企业网/校园网 网关设备通过PPPoE接入向ISP请求前缀委派，让内网三层交换多Vlan获取ipv6地址

本文解决的问题是：如何在不改变现有网络拓扑的情况下，让位于多个不同vlan内网的客户机都用上IPv6，也就是网关设备需要获取ipv6 地址并通过前缀委派的方式获取一组ipv6子网，并将获取到的ipv6地址通过三层交换机的多个vlan接口，分别下发到内网每个vlan的每个设备上。

DHCPv6 Prefix Delegation ，简写为 PD，在本文中翻译为前缀委派，也有翻译为前缀委托、前缀授权等。

背景简述：

本文针对传统企业的常见网络架构模型：企业内部是由三层交换机统治的多个vlan组成的 多个ipv4 子网的内网，出口通过一台或者若干台网关设备（随手搜的图中EG），NAT模式转换为公网ipv4 地址，通过固定ip或 PPPoE接入线路连接因特网。

一般传统企业的常见网络架构工作模式可以用下述场景描述：

1. 内网存在多个功能区域或部门，不同区域之间的网段要分开（如监控、无线、电脑各一个网段）；
2. 每个网段的网关部署在三层核心设备上； 
3. 如公司内部需要划分多个部门网络，如财务部、行政部、技术部等，只需在交换机上增加对应的网段、VLAN、DHCP等配置

 传统的一条固定ip或 PPPoE接入线路只给eth、vlan、dialer0、ppp0 或者 tun0等等设备与ISP直接对接的设备接口提供了ipv4 地址，即使大多网关设备已经有能力支持获取ipv6 地址，也无法将ipv6 地址传播到内网中去。 

本文解决的问题是：如何在不改变现有网络拓扑的情况下，让位于多个不同vlan内网的客户机都用上IPv6，也就是网关设备需要获取ipv6 地址并通过前缀委派的方式获取一组ipv6子网，并将获取到的ipv6地址通过三层交换机的多个vlan接口，分别下发到内网每个vlan的每个设备上。

本文参考了前人的技术文档，相关链接如下：

在PPPoE拨号宽带上实现基于前缀委派（PD）的IPv6（Cisco路由器）

在PPPoE拨号环境下实现基于前缀委派（PD）的IPv6（H3C设备）

上文是在没有三层交换机的环境下，仅用一台路由器实现让内网的客户机也用上IPv6。

该实现的缺陷是，对稍大型的、带有三层交换机的企业网络需要改变网络拓扑，造成ipv6是在路由器内直通isp的，从而破环原有的安全防护通道（如防火墙、三层交换机acl等过滤手段），我们希望不改变网络拓扑，保留原网络的安全防护措施，于是有了本文的创作思路。

环境描述：

ISP一般提供了一个光猫，当前几乎所有的运营商光猫（电信、联通、移动）默认都是路由模式的，这里需要联系运营商更改为桥接模式，电信可以直接打10000更改，同时需要从ISP获得PPPoE账号和密码。

出口网关设备此处使用了FreeBSD路由器，这也是很多软路由的实现平台。具体用啥系统都可以，此处也可以用开源Linux 如Ubuntu，案例主要是解决工作原理，具体实现可以多样。
FreeBSD 路由器在此有三大功能：

1. WAN口桥接ISP提供的光猫和企业内部三层交换机的出口通道
2. 通过 PPPoE 获取WAN口IPv4地址和IPv6地址
3. 在WAN和LAN之间用ipv4 NAT技术实现让企业内部三层交换机的内网ipv4 出口。
4. 通过 DHCPv6c 获取 IPv6 PD （IPv6 前缀委派）并配置LAN口ipv6地址。

利用FreeBSD路由器实现最基础的出口 ipv4 pppoe 网关不是很复杂，处理 IPv4 的 NAT技术也很老了，所以1、2、3就不多赘述。

需要详细描述的是FreeBSD 路由器上的 IPv6 前缀委派，该技术在FreeBSD平台成型于2004年，但那时国内互联网都还在启动阶段，大家都在研究如何赚钱，没人关注基础技术研发。直到如今我才了解到，原来别人家的操作系统上的ipv6实现在20年前就已经成型了。

