prati svaku IPv6 adresu i njenu pridruženu MAC adresu. Klijenti su istekli iz tabele prema tajmerima Neighbor Binding.
Ovaj odjeljak sadrži sljedeće pododjeljke:

 

Konfiguriranje povezivanja susjeda (GUI)
Procedura
Korak 1 Odaberite Controller > IPv6 > Neighbor Binding stranica.
Korak 2 Konfigurirajte sljedeće:

  • Down–Lifetime—Određuje koliko dugo se unosi u IPv6 keš memoriju čuvaju ako se interfejs pokvari. Raspon je od 0 do 86400 sekundi.
  • Dostupan–životni vijek—Određuje koliko dugo su aktivne IPv6 adrese. Raspon je od 0 do 86400 sekundi.
  • Stale–Lifetime—Određuje koliko dugo će se IPv6 adrese zadržati u kešu. Raspon je od 0 do 86400 sekundi.

Korak 3 Omogućite ili onemogućite Unknown Address Multicast NS Forwarding.
Korak 4 Omogućite ili onemogućite NA Multicast prosljeđivanje.
Ako omogućite NA višestruko prosljeđivanje, sav neželjeni multicast NA sa ožičenog/bežičnog ne prosljeđuje se na bežično.
Korak 5 Kliknite na Apply.
Korak 6 Kliknite na Sačuvaj konfiguraciju.

Konfiguriranje povezivanja susjeda (CLI)
Procedura

  • Konfigurišite parametre povezivanja susjeda unošenjem ove naredbe: config ipv6 susjed-vezujući tajmeri {down-lifetime | dosegljiv-životni vijek | stale-lifetime} {enable | onemogućiti}
  • Konfigurišite Unknown Address Multicast NS Forwarding unosom ove komande: config ipv6 ns-mcast-fwd {enable | onemogućiti}
  • Konfigurišite NA Multicast prosleđivanje unosom ove komande: config ipv6 na-mcast-fwd {enable | onemogućiti}
    Ako omogućite NA višestruko prosljeđivanje, sav neželjeni multicast NA sa ožičenog/bežičnog ne prosljeđuje se na bežično.
  • Pogledajte status podataka vezanih za susjede koji su konfigurirani na kontroleru unosom ove naredbe: prikaži ipv6 summary-binding summary

 

Pročitajte više o ovom priručniku i preuzmite PDF:

Dokumenti / Resursi

CISCO IPv6 klijent bežični kontroler [pdf] Korisnički priručnik
IPv6 klijenti bežični kontroler, klijenti bežični kontroler, bežični kontroler, kontroler

Reference

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *