- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
21-信任等级配置
本章节下载: 21-信任等级配置 (406.02 KB)
目 录
信任等级是一种用于实现IPv6报文安全转发的网络技术。从安全可信的角度出发,网络管理员为不同安全要求的用户确定用户安全级别,并根据网络传输设备的性能和可靠性等因素确定网络传输设备的可信任等级,通过规划,使用信任等级技术来实现为不同安全级别的报文提供不同的转发路径,从而达到可信转发的目的。
如图1-1所示,信任网络采用Client/Server模式,其中每个网络传输设备都需要开启信任等级功能。信任网络架构中的设备包括终端和网络传输设备两大类。
信任网络中的终端指的是具有安全通信需求、IP地址中包含安全级别的设备,以下简称终端。网络管理员给该类型终端分配IP地址时,会在IP地址中使用三个比特位携带安全级别,用于标识该终端报文的可信任程度。
按照网络传输设备在传输网络中的位置,网络传输设备可以分为边界设备和非边界设备。
· 边界设备:位于信任网络边缘、和终端三层相连的网络传输设备。边界设备需要根据配置提取报文的安全级别。
· 非边界设备:除了边界设备之外的参与可信转发的网络传输设备。非边界设备无需提取报文的安全级别,只需按照路由正常转发报文即可。
按照网络传输设备在传输网络中的功能,网络传输设备可以分为服务器端和客户端。
· 服务器端(Server):信任网络中以服务器端模式运行的网络传输设备。Server是信任网络的配置中心,网络管理员需要在Server上配置信任策略和报文安全传输参数,Server通过SSL连接将信任策略和报文安全传输参数相关的配置下发给所有的Client。
服务器端可以部署为边界设备,也可以部署为非边界设备。同一台设备只能作为服务器端或者客户端。
一个信任网络中可以部署多个服务器端,客户端只和一个服务器端建立连接。多个服务器端上的信任等级模块的配置请保持一致,以免报文不能按照规划路径转发。
· 客户端(Client):信任网络中以客户端模式运行的网络传输设备。Client根据Server下发的配置,计算可信转发路径,完成报文的可信转发。
安全级别是终端生成的报文中携带的属性,用于标识该报文的可信任程度。网络传输设备将根据报文的安全级别对报文进行安全转发。
报文的安全级别分为0~7共8个等级,数值越大,表示安全级别越高,可信任程度越高。
信任等级是信任网络中网络传输设备的一个属性,用于标识该网络传输设备的可信任程度。网络传输设备的信任等级也分为0~7共8个等级,对应报文的8个安全级别,数值越大,表示安全级别越高,可信任程度越高。
网络传输设备只能转发安全级别小于等于其信任等级的报文。例如信任等级为5的网络传输设备,可转发安全级别为0~5的报文,不能转发安全级别为6和7的报文。
分界点是网络管理员在Server上配置,会下发给所有Client的一项参数,用于提取报文的安全级别,仅在边界设备上生效。
网络管理员需要在Server上配置8个分界点(分界点0~分界点7),这8个分界点分别用于提取报文的8个安全级别。分界点采用IPv6地址格式,分界点的生成方法如图1-2所示。分界点的前64位取值为0,下面以分界点1为例来说明后64位的生成方式:使用一个64位的二进制数(该数对应安全级别位为001,其它位为0),使用和终端相同的算法生成后64位密文,前64位0加上生成的后64位密文得到分界点1。
设备使用分界点按照以下规则来提取报文的安全级别:
· 如果收到的报文的源IPv6地址的后64位位于密文0~密文1的区间,则报文的安全级别为0;
· 如果收到的报文的源IPv6地址的后64位位于密文1~密文2的区间,则报文的安全级别为1;
· 以此类推,如果收到的报文的源IPv6地址的后64位位于密文7~密文0的区间,则报文的安全级别为7。
一个信任策略用来指定一台网络传输设备及其信任等级。网络管理员需要在Server上为Server和所有Client分别配置信任策略。
目前,信任等级和IS-IS协议协同生成可信转发拓扑。在信任策略中,使用IS-IS System ID唯一地标识一台网络传输设备。IS-IS System ID的详细介绍请参见“三层技术-IP路由配置指导”中的“IS-IS”。
Flex-Algo(Flexible Algorithm,灵活算法)是IS-IS用于计算路由拓扑的一种算法。IS-IS通常基于所有链路的开销值来计算到达目的地的最优路径,某些情况下,这种方式计算出来的路径无法反应用户的意图。Flex-Algo允许用户根据自己的需求自定义路径计算方法,从而灵活地控制路径的选择。Flex-Algo的详细介绍请参见“三层技术-IP路由配置指导”中的“IS-IS”。
对于IS-IS协议,Flex-Algo和信任等级结合可以使用指定算法将满足信任等级要求的网络传输设备组成一张路由拓扑。
对于信任等级功能,Flex-Algo是和报文安全级别绑定的一个参数,Flex-Algo和报文安全级别结合可以控制指定安全级别的报文通过对应的路由拓扑进行转发。
转发类是SRv6 TE Policy选择转发隧道的依据。SRv6 TE Policy CBTS(Class-based Tunnel Selection,基于服务类型的隧道选择)是一种SRv6 TE Policy隧道的选择方式。有别于传统的隧道选择方式,CBTS可以基于流量的转发类选择对应的隧道进行转发,以便为不同的业务提供不同的转发服务。
对于信任等级功能,转发类是一个报文安全传输参数。通过转发类,将SRv6 TE Policy和报文安全级别关联,可以控制指定安全级别的报文通过对应的SRv6隧道进行转发。
可信转发工作流程分为以下几个阶段:
(1) 规划网络,完成信任等级功能配置
(3) 终端生成可信任报文
(4) 边界设备提取报文安全级别
(5) 转发类和报文发送
现以图1-3所示组网为例,详细描述信任网络中报文的转发流程。
在进行信任转发前,需要网络管理员进行网络规划。需要规划的信息包括终端的安全级别、参与信任转发的网络传输设备及其信任等级、不同安全级别报文的转发路径、信任网络中的Server和Client等。
基于“原理概述”中的“信任等级工作原理示意图”,网络规划如表1-1和表1-2所示,在Server上完成这些参数的配置,并且Server和Client之间的SSL连接建立之后,Server会将这些参数下发给所有的Client,Server和所有Client将使用这些参数对业务报文进行可信转发。
表1-1 报文安全级别、Flex-Algo和转发类规划示例
|
终端 |
报文安全级别 |
Flex-Algo算法的标识符 |
转发类的值 |
|
Terminal 1 |
1 |
201 |
1 |
|
Terminal 2 |
2 |
202 |
2 |
|
Terminal 3 |
3 |
203 |
3 |
表1-2 设备的信任策略、IS-IS System ID、信任等级规划示例
|
信任策略的名称 |
IS-IS System ID |