工作原理：

1. FreeBSD路由器通过dhcpv6 client 向提供商请求前缀。国外通常拿到的前缀是/56，国内运营商小器一点，实测在浙江，三家（电信、联通、移动）都是只给/60。
2. FreeBSD路由器 dhcpv6 client 给内部LAN接口配置运营商提供的前缀的 ipv6地址。
3. 路由器通过内部LAN接口与内网三层交换机对接，互相添加静态ipv6路由，内网三层交换机通知客户端使用有状态方式（即DHCPV6方式）获取IPV6地址和无状态方式（即使用IPV6网关RA报文发布的64位前缀，终端自动拼装64位后缀）获取IPV6地址。

先决条件：

1. 有两个或多个网络接口的x86 PC 主机。
2. FreeBSD 13.1（实测环境是 FreeBSD 13.1-release-p6 ）
3. KAME DHCP6（实测环境是 dhcp6-20080615.2 ）
4. rtadvd（FreeBSD 系统内置）

1.  
   uname -a
2.  
   FreeBSD 13.1-RELEASE-p6 FreeBSD 13.1-RELEASE-p6 GENERIC amd64
3.  
    
4.  
   pkg info | grep dhcp6
5.  
   dhcp6-20080615.2_3 KAME DHCP6 client, server, and relay

为实现上述三大功能，FreeBSD 路由器必须具有两个或以上千兆网口。但其实并不严格要求，如对接入带宽无感，仅验证技术的话，也可以用单臂路由配置多个vlan接口实现。

本文实验环境使用vmware esxi 虚拟机，单臂路由配置多个vlan接口实现。

本文实验环境实测点在浙江，三家（电信、联通、移动）都测试成功获取了/60前缀。

配置

示例中的网络接口名称由/etc/rc.conf 创建，约定如下：

vlan1072 是wan接口，对接ISP提供的光猫。此处配了192.168.1.227 是为了进光猫的web设置。
lagg0.36是 lan 接口，对接内部网络的三层交换机192.168.36.227是与三层交换机互联地址。
tun0 是pppoe 拨号虚接口，由/etc/rc.conf 创建，由/etc/ppp/ppp.conf 指定对接vlan1072。

/etc/rc.conf  添加如下配置（ipv4相关设置省略）：

1.  
   ifconfig_vmx0="up"
2.  
   cloned_interfaces="lagg0 vlan1072 tun0"
3.  
   ifconfig_lagg0="laggproto failover laggport vmx0 laggport em0"
4.  
   vlans_lagg0="36"
5.  
   #ifconfig_lagg0_36="192.168.36.227/24"
6.  
   ifconfig_vlan1072="inet 192.168.1.227/24 vlan 1072 vlandev lagg0"
7.  
    
8.  
   ppp_enable="YES"
9.  
   ppp_mode="ddial"
10.  
    ppp_profile="cuc"
11.  
     
12.  
    ipv6_cpe_wanif="tun0"
13.  
    ipv6_activate_all_interfaces="YES"
14.  
    ipv6_gateway_enable="YES"
15.  
    rtadvd_enable="YES"
16.  
    rtadvd_interfaces="lagg0.36"
17.  
     
18.  
    ifconfig_tun0_ipv6="inet6 accept_rtadv up"
19.  
    ifconfig_lagg0.36_ipv6="inet6 -accept_rtadv up"
20.  
     
21.  
    dhcp6c_enable="YES"
22.  
    dhcp6c_interfaces="tun0"

配置pppoe 拨号：

编辑/etc/ppp/ppp.conf：

1.  
   #CUC_1G_Down_100M_Up_PPPoE_0571012345678_123456
2.  
   cuc:
3.  
   set device PPPoE:vlan1072 # replace xl1 with your Ethernet device
4.  
   set authname 0571012345678
5.  
   set authkey 123456
6.  
   set dial
7.  
   set login
8.  
   add default HISADDR

请自行修改上面的device PPPoE:vlan1072、authname 0571012345678、authkey 123456。

cuc: 与/etc/rc.conf 中的ppp_profile="cuc"对应。

安装DHCPv6客户端：

重要：必备步骤。

dhcp6c 是向 ISP 请求前缀委派所必需的。
注意dhcp6c 不在 wan 接口上设置ipv6 地址，wan 口上ipv6 地址由pppoe 设置。
与路由器的 IPv6 通信是通过链路本地地址linklocal完成的。

使用 pkg 安装 KAME dhcp6c 客户端（或从ports 中的net/dhcp6 ）：

pkg install -y dhcp6

修改 /usr/local/etc/dhcp6c.conf：

1.  
   interface tun0 {
2.  
   #从ISP WAN 接口 向 ISP 申请前缀委派
3.  
   send ia-pd 0;
4.  
   request domain-name-servers;
5.  
   };
6.  
    
