- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-隧道配置
本章節下載: 11-隧道配置 (423.97 KB)
目 錄
三層以太網端口是指被配置為三層模式的以太網端口,有關以太網端口模式切換的操作,請參見“二層技術-以太網交換配置指導”中的“以太網端口配置”。
隧道技術是一種封裝技術,它利用一種網絡協議來傳輸另一種網絡協議,即一種網絡協議將其他網絡協議的數據報文封裝在自己的報文中,然後在網絡中傳輸。封裝後的數據報文在網絡中傳輸的路徑,稱為隧道。隧道是一條虛擬的點對點連接,隧道的兩端需要對數據報文進行封裝及解封裝。隧道技術就是指包括數據封裝、傳輸和解封裝在內的全過程。
隧道技術可以:
l 作為過渡技術,實現IPv4和IPv6網絡互通,如IPv6 over IPv4隧道技術。
l 創建VPN(Virtual Private Network,虛擬專用網絡),保證通信的安全性,如IPv4 over IPv4隧道、IPv4/IPv6 over IPv6隧道、GRE(Generic Routing Encapsulation,通用路由封裝)、DVPN(Dynamic Virtual Private Network,動態虛擬私有網絡)和IPsec隧道技術。
l 實現流量工程,避免由於負載不均衡導致網絡擁塞,如MPLS TE(Multiprotocol Label WPing Traffic Engineering,多協議標記交換流量工程)。
本文隻介紹IPv6 over IPv4隧道、IPv4 over IPv4隧道、IPv4 over IPv6隧道和IPv6 over IPv6隧道。如無特殊說明,下文中的隧道技術均指此類隧道。
IPv6 over IPv4隧道是在IPv6數據報文前封裝上IPv4的報文頭,通過隧道使IPv6報文穿越IPv4網絡,實現隔離的IPv6網絡的互通,如圖1-1所示。IPv6 over IPv4隧道可以建立在主機—主機、主機—設備或設備—設備之間。隧道的終點可能是IPv6報文的最終目的地,也可能需要進一步轉發。
IPv6 over IPv4隧道兩端的設備必須支持IPv4/IPv6雙協議棧。
圖1-1 IPv6 over IPv4隧道原理圖
IPv6 over IPv4隧道對報文的處理過程如下:
(1) IPv6網絡中的設備發送IPv6報文,該報文到達隧道的源端設備Device A。
(2) Device A根據路由表判定該報文要通過隧道進行轉發後,在IPv6報文前封裝上IPv4的報文頭,通過隧道的實際物理接口將報文轉發出去。
(3) 封裝報文通過隧道到達隧道目的端設備Device B,Device B判斷該封裝報文的目的地是本設備後,將對報文進行解封裝。
(4) Device B根據解封裝後的IPv6報文的目的地址轉發該IPv6報文。如果目的地就是本設備,則將IPv6報文轉給上層協議處理。
根據隧道終點的IPv4地址的獲取方式不同,隧道分為“配置隧道”和“自動隧道”。
l 如果IPv6 over IPv4隧道的終點地址不能從IPv6報文的目的地址中自動獲取,需要進行手工配置,這樣的隧道稱為“配置隧道”。
l 如果IPv6 over IPv4隧道的終點地址采用內嵌IPv4地址的特殊IPv6地址形式,則可以從IPv6報文的目的地址中自動獲取隧道終點的IPv4地址,這樣的隧道稱為“自動隧道”。
如表1-1所示,根據對IPv6報文的封裝方式的不同,IPv6 over IPv4隧道分為以下幾種模式。表1-1中還列舉了各隧道模式的關鍵配置參數。
|
隧道類型 |
隧道模式 |
隧道源/目的地址 |
隧道接口地址 |
|
配置隧道 |
IPv6手動隧道 |
源/目的地址為手動配置的IPv4地址 |
IPv6地址 |
|
IPv6-over-IPv4 GRE隧道 |
源/目的地址為手動配置的IPv4地址 |
IPv6地址 |
|
|
自動隧道 |
6to4隧道 |
源地址為手動配置的IPv4地址,目的地址不需配置 |
6to4地址,其格式為: 2002:IPv4-source-address::/48 |
|
ISATAP(Intra-Site Automatic Tunnel Addressing Protocol,站點內自動隧道尋址協議)隧道 |
源地址為手動配置的IPv4地址,目的地址不需配置 |
ISATAP地址,其格式為: Prefix:0:5EFE:IPv4-source-address/64 |
(1) IPv6手動隧道
手動隧道是點到點之間的鏈路,一條鏈路就是一個單獨的隧道。主要用於邊緣路由器—邊緣路由器或主機—邊緣路由器之間定期安全通信的穩定連接,可實現與遠端IPv6網絡的連接。
(2) IPv6-over-IPv4 GRE隧道
使用標準的GRE協議對IPv6報文進行封裝,使IPv6報文能通過隧道穿越IPv4網絡。與IPv6手動隧道相似,IPv6-over-IPv4 GRE隧道也是點到點之間的鏈路,每條鏈路都是一條單獨的隧道。IPv6-over-IPv4 GRE隧道主要用於邊緣路由器—邊緣路由器、主機—邊緣路由器定期安全通信的穩定連接。相關配置請參見“三層技術-IP業務配置指導”中的“GRE”。
(3) 6to4隧道
6to4隧道是點到多點的自動隧道,主要用於將多個IPv6孤島通過IPv4網絡連接到IPv6網絡。6to4隧道通過在IPv6報文的目的地址中嵌入IPv4地址,來實現自動獲取隧道終點的IPv4地址。
6to4隧道采用特殊的6to4地址,其格式為:2002:abcd:efgh:子網號::接口ID/64,其中2002表示固定的IPv6地址前綴,abcd:efgh表示該6to4隧道對應的32位全球唯一的IPv4源地址,用16進製表示(如1.1.1.1可以表示為0101:0101)。2002:abcd:efgh之後的部分唯一標識了一個主機在6to4網絡內的位置。通過這個嵌入的IPv4地址可以自動確定隧道的終點,使隧道的建立非常方便。
由於6to4地址的64位地址前綴中的16位子網號可以由用戶自定義,前綴中的前48位已由固定數值、隧道起點或終點設備的IPv4地址確定,使IPv6報文通過隧道進行轉發成為可能。
(4) ISATAP隧道
隨著IPv6技術的推廣,現有的IPv4網絡中將會出現越來越多的IPv6主機,ISATAP隧道技術為這種應用提供了一個較好的解決方案。ISATAP隧道是點到多點的自動隧道技術,通過在IPv6報文的目的地址中嵌入的IPv4地址,可以自動獲取隧道的終點。
使用ISATAP隧道時,IPv6報文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式為:Prefix(64bit):0:5EFE:abcd:efgh。其中,64位的Prefix為任何合法的IPv6單播地址前綴,abcd:efgh表示32位IPv4源地址,用16進製表示(如1.1.1.1可以表示為0101:0101),該IPv4地址不要求全球唯一。通過這個嵌入的IPv4地址就可以自動建立隧道,完成IPv6報文的傳送。
ISATAP隧道主要用於在IPv4網絡中IPv6路由器—IPv6路由器、IPv6主機—IPv6路由器的連接。
圖1-2 ISATAP隧道原理圖
IPv4 over IPv4隧道(RFC 1853)是對IP數據報進行封裝,使得一個IPv4網絡的數據能夠在另一個IPv4網絡中傳輸。
圖1-3 IPv4 over IPv4隧道原理圖
報文在隧道中傳輸經過封裝與解封裝兩個過程,以上圖為例說明這兩個過程:
l 封裝過程
Device A連接IPv4主機所在子網的接口收到IP數據報後,首先交由IP協議棧處理。IP協議棧根據IP報頭中的目的地址來確定如何轉發此包。如果報文的目的地址為與Device B相連的IPv4主機的地址,則將此報文發給Device A上連接Device B的Tunnel接口。
Tunnel接口收到此包後,進行IPv4 over IPv4的封裝,封裝完成後重新交給IP協議棧處理,IP協議棧根據添加的IP報頭確定出接口。
l 解封裝過程
解封裝過程和封裝的過程相反。從網絡接口收到的IP報文被送到IP協議棧。IP協議棧檢查接收到的IP報文頭中的協議號。如果協議號為4(表示封裝的報文為IPv4報文),則將此IP數據包發送到隧道模塊進行解封裝處理。解封裝之後的IP報文將重新被送到IP協議棧進行處理。
隨著IPv6網絡的廣泛部署,IPv6網絡將逐漸取代IPv4網絡,占據主導地位。尚未被IPv6網絡取代的IPv4網絡將形成孤島,需要通過IPv6網絡互通。IPv4 over IPv6隧道用來實現通過IPv6網絡連接隔離的IPv4網絡孤島。
IPv4 over IPv6隧道是在IPv4報文上封裝IPv6的報文頭,通過隧道使IPv4報文穿越IPv6網絡,從而實現隔離的IPv4網絡通過IPv6網絡互通。
圖1-4 IPv4 over IPv6隧道原理圖
IPv4報文在隧道中傳輸經過封裝與解封裝兩個過程,以圖1-4為例說明這兩個過程:
(1) 封裝過程
Device A連接IPv4網絡的接口收到IPv4報文後,首先交由IPv4協議棧處理。IPv4協議棧根據IPv4報頭中的目的地址來確定如何轉發此包。如果報文的目的地址為與Device B相連的IPv4主機的地址,則將此報文發給Device A上連接Device B的Tunnel接口。
Tunnel接口收到此報文後添加IPv6報文頭,封裝完成後交給IPv6模塊處理。IPv6協議模塊根據IPv6報文頭的目的地址重新確定如何轉發此數據包。
(2) 解封裝流程
解封裝過程和封裝的過程相反。從連接IPv6網絡的接口接收到IPv6報文後,將其送到IPv6協議模塊。IPv6協議模塊檢查IPv6報文封裝的協議類型。若封裝的協議為IPv4,則報文進入隧道處理模塊進行解封裝處理。解封裝之後的IPv4報文被送往IPv4協議模塊進行二次路由處理。
IPv4 over IPv6隧道分為以下幾種模式:
(1) IPv4 over IPv6手動隧道
IPv4 over IPv6手動隧道需要手動配置隧道的源和目的IPv6地址,以便根據配置的地址在IPv4報文上封裝IPv6報文頭,使報文能通過隧道穿越IPv6網絡。IPv4 over IPv6手動隧道是一種點到點的虛擬鏈路。
(2) IPv4-over-IPv6 GRE隧道
IPv4-over-IPv6 GRE隧道與IPv4 over IPv6手動隧道相似,也需要手動配置隧道的源和目的IPv6地址,也是點到點之間的鏈路。不同的是,IPv4 over IPv6手動隧道直接在IPv4報文上封裝IPv6報文頭,而IPv4-over-IPv6 GRE隧道使用標準的GRE協議對IPv4報文進行封裝。
