手册下载
H3C SecPath A2000-G[AK][V][G510][Cloud]系列运维审计系统 IPv6配置指导(E6111_E6112_R6113)-6W113-整本手册.pdf (1.10 MB)
本文档介绍并指导用户完成运维审计系统涉及的IPv6相关配置。
本文档主要针对使用IPv6时相对于使用IPv4时的不同点进行说明。详细的配置指导,请参考其他手册。
格式 | 说明 |
---|---|
粗体 | 各类界面控件名称采用加粗字体表示,如单击确定。 |
> | 多级菜单用 > 隔开。如选择用户管理菜单下的用户列表子菜单。 | ,表示选择
运维审计系统支持用户将运维审计系统的IP地址配置为IPv6地址,也支持管理地址为IPv6格式的资产。另外,系统设置中一些涉及IP配置的地方,也都可以使用IPv6地址。
本文档的后续章节将对以上配置操作进行指导。本章节将先介绍IPv6的一些基本知识,以便于用户对于IPv6有所了解。
IPv6(Internet Protocol version 6),即网际协议第6版,是网际协议的最新版本,目标是取代IPv4,从而解决IPv4的地址枯竭问题,并实现一些其他方面的改进。
运维审计系统支持以上所有写法的IPv6地址格式。
IPv6的地址获取,一般使用无状态地址自动配置(SLAAC),即路由通告。当连接到IPv6网络上时,IPv6主机可以使用邻居发现协议对自身进行自动配置。当第一次连接到网络上时,主机发送一个链路本地路由器请求(solicitation)多播请求来获取配置参数。路由器使用包含Internet层配置参数的路由器通告(advertisement)报文进行回应。
在不适合使用IPv6无状态地址自动配置的场景下,网络可以使用有状态配置。包括配置静态IP地址或使用DHCPv6。
运维审计系统支持以上三种IPv6地址的获取方式。建议直接使用路由通告自动获取地址,如需配置静态地址则手动进行配置。不建议用户使用DHCPv6,本文档将不对其进行介绍。
IPv6地址和IPv4地址的互通,需要使用双栈路由器、隧道、NAT-PT等方法。本文档默认不实现IPv4和IPv6的互通,即要求本地PC、运维审计系统、资产、对接的服务器必须都配置IPv6地址,或使用IPv4和IPv6双栈,如用户实现了IPv4和IPv6的互通,则不受此限制。
IPv6通常使用路由通告来实现IP地址的自动分配。运维审计系统默认支持IPv6路由通告,且不能关闭。当将运维审计系统接入配置了路由通告的IPv6路由器所管理的网络时,将会自动获得IP地址,该地址为唯一本地地址格式,前缀一般为fc或fd。
如自动获取IP地址,请查看IPv6地址并使用IPv6地址访问运维审计系统;如需为运维审计系统配置静态IPv6地址,请参考手动配置IPv6地址和路由(可选)。
运维审计系统的IPv4地址为必配,IPv6地址为选配。因此在进行安装部署时,就需要完成IPv4地址的配置。IPv6地址的配置可以在安装部署时就完成配置,也可以在完成安装部署后使用IPv4地址登录运维审计系统并完成IPv6的配置。
查看运维审计系统的IPv6地址有两种方法:在Web界面中查看、在Console控制台菜单中查看。本节将分别介绍在Web界面和在Console菜单中查看IPv6地址的方法。
Main Menu:
1. Date and Time
2. Network Configuration
3. H3C Tools
R. Reset admin
S. SSHD Management
N. Nginx Management
A. ACL Management
U. User Connection
T. System Tools
Enter selection: 2
Network Configuration:
1. GE0/0
R. Routes
S. Device Status
B. Device Bonding
D. Default IPV4 Gateway
G. Default IPV6 Gateway
C. IPV6 Auto Config: Enable
