Citrix ADC

Konfigurieren von IPv6 OSPF

IPv6 OSPF oder OSPF Version 3 (OSPF v3) ist ein Verbindungsstatusprotokoll, das zum Austausch von IPv6-Routinginformationen verwendet wird. Nachdem Sie IPv6 OSPF aktiviert haben, müssen Sie die Ankündigung von IPv6-OSPF-Routen konfigurieren. Zur Fehlerbehebung können Sie die IPv6-OSPF-Propagierung einschränken. Sie können IPv6-OSPF-Einstellungen anzeigen, um die Konfiguration zu überprüfen.

Voraussetzungen für IPv6 OSPF

Bevor Sie mit der Konfiguration von IPv6 OSPF beginnen, gehen Sie wie folgt vor:

  • Stellen Sie sicher, dass Sie das IPv6-OSPF-Protokoll verstehen.
  • Installieren Sie die IPv6pt-Lizenz auf der Citrix ADC Appliance.
  • Aktivieren Sie die IPv6-Funktion.

Werbung für IPv6-Routen

IPv6 OSPF ermöglicht einem Upstream-Router den Lastausgleich zwischen zwei identischen vServern, die auf zwei eigenständigen Citrix ADC Geräten gehostet werden. Routenwerbung ermöglicht es einem Upstream-Router, Netzwerkentitäten zu verfolgen, die sich hinter dem Citrix ADC befinden.

So konfigurieren Sie IPv6 OSPF für die Ankündigung von IPv6-Routen mithilfe der VTYSH Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehle Gibt an
VTYSH Zeigt die VTYSH Eingabeaufforderung an.
Terminal konfigurieren Geben Sie den globalen Konfigurationsmodus ein.
router ipv6 OSPF Starten Sie den IPv6-OSPF-Routing-Prozess und wechseln Sie in den Konfigurationsmodus für den Routing-Prozess.
redistribute static Verteilen Sie statische Routen.
redistribute kernel Verteilen Sie Kernel-Routen neu.

Beispiel:


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# redistribute static
NS(config-router)# redistribute kernel

Einschränken von IPv6-OSPF-Propagierungen

Wenn Sie Ihre Konfiguration beheben müssen, verwenden Sie VTYSH, um den Nur-Listenmodus in einem bestimmten VLAN zu konfigurieren.

So beschränken Sie die IPv6-OSPF-Propagierung mithilfe der VTYSH Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehle Gibt an
VTYSH Zeigt die VTYSH Eingabeaufforderung an.
Terminal konfigurieren Geben Sie den globalen Konfigurationsmodus ein.
router ipv6 OSPF Starten Sie den IPv6-OSPF-Routing-Prozess und wechseln Sie in den Konfigurationsmodus für den Routing-Prozess.
passive-interface < vlan_name > Unterdrücken Sie Routing-Updates auf Schnittstellen, die an das angegebene VLAN gebunden sind.

Beispiel:


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# passive-interface VLAN0

Überprüfen der IPv6-OSPF-Konfiguration

Sie verwenden VTYSH, um IPv6 OSPF-aktuelle Nachbarn und IPv6 OSPF-Routen anzuzeigen.

So zeigen Sie die IPv6-OSPF-Einstellungen mithilfe der VTYSH Befehlszeile an:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Gibt an
VTYSH Zeigt die VTYSH Eingabeaufforderung an.
sh ipv6 OSPF neighbor Aktuelle Nachbarn anzeigen.
sh ipv6 OSPF route Anzeige von IPv6-OSPF-Routen.

Beispiel:


>VTYSH
NS# sh ipv6 OSPF neighbor
NS# sh ipv6 OSPF route

OSPFv3-Authentifizierung

Um die Integrität, die Datenursprungauthentifizierung und die Datenvertraulichkeit von OSPFv3-Paketen sicherzustellen, muss die OSPFv3-Authentifizierung auf OSPFv3-Peers konfiguriert werden.

Die Citrix ADC Appliance unterstützt die OSPFv3-Authentifizierung und ist teilweise mit RFC 4552 kompatibel. Die OSPFv3-Authentifizierung basiert auf den beiden IPSec-Protokollen: Authentication Header (AH) und Encapsulating Security Payload (ESP). Die Citrix ADC Appliance unterstützt nur das AH-Protokoll für die OSPFv3-Authentifizierung.

Die OSPFv3-Authentifizierung verwendet manuell definierte IPSec-Sicherheitszuordnungen (SAs) zwischen den OSPFv3-Peers und stützt sich nicht auf das IKE-Protokoll für die Bildung dynamischer SAs. Manuelle SAs definieren die Werte des Sicherheitsparameters Index (SPI), Algorithmen und Schlüssel, die zwischen den Peers verwendet werden sollen. Manuelle SAs erfordern keine Verhandlung zwischen den Peers. Daher muss für beide Peers dieselbe SA definiert werden.

Sie können die OSPFv3-Authentifizierung auf einem VLAN oder für einen OSPFv3-Bereich konfigurieren. Wenn Sie für ein VLAN konfigurieren, werden die Einstellungen auf alle Schnittstellen angewendet, die Mitglieder des VLAN sind. Wenn Sie die OSPFv3-Authentifizierung für einen OSPF-Bereich konfigurieren, werden die Einstellungen auf alle VLANs in diesem Bereich angewendet. Die Einstellungen werden wiederum auf alle Schnittstellen angewendet, die Mitglieder dieser VLANs sind. Diese Einstellungen gelten nicht für Mitglieds-VLANs, für die Sie die OSPFv3-Authentifizierung direkt konfiguriert haben.

