无线 : 思科 5500 系列无线控制器

无线局域网IPv6客户端部署指南

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

当适合于给支持的IPv6客户端,本文在运行原理和配置提供信息为Cisco Unified无线LAN解决方案。

IPv6无线客户端连接

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-01.gif

在Cisco Unified无线网络软件版本v7.2内的IPv6特性组允许无线网络支持同一个无线网络的IPv4、双协议栈和IPv6-only客户端。IPv6对Cisco Unified无线局域网的客户端支持的新增内容的总体目标是维护在IPv4和IPv6客户端之间的功能奇偶校验包括移动性、安全、访客访问、服务质量和终端可见性。

八个IPv6客户端地址可以每个设备被跟踪。这允许IPv6客户端有一个链路本地、无状态的自动配置(SLAAC)地址、动态主机配置协议IPv6 (DHCPv6)地址的和均等地址在代替前缀在单个接口。工作组网桥(WGB)客户端连接对一自治接入点(AP)的上行链路在WGB模式可以也支持IPv6。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 无线局域网控制器2500系列, 5500系列或者WiSM2

  • AP 1130, 1240, 1250, 1040, 1140, 1260, 3500, 3600系列AP和1520或1550系列Mesh AP

  • IPv6-capable路由器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

前提对于无线IPv6客户端连接

为了启用无线IPv6客户端连接,基础有线网络必须支持IPv6路由和一地址分配机制例如SLAAC或DHCPv6。无线局域网控制器必须有L2邻接到IPv6路由器,并且VLAN需要被标记,当数据包输入控制器时。因为所有流量被封装在AP和控制器之间的IPv4 CAPWAP通道里面AP不要求在IPv6网络的连接。

SLAAC地址分配

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-02.gif

IPv6客户端地址分配的常用方法是SLAAC。SLAAC提供客户端赛弗分配根据IPv6前缀的地址的简单即插即用连接。此进程达到,当IPv6路由器派出通知客户端IPv6前缀在使用中的定期路由器通告消息时(前64个位)和IPv6默认网关。从该点,客户端能生成剩余根据两种算法的64个位他们的IPv6地址:随机地生成的EUI-64根据接口的MAC地址或者专用地址。算法选择至客户端并且经常可配置。重复地址检测由IPv6客户端进行为了保证被选择与其他客户端不碰撞的随机的地址。发送广告的路由器的地址使用作为默认网关客户端。

从一个思科有能力IPv6路由器的这些Cisco IOS 配置命令用于启用SLAAC编址和路由器通告:

ipv6 unicast-routing	
interface Vlan20
 description IPv6-SLAAC
 ip address 192.168.20.1 255.255.255.0
 ipv6 address 2001:DB8:0:20::1/64
 ipv6 enable
end

DHCPv6地址分配

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-03.gif

如果SLAAC已经部署,使用DHCPv6没有为IPv6客户端连接要求。有呼叫Stateless有状态的DHCPv6的两操作模式。

DHCPv6无状态的模式用于提供客户端另外的网络信息不可用在路由器通告,但是作为此SLAAC已经没有提供没有一个IPv6地址。此信息能包括DNS域名、DNS服务器和其他DHCP供应商特殊选项。此接口配置与启用的SLAAC的一Cisco IOS IPv6路由器实现无状态的DHCPv6的:

ipv6 unicast-routing
interface Vlan20
 description IPv6-DHCP-Stateless
 ip address 192.168.20.1 255.255.255.0
 ipv6 enable
 ipv6 address 2001:DB8:0:20::1/64
 ipv6 nd other-config-flag
 ipv6 dhcp relay destination 2001:DB8:0:10::100
end

DHCPv6有状态的选项,亦称管理的模式,类似运行于DHCPv4因为分配对每个客户端的唯一地址而不是生成地址的最后64个位的客户端正如在SLAAC。此接口配置与禁用的SLAAC的一Cisco IOS IPv6路由器实现有状态的DHCPv6的:

ipv6 unicast-routing
interface Vlan20
 description IPv6-DHCP-Stateful
 ip address 192.168.20.1 255.255.255.0
 ipv6 enable
 ipv6 address 2001:DB8:0:20::1/64
 ipv6 nd prefix 2001:DB8:0:20::/64 no-advertise
 ipv6 nd managed-config-flag
 ipv6 nd other-config-flag
 ipv6 dhcp relay destination 2001:DB8:0:10::100
end

其他信息

配置完整IPv6校园范围的连接的有线网络使用双协议栈或建立隧道连接方法是超出本文的范围。欲知参考思科的更多信息验证部署在园区网络的部署指南IPv6

IPv6客户端移动性

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-04.gif

为了处理漫游在控制器间的IPv6客户端,必须涉及ICMPv6消息例如邻接垦请(NS),邻接广告(NA),路由器通告(RA)和路由器垦请(RS)特别为了保证客户端在同样第3层网络。IPv6移动性的配置是相同的象为IPv4移动性并且不要求在客户端的独立的软件达到无缝的漫游。唯一的必需的配置是控制器必须是同样移动组/域的一部分。

这是IPv6客户端移动性的进程在控制器间:

  1. 如果两个控制器访问同样VLAN客户端最初是,漫游是客户端记录复制到新的控制器的Layer2漫游事件,并且流量没有被以隧道传输回到锚点控制器。

  2. 如果第二个控制器不访问原始VLAN客户端继续下去,第3层漫游事件将发生,含义必须通过移动性通道(在IP的以太网以隧道传输从客户端的所有流量)对锚点控制器。

    1. 为了保证客户端保留其原始IPv6地址,从原始VLAN的Ras由锚点控制器发送到他们传送给使用L2从AP的客户端单播的外国控制器。

    2. 当漫游的客户端去通过DHCPv6更新其地址或通过SLAAC, RS、NA和NS数据包时生成一个新的地址请继续被建立隧道到原始VLAN,因此客户端将收到是可适用的对该VLAN的IPv6地址。

注意: IPv6-only客户端的移动性根据VLAN信息。这意味着IPv6-only未标记的VLAN不支持客户端移动性。

精选的VLAN的支持(接口组)

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-05.gif

接口组功能允许组织有与在控制器配置的多个VLAN的单个WLAN为了允许无线客户端负载均衡在这些VLAN间的。此功能是常用的保持IPv4子网大小小,当启用WLAN扩展到千位在多个VLAN间的用户在组中时。当系统自动地发送正确RA给正确客户端通过L2无线单播,为了支持有接口组的IPv6客户端,更多的配置没有要求。通过unicasting RA,同样WLAN的客户端,然而不同的VLAN,不接收不正确RA。

首先IPv6客户端的跳安全

路由器通告卫兵

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-06.gif

RA守护功能通过下降来自无线客户端的Ras强化IPv6网络的安全。没有此功能,不正确的配置或有恶意的IPv6客户端可能宣布作为网络的一个路由器,经常以可能优先于合法IPv6路由器的高优先级。

默认情况下, RA卫兵在控制器启用在AP (但是能禁用在AP)和总是启用。因为它是更多可扩展的解决方案和提供改进的每客户端RA丢弃计数器,下降Ras在AP更喜欢。在任何情况下, IPv6 RA从有恶意或不正确的配置的IPv6客户端将丢弃,保护其他无线客户端和上行有线网络。

DHCPv6服务器卫兵

DHCPv6服务器守护功能防止无线客户端实施对上行其他无线客户端或有线的客户端的IPv6地址。为了防止DHCPv6地址被实施,所有DHCPv6通告从无线客户端的数据包丢弃。此功能起作用控制器,不要求配置和自动地启用。

IPv6来源卫兵

IPv6来源守护功能防止伪装一个的无线客户端另一个客户端IPv6地址。此功能是类似于IPv4来源卫兵。默认情况下IPv6来源卫兵启用,但是可以通过CLI禁用。

IPv6地址核算

使用“framed-ip-address”属性,对于RADIUS验证和核算,控制器退还一个IP地址。在这种情况下使用IPv4地址。

当“呼叫站ID选择" on the controller is configured to " IP地址”时, “呼叫站点Id”属性使用此算法为了退还IP地址:

  1. IPv4地址

  2. 全球单播IPv6地址

  3. 林克本地IPv6地址

因为客户端IPv6地址能经常更改(临时或专用地址),随着时间的推移跟踪他们是重要的。每次客户端漫游或设立个新会话,思科NCS由每个客户端记录所有IPv6地址在使用中和历史上记录他们。这些记录可以配置在至一年将保持的NCS。

注意: “呼叫站ID的默认值选择" on the controller has been changed to "系统MAC地址”在版本7.2。当升级时,应该由MAC地址更改这允许唯一跟踪客户端,当IPv6地址可能更改在核算的MID会话和原因问题,如果呼叫站点Id设置为IP地址。

IPv6访问控制列表

为了限制对某些上行有线资源的访问或阻塞某些应用程序, IPv6访问控制列表(ACL)可以用于识别流量和允许或者否认它。IPv6 ACL支持选项和IPv4 ACL一样包括来源、目的地、源端口和目的地端口(也支持端口范围)。也支持使用外部Web服务器,预验证ACL支持IPv6访客验证。无线控制器支持与64个独特规则的64个唯一IPv6 ACL在其中每一。无线控制器继续支持其他与64个独特规则的64个唯一IPv4 ACL在其中每一双协议栈客户端的总共128个ACL的。

AAA为IPv6 ACL改写

为了通过一个集中化AAA服务器支持集中化访问控制例如思科身份服务引擎(ISE)使用AAA覆盖属性,或ACS, IPv6 ACL可以设置根据一个每客户端基本类型。为了使用此功能,在控制器必须配置IPv6 ACL,并且必须配置WLAN与启用的AAA覆盖功能。IPv6 ACL的实际已命名AAA属性是Airespace-IPv6-ACL-Name类似于设置IPv4-based ACL使用的名字属性。AAA属性返回的内容在控制器应该是字符串相等与IPv6 ACL的名称如配置。

IPv6客户端的数据包优化

邻居发现高速缓冲存储

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-07.gif

IPv6邻居发现协议(NDP)在地址解析服务(ARP)位置使用NA和NS数据包为了允许IPv6客户端解决其他客户端MAC地址网络的。当最初使用组播地址执行地址解析, NDP进程可以是非常话多的;当组播信息包被发送给网段的,所有客户端这能消耗重要的无线节目开始的时间。

