在没有前缀委派的情况下，跨多个 MikroTik 路由器手动划分 IPv6 前缀子网

Question

MikroTik 的 DHCPv6 服务器还提供 PD 功能- 多年来一直在进行中，所以我想避免对它的任何依赖。这如何记录我如何实现这一点以避免其他人重新解决同样的问题。

因此，如果你正在配置网络以允许主机在多个路由器上自动配置 IPv6 GUA 地址，但还想有一种替代方案MikroTik的 DHCPv6 Server 实现，继续阅读……

方法范围：

本指南将指导如何手动划分 ::/48 前缀的子网以及配置 (2) 个路由器邻居发现，路由协议启用并设置一些静态路由。主机将在其连接的接口的子网上配置一个 GUA 地址。

前缀分布，DHCPv6 服务器和DHCPv6 客户端是不是由于它们未在配置中使用，因此不予覆盖。

我也不详细说明 ::/48 路线如何路由器 #1到互联网，因为这可能是特定于网络的。例如，分配给我的 ::/48 Hurricane Electric（自由的！）路线出6to4隧道，而您的 ISP 可能直接分配有 ::/48，并且没有上述任何内容。

IPv6 安全是一个最好单独处理的主题，超出了本指南的范围。如果您没有配置 IPv6 FW，在一切正常后，您可以禁用 IPv6 接口，直到您配置一组合理的规则。

兼容性：

由于此配置仅使用邻居发现，手动寻址接口，路由协议＆一些静态路由，它应该不会在未来遭受破坏路由器操作系统升級。

经过测试，客户端使用此解决方案成功实现自动寻址：

树莓派4：跑步巴斯特使用 DHCP
MacBook：运行 OSXCatalina 10.15.3再次使用默认 DHCP
iOS 系统&iPad操作系统13.41
视窗： A虚拟盒虚拟机Windows 10使用桥接在我的 MacBook 上运行的虚拟机

IPv6 测试工具：

一些与 IPv6 兼容的工具可帮助您测试和排除配置故障：

浏览器：https://test-ipv6.com. 注意：Firefox 移动版与 IPv6 地址不兼容。
iOS 系统：飓风电气 IOS 应用程序 ping以及tracerouteiPhone 和 iPad 的 IPv6 地址
OSX：
- ifconfig -a
- netstat -r -f inet6
- ping6
- traceroute6
Linux：
- ip -6 addr show
- ip -6 route show
- route -6 -n
- ping6
- traceroute6 -r

2001：4860：4860：8888是一个用于测试外部连通性的好地址；谷歌的 DNS。

全球单播寻址（“瓜“) 手动 IPv6 寻址：

使用 ::/48 前缀：

2001:db8:1d4f::/48

我将说明如何对 Hurricane Electric 分配给我的 ::/48 进行子网划分，并手动对 (2) 个路由器上的接口进行寻址。但是，对于分配 ::/48 的非 Hurricane 路由器，过程将相同

3.1：点对点链接：

在这个例子中，我们的 (2) 个路由器彼此连接在以太2使用本地链路 fe80::/10 地址自动配置。用于自动地址配置的路由器公告使用这些本地链路 fe80::/10 地址进行，不是全球单播地址 ("瓜“）。

关于 P-2-P 链接的说明第六版：虽然::/126或::/127似乎是显而易见的选择，对 ::/127 的支持仅在 RoS v7 中提供。

3.2 路由器 #1：（RB4011）

直接连接到互联网，向无线客户端公开多个 SSID。虽然我的 RB4011 上为 IPv6 配置了许多接口，但为了简化示例，我们仅使用：

以太2：上行至路由器#2. 无需 GUA 地址。
WLAN1：2001：db8：1d4f：10::1/64
无线网络2：2001：db8：1d4f：11::1/64
WLAN3：2001：db8：1d4f：12::1/64
ETC....

