"Автостройка IPv6 Prefix-Delegation в Juniper SRX"
Задача: провести автоматическую настройку ethernet-интферфейса и получить IPv6-адрес от провайдера.
Маршрутизатор - Juniper SRX.
Решение:
1) Вонзаемся в маршрутизатор через консоль либо заходим через SSH.
2) Переходим в режим редактирования:
edit
3) Разрешаем обработку IPv6-траффика:
set security forwarding-options family inet6 mode flow-based
4) Перезагружаем "коробку".
5) Повторяем п. 1 и 2.
6) Настраиваем интерфейс, который "смотрит" в сеть провайдера:
unit 0 {
family inet {
/* IPv4 */
dhcp-client;
}
family inet6 {
/* IPv6 */
dhcpv6-client {
client-type statefull;
client-ia-type ia-pd;
update-router-advertisement {
interface fe-0/0/0.0;
interface vlan.0;
}
client-identifier duid-type duid-ll;
req-option dns-server;
}
}
}
В моём случае, interface vlan.0 - это интерфейс, который "смотрит" в мою внутреннюю сеть.
7) Настраиваем внутренний DHCPv6 серевер для трансляции полученных от провайдера настроек:
family inet6 {
prefix 1234:5678:90AB:CDEF::/64;
dhcp-attributes {
propagate-settings fe-0/0/0.0;
}
}
8) Разрешаем определенный входящий траффик:
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
ping;
dhcpv6;
}
protocols {
router-discovery;
}
}
}
}
9) Разрешаем ICMPv6 между зонами для нормальной работы сети:
from-zone untrust to-zone trust {
policy icmp-v6-enable {
match {
source-address any;
destination-address any;
application [ junos-icmp6-all junos-icmp-ping ];
}
then {
permit;
}
}
}
10) Подтверждаем, что да, мы всё это серьезно:
commit and quit
11) Проверяем получение префикса от провайдера:
show dhcpv6 client binding
Ответ должен быть похож на нижеследующее:
IP/prefix Expires State ClientType Interface Client DUID
1234:5678:90AB:CDEF::/56 1364 BOUND STATEFUL fe-0/0/0.0 LL0xN-NN:NN:NN:NN:NN:NN
12) Проверяем привязку IPv6-адреса к интерфейсу:
show interfaces fe-0/0/0 | match local
Destination: 1234:5678:90AB:CDEF::/64, Local: 1234:5678:90AB:CDEF::1
Destination: fe80::/64, Local: fe80::1234:5678:90AB:CDEF
13) Запрашиваем обновление DHCP-lease на клиентских машинах.Пример для Windows 8.1.
ipconfig /renew
14) Проверяем получение IPv6 адреса:
PS C:\> Get-NetIPAddress -AddressFamily IPv6 | ft -autosize
Ответ, в свою очередь, должен быть похож на нижеследующее:
ifIndex IPAddress PrefixLength PrefixOrigin SuffixOrigin AddressState PolicyStore
------- --------- ------------ ------------ ------------ ------------ -----------
14 fe80::5efe:192.168.NNN.MM%14 128 WellKnown Link Deprecated ActiveStore
1 ::1 128 WellKnown WellKnown Preferred ActiveStore
3 fe80::1234:5678:90AB:5c3%3 64 WellKnown Link Preferred ActiveStore
3 2a02:1234:5678:90AB:CDEF:1234:5678:5c3 64 RouterAdvertisement Link Preferred ActiveStore
3 2a02:1234:5678:90AB:CDEF:1234:5678:acad 128 RouterAdvertisement Random Preferred ActiveStore
15) ???
16) PROFIT!!!
__
Маршрутизатор - Juniper SRX.
Решение:
1) Вонзаемся в маршрутизатор через консоль либо заходим через SSH.
2) Переходим в режим редактирования:
edit
3) Разрешаем обработку IPv6-траффика:
set security forwarding-options family inet6 mode flow-based
4) Перезагружаем "коробку".
5) Повторяем п. 1 и 2.
6) Настраиваем интерфейс, который "смотрит" в сеть провайдера:
unit 0 {
family inet {
/* IPv4 */
dhcp-client;
}
family inet6 {
/* IPv6 */
dhcpv6-client {
client-type statefull;
client-ia-type ia-pd;
update-router-advertisement {
interface fe-0/0/0.0;
interface vlan.0;
}
client-identifier duid-type duid-ll;
req-option dns-server;
}
}
}
В моём случае, interface vlan.0 - это интерфейс, который "смотрит" в мою внутреннюю сеть.
7) Настраиваем внутренний DHCPv6 серевер для трансляции полученных от провайдера настроек:
family inet6 {
prefix 1234:5678:90AB:CDEF::/64;
dhcp-attributes {
propagate-settings fe-0/0/0.0;
}
}
8) Разрешаем определенный входящий траффик:
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
ping;
dhcpv6;
}
protocols {
router-discovery;
}
}
}
}
9) Разрешаем ICMPv6 между зонами для нормальной работы сети:
from-zone untrust to-zone trust {
policy icmp-v6-enable {
match {
source-address any;
destination-address any;
application [ junos-icmp6-all junos-icmp-ping ];
}
then {
permit;
}
}
}
10) Подтверждаем, что да, мы всё это серьезно:
commit and quit
11) Проверяем получение префикса от провайдера:
show dhcpv6 client binding
Ответ должен быть похож на нижеследующее:
IP/prefix Expires State ClientType Interface Client DUID
1234:5678:90AB:CDEF::/56 1364 BOUND STATEFUL fe-0/0/0.0 LL0xN-NN:NN:NN:NN:NN:NN
12) Проверяем привязку IPv6-адреса к интерфейсу:
show interfaces fe-0/0/0 | match local
Destination: 1234:5678:90AB:CDEF::/64, Local: 1234:5678:90AB:CDEF::1
Destination: fe80::/64, Local: fe80::1234:5678:90AB:CDEF
13) Запрашиваем обновление DHCP-lease на клиентских машинах.Пример для Windows 8.1.
ipconfig /renew
14) Проверяем получение IPv6 адреса:
PS C:\> Get-NetIPAddress -AddressFamily IPv6 | ft -autosize
Ответ, в свою очередь, должен быть похож на нижеследующее:
ifIndex IPAddress PrefixLength PrefixOrigin SuffixOrigin AddressState PolicyStore
------- --------- ------------ ------------ ------------ ------------ -----------
14 fe80::5efe:192.168.NNN.MM%14 128 WellKnown Link Deprecated ActiveStore
1 ::1 128 WellKnown WellKnown Preferred ActiveStore
3 fe80::1234:5678:90AB:5c3%3 64 WellKnown Link Preferred ActiveStore
3 2a02:1234:5678:90AB:CDEF:1234:5678:5c3 64 RouterAdvertisement Link Preferred ActiveStore
3 2a02:1234:5678:90AB:CDEF:1234:5678:acad 128 RouterAdvertisement Random Preferred ActiveStore
15) ???
16) PROFIT!!!
__