为了增加NDP进程的效率,邻居发现高速缓冲存储允许控制器作为代理和响应回到能解决的NS查询。邻居发现高速缓冲存储由基础邻接绑定表成为可能现在控制器。邻接绑定表记录每个IPv6地址和其相关的MAC地址。当IPv6客户端尝试解析另一个客户端的链路层地址时,响应上一步用NA数据包的控制器截断NS数据包。

限制的路由器通告

限制的路由器通告允许控制器强制执行速率限制Ras朝向往无线网络。例如通过启用限制的RA,配置经常发送Ras的路由器(每三秒)可以修整回到将维护IPv6客户端连接的最低频率。这允许减少将优化的节目开始的时间必须发送的组播信息包的数量。在任何情况下,如果客户端发送RS,然后RA通过控制器和单播将允许对请求的客户端。这是为了保证新的客户端或漫游客户端没有由限制的RA负面影响。

IPv6访客访问

无线和有线的访客功能现在为IPv4客户端为双协议栈和IPv6-only客户端相似运转。一旦来宾用户联合,他们在“WEB_AUTH_REQ”运转状态安置,直到客户端通过IPv4或IPv6俘虏门户验证。控制器在此状态将拦截IPv4和IPv6 HTTP/HTTPS流量并且重定向它对控制器的虚拟IP地址。一旦用户通过俘虏门户验证,他们的MAC地址移动对运转状态,并且IPv4和IPv6流量允许通过。对于外部Web验证,预验证ACL允许将使用的外部Web服务器。

为了支持IPv6-only客户端的重定向,控制器自动地创建IPv6虚拟地址配置的IPv4虚拟地址根据控制器。虚拟IPv6地址跟随规则[: :ffff :<virtual IPv4 address>]。例如, 1.1.1.1的一个虚拟IP地址将翻译对[::ffff:1.1.1.1]

当使用委托SSL证书访客访问验证时,请确保控制器的IPv4和IPv6虚拟地址在DNS定义匹配SSL证书主机名。这保证阐明的客户端不收到安全警告,证书不匹配设备的主机名。

注意: 控制器的主动生成的SSL证书不包含IPv6虚拟地址。这可能造成一些Web浏览器提交安全警告。使用访客访问的一委托SSL证书推荐。

IPv6 VideoStream

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-08.gif

可靠VideoStream的enable (event)和可扩展无线组播视频交付,发送每个客户端在单播格式的数据流。对单播转换的实际组播(L2)发生在提供可扩展的解决方案的AP。控制器发送IPv6视频流量在允许高效网络分配对AP的IPv4 CAPWAP组播通道里面。

IPv6服务质量

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-09.gif

IPv6数据包使用一个相似的标记对IPv4的使用DSCP重视支持64不同的数据流类别(0-63)。对于从有线网络的下行数据包, IPv6流量等级值复制对CAPWAP通道的报头为了保证QoS保留的端到端。在上行方向,同样发生,因为客户端的流量被标记在第3层用IPv6流量类将通过标记为控制器注定的CAPWAP数据包尊敬。

IPv6和FlexConnect

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-10.gif

FlexConnect –本地交换WLAN

在本地交换模式的FlexConnect通过桥接流量支持IPv6客户端对本地VLAN,类似于IPv4操作。客户端移动性为漫游在FlexConnect组间的Layer2支持。

FlexConnect本地交换模式支持这些IPv6-specific功能:

  • IPv6 RA卫兵

  • IPv6桥接

  • IPv6访客验证(控制器托管)

FlexConnect本地交换模式不支持这些IPv6-specific功能:

  • 第3层移动性

  • IPv6 VideoStream

  • IPv6访问控制列表

  • IPv6来源卫兵

  • DHCPv6服务器卫兵

  • 邻居发现高速缓冲存储

  • 限制的路由器通告

FlexConnect –中央交换WLAN

对于在FlexConnect模式的AP使用中央交换(回到控制器的通道流量),必须设置控制器“组播-单播模式” “AP组播模式的”。因为FlexConnect AP不参加控制器的CAPWAP组播组,必须单个复制组播信息包在控制器和单播对每个AP。此方法比“Multicast-multicast模式”较不高效并且放置额外的开销在控制器。

FlexConnect中央交换模式不支持此IPv6-specific功能:

  • IPv6 VideoStream

注意: 弹性7500系列控制器不支持运行IPv6的在中央交换的WLAN。

IPv6与NCS的客户端可见性

使用NCS v1.1版本,许多另外的IPv6特定功能被添加监控和管理IPv6客户端网络配线的和无线网络。

IPv6控制板项目

为了查看什么类型的客户端是存在网络, “Dashlet”在NCS是可用为了提供见解到IPv6特定统计信息和提供功能操练下来到IPv6客户端。

IP地址类型Dashlet -显示IP客户端种类网络的:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-11.gif

由IP地址类型的客户端计数-随着时间的推移显示IP客户端类型:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-12.gif

