คู่มือผู้ใช้คอนโทรลเลอร์ไร้สายไคลเอนต์ CISCO IPv6

 

ความคล่องตัวของไคลเอ็นต์ IPv6

Internet Protocol เวอร์ชัน 6 (IPv6) เป็นโปรโตคอลอินเทอร์เน็ตเลเยอร์เครือข่ายยุคถัดไปที่มีจุดประสงค์เพื่อแทนที่
เวอร์ชัน 4 (IPv4) ในชุดโปรโตคอล TCP/IP เวอร์ชันใหม่นี้เพิ่มพื้นที่ที่อยู่ทั่วโลกของอินเทอร์เน็ต
เพื่อรองรับผู้ใช้และแอปพลิเคชันที่ต้องการที่อยู่ IP ทั่วโลกที่ไม่ซ้ำกัน IPv6 รวม 128 บิต
ที่อยู่ต้นทางและปลายทาง ซึ่งให้ที่อยู่มากกว่าที่อยู่ IPv32 แบบ 4 บิตอย่างมาก
เพื่อรองรับไคลเอนต์ IPv6 ข้ามตัวควบคุม ข้อความ ICMPv6 จะต้องได้รับการจัดการเป็นพิเศษเพื่อให้แน่ใจว่า IPv6
ลูกค้ายังคงอยู่ในเครือข่ายเลเยอร์ 3 เดียวกัน ตัวควบคุมจะติดตามไคลเอ็นต์ IPv6 โดยการสกัดกั้น
ข้อความ ICMPv6 เพื่อให้การเคลื่อนไหวราบรื่นและปกป้องเครือข่ายจากการโจมตีเครือข่าย ICMPv6
แพ็กเก็ตจะถูกแปลงจากมัลติคาสต์เป็นยูนิคาสต์และจัดส่งแยกกันต่อไคลเอนต์ กระบวนการนี้ช่วยให้
ควบคุมได้มากขึ้น ลูกค้าเฉพาะสามารถรับแพ็คเก็ต Neighbor Discovery และ Router Advertisement เฉพาะได้
ซึ่งรับประกันการกำหนดที่อยู่ IPv6 ที่ถูกต้องและหลีกเลี่ยงการรับส่งข้อมูลแบบหลายผู้รับที่ไม่จำเป็น
การกำหนดค่าสำหรับการเคลื่อนย้าย IPv6 นั้นเหมือนกับการเคลื่อนย้าย IPv4 และไม่จำเป็นต้องใช้ซอฟต์แวร์แยกต่างหากใน
ฝั่งไคลเอ็นต์เพื่อให้สามารถโรมมิ่งได้อย่างราบรื่น ตัวควบคุมจะต้องเป็นส่วนหนึ่งของกลุ่มการเคลื่อนที่เดียวกัน ทั้ง IPv4
และ IPv6 client mobility จะถูกเปิดใช้งานตามค่าเริ่มต้น

 

ข้อกำหนดเบื้องต้นสำหรับการกำหนดค่า IPv6 Mobility

• สามารถติดตามที่อยู่ลูกค้าได้สูงสุดแปดรายต่อลูกค้าหนึ่งราย
• เพื่อให้การกำหนดที่อยู่ IP แบบ DHCPv6 แบบ stateful ทำงานได้อย่างถูกต้อง คุณต้องมีสวิตช์หรือเราเตอร์ดังกล่าว
รองรับคุณสมบัติ DHCP สำหรับ IPv6 ที่ได้รับการกำหนดค่าให้ทำงานเหมือนกับเซิร์ฟเวอร์ DHCPv6 หรือคุณต้องการอุปกรณ์เฉพาะ
เช่นเซิร์ฟเวอร์ Windows 2008 ที่มีเซิร์ฟเวอร์ DHCPv6 ในตัว

เพื่อรองรับ IPv6 Mobility ที่ราบรื่น คุณอาจต้องกำหนดค่าต่อไปนี้:

• การกำหนดค่า RA Guard สำหรับไคลเอนต์ IPv6
• การกำหนดค่าการควบคุมปริมาณ RA สำหรับไคลเอนต์ IPv6
• การกำหนดค่าแคชการค้นพบเพื่อนบ้าน IPv6

 