IPv4-over-IPv6 GRE隧道的封裝和解封裝過程與“1.1.3 1. IPv4 over IPv6隧道原理”中描述的過程有所不同,詳細介紹請參見“三層技術-IP業務配置指導”中的“GRE”。
IPv6 over IPv6隧道(RFC 2473)是對IPv6數據報進行封裝,使這些被封裝的數據報能夠在另一個IPv6網絡中傳輸,封裝後的數據報文即IPv6隧道報文。
圖1-5 IPv6 over IPv6隧道原理圖
IPv6報文在隧道中傳輸經過封裝與解封裝兩個過程,以圖1-5為例說明這兩個過程:
l 封裝過程
Device A連接網絡A的接口收到IPv6報文後,首先交由IPv6協議模塊處理,並確定如何轉發此報文。若此報文的目的地址為與Device B相連的主機的地址,則將此報文發給Device A上連接Device B的Tunnel接口。
Tunnel口收到此報文後添加IPv6報文頭,封裝完成後交給IPv6模塊處理。IPv6協議模塊根據IPv6報文頭的目的地址重新確定如何轉發此報文。
l 解封裝流程
解封裝過程和封裝的過程相反。從IPv6網絡接口接收的報文被送到IPv6協議模塊。IPv6協議模塊檢查IPv6報文封裝的協議類型。若封裝的協議為IPv6,則報文進入隧道處理模塊進行解封裝處理;解封裝之後的報文被送往相應的協議模塊進行二次路由處理。
GRE協議可以用來實現“IPv6 over IPv6隧道”的功能,相關配置請參見“三層技術-IP業務配置指導”中的“GRE”。
與隧道技術相關的協議規範有:
l RFC 1853:IP in IP Tunneling
l RFC 2473:Generic Packet Tunneling in IPv6 Specification
l RFC 2893:Transition Mechanisms for IPv6 Hosts and Routers
l RFC 3056:Connection of IPv6 Domains via IPv4 Clouds
l RFC 4214:Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
|
配置任務 |
說明 |
詳細配置 |
|
|
配置Tunnel接口 |
必選 |
||
|
配置IPv6 over IPv4隧道 |
配置IPv6手動隧道 |
根據組網情況,選擇其一 |
|
|
配置6to4隧道 |
|||
|
配置ISATAP隧道 |
|||
|
配置IPv4 over IPv4隧道 |
|||
|
配置IPv4 over IPv6手動隧道 |
|||
|
配置IPv6 over IPv6隧道 |
|||
隧道兩端的設備上,需要創建虛擬的三層接口——Tunnel接口,以便隧道兩端的設備利用隧道發送報文、識別並處理來自隧道的報文。
表1-3 配置Tunnel接口
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建Tunnel接口,並進入Tunnel接口視圖 |
interface tunnel number |
必選 缺省情況下,設備上無Tunnel接口 |
|
配置接口描述信息 |
description text |
可選 缺省情況下,接口描述信息為“該接口的接口名 Interface” |
|
指定轉發當前接口流量的成員設備 |
service slot slot-number |
可選 缺省情況下,沒有指定轉發當前接口流量的成員設備 |
|
指定Tunnel接口引用的業務環回組ID |
service-loopback-group number |
必選 缺省情況下,隧道未引用任何業務環回組 |
|
配置MTU值 |
mtu size |
可選 缺省情況下,Tunnel接口的MTU值顯示為64000字節 |
|
配置Tunnel接口的帶寬 |
tunnel bandwidth bandwidth-value |
可選 缺省情況下,Tunnel接口的帶寬為64kbps |
|
恢複當前接口的缺省配置 |
default |
可選 |
|
關閉Tunnel接口 |
shutdown |
可選 缺省情況下,接口處於開啟狀態 |
l 對於無線PoE注入器,封裝後的報文不能根據目的地址和路由表進行第二次三層轉發,需要將封裝後的報文發送給業務環回口,由業務環回口將報文回送給轉發模塊後,再進行三層轉發。因此,需要指定隧道接口引用的業務環回組,以實現隧道報文的接收和發送。隧道接口引用的業務環回組必須已創建,否則隧道接口狀態不會up,隧道無法通訊。關於業務環回組的創建和配置,請參見“二層技術-以太網交換配置指導”中的“業務環回組”。
l 目前,通過tunnel bandwidth命令配置的Tunnel接口帶寬隻用於動態路由協議計算隧道所在路徑的cost值,不會影響接口的實際帶寬。建議根據報文實際出接口的帶寬值設置Tunnel接口帶寬。
設備上存在已經配置IP地址、能夠進行正常通訊的接口(如VLAN接,Loopback接口等),該接口將作為Tunnel接口的源接口。
表1-4 配置IPv6手動隧道
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能IPv6報文轉發功能 |
ipv6 |
必選 缺省情況下,關閉IPv6報文轉發功能 |
|
|
進入Tunnel接口視圖 |
interface tunnel number |
- |
|
|
設置Tunnel接口的IPv6地址 |
配置IPv6全球單播地址或站點本地地址 |
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } |
二者必選其一 缺省情況下,Tunnel接口上沒有設置IPv6全球單播地址或站點本地地址 |
|
ipv6 address ipv6-address/prefix-length eui-64 |
|||
|
配置IPv6鏈路本地地址 |
ipv6 address auto link-local |
可選 缺省情況下,當接口配置了IPv6全球單播地址或站點本地地址後,會自動生成鏈路本地地址 |
|
|
ipv6 address ipv6-address link-local |
|||
|
配置隧道模式為IPv6手動隧道 |
tunnel-protocol ipv6-ipv4 |
必選 缺省情況下,為GRE over IPv4隧道模式 在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗 |
|
|
設置Tunnel接口的源端地址或接口 |
source { ip-address | interface-type interface-number } |
必選 缺省情況下,Tunnel接口上沒有設置源端地址和接口 |
|
|
設置Tunnel接口的目的端地址 |
destination ip-address |
必選 缺省情況下,Tunnel接口上沒有設置目的端地址 |
|
|
退回係統視圖 |
quit |
- |
|
|
配置丟棄含有IPv4兼容IPv6地址的IPv6報文 |
tunnel discard ipv4-compatible-packet |
可選 缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文 |
|
l 以上各項Tunnel接口下進行的功能特性配置,在刪除Tunnel接口後,該接口上的所有配置也將被刪除。
l 如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行此項配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”或其他路由協議配置。
如圖1-6所示,兩個IPv6網絡分別通過WP A和WP B與IPv4網絡連接,要求在WP A和WP B之間建立IPv6 over IPv4隧道,使兩個IPv6網絡可以互通。如果隧道終點的IPv4地址不能從IPv6報文的目的地址中自動獲取,則需要配置IPv6手動隧道。
圖1-6 IPv6手動隧道組網圖
在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv4報文路由可達。
(1) 配置WP A
# 使能IPv6轉發功能。
<WPA> system-view
[WPA] ipv6
# 配置接口Vlan-interface100的地址。
[WPA] interface vlan-interface 100
[WPA-Vlan-interface100] ip address 192.168.100.1 255.255.255.0
[WPA-Vlan-interface100] quit
# 配置接口Vlan-interface101的IPv6地址。
[WPA] interface vlan-interface 101
[WPA-Vlan-interface101] ipv6 address 3002::1 64
[WPA-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPA] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPA] interface Ethernet 1/0/3
[WPA-Ethernet1/0/3] undo stp enable
[WPA-Ethernet1/0/3] undo ndp enable
[WPA-Ethernet1/0/3] undo lldp enable
[WPA-Ethernet1/0/3] port service-loopback group 1
[WPA-Ethernet1/0/3] quit
# 配置手動隧道。
[WPA] interface tunnel 0
[WPA-Tunnel0] ipv6 address 3001::1/64
[WPA-Tunnel0] source vlan-interface 100
[WPA-Tunnel0] destination 192.168.50.1
[WPA-Tunnel0] tunnel-protocol ipv6-ipv4
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPA-Tunnel0] service-loopback-group 1
[WPA-Tunnel0] quit
# 配置從WP A經過Tunnel0接口到Group 2的靜態路由。
[WPA] ipv6 route-static 3003:: 64 tunnel 0
(2) 配置WP B
# 使能IPv6轉發功能。
<WPB> system-view