由IP地址类型的客户端的流量-显示从客户端的每种类型的流量。双协议栈类别的客户端包括IPv4和IPv6流量:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-13.gif

IPv6地址分配-显示地址分配方法每个客户端的作为这四个类别之一:

  • DHCPv6 -对于有中央服务器分配的地址的客户端。客户端可能也有SLAAC地址。

  • SLAAC或静态-对于使用无状态的地址自动分配的客户端或静态使用配置的地址。

  • 未知-有时, IPv6地址分配不可以是已发现。

    • 因为一些交换机不监听IPv6地址分配信息,此情况在NCS的有线的客户端只发生。

  • 自已分配的-对于有完全地自已分配的仅链路本地地址的客户端。

    • 因为他们缺乏一个全局唯一或本地唯一地址,此类别的客户端能有IPv6连通性问题。

其中每一个饼图的部分clickable,允许管理员操练下来到客户端列表。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-14.gif

箴言报IPv6客户端

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-15.gif

为了监控和管理IPv6客户端信息,这些列被添加了到客户端和用户页:

  • IP类型-根据什么IP地址的客户端种类从客户端被看到了。可能的选项是表示有IPv4和IPv6地址的一个客户端的IPv4,IPv6或者双协议栈。

  • IPv6分配类型-地址分配方法由NCS检测作为SLAAC或静态, DHCPv6,自已分配的或者未知。

  • 全局唯一-客户端使用的最最近的IPv6全局地址。鼠标在列内容的A显示客户端使用的所有另外的IPv6全局唯一地址。

  • 唯一本地-客户端使用的最最近的IPv6本地唯一地址。鼠标在列内容显示客户端使用的所有另外的IPv6全局唯一地址。

  • 林克本地-是自已分配的和使用通信客户端的IPv6地址,在其他IPv6地址分配前。

  • 丢弃的路由器通告-路由器通告数量由客户端发送并且丢弃了在AP。此列可以用于搜寻可能是不正确的配置的客户端或有恶意配置操作类似IPv6路由器。此列是可排序的,允许触犯的客户端将容易地识别。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-16.gif

除显示IPv6特定列之外, IP Address列将显示客户端的当前IP地址以优先级首先显示IPv4地址(一旦双协议栈客户端)或IPv6唯一地址一旦IPv6-only客户端。

无线IPv6客户端支持的配置

对AP的组播分配模式

Cisco Unified无线网络支持组播分配两个方法对AP的关联对控制器。在两种模式,从有线网络的原始组播信息包被封装在通过任一CAPWAP单播或组播发送的第3层CAPWAP数据包里面对AP。因为是CAPWAP被封装的流量, AP不必须在VLAN和客户端的流量一样。组播分配两个方法比较得此处:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-17.gif

组播单播模式 Multicast-multicast模式
交付机制 控制器复制组播信息包并且发送它对在单播CAPWAP通道的每个AP 控制器发送组播信息包的一复制
支持的AP模式 FlexConnect和本地 本地传送方式只
要求L3在有线网络的组播路由
控制器加载 海伊
有线网络加载 海伊

配置组播分配模式

Multicast-multicast模式是可扩展性和有线的带宽效率原因的推荐的选项。

注意: 此步骤为2500系列无线控制器是只绝对需要的,但是启用更有效的组播传输和为所有控制器平台推荐。

去“控制器”选项卡在“一般”页下并且确保AP组播模式配置使用组播模式,并且那有效组地址配置。组地址是IPv4组播组和推荐在239.X.X.X-239.255.255.255范围,为私有组播应用是scoped。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-18.gif

注意: 请勿使用224.X.X.X、239.0.0.X或者239.128.0.X地址范围组播组地址。这些范围中的地址与本地链路 MAC 地址重叠并且泛洪所有交换机端口,即使 IGMP 监听已启用。

配置组播单播分配模式

如果有线网络没有适当地配置提供在控制器和AP或者FlexConnect模式之间的CAPWAP组播,并且AP将使用支持IPv6的在中央交换的WLAN,则单播模式要求。

  1. 控制器选项卡在一般页下,并且确保AP组播模式配置使用单播模式。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-19.gif

  2. 联络IPv6有能力客户端对无线局域网。验证客户端通过导航收到一个IPv6地址对箴言报选项卡然后客户端菜单。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-20.gif

配置IPv6移动性

没有IPv6移动性的特定配置除了放置控制器在同样移动组或在同一个移动性域内。这允许72个总控制器参加提供无缝的移动功能的移动性域为最大校园。

控制器选项卡>移动组,并且由MAC地址和IP地址添加每个控制器到组。在移动组的所有控制器必须执行这。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-21.gif

配置IPv6组播

支持允许它智能记录和提供对客户端的组播流要求他们的MLDv1监听为IPv6组播的控制器。

注意: 不同于版本以前版本, IPv6单播流量支持不要求“全局组播模式”在控制器启用。IPv6单播流量支持自动地启用。

  1. 监听控制器选项卡>组播页Enable (event)的MLD为了支持组播IPv6流量。为了能将启用的IPv6组播,必须启用控制器的全局组播模式

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-22.gif

    注意: 全局监听组播模式、IGMP和的MLD,如果对等发现应用程序例如Apple的Bonjour要求,应该启用。

  2. 为了验证IPv6组播流量被监听,请去箴言报选项卡和组播页。注意IPv4 (IGMP)和IPv6 (MLD)组播组是列出的。点击MGID为了查看无线客户端加入对该组地址。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-23.gif