ข้อจำกัดในการกำหนดค่า IPv6 Mobility

• ไม่รองรับฟังก์ชัน Dynamic VLAN สำหรับ IPv6
• การโรมมิ่งของไคลเอ็นต์ IPv6 ที่เกี่ยวข้องกับ WLAN ที่ถูกแมปกับ untagged อินเทอร์เฟซไปยัง WLAN อื่นที่ถูกแมปกับ tagไม่รองรับอินเทอร์เฟซ ged
• ตัวควบคุมที่มีกลุ่มการเคลื่อนที่เดียวกัน, VLAN ID เดียวกัน และซับเน็ต IPv4 และ IPv6 ที่แตกต่างกัน จะสร้างโฆษณาเราเตอร์ IPv6 ที่แตกต่างกัน WLAN บนคอนโทรลเลอร์เหล่านี้ถูกกำหนดให้กับอินเทอร์เฟซไดนามิกเดียวกันกับ VLAN ID เดียวกันบนคอนโทรลเลอร์ทั้งหมด ลูกค้าได้รับที่อยู่ IPv4 ที่ถูกต้อง อย่างไรก็ตาม จะได้รับโฆษณาเราเตอร์จากเครือข่ายย่อยต่างๆ ที่เข้าถึงตัวควบคุมอื่นๆ
อาจมีปัญหาเรื่องการไม่มีการรับส่งข้อมูลจากไคลเอ็นต์ เนื่องจากที่อยู่ IPv6 แรกที่กำหนดให้กับไคลเอ็นต์ไม่ตรงกับซับเน็ตสำหรับที่อยู่ IPv4 เพื่อแก้ไขปัญหานี้ ตรวจสอบให้แน่ใจว่าทำการโรมมิ่งเลเยอร์ 3 ระหว่างคอนโทรลเลอร์ที่ไคลเอนต์ถูกกำหนดให้กับ VLAN ที่แตกต่างกันหรือไม่
• ไม่รองรับ IPv6 ในการสลับท้องถิ่นแบบ Flex ด้วย AAA override VLAN
• ไม่รองรับ IPv6 ping จากคอนโทรลเลอร์ไปยังไคลเอนต์หากไคลเอนต์อยู่ในเครือข่ายย่อยการจัดการ
• ตัวควบคุมจะส่งการรับส่งข้อมูล IPv6 ของแอปพลิเคชันทั้งหมดไปยังเกตเวย์ แม้ว่าโฮสต์จะอยู่ในเครือข่ายย่อยเดียวกันก็ตาม เกตเวย์ส่งต่อการรับส่งข้อมูลไปยังโฮสต์ในซับเน็ตเดียวกัน หากเกตเวย์เป็น Cisco ASA ตามค่าเริ่มต้น Cisco ASA จะลดการรับส่งข้อมูลที่ตัวควบคุมส่งไปยังเกตเวย์ หากการรับส่งข้อมูลต้องถูกส่งไปยังเครือข่ายย่อยเดียวกัน เนื่องจากอินเทอร์เฟซทางเข้าและทางออกของการรับส่งข้อมูลเหมือนกัน เพื่อให้ Cisco ASA สามารถส่งต่อได้
การรับส่งข้อมูลนี้ ให้ใช้คำสั่งอินเทอร์เฟซภายในใบอนุญาตความปลอดภัยและการรับส่งข้อมูลเดียวกันใน Cisco ASA สำหรับข้อมูลเพิ่มเติม โปรดดู https://www.cisco.com/c/en/us/td/docs/security/asa/asa92/configuration/vpn/asa-vpn-cli/ vpn-params.html#56144

 

IPv6 ทั่วโลก

ส่วนนี้ประกอบด้วยส่วนย่อยต่อไปนี้:

ข้อจำกัดของ Global IPv6
• ต้องกำหนดค่าที่อยู่ IPv4 บนอินเทอร์เฟซก่อนที่จะกำหนดค่าที่อยู่ IPv6

การกำหนดค่า IPv6 ทั่วโลก (GUI)
ขั้นตอน
ขั้นตอนที่ 1 เลือก ผู้ควบคุม > ทั่วไป.

ขั้นตอนที่ 2 จากรายการดรอปดาวน์ Global IPv6 Config ให้เลือก เปิดใช้งานแล้ว or พิการ.
ขั้นตอนที่ 3 คลิก นำมาใช้.
ขั้นตอนที่ 4 คลิก บันทึกการกำหนดค่า

การกำหนดค่า IPv6 ทั่วโลก (CLI)
ขั้นตอน
• เปิดใช้งานหรือปิดใช้งาน IPv6 ทั่วโลกโดยป้อนคำสั่งนี้: config ipv6 {enable | ปิดการใช้งาน}

 

