IPv6 implementeren in softwaregedefinieerde toegang
Inhoud
Inleiding
Dit document beschrijft hoe u IPv6 kunt implementeren in Cisco® Softwaregedefinieerde toegang (SD-Access).
Achtergrondinformatie
IPv4 werd in 1983 uitgebracht en is nog steeds in gebruik voor het grootste deel van het internetverkeer. De 32-bits IPv4-adressering maakte meer dan 4 miljard unieke combinaties mogelijk. Door de toename van het aantal klanten met internetverbinding is er echter een tekort aan unieke IPv4-adressen. In de jaren 90 werd de uitputting van IPv4-adressering onvermijdelijk.
Vooruitlopend hierop introduceerde de Internet Engineering Taskforce de IPv6-standaard. IPv6 maakt gebruik van 128 bits en biedt 340 undecillion unieke IP-adressen, wat meer dan genoeg is om te voldoen aan de behoefte aan verbonden apparaten die groeien. Aangezien steeds modernere eindpuntapparaten dual-stack en/of één IPv6-stack ondersteunen, is het van cruciaal belang dat elke organisatie klaar is voor de invoering van IPv6. Dit betekent dat de gehele infrastructuur klaar moet zijn voor IPv6. Cisco SD-Access is de evolutie van traditionele campusontwerpen naar de netwerken die de intentie van een organisatie direct implementeren. Cisco Software Defined Networks is nu klaar om te worden aangesloten op dual-stack (IPv6-apparaten).
Een belangrijke uitdaging voor elke organisatie bij de invoering van IPV6 is het veranderingsbeheer en de complexiteit die verband houden met de migratie van bestaande IPv4-systemen naar IPv6. Dit artikel bevat alle informatie over de ondersteuning van IPv6-functies op Cisco ISDN, strategie en kritische pitspotpunten, die moeten worden verwerkt wanneer u IPv6 met Cisco-softwaregedefinieerde netwerken overneemt.
In augustus 2019 werd Cisco DNA Center versie 1.3 voor het eerst geïntroduceerd met ondersteuning van IPv6. In deze release ondersteunde het Cisco SD-Access campusnetwerk het IP-adres van de host met bekabelde en draadloze clients in IPv4, IPv6 of IPv4v6 Dual-stack van het overlay fabric-netwerk. De oplossing is om voortdurend te evolueren om nieuwe functies en functionaliteiten te brengen die gemakkelijk aan boord van de IPv6 voor elke onderneming.
Cisco SD-Access met IPv6-architectuur
Fabric-technologie, een integraal onderdeel van SD-Access, biedt bekabelde en draadloze campusnetwerken met programmeerbare overlay en eenvoudig te implementeren netwerkvirtualisatie, die een fysiek netwerk in staat stelt om een of meer logische netwerken te hosten om aan de ontwerpintentie te voldoen. Naast netwerkvirtualisatie verbetert de fabrictechnologie in het campusnetwerk de controle van communicatie, die software-gedefinieerde segmentatie en beleidshandhaving op basis van gebruikersidentiteit en groepslidmaatschap biedt. De gehele Cisco SDN-oplossing werkt op het DNA van het weefsel. Daarom is het van cruciaal belang om elke pijler van de oplossing te begrijpen met betrekking tot IPv6-ondersteuning.
· Underlay - IPv6-functionaliteit voor Overlay is afhankelijk van de onderlay, aangezien de IPv6-overlay gebruik maakt van de IPv4 underlay IP-adressering om LISP-besturingsplane en VxLAN-dataplatformtunnels te maken. U kunt de dual-stack altijd inschakelen voor het onderliggende routeringsprotocol, alleen de SD-Access overlay LISP hangt alleen af van de IPv4-routing. (Deze eis geldt voor de huidige versie van DNA-C (2.3.x) en wordt verwijderd in latere versies, waarbij de onderlegger uitsluitend uit twee of één IPv6-stack kan bestaan).
· Overlay - Als het over de overlay gaat, ondersteunt SD-Access zowel bekabelde als draadloze endpoints die alleen IPv6 ondersteunen. Dat IPv6-verkeer is ingekapseld in IPv4- en VxLAN-header binnen de SD-Access-fabric totdat ze de fabric-border-knooppunten bereiken. De fabric border-knooppunten decapsuleren de IPv4- en VxLAN-header, die vanaf dat moment het normale IPv6 unicast-routingproces volgt.
· Control Plane Nodes - De Control Plane-knooppunt is zo geconfigureerd dat alle IPv6-hostsubnetten en de /128-hostroutes binnen het subnetbereik in de afbeeldingsdatabase kunnen worden geregistreerd.
· Grensknooppunten - Op de grensknooppunten is IPv6 BGP-peer met fusieapparaten ingeschakeld. Het border-knooppunt decapsuleert de IPv4-header van het fabric-uitgangsverkeer terwijl het IPv6-toegangsverkeer ook door de border-knooppunten wordt ingekapseld met de IPv4-header.
