配置IPv6 OSPF
IPv6 OSPF或OSPF v3 (OSPF version 3)是一种用于交换IPv6路由信息的链路状态协议。使能IPv6 OSPF功能后,需要配置IPv6 OSPF路由的发布。为了排除故障,可以限制IPv6 OSPF的传播。通过查看IPv6 OSPF的配置信息,可以验证配置的正确性。
IPv6 OSPF的前提条件
在配置IPv6 OSPF之前,需要完成以下配置:
- 确保您了解IPv6 OSPF协议。
- 在Citrix ADC设备上安装IPv6PT许可证。
- 启用IPv6特性。
广告IPv6路由
IPv6 OSPF允许上行路由器在托管在两个独立Citrix ADC设备上的两个相同vserver之间进行负载均衡。路由发布使上行路由器能够跟踪位于Citrix ADC后面的网络实体。
使用VTYSH命令行配置IPv6 OSPF发布IPv6路由。
在命令提示符下,按所示顺序输入以下命令:
| 命令 | 指定 |
|---|---|
| VTYSH | 显示VTYSH命令提示符。 |
| 配置终端 | 进入全局配置模式。 |
| 路由器ipv6 OSPF | 启动IPv6 OSPF路由进程,并进入路由进程配置模式。 |
| 重新分配静态 | 重新分配静态路由。 |
| 重新分配内核 | 重新分配内核路线。 |
例子:
> vysh NS# configure terminal NS(config)# router ipv6 OSPF NS(config-router)# redistribute static NS(config-router)# redistribute kernel 限制IPv6 OSPF的传播
如果需要对配置进行故障排除,可以使用VTYSH在任何给定的VLAN上配置仅监听模式。
使用VTYSH命令行限制IPv6 OSPF的传播。
在命令提示符下,按所示顺序输入以下命令:
| 命令 | 指定 |
|---|---|
| VTYSH | 显示VTYSH命令提示符。 |
| 配置终端 | 进入全局配置模式。 |
| 路由器ipv6 OSPF | 启动IPv6 OSPF路由进程,并进入路由进程配置模式。 |
| 被动接口< vlan_name > | 禁止指定VLAN绑定接口的路由更新。 |
例子:
> vysh NS# configure terminal NS(config)# router ipv6 OSPF NS(config-router)# passive-interface VLAN0 验证IPv6 OSPF配置
VTYSH可以显示IPv6 OSPF当前邻居和IPv6 OSPF路由信息。
使用VTYSH命令行查看IPv6 OSPF的配置信息。
在命令提示符下,按所示顺序输入以下命令:
| 命令 | 指定 |
|---|---|
| VTYSH | 显示VTYSH命令提示符。 |
| sh dswaretool . sh ipv6 OSPF neighbor | 显示当前的邻居。 |
| sh dswaretool . sh ipv6 OSPF route | 查看IPv6 OSPF路由信息。 |
例子:
>VTYSH NS# sh ipv6 OSPF neighbor NS# sh ipv6 OSPF route OSPFv3身份验证
为了保证OSPFv3报文的完整性、数据源认证和数据机密性,必须在OSPFv3对等体上配置OSPFv3认证。
Citrix ADC设备支持OSPFv3认证,部分兼容RFC 4552。OSPFv3的认证基于两个IPSec协议:AH (authentication Header)和ESP (Encapsulating Security Payload)。Citrix ADC设备仅支持AH协议进行OSPFv3认证。
OSPFv3认证使用OSPFv3对等体之间手工定义的IPSec安全联盟(Security association),不依赖IKE协议形成动态的安全联盟。手动sa定义安全参数Index (SPI)值、算法和对等体之间使用的密钥。手动sa不需要对等体之间的协商;因此,必须在两个对等体上定义相同的SA。
可以在VLAN或OSPFv3区域内配置OSPFv3认证。当对VLAN进行配置时,该配置将应用于属于该VLAN的所有接口。当配置OSPF区域的OSPFv3认证时,该配置将应用于该区域内的所有vlan。这些设置依次应用于属于这些vlan成员的所有接口。这些配置对已经直接配置OSPFv3认证的成员vlan不起作用。
在Citrix ADC设备上配置OSPFv3认证之前,需要考虑以下几点和限制:
- 确保您理解了RFC 4552中描述的OSPFv3认证的不同组成部分。
- OSPFv3认证只支持Authentication Header协议。不支持封装安全负载(ESP)。
- 必须在对端接口上定义具有相同配置的安全联盟。
- 不支持手动键的更新。
使用VTYSH命令行在VLAN上配置OSPFv3认证。
在命令提示符下,按所示顺序输入以下命令:OSPFv3认证VLAN命令.
