文檔密級(jí)【內(nèi)參】ADCampusV500R001B02多園區(qū)多Fabric配置指導(dǎo)2020-04-16H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第頁(yè)新華三技術(shù)有限公司H3CTechnologiesCo.,Ltd.解決方案名稱Solutionname密級(jí)Confidentialitylevel解決方案ADCampusV500R002B01內(nèi)部公開(kāi)解決方案版本Solutionversion共27頁(yè)Total27pagesV500R002B01 ADCampusV500R002B01 IPV6業(yè)務(wù)配置指導(dǎo)擬制武浩日期2020/5/7評(píng)審人日期批準(zhǔn)日期新華三技術(shù)有限公司H3CTechnologiesCo.,Ltd.版權(quán)所有侵權(quán)必究Allrightsreserved

修訂記錄RevisionRecord日期修訂版本修改章節(jié)修改描述作者2020/5/7V1.0全文初稿武浩202512020/5/20V1.1全文根據(jù)評(píng)審意見(jiàn)修改武浩202512020/8/20V1.1全文刷新武浩202512020/9/9V2.02.1.2-1-（3）新增啟用IPv6章節(jié)武浩20251

目錄1 簡(jiǎn)介 41.1 概述 41.2 典型組網(wǎng) 41.2.1 組網(wǎng)圖 41.2.2 業(yè)務(wù)流程說(shuō)明 42 IPV6業(yè)務(wù)配置步驟 62.1 組網(wǎng)設(shè)備配置 62.1.1 組網(wǎng)設(shè)備已納管，新增IPV6業(yè)務(wù) 62.1.2 組網(wǎng)設(shè)備未納管，自動(dòng)化上線 112.2 DHCPv6Server配置 132.2.1 微軟DHCPv6Server配置 132.2.2 控制器納管DHCPv6Server 162.3 策略模板配置 162.4 安全組配置 172.5 EIA配置 202.6 用戶上線 213 配置注意事項(xiàng) 22簡(jiǎn)介概述隨著IPv6的不斷推進(jìn)，園區(qū)網(wǎng)用戶對(duì)IPv6的需求也越來(lái)越大，因此在ADCampus園區(qū)網(wǎng)方案中也增加了IPv6業(yè)務(wù)的相關(guān)功能。目前控制器對(duì)設(shè)備的納管依然采用IPv4地址，配置IPv6相關(guān)業(yè)務(wù)時(shí)，需要保證設(shè)備納管正常。典型組網(wǎng)組網(wǎng)圖與IPv4標(biāo)準(zhǔn)組網(wǎng)相比，主要增加了微軟DHCPv6服務(wù)器。業(yè)務(wù)流程說(shuō)明ADCampus五期R002B01園區(qū)網(wǎng)方案中，IPv6業(yè)務(wù)可分為兩部分：用戶采用IPv4認(rèn)證時(shí)，IPv6的相關(guān)業(yè)務(wù)。用戶采用IPv6認(rèn)證時(shí)，IPv6的相關(guān)業(yè)務(wù)。其中，IPv4/IPv6認(rèn)證是指：接入設(shè)備與eia是通過(guò)什么報(bào)文交互。若通過(guò)IPv4報(bào)文交互即為IPv4認(rèn)證，若通過(guò)IPv6報(bào)文交互，則為IPv6認(rèn)證；采用什么認(rèn)證方式，eia上就需要配置相應(yīng)的IPv4/IPv6地址。目前控制器對(duì)設(shè)備納管只能通過(guò)設(shè)備IPv4管理地址，故不論采用什么認(rèn)證方式均需要配置IPv4地址。具體場(chǎng)景如下：1、用戶802.1x和mac認(rèn)證時(shí)：（1）采用IPv4認(rèn)證，設(shè)備配置IPv4和IPv6地址，用戶雙棧從DHCPserver獲取IPv4和IPv6地址或單棧僅獲取IPv4地址或單棧僅IPv6地址。（2）采用IPv6地址，設(shè)備配置IPv4和IPv6地址，用戶雙棧從DHCPserver獲取IPv4和IPv6地址或單棧僅獲取IPv6地址或單棧僅IPv4地址。