• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

04-三層技術-IP業務配置指導

目錄

11-隧道配置

本章節下載 11-隧道配置  (423.97 KB)

11-隧道配置


1 隧道配置

三層以太網端口是指被配置為三層模式的以太網端口,有關以太網端口模式切換的操作,請參見“二層技術-以太網交換配置指導”中的“以太網端口配置”。

 

1.1  隧道概述

隧道技術是一種封裝技術,它利用一種網絡協議來傳輸另一種網絡協議,即一種網絡協議將其他網絡協議的數據報文封裝在自己的報文中,然後在網絡中傳輸。封裝後的數據報文在網絡中傳輸的路徑,稱為隧道。隧道是一條虛擬的點對點連接,隧道的兩端需要對數據報文進行封裝及解封裝。隧道技術就是指包括數據封裝、傳輸和解封裝在內的全過程。

隧道技術可以:

l              作為過渡技術,實現IPv4和IPv6網絡互通,如IPv6 over IPv4隧道技術。

l              創建VPN(Virtual Private Network,虛擬專用網絡),保證通信的安全性,如IPv4 over IPv4隧道、IPv4/IPv6 over IPv6隧道、GRE(Generic Routing Encapsulation,通用路由封裝)、DVPN(Dynamic Virtual Private Network,動態虛擬私有網絡)和IPsec隧道技術。

l              實現流量工程,避免由於負載不均衡導致網絡擁塞,如MPLS TE(Multiprotocol Label WPing Traffic Engineering,多協議標記交換流量工程)。

本文隻介紹IPv6 over IPv4隧道、IPv4 over IPv4隧道、IPv4 over IPv6隧道和IPv6 over IPv6隧道。如無特殊說明,下文中的隧道技術均指此類隧道。

1.1.1  IPv6 over IPv4隧道

1. IPv6 over IPv4隧道原理

IPv6 over IPv4隧道是在IPv6數據報文前封裝上IPv4的報文頭,通過隧道使IPv6報文穿越IPv4網絡,實現隔離的IPv6網絡的互通,如圖1-1所示。IPv6 over IPv4隧道可以建立在主機—主機、主機—設備或設備—設備之間。隧道的終點可能是IPv6報文的最終目的地,也可能需要進一步轉發。

IPv6 over IPv4隧道兩端的設備必須支持IPv4/IPv6雙協議棧。

 

圖1-1 IPv6 over IPv4隧道原理圖

 

IPv6 over IPv4隧道對報文的處理過程如下:

(1)        IPv6網絡中的設備發送IPv6報文,該報文到達隧道的源端設備Device A。

(2)        Device A根據路由表判定該報文要通過隧道進行轉發後,在IPv6報文前封裝上IPv4的報文頭,通過隧道的實際物理接口將報文轉發出去。

(3)        封裝報文通過隧道到達隧道目的端設備Device B,Device B判斷該封裝報文的目的地是本設備後,將對報文進行解封裝。

(4)        Device B根據解封裝後的IPv6報文的目的地址轉發該IPv6報文。如果目的地就是本設備,則將IPv6報文轉給上層協議處理。

2. IPv6 over IPv4隧道模式

根據隧道終點的IPv4地址的獲取方式不同,隧道分為“配置隧道”和“自動隧道”。

l              如果IPv6 over IPv4隧道的終點地址不能從IPv6報文的目的地址中自動獲取,需要進行手工配置,這樣的隧道稱為“配置隧道”。

l              如果IPv6 over IPv4隧道的終點地址采用內嵌IPv4地址的特殊IPv6地址形式,則可以從IPv6報文的目的地址中自動獲取隧道終點的IPv4地址,這樣的隧道稱為“自動隧道”。

表1-1所示,根據對IPv6報文的封裝方式的不同,IPv6 over IPv4隧道分為以下幾種模式。表1-1中還列舉了各隧道模式的關鍵配置參數。

表1-1 IPv6 over IPv4隧道模式

隧道類型

隧道模式

隧道源/目的地址

隧道接口地址

配置隧道

IPv6手動隧道

源/目的地址為手動配置的IPv4地址

IPv6地址

IPv6-over-IPv4 GRE隧道

源/目的地址為手動配置的IPv4地址

IPv6地址

自動隧道

6to4隧道

源地址為手動配置的IPv4地址,目的地址不需配置

6to4地址,其格式為:

2002:IPv4-source-address::/48

ISATAP(Intra-Site Automatic Tunnel Addressing Protocol,站點內自動隧道尋址協議)隧道

源地址為手動配置的IPv4地址,目的地址不需配置

ISATAP地址,其格式為:

Prefix:0:5EFE:IPv4-source-address/64

 

(1)        IPv6手動隧道

手動隧道是點到點之間的鏈路,一條鏈路就是一個單獨的隧道。主要用於邊緣路由器—邊緣路由器或主機—邊緣路由器之間定期安全通信的穩定連接,可實現與遠端IPv6網絡的連接。

(2)        IPv6-over-IPv4 GRE隧道

使用標準的GRE協議對IPv6報文進行封裝,使IPv6報文能通過隧道穿越IPv4網絡。與IPv6手動隧道相似,IPv6-over-IPv4 GRE隧道也是點到點之間的鏈路,每條鏈路都是一條單獨的隧道。IPv6-over-IPv4 GRE隧道主要用於邊緣路由器—邊緣路由器、主機—邊緣路由器定期安全通信的穩定連接。相關配置請參見“三層技術-IP業務配置指導”中的“GRE”。

(3)        6to4隧道

6to4隧道是點到多點的自動隧道,主要用於將多個IPv6孤島通過IPv4網絡連接到IPv6網絡。6to4隧道通過在IPv6報文的目的地址中嵌入IPv4地址,來實現自動獲取隧道終點的IPv4地址。

6to4隧道采用特殊的6to4地址,其格式為:2002:abcd:efgh:子網號::接口ID/64,其中2002表示固定的IPv6地址前綴,abcd:efgh表示該6to4隧道對應的32位全球唯一的IPv4源地址,用16進製表示(如1.1.1.1可以表示為0101:0101)。2002:abcd:efgh之後的部分唯一標識了一個主機在6to4網絡內的位置。通過這個嵌入的IPv4地址可以自動確定隧道的終點,使隧道的建立非常方便。

由於6to4地址的64位地址前綴中的16位子網號可以由用戶自定義,前綴中的前48位已由固定數值、隧道起點或終點設備的IPv4地址確定,使IPv6報文通過隧道進行轉發成為可能。

(4)        ISATAP隧道

隨著IPv6技術的推廣,現有的IPv4網絡中將會出現越來越多的IPv6主機,ISATAP隧道技術為這種應用提供了一個較好的解決方案。ISATAP隧道是點到多點的自動隧道技術,通過在IPv6報文的目的地址中嵌入的IPv4地址,可以自動獲取隧道的終點。

使用ISATAP隧道時,IPv6報文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式為:Prefix(64bit):0:5EFE:abcd:efgh。其中,64位的Prefix為任何合法的IPv6單播地址前綴,abcd:efgh表示32位IPv4源地址,用16進製表示(如1.1.1.1可以表示為0101:0101),該IPv4地址不要求全球唯一。通過這個嵌入的IPv4地址就可以自動建立隧道,完成IPv6報文的傳送。

ISATAP隧道主要用於在IPv4網絡中IPv6路由器—IPv6路由器、IPv6主機—IPv6路由器的連接。

圖1-2 ISATAP隧道原理圖

 

1.1.2  IPv4 over IPv4 隧道

1. IPv4 over IPv4隧道簡介

IPv4 over IPv4隧道(RFC 1853)是對IP數據報進行封裝,使得一個IPv4網絡的數據能夠在另一個IPv4網絡中傳輸。

2. 報文封裝及解封裝

圖1-3 IPv4 over IPv4隧道原理圖

 

