- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-隧道配置
本章節下載: 03-隧道配置 (902.19 KB)
目 錄
2.3.3 IPv6 over IPv4手動隧道典型配置舉例
3.4.1 IPv4 over IPv4隧道基本組網配置舉例
4.2.3 IPv4 over IPv6手動隧道典型配置舉例
5.6.1 IPv6 over IPv6隧道基本組網配置舉例
本章僅介紹隧道接口的配置,有關隧道模式的介紹請參見後續章節。
隧道技術是一種封裝技術,即一種網絡協議將其他網絡協議的數據報文封裝在自己的報文中,然後在網絡中傳輸。封裝後的數據報文在網絡中傳輸的路徑,稱為隧道。隧道是一條虛擬的點對點連接,隧道的兩端需要對數據報文進行封裝及解封裝。隧道技術就是指包括數據封裝、傳輸和解封裝在內的全過程。
目前支持的隧道技術包括:
· ADVPN(Auto Discovery Virtual Private Network,自動發現虛擬專用網絡)隧道,ADVPN的相關介紹和配置請參見“VPN配置指導”中的“ADVPN”。
· GRE(Generic Routing Encapsulation,通用路由封裝)隧道,GRE的相關介紹和配置請參見“VPN配置指導”中的“GRE”。
· IPsec(IP Security,IP安全)隧道,IPsec的相關介紹和配置請參見“安全配置指導”中的“IPsec”。
· VXLAN(Virtual eXtensible LAN,可擴展虛擬局域網絡)隧道,VXLAN的相關介紹和配置請參見“VXLAN配置指導”中的“VXLAN”。
· IPv6 over IPv4隧道、IPv4 over IPv4隧道、IPv4 over IPv6隧道和IPv6 over IPv6隧道。
同一台設備上,多個Tunnel接口不要同時配置完全相同的目的端地址和源端地址。
對於任意類型的隧道報文進行多次嵌套封裝時,建議嵌套封裝不超過5層,否則會造成隧道相關字段過長,設備將無法處理。
隧道兩端的設備上,需要創建虛擬的三層接口,即Tunnel接口,以便隧道兩端的設備利用Tunnel接口發送報文、識別並處理來自隧道的報文。
Tunnel接口配置任務如下:
(1) 創建Tunnel接口
(2) (可選)配置封裝後隧道報文的屬性
(3) (可選)配置隧道目的端地址所屬的VPN實例
(4) (可選)恢複當前Tunnel接口的缺省配置
(1) 進入係統視圖。
system-view
(2) 創建Tunnel接口,指定隧道模式,並進入Tunnel接口視圖。
interface tunnel number mode { advpn { gre | udp } [ ipv6 ] | ds-lite-aftr | gre [ ipv6 ] | gre-p2mp [ ipv6 ] | ipsec [ ipv6 ] | ipv4-ipv4 | ipv6 | ipv6-ipv4 [ 6rd | 6to4 | auto-tunnel | isatap ] | vxlan }
在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗。
本命令中advpn { gre | udp } [ ipv6 ]、gre-p2mp [ ipv6 ]、ipsec [ ipv6 ]、ipv6-ipv4 6rd和vxlan參數的支持情況與設備的型號有關,具體請參見命令參考。
(3) 設置隧道的源端地址或源接口。
source { ipv4-address | ipv6-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IP地址;如果設置的是隧道的源接口,則該接口的主IP地址將作為封裝後隧道報文的源IP地址。
(4) 設置隧道的目的端地址。
destination { ipv4-address | ipv6-address | dhcp-alloc interface-type interface-number }
缺省情況下,未設置隧道的目的端地址。
隧道的目的端地址是對端接收報文的接口的地址,該地址將作為封裝後隧道報文的目的地址。
(5) (可選)配置接口描述信息。
description text
缺省情況下,接口描述信息為“該接口的接口名 Interface”。
(6) (可選)配置Tunnel接口的MTU值。
mtu size
缺省情況下,隧道接口的狀態始終為Down時,隧道的MTU值為64000;隧道接口的狀態當前為Up時,隧道的MTU值為根據隧道目的地址查找路由而得到的出接口的MTU值減隧道封裝報文頭長度。
(7) (可選)配置Tunnel接口的期望帶寬。
bandwidth bandwidth-value
缺省情況下,接口的期望帶寬=接口的最大速率÷1000(kbps)。
期望帶寬供業務模塊使用,不會對接口實際帶寬造成影響。
(8) (可選)開啟Tunnel接口。
undo shutdown
缺省情況下,Tunnel接口不處於Administratively Down狀態。
(1) 進入係統視圖。
system-view
(2) 進入Tunnel接口視圖。
interface tunnel number
(3) 設置封裝後隧道報文的ToS。
tunnel tos { copy-inner-tos | tos-value }
缺省情況下,對於VXLAN隧道,封裝後隧道報文的ToS值為0;對於非VXLAN隧道,封裝後隧道報文的ToS值與封裝前原始報文的ToS值相同。
僅VXLAN隧道支持copy-inner-tos參數。
(4) 設置封裝後隧道報文的TTL值。
tunnel ttl ttl-value
缺省情況下,封裝後隧道報文的TTL值為255。
隧道的源端地址和目的端地址必須屬於相同的VPN實例,否則隧道接口鏈路狀態無法UP。在隧道的源接口上通過ip binding vpn-instance命令可以指定隧道源端地址所屬的VPN實例。ip binding vpn-instance命令的詳細介紹,請參見“VPN命令參考”中的“VPN實例”。
(1) 進入係統視圖。
system-view
(2) 進入Tunnel接口視圖。
interface tunnel number
(3) 配置隧道目的端地址所屬的VPN實例。
tunnel vpn-instance vpn-instance-name
缺省情況下,隧道目的端地址屬於公網,設備查找公網路由表轉發隧道封裝後的報文。
接口下的某些配置恢複到缺省情況後,會對設備上當前運行的業務產生影響。建議您在執行本配置前,完全了解其對網絡產生的影響。
您可以在執行default命令後通過display this命令確認執行效果。對於未能成功恢複缺省的配置,建議您查閱相關功能的命令手冊,手工執行恢複該配置缺省情況的命令。如果操作仍然不能成功,您可以通過設備的提示信息定位原因。
(1) 進入係統視圖。
system-view
(2) 進入Tunnel接口視圖。
interface tunnel number
(3) 恢複當前接口的缺省配置。
default
在任意視圖下執行display命令可以顯示隧道配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Tunnel接口的統計信息。
表1-1 隧道顯示和維護
|
操作 |
命令 |
|
顯示Tunnel接口的相關信息 |
display interface [ tunnel [ number ] ] [ brief [ description | down ] ] |
|
顯示Tunnel接口的IPv6相關信息(本命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“IPv6基礎”) |
display ipv6 interface [ tunnel [ number ] ] [ brief ] |
|
清除Tunnel接口的統計信息 |
reset counters interface [ tunnel [ number ] ] |
|
清除Tunnel接口的IPv6統計信息(本命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“IPv6基礎”) |
reset ipv6 statistics [ slot slot-number ] |
在Tunnel接口上配置了相關的參數後(例如隧道的源端地址、目的端地址和隧道模式),Tunnel接口仍未處於up狀態。
Tunnel接口未處於up狀態的原因可能是隧道起點的物理接口沒有處於up狀態,或隧道的目的端地址不可達。
使用display interface和display ipv6 interface命令查看隧道起點的物理接口狀態為up還是down。如果物理接口狀態是down的,請檢查網絡連接。
使用display ipv6 routing-table和display ip routing-table命令查看是否目的端地址通過路由可達。如果路由表中沒有保證隧道通信的路由表項,請配置相關路由。
如圖2-1所示,IPv6 over IPv4隧道是在IPv6數據報文前封裝上IPv4的報文頭,通過隧道使IPv6報文穿越IPv4網絡,實現隔離的IPv6網絡互通。IPv6 over IPv4隧道兩端的設備必須支持IPv4/IPv6雙協議棧,即同時支持IPv4協議和IPv6協議。
圖2-1 IPv6 over IPv4隧道原理圖
IPv6 over IPv4隧道對報文的處理過程如下:
(1) IPv6網絡中的主機發送IPv6報文,該報文到達隧道的源端設備Device A。
(2) Device A根據路由表判定該報文要通過隧道進行轉發後,在IPv6報文前封裝上IPv4的報文頭,通過隧道的實際物理接口將報文轉發出去。IPv4報文頭中的源IP地址為隧道的源端地址,目的IP地址為隧道的目的端地址。
(3) 封裝報文通過隧道到達隧道目的端設備(或稱隧道終點)Device B,Device B判斷該封裝報文的目的地是本設備後,將對報文進行解封裝。
(4) Device B根據解封裝後的IPv6報文的目的地址處理該IPv6報文。如果目的地就是本設備,則將IPv6報文轉給上層協議處理;否則,查找路由表轉發該IPv6報文。
根據隧道終點的IPv4地址的獲取方式不同,隧道分為“配置隧道”和“自動隧道”。
· 如果IPv6 over IPv4隧道終點的IPv4地址不能從IPv6報文的目的地址中自動獲取,需要進行手工配置,這樣的隧道稱為“配置隧道”。
· 如果IPv6報文的目的地址中嵌入了IPv4地址,則可以從IPv6報文的目的地址中自動獲取隧道終點的IPv4地址,這樣的隧道稱為“自動隧道”。
根據對IPv6報文的封裝方式的不同,IPv6 over IPv4隧道分為以下幾種模式。
IPv6 over IPv4手動隧道是點到點之間的鏈路。建立手動隧道需要在隧道兩端手工指定隧道的源端和目的端地址。
手動隧道可以建立在連接IPv4網絡和IPv6網絡的兩個邊緣路由器之間,實現隔離的IPv6網絡跨越IPv4網絡通信;也可以建立在邊緣路由器和IPv4/IPv6雙棧主機之間,實現隔離的IPv6網絡跨越IPv4網絡與雙棧主機通信。
IPv4兼容IPv6自動隧道是點到多點的鏈路。隧道兩端采用特殊的IPv6地址:IPv4兼容IPv6地址,其格式為:0:0:0:0:0:0:a.b.c.d/96,其中a.b.c.d是IPv4地址。通過這個嵌入的IPv4地址可以自動確定隧道的目的端地址。
IPv4兼容IPv6自動隧道的建立非常方便。但是,由於它使用IPv4兼容IPv6地址,采用IPv4兼容IPv6自動隧道通信的主機和路由器必須具有全球唯一的IPv4地址,無法解決IPv4地址空間耗盡的問題,存在一定的局限性。
· 普通6to4隧道
6to4隧道是點到多點的自動隧道,主要建立在邊緣路由器之間,用於通過IPv4網絡連接多個IPv6孤島。
6to4隧道兩端采用特殊的6to4地址,其格式為:2002:abcd:efgh:子網號::接口ID/48。其中:2002表示固定的IPv6地址前綴;abcd:efgh為用16進製表示的IPv4地址(如1.1.1.1可以表示為0101:0101),用來唯一標識一個6to4網絡(如果IPv6孤島中的主機都采用6to4地址,則該IPv6孤島稱為6to4網絡),6to4網絡的邊緣路由器上連接IPv4網絡的接口地址需要配置為此IPv4地址;子網號用來在6to4網絡內劃分子網;子網號和接口ID共同標識了一個主機在6to4網絡內的位置。通過6to4地址中嵌入的IPv4地址可以自動確定隧道的終點,使隧道的建立非常方便。
6to4地址中采用一個全球唯一的IPv4地址標識了一個6to4網絡,克服了IPv4兼容IPv6自動隧道的局限性。
· 6to4中繼
6to4隧道隻能用於前綴為2002::/16的6to4網絡之間的通信,但在IPv6網絡中也會使用像2001::/16這樣的IPv6網絡地址。為了實現6to4網絡和其它IPv6網絡的通信,必須有一台6to4路由器作為網關轉發到IPv6網絡的報文,這台路由器就叫做6to4中繼(6to4 relay)路由器。
如下圖所示,在6to4網絡的邊緣路由器Device A上配置一條到達IPv6網絡(非6to4網絡)的靜態路由,下一跳地址指向6to4中繼路由器Device C的6to4地址,這樣,所有去往該IPv6網絡的報文都會被轉發到6to4中繼路由器,之後再由6to4中繼路由器轉發到IPv6網絡中,從而實現6to4網絡與IPv6網絡的互通。
圖2-2 6to4隧道和6to4中繼原理圖
ISATAP隧道是點到多點的自動隧道技術,為IPv6主機通過IPv4網絡接入IPv6網絡提供了一個解決方案。
使用ISATAP隧道時,IPv6報文的目的地址要采用特殊的ISATAP地址。ISATAP地址格式為:Prefix:0:5EFE:abcd:efgh/64。其中,64位的Prefix為任何合法的IPv6單播地址前綴;abcd:efgh為用16進製表示的32位IPv4地址(如1.1.1.1可以表示為0101:0101),該IPv4地址不要求全球唯一。通過ISATAP地址中嵌入的IPv4地址可以自動確定隧道的終點,使隧道的建立非常方便。
ISATAP隧道主要用於跨越IPv4網絡在IPv6主機與邊緣路由器之間、兩個邊緣路由器之間建立連接。
圖2-3 ISATAP隧道原理圖
· 普通6RD隧道
6RD隧道是點到多點的自動隧道技術,是對6to4隧道的擴展。相對於6to4網絡,6RD網絡的IPv6地址前綴不再局限於2002::/16,而是由運營商分配,並且不再要求將整個32位的IPv4地址都嵌入到IPv6地址中,可以隻是嵌入一部分。
圖2-4 6RD網絡的IPv6地址格式
6RD網絡的IPv6地址格式如圖2-4所示,其中:6RD prefix表示運營商的IPv6地址前綴,長度為n bits;IPv4 address表示部分或完整的隧道源端的IPv4地址,長度為o bits,用16進製表示(如配置IPv4前綴長度為8 bits、後綴長度為8 bits,那麼1.2.3.4地址的前綴為01,後綴為04,IPv4 address為0203);6RD prefix和IPv4 address共同構成6RD Delegated Prefix(6RD授權前綴),用來唯一標識一個6RD網絡(如果IPv6孤島中的主機都采用6RD地址,則該IPv6孤島稱為6RD網絡);子網號用來在6RD網絡內劃分子網;子網號和接口ID共同標識了一個主機在6RD網絡內的位置。通過6RD地址中嵌入的IPv4地址以及6RD前綴、IPv4前綴和後綴可以自動確定隧道的終點,使隧道的建立非常方便。
· 6RD中繼
普通6RD隧道隻能用於前綴為6RD授權前綴的6RD網絡之間的通信,但在IPv6網絡中也會存在未采用6RD授權前綴的地址。為了實現6RD網絡和非6RD網絡通信,必須有一台6RD路由器作為網關轉發到非6RD網絡的報文,這台路由器就叫做6RD中繼(6RD Border Relay,簡稱BR)路由器,而6RD網絡的邊緣路由器叫做6RD用戶側(6RD Customer Edge,簡稱CE)路由器。
如圖2-5所示,在6RD用戶側路由器Device A上配置一條到達非6RD網絡的靜態路由,下一跳地址指向6RD中繼路由器Device C的6RD地址,這樣,所有去往該網絡的報文都會被轉發到6RD中繼路由器,之後再由6RD中繼路由器轉發到非6RD網絡中,從而實現6RD網絡與非6RD網絡的互通。
圖2-5 6RD隧道和6RD中繼原理圖
IPv6 over IPv4隧道配置任務如下:
(1) 配置IPv6 over IPv4隧道
請選擇以下一項任務進行配置:
¡ 配置6to4隧道
¡ 配置6RD隧道
(2) (可選)配置丟棄含有IPv4兼容IPv6地址的IPv6報文
· 在本端設備上為隧道指定的目的端地址,應該與在對端設備上為隧道指定的源端地址相同;在本端設備上為隧道指定的源端地址,應該與在對端設備上為隧道指定的目的端地址相同。
· 在同一台設備上,隧道模式相同的Tunnel接口建議不要同時配置完全相同的源端地址和目的端地址。
· 如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行此項配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”或其他路由協議配置。
(1) 進入係統視圖。
system-view
(2) 進入模式為IPv6 over IPv4手動隧道的Tunnel接口視圖。
interface tunnel number [ mode ipv6-ipv4 ]
(3) 設置Tunnel接口的IPv6地址。
詳細配置方法,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
(4) 設置隧道的源端地址或源接口。
source { ipv4-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IP地址;如果設置的是隧道的源接口,則該接口的主IP地址將作為封裝後隧道報文的源IP地址。
(5) 設置隧道的目的端地址。
destination ipv4-address
缺省情況下,未設置隧道的目的端地址。
隧道的目的端地址是對端接收報文的接口的地址,該地址將作為封裝後隧道報文的目的地址。
(6) (可選)設置封裝後隧道報文的DF(Don’t Fragment,不分片)標誌。
tunnel dfbit enable
缺省情況下,未設置隧道報文的不分片標誌,即轉發隧道報文時允許分片。
如圖2-6所示,兩個IPv6網絡分別通過Device A和Device B與IPv4網絡連接,要求在Device A和Device B之間建立IPv6 over IPv4隧道,使兩個IPv6網絡可以互通。由於隧道終點的IPv4地址不能從IPv6報文的目的地址中自動獲取,因此,需要配置IPv6 over IPv4手動隧道。
圖2-6 IPv6 over IPv4手動隧道組網圖
(1) 配置Device A
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 3002:1/64
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface GigabitEthernet1/0/2
[DeviceA-GigabitEthernet1/0/2] ip address 192.168.100.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/2] quit
# 創建模式為IPv6 over IPv4手動隧道的接口Tunnel0。
[DeviceA] interface tunnel 0 mode ipv6-ipv4
[DeviceA-Tunnel0] ipv6 address 3001::1/64
[DeviceA-Tunnel0] source gigabitethernet 1/0/2
[DeviceA-Tunnel0] destination 192.168.50.1
[DeviceA-Tunnel0] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達IPv6 network2網絡的出接口為Tunnel 0,到達Device B的下一跳IP地址為192.168.100.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceA] ip route-static 192.168.50.1 24 192.168.100.2
[DeviceA] ipv6 route-static 3003:: 64 tunnel 0
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 0
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name Trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalout
[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 192.168.100.1
[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 192.168.50.1
[DeviceA-security-policy-ip-1-tunnellocalout] action pass
[DeviceA-security-policy-ip-1-tunnellocalout] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name tunnellocalin
[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 192.168.50.1
[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 192.168.100.1
[DeviceA-security-policy-ip-2-tunnellocalin] action pass
[DeviceA-security-policy-ip-2-tunnellocalin] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策略規則,使IPv6 network1訪問IPv6 network2的報文可通,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-ip-subnet 3002:: 64
[DeviceA-security-policy-ipv6-3-trust-untrust] destination-ip-subnet 3003:: 64
[DeviceA-security-policy-ipv6-3-trust-untrust] action pass
[DeviceA-security-policy-ipv6-3-trust-untrust] quit
# 配置名稱為untrust-trust的安全策略規則,使IPv6 network2訪問IPv6 network1的報文可通,具體配置步驟如下。
[DeviceA-security-policy-ipv6] rule name untrust-trust
[DeviceA-security-policy-ipv6-4-untrust-trust] source-zone untrust
[DeviceA-security-policy-ipv6-4-untrust-trust] destination-zone trust
[DeviceA-security-policy-ipv6-4-untrust-trust] source-ip-subnet 3003:: 64
[DeviceA-security-policy-ipv6-4-untrust-trust] destination-ip-subnet 3002:: 64
[DeviceA-security-policy-ipv6-4-untrust-trust] action pass
[DeviceA-security-policy-ipv6-4-untrust-trust] quit