2、用戶mac-portal認(rèn)證方式時(shí)：BYOD二層網(wǎng)絡(luò)域只能配置單棧，mac-portal用戶在BYOD中時(shí)只能是單棧的（IPv4或IPv6），后續(xù)進(jìn)入業(yè)務(wù)安全組后可雙?；騿螚?。注意：采用IPv4認(rèn)證，且用戶單棧只獲取IPv6地址時(shí)，不可啟用策略服務(wù)器，否則用戶ip地址非法會(huì)下線；同理，采用IPv6認(rèn)證，且用戶單棧IPv4地址時(shí)，也不可啟用策略服務(wù)器。不建議用戶采用這兩種場(chǎng)景。IPV6業(yè)務(wù)配置步驟組網(wǎng)設(shè)備配置組網(wǎng)設(shè)備已納管，新增IPV6業(yè)務(wù)這種場(chǎng)景下，需要在組網(wǎng)設(shè)備原有配置上增加配置，下文紅色部分為需要增加的內(nèi)容。注意：該場(chǎng)景也適用于新設(shè)備的手動(dòng)納管。2.1.1.1L2/L3switch配置Step1：在L2/L3switch的VLAN4094接口下增加地址池的IPv6網(wǎng)關(guān)地址：#interfaceVlan-interface4094ipaddress10.10.12.1255.255.255.0ipv6address68:1::1/64#step2：涉及到用戶采用IPv6認(rèn)證上線時(shí)，需在外聯(lián)設(shè)備上配置靜態(tài)路由或動(dòng)態(tài)路由協(xié)議。否則用戶獲取到安全組地址后，外聯(lián)設(shè)備上沒(méi)有相應(yīng)路由導(dǎo)致ping不通EIA。ipv6route-static::068:1::2——配置一條缺省路由下一跳為spinevsi4094接口的IPv6地址2.1.1.2Spine設(shè)備配置Step1：vsi4094配置IPv6地址interfaceVsi-interface4094ipbindingvpn-instancevpn-defaultipaddress10.10.12.35255.255.255.0local-proxy-arpenableipv6address68:1::2/64local-proxy-ndenable#Step2：VPN配置：ipvpn-instancevpn-defaultroute-distinguisher1:1vpn-target1:1import-extcommunityvpn-target1:1export-extcommunity#address-familyipv6vpn-target1:1import-extcommunityvpn-target1:1export-extcommunity#Step3：bgp配置：bgp100ipvpn-instancevpn-default#address-familyipv6unicastimport-routedirectimport-routestatic#Step4：靜態(tài)路由配置Spine和服務(wù)器的連接為2/3層接入時(shí)，需配置到EIA服務(wù)器的靜態(tài)路由，下一跳為二/三層交換機(jī)vlan4094的IPv6地址ipv6route-staticvpn-instancevpn-default61:1::6468:1::1//目的ip為EIA服務(wù)器IPv6地址Step5：全局關(guān)閉vxlantunnel的nd學(xué)習(xí)配置：vxlantunnelnd-learningdisableStep6:vsi-interface4092下開(kāi)啟IPv6功能：interfaceVsi-interface4092ipbindingvpn-instancevpn-defaultipaddressunnumberedinterfaceVsi-interface4094ipv6addressautolink-locall3-vni4092#2.1.1.3Leaf設(shè)備配置Step1:vsi4094接口配置interfaceVsi-interface4094ipbindingvpn-instancevpn-defaultipaddress10.10.12.36255.255.255.0local-proxy-arpenablearpproxy-sendenableipv6address68:1::3/64local-proxy-