哪些版本支持IPv6防护?
WAF支持IPv6防护,详细说明如下:
- 云模式的专业版和铂金版支持IPv6的防护。
- 独享模式没有公网IP,公网IP绑定在ELB的弹性公网IP上 ,如果独享模式所在的ELB支持IPv6,那么独享模式也支持IPv6。
须知:
Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。
针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。
哪些Region支持IPv6防护请参考功能总览。
搭建IPv6网络
操作场景
本教程将指引您搭建一个IPv6网段的VPC,并在VPC中创建一个带有IPv6地址的ECS,使ECS可以访问Internet上的IPv6服务。配置流程如图1所示。
图1 搭建IPv6网络
说明:若您已有共享带宽,在购买ECS时可直接配置IPv6访问公网。
前提条件
IPv6功能目前仅在部分区域公测,具体公测区域请参见功能总览中IPv4/IPv6功能的“发布区域”。
约束与限制
IPv6双栈,当前暂不收费,后续定价会根据运营商收费策略的变化进行调整。
弹性云服务器ECS部分规格支持IPv6网络,只有选择支持IPv6的ECS,才可以使用IPv4/IPv6双栈网络,请务必选择支持的区域和规格。
您可以通过以下两种方法查看ECS哪些规格支持IPv6:
- 通过ECS控制台查看:单击“购买弹性云服务器”,进入购买页面查看ECS规格列表。
- 当ECS规格列表中包含“IPv6”参数,且取值为“是”时,表示该规格的ECS支持IPv6。
- 通过ECS文档查看:打开《ECS产品介绍》中的ECS规格清单页面,在对应的ECS规格类型中,单击各规格详细介绍的链接,可以在具体规格类型实例中的表格“实例特点”查看IPv6是否支持。
- 以通用计算增强型ECS为例,需要通过ECS文档查看通用计算增强型ECS哪些规格支持IPv6,步骤如下:
1、打开《ECS产品介绍》中的ECS规格清单页面。
2在“通用计算增强型”小结,单击链接“各规格详细介绍请参见通用计算增强型”,具体如图2所示。
图2 ECS规格清单页面
3、进入“通用计算增强型”章节,表格“通用计算增强型实例特点”第四列“网络”中,可以查看ECS哪些规格支持IPv6。具体如图3所示。
图3 ECS通用计算增强型
搭建IPv6网络
为您介绍如何快速搭建IPv6网段的VPC,以及搭建前的准备工作。
-
收起
网段类型简介 收起
IPv6:当您需要访问Internet上的IPv6服务或为使用IPv6终端的用户提供访问服务时,需要在配置时开启IPv6功能,开启后,您将拥有IPv4和IPv6两个网段,可以为IPv4和IPv6终端用户提供访问服务。
-
收起
准备工作 收起
注册华为云并实名认证
如果您已有一个华为云帐户,请跳到下一个任务。如果您还没有华为云帐户,请参考以下步骤创建。
1、打开华为云网站。
2、单击“注册”,根据提示信息完成注册。
注册成功后,系统会自动跳转至您的个人信息界面。
3、参考实名认证完成个人或企业帐号实名认证。
为帐户充值
您需要确保帐户有足够金额。
● 关于弹性公网IP价格,请参见价格说明。
● 关于充值,请参见如何给华为云帐户充值。
- 收起
ipv6测试常见问题
ipv6测试常见问题
-
WAF如何解析/访问IPv6源站?
