H3C SecPath A2000-G[AK][V][Cloud]系列运维审计系统 IPv6配置指导(E6111 E6112)-5W104

手册下载

1 关于本文档

本文档介绍并指导用户完成运维审计系统涉及的IPv6相关配置。

本文档主要针对使用IPv6时相对于使用IPv4时的不同点进行说明。详细的配置指导,请参考其他手册。

1.1 格式约定

格式 说明
粗体 各类界面控件名称采用加粗字体表示,如单击确定
> 多级菜单用 > 隔开。如选择用户管理 > 用户列表,表示选择用户管理菜单下的用户列表子菜单。

2 IPv6入门

运维审计系统支持用户将运维审计系统的IP地址配置为IPv6地址,也支持管理地址为IPv6格式的资产。另外,系统设置中一些涉及IP配置的地方,也都可以使用IPv6地址。

本文档的后续章节将对以上配置操作进行指导。本章节将先介绍IPv6的一些基本知识,以便于用户对于IPv6有所了解。

IPv6(Internet Protocol version 6),即网际协议第6版,是网际协议的最新版本,目标是取代IPv4,从而解决IPv4的地址枯竭问题,并实现一些其他方面的改进。

IPv6二进位制下为128位长度,以16位为一组,每组以冒号“:”隔开,可以分为8组,每组以4位十六进制方式表示,例如:2001:0db8:85a3:08d3:1319:8a2e:0370:7344。IPv6地址可以进行以下缩写:
  • 每项数字前导的0可以省略,例如2001:DB8:2de:0:0:0:0:e13。
  • 可以用双冒号“::”表示一组0或多组连续的0,但只能出现一次,例如2001:DB8:2de::e13。

运维审计系统支持以上所有写法的IPv6地址格式。

2.1 地址分类

IPv6的地址分为以下几种类型:
  • 单播(unicast)地址。在网段中唯一标识。
  • 任播(anycast)地址。多个接口(host)被分配相同的任播IP地址。只会发送给距离最近或发送成本最低(根据路由表来判断)的其中一个接收地址。只能分配给中间设备(如路由器、三层交换机等),不能分配给终端设备(手机、计算机等),而且不能作为发送端的地址。
  • 多播(multicast)地址。也称组播地址,前缀为ff00::/8。被指定到一群不同的接口,送到多播地址的数据包会被发送到所有的地址。
运维审计系统的配置中一般只涉及单播地址。单播地址又分为以下几类:
  • 全球单播地址(Global Unicast Address): 相当于IPv4的公共地址。 IPv6中的全球单播地址是全局可识别的和唯一可寻址的。地址段范围为2xxx:xxxxx/3 - 3FFF: :FFFF,目前一般使用2001::/16和2002::/16(6to4过渡地址)。
  • 唯一本地地址(Unique local address):相当于IPv4的私有地址。地址段范围为fc00::/7,即fc00::/8和fd00::/8,其中fc00::/8为未定义地址。
  • 链路本地地址(Link-Local Unicast Address):用于链路上的IPv6主机之间的通信,不可路由。地址段范围为 fe80::/10。
  • 站点本地地址(Site-local Unicast Address):已废弃,被唯一本地地址所取代。但一些旧的网络设备仍会使用该地址段作为私有地址。地址段范围为fec0::/10。

2.2 地址获取方式

IPv6的地址获取,一般使用无状态地址自动配置(SLAAC),即路由通告。当连接到IPv6网络上时,IPv6主机可以使用邻居发现协议对自身进行自动配置。当第一次连接到网络上时,主机发送一个链路本地路由器请求(solicitation)多播请求来获取配置参数。路由器使用包含Internet层配置参数的路由器通告(advertisement)报文进行回应。

在不适合使用IPv6无状态地址自动配置的场景下,网络可以使用有状态配置。包括配置静态IP地址或使用DHCPv6

运维审计系统支持以上三种IPv6地址的获取方式。建议直接使用路由通告自动获取地址,如需配置静态地址则手动进行配置。不建议用户使用DHCPv6,本文档将不对其进行介绍。

IPv6地址和IPv4地址的互通,需要使用双栈路由器、隧道、NAT-PT等方法。本文档默认不实现IPv4和IPv6的互通,即要求本地PC、运维审计系统、资产、对接的服务器必须都配置IPv6地址,或使用IPv4和IPv6双栈,如用户实现了IPv4和IPv6的互通,则不受此限制。

3 为运维审计系统配置IPv6地址

IPv6通常使用路由通告来实现IP地址的自动分配。运维审计系统默认支持IPv6路由通告,且不能关闭。当将运维审计系统接入配置了路由通告的IPv6路由器所管理的网络时,将会自动获得IP地址,该地址为唯一本地地址格式,前缀一般为fc或fd。

如自动获取IP地址,请查看IPv6地址使用IPv6地址访问运维审计系统;如需为运维审计系统配置静态IPv6地址,请参考手动配置IPv6地址和路由(可选)