報文在隧道中傳輸經過封裝與解封裝兩個過程,以上圖為例說明這兩個過程:

l              封裝過程

Device A連接IPv4主機所在子網的接口收到IP數據報後,首先交由IP協議棧處理。IP協議棧根據IP報頭中的目的地址來確定如何轉發此包。如果報文的目的地址為與Device B相連的IPv4主機的地址,則將此報文發給Device A上連接Device B的Tunnel接口。

Tunnel接口收到此包後,進行IPv4 over IPv4的封裝,封裝完成後重新交給IP協議棧處理,IP協議棧根據添加的IP報頭確定出接口。

l              解封裝過程

解封裝過程和封裝的過程相反。從網絡接口收到的IP報文被送到IP協議棧。IP協議棧檢查接收到的IP報文頭中的協議號。如果協議號為4(表示封裝的報文為IPv4報文),則將此IP數據包發送到隧道模塊進行解封裝處理。解封裝之後的IP報文將重新被送到IP協議棧進行處理。

1.1.3  IPv4 over IPv6隧道

1. IPv4 over IPv6隧道原理

隨著IPv6網絡的廣泛部署,IPv6網絡將逐漸取代IPv4網絡,占據主導地位。尚未被IPv6網絡取代的IPv4網絡將形成孤島,需要通過IPv6網絡互通。IPv4 over IPv6隧道用來實現通過IPv6網絡連接隔離的IPv4網絡孤島。

IPv4 over IPv6隧道是在IPv4報文上封裝IPv6的報文頭,通過隧道使IPv4報文穿越IPv6網絡,從而實現隔離的IPv4網絡通過IPv6網絡互通。

圖1-4 IPv4 over IPv6隧道原理圖

 

IPv4報文在隧道中傳輸經過封裝與解封裝兩個過程,以圖1-4為例說明這兩個過程:

(1)        封裝過程

Device A連接IPv4網絡的接口收到IPv4報文後,首先交由IPv4協議棧處理。IPv4協議棧根據IPv4報頭中的目的地址來確定如何轉發此包。如果報文的目的地址為與Device B相連的IPv4主機的地址,則將此報文發給Device A上連接Device B的Tunnel接口。

Tunnel接口收到此報文後添加IPv6報文頭,封裝完成後交給IPv6模塊處理。IPv6協議模塊根據IPv6報文頭的目的地址重新確定如何轉發此數據包。

(2)        解封裝流程

解封裝過程和封裝的過程相反。從連接IPv6網絡的接口接收到IPv6報文後,將其送到IPv6協議模塊。IPv6協議模塊檢查IPv6報文封裝的協議類型。若封裝的協議為IPv4,則報文進入隧道處理模塊進行解封裝處理。解封裝之後的IPv4報文被送往IPv4協議模塊進行二次路由處理。

2. IPv4 over IPv6隧道模式

IPv4 over IPv6隧道分為以下幾種模式:

(1)        IPv4 over IPv6手動隧道

IPv4 over IPv6手動隧道需要手動配置隧道的源和目的IPv6地址,以便根據配置的地址在IPv4報文上封裝IPv6報文頭,使報文能通過隧道穿越IPv6網絡。IPv4 over IPv6手動隧道是一種點到點的虛擬鏈路。

(2)        IPv4-over-IPv6 GRE隧道

IPv4-over-IPv6 GRE隧道與IPv4 over IPv6手動隧道相似,也需要手動配置隧道的源和目的IPv6地址,也是點到點之間的鏈路。不同的是,IPv4 over IPv6手動隧道直接在IPv4報文上封裝IPv6報文頭,而IPv4-over-IPv6 GRE隧道使用標準的GRE協議對IPv4報文進行封裝。

IPv4-over-IPv6 GRE隧道的封裝和解封裝過程與“1.1.3  1. IPv4 over IPv6隧道原理”中描述的過程有所不同,詳細介紹請參見“三層技術-IP業務配置指導”中的“GRE”。

 

1.1.4  IPv6 over IPv6隧道

1. IPv6 over IPv6隧道簡介

IPv6 over IPv6隧道(RFC 2473)是對IPv6數據報進行封裝,使這些被封裝的數據報能夠在另一個IPv6網絡中傳輸,封裝後的數據報文即IPv6隧道報文。

2. 報文封裝及解封裝

圖1-5 IPv6 over IPv6隧道原理圖

 

IPv6報文在隧道中傳輸經過封裝與解封裝兩個過程,以圖1-5為例說明這兩個過程:

l              封裝過程

Device A連接網絡A的接口收到IPv6報文後,首先交由IPv6協議模塊處理,並確定如何轉發此報文。若此報文的目的地址為與Device B相連的主機的地址,則將此報文發給Device A上連接Device B的Tunnel接口。

Tunnel口收到此報文後添加IPv6報文頭,封裝完成後交給IPv6模塊處理。IPv6協議模塊根據IPv6報文頭的目的地址重新確定如何轉發此報文。

l              解封裝流程

解封裝過程和封裝的過程相反。從IPv6網絡接口接收的報文被送到IPv6協議模塊。IPv6協議模塊檢查IPv6報文封裝的協議類型。若封裝的協議為IPv6,則報文進入隧道處理模塊進行解封裝處理;解封裝之後的報文被送往相應的協議模塊進行二次路由處理。

GRE協議可以用來實現“IPv6 over IPv6隧道”的功能,相關配置請參見“三層技術-IP業務配置指導”中的“GRE”。

 

1.1.5  協議規範

與隧道技術相關的協議規範有:

l              RFC 1853:IP in IP Tunneling

l              RFC 2473:Generic Packet Tunneling in IPv6 Specification

l              RFC 2893:Transition Mechanisms for IPv6 Hosts and Routers

l              RFC 3056:Connection of IPv6 Domains via IPv4 Clouds

l              RFC 4214:Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)

1.2  隧道配置任務簡介

表1-2 隧道配置任務簡介

配置任務

說明

詳細配置

配置Tunnel接口

必選

1.3 

配置IPv6 over IPv4隧道

配置IPv6手動隧道

根據組網情況,選擇其一

1.4 

配置6to4隧道

1.5 

配置ISATAP隧道

1.6 

配置IPv4 over IPv4隧道

1.7 

配置IPv4 over IPv6手動隧道

1.8 

配置IPv6 over IPv6隧道

1.9 

 

1.3  配置Tunnel接口

隧道兩端的設備上,需要創建虛擬的三層接口——Tunnel接口,以便隧道兩端的設備利用隧道發送報文、識別並處理來自隧道的報文。

表1-3 配置Tunnel接口

配置步驟

命令

說明

進入係統視圖

system-view

-

創建Tunnel接口,並進入Tunnel接口視圖

interface tunnel number

必選

缺省情況下,設備上無Tunnel接口

配置接口描述信息

description text

可選

缺省情況下,接口描述信息為“該接口的接口名 Interface”

