目录 1 IPv6 基础配置 IPv6 简介 IPv6 协议特点 IPv6 地址介绍 IPv6 邻居发现协议介绍 IPv6 PMTU 发现 IPv6 过

Transcription

1 目录 1 IPv6 基础配置 IPv6 简介 IPv6 协议特点 IPv6 地址介绍 IPv6 邻居发现协议介绍 IPv6 PMTU 发现 IPv6 过渡技术介绍 协议规范 IPv6 基础配置任务简介 配置 IPv6 基本功能 使能 IPv6 报文转发功能 配置 IPv6 全球单播地址 配置 IPv6 链路本地地址 配置 IPv6 任播地址 配置 IPv6 邻居发现协议 配置静态邻居表项 配置接口上允许动态学习的邻居的最大个数 配置 STALE 状态 ND 表项的老化时间 配置 RA 消息的相关参数 配置重复地址检测时发送邻居请求消息的次数 配置 PMTU 发现 配置指定地址的静态 PMTU 配置 PMTU 老化时间 配置 TCP 配置 ICMPv6 报文发送 配置指定时间内发送 ICMPv6 差错报文的最大个数 配置允许回复组播形式的 Echo request 报文 配置 ICMPv6 超时差错报文发送功能 配置 ICMPv6 目的不可达差错报文发送功能 IPv6 基础显示和维护 IPv6 基础典型配置举例 常见配置错误举例 i

2 1 IPv6 基础配置 本系列产品未形成 IRF 时, 适用本手册中的 分布式设备 的情况 ; 形成 IRF 后则适用本手册中的 分布式 IRF 设备 的情况 有关 IRF 特性的详细介绍, 请参见 IRF 配置指导 本文中所指的 接口 包括 Vlan 接口 三层以太网端口等 三层以太网端口是指被配置为三层模式的以太网端口, 有关以太网端口模式切换的操作, 请参见 二层技术 - 以太网交换配置指导 中的 以太网端口配置 1.1 IPv6 简介 IPv6(Internet Protocol Version 6, 因特网协议版本 6) 是网络层协议的第二代标准协议, 也被称为 IPng(IP Next Generation, 下一代因特网 ), 它是 IETF(Internet Engineering Task Force, 互联网工程任务组 ) 设计的一套规范, 是 IPv4 的升级版本 IPv6 和 IPv4 之间最显著的区别为 :IP 地址的长度从 32 比特增加到 128 比特 IPv6 协议特点 1. 简化的报文头格式通过将 IPv4 报文头中的某些字段裁减或移入到扩展报文头, 减小了 IPv6 基本报文头的长度 IPv6 使用固定长度的基本报文头, 从而简化了转发设备对 IPv6 报文的处理, 提高了转发效率 尽管 IPv6 地址长度是 IPv4 地址长度的四倍, 但 IPv6 基本报文头的长度只有 40 字节, 为 IPv4 报文头长度 ( 不包括选项字段 ) 的两倍 图 1-1 IPv4 报文头和 IPv6 基本报文头格式比较 Ver IHL ToS Total length Identification Fragment offset TTL Protocol Header checksum F Traffic Ver class Payload length Flow label Next header Hop limit Source address (32 bits) Destination address (32 bits) Source address (128 bits) Options Padding IPv4 header Destination address (128 bits) Basic IPv6 header 1-1

3 2. 充足的地址空间 IPv6 的源地址与目的地址长度都是 128 比特 (16 字节 ) 它可以提供超过 种可能的地址空间, 完全可以满足多层次的地址划分需要, 以及公有网络和机构内部私有网络的地址分配 3. 层次化的地址结构 IPv6 的地址空间采用了层次化的地址结构, 有利于路由快速查找, 同时可以借助路由聚合, 有效减少 IPv6 路由表占用的系统资源 4. 地址自动配置为了简化主机配置,IPv6 支持有状态地址配置和无状态地址配置 : 有状态地址配置是指从服务器 ( 如 DHCP 服务器 ) 获取 IPv6 地址及相关信息 ; 无状态地址配置是指主机根据自己的链路层地址及路由器发布的前缀信息自动配置 IPv6 地址及相关信息 同时, 主机也可根据自己的链路层地址及默认前缀 (FE80::/10) 形成链路本地地址, 实现与本链路上其他主机的通信 5. 内置安全性 IPv6 将 IPSec 作为它的标准扩展头, 可以提供端到端的安全特性 这一特性也为解决网络安全问题提供了标准, 并提高了不同 IPv6 应用之间的互操作性 6. 支持 QoS IPv6 报文头的流标签 (Flow Label) 字段实现流量的标识, 允许设备对某一流中的报文进行识别并提供特殊处理 7. 增强的邻居发现机制 IPv6 的邻居发现协议是通过一组 ICMPv6(Internet Control Message Protocol for IPv6,IPv6 互联网控制消息协议 ) 消息实现的, 管理着邻居节点间 ( 即同一链路上的节点 ) 信息的交互 它代替了 ARP(Address Resolution Protocol, 地址解析协议 ) ICMPv4 路由器发现和 ICMPv4 重定向消息, 并提供了一系列其他功能 8. 灵活的扩展报文头 IPv6 取消了 IPv4 报文头中的选项字段, 并引入了多种扩展报文头, 在提高处理效率的同时还大大增强了 IPv6 的灵活性, 为 IP 协议提供了良好的扩展能力 IPv4 报文头中的选项字段最多只有 40 字节, 而 IPv6 扩展报文头的大小只受到 IPv6 报文大小的限制 IPv6 地址介绍 1. IPv6 地址表示方式 IPv6 地址被表示为以冒号 (:) 分隔的一连串 16 比特的十六进制数 每个 IPv6 地址被分为 8 组, 每组的 16 比特用 4 个十六进制数来表示, 组和组之间用冒号隔开, 比如 : 2001:0000:130F:0000:0000:09C0:876A:130B 为了简化 IPv6 地址的表示, 对于 IPv6 地址中的 0 可以有下面的处理方式 : 每组中的前导 0 可以省略, 即上述地址可写为 2001:0:130F:0:0:9C0:876A:130B 如果地址中包含连续两个或多个均为 0 的组, 则可以用双冒号 :: 来代替, 即上述地址可写为 2001:0:130F::9C0:876A:130B 1-2

4 在一个 IPv6 地址中只能使用一次双冒号 ::, 否则当设备将 :: 转变为 0 以恢复 128 位地址时, 将无法确定 :: 所代表的 0 的个数 IPv6 地址由两部分组成 : 地址前缀与接口标识 其中, 地址前缀相当于 IPv4 地址中的网络号码字段部分, 接口标识相当于 IPv4 地址中的主机号码部分 地址前缀的表示方式为 :IPv6 地址 / 前缀长度 其中,IPv6 地址是前面所列出的任一形式, 而前缀长度是一个十进制数, 表示 IPv6 地址最左边多少位为地址前缀 2. IPv6 的地址分类 IPv6 主要有三种类型的地址 : 单播地址 组播地址和任播地址 单播地址 : 用来唯一标识一个接口, 类似于 IPv4 的单播地址 发送到单播地址的数据报文将被传送给此地址所标识的接口 组播地址 : 用来标识一组接口 ( 通常这组接口属于不同的节点 ), 类似于 IPv4 的组播地址 发送到组播地址的数据报文被传送给此地址所标识的所有接口 任播地址 : 用来标识一组接口 ( 通常这组接口属于不同的节点 ) 发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近 ( 根据使用的路由协议进行度量 ) 的一个接口 IPv6 中没有广播地址, 广播地址的功能通过组播地址来实现 IPv6 地址类型是由地址前面几位 ( 称为格式前缀 ) 来指定的, 主要地址类型与格式前缀的对应关系 如表 1-1 所示 表 1-1 地址类型与格式前缀的对应关系 地址类型 格式前缀 ( 二进制 ) IPv6 前缀标识 未指定地址 (128 bits) ::/128 环回地址 (128 bits) ::1/128 单播地址 链路本地地址 FE80::/10 站点本地地址 FEC0::/10 全球单播地址其他形式 - 组播地址 FF00::/8 任播地址 从单播地址空间中进行分配, 使用单播地址的格式 3. 单播地址的类型 IPv6 单播地址的类型可有多种, 包括全球单播地址 链路本地地址和站点本地地址等 1-3

5 全球单播地址等同于 IPv4 公网地址, 提供给网络服务提供商 这种类型的地址允许路由前缀的聚合, 从而限制了全球路由表项的数量 链路本地地址用于邻居发现协议和无状态自动配置中链路本地上节点之间的通信 使用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上 站点本地地址与 IPv4 中的私有地址类似 使用站点本地地址作为源或目的地址的数据报文不会被转发到本站点 ( 相当于一个私有网络 ) 外的其它站点 环回地址 : 单播地址 0:0:0:0:0:0:0:1( 简化表示为 ::1) 称为环回地址, 不能分配给任何物理接口 它的作用与在 IPv4 中的环回地址相同, 即节点用来给自己发送 IPv6 报文 未指定地址 : 地址 :: 称为未指定地址, 不能分配给任何节点 在节点获得有效的 IPv6 地址之前, 可在发送的 IPv6 报文的源地址字段填入该地址, 但不能作为 IPv6 报文中的目的地址 4. 组播地址表 1-2 所示的组播地址, 是预留的特殊用途的组播地址 表 1-2 预留的 IPv6 组播地址列表 地址 应用 FF01::1 FF02::1 FF01::2 FF02::2 FF05::2 表示节点本地范围所有节点的组播地址表示链路本地范围所有节点的组播地址表示节点本地范围所有路由器的组播地址表示链路本地范围所有路由器的组播地址表示站点本地范围所有路由器的组播地址 另外, 还有一类组播地址 : 被请求节点 (Solicited-Node) 地址 该地址主要用于获取同一链路上邻居节点的链路层地址及实现重复地址检测 每一个单播或任播 IPv6 地址都有一个对应的被请求节点地址 其格式为 : FF02:0:0:0:0:1:FFXX:XXXX 其中,FF02:0:0:0:0:1:FF 为 104 位固定格式 ;XX:XXXX 为单播或任播 IPv6 地址的后 24 位 5. IEEE EUI-64 格式的接口标识符 IPv6 单播地址中的接口标识符用来标识链路上的一个唯一的接口 目前 IPv6 单播地址基本上都要求接口标识符为 64 位 不同接口的 IEEE EUI-64 格式的接口标识符的生成方法不同, 分别介绍如下 : 所有 IEEE 802 接口类型 ( 例如,VLAN 接口 ):IEEE EUI-64 格式的接口标识符是从接口的链路层地址 (MAC 地址 ) 变化而来的 IPv6 地址中的接口标识符是 64 位, 而 MAC 地址是 48 位, 因此需要在 MAC 地址的中间位置 ( 从高位开始的第 24 位后 ) 插入十六进制数 FFFE ( ) 为了表示这个从 MAC 地址得到的接口标识符是全球唯一的, 还要将 Universal/Local (U/L) 位 ( 从高位开始的第 7 位 ) 设置为 1 最后得到的这组数就作为 EUI-64 格式的接口标识符 1-4

6 图 1-2 MAC 地址到 EUI-64 格式接口标识符的转换过程 Tunnel 接口 :IEEE EUI-64 格式的接口标识符的低 32 位为 Tunnel 接口的源 IPv4 地址,ISATAP 隧道的接口标识符的高 32 位为 0000:5EFE, 其他隧道的接口标识符的高 32 位为全 0 关于各种隧道的介绍, 请参见 三层技术 -IP 业务配置指导 中的 隧道 其他接口类型 :IEEE EUI-64 格式的接口标识符由设备随机生成 IPv6 邻居发现协议介绍 IPv6 邻居发现 (Neighbor Discovery,ND) 协议使用五种类型的 ICMPv6 消息, 实现下面一些功能 : 地址解析 验证邻居是否可达 重复地址检测 路由器发现 / 前缀发现 地址自动配置和重定向等功能 邻居发现协议使用的 ICMPv6 消息的类型及作用如表 1-3 所示 表 1-3 邻居发现协议使用的 ICMPv6 消息类型及作用 ICMPv6 消息类型号作用 邻居请求消息 NS(Neighbor Solicitation) 邻居通告消息 NA(Neighbor Advertisement) 路由器请求消息 RS(Router Solicitation) 路由器通告消息 RA(Router Advertisement) 获取邻居的链路层地址 验证邻居是否可达 进行重复地址检测 对 NS 消息进行响应 节点在链路层变化时主动发送 NA 消息, 向邻居节点通告本节点的变化信息 节点启动后, 通过 RS 消息向路由器发出请求, 请求前缀和其他配置信息, 用于节点的自动配置 对 RS 消息进行响应 在没有抑制 RA 消息发布的条件下, 路由器会周期性地发布 RA 消息, 其中包括前缀信息选项和一些标志位的信息 重定向消息 (Redirect) 137 当满足一定的条件时, 缺省网关通过向源主机发送重定向消息, 使主机重新选择正确的下一跳地址进行后续报文的发送 邻居发现协议提供的主要功能如下 : 1-5

7 1. 地址解析获取同一链路上邻居节点的链路层地址 ( 与 IPv4 的 ARP 功能相同 ), 通过邻居请求消息 NS 和邻居通告消息 NA 实现 如图 1-3 所示, 节点 A 要获取节点 B 的链路层地址 图 1-3 地址解析示意图 (1) 节点 A 以组播方式发送 NS 消息 NS 消息的源地址是节点 A 的接口 IPv6 地址, 目的地址是节点 B 的被请求节点组播地址, 消息内容中包含了节点 A 的链路层地址 (2) 节点 B 收到 NS 消息后, 判断报文的目的地址是否为自己的 IPv6 地址对应的被请求节点组播地址 如果是, 则节点 B 可以学习到节点 A 的链路层地址, 并以单播方式返回 NA 消息, 其中包含了自己的链路层地址 (3) 节点 A 从收到的 NA 消息中就可获取到节点 B 的链路层地址 2. 验证邻居是否可达在获取到邻居节点的链路层地址后, 通过邻居请求消息 NS 和邻居通告消息 NA 可以验证邻居节点是否可达 (1) 节点发送 NS 消息, 其中目的地址是邻居节点的 IPv6 地址 (2) 如果收到邻居节点的确认报文, 则认为邻居可达 ; 否则, 认为邻居不可达 3. 重复地址检测当节点获取到一个 IPv6 地址后, 需要使用重复地址检测功能确定该地址是否已被其他节点使用 ( 与 IPv4 的免费 ARP 功能相似 ) 通过 NS 和 NA 可以实现重复地址检测, 如图 1-4 所示 图 1-4 重复地址检测示意图 Host A Host B 2000::1 ICMP type = 135 Src = :: Dst = FF02::1:FF00:1 NS NA ICMP type = 136 Src = 2000::1 Dst = FF02::1 (1) 节点 A 发送 NS 消息,NS 消息的源地址是未指定地址 ::, 目的地址是待检测的 IPv6 地址对应的被请求节点组播地址, 消息内容中包含了待检测的 IPv6 地址 (2) 如果节点 B 已经使用这个 IPv6 地址, 则会返回 NA 消息 其中包含了自己的 IPv6 地址 1-6

8 (3) 节点 A 收到节点 B 发来的 NA 消息, 就知道该 IPv6 地址已被使用 反之, 则说明该地址未被使用, 节点 A 就可使用此 IPv6 地址 4. 路由器发现 / 前缀发现及地址自动配置路由器发现 / 前缀发现是指节点从收到的 RA 消息中获取邻居路由器及所在网络的前缀, 以及其他配置参数 地址无状态自动配置是指节点根据路由器发现 / 前缀发现所获取的信息, 自动配置 IPv6 地址 路由器发现 / 前缀发现通过路由器请求消息 RS 和路由器通告消息 RA 来实现, 具体过程如下 : (1) 节点启动时, 通过 RS 消息向路由器发出请求, 请求前缀和其他配置信息, 以便用于节点的配置 (2) 路由器返回 RA 消息, 其中包括前缀信息选项 ( 路由器也会周期性地发布 RA 消息 ) (3) 节点利用路由器返回的 RA 消息中的地址前缀及其他配置参数, 自动配置接口的 IPv6 地址及其他信息 前缀信息选项中不仅包括地址前缀的信息, 还包括该地址前缀的首选生命期 (preferred lifetime) 和有效生命期 (valid lifetime) 节点收到周期性发送的 RA 消息后, 会根据该消息更新前缀的首选生命期和有效生命期 在有效生命期内, 自动生成的地址可以正常使用 ; 有效生命期过期后, 自动生成的地址将被删除 5. 重定向功能当主机启动时, 它的路由表中可能只有一条到缺省网关的缺省路由 当满足一定的条件时, 缺省网关会向源主机发送 ICMPv6 重定向消息, 通知主机选择更好的下一跳进行后续报文的发送 ( 与 IPv4 的 ICMP 重定向消息的功能相同 ) 设备在满足下列条件时会发送对主机重定向的 ICMPv6 重定向报文 : 接收和转发数据报文的接口是同一接口 ; 被选择的路由本身没有被 ICMPv6 重定向报文创建或修改过 ; 被选择的路由不是缺省路由 ; 被转发的 IPv6 数据报文中不包含路由扩展头 IPv6 PMTU 发现报文从源端到目的端的传输路径中所经过的链路可能具有不同的 MTU 在 IPv6 中, 当报文的长度大于链路的 MTU 时, 报文的分片将在源端进行, 从而减轻中间转发设备的处理压力, 合理利用网络资源 PMTU(Path MTU, 路径 MTU) 发现机制的目的就是要找到从源端到目的端的路径上最小的 MTU PMTU 的工作过程如图 1-5 所示 1-7

9 图 1-5 PMTU 发现工作过程 MTU = 1500 MTU = 1500 MTU = 1350 MTU = 1400 Source Packet with MTU = 1500 ICMP error: packet too big; use MTU = 1350 Packet with MTU = 1350 Packet received (1) 源端主机按照自己的 MTU 对报文进行分片, 之后向目的主机发送报文 (2) 中间转发设备接收到该报文进行转发时, 如果发现转发报文的接口支持的 MTU 值小于报文长度, 则会丢弃报文, 并给源端返回一个 ICMPv6 差错报文, 其中包含了转发失败的接口的 MTU (3) 源主机收到该差错报文后, 将按照报文中所携带的 MTU 重新对报文进行分片并发送 (4) 如此反复, 直到目的端主机收到这个报文, 从而确定报文从源端到目的端路径中的最小 MTU IPv6 过渡技术介绍在 IPv6 成为主流协议之前, 首先使用 IPv6 协议栈的网络希望能与当前仍被 IPv4 支撑着的 Internet 进行正常通信, 因此必须开发出 IPv4 和 IPv6 互通技术以保证 IPv4 能够平稳过渡到 IPv6 互通技术应该对信息传递做到高效无缝 目前已经出现了多种过渡技术, 这些技术各有特点, 用于解决不同过渡时期 不同环境的通信问题 目前解决过渡问题的基本技术有 2 种 : 双协议栈 (RFC 2893) 和隧道技术 (RFC 2893) 1. 双协议栈双协议栈是一种最简单直接的过渡机制 同时支持 IPv4 协议和 IPv6 协议的网络节点称为双协议栈节点 当双协议栈节点配置 IPv4 地址和 IPv6 地址后, 就可以在相应接口上转发 IPv4 和 IPv6 报文 当一个上层应用同时支持 IPv4 和 IPv6 协议时, 根据协议要求可以选用 TCP 或 UDP 作为传输层的协议, 但在选择网络层协议时, 它会优先选择 IPv6 协议栈 双协议栈技术适合 IPv4 网络节点之间或者 IPv6 网络节点之间通信, 是所有过渡技术的基础 但是, 这种技术要求运行双协议栈的节点有一个全球唯一的地址, 实际上没有解决 IPv4 地址资源匮乏的问题 2. 隧道技术隧道是一种封装技术, 它利用一种网络协议来传输另一种网络协议, 即利用一种网络传输协议, 将其他协议产生的数据报文封装在它自己的报文中, 然后在网络中传输 关于隧道技术的详细介绍, 请参见 三层技术 -IP 业务配置指导 中的 隧道 协议规范与 IPv6 基础相关的协议规范有 : RFC 1881:IPv6 Address Allocation Management RFC 1887:An Architecture for IPv6 Unicast Address Allocation RFC 1981:Path MTU Discovery for IP version 6 1-8

10 RFC 2375:IPv6 Multicast Address Assignments RFC 2460:Internet Protocol, Version 6 (IPv6) Specification RFC 2461:Neighbor Discovery for IP Version 6 (IPv6) RFC 2462:IPv6 Stateless Address Autoconfiguration RFC 2463:Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification RFC 2464:Transmission of IPv6 Packets over Ethernet Networks RFC 2526:Reserved IPv6 Subnet Anycast Addresses RFC 2894:Router Renumbering for IPv6 RFC 3307:Allocation Guidelines for IPv6 Multicast Addresses RFC 3513:Internet Protocol Version 6 (IPv6) Addressing Architecture 1.2 IPv6 基础配置任务简介 表 1-4 IPv6 基础配置任务简介 配置任务 说明 详细配置 使能 IPv6 报文转发功能 必选 配置 IPv6 基本功能 配置 IPv6 全球单播地址 配置 IPv6 链路本地地址 三者必选其一 配置 IPv6 任播地址 配置静态邻居表项可选 配置接口上允许动态学习的邻居的最大个数可选 配置 IPv6 邻居发现协议 配置 STALE 状态 ND 表项的老化时间可选 配置 RA 消息的相关参数可选 配置重复地址检测时发送邻居请求消息的次数可选 配置 PMTU 发现 配置指定地址的静态 PMTU 可选 配置 PMTU 老化时间可选 配置 TCP6 可选 1.6 配置指定时间内发送 ICMPv6 差错报文的最大个数可选 配置 ICMPv6 报文发送 配置允许回复组播形式的 Echo request 报文可选 配置 ICMPv6 超时差错报文发送功能可选 配置 ICMPv6 目的不可达差错报文发送功能可选