运维审计系统的IPv4地址为必配,IPv6地址为选配。因此在进行安装部署时,就需要完成IPv4地址的配置。IPv6地址的配置可以在安装部署时就完成配置,也可以在完成安装部署后使用IPv4地址登录运维审计系统并完成IPv6的配置。

3.1 查看IPv6地址

查看运维审计系统的IPv6地址有两种方法:在Web界面中查看、在Console控制台菜单中查看。本节将分别介绍在Web界面和在Console菜单中查看IPv6地址的方法。

3.1.1 在Web界面中查看IPv6地址

  1. 在浏览器中输入运维审计系统的IP地址,使用超级管理员帐号登录Web界面。
    Note: 如已配置并获知IPv6地址,请直接使用IPv6地址访问运维审计系统;否则如未获知自动获取的IPv6地址,请使用IPv4地址登录并查看IPv6地址。
  2. 选择系统设置 > 系统 > 基本设置 > 系统IP
  3. 选择待查看IP信息的网口




    Note: 访问运维审计系统的网口为规划的业务网口,一般为GE0/0
  4. IP下拉菜单中查看该网口的所有IP地址,并查看IPv6缺省网关
    图中IP地址分别为:
    • 10.2.105.5:IPv4地址。
    • fc00:1002::250:56ff:feb4:23e9运维审计系统通过路由通告自动获得的IPv6动态地址。
    • fc00:1002::5:手动配置的IPv6静态地址。如未手动配置,则不显示此项。
    • fe80::250:56ff:feb4:23e9:链路本地地址。




    Note: IPv6网关为自动获取的情况下,将不会显示IPv6缺省网关地址,由路由器自动分配,无需关注。如为手动配置,将在IPv6缺省网关中显示。

3.1.2 在Console菜单中查看IPv6地址

  1. 登录运维审计系统的Console
    Note: 登录可以通过串口登录,也可以通过IPv4地址登录,或使用已配置/自动获取的IPv6地址登录。
  2. 输入Network Configuration对应的序号,并按回车。
    Main Menu:
    1. Date and Time
    2. Network Configuration
    3. H3C Tools
    R. Reset admin
    S. SSHD Management
    N. Nginx Management
    A. ACL Management
    U. User Connection
    T. System Tools
    Enter selection: 2
  3. 输入GE0/0网口对应的序号,进入修改网口信息的子菜单,查看IPv6地址。
    Network Configuration:
    1. GE0/0
    R. Routes
    S. Device Status
    B. Device Bonding
    D. Default IPV4 Gateway
    G. Default IPV6 Gateway
    C. IPV6 Auto Config: Enable
    H. Host Info
    N. Cleanup Net Device Config
    0. Return

    DISPLAY显示了当前的静态IP地址或使用DHCP自动获取的IP地址,以及通过IPv6路由通告获取的IP地址。

    Network Configuration:
    1. IP Address : 10.2.105.5
    2. Netmask : 255.255.0.0
    3. IPV6 Address :fc00:1002::5/64
    4. DNS1 :
    5. DNS2 :
    6. DISPLAY :10.2.105.5 fc00:1002::5/64fc00:1002::250:56ff:feb4:23e9 fe80::250:56ff:feb4:23e9
    C. Clear all
    0. Return
    New IPV6 Address : fc00:1002::5/64

    图中IP地址分别为:

    • 10.2.105.5:手动配置的IPv4地址。
    • fc00:1002::5:手动配置的IPv6静态地址。如未手动配置,则不显示此项。
    • fc00:1002::250:56ff:feb4:23e9运维审计系统通过路由通告自动获得的IPv6动态地址。
    • fe80::250:56ff:feb4:23e9:链路本地地址。

3.2 手动配置IPv6地址和路由(可选)

使用自动获取IPv6地址时,请跳过本节内容。

运维审计系统默认支持IPv6路由通告,一般情况下用户可以使用自动获取的IPv6地址作为运维审计系统的IP地址并进行访问。如需使用静态IPv6地址,需要进行手动配置,本节将对配置静态IPv6地址的方法进行介绍。

如需关闭IPv6的路由通告自动配置,请在Console菜单中选择Network Configuration > IPV6 Auto Config > Disable ipv6 auto configuration

配置静态IP地址有两种方法,在Web界面中配置和在Console控制台菜单中配置,本节将分别进行介绍。

完成静态IP的配置之后,如路由器使用了路由通告,运维审计系统仍将自动获取IPv6动态地址,业务网口上将同时存在静态IP地址、动态IP地址和链路本地地址。其中静态IP和动态IP都可以用来访问运维审计系统

如需访问其他网段,用户可以在Web界面或Console控制台中手动添加静态路由配置。

IPv6地址和路由相关的参数规划如下表所示:
表3.1 IPv6参数规划
参数 举例 说明
网口 GE0/0 选择业务网口的名称。
方式 静态 IP配置为静态IP。DHCPv6使用较少,本文档将不进行介绍。
IPv6 fc00:1002::5 格式为全球单播地址或唯一本地地址。需要配置在网关同一网段内。
IPv6前缀 64 选填,缺省为64。
IPv6缺省网关 fc00:1002::1 选填,缺省则自动获取网关地址。
路由目标地址 fc00:1010:67::/64 通过路由访问的目标地址,可以是具体的IP,也可以是网段/掩码前缀的形式。
路由网关地址 fc00:1010:32:0:ec4:7aff:fe96:b430 路由转发地址,填写网关的具体IP。