配置IPv6 RA卫兵

导航对控制器选项卡然后IPv6 >在左边菜单的RA卫兵启用IPv6在AP的RA卫兵。在控制器的RA卫兵不可能禁用。除RA卫兵配置之外,此页也陈列识别作为发送Ras的所有客户端。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-24.gif

配置IPv6访问控制列表

  1. 安全选项卡,开放访问控制列表,并且点击

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-25.gif

  2. 输入一唯一的名称对于ACL,更改ACL类型对IPv6,并且单击应用

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-26.gif

  3. 点击在上述步骤创建的新的ACL。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-27.gif

  4. 单击添加新规则,输入规则的希望的参数,并且单击应用。留下序号空白为了放置规则在列表结束时。“方向”选项“入站”使用为无线客户端注定的流量的流量来自无线网络的和" outbound "。切记,在ACL的最后规则一隐式拒绝所有。请使用一个前缀长度64为了匹配一整个IPv6子网和一个前缀长度128唯一限制的对一个单个地址的访问。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-28.gif

  5. IPv6 ACL在多个WLAN应用根据每WLAN/SSID基本类型,并且可以同時使用。导航对WLAN选项卡并且点击有问题的SSID的WLAN ID为了应用IPv6 ACL。点击高级选项卡。并且更改IPv6的覆盖接口ACL对ACL名称。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-29.gif

配置外部Web验证的IPv6访客访问

  1. 配置网络服务器的IPv4和IPv6预验证ACL。在客户端充分地验证前,这到/从外部服务器允许流量。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-30.gif

    关于外部Web访问的操作的更多信息,参考与无线局域网控制器配置示例的外部Web验证

  2. 通过浏览配置访客WLAN对WLAN选项卡在顶部。创建访客SSID并且请使用第3层Web策略。在Step1定义的预验证ACL为IPv4和IPv6选择。检查改写全局配置部分并且选择从Web认证类型下拉框的外部。输入Web服务器的URL。外部服务器的主机名应该是可解决在IPv4和IPv6 DNS。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-31.gif

配置限制的IPv6 RA

  1. 导航对控制器最高级菜单并且点击在左手边的IPv6 > RA节流孔策略选项。启用单击限制的RA复选框。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-32.gif

    注意: 当限制的RA发生,只有第一IPv6有能力路由器通过允许。对于与另外路由器服务的多个IPv6前缀的网络,应该禁用限制的RA。

  2. 仅调节节流孔期限和其它选项在从TAC的劝告下。然而,默认为多数部署推荐。应该鉴于此调节RA限制的策略的各种配置选项:

    • 数值“比“请准许至多”准许”应该至少是比“麦斯应该是较少”的较少。

    • RA节流孔策略不应该使用是超过1800秒的节流孔期限,因为这是默认寿命多数Ras。

每个RA限制的选项下述:

  • 节流孔期限-限制的时期发生。在“麦斯通过”限制为VLAN之后,被到达限制的RA生效。

  • 通过麦斯-这是Ras最大每个VLAN,在限制前起动。“没有限制”选项通过允许无限制的量Ras没有限制。

  • 间隔选项-间隔选项允许控制器操作不同地基于在IPv6 RA设置的RFC 3775值。

    • Passthrough -此值允许所有Ras以RFC3775间隔选项经历,不用限制。

    • 忽略-此值将造成RA throttler对待数据包与间隔选项作为正常RA和受限制支配,如果实际上。

    • 节流孔-此值将导致与间隔选项的Ras总是受速率限制支配。

  • 至少准许- Ras最小数量的每个将发送作为组播的路由器。

  • 准许至多- Ras最大每个将发送作为组播,在限制前生效的路由器。“没有限制”选项通过将允许无限数目的Ras该路由器。

配置IPv6邻居绑定表

  1. 去控制器最高级菜单并且点击IPv6 >在左边菜单的邻接约束计时器

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-33.gif

  2. 调节在寿命、可及的寿命和过时的寿命下当必要时。对于与是高移动的客户端的部署,应该调整一个过时的地址计时器的计时器。推荐值是:

    • 下来寿命- 30秒

    • 可及的寿命- 300秒

    • 状态寿命- 86400秒

    每个寿命计时器是指IPv6地址可以的状态:

    • 下来寿命-下来计时器指定多久应该保持IPv6缓存条目,如果控制器的上行链路接口断开。

    • 可及的寿命-此计时器指定IPv6地址多久将是含义的被标记的活跃流量从此地址最近接收。一旦此计时器超时,地址移动对“过时的”状态。

    • 过时的寿命-此计时器多久指定在缓存保留在“可及的寿命内”看不到的IPv6地址。在此寿命以后,地址从绑定表删除。

配置IPv6 VideoStream

  1. 保证全局VideoStream功能启用在控制器。参考Cisco Unified无线网络解决方案:关于启用VideoStream的信息VideoStream部署指南在802.11a/g/n网络以及WLAN SSID。

