網(wǎng)件路由防火墻及路由器IPv6功能

　　網(wǎng)件公司的產(chǎn)品銷售全球，也是美國高科技企業(yè)連續(xù)八年增長速度最快的50家之一，那么你知道網(wǎng)件路由防火墻及路由器IPv6功能嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于網(wǎng)件路由防火墻及路由器IPv6功能的相關(guān)資料，供你參考。

　　網(wǎng)件路由防火墻及路由器IPv6功能

　　首先是隧道 6to4 Tunneling

　　IPv6to4適用于將IPv6孤島通過純IPv4網(wǎng)絡(luò)接入其他IPv6區(qū)域，這是一種點(diǎn)到多點(diǎn)連接.6to4的定義由RFC3056提供。

　　對于防火墻設(shè)備，進(jìn)入Network Configuration > WAN Settings > WAN Mode 選中IPv4 / IPv6 mode 以開啟雙棧(Dual-stack)模式

　　在開啟 6to4 前要保證設(shè)備WAN口為靜態(tài)IP地址.進(jìn)入Network Configuration > WAN Settings > Broadband ISP Settings 設(shè)置。

　　開啟 6to4 隧道，進(jìn)入 Network Configuration > WAN Settings > 6to4 Tunneling

　　勾選 Enable Automatic Tunneling

　　點(diǎn)擊APPLY以應(yīng)用

　　如果內(nèi)網(wǎng)沒有部署狀態(tài)化DHCPv6服務(wù)器，需要啟用防火墻的RADVD守護(hù)進(jìn)程(Router Advertisement Daemon)，設(shè)置過程參考附錄7，本例中，Type選為6to4，此時(shí)Prefix將以IANA對6to4的分配方式生成， SLA ID與Lifetime可以手工輸入。

　　防火墻LAN側(cè)收到上述Prefix宣告后會(huì)根據(jù)EUI-64規(guī)則生成Interface ID.

　　最后要做的是寫一個(gè)發(fā)往6to4對端ipv6地址的靜態(tài)路由

　　進(jìn)入 Network Configuration > Routing

　　單選IPv6

　　點(diǎn)擊Add添加

　　Destination可以寫成2002::/16或按需填寫

　　Interface 要選擇sit Tunnel

　　Gateway填寫Tunnel對端IPv6地址

　　點(diǎn)擊APPLY以應(yīng)用

　　對于家用路由器

　　進(jìn)入 ADVANCED > Advanced Setup > IPv6

　　選擇 6to4 Tunnel

　　Remote 6to4 Relay Router， 如果您的ISP支持其自己的中繼路由器地址，您可以在Static IP Address 輸入地址.也可以保留"Auto"，路由器將使用任何可用的地址.

　　LAN Setup可以選擇IP Address Assignment方式(DHCPv6或Auto Config)，此處設(shè)置的是您希望的內(nèi)網(wǎng)設(shè)備獲取IP地址的方式.

　　LAN Setup的另一個(gè)選項(xiàng)是Use This Interface ID，可以在勾選復(fù)選框后將自定義接口ID輸入文本框內(nèi).

　　路由器將自動(dòng)創(chuàng)建隧道并生成路由條目，毋需手工設(shè)置

　　需要說明的是

　　IETF定義的6to4是一種點(diǎn)對多點(diǎn)隧道，應(yīng)允許使用更少的配置步驟自動(dòng)連接多個(gè)IPv6孤島，既然6to4不像手工隧道(手工隧道技術(shù)不在NETGEAR設(shè)備支持范圍內(nèi))一樣需要配置對端IP地址，那么6to4隧道的IPv6地址一定與其出口IPv4地址存在某種關(guān)聯(lián);

　　根據(jù)IANA的分配，2002::/16被保留給6to4隧道，并按照2002:IPv4address:EUI-64(或2002:IPv4address:ManuallyInterfaceID)的規(guī)則生成IPv6地址(定義于RFC2056)。

　　由于上述兩個(gè)原因，被連接的多個(gè)IPv6孤島在IPv4層面上必須路由可達(dá)。也就是說，如果您試圖連接的是一個(gè)在廣域網(wǎng)上的IPv6孤島或IPv6中繼設(shè)備，則您正在配置的路由器或防火墻的WAN口必須有一個(gè)廣域網(wǎng)地址。