3.2.1 在Web界面中配置IPv6地址

  1. 在浏览器中输入运维审计系统的IP地址,使用超级管理员帐号登录Web界面。
    Note: 如已配置并获知IPv6地址,请使用IPv6地址访问运维审计系统;否则如未获知自动获取的IPv6地址,请使用IPv4地址登录。
  2. 选择系统设置 > 系统 > 基本设置 > 系统IP
  3. 单击配置,打开配置网口菜单。




  4. 根据表3.1 IPv6参数规划填写相关参数,并单击确定




  5. 静态路由界面中单击,填写新增路由的目标地址网关地址
  6. 全部添加完成后,单击更新路由配置




3.2.2 在Console菜单中配置IPv6地址

  1. 登录运维审计系统的Console
    Note: 登录可以通过串口登录,也可以通过IPv4地址登录,或使用已配置/自动获取的IPv6地址登录。
  2. 输入Network Configuration对应的序号,并按回车。
  3. 输入GE0/0网口对应的序号,进入修改网口信息的子菜单。
    Network Configuration:
    1. GE0/0
    R. Routes
    S. Device Status
    B. Device Bonding
    D. Default IPV4 Gateway
    G. Default IPV6 Gateway
    C. IPV6 Auto Config: Enable
    H. Host Info
    A. Add Net Device
    0. Return
  4. 输入IPV6 Address对应的序号,输入已规划的IPv6的地址前缀并按回车。
    Network Configuration:
    1. IP Address : 10.2.105.5
    2. Netmask : 255.255.0.0
    3. IPV6 Address :
    4. DNS1 :
    5. DNS2 :
    6. DISPLAY
    C. Clear all
    0. Return
    New IPV6 Address : fc00:1002::5/64
  5. 确认无误后,输入S并按回车。完成IPv6地址的配置。
    Network Configuration:
    1. IP Address : 10.2.105.5
    2. Netmask : 255.255.0.0
    3. IPV6 Address : ==> fc00:1002::5/64
    4. DNS1 :
    5. DNS2 :
    6. DISPLAY
    C. Clear all
    S. Submit
    0. Return
    Enter selection: S
    Device 'GE0/0' successfully disconnected.
    Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/32)
    Note: 可以通过输入Clear all对应的序号,例如C,按回车,清空所有配置信息。
  6. 设置IPv6默认网关地址。
    1. 返回Network Configuration菜单。
    2. 输入D,并按回车,进入Default IPV6 Gateway菜单。
    3. 输入1,修改IPv6默认网关。
      Default IPV6 Gateway: 
      1. IPV6 Gateway: fc00:1002::1 Dev: GE0/0
      0. Return
      Enter selection: 1
      Note: IPv6的默认网关只能配置一个,无论有几个网口。序号为1的行中将显示默认网关的地址,即默认网关所在的网卡。如未配置或使用自动获取,则显示为空。
    4. 选择1个待设置默认网关的网口对应的序号,如1,并按回车。
    5. 输入IPv6网关地址并按回车。
    6. 输入y确认并按回车。完成默认网关的配置。
      Current IPV6 Gateway: fc00:1002::1
      Current IPV6 Gateway Device: GE0/0

      1: GE0/0
      Please input ipv6 gateway dev: 1
      Please input new ipv6 gateway: fc00:1002::1
      Make new gateway effective?[y/n] y
      Config gateway, please wait
  7. 设置IPv6路由。
    1. 返回Network Configuration菜单。
    2. 输入R,并按回车,进入Routes菜单。
    3. 输入A,并按回车,执行Add添加路由操作。
    4. 输入待添加的路由的目标地址和网关地址,中间用“,”隔开,并按回车。
    5. 收到确认提示后输入y。完成路由的添加。
      Routes: 
      A. Add
      R. Remove
      D. Display Route
      S. Submit
      0. Return
      Enter selection: A
      Please input route (target[/netmask or masklen],gateway): fc00:1010:67::/64,fc00:1010:32:0:ec4:7aff:fe96:b430
      Are you sure (fc00:1010:67::/64,fc00:1010:32:0:ec4:7aff:fe96:b430) ? (y/n)y

3.3 使用IPv6地址访问运维审计系统

使用IPv6地址访问运维审计系统,对于Web界面,在浏览器中输入https://[IPv6地址](或直接输入[IPv6地址]),例如https://[fc00:1002::5],将自动跳转到运维审计系统的Web登录界面。

输入的IPv6地址可以是自动获取的地址也可以是配置的静态IP地址。





如使用SSH客户端或RDP客户端登录运维审计系统,IPv6地址不需要加中括号,直接使用和IPv4地址同样的输入方式。

如使用SSH客户端/RDP客户端能够正常登录运维审计系统,但访问Web界面失败,有可能是浏览器的原因,请参考使用Chrome和IE无法访问IPv6地址使用Firefox无法访问IPv6地址