指定轉發當前接口流量的成員設備

service slot slot-number

可選

缺省情況下,沒有指定轉發當前接口流量的成員設備

指定Tunnel接口引用的業務環回組ID

service-loopback-group number

必選

缺省情況下,隧道未引用任何業務環回組

配置MTU值

mtu size

可選

缺省情況下,Tunnel接口的MTU值顯示為64000字節

配置Tunnel接口的帶寬

tunnel bandwidth bandwidth-value

可選

缺省情況下,Tunnel接口的帶寬為64kbps

恢複當前接口的缺省配置

default

可選

關閉Tunnel接口

shutdown

可選

缺省情況下,接口處於開啟狀態

 

l          對於無線PoE注入器,封裝後的報文不能根據目的地址和路由表進行第二次三層轉發,需要將封裝後的報文發送給業務環回口,由業務環回口將報文回送給轉發模塊後,再進行三層轉發。因此,需要指定隧道接口引用的業務環回組,以實現隧道報文的接收和發送。隧道接口引用的業務環回組必須已創建,否則隧道接口狀態不會up,隧道無法通訊。關於業務環回組的創建和配置,請參見“二層技術-以太網交換配置指導”中的“業務環回組”。

l          目前,通過tunnel bandwidth命令配置的Tunnel接口帶寬隻用於動態路由協議計算隧道所在路徑的cost值,不會影響接口的實際帶寬。建議根據報文實際出接口的帶寬值設置Tunnel接口帶寬。

 

1.4  配置IPv6手動隧道

1.4.1  配置準備

設備上存在已經配置IP地址、能夠進行正常通訊的接口(如VLAN接,Loopback接口等),該接口將作為Tunnel接口的源接口。

1.4.2  配置IPv6手動隧道

表1-4 配置IPv6手動隧道

操作

命令

說明

進入係統視圖

system-view

-

使能IPv6報文轉發功能

ipv6

必選

缺省情況下,關閉IPv6報文轉發功能

進入Tunnel接口視圖

interface tunnel number

-

設置Tunnel接口的IPv6地址

配置IPv6全球單播地址或站點本地地址

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }

二者必選其一

缺省情況下,Tunnel接口上沒有設置IPv6全球單播地址或站點本地地址

ipv6 address ipv6-address/prefix-length eui-64

配置IPv6鏈路本地地址

ipv6 address auto link-local

可選

缺省情況下,當接口配置了IPv6全球單播地址或站點本地地址後,會自動生成鏈路本地地址

ipv6 address ipv6-address link-local

配置隧道模式為IPv6手動隧道

tunnel-protocol ipv6-ipv4

必選

缺省情況下,為GRE over IPv4隧道模式

在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗

設置Tunnel接口的源端地址或接口

source { ip-address | interface-type interface-number }

必選

缺省情況下,Tunnel接口上沒有設置源端地址和接口

設置Tunnel接口的目的端地址

destination ip-address

必選

缺省情況下,Tunnel接口上沒有設置目的端地址

退回係統視圖

quit

-

配置丟棄含有IPv4兼容IPv6地址的IPv6報文

tunnel discard ipv4-compatible-packet

可選

缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文

 

l          以上各項Tunnel接口下進行的功能特性配置,在刪除Tunnel接口後,該接口上的所有配置也將被刪除。

l          如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行此項配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”或其他路由協議配置。

 

1.4.3  配置舉例

1. 組網需求

圖1-6所示,兩個IPv6網絡分別通過WP A和WP B與IPv4網絡連接,要求在WP A和WP B之間建立IPv6 over IPv4隧道,使兩個IPv6網絡可以互通。如果隧道終點的IPv4地址不能從IPv6報文的目的地址中自動獲取,則需要配置IPv6手動隧道。

2. 組網圖

圖1-6 IPv6手動隧道組網圖

 

3. 配置步驟

在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv4報文路由可達。

 

(1)        配置WP A

# 使能IPv6轉發功能。

<WPA> system-view

[WPA] ipv6

# 配置接口Vlan-interface100的地址。

[WPA] interface vlan-interface 100

[WPA-Vlan-interface100] ip address 192.168.100.1 255.255.255.0

[WPA-Vlan-interface100] quit

# 配置接口Vlan-interface101的IPv6地址。

[WPA] interface vlan-interface 101

[WPA-Vlan-interface101] ipv6 address 3002::1 64

[WPA-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPA] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPA] interface Ethernet 1/0/3

[WPA-Ethernet1/0/3] undo stp enable

[WPA-Ethernet1/0/3] undo ndp enable

[WPA-Ethernet1/0/3] undo lldp enable

[WPA-Ethernet1/0/3] port service-loopback group 1

[WPA-Ethernet1/0/3] quit

# 配置手動隧道。

[WPA] interface tunnel 0

[WPA-Tunnel0] ipv6 address 3001::1/64

[WPA-Tunnel0] source vlan-interface 100

[WPA-Tunnel0] destination 192.168.50.1

[WPA-Tunnel0] tunnel-protocol ipv6-ipv4

# Tunnel接口視圖下指定隧道引用業務環回組1

[WPA-Tunnel0] service-loopback-group 1

[WPA-Tunnel0] quit

# 配置從WP A經過Tunnel0接口到Group 2的靜態路由。

[WPA] ipv6 route-static 3003:: 64 tunnel 0

(2)        配置WP B

# 使能IPv6轉發功能。

<WPB> system-view

[WPB] ipv6

# 配置接口Vlan-interface100的地址。

[WPB] interface vlan-interface 100

[WPB-Vlan-interface100] ip address 192.168.50.1 255.255.255.0

[WPB-Vlan-interface100] quit

# 配置接口Vlan-interface101的IPv6地址。

[WPB] interface vlan-interface 101

[WPB-Vlan-interface101] ipv6 address 3003::1 64

[WPB-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPB] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPB] interface Ethernet 1/0/3

[WPB-Ethernet1/0/3] undo stp enable

[WPB-Ethernet1/0/3] undo ndp enable

[WPB-Ethernet1/0/3] undo lldp enable

[WPB-Ethernet1/0/3] port service-loopback group 1

[WPB-Ethernet1/0/3] quit

# 配置手動隧道。

[WPB] interface tunnel 0

[WPB-Tunnel0] ipv6 address 3001::2/64

[WPB-Tunnel0] source vlan-interface 100

[WPB-Tunnel0] destination 192.168.100.1

[WPB-Tunnel0] tunnel-protocol ipv6-ipv4

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WPB-Tunnel0] service-loopback-group 1

[WPB-Tunnel0] quit

# 配置從WP B經過Tunnel0接口到Group 1的靜態路由。

[WPB] ipv6 route-static 3002:: 64 tunnel 0

4. 驗證配置結果

完成以上配置之後,分別查看WP AWP BTunnel接口狀態如下:

[WPA] display ipv6 interface tunnel 0

Tunnel0 current state :UP

Line protocol current state :UP

IPv6 is enabled, link-local address is FE80::C0A8:6401

  Global unicast address(es):

    3001::1, subnet is 3001::/64

  Joined group address(es):

    FF02::1:FF00:0

    FF02::1:FF00:1

    FF02::1:FFA8:6401

    FF02::2

    FF02::1

  MTU is 1480 bytes

  ND reachable time is 30000 milliseconds

  ND retransmit interval is 1000 milliseconds

  Hosts use stateless autoconfig for addresses

IPv6 Packet statistics:

  InReceives:                    55

……(略)

[WPB] display ipv6 interface tunnel 0

Tunnel0 current state :UP

Line protocol current state :UP

IPv6 is enabled, link-local address is FE80::C0A8:3201

  Global unicast address(es):

    3001::2, subnet is 3001::/64

  Joined group address(es):

    FF02::1:FF00:0

    FF02::1:FF00:1

    FF02::1:FFA8:3201

    FF02::2

    FF02::1

  MTU is 1480 bytes

  ND reachable time is 30000 milliseconds

  ND retransmit interval is 1000 milliseconds

  Hosts use stateless autoconfig for addresses

IPv6 Packet statistics:

  InReceives:                    55

……(略)