/ipv6 地址添加地址=2001：db8：1d4f：10::1 接口=wlan1 添加地址=2001：db8：1d4f：11::1 接口=wlan2 添加地址=2001：db8：1d4f：12::1 接口=wlan3

3.3 路由器 #2: (RB951-2n）

已连接至路由器 #1，向无线客户端公开单一 SSID。

以太2：2001：db8：1d4f：20::1/64 上行至路由器#1。笔记：添加了用于 WebFig 访问的 GUA 地址
以太3：2001：db8：1d4f：21::1/64
乙醚4：2001：db8：1d4f：22::1/64
以太5：2001：db8：1d4f：23::1/64
WLAN1：2001：db8：1d4f：24::1/64

/ipv6 地址添加地址=2001：db8：1d4f：20::1 接口=ether2-master 添加地址=2001：db8：1d4f：21::1 接口=ether3 添加地址=2001：db8：1d4f：22::1 接口=ether4 添加地址=2001：db8：1d4f：23::1 接口=ether5 添加地址=2001：db8：1d4f：24::1 接口=wlan1

3.4 附加路由器：

如果有第三个路由器，我们将使用 2001:db8:1d4f：三十::X/64，子网增加 10，主机地址使用“1”。如果暴露大量 SSID，建议您以大于 10 的偶数倍数增加子网以保持整洁。

3.5 主机寻址：

在路由器上配置路由器 GUA 地址并完成后续步骤后，网络主机将通过以下方式自动配置 GUA 地址斯坦福直线加速器来自与他们所连接的路由器接口相同的子网。即使用上述寻址计划路由器#2，连接到的主机路由器 #2美联社WLAN1将自动配置 GUA 地址：

2001：db8：1d4f：24::PrivacyExtensionConfiguredByHost

IPv6 路由：

4.1 RIP协议：全部路由器

路由>路由协议：使能够路由协议在所有路由器接口上

/路由 ripng 接口添加
路由>路由协议>RIPng 设置：使能够 ”重新分配静态路由“

/路由 ripng 设置重新分配静态 = 是

4.2 静态路由：路由器 #1仅有的

IPv6>航线：在路由器#1, 为上行链路接口添加静态路由路由器#2（以及任何其他路由器）连接到路由器#1. 使用寻址方案，这将是：

2001:db8:1d4f:**20**::1/64

    /ipv6 route
    add distance=1 dst-address=2001:db8:1d4f:20::1/128 gateway=\
        ether2-AP2-RB951-2n

邻居发现（“ND”）

邻居发现 (ND) 用于链路层地址解析（类似于 ARP）和地址自动配置。ND 是全部IPv6 地址自动配置-斯坦福直线加速器，DHCPv6 服务器&前缀委托（PD）。

IPv6>ND>添新：在每个路由器上，仅添加客户端将连接并使用的接口斯坦福直线加速器自动地址配置。请注意，MTU 设置为 1280，因为这是 Hurricane Electric 使用的大小，他们路由分配给我的 ::/48。

为了路由器#1这将是：

WLAN1
无线网络2

WLAN3

  /ipv6 nd
  set [ find default=yes ] disabled=yes other-configuration=yes
  add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=wlan2 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=wlan3 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m

为了路由器#2这将是：

以太3
乙醚4
以太5

WLAN1

  /ipv6 nd
  set [ find default=yes ] disabled=yes hop-limit=64 interface=ether2-master \
      mtu=1280 other-configuration=yes ra-lifetime=10m reachable-time=10m \
      retransmit-interval=10m
  add hop-limit=64 interface=ether3 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=ether4 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=ether5 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m

安全说明：使用 ND RA（路由器公告）进行自动地址配置存在安全问题。有权访问所连接网络的攻击者可以将 RA 注入网络，从而触发设备添加 IPv6 地址或默认路由。

设置 IPv6 DNS 和 NTP 源：

DNS：

知识产权>DNS：将 IPv6 DNS 源（例如2001:4860:4860::8888Google）添加到 IPv4 DNS 源：

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,2001:4860:4860::8888

网络时间协议（NTP）：

系统>NTP 客户端：添加 IPv6 NTP 源，例如2610:20:6f15:15::27IPv4 源：

/system ntp client
set enabled=yes primary-ntp=216.239.35.0 secondary-ntp=2610:20:6f15:15::27

允许管理员访问：

如果您想使用 IPv6 地址进行 Webfig 或 SSH 访问，请不要忘记更新：

知识产权>服务并添加子网以允许对 MikroTik 进行管理访问。

结论：

此时，您应该让客户端自动配置 IPv6 GUA 地址。如果您发现任何错误/遗漏，请告诉我，以便我可以更新文档。

不要忘记花一些时间配置IPv6>防火墙并加强安全性，或者至少禁用 IPv6 接口，直到您有时间为止。希望您觉得这篇文章有用，并帮助您快速上手。

Answer 1

MikroTik 的 DHCPv6 服务器还提供 PD 功能- 多年来一直在进行中，所以我想避免对它的任何依赖。这如何记录我如何实现这一点以避免其他人重新解决同样的问题。

