国家 / 地区

H3C SecPath A2000-G[AK][V]系列运维审计系统 IPv6配置指导(E6111 E6112)-5W101

手册下载

1 声明

Copyright © 2019 新华三技术有限公司及其许可者 版权所有,保留一切权利。

未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

2 关于本文档

本文档介绍并指导用户完成运维审计系统涉及的IPv6相关配置。

本文档主要针对使用IPv6时相对于使用IPv4时的不同点进行说明。详细的配置指导,请参考其他手册。

2.1 适用版本分支

与本文档相对应的产品和版本如下表所示。

产品名称 适用版本分支
H3C SecPath A2000-G[AK][V]系列运维审计系统 E6112

2.2 格式约定

格式 说明
粗体 各类界面控件名称采用加粗字体表示,如单击确定
> 多级菜单用 > 隔开。如选择用户管理 > 用户列表,表示选择用户管理菜单下的用户列表子菜单。

3 IPv6入门

运维审计系统支持用户将运维审计系统的IP地址配置为IPv6地址,也支持管理地址为IPv6格式的资产。另外,系统设置中一些涉及IP配置的地方,也都可以使用IPv6地址。

本文档的后续章节将对以上配置操作进行指导。本章节将先介绍IPv6的一些基本知识,以便于用户对于IPv6有所了解。

IPv6(Internet Protocol version 6),即网际协议第6版,是网际协议的最新版本,目标是取代IPv4,从而解决IPv4的地址枯竭问题,并实现一些其他方面的改进。

IPv6二进位制下为128位长度,以16位为一组,每组以冒号“:”隔开,可以分为8组,每组以4位十六进制方式表示,例如:2001:0db8:85a3:08d3:1319:8a2e:0370:7344。IPv6地址可以进行以下缩写:
  • 每项数字前导的0可以省略,例如2001:DB8:2de:0:0:0:0:e13。
  • 可以用双冒号“::”表示一组0或多组连续的0,但只能出现一次,例如2001:DB8:2de::e13。

运维审计系统支持以上所有写法的IPv6地址格式。

3.1 地址分类

IPv6的地址分为以下几种类型:
  • 单播(unicast)地址。在网段中唯一标识。
  • 任播(anycast)地址。多个接口(host)被分配相同的任播IP地址。只会发送给距离最近或发送成本最低(根据路由表来判断)的其中一个接收地址。只能分配给中间设备(如路由器、三层交换机等),不能分配给终端设备(手机、计算机等),而且不能作为发送端的地址。
  • 多播(multicast)地址。也称组播地址,前缀为ff00::/8。被指定到一群不同的接口,送到多播地址的数据包会被发送到所有的地址。
运维审计系统的配置中一般只涉及单播地址。单播地址又分为以下几类:
  • 全球单播地址(Global Unicast Address): 相当于IPv4的公共地址。 IPv6中的全球单播地址是全局可识别的和唯一可寻址的。地址段范围为2xxx:xxxxx/3 - 3FFF: :FFFF,目前一般使用2001::/16和2002::/16(6to4过渡地址)。
  • 唯一本地地址(Unique local address):相当于IPv4的私有地址。地址段范围为fc00::/7,即fc00::/8和fd00::/8,其中fc00::/8为未定义地址。
  • 链路本地地址(Link-Local Unicast Address):用于链路上的IPv6主机之间的通信,不可路由。地址段范围为 fe80::/10。
  • 站点本地地址(Site-local Unicast Address):已废弃,被唯一本地地址所取代。但一些旧的网络设备仍会使用该地址段作为私有地址。地址段范围为fec0::/10。

3.2 地址获取方式

IPv6的地址获取,一般使用无状态地址自动配置(SLAAC),即路由通告。当连接到IPv6网络上时,IPv6主机可以使用邻居发现协议对自身进行自动配置。当第一次连接到网络上时,主机发送一个链路本地路由器请求(solicitation)多播请求来获取配置参数。路由器使用包含Internet层配置参数的路由器通告(advertisement)报文进行回应。

在不适合使用IPv6无状态地址自动配置的场景下,网络可以使用有状态配置。包括配置静态IP地址或使用DHCPv6

运维审计系统支持以上三种IPv6地址的获取方式。建议直接使用路由通告自动获取地址,如需配置静态地址则手动进行配置。不建议用户使用DHCPv6,本文档将不对其进行介绍。

IPv6地址和IPv4地址的互通,需要使用双栈路由器、隧道、NAT-PT等方法。本文档默认不实现IPv4和IPv6的互通,即要求本地PC、运维审计系统、资产、对接的服务器必须都配置IPv6地址,或使用IPv4和IPv6双栈,如用户实现了IPv4和IPv6的互通,则不受此限制。