H. Host Info
N. Cleanup Net Device Config
0. Return
DISPLAY显示了当前的静态IP地址或使用DHCP自动获取的IP地址,以及通过IPv6路由通告获取的IP地址。
Network Configuration:
1. IP Address : 10.2.105.5
2. Netmask : 255.255.0.0
3. IPV6 Address :fc00:1002::5/64
4. DNS1 :
5. DNS2 :
6. DISPLAY :10.2.105.5 fc00:1002::5/64fc00:1002::250:56ff:feb4:23e9 fe80::250:56ff:feb4:23e9
C. Clear all
0. Return
New IPV6 Address : fc00:1002::5/64
图中IP地址分别为:
使用自动获取IPv6地址时,请跳过本节内容。
运维审计系统默认支持IPv6路由通告,一般情况下用户可以使用自动获取的IPv6地址作为运维审计系统的IP地址并进行访问。如需使用静态IPv6地址,需要进行手动配置,本节将对配置静态IPv6地址的方法进行介绍。
如需关闭IPv6的路由通告自动配置,请在Console菜单中选择
。配置静态IP地址有两种方法,在Web界面中配置和在Console控制台菜单中配置,本节将分别进行介绍。
完成静态IP的配置之后,如路由器使用了路由通告,运维审计系统仍将自动获取IPv6动态地址,业务网口上将同时存在静态IP地址、动态IP地址和链路本地地址。其中静态IP和动态IP都可以用来访问运维审计系统。
如需访问其他网段,用户可以在Web界面或Console控制台中手动添加静态路由配置。
参数 | 举例 | 说明 |
---|---|---|
网口 | GE0/0 | 选择业务网口的名称。 |
方式 | 静态 | IP配置为静态IP。DHCPv6使用较少,本文档将不进行介绍。 |
IPv6 | fc00:1002::5 | 格式为全球单播地址或唯一本地地址。需要配置在网关同一网段内。 |
IPv6前缀 | 64 | 选填,缺省为64。 |
IPv6缺省网关 | fc00:1002::1 | 选填,缺省则自动获取网关地址。 |
路由目标地址 | fc00:1010:67::/64 | 通过路由访问的目标地址,可以是具体的IP,也可以是网段/掩码前缀的形式。 |
路由网关地址 | fc00:1010:32:0:ec4:7aff:fe96:b430 | 路由转发地址,填写网关的具体IP。 |
Network Configuration:
1. GE0/0
R. Routes
S. Device Status
B. Device Bonding
D. Default IPV4 Gateway
G. Default IPV6 Gateway
C. IPV6 Auto Config: Enable
H. Host Info
A. Add Net Device
0. Return
Network Configuration:
1. IP Address : 10.2.105.5
2. Netmask : 255.255.0.0
3. IPV6 Address :
4. DNS1 :
5. DNS2 :
6. DISPLAY
C. Clear all
0. Return
New IPV6 Address : fc00:1002::5/64
Network Configuration:
1. IP Address : 10.2.105.5
2. Netmask : 255.255.0.0
3. IPV6 Address : ==> fc00:1002::5/64
4. DNS1 :
5. DNS2 :
6. DISPLAY
C. Clear all
S. Submit
0. Return
Enter selection: S
Device 'GE0/0' successfully disconnected.