[DeviceA-security-policy-ipv6] quit
(2) 配置Device B
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 3003::1 64
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 192.168.50.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/2] quit
# 創建模式為IPv6 over IPv4手動隧道的接口Tunnel0。
[DeviceB] interface tunnel 0 mode ipv6-ipv4
[DeviceB-Tunnel0] ipv6 address 3001::2/64
[DeviceB-Tunnel0] source gigabitethernet 1/0/2
[DeviceB-Tunnel0] destination 192.168.100.1
[DeviceB-Tunnel0] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達IPv6 network1網絡的出接口為Tunnel 0,到達Device A的下一跳IP地址為192.168.50.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceB] ip route-static 192.168.100.1 24 192.168.50.2
[DeviceB] ipv6 route-static 3002:: 64 tunnel 0
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 0
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name Trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalout
[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 192.168.50.1
[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 192.168.100.1
[DeviceB-security-policy-ip-1-tunnellocalout] action pass
[DeviceB-security-policy-ip-1-tunnellocalout] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB-security-policy-ip] rule name tunnellocalin
[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 192.168.100.1
[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 192.168.50.1
[DeviceB-security-policy-ip-2-tunnellocalin] action pass
[DeviceB-security-policy-ip-2-tunnellocalin] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策略規則,使IPv6 network2訪問IPv6 network1的報文可通,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name trust-untrust
[DeviceB-security-policy-ipv6-3-trust-untrust] source-zone trust
[DeviceB-security-policy-ipv6-3-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ipv6-3-trust-untrust] source-ip-subnet 3003:: 64
[DeviceB-security-policy-ipv6-3-trust-untrust] destination-ip-subnet 3002:: 64
[DeviceB-security-policy-ipv6-3-trust-untrust] action pass
[DeviceB-security-policy-ipv6-3-trust-untrust] quit
# 配置名稱為untrust-trust的安全策略規則,使IPv6 network1訪問IPv6 network2的報文可通,具體配置步驟如下。
[DeviceB-security-policy-ipv6] rule name untrust-trust
[DeviceB-security-policy-ipv6-4-untrust-trust] source-zone untrust
[DeviceB-security-policy-ipv6-4-untrust-trust] destination-zone trust
[DeviceB-security-policy-ipv6-4-untrust-trust] source-ip-subnet 3002:: 64
[DeviceB-security-policy-ipv6-4-untrust-trust] destination-ip-subnet 3003:: 64
[DeviceB-security-policy-ipv6-4-untrust-trust] action pass
[DeviceB-security-policy-ipv6-4-untrust-trust] quit
[DeviceB-security-policy-ipv6] quit
# 完成上述配置後,在Device A和Device B上分別執行display ipv6 interface命令,可以看出Tunnel0接口處於up狀態。(具體顯示信息略)
# 從Device A和Device B上可以Ping通對端的GigabitEthernet1/0/1接口的IPv6地址。下麵僅以Device A為例。
[DeviceA] ping ipv6 3003::1
Ping6(56 data bytes) 3001::1 --> 3003::1, press CTRL_C to break
56 bytes from 3003::1, icmp_seq=0 hlim=64 time=45.000 ms
56 bytes from 3003::1, icmp_seq=1 hlim=64 time=10.000 ms
56 bytes from 3003::1, icmp_seq=2 hlim=64 time=4.000 ms
56 bytes from 3003::1, icmp_seq=3 hlim=64 time=10.000 ms
56 bytes from 3003::1, icmp_seq=4 hlim=64 time=11.000 ms
--- Ping6 statistics for 3003::1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 4.000/16.000/45.000/14.711 ms
· IPv4兼容IPv6自動隧道不需要配置隧道的目的端地址,因為隧道的目的端地址可以通過IPv4兼容IPv6地址中嵌入的IPv4地址自動獲得。
· 對於自動隧道,隧道模式相同的Tunnel接口建議不要同時配置完全相同的源端地址。
(1) 進入係統視圖。
system-view
(2) 進入模式為IPv4兼容IPv6自動隧道的Tunnel接口視圖。
interface tunnel number [ mode ipv6-ipv4 auto-tunnel ]
(3) 設置Tunnel接口的IPv6地址。
詳細配置方法,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
(4) 設置隧道的源端地址或源接口。
source { ipv4-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IP地址;如果設置的是隧道的源接口,則該接口的主IP地址將作為封裝後隧道報文的源IP地址。
(5) (可選)設置封裝後隧道報文的DF(Don’t Fragment,不分片)標誌。
tunnel dfbit enable
缺省情況下,未設置隧道報文的不分片標誌,即轉發隧道報文時允許分片。
如圖2-7所示,兩台具有雙協議棧的Device A和Device B通過IPv4網絡連接。網絡管理員希望建立IPv4兼容IPv6自動隧道,使得這兩台設備能夠通過IPv6協議互通。
圖2-7 IPv4兼容IPv6自動隧道組網圖
(1) 配置Device A
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface GigabitEthernet1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
# 創建模式為IPv4兼容IPv6自動隧道的接口Tunnel0。
[DeviceA] interface tunnel 0 mode ipv6-ipv4 auto-tunnel
[DeviceA-Tunnel0] ipv6 address ::192.168.100.1/96
[DeviceA-Tunnel0] source gigabitethernet 1/0/1
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device B的下一跳IP地址為192.168.100.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceA] ip route-static 192.168.50.1 24 192.168.100.2
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 0
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalout
[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 192.168.100.1
[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 192.168.50.1
[DeviceA-security-policy-ip-1-tunnellocalout] action pass
[DeviceA-security-policy-ip-1-tunnellocalout] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name tunnellocalout
[DeviceA-security-policy-ipv6-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ipv6-1-tunnellocalout] source-ip-host ::192.168.100.1
[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-ip-host ::192.168.50.1
[DeviceA-security-policy-ipv6-1-tunnellocalout] action pass
[DeviceA-security-policy-ipv6-1-tunnellocalout] quit
[DeviceA-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalin
[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 192.168.50.1
[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 192.168.100.1
[DeviceA-security-policy-ip-2-tunnellocalin] action pass
[DeviceA-security-policy-ip-2-tunnellocalin] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA]security-policy ipv6
[DeviceA-security-policy-ipv6] rule name tunnellocalin
[DeviceA-security-policy-ipv6-2-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-zone local
[DeviceA-security-policy-ipv6-2-tunnellocalin] source-ip-host ::192.168.50.1
[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-ip-host ::192.168.100.1
[DeviceA-security-policy-ipv6-2-tunnellocalin] action pass
[DeviceA-security-policy-ipv6-2-tunnellocalint] quit
[DeviceA-security-policy-ipv6] quit
(2) 配置Device B
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
[DeviceB] interface GigabitEthernet1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 192.168.50.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
# 創建模式為IPv4兼容IPv6自動隧道的接口Tunnel0。
[DeviceB] interface tunnel 0 mode ipv6-ipv4 auto-tunnel
[DeviceB-Tunnel0] ipv6 address ::192.168.50.1/96
[DeviceB-Tunnel0] source gigabitethernet 1/0/1
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device A的下一跳IP地址為192.168.50.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceB] ip route-static 192.168.100.1 24 192.168.50.2
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 0
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalout
[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 192.168.50.1
[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 192.168.100.1
[DeviceB-security-policy-ip-1-tunnellocalout] action pass
[DeviceB-security-policy-ip-1-tunnellocalout] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalout
[DeviceB-security-policy-ipv6-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ipv6-1-tunnellocalout] source-ip-host ::192.168.50.1
[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-ip-host ::192.168.100.1
[DeviceB-security-policy-ipv6-1-tunnellocalout] action pass
[DeviceB-security-policy-ipv6-1-tunnellocalout] quit
[DeviceB-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalin
[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 192.168.100.1
[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 192.168.50.1
[DeviceB-security-policy-ip-2-tunnellocalin] action pass
[DeviceB-security-policy-ip-2-tunnellocalin] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalin
[DeviceB-security-policy-ipv6-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ipv6-2-tunnellocalin] source-ip-host ::192.168.100.1
[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-ip-host ::192.168.50.1
[DeviceB-security-policy-ipv6-2-tunnellocalin] action pass
[DeviceB-security-policy-ipv6-2-tunnellocalin] quit
[DeviceB-security-policy-ipv6] quit
# 完成上述配置後,在Device A和Device B上分別執行display ipv6 interface命令,可以看出Tunnel0接口處於up狀態。(具體顯示信息略)
# 從Device A和Device B上可以Ping通對端的IPv4兼容IPv6地址。下麵僅以Device A為例。
[DeviceA-Tunnel0] ping ipv6 ::192.168.50.1
Ping6(56 data bytes) ::192.168.100.1 --> ::192.168.50.1, press CTRL_C to break
56 bytes from ::192.168.50.1, icmp_seq=0 hlim=64 time=17.000 ms
56 bytes from ::192.168.50.1, icmp_seq=1 hlim=64 time=9.000 ms
56 bytes from ::192.168.50.1, icmp_seq=2 hlim=64 time=11.000 ms
56 bytes from ::192.168.50.1, icmp_seq=3 hlim=64 time=9.000 ms
56 bytes from ::192.168.50.1, icmp_seq=4 hlim=64 time=11.000 ms
--- Ping6 statistics for ::192.168.50.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 9.000/11.400/17.000/2.939 ms
· 6to4隧道不需要配置隧道的目的端地址,因為隧道的目的端地址可以通過6to4 IPv6地址中嵌入的IPv4地址自動獲得。
· 對於自動隧道,隧道模式相同的Tunnel接口建議不要同時配置完全相同的源端地址。
· 如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。對於自動隧道,用戶隻能配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址,不支持動態路由。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”。
(1) 進入係統視圖。
system-view
(2) 進入模式為6to4隧道的Tunnel接口視圖。
interface tunnel number [ mode ipv6-ipv4 6to4 ]
(3) 設置Tunnel接口的IPv6地址。
詳細配置方法,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
(4) 設置隧道的源端地址或源接口。
source { ipv4-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IP地址;如果設置的是隧道的源接口,則該接口的主IP地址將作為封裝後隧道報文的源IP地址。
(5) (可選)設置封裝後隧道報文的DF(Don’t Fragment,不分片)標誌。
tunnel dfbit enable
缺省情況下,未設置隧道報文的不分片標誌,即轉發隧道報文時允許分片。
如圖2-8所示,兩個6to4網絡通過網絡邊緣6to4設備(Device A和Device B)與IPv4網絡相連。在Device A和Device B之間建立6to4隧道,實現6to4網絡中的主機Host A和Host B之間的互通。
圖2-8 6to4隧道組網圖
為了實現6to4網絡之間的互通,除了配置6to4隧道外,還需要為6to4網絡內的主機及6to4設備配置6to4地址。
· Device A上接口GigabitEthernet1/0/2的IPv4地址為2.1.1.1/24,轉換成6to4地址後的前綴為2002:0201:0101::/48,Host A的地址必須使用該前綴。
· Device B上接口GigabitEthernet1/0/2的IPv4地址為5.1.1.1/24,轉換成6to4地址後的前綴為2002:0501:0101::/48,Host B的地址必須使用該前綴。
(1) 配置Device A
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface GigabitEthernet1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 2002:0201:0101:1::1/64
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface GigabitEthernet1/0/2
[DeviceA-GigabitEthernet1/0/2] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/2] quit
# 創建模式為6to4隧道的接口Tunnel0。
[DeviceA] interface tunnel 0 mode ipv6-ipv4 6to4
[DeviceA-Tunnel0] ipv6 address 3001::1/64
[DeviceA-Tunnel0] source gigabitethernet 1/0/2
[DeviceA-Tunnel0] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device B的下一跳IP地址為2.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceA] ip route-static 5.1.1.1 24 2.1.1.2
