网件路由防火墙及路由器IPv6功能(2)
网件路由防火墙及路由器IPv6功能
我们可以看到PC的网关为路由器WAN对端设备的IPv6链路本地单播地址,至少在网络层看来,被设置为pass through的路由器在IPv6上是不可见的。下面的截图是PC不使用路由器与使用了工作于透传模式的路由器时网络适配器配置IPv6的地址情况:
最后是Auto Detect
这一功能仅由家用路由器提供,实际上这并不是某种特别的接入或联网方式,如果选择此项,路由器会自动检测并选择上述方式中的一种,并将判断结果在Connection Type 条目中指出。
要提示的是,如果您试图使用IPv6地址访问管理界面,需要留意将地址放在中括号内部,否则默认情况下,浏览器会将冒号后内容理解为端口号,如图:
附录
附1.防火墙WAN IPv6默认配置
条目默认设置
WAN IPv6 modeDisabled (IPv4 mode only)
WAN MAC addressUse default MAC address of the wireless firewall
WAN MTU sizesize 1500 bytes; 1492 bytes for PPPoE connections
Port speedAutoSense
附2.ISP信息表
如果您首次使用IPv6,下表可以助您搜集恰当的信息以便配置。
条目ISP提供信息
IPv6 地址
IPv6 前缀长度
默认 IPv6 网关
首选 DNS 服务器地址
备用 DNS服务器地址
附3.可能支持IPv6的OS列表(以OS发行商为准)
Windows 7, all 32- and 64-bit versions
Windows Vista, all 32- and 64-bit versions
Windows XP Professional SP3 (32- and 64-bit)
Windows Server 2008, all versions
Windows Server 2008 R2, all versions
Windows Server 2003, all versions
Windows Server 2003 R2, all versions
Linux and other UNIX-based systems with a correctly configured kernel
MAC OS X
附4.防火墙DHCPv6服务器设置说明
在防火墙LAN侧有两种方法被提供与客户端配置IPv6地址:状态化和无状态的DHCP服务。
状态化DHCPv6是一种简单的为LAN用户提供IPv6地址的方式。LAN用户会获得接口地址以及包括DNS服务器信息在内的其他参数.状态化的DHCPv6需要配置地址池,参照附录5。
如果使用无状态的DHCPv6服务,LAN用户会结合本地信息与路由器宣告信息生成IPv6地址。.但会从DHCPv6服务器获取DNS信息.无状态的DHCPv6需要配置路由宣告守卫进程(RADVD),这一配置方法可以参考本文6to4隧道部分LAN相关配置内容。
附5.使用防火墙在LAN侧配置状态化DHCPv6服务器
进入 Network Configuration > LAN Setup
单选屏幕右上角IPv6,设置界面如下图所示
参考下表完成配置:
设置项描述
IPv6 LAN Setup
jIPv6 Address键入 LAN IPv6 地址, 或保持默认值(FEC0::1).
kIPv6 Prefix Length键入 LAN IPv6 前缀长度, 或保持默认值(64).
DHCPv6
lDHCP Status下拉菜单,选择 Enable the DHCPv6 Server.
mDHCP Mode下拉菜单,选择Stateful.
Prefix Delegation状态化DHCP情况下,该选项不可用.
nDomain Name键入DHCP server 域名称
oServer Preference键入DHCP server preference 值. 范围 0–255, 255是默认值.
这是在路由器宣告信息中的可选参数,终端设备参考此参数选择最佳DHCP服务器(最高值优先选择)
pDNS Server下拉菜单中选择DNS选项:
• Use DNS Proxy. 防火墙作为DNS代理,处理所有DNS请求,路由器将与您在Broadband ISP Settings处设置的运营商DNS通讯.
• Use DNS from ISP. 使用您在Broadband ISP Settings处设置的运营商
• Use below.选择该选项后DNS server文本框可以填写:
qPrimary DNS Server键入首选DNS服务器
rSecondary DNS Server键入备用DNS服务器
sLease/Rebind Time租期,默认为24小时(86400秒)
点击Apply以完成应用.
