1、6to4隧道配置案例

拓扑:

 

S3760_1的配置(S3760_2的配置类似)

interface GigabitEthernet 0/1

 no switchport

 no ip proxy-arp

 ip address 20.20.20.1 255.255.255.252

interface GigabitEthernet 0/12

 switchport access vlan 10

!

interface VLAN 10

 no ip proxy-arp

 ip address 192.168.10.254 255.255.255.0

 ipv6 address 2001:10::1/64

 ipv6 enable

 no ipv6 nd suppress-ra

!

interface Tunnel 1

 ipv6 address 2002:1414:1401::1/64

 ipv6 enable

 tunnel source 20.20.20.1

 tunnel mode ipv6ip 6to4

!

ipv6 route 2001:20::/64 2002:1414:1402::1

ipv6 route 2002::/16 Tunnel 1

注意:6to4地址内嵌的IPV4地址不能为私有的IPV地址(如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16网段地址)必须是全局的IPV4地址

 

2、S5760开启IPv6功能,发现IPv6报文无法转发

确认以下两个问题

1)是否开启IPv6路由功能,如果没有开启,请使用如下命令开启:

Ruijie(config)#ipv6 unicast-routing

2)确认IPv6 单播路由是否为0,可以通过如下命令查看:

Ruijie#show initialization route

config running default

 ipv4 unicast route entry:2556   2556    2056

 ipv4 multicast route entry: 500500     500

 ipv6 unicast route entry:000

 ipv6 mutlicast route entry: 100100     100

 policy-based route entry:   24      24       24 

 tunnel termination entry:   888  

 tunnel start interface:       88        8  

3)如果为0,可以通过如下命令调整,调整后重启

Ruijie(config)#initialization route ipv6uc 100

Ruijie(config)#end

Ruijie#reload

Processed with reload? [no]y

4)s5760默认是v4/v6的单播,组播,tunnel,PBR共用一张路由表转发表,数量有限,可以通过查看running项的数值评估是否有足够的表项供转发使用。可以通过减少某些项的资源来提供另外项的可用资源。v6单播默认分配的数量为0。

 

3、S5750交换机配置116位的子网掩码的IPv6地址,提示不支持错误

升级至最新版本10.4(3) R117920,可以解决该问题。

 

4、S5750上配置ipv6地址时,前缀长度没办法设置为64-128间的数字

10.4以前的版本都普遍存在该问题,表现为可以配置命令,如ipv6 add 2001:11::1/89  不会报错,但是show run时该地址没有显示,即没有生效。

可以通过升级到最新的版本,比如10.4(3)R117920来解决 

 

5、S21在dot1.x应用模式下是否能透传ipv6报文

在全局下开启命令:

dot1x authentication ipv6 enable      //可开启s21在dot1.x应用下对ipv6报文的透传

 

6、S6500系列/S6800系列/S6800E系列产品是否支持IPv6

不支持

 

7、FW是否支持IPv6功能

不支持IPV6,需要用透明模式规避这个问题,直接放通所有IPV6报文。

 

8、从哪个版本开始telnet,ssh支持ipv6

RGOS 10.4(2)开始全面支持

 

9、S5760如何修改ipv4和ipv6路由表项硬件资源

1)S5760可同时支持Ipv4单播路由,Ipv4组播路由,Ipv6单播路由,Ipv6组播路由,Ipv6隧道和策略路由等路由相关的功能。

2)硬件上,对路由相关功能实现,采用公共资源共享的方式,如果改资源全部用于ipv4单播路由,那么最多可配置5k条ipv4单播路由,而全部用于ipv6单播路由,则最多可配置1K条ipv6单播路由。

3)可使用如下命令修改:

initialization route ipv6mc max-num 修改组播路由(S,G)模式最大条目数

initialization route ipv6uc max-num 修改Ipv6单播路由最大条目数

initialization route tunnel-start max-num 修改Ipv6隧道解封装表最大条目数

 

10、S5760配置ipv6的时候提示ROUTE-6-NO_RESOURCE错误

1)RG-S5760 系列交换机被设计为IPv4 单播路由、IPv4 组播路由、IPv6 单播路由、IPv6 组播路由共享4096硬件路由表资源,默认配置下后三项服务分配的资源分别为500/0/0 条,配置后剩余的资源数全部归属IPv4 单播路由。

2)硬件资源的分配不是动态调整的,您需要预先估算好网络所需的路由条目,用initialization route 为S5760 交换机分配好资源,您的配置需要保存并重启后才会生效。

