ADC

配置 IPv6 OSPF

IPv6 OSPF 或 OSPF 版本 3 (OSPF v3) 是用于交换 IPv6 路由信息的链路状态协议。启用 IPv6 OSPF 后,您需要配置 IPv6 OSPF 路由的通告。要进行故障排除,您可以限制 IPv6 OSPF 传播。您可以显示 IPv6 OSPF 设置来验证配置。

IPv6 OSPF 的先决条件

在开始配置 IPv6 OSPF 之前,请执行以下操作:

  • 确保您了解 IPv6 OSPF 协议。
  • 在 Citrix ADC 设备上安装 IPv6pt 许可证。
  • 启用 IPv6 功能。

宣传 IPv6 路由

IPv6 OSPF 使上游路由器能够在两个独立 Citrix ADC 设备上托管的两个相同虚拟服务器之间进行负载平衡流量。路由广告使上游路由器能够跟踪位于 Citrix ADC 后面的网络实体。

要使用 VTYSH 命令行将 IPv6 OSPF 配置为通告 IPv6 路由,请执行以下操作:

在命令提示符下,按所示顺序键入以下命令:

命令 说明
VTYSH 显示 VTYSH 命令提示符。
configure terminal 进入全局配置模式。
router ipv6 OSPF 启动 IPv6 OSPF 路由进程,然后进入路由过程的配置模式。
重新分发静态 重新分配静态路由。
redistribute kernel 重新分发内核路由。

示例:


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# redistribute static
NS(config-router)# redistribute kernel
<!--NeedCopy-->

限制 IPv6 OSPF 传播

如果需要对配置进行故障排除,可以使用 VTYSH 在任何给定的 VLAN 上配置只听模式。

要使用 VTYSH 命令行限制 IPv6 OSPF 传播,请执行以下操作:

在命令提示符下,按所示顺序键入以下命令:

命令 说明
VTYSH 显示 VTYSH 命令提示符。
configure terminal 进入全局配置模式。
router ipv6 OSPF 启动 IPv6 OSPF 路由进程,然后进入路由过程的配置模式。
passive-interface < vlan_name > 禁止绑定到指定 VLAN 的接口上的路由更新。

示例:


>VTYSH
NS# configure terminal
NS(config)# router ipv6 OSPF
NS(config-router)# passive-interface VLAN0
<!--NeedCopy-->

验证 IPv6 OSPF 配置

您可以使用 VTYSH 显示 IPv6 OSPF 当前邻居和 IPv6 OSPF 路由。

要使用 VTYSH 命令行查看 IPv6 OSPF 设置,请执行以下操作:

在命令提示符下,按所示顺序键入以下命令:

命令 说明
VTYSH 显示 VTYSH 命令提示符。
sh ipv6 OSPF neighbor 显示当前的邻居。
sh ipv6 OSPF route 显示 IPv6 OSPF 路由。

示例:


>VTYSH
NS# sh ipv6 OSPF neighbor
NS# sh ipv6 OSPF route
<!--NeedCopy-->

OSPFv3 身份验证

为确保 OSPFv3 数据包的完整性、数据源身份验证和数据机密性,必须在 OSPFv3 对等体上配置 OSPFv3 身份验证。

Citrix ADC 设备支持 OSPFv3 身份验证,并且部分符合 RFC 4552。OSPFv3 身份验证基于两种 IPsec 协议:身份验证报头 (AH) 和封装安全有效负载 (ESP)。Citrix ADC 设备仅支持用于 OSPFv3 身份验证的 AH 协议。

OSPFv3 身份验证在 OSPFv3 对等体之间使用手动定义的 IPsec 安全关联 (SA),并且不依赖 IKE 协议来形成动态 SA。手动 SA 定义了要在对等体之间使用的安全参数索引 (SPI) 值、算法和密钥。手动 SA 不需要对等体之间的协商;因此,必须在两个对等体上定义相同的 SA。

您可以在 VLAN 或 OSPFv3 区域上配置 OSPFv3 身份验证。配置 VLAN 时,这些设置将应用于作为 VLAN 成员的所有接口。为 OSPF 区域配置 OSPFv3 身份验证时,这些设置将应用于该区域中的所有 VLAN。这些设置依次应用于属于这些 VLAN 的所有接口。这些设置不适用于直接配置了 OSPFv3 身份验证的成员 VLAN。