# 從WP A上可以Ping通對端的Vlan-int101接口的IPv6地址:

[WPA] ping ipv6 3003::1

  PING 3003::1 : 56  data bytes, press CTRL_C to break

    Reply from 3003::1

    bytes=56 Sequence=1 hop limit=64  time = 1 ms

    Reply from 3003::1

    bytes=56 Sequence=2 hop limit=64  time = 1 ms

    Reply from 3003::1

    bytes=56 Sequence=3 hop limit=64  time = 1 ms

    Reply from 3003::1

    bytes=56 Sequence=4 hop limit=64  time = 1 ms

    Reply from 3003::1

    bytes=56 Sequence=5 hop limit=64  time = 1 ms

 

  --- 3003::1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/1/1 ms

1.5  配置6to4隧道

1.5.1  配置準備

設備上存在已經配置IP地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。

1.5.2  配置6to4隧道

表1-5 配置6to4隧道

操作

命令

說明

進入係統視圖

system-view

-

使能IPv6報文轉發功能

ipv6

必選

缺省情況下,關閉IPv6報文轉發功能

進入Tunnel接口視圖

interface tunnel number

-

設置Tunnel接口的IPv6地址

配置IPv6全球單播地址或站點本地地址

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }

二者必選其一

缺省情況下,Tunnel接口上沒有設置IPv6全球單播地址或站點本地地址

ipv6 address ipv6-address/prefix-length eui-64

配置IPv6鏈路本地地址

ipv6 address auto link-local

可選

缺省情況下,當接口配置了IPv6全球單播地址或站點本地地址後,會自動生成鏈路本地地址

ipv6 address ipv6-address link-local

配置隧道模式為6to4隧道

tunnel-protocol ipv6-ipv4 6to4

必選

缺省情況下,為GRE over IPv4隧道模式

在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗

設置Tunnel接口的源端地址或接口

source { ip-address | interface-type interface-number }

必選

缺省情況下,Tunnel接口上沒有設置源端地址和接口

退回係統視圖

quit

-

配置丟棄含有IPv4兼容IPv6地址的IPv6報文

tunnel discard ipv4-compatible-packet

可選

缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文

 

l          6to4隧道不需要配置目的地址,因為隧道的目的地址可以通過6to4 IPv6地址中嵌入的IPv4地址自動獲得。

l          如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。對於自動隧道,用戶隻能配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址,不支持動態路由。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”。

l          對於自動隧道,使用同種封裝協議的Tunnel接口不能同時配置完全相同的源地址。

 

1.5.3  配置6to4隧道舉例

1. 組網需求

圖1-7所示,兩個6to4網絡通過網絡邊緣6to4 設備(WP A和WP B)與IPv4網絡相連。在WP A和WP B之間建立6to4隧道,實現6to4網絡中的主機Host A和Host B之間的互通。

2. 組網圖

圖1-7 6to4隧道組網圖

 

3. 配置思路

為了實現6to4網絡之間的互通,除了配置6to4隧道外,還需要為6to4網絡內的主機及6to4 設備配置6to4地址。

l              WP A上接口Vlan-int100的IPv4地址為2.1.1.1/24,轉換成IPv6地址後使用6to4前綴2002:0201:0101::/48。對此前綴進行子網劃分,Tunnel0使用2002:0201:0101::/64子網,Vlan-int101使用2002:0201:0101:1::/64子網。

l              WP B上接口Vlan-int100的IPv4地址為5.1.1.1/24,轉換成IPv6地址後使用6to4前綴2002:0501:0101::/48。對此前綴進行子網劃分,Tunnel0使用2002:0501:0101::/64子網,Vlan-int101使用2002:0501:0101:1::/64子網。

4. 配置步驟

在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv4報文路由可達。

 

(1)        配置WP A

# 使能IPv6轉發功能。

<WPA> system-view

[WPA] ipv6

# 配置接口Vlan-interface100的地址。

[WPA] interface vlan-interface 100

[WPA-Vlan-interface100] ip address 2.1.1.1 24

[WPA-Vlan-interface100] quit

# 配置接口Vlan-interface101的地址。

[WPA] interface vlan-interface 101

[WPA-Vlan-interface101] ipv6 address 2002:0201:0101:1::1/64

[WPA-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPA] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPA] interface Ethernet 1/0/3

[WPA-Ethernet1/0/3] undo stp enable

[WPA-Ethernet1/0/3] undo ndp enable

[WPA-Ethernet1/0/3] undo lldp enable

[WPA-Ethernet1/0/3] port service-loopback group 1

[WPA-Ethernet1/0/3] quit

# 配置6to4隧道。

[WPA] interface tunnel 0

[WPA-Tunnel0] ipv6 address 2002:201:101::1/64

[WPA-Tunnel0] source vlan-interface 100

[WPA-Tunnel0] tunnel-protocol ipv6-ipv4 6to4

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WPA-Tunnel0] service-loopback-group 1

[WPA-Tunnel0] quit

# 配置到目的地址2002::/16,下一跳為Tunnel接口的靜態路由。

[WPA] ipv6 route-static 2002:: 16 tunnel 0

(2)        配置WP B

# 使能IPv6轉發功能。

<WPB> system-view

[WPB] ipv6

# 配置接口Vlan-interface100的地址。

[WPB] interface vlan-interface 100

[WPB-Vlan-interface100] ip address 5.1.1.1 24

[WPB-Vlan-interface100] quit

# 配置接口Vlan-interface101的地址。

[WPB] interface vlan-interface 101

[WPB-Vlan-interface101] ipv6 address 2002:0501:0101:1::1/64

[WPB-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPB] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPB] interface Ethernet 1/0/3

[WPB-Ethernet1/0/3] undo stp enable

[WPB-Ethernet1/0/3] undo ndp enable

[WPB-Ethernet1/0/3] undo lldp enable

[WPB-Ethernet1/0/3] port service-loopback group 1

[WPB-Ethernet1/0/3] quit

# 配置6to4隧道。

[WPB] interface tunnel 0

[WPB-Tunnel0] ipv6 address 2002:0501:0101::1/64

[WPB-Tunnel0] source vlan-interface 100

[WPB-Tunnel0] tunnel-protocol ipv6-ipv4 6to4

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WPB-Tunnel0] service-loopback-group 1

[WPB-Tunnel0] quit

# 配置到目的地址2002::/16,下一跳為Tunnel接口的靜態路由。

[WPB] ipv6 route-static 2002:: 16 tunnel 0

5. 驗證配置結果

完成以上配置之後,Host A與Host B可以互相Ping通。

D:\>ping6 -s 2002:201:101:1::2 2002:501:101:1::2

 

Pinging 2002:501:101:1::2

from 2002:201:101:1::2 with 32 bytes of data:

 

Reply from 2002:501:101:1::2: bytes=32 time=13ms

Reply from 2002:501:101:1::2: bytes=32 time=1ms

Reply from 2002:501:101:1::2: bytes=32 time=1ms

Reply from 2002:501:101:1::2: bytes=32 time<1ms

 

Ping statistics for 2002:501:101:1::2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 13ms, Average = 3ms

1.6  配置ISATAP隧道

1.6.1  配置準備

設備上存在已經配置IP地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。

1.6.2  配置ISATAP隧道

表1-6 配置ISATAP隧道

操作

命令

說明

進入係統視圖

system-view

-

使能IPv6報文轉發功能

ipv6

必選

缺省情況下,IPv6報文轉發功能處於關閉狀態

進入Tunnel接口視圖

interface tunnel number

-

設置Tunnel接口的IPv6地址

配置IPv6全球單播地址或站點本地地址

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }

二者必選其一

缺省情況下,Tunnel接口上沒有設置IPv6全球單播地址或站點本地地址

ipv6 address ipv6-address/prefix-length eui-64

配置IPv6鏈路本地地址

ipv6 address auto link-local

可選

缺省情況下,當接口配置了IPv6全球單播地址或站點本地地址後,會自動生成鏈路本地地址

ipv6 address ipv6-address link-local

配置隧道模式為ISATAP隧道

tunnel-protocol ipv6-ipv4 isatap

必選

缺省情況下,為GRE over IPv4隧道模式

在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗

設置Tunnel接口的源端地址或接口

source { ip-address | interface-type interface-number }

必選

缺省情況下,Tunnel接口上沒有設置源端地址和接口

退回係統視圖

quit

-

配置丟棄含有IPv4兼容IPv6地址的IPv6報文

tunnel discard ipv4-compatible-packet

可選

缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文

 

l          ISATAP隧道不需要配置目的地址,因為隧道的目的地址可以通過ISATAP地址中嵌入的IPv4地址自動獲得。

l          如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。對於自動隧道,用戶隻能配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址,不支持動態路由。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”。

l          對於自動隧道,使用同種封裝協議的Tunnel接口不能同時配置完全相同的源地址。

 