使用IPv6地址访问运维审计系统过程中的其他细节和使用IPv4地址访问没有任何区别,请参考运维审计系统Web配置指导

4 为设备配置IPv6地址

运维审计系统支持管理使用IPv6地址的资产和对接使用IPv6地址的服务器(应用发布、NTP、LDAP、RADIUS等)。本章节将指导用户完成在这些设备上的IPv6地址配置,从而接入运维审计系统

对于网络设备、数据库、应用系统资产,如也支持使用IPv6地址(例如Oracle数据库仅11gR2及其以上版本,weblogic仅12c版本支持IPv6),也可以在运维审计系统上添加其IPv6地址进行管理。请参考相关产品对应的配置指导进行资产的IPv6地址配置,本文档将不进行介绍。

4.1 配置Windows

本节指导用户在Windows设备上开启IPv6、配置IPv6地址,并查看IPv6相关配置。

4.1.1 开启IPv6

Windows系统从Vista和Server2008开始默认支持IPv6,如无法使用IPv6,请参考Guidance for configuring IPv6 in Windows for advanced users启用IPv6,并设置IPv4和IPv6的优先级。
Windows XP和Server2003默认不支持IPv6,需要在命令行窗口中使用以下命令安装IPv6协议:
netsh interface ipv6 install
并使用以下命令监听远程桌面的端口:
netsh interface portproxy add v6tov4 listenport=3389 connectport=3389

IPv6地址建议通过路由通告方式自动获得,不建议手动设定静态地址。DNS服务器参数通常也设置为自动获取,也可以不配置,使用IPv4的DNS服务器。

4.1.2 配置IPv6地址(可选)

Windows默认自动获取IPv6地址,用户只需查看该地址并使用该地址进行访问。本节的步骤中将介绍配置IPv6静态地址的方法,如使用自动获取则可以跳过此步骤

本节以Windows10为例,其他Windows版本的IPv6配置和Windows10基本一致。

Windows设备的IPv6相关参数规划如下:

参数 举例 说明
网口 以太网 进行外部通信的网口的名称。
方式 静态 IP配置为静态IP。
IPv6 fc00:1010:67::10 格式为全球单播地址或唯一本地地址。需要配置在网关同一网段内。
IPv6前缀 64 选填,缺省为64。
IPv6缺省网关 fc00:1010:67:0:620b:3ff:fef0:9f61 选填,缺省则自动获取网关地址。
  1. 打开网络连接菜单。
  2. 对待配置的网卡右键单击属性,打开属性菜单。




  3. 双击Internet协议版本6,打开IPv6配置菜单。如未勾选该选项请勾选。




  4. 设置IPv6地址、前缀和默认网关,并单击确定




配置IPv6静态地址之后,Windows仍将会通过路由通告自动获取IPv6地址,因此将会看到两个可用的IPv6地址和两个默认网关。
如需禁用自动获取,请使用管理员身份打开CMD命令窗口,执行以下命令:
netsh interface ipv6 set interface 网卡名称 routerdiscovery=disabled




如需重新启用自动获取,则将该值设置为enabled。执行开启或关闭命令后,无需重启网卡立即生效。

4.1.3 查看IPv6地址

本节以Windows10为例,其他Windows版本查看IPv6地址的方法和Windows10基本一致。

查看IPv6地址

在Windows中查看IPv6地址有以下两种方法:

  • 在网络连接详细信息中查看:网络连接菜单中,右键单击对应的网卡,选择状态 > 详细信息



  • 在命令行中查看:打开CMD命令行,输入ipconfig,查看IPv6相关信息:



图中的4个IPv6地址,从上到下依次为:
  • 手动配置的IPv6地址。本例中为唯一本地地址格式。如未手动配置则不显示。
  • 通过路由通告自动获取的IPv6地址。本例中为唯一本地地址格式。
  • 临时IPv6地址。在部分Windows版本中会存在,对外通信时使用该地址,从而屏蔽实际的地址, 保证主机在对外通信时候的匿名性。该地址有有效期限制, 过期时会生成新的临时地址,但过期的地址不会立即被删除,会保存几小时或几天,因此可能看到多个该地址。
  • 该网口的链路本地地址。
默认网关从上到下依次为:
  • 自动获取的IPv6网关地址。
  • 手动配置的IPv6网关地址。
查看IPv6网关

在Windows中查看IPv6网关地址,可以使用上面的ipconfig命令查看,也可以使用netsh interface ipv6 show neighbor在邻居中查看或使用netsh interface ipv6 show route在路由中查看。

但这样查看到的网关地址条目较多,且自动获取的网关地址,将只会显示为fe80前缀的链路本地地址的格式。如需查看实际使用的网关地址,建议使用tracert -6命令访问一个不在同一网段的IPv6地址:
tracert -6 [-S 本地IPv6地址] 目标IPv6地址