11 1.3 配置 IPv6 基本功能 使能 IPv6 报文转发功能在进行 IPv6 的相关配置以前, 必须先使能 IPv6 报文转发功能 否则即使在接口上配置了 IPv6 地址, 仍无法转发 IPv6 的报文, 造成 IPv6 网络无法互通 表 1-5 使能 IPv6 报文转发功能 操作命令说明进入系统视图 system-view - 使能 IPv6 报文转发功能 ipv6 必选缺省情况下,IPv6 报文转发功能处于关闭状态 配置 IPv6 全球单播地址 IPv6 全球单播地址可以通过下面三种方式配置 : 采用 EUI-64 格式形成 : 当配置采用 EUI-64 格式形成 IPv6 地址时, 接口的 IPv6 地址的前缀需要手工配置, 而接口标识符则由接口自动生成 手工配置 : 用户手工配置 IPv6 全球单播地址 无状态自动配置 : 根据接收到的 RA 报文中携带的地址前缀信息, 自动生成 IPv6 全球单播地址 每个接口可以有多个前缀不同的全球单播地址 手工配置的全球单播地址的优先级高于自动生成的全球单播地址 如果在接口已经自动生成全球单播地址的情况下, 手工配置前缀相同的全球单播地址, 自动生成的地址将被覆盖 此后, 即使删除手工配置的全球单播地址, 已被覆盖的自动生成的全球单播地址也不会恢复 再次接收到 RA 报文后, 设备根据报文携带的地址前缀信息, 重新生成全球单播地址 1. 采用 EUI-64 格式形成 IPv6 地址表 1-6 采用 EUI-64 格式形成 IPv6 地址操作 命令 说明 进入系统视图 system-view - 进入接口视图 采用 EUI-64 格式形成 IPv6 地址 interface interface-type interface-number ipv6 address ipv6-address/prefix-length eui-64 - 必选缺省情况下, 接口上没有配置全球单播地址 1-10

12 2. 手工指定 IPv6 地址表 1-7 手工指定 IPv6 地址操作 命令 说明 进入系统视图 system-view - 进入接口视图 手工指定 IPv6 地址 interface interface-type interface-number ipv6 address { ipv6-address prefix-length ipv6-address/prefix-length } - 必选缺省情况下, 接口上没有配置全球单播地址 3. 无状态自动配置 IPv6 地址 表 1-8 无状态自动配置 IPv6 地址 操作命令说明 进入系统视图 system-view - 进入接口视图 无状态自动配置 IPv6 地址 interface interface-type interface-number ipv6 address auto - 必选缺省情况下, 接口上没有配置全球单播地址 在接口上执行 undo ipv6 address auto 命令, 将删除该接口上所有自动生成的全球单播地址 在配置了无状态自动配置 IPv6 地址功能后, 接口会根据接收到的 RA 报文中携带的地址前缀信息和接口 ID, 自动生成 IPv6 全球单播地址 如果接口是 IEEE 802 类型的接口 ( 例如,VLAN 接口 ), 其接口 ID 是由 MAC 地址根据一定的规则生成, 此接口 ID 具有全球唯一性 对于不同的前缀, 接口 ID 部分始终不变, 攻击者通过接口 ID 可以很方便的识别出通信流量是由哪台设备产生的, 并分析其规律, 从而窥探到设备和谁进行通信 在什么时间进行通信, 会造成一定的安全隐患 如果在地址无状态自动配置时, 自动生成接口 ID 不断变化的 IPv6 地址, 就可以加大攻击的难度, 从而保护网络 为此, 设备提供了临时地址功能, 使得系统可以生成临时地址, 并优先选择临时地址作为接口发送报文的源地址 配置该功能后, 通过地址无状态自动配置,IEEE 802 类型的接口可以同时生成两类地址 : 公共地址 : 地址前缀采用 RA 报文携带的前缀, 接口 ID 由 MAC 地址产生 接口 ID 始终不变 临时地址 : 地址前缀采用 RA 报文携带的前缀, 接口 ID 由系统根据 MD5 算法计算产生 接口 ID 不断变化 发送报文时, 系统将优先选择临时地址作为报文的源地址 当临时地址的有效生命期过期后, 这个临时地址将被删除, 同时, 系统会通过 MD5 算法重新生成一个接口 ID 不同的临时地址 所以, 该 1-11

13 接口发送报文的源地址的接口 ID 总是在不停变化 如果生成的临时地址因为 DAD 冲突不可用, 就采用公共地址作为报文的源地址 临时地址的首选生命期和有效生命期的确定原则如下 : 首选生命期是如下两个值之中的较小者 :RA 前缀中的首选生命期和 ( 配置的临时地址首选生命期减去 DESYNC_FACTOR) DESYNC_FACTOR 是一个 0~600 秒的随机值 有效生命期是如下两个值之中的较小者 :RA 前缀中的有效生命期和配置的临时地址有效生命期 表 1-9 配置系统生成临时地址, 并优先选择临时地址作为报文的源地址操作命令说明进入系统视图 system-view - 配置系统生成临时地址, 并优先选择临时地址作为报文的源地址 ipv6 prefer temporary-address [ valid-lifetime preferred-lifetime ] 必选缺省情况下, 系统不生成临时地址, 也就不会用临时地址作为接口发送报文的源地址 设备的接口必须启用地址无状态自动配置功能才能生成临时地址, 而且临时地址不会覆盖公共地址, 因此会出现一个接口下有多个前缀相同但是接口 ID 不同的地址 如果公共地址生成失败, 例如前缀冲突, 则不会生成临时地址 配置 IPv6 链路本地地址 IPv6 的链路本地地址可以通过两种方式获得 : 自动生成 : 设备根据链路本地地址前缀 (FE80::/10) 及接口的链路层地址, 自动为接口生成链路本地地址 ; 手工指定 : 用户手工配置 IPv6 链路本地地址 每个接口只能有一个链路本地地址, 为了避免链路本地地址冲突, 推荐使用链路本地地址的自动生成方式 配置链路本地地址时, 手工指定方式的优先级高于自动生成方式 即如果先采用自动生成方式, 之后手工指定, 则手工指定的地址会覆盖自动生成的地址 ; 如果先手工指定, 之后采用自动生成的方式, 则自动配置不生效, 接口的链路本地地址仍是手工指定的 此时, 如果删除手工指定的地址, 则自动生成的链路本地地址会生效 1-12

14 表 1-10 配置自动生成链路本地地址操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 可选 配置自动生成链路本地地址 ipv6 address auto link-local 缺省情况下, 接口上没有链路本地地址 当接口配置了 IPv6 全球单播地址后, 会自动生成链路本地地址 表 1-11 手工指定接口的链路本地地址操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 可选 手工指定接口的链路本地地址 ipv6 address ipv6-address link-local 缺省情况下, 接口上没有链路本地地址 当接口配置了 IPv6 全球单播地址后, 会自动生成链路本地地址 当接口配置了 IPv6 全球单播地址后, 同时会自动生成链路本地地址 且与采用 ipv6 address auto link-local 命令生成的链路本地地址相同 此时如果手工指定接口的链路本地地址, 则手工指定的有效 如果删除手工指定的链路本地地址, 则接口的链路本地地址恢复为系统自动生成的地址 undo ipv6 address auto link-local 命令只能删除使用 ipv6 address auto link-local 命令生成的链路本地地址 即如果此时已经配置了 IPv6 全球单播地址, 由于系统会自动生成链路本地地址, 则接口仍有链路本地地址 ; 如果此时没有配置 IPv6 全球单播地址, 则接口没有链路本地地址 配置 IPv6 任播地址用户需要手工配置接口的 IPv6 任播地址 表 1-12 配置 IPv6 任播地址 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number