  2. Wireless选项卡在控制器和在左边菜单,选择媒体流>数据流。单击添加新为了创建一新的数据流。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-34.gif

  3. 给出数据流并且输入开始并且结束IPv6地址。当曾经仅单个数据流时,开始和结束地址是相等的。在添加地址以后,请单击应用为了创建数据流。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-35.gif

排除故障IPv6客户端连接

某些客户端无法通过IPv6流量

当来在网络上并且他们的地址没有由放置的控制器监听适当地在邻接绑定表里时,一些客户端IPv6网络堆叠实施不适当地宣布。所有地址不现在邻接绑定表里根据IPv6来源守护功能阻塞。为了允许这些客户端通过流量,这些选项需要配置:

  1. 通过CLI禁用IPv6来源守护功能:

    config network ip-mac-binding disable
    
  2. 通过CLI启用组播邻居垦请转发:

    config ipv6 ns-mcast-fwd enable
    

验证漫游为IPv6客户端的成功的第3层:

发出这些调试on命令锚点和外国控制器:

debug client <mac address>

debug mobility handoff enable
debug mobility packet enable

调试在锚点控制器的结果:

00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) State Update from Mobility-Complete to 
  Mobility-Incomplete
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Setting handles to 0x00000000
00:21:6a:a7:4f:ee pemApfDeleteMobileStation2: APF_MS_PEM_WAIT_L2_AUTH_COMPLETE =
  0.
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Deleted mobile LWAPP rule on AP 
  [04:fe:7f:49:03:30]
00:21:6a:a7:4f:ee Updated location for station old AP 04:fe:7f:49:03:30-1, new 
  AP 00:00:00:00:00:00-0
00:21:6a:a7:4f:ee Stopping deletion of Mobile Station: (callerId: 42)
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) State Update from Mobility-Incomplete to 
  Mobility-Complete, mobility role=Anchor, client state=APF_MS_STATE_ASSOCIATED
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Change state to RUN (20) last state RUN (20)
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Reached PLUMBFASTPATH: from line 4968
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Adding Fast Path rule type = Airespace AP 
  Client on AP 00:00:00:00:00:00, slot 0, interface = 13, QOS = 0
  IPv4 ACL ID = 255, IPv6 ACL ID = 255,
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 
  0, TokenID = 7006  Local Bridging Vlan = 20, Local Bridging intf id = 13
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID
  255, IPv6 ACL ID 255)
00:21:6a:a7:4f:ee 0.0.0.0 Removed NPU entry.
00:21:6a:a7:4f:ee Set symmetric mobility tunnel for 00:21:6a:a7:4f:ee as in 
  Anchor role
00:21:6a:a7:4f:ee 0.0.0.0 Added NPU entry of type 1, dtlFlags 0x1
00:21:6a:a7:4f:ee Pushing IPv6: fe80:0000:0000:0000: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee Pushing IPv6: 2001:0db8:0000:0020: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee 0.0.0.0, VLAN Id 20 Not sending gratuitous ARP
00:21:6a:a7:4f:ee Copy AP LOCP - mode:0 slotId:0, apMac 0x0:0:0:0:0:0
00:21:6a:a7:4f:ee Copy WLAN LOCP EssIndex:3 aid:0 ssid:    Roam
00:21:6a:a7:4f:ee Copy Security LOCP ecypher:0x0 ptype:0x2, p:0x0, eaptype:0x6 
  w:0x1 aalg:0x0, PMState:        RUN
00:21:6a:a7:4f:ee Copy 802.11 LOCP a:0x0 b:0x0 c:0x0 d:0x0 e:0x0 protocol2:0x5 
  statuscode 0, reasoncode 99, status 3
00:21:6a:a7:4f:ee Copy CCX LOCP 4
00:21:6a:a7:4f:ee Copy e2e LOCP 0x1
00:21:6a:a7:4f:ee Copy MobilityData LOCP status:2, anchorip:0xac14e2c6
00:21:6a:a7:4f:ee Copy IPv6 LOCP: fe80::3057:534d:587d:73ae

调试在外国控制器的结果:

00:21:6a:a7:4f:ee Adding mobile on LWAPP AP f0:25:72:3c:0f:20(1)
00:21:6a:a7:4f:ee Reassociation received from mobile on AP f0:25:72:3c:0f:20
00:21:6a:a7:4f:ee 0.0.0.0 START (0) Changing IPv4 ACL 'none' (ACL ID 255) ===> 
  'none' (ACL ID 255) --- (caller apf_policy.c:1697)
00:21:6a:a7:4f:ee 0.0.0.0 START (0) Changing IPv6 ACL 'none' (ACL ID 255) ===> 
  'none' (ACL ID 255) --- (caller apf_policy.c:1864)
00:21:6a:a7:4f:ee Applying site-specific Local Bridging override for station 
  00:21:6a:a7:4f:ee - vapId 3, site 'default-group', interface 'client-b1'
00:21:6a:a7:4f:ee Applying Local Bridging Interface Policy for station 
  00:21:6a:a7:4f:ee - vlan 25, interface id 12, interface 'client-b1'
00:21:6a:a7:4f:ee processSsidIE  statusCode is 0 and status is 0
00:21:6a:a7:4f:ee processSsidIE  ssid_done_flag is 0 finish_flag is 0
00:21:6a:a7:4f:ee STA - rates (8): 140 18 152 36 176 72 96 108 0 0 0 0 0 0 0 0
*apfMsConnTask_4: Jan 22 20:37:45.370: 00:21:6a:a7:4f:ee suppRates  statusCode 
  is 0 and gotSuppRatesElement is 1
00:21:6a:a7:4f:ee Processing RSN IE type 48, length 22 for mobile 
  00:21:6a:a7:4f:ee
00:21:6a:a7:4f:ee 0.0.0.0 START (0) Initializing policy
00:21:6a:a7:4f:ee 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state 
  AUTHCHECK (2)
00:21:6a:a7:4f:ee 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last 
  state 8021X_REQD (3)
00:21:6a:a7:4f:ee 0.0.0.0 8021X_REQD (3) DHCP Not required on AP 
  f0:25:72:3c:0f:20 vapId 3 apVapId 3for this client
00:21:6a:a7:4f:ee Not Using WMM Compliance code qosCap 00
00:21:6a:a7:4f:ee 0.0.0.0 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 
  f0:25:72:3c:0f:20 vapId 3 apVapId 3
00:21:6a:a7:4f:ee apfMsAssoStateInc
00:21:6a:a7:4f:ee apfPemAddUser2 (apf_policy.c:268) Changing state for mobile 
  00:21:6a:a7:4f:ee on AP f0:25:72:3c:0f:20 from Idle to Associated
00:21:6a:a7:4f:ee Scheduling deletion of Mobile Station:  (callerId: 49) in 1800
  seconds
00:21:6a:a7:4f:ee Sending Assoc Response to station on BSSID f0:25:72:3c:0f:20 
  (status 0) ApVapId 3 Slot 1
00:21:6a:a7:4f:ee apfProcessAssocReq (apf_80211.c:6290) Changing state for 
  mobile 00:21:6a:a7:4f:ee on AP f0:25:72:3c:0f:20 from Associated to Associated
<…SNIP…>
00:21:6a:a7:4f:ee 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last
  state L2AUTHCOMPLETE (4)
00:21:6a:a7:4f:ee 0.0.0.0 L2AUTHCOMPLETE (4) DHCP Not required on AP 
  f0:25:72:3c:0f:20 vapId 3 apVapId 3for this client
00:21:6a:a7:4f:ee Not Using WMM Compliance code qosCap 00
00:21:6a:a7:4f:ee 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 
  f0:25:72:3c:0f:20 vapId 3 apVapId 3
00:21:6a:a7:4f:ee 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last 
  state DHCP_REQD (7)
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 5253, Adding TMP rule
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
  type = Airespace AP - Learn IP address
  on AP f0:25:72:3c:0f:20, slot 1, interface = 13, QOS = 0
  IPv4 ACL ID = 255, IP
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) 802.1P = 0, 
  DSCP = 0, TokenID = 7006  Local Bridging Vlan = 25, Local Bridging intf id = 
  12
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 
  ACL ID 255, IPv6 ACL ID 255)
00:21:6a:a7:4f:ee Stopping retransmission timer for mobile 00:21:6a:a7:4f:ee
00:21:6a:a7:4f:ee 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
00:21:6a:a7:4f:ee Sent an XID frame
00:21:6a:a7:4f:ee Username entry () already exists in name table, length = 253
00:21:6a:a7:4f:ee Username entry () created in mscb for mobile, length = 253
00:21:6a:a7:4f:ee Applying post-handoff policy for station 00:21:6a:a7:4f:ee - 
  valid mask 0x1000
00:21:6a:a7:4f:ee QOS Level: -1, DSCP: -1, dot1p: -1, Data Avg: -1, realtime 
  Avg: -1, Data Burst -1, Realtime Burst -1
00:21:6a:a7:4f:ee     Session: -1, User session: -1, User elapsed -1 Interface: 
  N/A, IPv4 ACL: N/A, IPv6 ACL:
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Change state to DHCP_REQD (7) last state
  DHCP_REQD (7)
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) pemCreateMobilityState 6370, Adding TMP 
  rule
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule type = 
  Airespace AP - Learn IP address on AP f0:25:72:3c:0f:20, slot 1, interface = 
  13, QOS = 0 IPv4 ACL ID = 255,
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) 802.1P = 0, 
  DSCP = 0, TokenID = 7006  Local Bridging Vlan = 25, Local Bridging intf id = 
  12
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 
  ACL ID 255, IPv6 ACL ID 255)
00:21:6a:a7:4f:ee Scheduling deletion of Mobile Station:  (callerId: 55) in 1800
  seconds
00:21:6a:a7:4f:ee Pushing IPv6: fe80:0000:0000:0000: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee apfMsRunStateInc
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Change state to RUN (20) last state RUN 
  (20)
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Reached PLUMBFASTPATH: from line 5776
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Change state to RUN (20) last state RUN (20)
00:21:6a:a7:4f:ee Pushing IPv6: 2001:0db8:0000:0020: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) State Update from Mobility-Incomplete to 
  Mobility-Complete, mobility role=Foreign, client state=APF_MS_STATE_ASSOCIATED
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Change state to RUN (20) last state RUN (20)
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Reached PLUMBFASTPATH: from line 4968
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Replacing Fast Path rule
  type = Airespace AP Client
  on AP f0:25:72:3c:0f:20, slot 1, interface = 13, QOS = 0
  IPv4 ACL ID = 255, IPv6 ACL ID = 25
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 
  0, TokenID = 7006  Local Bridging Vlan = 25, Local Bridging intf id = 12
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID
  255, IPv6 ACL ID 255)
00:21:6a:a7:4f:ee 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
00:21:6a:a7:4f:ee Set symmetric mobility tunnel for 00:21:6a:a7:4f:ee as in 
  Foreign role
00:21:6a:a7:4f:ee 0.0.0.0 Added NPU entry of type 1, dtlFlags 0x1
00:21:6a:a7:4f:ee Pushing IPv6: fe80:0000:0000:0000: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee Pushing IPv6: 2001:0db8:0000:0020: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee Copy AP LOCP - mode:0 slotId:1, apMac 0xf0:25:72:3c:f:20
00:21:6a:a7:4f:ee Copy WLAN LOCP EssIndex:3 aid:1 ssid:    Roam
00:21:6a:a7:4f:ee Copy Security LOCP ecypher:0x0 ptype:0x2, p:0x0, eaptype:0x6 
  w:0x1 aalg:0x0, PMState:        RUN
00:21:6a:a7:4f:ee Copy 802.11 LOCP a:0x0 b:0x0 c:0x0 d:0x0 e:0x0 protocol2:0x7 
  statuscode 0, reasoncode 99, status 3
00:21:6a:a7:4f:ee Copy CCX LOCP 4
00:21:6a:a7:4f:ee Copy e2e LOCP 0x1
00:21:6a:a7:4f:ee Copy MobilityData LOCP status:3, anchorip:0xac14e2c5
00:21:6a:a7:4f:ee Copy IPv6 LOCP: fe80::3057:534d:587d:73ae
00:21:6a:a7:4f:ee Copy IPv6 LOCP: 2001:db8:0:20:3057:534d:587d:73ae