图中第一个跃点的地址即为实际的IPv6网关地址。

验证IPv6网络

配置并查看IPv6地址设置之后,如需验证IPv6网络的连通性,可以使用

以下命令访问其他IPv6地址:
ping -6 目标IPv6地址

4.2 配置Linux

本节指导用户在Linux设备上开启IPv6、配置IPv6地址,并查看IPv6相关配置。

本节仅以Redhat/CentOS为例指导完成Linux设备上IPv6的配置,其他版本的Linux配置步骤和内容上可能会有所差异,请另外查找相关指导。

4.2.1 配置IPv6地址(可选)

Redhat/CentOS默认开启IPv6,如未开启IPv6,请在网络或网卡配置文件中设置IPV6INIT=yes

Redhat/CentOS默认开启IPv6地址的自动配置。用户只需查看该地址并使用该地址进行访问。本节的步骤中将介绍配置IPv6静态地址的方法,如使用自动获取则可以跳过此步骤

Linux设备的IPv6相关参数规划如下:

参数 举例 说明
网口 eth0 进行外部通信的网口的名称。
方式 静态 IP配置为静态IP。
IPv6 fc00:1010:32::30/64 格式为全球单播地址或唯一本地地址。需要配置在网关同一网段内。
IPv6前缀 64  
IPv6缺省网关 fc00:1010:32:0:3a22:d6ff:fe71:db1 选填,缺省则自动获取网关地址。
  1. 执行命令打开网口的配置文件:
    vim /etc/sysconfig/network-scripts/ifcfg-eth0 #eth0为网口名称
    Note: 修改前建议先对配置文件做备份。
  2. 添加或编辑IPv6相关参数如下,并保存配置文件。
    IPV6INIT=yes #开启IPv6
    IPV6_AUTOCONF=no #不使用IPv6地址自动配置
    IPV6ADDR=fc00:1010:32::30/64 #填写IPv6地址和前缀
    IPV6_DEFAULTGW=fc00:1010:32:0:3a22:d6ff:fe71:db1
    #填写网关地址,也可不填,自动获取
    Note: 是否开启使用IPv6地址自动配置,也可以直接写在网络的配置文件(/etc/sysconfig/network)中:
    NETWORKING_IPV6=yes #开启IPv6
    IPV6_AUTOCONF=no #不使用IPv6地址自动配置
    将对所有网口生效,拥有更高的优先级。
  3. 重启网络,使配置文件生效。
    对于CentOS7及以后的版本:
    systemctl restart network
    对于其他Redhat/CentOS版本:
    service network restart
重启后IPv6的配置将生效,请查看IPv6地址相关信息。
如未将IPV6_AUTOCONF取值为yes,则将同时存在静态IP地址和自动获取的IP地址,两个地址都可以访问。如需只保留静态IP地址,请将IPV6_AUTOCONF设置为no
部分版本下IPV6_AUTOCONF的配置修改无效,将始终开启,此时可以通过修改系统内核参数来关闭IPv6地址的自动获取:
  1. 修改系统参数配置文件:
    vim /etc/sysctl.conf
  2. 添加以下参数设置并保存:
    net.ipv6.conf.default.accept_ra=0 #对默认网口禁用自动获取
    net.ipv6.conf.all.accept_ra=0 #对所有网口禁用自动获取
    net.ipv6.conf.eth0.accept_ra=0 #对eth0网口禁用自动获取
  3. 载入内核参数:
    sysctl -p /etc/sysctl.conf
  4. 重启网络。重启后将不会再自动获取IPv6地址。

4.2.2 查看IPv6地址

查看IPv6地址

在Redhat/CentOS中查看IPv6地址有以下三种方法:
  • 使用ip命令查看:
    [root@localhost ~]# ip -6 a
    ...
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fc00:1010:32:0:3e68:f220:72f2:b1dc/64 scope global noprefixroute dynamic
    valid_lft 2591575sec preferred_lft 604375sec
    inet6 fc00:1010:32::30/64 scope global noprefixroute
    valid_lft forever preferred_lft forever
    inet6 fe80::3cee:1349:282b:fe3d/64 scope link noprefixroute
    valid_lft forever preferred_lft forever
    inet6 fe80::b403:8057:705:fde5/64 scope link tentative noprefixroute dadfailed
    valid_lft forever preferred_lft forever
  • 使用ifconfig命令查看(需要安装 net-tools):
    [root@localhost ~]# ifconfig |grep inet6
    inet6 fe80::b403:8057:705:fde5 prefixlen 64 scopeid 0x20<link>
    inet6 fc00:1010:32::30 prefixlen 64 scopeid 0x0<global>
    inet6 fc00:1010:32:0:3e68:f220:72f2:b1dc prefixlen 64 scopeid 0x0<global>
    inet6 fe80::3cee:1349:282b:fe3d prefixlen 64 scopeid 0x20<link>
  • 使用nmcli命令查看(需要安装NetworkManager),能够同时查看网关和路由:
    [root@localhost ~]# nmcli con show eth0 |grep IP6
    IP6.ADDRESS[1]: fc00:1010:32::30/64
    IP6.ADDRESS[2]: fc00:1010:32:0:3e68:f220:72f2:b1dc/64
    IP6.ADDRESS[3]: fe80::3cee:1349:282b:fe3d/64
    IP6.ADDRESS[4]: fe80::b403:8057:705:fde5/64
    IP6.GATEWAY: fc00:1010:32:0:3a22:d6ff:fe71:db1
    IP6.ROUTE[1]: dst = fc00:1010:32::/64, nh = ::, mt = 100
    IP6.ROUTE[2]: dst = ff00::/8, nh = ::, mt = 256, table=255
    IP6.ROUTE[3]: dst = fe80::/64, nh = ::, mt = 256
    IP6.ROUTE[4]: dst = fe80::/64, nh = ::, mt = 100
    IP6.ROUTE[5]: dst = ::/0, nh = fc00:1010:32:0:3a22:d6ff:fe71:db1, mt = 100
回显中的IP同时包含静态IP地址、自动获取的IP地址和链路本地地址(fe80前缀)。