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/32)
Default IPV6 Gateway:
1. IPV6 Gateway: fc00:1002::1 Dev: GE0/0
0. Return
Enter selection: 1
Current IPV6 Gateway: fc00:1002::1
Current IPV6 Gateway Device: GE0/0
1: GE0/0
Please input ipv6 gateway dev: 1
Please input new ipv6 gateway: fc00:1002::1
Make new gateway effective?[y/n] y
Config gateway, please wait
Routes:
A. Add
R. Remove
D. Display Route
S. Submit
0. Return
Enter selection: A
Please input route (target[/netmask or masklen],gateway): fc00:1010:67::/64,fc00:1010:32:0:ec4:7aff:fe96:b430
Are you sure (fc00:1010:67::/64,fc00:1010:32:0:ec4:7aff:fe96:b430) ? (y/n)y
使用IPv6地址访问运维审计系统,对于Web界面,在浏览器中输入https://[IPv6地址](或直接输入[IPv6地址]),例如https://[fc00:1002::5],将自动跳转到运维审计系统的Web登录界面。
输入的IPv6地址可以是自动获取的地址也可以是配置的静态IP地址。
如使用SSH客户端或RDP客户端登录运维审计系统,IPv6地址不需要加中括号,直接使用和IPv4地址同样的输入方式。
如使用SSH客户端/RDP客户端能够正常登录运维审计系统,但访问Web界面失败,有可能是浏览器的原因,请参考使用Chrome和IE无法访问IPv6地址和使用Firefox无法访问IPv6地址。
使用IPv6地址访问运维审计系统过程中的其他细节和使用IPv4地址访问没有任何区别,请参考《运维审计系统Web配置指导》。
运维审计系统支持管理使用IPv6地址的资产和对接使用IPv6地址的服务器(应用发布、NTP、LDAP、RADIUS等)。本章节将指导用户完成在这些设备上的IPv6地址配置,从而接入运维审计系统。
对于网络设备、数据库、应用系统资产,如也支持使用IPv6地址(例如Oracle数据库仅11gR2及其以上版本,weblogic仅12c版本支持IPv6),也可以在运维审计系统上添加其IPv6地址进行管理。请参考相关产品对应的配置指导进行资产的IPv6地址配置,本文档将不进行介绍。
本节指导用户在Windows设备上开启IPv6、配置IPv6地址,并查看IPv6相关配置。
netsh interface ipv6 install
netsh interface portproxy add v6tov4 listenport=3389 connectport=3389
IPv6地址建议通过路由通告方式自动获得,不建议手动设定静态地址。DNS服务器参数通常也设置为自动获取,也可以不配置,使用IPv4的DNS服务器。
本节以Windows10为例,其他Windows版本的IPv6配置和Windows10基本一致。
Windows设备的IPv6相关参数规划如下:
参数 | 举例 | 说明 |
---|---|---|
网口 | 以太网 | 进行外部通信的网口的名称。 |
方式 | 静态 | IP配置为静态IP。 |
IPv6 | fc00:1010:67::10 | 格式为全球单播地址或唯一本地地址。需要配置在网关同一网段内。 |
IPv6前缀 | 64 | 选填,缺省为64。 |
IPv6缺省网关 | fc00:1010:67:0:620b:3ff:fef0:9f61 | 选填,缺省则自动获取网关地址。 |
netsh interface ipv6 set interface 网卡名称 routerdiscovery=disabled
enabled
。执行开启或关闭命令后,无需重启网卡立即生效。查看IPv6地址
在Windows中查看IPv6地址有以下两种方法:
ipconfig
,查看IPv6相关信息:在Windows中查看IPv6网关地址,可以使用上面的ipconfig
命令查看,也可以使用netsh
interface ipv6 show neighbor
在邻居中查看或使用netsh interface ipv6
show
route
在路由中查看。
tracert
-6
命令访问一个不在同一网段的IPv6地址:tracert -6 [-S 本地IPv6地址] 目标IPv6地址
验证IPv6网络
配置并查看IPv6地址设置之后,如需验证IPv6网络的连通性,可以使用
ping -6 目标IPv6地址
本节指导用户在Linux设备上开启IPv6、配置IPv6地址,并查看IPv6相关配置。
本节仅以Redhat/CentOS为例指导完成Linux设备上IPv6的配置,其他版本的Linux配置步骤和内容上可能会有所差异,请另外查找相关指导。
IPV6INIT=yes
。Redhat/CentOS默认开启IPv6地址的自动配置。用户只需查看该地址并使用该地址进行访问。本节的步骤中将介绍配置IPv6静态地址的方法,如使用自动获取则可以跳过此步骤。
Linux设备的IPv6相关参数规划如下:
参数 | 举例 | 说明 |
---|---|---|
网口 | eth0 | 进行外部通信的网口的名称。 |
方式 | 静态 | IP配置为静态IP。 |