[WPB] ipv6
# 配置接口Vlan-interface100的地址。
[WPB] interface vlan-interface 100
[WPB-Vlan-interface100] ip address 192.168.50.1 255.255.255.0
[WPB-Vlan-interface100] quit
# 配置接口Vlan-interface101的IPv6地址。
[WPB] interface vlan-interface 101
[WPB-Vlan-interface101] ipv6 address 3003::1 64
[WPB-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPB] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPB] interface Ethernet 1/0/3
[WPB-Ethernet1/0/3] undo stp enable
[WPB-Ethernet1/0/3] undo ndp enable
[WPB-Ethernet1/0/3] undo lldp enable
[WPB-Ethernet1/0/3] port service-loopback group 1
[WPB-Ethernet1/0/3] quit
# 配置手動隧道。
[WPB] interface tunnel 0
[WPB-Tunnel0] ipv6 address 3001::2/64
[WPB-Tunnel0] source vlan-interface 100
[WPB-Tunnel0] destination 192.168.100.1
[WPB-Tunnel0] tunnel-protocol ipv6-ipv4
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPB-Tunnel0] service-loopback-group 1
[WPB-Tunnel0] quit
# 配置從WP B經過Tunnel0接口到Group 1的靜態路由。
[WPB] ipv6 route-static 3002:: 64 tunnel 0
完成以上配置之後,分別查看WP A和WP B的Tunnel接口狀態如下:
[WPA] display ipv6 interface tunnel 0
Tunnel0 current state :UP
Line protocol current state :UP
IPv6 is enabled, link-local address is FE80::C0A8:6401
Global unicast address(es):
3001::1, subnet is 3001::/64
Joined group address(es):
FF02::1:FF00:0
FF02::1:FF00:1
FF02::1:FFA8:6401
FF02::2
FF02::1
MTU is 1480 bytes
ND reachable time is 30000 milliseconds
ND retransmit interval is 1000 milliseconds
Hosts use stateless autoconfig for addresses
IPv6 Packet statistics:
InReceives: 55
……(略)
[WPB] display ipv6 interface tunnel 0
Tunnel0 current state :UP
Line protocol current state :UP
IPv6 is enabled, link-local address is FE80::C0A8:3201
Global unicast address(es):
3001::2, subnet is 3001::/64
Joined group address(es):
FF02::1:FF00:0
FF02::1:FF00:1
FF02::1:FFA8:3201
FF02::2
FF02::1
MTU is 1480 bytes
ND reachable time is 30000 milliseconds
ND retransmit interval is 1000 milliseconds
Hosts use stateless autoconfig for addresses
IPv6 Packet statistics:
InReceives: 55
……(略)
# 從WP A上可以Ping通對端的Vlan-int101接口的IPv6地址:
[WPA] ping ipv6 3003::1
PING 3003::1 : 56 data bytes, press CTRL_C to break
Reply from 3003::1
bytes=56 Sequence=1 hop limit=64 time = 1 ms
Reply from 3003::1
bytes=56 Sequence=2 hop limit=64 time = 1 ms
Reply from 3003::1
bytes=56 Sequence=3 hop limit=64 time = 1 ms
Reply from 3003::1
bytes=56 Sequence=4 hop limit=64 time = 1 ms
Reply from 3003::1
bytes=56 Sequence=5 hop limit=64 time = 1 ms
--- 3003::1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/1 ms
設備上存在已經配置IP地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能IPv6報文轉發功能 |
ipv6 |
必選 缺省情況下,關閉IPv6報文轉發功能 |
|
|
進入Tunnel接口視圖 |
interface tunnel number |
- |
|
|
設置Tunnel接口的IPv6地址 |
配置IPv6全球單播地址或站點本地地址 |
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } |
二者必選其一 缺省情況下,Tunnel接口上沒有設置IPv6全球單播地址或站點本地地址 |
|
ipv6 address ipv6-address/prefix-length eui-64 |
|||
|
配置IPv6鏈路本地地址 |
ipv6 address auto link-local |
可選 缺省情況下,當接口配置了IPv6全球單播地址或站點本地地址後,會自動生成鏈路本地地址 |
|
|
ipv6 address ipv6-address link-local |
|||
|
配置隧道模式為6to4隧道 |
tunnel-protocol ipv6-ipv4 6to4 |
必選 缺省情況下,為GRE over IPv4隧道模式 在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗 |
|
|
設置Tunnel接口的源端地址或接口 |
source { ip-address | interface-type interface-number } |
必選 缺省情況下,Tunnel接口上沒有設置源端地址和接口 |
|
|
退回係統視圖 |
quit |
- |
|
|
配置丟棄含有IPv4兼容IPv6地址的IPv6報文 |
tunnel discard ipv4-compatible-packet |
可選 缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文 |
|
l 6to4隧道不需要配置目的地址,因為隧道的目的地址可以通過6to4 IPv6地址中嵌入的IPv4地址自動獲得。
l 如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。對於自動隧道,用戶隻能配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址,不支持動態路由。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”。
l 對於自動隧道,使用同種封裝協議的Tunnel接口不能同時配置完全相同的源地址。
如圖1-7所示,兩個6to4網絡通過網絡邊緣6to4 設備(WP A和WP B)與IPv4網絡相連。在WP A和WP B之間建立6to4隧道,實現6to4網絡中的主機Host A和Host B之間的互通。
圖1-7 6to4隧道組網圖
為了實現6to4網絡之間的互通,除了配置6to4隧道外,還需要為6to4網絡內的主機及6to4 設備配置6to4地址。
l WP A上接口Vlan-int100的IPv4地址為2.1.1.1/24,轉換成IPv6地址後使用6to4前綴2002:0201:0101::/48。對此前綴進行子網劃分,Tunnel0使用2002:0201:0101::/64子網,Vlan-int101使用2002:0201:0101:1::/64子網。
l WP B上接口Vlan-int100的IPv4地址為5.1.1.1/24,轉換成IPv6地址後使用6to4前綴2002:0501:0101::/48。對此前綴進行子網劃分,Tunnel0使用2002:0501:0101::/64子網,Vlan-int101使用2002:0501:0101:1::/64子網。
在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv4報文路由可達。
(1) 配置WP A
# 使能IPv6轉發功能。
<WPA> system-view
[WPA] ipv6
# 配置接口Vlan-interface100的地址。
[WPA] interface vlan-interface 100
[WPA-Vlan-interface100] ip address 2.1.1.1 24
[WPA-Vlan-interface100] quit
# 配置接口Vlan-interface101的地址。
[WPA] interface vlan-interface 101
[WPA-Vlan-interface101] ipv6 address 2002:0201:0101:1::1/64
