【2022争霸赛*干货满满】使用vAD进行IPV6改造案例分享
  

新手703537 154937人觉得有帮助

{{ttag.title}}
本帖最后由 新手703537 于 2022-10-10 11:17 编辑

使用vAD进行IPV6改造案例分享
一、测试背景

       某学校需要在不改变网络结构的前提下,使校官网支持用户在IPV6环境下访问,已提前联系运营商在原有IPV4线路的基础上开通了IPV6的地址(v4v6双栈);希望使用AD的虚拟服务功完成这次改造。
二、测试准备

收集需要改造的网站域名并联系域名服务商做好4A记录
  AAAA  
www.*****.cn
240e:6a0:***:***:****::11
测试设备准备:使用OVA模板文件导入ESXI平台搭建虚拟AD,并规划好设备需要的IP
  原有防火墙  
虚拟AD
  240e:6a0: ***:***:****::10/68  
240e:6a0: ***:***:****::11/68(NET1)
  ***.200.200.1  
***.200.200.2(NET2)
从运营商处获得IPV6线路信息:
用户地址段:240e:6a0:***:***::/64
本端:240e:6a0:***:**::3/127
对端:240e:6a0:***:**::2/127
方案拓扑:
三、设备配置
3.1虚拟AD准备
社区下载AD7.0.8R5的OVA安装包,导入ESXI平台;开启虚拟机后可以进入后台配置管理IP,选择第二项进行配置。
       这边虚拟化平台将AD的四张网卡都桥接到了同一个物理口,由于后台配置IP时不可以配置网关,所以需要电脑直连ESXI服务器或者配置和管理IP同段的IP通过二层交换机才可以登录到虚拟AD的控制台。

3.2设备IP配置
       使用管理IP登录控制台,在后台配置的管理IP不会显示在管理口配置上面,需要手动再配置一次;正式环境中可以将管理口桥接到专用的虚拟交换机上,或者直接用业务IP管理设备。
       下面配置业务IP,需要配置V6和V4两个IP;选择NET1配置V6信息,选择WAN属性,填写网关IP即可;由于运营商给了/64位的用户段IP,考虑内网是三层环境,这里进行了IPV6的子网划分,将240e:6a0:***:***:****::11/68作为AD的互联IP,对端防火墙配置240e:6a0:***:***:****::10/68。
        然后选择NET2配置V4信息,选择LAN属性,填写DNS即可。确认了对端防火墙支持在同一物理接口下同时配置V4V6地址,所以当前虚拟化环境可以将AD的NET1/2接口对接防火墙的一个物理口;也可以在同一接口下同时配置V4V6地址实现V4V6双栈。
       完成防火墙内外网口的地址配置后,建议首先进行连通性测试;测试分为三个方面,1、AD到内网服务器的连通性,可以ping或者sock端口进行测试;2、如AD需要在线激活授权或者有天窗的配置需要保证AD可以连通ipv4外网,可以正常解析域名;3、设备V6地址的连通性,可以在设备控制台ping 240c::6666,同时从外网ping设备的V6地址进行测试。
3.3发布虚拟服务
       首先添加内网服务器到节点池,选择应用负载-节点池-新增,如果只有单台服务器则只要关注ip端口和健康检查配置,多台服务器需要配置权重以及其他优化选项;当前测试环境只涉及一台业务服务器。

       下面配置虚拟服务,选择应用负载-虚拟服务-新增,服务类型根据实际业务情况进行选择,当前环境是HTTP类型,IP地址填写4A记录里对应的V6地址,是用户实际访问的地址,需要注意这个IP需要同时配置在物理接口上才会生效;端口填写HTTP对应的80端口,节点池选择上一步添加的内网服务器,其他保持默认即可。
四、功能测试
首先需要搭建纯V6环境进行测试,建议电脑连接手机热点,确认获取到V6地址后关闭V4协议。
       然后确认域名4A记录是否已经做好,用nslookup命令解析域名查看返回结果中是否有V6地址,需要注意,解析结果与DNS服务器是V4还是V6无关。
测试环境和解析都没有问题后,可以在浏览器输入域名进行访问测试,正常情况就可以直接打开网站了。
五、注意事项
1、设备需要填写V4的默认路由,用作设备联网以及访问其他网段的服务器使用。
2、测试设备激活可以选择在线激活,先点击界面上申请授权的按钮,填写客户信息后授权账号就会短信发送到对应手机,然后选在线激活填写就行,需要保证设备可以联网。
3、运营商提供的V6地址通常有两种格式,一是只提供了一段/64位的地址段,互联地址包含在用户地址段中;另一种是同时提供/127位的互联地址和/64位的用户地址段;实施准备阶段需要提前确认好地址信息,如果不属于以上两种格式则需要联系运营商再次确认。
4、涉及到存在安全设备的情况可以先放通所有V6的流量,功能测试正常后再对V6流量进行安全策略的配置。

打赏鼓励作者,期待更多好文!

打赏
44人已打赏

SANGFOR_交付中心_gs 发表于 2022-10-11 11:36
  
感谢楼主的分享!文章主要是针对IPv6的测试场景,从vAD部署、配置、测试都文字加截图进行了介绍,还有一些注意事项,思路清晰,有条理;此文章对相关场景的项目或学习相关场景的知识都是很有帮助的
期待楼主更多的分享哦~
guhui 发表于 2024-10-21 09:40
  
感谢分享,学习一下~
何东升 发表于 2024-9-27 13:22
  
感谢分享,有助于工资和学习!
小明偷学 发表于 2024-8-17 09:51
  
感谢分享,学习一下~
头像被屏蔽
新手899116 发表于 2024-5-26 09:35
  
提示: 作者被禁止或删除 内容自动屏蔽
FuJun 发表于 2024-5-24 09:43
  
每天坚持打卡学习签到!!
头像被屏蔽
真男人 发表于 2024-5-23 20:22
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手078326 发表于 2024-3-23 10:59
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
JM 发表于 2024-3-15 09:49
  
提示: 作者被禁止或删除 内容自动屏蔽
新手719320 发表于 2024-3-12 16:31
  
感谢分享,有助于工资和学习!
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
社区新周刊
产品连连看
每日一问
干货满满
纪元平台
技术咨询
标准化排查
GIF动图学习
新版本体验
功能体验
社区帮助指南
信服课堂视频
技术盲盒
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人