• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

06-IPv6配置指导

目录

03-IPv6 隧道配置指导

本章节下载 03-IPv6 隧道配置指导  (284.85 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Operation_Manual/ACG1000_CG(F6610)-6W103/06/202009/1334710_30005_0.htm

03-IPv6 隧道配置指导


1 IPv6隧道

1.1  IPv6隧道简介

随着Internet的日益膨胀,现有的IPv4地址已经十分紧缺,虽然使用分配临时IPv4地址或NAT(Network Address Translator,网络地址转换)等技术,在一定程度上缓解了IPv4地址不足的状况,但也增加了地址解析和处理方面的开销,同时导致某些高层应用失效,而且仍然无法回避IPv4地址即将被分配殆尽这个问题。采用128位地址长度的IPv6协议,彻底解决了IPv4地址不足的难题,并且在地址容量、安全性、网络管理、移动性以及服务质量等方面有明显的改进,是下一代互联网络协议采用的核心标准之一。IPv6与IPv4不兼容,但它同所有的TCP/IP协议族中的其它协议兼容,即IPv6完全可以取代IPv4。

在IPv6成为主流协议之前,首先使用IPv6协议栈的网络希望能与当前仍被IPv4支撑着的Internet进行正常通信,因此必须开发出IPv4和IPv6互通技术以保证IPv4能够平稳过渡到IPv6。此外,互通技术应该对信息传递做到高效无缝。

目前解决过渡问题的基本技术主要有3种:双协议栈(RFC2893),隧道技术(RFC2893)和NAT-PT(RFC2766)。

隧道是一种封装技术,它利用一种网络协议来传输另一种网络协议,即利用一种网络传输协议,将其它协议产生的数据报文封装在它自己的报文中,然后在网络中传输。隧道(Tunnel)是一个虚拟的点对点的连接。在实际应用中仅支持点对点连接的虚拟接口为Tunnel接口。一个Tunnel提供了一条使封装的数据报文能够传输的通路,并且在一个Tunnel的两端可以分别对数据报文进行封装及解封装。隧道技术就是指包括数据封装、传输和解封装在内的全过程。

1.1.1  IPv6过渡隧道

早期的IPv6过渡隧道包括手动隧道、6to4隧道和ISATAP隧道,其隧道机制是将IPv6 数据报文前封装上IPv4 的报文头,通过隧道(Tunnel)使IPv6报文穿越IPv4网络,实现隔离的IPv6网络的互通。这种把IPv4网络当成链路层的IPv6隧道,又称为IPv6 over IPv4隧道。其原理如图1-1所示。

图1-1 IPv6 over IPv4隧道原理图

 

IPv6 over IPv4隧道对报文的处理过程如下:

·     IPv6网络中的设备发送IPv6报文,到达隧道的源端设备。

·     隧道的源端设备根据路由表判定该报文要通过隧道进行转发,将会在IPv6 报文前封装上IPv4的报文头,通过隧道的实际物理接口将报文转发出去。

·     封装报文通过隧道到达隧道目的端设备,目的端设备判断该封装报文的目的地是本设备后,将对报文进行解封装。

·     目的端设备根据解封装后的IPv6 报文的目的地址将报文进行转发;如果目的地就是本设备,则将IPv6报文转给上层协议处理。

1.1.2  手动隧道和自动隧道

IPv6 over IPv4隧道可以建立在主机-主机、主机-设备、设备-主机、设备-设备之间。

隧道的终点可能是IPv6报文的最终目的地,也可能需要进一步转发。

根据隧道终点的IPv4地址的获取方式不同,隧道分为“配置隧道”及“自动隧道”。配置隧道又称为手动隧道。

·     如果IPv6 over IPv4隧道的终点地址不能从IPv6报文的目的地址中自动获取,需要进行手工配置,这样的隧道即为“配置隧道”。

·     如果IPv6 over IPv4隧道的接口地址采用内嵌IPv4地址的特殊IPv6地址形式,即可以从IPv6报文的目的地址中自动获取隧道终点的IPv4地址,这样的隧道即为“自动隧道”。

在IPv6过渡隧道中,6to4隧道和ISATAP隧道都属于自动隧道。

1.1.3  IPv6手动隧道

手动隧道是点到点之间的链路,一条链路就是一个单独的隧道。主要用于边缘路由器-边缘路由器或主机-边缘路由器之间定期安全通信的稳定连接,可实现与远端IPv6网络的连接。

