Guia d'usuari del controlador sense fil dels clients IPv6 de CISCO
Mobilitat del client IPv6
La versió 6 del protocol d'Internet (IPv6) és el protocol d'Internet de capa de xarxa de nova generació que pretén substituir
versió 4 (IPv4) al conjunt de protocols TCP/IP. Aquesta nova versió augmenta l'espai d'adreces global d'Internet
per acollir usuaris i aplicacions que requereixen adreces IP globals úniques. IPv6 incorpora 128 bits
adreces d'origen i de destinació, que proporcionen molt més adreces que les adreces IPv32 de 4 bits.
Per donar suport als clients IPv6 a través dels controladors, els missatges ICMPv6 s'han de tractar especialment per garantir l'IPv6
client roman a la mateixa xarxa de capa 3. Els controladors fan un seguiment dels clients IPv6 interceptant el
Missatges ICMPv6 per oferir una mobilitat perfecta i protegir la xarxa dels atacs de la xarxa. El ICMPv6
els paquets es converteixen de multicast a unicast i es lliuren individualment per client. Aquest procés permet
més control. Clients específics poden rebre paquets específics de Neighbor Discovery i Router Advertisement,
que garanteix l'adreçament IPv6 correcte i evita el trànsit multicast innecessari.
La configuració de la mobilitat IPv6 és la mateixa que la de la mobilitat IPv4 i no requereix cap programari independent al
costat del client per aconseguir una itinerància perfecta. Els controladors han de formar part del mateix grup de mobilitat. Tots dos IPv4
i la mobilitat del client IPv6 estan habilitats per defecte.
Requisits previs per configurar la mobilitat IPv6
• Es poden fer un seguiment de fins a vuit adreces de client per client.
• Per permetre que l'adreça IP DHCPv6 amb estat funcioni correctament, heu de tenir un commutador o un encaminador que
admet la funció DHCP per a IPv6 que està configurada per actuar com un servidor DHCPv6 o necessiteu un
servidor com ara un servidor Windows 2008 amb un servidor DHCPv6 integrat.
Per donar suport a la mobilitat IPv6 perfecta, potser haureu de configurar el següent:
- Configuració de RA Guard per a clients IPv6
- Configuració de l'acceleració de RA per a clients IPv6
- Configuració de la memòria cau de descobriment de veïns d'IPv6
Restriccions a la configuració de la mobilitat IPv6
• La funció de VLAN dinàmica per a IPv6 no és compatible.
• Itinerància de clients IPv6 associats a una WLAN que està assignada a una ONUtaginterfície ged a una altra WLAN que està assignada a a tagLa interfície ged no és compatible.
• Els controladors que tenen el mateix grup de mobilitat, el mateix ID de VLAN i diferents subxarxes IPv4 i IPv6, generen diferents anuncis d'encaminador IPv6. La WLAN d'aquests controladors s'assigna a la mateixa interfície dinàmica amb el mateix ID de VLAN a tots els controladors. El client rep l'adreça IPv4 correcta; tanmateix, rep un anunci d'encaminador de les diferents subxarxes que arriben als altres controladors.
Pot haver-hi un problema de no trànsit del client perquè la primera adreça IPv6 donada al client no coincideix amb la subxarxa de l'adreça IPv4. Per resoldre-ho, assegureu-vos que si feu la capa 3 vaga entre controladors que el client estigui assignat a diferents VLAN.
• IPv6 no és compatible amb la commutació local Flex amb la VLAN d'anul·lació AAA.
• El ping IPv6 del controlador a un client no és compatible si el client es troba a la subxarxa de gestió.
• El controlador envia tot el trànsit IPv6 de l'aplicació a la passarel·la encara que l'amfitrió estigui a la mateixa subxarxa. La passarel·la reenvia el trànsit a l'amfitrió a la mateixa subxarxa. Si la passarel·la és un Cisco ASA, de manera predeterminada, el Cisco ASA elimina el trànsit enviat pel controlador a la passarel·la, si el trànsit s'ha d'enviar a la mateixa subxarxa. Això es deu al fet que la interfície d'entrada i sortida de trànsit és la mateixa. Per permetre que Cisco ASA reenviï
aquest trànsit, utilitzeu l'ordre de la interfície del mateix permís de trànsit de seguretat a Cisco ASA. Per obtenir més informació, consulteu https://www.cisco.com/c/en/us/td/docs/security/asa/asa92/configuration/vpn/asa-vpn-cli/vpn-params.html#56144.