查看IPv6网关

IPv6网关地址的查看,可以使用上面的ifconfig命令查看,也可以使用ip -6 neigh show在邻居中查看或使用ip -6 route show在路由中查看。

但这样查看到的网关地址条目较多,且自动获取的网关地址,将只会显示为fe80前缀的链路本地地址的格式。如需查看实际使用的网关地址,建议使用traceroute -6命令访问一个不在同一网段的IPv6地址:
traceroute -6 目标IPv6地址 [-i 本地网口名称][-s 本地IPv6地址] 
例如:
[root@localhost ~]# traceroute -6 fc00:1010:67::10 -i eth0 -s fc00:1010:32::30
traceroute to fc00:1010:67::10 (fc00:1010:67::10), 30 hops max, 80 byte packets
1 gateway (fc00:1010:32:0:3a22:d6ff:fe71:db1) 10.316 ms 10.792 ms 11.753 ms
...

其中第一个跃点的地址即为实际的IPv6网关地址。

验证IPv6网络

配置并查看IPv6地址设置之后,如需验证IPv6网络的连通性,可以使用以下命令访问其他IPv6地址:

ping6 [-I 本地网口名称] 目标IPv6地址

5 管理IPv6资产

使用IPv6地址的资产,在运维审计系统中的配置和访问,与使用IPv4地址的资产没有明显的区别。只需要保证已为运维审计系统配置IPv6地址和已为设备配置IPv6地址,并且两个地址互通。

5.1 添加IPv6资产

在添加资产时,请将资产IP参数填写为资产的IPv6地址。可以单击ping检查连通性。



5.2 添加同一资产的不同IP

如同一个资产同时配置了IPv4地址和IPv6地址,或同时配置了多个IPv6地址,可以将多个地址在运维审计系统中添加为不同的资产进行管理,例如:



可以将这些资产在资产 > 配置 > 等级配置中添加为等价资产,从而使修改其中一个资产的责任人、协议、帐号配置时,可以自动同步到另一个资产。



5.3 访问IPv6资产

运维审计系统中添加使用IPv6地址的资产和权限,并使用相应帐号登录运维审计系统的Web/RDP/SSH客户端后,可以通过资产的IPv6地址直接访问对应的资产。

通过RDP、SSH、SFTP直连资产时,如涉及IPv6地址,IPv6地址是否加中括号会根据系统环境和客户端的不同而有所差别,具体说明如下:
会话类型 运维审计系统地址 目标资产地址
RDP 可以加中括号也可不加。 不能加中括号。
SSH 部分工具或环境支持中括号,但建议统一全部不加中括号。当目标资产地址为IPv6时,无法在Windows环境下Xshell的命令行中使用ssh命令直连访问。
SFTP工具 FileZilla必须加中括号,WinSCP、Xftp可以加也可以不加。 不能加中括号。
SFTP命令 必须加中括号。 不能加中括号。

使用IPv6地址访问资产过程中的其他细节和使用IPv4地址访问没有任何区别,请参考运维审计系统Web配置指导

6 其他配置

6.1 安全证书

运维审计系统设置了IPv6地址后,需要重新生成安全证书,并重启浏览器,获取并安装安全证书。请参考运维审计系统Web配置指导完成该操作。

运维审计系统存在多个IP时,多个IP使用同一套自签名的安全证书,该证书包含了运维审计系统的不同IP。用户如使用自己的用户证书,也请参考该策略。



Note: 自动获取的IPv6地址,在证书中将仅显示为fe80前缀的链路本地地址的形式。

6.2 HA/集群

HA/集群支持使用IPv6地址,但其虚IP与各节点的实IP,必须使用同一格式,即必须都为IPv4或都为IPv6。

6.3 应用发布

应用发布服务器支持将IP配置为IPv6,也可以同时配置IPv4和IPv6的IP,但要求运维审计系统的业务网口上也有对应格式的IP。

部署中使用的IP地址格式必须全部保持一致。即用户如需使用IPv6地址登录运维审计系统并访问资产,则应用发布服务器必须使用IPv6地址,且必须将运维审计系统的IPv6地址填写在Winlogon和Agent中。对于IPv4也是一样。
Note: 用户如使用IPv4地址登录运维审计系统,并通过IPv6应用发布服务器访问数据库/应用系统资产,会造成连接很慢,可能导致连接失败。
当将应用发布服务器的IP配置为IPv6时,需要进行以下配置:
  • WinlogonWinsync允许IP中,添加应用发布服务器的IPv6 IP。如应用发布服务器同时配置了IPv4和IPv6 IP,建议将不同IP都添加到Winsync允许IP中。