4 为运维审计系统配置IPv6地址

IPv6通常使用路由通告来实现IP地址的自动分配。运维审计系统默认支持IPv6路由通告,且不能关闭。当将运维审计系统接入配置了路由通告的IPv6路由器所管理的网络时,将会自动获得IP地址,该地址为唯一本地地址格式,前缀一般为fc或fd。

如自动获取IP地址,请查看IPv6地址使用IPv6地址访问运维审计系统;如需为运维审计系统配置静态IPv6地址,请参考手动配置IPv6地址和路由(可选)

运维审计系统的IPv4地址为必配,IPv6地址为选配。因此在进行安装部署时,就需要完成IPv4地址的配置。IPv6地址的配置可以在安装部署时就完成配置,也可以在完成安装部署后使用IPv4地址登录运维审计系统并完成IPv6的配置。

4.1 查看IPv6地址

查看运维审计系统的IPv6地址有两种方法:在Web界面中查看、在Console控制台菜单中查看。其中Console菜单中仅能查看到手动配置的IPv6地址,无法查看自动获取的地址。本节仅介绍在Web界面中查看IPv6地址的方法,在Console菜单中查看请参考手动配置IPv6地址和路由(可选)

  1. 在浏览器中输入运维审计系统的IP地址,使用超级管理员帐号登录Web界面。
    Note: 如已配置并获知IPv6地址,请直接使用IPv6地址访问运维审计系统;否则如未获知自动获取的IPv6地址,请使用IPv4地址登录并查看IPv6地址。
  2. 选择系统设置 > 系统 > 基本设置 > 系统IP
  3. 选择待查看IP信息的网口


    Note: 访问运维审计系统的网口为规划的业务网口,一般为GE0/0
  4. IP下拉菜单中查看该网口的所有IP地址,并查看IPv6缺省网关
    图中IP地址分别为:
    • 10.2.105.5:IPv4地址。
    • fc00:1002::250:56ff:feb4:23e9运维审计系统通过路由通告自动获得的IPv6动态地址。
    • fc00:1002::5:手动配置的IPv6静态地址。如未手动配置,则不显示此项。
    • fe80::250:56ff:feb4:23e9:链路本地地址。


    Note: IPv6网关为自动获取的情况下,将不会显示IPv6缺省网关地址,由路由器自动分配,无需关注。如为手动配置,将在IPv6缺省网关中显示。

4.2 手动配置IPv6地址和路由(可选)

使用自动获取IPv6地址时,请跳过本节内容。

运维审计系统默认支持IPv6路由通告,一般情况下用户可以使用自动获取的IPv6地址作为运维审计系统的IP地址并进行访问。如需使用静态IPv6地址,需要进行手动配置,本节将对配置静态IPv6地址的方法进行介绍。

配置静态IP地址有两种方法,在Web界面中配置和在Console控制台菜单中配置,本节将分别进行介绍。

完成静态IP的配置之后,如路由器使用了路由通告,运维审计系统仍将自动获取IPv6动态地址,业务网口上将同时存在静态IP地址、动态IP地址和链路本地地址。其中静态IP和动态IP都可以用来访问运维审计系统

如需访问其他网段,用户可以在Web界面或Console控制台中手动添加静态路由配置。

IPv6地址和路由相关的参数规划如下表所示:
表4.1 IPv6参数规划
参数 举例 说明
网口 GE0/0 选择业务网口的名称。
方式 静态 IP配置为静态IP。DHCPv6使用较少,本文档将不进行介绍。
IPv6 fc00:1002::5 格式为全球单播地址或唯一本地地址。需要配置在网关同一网段内。
IPv6前缀 64 选填,缺省为64。
IPv6缺省网关 fc00:1002::1 选填,缺省则自动获取网关地址。
路由目标地址 fc00:1010:67::/64 通过路由访问的目标地址,可以是具体的IP,也可以是网段/掩码前缀的形式。
路由网关地址 fc00:1010:32:0:ec4:7aff:fe96:b430 路由转发地址,填写网关的具体IP。

4.2.1 在Web界面中配置IPv6地址

  1. 在浏览器中输入运维审计系统的IP地址,使用超级管理员帐号登录Web界面。
    Note: 如已配置并获知IPv6地址,请使用IPv6地址访问运维审计系统;否则如未获知自动获取的IPv6地址,请使用IPv4地址登录。
  2. 选择系统设置 > 系统 > 基本设置 > 系统IP
  3. 单击配置,打开配置网口菜单。


