校园网IPv6配置指南:主路由与旁路由的NAT6设置详解
校园网IPv6配置指南:主路由与旁路由的NAT6设置详解
在校园网环境下,IPv6的配置往往需要通过NAT6(网络地址转换)来实现。本文将详细介绍如何在主路由和旁路由上配置IPv6,包括具体的命令和步骤。
主路由NAT6配置
添加ULA前缀
首先需要添加ULA(Unique Local Address)前缀,这一步的具体操作可能因设备而异,通常在路由器的管理界面中可以找到相关设置。
添加NAT6防火墙规则
NAT6的防火墙规则可以通过iptables或nftables来实现。对于基于nftables的OpenWrt系统,可以在防火墙设置中直接找到相关选项。而对于基于iptables的OpenWrt系统,可能需要手动添加防火墙规则:
ip6tables -t nat -A POSTROUTING -o (wan接口) -j MASQUERADE
请将(wan接口)替换为实际的WAN接口名称。
设置LAN口
为路由器的LAN口分配一个内网IPv6地址,并开启IPv6 RA(Router Advertisement)服务。注意,这里是对路由器的LAN口进行配置,而不是对局域网设备进行配置。
打开RA服务
在开启RA服务时,需要勾选“总是通告默认路由”。这是因为LAN口没有获得公网IPv6地址,如果不勾选,设备将无法获取IPv6网关,从而无法正常通过IPv6上网。
如果需要进一步配置IPv6 RA,可以在/etc/config/dhcp文件中进行设置。具体说明可以参考OpenWrt官方文档。
IPv6的工作模式
IPv6中共有几种不同的地址类型:
- 本地链路地址:以
fe80::开头,与设备的MAC地址组合而成,用于链路本地的通信。 - 临时地址:用于访问IPv6网站时使用的地址,会随时变化,以防止被反向追踪。
- 受到抨击的地址(Deprecated):这些地址虽然仍然有效,但系统已经不再使用它们。
DHCPv6的问题
IPv6的分配模式主要有两种:有状态(DHCPv6)和无状态(SLAAC)。Windows系统在无状态模式下也会通过DHCPv6请求有状态的IPv6地址,而Linux系统则不会出现这种情况。此外,Android系统目前还不支持DHCPv6。
IPv6的RA标记
RA包中包含三个重要的标记:
- A标记(Auto Address Configuration):启用后,客户端将执行无状态IPv6地址自动配置。
- M标记(Management):开启后,表示可以通过DHCPv6获取IPv6地址,即有状态分配。
- O标记(Other):开启后,表示可以通过DHCPv6获取其他信息,如DNS服务器等。
旁路由配置IPv6
关闭主路由的RA
如果需要将旁路由设置为IPv6的默认网关,需要先关闭主路由的RA服务。
添加IPv6接口
在网络→接口中添加一个接口,选择DHCPv6协议,设备选择br-lan的别名(例如@lan)。
配置LAN口
在LAN口配置中,选择64位的IPv6分配长度,这是为旁路由的LAN口分配IPv6地址,确保旁路由能够正常上网。
开启SLAAC
在LAN口的DHCP服务器配置中,开启SLAAC并关闭其他标记。
添加默认IPv6路由
在网络→路由中,添加静态IPv6路由。选择LAN接口,目标输入::/0,网关输入主路由的IPv6地址。在高级设置中,选择main表并勾选On-Link路由。
补充说明
IPv6 RA包抓取
如果需要测试RA包的来源,可以在WireShark中过滤icmpv6.type == 134的包。