cisco router configuration

建立ipv6双栈接入环境

上节里我们完成了ipv4 pppoe 的配置,在之前的一篇杂谈里也谈到了ipv4地址枯竭的问题。
其实现在很多网站都已经开始支持ipv6,运营商也基本都在向用户以不同的形式提供ipv6网络接入。主要通过一下两种方式:

  • 通过DHCP-PD协议从运营商获得一个/64的前缀,之后路由器为连接到自己的设备分配这个前缀下的主机地址。(可以分配约16亿亿个主机地址,足够让家里每一粒沙子上网)
  • 路由器对于ipv6通信只扮演二层交换机的角色,所有设备独立连接到运营商网络。即所谓的ipv6穿透。(地址空间用不完就是任性)

这两种方式都属于双栈(dual stack),即在同一台网络设备商部署两套完全不相关的通信协议(ipv4 ipv6独立运作,互不干扰)。其中ipv6通信由于不需要通过拥挤老旧的ipv4网络设备,所以在传输速度上有较大优势。由此发展出了一些v4向v6过渡的技术,比如MAP-E和DS-LITE。其主要思路就是将ipv4数据包包装到ipv6的数据包中,通过ipv6网络进行传输。实现访问ipv4网络也能达到ipv6的速度。现在日本运营商都在免费推广这种技术,因为使用了这种技术,我们就只需要ipv6的地址,无形中为ipv4的网络减轻了压力。
ipv6 速度测试
由于能够让ipv4流量也达到了ipv6的速度,MAP-E技术对于一般用户是非常有利的,但是由于我的古董路由器不支持这项技术,加上我还是想要一个ipv4的公网IP(正是这一条催生了这个网站),所以只能从双栈中进行选择。

在路由器上配置ipv6穿透

本节的配置内容均在上节的基础上进行更改。
首先启动配置,添加一条bridge irb指令启动路由器的桥接功能。

enable
config terminal

bridge irb

然后将连接到光猫的WAN口加入桥接组,

interface GigabitEthernet8
bridge-group 1
bridge-group 1 input-type-list 200
exit

上节我们直接给Vlan1设置了ip地址作为子网的网关,而现在我们需要一个虚拟桥接接口(BVI)作为网关,来实现ipv6桥接。所以要先使用

default interface Vlan1

清除Vlan1下的所有配置,然后使用如下配置将Vlan1加入桥接组。

interface Vlan1
no ip address
bridge-group 1

创建BVI1作为网关

interface BVI1
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1414
exit

最后设置一下桥接规则和访问控制(ACL)

control-plane
bridge 1 protocol ieee
bridge 1 route ip
exit

access-list 200 permit 0x86DD 0x0000
access-list 200 permit 0x0800 0x0000
access-list 200 permit 0x0806 0x0000

其中0x86DD是ipv6协议,0x0800是ipv4协议,0x0806是ARP协议。
完成之后,应该可以看到PC已经获取了ipv6地址。

这种方式路由器工作在2层交换模式,并没有自己的ip地址。而dhcp-pd的方式则可以让路由器工作在3层路由模式,获得自己的ipv6前缀,并根据需要为端口分配ipv6地址。

在路由器上配置dhcp-pd

dhcp-pd方式与ipv4的dhcp内网模式几乎完全相同
首先启用ipv6路由转发,建立ipv6的dhcp:

ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool STATELESS
    import dns-server
    import domain-name
    exit

在连接到光猫的WAN口启动ipv6,并获取来自hdcp-pd的前缀:

interface GigabitEthernet8
    ipv6 address autoconfig default
    ipv6 enable
    ipv6 dhcp client pd PREFIX
    exit

在Vlan1上设置网关和DHCP:

interface Vlan1
ipv6 address PREFIX ::1:0:0:0:1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server STATELESS

STATELESS模式即为不保存ipv6地址的分配情况,每次连接都重新为设备分配新的ip地址。

大隐隐于市

习惯了ipv4网络对子网进行NAT转换的话可能会对ipv6的安全性产生疑问。但是NAT技术本身也不是为了解决网络安全的问题,反而应该认为是NAT技术的过度应用,导致了互联网用户忽视了对本应承担安全防护任务的操作系统防火墙的设置。
而且对于不将主机地址登录到外部DNS的一般用户来说,ipv6巨大的地址空间其实以一种大隐隐于市的方式保证了用户的安全。由于STATELESS的分配方式会随机为主机在前缀空间下分配主机地址,即使外部攻击者知晓了我们所在地区的ipv6前缀范围,扫描这个前缀范围下万亿亿记的地址空间也是一项不可能的任务。

Ads