Berücksichtigen Sie die folgenden Punkte und Einschränkungen, bevor Sie die OSPFv3-Authentifizierung auf einer Citrix ADC Appliance konfigurieren:

  • Stellen Sie sicher, dass Sie die verschiedenen Komponenten der OSPFv3-Authentifizierung kennen, die in RFC 4552 beschrieben sind.
  • Für die OSPFv3-Authentifizierung wird nur das Authentifizierungs-Header-Protokoll unterstützt. Encapsulating Security Payload (ESP) wird nicht unterstützt.
  • Sie müssen eine SA mit derselben Einstellung auf der Peer-Schnittstelle definieren.
  • Die Wiederholung von manuellen Schlüsseln wird nicht unterstützt.

So konfigurieren Sie die OSPFv3-Authentifizierung auf einem VLAN mithilfe der VTYSH Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein: OSPFv3-Authentifizierungs-VLAN-Befehle.

Beispiel:

> VTYSH NS# configure terminal
NS(config)# interface vlan2
NS(config-if)# ipv6 ospf authentication ipsec spi 256 md5 123456789ABCDEF0123456789ABCDEF0

So konfigurieren Sie die OSPFv3-Authentifizierung in einem OSPF-Bereich mithilfe der VTYSH Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein: OSPFv3-Authentifizierung OSPF-Bereichsbefehle.

Beispiel:

> VTYSH NS# configure terminal
ns(config)#router ipv6 ospf 30
ns(config-router)# area 1 authentication ipsec spi 256 md5123456789ABCDEF0123456789ABCDEF0

Konfigurieren des ordnungsgemäßen Neustarts für IPv6 OSPF

In einem Nicht-INC-Hochverfügbarkeits-Setup (HA), in dem ein Routingprotokoll konfiguriert ist, werden nach einem Failover Routingprotokolle konvergiert und Routen zwischen dem neuen primären Knoten und den benachbarten Nachbarroutern gelernt. Das Routenlernen dauert einige Zeit, bis es abgeschlossen ist. Während dieser Zeit verzögert sich die Weiterleitung von Paketen, die Netzwerkleistung kann unterbrochen werden und Pakete können gelöscht werden.

Ein ordnungsgemäßen Neustart ermöglicht es einem HA-Setup während eines Failovers, die benachbarten Router darauf hinzuweisen, die erlernten Routen des alten primären Knotens nicht aus den Routingdatenbanken zu entfernen. Mit den Routinginformationen des alten primären Knotens beginnen der neue primäre Knoten und die angrenzenden Router sofort Pakete weiterzuleiten, ohne die Netzwerkleistung zu beeinträchtigen.

Um einen ordnungsgemäßigen Neustart für IPv6 OSPF mithilfe der VTYSH Befehlszeile zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Beispiel Beschreibung des Befehls
VTYSH > VTYSH Gibt die VTYSH Eingabeaufforderung ein.
Terminal konfigurieren NS# configure terminal Wechselt zum globalen Konfigurationsmodus.
router-id id> NS(config)#router-id 1.1.1.1 Legt eine Router-ID für die Citrix ADC Appliance fest. Dieser Bezeichner wird für alle dynamischen Routingprotokolle festgelegt. Die gleiche ID muss auf dem anderen Knoten in einem Hochverfügbarkeits-Setup angegeben werden, damit ein ordnungsgemäßer Neustart in der HA eingerichtet ist.
IPv6ospf restart grace-period <1-1800> NS(config)# IPv6ospf restart grace-period 170 Gibt die Kulanzzeit in Sekunden an, für die die Routen in den Hilfsgeräten beibehalten werden sollen. Standardwert: 120 Sekunden.
IPv6 ospf restart helper max-grace-period <1-1800> NS(config)# IPv6 ospf restart helper max-grace-period 180 Dies ist ein optionaler Befehl, um die maximale Kulanzzeit zu begrenzen, für die sich die Citrix ADC Appliance im Hilfsmodus befindet. Wenn die Citrix ADC-Appliance eine undurchsichtige LSA empfängt, deren Grace-Periode größer ist als die festgelegte Helper-Max-Grace-Periode, wird die LSA verworfen und der Citrix ADC wird nicht in den Hilfsmodus versetzt.
interface <VLANID> NS(config)#interface vlan3 Wechselt zum VLAN-Konfigurationsmodus.
ipv6 router ospf area <area_id> tag <tag_id> NS(config-if)#ipv6 router ospf area 0 tag 1 Startet IPv6 OSPF-Routingprozess auf einem VLAN.
exit NS(config-if)#exit Beendet den VLAN-Konfigurationsmodus.
router ipv6 ospf NS(config)# router ipv6 ospf 1 Startet den IPv6-OSPF-Routingprozess und wechselt in den Konfigurationsmodus für den Routingprozess.
capability restart graceful NS(config-router)#capability restart graceful Aktiviert einen ordnungsgemäßen Neustart des IPv6-OSPF-Routingprozesses.
redistribute kernel NS(config-router)# redistribute kernel Verteilt Kernel-Routen neu.

Konfigurieren von IPv6 OSPF