前几天终于下定决心升级了自己的网络设备,一方面已经种草很久了,另外一方面实验室的网络也需要进一步优化,先用自己的设备进行学习和实践可以省很多乱七八糟的问题(恩,一定是在给自己花钱找借口……)。
这次升级了两个设备,其中之一就是MikroTik公司的高性能路由器RB4011iGS+RM,据说是刚发布一年,性能看参数似乎不错,但玩路由器玩的实在有限,既无法给出感性的区别,也不会进行详细的性能试验。那为什么选择这个路由器而不是更便宜的款式呢?我主要是看上了他多达10个网口以及最关键的万兆光口。由于内置的是官方的RouterOS,每一个网口都是一个全功能独立网卡,对于以后进行双栈甚至多栈非常有用(同时拉3根不同运营商的宽带进来,想想都刺激,钱嘛,你说什么?)。同时,万兆光口对于以后万兆内网的构建非常有用,对于这种网络设备基本计划寿命都在十年以上,所以有一些性能预留还是很有必要的。
说了这么多废话下面进入正题,在配置完基本网络之后,开始准备配置教育网重要特色IPv6,这时我遇到非常诡异的问题。首先就是无法获取到v6地址,我几乎尝试了网上能找到的所有教程提供的方法,试了ROS中v6设置所有的可选项,但是路由器还是无法成功获取到v6地址或v6地址池。一般情况下教育网v6在我所在学校里是可以自动获取到的,但具体的分发方法我到现在也没搞清楚,虽然我自学了一些v6网络的知识,但是网络中心给的信息非wan常quan有mei限you,所以要高明白可能需要从校园网抓包分析,不到万不得已我肯定不会这么做。除了尝试让ROS获取v6地址,我还尝试了直接中继DHCPv6,虽然网上很多资料都说不可以这样操作,结果呢肯定是不行。
在经过了一天的折腾以后,我开始扩大资料查找范围,我逐渐发现ROS的v6是有缺陷的。具体的资料我没保存,因为可信度都多少有缺陷,大概意思就是教育网的v6的某些特性,在ROS中没有得到支持;同时,ROS内的v6在地址获取和DHCPv6中继的功能中存在bug。所以,结论就是ROS现阶段(v6.44)无法按正常方式使用教育网v6.
但是我显然不甘心这样,同时ROS强大的自由度怎么会导致连这么个问题都解决不了呢,一定有别的方法可以绕过这些问题。下面给出我最后的解决方法:
1、 首先创建一个wan网桥,也可以理解为创建一个路由器的前置交换机。这个wan桥,包括原来的wan口,还要有一个闲置网口,作为v6流量专用网口。
2、 修复防火墙里原有的nat设置。在完成第一步之后,会发现原有的v4网络不正常,这是因为原有的nat地址转换配置的出口网卡原来绑定的wan口被新建的wan桥连接,只需要将原来nat策略中的出口网卡改为新的wan桥即可。
3、 阻断所有非v6流量。
在桥的过滤器设置中,添加两条规则,禁止v6流量专用网卡上的非v6流量。
经过实践发现在桥上禁止流量并不好用,不知道是什么原因,可能我的配置有问题。最终解决方案是在下级的网管交换机上配置安全规则。
4、 最后用网线将v6流量专用接口和内网交换机连接起来。这样内网的所有设备应该都可以直接获取到教育网的v6终端地址了。
这个解决方案的原理其实很简单,就是ROS的v6路由不是有问题无法正常工作么,那么我们能不能直接让教育网v6跨过ROS的路由,创造一个单独的v6交换机,把v6流量接到内网。通过上面的操作,相当于所有的设备在v4层面上都通过ROS的路由连接校园网,v6层面上则直接通过交换机连接到校园网。