有用的IPv6 CLI命令:

Show ipv6 neighbor-binding summary
Debug ipv6 neighbor-binding filter client <Client MAC> enable
Debug ipv6 neighbor-binding filter errors enable

常见问题

问:什么是最佳IPv6前缀大小为了限制广播域?

回答:虽然IPv6子网可以在/64之下细分,此配置将中断SLAAC并且导致与客户端连接的问题。如果分段是需要的为了减少主机数量,使用一个不同的IPv6前缀,接口组功能可以用于装载在不同的支持者VLAN中的平衡客户端,其中每一。

问:有没有任何可扩展性限制当谈到支持的IPv6客户端?

回答:IPv6客户端支持的主要可扩展性限制是记录所有无线客户端IPv6地址的邻接绑定表。此表每个控制器平台被扩展为了支持八乘的客户端最大(地址最大每个客户端)。IPv6绑定表的新增内容能提高控制器大致10-15%的内存使用在全负荷下,根据平台。

无线控制器 客户端最大 IPv6邻接绑定表大小
2500 500 4,000
5500 7,000 56,000
WiSM2 15,000 120,000

问:什么是IPv6功能影响在控制器的CPU和内存?

回答:因为CPU有处理的控制飞机,多个核心影响最小。当测试与最大支持的客户端,中的每一与8个IPv6地址, CPU使用情况在30%以下,并且内存使用在75%以下。

问:IPv6客户端支持能禁用?

回答:对于要启用在他们的网络的仅IPv4和阻塞IPv6的客户,拒绝所有流量IPv6 ACL可以使用和应用根据每个WLAN基本类型。

问:IPv6的是否是可能有IPv4的一WLAN和别的?

回答:有同一个SSID名称和安全类型操作在同样AP的两不同WLAN的是不可能的。对于IPv4客户端的分段从IPv6客户端的,必须创建两WLAN。必须配置每WLAN与阻塞各自所有IPv4或IPv6流量的ACL。

问:为什么是支持多个IPv6地址每个客户端重要的?

回答:客户端能有多个IPv6地址每可以是静态的接口, SLAAC或者DHCPv6总是分配除有之外一个自已分配的链路本地地址。使用不同的IPv6前缀,客户端能也有其它地址。

问:什么为什么是IPv6专用地址和是他们重要跟踪?

回答:私有(亦称临时)地址由客户端随机地生成,当SLAAC地址分配是在使用中的时。这些地址经常被转动以一个天的频率或如此,至于请防止将来自一直使用同一主机后缀的主机可追踪性(为时64位)。跟踪审计的目的这些专用地址例如跟踪版权侵犯是重要的。每次客户端漫游或设立个新会话,思科NCS由每个客户端记录所有IPv6地址在使用中和历史上记录他们。这些记录可以配置在至一年将保持的NCS。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 113427