Tổng quan
IPv6 là thế hệ địa chỉ IP mới thay thế cho IPv4 với không gian địa chỉ gần như vô hạn. Trong mạng nội bộ, việc triển khai IPv6 giúp thử nghiệm các kỹ thuật mới như DHCPv6, SLAAC, router advertisement, và chuẩn bị cho khả năng mở rộng trong tương lai.
Sophos Firewall hỗ trợ cấu hình IPv6 nội bộ mà không cần nhà mạng cấp prefix. Điều này giúp dễ dàng mô phỏng và kiểm tra hoạt động cấp phát địa chỉ IPv6 trong lab hoặc doanh nghiệp nhỏ.
Mục tiêu
Bài viết này nhằm hướng dẫn cách cấu hình IPv6 trên Sophos Firewall trong môi trường nội bộ (lab) khi chưa có IPv6 từ nhà mạng. Mục tiêu chính bao gồm:
- Làm quen với cơ chế hoạt động của IPv6 trên Sophos Firewall.
- Triển khai cấp phát địa chỉ IPv6 tự động trong mạng LAN.
- Thực hành và kiểm tra các phương pháp cấp phát địa chỉ như DHCPv6 Stateful, SLAAC, và Stateless DHCPv6.
- Tạo nền tảng để triển khai thực tế trong doanh nghiệp khi có IPv6 từ ISP.
- tình huống cấu hình
Trong môi trường lab nội bộ, bạn chưa có kết nối IPv6 từ ISP nhưng muốn triển khai và kiểm tra hoạt động của 3 phương pháp cấp phát địa chỉ IPv6 cho thiết bị (client) bao gồm:
SLAAC (Stateless Address Autoconfiguration):
- Thiết bị client tự tạo địa chỉ IPv6 dựa vào prefix được quảng bá từ firewall.
- Không cần DHCPv6 server cấp địa chỉ.
- Phù hợp với môi trường đơn giản, không yêu cầu quản lý địa chỉ chặt chẽ.
DHCPv6 (Stateful):
- Sophos Firewall đóng vai trò DHCPv6 server và cấp địa chỉ IPv6 trực tiếp cho các thiết bị.
- Cấu hình phù hợp với các môi trường yêu cầu kiểm soát và ghi log địa chỉ IP.
SLAAC + DHCPv6 Stateless:
- Thiết bị client vẫn tự tạo địa chỉ IPv6 bằng SLAAC.
- DHCPv6 server chỉ cấp các thông tin phụ như DNS, NTP.
- Phù hợp khi cần sự linh hoạt của SLAAC nhưng vẫn muốn bổ sung thông tin mạng.
Mục tiêu: kiểm tra, đánh giá và hiểu rõ cơ chế hoạt động, cấu hình và sự khác nhau giữa các phương pháp trên trong cùng một mô hình lab nội bộ, từ đó chuẩn bị cho việc triển khai IPv6 thực tế khi có prefix từ ISP.
- Mô hình
- Hướng dẫn cấu hình
Bước 1: Cấu hình trên Firewall
Vào mục Network -> Add Interface
Name: Đặt tên rule
Hardware: Chọn Port muốn cấu hình
Tick chọn mục IPv6 configuration
IP assignment: Chọn Static vì chưa có ISP cấp mạng wan ra internet
Ipv6/prefix*: Đặt dãy mạng ipv6 mà bạn muốn
Bước 2: Vào mục IPv6 router advertisement
– Interface: Chọn port cấp ipv6, nơi gói RA sẽ được gửi ra
– Min Advertisement interval: Thời gian tối thiểu giữa hai gói RA, giúp giảm bớt lưu lượng quảng bá
– Max Advertisement interval: Thời gian tối đa giữa các gói RA. Trong khoảng này, firewall sẽ gửi RA
– Default gateway: Cho phép firewall cung cấp địa chỉ cổng mặc định (gateway) cho các thiết bị IPv6 trong mạng
– Managed flag: Thông client rằng cần dùng DHCPv6 để nhận địa chỉ IP
– On-link: Cho phép client biết rằng subnet này có thể gửi gói trực tiếp (không cần router trung gian)
– Other flag: Thông báo rằng có DHCPv6 server cung cấp các thông tin phụ DNS, NTP
– Autonomous: Cho phép client tự tạo địa chỉ IP bằng SLAAC từ prefix được quảng bá
– Preferred lifetime: Thời gian ưu tiên sử dụng địa chỉ IPv6, sau đó có thể được làm mới
– Valid lifetime: Thời gian hợp lệ của địa chỉ IPv6. Hết thời gian này, địa chỉ sẽ bị gỡ bỏ nếu không được gia hạn
→ Với cả 3 cờ đều bật như trên → client có thể tự tạo địa chỉ IP bằng SLAAC và cũng có thể nhận IP và DNS từ DHCPv6 Server nếu có.
- Ở đây mình test thử phương pháp SLAAC trước, bỏ tick chọn M với O và đặt ip tĩnh cho client.
trên máy client đặt ip tĩnh
Sau đó dùng lệnh ping đến default gateway của sophos firewall trên cmd.Phương pháp SLAAC thành công.
→ ưu điểm của SLAAC: Không cần DHCPv6, Dễ triển khai, không cần server, Phù hợp cho mạng nhỏ, đơn giản