15 操作命令说明 配置 IPv6 任播地址 ipv6 address ipv6-address/prefix-length anycast 必选缺省情况下, 接口上没有配置任播地址 1.4 配置 IPv6 邻居发现协议 配置静态邻居表项将邻居节点的 IPv6 地址解析为链路层地址, 可以通过邻居请求消息 NS 及邻居通告消息 NA 来动态实现, 也可以通过手工配置静态邻居表项来实现 设备根据邻居节点的 IPv6 地址和与此邻居节点相连的三层接口号来唯一标识一个静态邻居表项 目前, 静态邻居表项有两种配置方式 : 配置本节点的三层接口对应的邻居节点的 IPv6 地址 链路层地址 ; 配置本节点 VLAN 中的端口对应的邻居节点的 IPv6 地址 链路层地址 表 1-13 配置静态邻居表项 操作命令说明进入系统视图 system-view - 配置静态邻居表项 ipv6 neighbor ipv6-address mac-address { vlan-id port-type port-number interface interface-type interface-number } [ vpn-instance vpn-instance-name ] 必选 对于 VLAN 接口, 可以采用上述两种方式来配置静态邻居表项 : 采用第一种方式配置静态邻居表项后, 设备还需要解析 VLAN 对应的二层端口信息 采用第二种方式配置静态邻居表项, 需要保证 VLAN 所对应的 VLAN 接口已经存在, 且 port-type port-number 指定的二层端口属于 vlan-id 指定的 VLAN 在配置后, 设备会将 VLAN 所对应的 VLAN 接口与 IPv6 地址相对应来唯一标识一个静态邻居表项 配置接口上允许动态学习的邻居的最大个数设备可以通过 NS 消息和 NA 消息来动态获取邻居节点的链路层地址, 并将其加入到邻居表中 如果动态获取的邻居表过大, 将可能导致设备的转发性能下降 为此, 可以通过设置接口上允许动态学习的邻居的最大个数来进行限制 当接口上动态学习的邻居个数达到所设置的最大值时, 该接口将不再学习邻居信息 1-14

16 表 1-14 配置接口上允许动态学习的邻居的最大个数 操作命令说明 进入系统视图 system-view - 进入接口视图 配置接口上允许动态学习的邻居的最大个数 interface interface-type interface-number ipv6 neighbors max-learning-num number - 可选缺省情况下, 二层接口不对允许动态学习的邻居的最大个数进行限制, 三层接口允许动态学习的邻居的最大个数为 配置 STALE 状态 ND 表项的老化时间为适应网络的变化,ND 表需要不断更新 ND 表中的 STALE 状态 ND 表项并非永远有效, 每一条记录都有一个老化时间 到达老化时间的 STALE 状态 ND 表项将迁移到 DELAY 状态 5 秒钟后 DELAY 状态超时,ND 表项将迁移到 PROBE 状态, 并发送 3 次 NS 报文进行可达性探测 若邻居已经下线, 则收不到回应的 NA 报文, 此时会将该 ND 表项删除 缺省情况下,STALE 状态 ND 表项的老化时间为 4 小时 用户可以根据网络实际情况调整老化时间 表 1-15 配置 STALE 状态 ND 表项的老化时间 操作命令说明进入系统视图 system-view - 配置 STALE 状态 ND 表项的老化时间 ipv6 neighbor stale-aging aging-time 可选缺省情况下,STALE 状态 ND 表项的老化时间为 4 小时 配置 RA 消息的相关参数 用户可以根据实际情况, 配置接口是否发送 RA 消息及发送 RA 消息的时间间隔, 同时可以配置 RA 消息中的相关参数以通告给主机 当主机接收到 RA 消息后, 就可以采用这些参数进行相应操作 可以配置的 RA 消息中的参数及含义如表 1-16 所示 表 1-16 RA 消息中的参数及描述 参数跳数限制 (Cur Hop Limit) 前缀信息 (Prefix Information) MTU 被管理地址配置标志位 (M flag) 描述 主机在发送 IPv6 报文时, 将使用该参数值填充 IPv6 报文头中的 Hop Limit 字段 同时该参数值也作为设备应答报文中的 Hop Limit 字段值 在同一链路上的主机收到设备发布的前缀信息后, 可以进行无状态自动配置等操作 发布链路的 MTU, 可以用于确保同一链路上的所有节点采用相同的 MTU 值 用于确定主机是否采用有状态自动配置获取 IPv6 地址 1-15

17 参数 其他配置标志位 (O flag) 路由器生存时间 (Router Lifetime) 邻居请求消息重传时间间隔 (Retrans Timer) 保持邻居可达状态的时间 (Reachable Time) 描述 如果设置该标志位为 1, 主机将通过有状态自动配置 ( 例如 DHCP 服务器 ) 来获取 IPv6 地址 ; 否则, 将通过无状态自动配置获取 IPv6 地址, 即根据自己的链路层地址及路由器发布的前缀信息生成 IPv6 地址 用于确定主机是否采用有状态自动配置获取除 IPv6 地址外的其他信息 如果设置其他配置标志位为 1, 主机将通过有状态自动配置 ( 例如 DHCP 服务器 ) 来获取除 IPv6 地址外的其他信息 ; 否则, 将通过无状态自动配置获取其他信息 用于设置发布 RA 消息的路由器作为主机的默认路由器的时间 主机根据接收到的 RA 消息中的路由器生存时间参数值, 就可以确定是否将发布该 RA 消息的路由器作为默认路由器 设备发送 NS 消息后, 如果未在指定的时间间隔内收到响应, 则会重新发送 NS 消息 当通过邻居可达性检测确认邻居可达后, 在所设置的可达时间内, 设备认为邻居可达 ; 超过设置的时间后, 如果需要向邻居发送报文, 会重新确认邻居是否可达 表 1-17 配置允许发布 RA 消息 操作命令说明 进入系统视图 system-view - 进入接口视图 取消对 RA 消息发布的抑制 配置 RA 消息发布的最大时间间隔和最小时间间隔 interface interface-type interface-number undo ipv6 nd ra halt ipv6 nd ra interval max-interval-value min-interval-value - 必选缺省情况下, 抑制发布 RA 消息 可选缺省情况下,RA 消息发布的最大间隔时间为 600 秒, 最小时间间隔为 200 秒 RA 消息周期性发布时, 相邻两次的时间间隔是在最大时间间隔与最小时间间隔之间随机选取一个值作为周期性发布 RA 消息的时间间隔 配置的最小时间间隔应该小于等于最大时间间隔的 0.75 倍 表 1-18 配置 RA 消息中的相关参数 操作命令说明 进入系统视图 system-view - 配置跳数限制 进入接口视图 配置 RA 消息中的前缀信息 ipv6 nd hop-limit value interface interface-type interface-number ipv6 nd ra prefix { ipv6-prefix prefix-length ipv6-prefix/prefix-length } 1-16 可选缺省情况下, 路由器发布的跳数限制为 64 跳 - 可选缺省情况下, 没有配置 RA 消息中的前缀信息,