手动隧道的源地址和目的地址都需要手动配置。

1.1.4  6to4隧道

6to4隧道是点到多点的自动隧道,主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过在IPv6报文的目的地址中嵌入IPv4地址,来实现自动获取隧道终点的IPv4地址。

6to4隧道采用特殊的6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64,其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位全球唯一的IPv4 源地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:abcd:efgh之后的部分唯一标识了一个主机在6to4网络内的位置。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。

由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现利用IPv4网络完成IPv6网络的互连,克服了IPv4兼容IPv6自动隧道使用的局限性。

1.1.5  ISATAP隧道

随着IPv6技术的推广,现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP 隧道是点到点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。

使用ISATAP 隧道时,IPv6 报文的目的地址和隧道接口的IPv6 地址都要采用特殊的ISATAP 地址。ISATAP 地址格式为:Prefix(64bit):0:5EFE:ip-address。其中,64位的Prefix为任何合法的IPv6单播地址前缀,ip-address 为32位IPv4源地址,形式为a.b.c.d或者abcd:efgh,且该IPv4地址不要求全球唯一。通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。

ISATAP隧道主要用于在IPv4网络中IPv6路由器-IPv6路由器、IPv6主机-IPv6路由器的连接。

1.2  IPv6隧道配置

1.2.1  配置准备

给设备上的接口(如VLAN接口,Ethernet接口,Loopback接口等)配置IP地址,能够进行正常通讯。这些接口将作为Tunnel接口的源接口,以保证隧道目的地址路由可达。

1.2.2  隧道配置

表1-1 创建隧道及配置隧道参数

操作

命令

说明

进入系统视图

system-view

-

创建隧道并进入接口视图

interface tunnel tunnel-id mode ipv6ip {manual|6to4|isatap}

创建隧道时,必须同时指定隧道模式,且隧道创建后,其隧道模式不可更改

配置隧道源地址

tunnel source {ipv4-address|interface-name}

必选

如果源地址为接口地址,则选取该接口上的主IPv4地址作为隧道源地址

配置隧道目的地址

tunnel destination ipv4-address

对于手动隧道,该项必选

对于自动隧道,该项不可配

配置IPv6地址

ipv6 address ipv6-address/ipv6-prefix-len

对于手动隧道和6to4隧道,该项为可选

对于ISATAP隧道,该项必选

且IPv6地址格式为ISATAP地址格式

 

注意

对于6to4和ISATAP等自动隧道,两个隧道之间不能配置相同的源地址。

 

1.3  IPv6手动隧道配置举例

1. 组网需求

图1-2所示,两个IPv6网络分别通过Router A和ACG B与IPv4网络连接,ACG A与ACG B之间路由可达,要求在ACG A和ACG B之间建立IPv6手动隧道,使两个IPv6网络可以互通。

图1-2 IPv6手动隧道组网图

 

2. 配置步骤

(1)     配置ACG A。

#使能IPv6转发功能。

HostA# system-view

HostA(config)# ipv6 enable

#配置ge0口的IPv6地址。

HostA(config)# interface ge0

HostA(config-ge0)# ipv6 address 2003:7856::1/64

#配置ge1口的IPv4地址。

HostA(config)# interface ge1

HostA(config-ge1)# ip address 192.168.3.1/24

#配置IPv6手动隧道。

HostA(config)# interface tunnel 0 mode ipv6ip manual

HostA(config-tunnel0)# tunnel source 192.168.3.1

HostA(config-tunnel0)# tunnel destinal 192.168.5.1

#配置IPv6默认路由。

HostA(config)# ipv6 route ::/0 tunnel0

(2)     配置ACG B。

#使能IPv6转发功能。

HostA# system-view

HostA(config)# ipv6 enable

#配置ge0口的IPv6地址。

HostA(config)# interface ge0

HostA(config-ge0)# ipv6 address 3003:7856::1/64

#配置ge1口的IPv4地址。

HostA(config)# interface ge1

HostA(config-ge1)# ip address 192.168.5.1/24

#配置IPv6手动隧道。

HostA(config)# interface tunnel 0 mode ipv6ip manual

HostA(config-tunnel0)# tunnel source 192.168.5.1

HostA(config-tunnel0)# tunnel destinal 192.168.3.1

#配置IPv6默认路由。

HostA(config)# ipv6 route ::/0 tunnel0

(3)     配置主机。

配置Host A的IPv6地址为2003:7856::3/64,默认网关配置为Rouer A的ge0口的地址2003:7856::1。

配置Host B的IPv6地址为3003:7856::3/64,默认网关配置为RouerB的ge0口的地址3003:7856::1。

3. 验证配置

(1)     在ACG A上使用display tunnel命令来验证配置结果

hostA#display tunnel 0

tunnel mode: manual(ipv6)

tunnelsaddr: 192.168.3.1

tunneldaddr: 192.168.5.1

 

在HostA上ping 3003:7856::3 来验证。

hostA# ping6 3003:7856::3

PING 3003:7856::3 (3003:7856::3) 56 data bytes

seqttl     time(ms)

        1       128     1.178

        2       128     1.339

        3       128     1.053

        4       128     1.111

        5       128     1.170

 

--- 3003:7856::3 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4004ms

rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms

(2)     在ACG A上使用display tunnel命令来验证配置结果。

hostB#display tunnel 0

tunnel mode: manual(ipv6)

tunnelsaddr: 192.168.5.1

tunneldaddr: 192.168.3.1

 

在HostB上ping2003:7856::3 来验证。

hostA# ping6 2003:7856::3

PING 2003:7856::3 (3003:7856::3) 56 data bytes

seqttl     time(ms)

        1       128     1.178

        2       128     1.339

        3       128     1.053

        4       128     1.111

        5       128     1.170

 

--- 2003:7856::3 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4004ms

rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms

1.4  IPv6 6to4隧道配置举例

1. 组网需求

图1-3所示,两个IPv6网络分别通过ACG A和ACG B与IPv4网络连接,ACG A与ACG B之间路由可达,要求在ACG A和ACG B之间建立IPv6 6to4隧道,使两个IPv6网络可以互通。6to4网络之间的互通需要为6to4网络内的主机及6to4 router配置6to4地址。

·     ACG A上接口ge1的IPv4地址为2.1.1.1/24,转换成IPv6地址后使用6to4前缀2002:0201:0101::/64。所以ge0的IPv6地址使用2002:0201:0101::/64子网。

·     ACG B上接口ge1的IPv4地址为3.1.1.1/24,转换成IPv6地址后使用6to4前缀2002:0301:0101:: /64。所以ge0的IPv6地址使用2002:0301:0101::/64子网。

图1-3 6to4隧道组网图

 

2. 配置步骤

(1)     配置ACG A。

#使能IPv6转发功能。

HostA# system-view

HostA(config)# ipv6 enable

#配置ge1口的IPv4地址。

HostA(config)# interface ge1

HostA(config-ge1)# ip address 2.1.1.1/24

如果ACG A的2.1.1.1不能与ACG B的3.1.1.1互通,则还需要配置一条到达3.1.1.1的静态路由。此处略。

#配置ge0口的IPv6地址。

HostA(config)# interface ge0

HostA(config-ge0)# ipv6 address 2002:0201:0101::1/64

#配置6to4隧道。

HostA(config)# interface tunnel 0 mode ipv6ip 6to4

HostA(config-tunnel0)# tunnel source 2.1.1.1

#配置IPv6默认路由。

HostA(config)# ipv6 route ::/0 tunnel0

(2)     配置ACG B

# 使能IPv6转发功能。

HostA# system-view

HostA(config)# ipv6 enable

#配置ge1口的IPv4地址。

HostA(config)# interface ge1

HostA(config-ge1)# ip address 3.1.1.1/24

如果ACGB的3.1.1.1不能与ACGA的2.1.1.1互通,则还需要配置一条到达2.1.1.1的静态路由。此处略。

#配置ge0口的IPv6地址。

HostA(config)# interface ge0

HostA(config-ge0)# ipv6 address 2002:0301:0101::1/64

#配置IPv6手动隧道。

HostA(config)# interface tunnel 0 mode ipv6ip 6to4

HostA(config-tunnel0)# tunnel source 3.1.1.1

#配置IPv6默认路由。

HostA(config)# ipv6 route ::/0 tunnel0

(3)     配置主机

·     配置Host A的IPv6地址为2002:0201:0101::3/64,默认网关配置为Rouer A的ge0口的地址2002:0201:0101::1。

·     配置Host B的IPv6地址为2002:0301:0101::3/64,默认网关配置为Rouer B的ge0口的地址2002:0301:0101::1。

3. 验证配置

(1)     在ACG A上使用display tunnel命令来验证配置结果

hostA#display tunnel 0

tunnel mode: 6to4

tunnelsaddr: 2.1.1.1

(2)     在HostA上ping命令来验证配置结果。

hostA# ping6 2002:0301:0101::3

PING 2002:0301:0101::3 (2002:0301:0101::3) 56 data bytes

seqttl     time(ms)

        1       128     1.178

        2       128     1.339

        3       128     1.053

        4       128     1.111

        5       128     1.170

 

--- 2002:0301:0101::3 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4004ms

rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms

(3)     在ACG A上使用display tunnel命令来验证配置结果

hostB#display tunnel 0

tunnel mode: 6to4

tunnelsaddr: 3.1.1.1

 

在HostB上ping 2002:0201:0101::3来验证配置结果。

hostA# ping6 2002:0201:0101::3

PING 2002:0201:0101::3 (2002:0201:0101::3) 56 data bytes

seqttl     time(ms)

        1       128     1.178

        2       128     1.339

        3       128     1.053

        4       128     1.111

        5       128     1.170

 

--- 2002:0201:0101::3 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4004ms

rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms

1.5  IPv6 ISATAP隧道配置举例

1. 组网需求

图1-4所示,IPv6 网络和IPv4 网络通过ISATAP与ACG相连,要求将IPv4网络中的IPv6主机通过ISATAP隧道接入到IPv6网络。

图1-4 ISATAP隧道组网图

 

2. 配置步骤

(1)     配置ACGA。

#使能IPv6转发功能。

Host# system-view

Host(config)# ipv6 enable

#配置ge1口的IPv4地址。

Host(config)# interface ge0

Host(config-ge0)# ip address 3.1.1.1/24

#配置ge1口的IPv6地址(ISATAP格式)。

Host(config)# interface ge0

Host(config-ge1)# ip address 2001::5efe:0301:0101/64

#配置ge0口的IPv6地址。

Host(config)# interface ge0

Host(config-ge1)# ip address 2005:7788::1/64

#配置ISATAP隧道。

Host(config)# interface tunnel 0 mode ipv6ip isatap

Host(config-tunnel0)# tunnel source 3.1.1.1

#在ISATAP tunnel口上配置RA,并发布RA前缀2001::/64。

Host(config)# interface tunnel0

Host(config-tunnel0)# ipv6 nd prefix 2001::/64

Host(config-tunnel0)# ipv6 nd send-ra  (或者no ipv6 nd suppress-ra)

(2)     配置ISATAP主机。

ISATAP主机的具体配置与操作系统有关,下面以Win7为例。

先给主机配置好IP地址为3.1.1.3,然后在运行框中输入cmd,右键点击“以管理员权限运行”。然后在cmd中,输入以下命令使能ISATAP隧道:

netsh interface isatap set state enable

启用ISATAP隧道后,它会自动生成链路本地地址fe80::5efe:0301:0103。然后执行netsh interface isatap set router 3.1.1.1命令,设置默认路由器。

设置完默认路由器后,它会主动向路由器3.1.1.1发起RS请求,路由器收到ISATAP的RS请求后,会返回一个带有前缀信息2001::/64的RA,通过RA获得一个全局IPv6地址前缀和一个默认IPv6路由。ISATAP主机根据前缀信息会生成一个相应的全局地址2001::5efe:0301:0103,而ISATAP的默认路由出接口为ISATAP tunnel口,网关指向fe80::5efe:0301:0101,该地址就是路由器的ISATAP tunnel口的链路本地地址。

3. 验证配置

(1)     在ACG上使用display tunnel命令来验证配置结果

hostA#display tunnel 0

tunnel mode: isatap

tunnelsaddr: 3.1.1.1

 

(2)     在ISATAP主机上执行ping 2005:7788::3来验证配置结果。

hostA# ping6 2005:7788::3

PING 2005:7788::3 (2005:7788::3) 56 data bytes

seqttl     time(ms)

        1       128     1.178

        2       128     1.339

        3       128     1.053

        4       128     1.111

        5       128     1.170

 

--- 2005:7788::3 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4004ms

rtt min/avg/max/mdev = 1.053/1.170/1.339/0.098 ms

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们