ndenable#Step2：VPN配置：ipvpn-instancevpn-defaultroute-distinguisher1:1vpn-target1:1import-extcommunityvpn-target1:1export-extcommunity#address-familyipv6vpn-target1:1import-extcommunityvpn-target1:1export-extcommunity#Step3：bgp配置：bgp100ipvpn-instancevpn-default#address-familyipv6unicastimport-routedirectimport-routestatic#Step4：靜態(tài)路由配置Spine和服務(wù)器的連接為2/3層接入時(shí)，需配置到EIA服務(wù)器的靜態(tài)路由，下一跳為二/三層交換機(jī)vlan4094的IPv6地址ipv6route-staticvpn-instancevpn-default61:1::6468:1::1//目的ip為EIA服務(wù)器IPv6地址Step5：全局dhcpsnooping配置ipv6dhcpsnoopingenablevlan2to4094Step6：全局關(guān)閉vxlantunnel的nd學(xué)習(xí)配置：vxlantunnelnd-learningdisableStep7：Vsi-interface4092下開(kāi)啟IPv6功能：interfaceVsi-interface4092ipbindingvpn-instancevpn-defaultipaddressunnumberedinterfaceVsi-interface4094ipv6addressautolink-locall3-vni4092#Step8：Vsivxlan4094實(shí)例下配置dhcpsnooping功能：#vsivxlan4094gatewayvsi-interface4094vxlan4094evpnencapsulationvxlanmac-advertisingdisablearpmac-learningdisableroute-distinguisherautovpn-targetautoexport-extcommunityvpn-targetautoimport-extcommunitydhcpsnoopingtrusttunnelipv6dhcpsnoopingtrusttunnel#2.1.1.4Access設(shè)備配置Step1：配置VLAN4094接口#interfaceVlan-interface4094ipaddress10.10.12.37255.255.255.0ipv6address68:1::4/64#Step2：靜態(tài)路由配置#Spine和服務(wù)器的連接為2/3層接入時(shí)，需配置到EIA服務(wù)器的靜態(tài)路由，下一跳為二/三層交換機(jī)vlan4094的IPv6地址ipv6route-static61:1::6468:1::1//目的ip為EIA服務(wù)器IPv6地址2.1.1.5控制器頁(yè)面啟用IPv6開(kāi)關(guān)在該路徑下：基礎(chǔ)網(wǎng)絡(luò)>網(wǎng)絡(luò)>參數(shù)>控制器全局配置，“啟用IPv6”開(kāi)關(guān)選擇“開(kāi)啟”。2.1.1.6EIA手動(dòng)增加接入設(shè)備由于設(shè)備管理IPv6地址是手動(dòng)配置的，控制器無(wú)法獲取設(shè)備管理IPv6地址，因此控制器無(wú)法將接入設(shè)備管理IPv6地址推送給EIA，此場(chǎng)景下只能在EIA上手動(dòng)增加IPv6接入設(shè)備。EIA頁(yè)面：用戶>接入策略管理>接入設(shè)備管理>接入設(shè)備配置點(diǎn)擊增加按鈕，手動(dòng)添加IPv6接入設(shè)備：組網(wǎng)設(shè)備未納管，自動(dòng)化上線設(shè)備自動(dòng)化上線配置只需在IPv4的基礎(chǔ)上增加如下配置：2.1.2.1L2/L3Switch配置Step1：在二/三層交換機(jī)的VLAN4094接口下增加地址池的IPv6網(wǎng)關(guān)地址：[l2-switch-Vlan-interface4094]disth#interfaceVlan-interface4094ipaddress10.10.12.1255.255.255.0ipv6address68:1::1/64#returnStep2：涉及到用戶采用IPv6認(rèn)證上線時(shí)，需在外聯(lián)設(shè)備上配置靜態(tài)路由或動(dòng)態(tài)路由協(xié)議。否則用戶獲取到安全組地址后，外聯(lián)設(shè)備上沒(méi)有相應(yīng)路由導(dǎo)致ping不通EIA。ipv6route-static::068:1::2——配置一條缺省路由下一跳為spinevsi4094接口的IPv6地址2.1.2.1控制器頁(yè)面配置Step1：創(chuàng)建VLAN4094的IPv6地址池Step2：創(chuàng)建自動(dòng)化模板自動(dòng)化模板需要在地址池設(shè)置添加VLAN4094的IPv6地址池，并將IPv6DHCPserver地址添加到IPv6網(wǎng)段內(nèi)。模板配置完成后，可以從模板預(yù)覽里看到，模板已經(jīng)添加了IPv6的相關(guān)配置：Step3：?jiǎn)⒂肐Pv6在該路徑下：基礎(chǔ)網(wǎng)絡(luò)>網(wǎng)絡(luò)>參數(shù)>控制器全局配置，“啟用IPv6”開(kāi)關(guān)選擇“開(kāi)啟”。DHCPv6Server配置微軟DHCPv6Server配置Step1：安裝微軟DHCP具體步驟參見(jiàn)《ADCampusV500R002B01微軟DHCP緊耦合方案配置指導(dǎo)》中“2.4 安裝微軟DHCP服務(wù)”Step2：創(chuàng)建安全組IPv6作用域注意：IPv6無(wú)需創(chuàng)建超級(jí)作用域；另外目前DHCPv6服務(wù)器只支持松耦合且不支持主備模式，安全組作用域只能手動(dòng)在DHCPserver上添加。推薦組網(wǎng)中，用戶IPv4地址是從vdhcp上獲取地址，微軟DHCP無(wú)需配置安全組的IPv4作用域。注意：BYOD作用域中需設(shè)置租約為1分鐘。之后點(diǎn)擊下一步，直至完成激活?？刂破骷{管DHCPv6Server控制器頁(yè)面該路徑下“基礎(chǔ)網(wǎng)絡(luò)>網(wǎng)絡(luò)>基礎(chǔ)服務(wù)>DHCP“，納管微軟DHCP策略模板配置若用戶采用IPv4認(rèn)證時(shí)，策略模板無(wú)需修改，按原有策略模板配置即可。若用戶采用IPv6認(rèn)證時(shí)，需修改設(shè)備AAA和mac/portal認(rèn)證兩個(gè)模板，，AAA中認(rèn)證服務(wù)器修改為IPv6地址，mac/portal認(rèn)證模板中免認(rèn)證ip也修改為對(duì)應(yīng)radius服務(wù)器IPv6地址。認(rèn)證設(shè)備上同時(shí)存在IPv4和IPv6認(rèn)證時(shí)，只有IPv4認(rèn)證有效；一個(gè)ACL同時(shí)存在IPv4和IPv6時(shí)，也只有IPv4生效。Ipv6認(rèn)證時(shí)認(rèn)證服務(wù)器EIA需要配置成IPv6地址。安全組配置Step1：在隔離域中增加DHCPv6服務(wù)器Step2：增加二層網(wǎng)絡(luò)域，在普通類型二層網(wǎng)絡(luò)域中可以只配IPv4子網(wǎng)、只配IPv6子網(wǎng)或者同時(shí)配IPv4和IPv6子網(wǎng)，具體如何配置需要用戶結(jié)合實(shí)際需求及組網(wǎng)配置情況確定。在高級(jí)選項(xiàng)中可以開(kāi)啟DHCPv6snooping/ndsnooping選項(xiàng)。關(guān)于IPv6地址模式有如下四個(gè)選項(xiàng)：手動(dòng)：手動(dòng)在用戶終端配置靜態(tài)IPv6地址。SLAAC：又稱網(wǎng)關(guān)無(wú)狀態(tài)地址自動(dòng)配置，接口會(huì)根據(jù)接收到的RA報(bào)文中攜帶的地址前綴信息和接口ID，自動(dòng)生成IPv6全球單播地址。