7.  
   id-assoc pd 0 {
8.  
   prefix-interface lagg0.36 {
9.  
   #申请到的前缀绑定到lan口= langg0.36
10.  
    sla-len 0;
11.  
    #sla-len 申请到的前缀删除位数。
12.  
    #如果ISP默认会将/60委派给我，如果我想获得/64，就从中删除4位。如 sla-len 4（声明删除的位数）。
13.  
    #如果ISP默认会将/56委派给我，如果我想获得/64，就从中删除8位。如 sla-len 8（声明删除的位数）。
14.  
    #先用0测试ISP默认委派的位数。实际使用需要计算到/64，实测国内三家运营商在浙江都用4
15.  
    sla-id 1;
16.  
    #测试阶段sla-len 0;时，sla-id 1;
17.  
    #实际使用阶段，sla-len 4;时，sla-id 0;
18.  
    };
19.  
    };

重启系统。

如果一切正常，FreeBSD 将获得对应接口的ipv6地址，输入命令
ifconfig tun0
ifconfig lagg0.36 以检测对应的ip获取情况。

并且默认会自动将sysctl net.inet6.ip6.rfc6204w3更改为1，输入命令

net.inet6.ip6.rfc6204w3 确认对应的sysctl 变量情况。

1.  
   [root@CUC227_PPPoE_1G_100M_up] ~# ifconfig tun0
2.  
   tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
3.  
   options=80000<LINKSTATE>
4.  
   inet6 fe80::250:569f:33ac:7385%tun0 prefixlen 64 scopeid 0x6
5.  
   inet6 2408:8240:5201:76e:250:569f:33ac:7385 prefixlen 64 autoconf
6.  
   inet 172.19.200.223 --> 172.19.200.1 netmask 0xffffffff
7.  
   groups: tun
8.  
   nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
9.  
   Opened by PID 1025
10.  
    [root@CUC227_PPPoE_1G_100M_up] ~# ifconfig lagg0.36
11.  
    lagg0.36: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
12.  
    options=4000002<TXCSUM,NOMAP>
13.  
    ether 00:50:56:ac:73:85
14.  
    inet6 2408:8240:5210:af70:250:56ff:feac:7385 prefixlen 60
15.  
    groups: vlan
16.  
    vlan: 36 vlanproto: 802.1q vlanpcp: 0 parent interface: lagg0
17.  
    media: Ethernet autoselect
18.  
    status: active
19.  
    nd6 options=41<PERFORMNUD,NO_RADR>
20.  
     
21.  
    [root@CUC227_PPPoE_1G_100M_up] ~# sysctl net.inet6.ip6.rfc6204w3
22.  
    net.inet6.ip6.rfc6204w3: 1

从上图可见，ISP给我方委派授权的ip地址已经绑定到lagg0.36，
其ip为2408:8240:5210:af70:250:56ff:feac:7385
前缀为：2408:8240:5210:af70 prefixlen 是/60，所以切分后，我方共有16个/64的ipv6 前缀可供分配，具体为2408:8240:5210:af70-2408:8240:5210:af7e，因为0已经被lagg0.36用掉，所以还有15个/64ipv6 前缀可供分配给其他vlan，就是2408:8240:5210:af70 ，因为是16进制数，最后一位可以是1-e/64。