例子:
> VTYSH NS# configure terminal NS(config)# interface vlan2 NS(config-if)# ipv6 ospf authentication ipsec spi 256 md5 123456789ABCDEF0123456789ABCDEF0 使用vtyh命令行配置OSPF区域的OSPFv3认证。
在命令提示符下,按所示顺序输入以下命令:OSPFv3认证OSPF区域命令.
例子:
> VTYSH NS# configure terminal NS (config)#router ipv6 ospf 30 NS (config-router)# area 1 authentication ipsec spi 256 md5123456789ABCDEF0123456789ABCDEF0 配置IPv6 OSPF安全重启
在配置了路由协议的非inc高可用性(HA)环境中,在故障转移后,路由协议收敛,并学习新的主节点和相邻邻居路由器之间的路由。路线学习需要一些时间来完成。在此期间,可能会导致报文转发延迟、网络性能中断、报文丢失等问题。
安全重启允许HA在故障转移期间设置,以指导相邻路由器不从其路由数据库中删除旧主节点学到的路由。使用旧的主节点的路由信息,新的主节点和邻近的路由器立即开始转发数据包,而不影响网络性能。
注意:
在INC模式下的高可用性设置不支持安全重启。
使用VTYSH命令行配置IPv6 OSPF的安全重启,在命令提示符处,按如下顺序输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| VTYSH | > VTYSH | 进入VTYSH命令提示符。 |
| 配置终端 | NS #配置终端 | 进入全局配置模式。 |
| 路由器id id > | NS(配置)#路由器id 1.1.1.1 | 为Citrix ADC设备设置路由器标识符。为所有动态路由协议设置此标识符。必须在高可用性设置中的另一个节点中指定相同的ID,以便在HA设置中正常启动。 |
| IPv6ospf restart grace-period <1-1800> .使用实例 | NS(config)# IPv6ospf restart grace-period 170 | 指定在辅助设备上保留路由的宽限期(单位为秒)。缺省值:120秒。 |
| IPv6 ospf restart helper max-grace-period <1-1800> .使用实例 | NS(config)# IPv6 ospf restart helper max-grace-period 180 .使用实例 | 这是一个可选命令,用于限制Citrix ADC设备处于助手模式的最大宽限期。如果Citrix ADC设备收到的opaque LSA的grace-period大于设置的helper max-grace-period,该LSA将被丢弃,Citrix ADC也不会被置于helper模式。 |
| 界面< VLANID > | vlan3 NS(配置)#接口 | 进入VLAN配置模式。 |
| Ipv6路由器ospf区域 |
NS(config-if)#ipv6路由器ospf区域0标签1 | 启动VLAN上的IPv6 OSPF路由进程。 |
| 退出 | NS (config-if) #退出 | 退出VLAN配置模式。 |
| 路由器ipv6 ospf | NS(config)#路由器ipv6 ospf | 启动IPv6 OSPF路由进程,并进入路由进程的配置模式。 |
| 功能重启优雅 | NS (config-router) #能力重启优雅 | 使能IPv6 OSPF路由进程的安全重启。 |
| 重新分配内核 | NS (config-router) #分配内核 | 重新分配内核路线。 |