ร.อ

ไคลเอนต์ IPv6 กำหนดค่าที่อยู่ IPv6 และเติมตารางเราเตอร์ตามแพ็กเก็ต IPv6 Router Advertisement (RA) คุณสมบัติ RA Guard คล้ายกับคุณสมบัติ RA Guard ของเครือข่ายแบบมีสาย RA Guard เพิ่มความปลอดภัยของเครือข่าย IPv6 โดยทิ้งแพ็กเก็ต RA ที่ไม่พึงประสงค์หรือหลอกลวงที่มาจากไคลเอนต์ไร้สาย หากไม่ได้กำหนดค่าคุณสมบัตินี้ ไคลเอนต์ IPv6 ที่เป็นอันตรายอาจประกาศตัวเองว่าเป็นเราเตอร์สำหรับเครือข่าย ซึ่งจะมีความสำคัญสูงกว่าเราเตอร์ IPv6 ที่ถูกต้องตามกฎหมาย

RA Guard เกิดขึ้นที่ตัวควบคุม คุณสามารถกำหนดค่าคอนโทรลเลอร์ให้วางข้อความ RA ที่จุดเข้าใช้งานหรือที่คอนโทรลเลอร์ได้ ตามค่าเริ่มต้น RA Guard จะได้รับการกำหนดค่าที่จุดเข้าใช้งานและเปิดใช้งานในตัวควบคุมด้วย ข้อความ IPv6 RA ทั้งหมดจะถูกทิ้ง ซึ่งช่วยปกป้องไคลเอนต์ไร้สายอื่นๆ และเครือข่ายแบบมีสายอัปสตรีมจากไคลเอนต์ IPv6 ที่เป็นอันตราย

บันทึก

• คุณสมบัติการป้องกัน IPv6 RA ใช้งานได้กับไคลเอนต์ไร้สายเท่านั้น คุณลักษณะนี้ใช้ไม่ได้กับการเข้าถึงแบบมีสาย (GA)
• RA Guard ยังรองรับในโหมดสวิตช์ภายใน Flex Connect อีกด้วย

ส่วนนี้ประกอบด้วยส่วนย่อยต่อไปนี้:

การกำหนดค่า RA Guard (GUI)
ขั้นตอน
ขั้นตอนที่ 1 เลือกตัวควบคุม > IPv6 > RA Guard เพื่อเปิดหน้า IPv6 RA Guard ตามค่าเริ่มต้น IPv6 RA Guard บน AP จะถูกเปิดใช้งาน
ขั้นตอนที่ 2 จากรายการแบบเลื่อนลง ให้เลือกปิดใช้งาน เพื่อปิดใช้งาน RA Guard คอนโทรลเลอร์ยังแสดงไคลเอนต์ที่ได้รับการระบุว่ากำลังส่งแพ็กเก็ต RA
ขั้นตอนที่ 3 คลิกนำไปใช้เพื่อยืนยันการเปลี่ยนแปลงของคุณ

ขั้นตอนที่ 4 คลิก บันทึกการกำหนดค่า เพื่อบันทึกการเปลี่ยนแปลงของคุณ

การกำหนดค่า RA Guard (CLI)
ขั้นตอน
• กำหนดค่า RA Guard โดยการป้อนคำสั่งนี้: config ipv6 ra-guard ap {enable | ปิดการใช้งาน}

RA การควบคุมปริมาณ
การควบคุมปริมาณ RA ช่วยให้ตัวควบคุมบังคับใช้ขีดจำกัดกับแพ็กเก็ต RA ที่มุ่งหน้าไปยังเครือข่ายไร้สาย ด้วยการเปิดใช้งานการควบคุมปริมาณ RA เราเตอร์ที่ส่งแพ็กเก็ต RA จำนวนมากสามารถตัดให้มีความถี่ขั้นต่ำที่จะยังคงรักษาการเชื่อมต่อไคลเอนต์ IPv6 ได้ หากไคลเอนต์ส่งแพ็กเก็ต RS RA จะถูกส่งกลับไปยังไคลเอนต์
สิ่งนี้ได้รับอนุญาตผ่านคอนโทรลเลอร์และยูนิคาสต์ไปยังไคลเอนต์ กระบวนการนี้ช่วยให้แน่ใจว่าไคลเอนต์ใหม่หรือไคลเอนต์ข้ามเขตไม่ได้รับผลกระทบจากการควบคุมปริมาณ RA
ส่วนนี้ประกอบด้วยส่วนย่อยต่อไปนี้:

การกำหนดค่าการควบคุมปริมาณ RA (GUI

ขั้นตอน

ขั้นตอนที่ 1 เลือกหน้าตัวควบคุม > IPv6 > นโยบายคันเร่ง RA ตามค่าเริ่มต้น นโยบายคันเร่ง IPv6 RA จะถูกปิดใช้งาน
ยกเลิกการเลือกช่องทำเครื่องหมายเพื่อปิดใช้งานนโยบายคันเร่ง RA