因此，如果你正在配置网络以允许主机在多个路由器上自动配置 IPv6 GUA 地址，但还想有一种替代方案MikroTik的 DHCPv6 Server 实现，继续阅读……

方法范围：

本指南将指导如何手动划分 ::/48 前缀的子网以及配置 (2) 个路由器邻居发现，路由协议启用并设置一些静态路由。主机将在其连接的接口的子网上配置一个 GUA 地址。

前缀分布，DHCPv6 服务器和DHCPv6 客户端是不是由于它们未在配置中使用，因此不予覆盖。

我也不详细说明 ::/48 路线如何路由器 #1到互联网，因为这可能是特定于网络的。例如，分配给我的 ::/48 Hurricane Electric（自由的！）路线出6to4隧道，而您的 ISP 可能直接分配有 ::/48，并且没有上述任何内容。

IPv6 安全是一个最好单独处理的主题，超出了本指南的范围。如果您没有配置 IPv6 FW，在一切正常后，您可以禁用 IPv6 接口，直到您配置一组合理的规则。

兼容性：

由于此配置仅使用邻居发现，手动寻址接口，路由协议＆一些静态路由，它应该不会在未来遭受破坏路由器操作系统升級。

经过测试，客户端使用此解决方案成功实现自动寻址：

树莓派4：跑步巴斯特使用 DHCP
MacBook：运行 OSXCatalina 10.15.3再次使用默认 DHCP
iOS 系统&iPad操作系统13.41
视窗： A虚拟盒虚拟机Windows 10使用桥接在我的 MacBook 上运行的虚拟机

IPv6 测试工具：

一些与 IPv6 兼容的工具可帮助您测试和排除配置故障：

浏览器：https://test-ipv6.com. 注意：Firefox 移动版与 IPv6 地址不兼容。
iOS 系统：飓风电气 IOS 应用程序 ping以及tracerouteiPhone 和 iPad 的 IPv6 地址
OSX：
- ifconfig -a
- netstat -r -f inet6
- ping6
- traceroute6
Linux：
- ip -6 addr show
- ip -6 route show
- route -6 -n
- ping6
- traceroute6 -r

2001：4860：4860：8888是一个用于测试外部连通性的好地址；谷歌的 DNS。

全球单播寻址（“瓜“) 手动 IPv6 寻址：

使用 ::/48 前缀：

2001:db8:1d4f::/48

我将说明如何对 Hurricane Electric 分配给我的 ::/48 进行子网划分，并手动对 (2) 个路由器上的接口进行寻址。但是，对于分配 ::/48 的非 Hurricane 路由器，过程将相同

3.1：点对点链接：

在这个例子中，我们的 (2) 个路由器彼此连接在以太2使用本地链路 fe80::/10 地址自动配置。用于自动地址配置的路由器公告使用这些本地链路 fe80::/10 地址进行，不是全球单播地址 ("瓜“）。

关于 P-2-P 链接的说明第六版：虽然::/126或::/127似乎是显而易见的选择，对 ::/127 的支持仅在 RoS v7 中提供。

3.2 路由器 #1：（RB4011）

直接连接到互联网，向无线客户端公开多个 SSID。虽然我的 RB4011 上为 IPv6 配置了许多接口，但为了简化示例，我们仅使用：

以太2：上行至路由器#2. 无需 GUA 地址。
WLAN1：2001：db8：1d4f：10::1/64
无线网络2：2001：db8：1d4f：11::1/64
WLAN3：2001：db8：1d4f：12::1/64
ETC....

/ipv6 地址添加地址=2001：db8：1d4f：10::1 接口=wlan1 添加地址=2001：db8：1d4f：11::1 接口=wlan2 添加地址=2001：db8：1d4f：12::1 接口=wlan3

3.3 路由器 #2: (RB951-2n）

已连接至路由器 #1，向无线客户端公开单一 SSID。

以太2：2001：db8：1d4f：20::1/64 上行至路由器#1。笔记：添加了用于 WebFig 访问的 GUA 地址
以太3：2001：db8：1d4f：21::1/64
乙醚4：2001：db8：1d4f：22::1/64
以太5：2001：db8：1d4f：23::1/64
WLAN1：2001：db8：1d4f：24::1/64

/ipv6 地址添加地址=2001：db8：1d4f：20::1 接口=ether2-master 添加地址=2001：db8：1d4f：21::1 接口=ether3 添加地址=2001：db8：1d4f：22::1 接口=ether4 添加地址=2001：db8：1d4f：23::1 接口=ether5 添加地址=2001：db8：1d4f：24::1 接口=wlan1