1.6.3  配置舉例

1. 組網需求

圖1-8所示,IPv6網絡和IPv4網絡通過ISATAP設備相連,在IPv4網絡側分布著一些IPv6主機。要求將IPv4網絡中的IPv6主機通過ISATAP隧道接入到IPv6網絡。

2. 組網圖

圖1-8 ISATAP隧道組網圖

 

3. 配置步驟

在開始下麵的配置之前,請確保WP上已經創建相應的VLAN接口,且WP的Vlan-interface101和ISATAP host之間IPv4報文路由可達。

 

(1)        配置WP

# 使能IPv6轉發功能。

<WP> system-view

[WP] ipv6

# 配置各接口地址。

[WP] interface vlan-interface 100

[WP-Vlan-interface100] ipv6 address 3001::1/64

[WP-Vlan-interface100] quit

[WP] interface vlan-interface 101

[WP-Vlan-interface101] ip address 1.1.1.1 255.0.0.0

[WP-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WP] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WP] interface Ethernet 1/0/3

[WP-Ethernet1/0/3] undo stp enable

[WP-Ethernet1/0/3] undo ndp enable

[WP-Ethernet1/0/3] undo lldp enable

[WP-Ethernet1/0/3] port service-loopback group 1

[WP-Ethernet1/0/3] quit

# 配置ISATAP隧道。

[WP] interface tunnel 0

[WP-Tunnel0] ipv6 address 2001::5efe:0101:0101 64

[WP-Tunnel0] source vlan-interface 101

[WP-Tunnel0] tunnel-protocol ipv6-ipv4 isatap

# 取消對RA消息發布的抑製,使主機可以通過設備發布的RA消息獲取地址前綴等信息。

[WP-Tunnel0] undo ipv6 nd ra halt

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WP-Tunnel0] service-loopback-group 1

[WP-Tunnel0] quit

# 配置到ISATAP主機的靜態路由。

[WP] ipv6 route-static 2001:: 16 tunnel 0

(2)        配置ISATAP主機

ISATAP主機上的具體配置與主機的操作係統有關,下麵僅以Windows XP操作係統為例進行說明。

# 在主機上安裝IPv6協議。

C:\>ipv6 install

# 在Windows XP上,ISATAP接口通常為接口2,隻要在該接口上配置ISATAP設備的IPv4地址即可完成主機側的配置。先看看這個ISATAP接口的信息:

C:\>ipv6 if 2

Interface 2: Automatic Tunneling Pseudo-Interface

  Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE}

  does not use Neighbor Discovery

  does not use Router Discovery

  routing preference 1

  EUI-64 embedded IPv4 address: 0.0.0.0

  router link-layer address: 0.0.0.0

    preferred link-local fe80::5efe:2.1.1.2, life infinite

  link MTU 1280 (true link MTU 65515)

  current hop limit 128

  reachable time 42500ms (base 30000ms)

  retransmission interval 1000ms

  DAD transmits 0

  default site prefix length 48

# 它自動生成了一個ISATAP格式的link-local地址(fe80::5efe:2.1.1.2)。我們需要設置這個接口上的ISATAP設備的IPv4地址:

C:\>ipv6 rlu 2 1.1.1.1

# 隻需要這麼一個命令,這就完成了主機的配置,我們再來看看這個ISATAP接口的信息:

C:\>ipv6 if 2

Interface 2: Automatic Tunneling Pseudo-Interface

  Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE}

  does not use Neighbor Discovery

  uses Router Discovery

  routing preference 1

  EUI-64 embedded IPv4 address: 2.1.1.2

  router link-layer address: 1.1.1.1

    preferred global 2001::5efe:2.1.1.2, life 29d23h59m46s/6d23h59m46s (public)

    preferred link-local fe80::5efe:2.1.1.2, life infinite

  link MTU 1500 (true link MTU 65515)

  current hop limit 255

  reachable time 42500ms (base 30000ms)

  retransmission interval 1000ms

  DAD transmits 0

  default site prefix length 48

# 對比前後的區別,我們可以看到主機獲取了2001::/64的前綴,自動生成地址2001::5efe:2.1.1.2,同時還會發現這麼一行“uses Router Discovery”表明主機啟用了路由器發現,這時ping一下設備上隧道接口的IPv6地址,可以ping通,這時候表明ISATAP隧道已經成功建立。

C:\>ping 2001::5efe:1.1.1.1

 

Pinging 2001::5efe:1.1.1.1 with 32 bytes of data:

 

Reply from 2001::5efe:1.1.1.1: time=1ms

Reply from 2001::5efe:1.1.1.1: time=1ms

Reply from 2001::5efe:1.1.1.1: time=1ms

Reply from 2001::5efe:1.1.1.1: time=1ms

 

Ping statistics for 2001::5efe:1.1.1.1:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 1ms, Maximum = 1ms, Average = 1ms

4. 驗證配置結果

完成以上配置之後,ISATAP主機就可訪問IPv6網絡中的主機。

1.7  配置IPv4 over IPv4隧道

1.7.1  配置準備

設備上存在已經配置IP地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。

1.7.2  配置IPv4 over IPv4隧道

表1-7 配置IPv4 over IPv4隧道

操作

命令

說明

進入係統視圖

system-view

-

進入Tunnel接口視圖

interface tunnel number

-

設置Tunnel接口的IPv4地址

ip address ip-address { mask | mask-length } [ sub ]

必選

缺省情況下,Tunnel接口上沒有設置IPv4地址

配置隧道模式為IPv4 over IPv4隧道

tunnel-protocol ipv4-ipv4

可選

缺省情況下,為GRE over IPv4隧道模式

在隧道的兩端應配置相同的隧道模式,否則會造成報文傳輸失敗

設置Tunnel接口的源端地址或接口

source { ip-address | interface-type interface-number }

必選

缺省情況下,Tunnel接口上沒有設置源端地址和接口

設置Tunnel接口的目的端地址

destination ip-address

必選

缺省情況下,Tunnel接口上沒有設置目的端地址

 

l          如果封裝前IPv4報文的目的IPv4地址與Tunnel接口的IPv4地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv4地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv4地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“靜態路由”或其他路由協議配置。

l          本端隧道接口的IPv4地址與隧道的目的地址不能在同一個網段內。

l          配置經過隧道接口的路由時,路由的目的地址不能與該隧道的目的地址在同一個網段內。

l          對兩個或兩個以上使用同種封裝協議的Tunnel接口,不能同時配置完全相同的源地址和目的地址。

l          配置Tunnel接口的源端地址時,若采用配置源接口形式,則Tunnel的源地址取的是源接口的主IP地址。

 

1.7.3  配置舉例

1. 組網需求

運行IP協議的兩個子網Group 1和Group 2位於不同的區域,這兩個子網都使用私網地址。通過在無線PoE注入器WP A和無線PoE注入器WP B之間建立IPv4 over IPv4隧道,實現兩個子網的互聯。