信任等级的值 |
|
forDeviceA |
1680.1000.1001 |
7 |
|
forDeviceB |
1680.1000.1002 |
1 |
|
forDeviceC |
1680.1000.1003 |
3 |
|
forDeviceD |
1680.1000.1004 |
3 |
|
forDeviceE |
1680.1000.1005 |
7 |
(1) 网络传输设备根据本设备的信任等级,给邻居设备发布本设备支持的Flex-Algo算法,报文安全级别小于等于本设备信任等级的Flex-Algo算法均会被发布。
(2) 基于“原理概述”中的“信任等级工作原理示意图”,IS-IS协议根据IS-IS System ID和Flex-Algo计算路由拓扑,如图1-4所示。
¡ Device A和Device E的信任等级为7,发布Flex-Algo 201、202和203。
¡ Device B的信任等级为1,发布Flex-Algo 201。
¡ Device C和Device D的信任等级为3,发布Flex-Algo 201、202和203。
图1-4 根据Flex-Algo和信任等级计算出的路由拓扑示意图
终端生成业务报文时,会在源IPv6地址的后64位中选取3个比特位来表示报文的安全级别。终端将该源IPv6地址经过算法转换后,发送给边界设备(Device A)。
基于“原理概述”中的“信任等级工作原理示意图”:
· Terminal 1生成的报文的安全级别为1。
· Terminal 2生成的报文的安全级别为2。
· Terminal 3生成的报文的安全级别为3。
边界设备(Device A)收到终端发送的业务报文后,根据分界点配置提取报文的安全级别,并根据配置将安全级别和Flex-Algo、转发类进行绑定。
根据表1-3:
· 安全级别为1的报文,对应的Flex-Algo为201,转发类为1,使用Flex-Algo 201路由拓扑。
· 安全级别为2的报文,对应的Flex-Algo为202,转发类为2,使用Flex-Algo 202路由拓扑。
· 安全级别为3的报文,对应的Flex-Algo为203,转发类为3,使用Flex-Algo 203路由拓扑。
表1-3 报文安全级别、Flex-Algo和转发类规划示例
|
终端 |
报文安全级别 |
Flex-Algo算法的标识符 |
转发类的值 |
|
Terminal 1 |
1 |
201 |
1 |
|
Terminal 2 |
2 |
202 |
2 |
|
Terminal 3 |
3 |
203 |
3 |
边界设备(Device A)根据报文安全级别和转发类,找到对应的SRv6 TE Policy隧道,SRv6 TE Policy的候选路径在相应的Flex-Algo路由拓扑中计算得出。当Flex-Algo路由拓扑中存在多条物理链路时,通过SRv6 TE Policy的配置,让多条物理链路之间负载分担,或者严格优先选择一条物理路径,将业务报文发送给下一个网络传输设备。
以“根据Flex-Algo和信任等级计算出的路由拓扑示意图”为例,如果设备采用严格选择一条物理路径的方式,其SRv6 TE Policy隧道选路流程为:
· 安全级别为1的报文的转发类为1,对应SRv6 TE Policy A,SRv6 TE Policy A的候选路径在Flex-Algo 201路由拓扑中计算,候选路径为Device A->Device B->Device E。
· 安全级别为2的报文的转发类为2,对应SRv6 TE Policy B,SRv6 TE Policy B的候选路径在Flex-Algo 202路由拓扑中计算,候选路径为Device A->Device C->Device E。
· 安全级别为3的报文的转发类为3,对应SRv6 TE Policy C,SRv6 TE Policy C的候选路径在Flex-Algo 203路由拓扑中计算,候选路径为Device A->Device D->Device E。
所以,最终可以计算出报文的实际转发路径如图1-5所示。
对于非边界设备(Device B、Device C、Device D和Device E),只需根据SRv6隧道完成报文转发即可。
图1-5 根据转发类、SRv6 TE Policy进行严格优选计算出的报文实际转发拓扑示意图
本功能仅在下表所列单板上配置生效。
表1-4 单板信息一览表
|
单板类型 |
单板丝印 |
|
CEPC单板 |
CEPC-CQ8L、CEPC-CQ8LA、CEPC-CQ8L1A、CEPC-CQ8L3A、CEPC-CQ16L1、CEPC-DQ2L1-G |
|
CSPEX单板 |
CSPEX-1502XA、CSPEX-1802X、CSPEX-1802XA、CSPEX-1812X-E、CSPEX-2304X-G、CSPEX-2304X-LG、CSPEX-2612XA、CSPEX-2612X3A |
|
SPE单板 |
RX-SPE200-E |
关闭信任等级功能后,设备会自动将信任等级功能的所有配置恢复到缺省情况,请谨慎使用。
在配置信任等级前,客户端和服务器端都需要完成以下任务:
· 完成SSL的相关配置。如果SSL策略为空或者配置错误,会导致信任等级服务器端和客户端连接建立失败。
¡ 如果设备作为服务器端,需要配置SSL服务器端策略。
¡ 如果设备作为客户端,需要配置SSL客户端策略。
SSL的具体配置请参见“安全配置指导”中的“SSL”。
· 完成IS-IS相关配置。
包括IS-IS基本功能、IS-IS System ID、IS-IS Flex-Algo(IS-IS协议配置中的Flex-Algo必须包含信任等级功能中需要使用的Flex-Algo)等。具体配置请参见“三层技术-IP路由配置指导”中的“IS-IS”。
在信任网络中,设备只能作为服务器端或者客户端。如果当前已经处于客户端模式,需要先退出该模式,才能切换到服务器端模式。
退出服务器端模式,设备会自动将服务器端模式下的所有配置恢复到缺省情况,请谨慎使用。
信任等级服务器端配置任务如下:
(1) 开启信任等级服务器端功能
(2) 配置信任策略
(3) 配置报文安全传输参数
(4) 开启接口的信任等级功能
当服务器端部署在边界设备上时,该步骤必选。
(1) 进入系统视图。
system-view
(2) 进入trust-level视图,并开启信任等级功能。
trust-level
缺省情况下,信任等级功能处于关闭状态。
(3) 开启信任等级服务器端功能,并进入trust-level-server视图。
server enable
缺省情况下,信任等级服务器端功能处于关闭状态。
(4) 绑定服务器端使用的SSL策略。
bind ssl-server-policy ssl-server-policy-name
缺省情况下,未绑定服务器端使用的SSL策略。
(1) 进入系统视图。
system-view
(2) 进入trust-level视图。
trust-level