[WPA-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPA] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPA] interface Ethernet 1/0/3
[WPA-Ethernet1/0/3] undo stp enable
[WPA-Ethernet1/0/3] undo ndp enable
[WPA-Ethernet1/0/3] undo lldp enable
[WPA-Ethernet1/0/3] port service-loopback group 1
[WPA-Ethernet1/0/3] quit
# 配置6to4隧道。
[WPA] interface tunnel 0
[WPA-Tunnel0] ipv6 address 2002:201:101::1/64
[WPA-Tunnel0] source vlan-interface 100
[WPA-Tunnel0] tunnel-protocol ipv6-ipv4 6to4
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPA-Tunnel0] service-loopback-group 1
[WPA-Tunnel0] quit
# 配置到目的地址2002::/16,下一跳為Tunnel接口的靜態路由。
[WPA] ipv6 route-static 2002:: 16 tunnel 0
(2) 配置WP B
# 使能IPv6轉發功能。
<WPB> system-view
[WPB] ipv6
# 配置接口Vlan-interface100的地址。
[WPB] interface vlan-interface 100
[WPB-Vlan-interface100] ip address 5.1.1.1 24
[WPB-Vlan-interface100] quit
# 配置接口Vlan-interface101的地址。
[WPB] interface vlan-interface 101
[WPB-Vlan-interface101] ipv6 address 2002:0501:0101:1::1/64
[WPB-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPB] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPB] interface Ethernet 1/0/3
[WPB-Ethernet1/0/3] undo stp enable
[WPB-Ethernet1/0/3] undo ndp enable
[WPB-Ethernet1/0/3] undo lldp enable
[WPB-Ethernet1/0/3] port service-loopback group 1
[WPB-Ethernet1/0/3] quit
# 配置6to4隧道。
[WPB] interface tunnel 0
[WPB-Tunnel0] ipv6 address 2002:0501:0101::1/64
[WPB-Tunnel0] source vlan-interface 100
[WPB-Tunnel0] tunnel-protocol ipv6-ipv4 6to4
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPB-Tunnel0] service-loopback-group 1
[WPB-Tunnel0] quit
# 配置到目的地址2002::/16,下一跳為Tunnel接口的靜態路由。
[WPB] ipv6 route-static 2002:: 16 tunnel 0
完成以上配置之後,Host A與Host B可以互相Ping通。
D:\>ping6 -s 2002:201:101:1::2 2002:501:101:1::2
Pinging 2002:501:101:1::2
from 2002:201:101:1::2 with 32 bytes of data:
Reply from 2002:501:101:1::2: bytes=32 time=13ms
Reply from 2002:501:101:1::2: bytes=32 time=1ms
Reply from 2002:501:101:1::2: bytes=32 time=1ms
Reply from 2002:501:101:1::2: bytes=32 time<1ms
Ping statistics for 2002:501:101:1::2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 13ms, Average = 3ms
設備上存在已經配置IP地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能IPv6報文轉發功能 |
ipv6 |
必選 缺省情況下,IPv6報文轉發功能處於關閉狀態 |
|
|
進入Tunnel接口視圖 |
interface tunnel number |
- |
|
|
設置Tunnel接口的IPv6地址 |
配置IPv6全球單播地址或站點本地地址 |
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } |
二者必選其一 缺省情況下,Tunnel接口上沒有設置IPv6全球單播地址或站點本地地址 |
|
ipv6 address ipv6-address/prefix-length eui-64 |
|||
|
配置IPv6鏈路本地地址 |
ipv6 address auto link-local |
可選 缺省情況下,當接口配置了IPv6全球單播地址或站點本地地址後,會自動生成鏈路本地地址 |
|
|
ipv6 address ipv6-address link-local |
|||
|
配置隧道模式為ISATAP隧道 |
tunnel-protocol ipv6-ipv4 isatap |
必選 缺省情況下,為GRE over IPv4隧道模式 在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗 |
|
|
設置Tunnel接口的源端地址或接口 |
source { ip-address | interface-type interface-number } |
必選 缺省情況下,Tunnel接口上沒有設置源端地址和接口 |
|
|
退回係統視圖 |
quit |
- |
|
|
配置丟棄含有IPv4兼容IPv6地址的IPv6報文 |
tunnel discard ipv4-compatible-packet |
可選 缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文 |
|
l ISATAP隧道不需要配置目的地址,因為隧道的目的地址可以通過ISATAP地址中嵌入的IPv4地址自動獲得。
l 如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。對於自動隧道,用戶隻能配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址,不支持動態路由。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”。
l 對於自動隧道,使用同種封裝協議的Tunnel接口不能同時配置完全相同的源地址。
如圖1-8所示,IPv6網絡和IPv4網絡通過ISATAP設備相連,在IPv4網絡側分布著一些IPv6主機。要求將IPv4網絡中的IPv6主機通過ISATAP隧道接入到IPv6網絡。
圖1-8 ISATAP隧道組網圖
在開始下麵的配置之前,請確保WP上已經創建相應的VLAN接口,且WP的Vlan-interface101和ISATAP host之間IPv4報文路由可達。
(1) 配置WP
# 使能IPv6轉發功能。
<WP> system-view
[WP] ipv6
# 配置各接口地址。
[WP] interface vlan-interface 100
[WP-Vlan-interface100] ipv6 address 3001::1/64
[WP-Vlan-interface100] quit
[WP] interface vlan-interface 101
[WP-Vlan-interface101] ip address 1.1.1.1 255.0.0.0
[WP-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WP] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WP] interface Ethernet 1/0/3
[WP-Ethernet1/0/3] undo stp enable
[WP-Ethernet1/0/3] undo ndp enable
[WP-Ethernet1/0/3] undo lldp enable
[WP-Ethernet1/0/3] port service-loopback group 1
[WP-Ethernet1/0/3] quit
# 配置ISATAP隧道。
[WP] interface tunnel 0
[WP-Tunnel0] ipv6 address 2001::5efe:0101:0101 64
[WP-Tunnel0] source vlan-interface 101
[WP-Tunnel0] tunnel-protocol ipv6-ipv4 isatap
# 取消對RA消息發布的抑製,使主機可以通過設備發布的RA消息獲取地址前綴等信息。
[WP-Tunnel0] undo ipv6 nd ra halt
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WP-Tunnel0] service-loopback-group 1
[WP-Tunnel0] quit
# 配置到ISATAP主機的靜態路由。
[WP] ipv6 route-static 2001:: 16 tunnel 0
(2) 配置ISATAP主機
ISATAP主機上的具體配置與主機的操作係統有關,下麵僅以Windows XP操作係統為例進行說明。
