• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

16-IP隧道及安全VPN配置指导

目录

01-IPv4 over IPv4隧道配置

本章节下载 01-IPv4 over IPv4隧道配置  (197.84 KB)

01-IPv4 over IPv4隧道配置


1 IPv4 over IPv4隧道

1.1  IPv4 over IPv4 隧道简介

IPv4 over IPv4隧道(RFC 1853)是对IPv4报文进行封装,使得一个IPv4网络的报文能够在另一个IPv4网络中传输。例如,运行IPv4协议的两个子网位于不同的区域,并且这两个子网都使用私网地址时,可以通过建立IPv4 over IPv4隧道,实现两个子网的互联。

图1-1 IPv4 over IPv4隧道原理图

 

报文在隧道中传输经过封装与解封装两个过程,以图1-1为例说明这两个过程:

·     封装过程

Device A连接IPv4主机所在子网的接口收到IPv4报文后,首先交由IPv4协议栈处理。IPv4协议栈根据IPv4报文头中的目的地址判断该报文需要通过隧道进行转发,则将此报文发给Tunnel接口。

Tunnel接口收到此报文后,在IPv4报文外再封装一个IPv4报文头,封装的报文头中源IPv4地址为隧道的源端地址,目的IPv4地址为隧道的目的端地址。封装完成后将报文重新交给IPv4协议栈处理,IPv4协议栈根据添加的IPv4报文头查找路由表,转发报文。

·     解封装过程

解封装过程和封装过程相反。Device B从接口收到IPv4报文后,将其送到IPv4协议栈处理。IPv4协议栈检查接收到的IPv4报文头中的协议号。如果协议号为4(表示封装的报文为IPv4报文),则将此IPv4报文发送到隧道模块进行解封装处理。解封装之后的IPv4报文将重新被送到IPv4协议栈进行二次路由处理。

1.2  IPv4 over IPv4隧道配置限制和指导

·     在本端设备上为隧道指定的目的端地址,应该与在对端设备上为隧道指定的源端地址相同;在本端设备上为隧道指定的源端地址,应该与在对端设备上为隧道指定的目的端地址相同。

·     在同一台设备上,隧道模式相同的Tunnel接口建议不要同时配置完全相同的源端地址和目的端地址。

·     本端隧道接口的IPv4地址与隧道的目的端地址不能在同一个网段内。

·     如果封装前IPv4报文的目的IPv4地址与Tunnel接口的IPv4地址不在同一个网段,则必须配置通过Tunnel接口到达目的IPv4地址的转发路由,以便需要进行封装的报文能正常转发。用户可以配置静态路由,指定到达目的IPv4地址的路由出接口为本端Tunnel接口或下一跳为对端Tunnel接口地址。用户也可以配置动态路由,在Tunnel接口使能动态路由协议。在隧道的两端都要进行转发路由的配置,配置的详细情况请参见“三层技术-IP路由配置指导”中的“静态路由”或其他路由协议配置。

·     配置经过隧道接口的路由时,路由的目的地址不能与该隧道的目的端地址在同一个网段内。

·     本配置任务仅列出了配置IPv4 over IPv4隧道涉及的隧道接口相关的基础配置命令(interface tunnelsourcedestinationtunnel dfbit enable命令),关于隧道接口的更多配置命令的详细介绍,请参见“接口管理命令参考”中的“隧道接口”。

1.3  配置IPv4 over IPv4隧道

(1)     进入系统视图。

system-view

(2)     进入模式为IPv4 over IPv4隧道的Tunnel接口视图。

interface tunnel number [ mode ipv4-ipv4 ]

(3)     设置Tunnel接口的IPv4地址。

ip address ip-address { mask | mask-length } [ sub ]

(4)     设置隧道的源端地址或源接口。

source { ipv4-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后隧道报文的源IP地址。

(5)     设置隧道的目的端地址。

destination ipv4-address

缺省情况下,未设置隧道的目的端地址。

隧道的目的端地址是对端接收报文的接口的地址,该地址将作为封装后隧道报文的目的地址。

(6)     (可选)设置封装后隧道报文的DF(Don’t Fragment,不分片)标志。

tunnel dfbit enable

缺省情况下,未设置隧道报文的不分片标志,即转发隧道报文时允许分片。

1.4  IPv4 over IPv4隧道显示和维护

1.4.1  显示IPv4 over IPv4隧道接口的信息

可在任意视图下执行以下命令:

·     显示IPv4 over IPv4隧道接口的信息。

display tunnel-interface [ number ]

本命令的详细介绍,请参见“接口管理命令参考”中的“隧道接口命令”。

·     显示IPv4 over IPv4隧道接口的相关信息。

display interface [ tunnel [ number ] ] [ brief [ description | down ] ]

本命令的详细介绍,请参见“接口管理命令参考”中的“隧道接口命令”。

1.4.2  清除IPv4 over IPv4隧道接口的统计信息

请在用户视图下执行以下命令,清除IPv4 over IPv4 隧道接口的统计信息。

reset counters interface [ tunnel [ number ] ]

本命令的详细介绍,请参见“接口管理命令参考”中的“接口公共命令”。

1.5  IPv4 over IPv4隧道典型配置举例

1.5.1  IPv4 over IPv4隧道基本组网配置举例

1. 组网需求

运行IP协议的两个子网Group 1和Group 2位于不同的区域,这两个子网都使用私网地址。通过在路由器Router A和路由器Router B之间建立IPv4 over IPv4隧道,实现两个子网的互联。

2. 组网图

图1-2 IPv4 over IPv4隧道组网图

 

3. 配置准备

在开始下面的配置之前,请确保Router A和Router B之间IPv4报文路由可达。

4. 配置步骤

(1)     配置Router A

# 配置接口GigabitEthernet0/0/1的地址。

<RouterA> system-view

[RouterA] interface gigabitethernet 0/0/1

[RouterA-GigabitEthernet0/0/1] ip address 10.1.1.1 255.255.255.0

[RouterA-GigabitEthernet0/0/1] quit

# 配置接口Serial2/1/0(隧道的实际物理接口)的地址。

[RouterA] interface serial 2/1/0

[RouterA-Serial2/1/0] ip address 2.1.1.1 255.255.255.0

[RouterA-Serial2/1/0] quit

# 创建模式为IPv4 over IPv4隧道的接口Tunnel1。

[RouterA] interface tunnel 1 mode ipv4-ipv4

# 配置Tunnel1接口的IP地址。

[RouterA-Tunnel1] ip address 10.1.2.1 255.255.255.0

# 配置Tunnel1接口的源端地址(Serial2/1/0的IP地址)。

[RouterA-Tunnel1] source 2.1.1.1

# 配置Tunnel1接口的目的端地址(RouterB的Serial2/1/1的IP地址)。

[RouterA-Tunnel1] destination 3.1.1.1

[RouterA-Tunnel1] quit

# 配置从Router A经过Tunnel1接口到Group 2的静态路由。

[RouterA] ip route-static 10.1.3.0 255.255.255.0 tunnel 1

(2)     配置Router B

# 配置接口GigabitEthernet0/0/1的地址。

<RouterB> system-view

[RouterB] interface gigabitethernet 0/0/1

[RouterB-GigabitEthernet0/0/1] ip address 10.1.3.1 255.255.255.0

[RouterB-GigabitEthernet0/0/1] quit

# 配置接口Serial2/1/1(隧道的实际物理接口)的地址。

[RouterB] interface serial 2/1/1

[RouterB-Serial2/1/1] ip address 3.1.1.1 255.255.255.0

[RouterB-Serial2/1/1] quit

# 创建模式为IPv4 over IPv4隧道的接口Tunnel2。

[RouterB] interface tunnel 2 mode ipv4-ipv4

# 配置Tunnel2接口的IP地址。

[RouterB-Tunnel2] ip address 10.1.2.2 255.255.255.0

# 配置Tunnel2接口的源端地址(Serial2/1/1的IP地址)。

[RouterB-Tunnel2] source 3.1.1.1

# 配置Tunnel2接口的目的端地址(Router A的Serial2/1/0的IP地址)。

[RouterB-Tunnel2] destination 2.1.1.1

[RouterB-Tunnel2] quit

# 配置从Router B经过Tunnel2接口到Group 1的静态路由。

[RouterB] ip route-static 10.1.1.0 255.255.255.0 tunnel 2

5. 验证配置

# 完成上述配置后,在Router A和Router B上分别执行display interface tunnel命令,可以看出Tunnel接口处于up状态。(具体显示信息略)

# 从Router A和Router B上可以Ping通对端的GigabitEthernet0/0/1接口的IPv4地址。下面仅以Router A为例。

[RouterA] ping -a 10.1.1.1 10.1.3.1

Ping 10.1.3.1 (10.1.3.1) from 10.1.1.1: 56 data bytes, press CTRL_C to break

56 bytes from 10.1.3.1: icmp_seq=0 ttl=255 time=2.000 ms

56 bytes from 10.1.3.1: icmp_seq=1 ttl=255 time=1.000 ms

56 bytes from 10.1.3.1: icmp_seq=2 ttl=255 time=0.000 ms

56 bytes from 10.1.3.1: icmp_seq=3 ttl=255 time=1.000 ms

56 bytes from 10.1.3.1: icmp_seq=4 ttl=255 time=1.000 ms

 

--- Ping statistics for 10.1.3.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.000/1.000/2.000/0.632 ms

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们