(3) 创建信任策略,并进入trust-level-policy视图。
policy policy-name
多次执行本命令,可以创建多个信任策略。管理员需要为每个参与信任转发的网络传输设备配置信任策略。
(4) 配置信任策略包含的IS-IS System ID。
isis-system-id system-id
缺省情况下,未配置信任策略对应的IS-IS SystemID。
在同一视图下,多次执行本命令,最新配置生效。
(5) 配置设备的信任等级。
trust level trust-level
缺省情况下,未配置信任策略的信任等级。
在同一视图下,多次执行本命令,最新配置生效。
(1) 进入系统视图。
system-view
(2) 开启信任等级功能,并进入trust-level视图。
trust-level
缺省情况下,信任等级功能处于关闭状态。
(3) 配置报文安全级别的分界点。
boundary origin-point k0 level-point k1 k2 k3 k4 k5 k6 k7
缺省情况下,未配置报文安全级别的分界点。
(4) 进入报文安全级别视图。
security-level sec-level
配置security-level命令前,必须先执行server enable命令开启信任等级服务器端功能,否则,security-level命令将执行失败。
(5) 将安全级别和Flex-Algo算法绑定。
flex-algo algorithm-id
缺省情况下,未将安全级别和Flex-Algo算法绑定。
(6) 将安全级别和SRv6 TE Policy转发类绑定。
service-class service-class-value
缺省情况下,未将安全级别和SRv6 TE Policy转发类绑定。
当服务器端部署在边界设备上时,需要在边界设备连接终端的接口上配置本功能。
开启接口的信任等级功能后,边界设备才会对收到的业务报文,根据分界点配置提取报文的安全级别,进行可信转发。非边界设备上无需配置本功能,非边界设备只需按照路由正常转发即可。
目前仅支持在三层以太网接口视图/三层以太网子接口视图、三层聚合接口视图/三层聚合子接口视图下开启接口的信任等级功能。
在三层以太网子接口和三层聚合子接口上开启本功能时,请确保接口上已配置普通VLAN终结方式(配置vlan-type dot1q vid命令或配置vlan-type dot1q vid second-dot1q命令),否则无法开启本功能。关于如何配置vlan-type dot1q vid命令和vlan-type dot1q vid second-dot1q命令,请参见“二层技术-以太网交换命令参考”中的“VLAN终结”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启接口的信任等级功能。
port trust-level enable
缺省情况下,接口的信任等级功能处于关闭状态。
在信任网络中,设备只能作为服务器端或者客户端。如果当前已经处于服务器端,需要先退出该模式,才能切换到客户端模式。
退出客户端模式,设备会自动将客户端模式下的所有配置恢复到缺省情况,请谨慎使用。
(1) 进入系统视图。
system-view
(2) 开启信任等级功能,并进入trust-level视图。
trust-level
缺省情况下,信任等级功能处于关闭状态。
(3) 开启信任等级客户端功能,并进入trust-level-client视图。
client enable
缺省情况下,信任等级客户端功能处于关闭状态。
(4) 配置信任等级服务器端参数。
server ipv6-address ipv6-address ssl-client-policy policy-name
缺省情况下,未配置信任等级服务器端参数。
当客户端部署在边界设备上时,需要在边界设备连接终端的接口上配置本功能。
开启接口的信任等级功能后,边界设备才会对收到的业务报文,根据分界点配置提取报文的安全级别,进行可信转发。非边界设备上无需配置本功能,非边界设备只需按照路由正常转发报文即可。
目前仅支持在三层以太网接口视图/三层以太网子接口视图、三层聚合接口视图/三层聚合子接口视图下开启接口的信任等级功能。
在三层以太网子接口和三层聚合子接口上开启本功能时,请确保接口上已配置普通VLAN终结方式(配置vlan-type dot1q vid命令或配置vlan-type dot1q vid second-dot1q命令),否则无法开启本功能。关于如何配置vlan-type dot1q vid命令和vlan-type dot1q vid second-dot1q命令,请参见“二层技术-以太网交换命令参考”中的“VLAN终结”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启接口的信任等级功能。
port trust-level enable
缺省情况下,接口的信任等级功能处于关闭状态。
网络中有三种终端:IP电话(对应的安全级别为1)、主机(对应的安全级别为2)、DHCP服务器(对应的安全级别为3)。
Device A和Device E最可信,信任等级为7;Device B的信任等级最低,为1;Device C和Device D的信任等级中等,为3。
现需要根据终端的安全级别,对其业务报文进行可信转发。使得:
· IP电话的报文通过Device A—>Device B—>Device E、Device A—>Device C—>Device E、Device A—>Device D—>Device E三条路径转发;
· 主机的报文通过Device A—>Device C—>Device E、Device A—>Device D—>Device E两条路径转发;
· DHCP服务器的报文通过Device A—>Device C—>Device E、Device A—>Device D—>Device E两条路径转发。
图1-6 信任等级基本配置举例组网图
(1) 规划可信转发时需要使用的IS-IS System ID,例如表1-5。
|
网络传输设备 |
信任等级 |
IS-IS System ID |
SRv6 Locator |
|
DeviceA |
7 |
0000.0000.0001 |
AA:xx::/64(xx为对应FlexAlgo算法的标识符) |
|
DeviceB |
1 |
0000.0000.0002 |
BB:xx::/64(xx为对应FlexAlgo算法的标识符) |
|
DeviceC |
3 |
0000.0000.0003 |
CC:xx::/64(xx为对应FlexAlgo算法的标识符) |
|
DeviceD |
3 |
0000.0000.0004 |
DD:xx::/64(xx为对应FlexAlgo算法的标识符) |
|
DeviceE |
7 |
0000.0000.0005 |
EE:xx::/64(xx为对应FlexAlgo算法的标识符) |
(2) 规划可信转发时需要使用的安全级别、转发类和Flex-Algo,例如表1-6。
|
安全级别 |
转发类的值 |
Flex-Algo算法的标识符 |
|
0 |
0 |
130 |
|
1 |
1 |
131 |
|
2 |
2 |
132 |
|
3 |
3 |
133 |
|
4 |
4 |
134 |
|
5 |
5 |
135 |
|
6 |
6 |
136 |
|
7 |
7 |
137 |
Device A作为SSL服务器端,Device B、Device C、Device D、Device E作为SSL客户端,和Device A建立SSL连接,具体配置请参见“安全配置指导”中的“SSL”。
(4) IS-IS基本配置
在Device A、Device B、Device C、Device D、Device E上完成IS-IS基本配置,使得IS-IS报文可以互通。具体配置请参见“三层技术-IP路由配置指导”中的“IS-IS”。
(5) 准备分界点
请根据分界点的生成规则,生成0~7共8个分界点,本举例中假设8个分界点分别为:::8000:0:0:0、::2000:0:0:0、::4000:0:0:0、::6000:0:0:0、::、::A000:0:0:0、::C000:0:0:0、::E000:0:0:0。
(1) 信任等级配置
# 分别为Device A、Device B、Device C、Device D、Device E配置信任策略a、b、c、d、e。
<DeviceA> system-view
[DeviceA] trust-level
[DeviceA-trust-level] server enable
[DeviceA-trust-level-server] quit
[DeviceA-trust-level] policy a
[DeviceA-trust-level-policy-a] isis-system-id 0000.0000.0001
[DeviceA-trust-level-policy-a] trust level 7
[DeviceA-trust-level-policy-a] policy b
[DeviceA-trust-level-policy-b] isis-system-id 0000.0000.0002
[DeviceA-trust-level-policy-b] trust level 1
[DeviceA-trust-level-policy-b] policy c
[DeviceA-trust-level-policy-c] isis-system-id 0000.0000.0003
[DeviceA-trust-level-policy-c] trust level 3
[DeviceA-trust-level-policy-c] policy d
[DeviceA-trust-level-policy-d] isis-system-id 0000.0000.0004
[DeviceA-trust-level-policy-d] trust level 3
[DeviceA-trust-level-policy-d] policy e
[DeviceA-trust-level-policy-e] isis-system-id 0000.0000.0005
[DeviceA-trust-level-policy-e] trust level 7
[DeviceA-trust-level-policy-e] quit
# 配置分界点,用于提取业务报文中的安全级别。
[DeviceA-trust-level] boundary origin-point ::8000:0:0:0 level-point ::2000:0:0:0 ::4000:0:0:0 ::6000:0:0:0 :: ::A000:0:0:0 ::C000:0:0:0 ::E000:0:0:0
# 分别为安全级别0~7关联Flex-Algo和转发类。
[DeviceA-trust-level] security-level 0
[DeviceA-trust-level-sec-0] service-class 0
[DeviceA-trust-level-sec-0] flex-algo 130
[DeviceA-trust-level-sec-0] security-level 1
[DeviceA-trust-level-sec-1] service-class 1
[DeviceA-trust-level-sec-1] flex-algo 131
[DeviceA-trust-level-sec-1] security-level 2
[DeviceA-trust-level-sec-2] service-class 2
[DeviceA-trust-level-sec-2] flex-algo 132
[DeviceA-trust-level-sec-2] security-level 3
[DeviceA-trust-level-sec-3] service-class 3
[DeviceA-trust-level-sec-3] flex-algo 133
[DeviceA-trust-level-sec-3] security-level 4
[DeviceA-trust-level-sec-4] service-class 4
[DeviceA-trust-level-sec-4] flex-algo 134
[DeviceA-trust-level-sec-4] security-level 5
[DeviceA-trust-level-sec-5] service-class 5
[DeviceA-trust-level-sec-5] flex-algo 135
[DeviceA-trust-level-sec-5] security-level 6
[DeviceA-trust-level-sec-6] service-class 6
[DeviceA-trust-level-sec-6] flex-algo 136
[DeviceA-trust-level-sec-6] security-level 7
[DeviceA-trust-level-sec-7] service-class 7
[DeviceA-trust-level-sec-7] flex-algo 137
[DeviceA-trust-level-sec-7] quit
[DeviceA-trust-level] quit
# 在Device A的业务报文入接口Ten-GigabitEthernet3/1/1、Ten-GigabitEthernet3/1/2、Ten-GigabitEthernet3/1/3开启信任等级功能。
[DeviceA] interface ten-gigabitethernet 3/1/1