# 在主機上安裝IPv6協議。
C:\>ipv6 install
# 在Windows XP上,ISATAP接口通常為接口2,隻要在該接口上配置ISATAP設備的IPv4地址即可完成主機側的配置。先看看這個ISATAP接口的信息:
C:\>ipv6 if 2
Interface 2: Automatic Tunneling Pseudo-Interface
Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE}
does not use Neighbor Discovery
does not use Router Discovery
routing preference 1
EUI-64 embedded IPv4 address: 0.0.0.0
router link-layer address: 0.0.0.0
preferred link-local fe80::5efe:2.1.1.2, life infinite
link MTU 1280 (true link MTU 65515)
current hop limit 128
reachable time 42500ms (base 30000ms)
retransmission interval 1000ms
DAD transmits 0
default site prefix length 48
# 它自動生成了一個ISATAP格式的link-local地址(fe80::5efe:2.1.1.2)。我們需要設置這個接口上的ISATAP設備的IPv4地址:
C:\>ipv6 rlu 2 1.1.1.1
# 隻需要這麼一個命令,這就完成了主機的配置,我們再來看看這個ISATAP接口的信息:
C:\>ipv6 if 2
Interface 2: Automatic Tunneling Pseudo-Interface
Guid {48FCE3FC-EC30-E50E-F1A7-71172AEEE3AE}
does not use Neighbor Discovery
uses Router Discovery
routing preference 1
EUI-64 embedded IPv4 address: 2.1.1.2
router link-layer address: 1.1.1.1
preferred global 2001::5efe:2.1.1.2, life 29d23h59m46s/6d23h59m46s (public)
preferred link-local fe80::5efe:2.1.1.2, life infinite
link MTU 1500 (true link MTU 65515)
current hop limit 255
reachable time 42500ms (base 30000ms)
retransmission interval 1000ms
DAD transmits 0
default site prefix length 48
# 對比前後的區別,我們可以看到主機獲取了2001::/64的前綴,自動生成地址2001::5efe:2.1.1.2,同時還會發現這麼一行“uses Router Discovery”表明主機啟用了路由器發現,這時ping一下設備上隧道接口的IPv6地址,可以ping通,這時候表明ISATAP隧道已經成功建立。
C:\>ping 2001::5efe:1.1.1.1
Pinging 2001::5efe:1.1.1.1 with 32 bytes of data:
Reply from 2001::5efe:1.1.1.1: time=1ms
Reply from 2001::5efe:1.1.1.1: time=1ms
Reply from 2001::5efe:1.1.1.1: time=1ms
Reply from 2001::5efe:1.1.1.1: time=1ms
Ping statistics for 2001::5efe:1.1.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
完成以上配置之後,ISATAP主機就可訪問IPv6網絡中的主機。
設備上存在已經配置IP地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入Tunnel接口視圖 |
interface tunnel number |
- |
|
設置Tunnel接口的IPv4地址 |
ip address ip-address { mask | mask-length } [ sub ] |
必選 缺省情況下,Tunnel接口上沒有設置IPv4地址 |
|
配置隧道模式為IPv4 over IPv4隧道 |
tunnel-protocol ipv4-ipv4 |
可選 缺省情況下,為GRE over IPv4隧道模式 在隧道的兩端應配置相同的隧道模式,否則會造成報文傳輸失敗 |
|
設置Tunnel接口的源端地址或接口 |
source { ip-address | interface-type interface-number } |
必選 缺省情況下,Tunnel接口上沒有設置源端地址和接口 |
|
設置Tunnel接口的目的端地址 |
destination ip-address |
必選 缺省情況下,Tunnel接口上沒有設置目的端地址 |
l 如果封裝前IPv4報文的目的IPv4地址與Tunnel接口的IPv4地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv4地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv4地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“靜態路由”或其他路由協議配置。
l 本端隧道接口的IPv4地址與隧道的目的地址不能在同一個網段內。
l 配置經過隧道接口的路由時,路由的目的地址不能與該隧道的目的地址在同一個網段內。
l 對兩個或兩個以上使用同種封裝協議的Tunnel接口,不能同時配置完全相同的源地址和目的地址。
l 配置Tunnel接口的源端地址時,若采用配置源接口形式,則Tunnel的源地址取的是源接口的主IP地址。
運行IP協議的兩個子網Group 1和Group 2位於不同的區域,這兩個子網都使用私網地址。通過在無線PoE注入器WP A和無線PoE注入器WP B之間建立IPv4 over IPv4隧道,實現兩個子網的互聯。
圖1-9 IPv4 over IPv4隧道組網圖
在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv4報文路由可達。
(1) 配置WP A
# 配置接口Vlan-interface100。
<WPA> system-view
[WPA] interface vlan-interface 100
[WPA-Vlan-interface100] ip address 10.1.1.1 255.255.255.0
[WPA-Vlan-interface100] quit
# 配置接口Vlan-interface101(隧道的實際物理接口)。
[WPA] interface vlan-interface 101
[WPA-Vlan-interface101] ip address 2.1.1.1 255.255.255.0
[WPA-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPA] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPA] interface Ethernet 1/0/3
[WPA-Ethernet1/0/3] undo stp enable
[WPA-Ethernet1/0/3] undo ndp enable
[WPA-Ethernet1/0/3] undo lldp enable
[WPA-Ethernet1/0/3] port service-loopback group 1
[WPA-Ethernet1/0/3] quit
# 創建Tunnel1接口。
[WPA] interface tunnel 1
# 配置Tunnel1接口的IP地址。
[WPA-Tunnel1] ip address 10.1.2.1 255.255.255.0
# 配置Tunnel封裝模式。
[WPA-Tunnel1] tunnel-protocol ipv4-ipv4
# 配置Tunnel1接口的源地址(Vlan-interface101的IP地址)。
[WPA-Tunnel1] source 2.1.1.1
# 配置Tunnel1接口的目的地址(WP B的Vlan-interface101的IP地址)。
[WPA-Tunnel1] destination 3.1.1.1
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPA-Tunnel1] service-loopback-group 1
[WPA-Tunnel1] quit
# 配置從WP A經過Tunnel1接口到Group 2的靜態路由。
[WPA] ip route-static 10.1.3.0 255.255.255.0 tunnel 1
(2) 配置WP B
# 配置接口Vlan-interface100。
<WPB> system-view
[WPB] interface vlan-interface 100
[WPB-Vlan-interface100] ip address 10.1.3.1 255.255.255.0
[WPB-Vlan-interface100] quit
# 配置接口Vlan-interface101(隧道的實際物理接口)。
[WPB] interface vlan-interface 101
[WPB-Vlan-interface101] ip address 3.1.1.1 255.255.255.0
[WPB-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPB] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPB] interface Ethernet 1/0/3
[WPB-Ethernet1/0/3] undo stp enable
[WPB-Ethernet1/0/3] undo ndp enable