[DeviceA] ipv6 route-static 2002:0501:: 32 tunnel 0
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 0
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name Trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalout
[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 2.1.1.1
[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 5.1.1.1
[DeviceA-security-policy-ip-1-tunnellocalout] action pass
[DeviceA-security-policy-ip-1-tunnellocalout] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策規則,使Host A可以向Host B發送報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2002:0201:: 32
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2002:0501:: 32
[DeviceA-security-policy-ipv6-1-trust-untrust] action pass
[DeviceA-security-policy-ipv6-1-trust-untrust] quit
[DeviceA-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalin
[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 5.1.1.1
[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 2.1.1.1
[DeviceA-security-policy-ip-2-tunnellocalin] action pass
[DeviceA-security-policy-ip-2-tunnellocalin] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為untrust-trust的安全策略規則,使Host A可以接收和處理來自Host B的報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name untrust-trust
[DeviceA-security-policy-ipv6-2-untrust-trust] source-zone untrust
[DeviceA-security-policy-ipv6-2-untrust-trust] destination-zone trust
[DeviceA-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2002:0501:: 32
[DeviceA-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2002:0201:: 32
[DeviceA-security-policy-ipv-2-untrust-trust] action pass
[DeviceA-security-policy-ipv6-2-untrust-trust] quit
[DeviceA-security-policy-ipv6] quit
(2) 配置Device B
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface GigabitEthernet1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 2002:0501:0101:1::1/64
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 5.5.5.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/2] quit
# 創建模式為6to4隧道的接口Tunnel0。
[DeviceB] interface tunnel 0 mode ipv6-ipv4 6to4
[DeviceB-Tunnel0] ipv6 address 3002::1/64
[DeviceB-Tunnel0] source gigabitethernet 1/0/2
[DeviceB-Tunnel0] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device A的下一跳IP地址為5.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceB] ip route-static 2.1.1.1 24 5.1.1.2
[DeviceB] ipv6 route-static 2002:0201:: 32 tunnel 0
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 0
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name Trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalout
[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 5.1.1.1
[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 2.1.1.1
[DeviceB-security-policy-ip-1-tunnellocalout] action pass
[DeviceB-security-policy-ip-1-tunnellocalout] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策規則,使Host B可以向Host A發送報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name trust-untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2002:0501:: 32
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2002:0201:: 32
[DeviceB-security-policy-ipv6-1-trust-untrust] action pass
[DeviceB-security-policy-ipv6-1-trust-untrust] quit
[DeviceB-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalin
[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 2.1.1.1
[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 5.1.1.1
[DeviceB-security-policy-ip-2-tunnellocalin] action pass
[DeviceB-security-policy-ip-2-tunnellocalin] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為tunnellocalin的安全策略規則,使Host B可以接收和處理來自Host A的報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalin
[DeviceB-security-policy-ipv6-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ipv6-2-tunnellocalin] source-ip-subnet 2002:0201:: 32
[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-ip-subnet 2005:0201:: 32
[DeviceB-security-policy-ipv6-2-tunnellocalin] action pass
[DeviceB-security-policy-ipv6-2-tunnellocalin] quit
[DeviceB-security-policy-ipv6] quit
# 完成以上配置之後,安裝Linux係統的Host A與Host B可以互相Ping通。
D:\>ping6 -s 2002:201:101:1::2 2002:501:101:1::2
Pinging 2002:501:101:1::2
from 2002:201:101:1::2 with 32 bytes of data:
Reply from 2002:501:101:1::2: bytes=32 time=13ms
Reply from 2002:501:101:1::2: bytes=32 time=1ms
Reply from 2002:501:101:1::2: bytes=32 time=1ms
Reply from 2002:501:101:1::2: bytes=32 time<1ms
Ping statistics for 2002:501:101:1::2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 13ms, Average = 3ms
如圖2-9所示,Device A為6to4設備,其IPv6側的網絡使用6to4地址。Device B作為6to4中繼設備,它和IPv6網絡(2001::/16)相連。要求在Device A和Device B之間配置6to4隧道,使得6to4網絡中的主機與IPv6網絡中的主機互通。
圖2-9 6to4中繼組網圖
6to4中繼設備的配置與6to4設備的配置相同,但為實現6to4網絡與IPv6網絡的互通,需要在6to4設備上配置到IPv6網絡的路由,下一跳指向6to4中繼設備的6to4地址。6to4中繼設備上接口GigabitEthernet1/0/2的IPv4地址為6.1.1.1/24,轉換成6to4地址後的前綴為2002:0601:0101::/48,6to4設備上配置的到IPv6網絡的路由下一跳可以是符合該前綴的任意一個地址。
(1) 配置Device A
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface GigabitEthernet1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 2002:0201:0101:1::1/64
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface GigabitEthernet1/0/2
[DeviceA-GigabitEthernet1/0/2] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/2] quit
# 創建模式為6to4隧道的接口Tunnel0。
[DeviceA] interface tunnel 0 mode ipv6-ipv4 6to4
[DeviceA-Tunnel0] ipv6 address 2002::1/64
[DeviceA-Tunnel0] source gigabitethernet 1/0/2
[DeviceA-Tunnel0] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device B的下一跳IP地址為2.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceA] ip route-static 6.1.1.1 24 2.1.1.2
[DeviceA] ipv6 route-static 2002:0601:0101:: 64 tunnel 0
[DeviceA] ipv6 route-static :: 0 2002:0601:0101::1
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 0
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name Trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalout
[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 2.1.1.1
[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 6.1.1.1
[DeviceA-security-policy-ip-1-tunnellocalout] action pass
[DeviceA-security-policy-ip-1-tunnellocalout] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策規則,使Host A可以向Host B發送報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2002:0201:0101:
1:: 64
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:: 64
[DeviceA-security-policy-ipv6-1-trust-untrust] action pass
[DeviceA-security-policy-ipv6-1-trust-untrust] quit
[DeviceA-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalin
[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 6.1.1.1
[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 2.1.1.1
[DeviceA-security-policy-ip-2-tunnellocalin] action pass
[DeviceA-security-policy-ip-2-tunnellocalin] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為untrust-trust的安全策略規則,使Host A可以接收和處理來自Host B的報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name untrust-trust
[DeviceA-security-policy-ipv6-2-untrust-trust] source-zone untrust
[DeviceA-security-policy-ipv6-2-untrust-trust] destination-zone trust
[DeviceA-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2001:: 64
[DeviceA-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2002:0201:0101:
1:: 64
[DeviceA-security-policy-ipv-2-untrust-trust] action pass
[DeviceA-security-policy-ipv6-2-untrust-trust] quit
[DeviceA-security-policy-ipv6] quit
(2) 配置Device B
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface GigabitEthernet1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 2001::1/64
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 6.1.1.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/2] quit
# 創建模式為6to4隧道的接口Tunnel0。
[DeviceB] interface tunnel 0 mode ipv6-ipv4 6to4
[DeviceB-Tunnel0] ipv6 address 2003::1/64
[DeviceB-Tunnel0] source gigabitethernet 1/0/2
[DeviceB-Tunnel0] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device A的下一跳IP地址為6.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceB] ip route-static 2.1.1.1 24 6.1.1.2
[DeviceB] ipv6 route-static 2002:: 16 tunnel 0
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 0
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name Trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalout
[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 6.1.1.1
[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 2.1.1.1
[DeviceB-security-policy-ip-1-tunnellocalout] action pass
[DeviceB-security-policy-ip-1-tunnellocalout] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策規則,使Host B可以向Host A發送報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name trust-untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2001:: 64
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2002:0201:0101:
1:: 64
[DeviceB-security-policy-ipv6-1-trust-untrust] action pass
[DeviceB-security-policy-ipv6-1-trust-untrust] quit
[DeviceB-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalin
[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 2.1.1.1
[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 6.1.1.1
[DeviceB-security-policy-ip-2-tunnellocalin] action pass
[DeviceB-security-policy-ip-2-tunnellocalin] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為untrust-trust的安全策略規則,使Host B可以接收和處理來自Host A的報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name untrust-trust
[DeviceB-security-policy-ipv6-2-untrust-trust] source-zone untrust
[DeviceB-security-policy-ipv6-2-untrust-trust] destination-zone trust
[DeviceB-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2002:0201:0101:
1:: 64
[DeviceB-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2001:: 64
[DeviceB-security-policy-ipv-2-untrust-trust] action pass
[DeviceB-security-policy-ipv6-2-untrust-trust] quit
[DeviceB-security-policy-ipv6] quit
# 完成以上配置之後,安裝Linux係統的Host A與Host B可以互相Ping通。
D:\>ping6 -s 2002:201:101:1::2 2001::2
Pinging 2001::2
from 2002:201:101:1::2 with 32 bytes of data:
Reply from 2001::2: bytes=32 time=13ms
Reply from 2001::2: bytes=32 time=1ms
Reply from 2001::2: bytes=32 time=1ms
Reply from 2001::2: bytes=32 time<1ms
Ping statistics for 2001::2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 13ms, Average = 3ms
· ISATAP隧道不需要配置隧道的目的端地址,因為隧道的目的端地址可以通過ISATAP地址中嵌入的IPv4地址自動獲得。
· 對於自動隧道,隧道模式相同的Tunnel接口建議不要同時配置完全相同的源端地址。
· 如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。對於自動隧道,用戶隻能配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址,不支持動態路由。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”。
(1) 進入係統視圖。
system-view
(2) 進入模式為ISATAP隧道的Tunnel接口視圖。
interface tunnel number [ mode ipv6-ipv4 isatap ]
(3) 設置Tunnel接口的IPv6地址。
詳細配置方法,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
(4) 設置隧道的源端地址或源接口。
source { ipv4-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IP地址;如果設置的是隧道的源接口,則該接口的主IP地址將作為封裝後隧道報文的源IP地址。