    运维审计系统如存在多个IPv6地址,需要将所有IPv6地址都在Winlogon中添加。否则由于不确定使用哪个IP进行通信,Winsync同步可能会提示未设置允许IP。
  • Agent服务端IP地址设置为运维审计系统的IPv6 IP。运维审计系统同时配置了IPv4和IPv6 IP,Agent填写的IP,请和运维审计系统中填写的应用发布服务器的IP地址类型保持一致;如运维审计系统有多个IPv6 IP,可填写其中任意一个。

    应用发布服务器的Agent无需填写本地IP地址,Agent会自动选择本地IP地址进行连接。





  • 运维审计系统:在应用发布服务器菜单中,可以添加应用发布服务器的地址为IPv6 IP。如应用发布服务器和运维审计系统都同时配置了IPv4和IPv6 IP,建议填写同一类型的IP地址进行通信。。





6.4 邮件/文件/NTP/短信网关/Syslog/AD/LDAP/RADIUS服务器

运维审计系统对接的这些服务器都支持配置成IPv6格式的地址,例如:



对于不同的服务器,在运维审计系统中进行配置时IP地址的具体写法如下:
服务器类型 格式 样例
  • 文件服务器
  • NTP服务器

直接输入IPv6地址,不加中括号和端口号。

fc00:1010:32::30

  • 邮件服务器
  • Syslog服务器
  • AD/LDAP服务器
  • RADIUS服务器

格式为:[IPv6地址]:端口号,其中端口号为可选。

[fc00:1010:16:0:250:56ff:fe8f:ac65]

[fc00:1010:16::65]:25

短信网关

格式为:http://[IPv6地址]:端口号https://[IPv6地址]:端口号,其中端口号为可选。

http://[fc00:1010:67::10]:8099

https://[fc00:1010:67::10]

6.5 帐号改密

  • 如资产同时配置了IPv4、IPv6或同时配置了多个IPv6地址,使用Agent对其进行帐号改密时,需要将待改密的IP地址都配置在Agent的本地IP地址中,否则Agent上报的IP地址可能不包含目标的IP地址,造成改密失败。



  • 如将同一资产的IPv4、IPv6地址,或多个IPv6地址添加为不同的资产,改密前建议将这些资产的待改密帐号配置为等价帐号。设置等价帐号后,对其中一个帐号的改密完成后,运维审计系统将会自动同步修改所有等价帐号托管的密码。



6.6 用户登录控制

全局/个人用户登录控制中,IP地址可以设置为IPv6格式。IPv6没有类似IPv4中的地址范围的写法,只能写成下图中的网段格式,或写成指定的某个IP地址。



6.7 Windows域

Windows域支持IPv6地址,可以将域IP配置为域控服务器的IPv6地址:



如域控服务器同时存在多个IP,可以任意配置其中一个可达的IP。

7 附录

7.1 登录运维审计系统的Console

Console控制台支持通过多种方式登录。登录到控制台之后,管理员可以进行重置admin帐号、使用系统工具、修改主机名等功能。

运维审计系统的Console支持以下登录方式:
  • 显示器直连
  • SSH远程登录
  • 串口登录
登录过程中需要使用以下密码或密钥,请提前准备:
表7.1 Console密码和密钥
名称 初始值 使用场景 说明
root密钥 请联系新华三技术支持获取 SSH远程登录 修改密钥请参考Web配置指导Console控制台>配置Console控制台登录控制>更新远程访问私钥章节。
root密码 admin
  • 串口登录
  • 显示器直连
修改密码请参考Web配置指导Console控制台>使用系统工具章节。

console密码超过90天未修改,会在登录时提示,但不修改不影响使用。

HA/集群环境下,各节点使用独立的console密码。

console密码 admin 所有场景
Note: 对于E611XP02及以前的版本,无需输入console密码。

7.1.1 通过显示器直连登录Console

  • 对于硬件部署的运维审计系统:请准备一台支持VGA接口的显示器、VGA连接线、键盘,将显示器和键盘直接连接到设备上登录进行操作。
  • 对于虚拟化部署的运维审计系统:可以直接通过虚拟机控制台进行操作。
  1. 通过显示器/虚拟机控制台访问运维审计系统
  2. 输入用户名root及其密码,请参考Console密码和密钥表格,并按回车。




  3. 输入console的登录密码,请参考Console密码和密钥表格,完成后按回车,进入Console主菜单。
    Note: 密码输入超时或错误3次后,可以选择通过challenge进入。请联系新华三技术支持人员并提供显示的User Code,获取challenge码。
完成后进入Console主菜单,可以执行菜单选项进行控制台管理,或者输入q并按回车退出登录。