　　例子

　　第一個(gè)例子我們將使用如下拓?fù)?/p>

　　本例中我們連接到某跨國公司提供的公共6to4中繼路由器(RelayServer)，這是一個(gè)非典型應(yīng)用，可以理解為是例子二的一個(gè)特殊情。

　　這個(gè)例子考慮的場景是您的WNDR3700v3只能接入到IPv4網(wǎng)絡(luò)，我們借用6to4技術(shù)與中繼服務(wù)器訪問IPv6資源。另外在附錄8中可以看到關(guān)于本例的詳細(xì)解釋和擴(kuò)展資料。

　　考慮到安全(避免泄露MAC地址)與管理需求，也可以使用自定義路由器LAN的interface ID以代替使用EUI-64規(guī)則生成的接口ID，本例中我們將接口ID改為17e7:9ea2，此時(shí)接入LAN側(cè)的PC有2種方式獲取IPv6地址，一個(gè)是默認(rèn)的自動(dòng)配置，另一種是使用熟悉的DHCPv6(實(shí)際上這與IPv4版本的DHCP有所不同)，后文我們將討論這兩個(gè)選項(xiàng)間的差異，目前需要注意的是，此時(shí)路由器并不作為完整的DHCPv6服務(wù)器，其沒有地址池與其他選項(xiàng)可以設(shè)置.最后我們驗(yàn)證連通性：

　　第二個(gè)例子我們將使用如下拓?fù)?/p>

　　這個(gè)例子是6to4技術(shù)最開始計(jì)劃的樣子，通過純粹的IPv4網(wǎng)絡(luò)連接幾個(gè)IPv6孤島，本例中兩個(gè)路由設(shè)備的出口地址在同一網(wǎng)段，在實(shí)際環(huán)境中這兩個(gè)地址僅需路由可達(dá).

　　本拓?fù)涞呐渲梅绞脚c技術(shù)參數(shù)與例子一并無明顯差別，此處不再敷述.可以關(guān)注的是PC1在ping WNDR4000時(shí)WAN側(cè)抓包的情況。

　　此時(shí)IPv6被封裝在IPv4包中并傳輸，對等設(shè)備會(huì)在收到數(shù)據(jù)包后解封成IPv6包繼續(xù)傳輸。

　　可以在PC1上驗(yàn)證連通性：

　　另一個(gè)隧道ISATAP(Intra-Site Automatic Tunnel Addressing Protocol) Tunnels

　　ISATAP Tunnels的支持情況目前僅限于FVS318N與SRX5308，家用設(shè)備暫不支持.其為兩個(gè)雙棧設(shè)備的連通提供隧道， 主要為雙棧主機(jī)提供通過IPv4網(wǎng)絡(luò)接入IPv6的服務(wù)，并如該協(xié)議的名字Intra-Site一樣，僅為站內(nèi)提供隧道，每個(gè)IPv4地址均與IPv6地址有某種對應(yīng)關(guān)系(IPv4地址被用于IPv6地址接口ID的一部分).定義于RFC5214。

　　配置方式

　　進(jìn)入Network Configuration > WAN Settings > WAN Mode 選中IPv4 / IPv6 mode 以開啟雙棧(Dual-stack)模式

　　進(jìn)入 Network Configuration > WAN Settings > ISATAP Tunnels

　　點(diǎn)擊 Add 添加條目

　　在ISATAP Subnet Prefix處輸入一個(gè)64位的前綴，這將成為邏輯ISATAP子網(wǎng)的前綴。

　　Local End Point Address 選擇為隧道節(jié)點(diǎn)路由器側(cè)的IPv4地址，”LAN”意為使用Default VLAN虛接口地址，選擇Other IP則手工輸入。

　　如果 Local End Point Address 選擇了Other IP， 則在IPv4 Address處手工填寫。

　　例子

　　拓?fù)鋱D如下

　　此拓?fù)鋺?yīng)用的場景是出口防火墻外網(wǎng)連接IPv6網(wǎng)絡(luò)，

　　內(nèi)網(wǎng)是IPv4環(huán)境，大部分終端設(shè)備為IPv4設(shè)備，部分設(shè)備如PC1是雙棧設(shè)備，這些雙棧設(shè)備希望通過ISATAP隧道連接到IPv6網(wǎng)絡(luò)。

　　在FVS318N開通IPv6/IPv4雙棧后，進(jìn)入Network Configuration > WAN Settings > ISATAP Tunnels添加條目，本例中我們設(shè)置隧道的前綴為2002:b72f:f475:e473::/64，IPv4設(shè)置成Default Vlan IPv4地址，完成配置：