附6.配置IPv6 LAN地址池
状态化DHCPv6需要地址池
在IPv6 LAN设置界面, List of IPv6 Address Pools下,单击Add以添加一个地址池:
参考下表完成配置
设置项描述
Start IPv6 Address键入起始IP地址,这是地址池中顺序分配的第一个地址.
End IPv6 Address键入终止IP地址,这是地址池中顺序分配的最后一个地址.
Prefix Length键入前缀长度.
点击Apply以完成应用。
附7. 配置路由宣告守卫进程(RADVD)
如果内网没有部署状态化DHCPv6服务器,需要启用防火墙的RADVD守护进程(Router Advertisement Daemon),以提供无状态的DHCPv6
进入Network Configuration > LAN Setup ,
单选IPv6,
点击RADVD,
将RADVD Status改为Enable. (RADVD其他参数设置与RA设置对比表可以参考FVS318N Reference Manual 第3章)
点击APPLY以应用
在Advertisement Prefix 处单击 Add 以添加Prefix条目.
附8.对于6to4隧道部分例子1的扩展内容
关于路由器的IPv6地址,按照2002:IPvdaddress:EUI-64的规则,我们从MAC地址4C:60:DE:45:05:4D和外网IPv4 219.137.75.232 ,得到了一个全局单播IPv6地址(global unicast IPv6)2002:db89:4be8:e472:4e60:deff:fe45:54d/64,这与我们所预料的一样。
考虑到安全(避免泄露MAC地址)与管理需求,也可以使用自定义路由器LAN的interface ID以代替使用EUI-64规则(64比特扩展唯一标识符由IEEE定义,其计算方式可已参考IEEE相关文档)生成的接口ID,本例中我们将接口ID改为17e7:9ea2,这是1337语言的netgear,由于IPv6使用了16进制的表达方式,而且考虑到其有128bit的事实,我们可以将地址规划的更易读,而几乎不用对由于这一举措造成的地址浪费感到愧疚.例如可以将netgear的控制器命名为:ac:7520;或者对于NETGEAR一位工号为603的工程师Eda来说,她的PC可以被命名为:Eda:603
关于两种IP地址分配方式需要注意的是,路由器并不作为完整的DHCPv6服务器,没有地址池与其他选项可以设置.当内网中没有完整DHCPv6服务器时,REPLAY消息中将不包含IA(Identity Association for Non-temporary)信息.不同选则改变的是ICMPv6路由器宣告消息RA中的flag值.很难讲这两个选项哪一个对应SLAAC(无状态地址自动配置),哪一个对应DHCPv6(包括状态化与无状态化),原因是ND(Neighbor Discovery)协议由于某种原因并未将M(Managed Flag)定义为范本(prescriptive),而只是作为建议(advisory)(可参考I-D Action: draft-liu-6renum-dhcpv6-slaac-switching-00),这将导致不同的操作系统会按照自己的方式处理M,O与A标记(详见DHCPv6/SLAAC Address Configuration Interaction Problem Statement draft-liu-bonica-dhcpv6-slaac-problem-02).我们能给出的参考是,对于大多数NETGEAR设备,当IP Address Assignment被设置为Use DHCP Server时A Flag=NULL;M Flag=1;O Flag=1.
在选择为Auto Config时A Flag=1;M Flag=0;O Flag=1.
对于部分操作系统来说,前者将按照仅DHCPv6,后者按照SLAAC+无状态DHCPv6的方式处理.SLAAC与DHCPv6(状态化/无状态)原理不在本文讨论范围内,详细技术细节可以参考RFC4862,RFC3315与RFC3736。如果选择了DHCP Server,当客户端发起SOLICIT后,路由器与DHCPv6服务器将各发送一条ADVERTISE,此时终端设备会根据RFC3315选择忽略哪一条ADVERTISE。
网件路由防火墙及路由器IPv6功能的相关文章: