• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

06-VPN配置指导

目录

03-隧道配置

本章节下载 03-隧道配置  (902.19 KB)

03-隧道配置

  录

1 隧道

1.1 隧道简介

1.2 支持的隧道技术

1.3 隧道配置限制和指导

1.4 配置Tunnel接口

1.4.1 功能简介

1.4.2 Tunnel接口配置任务简介

1.4.3 创建Tunnel接口

1.4.4 配置封装后隧道报文的属性

1.4.5 配置隧道目的端地址所属的VPN实例

1.4.6 恢复当前Tunnel接口的缺省配置

1.5 隧道接口显示和维护

1.6 隧道常见故障处理

1.6.1 Tunnel接口未处于up状态

2 IPv6 over IPv4隧道

2.1 IPv6 over IPv4 隧道简介

2.1.1 IPv6 over IPv4隧道原理

2.1.2 IPv6 over IPv4隧道模式分类

2.2 IPv6 over IPv4隧道配置任务简介

2.3 配置IPv6 over IPv4手动隧道

2.3.1 配置限制和指导

2.3.2 配置步骤

2.3.3 IPv6 over IPv4手动隧道典型配置举例

2.4 配置IPv4兼容IPv6自动隧道

2.4.1 配置限制和指导

2.4.2 配置步骤

2.4.3 IPv4兼容IPv6自动隧道典型配置举例

2.5 配置6to4隧道

2.5.1 配置限制和指导

2.5.2 配置步骤

2.5.3 6to4隧道典型配置举例

2.5.4 6to4中继典型配置举例

2.6 配置ISATAP隧道

2.6.1 配置限制和指导

2.6.2 配置步骤

2.6.3 ISATAP隧道典型配置举例

2.7 配置6RD隧道

2.7.1 硬件适配关系

2.7.2 配置限制和指导

2.7.3 配置步骤

2.7.4 6RD隧道显示和维护

2.7.5 6RD隧道典型配置举例

2.7.6 6RD中继典型配置举例

2.8 配置丢弃含有IPv4兼容IPv6地址的IPv6报文

3 IPv4 over IPv4隧道

3.1 IPv4 over IPv4 隧道简介

3.2 IPv4 over IPv4隧道配置限制和指导

3.3 配置IPv4 over IPv4隧道

3.4 IPv4 over IPv4隧道典型配置举例

3.4.1 IPv4 over IPv4隧道基本组网配置举例

4 IPv4 over IPv6隧道

4.1 IPv4 over IPv6隧道简介

4.1.1 IPv4 over IPv6隧道原理

4.1.2 IPv4 over IPv6隧道模式

4.2 配置IPv4 over IPv6手动隧道

4.2.1 配置限制和指导

4.2.2 配置步骤

4.2.3 IPv4 over IPv6手动隧道典型配置举例

4.3 配置DS-Lite隧道

4.3.1 配置限制和指导

4.3.2 配置DS-Lite隧道的B4设备

4.3.3 配置DS-Lite隧道的AFTR端

4.3.4 DS-Lite隧道典型配置举例

5 IPv6 over IPv6隧道

5.1 IPv6 over IPv6隧道简介

5.2 IPv6 over IPv6隧道配置限制和指导

5.3 IPv6 over IPv6隧道配置任务简介

5.4 配置IPv6 over IPv6隧道

5.5 配置丢弃含有IPv4兼容IPv6地址的IPv6报文

5.6 IPv6 over IPv6隧道典型配置举例

5.6.1 IPv6 over IPv6隧道基本组网配置举例

 


1 隧道

说明

本章仅介绍隧道接口的配置,有关隧道模式的介绍请参见后续章节。

 

1.1  隧道简介

隧道技术是一种封装技术,即一种网络协议将其他网络协议的数据报文封装在自己的报文中,然后在网络中传输。封装后的数据报文在网络中传输的路径,称为隧道。隧道是一条虚拟的点对点连接,隧道的两端需要对数据报文进行封装及解封装。隧道技术就是指包括数据封装、传输和解封装在内的全过程。

1.2  支持的隧道技术

目前支持的隧道技术包括:

·     ADVPN(Auto Discovery Virtual Private Network,自动发现虚拟专用网络)隧道,ADVPN的相关介绍和配置请参见“VPN配置指导”中的“ADVPN”。

·     GRE(Generic Routing Encapsulation,通用路由封装)隧道,GRE的相关介绍和配置请参见“VPN配置指导”中的“GRE”。

·     IPsec(IP Security,IP安全)隧道,IPsec的相关介绍和配置请参见“安全配置指导”中的“IPsec”。

·     VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)隧道,VXLAN的相关介绍和配置请参见“VXLAN配置指导”中的“VXLAN”。

·     IPv6 over IPv4隧道、IPv4 over IPv4隧道、IPv4 over IPv6隧道和IPv6 over IPv6隧道。

1.3  隧道配置限制和指导

同一台设备上,多个Tunnel接口不要同时配置完全相同的目的端地址和源端地址。

对于任意类型的隧道报文进行多次嵌套封装时,建议嵌套封装不超过5层,否则会造成隧道相关字段过长,设备将无法处理。

 

 

 

 

1.4  配置Tunnel接口

1.4.1  功能简介

隧道两端的设备上,需要创建虚拟的三层接口,即Tunnel接口,以便隧道两端的设备利用Tunnel接口发送报文、识别并处理来自隧道的报文。

1.4.2  Tunnel接口配置任务简介

Tunnel接口配置任务如下:

(1)     创建Tunnel接口

(2)     (可选)配置封装后隧道报文的属性

(3)     (可选)配置隧道目的端地址所属的VPN实例

(4)     (可选)恢复当前Tunnel接口的缺省配置

1.4.3  创建Tunnel接口

(1)     进入系统视图。

system-view

(2)     创建Tunnel接口,指定隧道模式,并进入Tunnel接口视图。

interface tunnel number mode { advpn { gre | udp } [ ipv6 ] | ds-lite-aftr | gre [ ipv6 ] | gre-p2mp [ ipv6 ] | ipsec [ ipv6 ] | ipv4-ipv4 | ipv6 | ipv6-ipv4 [ 6rd | 6to4 | auto-tunnel | isatap ] | vxlan }

在隧道的两端应配置相同的隧道模式,否则可能造成报文传输失败。

本命令中advpn { gre | udp } [ ipv6 ]gre-p2mp [ ipv6 ]ipsec [ ipv6 ]ipv6-ipv4 6rdvxlan参数的支持情况与设备的型号有关,具体请参见命令参考。

(3)     设置隧道的源端地址或源接口。

source { ipv4-address | ipv6-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后隧道报文的源IP地址。

(4)     设置隧道的目的端地址。

destination { ipv4-address | ipv6-address | dhcp-alloc interface-type interface-number }

缺省情况下,未设置隧道的目的端地址。

隧道的目的端地址是对端接收报文的接口的地址,该地址将作为封装后隧道报文的目的地址。

(5)     (可选)配置接口描述信息。

description text

缺省情况下,接口描述信息为“该接口的接口名 Interface”。

(6)     (可选)配置Tunnel接口的MTU值。

mtu size

缺省情况下,隧道接口的状态始终为Down时,隧道的MTU值为64000;隧道接口的状态当前为Up时,隧道的MTU值为根据隧道目的地址查找路由而得到的出接口的MTU值减隧道封装报文头长度。

(7)     (可选)配置Tunnel接口的期望带宽。

bandwidth bandwidth-value

缺省情况下,接口的期望带宽=接口的最大速率÷1000(kbps)。

期望带宽供业务模块使用,不会对接口实际带宽造成影响。

(8)     (可选)开启Tunnel接口。

undo shutdown

缺省情况下,Tunnel接口不处于Administratively Down状态。

1.4.4  配置封装后隧道报文的属性

(1)     进入系统视图。

system-view

(2)     进入Tunnel接口视图。

interface tunnel number

(3)     设置封装后隧道报文的ToS。

tunnel tos { copy-inner-tos | tos-value }

缺省情况下,对于VXLAN隧道,封装后隧道报文的ToS值为0;对于非VXLAN隧道,封装后隧道报文的ToS值与封装前原始报文的ToS值相同。

仅VXLAN隧道支持copy-inner-tos参数。

(4)     设置封装后隧道报文的TTL值。

tunnel ttl ttl-value

缺省情况下,封装后隧道报文的TTL值为255。

1.4.5  配置隧道目的端地址所属的VPN实例

1. 配置限制和指导

隧道的源端地址和目的端地址必须属于相同的VPN实例,否则隧道接口链路状态无法UP。在隧道的源接口上通过ip binding vpn-instance命令可以指定隧道源端地址所属的VPN实例。ip binding vpn-instance命令的详细介绍,请参见“VPN命令参考”中的“VPN实例”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Tunnel接口视图。

interface tunnel number

(3)     配置隧道目的端地址所属的VPN实例。

tunnel vpn-instance vpn-instance-name

缺省情况下,隧道目的端地址属于公网,设备查找公网路由表转发隧道封装后的报文。

1.4.6  恢复当前Tunnel接口的缺省配置

1. 配置限制和指导

注意

接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行本配置前,完全了解其对网络产生的影响。

 

您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Tunnel接口视图。

interface tunnel number

(3)     恢复当前接口的缺省配置。

default

1.5  隧道接口显示和维护

在任意视图下执行display命令可以显示隧道配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除Tunnel接口的统计信息。

表1-1 隧道显示和维护

操作

命令

显示Tunnel接口的相关信息

display interface [ tunnel [ number ] ] [ brief [ description | down ] ]

显示Tunnel接口的IPv6相关信息(本命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IPv6基础”)

display ipv6 interface [ tunnel [ number ] ] [ brief ]

清除Tunnel接口的统计信息

reset counters interface [ tunnel [ number ] ]

清除Tunnel接口的IPv6统计信息(本命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IPv6基础”)

reset ipv6 statistics [ slot slot-number ]

 

1.6  隧道常见故障处理

1.6.1  Tunnel接口未处于up状态

1. 故障现象

在Tunnel接口上配置了相关的参数后(例如隧道的源端地址、目的端地址和隧道模式),Tunnel接口仍未处于up状态。

2. 故障分析

Tunnel接口未处于up状态的原因可能是隧道起点的物理接口没有处于up状态,或隧道的目的端地址不可达。

3. 处理过程

使用display interfacedisplay ipv6 interface命令查看隧道起点的物理接口状态为up还是down。如果物理接口状态是down的,请检查网络连接。

使用display ipv6 routing-tabledisplay ip routing-table命令查看是否目的端地址通过路由可达。如果路由表中没有保证隧道通信的路由表项,请配置相关路由。


2 IPv6 over IPv4隧道

2.1  IPv6 over IPv4 隧道简介

2.1.1  IPv6 over IPv4隧道原理

图2-1所示,IPv6 over IPv4隧道是在IPv6数据报文前封装上IPv4的报文头,通过隧道使IPv6报文穿越IPv4网络,实现隔离的IPv6网络互通。IPv6 over IPv4隧道两端的设备必须支持IPv4/IPv6双协议栈,即同时支持IPv4协议和IPv6协议。

图2-1 IPv6 over IPv4隧道原理图

 

IPv6 over IPv4隧道对报文的处理过程如下:

(1)     IPv6网络中的主机发送IPv6报文,该报文到达隧道的源端设备Device A。

(2)     Device A根据路由表判定该报文要通过隧道进行转发后,在IPv6报文前封装上IPv4的报文头,通过隧道的实际物理接口将报文转发出去。IPv4报文头中的源IP地址为隧道的源端地址,目的IP地址为隧道的目的端地址。

(3)     封装报文通过隧道到达隧道目的端设备(或称隧道终点)Device B,Device B判断该封装报文的目的地是本设备后,将对报文进行解封装。

(4)     Device B根据解封装后的IPv6报文的目的地址处理该IPv6报文。如果目的地就是本设备,则将IPv6报文转给上层协议处理;否则,查找路由表转发该IPv6报文。

2.1.2  IPv6 over IPv4隧道模式分类

根据隧道终点的IPv4地址的获取方式不同,隧道分为“配置隧道”和“自动隧道”。

·     如果IPv6 over IPv4隧道终点的IPv4地址不能从IPv6报文的目的地址中自动获取,需要进行手工配置,这样的隧道称为“配置隧道”。

·     如果IPv6报文的目的地址中嵌入了IPv4地址,则可以从IPv6报文的目的地址中自动获取隧道终点的IPv4地址,这样的隧道称为“自动隧道”。

根据对IPv6报文的封装方式的不同,IPv6 over IPv4隧道分为以下几种模式。

1. IPv6 over IPv4手动隧道

IPv6 over IPv4手动隧道是点到点之间的链路。建立手动隧道需要在隧道两端手工指定隧道的源端和目的端地址。

手动隧道可以建立在连接IPv4网络和IPv6网络的两个边缘路由器之间,实现隔离的IPv6网络跨越IPv4网络通信;也可以建立在边缘路由器和IPv4/IPv6双栈主机之间,实现隔离的IPv6网络跨越IPv4网络与双栈主机通信。

2. IPv4兼容IPv6自动隧道

IPv4兼容IPv6自动隧道是点到多点的链路。隧道两端采用特殊的IPv6地址:IPv4兼容IPv6地址,其格式为:0:0:0:0:0:0:a.b.c.d/96,其中a.b.c.d是IPv4地址。通过这个嵌入的IPv4地址可以自动确定隧道的目的端地址。

IPv4兼容IPv6自动隧道的建立非常方便。但是,由于它使用IPv4兼容IPv6地址,采用IPv4兼容IPv6自动隧道通信的主机和路由器必须具有全球唯一的IPv4地址,无法解决IPv4地址空间耗尽的问题,存在一定的局限性。

3. 6to4隧道

·     普通6to4隧道

6to4隧道是点到多点的自动隧道,主要建立在边缘路由器之间,用于通过IPv4网络连接多个IPv6孤岛。

6to4隧道两端采用特殊的6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/48。其中:2002表示固定的IPv6地址前缀;abcd:efgh为用16进制表示的IPv4地址(如1.1.1.1可以表示为0101:0101),用来唯一标识一个6to4网络(如果IPv6孤岛中的主机都采用6to4地址,则该IPv6孤岛称为6to4网络),6to4网络的边缘路由器上连接IPv4网络的接口地址需要配置为此IPv4地址;子网号用来在6to4网络内划分子网;子网号和接口ID共同标识了一个主机在6to4网络内的位置。通过6to4地址中嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。

6to4地址中采用一个全球唯一的IPv4地址标识了一个6to4网络,克服了IPv4兼容IPv6自动隧道的局限性。

·     6to4中继

6to4隧道只能用于前缀为2002::/16的6to4网络之间的通信,但在IPv6网络中也会使用像2001::/16这样的IPv6网络地址。为了实现6to4网络和其它IPv6网络的通信,必须有一台6to4路由器作为网关转发到IPv6网络的报文,这台路由器就叫做6to4中继(6to4 relay)路由器。

如下图所示,在6to4网络的边缘路由器Device A上配置一条到达IPv6网络(非6to4网络)的静态路由,下一跳地址指向6to4中继路由器Device C的6to4地址,这样,所有去往该IPv6网络的报文都会被转发到6to4中继路由器,之后再由6to4中继路由器转发到IPv6网络中,从而实现6to4网络与IPv6网络的互通。

图2-2 6to4隧道和6to4中继原理图

 

4. ISATAP隧道

ISATAP隧道是点到多点的自动隧道技术,为IPv6主机通过IPv4网络接入IPv6网络提供了一个解决方案。

使用ISATAP隧道时,IPv6报文的目的地址要采用特殊的ISATAP地址。ISATAP地址格式为:Prefix:0:5EFE:abcd:efgh/64。其中,64位的Prefix为任何合法的IPv6单播地址前缀;abcd:efgh为用16进制表示的32位IPv4地址(如1.1.1.1可以表示为0101:0101),该IPv4地址不要求全球唯一。通过ISATAP地址中嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。

ISATAP隧道主要用于跨越IPv4网络在IPv6主机与边缘路由器之间、两个边缘路由器之间建立连接。

图2-3 ISATAP隧道原理图

 

5. 6RD隧道

·     普通6RD隧道

6RD隧道是点到多点的自动隧道技术,是对6to4隧道的扩展。相对于6to4网络,6RD网络的IPv6地址前缀不再局限于2002::/16,而是由运营商分配,并且不再要求将整个32位的IPv4地址都嵌入到IPv6地址中,可以只是嵌入一部分。

图2-4 6RD网络的IPv6地址格式

 

 

6RD网络的IPv6地址格式如图2-4所示,其中:6RD prefix表示运营商的IPv6地址前缀,长度为n bits;IPv4 address表示部分或完整的隧道源端的IPv4地址,长度为o bits,用16进制表示(如配置IPv4前缀长度为8 bits、后缀长度为8 bits,那么1.2.3.4地址的前缀为01,后缀为04,IPv4 address为0203);6RD prefix和IPv4 address共同构成6RD Delegated Prefix(6RD授权前缀),用来唯一标识一个6RD网络(如果IPv6孤岛中的主机都采用6RD地址,则该IPv6孤岛称为6RD网络);子网号用来在6RD网络内划分子网;子网号和接口ID共同标识了一个主机在6RD网络内的位置。通过6RD地址中嵌入的IPv4地址以及6RD前缀、IPv4前缀和后缀可以自动确定隧道的终点,使隧道的建立非常方便。

·     6RD中继

普通6RD隧道只能用于前缀为6RD授权前缀的6RD网络之间的通信,但在IPv6网络中也会存在未采用6RD授权前缀的地址。为了实现6RD网络和非6RD网络通信,必须有一台6RD路由器作为网关转发到非6RD网络的报文,这台路由器就叫做6RD中继(6RD Border Relay,简称BR)路由器,而6RD网络的边缘路由器叫做6RD用户侧(6RD Customer Edge,简称CE)路由器。

图2-5所示,在6RD用户侧路由器Device A上配置一条到达非6RD网络的静态路由,下一跳地址指向6RD中继路由器Device C的6RD地址,这样,所有去往该网络的报文都会被转发到6RD中继路由器,之后再由6RD中继路由器转发到非6RD网络中,从而实现6RD网络与非6RD网络的互通。

图2-5 6RD隧道和6RD中继原理图

 

2.2  IPv6 over IPv4隧道配置任务简介

IPv6 over IPv4隧道配置任务如下:

(1)     配置IPv6 over IPv4隧道

请选择以下一项任务进行配置:

¡     配置IPv6 over IPv4手动隧道

¡     配置IPv4兼容IPv6自动隧道

¡     配置6to4隧道

¡     配置ISATAP隧道

¡     配置6RD隧道

(2)     (可选)配置丢弃含有IPv4兼容IPv6地址的IPv6报文

2.3  配置IPv6 over IPv4手动隧道

2.3.1  配置限制和指导

·     在本端设备上为隧道指定的目的端地址,应该与在对端设备上为隧道指定的源端地址相同;在本端设备上为隧道指定的源端地址,应该与在对端设备上为隧道指定的目的端地址相同。

·     在同一台设备上,隧道模式相同的Tunnel接口建议不要同时配置完全相同的源端地址和目的端地址。

·     如果封装前IPv6报文的目的IPv6地址与Tunnel接口的IPv6地址不在同一个网段,则必须配置通过Tunnel接口到达目的IPv6地址的转发路由,以便需要进行封装的报文能正常转发。用户可以配置静态路由,指定到达目的IPv6地址的路由出接口为本端Tunnel接口或下一跳为对端Tunnel接口地址。用户也可以配置动态路由,在Tunnel接口使能动态路由协议。在隧道的两端都要进行此项配置,配置的详细情况请参见“三层技术-IP路由配置指导”中的“IPv6静态路由”或其他路由协议配置。

2.3.2  配置步骤

(1)     进入系统视图。

system-view

(2)     进入模式为IPv6 over IPv4手动隧道的Tunnel接口视图。

interface tunnel number [ mode ipv6-ipv4 ]

(3)     设置Tunnel接口的IPv6地址。

详细配置方法,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

(4)     设置隧道的源端地址或源接口。

source { ipv4-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后隧道报文的源IP地址。

(5)     设置隧道的目的端地址。

destination ipv4-address

缺省情况下,未设置隧道的目的端地址。

隧道的目的端地址是对端接收报文的接口的地址,该地址将作为封装后隧道报文的目的地址。

(6)     (可选)设置封装后隧道报文的DF(Don’t Fragment,不分片)标志。

tunnel dfbit enable

缺省情况下,未设置隧道报文的不分片标志,即转发隧道报文时允许分片。

2.3.3  IPv6 over IPv4手动隧道典型配置举例

1. 组网需求

图2-6所示,两个IPv6网络分别通过Device A和Device B与IPv4网络连接,要求在Device A和Device B之间建立IPv6 over IPv4隧道,使两个IPv6网络可以互通。由于隧道终点的IPv4地址不能从IPv6报文的目的地址中自动获取,因此,需要配置IPv6 over IPv4手动隧道。

2. 组网图

图2-6 IPv6 over IPv4手动隧道组网图

3. 配置步骤

(1)     配置Device A

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipv6 address 3002:1/64

[DeviceA-GigabitEthernet1/0/1] quit

[DeviceA] interface GigabitEthernet1/0/2

[DeviceA-GigabitEthernet1/0/2] ip address 192.168.100.1 255.255.255.0

[DeviceA-GigabitEthernet1/0/2] quit

# 创建模式为IPv6 over IPv4手动隧道的接口Tunnel0。

[DeviceA] interface tunnel 0 mode ipv6-ipv4

[DeviceA-Tunnel0] ipv6 address 3001::1/64

[DeviceA-Tunnel0] source gigabitethernet 1/0/2

[DeviceA-Tunnel0] destination 192.168.50.1

[DeviceA-Tunnel0] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达IPv6 network2网络的出接口为Tunnel 0,到达Device B的下一跳IP地址为192.168.100.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceA] ip route-static 192.168.50.1 24 192.168.100.2

[DeviceA] ipv6 route-static 3003:: 64 tunnel 0

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 0

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name Trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalout

[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 192.168.100.1

[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 192.168.50.1

[DeviceA-security-policy-ip-1-tunnellocalout] action pass

[DeviceA-security-policy-ip-1-tunnellocalout] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA-security-policy-ip] rule name tunnellocalin

[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 192.168.50.1

[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 192.168.100.1

[DeviceA-security-policy-ip-2-tunnellocalin] action pass

[DeviceA-security-policy-ip-2-tunnellocalin] quit

[DeviceA-security-policy-ip] quit

# 配置名称为trust-untrust的安全策略规则,使IPv6 network1访问IPv6 network2的报文可通,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name trust-untrust

[DeviceA-security-policy-ipv6-3-trust-untrust] source-zone trust

[DeviceA-security-policy-ipv6-3-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ipv6-3-trust-untrust] source-ip-subnet 3002:: 64

[DeviceA-security-policy-ipv6-3-trust-untrust] destination-ip-subnet 3003:: 64

[DeviceA-security-policy-ipv6-3-trust-untrust] action pass

[DeviceA-security-policy-ipv6-3-trust-untrust] quit

# 配置名称为untrust-trust的安全策略规则,使IPv6 network2访问IPv6 network1的报文可通,具体配置步骤如下。

[DeviceA-security-policy-ipv6] rule name untrust-trust

[DeviceA-security-policy-ipv6-4-untrust-trust] source-zone untrust

[DeviceA-security-policy-ipv6-4-untrust-trust] destination-zone trust

[DeviceA-security-policy-ipv6-4-untrust-trust] source-ip-subnet 3003:: 64

[DeviceA-security-policy-ipv6-4-untrust-trust] destination-ip-subnet 3002:: 64

[DeviceA-security-policy-ipv6-4-untrust-trust] action pass

[DeviceA-security-policy-ipv6-4-untrust-trust] quit

[DeviceA-security-policy-ipv6] quit

(2)     配置Device B

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 address 3003::1 64

[DeviceB-GigabitEthernet1/0/1] quit

[DeviceB] interface GigabitEthernet1/0/2

[DeviceB-GigabitEthernet1/0/2] ip address 192.168.50.1 255.255.255.0

[DeviceB-GigabitEthernet1/0/2] quit

# 创建模式为IPv6 over IPv4手动隧道的接口Tunnel0。

[DeviceB] interface tunnel 0 mode ipv6-ipv4

[DeviceB-Tunnel0] ipv6 address 3001::2/64

[DeviceB-Tunnel0] source gigabitethernet 1/0/2

[DeviceB-Tunnel0] destination 192.168.100.1

[DeviceB-Tunnel0] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达IPv6 network1网络的出接口为Tunnel 0,到达Device A的下一跳IP地址为192.168.50.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceB] ip route-static 192.168.100.1 24 192.168.50.2

[DeviceB] ipv6 route-static 3002:: 64 tunnel 0

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 0

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name Trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalout

[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 192.168.50.1

[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 192.168.100.1

[DeviceB-security-policy-ip-1-tunnellocalout] action pass

[DeviceB-security-policy-ip-1-tunnellocalout] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB-security-policy-ip] rule name tunnellocalin

[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 192.168.100.1

[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 192.168.50.1

[DeviceB-security-policy-ip-2-tunnellocalin] action pass

[DeviceB-security-policy-ip-2-tunnellocalin] quit

[DeviceB-security-policy-ip] quit

# 配置名称为trust-untrust的安全策略规则,使IPv6 network2访问IPv6 network1的报文可通,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name trust-untrust

[DeviceB-security-policy-ipv6-3-trust-untrust] source-zone trust

[DeviceB-security-policy-ipv6-3-trust-untrust] destination-zone untrust

[DeviceB-security-policy-ipv6-3-trust-untrust] source-ip-subnet 3003:: 64

[DeviceB-security-policy-ipv6-3-trust-untrust] destination-ip-subnet 3002:: 64

[DeviceB-security-policy-ipv6-3-trust-untrust] action pass

[DeviceB-security-policy-ipv6-3-trust-untrust] quit

# 配置名称为untrust-trust的安全策略规则,使IPv6 network1访问IPv6 network2的报文可通,具体配置步骤如下。

[DeviceB-security-policy-ipv6] rule name untrust-trust

[DeviceB-security-policy-ipv6-4-untrust-trust] source-zone untrust

[DeviceB-security-policy-ipv6-4-untrust-trust] destination-zone trust

[DeviceB-security-policy-ipv6-4-untrust-trust] source-ip-subnet 3002:: 64

[DeviceB-security-policy-ipv6-4-untrust-trust] destination-ip-subnet 3003:: 64

[DeviceB-security-policy-ipv6-4-untrust-trust] action pass

[DeviceB-security-policy-ipv6-4-untrust-trust] quit

[DeviceB-security-policy-ipv6] quit

4. 验证配置

# 完成上述配置后,在Device A和Device B上分别执行display ipv6 interface命令,可以看出Tunnel0接口处于up状态。(具体显示信息略)

# 从Device A和Device B上可以Ping通对端的GigabitEthernet1/0/1接口的IPv6地址。下面仅以Device A为例。

[DeviceA] ping ipv6 3003::1

Ping6(56 data bytes) 3001::1 --> 3003::1, press CTRL_C to break

56 bytes from 3003::1, icmp_seq=0 hlim=64 time=45.000 ms

56 bytes from 3003::1, icmp_seq=1 hlim=64 time=10.000 ms

56 bytes from 3003::1, icmp_seq=2 hlim=64 time=4.000 ms

56 bytes from 3003::1, icmp_seq=3 hlim=64 time=10.000 ms

56 bytes from 3003::1, icmp_seq=4 hlim=64 time=11.000 ms

 

--- Ping6 statistics for 3003::1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 4.000/16.000/45.000/14.711 ms

2.4  配置IPv4兼容IPv6自动隧道

2.4.1  配置限制和指导

·     IPv4兼容IPv6自动隧道不需要配置隧道的目的端地址,因为隧道的目的端地址可以通过IPv4兼容IPv6地址中嵌入的IPv4地址自动获得。

·     对于自动隧道,隧道模式相同的Tunnel接口建议不要同时配置完全相同的源端地址。

2.4.2  配置步骤

(1)     进入系统视图。

system-view

(2)     进入模式为IPv4兼容IPv6自动隧道的Tunnel接口视图。

interface tunnel number [ mode ipv6-ipv4 auto-tunnel ]

(3)     设置Tunnel接口的IPv6地址。

详细配置方法,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

(4)     设置隧道的源端地址或源接口。

source { ipv4-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后隧道报文的源IP地址。

(5)     (可选)设置封装后隧道报文的DF(Don’t Fragment,不分片)标志。

tunnel dfbit enable

缺省情况下,未设置隧道报文的不分片标志,即转发隧道报文时允许分片。

2.4.3  IPv4兼容IPv6自动隧道典型配置举例

1. 组网需求

图2-7所示,两台具有双协议栈的Device A和Device B通过IPv4网络连接。网络管理员希望建立IPv4兼容IPv6自动隧道,使得这两台设备能够通过IPv6协议互通。

2. 组网图

图2-7 IPv4兼容IPv6自动隧道组网图

3. 配置步骤

(1)     配置Device A

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceA> system-view

[DeviceA] interface GigabitEthernet1/0/1

[DeviceA-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0

[DeviceA-GigabitEthernet1/0/1] quit

# 创建模式为IPv4兼容IPv6自动隧道的接口Tunnel0。

[DeviceA] interface tunnel 0 mode ipv6-ipv4 auto-tunnel

[DeviceA-Tunnel0] ipv6 address ::192.168.100.1/96

[DeviceA-Tunnel0] source gigabitethernet 1/0/1

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device B的下一跳IP地址为192.168.100.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceA] ip route-static 192.168.50.1 24 192.168.100.2

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 0

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Untrust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalout

[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 192.168.100.1

[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 192.168.50.1

[DeviceA-security-policy-ip-1-tunnellocalout] action pass

[DeviceA-security-policy-ip-1-tunnellocalout] quit

[DeviceA-security-policy-ip] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name tunnellocalout

[DeviceA-security-policy-ipv6-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ipv6-1-tunnellocalout] source-ip-host ::192.168.100.1

[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-ip-host ::192.168.50.1

[DeviceA-security-policy-ipv6-1-tunnellocalout] action pass

[DeviceA-security-policy-ipv6-1-tunnellocalout] quit

[DeviceA-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalin

[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 192.168.50.1

[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 192.168.100.1

[DeviceA-security-policy-ip-2-tunnellocalin] action pass

[DeviceA-security-policy-ip-2-tunnellocalin] quit

[DeviceA-security-policy-ip] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA]security-policy ipv6

[DeviceA-security-policy-ipv6] rule name tunnellocalin

[DeviceA-security-policy-ipv6-2-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-zone local

[DeviceA-security-policy-ipv6-2-tunnellocalin] source-ip-host ::192.168.50.1

[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-ip-host ::192.168.100.1

[DeviceA-security-policy-ipv6-2-tunnellocalin] action pass

[DeviceA-security-policy-ipv6-2-tunnellocalint] quit

[DeviceA-security-policy-ipv6] quit

(2)     配置Device B

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

[DeviceB] interface GigabitEthernet1/0/1

[DeviceB-GigabitEthernet1/0/1] ip address 192.168.50.1 255.255.255.0

[DeviceB-GigabitEthernet1/0/1] quit

# 创建模式为IPv4兼容IPv6自动隧道的接口Tunnel0。

[DeviceB] interface tunnel 0 mode ipv6-ipv4 auto-tunnel

[DeviceB-Tunnel0] ipv6 address ::192.168.50.1/96

[DeviceB-Tunnel0] source gigabitethernet 1/0/1

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device A的下一跳IP地址为192.168.50.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceB] ip route-static 192.168.100.1 24 192.168.50.2

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 0

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalout

[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 192.168.50.1

[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 192.168.100.1

[DeviceB-security-policy-ip-1-tunnellocalout] action pass

[DeviceB-security-policy-ip-1-tunnellocalout] quit

[DeviceB-security-policy-ip] quit

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalout

[DeviceB-security-policy-ipv6-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ipv6-1-tunnellocalout] source-ip-host ::192.168.50.1

[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-ip-host ::192.168.100.1

[DeviceB-security-policy-ipv6-1-tunnellocalout] action pass

[DeviceB-security-policy-ipv6-1-tunnellocalout] quit

[DeviceB-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalin

[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 192.168.100.1

[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 192.168.50.1

[DeviceB-security-policy-ip-2-tunnellocalin] action pass

[DeviceB-security-policy-ip-2-tunnellocalin] quit

[DeviceB-security-policy-ip] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalin

[DeviceB-security-policy-ipv6-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ipv6-2-tunnellocalin] source-ip-host ::192.168.100.1

[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-ip-host ::192.168.50.1

[DeviceB-security-policy-ipv6-2-tunnellocalin] action pass

[DeviceB-security-policy-ipv6-2-tunnellocalin] quit

[DeviceB-security-policy-ipv6] quit

4. 验证配置

# 完成上述配置后,在Device A和Device B上分别执行display ipv6 interface命令,可以看出Tunnel0接口处于up状态。(具体显示信息略)

# 从Device A和Device B上可以Ping通对端的IPv4兼容IPv6地址。下面仅以Device A为例。

[DeviceA-Tunnel0] ping ipv6 ::192.168.50.1

Ping6(56 data bytes) ::192.168.100.1 --> ::192.168.50.1, press CTRL_C to break

56 bytes from ::192.168.50.1, icmp_seq=0 hlim=64 time=17.000 ms

56 bytes from ::192.168.50.1, icmp_seq=1 hlim=64 time=9.000 ms

56 bytes from ::192.168.50.1, icmp_seq=2 hlim=64 time=11.000 ms

56 bytes from ::192.168.50.1, icmp_seq=3 hlim=64 time=9.000 ms

56 bytes from ::192.168.50.1, icmp_seq=4 hlim=64 time=11.000 ms

 

--- Ping6 statistics for ::192.168.50.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 9.000/11.400/17.000/2.939 ms

2.5  配置6to4隧道

2.5.1  配置限制和指导

·     6to4隧道不需要配置隧道的目的端地址,因为隧道的目的端地址可以通过6to4 IPv6地址中嵌入的IPv4地址自动获得。

·     对于自动隧道,隧道模式相同的Tunnel接口建议不要同时配置完全相同的源端地址。

·     如果封装前IPv6报文的目的IPv6地址与Tunnel接口的IPv6地址不在同一个网段,则必须配置通过Tunnel接口到达目的IPv6地址的转发路由,以便需要进行封装的报文能正常转发。对于自动隧道,用户只能配置静态路由,指定到达目的IPv6地址的路由出接口为本端Tunnel接口或下一跳为对端Tunnel接口地址,不支持动态路由。在隧道的两端都要进行转发路由的配置,配置的详细情况请参见“三层技术-IP路由配置指导”中的“IPv6静态路由”。

2.5.2  配置步骤

(1)     进入系统视图。

system-view

(2)     进入模式为6to4隧道的Tunnel接口视图。

interface tunnel number [ mode ipv6-ipv4 6to4 ]

(3)     设置Tunnel接口的IPv6地址。

详细配置方法,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

(4)     设置隧道的源端地址或源接口。

source { ipv4-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后隧道报文的源IP地址。

(5)     (可选)设置封装后隧道报文的DF(Don’t Fragment,不分片)标志。

tunnel dfbit enable

缺省情况下,未设置隧道报文的不分片标志,即转发隧道报文时允许分片。

2.5.3  6to4隧道典型配置举例

1. 组网需求

图2-8所示,两个6to4网络通过网络边缘6to4设备(Device A和Device B)与IPv4网络相连。在Device A和Device B之间建立6to4隧道,实现6to4网络中的主机Host A和Host B之间的互通。

2. 组网图

图2-8 6to4隧道组网图

3. 配置思路

为了实现6to4网络之间的互通,除了配置6to4隧道外,还需要为6to4网络内的主机及6to4设备配置6to4地址。

·     Device A上接口GigabitEthernet1/0/2的IPv4地址为2.1.1.1/24,转换成6to4地址后的前缀为2002:0201:0101::/48,Host A的地址必须使用该前缀。

·     Device B上接口GigabitEthernet1/0/2的IPv4地址为5.1.1.1/24,转换成6to4地址后的前缀为2002:0501:0101::/48,Host B的地址必须使用该前缀。

4. 配置步骤

(1)     配置Device A

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceA> system-view

[DeviceA] interface GigabitEthernet1/0/1

[DeviceA-GigabitEthernet1/0/1] ipv6 address 2002:0201:0101:1::1/64

[DeviceA-GigabitEthernet1/0/1] quit

[DeviceA] interface GigabitEthernet1/0/2

[DeviceA-GigabitEthernet1/0/2] ip address 2.1.1.1 255.255.255.0

[DeviceA-GigabitEthernet1/0/2] quit

# 创建模式为6to4隧道的接口Tunnel0。

[DeviceA] interface tunnel 0 mode ipv6-ipv4 6to4

[DeviceA-Tunnel0] ipv6 address 3001::1/64

[DeviceA-Tunnel0] source gigabitethernet 1/0/2

[DeviceA-Tunnel0] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device B的下一跳IP地址为2.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceA] ip route-static 5.1.1.1 24 2.1.1.2

[DeviceA] ipv6 route-static 2002:0501:: 32 tunnel 0

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 0

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name Trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalout

[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 2.1.1.1

[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 5.1.1.1

[DeviceA-security-policy-ip-1-tunnellocalout] action pass

[DeviceA-security-policy-ip-1-tunnellocalout] quit

[DeviceA-security-policy-ip] quit

# 配置名称为trust-untrust的安全策规则,使Host A可以向Host B发送报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name trust-untrust

[DeviceA-security-policy-ipv6-1-trust-untrust] source-zone trust

[DeviceA-security-policy-ipv6-1-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2002:0201:: 32

[DeviceA-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2002:0501:: 32

[DeviceA-security-policy-ipv6-1-trust-untrust] action pass

[DeviceA-security-policy-ipv6-1-trust-untrust] quit

[DeviceA-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalin

[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 5.1.1.1

[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 2.1.1.1

[DeviceA-security-policy-ip-2-tunnellocalin] action pass

[DeviceA-security-policy-ip-2-tunnellocalin] quit

[DeviceA-security-policy-ip] quit

# 配置名称为untrust-trust的安全策略规则,使Host A可以接收和处理来自Host B的报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name untrust-trust

[DeviceA-security-policy-ipv6-2-untrust-trust] source-zone untrust

[DeviceA-security-policy-ipv6-2-untrust-trust] destination-zone trust

[DeviceA-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2002:0501:: 32

[DeviceA-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2002:0201:: 32

[DeviceA-security-policy-ipv-2-untrust-trust] action pass

[DeviceA-security-policy-ipv6-2-untrust-trust] quit

[DeviceA-security-policy-ipv6] quit

(2)     配置Device B

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceB> system-view

[DeviceB] interface GigabitEthernet1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 address 2002:0501:0101:1::1/64

[DeviceB-GigabitEthernet1/0/1] quit

[DeviceB] interface GigabitEthernet1/0/2

[DeviceB-GigabitEthernet1/0/2] ip address 5.5.5.1 255.255.255.0

[DeviceB-GigabitEthernet1/0/2] quit

# 创建模式为6to4隧道的接口Tunnel0。

[DeviceB] interface tunnel 0 mode ipv6-ipv4 6to4

[DeviceB-Tunnel0] ipv6 address 3002::1/64

[DeviceB-Tunnel0] source gigabitethernet 1/0/2

[DeviceB-Tunnel0] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device A的下一跳IP地址为5.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceB] ip route-static 2.1.1.1 24 5.1.1.2

[DeviceB] ipv6 route-static 2002:0201:: 32 tunnel 0

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 0

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name Trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalout

[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 5.1.1.1

[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 2.1.1.1

[DeviceB-security-policy-ip-1-tunnellocalout] action pass

[DeviceB-security-policy-ip-1-tunnellocalout] quit

[DeviceB-security-policy-ip] quit

# 配置名称为trust-untrust的安全策规则,使Host B可以向Host A发送报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name trust-untrust

[DeviceB-security-policy-ipv6-1-trust-untrust] source-zone trust

[DeviceB-security-policy-ipv6-1-trust-untrust] destination-zone untrust

[DeviceB-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2002:0501:: 32

[DeviceB-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2002:0201:: 32

[DeviceB-security-policy-ipv6-1-trust-untrust] action pass

[DeviceB-security-policy-ipv6-1-trust-untrust] quit

[DeviceB-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalin

[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 2.1.1.1

[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 5.1.1.1

[DeviceB-security-policy-ip-2-tunnellocalin] action pass

[DeviceB-security-policy-ip-2-tunnellocalin] quit

[DeviceB-security-policy-ip] quit

# 配置名称为tunnellocalin的安全策略规则,使Host B可以接收和处理来自Host A的报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalin

[DeviceB-security-policy-ipv6-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ipv6-2-tunnellocalin] source-ip-subnet 2002:0201:: 32

[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-ip-subnet 2005:0201:: 32

[DeviceB-security-policy-ipv6-2-tunnellocalin] action pass

[DeviceB-security-policy-ipv6-2-tunnellocalin] quit

[DeviceB-security-policy-ipv6] quit

5. 验证配置

# 完成以上配置之后,安装Linux系统的Host A与Host B可以互相Ping通。

D:\>ping6 -s 2002:201:101:1::2 2002:501:101:1::2

 

Pinging 2002:501:101:1::2

from 2002:201:101:1::2 with 32 bytes of data:

 

Reply from 2002:501:101:1::2: bytes=32 time=13ms

Reply from 2002:501:101:1::2: bytes=32 time=1ms

Reply from 2002:501:101:1::2: bytes=32 time=1ms

Reply from 2002:501:101:1::2: bytes=32 time<1ms

 

Ping statistics for 2002:501:101:1::2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 13ms, Average = 3ms

2.5.4  6to4中继典型配置举例

1. 组网需求

图2-9所示,Device A为6to4设备,其IPv6侧的网络使用6to4地址。Device B作为6to4中继设备,它和IPv6网络(2001::/16)相连。要求在Device A和Device B之间配置6to4隧道,使得6to4网络中的主机与IPv6网络中的主机互通。

2. 组网图

图2-9 6to4中继组网图

3. 配置思路

6to4中继设备的配置与6to4设备的配置相同,但为实现6to4网络与IPv6网络的互通,需要在6to4设备上配置到IPv6网络的路由,下一跳指向6to4中继设备的6to4地址。6to4中继设备上接口GigabitEthernet1/0/2的IPv4地址为6.1.1.1/24,转换成6to4地址后的前缀为2002:0601:0101::/48,6to4设备上配置的到IPv6网络的路由下一跳可以是符合该前缀的任意一个地址。

4. 配置步骤

(1)     配置Device A

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceA> system-view

[DeviceA] interface GigabitEthernet1/0/1

[DeviceA-GigabitEthernet1/0/1] ipv6 address 2002:0201:0101:1::1/64

[DeviceA-GigabitEthernet1/0/1] quit

[DeviceA] interface GigabitEthernet1/0/2

[DeviceA-GigabitEthernet1/0/2] ip address 2.1.1.1 255.255.255.0

[DeviceA-GigabitEthernet1/0/2] quit

# 创建模式为6to4隧道的接口Tunnel0。

[DeviceA] interface tunnel 0 mode ipv6-ipv4 6to4

[DeviceA-Tunnel0] ipv6 address 2002::1/64

[DeviceA-Tunnel0] source gigabitethernet 1/0/2

[DeviceA-Tunnel0] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device B的下一跳IP地址为2.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceA] ip route-static 6.1.1.1 24 2.1.1.2

[DeviceA] ipv6 route-static 2002:0601:0101:: 64 tunnel 0

[DeviceA] ipv6 route-static :: 0 2002:0601:0101::1

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 0

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name Trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalout

[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 2.1.1.1

[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 6.1.1.1

[DeviceA-security-policy-ip-1-tunnellocalout] action pass

[DeviceA-security-policy-ip-1-tunnellocalout] quit

[DeviceA-security-policy-ip] quit

# 配置名称为trust-untrust的安全策规则,使Host A可以向Host B发送报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name trust-untrust

[DeviceA-security-policy-ipv6-1-trust-untrust] source-zone trust

[DeviceA-security-policy-ipv6-1-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2002:0201:0101:

1:: 64

[DeviceA-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:: 64

[DeviceA-security-policy-ipv6-1-trust-untrust] action pass

[DeviceA-security-policy-ipv6-1-trust-untrust] quit

[DeviceA-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalin

[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 6.1.1.1

[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 2.1.1.1

[DeviceA-security-policy-ip-2-tunnellocalin] action pass

[DeviceA-security-policy-ip-2-tunnellocalin] quit

[DeviceA-security-policy-ip] quit

# 配置名称为untrust-trust的安全策略规则,使Host A可以接收和处理来自Host B的报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name untrust-trust

[DeviceA-security-policy-ipv6-2-untrust-trust] source-zone untrust

[DeviceA-security-policy-ipv6-2-untrust-trust] destination-zone trust

[DeviceA-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2001:: 64

[DeviceA-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2002:0201:0101:

1:: 64

[DeviceA-security-policy-ipv-2-untrust-trust] action pass

[DeviceA-security-policy-ipv6-2-untrust-trust] quit

[DeviceA-security-policy-ipv6] quit

(2)     配置Device B

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceB> system-view

[DeviceB] interface GigabitEthernet1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 address 2001::1/64

[DeviceB-GigabitEthernet1/0/1] quit

[DeviceB] interface GigabitEthernet1/0/2

[DeviceB-GigabitEthernet1/0/2] ip address 6.1.1.1 255.255.255.0

[DeviceB-GigabitEthernet1/0/2] quit

# 创建模式为6to4隧道的接口Tunnel0。

[DeviceB] interface tunnel 0 mode ipv6-ipv4 6to4

[DeviceB-Tunnel0] ipv6 address 2003::1/64

[DeviceB-Tunnel0] source gigabitethernet 1/0/2

[DeviceB-Tunnel0] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device A的下一跳IP地址为6.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceB] ip route-static 2.1.1.1 24 6.1.1.2

[DeviceB] ipv6 route-static 2002:: 16 tunnel 0

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 0

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name Trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalout

[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 6.1.1.1

[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 2.1.1.1

[DeviceB-security-policy-ip-1-tunnellocalout] action pass

[DeviceB-security-policy-ip-1-tunnellocalout] quit

[DeviceB-security-policy-ip] quit

# 配置名称为trust-untrust的安全策规则,使Host B可以向Host A发送报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name trust-untrust

[DeviceB-security-policy-ipv6-1-trust-untrust] source-zone trust

[DeviceB-security-policy-ipv6-1-trust-untrust] destination-zone untrust

[DeviceB-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2001:: 64

[DeviceB-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2002:0201:0101:

1:: 64

[DeviceB-security-policy-ipv6-1-trust-untrust] action pass

[DeviceB-security-policy-ipv6-1-trust-untrust] quit

[DeviceB-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalin

[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 2.1.1.1

[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 6.1.1.1

[DeviceB-security-policy-ip-2-tunnellocalin] action pass

[DeviceB-security-policy-ip-2-tunnellocalin] quit

[DeviceB-security-policy-ip] quit

# 配置名称为untrust-trust的安全策略规则,使Host B可以接收和处理来自Host A的报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name untrust-trust

[DeviceB-security-policy-ipv6-2-untrust-trust] source-zone untrust

[DeviceB-security-policy-ipv6-2-untrust-trust] destination-zone trust

[DeviceB-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2002:0201:0101:

1:: 64

[DeviceB-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2001:: 64

[DeviceB-security-policy-ipv-2-untrust-trust] action pass

[DeviceB-security-policy-ipv6-2-untrust-trust] quit

[DeviceB-security-policy-ipv6] quit

5. 验证配置

# 完成以上配置之后,安装Linux系统的Host A与Host B可以互相Ping通。

D:\>ping6 -s 2002:201:101:1::2 2001::2

 

Pinging 2001::2

from 2002:201:101:1::2 with 32 bytes of data:

 

Reply from 2001::2: bytes=32 time=13ms

Reply from 2001::2: bytes=32 time=1ms

Reply from 2001::2: bytes=32 time=1ms

Reply from 2001::2: bytes=32 time<1ms

 

Ping statistics for 2001::2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 13ms, Average = 3ms

2.6  配置ISATAP隧道

2.6.1  配置限制和指导

·     ISATAP隧道不需要配置隧道的目的端地址,因为隧道的目的端地址可以通过ISATAP地址中嵌入的IPv4地址自动获得。

·     对于自动隧道,隧道模式相同的Tunnel接口建议不要同时配置完全相同的源端地址。

·     如果封装前IPv6报文的目的IPv6地址与Tunnel接口的IPv6地址不在同一个网段,则必须配置通过Tunnel接口到达目的IPv6地址的转发路由,以便需要进行封装的报文能正常转发。对于自动隧道,用户只能配置静态路由,指定到达目的IPv6地址的路由出接口为本端Tunnel接口或下一跳为对端Tunnel接口地址,不支持动态路由。在隧道的两端都要进行转发路由的配置,配置的详细情况请参见“三层技术-IP路由配置指导”中的“IPv6静态路由”。

2.6.2  配置步骤

(1)     进入系统视图。

system-view

(2)     进入模式为ISATAP隧道的Tunnel接口视图。

interface tunnel number [ mode ipv6-ipv4 isatap ]

(3)     设置Tunnel接口的IPv6地址。

详细配置方法,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

(4)     设置隧道的源端地址或源接口。

source { ipv4-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后隧道报文的源IP地址。

(5)     (可选)设置封装后隧道报文的DF(Don’t Fragment,不分片)标志。

tunnel dfbit enable

缺省情况下,未设置隧道报文的不分片标志,即转发隧道报文时允许分片。

2.6.3  ISATAP隧道典型配置举例

1. 组网需求

图2-10所示,IPv6网络和IPv4网络通过ISATAP设备相连,在IPv4网络侧分布着一些IPv6主机。要求将IPv4网络中的IPv6主机通过ISATAP隧道接入到IPv6网络。

2. 组网图

图2-10 ISATAP隧道组网图

3. 配置步骤

(1)     配置Device

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface GigabitEthernet1/0/1

[Device-GigabitEthernet1/0/1] ip address 1.1.1.1 8

[Device-GigabitEthernet1/0/1] quit

[Device] interface GigabitEthernet1/0/2

[Device-GigabitEthernet1/0/2] ipv6 address 3001::1/64

[Device-GigabitEthernet1/0/2] quit

# 创建模式为ISATAP隧道的接口Tunnel0。

[Device] interface tunnel 0 mode ipv6-ipv4 isatap

[Device-Tunnel0] ipv6 address 2001:: 64 eui-64

[Device-Tunnel0] source gigabitethernet 1/0/1

[Device-Tunnel0] undo ipv6 nd ra halt

[Device-Tunnel0] quit

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name Untrust

[Device-security-zone-Untrust] import interface Tunnel 0

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

[Device] security-zone name Trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/2

[Device-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device可以向ISATAP host发送报文,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name tunnellocalout

[Device-security-policy-ip-1-tunnellocalout] source-zone local

[Device-security-policy-ip-1-tunnellocalout] destination-zone untrust

[Device-security-policy-ip-1-tunnellocalout] source-ip-host 1.1.1.1

[Device-security-policy-ip-1-tunnellocalout] destination-ip-host 1.1.1.2

[Device-security-policy-ip-1-tunnellocalout] action pass

[Device-security-policy-ip-1-tunnellocalout] quit

[Device-security-policy-ip] quit

# 配置名称为trust-untrust的安全策规则,使IPv6 host可以向ISATAP host发送报文,具体配置步骤如下。

[Device] security-policy ipv6

[Device-security-policy-ipv6] rule name trust-untrust

[Device-security-policy-ipv6-1-trust-untrust] source-zone trust

[Device-security-policy-ipv6-1-trust-untrust] destination-zone untrust

[Device-security-policy-ipv6-1-trust-untrust] source-ip-subnet 3001:: 64

[Device-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:: 64

[Device-security-policy-ipv6-1-trust-untrust] action pass

[Device-security-policy-ipv6-1-trust-untrust] quit

[Device-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device可以接收和处理来自ISATAP host的报文,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name tunnellocalin

[Device-security-policy-ip-2-tunnellocalin] source-zone untrust

[Device-security-policy-ip-2-tunnellocalin] destination-zone local

[Device-security-policy-ip-2-tunnellocalin] source-ip-host 1.1.1.2

[Device-security-policy-ip-2-tunnellocalin] destination-ip-host 1.1.1.1

[Device-security-policy-ip-2-tunnellocalin] action pass

[Device-security-policy-ip-2-tunnellocalin] quit

[Device-security-policy-ip] quit

# 配置名称为untrust-trust的安全策略规则,使IPv6 host可以接收和处理来自ISATAP host的报文,具体配置步骤如下。

[Device] security-policy ipv6

[Device-security-policy-ipv6] rule name untrust-trust

[Device-security-policy-ipv6-2-untrust-trust] source-zone untrust

[Device-security-policy-ipv6-2-untrust-trust] destination-zone trust

[Device-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2001:: 64

[Device-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 3001:: 64

[Device-security-policy-ipv6-2-untrust-trust] action pass

[Device-security-policy-ipv6-2-untrust-trust] quit

[Device-security-policy-ipv6] quit

(2)     配置ISATAP主机

ISATAP主机上的具体配置与主机的操作系统有关,下面仅以Windows XP操作系统为例进行说明。

# 在主机上安装IPv6协议。

C:\>ipv6 install

# 在Windows XP上,ISATAP接口通常为接口2,查看这个ISATAP接口的信息。

C:\>ipv6 if 2

Interface 2: Automatic Tunneling Pseudo-Interface

  Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE}

  does not use Neighbor Discovery

  does not use Router Discovery

  routing preference 1

  EUI-64 embedded IPv4 address: 0.0.0.0

  router link-layer address: 0.0.0.0

    preferred link-local fe80::5efe:1.1.1.2, life infinite

  link MTU 1280 (true link MTU 65515)

  current hop limit 128

  reachable time 42500ms (base 30000ms)

  retransmission interval 1000ms

  DAD transmits 0

  default site prefix length 48

# 配置ISATAP设备的IPv4地址。

C:\>netsh interface ipv6 isatap set router 1.1.1.1

# 完成上述配置后,再来查看ISATAP接口的信息。

C:\>ipv6 if 2

Interface 2: Automatic Tunneling Pseudo-Interface

  Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE}

  does not use Neighbor Discovery

  uses Router Discovery

  routing preference 1

  EUI-64 embedded IPv4 address: 1.1.1.2

  router link-layer address: 1.1.1.1

    preferred global 2001::5efe:1.1.1.2, life 29d23h59m46s/6d23h59m46s (public)

    preferred link-local fe80::5efe:1.1.1.2, life infinite

  link MTU 1500 (true link MTU 65515)

  current hop limit 255

  reachable time 42500ms (base 30000ms)

  retransmission interval 1000ms

  DAD transmits 0

  default site prefix length 48

对比前后的接口信息,可以看到主机获取了2001::/64的前缀,自动生成全球单播地址2001::5efe:1.1.1.2,同时还有一行信息“uses Router Discovery”表明主机启用了路由器发现。

# 查看主机上的IPv6路由信息。

C:\>ipv6 rt

2001::/64 -> 2 pref 1if+8=9 life 29d23h59m43s (autoconf)

::/0 -> 2/fe80::5efe:1.1.1.1 pref 1if+256=257 life 29m43s (autoconf)

(3)     配置IPv6主机

# 配置一条到边界设备隧道的路由。

C:\>netsh interface ipv6 set route 2001::/64 5 3001::1

4. 验证配置

# 在ISATAP主机上Ping IPv6主机的地址,可以Ping通,表明ISATAP隧道已经成功建立,ISATAP主机可访问IPv6网络中的主机。

C:\>ping 3001::2

 

Pinging 3001::2 with 32 bytes of data:

 

Reply from 3001::2: time=1ms

Reply from 3001::2: time=1ms

Reply from 3001::2: time=1ms

Reply from 3001::2: time=1ms

 

Ping statistics for 3001::2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 1ms, Maximum = 1ms, Average = 1ms

2.7  配置6RD隧道

2.7.1  硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

F1000系列

型号

说明

F1000-X-G5系列

F1000-A-G5、F1000-C-G5、F1000-C-G5-LI、F1000-E-G5、F1000-H-G5、F1000-S-G5

不支持

F1000-X-G3系列

F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3

不支持

F1000-X-G2系列

F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2

支持

F1000-9X0-AI系列

F1000-9390-AI、F1000-9385-AI、F1000-9380-AI、F1000-9370-AI、F1000-9360-AI、F1000-9350-AI、F1000-9330-AI、F1000-9320-AI、F1000-9305-AI

不支持

F1000-9310-AI、F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI

支持

F1000-C83X0系列

F1000-C8395、F1000-C8390、F1000-C8385、F1000-C8380、F1000-C8370、F1000-C8360、F1000-C8350、F1000-C8330、F1000-C8310、F1000-C8305

不支持

F1000-C8320

支持

F1000-C81X0系列

F1000-C8180、F1000-C8170、F1000-C8160、F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110

支持

F1000-7X0-HI系列

F1000-770-HI、F1000-750-HI、F1000-740-HI、F1000-730-HI

不支持

F1000-720-HI、F1000-710-HI

支持

F1000-C-X系列

F1000-C-EI、F1000-C-HI

支持

F1000-C-XI、F1000-E-XI

不支持

F1000-V系列

F1000-E-VG、F1000-S-VG

支持

SecBlade IV

LSPM6FWD8、LSQM2FWDSC8

支持

 

F100系列

型号

说明

F100-X-G5系列

F100-A-G5、F100-E-G5、F100-C-G5-SI、F100-M-G5-EI

不支持

F100-C-G5、F100-C-G5-EI、F100-M-G5、F100-S-G5

支持

F100-X-G3系列

F100-A-G3、F100-C-G3、F100-E-G3、F100-M-G3、F100-S-G3

支持

F100-X-G2系列

F100-A-G2、F100-C-G2、F100-E-G2、F100-M-G2、F100-S-G2

支持

F100-WiNet系列

F100-A80-WiNet、F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet

支持

F100-A81-WiNet、F100-A91-WiNet

不支持

F100-C-A系列

F100-C-A6、F100-C-A5、F100-C-A3、F100-C-A2、F100-C-A1、F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W

不支持

F100-X-XI系列

F100-A-EI、F100-A-HI、F100-A-SI、F100-C-EI、F100-C-HI、F100-C-XI、F100-E-EI、F100-S-HI、F100-S-XI

支持

F100-A-XI

不支持

 

2.7.2  配置限制和指导

·     6RD隧道不需要配置隧道的目的端地址,因为隧道的目的端地址可以通过6RD地址中嵌入的IPv4地址自动获得。

·     对于自动隧道,隧道模式相同的Tunnel接口建议不要配置完全相同的源端地址。

·     如果封装前IPv6报文的目的IPv6地址与Tunnel接口的IPv6地址不在同一个网段,则必须配置通过Tunnel接口到达目的IPv6地址的转发路由,以便需要进行封装的报文能正常转发。

·     转发路由不支持动态路由。用户只能配置静态路由,指定到达目的IPv6地址的路由出接口为本端Tunnel接口或下一跳为对端Tunnel接口地址。配置的详细情况请参见“三层技术-IP路由配置指导”中的“IPv6静态路由”。

·     在隧道的两端都要进行转发路由的配置。

2.7.3  配置步骤

(1)     进入系统视图。

system-view

(2)     进入模式为6RD隧道的Tunnel接口视图。

interface tunnel number mode ipv6-ipv4 6rd

(3)     设置Tunnel接口的IPv6地址。

详细配置方法,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

(4)     设置隧道的源端地址或源接口。

source { ipv4-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后隧道报文的源IP地址。

(5)     配置6RD隧道的6RD前缀。

tunnel 6rd prefix ipv6-prefix/prefix-length

缺省情况下,未配置6RD隧道的6RD前缀。

(6)     (可选)配置6RD隧道的IPv4前缀长度和后缀长度。

tunnel 6rd ipv4 { prefix-length length | suffix-length length } *

缺省情况下,整个32位的隧道源接口的IPv4地址都用于构造6RD授权前缀。

(7)     (可选)设置6RD隧道的BR地址。

tunnel 6rd br ipv4-address

缺省情况下,未设置6RD隧道的BR地址。

(8)     (可选)设置封装后隧道报文的DF(Don’t Fragment,不分片)标志。

tunnel dfbit enable

缺省情况下,未设置隧道报文的不分片标志,即转发隧道报文时允许分片。

2.7.4  6RD隧道显示和维护

在任意视图下执行display命令可以显示隧道配置后的运行情况,通过查看显示信息验证配置的效果。

表2-1 6RD隧道显示和维护

操作

命令

显示6RD隧道接口的信息

display 6rd [ interface tunnel number ]

显示指定6RD授权前缀对应的隧道目的端地址

display 6rd destination prefix ipv6-prefix interface tunnel number

显示指定隧道目的端地址对应的6RD授权前缀

display 6rd prefix destination ipv4-address interface tunnel number

 

2.7.5  6RD隧道典型配置举例

1. 组网需求

图2-11所示,两个6RD网络通过Device A和Device B与IPv4网络相连。在Device A和Device B之间建立6RD隧道,实现6RD网络中的主机Host A和Host B之间的互通。

2. 组网图

图2-11 6RD隧道组网图

 

3. 配置思路

为了实现6RD网络之间的互通,除了配置6RD隧道外,还需要为6RD网络内的主机及Device A和Device B配置6RD地址。

·     配置6RD网络的6RD前缀为2001:B000::/32,IPv4前缀长度为16,IPv4后缀长度为8。

·     Device A上接口GigabitEthernet1/0/2的IPv4地址为10.1.1.1/16,IPv4前缀为10.1.0.0/16,IPv4后缀为0.0.0.1/8,将该IPv4地址转换成6RD地址后的前缀为2001:B000:100::/40,Host A的地址必须使用该前缀。

·     Device B上接口GigabitEthernet1/0/2的IPv4地址为10.1.2.1/16,IPv4前缀为10.1.0.0/16,IPv4后缀为0.0.0.1/8,将该IPv4地址转换成6RD地址后的前缀为2001:B000:200::/40,Host B的地址必须使用该前缀。

4. 配置步骤

说明

在开始下面的配置之前,请确保Device A和Device B之间IPv4报文路由可达。

 

(1)     配置Device A

# 配置接口GigabitEthernet1/0/2的地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 16

[DeviceA-GigabitEthernet1/0/2] quit

# 配置接口GigabitEthernet1/0/1的地址为6RD地址2001:B000:0100::1/40。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipv6 address 2001:b000:0100::1/40

[DeviceA-GigabitEthernet1/0/1] quit

# 创建模式为6RD隧道的接口Tunnel0。

[DeviceA] interface tunnel 0 mode ipv6-ipv4 6rd

# 配置Tunnel0接口的IPv6地址。

[DeviceA-Tunnel0] ipv6 address 3001::1/64

# 配置Tunnel0接口的源接口为GigabitEthernet1/0/2。

[DeviceA-Tunnel0] source gigabitethernet 1/0/2

# 配置Tunnel0接口的6RD前缀为2001:B000::/32。

[DeviceA-Tunnel0] tunnel 6rd prefix 2001:b000::/32

# 配置Tunnel0接口的IPv4前缀长度为16,后缀长度为8。

[DeviceA-Tunnel0] tunnel 6rd ipv4 prefix-len 16 suffix-len 8

[DeviceA-Tunnel0] quit

# 配置到目的地址2001:B000::/32,下一跳为Tunnel接口的静态路由。

[DeviceA] ipv6 route-static 2001:b000:: 32 tunnel 0

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 0

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name Trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalout

[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 10.1.1.1

[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 10.1.2.1

[DeviceA-security-policy-ip-1-tunnellocalout] action pass

[DeviceA-security-policy-ip-1-tunnellocalout] quit

[DeviceA-security-policy-ip] quit

# 配置名称为trust-untrust的安全策规则,使Host A可以向Host B发送报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name trust-untrust

[DeviceA-security-policy-ipv6-1-trust-untrust] source-zone trust

[DeviceA-security-policy-ipv6-1-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2001:B000::0100:: 40

[DeviceA-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:B000::0200:: 40

[DeviceA-security-policy-ipv6-1-trust-untrust] action pass

[DeviceA-security-policy-ipv6-1-trust-untrust] quit

[DeviceA-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalin

[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 10.1.2.1

[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 10.1.1.1

[DeviceA-security-policy-ip-2-tunnellocalin] action pass

[DeviceA-security-policy-ip-2-tunnellocalin] quit

[DeviceA-security-policy-ip] quit

# 配置名称为untrust-trust的安全策略规则,使Host A可以接收和处理来自Host B的报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name untrust-trust

[DeviceA-security-policy-ipv6-2-untrust-trust] source-zone untrust

[DeviceA-security-policy-ipv6-2-untrust-trust] destination-zone trust

[DeviceA-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2001:B000::0200:: 40

[DeviceA-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2001:B000::0100:: 40

[DeviceA-security-policy-ipv6-2-untrust-trust] action pass

[DeviceA-security-policy-ipv6-2-untrust-trust] quit

[DeviceA-security-policy-ipv6] quit

(2)     配置Device B

# 配置接口GigabitEthernet1/0/2的地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ip address 10.1.2.1 16

[DeviceB-GigabitEthernet1/0/2] quit

# 配置接口GigabitEthernet1/0/1的地址为6RD地址2001:B000:0200::1/40。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 address 2001:b000:0200::1/40

[DeviceB-GigabitEthernet1/0/1] quit

# 创建模式为6RD隧道的接口Tunnel0。

[DeviceB] interface tunnel 0 mode ipv6-ipv4 6rd

# 配置Tunnel0接口的IPv6地址。

[DeviceB-Tunnel0] ipv6 address 3002::1/64

# 配置Tunnel0接口的源接口为GigabitEthernet1/0/2。

[DeviceB-Tunnel0] source gigabitethernet 1/0/2

# 配置Tunnel0接口的6RD前缀为2001:B000::/32。

[DeviceB-Tunnel0] tunnel 6rd prefix 2001:b000::/32

# 配置Tunnel0接口的IPv4前缀长度为16,后缀长度为8。

[DeviceB-Tunnel0] tunnel 6rd ipv4 prefix-len 16 suffix-len 8

[DeviceB-Tunnel0] quit

# 配置到目的地址2001:B000::/32,下一跳为Tunnel接口的静态路由。

[DeviceB] ipv6 route-static 2001:b000:: 32 tunnel 0

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 0

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name Trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalout

[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 10.1.2.1

[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 10.1.1.1

[DeviceB-security-policy-ip-1-tunnellocalout] action pass

[DeviceB-security-policy-ip-1-tunnellocalout] quit

[DeviceB-security-policy-ip] quit

# 配置名称为trust-untrust的安全策规则,使Host B可以向Host A发送报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name trust-untrust

[DeviceB-security-policy-ipv6-1-trust-untrust] source-zone trust

[DeviceB-security-policy-ipv6-1-trust-untrust] destination-zone untrust

[DeviceB-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2001:B000::0200:: 40

[DeviceB-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:B000::0100:: 40

[DeviceB-security-policy-ipv6-1-trust-untrust] action pass

[DeviceB-security-policy-ipv6-1-trust-untrust] quit

[DeviceB-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalin

[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 10.1.1.1

[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 10.1.2.1

[DeviceB-security-policy-ip-2-tunnellocalin] action pass

[DeviceB-security-policy-ip-2-tunnellocalin] quit

[DeviceB-security-policy-ip] quit

# 配置名称为tunnellocalin的安全策略规则,使Host B可以接收和处理来自Host A的报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalin

[DeviceB-security-policy-ipv6-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ipv6-2-tunnellocalin] source-ip-subnet 2001:B000::0100:: 40

[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-ip-subnet 2001:B000::0200:: 40

[DeviceB-security-policy-ipv6-2-tunnellocalin] action pass

[DeviceB-security-policy-ipv6-2-tunnellocalin] quit

[DeviceB-security-policy-ipv6] quit

5. 验证配置

完成以上配置之后,Host A与Host B可以互相Ping通。

D:\>ping6 -s 2001:b000:0100::2 2001:b000:0200::2

 

Pinging 2001:B000:0200::2

from 2001:B000:0100::2 with 32 bytes of data:

 

Reply from 2001:B000:0200::2: bytes=32 time=13ms

Reply from 2001:B000:0200::2: bytes=32 time=1ms

Reply from 2001:B000:0200::2: bytes=32 time=1ms

Reply from 2001:B000:0200::2: bytes=32 time<1ms

 

Ping statistics for 2001:B000:0200::2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 13ms, Average = 3ms

2.7.6  6RD中继典型配置举例

1. 组网需求

图2-12所示,Device A为6RD CE,其IPv6侧的网络使用6RD地址。Device B作为6RD BR,它和一个非6RD网络的IPv6网络(2222::/16)相连。要求在Device A和Device B之间配置6RD隧道,使得6RD网络中的主机与非6RD网络中的主机互通。

2. 组网图

图2-12 6RD中继组网图

 

3. 配置思路

为了实现6RD网络中的主机与非6RD网络中的主机互通,除了配置6RD隧道外,还需要完成如下配置:

·     配置6RD网络的6RD前缀为2001:B000::/32,IPv4前缀长度为16,IPv4后缀长度为8。

·     Device A上接口GigabitEthernet1/0/2的IPv4地址为10.1.1.1/16,IPv4前缀为10.1.0.0/16,IPv4后缀为0.0.0.1/8,将该IPv4地址转换成6RD地址后的6RD授权前缀为2001:B000:100::/40,Host A的地址必须使用该前缀。

·     Device B的配置与Device A的配置相同,但为实现6RD网络与非6RD网络的互通,需要在Device A上配置到非6RD网络的路由,下一跳指向Device B的6RD地址。Device B上接口GigabitEthernet1/0/2的IPv4地址为10.1.4.1/16,转换成6RD地址后的6RD授权前缀为2001:B000:0400::/40,Device A上配置的到IPv6网络的路由下一跳可以是符合该前缀的任意一个地址。

4. 配置步骤

说明

在开始下面的配置之前,请确保Device A和Device B之间IPv4报文路由可达。

 

(1)     配置Device A

# 配置接口GigabitEthernet1/0/2的地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 16

[DeviceA-GigabitEthernet1/0/2] quit

# 配置接口GigabitEthernet1/0/1的地址为6RD地址2001:B000:0100::1/40。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipv6 address 2001:b000:0100::1/40

[DeviceA-GigabitEthernet1/0/1] quit

# 创建模式为6RD隧道的接口Tunnel0。

[DeviceA] interface tunnel 0 mode ipv6-ipv4 6rd

# 配置Tunnel0接口的IPv6地址。

[DeviceA-Tunnel0] ipv6 address 3001::1/64

# 配置Tunnel0接口的源接口为GigabitEthernet1/0/2。

[DeviceA-Tunnel0] source gigabitethernet 1/0/2

# 配置Tunnel0接口的6RD前缀为2001:B000::/32。

[DeviceA-Tunnel0] tunnel 6rd prefix 2001:b000::/32

# 配置Tunnel0接口的IPv4前缀长度为16,后缀长度为8。

[DeviceA-Tunnel0] tunnel 6rd ipv4 prefix-len 16 suffix-len 8

# 配置Tunnel0接口的BR地址为10.1.4.1。

[DeviceA-Tunnel0] tunnel 6rd br 10.1.4.1

[DeviceA-Tunnel0] quit

# 配置到非6RD网络的缺省路由,指定路由的下一跳地址为Device B的6RD地址。

[DeviceA] ipv6 route-static :: 0 2001:b000:0400::1

# 配置到目的地址2001:B000::/32的下一跳为Tunnel接口的静态路由。

[DeviceA] ipv6 route-static 2001:b000:: 32 tunnel 0

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 0

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name Trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalout

[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 10.1.1.1

[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 10.1.4.1

[DeviceA-security-policy-ip-1-tunnellocalout] action pass

[DeviceA-security-policy-ip-1-tunnellocalout] quit

[DeviceA-security-policy-ip] quit

# 配置名称为trust-untrust的安全策规则,使Host A可以向Host B发送报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name trust-untrust

[DeviceA-security-policy-ipv6-1-trust-untrust] source-zone trust

[DeviceA-security-policy-ipv6-1-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2001:B000::0100:: 40

[DeviceA-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2222:: 64

[DeviceA-security-policy-ipv6-1-trust-untrust] action pass

[DeviceA-security-policy-ipv6-1-trust-untrust] quit

[DeviceA-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalin

[DeviceA-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceA-security-policy-ip-2-tunnellocalin] source-ip-host 10.1.4.1

[DeviceA-security-policy-ip-2-tunnellocalin] destination-ip-host 10.1.1.1

[DeviceA-security-policy-ip-2-tunnellocalin] action pass

[DeviceA-security-policy-ip-2-tunnellocalin] quit

[DeviceA-security-policy-ip] quit

# 配置名称为untrust-trust的安全策略规则,使Host A可以接收和处理来自Host B的报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name untrust-trust

[DeviceA-security-policy-ipv6-2-untrust-trust] source-zone untrust

[DeviceA-security-policy-ipv6-2-untrust-trust] destination-zone trust

[DeviceA-security-policy-ipv6-2-untrust-trust] source-ip-subnet 2222:: 64

[DeviceA-security-policy-ipv6-2-untrust-trust] destination-ip-subnet 2001:B000::0100:: 40

[DeviceA-security-policy-ipv6-2-untrust-trust] action pass

[DeviceA-security-policy-ipv6-2-untrust-trust] quit

[DeviceA-security-policy-ipv6] quit

(2)     配置Device B

# 配置接口GigabitEthernet1/0/2的地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ip address 10.1.4.1 16

[DeviceB-GigabitEthernet1/0/2] quit

# 配置接口GigabitEthernet1/0/1的地址为2222::1/64。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 address 2222::1/64

[DeviceB-GigabitEthernet1/0/1] quit

# 创建模式为6RD隧道的接口Tunnel0。

[DeviceB] interface tunnel 0 mode ipv6-ipv4 6rd

# 配置Tunnel0接口的IPv6地址。

[DeviceB-Tunnel0] ipv6 address 3002::1/64

# 配置Tunnel0接口的源接口为GigabitEthernet1/0/2。

[DeviceB-Tunnel0] source gigabitethernet 1/0/2

# 配置Tunnel0接口的6RD前缀为2001:B000::/32。

[DeviceB-Tunnel0] tunnel 6rd prefix 2001:b000::/32

# 配置Tunnel0接口的IPv4前缀长度为16,后缀长度为8。

[DeviceB-Tunnel0] tunnel 6rd ipv4 prefix-len 16 suffix-len 8

[DeviceB-Tunnel0] quit

# 配置到目的地址2001:B000::/32的下一跳为Tunnel接口的静态路由。

[DeviceB] ipv6 route-static 2001:b000:: 32 tunnel 0

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 0

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name Trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalout

[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 10.1.4.1

[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 10.1.1.1

[DeviceB-security-policy-ip-1-tunnellocalout] action pass

[DeviceB-security-policy-ip-1-tunnellocalout] quit

[DeviceB-security-policy-ip] quit

# 配置名称为trust-untrust的安全策规则,使Host B可以向Host A发送报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name trust-untrust

[DeviceB-security-policy-ipv6-1-trust-untrust] source-zone trust

[DeviceB-security-policy-ipv6-1-trust-untrust] destination-zone untrust

[DeviceB-security-policy-ipv6-1-trust-untrust] source-ip-subnet 2222:: 64

[DeviceB-security-policy-ipv6-1-trust-untrust] destination-ip-subnet 2001:B000::0100:: 40

[DeviceB-security-policy-ipv6-1-trust-untrust] action pass

[DeviceB-security-policy-ipv6-1-trust-untrust] quit

[DeviceB-security-policy-ipv6] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalin

[DeviceB-security-policy-ip-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ip-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ip-2-tunnellocalin] source-ip-host 10.1.1.1

[DeviceB-security-policy-ip-2-tunnellocalin] destination-ip-host 10.1.4.1

[DeviceB-security-policy-ip-2-tunnellocalin] action pass

[DeviceB-security-policy-ip-2-tunnellocalin] quit

[DeviceB-security-policy-ip] quit

# 配置名称为tunnellocalin的安全策略规则,使Host B可以接收和处理来自Host A的报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalin

[DeviceB-security-policy-ipv6-2-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-zone local

[DeviceB-security-policy-ipv6-2-tunnellocalin] source-ip-subnet 2001:B000::0100:: 40

[DeviceB-security-policy-ipv6-2-tunnellocalin] destination-ip-subnet 2222:: 64

[DeviceB-security-policy-ipv6-2-tunnellocalin] action pass

[DeviceB-security-policy-ipv6-2-tunnellocalin] quit

[DeviceB-security-policy-ipv6] quit

5. 验证配置

完成以上配置之后,Host A与Host B可以互相Ping通。

D:\>ping6 -s 2001:b000:0100::2 2222::2

 

Pinging 2222::2

from 2001:B000:0100::2 with 32 bytes of data:

 

Reply from 2222::2: bytes=32 time=13ms

Reply from 2222::2: bytes=32 time=1ms

Reply from 2222::2: bytes=32 time=1ms

Reply from 2222::2: bytes=32 time<1ms

 

Ping statistics for 2222::2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 13ms, Average = 3ms

2.8  配置丢弃含有IPv4兼容IPv6地址的IPv6报文

1. 配置限制和指导

IPv4兼容IPv6自动隧道不支持配置丢弃含有IPv4兼容IPv6地址的IPv6报文。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置丢弃含有IPv4兼容IPv6地址的IPv6报文。

tunnel discard ipv4-compatible-packet

缺省情况下,不会丢弃含有IPv4兼容IPv6地址的IPv6报文。


3 IPv4 over IPv4隧道

3.1  IPv4 over IPv4 隧道简介

IPv4 over IPv4隧道(RFC 1853)是对IPv4报文进行封装,使得一个IPv4网络的报文能够在另一个IPv4网络中传输。例如,运行IPv4协议的两个子网位于不同的区域,并且这两个子网都使用私网地址时,可以通过建立IPv4 over IPv4隧道,实现两个子网的互联。

图3-1 IPv4 over IPv4隧道原理图

 

报文在隧道中传输经过封装与解封装两个过程,以图3-1为例说明这两个过程:

·     封装过程

Device A连接IPv4主机所在子网的接口收到IPv4报文后,首先交由IPv4协议栈处理。IPv4协议栈根据IPv4报文头中的目的地址判断该报文需要通过隧道进行转发,则将此报文发给Tunnel接口。

Tunnel接口收到此报文后,在IPv4报文外再封装一个IPv4报文头,封装的报文头中源IPv4地址为隧道的源端地址,目的IPv4地址为隧道的目的端地址。封装完成后将报文重新交给IPv4协议栈处理,IPv4协议栈根据添加的IPv4报文头查找路由表,转发报文。

·     解封装过程

解封装过程和封装过程相反。Device B从接口收到IPv4报文后,将其送到IPv4协议栈处理。IPv4协议栈检查接收到的IPv4报文头中的协议号。如果协议号为4(表示封装的报文为IPv4报文),则将此IPv4报文发送到隧道模块进行解封装处理。解封装之后的IPv4报文将重新被送到IPv4协议栈进行二次路由处理。

3.2  IPv4 over IPv4隧道配置限制和指导

·     在本端设备上为隧道指定的目的端地址,应该与在对端设备上为隧道指定的源端地址相同;在本端设备上为隧道指定的源端地址,应该与在对端设备上为隧道指定的目的端地址相同。

·     在同一台设备上,隧道模式相同的Tunnel接口建议不要同时配置完全相同的源端地址和目的端地址。

·     本端隧道接口的IPv4地址与隧道的目的端地址不能在同一个网段内。

·     如果封装前IPv4报文的目的IPv4地址与Tunnel接口的IPv4地址不在同一个网段,则必须配置通过Tunnel接口到达目的IPv4地址的转发路由,以便需要进行封装的报文能正常转发。用户可以配置静态路由,指定到达目的IPv4地址的路由出接口为本端Tunnel接口或下一跳为对端Tunnel接口地址。用户也可以配置动态路由,在Tunnel接口使能动态路由协议。在隧道的两端都要进行转发路由的配置,配置的详细情况请参见“三层技术-IP路由配置指导”中的“静态路由”或其他路由协议配置。

·     配置经过隧道接口的路由时,路由的目的地址不能与该隧道的目的端地址在同一个网段内。

3.3  配置IPv4 over IPv4隧道

(1)     进入系统视图。

system-view

(2)     进入模式为IPv4 over IPv4隧道的Tunnel接口视图。

interface tunnel number [ mode ipv4-ipv4 ]

(3)     设置Tunnel接口的IPv4地址。

ip address ip-address { mask | mask-length } [ sub ]

(4)     设置隧道的源端地址或源接口。

source { ipv4-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后隧道报文的源IP地址。

(5)     设置隧道的目的端地址。

destination ipv4-address

缺省情况下,未设置隧道的目的端地址。

隧道的目的端地址是对端接收报文的接口的地址,该地址将作为封装后隧道报文的目的地址。

(6)     (可选)设置封装后隧道报文的DF(Don’t Fragment,不分片)标志。

tunnel dfbit enable

缺省情况下,未设置隧道报文的不分片标志,即转发隧道报文时允许分片。

3.4  IPv4 over IPv4隧道典型配置举例

3.4.1  IPv4 over IPv4隧道基本组网配置举例

1. 组网需求

运行IP协议的两个子网Group 1和Group 2位于不同的区域,这两个子网都使用私网地址。通过在Device A和Device B之间建立IPv4 over IPv4隧道,实现两个子网的互联。

2. 组网图

图3-2 IPv4 over IPv4隧道组网图

3. 配置步骤

(1)     配置Device A

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip address 10.1.1.1 24

[DeviceA-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

# 创建模式为IPv4 over IPv4隧道的接口Tunnel1。

[DeviceA] interface tunnel 1 mode ipv4-ipv4

[DeviceA-Tunnel1] ip address 10.1.2.1 255.255.255.0

[DeviceA-Tunnel1] source 2.1.1.1

[DeviceA-Tunnel1] destination 3.1.1.1

[DeviceA-Tunnel1] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device B的下一跳IP地址为2.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceA] ip route-static 3.1.1.1 24 2.1.1.2

[DeviceA] ip route-static 10.1.3.0 24 tunnel 1

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 1

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name Trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name tunnellocalout

[DeviceA-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ip-1-tunnellocalout] source-ip-host 2.1.1.1

[DeviceA-security-policy-ip-1-tunnellocalout] destination-ip-host 3.1.1.1

[DeviceA-security-policy-ip-1-tunnellocalout] action pass

[DeviceA-security-policy-ip-1-tunnellocalout] quit

# 配置名称为trust-untrust的安全策规则,使Group 1网络可以向Group 2网络发送报文,具体配置步骤如下。

[DeviceA-security-policy-ip] rule name trust-untrust

[DeviceA-security-policy-ip-2-trust-untrust] source-zone trust

[DeviceA-security-policy-ip-2-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ip-2-trust-untrust] source-ip-subnet 10.1.1.0 24

[DeviceA-security-policy-ip-2-trust-untrust] destination-ip-subnet 10.1.3.0 24

[DeviceA-security-policy-ip-2-trust-untrust] action pass

[DeviceA-security-policy-ip-2-trust-untrust] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA-security-policy-ip] rule name tunnellocalin

[DeviceA-security-policy-ip-3-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ip-3-tunnellocalin] destination-zone local

[DeviceA-security-policy-ip-3-tunnellocalin] source-ip-host 3.1.1.1

[DeviceA-security-policy-ip-3-tunnellocalin] destination-ip-host 2.1.1.1

[DeviceA-security-policy-ip-3-tunnellocalin] action pass

[DeviceA-security-policy-ip-3-tunnellocalin] quit

# 配置名称为untrust-trust的安全策略规则,使Group 1网络可以接收和处理来自Group 2网络的报文,具体配置步骤如下。

[DeviceA-security-policy-ip] rule name untrust-trust

[DeviceA-security-policy-ip-4-untrust-trust] source-zone untrust

[DeviceA-security-policy-ip-4-untrust-trust] destination-zone trust

[DeviceA-security-policy-ip-4-untrust-trust] source-ip-subnet 10.1.3.0 24

[DeviceA-security-policy-ip-4-untrust-trust] destination-ip-subnet 10.1.1.0 24

[DeviceA-security-policy-ip-4-untrust-trust] action pass

[DeviceA-security-policy-ip-4-untrust-trust] quit

[DeviceA-security-policy-ip] quit

(2)     配置Device B

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceB> system-view

[DeviceB] interface GigabitEthernet1/0/1

[DeviceB-GigabitEthernet1/0/1] ip address 10.1.3.1 24

[DeviceB-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

# 创建模式为IPv4 over IPv4隧道的接口Tunnel2。

[DeviceB] interface tunnel 2 mode ipv4-ipv4

[DeviceB-Tunnel2] ip address 10.1.2.2 255.255.255.0

[DeviceB-Tunnel2] source 3.1.1.1

[DeviceB-Tunnel2] destination 2.1.1.1

[DeviceB-Tunnel2] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device A的下一跳IP地址为3.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceB] ip route-static 2.1.1.1 24 3.1.1.2

[DeviceB] ip route-static 10.1.1.0 24 tunnel 2

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 2

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name Trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name tunnellocalout

[DeviceB-security-policy-ip-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ip-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ip-1-tunnellocalout] source-ip-host 3.1.1.1

[DeviceB-security-policy-ip-1-tunnellocalout] destination-ip-host 2.1.1.1

[DeviceB-security-policy-ip-1-tunnellocalout] action pass

[DeviceB-security-policy-ip-1-tunnellocalout] quit

# 配置名称为trust-untrust的安全策规则,使Group 2可以向Group 1发送报文,具体配置步骤如下。

[DeviceB-security-policy-ip] rule name trust-untrust

[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust

[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust

[DeviceB-security-policy-ip-2-trust-untrust] source-ip-subnet 10.1.3.0 24

[DeviceB-security-policy-ip-2-trust-untrust] destination-ip-subnet 10.1.1.0 24

[DeviceB-security-policy-ip-2-trust-untrust] action pass

[DeviceB-security-policy-ip-2-trust-untrust] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB-security-policy-ip] rule name tunnellocalin

[DeviceB-security-policy-ip-3-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ip-3-tunnellocalin] destination-zone local

[DeviceB-security-policy-ip-3-tunnellocalin] source-ip-host 2.1.1.1

[DeviceB-security-policy-ip-3-tunnellocalin] destination-ip-host 3.1.1.1

[DeviceB-security-policy-ip-3-tunnellocalin] action pass

[DeviceB-security-policy-ip-3-tunnellocalin] quit

# 配置名称为tunnellocalin的安全策略规则,使Group 2可以接收和处理来自Group 1的报文,具体配置步骤如下。

[DeviceB-security-policy-ip] rule name tunnellocalin

[DeviceB-security-policy-ip-4-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ip-4-tunnellocalin] destination-zone local

[DeviceB-security-policy-ip-4-tunnellocalin] source-ip-subnet 10.1.1.0 24

[DeviceB-security-policy-ip-4-tunnellocalin] destination-ip-subnet 10.1.3.0 24

[DeviceB-security-policy-ip-4-tunnellocalin] action pass

[DeviceB-security-policy-ip-4-tunnellocalin] quit

[DeviceB-security-policy-ip] quit

4. 验证配置

# 完成上述配置后,在Device A和Device B上分别执行display interface tunnel命令,可以看出Tunnel接口处于up状态。(具体显示信息略)

# 从Device A和Device B上可以Ping通对端的GigabitEthernet1/0/1接口的IPv4地址。下面仅以Device A为例。

[DeviceA] ping -a 10.1.1.1 10.1.3.1

Ping 10.1.3.1 (10.1.3.1) from 10.1.1.1: 56 data bytes, press CTRL_C to break

56 bytes from 10.1.3.1: icmp_seq=0 ttl=255 time=2.000 ms

56 bytes from 10.1.3.1: icmp_seq=1 ttl=255 time=1.000 ms

56 bytes from 10.1.3.1: icmp_seq=2 ttl=255 time=0.000 ms

56 bytes from 10.1.3.1: icmp_seq=3 ttl=255 time=1.000 ms

56 bytes from 10.1.3.1: icmp_seq=4 ttl=255 time=1.000 ms

 

--- Ping statistics for 10.1.3.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.000/1.000/2.000/0.632 ms

 

 


4 IPv4 over IPv6隧道

4.1  IPv4 over IPv6隧道简介

4.1.1  IPv4 over IPv6隧道原理

随着IPv6网络的广泛部署,IPv6网络将逐渐取代IPv4网络,占据主导地位。尚未被IPv6网络取代的IPv4网络将形成孤岛,需要通过IPv6网络互通。IPv4 over IPv6隧道在IPv4报文上封装IPv6的报文头,通过隧道使IPv4报文穿越IPv6网络,从而实现通过IPv6网络连接隔离的IPv4网络孤岛。

图4-1 IPv4 over IPv6隧道原理图

 

IPv4报文在隧道中传输经过封装与解封装两个过程,以图4-1为例说明这两个过程:

·     封装过程

Device A连接IPv4网络的接口收到IPv4报文后,首先交由IPv4协议栈处理。IPv4协议栈根据IPv4报文头中的目的地址判断该报文需要通过隧道进行转发,则将此报文发给Tunnel接口。

Tunnel接口收到此报文后添加IPv6报文头,IPv6报文头中源IPv6地址为隧道的源端地址,目的IPv6地址为隧道的目的端地址。封装完成后将报文交给IPv6模块处理。IPv6协议模块根据IPv6报文头的目的地址重新确定如何转发此报文。

·     解封装过程

解封装过程和封装过程相反。从连接IPv6网络的接口接收到IPv6报文后,将其送到IPv6协议模块。IPv6协议模块检查IPv6报文封装的协议类型。若封装的协议为IPv4,则报文进入隧道处理模块进行解封装处理。解封装之后的IPv4报文被送往IPv4协议模块进行二次路由处理。

4.1.2  IPv4 over IPv6隧道模式

IPv4 over IPv6隧道分为IPv4 over IPv6手动隧道和DS-Lite隧道两种。

1. IPv4 over IPv6手动隧道

IPv4 over IPv6手动隧道需要手动配置隧道的源和目的IPv6地址,以便根据配置的地址在IPv4报文上封装IPv6报文头,使报文能通过隧道穿越IPv6网络。IPv4 over IPv6手动隧道是一种点到点的虚拟链路。

2. DS-Lite隧道

DS-Lite(Dual Stack Lite,轻量级双协议栈)技术综合了IPv4 over IPv6隧道技术和NAT(Network Address Translation,网络地址转换)技术,利用隧道技术实现通过IPv6网络连接隔离的IPv4网络,利用NAT技术实现不同的用户网络共享相同的IPv4地址空间,减缓IPv4地址的耗尽速度。

图4-2 DS-Lite组网图

 

图4-2所示,DS-Lite网络主要由几个部分组成:

·     DS-Lite隧道

DS-Lite隧道是B4设备和AFTR之间的IPv4 over IPv6隧道,用来实现IPv4报文跨越IPv6网络传输。

·     B4(Basic Bridging BroadBand,基本桥接宽带)设备

B4设备是位于用户网络侧、用来连接ISP(Internet Service Provider,互联网服务提供商)网络的设备,通常为用户网络的网关。B4设备作为DS-Lite隧道的一个端点,负责将用户网络的IPv4报文封装成IPv6报文发送给隧道的另一个端点,同时将从隧道接收到的IPv6报文解封装成IPv4报文发送给用户网络。

某些用户网络的主机也可以作为B4设备,直接连接到ISP网络,这样的主机称为DS-Lite主机。

·     AFTR(Address Family Transition Router,地址族转换路由器)

AFTR是ISP网络中的设备。AFTR同时作为DS-Lite隧道端点和NAT网关设备。

AFTR从DS-Lite隧道接收到B4设备发送的IPv6报文后,为该B4设备分配Tunnel ID,并记录B4设备的IPv6地址(报文中的源IPv6地址)与Tunnel ID的对应关系。AFTR对IPv6报文进行解封装,将解封装后的用户网络报文的源IPv4地址(私网地址)转换为公网地址,并将转换后的报文发送给目的IPv4主机。AFTR进行NAT转换时,同时记录NAT映射关系和Tunnel ID,以便实现不同B4设备连接的用户网络地址可以重叠。

AFTR接收到目的IPv4主机返回的应答报文后,将目的IPv4地址(公网地址)转换为对应的私网地址,并根据记录的Tunnel ID获取对应的B4设备的IPv6地址,作为封装后IPv6报文的目的地址。AFTR将NAT转换后的报文封装成IPv6报文通过隧道发送给B4设备。

提示

DS-Lite只支持用户网络内的IPv4主机主动访问公网上的IPv4主机;公网上的IPv4主机不能主动访问用户网络内的IPv4主机。

 

图4-3 DS-Lite报文转发流程

 

采用独立的网关设备作为B4设备时,报文转发过程中源和目的IP地址、源和目的端口号的变化如图4-3所示。报文转发过程的关键步骤为:

·     B4设备和AFTR对报文进行封装和解封装。

·     AFTR对IPv4报文进行NAT转换。

说明

图4-3所示为PAT模式的动态地址转换。使用静态地址转换时不同B4设备连接的用户网络地址不能重叠,因此DS-Lite隧道一般使用动态地址转换。有关NAT的详细介绍,请参见“NAT配置指导”中的“NAT”。

 

4.2  配置IPv4 over IPv6手动隧道

4.2.1  配置限制和指导

·     在本端设备上为隧道指定的目的端地址,应该与在对端设备上为隧道指定的源端地址相同;在本端设备上为隧道指定的源端地址,应该与在对端设备上为隧道指定的目的端地址相同。

·     在同一台设备上,隧道模式相同的Tunnel接口建议不要同时配置完全相同的源端地址和目的端地址。

·     如果封装前IPv4报文的目的IPv4地址与Tunnel接口的IPv4地址不在同一个网段,则必须配置通过Tunnel接口到达目的IPv4地址的转发路由,以便需要进行封装的报文能正常转发。用户可以配置静态路由,指定到达目的IPv4地址的路由出接口为本端Tunnel接口或下一跳为对端Tunnel接口地址。用户也可以配置动态路由,在Tunnel接口使能动态路由协议。在隧道的两端都要进行转发路由的配置,配置的详细情况请参见“三层技术-IP路由配置指导”中的“静态路由”或其他路由协议配置。

4.2.2  配置步骤

(1)     进入系统视图。

system-view

(2)     进入模式为IPv6隧道的Tunnel接口视图。

interface tunnel number [ mode ipv6 ]

(3)     设置Tunnel接口的IPv4地址。

ip address ip-address { mask | mask-length } [ sub ]

(4)     设置隧道的源端地址或源接口。

source { ipv6-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IPv6地址;如果设置的是隧道的源接口,则该接口下的最小地址将作为封装后隧道报文的源IPv6地址。

(5)     设置隧道的目的端地址。

destination ipv6-address

缺省情况下,未设置隧道的目的端地址。

隧道的目的端地址是对端接收报文的接口的地址,该地址将作为封装后隧道报文的目的IPv6地址。

4.2.3  IPv4 over IPv6手动隧道典型配置举例

1. 组网需求

两个IPv4网络分别通过Device A和Device B与IPv6网络连接。通过在Device A和Device B之间建立IPv4 over IPv6手动隧道,实现两个IPv4网络穿越IPv6网络互联。

2. 组网图

图4-4 IPv4 over IPv6手动隧道组网图

3. 配置步骤

(1)     配置Device A

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip address 30.1.1.1 24

[DeviceA-GigabitEthernet1/0/1] quit

[DeviceA] interface GigabitEthernet1/0/2

[DeviceA-GigabitEthernet1/0/2] ipv6 address 2001::1:1 64

[DeviceA-GigabitEthernet1/0/2] quit

# 创建模式为IPv6隧道的接口Tunnel1。

[DeviceA] interface tunnel 1 mode ipv6

[DeviceA-Tunnel1] ip address 30.1.2.1 255.255.255.0

[DeviceA-Tunnel1] source 2001::1:1

[DeviceA-Tunnel1] destination 2002::2:1

[DeviceA-Tunnel1] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device B的下一跳IP地址为2001::1:2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceA] ipv6 route-static 2002::2:1 64 2001::1:2

[DeviceA] ip route-static 30.1.3.0 24 tunnel 1

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 1

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name Trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name tunnellocalout

[DeviceA-security-policy-ipv6-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ipv6-1-tunnellocalout] source-ip-host 2001::1:1

[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2002::2:1

[DeviceA-security-policy-ipv6-1-tunnellocalout] action pass

[DeviceA-security-policy-ipv6-1-tunnellocalout] quit

[DeviceA-security-policy-ipv6] quit

# 配置名称为trust-untrust的安全策规则,使Network 1网络可以向Network 2网络发送报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name trust-untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust

[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-ip-subnet 30.1.1.0 24

[DeviceA-security-policy-ip-1-trust-untrust] destination-ip-subnet 30.1.3.0 24

[DeviceA-security-policy-ip-1-trust-untrust] action pass

[DeviceA-security-policy-ip-1-trust-untrust] quit

[DeviceA-security-policy-ip] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name tunnellocalin

[DeviceA-security-policy-ipv6-2-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-zone local

[DeviceA-security-policy-ipv6-2-tunnellocalin] source-ip-host 2002::2:1

[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-ip-host 2001::1:1

[DeviceA-security-policy-ipv6-2-tunnellocalin] action pass

[DeviceA-security-policy-ipv6-2-tunnellocalin] quit

[DeviceA-security-policy-ipv6] quit

# 配置名称为untrust-trust的安全策略规则,使Network 1网络可以接收和处理来自Network 2网络的报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name untrust-trust

[DeviceA-security-policy-ip-2-untrust-trust] source-zone untrust

[DeviceA-security-policy-ip-2-untrust-trust] destination-zone trust

[DeviceA-security-policy-ip-2-untrust-trust] source-ip-subnet 30.1.3.0 24

[DeviceA-security-policy-ip-2-untrust-trust] destination-ip-subnet 30.1.1.0 24

[DeviceA-security-policy-ip-2-untrust-trust] action pass

[DeviceA-security-policy-ip-2-untrust-trust] quit

[DeviceA-security-policy-ip] quit

(2)     配置Device B

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceB> system-view

[DeviceB] interface GigabitEthernet1/0/1

[DeviceB-GigabitEthernet1/0/1] ip address 30.1.3.1 24

[DeviceB-GigabitEthernet1/0/1] quit

[DeviceB] interface GigabitEthernet1/0/2

[DeviceB-GigabitEthernet1/0/2] ipv6 address 2002::2:1 64

[DeviceB-GigabitEthernet1/0/2] quit

# 创建模式为IPv6隧道的接口Tunnel2。

[DeviceB] interface tunnel 2 mode ipv6

[DeviceB-Tunnel2] ip address 30.1.2.2 255.255.255.0

[DeviceB-Tunnel2] source 2002::2:1

[DeviceB-Tunnel2] destination 2001::1:1

[DeviceB-Tunnel2] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device A的下一跳IP地址为2002::2:2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceB] ipv6 route-static 2001::1:1 64 2002::2:2

[DeviceB] ip route-static 30.1.1.0 24 tunnel 2

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 2

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name Trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalout

[DeviceB-security-policy-ipv6-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ipv6-1-tunnellocalout] source-ip-host 2002::2:1

[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2001::1:1

[DeviceB-security-policy-ipv6-1-tunnellocalout] action pass

[DeviceB-security-policy-ipv6-1-tunnellocalout] quit

[DeviceB-security-policy-ipv6] quit

# 配置名称为trust-untrust的安全策规则,使Network 2可以向Network 1发送报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name trust-untrust

[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust

[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust

[DeviceB-security-policy-ip-2-trust-untrust] source-ip-subnet 30.1.3.0 24

[DeviceB-security-policy-ip-2-trust-untrust] destination-ip-subnet 30.1.1.0 24

[DeviceB-security-policy-ip-2-trust-untrust] action pass

[DeviceB-security-policy-ip-2-trust-untrust] quit

[DeviceB-security-policy-ip] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalin

[DeviceB-security-policy-ipv6-3-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-zone local

[DeviceB-security-policy-ipv6-3-tunnellocalin] source-ip-host 2.1.1.1

[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-ip-host 3.1.1.1

[DeviceB-security-policy-ipv6-3-tunnellocalin] action pass

[DeviceB-security-policy-ipv6-3-tunnellocalin] quit

[DeviceB-security-policy-ipv6] quit

# 配置名称为untrust-trust的安全策略规则,使Network 2可以接收和处理来自Network 1的报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name untrust-trust

[DeviceB-security-policy-ip-4-untrust-trust] source-zone untrust

[DeviceB-security-policy-ip-4-untrust-trust] destination-zone trust

[DeviceB-security-policy-ip-4-untrust-trust] source-ip-subnet 30.1.1.0 24

[DeviceB-security-policy-ip-4-untrust-trust] destination-ip-subnet 30.1.3.0 24

[DeviceB-security-policy-ip-4-untrust-trust] action pass

[DeviceB-security-policy-ip-4-untrust-trust] quit

[DeviceB-security-policy-ip] quit

4. 验证配置

# 完成上述配置后,在Device A和Device B上分别执行display interface tunnel命令,可以看出Tunnel接口处于up状态。(具体显示信息略)

# 从Device A和Device B可以Ping通对端的GigabitEthernet1/0/1接口的IPv4地址。下面仅以Device A为例。

[DeviceA] ping -a 30.1.1.1 30.1.3.1

Ping 30.1.3.1 (30.1.3.1) from 30.1.1.1: 56 data bytes, press CTRL_C to break

56 bytes from 30.1.3.1: icmp_seq=0 ttl=255 time=3.000 ms

56 bytes from 30.1.3.1: icmp_seq=1 ttl=255 time=1.000 ms

56 bytes from 30.1.3.1: icmp_seq=2 ttl=255 time=0.000 ms

56 bytes from 30.1.3.1: icmp_seq=3 ttl=255 time=1.000 ms

56 bytes from 30.1.3.1: icmp_seq=4 ttl=255 time=1.000 ms

 

--- Ping statistics for 30.1.3.1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.000/1.200/3.000/0.980 ms

4.3  配置DS-Lite隧道

4.3.1  配置限制和指导

·     如果需要B4设备与AFTR端自动建立DS-Lite隧道,在B4设备上需正确配置DHCPv6客户端、静态域名解析或IPv6 DNS客户端(使用动态域名解析),以及destination dhcp-alloc命令。除此之外,还需在任意设备上完成DHCPv6服务器、IPv6 DNS服务器(在使用动态域名解析的情况下)的配置。关于DHCPv6服务器及客户端配置的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCPv6”;关于IPv6 DNS配置的详细介绍,请参见“三层技术-IP业务配置指导”中的“域名解析”。

·     在同一台设备上,隧道模式相同的Tunnel接口建议不要同时配置完全相同的源端地址。

·     在B4设备上为隧道指定的目的端地址,应该与在AFTR设备上为隧道指定的源端地址相同。

·     在AFTR端不能配置DS-Lite隧道的目的端地址。AFTR从隧道上接收到报文后,记录该报文的源IPv6地址(即B4设备的地址),将此地址作为隧道目的端的IPv6地址。

·     B4设备上的一个Tunnel接口只能和一个AFTR建立隧道连接;AFTR上的一个Tunnel接口可以和多个B4设备建立隧道连接。

·     在B4端,如果封装前IPv4报文的目的IPv4地址与Tunnel接口的IPv4地址不在同一个网段,则必须配置通过Tunnel接口到达目的IPv4地址的转发路由,以便需要进行封装的报文能正常转发。用户可以配置静态路由,指定到达目的IPv4地址的路由出接口为本端Tunnel接口或下一跳为对端Tunnel接口地址。用户也可以配置动态路由,在Tunnel接口使能动态路由协议。配置的详细情况请参见“三层技术-IP路由配置指导”中的“静态路由”或其他路由协议配置。

·     在AFTR端,不需要配置通过Tunnel接口到达目的IPv4地址的转发路由。

·     AFTR连接IPv4公网的接口上需要配置NAT。

4.3.2  配置DS-Lite隧道的B4设备

(1)     进入系统视图。

system-view

(2)     进入模式为IPv6隧道的Tunnel接口视图。

interface tunnel number [ mode ipv6 ]

(3)     设置Tunnel接口的IPv4地址。

ip address ip-address { mask | mask-length } [ sub ]

(4)     设置隧道的源端地址或源接口。

source { ipv6-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IPv6地址;如果设置的是隧道的源接口,则该接口下的最小地址将作为封装后隧道报文的源IPv6地址。

(5)     设置隧道的目的端地址。

destination { ipv6-address | dhcp-alloc interface-type interface-number }

缺省情况下,未设置隧道的目的端地址。

隧道的目的端地址是对端接收报文的接口的地址,该地址将作为封装后隧道报文的目的IPv6地址。

参数

说明

ipv6-address

该地址需要指定为AFTR的源端地址,即采用AFTR的源端地址作为隧道目的端地址

dhcp-alloc interface-type interface-number

指定接收DHCPv6报文的接口,通过动态获得AFTR端IPv6地址的方式自动建立DS-Lite隧道

4.3.3  配置DS-Lite隧道的AFTR端

(1)     进入系统视图。

system-view

(2)     进入模式为AFTR端DS-Lite隧道的Tunnel接口视图。

interface tunnel number [ mode ds-lite-aftr ]

(3)     设置Tunnel接口的IPv4地址。

ip address ip-address { mask | mask-length } [ sub ]

(4)     设置隧道的源端地址或源接口。

source { ipv6-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IPv6地址;如果设置的是隧道的源接口,则该接口下的最小地址将作为封装后隧道报文的源IPv6地址。

(5)     退回系统视图。

quit

(6)     进入AFTR连接IPv4公网的接口视图。

interface interface-type interface-number

(7)     开启接口的DS-Lite隧道功能。

ds-lite enable

缺省情况下,接口的DS-Lite隧道功能处于关闭状态。

只有开启该功能后,AFTR从IPv4公网接口接收到的IPv4报文才能够通过DS-Lite隧道正确地转发到B4设备。

(8)     在AFTR端显示已连接的B4设备的信息。

display ds-lite b4 information

4.3.4  DS-Lite隧道典型配置举例

1. 组网需求

运行IPv4协议的私网Private IPv4 network和公网IPv4 network通过IPv6网络相连。通过在B4设备(Device A)和AFTR(Device B)之间建立DS-Lite隧道,并在AFTR连接IPv4 network接口上配置NAT,实现IPv4私网主机穿越IPv6网络访问IPv4公网。

2. 组网图

图4-5 DS-Lite隧道组网图

3. 配置步骤

(1)     配置B4设备Device A

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip address 10.0.0.2 24

[DeviceA-GigabitEthernet1/0/1] quit

[DeviceA] interface GigabitEthernet1/0/2

[DeviceA-GigabitEthernet1/0/2] ipv6 address 1::1 64

[DeviceA-GigabitEthernet1/0/2] quit

# 创建模式为IPv6隧道的接口Tunnel1。

[DeviceA] interface tunnel 1 mode ipv6

[DeviceA-Tunnel1] ip address 30.1.2.1 255.255.255.0

[DeviceA-Tunnel1] source 1::1

[DeviceA-Tunnel1] destination 2::2

[DeviceA-Tunnel1] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device B的下一跳IP地址为1::2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceA] ipv6 route-static 2002::2:1 64 1::2

[DeviceA] ip route-static 20.1.1.0 24 tunnel 1

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 1

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name Trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name tunnellocalout

[DeviceA-security-policy-ipv6-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ipv6-1-tunnellocalout] source-ip-host 1::1

[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2::2

[DeviceA-security-policy-ipv6-1-tunnellocalout] action pass

[DeviceA-security-policy-ipv6-1-tunnellocalout] quit

[DeviceA-security-policy-ipv6] quit

# 配置名称为trust-untrust的安全策规则,使Host 1网络可以向Host 2网络发送报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name trust-untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust

[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-ip-subnet 10.0.0.0 24

[DeviceA-security-policy-ip-1-trust-untrust] destination-ip-subnet 20.1.1.0 24

[DeviceA-security-policy-ip-1-trust-untrust] action pass

[DeviceA-security-policy-ip-1-trust-untrust] quit

[DeviceA-security-policy-ip] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name tunnellocalin

[DeviceA-security-policy-ipv6-2-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-zone local

[DeviceA-security-policy-ipv6-2-tunnellocalin] source-ip-host 2::2

[DeviceA-security-policy-ipv6-2-tunnellocalin] destination-ip-host 1::1

[DeviceA-security-policy-ipv6-2-tunnellocalin] action pass

[DeviceA-security-policy-ipv6-2-tunnellocalin] quit

[DeviceA-security-policy-ipv6] quit

# 配置名称为untrust-trust的安全策略规则,使Host 1网络可以接收和处理来自Host 2网络的报文,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name untrust-trust

[DeviceA-security-policy-ip-2-untrust-trust] source-zone untrust

[DeviceA-security-policy-ip-2-untrust-trust] destination-zone trust

[DeviceA-security-policy-ip-2-untrust-trust] source-ip-subnet 20.1.1.0 24

[DeviceA-security-policy-ip-2-untrust-trust] destination-ip-subnet 10.0.0.0 24

[DeviceA-security-policy-ip-2-untrust-trust] action pass

[DeviceA-security-policy-ip-2-untrust-trust] quit

[DeviceA-security-policy-ip] quit

(2)     配置AFTR端Device B

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceB> system-view

[DeviceB] interface GigabitEthernet1/0/1

[DeviceB-GigabitEthernet1/0/1] ip address 20.1.1.1 24

[DeviceB-GigabitEthernet1/0/1] quit

[DeviceB] interface GigabitEthernet1/0/2

[DeviceB-GigabitEthernet1/0/2] ipv6 address 2::2 64

[DeviceB-GigabitEthernet1/0/2] quit

# 创建模式为AFTR端DS-Lite隧道的接口Tunnel2。

[DeviceB] interface tunnel 2 mode ds-lite-aftr

[DeviceB-Tunnel2] ip address 30.1.2.2 255.255.255.0

[DeviceB-Tunnel2] source gigabitethernet 1/0/2

[DeviceB-Tunnel2] quit

# 在接口GigabitEthernet1/0/1上开启DS-Lite隧道功能。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ds-lite enable

# 在接口GigabitEthernet1/0/1上配置NAT,使用接口GigabitEthernet1/0/1的IP地址作为转换后的IP地址。

[DeviceB-GigabitEthernet1/0/1] nat outbound

[DeviceB-GigabitEthernet1/0/1] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device A的下一跳IP地址为2::3,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceB] ipv6 route-static 1::1 64 2::3

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 2

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name Trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalout

[DeviceB-security-policy-ipv6-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ipv6-1-tunnellocalout] source-ip-host 2::2

[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-ip-host 1::1

[DeviceB-security-policy-ipv6-1-tunnellocalout] action pass

[DeviceB-security-policy-ipv6-1-tunnellocalout] quit

[DeviceB-security-policy-ipv6] quit

# 配置名称为trust-untrust的安全策规则,使Host 2可以向Host 1发送报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name trust-untrust

[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust

[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust

[DeviceB-security-policy-ip-2-trust-untrust] source-ip-subnet 20.1.1.0 24

[DeviceB-security-policy-ip-2-trust-untrust] destination-ip-subnet 10.0.0.0 24

[DeviceB-security-policy-ip-2-trust-untrust] action pass

[DeviceB-security-policy-ip-2-trust-untrust] quit

[DeviceB-security-policy-ip] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalin

[DeviceB-security-policy-ipv6-3-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-zone local

[DeviceB-security-policy-ipv6-3-tunnellocalin] source-ip-host 1::1

[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-ip-host 2::2

[DeviceB-security-policy-ipv6-3-tunnellocalin] action pass

[DeviceB-security-policy-ipv6-3-tunnellocalin] quit

[DeviceB-security-policy-ipv6] quit

# 配置名称为untrust-trust的安全策略规则,使Host B可以接收和处理来自Host A的报文,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name untrust-trust

[DeviceB-security-policy-ip-4-untrust-trust] source-zone untrust

[DeviceB-security-policy-ip-4-untrust-trust] destination-zone trust

[DeviceB-security-policy-ip-4-untrust-trust] source-ip-subnet 10.0.0.0 24

[DeviceB-security-policy-ip-4-untrust-trust] destination-ip-subnet 20.1.1.0 24

[DeviceB-security-policy-ip-4-untrust-trust] action pass

[DeviceB-security-policy-ip-4-untrust-trust] quit

[DeviceB-security-policy-ip] quit

(3)     配置IPv4 host A

配置IPv4 host A的地址为10.0.0.1,并在该主机上配置到达20.1.1.0/24网段的路由,路由下一跳为10.0.0.2。(具体配置过程略)

(4)     配置IPv4 host B

配置IPv4 host B的地址为20.1.1.2。(具体配置过程略)

4. 验证配置

# 完成上述配置后,在Device A和Device B上分别执行display interface tunnel命令,可以看出Tunnel接口处于up状态。(具体显示信息略)

# 从IPv4 host A上可以ping通IPv4 host B。

C:\> ping 20.1.1.2

Pinging 20.1.1.2 with 32 bytes of data:

Reply from 20.1.1.2: bytes=32 time=51ms TTL=255

Reply from 20.1.1.2: bytes=32 time=44ms TTL=255

Reply from 20.1.1.2: bytes=32 time=1ms TTL=255

Reply from 20.1.1.2: bytes=32 time=1ms TTL=255

Ping statistics for 20.1.1.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 1ms, Maximum = 51ms, Average = 24ms


5 IPv6 over IPv6隧道

5.1  IPv6 over IPv6隧道简介

IPv6 over IPv6隧道(RFC 2473)是对IPv6报文进行封装,使这些被封装的报文能够在另一个IPv6网络中传输,封装后的报文即IPv6隧道报文。例如,如果运行IPv6协议的两个子网的网络地址不希望泄露到IPv6网络中,则可以通过建立IPv6 over IPv6隧道,实现在两个子网的网络地址不被泄露的情况下,使两个子网互通。

图5-1 IPv6 over IPv6隧道原理图

 

IPv6报文在隧道中传输经过封装与解封装两个过程,以图5-1为例说明这两个过程:

·     封装过程

Device A连接网络A的接口收到IPv6报文后,首先交由IPv6协议模块处理。IPv6协议模块根据报文的目的IPv6地址判断该报文需要通过隧道进行转发,则将此报文发给Tunnel接口。

Tunnel接口收到此报文后,为IPv6报文再封装一个IPv6报文头,封装的IPv6报文头中源IPv6地址为隧道的源端地址,目的IPv6地址为隧道的目的端地址。封装完成后将报文交给IPv6模块处理。IPv6协议模块根据添加的IPv6报文头的目的地址重新确定如何转发此报文。

·     解封装过程

解封装过程和封装过程相反。从IPv6网络接口接收的报文被送到IPv6协议模块。IPv6协议模块检查IPv6报文封装的协议类型。若封装的协议为IPv6,则报文进入隧道处理模块进行解封装处理;解封装之后的报文被送往相应的协议模块进行二次路由处理。

5.2  IPv6 over IPv6隧道配置限制和指导

·     在本端设备上为隧道指定的目的端地址,应该与在对端设备上为隧道指定的源端地址相同;在本端设备上为隧道指定的源端地址,应该与在对端设备上为隧道指定的目的端地址相同。

·     在同一台设备上,隧道模式相同的Tunnel接口建议不要同时配置完全相同的源端地址和目的端地址。

·     本端隧道接口的IPv6地址与隧道的目的端地址不能在同一个网段内。

·     如果封装前IPv6报文的目的IPv6地址与Tunnel接口的IPv6地址不在同一个网段,则必须配置通过Tunnel接口到达目的IPv6地址的转发路由,以便需要进行封装的报文能正常转发。用户可以配置静态路由,指定到达目的IPv6地址的路由出接口为本端Tunnel接口或下一跳为对端Tunnel接口地址。用户也可以配置动态路由,在Tunnel接口使能动态路由协议。在隧道的两端都要进行转发路由的配置,配置的详细情况请参见“三层技术-IP路由配置指导”中的“IPv6静态路由”或其他路由协议配置。

·     配置经过隧道接口的路由时,路由的目的地址不能与该隧道的目的端地址在同一个网段内。

5.3  IPv6 over IPv6隧道配置任务简介

IPv6 over IPv6隧道配置任务如下:

(1)     配置IPv6 over IPv6隧道

(2)     (可选)配置丢弃含有IPv4兼容IPv6地址的IPv6报文

5.4  配置IPv6 over IPv6隧道

(1)     进入系统视图。

system-view

(2)     进入模式为IPv6隧道的Tunnel接口视图。

interface tunnel number [ mode ipv6 ]

(3)     设置Tunnel接口的IPv6地址。

详细配置方法,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

(4)     设置隧道的源端地址或源接口。

source { ipv6-address | interface-type interface-number }

缺省情况下,未设置隧道的源端地址和源接口。

如果设置的是隧道的源端地址,则该地址将作为封装后隧道报文的源IPv6地址;如果设置的是隧道的源接口,则该接口下的最小地址将作为封装后隧道报文的源IPv6地址。

(5)     设置隧道的目的端地址。

destination ipv6-address

缺省情况下,未设置隧道的目的端地址。

隧道的目的端地址是对端接收报文的接口的地址,该地址将作为封装后隧道报文的目的IPv6地址。

(6)     (可选)设置隧道允许的最大嵌套封装次数。

encapsulation-limit number

缺省情况下,不限制隧道的最大嵌套封装次数。

5.5  配置丢弃含有IPv4兼容IPv6地址的IPv6报文

(1)     进入系统视图。

system-view

(2)     配置丢弃含有IPv4兼容IPv6地址的IPv6报文。

tunnel discard ipv4-compatible-packet

缺省情况下,不会丢弃含有IPv4兼容IPv6地址的IPv6报文。

5.6  IPv6 over IPv6隧道典型配置举例

5.6.1  IPv6 over IPv6隧道基本组网配置举例

1. 组网需求

运行IPv6协议的两个子网Group 1和Group 2的网络地址不希望泄露到IPv6网络中。网络管理员通过在Device A和Device B之间建立IPv6 over IPv6隧道,实现在Group 1和Group 2的网络地址不被泄露的情况下,确保Group 1和Group 2互通。

2. 组网图

图5-2 IPv6 over IPv6隧道组网图

3. 配置步骤

(1)     配置Device A

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipv6 address 2002:1::1 64

[DeviceA-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

# 创建模式为IPv6隧道的接口Tunnel1。

[DeviceA] interface tunnel 1 mode ipv6

[DeviceA-Tunnel1] ipv6 address 3001::1:1 64

[DeviceA-Tunnel1] source 2001::11:1

[DeviceA-Tunnel1] destination 2002::22:1

[DeviceA-Tunnel1] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device B的下一跳IP地址为2001::11:2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceA] ipv6 route-static 2002::22:1 64 2001::11:2

[DeviceA] ipv6 route-static 2002:3:: 64 tunnel 1

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 1

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name Trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策规则,使Device A可以向Device B发送报文,具体配置步骤如下。

[DeviceA] security-policy ipv6

[DeviceA-security-policy-ipv6] rule name tunnellocalout

[DeviceA-security-policy-ipv6-1-tunnellocalout] source-zone local

[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-zone untrust

[DeviceA-security-policy-ipv6-1-tunnellocalout] source-ip-host 2001::11:1

[DeviceA-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2002::22:1

[DeviceA-security-policy-ipv6-1-tunnellocalout] action pass

[DeviceA-security-policy-ipv6-1-tunnellocalout] quit

# 配置名称为trust-untrust的安全策规则,使Network 1网络可以向Network 2网络发送报文,具体配置步骤如下。

[DeviceA-security-policy-ipv6] rule name trust-untrust

[DeviceA-security-policy-ipv6-2-trust-untrust] source-zone trust

[DeviceA-security-policy-ipv6-2-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ipv6-2-trust-untrust] source-ip-subnet 2002:1::1 64

[DeviceA-security-policy-ipv6-2-trust-untrust] destination-ip-subnet 2002:3::1 64

[DeviceA-security-policy-ipv6-2-trust-untrust] action pass

[DeviceA-security-policy-ipv6-2-trust-untrust] quit

# 配置名称为tunnellocalin的安全策略规则,使Device A可以接收和处理来自Device B的报文,具体配置步骤如下。

[DeviceA-security-policy-ipv6] rule name tunnellocalin

[DeviceA-security-policy-ipv6-3-tunnellocalin] source-zone untrust

[DeviceA-security-policy-ipv6-3-tunnellocalin] destination-zone local

[DeviceA-security-policy-ipv6-3-tunnellocalin] source-ip-host 2002::22:1

[DeviceA-security-policy-ipv6-3-tunnellocalin] destination-ip-host 2001::11:1

[DeviceA-security-policy-ipv6-3-tunnellocalin] action pass

[DeviceA-security-policy-ipv6-3-tunnellocalin] quit

# 配置名称为untrust-trust的安全策略规则,使Network 1网络可以接收和处理来自Network 2网络的报文,具体配置步骤如下。

[DeviceA-security-policy-ipv6] rule name untrust-trust

[DeviceA-security-policy-ipv6-4-untrust-trust] source-zone untrust

[DeviceA-security-policy-ipv6-4-untrust-trust] destination-zone trust

[DeviceA-security-policy-ipv6-4-untrust-trust] source-ip-subnet 2002:3::1 64

[DeviceA-security-policy-ipv6-4-untrust-trust] destination-ip-subnet 2002:1::1 64

[DeviceA-security-policy-ipv6-4-untrust-trust] action pass

[DeviceA-security-policy-ipv6-4-untrust-trust] quit

[DeviceA-security-policy-ipv6] quit

(2)     配置Device B

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceB> system-view

[DeviceB] interface GigabitEthernet1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 address 2002:3::1 64

[DeviceB-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

# 创建模式为IPv6隧道的接口Tunnel2。

[DeviceB] interface tunnel 2 mode ipv6

[DeviceB-Tunnel2] ipv6 address 3001::1:2 64

[DeviceB-Tunnel2] source 2002::22:1

[DeviceB-Tunnel2] destination 2001::11:1

[DeviceB-Tunnel2] quit

# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Device A的下一跳IP地址为2002::22:2,实际使用中请以具体组网情况为准,具体配置步骤如下。本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

[DeviceB] ipv6 route-static 2001::1:1 64 2002::22:2

[DeviceB] ipv6 route-static 2002:1::1 64 tunnel 2

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 2

[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Untrust] quit

[DeviceB] security-zone name Trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] quit

# 配置名称为tunnellocalout的安全策略规则,使Device B可以向Device A发送报文,具体配置步骤如下。

[DeviceB] security-policy ipv6

[DeviceB-security-policy-ipv6] rule name tunnellocalout

[DeviceB-security-policy-ipv6-1-tunnellocalout] source-zone local

[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-zone untrust

[DeviceB-security-policy-ipv6-1-tunnellocalout] source-ip-host 2002::22:1

[DeviceB-security-policy-ipv6-1-tunnellocalout] destination-ip-host 2001::11:1

[DeviceB-security-policy-ipv6-1-tunnellocalout] action pass

[DeviceB-security-policy-ipv6-1-tunnellocalout] quit

# 配置名称为trust-untrust的安全策略规则,使Group 2可以向Group 1发送报文,具体配置步骤如下。

[DeviceB-security-policy-ipv6] rule name trust-untrust

[DeviceB-security-policy-ipv6-2-trust-untrust] source-zone trust

[DeviceB-security-policy-ipv6-2-trust-untrust] destination-zone untrust

[DeviceB-security-policy-ipv6-2-trust-untrust] source-ip-subnet 2002:3::1 64

[DeviceB-security-policy-ipv6-2-trust-untrust] destination-ip-subnet 2002:1::1 64

[DeviceB-security-policy-ipv6-2-trust-untrust] action pass

[DeviceB-security-policy-ipv6-2-trust-untrust] quit

# 配置名称为tunnellocalin的安全策略规则,使Device B可以接收和处理来自Device A的报文,具体配置步骤如下。

[DeviceB-security-policy-ipv6] rule name tunnellocalin

[DeviceB-security-policy-ipv6-3-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-zone local

[DeviceB-security-policy-ipv6-3-tunnellocalin] source-ip-host 2001::11:1

[DeviceB-security-policy-ipv6-3-tunnellocalin] destination-ip-host 2002::22:1

[DeviceB-security-policy-ipv6-3-tunnellocalin] action pass

[DeviceB-security-policy-ipv6-3-tunnellocalin] quit

# 配置名称为tunnellocalin的安全策略规则,使Group 2可以接收和处理来自Group 1的报文,具体配置步骤如下。

[DeviceB-security-policy-ipv6] rule name tunnellocalin

[DeviceB-security-policy-ipv6-4-tunnellocalin] source-zone untrust

[DeviceB-security-policy-ipv6-4-tunnellocalin] destination-zone local

[DeviceB-security-policy-ipv6-4-tunnellocalin] source-ip-subnet 2002:1::1 64

[DeviceB-security-policy-ipv6-4-tunnellocalin] destination-ip-subnet 2002:3::1 64

[DeviceB-security-policy-ipv6-4-tunnellocalin] action pass

[DeviceB-security-policy-ipv6-4-tunnellocalin] quit

[DeviceB-security-policy-ipv6] quit

4. 验证配置

# 完成上述配置后,在Device A和Device B上分别执行display ipv6 interface命令,可以看出Tunnel接口处于up状态。(具体显示信息略)

# 从Device A和Device B上可以Ping通对端的GigabitEthernet1/0/1接口的IPv6地址。下面仅以Device A为例。

[DeviceA] ping ipv6 -a 2002:1::1 2002:3::1

Ping6(56 data bytes) 2002:1::1 --> 2002:3::1, press CTRL_C to break

56 bytes from 2002:3::1, icmp_seq=0 hlim=64 time=9.000 ms

56 bytes from 2002:3::1, icmp_seq=1 hlim=64 time=1.000 ms

56 bytes from 2002:3::1, icmp_seq=2 hlim=64 time=0.000 ms

56 bytes from 2002:3::1, icmp_seq=3 hlim=64 time=0.000 ms

56 bytes from 2002:3::1, icmp_seq=4 hlim=64 time=0.000 ms

 

--- Ping6 statistics for 2002:3::1 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.000/2.000/9.000/3.521 ms

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们