有狀態(tài)DHCPv6：用戶通過(guò)DHCPv6服務(wù)器獲取IPv6地址，并根據(jù)DHCPv6服務(wù)器報(bào)文內(nèi)容配置其他網(wǎng)絡(luò)參數(shù)。用戶如果接收到的RA報(bào)文中M標(biāo)志位（被管理地址配置標(biāo)志位）取值為1、O標(biāo)志位（其他配置標(biāo)志位）取值為1，則DHCPv6客戶端會(huì)自動(dòng)啟動(dòng)DHCPv6有狀態(tài)配置功能。無(wú)狀態(tài)DHCPv6：DHCPv6服務(wù)器可以為已經(jīng)具有IPv6地址/前綴的客戶端分配其他網(wǎng)絡(luò)配置參數(shù)，該過(guò)程稱為DHCPv6無(wú)狀態(tài)配置。用戶根據(jù)路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)所獲取的信息自動(dòng)配置IPv6地址后，如果接收到的RA報(bào)文中M標(biāo)志位（被管理地址配置標(biāo)志位）取值為0、O標(biāo)志位（其他配置標(biāo)志位）取值為1，則DHCPv6客戶端會(huì)自動(dòng)啟動(dòng)DHCPv6無(wú)狀態(tài)配置功能，以獲取除地址/前綴外的其他網(wǎng)絡(luò)配置參數(shù)。Step3：創(chuàng)建安全組，選擇該二層網(wǎng)絡(luò)域需要注意的是，采用IPv6認(rèn)證且用戶通過(guò)mac-portal方式認(rèn)證上線時(shí)，byod二層網(wǎng)絡(luò)域必須配成IPv6地址。EIA配置在eia頁(yè)面上，修改系統(tǒng)參數(shù)，啟用IPv6，路徑：用戶>接入策略管理>業(yè)務(wù)參數(shù)配置>系統(tǒng)配置>系統(tǒng)參數(shù)配置。其他配置與IPv4相同。eia需要在安裝時(shí)就配置IPv6地址；若eia配置完成后需要啟用eia的IPv6功能，則可修改eia的配置文件（路徑C:\ProgramFile\iMC\common\conf下的server-addr文件），將eia的IPv6地址填寫(xiě)到相應(yīng)IPv6的字段中并重啟IMC服務(wù)（不建議修改配置文件）。用戶上線采用IPv4認(rèn)證時(shí)，用戶上線三種方式認(rèn)證上線流程不變，用戶僅比IPv4業(yè)務(wù)時(shí)多獲取了一個(gè)IPv6地址。采用IPv6認(rèn)證方式時(shí)，802.1x認(rèn)證和mac認(rèn)證與IPv4時(shí)類似，但當(dāng)用戶通過(guò)MACPortal方式認(rèn)證上線時(shí)，需要注意：在沒(méi)有DNS的環(huán)境中，用戶PC上，打開(kāi)網(wǎng)頁(yè)需要輸入任何一個(gè)IPv6地址如：[23:1::1]，用戶網(wǎng)頁(yè)才能自動(dòng)跳轉(zhuǎn)到如下BYOD缺省頁(yè)面：配置注意事項(xiàng)（1）BYOD二層網(wǎng)絡(luò)域子網(wǎng)只能配IPv4或IPv6其中之一，不可同時(shí)配置。用戶通過(guò)mac-portal方式認(rèn)證上線時(shí)，若是IPv4認(rèn)證，則BYOD二層網(wǎng)絡(luò)域配置IPv4子網(wǎng)；若是IPv6認(rèn)證，則BYOD二層網(wǎng)絡(luò)域配置IPv6子網(wǎng)。（2）網(wǎng)絡(luò)設(shè)備做DHCPserver的場(chǎng)景，需要手動(dòng)配置，控制器目前不支持自動(dòng)下發(fā)。Step1：Spine和Leaf設(shè)備上部署IPv6地址池：#手動(dòng)創(chuàng)建IPv6地址池ipv6dhcppoolpool3521vpn-instancevpn1address-alloc-modeeui-64network61:1::/64#Step2：Spine和Leaf設(shè)備上對(duì)應(yīng)的VSI虛接口下增加配置#VSI虛接口增加紅色部分配置interfaceVsi-interface3521ipbindingvpn-instancevpn1ipaddress61.1.0.1255.255.0.0mac-address0061-1000-0001local-proxy-arpenable