(5) (可選)設置封裝後隧道報文的DF(Don’t Fragment,不分片)標誌。
tunnel dfbit enable
缺省情況下,未設置隧道報文的不分片標誌,即轉發隧道報文時允許分片。
如圖2-10所示,IPv6網絡和IPv4網絡通過ISATAP設備相連,在IPv4網絡側分布著一些IPv6主機。要求將IPv4網絡中的IPv6主機通過ISATAP隧道接入到IPv6網絡。
圖2-10 ISATAP隧道組網圖
(1) 配置Device
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface GigabitEthernet1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.1.1.1 8
[Device-GigabitEthernet1/0/1] quit
[Device] interface GigabitEthernet1/0/2
[Device-GigabitEthernet1/0/2] ipv6 address 3001::1/64
[Device-GigabitEthernet1/0/2] quit
# 創建模式為ISATAP隧道的接口Tunnel0。
[Device] interface tunnel 0 mode ipv6-ipv4 isatap
[Device-Tunnel0] ipv6 address 2001:: 64 eui-64
[Device-Tunnel0] source gigabitethernet 1/0/1
[Device-Tunnel0] undo ipv6 nd ra halt
[Device-Tunnel0] quit
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name Untrust
[Device-security-zone-Untrust] import interface Tunnel 0
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name Trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device可以向ISATAP host發送報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name tunnellocalout
[Device-security-policy-ip-1-tunnellocalout] source-zone local
[Device-security-policy-ip-1-tunnellocalout] destination-zone untrust
[Device-security-policy-ip-1-tunnellocalout] source-ip-host 1.1.1.1
[Device-security-policy-ip-1-tunnellocalout] destination-ip-host 1.1.1.2
[Device-security-policy-ip-1-tunnellocalout] action pass
[Device-security-policy-ip-1-tunnellocalout] quit
[Device-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策規則,使IPv6 host可以向ISATAP host發送報文,具體配置步驟如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name trust-untrust
[Device-security-policy-ipv6-1-trust-untrust] source-zone trust
[Device-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[Device-security-policy-ipv6-1-trust-untrust] source-ip-subnet 3001:: 64
[Device-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:: 64
[Device-security-policy-ipv6-1-trust-untrust] action pass
[Device-security-policy-ipv6-1-trust-untrust] quit
[Device-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device可以接收和處理來自ISATAP host的報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name tunnellocalin
[Device-security-policy-ip-2-tunnellocalin] source-zone untrust
[Device-security-policy-ip-2-tunnellocalin] destination-zone local
[Device-security-policy-ip-2-tunnellocalin] source-ip-host 1.1.1.2
[Device-security-policy-ip-2-tunnellocalin] destination-ip-host 1.1.1.1
[Device-security-policy-ip-2-tunnellocalin] action pass
[Device-security-policy-ip-2-tunnellocalin] quit
[Device-security-policy-ip] quit
# 配置名稱為untrust-trust的安全策略規則,使IPv6 host可以接收和處理來自ISATAP host的報文,具體配置步驟如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name untrust-trust
[Device-security-policy-ipv6-2-untrust-trust] source-zone untrust
[Device-security-policy-ipv6-2-untrust-trust] destination-zone trust
[Device-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2001:: 64
[Device-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 3001:: 64
[Device-security-policy-ipv6-2-untrust-trust] action pass
[Device-security-policy-ipv6-2-untrust-trust] quit
[Device-security-policy-ipv6] quit
(2) 配置ISATAP主機
ISATAP主機上的具體配置與主機的操作係統有關,下麵僅以Windows XP操作係統為例進行說明。
# 在主機上安裝IPv6協議。
C:\>ipv6 install
# 在Windows XP上,ISATAP接口通常為接口2,查看這個ISATAP接口的信息。
C:\>ipv6 if 2
Interface 2: Automatic Tunneling Pseudo-Interface
Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE}
does not use Neighbor Discovery
does not use Router Discovery
routing preference 1
EUI-64 embedded IPv4 address: 0.0.0.0
router link-layer address: 0.0.0.0
preferred link-local fe80::5efe:1.1.1.2, life infinite
link MTU 1280 (true link MTU 65515)
current hop limit 128
reachable time 42500ms (base 30000ms)
retransmission interval 1000ms
DAD transmits 0
default site prefix length 48
# 配置ISATAP設備的IPv4地址。
C:\>netsh interface ipv6 isatap set router 1.1.1.1
# 完成上述配置後,再來查看ISATAP接口的信息。
C:\>ipv6 if 2
Interface 2: Automatic Tunneling Pseudo-Interface
Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE}
does not use Neighbor Discovery
uses Router Discovery
routing preference 1
EUI-64 embedded IPv4 address: 1.1.1.2
router link-layer address: 1.1.1.1
preferred global 2001::5efe:1.1.1.2, life 29d23h59m46s/6d23h59m46s (public)
preferred link-local fe80::5efe:1.1.1.2, life infinite
link MTU 1500 (true link MTU 65515)
current hop limit 255
reachable time 42500ms (base 30000ms)
retransmission interval 1000ms
DAD transmits 0
default site prefix length 48
對比前後的接口信息,可以看到主機獲取了2001::/64的前綴,自動生成全球單播地址2001::5efe:1.1.1.2,同時還有一行信息“uses Router Discovery”表明主機啟用了路由器發現。
# 查看主機上的IPv6路由信息。
C:\>ipv6 rt
2001::/64 -> 2 pref 1if+8=9 life 29d23h59m43s (autoconf)
::/0 -> 2/fe80::5efe:1.1.1.1 pref 1if+256=257 life 29m43s (autoconf)
(3) 配置IPv6主機
# 配置一條到邊界設備隧道的路由。
C:\>netsh interface ipv6 set route 2001::/64 5 3001::1
# 在ISATAP主機上Ping IPv6主機的地址,可以Ping通,表明ISATAP隧道已經成功建立,ISATAP主機可訪問IPv6網絡中的主機。
C:\>ping 3001::2
Pinging 3001::2 with 32 bytes of data:
Reply from 3001::2: time=1ms
Reply from 3001::2: time=1ms
Reply from 3001::2: time=1ms
Reply from 3001::2: time=1ms
Ping statistics for 3001::2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
F1000係列 |
型號 |
說明 |
|
F1000-X-G5係列 |
F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
不支持 |
|
F1000-X-G3係列 |
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
不支持 |
|
F1000-X-G2係列 |
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
支持 |
|
F1000-9X0-AI係列 |
F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-9330-AI、F1000-9320-AI、F1000-9305-AI |
不支持 |
|
F1000-9310-AI、F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI |
支持 |
|
|
F1000-C83X0係列 |
F1000-C8395、F1000-C8390、F1000-C8385、F1000-C8380、F1000-C8370、F1000-C8360、F1000-C8350、F1000-C8330、F1000-C8310、F1000-C8305 |
不支持 |
|
F1000-C8320 |
支持 |
|
|
F1000-C81X0係列 |
F1000-C8180、F1000-C8170、F1000-C8160、F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
支持 |
|
F1000-7X0-HI係列 |
F1000-770-HI、F1000-750-HI、F1000-740-HI、F1000-730-HI |
不支持 |
|
F1000-720-HI、F1000-710-HI |
支持 |
|
|
F1000-C-X係列 |
F1000-C-EI、F1000-C-HI |
支持 |
|
F1000-C-XI、F1000-E-XI |
不支持 |
|
|
F1000-V係列 |
F1000-E-VG、F1000-S-VG |
支持 |
|
SecBlade IV |
LSPM6FWD8、LSQM2FWDSC8 |
支持 |
|
F100係列 |
型號 |
說明 |
|
F100-X-G5係列 |
F100-A-G5、F100-E-G5、F100-C-G5-SI、F100-M-G5-EI |
不支持 |
|
F100-C-G5、F100-C-G5-EI、F100-M-G5、F100-S-G5 |
支持 |
|
|
F100-X-G3係列 |
F100-A-G3、F100-C-G3、F100-E-G3、F100-M-G3、F100-S-G3 |
支持 |
|
F100-X-G2係列 |
F100-A-G2、F100-C-G2、F100-E-G2、F100-M-G2、F100-S-G2 |
支持 |
|
F100-WiNet係列 |
F100-A80-WiNet、F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet |
支持 |
|
F100-A81-WiNet、F100-A91-WiNet |
不支持 |
|
|
F100-C-A係列 |
F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A2、F100-C-A1、F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
不支持 |
|
F100-X-XI係列 |
F100-A-EI、F100-A-HI、F100-A-SI、F100-C-EI、F100-C-HI、F100-C-XI、F100-E-EI、F100-S-HI、F100-S-XI |
支持 |
|
F100-A-XI |
不支持 |
· 6RD隧道不需要配置隧道的目的端地址,因為隧道的目的端地址可以通過6RD地址中嵌入的IPv4地址自動獲得。
· 對於自動隧道,隧道模式相同的Tunnel接口建議不要配置完全相同的源端地址。
· 如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。
· 轉發路由不支持動態路由。用戶隻能配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”。
· 在隧道的兩端都要進行轉發路由的配置。
(1) 進入係統視圖。
system-view
(2) 進入模式為6RD隧道的Tunnel接口視圖。
interface tunnel number mode ipv6-ipv4 6rd
(3) 設置Tunnel接口的IPv6地址。
詳細配置方法,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
(4) 設置隧道的源端地址或源接口。
source { ipv4-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IP地址;如果設置的是隧道的源接口,則該接口的主IP地址將作為封裝後隧道報文的源IP地址。
(5) 配置6RD隧道的6RD前綴。
tunnel 6rd prefix ipv6-prefix/prefix-length
缺省情況下,未配置6RD隧道的6RD前綴。
(6) (可選)配置6RD隧道的IPv4前綴長度和後綴長度。
tunnel 6rd ipv4 { prefix-length length | suffix-length length } *
缺省情況下,整個32位的隧道源接口的IPv4地址都用於構造6RD授權前綴。
(7) (可選)設置6RD隧道的BR地址。
tunnel 6rd br ipv4-address
缺省情況下,未設置6RD隧道的BR地址。
(8) (可選)設置封裝後隧道報文的DF(Don’t Fragment,不分片)標誌。
tunnel dfbit enable
缺省情況下,未設置隧道報文的不分片標誌,即轉發隧道報文時允許分片。
在任意視圖下執行display命令可以顯示隧道配置後的運行情況,通過查看顯示信息驗證配置的效果。
表2-1 6RD隧道顯示和維護
|
操作 |
命令 |
|
顯示6RD隧道接口的信息 |
display 6rd [ interface tunnel number ] |
|
顯示指定6RD授權前綴對應的隧道目的端地址 |
display 6rd destination prefix ipv6-prefix interface tunnel number |
|
顯示指定隧道目的端地址對應的6RD授權前綴 |
display 6rd prefix destination ipv4-address interface tunnel number |
如圖2-11所示,兩個6RD網絡通過Device A和Device B與IPv4網絡相連。在Device A和Device B之間建立6RD隧道,實現6RD網絡中的主機Host A和Host B之間的互通。
圖2-11 6RD隧道組網圖
為了實現6RD網絡之間的互通,除了配置6RD隧道外,還需要為6RD網絡內的主機及Device A和Device B配置6RD地址。
· 配置6RD網絡的6RD前綴為2001:B000::/32,IPv4前綴長度為16,IPv4後綴長度為8。
· Device A上接口GigabitEthernet1/0/2的IPv4地址為10.1.1.1/16,IPv4前綴為10.1.0.0/16,IPv4後綴為0.0.0.1/8,將該IPv4地址轉換成6RD地址後的前綴為2001:B000:100::/40,Host A的地址必須使用該前綴。
· Device B上接口GigabitEthernet1/0/2的IPv4地址為10.1.2.1/16,IPv4前綴為10.1.0.0/16,IPv4後綴為0.0.0.1/8,將該IPv4地址轉換成6RD地址後的前綴為2001:B000:200::/40,Host B的地址必須使用該前綴。
在開始下麵的配置之前,請確保Device A和Device B之間IPv4報文路由可達。
(1) 配置Device A
# 配置接口GigabitEthernet1/0/2的地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 16
[DeviceA-GigabitEthernet1/0/2] quit
# 配置接口GigabitEthernet1/0/1的地址為6RD地址2001:B000:0100::1/40。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 2001:b000:0100::1/40
[DeviceA-GigabitEthernet1/0/1] quit
# 創建模式為6RD隧道的接口Tunnel0。
[DeviceA] interface tunnel 0 mode ipv6-ipv4 6rd
# 配置Tunnel0接口的IPv6地址。
[DeviceA-Tunnel0] ipv6 address 3001::1/64
# 配置Tunnel0接口的源接口為GigabitEthernet1/0/2。
[DeviceA-Tunnel0] source gigabitethernet 1/0/2
# 配置Tunnel0接口的6RD前綴為2001:B000::/32。
[DeviceA-Tunnel0] tunnel 6rd prefix 2001:b000::/32
# 配置Tunnel0接口的IPv4前綴長度為16,後綴長度為8。
[DeviceA-Tunnel0] tunnel 6rd ipv4 prefix-len 16 suffix-len 8
[DeviceA-Tunnel0] quit
# 配置到目的地址2001:B000::/32,下一跳為Tunnel接口的靜態路由。
[DeviceA] ipv6 route-static 2001:b000:: 32 tunnel 0
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 0
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name Trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalout
[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 10.1.1.1
[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 10.1.2.1
[DeviceA-security-policy-ip-1-tunnellocalout] action pass
[DeviceA-security-policy-ip-1-tunnellocalout] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策規則,使Host A可以向Host B發送報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2001:B000::0100:: 40
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:B000::0200:: 40
[DeviceA-security-policy-ipv6-1-trust-untrust] action pass
[DeviceA-security-policy-ipv6-1-trust-untrust] quit
[DeviceA-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalin
[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 10.1.2.1
[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 10.1.1.1
[DeviceA-security-policy-ip-2-tunnellocalin] action pass