IPv6 | fc00:1010:32::30/64 | 格式为全球单播地址或唯一本地地址。需要配置在网关同一网段内。 |
IPv6前缀 | 64 | |
IPv6缺省网关 | fc00:1010:32:0:3a22:d6ff:fe71:db1 | 选填,缺省则自动获取网关地址。 |
vim /etc/sysconfig/network-scripts/ifcfg-eth0 #eth0为网口名称
IPV6INIT=yes #开启IPv6
IPV6_AUTOCONF=no #不使用IPv6地址自动配置
IPV6ADDR=fc00:1010:32::30/64 #填写IPv6地址和前缀
IPV6_DEFAULTGW=fc00:1010:32:0:3a22:d6ff:fe71:db1
#填写网关地址,也可不填,自动获取
NETWORKING_IPV6=yes #开启IPv6
IPV6_AUTOCONF=no #不使用IPv6地址自动配置
将对所有网口生效,拥有更高的优先级。systemctl restart network
对于其他Redhat/CentOS版本:service network restart
vim /etc/sysctl.conf
net.ipv6.conf.default.accept_ra=0 #对默认网口禁用自动获取
net.ipv6.conf.all.accept_ra=0 #对所有网口禁用自动获取
net.ipv6.conf.eth0.accept_ra=0 #对eth0网口禁用自动获取
sysctl -p /etc/sysctl.conf
查看IPv6地址
在Redhat/CentOS中查看IPv6地址有以下三种方法:[root@localhost ~]# ip -6 a
...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fc00:1010:32:0:3e68:f220:72f2:b1dc/64 scope global noprefixroute dynamic
valid_lft 2591575sec preferred_lft 604375sec
inet6 fc00:1010:32::30/64 scope global noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::3cee:1349:282b:fe3d/64 scope link noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::b403:8057:705:fde5/64 scope link tentative noprefixroute dadfailed
valid_lft forever preferred_lft forever
[root@localhost ~]# ifconfig |grep inet6
inet6 fe80::b403:8057:705:fde5 prefixlen 64 scopeid 0x20<link>
inet6 fc00:1010:32::30 prefixlen 64 scopeid 0x0<global>
inet6 fc00:1010:32:0:3e68:f220:72f2:b1dc prefixlen 64 scopeid 0x0<global>
inet6 fe80::3cee:1349:282b:fe3d prefixlen 64 scopeid 0x20<link>
[root@localhost ~]# nmcli con show eth0 |grep IP6
IP6.ADDRESS[1]: fc00:1010:32::30/64
IP6.ADDRESS[2]: fc00:1010:32:0:3e68:f220:72f2:b1dc/64
IP6.ADDRESS[3]: fe80::3cee:1349:282b:fe3d/64
IP6.ADDRESS[4]: fe80::b403:8057:705:fde5/64
IP6.GATEWAY: fc00:1010:32:0:3a22:d6ff:fe71:db1
IP6.ROUTE[1]: dst = fc00:1010:32::/64, nh = ::, mt = 100
IP6.ROUTE[2]: dst = ff00::/8, nh = ::, mt = 256, table=255
IP6.ROUTE[3]: dst = fe80::/64, nh = ::, mt = 256
IP6.ROUTE[4]: dst = fe80::/64, nh = ::, mt = 100
IP6.ROUTE[5]: dst = ::/0, nh = fc00:1010:32:0:3a22:d6ff:fe71:db1, mt = 100
查看IPv6网关
IPv6网关地址的查看,可以使用上面的ifconfig
命令查看,也可以使用ip
-6 neigh show
在邻居中查看或使用ip -6 route
show
在路由中查看。
traceroute
-6
命令访问一个不在同一网段的IPv6地址:traceroute -6 目标IPv6地址 [-i 本地网口名称][-s 本地IPv6地址]
[root@localhost ~]# traceroute -6 fc00:1010:67::10 -i eth0 -s fc00:1010:32::30
traceroute to fc00:1010:67::10 (fc00:1010:67::10), 30 hops max, 80 byte packets
1 gateway (fc00:1010:32:0:3a22:d6ff:fe71:db1) 10.316 ms 10.792 ms 11.753 ms
...