· Fabric Edge - Alle SVI's die in Fabric Edge zijn geconfigureerd, moeten IPv6 zijn. Deze configuratie wordt gedrukt door de DNA Center Controller.
· Cisco DNA Center - De fysieke interfaces van Cisco DNA Center ondersteunen geen dubbele stack vanaf het moment dat dit document wordt gepubliceerd. Het kan slechts in één stapel met of IPv4 of IPv6 slechts in de beheer en of ondernemingsinterfaces van het Centrum van DNA opstellen.
· Clients - Cisco® softwaregedefinieerde toegang (SD-Access) ondersteunt dubbele stack (IPv4&IPv6) of één stack, IPv4 of IPv6. Echter, in het geval van een IPv6 enkele stack wordt geïmplementeerd, vereist DNA Center nog steeds om een dual-stack pool te creëren om een IPv6-client alleen te ondersteunen. De IPv4 in de dual-stack pool is alleen een dummy-adres omdat de IPv6 van de client naar verwachting het IPv4-adres zal uitschakelen.
IPv6-overlay architectuur in Cisco softwaregedefinieerde toegang.
IPv6-overlay-architectuur
IPv6 met Cisco DNA-Center inschakelen
Er zijn twee manieren om de IPv6-pool in het Cisco DNA Center in te schakelen:
1. Een nieuwe IPv4/v6-pool met dubbele stack maken - greenfield
2. IPv6 bewerken in de IPv4-pool die al bestaat - bruinfield-migratie
De huidige release (tot 2.3.x) van DNA Center ondersteunt IPv6 niet alleen een pool als de gebruiker van plan is om een enkele/native IPv6-adressenclient te ondersteunen, een dummy IPv4-adres moet worden gekoppeld aan de IPv6-pool. Houd er rekening mee dat uit de geïmplementeerde IPv4-pool die al bestaat met een site die er aan is gekoppeld, en bewerk de pool met een IPv6-adres, DNA Center de migratieoptie voor de SD-Access Fabric biedt, waarvoor de gebruiker de stof voor die site opnieuw moet provisioneren. In de Fabric waar de site thuishoort, wordt een waarschuwingsindicator weergegeven die aangeeft dat Fabric de fabric moet 'herconfigureren'. Zie deze afbeeldingen voor voorbeelden.
Verbetering van één IPv4-pool naar dubbele stack-pool door IPv4-pooloptie te bewerken
Fabric heeft een waarschuwingsindicator die 'de stof opnieuw moet configureren'
De gebruiker moet op 'materiaal aanpassen' klikken om de fabricknooppunten automatisch opnieuw te provisioneren, zodat de configuratie met twee stapels als onderdeel van het migratieproces van kracht kan worden
Ontwerpoverwegingen met IPv6 in Cisco SD-Access
Hoewel voor de Cisco SD-Access clients, kunnen ze werken met dubbele stack of IPv6-alleen netwerkinstellingen. De huidige SD-Access fabric-implementatie met DNA Center SW-versie tot 2.3.x.x heeft enkele overwegingen over de IPv6-implementatie.
· Cisco SD-Access ondersteunt IPv4 onderliggende routeringsprotocollen. Zodoende wordt het IPv6-clientverkeer getransporteerd wanneer het wordt ingekapseld in IPv4-headers. Dit is een vereiste voor de huidige LISP software-implementatie. Maar het betekent niet dat de onderlaag geen IPv6 routingprotocol kan toelaten, alleen de SD-Access overlay LISP werkt niet op zijn afhankelijkheid.
· IPv6 native multicast wordt niet ondersteund vanwege de onderliggende stof kan momenteel alleen IPv4 zijn.
· Gastradio kan alleen worden uitgevoerd met de dubbele stack. Door de huidige ISE-release (bijvoorbeeld tot 3.2) wordt het IPv6-gastportaal niet ondersteund, waardoor een IPv6-gast-client niet kan worden geverifieerd.
· IPv6-automatisering van QoS-beleid voor toepassingen wordt niet ondersteund in de huidige versie van DNA Center. Dit document beschrijft de stappen die nodig zijn om IPv6 QoS te implementeren voor bekabelde en draadloze dual-stack clients in Cisco SD-Access die op grote schaal voor een van de gebruikers zijn geïmplementeerd.
· De functie voor het beperken van de draadloze clientsnelheid voor downstream en upstream verkeer per SSID of per client op basis van beleid wordt ondersteund voor IPv4 (TCP/UDP) en IPv6 (alleen TCP). IPv6 UDP-snelheidsbeperking wordt nog niet ondersteund.
· IPv4-pool kan worden geüpgraded naar een dual-stack pool. Maar een dual-stack pool kan niet worden gedegradeerd naar een IPv4 pool. Als de gebruiker de dual-stack pool wil verwijderen naar IPv4 single-stack pool, moet hij de hele dual-stack pool vrijgeven.
· Eén IPv6 wordt nog niet ondersteund, terwijl in het huidige DNA Center alleen IPv4- of dual-stack-pool kan worden gemaakt
· Het platform van Cisco IOS®-XE is een minimale softwareversie van 16.9.2 en hoger.
