Citrix ADC

Konfigurieren von IPv6 OSPF

IPv6 OSPF oder OSPF Version 3 (OSPF v3) ist ein Link-State-Protokoll, das zum Austausch von IPv6-Routing-Informationen verwendet wird. Nachdem Sie IPv6-OSPF aktiviert haben, müssen Sie die Ankündigung von IPv6-OSPF-Routen konfigurieren. Zur Fehlerbehebung können Sie die IPv6-OSPF-Ausbreitung einschränken. Sie können IPv6-OSPF-Einstellungen anzeigen, um die Konfiguration zu überprüfen.

Voraussetzungen für IPv6 OSPF

Bevor Sie mit der Konfiguration von IPv6 OSPF beginnen, gehen Sie wie folgt vor:

  • Stellen Sie sicher, dass Sie das IPv6-OSPF-Protokoll verstehen.
  • Installieren Sie die IPv6PT-Lizenz auf der Citrix ADC Appliance.
  • Aktivieren Sie die IPv6-Funktion.

Werbung für IPv6-Strecken

IPv6-OSPF ermöglicht einem Upstream-Router den Lastenausgleich zwischen zwei identischen vServern, die auf zwei eigenständigen Citrix ADC-Geräten gehostet werden. Routenwerbung ermöglicht es einem Upstream-Router, Netzwerkentitäten zu verfolgen, die sich hinter dem Citrix ADC befinden.

So konfigurieren Sie IPv6-OSPF für die Beankündigen von IPv6-Routen mithilfe der VTYSH-Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehle Spezifiziert
VTYSH Zeigt VTYSH-Eingabeaufforderung an.
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
Router ipv6 OSPF Starten Sie den IPv6-OSPF-Routing-Prozess und wechseln Sie in den Konfigurationsmodus für den Routing-Prozess.
redistribute static Verteilen Sie statische Routen neu.
redistribute kernel Verteilen Sie Kernel-Routen neu.

Beispiel:


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# redistribute static
NS(config-router)# redistribute kernel
<!--NeedCopy-->

Beschränken von IPv6-OSPF-Propagierungen

Wenn Sie Ihre Konfiguration beheben müssen, verwenden Sie VTYSH, um den Nur-Listen-Modus für ein bestimmtes VLAN zu konfigurieren.

So beschränken Sie die IPv6-OSPF-Weitergabe mithilfe der VTYSH-Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehle Spezifiziert
VTYSH Zeigt VTYSH-Eingabeaufforderung an.
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
Router ipv6 OSPF Starten Sie den IPv6-OSPF-Routing-Prozess und wechseln Sie in den Konfigurationsmodus für den Routing-Prozess.
passiv-schnittstelle < vlan_name > Unterdrückt Routing-Aktualisierungen an Schnittstellen, die an das angegebene VLAN gebunden sind.

Beispiel:


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# passive-interface VLAN0
<!--NeedCopy-->

Überprüfung der IPv6-OSPF-Konfiguration

Sie verwenden VTYSH, um aktuelle IPv6-OSPF-Nachbarn und IPv6-OSPF-Routen anzuzeigen.

So zeigen Sie die IPv6-OSPF-Einstellungen mithilfe der VTYSH-Befehlszeile an:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Spezifiziert
VTYSH Zeigt VTYSH-Eingabeaufforderung an.
sh ipv6 OSPF Nachbar Zeigt aktuelle Nachbarn an.
sh ipv6 OSPF-Route IPv6-OSPF-Routen anzeigen.

Beispiel:


>VTYSH
NS# sh ipv6 OSPF neighbor
NS# sh ipv6 OSPF route
<!--NeedCopy-->

OSPFv3-Authentifizierung

Um die Integrität, Datenherkunftsauthentifizierung und Datenvertraulichkeit von OSPFv3-Paketen sicherzustellen, muss die OSPFv3-Authentifizierung auf OSPFv3-Peers konfiguriert werden.

Die Citrix ADC Appliance unterstützt die OSPFv3-Authentifizierung und ist teilweise mit RFC 4552 kompatibel. Die OSPFv3-Authentifizierung basiert auf den beiden IPSec-Protokollen: Authentication Header (AH) und Encapsulating Security Payload (ESP). Die Citrix ADC Appliance unterstützt nur das AH-Protokoll für die OSPFv3-Authentifizierung.

Die OSPFv3-Authentifizierung verwendet manuell definierte IPSec-Sicherheitszuordnungen (SAs) zwischen den OSPFv3-Peers und stützt sich nicht auf das IKE-Protokoll für die Bildung dynamischer SAs. Manuelle SAs definieren die Sicherheitsparameter Index (SPI) -Werte, Algorithmen und Schlüssel, die zwischen den Peers verwendet werden sollen. Manuelle SAs erfordern keine Verhandlungen zwischen den Peers. Daher muss dieselbe SA für beide Peers definiert werden.

Sie können die OSPFv3-Authentifizierung in einem VLAN oder für einen OSPFv3-Bereich konfigurieren. Bei der Konfiguration für ein VLAN werden die Einstellungen auf alle Schnittstellen angewendet, die Mitglieder des VLAN sind. Wenn Sie die OSPFv3-Authentifizierung für einen OSPF-Bereich konfigurieren, werden die Einstellungen auf alle VLANs in diesem Bereich angewendet. Die Einstellungen werden wiederum auf alle Schnittstellen angewendet, die Mitglieder dieser VLANs sind. Diese Einstellungen gelten nicht für Mitglieds-VLANs, für die Sie die OSPFv3-Authentifizierung direkt konfiguriert haben.

Beachten Sie die folgenden Punkte und Einschränkungen, bevor Sie die OSPFv3-Authentifizierung auf einer Citrix ADC Appliance konfigurieren:

  • Stellen Sie sicher, dass Sie die verschiedenen Komponenten der OSPFv3-Authentifizierung verstehen, die in RFC 4552 beschrieben sind.
  • Für die OSPFv3-Authentifizierung wird nur das Authentifizierungs-Header-Protokoll unterstützt. Capsulating Security Payload (ESP) wird nicht unterstützt.
  • Sie müssen eine SA mit derselben Einstellung auf der Peer-Schnittstelle definieren.
  • Das erneute Keying von manuellen Tasten wird nicht unterstützt.

So konfigurieren Sie die OSPFv3-Authentifizierung auf einem VLAN über die VTYSH Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angezeigten Reihenfolge ein: VLAN-Befehle zur OspFv3-Authentifizierung.

Beispiel:

> VTYSH NS# configure terminal
NS(config)# interface vlan2
NS(config-if)# ipv6 ospf authentication ipsec spi 256 md5 123456789ABCDEF0123456789ABCDEF0
<!--NeedCopy-->

So konfigurieren Sie die OSPFv3-Authentifizierung in einem OSPF-Bereich über die VTYSH Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angezeigten Reihenfolge ein: OSPFv3-Authentifizierung OSPF-Bereichsbefehle.

Beispiel:

> VTYSH NS# configure terminal
ns(config)#router ipv6 ospf 30
ns(config-router)# area 1 authentication ipsec spi 256 md5123456789ABCDEF0123456789ABCDEF0
<!--NeedCopy-->

Konfigurieren des ordnungsgemäßen Neustarts für IPv6 OSPF

In einem Nicht-INC-Hochverfügbarkeits-Setup (HA), in dem ein Routingprotokoll konfiguriert wird, werden nach einem Failover Routing-Protokolle konvergiert und Routen zwischen dem neuen primären Knoten und den benachbarten Nachbarroutern werden erlernt. Es dauert einige Zeit, bis das Routenlernen abgeschlossen ist. Während dieser Zeit verzögert sich die Weiterleitung von Paketen, die Netzwerkleistung kann gestört werden und Pakete können verworfen werden.

Ein ordnungsgemäßer Neustart ermöglicht es einem HA-Setup während eines Failovers, seine benachbarten Router anzuweisen, die gelernten Routen des alten primären Knotens nicht aus ihren Routing-Datenbanken zu entfernen. Unter Verwendung der Routing-Informationen des alten primären Knotens beginnen der neue primäre Knoten und die angrenzenden Router sofort mit der Weiterleitung von Paketen, ohne die Netzwerkleistung zu beeinträchtigen.

Hinweis:

Ein ordnungsgemäßer Neustart wird für Hochverfügbarkeits-Setups im INC-Modus nicht unterstützt.

Um einen ordnungsmäßigen Neustart für IPv6-OSPF mithilfe der VTYSH-Befehlszeile zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Beispiel Beschreibung des Befehls
VTYSH > VTYSH Ruft die VTYSH-Eingabeaufforderung
configure terminal NS# configure terminal Der globale Konfigurationsmodus wechselt.
router-id id> NS(config)#router-id 1.1.1.1 Legt eine Routerkennung für die Citrix ADC Appliance fest. Diese Kennung ist für alle dynamischen Routingprotokolle festgelegt. Dieselbe ID muss im anderen Knoten in einer Hochverfügbarkeits-Einrichtung angegeben werden, die für einen ordnungsgemäßen Neustart eingerichtet ist, damit sie in der HA-Einrichtung ordnungsgemäß funktioniert.
IPv6ospf restart grace-period <1-1800> NS(config)# IPv6ospf restart grace-period 170 Gibt die Nachfrist in Sekunden an, für die die Routen in den Hilfsgeräten beibehalten werden sollen. Standardwert: 120 Sekunden.
IPv6 ospf restart helper max-grace-period <1-1800> NS(config)# IPv6 ospf restart helper max-grace-period 180 Dies ist ein optionaler Befehl zum Begrenzen der maximalen Nachfrist, für die sich die Citrix ADC Appliance im Hilfsmodus befindet. Wenn die Citrix ADC Appliance eine undurchsichtige LSA mit einer Gnade erhält, die größer als die festgelegte Max-Grace-Periode des Helfers ist, wird die LSA verworfen und der Citrix ADC wird nicht in den Hilfsmodus versetzt.
interface <VLANID> NS(config)#interface vlan3 Ruft den VLAN-Konfigurationsmodus auf
ipv6 router ospf area <area_id> tag <tag_id> NS(config-if)#ipv6 router ospf area 0 tag 1 Startet den IPv6-OSPF-Routing-Prozess in einem VLAN.
exit NS(config-if)#exit Beenden Sie den VLAN-Konfigurationsmodus.
router ipv6 ospf NS(config)# router ipv6 ospf 1 Startet den IPv6-OSPF-Routing-Prozess und wechselt in den Konfigurationsmodus für den Routing-Prozess.
capability restart graceful NS(config-router)#capability restart graceful Ermöglicht einen ordnungsgemäßen Neustart des IPv6-OSPF-Routing-Prozesses.
redistribute kernel NS(config-router)# redistribute kernel Verteilt Kernel-Routen neu.