[DeviceA-Ten-GigabitEthernet3/1/1] port trust-level enable
[DeviceA-Ten-GigabitEthernet3/1/1] quit
[DeviceA] interface ten-gigabitethernet 3/1/2
[DeviceA-Ten-GigabitEthernet3/1/2] port trust-level enable
[DeviceA-Ten-GigabitEthernet3/1/2] quit
[DeviceA] interface ten-gigabitethernet 3/1/3
[DeviceA-Ten-GigabitEthernet3/1/3] port trust-level enable
[DeviceA-Ten-GigabitEthernet3/1/3] quit
(2) IS-IS配置
# 配置IS-IS System ID,并开启IPv6 IS-IS功能。
[DeviceA] isis 1
[DeviceA-isis-1] network-entity 00.0000.0000.0001.00
[DeviceA-isis-1] cost-style wide
[DeviceA-isis-1] address-family ipv6 unicast
[DeviceA-isis-1-ipv6] quit
[DeviceA-isis-1] quit
[DeviceA] interface ten-gigabitethernet 3/1/5
[DeviceA-Ten-GigabitEthernet3/1/5] isis ipv6 enable 1
[DeviceA-Ten-GigabitEthernet3/1/5] quit
[DeviceA] interface ten-gigabitethernet 3/1/6
[DeviceA-Ten-GigabitEthernet3/1/6] isis ipv6 enable 1
[DeviceA-Ten-GigabitEthernet3/1/6] quit
[DeviceA] interface ten-gigabitethernet 3/1/7
[DeviceA-Ten-GigabitEthernet3/1/7] isis ipv6 enable 1
[DeviceA-Ten-GigabitEthernet3/1/7] quit
[DeviceA] interface loopback 0
[DeviceA-LoopBack0] isis ipv6 enable 1
[DeviceA-LoopBack0] quit
# 配置所有信任等级对应的Flex-Algo 130~137。
[DeviceA] isis 1
[DeviceA-isis-1] flex-algo 130
[DeviceA-isis-1-flex-algo-130] trust-level-mapping enable
[DeviceA-isis-1-flex-algo-130] advertise-definition enable
[DeviceA-isis-1-flex-algo-130] quit
[DeviceA-isis-1] flex-algo 131
[DeviceA-isis-1-flex-algo-131] trust-level-mapping enable
[DeviceA-isis-1-flex-algo-131] advertise-definition enable
[DeviceA-isis-1-flex-algo-131] quit
[DeviceA-isis-1] flex-algo 132
[DeviceA-isis-1-flex-algo-132] trust-level-mapping enable
[DeviceA-isis-1-flex-algo-132] advertise-definition enable
[DeviceA-isis-1-flex-algo-132] quit
[DeviceA-isis-1] flex-algo 133
[DeviceA-isis-1-flex-algo-133] trust-level-mapping enable
[DeviceA-isis-1-flex-algo-133] advertise-definition enable
[DeviceA-isis-1-flex-algo-133] quit
[DeviceA-isis-1] flex-algo 134
[DeviceA-isis-1-flex-algo-134] trust-level-mapping enable
[DeviceA-isis-1-flex-algo-134] advertise-definition enable
[DeviceA-isis-1-flex-algo-134] quit
[DeviceA-isis-1] flex-algo 135
[DeviceA-isis-1-flex-algo-135] trust-level-mapping enable
[DeviceA-isis-1-flex-algo-135] advertise-definition enable
[DeviceA-isis-1-flex-algo-135] quit
[DeviceA-isis-1] flex-algo 136
[DeviceA-isis-1-flex-algo-136] trust-level-mapping enable
[DeviceA-isis-1-flex-algo-136] advertise-definition enable
[DeviceA-isis-1-flex-algo-136] quit
[DeviceA-isis-1] flex-algo 137
[DeviceA-isis-1-flex-algo-137] trust-level-mapping enable
[DeviceA-isis-1-flex-algo-137] advertise-definition enable
[DeviceA-isis-1-flex-algo-137] quit
[DeviceA-isis-1] quit
(3) SRv6 SID配置
# 配置用于公共拓扑的Locator。
[DeviceA] segment-routing ipv6
[DeviceA-segment-routing-ipv6] locator a0 ipv6-prefix AA:: 64 static 8
[DeviceA-segment-routing-ipv6-locator-a] quit
# 配置关联Flex-Algo算法130~137的Locator。
[DeviceA-segment-routing-ipv6] locator a130 ipv6-prefix AA:130:: 64 static 8
[DeviceA-segment-routing-ipv6-locator-a130] flex-algo algorithm 130