配置三层交换机。

此处案例为一台华为S5720 三层交换机。参考链接：

FAQ-S5700 IPV6 DHCP SERVER配置- 华为

下面案例我选定了16进制数的最后一位e ，2408:8240:5210:af7e 这个/64前缀分配给vlan15，

将华为交换机的vlan 15，vlan 36 的三层接口ipv6 地址配置为每个段的第一个地址（将会自动充当ipv6路由接口）；

dhcp6 server 分配时排除前10个地址避免冲突。

配置如下：

1.  
   #
2.  
   ipv6
3.  
   #
4.  
   dhcp enable
5.  
   #
6.  
   dhcpv6 pool vlan15
7.  
   address prefix 2408:8240:5210:AF7E::/64
8.  
   excluded-address 2408:8240:5210:AF7E::1 to 2408:8240:5210:AF7E::10
9.  
   dns-server 2408:8888::8
10.  
    dns-server 2408:8899::8
11.  
    dns-domain-name mycompany.com
12.  
    #
13.  
    dhcpv6 pool vlan36
14.  
    address prefix 2408:8240:5210:AF70::/64
15.  
    excluded-address 2408:8240:5210:AF70::1 to 2408:8240:5210:AF70::10
16.  
    dns-server 2408:8888::8
17.  
    dns-server 2408:8899::8
18.  
    dns-domain-name mycompany.local
19.  
    #
20.  
    interface Vlanif15
21.  
    ipv6 enable
22.  
    ipv6 address 2408:8240:5210:AF7E::1/64
23.  
    ipv6 mtu 1432
24.  
    undo ipv6 nd ra halt
25.  
    ipv6 nd autoconfig managed-address-flag
26.  
    ipv6 nd autoconfig other-flag
27.  
    dhcpv6 server vlan15
28.  
    #
29.  
    interface Vlanif36
30.  
    ipv6 enable
31.  
    ipv6 address 2408:8240:5210:AF70::1/64
32.  
    ipv6 address auto link-local
33.  
    ipv6 mtu 1432
34.  
    undo ipv6 nd ra halt
35.  
    ipv6 nd autoconfig managed-address-flag
36.  
    ipv6 nd autoconfig other-flag
37.  
    dhcpv6 server vlan36
38.  
    #

上面vlan36 是互联接口，所以我们还需要：

配置ipv6路由

在华为交换机上添加默认互联接口的ip为ipv6 默认出口网关：

ipv6 route-static :: 0 2408:8240:5210:AF70:250:56FF:FEAC:7385

在FreeBSD 上对应添加对应的ipv6子网为回程路由（指向华为交换机的vlan 36 的三层接口ipv6 地址 2408:8240:5210:af70::1）

route add -6 2408:8240:5210:af70::1/60 2408:8240:5210:af70::1

完工测试：

• 先从三层交换机测试出口：

1.  
   【huawei]]ping ipv6 -a 2408:8240:5210:AF70::1 2408:8240:5210:AF70:250:56FF:FEAC:7385
2.  
   PING 2408:8240:5210:AF70:250:56FF:FEAC:7385 : 56 data bytes, press CTRL_C to break
3.  
   Reply from 2408:8240:5210:AF70:250:56FF:FEAC:7385
4.  
   bytes=56 Sequence=1 hop limit=64 time = 1 ms
5.  
   Reply from 2408:8240:5210:AF70:250:56FF:FEAC:7385
6.  
   bytes=56 Sequence=2 hop limit=64 time = 2 ms
7.  
   Reply from 2408:8240:5210:AF70:250:56FF:FEAC:7385
8.  
   bytes=56 Sequence=3 hop limit=64 time = 1 ms
9.  
   Reply from 2408:8240:5210:AF70:250:56FF:FEAC:7385
10.  
    bytes=56 Sequence=4 hop limit=64 time = 1 ms
11.  
    Reply from 2408:8240:5210:AF70:250:56FF:FEAC:7385
12.  
    bytes=56 Sequence=5 hop limit=64 time = 2 ms
13.  
     
