配置 IPv6 OSPF

IPv6 OSPF 或 OSPF 版本 3(OSPF v3)是用于交换 IPv6 路由信息的链接状态协议。启用 IPv6 OSPF 后,您需要配置 IPv6 OSPF 路由的播发。为了进行故障排除,您可以限制 IPv6 OSPF 传播。您可以显示 IPv6 OSPF 设置以验证配置。

IPv6 OSPF 的必备条件

在开始配置 IPv6 OSPF 之前,请执行以下操作:

  • 请确保您了解 IPv6 OSPF 协议。
  • 在 Citrix ADC 设备上安装 IPV6pt 许可证。
  • 启用 IPv6 功能。

广告 IPv6 路由

IPv6 OSPF 使上游路由器能够在两个独立 Citrix ADC 设备上托管的两个相同虚拟服务器之间进行负载平衡流量。路由广告使上游路由器能够跟踪位于 Citrix ADC 后面的网络实体。

若要使用 VTYSH 命令行配置 IPv6 OSPF 以通告 IPv6 路由,请执行以下操作:

在命令提示符下,按所示顺序键入以下命令:

命令 说明
VTYSH 显示 VTYSH 命令提示符。
configure terminal 进入全局配置模式。
router ipv6 OSPF 启动 IPv6 OSPF 路由进程并进入路由进程的配置模式。
redistribute static 重新分配静态路由。
redistribute kernel 重新分发内核路由。

示例:


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# redistribute static
NS(config-router)# redistribute kernel

限制 IPv6 OSPF 传播

如果您需要对配置进行故障排除,可以使用 VTYSH 在任何给定 VLAN 上配置只听模式。

若要使用 VTYSH 命令行限制 IPv6 OSPF 传播,请执行以下操作:

在命令提示符下,按所示顺序键入以下命令:

命令 说明
VTYSH 显示 VTYSH 命令提示符。
configure terminal 进入全局配置模式。
router ipv6 OSPF 启动 IPv6 OSPF 路由进程并进入路由进程的配置模式。
passive-interface < vlan_name > 禁止绑定到指定 VLAN 的接口上的路由更新。

示例:


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# passive-interface VLAN0

验证 IPv6 OSPF 配置

您可以使用 VTYSH 显示 IPv6 OSPF 当前邻居和 IPv6 OSPF 路由。

使用 VTYSH 命令行查看 IPv6 OSPF 设置:

在命令提示符下,按所示顺序键入以下命令:

命令 说明
VTYSH 显示 VTYSH 命令提示符。
sh ipv6 OSPF neighbor 显示当前邻居。
sh ipv6 OSPF route 显示 IPv6 OSPF 路由。

示例:


>VTYSH
NS# sh ipv6 OSPF neighbor
NS# sh ipv6 OSPF route

OSPFV3 身份验证

若要确保 OsPfv3 数据包的完整性、数据源身份验证和数据保密性,必须在 OsPFv3 对等方上配置 OsPFv3 身份验证。

Citrix ADC 设备支持 OsPFv3 身份验证,并且部分符合 RFC 4552。OsPfv3 身份验证基于两个 IPsec 协议:身份验证头 (AH) 和封装安全有效负载 (ESP)。Citrix ADC 设备仅支持 OsPFv3 身份验证的 AH 协议。

OsPfv3 身份验证使用 OsPfv3 对等方之间手动定义的 IPsec 安全关联 (SAS),并且不依赖 IKE 协议来形成动态 SAS。手动 SAS 定义要在对等方之间使用的安全参数索引 (SPI) 值、算法和密钥。手动 SAS 不需要对等方之间进行协商;因此,必须在两个对等方上定义相同的 SA。

您可以在 VLAN 或 OSPFV3 区域上配置 OSPFV3 身份验证。为 VLAN 配置时,这些设置将应用于作为 VLAN 成员的所有接口。当您为 OSPF 区域配置 OsPFv3 身份验证时,这些设置将应用于该区域中的所有 VLAN。这些设置反过来应用于作为这些 VLAN 成员的所有接口。这些设置不适用于已直接配置 OsPFv3 身份验证的成员 VLAN。