当防护网站的源站地址配置为IPv6地址时,WAF直接通过IPv6地址访问源站。WAF默认在CNAME中增加IPv6地址解析,IPv6的所有访问请求将先流转到WAF,WAF检测并过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
WAF支持IPv6/IPv4双栈模式和NAT64机制,详细说明如下:
Web应用防火墙支持IPv6/IPv4双栈,针对同一域名可以同时提供IPv6和IPv4的流量防护。
针对仍然使用IPv4协议栈的Web业务,Web应用防火墙支持NAT64机制(NAT64是一种通过网络地址转换(NAT)形式促成IPv6与IPv4主机间通信的IPv6转换机制),即WAF可以将IPv4源站转化成IPv6网站,将外部IPv6访问流量转化成对内的IPv4流量。
哪些Region支持IPv6防护请参考功能总览。
须知:仅专业版和铂金版支持IPv6防护。
-
弹性云服务器 ECS动态获取IPv6地址
操作场景
IPv6的使用,可以有效弥补IPv4网络地址资源有限的问题。如果当前云服务器使用IPv4,那么启用IPv6后,云服务器可在双栈模式下运行,即云服务器可以拥有两个不同版本的IP地址:IPv4地址和IPv6地址,这两个IP地址都可以进行内网/公网访问。
按照约束与限制中的网络环境要求创建的云服务器,有些不能动态获取到IPv6地址,需要进行相关配置才行。如果云服务器使用的是公共镜像,则支持情况如下:
Windows公共镜像默认已开启IPv6动态获取功能,无需配置,文中的Windows 2012操作系统和Windows 2008操作系统部分供您验证、参考。
Linux公共镜像开启动态获取IPv6功能时,需要先判断是否支持IPv6协议栈,再判断是否已开启动态获取IPv6。目前,所有Linux公共镜像均已支持IPv6协议栈,并且Ubuntu 16操作系统已默认开启动态获取IPv6。即Ubuntu 16操作系统无需配置,其他Linux公共镜像需要执行开启动态获取IPv6的操作。
开启云服务器所属子网的IPv6
1、登录管理控制台。
2、在管理控制台左上角单击
,选择区域和项目。3、单击“
”,选择“计算 > 弹性云服务器”。4、单击待开启IPv6功能的弹性云服务器,进入详情页面。
5、单击“虚拟私有云”名称,进入弹性云服务器所属虚拟私有云列表。
6、在虚拟私有云列表中,单击“子网个数”列对应的数字超链接。进入子网列表页面。
7、在子网列表中,单击待修改的子网名称超链接。进入子网详情页面。
8、在子网详情页,单击“开启IPv6”。
9、单击“是”,完成子网IPv6功能的开启。
-
内容分发网络 CDN IPv6配置
CDN支持客户端以IPv6协议访问节点,您可以通过开启IPv6开关完成配置,配置完成后,CDN也将携带IPv6的客户端IP信息访问您的源站。
注意事项
中国大陆大多数节点已支持IPv6,开启IPv6配置后,如果用户采用IPv6协议访问CDN,而最优节点不支持IPv6协议,用户仍可以以IPv4协议访问CDN节点。
服务范围为“全球”的域名,可提交工单开启“中国大陆境内节点”的IPv6功能。
服务范围为“中国大陆境外”的域名,暂不支持开启IPv6。
后台有特殊配置的域名暂不支持开启IPv6。
配置步骤
1、登录华为云控制台,在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”,进入CDN控制台。
2、在左侧菜单栏中,选择“域名管理”。
3、在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入“基本配置”页面。
图1 IPv6开关
说明:开启IPv6开关后,如果源站不支持IPv6,会以IPv4协议回源。
4、打开“IPv6开关”,完成配置。
-
配置了IPv6双栈,为什么无法访问IPv6网站?
问题现象
用户的云服务器已配置了IPv6双栈,但是无法访问IPv6网站。
解决思路
查看IPv6双栈配置是否正确,网卡是否获取到IPv6地址。
查看是否已将IPv6双栈网卡添加到共享带宽。
当云服务器拥有多张网卡时,查看在云服务器内部,是否为这些网卡配置策略路由。
解决方案
购买ECS并进行网络配置时,请务必选择“自动分配IPv6地址”。
如果自动分配IPv6地址失败,或者您选的其他镜像不支持自动分配IPv6地址,请参考动态获取IPv6地址手动获取IPv6地址。
说明:如果云服务器使用的是公共镜像,则支持情况如下:Linux公共镜像开启动态获取IPv6功能时,需要先判断是否支持IPv6协议栈,再判断是否已开启动态获取IPv6。目前,所有Linux公共镜像均已支持IPv6协议栈,并且Ubuntu 16操作系统已默认开启动态获取IPv6。即Ubuntu 16操作系统无需配置,其他Linux公共镜像需要执行开启动态获取IPv6的操作。
默认IPv6地址只具备私网通信能力,如果您需要通过该IPv6地址访问Internet或被Internet上的IPv6客户端访问,您需要购买和绑定共享带宽。具体请参考购买和加入共享带宽。
如您已有共享带宽,可以不用重新购买,直接将IPv6地址加入共享带宽即可。
当云服务器拥有多张网卡时,主网卡默认可以和外部正常通信,扩展网卡无法和外部正常通信,此时您需要在云服务器内部为这些网卡配置策略路由,才可以确保多张网卡均可以和外部正常通信。
如果您的云服务器是Linux云服务器,具体操作指导请参考为多网卡Linux云服务器配置策略路由 (IPv4/IPv6)。
如果您的云服务器是Windows云服务器,具体操作指导请参考为多网卡Windows云服务器配置策略路由 (IPv4/IPv6)。