14.  
    --- 2408:8240:5210:AF70:250:56FF:FEAC:7385 ping statistics ---
15.  
    5 packet(s) transmitted
16.  
    5 packet(s) received
17.  
    0.00% packet loss
18.  
    round-trip min/avg/max = 1/1/2 ms

•  再测一下ping v6 的dns：

1.  
   【Huawei】ping ipv6 -a 2408:8240:5210:AF70::1 2408:8888::8
2.  
   PING 2408:8888::8 : 56 data bytes, press CTRL_C to break
3.  
   Reply from 2408:8888::8
4.  
   bytes=56 Sequence=1 hop limit=60 time = 5 ms
5.  
   Reply from 2408:8888::8
6.  
   bytes=56 Sequence=2 hop limit=60 time = 5 ms
7.  
   Reply from 2408:8888::8
8.  
   bytes=56 Sequence=3 hop limit=60 time = 4 ms
9.  
   Reply from 2408:8888::8
10.  
    bytes=56 Sequence=4 hop limit=60 time = 5 ms
11.  
    Reply from 2408:8888::8
12.  
    bytes=56 Sequence=5 hop limit=60 time = 5 ms
13.  
     
14.  
    --- 2408:8888::8 ping statistics ---
15.  
    5 packet(s) transmitted
16.  
    5 packet(s) received
17.  
    0.00% packet loss
18.  
    round-trip min/avg/max = 4/4/5 ms

• 从vlan 15 接口地址发测试包：

1.  
   【huawei】ping ipv6 -a 2408:8240:5210:AF7e::1 2408:8888::8
2.  
   PING 2408:8888::8 : 56 data bytes, press CTRL_C to break
3.  
   Reply from 2408:8888::8
4.  
   bytes=56 Sequence=1 hop limit=60 time = 6 ms
5.  
   Reply from 2408:8888::8
6.  
   bytes=56 Sequence=2 hop limit=60 time = 7 ms
7.  
   Reply from 2408:8888::8
8.  
   bytes=56 Sequence=3 hop limit=60 time = 11 ms
9.  
   Reply from 2408:8888::8
10.  
    bytes=56 Sequence=4 hop limit=60 time = 7 ms
11.  
    Reply from 2408:8888::8
12.  
    bytes=56 Sequence=5 hop limit=60 time = 7 ms
13.  
     
14.  
    --- 2408:8888::8 ping statistics ---
15.  
    5 packet(s) transmitted
16.  
    5 packet(s) received
17.  
    0.00% packet loss
18.  
    round-trip min/avg/max = 6/7/11 ms

• 从另一家ISP 运营商地址 ipv6 ping vlan 15 的接口地址 2408:8240:5210:AF7e::1 ：

1.  
   【CTC_PPPoE】 /usr/local/etc# ping 2408:8240:5210:AF7E::1
2.  
   PING6(56=40 8 8 bytes) 240e:390:5272:e40a:250:56ff:feac:1375 --> 2408:8240:5210:af7e::1
3.  
   16 bytes from 2408:8240:5210:af7e::1, icmp_seq=0 hlim=55 time=11.027 ms
4.  
   16 bytes from 2408:8240:5210:af7e::1, icmp_seq=1 hlim=55 time=11.004 ms
5.  
   16 bytes from 2408:8240:5210:af7e::1, icmp_seq=2 hlim=55 time=11.283 ms
6.  
   16 bytes from 2408:8240:5210:af7e::1, icmp_seq=3 hlim=55 time=10.867 ms
7.  
   16 bytes from 2408:8240:5210:af7e::1, icmp_seq=4 hlim=55 time=11.027 ms
8.  
   16 bytes from 2408:8240:5210:af7e::1, icmp_seq=5 hlim=55 time=10.922 ms
9.  
   16 bytes from 2408:8240:5210:af7e::1, icmp_seq=6 hlim=55 time=11.325 ms
10.  
    ^C
11.  
    --- 2408:8240:5210:AF7E::1 ping6 statistics ---
12.  
    7 packets transmitted, 7 packets received, 0.0% packet loss
13.  
    round-trip min/avg/max/std-dev = 10.867/11.065/11.325/0.161 ms

• 检查vlan 15 下的PC获取ipv6 地址：

1.  
   C:\Windows\system32>ipconfig /renew6
2.  
    
3.  
   Windows IP 配置
4.  
    
5.  
   以太网适配器 Ethernet0:
6.  
    