其中第一个跃点的地址即为实际的IPv6网关地址。
验证IPv6网络
配置并查看IPv6地址设置之后,如需验证IPv6网络的连通性,可以使用以下命令访问其他IPv6地址:
ping6 [-I 本地网口名称] 目标IPv6地址
使用IPv6地址的资产,在运维审计系统中的配置和访问,与使用IPv4地址的资产没有明显的区别。只需要保证已为运维审计系统配置IPv6地址和已为设备配置IPv6地址,并且两个地址互通。
在运维审计系统中添加使用IPv6地址的资产和权限,并使用相应帐号登录运维审计系统的Web/RDP/SSH客户端后,可以通过资产的IPv6地址直接访问对应的资产。
通过RDP、SSH、SFTP直连资产时,如涉及IPv6地址,IPv6地址是否加中括号会根据系统环境和客户端的不同而有所差别,具体说明如下:会话类型 | 运维审计系统地址 | 目标资产地址 |
---|---|---|
RDP | 可以加中括号也可不加。 | 不能加中括号。 |
SSH | 部分工具或环境支持中括号,但建议统一全部不加中括号。当目标资产地址为IPv6时,无法在Windows环境下Xshell的命令行中使用ssh命令直连访问。 | |
SFTP工具 | FileZilla必须加中括号,WinSCP、Xftp可以加也可以不加。 | 不能加中括号。 |
SFTP命令 | 必须加中括号。 | 不能加中括号。 |
使用IPv6地址访问资产过程中的其他细节和使用IPv4地址访问没有任何区别,请参考《运维审计系统Web配置指导》。
为运维审计系统设置了IPv6地址后,需要重新生成安全证书,并重启浏览器,获取并安装安全证书。请参考《运维审计系统Web配置指导》完成该操作。
HA/集群支持使用IPv6地址,但其虚IP与各节点的实IP,必须使用同一格式,即必须都为IPv4或都为IPv6。
应用发布服务器支持将IP配置为IPv6,也可以同时配置IPv4和IPv6的IP,但要求运维审计系统的业务网口上也有对应格式的IP。
应用发布服务器的Agent无需填写本地IP地址,Agent会自动选择本地IP地址进行连接。
服务器类型 | 格式 | 样例 |
---|---|---|
|
直接输入IPv6地址,不加中括号和端口号。 |
fc00:1010:32::30 |
|
格式为:[IPv6地址]:端口号,其中端口号为可选。 |
[fc00:1010:16:0:250:56ff:fe8f:ac65] [fc00:1010:16::65]:25 |
短信网关 |
格式为:http://[IPv6地址]:端口号或https://[IPv6地址]:端口号,其中端口号为可选。 |
http://[fc00:1010:67::10]:8099 https://[fc00:1010:67::10] |
Console控制台支持通过多种方式登录。登录到控制台之后,管理员可以进行重置admin帐号、使用系统工具、修改主机名等功能。
名称 | 初始值 | 使用场景 | 说明 |
---|---|---|---|
root密钥 | 请联系新华三技术支持获取 | SSH远程登录 | 修改密钥请参考《Web配置指导》的Console控制台>配置Console控制台登录控制>更新远程访问私钥章节。 |
root密码 | admin |
|
修改密码请参考《Web配置指导》的Console控制台>使用系统工具章节。 console密码超过90天未修改,会在登录时提示,但不修改不影响使用。 HA/集群环境下,各节点使用独立的console密码。 |
console密码 | admin | 所有场景 |
另外还需要满足以下前提条件:
在Chrome或IE浏览器中输入IPv6地址并访问时,提示无法访问此网站。
低版本的Chrome浏览器,并非默认支持IPv6,需要打开IPv6开关才能访问IPv6地址。
用户的网络如果设置了代理,且该代理不支持IPv6,在浏览器中访问IPv6地址将失败。IE和Chrome使用的是同一代理设置。
在Firefox浏览器中输入IPv6地址并访问时,提示无法访问此网站。
Firefox的network.dns.disableIPv6开关开启,禁用了IPv6。
Firefox如果设置了使用代理,且该代理不支持IPv6,在Firefox中访问IPv6地址将失败。