[DeviceA-security-policy-ip-2-tunnellocalin] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為untrust-trust的安全策略規則,使Host A可以接收和處理來自Host B的報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name untrust-trust
[DeviceA-security-policy-ipv6-2-untrust-trust] source-zone untrust
[DeviceA-security-policy-ipv6-2-untrust-trust] destination-zone trust
[DeviceA-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2001:B000::0200:: 40
[DeviceA-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2001:B000::0100:: 40
[DeviceA-security-policy-ipv6-2-untrust-trust] action pass
[DeviceA-security-policy-ipv6-2-untrust-trust] quit
[DeviceA-security-policy-ipv6] quit
(2) 配置Device B
# 配置接口GigabitEthernet1/0/2的地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 10.1.2.1 16
[DeviceB-GigabitEthernet1/0/2] quit
# 配置接口GigabitEthernet1/0/1的地址為6RD地址2001:B000:0200::1/40。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 2001:b000:0200::1/40
[DeviceB-GigabitEthernet1/0/1] quit
# 創建模式為6RD隧道的接口Tunnel0。
[DeviceB] interface tunnel 0 mode ipv6-ipv4 6rd
# 配置Tunnel0接口的IPv6地址。
[DeviceB-Tunnel0] ipv6 address 3002::1/64
# 配置Tunnel0接口的源接口為GigabitEthernet1/0/2。
[DeviceB-Tunnel0] source gigabitethernet 1/0/2
# 配置Tunnel0接口的6RD前綴為2001:B000::/32。
[DeviceB-Tunnel0] tunnel 6rd prefix 2001:b000::/32
# 配置Tunnel0接口的IPv4前綴長度為16,後綴長度為8。
[DeviceB-Tunnel0] tunnel 6rd ipv4 prefix-len 16 suffix-len 8
[DeviceB-Tunnel0] quit
# 配置到目的地址2001:B000::/32,下一跳為Tunnel接口的靜態路由。
[DeviceB] ipv6 route-static 2001:b000:: 32 tunnel 0
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 0
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name Trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalout
[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 10.1.2.1
[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 10.1.1.1
[DeviceB-security-policy-ip-1-tunnellocalout] action pass
[DeviceB-security-policy-ip-1-tunnellocalout] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策規則,使Host B可以向Host A發送報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name trust-untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2001:B000::0200:: 40
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:B000::0100:: 40
[DeviceB-security-policy-ipv6-1-trust-untrust] action pass
[DeviceB-security-policy-ipv6-1-trust-untrust] quit
[DeviceB-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalin
[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 10.1.1.1
[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 10.1.2.1
[DeviceB-security-policy-ip-2-tunnellocalin] action pass
[DeviceB-security-policy-ip-2-tunnellocalin] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為tunnellocalin的安全策略規則,使Host B可以接收和處理來自Host A的報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalin
[DeviceB-security-policy-ipv6-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ipv6-2-tunnellocalin] source-ip-subnet 2001:B000::0100:: 40
[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-ip-subnet 2001:B000::0200:: 40
[DeviceB-security-policy-ipv6-2-tunnellocalin] action pass
[DeviceB-security-policy-ipv6-2-tunnellocalin] quit
[DeviceB-security-policy-ipv6] quit
完成以上配置之後,Host A與Host B可以互相Ping通。
D:\>ping6 -s 2001:b000:0100::2 2001:b000:0200::2
Pinging 2001:B000:0200::2
from 2001:B000:0100::2 with 32 bytes of data:
Reply from 2001:B000:0200::2: bytes=32 time=13ms
Reply from 2001:B000:0200::2: bytes=32 time=1ms
Reply from 2001:B000:0200::2: bytes=32 time=1ms
Reply from 2001:B000:0200::2: bytes=32 time<1ms
Ping statistics for 2001:B000:0200::2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 13ms, Average = 3ms
如圖2-12所示,Device A為6RD CE,其IPv6側的網絡使用6RD地址。Device B作為6RD BR,它和一個非6RD網絡的IPv6網絡(2222::/16)相連。要求在Device A和Device B之間配置6RD隧道,使得6RD網絡中的主機與非6RD網絡中的主機互通。
圖2-12 6RD中繼組網圖
為了實現6RD網絡中的主機與非6RD網絡中的主機互通,除了配置6RD隧道外,還需要完成如下配置:
· 配置6RD網絡的6RD前綴為2001:B000::/32,IPv4前綴長度為16,IPv4後綴長度為8。
· Device A上接口GigabitEthernet1/0/2的IPv4地址為10.1.1.1/16,IPv4前綴為10.1.0.0/16,IPv4後綴為0.0.0.1/8,將該IPv4地址轉換成6RD地址後的6RD授權前綴為2001:B000:100::/40,Host A的地址必須使用該前綴。
· Device B的配置與Device A的配置相同,但為實現6RD網絡與非6RD網絡的互通,需要在Device A上配置到非6RD網絡的路由,下一跳指向Device B的6RD地址。Device B上接口GigabitEthernet1/0/2的IPv4地址為10.1.4.1/16,轉換成6RD地址後的6RD授權前綴為2001:B000:0400::/40,Device A上配置的到IPv6網絡的路由下一跳可以是符合該前綴的任意一個地址。
在開始下麵的配置之前,請確保Device A和Device B之間IPv4報文路由可達。
(1) 配置Device A
# 配置接口GigabitEthernet1/0/2的地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 16
[DeviceA-GigabitEthernet1/0/2] quit
# 配置接口GigabitEthernet1/0/1的地址為6RD地址2001:B000:0100::1/40。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 2001:b000:0100::1/40
[DeviceA-GigabitEthernet1/0/1] quit
# 創建模式為6RD隧道的接口Tunnel0。
[DeviceA] interface tunnel 0 mode ipv6-ipv4 6rd
# 配置Tunnel0接口的IPv6地址。
[DeviceA-Tunnel0] ipv6 address 3001::1/64
# 配置Tunnel0接口的源接口為GigabitEthernet1/0/2。
[DeviceA-Tunnel0] source gigabitethernet 1/0/2
# 配置Tunnel0接口的6RD前綴為2001:B000::/32。
[DeviceA-Tunnel0] tunnel 6rd prefix 2001:b000::/32
# 配置Tunnel0接口的IPv4前綴長度為16,後綴長度為8。
[DeviceA-Tunnel0] tunnel 6rd ipv4 prefix-len 16 suffix-len 8
# 配置Tunnel0接口的BR地址為10.1.4.1。
[DeviceA-Tunnel0] tunnel 6rd br 10.1.4.1
[DeviceA-Tunnel0] quit
# 配置到非6RD網絡的缺省路由,指定路由的下一跳地址為Device B的6RD地址。
[DeviceA] ipv6 route-static :: 0 2001:b000:0400::1
# 配置到目的地址2001:B000::/32的下一跳為Tunnel接口的靜態路由。
[DeviceA] ipv6 route-static 2001:b000:: 32 tunnel 0
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 0
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name Trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalout
[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 10.1.1.1
[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 10.1.4.1
[DeviceA-security-policy-ip-1-tunnellocalout] action pass
[DeviceA-security-policy-ip-1-tunnellocalout] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策規則,使Host A可以向Host B發送報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2001:B000::0100:: 40
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2222:: 64
[DeviceA-security-policy-ipv6-1-trust-untrust] action pass
[DeviceA-security-policy-ipv6-1-trust-untrust] quit
[DeviceA-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalin
[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 10.1.4.1
[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 10.1.1.1
[DeviceA-security-policy-ip-2-tunnellocalin] action pass
[DeviceA-security-policy-ip-2-tunnellocalin] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為untrust-trust的安全策略規則,使Host A可以接收和處理來自Host B的報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name untrust-trust
[DeviceA-security-policy-ipv6-2-untrust-trust] source-zone untrust
[DeviceA-security-policy-ipv6-2-untrust-trust] destination-zone trust
[DeviceA-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2222:: 64
[DeviceA-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2001:B000::0100:: 40
[DeviceA-security-policy-ipv6-2-untrust-trust] action pass
[DeviceA-security-policy-ipv6-2-untrust-trust] quit
[DeviceA-security-policy-ipv6] quit
(2) 配置Device B
# 配置接口GigabitEthernet1/0/2的地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 10.1.4.1 16
[DeviceB-GigabitEthernet1/0/2] quit
# 配置接口GigabitEthernet1/0/1的地址為2222::1/64。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 2222::1/64
[DeviceB-GigabitEthernet1/0/1] quit
# 創建模式為6RD隧道的接口Tunnel0。
[DeviceB] interface tunnel 0 mode ipv6-ipv4 6rd
# 配置Tunnel0接口的IPv6地址。
[DeviceB-Tunnel0] ipv6 address 3002::1/64
# 配置Tunnel0接口的源接口為GigabitEthernet1/0/2。
[DeviceB-Tunnel0] source gigabitethernet 1/0/2
# 配置Tunnel0接口的6RD前綴為2001:B000::/32。
[DeviceB-Tunnel0] tunnel 6rd prefix 2001:b000::/32
# 配置Tunnel0接口的IPv4前綴長度為16,後綴長度為8。
[DeviceB-Tunnel0] tunnel 6rd ipv4 prefix-len 16 suffix-len 8
[DeviceB-Tunnel0] quit
# 配置到目的地址2001:B000::/32的下一跳為Tunnel接口的靜態路由。
[DeviceB] ipv6 route-static 2001:b000:: 32 tunnel 0
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 0
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name Trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalout
[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 10.1.4.1
[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 10.1.1.1
[DeviceB-security-policy-ip-1-tunnellocalout] action pass
[DeviceB-security-policy-ip-1-tunnellocalout] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為trust-untrust的安全策規則,使Host B可以向Host A發送報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name trust-untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2222:: 64
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:B000::0100:: 40
[DeviceB-security-policy-ipv6-1-trust-untrust] action pass
[DeviceB-security-policy-ipv6-1-trust-untrust] quit
[DeviceB-security-policy-ipv6] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalin
[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 10.1.1.1
[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 10.1.4.1
[DeviceB-security-policy-ip-2-tunnellocalin] action pass
[DeviceB-security-policy-ip-2-tunnellocalin] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為tunnellocalin的安全策略規則,使Host B可以接收和處理來自Host A的報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalin
[DeviceB-security-policy-ipv6-2-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-zone local
[DeviceB-security-policy-ipv6-2-tunnellocalin] source-ip-subnet 2001:B000::0100:: 40
[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-ip-subnet 2222:: 64
[DeviceB-security-policy-ipv6-2-tunnellocalin] action pass
[DeviceB-security-policy-ipv6-2-tunnellocalin] quit
[DeviceB-security-policy-ipv6] quit
完成以上配置之後,Host A與Host B可以互相Ping通。
D:\>ping6 -s 2001:b000:0100::2 2222::2
Pinging 2222::2
from 2001:B000:0100::2 with 32 bytes of data:
Reply from 2222::2: bytes=32 time=13ms
Reply from 2222::2: bytes=32 time=1ms
Reply from 2222::2: bytes=32 time=1ms
Reply from 2222::2: bytes=32 time<1ms
Ping statistics for 2222::2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 13ms, Average = 3ms
IPv4兼容IPv6自動隧道不支持配置丟棄含有IPv4兼容IPv6地址的IPv6報文。
(1) 進入係統視圖。
system-view
(2) 配置丟棄含有IPv4兼容IPv6地址的IPv6報文。
tunnel discard ipv4-compatible-packet
缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文。
IPv4 over IPv4隧道(RFC 1853)是對IPv4報文進行封裝,使得一個IPv4網絡的報文能夠在另一個IPv4網絡中傳輸。例如,運行IPv4協議的兩個子網位於不同的區域,並且這兩個子網都使用私網地址時,可以通過建立IPv4 over IPv4隧道,實現兩個子網的互聯。
圖3-1 IPv4 over IPv4隧道原理圖
報文在隧道中傳輸經過封裝與解封裝兩個過程,以圖3-1為例說明這兩個過程:
· 封裝過程
Device A連接IPv4主機所在子網的接口收到IPv4報文後,首先交由IPv4協議棧處理。IPv4協議棧根據IPv4報文頭中的目的地址判斷該報文需要通過隧道進行轉發,則將此報文發給Tunnel接口。
Tunnel接口收到此報文後,在IPv4報文外再封裝一個IPv4報文頭,封裝的報文頭中源IPv4地址為隧道的源端地址,目的IPv4地址為隧道的目的端地址。封裝完成後將報文重新交給IPv4協議棧處理,IPv4協議棧根據添加的IPv4報文頭查找路由表,轉發報文。
· 解封裝過程
解封裝過程和封裝過程相反。Device B從接口收到IPv4報文後,將其送到IPv4協議棧處理。IPv4協議棧檢查接收到的IPv4報文頭中的協議號。如果協議號為4(表示封裝的報文為IPv4報文),則將此IPv4報文發送到隧道模塊進行解封裝處理。解封裝之後的IPv4報文將重新被送到IPv4協議棧進行二次路由處理。