· IPv6 Guest Wireless wordt nog niet ondersteund op Cisco IOS-XE-platforms, terwijl AireOS (8.10.105.0+) een tijdelijke oplossing ondersteunt.
· Dual-stack pool kan niet worden toegewezen in de INFRA_VN waar alleen AP of Extended Node pool kan worden toegewezen.
· LAN-automatisering ondersteunt IPv6 nog niet.
Naast de eerder genoemde beperkingen, wanneer u een SD-Access-stof met IPv6 ingeschakeld ontwerpt, moet u altijd de
schaalbaarheid van elke component van het weefsel in het achterhoofd. Als een eindpunt meerdere IPv4- of IPv6-adressen heeft, wordt elk adres geteld als een afzonderlijk item.
De ingangen van de stof omvatten toegangspunten en klassieke en beleid-uitgebreide knooppunten.
Aanvullende overwegingen met betrekking tot de schaal van grensknooppunten:
/32 (IPv4) of /128 (IPv6) vermeldingen worden gebruikt wanneer het grensknooppunt verkeer van buiten de stof doorstuurt naar een host in de stof.
Voor alle switches behalve Cisco Catalyst 9500 Series hoogwaardige Switches en Cisco Catalyst 9600 Series Switches:
● IPv4 gebruikt één TCAM-ingang (fabric host-vermeldingen) voor elk IPv4 IP-adres.
● IPv6 gebruikt twee TCAM-vermeldingen (fabric host-vermeldingen) voor elk IPv6 IP-adres.
Voor de Cisco Catalyst 9500 Series hoogwaardige Switches en Cisco Catalyst 9600 Series Switches:
● IPv4 gebruikt één TCAM-ingang (fabric host-vermeldingen) voor elk IPv4 IP-adres.
● IPv6 gebruikt één TCAM-ingang (fabric host-vermeldingen) voor elk IPv6 IP-adres.
En sommige van de eindpunten ondersteunen DHCPv6 niet zoals op Android OS gebaseerde smartphones die op SLAAC vertrouwen om IPv6-adressen te krijgen. Een enkel eindpunt kan uiteindelijk meer dan twee IPv6-adressen hebben. Dit gedrag verbruikt meer hardwarebronnen op elk fabric-knooppunt, met name voor de fabric-rand en controleknooppunten. Bijvoorbeeld, telkens als de grensknoop verkeer naar de randknooppunten voor om het even welk eindpunt wil verzenden, installeert het een gastheerroute in de ingang TCAM en brandt een VXLAN nabijheidsingang in HW TCAM.
Bedrade en draadloze clientverbindingen en gespreksstromen
Zodra de client is verbonden met de Fabric Edge, zijn er verschillende manieren waarop de client de IPv6-adressen krijgt. Deze paragraaf behandelt de meest gebruikelijke manier om IPv6-adressering van clients, namelijk SLAAC en DHCPv6, te implementeren.
IPv6-adrestoewijzing - SLA
De SLAAC in SDA verschilt niet van de standaard SLAAC processtroom. Om SLAAC goed te laten werken, moet de IPv6-client worden geconfigureerd met een link-lokaal adres in de interface, hoe de client zich automatisch configureert met het link-lokaal adres valt buiten het bereik van dit document.
IPv6-adrestoewijzing - SLAAC
Beschrijving Call Flow:
Stap 1. Nadat de IPv6-client zichzelf heeft geconfigureerd met een IPv6-link-lokaal adres, stuurt de client een ICMPv6-routerverzoek (RS) naar Fabric Edge. Het doel van dit bericht is het globale unicastprefix van zijn verbonden segment te verkrijgen.
Stap 2. Nadat de fabric edge het RS-bericht ontvangt, reageert het terug met een ICMPv6 Router Advertisement (RA) bericht dat het globale IPv6 unicast prefix en de lengte binnen bevat.
Stap 3. Zodra de klant het RA-bericht heeft ontvangen, combineert hij het algemene IPv6-unicastvoorvoegsel met zijn EUI-64-interfaceherkenningsteken om zijn unieke IPv6 wereldwijde unicastadres te genereren en stelt hij zijn gateway in op het link-lokale adres van het SVI van de fabric edge dat verband houdt met het segment van de klant. Vervolgens stuurt de client een ICMPv6 Neighbour Solicitation-bericht om dubbele adredetectie (DAD) uit te voeren om ervoor te zorgen dat het IPv6-adres dat het krijgt uniek is.
Opmerking: alle SLAAC-berichten worden ingesloten met het lokale SVI IPv6-adres van de client en de fabric-knooppunt.
IPv6-adrestoewijzing - DHCPv6
IPv6-adrestoewijzing - DHCPv6
Beschrijving Call Flow:
Stap 1. De client stuurt het DHCPv6-verzoek naar de fabric edge.
Stap 2. Wanneer de fabric edge het DHCPv6-verzoek ontvangt, zal het het DHCPv6 Relay-forward bericht gebruiken om het verzoek naar de fabric border met DHCPv6-optie 18 unicast. Vergeleken met DHCP-optie 82, codeert de DHCPv6-optie 18 zowel "Circuit ID" als "Remote ID" samen. De instanties-ID/VNI, IPv4 RLOC en VLAN voor endpoints worden versleuteld
binnen.
Stap 3. De fabric border decapsuleert de VxLAN-header en unicast het DHCPv6-pakket naar de DHCPv6-server.
Stap 4. De DHCPv6-server ontvangt het relay-forward bericht en gebruikt het bronlink-adres (DHCPv6 Relay Agent/client-gateway) van het bericht om de IPv6 IP-pool te selecteren om het IPv6-adres toe te wijzen. Dan stuurt het DHCPv6 relay-reply bericht terug naar het gateway adres van de client. Optie 18 blijft ongewijzigd.
Stap 5. Wanneer de fabric border het relay-reply bericht ontvangt, haalt het de RLOC en LISP instantie/VNI uit optie 18. Fabric-rand kapselt het relay-reply bericht in in VxLAN met een bestemming die het ontleent aan optie 18.
Stap 6. De fabric-rand verstuurt het DHCPv6 Relay-response-bericht naar de fabric-rand waarmee de client verbinding maakt.
Stap 7. Wanneer de fabric edge het DHCPv6 relay-reply bericht ontvangt, decapsuleert het de VxLAN header van het bericht en verstuurt het bericht naar de client. De client kent dan het toegewezen IPv6-adres.
IPv6-communicatie in Cisco SD-Access
IPv6-communicatie maakt gebruik van de standaard op LISP gebaseerde besturingsplane en VXLAN-gebaseerde communicatiemethoden met dataplane. Met de huidige implementatie in Cisco SD-Access gebruiken LISP en VXLAN de externe IPv4-header om de IPv6-pakketten binnen te dragen. Dit proces wordt door dit beeld opgenomen.
Buitenste IPv4-header met IPv6-pakketten erin
Dit betekent dat alle LISP-queries het IPv4 native pakket gebruiken, terwijl de control plane node tabel details bevat over de RLOC met zowel IPv6 als IPv4 IP-adressen van het eindpunt. Dit proces wordt in de volgende paragraaf uitvoerig uitgelegd vanuit een draadloos endpointperspectief.
Draadloze IPv6-communicatie in Cisco SD-Access
De draadloze communicatie is afhankelijk van twee specifieke componenten, access points en draadloze LAN-controllers, naast de gebruikelijke Cisco SD-Access Fabric-componenten. Wireless Access points maken een CAPWAP-tunnel (Control and Provisioning of Wireless Access points) met de draadloze LAN-controller (WLC). Terwijl het cliëntverkeer bij de Fabric Edge bestaat, wordt andere communicatie van het controlevliegtuig die Radio stats omvat beheerd door WLC. Vanuit IPv6-perspectief moeten zowel de WLC als de AP de IPv4-adressen hebben en bij alle CAPWAP-communicatie worden deze IPv4-adressen gebruikt. Terwijl de niet-Fabric WLC en AP IPv6-communicatie ondersteunen, gebruikt Cisco SD-Access de IPv4 voor alle communicatie die een client-IPv6-verkeer binnen IPv4-pakketten transporteert. Dit betekent dat toegewezen AP-pools onder Infra VPN niet kunnen worden toegewezen aan IP-pools die dual-stack zijn en er wordt een fout geworpen als er een poging wordt gedaan om deze mapping te implementeren. Draadloze communicatie binnen Cisco SDA kan worden onderverdeeld in deze belangrijke taken:
· Onboarding van access point
· Client on-boarding
Bekijk deze gebeurtenissen vanuit IPv6-perspectief.
Access point-onboarding
Dit proces blijft hetzelfde voor IPv6 als IPv4, aangezien zowel WLC als AP IPv4-adressen en -stappen hier zijn opgenomen:
1. FE-poort is ingesteld op ingebouwd toegangspunt.
2. AP verbindt met FE-poort en via CDP informeert AP FE over zijn aanwezigheid (hierdoor kan FE het juiste VLAN toewijzen).
3. AP krijgt het IPv4-adres van de DHCP-server en FE registreert AP en werkt Control Plane (CP-knooppunt) bij met AP-gegevens.
4. AP treedt toe tot WLC via Traditional Methods (zoals DHCP-optie 43).
5. WLC controleert als AP Fabric-enabled is en vraagt het Control Plane naar AP RLOC-informatie (bijv. Aangevraagd RLOC/Reactie ontvangen).
6. CP antwoordt met de RLOC IP van de AP op de WLC.
7. WLC registreert de AP MAC in CP.
8. CP werkt de FE bij met de gegevens van WLC over de AP (dit vertelt FE om de VXLAN tunnel met de AP te initiëren).
FE verwerkt de informatie en maakt een VXLAN-tunnel met AP. Op dit punt maakt AP melding van fabric enabled SSID.
Opmerking: als het toegangspunt de niet-fabric-SSID's uitzendt en geen fabric-SSID uitzendt, controleer dan of er een VXLAN-tunnel is tussen het access point en de Fabric Edge-knooppunt.
Let ook op dat de communicatie van AP naar WLC altijd via Underlay CAPWAP verloopt en dat alle WLC naar AP communicatie VXLAN CAPWAP via overlay gebruikt. Dit betekent dat als u pakketten opneemt die van AP naar WLC gaan, u alleen CAPWAP ziet terwijl het omgekeerde verkeer een VXLAN-tunnel heeft. Zie dit voorbeeld voor communicatie tussen AP en WLC.
Packet Captures van AP naar WLC (CAPWAP Tunnel) vs WLC naar AP (VxLAN Tunnel in de Fabric)
Clientonboarding
Dual-Stack/IPv6 client on-boarding proces blijft hetzelfde maar de client gebruikt de IPv6-adrestoewijzingsmethoden zoals SLAAC/DHCPv6 om de IPv6-adressen te verkrijgen.
1. De client sluit zich aan bij de fabric en maakt SSID op de AP mogelijk.
2. WLC kent de AP RLOC.
3. Client verifieert en WLC registreert de gegevens van de client L2 met CP en werkt AP bij.
4. De client start de IPv6-adressering vanuit de ingestelde methoden - SLAAC/DHCPv6.
5. FE activeert IPv6-clientregistratie voor CP HTDB.
AP naar. FE en FE naar andere bestemmingen gebruiken de inkapseling van VXLAN en LISP IPv6 binnen IPv4-frames.
Clientcommunicatie met IPv6
In het beeld hier wordt het IPv6-clientcommunicatieproces met een andere bekabelde IPv6-client samengevat. (hierbij wordt ervan uitgegaan dat de client is geverifieerd en het IPv6-adres via de ingestelde methoden heeft ontvangen).
1. Client verzendt de 802.11-frames naar het toegangspunt met IPv6-payload.
2. AP verwijdert de 802.11-headers en verstuurt de oorspronkelijke IPv6-payload in de IPv4 VXAN-tunnel naar Fabric Edge.
3. Fabric Edge gebruikt het MAP-verzoek om de bestemming te identificeren en verstuurt het frame naar de doelmap RLOC met IPv4 VXLAN.
4. Op de bestemmingspagina wordt de IPv4 VXLAN-header verwijderd en wordt het IPv6-pakket naar de Switch verzonden.
Draadloze client met dubbele stack naar clientpakketstromen met dubbele stack
Bekijk dit proces grondig met het pakket vangt en verwijs naar het beeld voor IP adressen en MAC-adresdetails. Let op dat deze installatie beide Dual-Stack-clients gebruikt die verbonden zijn met dezelfde access points maar met verschillende IPv6-subnetten (SSID’s) in kaart gebracht zijn.
Steekproef SD-Access Fabric netwerk IP-adressen en MAC-adressen detail
Opmerking: voor elke IPv6-communicatie buiten het netwerk, bijvoorbeeld DHCP/DNS, moet IPv6-routing zijn ingeschakeld tussen de grens- en niet-fabric-infrastructuur.
Stap 0. De client verifieert en krijgt het IPv6-adres van de ingestelde methoden.
Packet Capture van DHCPv6 server naar Fabric Edge Node
Stap 1. De draadloze client verzendt de 802.11-frames naar het access point met de IPv6-payload.
Stap 2. Het toegangspunt verwijdert de draadloze header en verstuurt het pakket naar de Fabric-rand. Hiervoor wordt de VXLAN-tunnelheader gebruikt die IPv4-gebaseerd is omdat access point het IPv4-adres heeft.
Packet Capture voor de VxLAN-tunnel tussen FE en AP
Stap 3 (a). Fabric Edge registreert de IPv6-client bij het besturingsplane. Hierbij wordt de IPv4-registratiemethode gebruikt met informatie over de IPv6-client in het document.
Packet Capture voor FE-registers met besturingsplane voor IPv6-client
Stap 3 b). FE stuurt het MAP-verzoek naar het besturingsplane om de bestemming RLOC te identificeren.
Packet Capture van FE naar CP met MAP-registratieberichten
Fabric Edge onderhoudt ook het MAP-cachegeheugen voor bekende IPv6-clients, zoals in deze afbeelding wordt getoond.
Fabric Edge-schermuitvoer van IPv6-overlay map-cache-informatie
Stap 4. Het pakket wordt doorgestuurd naar de bestemming RLOC met het IPv4 VXLAN dat de oorspronkelijke IPv6-payload binnenin draagt. Aangezien beide clients zijn verbonden met hetzelfde toegangspunt, wordt via IPv6-ping dit pad gekozen.
Packet Capture voor IPv6 ping tussen twee draadloze clients die op dezelfde AP zijn geregistreerd
In dit beeld wordt de IPv6-communicatie vanuit het perspectief van de draadloze client samengevat.
In deze afbeelding wordt de IPv6-communicatie vanuit het perspectief van de draadloze client samengevat
Opmerking: IPv6 Guest Access (web portal) via Cisco Identity Services wordt niet ondersteund vanwege beperkingen op ISE.
Afhankelijkheidsmatrix
Het is belangrijk om rekening te houden met de afhankelijkheden en ondersteuning voor IPv6 van verschillende draadloze componenten die deel uitmaken van Cisco SD-Access. De tabel in dit beeld vat deze functiematrix samen.
Cat9800 WLC IPv6-functies per release
Controleer het besturingsplane voor IPv6
Zodra u IPv6 inschakelt, begint u extra vermeldingen over host IPv6 te zien in de MS/MR-servers. Aangezien een host meerdere IPv6 IP-adressen kan hebben, bevat uw MS/MR-lookup-tabel vermeldingen voor alle IP-adressen. Dit wordt gecombineerd met de IPv4-tabel die al bestaat.
U moet inloggen op het apparaat CLI en deze opdrachten geven om alle vermeldingen te controleren.
U kunt ook de details van de host IPv6 details controleren via verzekering.
IPv6-QoS-implementatie in Cisco SD-Access
De huidige versie van Cisco DNA Center (tot 2.3.x) ondersteunt IPv6 QoS-automatisering van toepassingsbeleid niet. Gebruikers kunnen echter handmatig bedrade en draadloze IPv6-sjablonen maken en de QoS-sjabloon naar Fabric Edge-knooppunten duwen. Aangezien DNA Center het IPv4 QoS-beleid op alle fysieke interfaces na toepassing automatiseert. U kunt handmatig een klassekaart (die overeenkomt met IPv6 ACL) invoegen vóór "class-default" via een sjabloon.
Hier is de voorbeeld bekabelde IPv6 QoS-enabled sjabloon geïntegreerd met DNA Center-gegenereerde beleidsconfiguratie:
!
interface GigabitEthernetx/y/z
service-policy input DNA-APIC_QOS_IN
class-map match-any DNA-APIC_QOS_IN#SCAVENGER <<< Provisioned by DNAC
match access-group name DNA-APIC_QOS_IN#SCAVENGER__acl
match access-group name IPV6_QOS_IN#SCAVENGER__acl <<< Manually add
!
ipv6 access-list IPV6_QOS_IN#SCAVENGER__acl <<< Manually add
sequence 10 permit icmp any any
!
Policy-map DNA-APIC_QOS_IN
class IPV6_QOS_IN#SCAVENGER__acl <<< manually add
set dscp cs1
For wireless QoS policy, Cisco DNA Center with current release (up to 2.3.x) will provision IPv4 QoS only
and apply IPv4 QoS into the WLC (Wireless LAN Controller). It doesn’t automate IPv6 QoS.
© 2021 Cisco and/or its affiliates. All rights reserved. Page 20 of 24
Below is the sample wireless IPv6 QoS template. Please make sure to apply the QoS policy into the wireless SVI
interface from the wireless VLAN:
ipv6 access-list extended IPV6_QOS_IN#TRANS_DATA__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#REALTIME
remark ### a placeholder ###
!
ipv6 access-list extended IPV6-QOS_IN#TUNNELED__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#VOICE
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#SCAVENGER__acl
permit icmp any any
!
ipv6 access-list extended IPV6_QOS_IN#SIGNALING__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#BROADCAST__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#BULK_DATA__acl
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit tcp any any eq 21000
permit udp any any eq 20
!
ipv6 access-list extended IPV6_QOS_IN#MM_CONF__acl
remark ms-lync
permit tcp any any eq 3478
permit udp any any eq 3478
permit tcp range 5350 5509
permit udp range 5350 5509
!
ipv6 access-list extended IPV6_QOS_IN#MM_STREAM__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#OAM__acl
remark ### a placeholder ###
!
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
!
class-map match-any IPV6_QOS_IN#TRANS_DATA
match access-group name IPV6_QOS_IN#TRANS_DATA__acl
!
class-map match-any IPV6_QOS_IN#REALTIME
match access-group name IPV6_QOS_IN#TUNNELED__acl
!
class-map match-any IPV6_QOS_IN#TUNNELED
match access-group name IPV6_QOS_IN#TUNNELED__acl
!
class-map match-any IPV6_QOS_IN#VOICE
match access-group name IPV6_QOS_IN#VOICE
!
class-map match-any IPV6_QOS_IN#SCAVENGER
match access-group name IPV6_QOS_IN#SCAVENGER__acl
!
class-map match-any IPV6_QOS_IN#SIGNALING
match access-group name IPV6_QOS_IN#SIGNALING__acl
class-map match-any IPV6_QOS_IN#BROADCAST
match access-group name IPV6_QOS_IN#BROADCAST__acl
!
class-map match-any IPV6_QOS_IN#BULK_DATA
match access-group name IPV6_QOS_IN#BULK_DATA__acl
!
class-map match-any IPV6_QOS_IN#MM_CONF
© 2021 Cisco and/or its affiliates. All rights reserved. Page 21 of 24
match access-group name IPV6_QOS_IN#MM_CONF__acl
!
class-map match-any IPV6_QOS_IN#MM_STREAM
match access-group name IPV6_QOS_IN#MM_STREAM__acl
!
class-map match-any IPV6_QOS_IN#OAM
match access-group name IPV6_QOS_IN#OAM__acl
!
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
policy-map IPV6_QOS_IN
class IPV6_QOS_IN#VOICE
set dscp ef
class IPV6_QOS_IN#BROADCAST
set dscp cs5
class IPV6_QOS_IN#REALTIME
set dscp cs4
class IPV6_QOS_IN#MM_CONF
set dscp af41
class IPV6_QOS_IN#MM_STREAM
set dscp af31
class IPV6_QOS_IN#SIGNALING
set dscp cs3
class IPV6_QOS_IN#OAM
set dscp cs2
class IPV6_QOS_IN#TRANS_DATA
set dscp af21
class IPV6_QOS_IN#BULK_DATA
set dscp af11
class IPV6_QOS_IN#SCAVENGER
set dscp cs1
class IPV6_QOS_IN#TUNNELED
class class-default
set dscp default
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
interface Vlan1xxx < = = (wireless VLAN)
service-policy input IPV6_QOS_IN
end
IPv6-probleemoplossing in Cisco SD-Access
Probleemoplossing SD-Access IPv6 lijkt sterk op IPv4, u kunt altijd dezelfde opdracht gebruiken met verschillende trefwoordopties om hetzelfde doel te bereiken. Dit toont een aantal opdrachten die vaak worden gebruikt om SD-Access problemen op te lossen.
Pod2-Edge-2#sh device-tracking database
Binding Table has 24 entries, 12 dynamic (limit 100000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other
Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match 0002:Orig trunk 0004:Orig access
0008:Orig trusted trunk 0010:Orig trusted access 0020:DHCP assigned
0040:Cga authenticated 0080:Cert authenticated 0100:Statically assigned
Network Layer Address Link Layer Address Interface vlan prlvl age state Time left
DH4 172.16.83.2 7069.5a76.5ef8 Gi1/0/1 2045 0025 5s REACHABLE 235 s(653998 s)
L 172.16.83.1 0000.0c9f.fef5 Vl2045 2045 0100 22564mn REACHABLE
ARP 172.16.79.10 74da.daf4.d625 Ac0 71 0005 49s REACHABLE 201 s try 0
L 172.16.79.1 0000.0c9f.f886 Vl79 79 0100 22562mn REACHABLE
L 172.16.78.1 0000.0c9f.fa09 Vl78 78 0100 9546mn REACHABLE
DH4 172.16.72.101 000c.29c3.16f0 Gi1/0/3 72 0025 9803mn STALE 101187 s
L 172.16.72.1 0000.0c9f.f1ae Vl72 72 0100 22562mn REACHABLE
L 172.16.71.1 0000.0c9f.fa85 Vl71 71 0100 22562mn REACHABLE
ND FE80::7269:5AFF:FE76:5EF8 7069.5a76.5ef8 Gi1/0/1 2045 0005 12s REACHABLE 230 s
ND FE80::705F:2381:9D03:B991 74da.daf4.d625 Ac0 71 0005 107s REACHABLE 145 s try 0
L FE80::200:CFF:FE9F:FA85 0000.0c9f.fa85 Vl71 71 0100 22562mn REACHABLE
L FE80::200:CFF:FE9F:FA09 0000.0c9f.fa09 Vl78 78 0100 9546mn REACHABLE
L FE80::200:CFF:FE9F:F886 0000.0c9f.f886 Vl79 79 0100 87217mn DOWN
L FE80::200:CFF:FE9F:F1AE 0000.0c9f.f1ae Vl72 72 0100 22562mn REACHABLE
ND 2003::B900:53C0:9656:4363 74da.daf4.d625 Ac0 71 0005 26mn STALE 451 s
ND 2003::705F:2381:9D03:B991 74da.daf4.d625 Ac0 71 0005 3mn REACHABLE 49 s try 0
ND 2003::5925:F521:C6A7:927B 74da.daf4.d625 Ac0 71 0005 3mn REACHABLE 47 s try 0
L 2001:F38:202B:6::1 0000.0c9f.fa09 Vl78 78 0100 9546mn REACHABLE
ND 2001:F38:202B:4:B8AE:8711:5852:BE6A 74da.daf4.d625 Ac0 71 0005 83s REACHABLE 164 s try 0
ND 2001:F38:202B:4:705F:2381:9D03:B991 74da.daf4.d625 Ac0 71 0005 112s REACHABLE 133 s try 0
DH6 2001:F38:202B:4:324B:130C:435C:FA41 74da.daf4.d625 Ac0 71 0024 107s REACHABLE 135 s try 0(985881 s)
L 2001:F38:202B:4::1 0000.0c9f.fa85 Vl71 71 0100 22562mn REACHABLE
DH6 2001:F38:202B:3:E6F4:68B3:D2A6:59E6 000c.29c3.16f0 Gi1/0/3 72 0024 9804mn STALE 367005 s
L 2001:F38:202B:3::1 0000.0c9f.f1ae Vl72 72 0100 22562mn REACHABLE
Pod2-Edge-2#sh lisp eid-table Campus_VN ipv6 database
LISP ETR IPv6 Mapping Database for EID-table vrf Campus_VN (IID 4100), LSBs: 0x1
Entries total 5, no-route 0, inactive 1
© 2021 Cisco and/or its affiliates. All rights reserved. Page 23 of 24
2001:F38:202B:3:E6F4:68B3:D2A6:59E6/128, dynamic-eid InfraVLAN-IPV6, inherited from default locator-set rloc_3c523e2c-a2a8-430f-ae22-
0ed275d1fc01
Locator Pri/Wgt Source State
172.16.81.70 10/10 cfg-intf site-self, reachable
2001:F38:202B:4:324B:130C:435C:FA41/128, dynamic-eid ProdVLAN-IPV6, inherited from default locator-set rloc_3c523e2c-a2a8-430f-ae22-
0ed275d1fc01
Locator Pri/Wgt Source State
172.16.81.70 10/10 cfg-intf site-self, reachable
2001:F38:202B:4:705F:2381:9D03:B991/128, dynamic-eid ProdVLAN-IPV6, inherited from default locator-set rloc_3c523e2c-a2a8-430f-ae22-
0ed275d1fc01
Locator Pri/Wgt Source State
172.16.81.70 10/10 cfg-intf site-self, reachable
2001:F38:202B:4:ACAF:7DDD:7CC2:F1B6/128, Inactive, expires: 10:14:48
2001:F38:202B:4:B8AE:8711:5852:BE6A/128, dynamic-eid ProdVLAN-IPV6, inherited from default locator-set rloc_3c523e2c-a2a8-430f-ae22-
0ed275d1fc01
Locator Pri/Wgt Source State
172.16.81.70 10/10 cfg-intf site-self, reachable
Pod2-Edge-2#show lisp eid-table Campus_VN ipv6 map-cache
LISP IPv6 Mapping Cache for EID-table vrf Campus_VN (IID 4100), 6 entries
::/0, uptime: 1w3d, expires: never, via static-send-map-request
Encapsulating to proxy ETR
2001:F38:202B:3::/64, uptime: 5w1d, expires: never, via dynamic-EID, send-map-request
Encapsulating to proxy ETR
2001:F38:202B:3:E6F4:68B3:D2A6:59E6/128, uptime: 00:00:04, expires: 23:59:55, via map-reply, self, complete
Locator Uptime State Pri/Wgt Encap-IID
172.16.81.70 00:00:04 up, self 10/10 -
2001:F38:202B:4::/64, uptime: 5w1d, expires: never, via dynamic-EID, send-map-request
Encapsulating to proxy ETR
2001:F38:202B:6::/64, uptime: 6d15h, expires: never, via dynamic-EID, send-map-request
Encapsulating to proxy ETR
2002::/15, uptime: 00:05:04, expires: 00:09:56, via map-reply, forward-native
© 2021 Cisco and/or its affiliates. All rights reserved. Page 24 of 24
Encapsulating to proxy ETR
Van border-knooppunt om overlay DHCPv6-server te controleren, ping:
Pod2-Border#ping vrf Campus_VN 2003::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2003::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Snelle veelgestelde vragen voor IPv6-ontwerp met Cisco SD-Access
V. Ondersteuning van Cisco Software Defined Network voor IPv6 voor onderlay- en overlay-netwerken?
Alleen overlay wordt ondersteund met de huidige release (2.3.x) op het moment dat dit document wordt geschreven.
V. Ondersteunt Cisco SDN native IPv6 voor zowel bekabelde als draadloze clients?
A: Ja. Dit vereist dual-stack pools die worden gemaakt in het DNA Center terwijl IPv4 de dummy pool is als de clients IPv4 DHCP-verzoeken uitschakelen en alleen IPv6 DHCP- of SLAAC-adressen worden aangeboden.
V. Kan ik een native IPv6-netwerk hebben in mijn Cisco SD-Access Fabric?
A: Niet met de huidige release (tot 2.3.x). Het staat op de routekaart.
V. Ondersteunt Cisco SD-Access de aflevering van L2 IPv6?
A: Niet op dit moment. Alleen L2 IPv4 handoff en L3 Dual-Stack hand-off worden ondersteund
V. Ondersteunt Cisco SD-Access multicast voor IPv6?
A: Ja. Alleen IPv6 met head-end replicatie-multicast wordt ondersteund. Native IPv6-multicast is nog niet geïnstalleerd
ondersteund.
V. Ondersteunt Cisco SD-Access Fabric Enabled Wireless gasten in dual-stack?
A: Nog niet ondersteund in Cisco IOS-XE (Cat9800) WLC. AireOS WLC wordt ondersteund via een tijdelijke oplossing. Voor meer informatie over de implementatie van de tijdelijke oplossing kunt u contact opnemen met het Cisco Customer Experience-team.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
21-Mar-2023 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)