7.  
   连接特定的 DNS 后缀 . . . . . . . : mycompany.com
8.  
   IPv6 地址 . . . . . . . . . . . . : 2408:8240:5210:af7e::11
9.  
   IPv6 地址 . . . . . . . . . . . . : 2408:8240:5210:af7e:4c2:47ab:757e:cd59
10.  
    临时 IPv6 地址. . . . . . . . . . : 2408:8240:5210:af7e:61f1:4f8a:e2b6:16cf
11.  
    本地链接 IPv6 地址. . . . . . . . : fe80::4c2:47ab:757e:cd59%4
12.  
    自动配置 IPv4 地址 . . . . . . . : 169.254.205.89
13.  
    子网掩码 . . . . . . . . . . . . : 255.255.0.0
14.  
    默认网关. . . . . . . . . . . . . : fe80::3abc:1ff:feb2:4d48%4

 

• ping 各个网关测试略， ping dns 测试：

1.  
   C:\Windows\system32>ping 2408:8899::8
2.  
    
3.  
   正在 Ping 2408:8899::8 具有 32 字节的数据:
4.  
   来自 2408:8899::8 的回复: 时间=8ms
5.  
   来自 2408:8899::8 的回复: 时间=8ms
6.  
   来自 2408:8899::8 的回复: 时间=8ms
7.  
   来自 2408:8899::8 的回复: 时间=8ms
8.  
    
9.  
   2408:8899::8 的 Ping 统计信息:
10.  
    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，
11.  
    往返行程的估计时间(以毫秒为单位):
12.  
    最短 = 8ms，最长 = 8ms，平均 = 8ms

• 从从另一家ISP 运营商地址 ipv6 ping  内网 vlan 15 的PC 地址 2408:8240:5210:AF7e::11 ：

1.  
   # ping 2408:8240:5210:AF7E::11
2.  
   PING6(56=40 8 8 bytes) 240e:390:1272:e40a:250:56ff:feac:1375 --> 2408:8240:5210:af7e::11
3.  
   16 bytes from 2408:8240:5210:af7e::11, icmp_seq=0 hlim=54 time=13.525 ms
4.  
   16 bytes from 2408:8240:5210:af7e::11, icmp_seq=1 hlim=54 time=13.502 ms
5.  
   16 bytes from 2408:8240:5210:af7e::11, icmp_seq=2 hlim=54 time=13.849 ms
6.  
   16 bytes from 2408:8240:5210:af7e::11, icmp_seq=3 hlim=54 time=13.555 ms
7.  
   16 bytes from 2408:8240:5210:af7e::11, icmp_seq=4 hlim=54 time=13.679 ms
8.  
   --- 2408:8240:5210:AF7E::11 ping6 statistics ---
9.  
   5 packets transmitted, 5 packets received, 0.0% packet loss
10.  
    round-trip min/avg/max/std-dev = 13.439/13.636/13.903/0.167 ms

• PC 访问 http://ipv6.test-ipv6.com/

•  使用 vnc 通过ipv6 远程控制 PC：

补充：如用于生产环境需要考虑以下因素：

国内运营商都只给/60的委派授权，最多只能拆成16个/64的子网，去除互联的一个，实际只能供15个vlan分配地址。生产环境最好能申请更大委派授权，比如/56

因为是PPPoE动态地址，每次断电、重启、PPPoE超时重拨号（每家运营商都会在一定周期断开重拨，一般是24小时的整数倍）都会导致三层交换机配置的ipv6地址失效。我目前的想法是检测到ipv6地址变化时，自行撰写bash expect脚本命令行登录交换机，使用命令行盲交互的方式自动修改对应的ipv6设置。生产环境最好能申请固定ipv6子网委派授权。

三层交换机默认的ipv6地址租约是3天，对动态地址的情况不友好，建议改短，并人为将PPPoE 重拨时间优化到午夜，以便各PC、移动终端在第二天获取到新的、具有较长有效期（不会在使用时突然因ipv6地址变更而中断）的ipv6地址。

ipv6 dns 优先级会比ipv4 dns 优先级高，如果企业内部有ipv4 dns server，为降低内网应用响应时间不影响业务，也需要创建一个具有ipv6 aaaa 记录的内部 ipv6 dns server 替换掉案例中的2408:8888::8 

注：本文范例的所有ipv6 地址均已修改以掩藏真实地址。

附：全国运营商DNS服务器IPv4&IPv6地址记录  

附：IPV6 DHCPv6-PD 前缀子网拆解

这篇好文章是转载于：学新通技术网