IPv6 global
Aquesta secció conté els següents subapartats:
Restriccions a l'IPv6 global
• L'adreça IPv4 s'ha de configurar a la interfície abans de configurar l'adreça IPv6.
Configuració global d'IPv6 (GUI)
Procediment
Pas 1 Tria Controlador > General.
Pas 2 A la llista desplegable Configuració IPv6 global, trieu Habilitat or Inhabilitat.
Pas 3 Feu clic Aplicar.
Pas 4 Feu clic Desa la configuració.
Configuració global d'IPv6 (CLI)
Procediment
• Activeu o desactiveu IPv6 globalment introduint aquesta ordre: config ipv6 {enable | desactivar}
Guàrdia RA
Els clients IPv6 configuren adreces IPv6 i omplen les seves taules d'encaminador basant-se en paquets d'anunci d'encaminador (RA) IPv6. La funció RA Guard és similar a la funció RA Guard de les xarxes cablejades. RA Guard augmenta la seguretat de la xarxa IPv6 deixant caure els paquets RA no desitjats o canalla que provenen dels clients sense fil. Si aquesta característica no està configurada, els clients IPv6 maliciosos podrien anunciar-se com a encaminador de la xarxa, cosa que tindria més prioritat sobre els encaminadors IPv6 legítims.
RA Guard es produeix al controlador. Podeu configurar el controlador per deixar missatges RA al punt d'accés o al controlador. Per defecte, RA Guard es configura al punt d'accés i també s'habilita al controlador. Tots els missatges d'IPv6 RA s'eliminen, cosa que protegeix altres clients sense fil i la xarxa per cable amunt dels clients IPv6 maliciosos.
Nota
- La funció de protecció IPv6 RA només funciona amb clients sense fil. Aquesta funció no funciona amb l'accés de convidat per cable (GA).
- La protecció RA també és compatible amb el mode de commutació local Flex Connect.
Aquesta secció conté els següents subapartats:
Configuració de RA Guard (GUI)
Procediment
Pas 1 Trieu Controlador > IPv6 > RA Guard per obrir la pàgina IPv6 RA Guard. Per defecte, l'IPv6 RA Guard a l'AP està habilitat.
Pas 2 A la llista desplegable, trieu Desactivar per desactivar RA Guard. El controlador també mostra els clients que s'han identificat com a enviant paquets RA.
Pas 3 Feu clic a Aplica per confirmar els vostres canvis.
Pas 4 Feu clic a Desa la configuració per desar els canvis.
Configuració de RA Guard (CLI)
Procediment
• Configureu RA Guard introduint aquesta ordre: config ipv6 ra-guard ap {enable | desactivar}
RA throttling
L'acceleració de RA permet al controlador aplicar límits als paquets RA dirigits a la xarxa sense fil. En habilitar l'acceleració RA, els encaminadors que envien molts paquets RA es poden retallar a una freqüència mínima que mantindrà una connectivitat de client IPv6. Si un client envia un paquet RS, es torna a enviar un RA al client.
Això es permet a través del controlador i es transmet al client. Aquest procés garanteix que els nous clients o clients itinerants no es vegin afectats per l'acceleració de RA.
Aquesta secció conté els següents subapartats:
Configuració de l'acceleració de RA (GUI
Procediment
Pas 1 Trieu Controlador > IPv6 > Pàgina Política d'acceleració RA. Per defecte, la política d'acceleració de RA IPv6 està desactivada.
Desmarqueu la casella de selecció per desactivar la política d'acceleració RA.
Pas 2 Configureu els paràmetres següents:
- Període d'acceleració: el període de temps per a l'acceleració. L'acceleració de RA només es produeix després que s'ha arribat al límit de pas màxim per a la VLAN o s'ha arribat al valor de Permetre màxim per a un encaminador concret. El rang és de 10 segons a 86400 segons. El valor predeterminat és de 600 segons.
- Max Through: el nombre màxim de paquets RA en una VLAN que es poden enviar abans que es produeixi l'acceleració. L'opció Sense límit permet passar un nombre il·limitat de paquets RA sense limitació.
El rang és de 0 a 256 paquets RA. El valor predeterminat és de 10 paquets RA. - Opció d'interval: aquesta opció permet que el controlador actuï de manera diferent en funció del valor RFC 3775 establert als paquets IPv6 RA.
- Passthrough: permet que qualsevol missatge RA amb l'opció d'interval RFC 3775 passi sense acceleració.