  4. 根据表4.1 IPv6参数规划填写相关参数,并单击确定


  5. 静态路由界面中单击,填写新增路由的目标地址网关地址
  6. 全部添加完成后,单击更新路由配置


4.2.2 在Console菜单中配置IPv6地址

  1. 登录运维审计系统的Console
    Note: 登录可以通过串口登录,也可以通过IPv4地址登录,或使用已配置/自动获取的IPv6地址登录。
  2. 输入Network Configuration对应的的序号并按回车。
  3. 输入GE0/0网口对应的序号,例如1,进入修改网口信息的子菜单。
    Network Configuration:
    1. GE0/0
    R. Routes
    S. Device Status
    B. Device Bonding
    D. Default IPV4 Gateway
    G. Default IPV6 Gateway
    H. Host Info
    0. Return
  4. 输入IPV6 Address对应的序号,例如3,输入已规划的IPv6的地址前缀并按回车。
    Network Configuration:
    1. IP Address : 10.2.105.5
    2. Netmask : 255.255.0.0
    3. IPV6 Address :
    3. DNS1 :
    4. DNS2 :
    0. Return
    Input c to clear current settings
    New IPV6 Address : fc00:1002::5/64
  5. 确认无误后,输入S并按回车。完成IPv6地址的配置。
    Network Configuration:
    1. IP Address : 10.2.105.5
    2. Netmask : 255.255.0.0
    3. IPV6 Address : ==> fc00:1002::5/64
    4. DNS1 :
    5. DNS2 :
    S. Submit
    0. Return
    Enter selection: S
    Device 'GE0/0' successfully disconnected.
    Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/32)
  6. 设置IPv6默认网关地址。
    1. 返回Network Configuration菜单。
    2. 输入D,并按回车,进入Default IPV6 Gateway菜单。
    3. 输入1,修改IPv6默认网关。
      Default IPV6 Gateway: 
      1. IPV6 Gateway: fc00:1002::1 Dev: GE0/0
      0. Return
      Enter selection: 1
      Note: IPv6的默认网关只能配置一个,无论有几个网口。序号为1的行中将显示默认网关的地址,即默认网关所在的网卡。如未配置或使用自动获取,则显示为空。
    4. 选择1个待设置默认网关的网口对应的序号,如1,并按回车。
    5. 输入IPv6网关地址并按回车。
    6. 输入y确认并按回车。完成默认网关的配置。
      Current IPV6 Gateway: fc00:1002::1
      Current IPV6 Gateway Device: GE0/0

      1: GE0/0
      Please input ipv6 gateway dev: 1
      Please input new ipv6 gateway: fc00:1002::1
      Make new gateway effective?[y/n] y
      Config gateway, please wait
  7. 设置IPv6路由。
    1. 返回Network Configuration菜单。
    2. 输入R,并按回车,进入Routes菜单。
    3. 输入A,并按回车,执行Add添加路由操作。
    4. 输入待添加的路由的目标地址和网关地址,中间用“,”隔开,并按回车。
    5. 收到确认提示后输入y。完成路由的添加。
      Routes: 
      A. Add
      R. Remove
      D. Display Route
      S. Submit
      0. Return
      Enter selection: A
      Please input route (target[/netmask or masklen],gateway): fc00:1010:67::/64,fc00:1010:32:0:ec4:7aff:fe96:b430
      Are you sure (fc00:1010:67::/64,fc00:1010:32:0:ec4:7aff:fe96:b430) ? (y/n)y

4.3 使用IPv6地址访问运维审计系统

使用IPv6地址访问运维审计系统,对于Web界面,在浏览器中输入https://[IPv6地址](或直接输入[IPv6地址]),例如https://[fc00:1002::5],将自动跳转到运维审计系统的Web登录界面。

输入的IPv6地址可以是自动获取的地址也可以是配置的静态IP地址。



如使用SSH客户端或RDP客户端登录运维审计系统,IPv6地址不需要加中括号,直接使用和IPv4地址同样的输入方式。

如使用SSH客户端/RDP客户端能够正常登录运维审计系统,但访问Web界面失败,有可能是浏览器的原因,请参考使用Chrome和IE无法访问IPv6地址使用Firefox无法访问IPv6地址

使用IPv6地址访问运维审计系统过程中的其他细节和使用IPv4地址访问没有任何区别,请参考运维审计系统Web配置指导

5 为设备配置IPv6地址

运维审计系统支持管理使用IPv6地址的资产和对接使用IPv6地址的服务器(应用发布、NTP、LDAP、RADIUS等)。本章节将指导用户完成在这些设备上的IPv6地址配置,从而接入运维审计系统