　　此時(shí)PC要對應(yīng)設(shè)置ISATAP隧道以無狀態(tài)生成IPv6地址，本例中PC1我們使用一臺(tái)Win XP，根據(jù)實(shí)際使用OS不同，操作命令略有差異，在此實(shí)驗(yàn)環(huán)境中，我們同樣嘗試使用了Win 7與Win 8，均運(yùn)轉(zhuǎn)正常：

　　C:\Documents and Settings\ vicissi >

　　C:\Documents and Settings\vicissi>netsh

　　netsh>interface ipv6 isatap

　　netsh interface ipv6 isatap>set router 192.168.1.1

　　確定。

　　netsh interface ipv6 isatap>set sta enable

　　確定。

　　netsh interface ipv6 isatap>ipv6

　　netsh interface ipv6>show address

　　正在查詢活動(dòng)狀態(tài)...

　　接口 6：Teredo Tunneling Pseudo-Interface

　　地址類型 DAD 狀態(tài) 有效壽命 首選壽命 地址

　　--------- ---------- ------------ ------------ -----------------------------

　　鏈接 首選項(xiàng) infinite infinite fe80::ffff:ffff:fffd

　　接口 5：本地連接 14

　　地址類型 DAD 狀態(tài) 有效壽命 首選壽命 地址

　　--------- ---------- ------------ ------------ -----------------------------

　　鏈接 首選項(xiàng) infinite infinite fe80::2ff:32ff:fe92:8eb2

　　接口 4：無線網(wǎng)絡(luò)連接 16

　　地址類型 DAD 狀態(tài) 有效壽命 首選壽命 地址

　　--------- ---------- ------------ ------------ -----------------------------

　　鏈接 暫時(shí)的 infinite infinite fe80::219:d2ff:fe74:dae3

　　接口 2: Automatic Tunneling Pseudo-Interface

　　地址類型 DAD 狀態(tài) 有效壽命 首選壽命 地址

　　--------- ---------- ------------ ------------ -----------------------------

　　公用 首選項(xiàng) 29d23h59m43s 6d23h59m43s 2002:b72f:f475:e473:0:5efe:

　　192.168.1.2

　　鏈接 首選項(xiàng) infinite infinite fe80::5efe:192.168.1.2

　　鏈接 首選項(xiàng) infinite infinite fe80::5efe:192.168.0.12

　　接口 1：Loopback Pseudo-Interface

　　地址類型 DAD 狀態(tài) 有效壽命 首選壽命 地址

　　--------- ---------- ------------ ------------ -----------------------------

　　環(huán)回 首選項(xiàng) infinite infinite ::1

　　鏈接 首選項(xiàng) infinite infinite fe80::1

　　netsh interface ipv6>

　　靜態(tài)或手工指定地址Fixed(Static IPv6)

　　這意味著要手工指定LAN與WAN側(cè)的IPv6地址。需要注意的是，由于IPv6擁有足夠多的地址空間，已經(jīng)不再需要NAT或PAT，IPv6消除了地址轉(zhuǎn)換，雖然在過渡期有4與6的地址轉(zhuǎn)換技術(shù)(例如NAT64，NAT-PT，TRT，6RD或DS-Lite)，但NETGEAR的路由器暫不對上述技術(shù)提供支持，此時(shí)設(shè)備只作為IPv6路由器。

　　對于防火墻：

　　進(jìn)入Network Configuration > WAN Settings > WAN Mode 選中IPv4 / IPv6 mode 以開啟雙棧(Dual-stack)模式

　　進(jìn)入Network Configuration > WAN Settings > Broadband ISP Settings

　　在屏幕右上角單選IPv6以切換到WAN IPv6設(shè)置模式

　　將IPv6下拉菜單選為Static IPv6

　　在Static IP Address處填寫IPv6 Address;IPv6 Prefix Length; Default IPv6 Gateway; Primary DNS Server; Secondary DNS Server

　　點(diǎn)擊Apply應(yīng)用配置。

　　對于家用路由設(shè)備：

　　點(diǎn)擊進(jìn)入 ADVANCED > Advanced Setup > IPv6

　　在 Internet Connection Type下拉菜單中選擇 Fixed

　　填寫 IPv6 Address/Prefix Length; Default IPv6 Gateway;Primary DNS; Secondary DNS

　　對于LAN的設(shè)置可以參考前文中6to4隧道部分例子一的相關(guān)內(nèi)容。

　　點(diǎn)擊Apply應(yīng)用配置。

　　例子:

　　這個(gè)拓?fù)涫褂眉僆Pv6網(wǎng)絡(luò)，地址的前48位為2001:17e7:9ea2，意為NETGEAR(參考附錄8)，接下來的16位從左到右為2，0和1，代表區(qū)域，各個(gè)設(shè)備使用設(shè)備型號318和3700，兩臺(tái)PC以1和2作為接口ID。

　　以下截圖為FVS318N與WNDR3700v3的配置界面。

　　上圖為FVS318N的WAN IPv6設(shè)置(2001:17e7:9ea2::318/64 網(wǎng)關(guān)2001:17e7:9ea2::3700/64)

　　上圖為RADVD設(shè)置，LAN前綴2001:17e7:9ea2:2::/64。

　　上圖設(shè)置了FVS318N LAN的IPv6地址(2001:17e7:9ea2:2::318/64).

　　上圖為WNDR3700v3的IPv6設(shè)置，下面我們驗(yàn)證這一連通性：

　　自動(dòng)獲得IPv6地址(DHCP/ Auto Config)

　　自動(dòng)獲得一詞包含兩方面的含義，一為通過DHCPv6服務(wù)器狀態(tài)化獲取IPv6的相關(guān)信息，另一方面可以是SLAAC無狀態(tài)的生成一個(gè)IPv6地址.選項(xiàng)會(huì)使得路由器的WAN口發(fā)起SOLICIT，并按照狀態(tài)化或無狀態(tài)化DHCPv6的方式協(xié)商設(shè)置IPv6相關(guān)信息.商用設(shè)備選擇DHCP即可，家用設(shè)備無狀態(tài)的SLAAC對應(yīng)Auto Config，狀態(tài)化對應(yīng)DHCPv6。

　　對于防火墻：

　　進(jìn)入Network Configuration > WAN Settings > WAN Mode 選中IPv4 / IPv6 mode 以開啟雙棧(Dual-stack)模式

　　選擇 Network Configuration > WAN Settings > Broadband ISP Settings

　　在屏幕右上角單選IPv6以切換到WAN IPv6設(shè)置模式

　　將IPv6下拉菜單選為DHCPv6

　　選擇 Stateless Address Auto Configuration/ Stateful Address Auto Configuration以決定使用狀態(tài)化或無狀態(tài)化方式配置IP地址。

　　如果選中了無狀態(tài)(Stateless Address Auto Configuration)，將可以設(shè)置一個(gè)而外的參數(shù)Prefix delegation

　　勾選該參數(shù)使得防火墻LAN側(cè)終端設(shè)備可以得到ISP狀態(tài)化DHCPv6服務(wù)器提供的前綴信息(詳細(xì)信息可以參考FVS318N手冊 第三章Stateless DHCPv6 Server With Prefix Delegation部分內(nèi)容)

　　點(diǎn)擊Apply應(yīng)用確認(rèn)。

　　對于家用路由器：

　　點(diǎn)擊進(jìn)入 ADVANCED > Advanced Setup > IPv6

　　在 Internet Connection Type下拉菜單中選擇 DHCP或Auto Config

　　對于LAN的設(shè)置可以參考前文中6to4隧道部分例子一的相關(guān)內(nèi)容。

　　點(diǎn)擊Apply應(yīng)用配置。

　　例子：

　　防火墻或路由器WAN口直連IPv6 ISP即可，不做圖例，配置截圖如下：

　　如上圖，家用路由器在配置界面即可查看已配置的IPv6地址，商用設(shè)備可以在Monitoring菜單中查看相關(guān)信息：

　　PPPoE

　　在DHCPv6的基礎(chǔ)上設(shè)置賬號密碼即可，如果您的運(yùn)營商提供純IPv6網(wǎng)絡(luò)且以PPPoE方式接入，可選此類別。

　　穿透(Pass through)

　　這一功能僅由家用路由器提供，可將路由器看作是透明的，即LAN側(cè)的PC通過路由器WAN對端設(shè)備的IPv6配置方式聯(lián)網(wǎng)，需要注意的是”透明”這一概念僅對IPv6而言，這一選項(xiàng)不會(huì)影響IPv4原有的NAT行為，此時(shí)路由器是雙棧的。