3)根据网络使用情况调整硬件资源分配,如果网络中没有Ipv6 应用,可以压缩Ipv6 单播、组播预分配资源数,如果组播应用较少,可以再压缩IPv4 组播资源数。

参考命令如下:

Ruijie(config)#initialization route ipv4mc 2

Ruijie(config)#initialization route ipv6mc 0

Ruijie(config)#initialization route ipv6uc 998

Ruijie#show initialization route

config running default

ipv4 unicast route entry: 2 4492 4096

ipv4 multicast route entry: 2 2 500

ipv6 unicast route entry: 998 100 0

ipv6 mutlicast route entry: 0 0 0

policy-based route entry: 24 24 24

tunnel termination entry: 20 20 0

tunnel start interface: 20 20 0

 

10、IPV6中的无状态地址分配技术能否给客户端分配DNS,domain的信息

IPV6的无状态分配技术只能携带v6前缀信息,帮助客户端生成IPV6地址,但是无法做到携带其他DNS,domain等信息。

NDP协议的实现如此,无支持功能,可以通过部署DHCPV6 server 来给客户端分配v6的IP,DNS,DOMAIN等更丰富的信息。

 

11、交换机设置web认证后,发现IPv6报文无法通过

web认证的原理,是基于ip+mac的绑定,也就是需要认证用户的IPV4+MAC的绑定信息,写入硬件表项,从而控制用户的访问网络资源。

web认证的ipv6兼容模式是严格的,也就是说用户如果只是使用ipv4的地址认证,那么ipv6的协议是无法放通的,必须单独进行ipv6的认证。

方法一:如果需要web认证通过后,ipv6报文可以直接放通,可以将ipv6的兼容模式修改为兼容来解决如下配置可以关闭IPV6报文检测功能:

Ruijie(config)#address-bind ipv6-mode ?

compatible  IPV6 compatible mode//IPv4认证过后的IPv6报文可以通过

looseIPV6 loose mode//不管IPv4是否认证,IPv6都可以通过

strictIPV6 strict mode      (default: strict)  //所有IPv6报文无法通过

Ruijie(config)#address-bind ipv6-mode compatible

 

方法二:安全通道放通所有IPV6报文

Ruijie(config)#expert access-list extended ipv6test

Ruijie(config-exp-nacl)#permit 0x86dd any any

Ruijie(config)#security global access-group ipv6test

 

12、接口配置了三个IPv6的地址,想让通告的RA信息只带一个IPv6地址的前缀

interface VLAN 99

 no ip proxy-arp

 ipv6 address 2001:33::1/64

 ipv6 address 2001:34::1/64

 ipv6 address 2001:35::1/64       //RA只通告这个IPv6的前缀信息

 ipv6 enable

 no ipv6 nd suppress-ra

 ipv6 nd prefix 2001:34::/64 no-advertise

 ipv6 nd prefix 2001:33::/64 no-advertise

 

13、S86下端用户使用IPv6 ISATAP隧道下联某些PC偶尔出现隧道建立不成功,无法正常使用访问IPV6资源

我司交换机正式版本(包括10.4(3b17)P3及之前所有版本)只支持126条ISATAP隧道邻接表。

可以通过如下命令来查看:

S8614-A#show ipv6 auto-tunnel nei

Prefix Interface Lifetime Parent route

2001:250:804:8000:0:5EFE:A02:34B/128 Tunnel 2 878 2001:250:804:8000::/64

2001:250:804:8000:0:5EFE:A02:17C/128 Tunnel 2 870 2001:250:804:8000::/64

2001:250:804:8000:0:5EFE:A02:208/128 Tunnel 2 686 2001:250:804:8000::/64

 

当满时,会出现如下log提示:

 5-ADD_HW_ADJ_FAIL: Failed to add tunnel adjacency[Tunnel 2, nexthop: ::5EFE:A02:61] entry to hardware.

%TUN-5-ADD_HW_ADJ_FAIL: Failed to add tunnel adjacency[Tunnel 2, nexthop: ::5EFE:A02:61] entry to hardware

 

如果出现该问题,需要升级临时版本解决(临时版本支持4k条):

RGOS 10.4(2T76) Release(107282)版本可以从rtr系统下载。

 

 

 14、如何判断ipv6地址属于任播地址?我司交换机是否支持接口配置任播地址?

任播地址属于全局单播地址的一种,标准协议栈规定设备不支持配置任播地址。

任播地址可以理解成:主机号全为0的地址,

案例如下:

2001::11/126  ==>不属于任播地址,因为主机位为1

2001::10/126  ==>属于任播地址,因为主机位全为0