对于网络设备、数据库、应用系统资产,如也支持使用IPv6地址(例如Oracle数据库仅11gR2及其以上版本,weblogic仅12c版本支持IPv6),也可以在运维审计系统上添加其IPv6地址进行管理。请参考相关产品对应的配置指导进行资产的IPv6地址配置,本文档将不进行介绍。

5.1 配置Windows

本节指导用户在Windows设备上开启IPv6、配置IPv6地址,并查看IPv6相关配置。

5.1.1 开启IPv6

Windows系统从Vista和Server2008开始默认支持IPv6,如无法使用IPv6,请参考Guidance for configuring IPv6 in Windows for advanced users启用IPv6,并设置IPv4和IPv6的优先级。
Windows XP和Server2003默认不支持IPv6,需要在命令行窗口中使用以下命令安装IPv6协议:
netsh interface ipv6 install
并使用以下命令监听远程桌面的端口:
netsh interface portproxy add v6tov4 listenport=3389 connectport=3389

IPv6地址建议通过路由通告方式自动获得,不建议手动设定静态地址。DNS服务器参数通常也设置为自动获取,也可以不配置,使用IPv4的DNS服务器。

5.1.2 配置IPv6地址(可选)

Windows默认自动获取IPv6地址,用户只需查看该地址并使用该地址进行访问。本节的步骤中将介绍配置IPv6静态地址的方法,如使用自动获取则可以跳过此步骤

本节以Windows10为例,其他Windows版本的IPv6配置和Windows10基本一致。

Windows设备的IPv6相关参数规划如下:

参数 举例 说明
网口 以太网 进行外部通信的网口的名称。
方式 静态 IP配置为静态IP。
IPv6 fc00:1010:67::10 格式为全球单播地址或唯一本地地址。需要配置在网关同一网段内。
IPv6前缀 64 选填,缺省为64。
IPv6缺省网关 fc00:1010:67:0:620b:3ff:fef0:9f61 选填,缺省则自动获取网关地址。
  1. 打开网络连接菜单。
  2. 对待配置的网卡右键单击属性,打开属性菜单。


  3. 双击Internet协议版本6,打开IPv6配置菜单。如未勾选该选项请勾选。


  4. 设置IPv6地址、前缀和默认网关,并单击确定


配置IPv6静态地址之后,Windows仍将会通过路由通告自动获取IPv6地址,因此将会看到两个可用的IPv6地址和两个默认网关。
如需禁用自动获取,请使用管理员身份打开CMD命令窗口,执行以下命令:
netsh interface ipv6 set interface 网卡名称 routerdiscovery=disabled


如需重新启用自动获取,则将该值设置为enabled。执行开启或关闭命令后,无需重启网卡立即生效。

5.1.3 查看IPv6地址

本节以Windows10为例,其他Windows版本查看IPv6地址的方法和Windows10基本一致。

查看IPv6地址

在Windows中查看IPv6地址有以下两种方法:

  • 在网络连接详细信息中查看:网络连接菜单中,右键单击对应的网卡,选择状态 > 详细信息

  • 在命令行中查看:打开CMD命令行,输入ipconfig,查看IPv6相关信息:

图中的4个IPv6地址,从上到下依次为:
  • 手动配置的IPv6地址。本例中为唯一本地地址格式。如未手动配置则不显示。
  • 通过路由通告自动获取的IPv6地址。本例中为唯一本地地址格式。
  • 临时IPv6地址。在部分Windows版本中会存在,对外通信时使用该地址,从而屏蔽实际的地址, 保证主机在对外通信时候的匿名性。该地址有有效期限制, 过期时会生成新的临时地址,但过期的地址不会立即被删除,会保存几小时或几天,因此可能看到多个该地址。
  • 该网口的链路本地地址。
默认网关从上到下依次为:
  • 自动获取的IPv6网关地址。
  • 手动配置的IPv6网关地址。
查看IPv6网关

在Windows中查看IPv6网关地址,可以使用上面的ipconfig命令查看,也可以使用netsh interface ipv6 show neighbor在邻居中查看或使用netsh interface ipv6 show route在路由中查看。

但这样查看到的网关地址条目较多,且自动获取的网关地址,将只会显示为fe80前缀的链路本地地址的格式。如需查看实际使用的网关地址,建议使用tracert -6命令访问一个不在同一网段的IPv6地址:
tracert -6 [-S 本地IPv6地址] 目标IPv6地址