- Ignora: fa que l'accelerador RA tracti els paquets amb l'opció d'interval com a RA normal i subjecte a l'acceleració si està en vigor.
- Acelerador: fa que els paquets RA amb l'opció d'interval estiguin sempre subjectes a una limitació de velocitat.
- Permetre almenys: el nombre mínim de paquets RA per encaminador que es poden enviar com a multidifusió abans que es produeixi l'acceleració. El rang és de 0 a 32 paquets RA.
- Permetre com a màxim: el nombre màxim de paquets RA per encaminador que es poden enviar com a multidifusió abans que es produeixi l'acceleració. L'opció Sense límit permet un nombre il·limitat de paquets RA a través de l'encaminador.
El rang és de 0 a 256 paquets RA.
Nota Quan es produeix l'acceleració de RA, només es permet el pas del primer encaminador compatible amb IPv6. Per a xarxes que tenen diversos prefixos IPv6 servits per diferents encaminadors, hauríeu de desactivar l'acceleració de RA.
Pas 3 Desa la configuració.
Configuració de la política d'acceleració de RA (CLI)
Procediment
Configureu la política d'acceleració RA introduint aquesta ordre:
config ipv6 neigbhor-binding ra-throttle {permet com a mínim un valor mínim | habilitar | desactivar | opció-interval { ignorar | passant | accelerador} | max-through {max-through-valor | sense límit}}
Descobriment de veïns IPv6
IPv6 Neighbor Discovery és un conjunt de missatges i processos que determinen les relacions entre nodes veïns. Neighbor Discovery substitueix ARP, ICMP Router Discovery i ICMP Redirect utilitzats a IPv4.
En un moment donat, només s'admeten vuit adreces IPv6 per client. Quan es troba la novena adreça IPv6, el controlador elimina l'entrada obsoleta més antiga i s'adapta a la més recent.
La inspecció de descobriment de veïns d'IPv6 analitza els missatges de descobriment de veïns per tal de crear una base de dades de taula d'enllaç de confiança i els paquets de descoberta de veïns d'IPv6 que no compleixen s'eliminen. La taula d'enllaç de veïns del controlador fa un seguiment de cada adreça IPv6 i la seva adreça MAC associada. Els clients caduquen de la taula segons els temporitzadors de Neighbor Binding.
Aquesta secció conté els següents subapartats:
Configuració de l'enllaç de veí (GUI)
Procediment
Pas 1 Trieu Controlador > IPv6 > Pàgina d'enllaç de veí.
Pas 2 Configureu el següent:
- Down–Lifetime: especifica quant de temps es conserven les entrades de memòria cau d'IPv6 si la interfície cau. El rang és de 0 a 86400 segons.
- Reachable–Lifetime—especifica quant de temps estan actives les adreces IPv6. El rang és de 0 a 86400 segons.
- Stale–Lifetime: especifica quant de temps es conservaran les adreces IPv6 a la memòria cau. El rang és de 0 a 86400 segons.
Pas 3 Activeu o desactiveu el reenviament NS de multidifusió per adreça desconeguda.
Pas 4 Activeu o desactiveu el reenviament de multidifusió NA.
Si activeu el reenviament de multidifusió NA, totes les NA multidifusió no sol·licitades de cable/sense fil no es reenvien a Wireless.
Pas 5 Feu clic a Aplica.
Pas 6 Feu clic a Desa la configuració.
Configuració de l'enllaç de veí (CLI)
Procediment
- Configureu els paràmetres d'enllaç de veïnes introduint aquesta ordre: config ipv6 neighbor-binding timers {down-lifetime | vida útil accessible | stale-lifetime} {activa | desactivar}
- Configureu el reenviament de multidifusió NS d'adreça desconeguda introduint aquesta ordre: config ipv6 ns-mcast-fwd {enable | desactivar}
- Configureu NA Multicast Forwarding introduint aquesta ordre: config ipv6 na-mcast-fwd {enable | desactivar}
Si activeu el reenviament de multidifusió NA, totes les NA multidifusió no sol·licitades de cable/sense fil no es reenvien a Wireless. - Consulteu l'estat de les dades d'enllaç de veïnes que es configuren al controlador introduint aquesta ordre: show ipv6 neighbor-binding summary
Llegeix més sobre aquest manual i baixa el PDF:
Documents/Recursos
 |
Controlador sense fil de clients IPv6 CISCO [pdfGuia de l'usuari Clients IPv6 Controlador sense fil, Clients Controlador sense fil, Controlador sense fil, Controlador |