[WPB-Ethernet1/0/3] undo lldp enable
[WPB-Ethernet1/0/3] port service-loopback group 1
[WPB-Ethernet1/0/3] quit
# 創建Tunnel2接口。
[WPB] interface tunnel 2
# 配置Tunnel2接口的IP地址。
[WPB-Tunnel2] ip address 10.1.2.2 255.255.255.0
# 配置Tunnel封裝模式。
[WPB-Tunnel2] tunnel-protocol ipv4-ipv4
# 配置Tunnel2接口的源地址(Vlan-interface101的IP地址)。
[WPB-Tunnel2] source 3.1.1.1
# 配置Tunnel2接口的目的地址(WPA的Vlan-interface101的IP地址)。
[WPB-Tunnel2] destination 2.1.1.1
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPB-Tunnel2] service-loopback-group 1
[WPB-Tunnel2] quit
# 配置從WP B經過Tunnel2接口到Group 1的靜態路由。
[WPB] ip route-static 10.1.1.0 255.255.255.0 tunnel 2
完成以上配置之後,分別察看WP A和WP B的Tunnel接口狀態如下:
[WPA] display interface tunnel 1
Tunnel1 current state: UP
Line protocol current state: UP
Description: Tunnel1 Interface
The Maximum Transmit Unit is 1480
Internet Address is 10.1.2.1/24 Primary
Encapsulation is TUNNEL, service-loopback-group ID is 1.
Tunnel source 2.1.1.1(Vlan-interface101), destination 3.1.1.1
Tunnel protocol/transport IP/IP
Last 300 seconds input: 0 bytes/sec, 0 packets/sec
Last 300 seconds output: 2 bytes/sec, 0 packets/sec
4 packets input, 256 bytes
0 input error
12 packets output, 768 bytes
0 output error
[WPB] display interface tunnel 2
Tunnel2 current state: UP
Line protocol current state: UP
Description: Tunnel2 Interface
The Maximum Transmit Unit is 1480
Internet Address is 10.1.2.2/24 Primary
Encapsulation is TUNNEL, service-loopback-group ID is 1.
Tunnel source 3.1.1.1(Vlan-interface101), destination 2.1.1.1
Tunnel protocol/transport IP/IP
Last 300 seconds input: 0 bytes/sec, 0 packets/sec
Last 300 seconds output: 0 bytes/sec, 0 packets/sec
5 packets input, 320 bytes
0 input error
9 packets output, 576 bytes
0 output error
# 從WP A可以Ping通對端的Vlan-interface100接口的IPv4地址:
[RouterA] ping 10.1.3.1
PING 10.1.3.1: 56 data bytes, press CTRL_C to break
Reply from 10.1.3.1: bytes=56 Sequence=1 ttl=255 time=15 ms
Reply from 10.1.3.1: bytes=56 Sequence=2 ttl=255 time=15 ms
Reply from 10.1.3.1: bytes=56 Sequence=3 ttl=255 time=16 ms
Reply from 10.1.3.1: bytes=56 Sequence=4 ttl=255 time=16 ms
Reply from 10.1.3.1: bytes=56 Sequence=5 ttl=255 time=15 ms
--- 10.1.3.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 15/15/16 ms
設備上存在已經配置IPv6地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能IPv6報文轉發功能 |
ipv6 |
必選 缺省情況下,關閉IPv6報文轉發功能 |
|
進入Tunnel接口視圖 |
interface tunnel number |
- |
|
設置Tunnel接口的IPv4地址 |
ip address ip-address { mask | mask-length } [ sub ] |
必選 缺省情況下,Tunnel接口上沒有設置IPv4地址 |
|
配置隧道模式為IPv4 over IPv6手動隧道 |
tunnel-protocol ipv4-ipv6 |
可選 缺省情況下,為GRE over IPv4隧道模式 在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗 |
|
設置Tunnel接口的源端地址或接口 |
source { ipv6-address | interface-type interface-number } |
必選 缺省情況下,Tunnel接口上沒有設置源端地址和接口 |
|
設置Tunnel接口的目的端地址 |
destination ipv6-address |
必選 缺省情況下,Tunnel接口上沒有設置目的端地址 |
l 如果封裝前IPv4報文的目的IPv4地址與Tunnel接口的IPv4地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv4地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv4地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“靜態路由”或其他路由協議配置。
l 對兩個或兩個以上使用同種封裝協議的Tunnel接口,不能同時配置完全相同的源地址和目的地址。
l 配置Tunnel接口的源端地址時,若采用配置源接口形式,則Tunnel的源地址取的是源接口的主IP地址。
運行IP協議的兩個子網Group 1和Group 2通過IPv6網絡相連。通過在無線PoE注入器WP A和無線PoE注入器WP B之間建立IPv4 over IPv6手動隧道,實現兩個子網穿越IPv6網絡互聯。
圖1-10 IPv4 over IPv6手動隧道組網圖
在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv6報文路由可達。
(1) 配置WP A
# 使能IPv6轉發功能。
<WPA> system-view
[WPA] ipv6
# 配置接口Vlan-interface100。
[WPA] interface vlan-interface 100
[WPA-Vlan-interface100] ip address 30.1.1.1 255.255.255.0
[WPA-Vlan-interface100] quit
# 配置接口Vlan-interface101(隧道的實際物理接口)。
[WPA] interface vlan-interface 101
[WPA-Vlan-interface101] ipv6 address 2002::1:1 64
[WPA-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPA] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPA] interface Ethernet 1/0/3
[WPA-Ethernet1/0/3] undo stp enable
[WPA-Ethernet1/0/3] undo ndp enable
[WPA-Ethernet1/0/3] undo lldp enable
[WPA-Ethernet1/0/3] port service-loopback group 1
[WPA-Ethernet1/0/3] quit
# 創建Tunnel1接口。
[WPA] interface tunnel 1
# 配置Tunnel1接口的IP地址。
[WPA-Tunnel1] ip address 30.1.2.1 255.255.255.0
# 配置Tunnel封裝模式。
[WPA-Tunnel1] tunnel-protocol ipv4-ipv6
# 配置Tunnel1接口的源地址(Vlan-interface101的IP地址)。
[WPA-Tunnel1] source 2002::1:1
# 配置Tunnel1接口的目的地址(WP B的Vlan-interface101的IP地址) 。
[WPA-Tunnel1] destination 2002::2:1
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPA-Tunnel1] service-loopback-group 1
[WPA-Tunnel1] quit
# 配置從WP A經過Tunnel1接口到Group 2的靜態路由。
[WPA] ip route-static 30.1.3.0 255.255.255.0 tunnel 1
(2) 配置WP B
# 使能IPv6轉發功能。
<WPB> system-view
[WPB] ipv6