2. 組網圖

圖1-9 IPv4 over IPv4隧道組網圖

 

3. 配置步驟

在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv4報文路由可達。

 

(1)        配置WP A

# 配置接口Vlan-interface100

<WPA> system-view

[WPA] interface vlan-interface 100

[WPA-Vlan-interface100] ip address 10.1.1.1 255.255.255.0

[WPA-Vlan-interface100] quit

# 配置接口Vlan-interface101(隧道的實際物理接口)。

[WPA] interface vlan-interface 101

[WPA-Vlan-interface101] ip address 2.1.1.1 255.255.255.0

[WPA-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPA] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPA] interface Ethernet 1/0/3

[WPA-Ethernet1/0/3] undo stp enable

[WPA-Ethernet1/0/3] undo ndp enable

[WPA-Ethernet1/0/3] undo lldp enable

[WPA-Ethernet1/0/3] port service-loopback group 1

[WPA-Ethernet1/0/3] quit

# 創建Tunnel1接口。

[WPA] interface tunnel 1

# 配置Tunnel1接口的IP地址。

[WPA-Tunnel1] ip address 10.1.2.1 255.255.255.0

# 配置Tunnel封裝模式。

[WPA-Tunnel1] tunnel-protocol ipv4-ipv4

# 配置Tunnel1接口的源地址(Vlan-interface101的IP地址)。

[WPA-Tunnel1] source 2.1.1.1

# 配置Tunnel1接口的目的地址(WP B的Vlan-interface101的IP地址)。

[WPA-Tunnel1] destination 3.1.1.1

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WPA-Tunnel1] service-loopback-group 1

[WPA-Tunnel1] quit

# 配置從WP A經過Tunnel1接口到Group 2的靜態路由。

[WPA] ip route-static 10.1.3.0 255.255.255.0 tunnel 1

(2)        配置WP B

# 配置接口Vlan-interface100

<WPB> system-view

[WPB] interface vlan-interface 100

[WPB-Vlan-interface100] ip address 10.1.3.1 255.255.255.0

[WPB-Vlan-interface100] quit

# 配置接口Vlan-interface101(隧道的實際物理接口)。

[WPB] interface vlan-interface 101

[WPB-Vlan-interface101] ip address 3.1.1.1 255.255.255.0

[WPB-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPB] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPB] interface Ethernet 1/0/3

[WPB-Ethernet1/0/3] undo stp enable

[WPB-Ethernet1/0/3] undo ndp enable

[WPB-Ethernet1/0/3] undo lldp enable

[WPB-Ethernet1/0/3] port service-loopback group 1

[WPB-Ethernet1/0/3] quit

# 創建Tunnel2接口。

[WPB] interface tunnel 2

# 配置Tunnel2接口的IP地址。

[WPB-Tunnel2] ip address 10.1.2.2 255.255.255.0

# 配置Tunnel封裝模式。

[WPB-Tunnel2] tunnel-protocol ipv4-ipv4

# 配置Tunnel2接口的源地址(Vlan-interface101的IP地址)。

[WPB-Tunnel2] source 3.1.1.1

# 配置Tunnel2接口的目的地址(WPA的Vlan-interface101的IP地址)。

[WPB-Tunnel2] destination 2.1.1.1

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WPB-Tunnel2] service-loopback-group 1

[WPB-Tunnel2] quit

# 配置從WP B經過Tunnel2接口到Group 1的靜態路由。

[WPB] ip route-static 10.1.1.0 255.255.255.0 tunnel 2

4. 驗證配置結果

完成以上配置之後,分別察看WP AWP BTunnel接口狀態如下:

[WPA] display interface tunnel 1

Tunnel1 current state: UP

Line protocol current state: UP

Description: Tunnel1 Interface

The Maximum Transmit Unit is 1480

Internet Address is 10.1.2.1/24 Primary

Encapsulation is TUNNEL, service-loopback-group ID is 1.

Tunnel source 2.1.1.1(Vlan-interface101), destination 3.1.1.1

Tunnel protocol/transport IP/IP

    Last 300 seconds input:  0 bytes/sec, 0 packets/sec

    Last 300 seconds output:  2 bytes/sec, 0 packets/sec

    4 packets input,  256 bytes

    0 input error

    12 packets output,  768 bytes

    0 output error

 

[WPB] display interface tunnel 2

Tunnel2 current state: UP

Line protocol current state: UP

Description: Tunnel2 Interface

The Maximum Transmit Unit is 1480

Internet Address is 10.1.2.2/24 Primary

Encapsulation is TUNNEL, service-loopback-group ID is 1.

Tunnel source 3.1.1.1(Vlan-interface101), destination 2.1.1.1

Tunnel protocol/transport IP/IP

    Last 300 seconds input:  0 bytes/sec, 0 packets/sec

    Last 300 seconds output:  0 bytes/sec, 0 packets/sec

    5 packets input,  320 bytes

    0 input error

    9 packets output,  576 bytes

    0 output error

# 從WP A可以Ping通對端的Vlan-interface100接口的IPv4地址:

[RouterA] ping 10.1.3.1

  PING 10.1.3.1: 56  data bytes, press CTRL_C to break

    Reply from 10.1.3.1: bytes=56 Sequence=1 ttl=255 time=15 ms

    Reply from 10.1.3.1: bytes=56 Sequence=2 ttl=255 time=15 ms

    Reply from 10.1.3.1: bytes=56 Sequence=3 ttl=255 time=16 ms

    Reply from 10.1.3.1: bytes=56 Sequence=4 ttl=255 time=16 ms

    Reply from 10.1.3.1: bytes=56 Sequence=5 ttl=255 time=15 ms

 

  --- 10.1.3.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 15/15/16 ms

1.8  配置IPv4 over IPv6手動隧道

1.8.1  配置準備

設備上存在已經配置IPv6地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。

1.8.2  配置IPv4 over IPv6手動隧道

表1-8 配置IPv4 over IPv6手動隧道

操作

命令

說明

進入係統視圖

system-view

-

使能IPv6報文轉發功能

ipv6

必選

缺省情況下,關閉IPv6報文轉發功能

進入Tunnel接口視圖

interface tunnel number

-

設置Tunnel接口的IPv4地址

ip address ip-address { mask | mask-length } [ sub ]

必選

缺省情況下,Tunnel接口上沒有設置IPv4地址

配置隧道模式為IPv4 over IPv6手動隧道

tunnel-protocol ipv4-ipv6

可選

缺省情況下,為GRE over IPv4隧道模式

在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗

設置Tunnel接口的源端地址或接口

source { ipv6-address | interface-type interface-number }

必選

缺省情況下,Tunnel接口上沒有設置源端地址和接口

設置Tunnel接口的目的端地址

destination ipv6-address

必選

缺省情況下,Tunnel接口上沒有設置目的端地址

 

l          如果封裝前IPv4報文的目的IPv4地址與Tunnel接口的IPv4地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv4地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv4地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“靜態路由”或其他路由協議配置。

l          對兩個或兩個以上使用同種封裝協議的Tunnel接口,不能同時配置完全相同的源地址和目的地址。

l          配置Tunnel接口的源端地址時,若采用配置源接口形式,則Tunnel的源地址取的是源接口的主IP地址。

 

1.8.3  配置舉例

1. 組網需求

運行IP協議的兩個子網Group 1和Group 2通過IPv6網絡相連。通過在無線PoE注入器WP A和無線PoE注入器WP B之間建立IPv4 over IPv6手動隧道,實現兩個子網穿越IPv6網絡互聯。

2. 組網圖

圖1-10 IPv4 over IPv6手動隧道組網圖

 

3. 配置步驟

在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv6報文路由可達。

 

