在本 IPv6 系列中,我想向大家讲述我实施该协议的 "历程"。 我对它已经有了一些了解,但并不广泛。 第一步是在家里实施 IPv6。 我的计划是从家里到数据中心的实验室。
前面的部分介绍了基础知识,以及如何使用一种名为 6RD 的隧道技术在我的家庭网络中实现 IPv6。 使用 6RD 隧道,我的 ISP 分配了一个 /56 IPv6 前缀,这太棒了。 子网划分的可能性很大。
最后一条是关于获取前缀和考虑合适的 IP 计划。 您是要使用 DHCP、SLAAC 还是两者兼用。 最后,它还介绍了路由器的双栈配置以及 DNS、DHCP、NTP 和 AAA 等基本服务。
让我们来看看位子。
旋风免费网络加速器下载
我的实施步骤将分为几个部分,本文是第四部分。 本 IPv6 系列的其他部分包括
- 第 1 部分:IPv6 入门
- 第 2 部分:在家中使用 6RD 实现 IPv6
- none
- 第 4 部分:旋风免费网络加速器下载(本职位)
- 第 5 部分:使用 NSX-T 的 IPv6
下几部分的可能大纲(可能有变动)
- 第 6 部分:使用云计算总监实现 IPv6
旋风免费网络加速器下载
noneIPSecVPN 已经配置。 我们的目标是也能以安全的方式将 IPv6 流量路由到实验室。 这就需要在家里的 Edgerouter 6P 和实验室的 pfSense 上进行额外配置。
旋风免费网络加速器下载
目前,在 Edgerouter 和 pfSense 设备的公共 IPv4 地址之间配置了 IPSec - Phase 1 隧道。 第 2 阶段隧道将家里和实验室的 IPv4 子网连接在一起。 那么下一步该怎么办? 是在现有的第 1 阶段中为 IPv6 流量添加第二个第 2 阶段隧道,还是创建一个新的基于 IPv6 的第 1 + 2 阶段?
旋风免费网络加速器下载
从逻辑上讲,只需在现有的基于 IPv4 的 Phase 1 基础上再创建一个基于 IPv6 的 Phase 2 即可,因为 IPv6 流量无论如何都是通过隧道传输的。 pfSense 支持在现有的基于 IPv4 的第 1 阶段添加基于 IPv6 的第 2 阶段。
Edgerouter 不支持在基于 IPv4 的第 1 阶段中混合使用 IPv4 和 IPv6 第 2 阶段隧道。 将第二条第 2 阶段隧道加入配置后,Edgerouter 会出现以下错误:
user@edgerouter# commit [ vpn ] [ vpn ipsec site-to-site peer 198.51.100.2 tunnel 2 ] VPN 配置错误: 不支持 IPv6 over IPv4 IPsec 提交失败 [edit] user@edgerouter#旋风免费网络加速器下载
由于不支持混合隧道,因此需要配置两个第一阶段隧道。 我的建议是使用 CLI 进行配置。 用户界面上根本没有 IKE 版本、连接类型和本地地址等重要参数。 如果将 Edgerouter 配置为启动器,请确保远端设置为响应。 工作配置如下
user@edgerouter# 旋风免费网络加速器下载 ipsec auto-firewall-nat-exclude enable esp-group FOO0 { compression disable lifetime 1800 mode tunnel pfs dh-group14 proposal 1 { encryption aes256 hash sha256 } ike-group FOO0 { key-exchange ikev2 lifetime 3600 proposal 1 { dh-group 14 encryption aes256 hash sha256 } } site-to-site { peer 198.51.100.2 { authentication { mode pre-shared-secret pre-shared-secret <SomeSecret> } connection-type initiate description "IPSec to Lab" ike-group FOO0 ikev2-reauth inherit local-address 198.51.100.1 tunnel 1 { esp-group FOO0 local { prefix 10.1.0.0/16 } remote { prefix 10.2.0.0/16 } } } #IPv6 WAN IP peer 2001:db8:0::2 { authentication { mode pre-shared-secret pre-shared-secret <SomeSecret> } connection-type initiate description "IPSec IPv6 to Lab" ike-group FOO0 ikev2-reauth inherit #Edgerouter IPv6 WAN IP local-address 2001:db8:0::1 tunnel 1 { esp-group FOO0 local { prefix 2001:db8:1::/56 } remote { prefix 2001:db8:2::/56 } } } }旋风免费网络加速器下载
不要忘记在 IPv4 规则旁边向防火墙添加额外的基于 IPv6 的规则,以允许所需的端口。 在可能的情况下,不仅要允许所需的 IPSec 端口和协议,还要将对等 IP 配置为源。 这样可以防止各种攻击。 至少允许
- UDP 500(IKE / ISAKMP)
- IP 协议 50(ESP)
在我的 Edgerouter 上,WAN6_Local 规则看起来像这样:
user@edgerouter# show firewall ipv6-name WAN6_LOCAL default-action drop description "WAN6 to Router" rule 10 { action accept description Allow-IPSec-IKE destination { address 2001:db8:0::1 port 500 } source { address 2001:db8:0::2 } log disable protocol udp } rule 20 { action accept description Allow-IPSec-ESP destination { address 2001:db8:0::1 } source { address 2001:db8:0::2 } log disable protocol 50 } rule 30 { action accept description Allow-ICMP-from-Lab destination { address 2001:db8:0::1 } log disable protocol icmpv6 source { address 2001:db8:2::/56 } } 规则 40 { 动作 drop description "Drop invalid state" 状态 { invalid enable } }最后一步,在面向外部的 Edgerouter 接口上添加 "WAN6_Local "规则,以启用 IPSec 流量。 在我的例子中,它是 6RD 隧道接口 "tun0"。
user@edgerouter# set interfaces tunnel tun0 firewall in { ipv6-name WAN6_IN } local { ipv6-name WAN6_LOCAL }旋风免费网络加速器下载
将上述所有内容结合起来,结果如下图所示。
旋风免费网络加速器下载
最后,所有(基本)配置都完成了。 利用本部分和前几部分的配置,我们就可以在家里和实验室里拥有一个功能齐全的 IPv6 环境了。
这为在 NSX-T 和 Cloud Director 中配置和使用 IPv6 铺平了道路。 敬请关注本系列的下一部分!
干杯,丹尼尔
旋风免费网络加速器下载