# 配置接口Vlan-interface100。
[WPB] interface vlan-interface 100
[WPB-Vlan-interface100] ip address 30.1.3.1 255.255.255.0
[WPB-Vlan-interface100] quit
# 配置接口Vlan-interface101(隧道的實際物理接口)。
[WPB] interface vlan-interface 101
[WPB-Vlan-interface101] ipv6 address 2002::2:1 64
[WPB-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPB] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPB] interface Ethernet 1/0/3
[WPB-Ethernet1/0/3] undo stp enable
[WPB-Ethernet1/0/3] undo ndp enable
[WPB-Ethernet1/0/3] undo lldp enable
[WPB-Ethernet1/0/3] port service-loopback group 1
[WPB-Ethernet1/0/3] quit
# 創建Tunnel2接口。
[WPB] interface tunnel 2
# 配置Tunnel2接口的IP地址。
[WPB-Tunnel2] ip address 30.1.2.2 255.255.255.0
# 配置Tunnel封裝模式。
[WPB-Tunnel2] tunnel-protocol ipv4-ipv6
# 配置Tunnel2接口的源地址(Vlan-interface101的IP地址)。
[WPB-Tunnel2] source 2002::2:1
# 配置Tunnel2接口的目的地址(WP A的Vlan-interface101的IP地址)。
[WPB-Tunnel2] destination 2002::1:1
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPB-Tunnel2] service-loopback-group 1
[WPB-Tunnel2] quit
# 配置從WP B經過Tunnel2接口到Group 1的靜態路由。
[WPB] ip route-static 30.1.1.0 255.255.255.0 tunnel 2
完成以上配置之後,分別查看WP A和WP B的Tunnel接口狀態如下:
[WPA] display interface tunnel 1
Tunnel1 current state: UP
Line protocol current state: UP
Description: Tunnel1 Interface
The Maximum Transmit Unit is 1460
Internet Address is 30.1.2.1/24 Primary
Encapsulation is TUNNEL, service-loopback-group ID is 1.
Tunnel source 2002::0001:0001, destination 2002::0002:0001
Tunnel protocol/transport IP/IPv6
Last 300 seconds input: 0 bytes/sec, 0 packets/sec
Last 300 seconds output: 0 bytes/sec, 0 packets/sec
152 packets input, 9728 bytes
0 input error
168 packets output, 10752 bytes
0 output error
[WPB] display interface tunnel 2
Tunnel2 current state: UP
Line protocol current state: UP
Description: Tunnel2 Interface
The Maximum Transmit Unit is 1460
Internet Address is 30.1.2.2/24 Primary
Encapsulation is TUNNEL, service-loopback-group ID is 1.
Tunnel source 2002::0002:0001, destination 2002::0001:0001
Tunnel protocol/transport IP/IPv6
Last 300 seconds input: 1 bytes/sec, 0 packets/sec
Last 300 seconds output: 1 bytes/sec, 0 packets/sec
167 packets input, 10688 bytes
0 input error
170 packets output, 10880 bytes
0 output error
# 從WP A可以Ping通對端的Vlan-interface100接口的IPv4地址:
[WPA] ping 30.1.3.1
PING 30.1.3.1: 56 data bytes, press CTRL_C to break
Reply from 30.1.3.1: bytes=56 Sequence=1 ttl=255 time=46 ms
Reply from 30.1.3.1: bytes=56 Sequence=2 ttl=255 time=15 ms
Reply from 30.1.3.1: bytes=56 Sequence=3 ttl=255 time=16 ms
Reply from 30.1.3.1: bytes=56 Sequence=4 ttl=255 time=15 ms
Reply from 30.1.3.1: bytes=56 Sequence=5 ttl=255 time=16 ms
--- 30.1.3.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 15/21/46 ms
設備上存在已經配置IPv6地址、能夠進行正常通訊的接口(如VLAN接口,Loopback接口等),該接口將作為Tunnel接口的源接口。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能IPv6報文轉發功能 |
ipv6 |
必選 缺省情況下,關閉IPv6報文轉發功能 |
|
|
進入Tunnel接口視圖 |
interface tunnel number |
- |
|
|
設置Tunnel接口的IPv6地址 |
配置IPv6全球單播地址或站點本地地址 |
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } |
必選之一 缺省情況下,Tunnel接口上沒有設置IPv6地址 |
|
ipv6 address ipv6-address/prefix-length eui-64 |
|||
|
配置IPv6鏈路本地地址 |
ipv6 address auto link-local |
||
|
ipv6 address ipv6-address link-local |
|||
|
配置隧道模式為IPv6 over IPv6隧道 |
tunnel-protocol ipv6-ipv6 |
可選 缺省情況下,為GRE over IPv4隧道模式 在隧道的兩端應配置相同的隧道模式,否則可能造成報文傳輸失敗 |
|
|
設置Tunnel接口的源端地址或接口 |
source { ipv6-address | interface-type interface-number } |
必選 缺省情況下,Tunnel接口上沒有設置源端地址和接口 |
|
|
設置Tunnel接口的目的端地址 |
destination ipv6-address |
必選 缺省情況下,Tunnel接口上沒有設置目的端地址 |
|
|
設置隧道允許的最大嵌套封裝次數 |
encapsulation-limit [ number ] |
可選 缺省情況下,number的值為4 |
|
|
退回係統視圖 |
quit |
- |
|
|
配置丟棄含有IPv4兼容IPv6地址的IPv6報文 |
tunnel discard ipv4-compatible-packet |
可選 缺省情況下,不會丟棄含有IPv4兼容IPv6地址的IPv6報文 |
|
l 如果封裝前IPv6報文的目的IPv6地址與Tunnel接口的IPv6地址不在同一個網段,則必須配置通過Tunnel接口到達目的IPv6地址的轉發路由,以便需要進行封裝的報文能正常轉發。用戶可以配置靜態路由,指定到達目的IPv6地址的路由出接口為本端Tunnel接口或下一跳為對端Tunnel接口地址。用戶也可以配置動態路由,在Tunnel接口使能動態路由協議。在隧道的兩端都要進行轉發路由的配置,配置的詳細情況請參見“三層技術-IP路由配置指導”中的“IPv6靜態路由”或其他路由協議配置。
l 本端隧道接口的IPv6地址與隧道的目的地址不能在同一個網段內。
l 配置經過隧道接口的路由時,路由的目的地址不能與該隧道的目的地址在同一個網段內。
l 對兩個或兩個以上使用同種封裝協議的Tunnel接口,不能同時配置完全相同的源地址和目的地址。
l 配置Tunnel接口的源端地址時,若采用配置源接口形式,則Tunnel的源地址取的是源接口的主IP地址。
運行IPv6協議的兩個子網Group 1和Group 2的網絡地址不希望泄露到IPv6網絡中。網絡管理員通過在無線PoE注入器WP A和無線PoE注入器WP B之間建立IPv6 over IPv6隧道,實現在Group 1和Group 2的網絡地址不被泄露的情況下,確保Group 1和Group 2互通。
圖1-11 IPv6 over IPv6隧道組網圖
在開始下麵的配置之前,請確保WP A和WP B上已經創建相應的VLAN接口,且兩者之間IPv6報文路由可達。
(1) 配置WP A
# 使能IPv6轉發功能。
<WPA> system-view
[WPA] ipv6
# 配置接口Vlan-interface100。
[WPA] interface vlan-interface 100
[WPA-Vlan-interface100] ipv6 address 2002:1::1 64
[WPA-Vlan-interface100] quit