18 操作命令说明 配置 RA 消息中不携带 MTU 选项 设置被管理地址配置标志位为 1 设置其他配置标志位为 1 配置 RA 消息中路由器的生存时间 配置邻居请求消息重传时间间隔 配置保持邻居可达状态的时间 valid-lifetime preferred-lifetime [ no-autoconfig off-link ] * ipv6 nd ra no-advlinkmtu ipv6 nd autoconfig managed-address-flag ipv6 nd autoconfig other-flag ipv6 nd ra router-lifetime value ipv6 nd ns retrans-timer value ipv6 nd nud reachable-time value 此时将使用发送 RA 消息的接口 IPv6 地址作为 RA 消息中的前缀信息, 其有效生命期是 秒 (30 天 ), 首选生命期是 (7 天 ) 可选缺省情况下,RA 消息中携带 MTU 选项 可选缺省情况下, 被管理地址标志位为 0, 即主机通过无状态自动配置获取 IPv6 地址 可选缺省情况下, 其他配置标志位为 0, 即主机通过无状态自动配置获取其他信息 可选缺省情况下,RA 消息中路由器的生存时间为 1800 秒 可选缺省情况下, 接口发送 NS 消息的时间间隔为 1000 毫秒 ; 接口发布的 RA 消息中 Retrans Timer 字段的值为 0, 即不对主机进行指定 可选缺省情况下, 接口保持邻居可达状态的时间为 毫秒 ; 接口发布的 RA 消息中 Reachable Timer 字段的值为 0, 即不对主机进行指定 RA 消息发布的最大间隔时间应该小于或等于 RA 消息中路由器的生存时间, 以保证在路由器失效之前得到更新的 RA 消息 在接口上配置的邻居请求消息重传时间间隔及保持邻居可达状态的时间, 既可作为 RA 消息中的信息发布给主机, 也可作为本接口发送邻居请求消息的时间间隔及保持邻居可达状态的时间 配置重复地址检测时发送邻居请求消息的次数接口获得 IPv6 地址后, 将发送邻居请求消息进行重复地址检测, 如果在指定的时间内 ( 通过 ipv6 nd ns retrans-timer 命令配置 ) 没有收到响应, 则继续发送邻居请求消息, 当发送的次数达到所设置的次数后, 仍未收到响应, 则认为该地址可用 表 1-19 配置重复地址检测时发送邻居请求消息的次数 操作命令说明进入系统视图 system-view

19 操作命令说明 进入接口视图 配置重复地址检测时发送邻居请求消息的次数 interface interface-type interface-number ipv6 nd dad attempts value - 可选缺省情况下, 重复地址检测时发送邻居请求报文的次数为 1, 当 value 值为 0 时, 表示禁止重复地址检测 1.5 配置 PMTU 发现 配置指定地址的静态 PMTU 用户可以为指定的目的 IPv6 地址配置静态的 PMTU 值 当源端主机从接口发送报文时, 将比较该接口的 MTU 与指定目的 IPv6 地址的静态 PMTU, 如果报文长度大于二者中的最小值, 则采用此最小值对报文进行分片 表 1-20 配置指定地址的静态 PMTU 操作命令说明进入系统视图 system-view - 配置指定 IPv6 地址对应的静态 PMTU 值 ipv6 pathmtu [ vpn-instance vpn-instance-name ] ipv6-address [ value ] 必选缺省情况下, 没有配置静态 PMTU 值 配置 PMTU 老化时间 通过 IPv6 PMTU 发现 中的方法动态确定源端主机到目的端主机的 PMTU 后, 源端主机将使用这个 MTU 值发送后续报文到目的端主机 当 PMTU 老化时间超时后, 动态确定的 PMTU 值将会被删除, 源端主机会通过 PMTU 机制重新确定发送报文的 MTU 值 该配置对静态 PMTU 不起作用 表 1-21 配置 PMTU 老化时间操作命令说明进入系统视图 system-view - 配置 PMTU 老化时间 ipv6 pathmtu age age-time 可选缺省情况下,PMTU 的老化时间是 10 分钟 1.6 配置 TCP6 可以配置的 TCP6 属性包括 : synwait 定时器 : 当发送 SYN 报文时,TCP6 启动 synwait 定时器, 如果 synwait 定时器超时前未收到回应报文, 则 TCP6 连接建立不成功 1-18

20 finwait 定时器 : 当 TCP6 的连接状态为 FIN_WAIT_2 时, 启动 finwait 定时器, 如果在定时器超时前没有收到报文, 则 TCP6 连接终止 ; 如果收到 FIN 报文, 则 TCP6 连接状态变为 TIME_WAIT 状态 ; 如果收到非 FIN 报文, 则从收到的最后一个非 FIN 报文开始重新计时, 在超时后中止连接 TCP6 的接收和发送缓冲区的大小 表 1-22 配置 TCP6 操作命令说明进入系统视图 system-view - 配置 TCP6 的 synwait 定时器 配置 TCP6 的 finwait 定时器 配置 TCP6 的接收和发送缓冲区大小 tcp ipv6 timer syn-timeout wait-time tcp ipv6 timer fin-timeout wait-time tcp ipv6 window size 可选缺省情况下,synwait 定时器的值 75 秒 可选缺省情况下,finwait 定时器的值为 675 秒 可选缺省情况下,TCP6 的接收和发送缓冲区大小均为 8KB 1.7 配置 ICMPv6 报文发送 配置指定时间内发送 ICMPv6 差错报文的最大个数如果网络中短时间内发送的 ICMPv6 差错报文过多, 将可能导致网络拥塞 为了避免这种情况, 用户可以控制在指定时间内发送 ICMPv6 差错报文的最大个数, 目前采用令牌桶算法来实现 用户可以设置令牌桶的容量, 即令牌桶中可以同时容纳的令牌数 ; 同时可以设置令牌桶的刷新周期, 即每隔多长时间将令牌桶内的令牌个数刷新为所配置的容量 一个令牌表示允许发送一个 ICMPv6 差错报文, 每当发送一个 ICMPv6 差错报文, 则令牌桶中减少一个令牌 如果连续发送的 ICMPv6 差错报文超过了令牌桶的容量, 则后续的 ICMPv6 差错报文将不能被发送出去, 直到按照所设置的刷新频率将新的令牌放入令牌桶中 表 1-23 配置指定时间内发送 ICMPv6 差错报文的最大个数 操作 命令 说明 进入系统视图 system-view - 可选 配置控制 ICMPv6 差错报文发送的令牌桶容量和刷新周期 ipv6 icmp-error { bucket bucket-size ratelimit interval } * 缺省情况下, 令牌桶容量为 10, 令牌桶的刷新周期为 100 毫秒, 即每一个刷新周期内最多可以发送 10 个 ICMPv6 差错报文刷新周期为 0 时, 表示不限制 ICMPv6 差错报文的发送 1-19

21 1.7.2 配置允许回复组播形式的 Echo request 报文如果允许主机回复组播形式的 Echo request 报文, 则主机 A 可以构造目的地址为组播地址 源地址为主机 B 的 Echo request 报文, 使该组播组中所有的主机都向主机 B 发送 Echo reply 报文, 从而达到攻击主机 B 的目的 因此, 为了避免主机利用设备达到攻击的目的, 缺省情况下, 不允许设备回复组播形式的 Echo request 报文 在某些应用场景下, 可能需要使用组播形式的 Echo request 报文来获取信息, 此时可以通过下面的命令, 配置允许设备回复组播形式的 Echo request 报文 表 1-24 配置允许回复组播形式的 Echo request 报文 操作命令说明进入系统视图 system-view - 配置允许回复组播形式的 Echo request 报文 ipv6 icmpv6 multicast-echo-reply enable 必选缺省情况下, 不允许回复组播形式的 Echo request 报文 配置 ICMPv6 超时差错报文发送功能 ICMPv6 超时报文发送功能是在设备收到 IPv6 数据报文后, 如果发生超时差错, 则将报文丢弃并给源端发送 ICMPv6 超时差错报文 设备在满足下列条件时会发送 ICMPv6 超时报文 : 设备收到 IPv6 数据报文后, 如果报文的目的地不是本地且报文的 Hop limit 字段是 1, 则发送 Hop limit 超时 ICMPv6 差错报文 ; 设备收到目的地址为本地的 IPv6 数据报文的第一个分片后, 启动定时器, 如果所有分片报文到达之前定时器超时, 则会发送 重组超时 ICMPv6 差错报文 设备接收到大量需要发送 ICMPv6 差错报文的恶意攻击报文, 设备会因为处理大量该类报文而导致性能降低 为了避免上述现象发生, 可以关闭设备的 ICMPv6 超时报文发送功能, 从而减少网络流量 防止遭到恶意攻击 表 1-25 配置 ICMPv6 超时差错报文发送功能 操作命令说明进入系统视图 system-view - 开启设备的 ICMPv6 超时报文的发送功能 ipv6 hoplimit-expires enable 可选缺省情况下,ICMPv6 超时报文发送功能处于开启状态 配置 ICMPv6 目的不可达差错报文发送功能 ICMPv6 目的不可达报文发送功能是在设备收到 IPv6 数据报文后, 如果发生目的不可达的差错, 则将报文丢弃并给源端发送 ICMPv6 目的不可达差错报文 1-20