图中第一个跃点的地址即为实际的IPv6网关地址。

验证IPv6网络

配置并查看IPv6地址设置之后,如需验证IPv6网络的连通性,可以使用

以下命令访问其他IPv6地址:
ping -6 目标IPv6地址

5.2 配置Linux

本节指导用户在Linux设备上开启IPv6、配置IPv6地址,并查看IPv6相关配置。

本节仅以Redhat/CentOS为例指导完成Linux设备上IPv6的配置,其他版本的Linux配置步骤和内容上可能会有所差异,请另外查找相关指导。

5.2.1 配置IPv6地址(可选)

Redhat/CentOS默认开启IPv6,如未开启IPv6,请在网络或网卡配置文件中设置IPV6INIT=yes

Redhat/CentOS默认开启IPv6地址的自动配置。用户只需查看该地址并使用该地址进行访问。本节的步骤中将介绍配置IPv6静态地址的方法,如使用自动获取则可以跳过此步骤

Linux设备的IPv6相关参数规划如下:

参数 举例 说明
网口 eth0 进行外部通信的网口的名称。
方式 静态 IP配置为静态IP。
IPv6 fc00:1010:32::30/64 格式为全球单播地址或唯一本地地址。需要配置在网关同一网段内。
IPv6前缀 64  
IPv6缺省网关 fc00:1010:32:0:3a22:d6ff:fe71:db1 选填,缺省则自动获取网关地址。
  1. 执行命令打开网口的配置文件:
    vim /etc/sysconfig/network-scripts/ifcfg-eth0 #eth0为网口名称
    Note: 修改前建议先对配置文件做备份。
  2. 添加或编辑IPv6相关参数如下,并保存配置文件。
    IPV6INIT=yes #开启IPv6
    IPV6_AUTOCONF=no #不使用IPv6地址自动配置
    IPV6ADDR=fc00:1010:32::30/64 #填写IPv6地址和前缀
    IPV6_DEFAULTGW=fc00:1010:32:0:3a22:d6ff:fe71:db1
    #填写网关地址,也可不填,自动获取
    Note: 是否开启使用IPv6地址自动配置,也可以直接写在网络的配置文件(/etc/sysconfig/network)中:
    NETWORKING_IPV6=yes #开启IPv6
    IPV6_AUTOCONF=no #不使用IPv6地址自动配置
    将对所有网口生效,拥有更高的优先级。
  3. 重启网络,使配置文件生效。
    对于CentOS7及以后的版本:
    systemctl restart network
    对于其他Redhat/CentOS版本:
    service network restart
重启后IPv6的配置将生效,请查看IPv6地址相关信息。
如未将IPV6_AUTOCONF取值为yes,则将同时存在静态IP地址和自动获取的IP地址,两个地址都可以访问。如需只保留静态IP地址,请将IPV6_AUTOCONF设置为no
部分版本下IPV6_AUTOCONF的配置修改无效,将始终开启,此时可以通过修改系统内核参数来关闭IPv6地址的自动获取:
  1. 修改系统参数配置文件:
    vim /etc/sysctl.conf
  2. 添加以下参数设置并保存:
    net.ipv6.conf.default.accept_ra=0 #对默认网口禁用自动获取
    net.ipv6.conf.all.accept_ra=0 #对所有网口禁用自动获取
    net.ipv6.conf.eth0.accept_ra=0 #对eth0网口禁用自动获取
  3. 载入内核参数:
    sysctl -p /etc/sysctl.conf
  4. 重启网络。重启后将不会再自动获取IPv6地址。