· 在本端設備上為隧道指定的目的端地址,應該與在對端設備上為隧道指定的源端地址相同;在本端設備上為隧道指定的源端地址,應該與在對端設備上為隧道指定的目的端地址相同。
· 在同一台設備上,隧道模式相同的Tunnel接口建議不要同時配置完全相同的源端地址和目的端地址。
· 本端隧道接口的IPv4地址與隧道的目的端地址不能在同一個網段內。
· 如果封裝前IPv4報文的目的IPv4地址與Tunnel接口的IPv4地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv4地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv4地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“靜態路由”或其他路由協議配置。
· 配置經過隧道接口的路由時,路由的目的地址不能與該隧道的目的端地址在同一個網段內。
(1) 進入係統視圖。
system-view
(2) 進入模式為IPv4 over IPv4隧道的Tunnel接口視圖。
interface tunnel number [ mode ipv4-ipv4 ]
(3) 設置Tunnel接口的IPv4地址。
ip address ip-address { mask | mask-length } [ sub ]
(4) 設置隧道的源端地址或源接口。
source { ipv4-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IP地址;如果設置的是隧道的源接口,則該接口的主IP地址將作為封裝後隧道報文的源IP地址。
(5) 設置隧道的目的端地址。
destination ipv4-address
缺省情況下,未設置隧道的目的端地址。
隧道的目的端地址是對端接收報文的接口的地址,該地址將作為封裝後隧道報文的目的地址。
(6) (可選)設置封裝後隧道報文的DF(Don’t Fragment,不分片)標誌。
tunnel dfbit enable
缺省情況下,未設置隧道報文的不分片標誌,即轉發隧道報文時允許分片。
運行IP協議的兩個子網Group 1和Group 2位於不同的區域,這兩個子網都使用私網地址。通過在Device A和Device B之間建立IPv4 over IPv4隧道,實現兩個子網的互聯。
圖3-2 IPv4 over IPv4隧道組網圖
(1) 配置Device A
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
# 創建模式為IPv4 over IPv4隧道的接口Tunnel1。
[DeviceA] interface tunnel 1 mode ipv4-ipv4
[DeviceA-Tunnel1] ip address 10.1.2.1 255.255.255.0
[DeviceA-Tunnel1] source 2.1.1.1
[DeviceA-Tunnel1] destination 3.1.1.1
[DeviceA-Tunnel1] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device B的下一跳IP地址為2.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceA] ip route-static 3.1.1.1 24 2.1.1.2
[DeviceA] ip route-static 10.1.3.0 24 tunnel 1
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 1
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name Trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name tunnellocalout
[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 2.1.1.1
[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 3.1.1.1
[DeviceA-security-policy-ip-1-tunnellocalout] action pass
[DeviceA-security-policy-ip-1-tunnellocalout] quit
# 配置名稱為trust-untrust的安全策規則,使Group 1網絡可以向Group 2網絡發送報文,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-2-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-2-trust-untrust] destination-ip-subnet 10.1.3.0 24
[DeviceA-security-policy-ip-2-trust-untrust] action pass
[DeviceA-security-policy-ip-2-trust-untrust] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name tunnellocalin
[DeviceA-security-policy-ip-3-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ip-3-tunnellocalin] destination-zone local
[DeviceA-security-policy-ip-3-tunnellocalin] source-ip-host 3.1.1.1
[DeviceA-security-policy-ip-3-tunnellocalin] destination-ip-host 2.1.1.1
[DeviceA-security-policy-ip-3-tunnellocalin] action pass
[DeviceA-security-policy-ip-3-tunnellocalin] quit
# 配置名稱為untrust-trust的安全策略規則,使Group 1網絡可以接收和處理來自Group 2網絡的報文,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name untrust-trust
[DeviceA-security-policy-ip-4-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-4-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-4-untrust-trust] source-ip-subnet 10.1.3.0 24
[DeviceA-security-policy-ip-4-untrust-trust] destination-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-4-untrust-trust] action pass
[DeviceA-security-policy-ip-4-untrust-trust] quit
[DeviceA-security-policy-ip] quit
(2) 配置Device B
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface GigabitEthernet1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 10.1.3.1 24
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
# 創建模式為IPv4 over IPv4隧道的接口Tunnel2。
[DeviceB] interface tunnel 2 mode ipv4-ipv4
[DeviceB-Tunnel2] ip address 10.1.2.2 255.255.255.0
[DeviceB-Tunnel2] source 3.1.1.1
[DeviceB-Tunnel2] destination 2.1.1.1
[DeviceB-Tunnel2] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device A的下一跳IP地址為3.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceB] ip route-static 2.1.1.1 24 3.1.1.2
[DeviceB] ip route-static 10.1.1.0 24 tunnel 2
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 2
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name Trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name tunnellocalout
[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 3.1.1.1
[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 2.1.1.1
[DeviceB-security-policy-ip-1-tunnellocalout] action pass
[DeviceB-security-policy-ip-1-tunnellocalout] quit
# 配置名稱為trust-untrust的安全策規則,使Group 2可以向Group 1發送報文,具體配置步驟如下。
[DeviceB-security-policy-ip] rule name trust-untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-ip-subnet 10.1.3.0 24
[DeviceB-security-policy-ip-2-trust-untrust] destination-ip-subnet 10.1.1.0 24
[DeviceB-security-policy-ip-2-trust-untrust] action pass
[DeviceB-security-policy-ip-2-trust-untrust] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB-security-policy-ip] rule name tunnellocalin
[DeviceB-security-policy-ip-3-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ip-3-tunnellocalin] destination-zone local
[DeviceB-security-policy-ip-3-tunnellocalin] source-ip-host 2.1.1.1
[DeviceB-security-policy-ip-3-tunnellocalin] destination-ip-host 3.1.1.1
[DeviceB-security-policy-ip-3-tunnellocalin] action pass
[DeviceB-security-policy-ip-3-tunnellocalin] quit
# 配置名稱為tunnellocalin的安全策略規則,使Group 2可以接收和處理來自Group 1的報文,具體配置步驟如下。
[DeviceB-security-policy-ip] rule name tunnellocalin
[DeviceB-security-policy-ip-4-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ip-4-tunnellocalin] destination-zone local
[DeviceB-security-policy-ip-4-tunnellocalin] source-ip-subnet 10.1.1.0 24
[DeviceB-security-policy-ip-4-tunnellocalin] destination-ip-subnet 10.1.3.0 24
[DeviceB-security-policy-ip-4-tunnellocalin] action pass
[DeviceB-security-policy-ip-4-tunnellocalin] quit
[DeviceB-security-policy-ip] quit
# 完成上述配置後,在Device A和Device B上分別執行display interface tunnel命令,可以看出Tunnel接口處於up狀態。(具體顯示信息略)
# 從Device A和Device B上可以Ping通對端的GigabitEthernet1/0/1接口的IPv4地址。下麵僅以Device A為例。
[DeviceA] ping -a 10.1.1.1 10.1.3.1
Ping 10.1.3.1 (10.1.3.1) from 10.1.1.1: 56 data bytes, press CTRL_C to break
56 bytes from 10.1.3.1: icmp_seq=0 ttl=255 time=2.000 ms
56 bytes from 10.1.3.1: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 10.1.3.1: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 10.1.3.1: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 10.1.3.1: icmp_seq=4 ttl=255 time=1.000 ms
--- Ping statistics for 10.1.3.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/1.000/2.000/0.632 ms
隨著IPv6網絡的廣泛部署,IPv6網絡將逐漸取代IPv4網絡,占據主導地位。尚未被IPv6網絡取代的IPv4網絡將形成孤島,需要通過IPv6網絡互通。IPv4 over IPv6隧道在IPv4報文上封裝IPv6的報文頭,通過隧道使IPv4報文穿越IPv6網絡,從而實現通過IPv6網絡連接隔離的IPv4網絡孤島。
圖4-1 IPv4 over IPv6隧道原理圖
IPv4報文在隧道中傳輸經過封裝與解封裝兩個過程,以圖4-1為例說明這兩個過程:
· 封裝過程
Device A連接IPv4網絡的接口收到IPv4報文後,首先交由IPv4協議棧處理。IPv4協議棧根據IPv4報文頭中的目的地址判斷該報文需要通過隧道進行轉發,則將此報文發給Tunnel接口。
Tunnel接口收到此報文後添加IPv6報文頭,IPv6報文頭中源IPv6地址為隧道的源端地址,目的IPv6地址為隧道的目的端地址。封裝完成後將報文交給IPv6模塊處理。IPv6協議模塊根據IPv6報文頭的目的地址重新確定如何轉發此報文。
· 解封裝過程
解封裝過程和封裝過程相反。從連接IPv6網絡的接口接收到IPv6報文後,將其送到IPv6協議模塊。IPv6協議模塊檢查IPv6報文封裝的協議類型。若封裝的協議為IPv4,則報文進入隧道處理模塊進行解封裝處理。解封裝之後的IPv4報文被送往IPv4協議模塊進行二次路由處理。
IPv4 over IPv6隧道分為IPv4 over IPv6手動隧道和DS-Lite隧道兩種。
IPv4 over IPv6手動隧道需要手動配置隧道的源和目的IPv6地址,以便根據配置的地址在IPv4報文上封裝IPv6報文頭,使報文能通過隧道穿越IPv6網絡。IPv4 over IPv6手動隧道是一種點到點的虛擬鏈路。
DS-Lite(Dual Stack Lite,輕量級雙協議棧)技術綜合了IPv4 over IPv6隧道技術和NAT(Network Address Translation,網絡地址轉換)技術,利用隧道技術實現通過IPv6網絡連接隔離的IPv4網絡,利用NAT技術實現不同的用戶網絡共享相同的IPv4地址空間,減緩IPv4地址的耗盡速度。
圖4-2 DS-Lite組網圖
如圖4-2所示,DS-Lite網絡主要由幾個部分組成:
· DS-Lite隧道
DS-Lite隧道是B4設備和AFTR之間的IPv4 over IPv6隧道,用來實現IPv4報文跨越IPv6網絡傳輸。
· B4(Basic Bridging BroadBand,基本橋接寬帶)設備
B4設備是位於用戶網絡側、用來連接ISP(Internet Service Provider,互聯網服務提供商)網絡的設備,通常為用戶網絡的網關。B4設備作為DS-Lite隧道的一個端點,負責將用戶網絡的IPv4報文封裝成IPv6報文發送給隧道的另一個端點,同時將從隧道接收到的IPv6報文解封裝成IPv4報文發送給用戶網絡。
某些用戶網絡的主機也可以作為B4設備,直接連接到ISP網絡,這樣的主機稱為DS-Lite主機。
· AFTR(Address Family Transition Router,地址族轉換路由器)
AFTR是ISP網絡中的設備。AFTR同時作為DS-Lite隧道端點和NAT網關設備。
AFTR從DS-Lite隧道接收到B4設備發送的IPv6報文後,為該B4設備分配Tunnel ID,並記錄B4設備的IPv6地址(報文中的源IPv6地址)與Tunnel ID的對應關係。AFTR對IPv6報文進行解封裝,將解封裝後的用戶網絡報文的源IPv4地址(私網地址)轉換為公網地址,並將轉換後的報文發送給目的IPv4主機。AFTR進行NAT轉換時,同時記錄NAT映射關係和Tunnel ID,以便實現不同B4設備連接的用戶網絡地址可以重疊。
AFTR接收到目的IPv4主機返回的應答報文後,將目的IPv4地址(公網地址)轉換為對應的私網地址,並根據記錄的Tunnel ID獲取對應的B4設備的IPv6地址,作為封裝後IPv6報文的目的地址。AFTR將NAT轉換後的報文封裝成IPv6報文通過隧道發送給B4設備。
DS-Lite隻支持用戶網絡內的IPv4主機主動訪問公網上的IPv4主機;公網上的IPv4主機不能主動訪問用戶網絡內的IPv4主機。
圖4-3 DS-Lite報文轉發流程
采用獨立的網關設備作為B4設備時,報文轉發過程中源和目的IP地址、源和目的端口號的變化如圖4-3所示。報文轉發過程的關鍵步驟為:
· B4設備和AFTR對報文進行封裝和解封裝。
· AFTR對IPv4報文進行NAT轉換。
圖4-3所示為PAT模式的動態地址轉換。使用靜態地址轉換時不同B4設備連接的用戶網絡地址不能重疊,因此DS-Lite隧道一般使用動態地址轉換。有關NAT的詳細介紹,請參見“NAT配置指導”中的“NAT”。
· 在本端設備上為隧道指定的目的端地址,應該與在對端設備上為隧道指定的源端地址相同;在本端設備上為隧道指定的源端地址,應該與在對端設備上為隧道指定的目的端地址相同。
· 在同一台設備上,隧道模式相同的Tunnel接口建議不要同時配置完全相同的源端地址和目的端地址。
· 如果封裝前IPv4報文的目的IPv4地址與Tunnel接口的IPv4地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv4地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv4地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“靜態路由”或其他路由協議配置。
(1) 進入係統視圖。
system-view
(2) 進入模式為IPv6隧道的Tunnel接口視圖。
interface tunnel number [ mode ipv6 ]
(3) 設置Tunnel接口的IPv4地址。
ip address ip-address { mask | mask-length } [ sub ]
(4) 設置隧道的源端地址或源接口。
source { ipv6-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IPv6地址;如果設置的是隧道的源接口,則該接口下的最小地址將作為封裝後隧道報文的源IPv6地址。
(5) 設置隧道的目的端地址。
destination ipv6-address
缺省情況下,未設置隧道的目的端地址。
隧道的目的端地址是對端接收報文的接口的地址,該地址將作為封裝後隧道報文的目的IPv6地址。
兩個IPv4網絡分別通過Device A和Device B與IPv6網絡連接。通過在Device A和Device B之間建立IPv4 over IPv6手動隧道,實現兩個IPv4網絡穿越IPv6網絡互聯。
圖4-4 IPv4 over IPv6手動隧道組網圖
(1) 配置Device A
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 30.1.1.1 24
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface GigabitEthernet1/0/2
[DeviceA-GigabitEthernet1/0/2] ipv6 address 2001::1:1 64
[DeviceA-GigabitEthernet1/0/2] quit
# 創建模式為IPv6隧道的接口Tunnel1。
[DeviceA] interface tunnel 1 mode ipv6
[DeviceA-Tunnel1] ip address 30.1.2.1 255.255.255.0
[DeviceA-Tunnel1] source 2001::1:1
[DeviceA-Tunnel1] destination 2002::2:1
[DeviceA-Tunnel1] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device B的下一跳IP地址為2001::1:2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceA] ipv6 route-static 2002::2:1 64 2001::1:2
[DeviceA] ip route-static 30.1.3.0 24 tunnel 1
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 1
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name Trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name tunnellocalout
[DeviceA-security-policy-ipv6-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ipv6-1-tunnellocalout] source-ip-host 2001::1:1
[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2002::2:1
[DeviceA-security-policy-ipv6-1-tunnellocalout] action pass
[DeviceA-security-policy-ipv6-1-tunnellocalout] quit
[DeviceA-security-policy-ipv6] quit