22 设备在满足下列条件时会发送目的不可达报文 : 设备在转发报文时, 如果在路由表中没有找到对应的转发路由, 且路由表中没有缺省路由, 则给源端发送 没有到达目的地址的路由 ICMPv6 差错报文 ; 设备在转发报文时, 如果是因为管理策略 ( 例如防火墙过滤 ACL 等 ) 导致无法发送报文时, 则给源端发送 与目的地址的通信被管理策略禁止 ICMPv6 差错报文 ; 设备在转发报文时, 如果报文的目的 IPv6 地址超出源 IPv6 地址的范围 ( 例如, 报文的源 IPv6 地址为链路本地地址, 报文的目的 IPv6 地址为全球单播地址 ), 会导致报文无法到达目的端, 此时要给源端发送 超出源地址范围 ICMPv6 差错报文 ; 设备在转发报文时, 如果不能解析目的 IPv6 地址对应的链路层地址, 则给源端发送 地址不可达 ICMPv6 差错报文 ; 设备收到目的地址为本地 传输层协议为 UDP 的数据报文时, 如果报文的目的端口号与正在使用的进程不匹配, 则给源端发送 端口不可达 ICMPv6 差错报文 由于 ICMPv6 目的不可达报文传递给用户进程的信息为不可达信息, 如果有用户恶意攻击, 可能会影响终端用户的正常使用 为了避免上述现象发生, 可以关闭设备的 ICMPv6 目的不可达报文发送功能, 从而减少网络流量 防止遭到恶意攻击 表 1-26 配置 ICMPv6 目的不可达报文发送功能操作命令说明进入系统视图 system-view - 开启设备的 ICMPv6 目的不可达报文的发送功能 ipv6 unreachables enable 必选缺省情况下,ICMPv6 目的不可达报文发送功能处于关闭状态 1.8 IPv6 基础显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示 IPv6 配置后的运行情况, 用户可以通过查看显示信息验证配置的效果 在用户视图下, 执行 reset 命令可以清除相应的统计信息 表 1-27 IPv6 基础显示和维护 操作 显示 IPv6 FIB 转发信息表项 显示指定目的 IPv6 地址的 IPv6 FIB 转发信息表项 显示接口的 IPv6 信息 显示邻居信息 ( 分布式设备 ) 命令 display ipv6 fib [ vpn-instance vpn-instance-name ] [ acl6 acl6-number ipv6-prefix ipv6-prefix-name ] [ { begin exclude include } regular-expression ] display ipv6 fib [ vpn-instance vpn-instance-name ] ipv6-address [ prefix-length ] [ { begin exclude include } regular-expression ] display ipv6 interface [ interface-type [ interface-number ] ] [ brief ] [ { begin exclude include } regular-expression ] display ipv6 neighbors { { ipv6-address all dynamic static } [ slot slot-number ] interface interface-type interface-number vlan vlan-id } [ verbose ] [ { begin exclude include } regular-expression ] 1-21

23 操作 显示邻居信息 ( 分布式 IRF 设备 ) 显示符合指定条件的邻居表项的总个数 ( 分布式设备 ) 显示符合指定条件的邻居表项的总个数 ( 分布式 IRF 设备 ) 显示指定 VPN 实例的邻居信息 显示 IPv6 的 PMTU 信息 显示指定套接字的相关信息 ( 分布式设备 ) 显示指定套接字的相关信息 ( 分布式 IRF 设备 ) 显示 IPv6 报文及 ICMPv6 报文的统计信息 ( 分布式设备 ) 显示 IPv6 报文及 ICMPv6 报文的统计信息 ( 分布式 IRF 设备 ) 显示 TCP6 连接的统计信息 显示 TCP6 连接的状态信息 显示 UDP6 的统计信息 清除 IPv6 邻居信息 ( 分布式设备 ) 清除 IPv6 邻居信息 ( 分布式 IRF 设备 ) 清除 PMTU 值 清除 IPv6 报文及 ICMPv6 报文的统计信息 ( 分布式设备 ) 清除 IPv6 报文及 ICMPv6 报文的统计信息 ( 分布式 IRF 设备 ) 清除所有 TCP6 连接的统计信息 清除所有 UDP6 统计信息 命令 display ipv6 neighbors { { ipv6-address all dynamic static } [ chassis chassis-number slot slot-number ] interface interface-type interface-number vlan vlan-id } [ verbose ] [ { begin exclude include } regular-expression ] display ipv6 neighbors { { all dynamic static } [ slot slot-number ] interface interface-type interface-number vlan vlan-id } count [ { begin exclude include } regular-expression ] display ipv6 neighbors { { all dynamic static } [ chassis chassis-number slot slot-number ] interface interface-type interface-number vlan vlan-id } count [ { begin exclude include } regular-expression ] display ipv6 neighbors vpn-instance vpn-instance-name [ count ] [ { begin exclude include } regular-expression ] display ipv6 pathmtu [ vpn-instance vpn-instance-name ] { ipv6-address all dynamic static } [ { begin exclude include } regular-expression ] display ipv6 socket [ socktype socket-type ] [ task-id socket-id ] [ slot slot-number ] [ { begin exclude include } regular-expression ] display ipv6 socket [ socktype socket-type ] [ task-id socket-id ] [ chassis chassis-number slot slot-number ] [ { begin exclude include } regular-expression ] display ipv6 statistics [ slot slot-number ] [ { begin exclude include } regular-expression ] display ipv6 statistics [ chassis chassis-number slot slot-number ] [ { begin exclude include } regular-expression ] display tcp ipv6 statistics [ { begin exclude include } regular-expression ] display tcp ipv6 status [ { begin exclude include } regular-expression ] display udp ipv6 statistics [ { begin exclude include } regular-expression ] reset ipv6 neighbors { all dynamic interface interface-type interface-number slot slot-number static } reset ipv6 neighbors { all dynamic interface interface-type interface-number chassis chassis-number slot slot-number static } reset ipv6 pathmtu { all static dynamic} reset ipv6 statistics [ slot slot-number ] reset ipv6 statistics [ chassis chassis-number slot slot-number ] reset tcp ipv6 statistics reset udp ipv6 statistics 1-22

24 1.9 IPv6 基础典型配置举例 1. 组网需求 如图 1-6 所示,Host Switch A 和 Switch B 之间通过以太网端口相连, 将以太网端口分别加入相应的 VLAN 里, 在 VLAN 接口上配置 IPv6 地址, 验证它们之间的互通性 Switch A 的 VLAN 接口 1 的全球单播地址为 2001::1/64,VLAN 接口 2 的全球单播地址为 3001::1/64 Switch B 的 VLAN 接口 2 的全球单播地址为 3001::2/64, 有可以到 Host 的路由 Host 上安装了 IPv6, 根据 IPv6 邻居发现协议自动配置 IPv6 地址, 有可以到 Switch B 的路由 2. 组网图图 1-6 IPv6 地址配置组网图 交换机上已经创建相应的 VLAN 接口 3. 配置步骤 (1) 配置 Switch A # 使能交换机的 IPv6 转发功能 <SwitchA> system-view [SwitchA] ipv6 # 手工指定 VLAN 接口 2 的全球单播地址 [SwitchA] interface vlan-interface 2 [SwitchA-Vlan-interface2] ipv6 address 3001::1/64 [SwitchA-Vlan-interface2] quit # 手工指定 VLAN 接口 1 的全球单播地址, 并允许其发布 RA 消息 ( 缺省情况下, 所有的接口不会发布 RA 消息 ) [SwitchA] interface vlan-interface 1 [SwitchA-Vlan-interface1] ipv6 address 2001::1/64 [SwitchA-Vlan-interface1] undo ipv6 nd ra halt [SwitchA-Vlan-interface1] quit (2) 配置 Switch B # 使能交换机的 IPv6 转发功能 <SwitchB> system-view [SwitchB] ipv6 # 配置 VLAN 接口 2 的全球单播地址 [SwitchB] interface vlan-interface 2 [SwitchB-Vlan-interface2] ipv6 address 3001::2/