5.2.2 查看IPv6地址

查看IPv6地址

在Redhat/CentOS中查看IPv6地址有以下三种方法:
  • 使用ip命令查看:
    [root@localhost ~]# ip -6 a
    ...
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fc00:1010:32:0:3e68:f220:72f2:b1dc/64 scope global noprefixroute dynamic
    valid_lft 2591575sec preferred_lft 604375sec
    inet6 fc00:1010:32::30/64 scope global noprefixroute
    valid_lft forever preferred_lft forever
    inet6 fe80::3cee:1349:282b:fe3d/64 scope link noprefixroute
    valid_lft forever preferred_lft forever
    inet6 fe80::b403:8057:705:fde5/64 scope link tentative noprefixroute dadfailed
    valid_lft forever preferred_lft forever
  • 使用ifconfig命令查看(需要安装 net-tools):
    [root@localhost ~]# ifconfig |grep inet6
    inet6 fe80::b403:8057:705:fde5 prefixlen 64 scopeid 0x20<link>
    inet6 fc00:1010:32::30 prefixlen 64 scopeid 0x0<global>
    inet6 fc00:1010:32:0:3e68:f220:72f2:b1dc prefixlen 64 scopeid 0x0<global>
    inet6 fe80::3cee:1349:282b:fe3d prefixlen 64 scopeid 0x20<link>
  • 使用nmcli命令查看(需要安装NetworkManager),能够同时查看网关和路由:
    [root@localhost ~]# nmcli con show eth0 |grep IP6
    IP6.ADDRESS[1]: fc00:1010:32::30/64
    IP6.ADDRESS[2]: fc00:1010:32:0:3e68:f220:72f2:b1dc/64
    IP6.ADDRESS[3]: fe80::3cee:1349:282b:fe3d/64
    IP6.ADDRESS[4]: fe80::b403:8057:705:fde5/64
    IP6.GATEWAY: fc00:1010:32:0:3a22:d6ff:fe71:db1
    IP6.ROUTE[1]: dst = fc00:1010:32::/64, nh = ::, mt = 100
    IP6.ROUTE[2]: dst = ff00::/8, nh = ::, mt = 256, table=255
    IP6.ROUTE[3]: dst = fe80::/64, nh = ::, mt = 256
    IP6.ROUTE[4]: dst = fe80::/64, nh = ::, mt = 100
    IP6.ROUTE[5]: dst = ::/0, nh = fc00:1010:32:0:3a22:d6ff:fe71:db1, mt = 100
回显中的IP同时包含静态IP地址、自动获取的IP地址和链路本地地址(fe80前缀)。

查看IPv6网关

IPv6网关地址的查看,可以使用上面的ipconfig命令查看,也可以使用ip -6 neigh show在邻居中查看或使用ip -6 route show在路由中查看。

但这样查看到的网关地址条目较多,且自动获取的网关地址,将只会显示为fe80前缀的链路本地地址的格式。如需查看实际使用的网关地址,建议使用traceroute -6命令访问一个不在同一网段的IPv6地址:
traceroute -6 目标IPv6地址 [-i 本地网口名称][-s 本地IPv6地址] 
例如:
[root@localhost ~]# traceroute -6 fc00:1010:67::10 -i eth0 -s fc00:1010:32::30
traceroute to fc00:1010:67::10 (fc00:1010:67::10), 30 hops max, 80 byte packets
1 gateway (fc00:1010:32:0:3a22:d6ff:fe71:db1) 10.316 ms 10.792 ms 11.753 ms
...

其中第一个跃点的地址即为实际的IPv6网关地址。

验证IPv6网络

配置并查看IPv6地址设置之后,如需验证IPv6网络的连通性,可以使用以下命令访问其他IPv6地址:

ping6 [-I 本地网口名称] 目标IPv6地址

6 管理IPv6资产

使用IPv6地址的资产,在运维审计系统中的配置和访问,与使用IPv4地址的资产没有明显的区别。只需要保证已为运维审计系统配置IPv6地址和已为设备配置IPv6地址,并且两个地址互通。

6.1 添加IPv6资产

在添加资产时,请将资产IP参数填写为资产的IPv6地址。可以单击ping检查连通性。

6.2 添加同一资产的不同IP

如同一个资产同时配置了IPv4地址和IPv6地址,或同时配置了多个IPv6地址,可以将多个地址在运维审计系统中添加为不同的资产进行管理,例如:

可以将这些资产在资产 > 配置 > 等级配置中添加为等价资产,从而使修改其中一个资产的责任人、协议、帐号配置时,可以自动同步到另一个资产。

6.3 访问IPv6资产

运维审计系统中添加使用IPv6地址的资产和权限,并使用相应帐号登录运维审计系统的Web/RDP/SSH客户端后,可以通过资产的IPv6地址直接访问对应的资产。

通过RDP、SSH、SFTP直连资产时,如涉及IPv6地址,IPv6地址是否加中括号会根据系统环境和客户端的不同而有所差别,具体说明如下:
会话类型 运维审计系统地址 目标资产地址
RDP 可以加中括号也可不加。 不能加中括号。
SSH 部分工具或环境支持中括号,但建议统一全部不加中括号。当目标资产地址为IPv6时,无法在Windows环境下Xshell的命令行中使用ssh命令直连访问。
SFTP工具 FileZilla必须加中括号,WinSCP、Xftp可以加也可以不加。 不能加中括号。
SFTP命令 必须加中括号。 不能加中括号。