(1)        配置WP A

# 使能IPv6轉發功能。

<WPA> system-view

[WPA] ipv6

# 配置接口Vlan-interface100

[WPA] interface vlan-interface 100

[WPA-Vlan-interface100] ip address 30.1.1.1 255.255.255.0

[WPA-Vlan-interface100] quit

# 配置接口Vlan-interface101(隧道的實際物理接口)。

[WPA] interface vlan-interface 101

[WPA-Vlan-interface101] ipv6 address 2002::1:1 64

[WPA-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPA] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPA] interface Ethernet 1/0/3

[WPA-Ethernet1/0/3] undo stp enable

[WPA-Ethernet1/0/3] undo ndp enable

[WPA-Ethernet1/0/3] undo lldp enable

[WPA-Ethernet1/0/3] port service-loopback group 1

[WPA-Ethernet1/0/3] quit

# 創建Tunnel1接口。

[WPA] interface tunnel 1

# 配置Tunnel1接口的IP地址。

[WPA-Tunnel1] ip address 30.1.2.1 255.255.255.0

# 配置Tunnel封裝模式。

[WPA-Tunnel1] tunnel-protocol ipv4-ipv6

# 配置Tunnel1接口的源地址(Vlan-interface101的IP地址)。

[WPA-Tunnel1] source 2002::1:1

# 配置Tunnel1接口的目的地址(WP B的Vlan-interface101的IP地址) 。

[WPA-Tunnel1] destination 2002::2:1

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WPA-Tunnel1] service-loopback-group 1

[WPA-Tunnel1] quit

# 配置從WP A經過Tunnel1接口到Group 2的靜態路由。

[WPA] ip route-static 30.1.3.0 255.255.255.0 tunnel 1

(2)        配置WP B

# 使能IPv6轉發功能。

<WPB> system-view

[WPB] ipv6

# 配置接口Vlan-interface100。

[WPB] interface vlan-interface 100

[WPB-Vlan-interface100] ip address 30.1.3.1 255.255.255.0

[WPB-Vlan-interface100] quit

# 配置接口Vlan-interface101(隧道的實際物理接口)。

[WPB] interface vlan-interface 101

[WPB-Vlan-interface101] ipv6 address 2002::2:1 64

[WPB-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPB] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPB] interface Ethernet 1/0/3

[WPB-Ethernet1/0/3] undo stp enable

[WPB-Ethernet1/0/3] undo ndp enable

[WPB-Ethernet1/0/3] undo lldp enable

[WPB-Ethernet1/0/3] port service-loopback group 1

[WPB-Ethernet1/0/3] quit

# 創建Tunnel2接口。

[WPB] interface tunnel 2

# 配置Tunnel2接口的IP地址。

[WPB-Tunnel2] ip address 30.1.2.2 255.255.255.0

# 配置Tunnel封裝模式。

[WPB-Tunnel2] tunnel-protocol ipv4-ipv6

# 配置Tunnel2接口的源地址(Vlan-interface101的IP地址)。

[WPB-Tunnel2] source 2002::2:1

# 配置Tunnel2接口的目的地址(WP A的Vlan-interface101的IP地址)。

[WPB-Tunnel2] destination 2002::1:1

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WPB-Tunnel2] service-loopback-group 1

[WPB-Tunnel2] quit

# 配置從WP B經過Tunnel2接口到Group 1的靜態路由。

[WPB] ip route-static 30.1.1.0 255.255.255.0 tunnel 2

4. 驗證配置結果

完成以上配置之後,分別查看WP AWP BTunnel接口狀態如下:

[WPA] display interface tunnel 1

Tunnel1 current state: UP

Line protocol current state: UP

Description: Tunnel1 Interface

The Maximum Transmit Unit is 1460

Internet Address is 30.1.2.1/24 Primary

Encapsulation is TUNNEL, service-loopback-group ID is 1.

Tunnel source 2002::0001:0001, destination 2002::0002:0001

Tunnel protocol/transport IP/IPv6

    Last 300 seconds input:  0 bytes/sec, 0 packets/sec

    Last 300 seconds output:  0 bytes/sec, 0 packets/sec

    152 packets input,  9728 bytes

    0 input error

    168 packets output,  10752 bytes

    0 output error

 

[WPB] display interface tunnel 2

Tunnel2 current state: UP

Line protocol current state: UP

Description: Tunnel2 Interface

The Maximum Transmit Unit is 1460

Internet Address is 30.1.2.2/24 Primary

Encapsulation is TUNNEL, service-loopback-group ID is 1.

Tunnel source 2002::0002:0001, destination 2002::0001:0001

Tunnel protocol/transport IP/IPv6

    Last 300 seconds input:  1 bytes/sec, 0 packets/sec

    Last 300 seconds output:  1 bytes/sec, 0 packets/sec

    167 packets input,  10688 bytes

    0 input error

    170 packets output,  10880 bytes

    0 output error

# 從WP A可以Ping通對端的Vlan-interface100接口的IPv4地址:

[WPA] ping 30.1.3.1

  PING 30.1.3.1: 56  data bytes, press CTRL_C to break

    Reply from 30.1.3.1: bytes=56 Sequence=1 ttl=255 time=46 ms

    Reply from 30.1.3.1: bytes=56 Sequence=2 ttl=255 time=15 ms

    Reply from 30.1.3.1: bytes=56 Sequence=3 ttl=255 time=16 ms

    Reply from 30.1.3.1: bytes=56 Sequence=4 ttl=255 time=15 ms

    Reply from 30.1.3.1: bytes=56 Sequence=5 ttl=255 time=16 ms

 

  --- 30.1.3.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 15/21/46 ms

1.9  配置IPv6 over IPv6隧道

1.9.1  配置準備

設備上存在已經配置IPv6地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。

1.9.2  配置IPv6 over IPv6隧道

表1-9 配置IPv6 over IPv6隧道

操作

命令

說明

進入係統視圖

system-view

-

使能IPv6報文轉發功能

ipv6

必選

缺省情況下,關閉IPv6報文轉發功能

進入Tunnel接口視圖

interface tunnel number

-

設置Tunnel接口的IPv6地址

配置IPv6全球單播地址或站點本地地址

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }

必選之一

缺省情況下,Tunnel接口上沒有設置IPv6地址

ipv6 address ipv6-address/prefix-length eui-64

配置IPv6鏈路本地地址

ipv6 address auto link-local

ipv6 address ipv6-address link-local

配置隧道模式為IPv6 over IPv6隧道

tunnel-protocol ipv6-ipv6

可選

缺省情況下,為GRE over IPv4隧道模式

在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗

設置Tunnel接口的源端地址或接口

source { ipv6-address | interface-type interface-number }

必選

缺省情況下,Tunnel接口上沒有設置源端地址和接口

設置Tunnel接口的目的端地址

destination ipv6-address

必選

缺省情況下,Tunnel接口上沒有設置目的端地址

設置隧道允許的最大嵌套封裝次數

encapsulation-limit [ number ]

可選

缺省情況下,number的值為4

退回係統視圖

quit

-

配置丟棄含有IPv4兼容IPv6地址的IPv6報文

tunnel discard ipv4-compatible-packet

可選

缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文

 

l          如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”或其他路由協議配置。

l          本端隧道接口的IPv6地址與隧道的目的地址不能在同一個網段內。

l          配置經過隧道接口的路由時,路由的目的地址不能與該隧道的目的地址在同一個網段內。

l          對兩個或兩個以上使用同種封裝協議的Tunnel接口,不能同時配置完全相同的源地址和目的地址。

l          配置Tunnel接口的源端地址時,若采用配置源接口形式,則Tunnel的源地址取的是源接口的主IP地址。

 