在 Citrix ADC 设备上配置 OSPFv3 身份验证之前,请考虑以下几点和限制:

  • 确保您了解 RFC 4552 中介绍的 OSPFv3 身份验证的不同组件。
  • OSPFv3 身份验证只支持身份验证标头协议。不支持封装安全有效负载 (ESP)。
  • 必须在对等接口上定义具有相同设置的 SA。
  • 不支持重新设置手动密钥。

若要使用 VTYSH 命令行在 VLAN 上配置 OSPFv3 身份验证,请执行以下操作:

在命令提示符下,按所示顺序键入以下命令:OSPFv3 身份验证 VLAN 命令

示例:

> VTYSH NS# configure terminal
NS(config)# interface vlan2
NS(config-if)# ipv6 ospf authentication ipsec spi 256 md5 123456789ABCDEF0123456789ABCDEF0
<!--NeedCopy-->

若要使用 VTYSH 命令行在 OSPF 区域上配置 OSPFv3 身份验证,请执行以下操作:

在命令提示符处,按所示顺序键入以下命令:OSPFv3 身份验证 OSPF 区域命令

示例:

> VTYSH NS# configure terminal
ns(config)#router ipv6 ospf 30
ns(config-router)# area 1 authentication ipsec spi 256 md5123456789ABCDEF0123456789ABCDEF0
<!--NeedCopy-->

为 IPv6 OSPF 配置正常重启

在配置路由协议的非 INC 高可用性 (HA) 设置中,在故障转移之后,路由协议将被收敛,并了解新主节点与相邻邻路由器之间的路由。路线学习需要一些时间才能完成。在此期间,数据包的转发会延迟,网络性能可能会中断,数据包可能会丢弃。

正常重启允许在故障转移期间进行 HA 设置,以指示其相邻的路由器不要从其路由数据库中删除旧主节点的学习路由。使用旧主节点的路由信息,新的主节点和相邻的路由器会立即开始转发数据包,而不会影响网络性能。

注意:

INC 模式下的高可用性设置不支持正常重启。

要使用 VTYSH 命令行为 IPv6 OSPF 配置正常重启,请在命令提示符下键入以下命令,按所示顺序:

命令 示例 命令描述
VTYSH

VTYSH

进入 VTYSH 命令提示符。
configure terminal NS# configure terminal 进入全局配置模式。
router-id id> NS(config)#router-id 1.1.1.1 为 Citrix ADC 设备设置路由器标识符。此标识符为所有动态路由协议设置。必须在高可用性设置中的另一个节点中指定相同的 ID,才能在高可用性设置中正常运行,才能在 HA 设置中正常工作。
IPv6ospf restart grace-period <1-1800> NS(config)# IPv6ospf restart grace-period 170 指定将在帮助程序设备中保留路由的宽限期(以秒为单位)。默认值:120 秒。
IPv6 ospf restart helper max-grace-period <1-1800> NS(config)# IPv6 ospf restart helper max-grace-period 180 这是一个可选命令,用于限制 Citrix ADC 设备将处于帮助模式的最大宽限期。如果 Citrix ADC 设备收到宽限期大于设置的帮助程序最大宽限期的不透明 LSA,则会丢弃 LSA,Citrix ADC 不会置于帮助程序模式。
interface NS(config)#interface vlan3 进入 VLAN 配置模式。
ipv6 router ospf area tag NS(config-if)#ipv6 router ospf area 0 tag 1 在 VLAN 上启动 IPv6 OSPF 路由过程。
exit NS(config-if)#exit 退出 VLAN 配置模式。
router ipv6 ospf NS(config)# router ipv6 ospf 1 启动 IPv6 OSPF 路由进程并进入路由进程的配置模式。
capability restart graceful NS(config-router)#capability restart graceful 在 IPv6 OSPF 路由过程中启用正常重启。
redistribute kernel NS(config-router)# redistribute kernel 重新分发内核路由。
配置 IPv6 OSPF