使用IPv6地址访问资产过程中的其他细节和使用IPv4地址访问没有任何区别,请参考运维审计系统Web配置指导

7 其他配置

7.1 安全证书

运维审计系统设置了IPv6地址后,需要重新生成安全证书,并重启浏览器,获取并安装安全证书。请参考运维审计系统Web配置指导完成该操作。

运维审计系统存在多个IP时,多个IP使用同一套自签名的安全证书,该证书包含了运维审计系统的不同IP。用户如使用自己的用户证书,也请参考该策略。

Note: 自动获取的IPv6地址,在证书中将仅显示为fe80前缀的链路本地地址的形式。

7.2 HA/集群

HA/集群支持使用IPv6地址,但其虚IP与各节点的实IP,必须使用同一格式,即必须都为IPv4或都为IPv6。

7.3 应用发布

应用发布服务器支持将IP配置为IPv6,也可以同时配置IPv4和IPv6的IP,但要求运维审计系统的业务网口上也有对应格式的IP。

当将应用发布服务器的IP配置为IPv6时,需要进行以下配置:
  • WinlogonWinsync允许IP中,添加应用发布服务器的IPv6 IP。如应用发布服务器同时配置了IPv4和IPv6 IP,则可将不同IP都添加到Winsync允许IP中。

    运维审计系统如存在多个IPv6地址,需要将所有IPv6地址都在Winlogon中添加。否则由于不确定使用哪个IP进行通信,Winsync同步可能会提示未设置允许IP。
  • Agent服务端IP地址设置为运维审计系统的IPv6 IP。如应用发布服务器和运维审计系统都同时配置了IPv4和IPv6 IP,则可以填写IPv4和IPv6的任意一个IP;如运维审计系统有多个IPv6 IP,可填写其中任意一个。填写的IP类型将影响Agent与运维审计系统的通信方式,对其他无影响。

    应用发布服务器的Agent无需填写本地IP地址,Agent会自动选择本地IP地址进行连接。



  • 运维审计系统:在应用发布服务器菜单中,可以添加应用发布服务器的地址为IPv6 IP。如应用发布服务器和运维审计系统都同时配置了IPv4和IPv6 IP,可以将应用发布服务器的所有IP都添加进来,当一个IP不可达时,运维审计系统可以通过其他IP访问应用发布服务器。

    下图的例子中,红框中的IP全是同一应用发布服务器的IP。在Winsync中同时添加了所有IPv4和IPv6 IP后,Winsync状态将全部显示为正常。



7.4 邮件/文件/NTP/短信网关/Syslog/AD/LDAP/RADIUS服务器

运维审计系统对接的这些服务器都支持配置成IPv6格式的地址,例如:

对于不同的服务器,在运维审计系统中进行配置时IP地址的具体写法如下:
服务器类型 格式 样例
  • 文件服务器
  • NTP服务器

直接输入IPv6地址,不加中括号和端口号。

fc00:1010:32::30

  • 邮件服务器
  • Syslog服务器
  • AD/LDAP服务器
  • RADIUS服务器

格式为:[IPv6地址]:端口号,其中端口号为可选。

[fc00:1010:16:0:250:56ff:fe8f:ac65]

[fc00:1010:16::65]:25

短信网关

格式为:http://[IPv6地址]:端口号https://[IPv6地址]:端口号,其中端口号为可选。

http://[fc00:1010:67::10]:8099

https://[fc00:1010:67::10]

7.5 帐号改密

  • 如资产同时配置了IPv4、IPv6或同时配置了多个IPv6地址,使用Agent对其进行帐号改密时,需要将待改密的IP地址都配置在Agent的本地IP地址中,否则Agent上报的IP地址可能不包含目标的IP地址,造成改密失败。

  • 如将同一资产的IPv4、IPv6地址,或多个IPv6地址添加为不同的资产,改密前建议将这些资产的待改密帐号配置为等价帐号。设置等价帐号后,对其中一个帐号的改密完成后,运维审计系统将会自动同步修改所有等价帐号托管的密码。

7.6 用户登录控制

全局/个人用户登录控制中,IP地址可以设置为IPv6格式。IPv6没有类似IPv4中的地址范围的写法,只能写成下图中的网段格式,或写成指定的某个IP地址。

7.7 Windows域

Windows域支持IPv6地址,可以将域IP配置为域控服务器的IPv6地址:

如域控服务器同时存在多个IP,可以任意配置其中一个可达的IP。

8 附录

8.1 登录运维审计系统的Console

Console控制台支持通过多种方式使用root帐号登录。登录到控制台之后,管理员可以进行重置admin帐号、使用系统工具、修改主机名等功能。

登录Console,如使用SSH或串口登录,需要提前准备Xshell、SecureCRT等支持SSH协议或串口登录的工具。

如使用SSH远程登录,还需要满足以下前提条件:

  • 已为运维审计系统分配了IP,并且和本地客户端的网络相连通。
  • 运维审计系统的TCP/8022端口可用,未受到防火墙限制。
  • 运维审计系统默认禁用通过SSH登录Console控制台,登录前已在Web界面的系统设置 > 系统 > 系统状态中设置sshd外部访问参数为开启
  • 已获取用于登录运维审计系统的私钥。私钥文件名为“RSA-****-openssh”,其中“****”为时间戳。如未获取请联系新华三技术支持获取。
运维审计系统的Console支持以下登录方式:
  • SSH远程登录
  • 串口登录
  • 显示器直连
其中,显示器直连,请准备一台支持VGA接口的显示器、VGA连接线、键盘,将显示器和键盘直接连接到设备上登录进行操作,并使用帐号“root”,默认密码admin,登录到Console控制台。

本文主要介绍如何通过串口登录和SSH远程登录的方式访问Console。

8.1.1 通过串口登录Console

本文以Xshell为例介绍串口登录步骤,SecureCRT和Putty的配置与Xshell基本相同。
  1. 将本地PC和运维审计系统通过串口线相连。
  2. 在Xshell主界面,选择文件 > 新建,新建一个连接。
  3. 协议设置为SERIAL


  4. 在左侧选择SERIAL,设置串口属性。
    使用Xshell时,全部使用以下默认值即可。
    • Port:COM
    • Baud rate:9600
    • Data bits:8
    • Stop bits:1
    • Parity:None
    • Flow Control:None


  5. 单击连接,显示控制台菜单,可以执行菜单相关选项进行控制台管理。

8.1.2 通过SSH远程登录Console

本文以Xshell为例介绍登录步骤,SecureCRT的配置与Xshell基本相同。
  1. 在Xshell主界面,选择文件 > 新建,新建一个SSH连接。
  2. 连接菜单设置会话以下属性:
    • 名称:用户自定义的连接名称
    • 协议:SSH
    • 主机运维审计系统的IP地址
    • 端口号:8022
  3. 连接 > 用户身份验证菜单,配置以下属性:
    • 方法:Public Key
    • 用户名:root
    • 用户密钥:选择已获取的用于登录的私钥
    • 密码:默认为空
  4. 单击连接,连接成功后显示下列菜单,可以执行菜单相关选项进行控制台管理。
登录到Console之后,可以执行菜单选项进行控制台管理,或者输入q并按回车退出登录。

8.2 使用Chrome和IE无法访问IPv6地址

在Chrome或IE浏览器中输入IPv6地址并访问时,提示无法访问此网站。

8.2.1 Chrome浏览器未打开IPv6开关

低版本的Chrome浏览器,并非默认支持IPv6,需要打开IPv6开关才能访问IPv6地址。

  1. 在Chrome浏览器地址栏中输入chrome://net-internals/dns#dns并跳转到该地址。
  2. 查看是否有Enable IPv6按钮。
    • 是,3
    • 排查其他原因。
  3. 单击Enable IPv6启用IPv6,并重新访问IPv6地址。

8.2.2 用户的网络设置了不支持IPv6的代理

用户的网络如果设置了代理,且该代理不支持IPv6,在浏览器中访问IPv6地址将失败。IE和Chrome使用的是同一代理设置。

  1. 在IE浏览器中单击Internet选项,或在Chrome浏览器中选择设置 > 系统 > 打开代理设置打开Internet选项连接菜单。


  2. 单击局域网设置,查看是否启用了自动设置或设置了代理服务器。
    • 是,去勾选所有选项,保存后重新访问IPv6地址。
    • 否,排除其他原因。


8.3 使用Firefox无法访问IPv6地址

在Firefox浏览器中输入IPv6地址并访问时,提示无法访问此网站。

8.3.1 Firefox未启用IPv6 DNS

Firefox的network.dns.disableIPv6开关开启,禁用了IPv6。

  1. 在Firefox浏览器地址栏中输入about:config并跳转到该地址。
  2. 找到network.dns.disableIPv6参数,检查其取值是否为true
    • 是,双击该参数,将其修改为false,并重新访问IPv6地址。
    • 否,排查其他原因。


8.3.2 Firefox设置了不支持IPv6的代理

Firefox如果设置了使用代理,且该代理不支持IPv6,在Firefox中访问IPv6地址将失败。

  1. 在Firefox浏览器中,选择选项 > 高级 > 网络,单击设置


  2. 检查是否启用了自动或手动的代理设置。
    • 是,选中不使用代理,保存后重新访问IPv6地址。
    • 否,排查其他原因。


    Note: 如该界面选项灰化,无法修改,是因为锁定了相关选项的设置。请在Firefox的安装路径下,打开mozilla.cfg文件,并将lockPref相关语句删除或注释掉。修改保存后,重启Firefox并修改代理设置。