ขั้นตอนที่ 2 กำหนดค่าพารามิเตอร์ต่อไปนี้:

• ระยะเวลาคันเร่ง - ระยะเวลาในการควบคุมปริมาณ การควบคุมปริมาณ RA จะเกิดขึ้นหลังจากถึงขีดจำกัด Max Through สำหรับ VLAN หรือถึงค่า Allow At-Most สำหรับเราเตอร์เฉพาะเท่านั้น ช่วงคือตั้งแต่ 10 วินาทีถึง 86400 วินาที ค่าเริ่มต้นคือ 600 วินาที
• Max Through—จำนวนแพ็กเก็ต RA สูงสุดบน VLAN ที่สามารถส่งได้ก่อนที่จะมีการควบคุมปริมาณ ตัวเลือก No Limit อนุญาตให้ใช้แพ็กเก็ต RA ได้ไม่จำกัดจำนวนโดยไม่มีการควบคุมปริมาณ
  ช่วงคือตั้งแต่ 0 ถึง 256 RA แพ็กเก็ต ค่าเริ่มต้นคือ 10 RA แพ็กเก็ต
• ตัวเลือกช่วงเวลา—ตัวเลือกนี้อนุญาตให้คอนโทรลเลอร์ดำเนินการแตกต่างออกไปตามค่า RFC 3775 ที่ตั้งไว้ในแพ็กเก็ต IPv6 RA
• ส่งผ่าน— อนุญาตให้ข้อความ RA ใดๆ ที่มีตัวเลือกช่วงเวลา RFC 3775 ผ่านไปได้โดยไม่ต้องควบคุมปริมาณ
• ละเว้น—ทำให้ RA คันเร่งรักษาแพ็กเก็ตด้วยตัวเลือกช่วงเวลาเหมือน RA ปกติและอาจมีการควบคุมปริมาณหากมีผล
• Throttle—ทำให้แพ็กเก็ต RA ที่มีตัวเลือกช่วงเวลาอยู่ภายใต้การจำกัดอัตราเสมอ
• อนุญาตอย่างน้อย - จำนวนแพ็กเก็ต RA ขั้นต่ำต่อเราเตอร์ที่สามารถส่งเป็นมัลติคาสต์ได้ก่อนที่จะควบคุมปริมาณ ช่วงคือตั้งแต่ 0 ถึง 32 RA แพ็กเก็ต
• อนุญาตสูงสุด—จำนวนแพ็กเก็ต RA สูงสุดต่อเราเตอร์ที่สามารถส่งเป็นมัลติคาสต์ได้ก่อนที่จะควบคุมปริมาณ ตัวเลือก No Limit อนุญาตให้มีแพ็กเก็ต RA ไม่จำกัดจำนวนผ่านเราเตอร์
  ช่วงคือตั้งแต่ 0 ถึง 256 RA แพ็กเก็ต

บันทึก เมื่อการควบคุมปริมาณ RA เกิดขึ้น เฉพาะเราเตอร์ที่รองรับ IPv6 ตัวแรกเท่านั้นที่ได้รับอนุญาตผ่าน สำหรับเครือข่ายที่มีคำนำหน้า IPv6 หลายรายการให้บริการโดยเราเตอร์ที่แตกต่างกัน คุณควรปิดใช้งานการควบคุมปริมาณ RA

ขั้นตอนที่ 3 บันทึกการกำหนดค่า

 

การกำหนดค่านโยบายคันเร่ง RA (CLI)

ขั้นตอน
กำหนดค่านโยบายคันเร่ง RA โดยป้อนคำสั่งนี้:
config ipv6 neigbhor-binding ra-throttle {อนุญาตอย่างน้อยที่สุดอย่างน้อยค่า | เปิดใช้งาน | ปิดการใช้งาน | ตัวเลือกช่วงเวลา { ละเว้น | ทะลุผ่าน | เค้น} | ผ่านสูงสุด {สูงสุดผ่านมูลค่า | ไม่มีขีด จำกัด}}

 

การค้นพบเพื่อนบ้าน IPv6

IPv6 Neighbor Discovery คือชุดของข้อความและกระบวนการที่กำหนดความสัมพันธ์ระหว่างโหนดข้างเคียง Neighbor Discovery แทนที่ ARP, ICMP Router Discovery และ ICMP Redirect ที่ใช้ใน IPv4

