Início / server / Perguntas / 907602
Accepted
Zoredache
Asked: 2018-04-14 13:57:58 +0800 CST

Computadores Windows recebendo SLAAC IPv6 de VLAN marcada

  • 772

Eu tenho computadores Windows em uma rede que estão recebendo inesperadamente um endereço IPv6 de uma VLAN marcada.

Eu tenho roteadores/computadores conectados a um switch com uma vlan não marcada (id 1) e uma etiquetada (id 2). Para simplificar, digamos que esta VLAN2 é para aparelhos VoIP que verão uma opção para usar a vlan marcada como parte de uma solicitação DHCP.

Por algum motivo, os computadores Windows nesta rede estão obtendo um endereço SLAAC das sub-redes 2001:db8:1051:4001::/64e 2001:db8:1051:4002::/64. Eu esperava que os computadores Windows pegassem apenas endereços da VLAN/Sub-rede não marcada.

Um computador Windows com endereço do 2001:db8:1051:4002::/64não poderá realmente usar esse endereço para nada. Ele não pode pingar o gateway 2001:db8:1051:4002::1e um ping do gateway não funciona. Tanto quanto eu posso dizer, ele não pode realmente usar esse endereço de forma alguma.

Uma captura de wireshark no sistema Windows com o filtro icmp6 and ip6[40] == 134mostrará os anúncios de rota para ambas as sub-redes.

Uma captura tcpdump desse mesmo computador inicializado em um livecd Linux mostrará que os 2001:db8:1051:4002::/64anúncios com o ID de vlan adequado no quadro Ethernet. O Linux não obtém endereços de ambas as sub-redes.

Os computadores Windows são novas instalações completamente limpas do Windows 10 1709, e eu vi o comportamento em sistemas com adaptadores Realtek e Broadcom.

Configuração

 +--------------+    +-----------+    +------------------+
 | Linux Router +----+ HP Switch +----+ Windows Computer |
 +--------------+    +-----------+    +------------------+

Configuração da interface do roteador Linux

3: eth_lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 0c:c4:7a:14:c7:fd brd ff:ff:ff:ff:ff:ff
    inet 10.2.25.1/24 brd 10.2.25.255 scope global eth_lan
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1051:4001::1/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::ec4:7aff:fe14:c7fd/64 scope link
       valid_lft forever preferred_lft forever
5: eth_lan.2@eth_lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 0c:c4:7a:14:c7:fd brd ff:ff:ff:ff:ff:ff
    inet 10.2.26.1/24 brd 10.2.26.255 scope global eth_lan.2
       valid_lft forever preferred_lft forever
    inet6 2001:db8:1051:4002::1/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::ec4:7aff:fe14:c7fd/64 scope link
       valid_lft forever preferred_lft forever

Configuração do Linux RADVD

interface eth_lan
{
    AdvSendAdvert on;
    AdvManagedFlag on;
    AdvOtherConfigFlag on;
    MaxRtrAdvInterval 90;
    MinRtrAdvInterval 30;
    prefix ::/64
    {
    };
};
interface eth_lan.2
{
    AdvSendAdvert on;
    MaxRtrAdvInterval 90;
    MinRtrAdvInterval 30;
    prefix ::/64
    {
    };
    AdvDefaultPreference low;
};

Configuração do switch

HP-2530-24G-PoEP# show running-config

Running configuration:

; J9773A Configuration Editor; Created on release #YA.15.14.0007
; Ver #05:18.63.ff.37.27:91
hostname "HP-2530-24G-PoEP"
snmp-server community "public" unrestricted
vlan 1
   name "DEFAULT_VLAN"
   untagged 1-28
   ip address dhcp-bootp
   exit
vlan 2
   name "VLAN2"
   tagged 1-28
   no ip address
   exit

Perguntas:

Por que os sistemas Windows estão obtendo um endereço IPv6 não funcional da VLAN marcada? Existe alguma maneira de parar isso sem desabilitar o IPv6 na VLAN 2 ou não ter essa VLAN marcada nas portas em que os sistemas Windows estão conectados?

Respostas às perguntas dos comentários

As máquinas Windows são capazes de se comunicar na rede se você atribuir a elas um endereço IPv6 estático?

Um computador conectado a uma porta (vlan1 não marcado, vlan2 marcado) funcionará perfeitamente se receber um endereço estático da sub-rede VLAN 1, mas não funcionará na sub-rede VLAN2, que é o que eu esperaria que acontecesse.

Você já tentou desabilitar o SLAAC no roteador e usar apenas o DHCPv6?

Se eu desabilitar o SLAAC AdvAutonomous off;e habilitar um servidor DHCPv6 com estado, os computadores só obterão um endereço da VLAN não marcada.

O que acontece se você desabilitar RAs em eth_lan.2?

O cliente não obterá endereços dessa sub-rede VLAN 2 então. No entanto, eu quero que o IPv6 funcione nessa sub-rede, então o RA é praticamente necessário.

windows

1 respostas

  1. Best Answer

    Eu me certificaria de que o driver da NIC esteja totalmente instalado com seu minidriver para habilitar o suporte a VLAN no sistema operacional corretamente.

    O NDIS nativo do Windows não suporta VLAN corretamente e apenas remove o VLANid no pior caso.

    Citado de Wireshark ;

    O Windows não possui mecanismos de suporte integrados para VLANs. Não há interfaces físicas e VLAN separadas das quais você possa capturar, a menos que um driver especializado que adicione esse suporte esteja presente.

    Portanto, se você vê tags VLAN no Wireshark ou não, dependerá do adaptador de rede que você possui e do que ele e seu driver fazem com as tags VLAN.

    A maioria dos adaptadores de rede "simples" (por exemplo, Realtek RTL 8139 amplamente utilizado) e seus drivers simplesmente passarão tags de VLAN para a camada superior para lidar com isso. Nesse caso, o Wireshark verá as tags VLAN e poderá manuseá-las e mostrá-las.

    Alguns adaptadores mais sofisticados lidarão com tags de VLAN no adaptador e/ou no driver. Isso inclui alguns adaptadores Intel e, tanto quanto sei, chipsets Broadcom gigabit (chips baseados em NetXtreme / 57XX). Além disso, é provável que placas com drivers especializados também sigam esse caminho, para evitar interferência do driver "real".


    Atualização 1
    =======

    Encontrei uma referência do MS Blog ; O Windows Core Networking fala sobre 802.1P, mas eles fornecem mais informações sobre 802.1Q (marcação de VLAN)

    A pilha de rede do Windows suporta totalmente a tag 802.1Q, ou seja, tanto UserPriority (como Mathias discute neste post) quanto VlanId. No entanto, nenhum componente de pilha (tcpip, etc.) atua no campo VlanId . Fornecedores, como Intel, Broadcom, etc., implementam VLANs em seus drivers de miniporta em combinação com hardware NIC. Assim, o Windows permite que os ISVs implementem VLAN se desejarem, mas não os implementa nativamente.

    – Gabe

    A partir desse outro blog da MS (que poderia explicar por que seu computador Windows não pode pingar o gateway do IPv6 (e fácil de validar com o wireshark, pois o pacote de saída (PC-> Gateway) seria desmarcado mesmo que devesse ser marcado) )

    Sua NIC é responsável por adicionar a tag 802.1q ao pacote de saída.

    Com essa atualização em mente, meu termo "strip the vlan id" foi um pouco pesado no começo, pois não o remove por padrão, ele obtém o id da vlan como entrada, mas o ignora e simplesmente não envia o id da vlan sai depois e deixa todo esse gerenciamento para o driver da NIC.

    • 4

relate perguntas