3.4 附加路由器：

如果有第三个路由器，我们将使用 2001:db8:1d4f：三十::X/64，子网增加 10，主机地址使用“1”。如果暴露大量 SSID，建议您以大于 10 的偶数倍数增加子网以保持整洁。

3.5 主机寻址：

在路由器上配置路由器 GUA 地址并完成后续步骤后，网络主机将通过以下方式自动配置 GUA 地址斯坦福直线加速器来自与他们所连接的路由器接口相同的子网。即使用上述寻址计划路由器#2，连接到的主机路由器 #2美联社WLAN1将自动配置 GUA 地址：

2001：db8：1d4f：24::PrivacyExtensionConfiguredByHost

IPv6 路由：

4.1 RIP协议：全部路由器

路由>路由协议：使能够路由协议在所有路由器接口上

/路由 ripng 接口添加
路由>路由协议>RIPng 设置：使能够 ”重新分配静态路由“

/路由 ripng 设置重新分配静态 = 是

4.2 静态路由：路由器 #1仅有的

IPv6>航线：在路由器#1, 为上行链路接口添加静态路由路由器#2（以及任何其他路由器）连接到路由器#1. 使用寻址方案，这将是：

2001:db8:1d4f:**20**::1/64

    /ipv6 route
    add distance=1 dst-address=2001:db8:1d4f:20::1/128 gateway=\
        ether2-AP2-RB951-2n

邻居发现（“ND”）

邻居发现 (ND) 用于链路层地址解析（类似于 ARP）和地址自动配置。ND 是全部IPv6 地址自动配置-斯坦福直线加速器，DHCPv6 服务器&前缀委托（PD）。

IPv6>ND>添新：在每个路由器上，仅添加客户端将连接并使用的接口斯坦福直线加速器自动地址配置。请注意，MTU 设置为 1280，因为这是 Hurricane Electric 使用的大小，他们路由分配给我的 ::/48。

为了路由器#1这将是：

WLAN1
无线网络2

WLAN3

  /ipv6 nd
  set [ find default=yes ] disabled=yes other-configuration=yes
  add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=wlan2 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=wlan3 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m

为了路由器#2这将是：

以太3
乙醚4
以太5

WLAN1

  /ipv6 nd
  set [ find default=yes ] disabled=yes hop-limit=64 interface=ether2-master \
      mtu=1280 other-configuration=yes ra-lifetime=10m reachable-time=10m \
      retransmit-interval=10m
  add hop-limit=64 interface=ether3 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=ether4 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=ether5 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m
  add hop-limit=64 interface=wlan1 mtu=1280 other-configuration=yes \
      ra-lifetime=10m reachable-time=10m retransmit-interval=10m

安全说明：使用 ND RA（路由器公告）进行自动地址配置存在安全问题。有权访问所连接网络的攻击者可以将 RA 注入网络，从而触发设备添加 IPv6 地址或默认路由。

设置 IPv6 DNS 和 NTP 源：

DNS：

知识产权>DNS：将 IPv6 DNS 源（例如2001:4860:4860::8888Google）添加到 IPv4 DNS 源：

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,2001:4860:4860::8888

网络时间协议（NTP）：

系统>NTP 客户端：添加 IPv6 NTP 源，例如2610:20:6f15:15::27IPv4 源：

/system ntp client
set enabled=yes primary-ntp=216.239.35.0 secondary-ntp=2610:20:6f15:15::27

允许管理员访问：

如果您想使用 IPv6 地址进行 Webfig 或 SSH 访问，请不要忘记更新：

知识产权>服务并添加子网以允许对 MikroTik 进行管理访问。

结论：

此时，您应该让客户端自动配置 IPv6 GUA 地址。如果您发现任何错误/遗漏，请告诉我，以便我可以更新文档。

不要忘记花一些时间配置IPv6>防火墙并加强安全性，或者至少禁用 IPv6 接口，直到您有时间为止。希望您觉得这篇文章有用，并帮助您快速上手。

在没有前缀委派的情况下，跨多个 MikroTik 路由器手动划分 IPv6 前缀子网

答案1

3.1：点对点链接：

3.2 路由器 #1：（RB4011）

3.3 路由器 #2: (RB951-2n）

3.4 附加路由器：

3.5 主机寻址：

4.1 RIP协议：全部路由器

4.2 静态路由：路由器 #1仅有的

DNS：

网络时间协议（NTP）：

结论：

相关内容