1.9.3  配置舉例

1. 組網需求

運行IPv6協議的兩個子網Group 1和Group 2的網絡地址不希望泄露到IPv6網絡中。網絡管理員通過在無線PoE注入器WP A和無線PoE注入器WP B之間建立IPv6 over IPv6隧道,實現在Group 1和Group 2的網絡地址不被泄露的情況下,確保Group 1和Group 2互通。

2. 組網圖

圖1-11 IPv6 over IPv6隧道組網圖

 

3. 配置步驟

在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv6報文路由可達。

 

(1)        配置WP A

# 使能IPv6轉發功能。

<WPA> system-view

[WPA] ipv6

# 配置接口Vlan-interface100。

[WPA] interface vlan-interface 100

[WPA-Vlan-interface100] ipv6 address 2002:1::1 64

[WPA-Vlan-interface100] quit

# 配置接口Vlan-interface101(隧道的實際物理接口)。

[WPA] interface vlan-interface 101

[WPA-Vlan-interface101] ipv6 address 2002::11:1 64

[WPA-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPA] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPA] interface Ethernet 1/0/3

[WPA-Ethernet1/0/3] undo stp enable

[WPA-Ethernet1/0/3] undo ndp enable

[WPA-Ethernet1/0/3] undo lldp enable

[WPA-Ethernet1/0/3] port service-loopback group 1

[WPA-Ethernet1/0/3] quit

# 創建Tunnel1接口。

[WPA] interface tunnel 1

# 配置Tunnel1接口的IP地址。

[WPA-Tunnel1] ipv6 address 3001::1:1 64

# 配置Tunnel封裝模式。

[WPA-Tunnel1] tunnel-protocol ipv6-ipv6

# 配置Tunnel1接口的源地址(Vlan-interface101的IP地址)。

[WPA-Tunnel1] source 2002:11::1

# 配置Tunnel1接口的目的地址(WP B的Vlan-interface101的IP地址)。

[WPA-Tunnel1] destination 2002::22:1

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WPA-Tunnel1] service-loopback-group 1

[WPA-Tunnel1] quit

# 配置從WP A經過Tunnel1接口到Group 2的靜態路由。

[WPA] ipv6 route-static 2002:3:: 64 tunnel 1

(2)        配置WP B

# 使能IPv6轉發功能。

<WPB> system-view

[WPB] ipv6

# 配置接口Vlan-interface100。

[WPB] interface vlan-interface 100

[WPB-Vlan-interface100] ipv6 address 2002:3::1 64

[WPB-Vlan-interface100] quit

# 配置接口Vlan-interface101(隧道的實際物理接口)。

[WPB] interface vlan-interface 101

[WPB-Vlan-interface101] ipv6 address 2002::22:1 64

[WPB-Vlan-interface101] quit

# 創建業務環回組1,並配置服務類型為tunnel。

[WPB] service-loopback group 1 type tunnel

# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。

[WPB] interface Ethernet 1/0/3

[WPB-Ethernet1/0/3] undo stp enable

[WPB-Ethernet1/0/3] undo ndp enable

[WPB-Ethernet1/0/3] undo lldp enable

[WPB-Ethernet1/0/3] port service-loopback group 1

[WPB-Ethernet1/0/3] quit

# 創建Tunnel2接口。

[WPB] interface tunnel 2

# 配置Tunnel2接口的IP地址。

[WPB-Tunnel2] ipv6 address 3001::1:2 64

# 配置Tunnel封裝模式。

[WPB-Tunnel2] tunnel-protocol ipv6-ipv6

# 配置Tunnel2接口的源地址(Vlan-interface101的IP地址)。

[WPB-Tunnel2] source 2002::22:1

# 配置Tunnel2接口的目的地址(WP A的Vlan-interface101的IP地址)。

[WPB-Tunnel2] destination 2002::11:1

# 在Tunnel接口視圖下指定隧道引用業務環回組1。

[WPB-Tunnel2] service-loopback-group 1

[WPB-Tunnel2] quit

# 配置從WP B經過Tunnel2接口到Group 1的靜態路由。

[WPB] ipv6 route-static 2002:1:: 64 tunnel 2

4. 驗證配置結果

完成以上配置之後,分別查看WP AWP BTunnel接口狀態如下:

[WPA] display ipv6 interface tunnel 1

Tunnel1 current state :UP

Line protocol current state :UP

IPv6 is enabled, link-local address is FE80::2013:1

  Global unicast address(es):

    3001::1:1, subnet is 3001::/64

  Joined group address(es):

    FF02::1:FF13:1

    FF02::1:FF01:1

    FF02::1:FF00:0

    FF02::2

    FF02::1

  MTU is 1460 bytes

  ND reachable time is 30000 milliseconds

  ND retransmit interval is 1000 milliseconds

  Hosts use stateless autoconfig for addresses

IPv6 Packet statistics:

……(略)

[WPB] display ipv6 interface tunnel 2

Tunnel2 current state :UP

Line protocol current state :UP

IPv6 is enabled, link-local address is FE80::2024:1

  Global unicast address(es):

    3001::1:2, subnet is 3001::/64

  Joined group address(es):

    FF02::1:FF24:1

    FF02::1:FF01:2

    FF02::1:FF00:0

    FF02::2

    FF02::1

  MTU is 1460 bytes

  ND reachable time is 30000 milliseconds

  ND retransmit interval is 1000 milliseconds

  Hosts use stateless autoconfig for addresses

IPv6 Packet statistics:

……(略)

# 從WP A可以Ping通對端的Vlan-interface100接口的IPv6地址:

[WPA] ping ipv6 2002:3::1

  PING 2002:3::1 : 56  data bytes, press CTRL_C to break

    Reply from 2002:3::1

    bytes=56 Sequence=1 hop limit=64  time = 31 ms

    Reply from 2002:3::1

    bytes=56 Sequence=2 hop limit=64  time = 1 ms

    Reply from 2002:3::1

    bytes=56 Sequence=3 hop limit=64  time = 16 ms

    Reply from 2002:3::1

    bytes=56 Sequence=4 hop limit=64  time = 16 ms

    Reply from 2002:3::1

    bytes=56 Sequence=5 hop limit=64  time = 31 ms

 

  --- 2002:3::1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/19/31 ms

1.10  隧道顯示和維護

在完成上述配置後,在任意視圖下執行display命令可以顯示隧道配置後的運行情況,通過查看顯示信息驗證配置的效果。

在用戶視圖下執行reset命令可以清除Tunnel接口的統計信息。

表1-10 隧道顯示和維護

操作

命令

顯示Tunnel接口的相關信息

display interface [ tunnel ] [ brief [ down ] ] [ | { begin | exclude | include } regular-expression ]

display interface tunnel number [ brief ] [ | { begin | exclude | include } regular-expression ]

顯示Tunnel接口的IPv6相關信息

display ipv6 interface tunnel [ number ] [ brief ] [ | { begin | exclude | include } regular-expression ]

清除Tunnel接口的統計信息

reset counters interface [ tunnel [number ] ]

 

1.11  常見錯誤配置舉例

故障現象:在Tunnel接口上配置了相關的參數後(例如隧道的起點、終點地址和隧道模式)仍未處於up狀態。

故障排除:可以按照如下步驟進行。

(1)        Tunnel接口未處於up狀態的最常見原因是隧道起點的物理接口沒有處於up狀態。使用display interface tunneldisplay ipv6 interface tunnel命令查看隧道起點的物理接口狀態為up還是down。如果物理接口狀態是down的,請檢查網絡連接。

(2)        Tunnel接口未處於up狀態的另一個可能的原因是隧道的終點地址不可達。使用display ipv6 routing-tabledisplay ip routing-table命令查看是否終點地址通過路由可達。如果路由表中沒有保證隧道通訊的路由項,請配置相關路由。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們