# 配置名稱為trust-untrust的安全策規則,使Network 1網絡可以向Network 2網絡發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-1-trust-untrust] source-ip-subnet 30.1.1.0 24
[DeviceA-security-policy-ip-1-trust-untrust] destination-ip-subnet 30.1.3.0 24
[DeviceA-security-policy-ip-1-trust-untrust] action pass
[DeviceA-security-policy-ip-1-trust-untrust] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name tunnellocalin
[DeviceA-security-policy-ipv6-2-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-zone local
[DeviceA-security-policy-ipv6-2-tunnellocalin] source-ip-host 2002::2:1
[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-ip-host 2001::1:1
[DeviceA-security-policy-ipv6-2-tunnellocalin] action pass
[DeviceA-security-policy-ipv6-2-tunnellocalin] quit
[DeviceA-security-policy-ipv6] quit
# 配置名稱為untrust-trust的安全策略規則,使Network 1網絡可以接收和處理來自Network 2網絡的報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name untrust-trust
[DeviceA-security-policy-ip-2-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-2-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-2-untrust-trust] source-ip-subnet 30.1.3.0 24
[DeviceA-security-policy-ip-2-untrust-trust] destination-ip-subnet 30.1.1.0 24
[DeviceA-security-policy-ip-2-untrust-trust] action pass
[DeviceA-security-policy-ip-2-untrust-trust] quit
[DeviceA-security-policy-ip] quit
(2) 配置Device B
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface GigabitEthernet1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 30.1.3.1 24
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ipv6 address 2002::2:1 64
[DeviceB-GigabitEthernet1/0/2] quit
# 創建模式為IPv6隧道的接口Tunnel2。
[DeviceB] interface tunnel 2 mode ipv6
[DeviceB-Tunnel2] ip address 30.1.2.2 255.255.255.0
[DeviceB-Tunnel2] source 2002::2:1
[DeviceB-Tunnel2] destination 2001::1:1
[DeviceB-Tunnel2] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device A的下一跳IP地址為2002::2:2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceB] ipv6 route-static 2001::1:1 64 2002::2:2
[DeviceB] ip route-static 30.1.1.0 24 tunnel 2
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 2
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name Trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalout
[DeviceB-security-policy-ipv6-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ipv6-1-tunnellocalout] source-ip-host 2002::2:1
[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2001::1:1
[DeviceB-security-policy-ipv6-1-tunnellocalout] action pass
[DeviceB-security-policy-ipv6-1-tunnellocalout] quit
[DeviceB-security-policy-ipv6] quit
# 配置名稱為trust-untrust的安全策規則,使Network 2可以向Network 1發送報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name trust-untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-ip-subnet 30.1.3.0 24
[DeviceB-security-policy-ip-2-trust-untrust] destination-ip-subnet 30.1.1.0 24
[DeviceB-security-policy-ip-2-trust-untrust] action pass
[DeviceB-security-policy-ip-2-trust-untrust] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalin
[DeviceB-security-policy-ipv6-3-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-zone local
[DeviceB-security-policy-ipv6-3-tunnellocalin] source-ip-host 2.1.1.1
[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-ip-host 3.1.1.1
[DeviceB-security-policy-ipv6-3-tunnellocalin] action pass
[DeviceB-security-policy-ipv6-3-tunnellocalin] quit
[DeviceB-security-policy-ipv6] quit
# 配置名稱為untrust-trust的安全策略規則,使Network 2可以接收和處理來自Network 1的報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name untrust-trust
[DeviceB-security-policy-ip-4-untrust-trust] source-zone untrust
[DeviceB-security-policy-ip-4-untrust-trust] destination-zone trust
[DeviceB-security-policy-ip-4-untrust-trust] source-ip-subnet 30.1.1.0 24
[DeviceB-security-policy-ip-4-untrust-trust] destination-ip-subnet 30.1.3.0 24
[DeviceB-security-policy-ip-4-untrust-trust] action pass
[DeviceB-security-policy-ip-4-untrust-trust] quit
[DeviceB-security-policy-ip] quit
# 完成上述配置後,在Device A和Device B上分別執行display interface tunnel命令,可以看出Tunnel接口處於up狀態。(具體顯示信息略)
# 從Device A和Device B可以Ping通對端的GigabitEthernet1/0/1接口的IPv4地址。下麵僅以Device A為例。
[DeviceA] ping -a 30.1.1.1 30.1.3.1
Ping 30.1.3.1 (30.1.3.1) from 30.1.1.1: 56 data bytes, press CTRL_C to break
56 bytes from 30.1.3.1: icmp_seq=0 ttl=255 time=3.000 ms
56 bytes from 30.1.3.1: icmp_seq=1 ttl=255 time=1.000 ms
56 bytes from 30.1.3.1: icmp_seq=2 ttl=255 time=0.000 ms
56 bytes from 30.1.3.1: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 30.1.3.1: icmp_seq=4 ttl=255 time=1.000 ms
--- Ping statistics for 30.1.3.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/1.200/3.000/0.980 ms
· 如果需要B4設備與AFTR端自動建立DS-Lite隧道,在B4設備上需正確配置DHCPv6客戶端、靜態域名解析或IPv6 DNS客戶端(使用動態域名解析),以及destination dhcp-alloc命令。除此之外,還需在任意設備上完成DHCPv6服務器、IPv6 DNS服務器(在使用動態域名解析的情況下)的配置。關於DHCPv6服務器及客戶端配置的詳細介紹,請參見“三層技術-IP業務配置指導”中的“DHCPv6”;關於IPv6 DNS配置的詳細介紹,請參見“三層技術-IP業務配置指導”中的“域名解析”。
· 在同一台設備上,隧道模式相同的Tunnel接口建議不要同時配置完全相同的源端地址。
· 在B4設備上為隧道指定的目的端地址,應該與在AFTR設備上為隧道指定的源端地址相同。
· 在AFTR端不能配置DS-Lite隧道的目的端地址。AFTR從隧道上接收到報文後,記錄該報文的源IPv6地址(即B4設備的地址),將此地址作為隧道目的端的IPv6地址。
· B4設備上的一個Tunnel接口隻能和一個AFTR建立隧道連接;AFTR上的一個Tunnel接口可以和多個B4設備建立隧道連接。
· 在B4端,如果封裝前IPv4報文的目的IPv4地址與Tunnel接口的IPv4地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv4地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv4地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。配置的詳細情況請參見“三層技術-IP路由配置指導”中的“靜態路由”或其他路由協議配置。
· 在AFTR端,不需要配置通過Tunnel接口到達目的IPv4地址的轉發路由。
· AFTR連接IPv4公網的接口上需要配置NAT。
(1) 進入係統視圖。
system-view
(2) 進入模式為IPv6隧道的Tunnel接口視圖。
interface tunnel number [ mode ipv6 ]
(3) 設置Tunnel接口的IPv4地址。
ip address ip-address { mask | mask-length } [ sub ]
(4) 設置隧道的源端地址或源接口。
source { ipv6-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IPv6地址;如果設置的是隧道的源接口,則該接口下的最小地址將作為封裝後隧道報文的源IPv6地址。
(5) 設置隧道的目的端地址。
destination { ipv6-address | dhcp-alloc interface-type interface-number }
缺省情況下,未設置隧道的目的端地址。
隧道的目的端地址是對端接收報文的接口的地址,該地址將作為封裝後隧道報文的目的IPv6地址。
|
參數 |
說明 |
|
ipv6-address |
該地址需要指定為AFTR的源端地址,即采用AFTR的源端地址作為隧道目的端地址 |
|
dhcp-alloc interface-type interface-number |
指定接收DHCPv6報文的接口,通過動態獲得AFTR端IPv6地址的方式自動建立DS-Lite隧道 |
(1) 進入係統視圖。
system-view
(2) 進入模式為AFTR端DS-Lite隧道的Tunnel接口視圖。
interface tunnel number [ mode ds-lite-aftr ]
(3) 設置Tunnel接口的IPv4地址。
ip address ip-address { mask | mask-length } [ sub ]
(4) 設置隧道的源端地址或源接口。
source { ipv6-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IPv6地址;如果設置的是隧道的源接口,則該接口下的最小地址將作為封裝後隧道報文的源IPv6地址。
(5) 退回係統視圖。
quit
(6) 進入AFTR連接IPv4公網的接口視圖。
interface interface-type interface-number
(7) 開啟接口的DS-Lite隧道功能。
ds-lite enable
缺省情況下,接口的DS-Lite隧道功能處於關閉狀態。
隻有開啟該功能後,AFTR從IPv4公網接口接收到的IPv4報文才能夠通過DS-Lite隧道正確地轉發到B4設備。
(8) 在AFTR端顯示已連接的B4設備的信息。
display ds-lite b4 information
運行IPv4協議的私網Private IPv4 network和公網IPv4 network通過IPv6網絡相連。通過在B4設備(Device A)和AFTR(Device B)之間建立DS-Lite隧道,並在AFTR連接IPv4 network接口上配置NAT,實現IPv4私網主機穿越IPv6網絡訪問IPv4公網。
圖4-5 DS-Lite隧道組網圖
(1) 配置B4設備Device A
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 10.0.0.2 24
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface GigabitEthernet1/0/2
[DeviceA-GigabitEthernet1/0/2] ipv6 address 1::1 64
[DeviceA-GigabitEthernet1/0/2] quit
# 創建模式為IPv6隧道的接口Tunnel1。
[DeviceA] interface tunnel 1 mode ipv6
[DeviceA-Tunnel1] ip address 30.1.2.1 255.255.255.0
[DeviceA-Tunnel1] source 1::1
[DeviceA-Tunnel1] destination 2::2
[DeviceA-Tunnel1] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device B的下一跳IP地址為1::2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceA] ipv6 route-static 2002::2:1 64 1::2
[DeviceA] ip route-static 20.1.1.0 24 tunnel 1
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 1
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name Trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name tunnellocalout
[DeviceA-security-policy-ipv6-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ipv6-1-tunnellocalout] source-ip-host 1::1
[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2::2
[DeviceA-security-policy-ipv6-1-tunnellocalout] action pass
[DeviceA-security-policy-ipv6-1-tunnellocalout] quit
[DeviceA-security-policy-ipv6] quit
# 配置名稱為trust-untrust的安全策規則,使Host 1網絡可以向Host 2網絡發送報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-1-trust-untrust] source-ip-subnet 10.0.0.0 24
[DeviceA-security-policy-ip-1-trust-untrust] destination-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-1-trust-untrust] action pass
[DeviceA-security-policy-ip-1-trust-untrust] quit
[DeviceA-security-policy-ip] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name tunnellocalin
[DeviceA-security-policy-ipv6-2-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-zone local
[DeviceA-security-policy-ipv6-2-tunnellocalin] source-ip-host 2::2
[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-ip-host 1::1
[DeviceA-security-policy-ipv6-2-tunnellocalin] action pass
[DeviceA-security-policy-ipv6-2-tunnellocalin] quit
[DeviceA-security-policy-ipv6] quit
# 配置名稱為untrust-trust的安全策略規則,使Host 1網絡可以接收和處理來自Host 2網絡的報文,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name untrust-trust
[DeviceA-security-policy-ip-2-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-2-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-2-untrust-trust] source-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-2-untrust-trust] destination-ip-subnet 10.0.0.0 24
[DeviceA-security-policy-ip-2-untrust-trust] action pass
[DeviceA-security-policy-ip-2-untrust-trust] quit
[DeviceA-security-policy-ip] quit
(2) 配置AFTR端Device B
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface GigabitEthernet1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 20.1.1.1 24
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ipv6 address 2::2 64
[DeviceB-GigabitEthernet1/0/2] quit
# 創建模式為AFTR端DS-Lite隧道的接口Tunnel2。
[DeviceB] interface tunnel 2 mode ds-lite-aftr
[DeviceB-Tunnel2] ip address 30.1.2.2 255.255.255.0
[DeviceB-Tunnel2] source gigabitethernet 1/0/2
[DeviceB-Tunnel2] quit
# 在接口GigabitEthernet1/0/1上開啟DS-Lite隧道功能。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ds-lite enable
# 在接口GigabitEthernet1/0/1上配置NAT,使用接口GigabitEthernet1/0/1的IP地址作為轉換後的IP地址。
[DeviceB-GigabitEthernet1/0/1] nat outbound
[DeviceB-GigabitEthernet1/0/1] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device A的下一跳IP地址為2::3,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceB] ipv6 route-static 1::1 64 2::3
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 2
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name Trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalout
[DeviceB-security-policy-ipv6-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ipv6-1-tunnellocalout] source-ip-host 2::2
