02 ADCampus V500R002B01 IPv6业务配置指导

文档密级【内参】ADCampusV500R001B02多园区多Fabric配置指导2020-04-16H3C机密，未经许可不得扩散第页新华三技术有限公司H3CTechnologiesCo.,Ltd.解决方案名称Solutionname密级Confidentialitylevel解决方案ADCampusV500R002B01内部公开解决方案版本Solutionversion共27页Total27pagesV500R002B01 ADCampusV500R002B01 IPV6业务配置指导拟制武浩日期2020/5/7评审人日期批准日期新华三技术有限公司H3CTechnologiesCo.,Ltd.版权所有侵权必究Allrightsreserved

修订记录RevisionRecord日期修订版本修改章节修改描述作者2020/5/7V1.0全文初稿武浩202512020/5/20V1.1全文根据评审意见修改武浩202512020/8/20V1.1全文刷新武浩202512020/9/9V2.02.1.2-1-（3）新增启用IPv6章节武浩20251

目录1 简介 41.1 概述 41.2 典型组网 41.2.1 组网图 41.2.2 业务流程说明 42 IPV6业务配置步骤 62.1 组网设备配置 62.1.1 组网设备已纳管，新增IPV6业务 62.1.2 组网设备未纳管，自动化上线 112.2 DHCPv6Server配置 132.2.1 微软DHCPv6Server配置 132.2.2 控制器纳管DHCPv6Server 162.3 策略模板配置 162.4 安全组配置 172.5 EIA配置 202.6 用户上线 213 配置注意事项 22简介概述随着IPv6的不断推进，园区网用户对IPv6的需求也越来越大，因此在ADCampus园区网方案中也增加了IPv6业务的相关功能。目前控制器对设备的纳管依然采用IPv4地址，配置IPv6相关业务时，需要保证设备纳管正常。典型组网组网图与IPv4标准组网相比，主要增加了微软DHCPv6服务器。业务流程说明ADCampus五期R002B01园区网方案中，IPv6业务可分为两部分：用户采用IPv4认证时，IPv6的相关业务。用户采用IPv6认证时，IPv6的相关业务。其中，IPv4/IPv6认证是指：接入设备与eia是通过什么报文交互。若通过IPv4报文交互即为IPv4认证，若通过IPv6报文交互，则为IPv6认证；采用什么认证方式，eia上就需要配置相应的IPv4/IPv6地址。目前控制器对设备纳管只能通过设备IPv4管理地址，故不论采用什么认证方式均需要配置IPv4地址。具体场景如下：1、用户802.1x和mac认证时：（1）采用IPv4认证，设备配置IPv4和IPv6地址，用户双栈从DHCPserver获取IPv4和IPv6地址或单栈仅获取IPv4地址或单栈仅IPv6地址。（2）采用IPv6地址，设备配置IPv4和IPv6地址，用户双栈从DHCPserver获取IPv4和IPv6地址或单栈仅获取IPv6地址或单栈仅IPv4地址。2、用户mac-portal认证方式时：BYOD二层网络域只能配置单栈，mac-portal用户在BYOD中时只能是单栈的（IPv4或IPv6），后续进入业务安全组后可双栈或单栈。注意：采用IPv4认证，且用户单栈只获取IPv6地址时，不可启用策略服务器，否则用户ip地址非法会下线；同理，采用IPv6认证，且用户单栈IPv4地址时，也不可启用策略服务器。不建议用户采用这两种场景。IPV6业务配置步骤组网设备配置组网设备已纳管，新增IPV6业务这种场景下，需要在组网设备原有配置上增加配置，下文红色部分为需要增加的内容。注意：该场景也适用于新设备的手动纳管。2.1.1.1L2/L3switch配置Step1：在L2/L3switch的VLAN4094接口下增加地址池的IPv6网关地址：#interfaceVlan-interface4094ipaddress10.10.12.1255.255.255.0ipv6address68:1::1/64#step2：涉及到用户采用IPv6认证上线时，需在外联设备上配置静态路由或动态路由协议。否则用户获取到安全组地址后，外联设备上没有相应路由导致ping不通EIA。ipv6route-static::068:1::2——配置一条缺省路由下一跳为spinevsi4094接口的IPv6地址2.1.1.2Spine设备配置Step1：vsi4094配置IPv6地址interfaceVsi-interface4094ipbindingvpn-instancevpn-defaultipaddress10.10.12.35255.255.255.0local-proxy-arpenableipv6address68:1::2/64local-proxy-ndenable#Step2：VPN配置：ipvpn-instancevpn-defaultroute-distinguisher1:1vpn-target1:1import-extcommunityvpn-target1:1export-extcommunity#address-familyipv6vpn-target1:1import-extcommunityvpn-target1:1export-extcommunity#Step3：bgp配置：bgp100ipvpn-instancevpn-default#address-familyipv6unicastimport