Citrix ADC

Configuration de l’OSPF IPv6

IPv6 OSPF ou OSPF version 3 (OSPF v3) est un protocole d’état de liaison utilisé pour échanger des informations de routage IPv6. Après avoir activé l’OSPF IPv6, vous devez configurer la publication des routes OSPF IPv6. Pour le dépannage, vous pouvez limiter la propagation OSPF IPv6. Vous pouvez afficher les paramètres OSPF IPv6 pour vérifier la configuration.

Prérequis pour IPv6 OSPF

Avant de commencer à configurer IPv6 OSPF, procédez comme suit :

  • Assurez-vous de bien comprendre le protocole OSPF IPv6.
  • Installez la licence IPv6PT sur l’appliance Citrix ADC.
  • Activez la fonctionnalité IPv6.

Routes IPv6 publicitaires

IPv6 OSPF permet à un routeur en amont d’équilibrer la charge du trafic entre deux serveurs virtuels identiques hébergés sur deux appareils Citrix ADC autonomes. La publicité d’itinéraire permet à un routeur en amont de suivre les entités réseau situées derrière Citrix ADC.

Pour configurer IPv6 OSPF afin de publier des routes IPv6 à l’aide de la ligne de commande VTYSH :

À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :

Commandes Spécifie
VTYSH Affiche l’invite de commande VTYSH.
configure terminal Entrer en mode de configuration globale.
routeur IPv6 OSPF Démarrez le processus de routage OSPF IPv6 et passez en mode de configuration pour le processus de routage.
redistribute static Redistribuez les routes statiques.
redistribute kernel Redistribuez les routes du noyau.

Exemple :


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# redistribute static
NS(config-router)# redistribute kernel
<!--NeedCopy-->

Limitation des propagations OSPF IPv6

Si vous devez dépanner votre configuration, vous utilisez VTYSH pour configurer le mode d’écoute uniquement sur un VLAN donné.

Pour limiter la propagation OSPF IPv6 à l’aide de la ligne de commande VTYSH :

À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :

Commandes Spécifie
VTYSH Affiche l’invite de commande VTYSH.
configure terminal Entrer en mode de configuration globale.
routeur IPv6 OSPF Démarrez le processus de routage OSPF IPv6 et passez en mode de configuration pour le processus de routage.
interface passive < vlan_name > Supprime les mises à jour de routage sur les interfaces liées au VLAN spécifié.

Exemple :


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# passive-interface VLAN0
<!--NeedCopy-->

Vérification de la configuration OSPF IPv6

Vous utilisez VTYSH pour afficher les voisins actuels OSPF IPv6 et les routes OSPF IPv6.

Pour afficher les paramètres OSPF IPv6 à l’aide de la ligne de commande VTYSH :

À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :

Commande Spécifie
VTYSH Affiche l’invite de commande VTYSH.
Voisin OSPF sh ipv6 Affiche les voisins actuels.
route OSPF sh ipv6 Affiche les routes OSPF IPv6.

Exemple :


>VTYSH
NS# sh ipv6 OSPF neighbor
NS# sh ipv6 OSPF route
<!--NeedCopy-->

Authentification OSPFv3

Pour garantir l’intégrité, l’authentification de l’origine des données et la confidentialité des données des paquets OSPFv3, l’authentification OSPFv3 doit être configurée sur des homologues OSPFv3.

L’appliance Citrix ADC prend en charge l’authentification OSPFv3 et est partiellement conforme à la RFC 4552. L’authentification OSPFv3 est basée sur les deux protocoles IPsec : Authentication Header (AH) et Encapsulating Security Payload (ESP). L’appliance Citrix ADC prend uniquement en charge le protocole AH pour l’authentification OSPFv3.

L’authentification OSPFv3 utilise des associations de sécurité (SA) IPsec définies manuellement entre les pairs OSPFv3 et ne repose pas sur le protocole IKE pour former des associations de sécurité dynamiques. Les associations de sécurité manuelles définissent les valeurs d’index des paramètres de sécurité (SPI), les algorithmes et les clés à utiliser entre les pairs. Les associations de sécurité manuelles ne nécessitent aucune négociation entre les pairs ; par conséquent, la même association de sécurité doit être définie sur les deux pairs.

Vous pouvez configurer l’authentification OSPFv3 sur un VLAN ou pour une zone OSPFv3. Lorsque vous configurez pour un VLAN, les paramètres sont appliqués à toutes les interfaces qui sont membres du VLAN. Lorsque vous configurez l’authentification OSPFv3 pour une zone OSPF, les paramètres sont appliqués à tous les VLAN de cette zone. Les paramètres sont à leur tour appliqués à toutes les interfaces membres de ces VLAN. Ces paramètres ne s’appliquent pas aux VLAN membres sur lesquels vous avez configuré directement l’authentification OSPFv3.

Tenez compte des points et limitations suivants avant de configurer l’authentification OSPFv3 sur une appliance Citrix ADC :

  • Assurez-vous de bien comprendre les différents composants de l’authentification OSPFv3, décrits dans la RFC 4552.
  • Seul le protocole Authentication Header est pris en charge pour l’authentification OSPFv3. L’encapsulation de la charge utile de sécurité (ESP) n’est pas prise en charge.
  • Vous devez définir une association de sécurité avec le même paramètre sur l’interface homologue.
  • La nouvelle saisie des touches manuelles n’est pas prise en charge.

Pour configurer l’authentification OSPFv3 sur un VLAN à l’aide de la ligne de commande VTYSH :

À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué : commandes VLAN d’authentification OSPFv3.

Exemple :

> VTYSH NS# configure terminal
NS(config)# interface vlan2
NS(config-if)# ipv6 ospf authentication ipsec spi 256 md5 123456789ABCDEF0123456789ABCDEF0
<!--NeedCopy-->

Pour configurer l’authentification OSPFv3 sur une zone OSPF à l’aide de la ligne de commande VTYSH :

À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué : Authentification OSPFv3 OSPF Area commandes.

Exemple :

> VTYSH NS# configure terminal
ns(config)#router ipv6 ospf 30
ns(config-router)# area 1 authentication ipsec spi 256 md5123456789ABCDEF0123456789ABCDEF0
<!--NeedCopy-->

Configuration du redémarrage progressif pour IPv6 OSPF

Dans une configuration haute disponibilité (HA) non INC dans laquelle un protocole de routage est configuré, après un basculement, les protocoles de routage convergent et les routes entre le nouveau nœud principal et les routeurs voisins adjacents sont apprises. L’apprentissage par voie prend un certain temps. Pendant ce temps, le transfert des paquets est retardé, les performances du réseau peuvent être perturbées et les paquets peuvent être abandonnés.

Le redémarrage progressif permet à une configuration HA lors d’un basculement d’ordonner à ses routeurs adjacents de ne pas supprimer les routes apprises de l’ancien nœud principal de leurs bases de données de routage. En utilisant les informations de routage de l’ancien nœud principal, le nouveau nœud principal et les routeurs adjacents commencent immédiatement à transférer des paquets, sans perturber les performances du réseau.

Remarque :

Le redémarrage progressif n’est pas pris en charge pour les configurations haute disponibilité en mode INC.

Pour configurer le redémarrage progressif pour IPv6 OSPF à l’aide de la ligne de commande VTYSH, à l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :

Commande Exemple Description de la commande
VTYSH > VTYSH Saisit l’invite de commande VTYSH.
configure terminal NS# configure terminal Entre en mode de configuration globale.
router-id id> NS(config)#router-id 1.1.1.1 Définit un identifiant de routeur pour l’appliance Citrix ADC. Cet identifiant est défini pour tous les protocoles de routage dynamique. Le même ID doit être spécifié dans l’autre nœud dans une configuration haute disponibilité configurée pour que le redémarrage progressif fonctionne correctement dans la configuration HA.
IPv6ospf restart grace-period <1-1800> NS(config)# IPv6ospf restart grace-period 170 Spécifie la période de grâce, en secondes, pendant laquelle les itinéraires doivent être conservés dans les dispositifs d’assistance. Valeur par défaut : 120 secondes.
IPv6 ospf restart helper max-grace-period <1-1800> NS(config)# IPv6 ospf restart helper max-grace-period 180 Il s’agit d’une commande facultative pour limiter la période de grâce maximale pendant laquelle l’appliance Citrix ADC sera en mode d’assistance. Si l’appliance Citrix ADC reçoit un LSA opaque dont la période de grâce est supérieure à la période de grâce maximale de l’aide définie, le LSA est rejeté et Citrix ADC n’est pas placé en mode assistance.
interface <VLANID> NS(config)#interface vlan3 Passe en mode de configuration VLAN.
ipv6 router ospf area <area_id> tag <tag_id> NS(config-if)#ipv6 router ospf area 0 tag 1 Démarre le processus de routage OSPF IPv6 sur un VLAN.
exit NS(config-if)#exit Quitte le mode de configuration VLAN.
router ipv6 ospf NS(config)# router ipv6 ospf 1 Démarre le processus de routage OSPF IPv6 et passe en mode de configuration pour le processus de routage.
capability restart graceful NS(config-router)#capability restart graceful Permet un redémarrage progressif du processus de routage OSPF IPv6.
redistribute kernel NS(config-router)# redistribute kernel Redistribue les routes du noyau.
Configuration de l’OSPF IPv6