[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-ip-host 1::1
[DeviceB-security-policy-ipv6-1-tunnellocalout] action pass
[DeviceB-security-policy-ipv6-1-tunnellocalout] quit
[DeviceB-security-policy-ipv6] quit
# 配置名稱為trust-untrust的安全策規則,使Host 2可以向Host 1發送報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name trust-untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceB-security-policy-ip-2-trust-untrust] destination-ip-subnet 10.0.0.0 24
[DeviceB-security-policy-ip-2-trust-untrust] action pass
[DeviceB-security-policy-ip-2-trust-untrust] quit
[DeviceB-security-policy-ip] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalin
[DeviceB-security-policy-ipv6-3-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-zone local
[DeviceB-security-policy-ipv6-3-tunnellocalin] source-ip-host 1::1
[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-ip-host 2::2
[DeviceB-security-policy-ipv6-3-tunnellocalin] action pass
[DeviceB-security-policy-ipv6-3-tunnellocalin] quit
[DeviceB-security-policy-ipv6] quit
# 配置名稱為untrust-trust的安全策略規則,使Host B可以接收和處理來自Host A的報文,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name untrust-trust
[DeviceB-security-policy-ip-4-untrust-trust] source-zone untrust
[DeviceB-security-policy-ip-4-untrust-trust] destination-zone trust
[DeviceB-security-policy-ip-4-untrust-trust] source-ip-subnet 10.0.0.0 24
[DeviceB-security-policy-ip-4-untrust-trust] destination-ip-subnet 20.1.1.0 24
[DeviceB-security-policy-ip-4-untrust-trust] action pass
[DeviceB-security-policy-ip-4-untrust-trust] quit
[DeviceB-security-policy-ip] quit
(3) 配置IPv4 host A
配置IPv4 host A的地址為10.0.0.1,並在該主機上配置到達20.1.1.0/24網段的路由,路由下一跳為10.0.0.2。(具體配置過程略)
(4) 配置IPv4 host B
配置IPv4 host B的地址為20.1.1.2。(具體配置過程略)
# 完成上述配置後,在Device A和Device B上分別執行display interface tunnel命令,可以看出Tunnel接口處於up狀態。(具體顯示信息略)
# 從IPv4 host A上可以ping通IPv4 host B。
C:\> ping 20.1.1.2
Pinging 20.1.1.2 with 32 bytes of data:
Reply from 20.1.1.2: bytes=32 time=51ms TTL=255
Reply from 20.1.1.2: bytes=32 time=44ms TTL=255
Reply from 20.1.1.2: bytes=32 time=1ms TTL=255
Reply from 20.1.1.2: bytes=32 time=1ms TTL=255
Ping statistics for 20.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 51ms, Average = 24ms
IPv6 over IPv6隧道(RFC 2473)是對IPv6報文進行封裝,使這些被封裝的報文能夠在另一個IPv6網絡中傳輸,封裝後的報文即IPv6隧道報文。例如,如果運行IPv6協議的兩個子網的網絡地址不希望泄露到IPv6網絡中,則可以通過建立IPv6 over IPv6隧道,實現在兩個子網的網絡地址不被泄露的情況下,使兩個子網互通。
圖5-1 IPv6 over IPv6隧道原理圖
IPv6報文在隧道中傳輸經過封裝與解封裝兩個過程,以圖5-1為例說明這兩個過程:
· 封裝過程
Device A連接網絡A的接口收到IPv6報文後,首先交由IPv6協議模塊處理。IPv6協議模塊根據報文的目的IPv6地址判斷該報文需要通過隧道進行轉發,則將此報文發給Tunnel接口。
Tunnel接口收到此報文後,為IPv6報文再封裝一個IPv6報文頭,封裝的IPv6報文頭中源IPv6地址為隧道的源端地址,目的IPv6地址為隧道的目的端地址。封裝完成後將報文交給IPv6模塊處理。IPv6協議模塊根據添加的IPv6報文頭的目的地址重新確定如何轉發此報文。
· 解封裝過程
解封裝過程和封裝過程相反。從IPv6網絡接口接收的報文被送到IPv6協議模塊。IPv6協議模塊檢查IPv6報文封裝的協議類型。若封裝的協議為IPv6,則報文進入隧道處理模塊進行解封裝處理;解封裝之後的報文被送往相應的協議模塊進行二次路由處理。
· 在本端設備上為隧道指定的目的端地址,應該與在對端設備上為隧道指定的源端地址相同;在本端設備上為隧道指定的源端地址,應該與在對端設備上為隧道指定的目的端地址相同。
· 在同一台設備上,隧道模式相同的Tunnel接口建議不要同時配置完全相同的源端地址和目的端地址。
· 本端隧道接口的IPv6地址與隧道的目的端地址不能在同一個網段內。
· 如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”或其他路由協議配置。
· 配置經過隧道接口的路由時,路由的目的地址不能與該隧道的目的端地址在同一個網段內。
IPv6 over IPv6隧道配置任務如下:
(2) (可選)配置丟棄含有IPv4兼容IPv6地址的IPv6報文
(1) 進入係統視圖。
system-view
(2) 進入模式為IPv6隧道的Tunnel接口視圖。
interface tunnel number [ mode ipv6 ]
(3) 設置Tunnel接口的IPv6地址。
詳細配置方法,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
(4) 設置隧道的源端地址或源接口。
source { ipv6-address | interface-type interface-number }
缺省情況下,未設置隧道的源端地址和源接口。
如果設置的是隧道的源端地址,則該地址將作為封裝後隧道報文的源IPv6地址;如果設置的是隧道的源接口,則該接口下的最小地址將作為封裝後隧道報文的源IPv6地址。
(5) 設置隧道的目的端地址。
destination ipv6-address
缺省情況下,未設置隧道的目的端地址。
隧道的目的端地址是對端接收報文的接口的地址,該地址將作為封裝後隧道報文的目的IPv6地址。
(6) (可選)設置隧道允許的最大嵌套封裝次數。
encapsulation-limit number
缺省情況下,不限製隧道的最大嵌套封裝次數。
(1) 進入係統視圖。
system-view
(2) 配置丟棄含有IPv4兼容IPv6地址的IPv6報文。
tunnel discard ipv4-compatible-packet
缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文。
運行IPv6協議的兩個子網Group 1和Group 2的網絡地址不希望泄露到IPv6網絡中。網絡管理員通過在Device A和Device B之間建立IPv6 over IPv6隧道,實現在Group 1和Group 2的網絡地址不被泄露的情況下,確保Group 1和Group 2互通。
圖5-2 IPv6 over IPv6隧道組網圖
(1) 配置Device A
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 2002:1::1 64
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
# 創建模式為IPv6隧道的接口Tunnel1。
[DeviceA] interface tunnel 1 mode ipv6
[DeviceA-Tunnel1] ipv6 address 3001::1:1 64
[DeviceA-Tunnel1] source 2001::11:1
[DeviceA-Tunnel1] destination 2002::22:1
[DeviceA-Tunnel1] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device B的下一跳IP地址為2001::11:2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceA] ipv6 route-static 2002::22:1 64 2001::11:2
[DeviceA] ipv6 route-static 2002:3:: 64 tunnel 1
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name Untrust
[DeviceA-security-zone-Untrust] import interface Tunnel 1
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name Trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策規則,使Device A可以向Device B發送報文,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name tunnellocalout
[DeviceA-security-policy-ipv6-1-tunnellocalout] source-zone local
[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-zone untrust
[DeviceA-security-policy-ipv6-1-tunnellocalout] source-ip-host 2001::11:1
[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2002::22:1
[DeviceA-security-policy-ipv6-1-tunnellocalout] action pass
[DeviceA-security-policy-ipv6-1-tunnellocalout] quit
# 配置名稱為trust-untrust的安全策規則,使Network 1網絡可以向Network 2網絡發送報文,具體配置步驟如下。
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-2-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-2-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-2-trust-untrust] source-ip-subnet 2002:1::1 64
[DeviceA-security-policy-ipv6-2-trust-untrust] destination-ip-subnet 2002:3::1 64
[DeviceA-security-policy-ipv6-2-trust-untrust] action pass
[DeviceA-security-policy-ipv6-2-trust-untrust] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device A可以接收和處理來自Device B的報文,具體配置步驟如下。
[DeviceA-security-policy-ipv6] rule name tunnellocalin
[DeviceA-security-policy-ipv6-3-tunnellocalin] source-zone untrust
[DeviceA-security-policy-ipv6-3-tunnellocalin] destination-zone local
[DeviceA-security-policy-ipv6-3-tunnellocalin] source-ip-host 2002::22:1
[DeviceA-security-policy-ipv6-3-tunnellocalin] destination-ip-host 2001::11:1
[DeviceA-security-policy-ipv6-3-tunnellocalin] action pass
[DeviceA-security-policy-ipv6-3-tunnellocalin] quit
# 配置名稱為untrust-trust的安全策略規則,使Network 1網絡可以接收和處理來自Network 2網絡的報文,具體配置步驟如下。
[DeviceA-security-policy-ipv6] rule name untrust-trust
[DeviceA-security-policy-ipv6-4-untrust-trust] source-zone untrust
[DeviceA-security-policy-ipv6-4-untrust-trust] destination-zone trust
[DeviceA-security-policy-ipv6-4-untrust-trust] source-ip-subnet 2002:3::1 64
[DeviceA-security-policy-ipv6-4-untrust-trust] destination-ip-subnet 2002:1::1 64
[DeviceA-security-policy-ipv6-4-untrust-trust] action pass
[DeviceA-security-policy-ipv6-4-untrust-trust] quit
[DeviceA-security-policy-ipv6] quit
(2) 配置Device B
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface GigabitEthernet1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 2002:3::1 64
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
# 創建模式為IPv6隧道的接口Tunnel2。
[DeviceB] interface tunnel 2 mode ipv6
[DeviceB-Tunnel2] ipv6 address 3001::1:2 64
[DeviceB-Tunnel2] source 2002::22:1
[DeviceB-Tunnel2] destination 2001::11:1
[DeviceB-Tunnel2] quit
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Device A的下一跳IP地址為2002::22:2,實際使用中請以具體組網情況為準,具體配置步驟如下。本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
[DeviceB] ipv6 route-static 2001::1:1 64 2002::22:2
[DeviceB] ipv6 route-static 2002:1::1 64 tunnel 2
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name Untrust
[DeviceB-security-zone-Untrust] import interface Tunnel 2
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name Trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] quit
# 配置名稱為tunnellocalout的安全策略規則,使Device B可以向Device A發送報文,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name tunnellocalout
[DeviceB-security-policy-ipv6-1-tunnellocalout] source-zone local
[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-zone untrust
[DeviceB-security-policy-ipv6-1-tunnellocalout] source-ip-host 2002::22:1
[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2001::11:1
[DeviceB-security-policy-ipv6-1-tunnellocalout] action pass
[DeviceB-security-policy-ipv6-1-tunnellocalout] quit
# 配置名稱為trust-untrust的安全策略規則,使Group 2可以向Group 1發送報文,具體配置步驟如下。
[DeviceB-security-policy-ipv6] rule name trust-untrust
[DeviceB-security-policy-ipv6-2-trust-untrust] source-zone trust
[DeviceB-security-policy-ipv6-2-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ipv6-2-trust-untrust] source-ip-subnet 2002:3::1 64
[DeviceB-security-policy-ipv6-2-trust-untrust] destination-ip-subnet 2002:1::1 64
[DeviceB-security-policy-ipv6-2-trust-untrust] action pass
[DeviceB-security-policy-ipv6-2-trust-untrust] quit
# 配置名稱為tunnellocalin的安全策略規則,使Device B可以接收和處理來自Device A的報文,具體配置步驟如下。
[DeviceB-security-policy-ipv6] rule name tunnellocalin
[DeviceB-security-policy-ipv6-3-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-zone local
[DeviceB-security-policy-ipv6-3-tunnellocalin] source-ip-host 2001::11:1
[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-ip-host 2002::22:1
[DeviceB-security-policy-ipv6-3-tunnellocalin] action pass
[DeviceB-security-policy-ipv6-3-tunnellocalin] quit
# 配置名稱為tunnellocalin的安全策略規則,使Group 2可以接收和處理來自Group 1的報文,具體配置步驟如下。
[DeviceB-security-policy-ipv6] rule name tunnellocalin
[DeviceB-security-policy-ipv6-4-tunnellocalin] source-zone untrust
[DeviceB-security-policy-ipv6-4-tunnellocalin] destination-zone local
[DeviceB-security-policy-ipv6-4-tunnellocalin] source-ip-subnet 2002:1::1 64
[DeviceB-security-policy-ipv6-4-tunnellocalin] destination-ip-subnet 2002:3::1 64
[DeviceB-security-policy-ipv6-4-tunnellocalin] action pass
[DeviceB-security-policy-ipv6-4-tunnellocalin] quit
[DeviceB-security-policy-ipv6] quit
# 完成上述配置後,在Device A和Device B上分別執行display ipv6 interface命令,可以看出Tunnel接口處於up狀態。(具體顯示信息略)
# 從Device A和Device B上可以Ping通對端的GigabitEthernet1/0/1接口的IPv6地址。下麵僅以Device A為例。
[DeviceA] ping ipv6 -a 2002:1::1 2002:3::1
Ping6(56 data bytes) 2002:1::1 --> 2002:3::1, press CTRL_C to break
56 bytes from 2002:3::1, icmp_seq=0 hlim=64 time=9.000 ms
56 bytes from 2002:3::1, icmp_seq=1 hlim=64 time=1.000 ms
56 bytes from 2002:3::1, icmp_seq=2 hlim=64 time=0.000 ms
56 bytes from 2002:3::1, icmp_seq=3 hlim=64 time=0.000 ms
56 bytes from 2002:3::1, icmp_seq=4 hlim=64 time=0.000 ms
--- Ping6 statistics for 2002:3::1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.000/2.000/9.000/3.521 ms
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