# 配置接口Vlan-interface101(隧道的實際物理接口)。
[WPA] interface vlan-interface 101
[WPA-Vlan-interface101] ipv6 address 2002::11:1 64
[WPA-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPA] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPA] interface Ethernet 1/0/3
[WPA-Ethernet1/0/3] undo stp enable
[WPA-Ethernet1/0/3] undo ndp enable
[WPA-Ethernet1/0/3] undo lldp enable
[WPA-Ethernet1/0/3] port service-loopback group 1
[WPA-Ethernet1/0/3] quit
# 創建Tunnel1接口。
[WPA] interface tunnel 1
# 配置Tunnel1接口的IP地址。
[WPA-Tunnel1] ipv6 address 3001::1:1 64
# 配置Tunnel封裝模式。
[WPA-Tunnel1] tunnel-protocol ipv6-ipv6
# 配置Tunnel1接口的源地址(Vlan-interface101的IP地址)。
[WPA-Tunnel1] source 2002:11::1
# 配置Tunnel1接口的目的地址(WP B的Vlan-interface101的IP地址)。
[WPA-Tunnel1] destination 2002::22:1
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPA-Tunnel1] service-loopback-group 1
[WPA-Tunnel1] quit
# 配置從WP A經過Tunnel1接口到Group 2的靜態路由。
[WPA] ipv6 route-static 2002:3:: 64 tunnel 1
(2) 配置WP B
# 使能IPv6轉發功能。
<WPB> system-view
[WPB] ipv6
# 配置接口Vlan-interface100。
[WPB] interface vlan-interface 100
[WPB-Vlan-interface100] ipv6 address 2002:3::1 64
[WPB-Vlan-interface100] quit
# 配置接口Vlan-interface101(隧道的實際物理接口)。
[WPB] interface vlan-interface 101
[WPB-Vlan-interface101] ipv6 address 2002::22:1 64
[WPB-Vlan-interface101] quit
# 創建業務環回組1,並配置服務類型為tunnel。
[WPB] service-loopback group 1 type tunnel
# 將接口Ethernet1/0/3加入業務環回組1,並在該端口上關閉STP、NDP和LLDP功能。
[WPB] interface Ethernet 1/0/3
[WPB-Ethernet1/0/3] undo stp enable
[WPB-Ethernet1/0/3] undo ndp enable
[WPB-Ethernet1/0/3] undo lldp enable
[WPB-Ethernet1/0/3] port service-loopback group 1
[WPB-Ethernet1/0/3] quit
# 創建Tunnel2接口。
[WPB] interface tunnel 2
# 配置Tunnel2接口的IP地址。
[WPB-Tunnel2] ipv6 address 3001::1:2 64
# 配置Tunnel封裝模式。
[WPB-Tunnel2] tunnel-protocol ipv6-ipv6
# 配置Tunnel2接口的源地址(Vlan-interface101的IP地址)。
[WPB-Tunnel2] source 2002::22:1
# 配置Tunnel2接口的目的地址(WP A的Vlan-interface101的IP地址)。
[WPB-Tunnel2] destination 2002::11:1
# 在Tunnel接口視圖下指定隧道引用業務環回組1。
[WPB-Tunnel2] service-loopback-group 1
[WPB-Tunnel2] quit
# 配置從WP B經過Tunnel2接口到Group 1的靜態路由。
[WPB] ipv6 route-static 2002:1:: 64 tunnel 2
完成以上配置之後,分別查看WP A和WP B的Tunnel接口狀態如下:
[WPA] display ipv6 interface tunnel 1
Tunnel1 current state :UP
Line protocol current state :UP
IPv6 is enabled, link-local address is FE80::2013:1
Global unicast address(es):
3001::1:1, subnet is 3001::/64
Joined group address(es):
FF02::1:FF13:1
FF02::1:FF01:1
FF02::1:FF00:0
FF02::2
FF02::1
MTU is 1460 bytes
ND reachable time is 30000 milliseconds
ND retransmit interval is 1000 milliseconds
Hosts use stateless autoconfig for addresses
IPv6 Packet statistics:
……(略)
[WPB] display ipv6 interface tunnel 2
Tunnel2 current state :UP
Line protocol current state :UP
IPv6 is enabled, link-local address is FE80::2024:1
Global unicast address(es):
3001::1:2, subnet is 3001::/64
Joined group address(es):
FF02::1:FF24:1
FF02::1:FF01:2
FF02::1:FF00:0
FF02::2
FF02::1
MTU is 1460 bytes
ND reachable time is 30000 milliseconds
ND retransmit interval is 1000 milliseconds
Hosts use stateless autoconfig for addresses
IPv6 Packet statistics:
……(略)
# 從WP A可以Ping通對端的Vlan-interface100接口的IPv6地址:
[WPA] ping ipv6 2002:3::1
PING 2002:3::1 : 56 data bytes, press CTRL_C to break
Reply from 2002:3::1
bytes=56 Sequence=1 hop limit=64 time = 31 ms
Reply from 2002:3::1
bytes=56 Sequence=2 hop limit=64 time = 1 ms
Reply from 2002:3::1
bytes=56 Sequence=3 hop limit=64 time = 16 ms
Reply from 2002:3::1
bytes=56 Sequence=4 hop limit=64 time = 16 ms
Reply from 2002:3::1
bytes=56 Sequence=5 hop limit=64 time = 31 ms
--- 2002:3::1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/19/31 ms
在完成上述配置後,在任意視圖下執行display命令可以顯示隧道配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Tunnel接口的統計信息。
表1-10 隧道顯示和維護
|
操作 |
命令 |
|
顯示Tunnel接口的相關信息 |
display interface [ tunnel ] [ brief [ down ] ] [ | { begin | exclude | include } regular-expression ] display interface tunnel number [ brief ] [ | { begin | exclude | include } regular-expression ] |
|
顯示Tunnel接口的IPv6相關信息 |
display ipv6 interface tunnel [ number ] [ brief ] [ | { begin | exclude | include } regular-expression ] |
|
清除Tunnel接口的統計信息 |
reset counters interface [ tunnel [number ] ] |
故障現象:在Tunnel接口上配置了相關的參數後(例如隧道的起點、終點地址和隧道模式)仍未處於up狀態。
故障排除:可以按照如下步驟進行。
(1) Tunnel接口未處於up狀態的最常見原因是隧道起點的物理接口沒有處於up狀態。使用display interface tunnel和display ipv6 interface tunnel命令查看隧道起點的物理接口狀態為up還是down。如果物理接口狀態是down的,請檢查網絡連接。
(2) Tunnel接口未處於up狀態的另一個可能的原因是隧道的終點地址不可達。使用display ipv6 routing-table和display ip routing-table命令查看是否終點地址通過路由可達。如果路由表中沒有保證隧道通訊的路由項,請配置相關路由。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