在 Citrix ADC 设备上配置 OsPfv3 身份验证之前,请考虑以下要点和限制:

  • 请确保您了解 RFC 4552 中描述的 OsPFv3 身份验证的不同组件。
  • OsPFv3 身份验证仅支持身份验证头协议。不支持封装安全负载 (ESP)。
  • 您必须在对等界面上定义具有相同设置的 SA。
  • 不支持手动密钥重新键入。

若要使用 VTYSH 命令行在 VLAN 上配置 OsPFv3 身份验证,请执行以下操作:

在命令提示符下,按所示顺序键入以下命令:OSPFV3 身份验证 VLAN 命令

示例:

> VTYSH NS# configure terminal
NS(config)# interface vlan2
NS(config-if)# ipv6 ospf authentication ipsec spi 256 md5 123456789ABCDEF0123456789ABCDEF0

若要使用 VTYSH 命令行在 OSPF 区域上配置 OSPFV3 身份验证,请执行以下操作:

在命令提示符下,按所示顺序键入以下命令:OSPF3 身份验证 OSPF 区域命令

示例:

> VTYSH NS# configure terminal
ns(config)#router ipv6 ospf 30
ns(config-router)# area 1 authentication ipsec spi 256 md5123456789ABCDEF0123456789ABCDEF0

配置 IPv6 OSPF 的正常重新启动

在配置路由协议的非 INC 高可用性 (HA) 设置中,故障转移后,路由协议会融合,并了解新主节点和相邻邻路由器之间的路由。路线学习需要一些时间才能完成。在此期间,数据包的转发会延迟,网络性能可能会中断,数据包可能会丢弃。

正常重新启动启用故障转移期间的 HA 设置,以指示其相邻路由器不从其路由数据库中删除旧主节点的学习路由。使用旧主节点的路由信息,新主节点和相邻路由器立即开始转发数据包,而不会中断网络性能。

要使用 VTYSH 命令行配置 IPv6 OSPF 的正常重新启动,请在命令提示符下键入以下命令,按所示顺序:

命令 示例 命令描述
VTYSH > VTYSH 输入 VTYSH 命令提示符。
configure terminal NS# configure terminal 进入全局配置模式。
路由器 ID 为 > NS(config)#router-id 1.1.1.1 设置 Citrix ADC 设备的路由器标识符。此标识符为所有动态路由协议设置。必须在高可用性设置中的其他节点中指定相同的 ID,才能在 HA 设置中正常工作。
IPv6ospf restart grace-period <1-1800> NS(config)# IPv6ospf restart grace-period 170 指定要在帮助程序设备中保留路由的宽限期(以秒为单位)。默认值:120 秒。
IPv6 ospf restart helper max-grace-period <1-1800> NS(config)# IPv6 ospf restart helper max-grace-period 180 这是一个可选命令,用于限制 Citrix ADC 设备处于帮助程序模式的最大宽限期。如果 Citrix ADC 设备收到宽限期大于设置的辅助器最大宽限期的不透明 LSA,则会丢弃该 LSA,并且 Citrix ADC 不会置于辅助器模式。
<VLANID>介面 NS(config)#interface vlan3 进入 VLAN 配置模式。
ipv6 router ospf area <area_id> tag <tag_id> NS(config-if)#ipv6 router ospf area 0 tag 1 在 VLAN 上启动 IPv6 OSPF 路由进程。
exit NS(配置-如果)#exit 退出 VLAN 配置模式。
router ipv6 ospf NS(config)# router ipv6 ospf 1 启动 IPv6 OSPF 路由进程并进入路由进程的配置模式。
capability restart graceful NS(config-router)#capability restart graceful 启用 IPv6 OSPF 路由进程上的正常重新启动。
redistribute kernel NS(config-router)# redistribute kernel 重新分配内核路由。