-routedirectimport-routestatic#Step4：静态路由配置Spine和服务器的连接为2/3层接入时，需配置到EIA服务器的静态路由，下一跳为二/三层交换机vlan4094的IPv6地址ipv6route-staticvpn-instancevpn-default61:1::6468:1::1//目的ip为EIA服务器IPv6地址Step5：全局关闭vxlantunnel的nd学习配置：vxlantunnelnd-learningdisableStep6:vsi-interface4092下开启IPv6功能：interfaceVsi-interface4092ipbindingvpn-instancevpn-defaultipaddressunnumberedinterfaceVsi-interface4094ipv6addressautolink-locall3-vni4092#2.1.1.3Leaf设备配置Step1:vsi4094接口配置interfaceVsi-interface4094ipbindingvpn-instancevpn-defaultipaddress10.10.12.36255.255.255.0local-proxy-arpenablearpproxy-sendenableipv6address68:1::3/64local-proxy-ndenable#Step2：VPN配置：ipvpn-instancevpn-defaultroute-distinguisher1:1vpn-target1:1import-extcommunityvpn-target1:1export-extcommunity#address-familyipv6vpn-target1:1import-extcommunityvpn-target1:1export-extcommunity#Step3：bgp配置：bgp100ipvpn-instancevpn-default#address-familyipv6unicastimport-routedirectimport-routestatic#Step4：静态路由配置Spine和服务器的连接为2/3层接入时，需配置到EIA服务器的静态路由，下一跳为二/三层交换机vlan4094的IPv6地址ipv6route-staticvpn-instancevpn-default61:1::6468:1::1//目的ip为EIA服务器IPv6地址Step5：全局dhcpsnooping配置ipv6dhcpsnoopingenablevlan2to4094Step6：全局关闭vxlantunnel的nd学习配置：vxlantunnelnd-learningdisableStep7：Vsi-interface4092下开启IPv6功能：interfaceVsi-interface4092ipbindingvpn-instancevpn-defaultipaddressunnumberedinterfaceVsi-interface4094ipv6addressautolink-locall3-vni4092#Step8：Vsivxlan4094实例下配置dhcpsnooping功能：#vsivxlan4094gatewayvsi-interface4094vxlan4094evpnencapsulationvxlanmac-advertisingdisablearpmac-learningdisableroute-distinguisherautovpn-targetautoexport-extcommunityvpn-targetautoimport-extcommunitydhcpsnoopingtrusttunnelipv6dhcpsnoopingtrusttunnel#2.1.1.4Access设备配置Step1：配置VLAN4094接口#interfaceVlan-interface4094ipaddress10.10.12.37255.255.255.0ipv6address68:1::4/64#Step2：静态路由配置#Spine和服务器的连接为2/3层接入时，需配置到EIA服务器的静态路由，下一跳为二/三层交换机vlan4094的IPv6地址ipv6route-static61:1::6468:1::1//目的ip为EIA服务器IPv6地址2.1.1.5控制器页面启用IPv6开关在该路径下：基础网络>网络>参数>控制器全局配置，“启用IPv6”开关选择“开启”。2.1.1.6EIA手动增加接入设备由于设备管理IPv6地址是手动配置的，控制器无法获取设备管理IPv6地址，因此控制器无法将接入设备管理IPv6地址推送给EIA，此场景下只能在EIA上手动增加IPv6接入设备。EIA页面：用户>接入策略管理>接入设备管理>接入设备配置点击增加按钮，手动添加IPv6接入设备：组网设备未纳管，自动化上线设备自动化上线配置只需在IPv4的基础上增加如下配置：2.1.2.1L2/L3Switch配置Step1：在二/三层交换机的VLAN4094接口下增加地址池的IPv6网关地址：[l2-switch-Vlan-interface4094]disth#interfaceVlan-interface4094ipaddress10.10.12.1255.255.255.0ipv6address68:1::1/64#returnStep2：涉及到用户采用IPv6认证上线时，需在外联设备上配置静态路由或动态路由协议。否则用户获取到安全组地址后，外联设备上没有相应路由导致ping不通EIA。ipv6route-static::068:1::2——配置一条缺省路由下一跳为spinevsi4094接口的IPv6地址2.1.2.1控制器页面配置Step1：创建VLAN4094的IPv6地址池Step2：创建自动化模板自动化模板需要在地址池设置添加VLAN4094的IPv6地址池，并将IPv6DHCPserver地址添加到IPv6网段内。模板配置完成后，可以从模板预览里看到，模板已经添加了IPv6的相关配置：Step3：启用IPv6在该路径下：基础网络>网络>参数>控制器全局配置，“启用IPv6”开关选择“开启”。DHCPv6Server配置微软DHCPv6Server配置Step1：安装微软DHCP具体步骤参见《ADCampusV500R002B01微软DHCP紧耦合方案配置指导》中“2.4 安装微软DHCP服务”Step2：创建安全组IPv6作用域注意：IPv6无需创建超级作用域；另外目前DHCPv6服务器只支持松耦合且不支持主备模式，安全组作用域只能手动在DHCPserver上添加。推荐组网中，用户IPv4地址是从vdhcp上获取地址，微软DHCP无需配置安全组的IPv4作用域。注意：BYOD作用域中需设置租约为1分钟。之后点击下一步，直至完成激活。控制器纳管DHCPv6Server控制器页面该路径下“基础网络>网络>基础服务>DHCP“，纳管微软DHCP策略模板配置若用户采用IPv4认证时，策略模板无需修改，按原有策略模板配置即可。若用户采用IPv6认证时，需修改设备AAA和mac/portal认证两个模板，，AAA中认证服务器修改为IPv6地址，mac/portal认证模板中免认证ip也修改为对应radius服务器IPv6地址。认证设备上同时存在IPv4和IPv6认证时，只有IPv4认证有效；一个ACL同时存在IPv4和IPv6时，也只有IPv4生效。Ipv6认证时认证服务器EIA需要配置成IPv6地址。安全组配置Step1：在隔离域中增加DHCPv6服务器Step2：增加二层网络域，在普通类型二层网络域中可以只配IPv4子网、只配IPv6子网或者同时配IPv4和IPv6子网，具体如何配置需要用户结合实际需求及组网配置情况确定。在高级选项中可以开启DHCPv6snooping/ndsnooping选项。关于IPv6地址模式有如下四个选项：手动：手动在用户终端配置静态IPv6地址。SLAAC：又称网关无状态地址自动配置，接口会根据接收到的RA报文中携带的地址前缀信息和接口ID，自动生成IPv6全球单播地址。有状态DHCPv6：用户通过DHCPv6服务器获取IPv6地址，并根据DHCPv6服务器报文内容配置其他网络参数。用户如果接收到的RA报文中M标志位（被管理地址配置标志位）取值为1、O标志位（其他配置标志位）取值为1，则DHCPv6客户端会自动启动DHCPv6有状态配置功能。无状态DHCPv6：DHCPv6服务器可以为已经具有IPv6地址/前缀的客户端分配其他网络配置参数，该过程称为DHCPv6无状态配置。用户根据路由器发现/前缀发现所获取的信息自动配置IPv6地址后，如果接收到的RA报文中M标志位（被管理地址配置标志位）取值为0、O标志位（其他配置标志位）取值为1，则DHCPv6客户端会自动启动DHCPv6无状态配置功能，以获取除地址/前缀外的其他网络配置参数。Step3：创建安全组，选择该二层网络域需要注意的是，采用IPv6认证且用户通过mac-portal方式认证上线时，byod二层网络域必须配成IPv6地址。EIA配置在eia页面上，修改系统参数，启用IPv6，路径：用户>接入策略管理>业务参数配置>系统配置>系统参数配置。其他配置与IPv4相同。eia需要在安装时就配置IPv6地址；若eia配置完成后需要启用eia的IPv6功能，则可修改eia的配置文件（路径C:\ProgramFile\iMC\common\conf下的server-addr文件），将eia的IPv6地址填写到相应IPv6的字段中并重启IMC服务（不建议修改配置文件）。用户上线采用IPv4认证时，用户上线三种方式认证上线流程不变，用户仅比IPv4业务时多获取了一个IPv6地址。采用IPv6认证方式时，802.1x认证和mac认证与IPv4时类似，但当用户通过MACPortal方式认证上线时，需要注意：在没有DNS的环境中，用户PC上，打开网页需要输入任何一个IPv6地址如：[23:1::1]，用户网页才能自动跳转到如下BYOD缺省页面：配置注意事项（1）BYOD二层网络域子网只能配IPv4或IPv6其中之一，不可同时配置。用户通过mac-portal方式认证上线时，若是IPv4认证，则BYOD二层网络域配置IPv4子网；若是IPv6认证，则BYOD二层网络域配置IPv6子网。（2）网络设备做DHCPserver的场景，需要手动配置，控制器目前不支持自动下发。Step1：Spine和Leaf设备上部署IPv6地址池：#手动创建IPv6地址池ipv6dhcppoolpool3521vpn-instancevpn1address-alloc-modeeui-64network61:1::/64#Step2：Spine和Leaf设备上对应的VSI虚接口下增加配置#VSI虚接口增加红色部分配置interfaceVsi-interface3521ipbindingvpn-instancevpn1ipaddress61.1.0.1255.255.0.0mac-address0061-1000-0001local-proxy-arpenable