[DeviceA-segment-routing-ipv6-locator-a130] opcode 1 end no-flavor
[DeviceA-segment-routing-ipv6-locator-a130] quit
[DeviceA-segment-routing-ipv6] locator a131 ipv6-prefix AA:131:: 64 static 8
[DeviceA-segment-routing-ipv6-locator-a131] flex-algo algorithm 131
[DeviceA-segment-routing-ipv6-locator-a131] opcode 1 end no-flavor
[DeviceA-segment-routing-ipv6-locator-a131] quit
[DeviceA-segment-routing-ipv6] locator a132 ipv6-prefix AA:132:: 64 static 8
[DeviceA-segment-routing-ipv6-locator-a132] flex-algo algorithm 132
[DeviceA-segment-routing-ipv6-locator-a132] opcode 1 end no-flavor
[DeviceA-segment-routing-ipv6-locator-a132] quit
[DeviceA-segment-routing-ipv6] locator a133 ipv6-prefix AA:133:: 64 static 8
[DeviceA-segment-routing-ipv6-locator-a133] flex-algo algorithm 133
[DeviceA-segment-routing-ipv6-locator-a133] opcode 1 end no-flavor
[DeviceA-segment-routing-ipv6-locator-a133] quit
[DeviceA-segment-routing-ipv6] locator a134 ipv6-prefix AA:134:: 64 static 8
[DeviceA-segment-routing-ipv6-locator-a134] flex-algo algorithm 134
[DeviceA-segment-routing-ipv6-locator-a134] opcode 1 end no-flavor
[DeviceA-segment-routing-ipv6-locator-a134] quit
[DeviceA-segment-routing-ipv6] locator a135 ipv6-prefix AA:135:: 64 static 8
[DeviceA-segment-routing-ipv6-locator-a135] flex-algo algorithm 135
[DeviceA-segment-routing-ipv6-locator-a135] opcode 1 end no-flavor
[DeviceA-segment-routing-ipv6-locator-a135] quit
[DeviceA-segment-routing-ipv6] locator a136 ipv6-prefix AA:136:: 64 static 8
[DeviceA-segment-routing-ipv6-locator-a136] flex-algo algorithm 136
[DeviceA-segment-routing-ipv6-locator-a136] opcode 1 end no-flavor
[DeviceA-segment-routing-ipv6-locator-a136] quit
[DeviceA-segment-routing-ipv6] locator a137 ipv6-prefix AA:137:: 64 static 8
[DeviceA-segment-routing-ipv6-locator-a137] flex-algo algorithm 137
[DeviceA-segment-routing-ipv6-locator-a137] opcode 1 end no-flavor
[DeviceA-segment-routing-ipv6-locator-a137] quit
[DeviceA-segment-routing-ipv6] quit
# 配置IS-IS发布Locator。
[DeviceA] isis 1
[DeviceA-isis 1] address-family ipv6 unicast
[DeviceA-isis-1-ipv6] segment-routing ipv6 locator a130
[DeviceA-isis-1-ipv6] segment-routing ipv6 locator a131
[DeviceA-isis-1-ipv6] segment-routing ipv6 locator a132
[DeviceA-isis-1-ipv6] segment-routing ipv6 locator a133
[DeviceA-isis-1-ipv6] segment-routing ipv6 locator a134
[DeviceA-isis-1-ipv6] segment-routing ipv6 locator a135
[DeviceA-isis-1-ipv6] segment-routing ipv6 locator a136
[DeviceA-isis-1-ipv6] segment-routing ipv6 locator a137
[DeviceA-isis-1-ipv6] quit
[DeviceA-isis-1] quit
(4) SRv6 TE Policy配置(仅Device A需要配置)
# 配置Device A->Device E的SRv6 TE Policy隧道。
[DeviceA] segment-routing ipv6
[DeviceA-segment-routing-ipv6] traffic-engineering
[DeviceA-srv6-te] srv6-policy locator a0
[DeviceA-srv6-te] segment-list se130
[DeviceA-srv6-te-sl-se130] index 10 ipv6 EE:130::1
[DeviceA-srv6-te-sl-se130] quit
[DeviceA-srv6-te] policy pe130
[DeviceA-srv6-te-policy-pe130] color 130 end-point ipv6 5::5
[DeviceA-srv6-te-policy-pe130] service-class 0
[DeviceA-srv6-te-policy-pe130] drop-upon-invalid enable
[DeviceA-srv6-te-policy-pe130] candidate-paths
[DeviceA-srv6-te-policy-pe130-path] preference 10
[DeviceA-srv6-te-policy-pe130-path-pref-10] explicit segment-list se130
[DeviceA-srv6-te-policy-pe130-path-pref-10] quit
[DeviceA-srv6-te-policy-pe130-path] quit
[DeviceA-srv6-te-policy-pe130] quit
[DeviceA-srv6-te] srv6-policy locator a0
[DeviceA-srv6-te] segment-list se131
[DeviceA-srv6-te-sl-se131] index 10 ipv6 EE:131::1
[DeviceA-srv6-te-sl-se131] quit
[DeviceA-srv6-te] policy pe131
[DeviceA-srv6-te-policy-pe131] color 131 end-point ipv6 5::5
[DeviceA-srv6-te-policy-pe131] service-class 1
[DeviceA-srv6-te-policy-pe131] drop-upon-invalid enable
[DeviceA-srv6-te-policy-pe131] candidate-paths
[DeviceA-srv6-te-policy-pe131-path] preference 10
[DeviceA-srv6-te-policy-pe131-path-pref-10] explicit segment-list se131
[DeviceA-srv6-te-policy-pe131-path-pref-10] quit
[DeviceA-srv6-te-policy-pe131-path] quit
[DeviceA-srv6-te-policy-pe131] quit
[DeviceA-srv6-te] segment-list se132
[DeviceA-srv6-te-sl-se132] index 10 ipv6 EE:132::1
[DeviceA-srv6-te-sl-se132] quit
[DeviceA-srv6-te] policy pe132
[DeviceA-srv6-te-policy-pe132] color 132 end-point ipv6 5::5
[DeviceA-srv6-te-policy-pe132] service-class 2
[DeviceA-srv6-te-policy-pe132] drop-upon-invalid enable
[DeviceA-srv6-te-policy-pe132] candidate-paths
[DeviceA-srv6-te-policy-pe132-path] preference 10
[DeviceA-srv6-te-policy-pe132-path-pref-10] explicit segment-list se132
[DeviceA-srv6-te-policy-pe132-path-pref-10] quit
[DeviceA-srv6-te-policy-pe132-path] quit
[DeviceA-srv6-te-policy-pe132] quit
[DeviceA-srv6-te] srv6-policy locator a0
[DeviceA-srv6-te] segment-list se133
[DeviceA-srv6-te-sl-se133] index 10 ipv6 EE:133::1
[DeviceA-srv6-te-sl-se133] quit
[DeviceA-srv6-te] policy pe133
[DeviceA-srv6-te-policy-pe133] color 133 end-point ipv6 5::5
[DeviceA-srv6-te-policy-pe133] service-class 3
[DeviceA-srv6-te-policy-pe133] drop-upon-invalid enable
[DeviceA-srv6-te-policy-pe133] candidate-paths
[DeviceA-srv6-te-policy-pe133-path] preference 10
[DeviceA-srv6-te-policy-pe133-path-pref-10] explicit segment-list se133
[DeviceA-srv6-te-policy-pe133-path-pref-10] quit
[DeviceA-srv6-te-policy-pe133-path] quit
[DeviceA-srv6-te-policy-pe133] quit
[DeviceA-srv6-te] segment-list se134
[DeviceA-srv6-te-sl-se134] index 10 ipv6 EE:134::1
[DeviceA-srv6-te-sl-se134] quit
[DeviceA-srv6-te] policy pe134
[DeviceA-srv6-te-policy-pe134] color 134 end-point ipv6 5::5
[DeviceA-srv6-te-policy-pe134] service-class 4
[DeviceA-srv6-te-policy-pe134] drop-upon-invalid enable
[DeviceA-srv6-te-policy-pe134] candidate-paths
[DeviceA-srv6-te-policy-pe134-path] preference 10
[DeviceA-srv6-te-policy-pe134-path-pref-10] explicit segment-list se134
[DeviceA-srv6-te-policy-pe134-path-pref-10] quit
[DeviceA-srv6-te-policy-pe134-path] quit
[DeviceA-srv6-te-policy-pe134] quit
[DeviceA-srv6-te] segment-list se135
[DeviceA-srv6-te-sl-se135] index 10 ipv6 EE:135::1