7.1.2 通过串口登录Console

如使用串口登录Console,需要提前准备Xshell等支持串口登录的工具。
本文以Xshell为例介绍串口登录步骤,Putty的配置与Xshell基本相同。
  1. 将本地PC和运维审计系统通过串口线相连。
  2. 在Xshell主界面,选择文件 > 新建,新建一个连接。
  3. 协议设置为SERIAL




  4. 在左侧选择SERIAL,设置串口属性。
    使用Xshell时,全部使用以下默认值即可。
    • Port:COM1
    • Baud rate:9600
    • Data bits:8
    • Stop bits:1
    • Parity:None
    • Flow Control:None




  5. 输入用户名root及其密码,请参考Console密码和密钥表格,并按回车。




  6. 输入console的登录密码,请参考Console密码和密钥表格,完成后按回车,进入Console主菜单。
    Note: 密码输入超时或错误3次后,可以选择通过challenge进入。请联系新华三技术支持人员并提供显示的User Code,获取challenge码。
完成后进入Console主菜单,可以执行菜单选项进行控制台管理,或者输入q并按回车退出登录。



7.1.3 通过SSH远程登录Console

使用SSH远程登录Console,需要提前准备Xshell等支持SSH协议的工具。

另外还需要满足以下前提条件:

  • 已为运维审计系统分配了IP,并且和本地客户端的网络相连通。
  • 运维审计系统的TCP/8022端口可用,未受到防火墙限制。
  • 运维审计系统默认禁用通过SSH登录Console控制台,登录前已在Web界面的系统设置 > 系统 > 系统状态中设置sshd外部访问参数为开启
  • 已获取用于登录运维审计系统的私钥,请参考Console密码和密钥表格。
本文以Xshell为例介绍登录步骤。
  1. 在Xshell主界面,选择文件 > 新建,新建一个SSH连接。
  2. 连接菜单设置会话以下属性:
    • 名称:用户自定义的连接名称
    • 协议:SSH
    • 主机运维审计系统的IP地址
    • 端口号:8022




  3. 连接 > 用户身份验证菜单,配置以下属性,并单击连接
    • 方法:Public Key
    • 用户名:root
    • 用户密钥:选择已获取的用于登录的私钥
    • 密码:默认为空




  4. 输入console的登录密码,完成后按回车,进入Console主菜单。




    Note: 密码输入超时或错误3次后,可以选择通过challenge进入。请联系新华三技术支持人员并提供显示的User Code,获取challenge码。
完成后进入Console主菜单,可以执行菜单选项进行控制台管理,或者输入q并按回车退出登录。



7.2 使用Chrome和IE无法访问IPv6地址

在Chrome或IE浏览器中输入IPv6地址并访问时,提示无法访问此网站。

7.2.1 Chrome浏览器未打开IPv6开关

低版本的Chrome浏览器,并非默认支持IPv6,需要打开IPv6开关才能访问IPv6地址。

  1. 在Chrome浏览器地址栏中输入chrome://net-internals/dns#dns并跳转到该地址。
  2. 查看是否有Enable IPv6按钮。
    • 是,3
    • 排查其他原因。
  3. 单击Enable IPv6启用IPv6,并重新访问IPv6地址。

7.2.2 用户的网络设置了不支持IPv6的代理

用户的网络如果设置了代理,且该代理不支持IPv6,在浏览器中访问IPv6地址将失败。IE和Chrome使用的是同一代理设置。

  1. 在IE浏览器中单击Internet选项,或在Chrome浏览器中选择设置 > 系统 > 打开代理设置打开Internet选项连接菜单。




  2. 单击局域网设置,查看是否启用了自动设置或设置了代理服务器。
    • 是,去勾选所有选项,保存后重新访问IPv6地址。
    • 否,排除其他原因。




7.3 使用Firefox无法访问IPv6地址

在Firefox浏览器中输入IPv6地址并访问时,提示无法访问此网站。

7.3.1 Firefox未启用IPv6 DNS

Firefox的network.dns.disableIPv6开关开启,禁用了IPv6。

  1. 在Firefox浏览器地址栏中输入about:config并跳转到该地址。
  2. 找到network.dns.disableIPv6参数,检查其取值是否为true
    • 是,双击该参数,将其修改为false,并重新访问IPv6地址。
    • 否,排查其他原因。




7.3.2 Firefox设置了不支持IPv6的代理

Firefox如果设置了使用代理,且该代理不支持IPv6,在Firefox中访问IPv6地址将失败。

  1. 在Firefox浏览器中,选择选项 > 高级 > 网络,单击设置




  2. 检查是否启用了自动或手动的代理设置。
    • 是,选中不使用代理,保存后重新访问IPv6地址。
    • 否,排查其他原因。




    Note: 如该界面选项灰化,无法修改,是因为锁定了相关选项的设置。请在Firefox的安装路径下,打开mozilla.cfg文件,并将lockPref相关语句删除或注释掉。修改保存后,重启Firefox并修改代理设置。



联系我们