F1000-AK1180防火墙
- 1关注
- 0收藏,374浏览
问题描述:
电信拨号网络带有IPV6,终端直接接光猫可以获取V6网络,但是AK1180防火墙接光猫后无法获取V6,是不是防火墙有什么开关或者设置需要打开
- 2024-01-25提问
- 举报
-
(0)
最佳答案
您好,防火墙需要配置IPV6
参考命令
ipv6 address auto link-local
ipv6 address dhcp-alloc
ipv6 dhcp client pd 1
- 2024-01-25回答
- 评论(0)
- 举报
-
(1)
暂无评论
您好,请知:
首先防火墙需要配置IPV6,然后接口加入安全域并放通基于IPV6的安全策略。
以下是配置案例,请参考:
组网如下:
模拟器FW不支持配置拨号口,使用路由器代替,如果使用FW,请放通local到g0/0所在的安全域以及g0/0所在的安全域到local的IPV6安全策略
本案例实现需求为Router 1和Router 2之间通过以太网接口相连,Router 1通过PPPoE接入Router 2,Router 2作为PPPoE Server通过DHCPv6协议给Router 1分配代理前缀,Router 1再通过代理前缀给下面的主机分配IPv6地址。
配置步骤
PPPOE SERVER即MSR2关键配置:
配置虚拟模板接口1的参数,采用PAP认证对端,配置本端IPv6地址,关闭对RA消息发布的抑制。并且打开IPV6 DHCP服务器功能
interface Virtual-Template1
ppp authentication-mode pap domain system
ipv6 dhcp select server
ipv6 address 2001::1/64
undo ipv6 nd ra halt
在GigabitEthernet0/1接口上启用PPPoE Server协议,将该以太网接口与虚拟模板接口1绑定。
interface GigabitEthernet0/0
port link-mode route
combo enable copper
pppoe-server bind virtual-template 1
配置DHCPv6前缀池6,包含的前缀为3001::/32,分配的前缀长度为42
ipv6 dhcp prefix-pool 6 prefix 3001::/32 assign-len 42
创建名称为pool1的DHCPv6地址池,在地址池下引用前缀池6
ipv6 dhcp pool pool
prefix-pool 6
配置PPPoE用户。
local-user user1 class network
password simple pass1
service-type ppp
authorization-attribute user-role network-operator
在ISP域下配置为用户授权地址池属性。
domain system
authorization-attribute ipv6-pool pool
MSR1的配置
Dialer从上到下的命令的意思依次是
配置MSR1被MSR2以PAP方式认证时MSR1发送的PAP用户名和密码;
在Dialer1接口上开启共享DDR;
配置PPPoE Client工作在永久在线模式;
配置DDR自动拨号的间隔时间为5秒;
配置dialer口自动生成IPV6链路本地地址;
配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数;
配置Dialer1接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀,该前缀编号1对应的IPv6前缀为DHCPv6客户端获取到的前缀;
interface Dialer1
ppp pap local-user user1 password simple pass1
dialer bundle enable
dialer timer idle 0
dialer timer autodial 5
ipv6 address auto link-local
ipv6 address dhcp-alloc
ipv6 dhcp client pd 1
G0/1口从上到下命令的意思依次是:
配置动态获取IPv6前缀的编号为1,即该接口将使用编号为1的前缀生成IPv6地址,并将编号为1的IPv6前缀通过RA报文分配给终端设备;
取消对RA消息发布的抑制
interface GigabitEthernet0/1
ipv6 address 1 123::123:1:1/64
undo ipv6 nd ra halt
interface GigabitEthernet0/0
port link-mode route
combo enable copper
pppoe-client dial-bundle-number 1
验证配置:
以上配置完成之后,在MSR1上查看可以看到MSR1已经分配到IPV6地址前缀3001::/42
[H3C]display ipv6 prefix
Number Prefix Type
1 3001::/42 Dynamic
在终端上查看,可以看到终端已经使用MS1分配的IPV6前置3001::/42生成IPV6全球单播地址
配置关键点
FW上注意配置安全策略,local到g0/0所在的安全域以及g0/0所在的安全域到local的IPV6安全策略
- 2024-01-25回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论