[DeviceA-srv6-te-sl-se135] quit
[DeviceA-srv6-te] policy pe135
[DeviceA-srv6-te-policy-pe135] color 135 end-point ipv6 5::5
[DeviceA-srv6-te-policy-pe135] service-class 5
[DeviceA-srv6-te-policy-pe135] drop-upon-invalid enable
[DeviceA-srv6-te-policy-pe135] candidate-paths
[DeviceA-srv6-te-policy-pe135-path] preference 10
[DeviceA-srv6-te-policy-pe135-path-pref-10] explicit segment-list se135
[DeviceA-srv6-te-policy-pe135-path-pref-10] quit
[DeviceA-srv6-te-policy-pe135-path] quit
[DeviceA-srv6-te-policy-pe135] quit
[DeviceA-srv6-te] segment-list se136
[DeviceA-srv6-te-sl-se136] index 10 ipv6 EE:136::1
[DeviceA-srv6-te-sl-se136] quit
[DeviceA-srv6-te] policy pe136
[DeviceA-srv6-te-policy-pe136] color 136 end-point ipv6 5::5
[DeviceA-srv6-te-policy-pe136] service-class 6
[DeviceA-srv6-te-policy-pe136] drop-upon-invalid enable
[DeviceA-srv6-te-policy-pe136] candidate-paths
[DeviceA-srv6-te-policy-pe136-path] preference 10
[DeviceA-srv6-te-policy-pe136-path-pref-10] explicit segment-list se136
[DeviceA-srv6-te-policy-pe136-path-pref-10] quit
[DeviceA-srv6-te-policy-pe136-path] quit
[DeviceA-srv6-te-policy-pe136] quit
[DeviceA-srv6-te] segment-list se137
[DeviceA-srv6-te-sl-se137] index 10 ipv6 EE:137::1
[DeviceA-srv6-te-sl-se137] quit
[DeviceA-srv6-te] policy pe137
[DeviceA-srv6-te-policy-pe137] color 137 end-point ipv6 5::5
[DeviceA-srv6-te-policy-pe137] service-class 7
[DeviceA-srv6-te-policy-pe137] drop-upon-invalid enable
[DeviceA-srv6-te-policy-pe137] candidate-paths
[DeviceA-srv6-te-policy-pe137-path] preference 10
[DeviceA-srv6-te-policy-pe137-path-pref-10] explicit segment-list se137
[DeviceA-srv6-te-policy-pe137-path-pref-10] quit
[DeviceA-srv6-te-policy-pe137-path] quit
[DeviceA-srv6-te-policy-pe137] quit
[DeviceA-srv6-te] quit
[DeviceA-segment-routing-ipv6] quit
(5) 静态路由引流配置
# 静态配置终端侧路由并引流到SRv6 TE Policy。
[DeviceA] ipv6 route-static 123:456:: 64 srv6-policy name pe130
[DeviceA] ipv6 route-static 123:456:: 64 srv6-policy name pe131
[DeviceA] ipv6 route-static 123:456:: 64 srv6-policy name pe132
[DeviceA] ipv6 route-static 123:456:: 64 srv6-policy name pe133
[DeviceA] ipv6 route-static 123:456:: 64 srv6-policy name pe134
[DeviceA] ipv6 route-static 123:456:: 64 srv6-policy name pe135
[DeviceA] ipv6 route-static 123:456:: 64 srv6-policy name pe136
[DeviceA] ipv6 route-static 123:456:: 64 srv6-policy name pe137
# 进入trust-level视图。
<DeviceB> system-view
[DeviceB] trust-level
# 配置设备运行在客户端模式。
[DeviceB-trust-level] client enable
# 配置信任等级服务器端参数。
[DeviceB-trust-level-client] server ipv6-address 1::1 ssl-client-policy trust
[DeviceB-trust-level-client] quit
[DeviceB-trust-level] quit
Device C、Device D、Device E的配置同Device B,不再赘述。
通过抓包软件,可获知:
· IP电话的报文通过Device A—>Device B—>Device E、Device A—>Device C—>Device E、Device A—>Device D—>Device E三条路径转发;
· 主机的报文通过Device A—>Device C—>Device E、Device A—>Device D—>Device E两条路径转发;
· DHCP服务器的报文通过Device A—>Device C—>Device E、Device A—>Device D—>Device E两条路径转发。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