25 [SwitchB-Vlan-interface2] quit # 配置 IPv6 静态路由, 该路由的目的地址为 2001::/64, 下一跳地址为 3001::1 [SwitchB] ipv6 route-static 2001:: ::1 (3) 配置 Host Host 上安装 IPv6, 根据 IPv6 邻居发现协议自动配置 IPv6 地址 # 从 Switch A 上查看端口 GigabitEthernet1/0/2 的邻居信息 [SwitchA] display ipv6 neighbors interface GigabitEthernet 1/0/2 Type: S-Static D-Dynamic IPv6 Address Link-layer VID Interface State T Age FE80::215:E9FF:FEA6:7D e9a6-7d14 1 GE1/0/2 STALE D ::15B:E0EA:3524:E e9a6-7d14 1 GE1/0/2 STALE D 1248 通过上面的信息可以知道 Host 上获得的 IPv6 全球单播地址为 2001::15B:E0EA:3524:E 验证配置结果 # 显示 Switch A 的接口信息, 可以看到各接口配置的 IPv6 全球单播地址 [SwitchA] display ipv6 interface vlan-interface 2 Vlan-interface2 current state :UP Line protocol current state :UP IPv6 is enabled, link-local address is FE80::20F:E2FF:FE00:2 Global unicast address(es): 3001::1, subnet is 3001::/64 Joined group address(es): FF02::1:FF00:0 FF02::1:FF00:1 FF02::1:FF00:2 FF02::2 FF02::1 MTU is 1500 bytes ND DAD is enabled, number of DAD attempts: 1 ND reachable time is milliseconds ND retransmit interval is 1000 milliseconds Hosts use stateless autoconfig for addresses IPv6 Packet statistics: InReceives: InTooShorts: 0 InTruncatedPkts: 0 InHopLimitExceeds: 0 InBadHeaders: 0 InBadOptions: 0 ReasmReqds: 0 ReasmOKs: 0 InFragDrops: 0 InFragTimeouts: 0 OutFragFails: 0 InUnknownProtos: 0 InDelivers: 47 OutRequests: 89 OutForwDatagrams:

26 InNoRoutes: 0 InTooBigErrors: 0 OutFragOKs: 0 OutFragCreates: 0 InMcastPkts: 6 InMcastNotMembers: OutMcastPkts: 48 InAddrErrors: 0 InDiscards: 0 OutDiscards: 0 [SwitchA] display ipv6 interface vlan-interface 1 Vlan-interface1 current state :UP Line protocol current state :UP IPv6 is enabled, link-local address is FE80::20F:E2FF:FE00:1C0 Global unicast address(es): 2001::1, subnet is 2001::/64 Joined group address(es): FF02::1:FF00:0 FF02::1:FF00:1 FF02::1:FF00:1C0 FF02::2 FF02::1 MTU is 1500 bytes ND DAD is enabled, number of DAD attempts: 1 ND reachable time is milliseconds ND retransmit interval is 1000 milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 600 seconds ND router advertisements live for 1800 seconds Hosts use stateless autoconfig for addresses IPv6 Packet statistics: InReceives: 272 InTooShorts: 0 InTruncatedPkts: 0 InHopLimitExceeds: 0 InBadHeaders: 0 InBadOptions: 0 ReasmReqds: 0 ReasmOKs: 0 InFragDrops: 0 InFragTimeouts: 0 OutFragFails: 0 InUnknownProtos: 0 InDelivers: 159 OutRequests: 1012 OutForwDatagrams:

27 InNoRoutes: 0 InTooBigErrors: 0 OutFragOKs: 0 OutFragCreates: 0 InMcastPkts: 79 InMcastNotMembers: 65 OutMcastPkts: 938 InAddrErrors: 0 InDiscards: 0 OutDiscards: 0 # 显示 Switch B 的接口信息, 可以看到接口配置的 IPv6 全球单播地址 [SwitchB] display ipv6 interface vlan-interface 2 Vlan-interface2 current state :UP Line protocol current state :UP IPv6 is enabled, link-local address is FE80::20F:E2FF:FE00:1234 Global unicast address(es): 3001::2, subnet is 3001::/64 Joined group address(es): FF02::1:FF00:0 FF02::1:FF00:2 FF02::1:FF00:1234 FF02::2 FF02::1 MTU is 1500 bytes ND DAD is enabled, number of DAD attempts: 1 ND reachable time is milliseconds ND retransmit interval is 1000 milliseconds Hosts use stateless autoconfig for addresses IPv6 Packet statistics: InReceives: 117 InTooShorts: 0 InTruncatedPkts: 0 InHopLimitExceeds: 0 InBadHeaders: 0 InBadOptions: 0 ReasmReqds: 0 ReasmOKs: 0 InFragDrops: 0 InFragTimeouts: 0 OutFragFails: 0 InUnknownProtos: 0 InDelivers: 117 OutRequests: 83 OutForwDatagrams: 0 InNoRoutes: 0 InTooBigErrors: 0 OutFragOKs:

28 OutFragCreates: 0 InMcastPkts: 28 InMcastNotMembers: 0 OutMcastPkts: 7 InAddrErrors: 0 InDiscards: 0 OutDiscards: 0 # 在 Host 上使用 Ping 测试和 Switch A 及 Switch B 的互通性 ; 在 Switch B 上使用 Ping 测试和 Switch A 及 Host 的互通性 在 Ping 链路本地地址时, 需要使用 -i 参数来指定链路本地地址的接口 [SwitchB] ping ipv6 -c ::1 PING 3001::1 : 56 data bytes, press CTRL_C to break Reply from 3001::1 bytes=56 Sequence=1 hop limit=64 time = 2 ms ::1 ping statistics packet(s) transmitted 1 packet(s) received 0.00% packet loss round-trip min/avg/max = 2/2/2 ms [SwitchB-Vlan-interface2] ping ipv6 -c ::15B:E0EA:3524:E791 PING 2001::15B:E0EA:3524:E791 : 56 data bytes, press CTRL_C to break Reply from 2001::15B:E0EA:3524:E791 bytes=56 Sequence=1 hop limit=63 time = 3 ms ::15B:E0EA:3524:E791 ping statistics packet(s) transmitted 1 packet(s) received 0.00% packet loss round-trip min/avg/max = 3/3/3 ms 从 Host 上也可以 ping 通 Switch B 和 Switch A, 证明它们是互通的 1.10 常见配置错误举例 1. 故障现象无法 Ping 通对端的 IPv6 地址 2. 故障排除 在任意视图使用 display current-configuration 命令或在系统视图下使用 display this 命令检查是否使能了 IPv6 报文转发功能 1-27

29 在任意视图下使用 display ipv6 interface 命令检查接口配置的 IPv6 地址是否正确, 接口状态是否为 up 在用户视图下使用 debugging ipv6 packet 命令打开 IPv6 报文调试开关, 根据调试信息进行判断 1-28