ในเวลาใดก็ตาม รองรับที่อยู่ IPv6 เพียงแปดที่อยู่ต่อไคลเอ็นต์เท่านั้น เมื่อพบที่อยู่ IPv6 ที่เก้า คอนโทรลเลอร์จะลบรายการเก่าที่เก่าที่สุดออกและรองรับรายการล่าสุด

การตรวจสอบ IPv6 Neighbor Discovery จะวิเคราะห์ข้อความการค้นพบ Neighbor เพื่อสร้างฐานข้อมูลตาราง Trusted Binding และแพ็กเก็ตการค้นพบ Neighbor IPv6 ที่ไม่ปฏิบัติตามจะถูกละทิ้ง ตาราง Neighbor Binding ในคอนโทรลเลอร์จะติดตามที่อยู่ IPv6 แต่ละรายการและที่อยู่ MAC ที่เกี่ยวข้อง ไคลเอนต์จะหมดอายุจากตารางตามตัวจับเวลา Neighbor Binding
ส่วนนี้ประกอบด้วยส่วนย่อยต่อไปนี้:

 

การกำหนดค่า Neighbor Binding (GUI)
ขั้นตอน
ขั้นตอนที่ 1 เลือกหน้า ตัวควบคุม > IPv6 > Neighbor Binding
ขั้นตอนที่ 2 กำหนดค่าต่อไปนี้:

• Down–Lifetime—ระบุระยะเวลาที่รายการแคช IPv6 จะถูกเก็บไว้หากอินเทอร์เฟซหยุดทำงาน ช่วงตั้งแต่ 0 ถึง 86400 วินาที
• เข้าถึงได้–ตลอดอายุการใช้งาน—ระบุระยะเวลาที่ใช้งานที่อยู่ IPv6 ช่วงตั้งแต่ 0 ถึง 86400 วินาที
• เก่า–อายุการใช้งาน—ระบุระยะเวลาที่จะเก็บที่อยู่ IPv6 ไว้ในแคช ช่วงตั้งแต่ 0 ถึง 86400 วินาที

ขั้นตอนที่ 3 เปิดหรือปิดใช้งานการส่งต่อ Multicast NS ที่ไม่รู้จัก
ขั้นตอนที่ 4 เปิดหรือปิดใช้งาน NA Multicast Forwarding
หากคุณเปิดใช้งาน NA Multicast Forwarding มัลติคาสต์ NA ที่ไม่พึงประสงค์ทั้งหมดจาก Wired/Wireless จะไม่ถูกส่งต่อไปยัง Wireless
ขั้นตอนที่ 5 คลิกสมัคร
ขั้นตอนที่ 6 คลิก บันทึกการกำหนดค่า

การกำหนดค่า Neighbor Binding (CLI)
ขั้นตอน

• กำหนดค่าพารามิเตอร์ Neighbor Binding โดยการป้อนคำสั่งนี้: config ipv6 Neighbor-binding Timers {down-lifetime | เข้าถึงได้ตลอดชีพ | เก่าตลอดชีวิต} {เปิดใช้งาน | ปิดการใช้งาน}
• กำหนดค่าการส่งต่อ Multicast NS ที่อยู่ที่ไม่รู้จักโดยการป้อนคำสั่งนี้: config ipv6 ns-mcast-fwd {enable | ปิดการใช้งาน}
• กำหนดค่า NA Multicast Forwarding โดยการป้อนคำสั่งนี้: config ipv6 na-mcast-fwd {enable | ปิดการใช้งาน}
  หากคุณเปิดใช้งาน NA Multicast Forwarding มัลติคาสต์ NA ที่ไม่พึงประสงค์ทั้งหมดจาก Wired/Wireless จะไม่ถูกส่งต่อไปยัง Wireless
• ดูสถานะของข้อมูล Neighbor Binding ที่กำหนดค่าบนคอนโทรลเลอร์โดยป้อนคำสั่งนี้: แสดงข้อมูลสรุป Neighbor Binding ของ ipv6

 

อ่านเพิ่มเติมเกี่ยวกับคู่มือนี้และดาวน์โหลด PDF:

เอกสาร / แหล่งข้อมูล

คอนโทรลเลอร์ไร้สายไคลเอนต์ CISCO IPv6 [พีดีเอฟ] คู่มือการใช้งาน คอนโทรลเลอร์ไร้สายไคลเอนต์ IPv6, คอนโทรลเลอร์ไร้สายไคลเอนต์, คอนโทรลเลอร์ไร้สาย, คอนโทรลเลอร์

อ้างอิง

• คู่มือการใช้งาน