- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-RIPng配置
本章節下載: 17-RIPng配置 (324.71 KB)
RIPng(RIP next generation,下一代RIP協議)是對原來的IPv4網絡中RIP-2協議的擴展。大多數RIP的概念都可以用於RIPng。
為了在IPv6網絡中應用,RIPng對原有的RIP協議進行了如下修改:
· UDP端口號:使用UDP的521端口發送和接收路由信息。
· 組播地址:使用FF02::9作為鏈路本地範圍內的RIPng路由器組播地址。
· 前綴長度:目的地址使用128比特的前綴長度。
· 下一跳地址:使用128比特的IPv6地址。
· 源地址:使用鏈路本地地址FE80::/10作為源地址發送RIPng路由信息更新報文。
RIPng協議是基於距離矢量(Distance-Vector)算法的協議。它通過UDP報文交換路由信息,使用的端口號為521。
RIPng使用跳數來衡量到達目的地址的距離(也稱為度量值或開銷)。在RIPng中,從一個路由器到其直連網絡的跳數為0,通過與其相連的路由器到達另一個網絡的跳數為1,其餘以此類推。當跳數大於或等於16時,目的網絡或主機就被定義為不可達。
RIPng每30秒發送一次路由更新報文。如果在180秒內沒有收到網絡鄰居的路由更新報文,RIPng將從鄰居學到的所有路由標識為不可達。如果再過120秒內仍沒有收到鄰居的路由更新報文,RIPng將從路由表中刪除這些路由。
為了提高性能並避免形成路由環路,RIPng既支持水平分割也支持毒性逆轉。此外,RIPng還可以從其它的路由協議引入路由。
每個運行RIPng的路由器都管理一個路由數據庫,該路由數據庫包含了到所有可達目的地的路由項,這些路由項包含下列信息:
· 目的地址:主機或網絡的IPv6地址。
· 下一跳地址:為到達目的地,需要經過的相鄰路由器的接口IPv6地址。
· 出接口:轉發IPv6報文通過的出接口。
· 度量值:本路由器到達目的地的開銷。
· 路由時間:從路由項最後一次被更新到現在所經過的時間,路由項每次被更新時,路由時間重置為0。
· 路由標記(Route Tag):用於標識外部路由,以便在路由策略中根據Tag對路由進行靈活的控製。
RIPng報文由頭部(Header)和多個路由表項(RTEs)組成。在同一個RIPng報文中,RTE的最大條數與發送接口設置的IPv6 MTU有關。
RIPng報文基本格式如下圖所示。
圖1-1 RIPng報文基本格式
各字段的含義如下:
· Command:定義報文的類型。0x01表示Request報文,0x02表示Response報文。
· Version:RIPng的版本,目前其值隻能為0x01。
· RTE(Route Table Entry):路由表項,每項的長度為20字節。
在RIPng裏有兩類RTE,分別是:
· 下一跳RTE:位於一組具有相同下一跳的“IPv6前綴RTE”的前麵,它定義了下一跳的IPv6地址。
· IPv6前綴RTE:位於某個“下一跳RTE”的後麵。同一個“下一跳RTE”的後麵可以有多個不同的“IPv6前綴RTE”。它描述了RIPng路由表中的目的IPv6地址、路由標記、前綴長度以及度量值。
下一跳RTE的格式如下圖所示。
其中,IPv6 next hop address表示下一跳的IPv6地址。
IPv6前綴RTE的格式如下圖所示。
圖1-3 IPv6前綴RTE格式
各字段的解釋如下:
· IPv6 prefix:目的IPv6地址的前綴。
· route tag:路由標記。
· prefix len:IPv6地址的前綴長度。
· metric:路由的度量值。
當RIPng路由器啟動後或者需要更新部分路由表項時,便會發出Request報文,向鄰居請求需要的路由信息。通常情況下以組播方式發送Request報文。
收到Request報文的RIPng路由器會對其中的RTE進行處理。如果Request報文中隻有一項RTE,且IPv6前綴和前綴長度都為0,度量值為16,則表示請求鄰居發送全部路由信息,被請求路由器收到後會把當前路由表中的全部路由信息,以Response報文形式發回給請求路由器。如果Request報文中有多項RTE,被請求路由器將對RTE逐項處理,更新每條路由的度量值,最後以Response報文形式返回給請求路由器。
Response報文包含本地路由表的信息,一般在下列情況下產生:
· 對某個Request報文進行響應
· 作為更新報文周期性地發出
· 在路由發生變化時觸發更新
收到Response報文的路由器會更新自己的RIPng路由表。為了保證路由的準確性,RIPng路由器會對收到的Response報文進行有效性檢查,比如源IPv6地址是否是鏈路本地地址,端口號是否正確等,沒有通過檢查的報文會被忽略。
與RIPng相關的規範有:
· RFC 2080:RIPng for IPv6
· RFC 2081:RIPng Protocol Applicability Statement
表1-1 RIPng配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
使能RIPng的基本功能 |
必選 |
||
|
配置RIPng路由特性 |
配置接口附加度量值 |
可選 |
|
|
配置RIPng路由聚合 |
可選 |
||
|
配置RIPng發布缺省路由 |
可選 |
||
|
配置RIPng對接收/發布的路由進行過濾 |
可選 |
||
|
配置RIPng協議優先級 |
可選 |
||
|
配置RIPng引入外部路由 |
可選 |
||
|
調整和優化RIPng網絡 |
配置RIPng定時器 |
可選 |
|
|
配置水平分割和毒性逆轉 |
可選 |
||
|
配置RIPng報文的零域檢查 |
可選 |
||
|
配置最大等價路由條數 |
可選 |
||
|
配置RIPng IPsec安全策略 |
可選 |
||
RIPng基本功能的配置任務包括RIPng特性配置中涉及的基本配置,完成本節的配置就可以使用RIPng特性。
在RIPng的配置中,應該最先使能RIPng。但是與RIPng功能特性相關的接口配置不受是否啟動了RIPng的限製,比如給接口配置一個IPv6地址。
在配置RIPng基本功能之前,需完成以下任務:
· 啟動IPv6報文轉發功能
· 配置接口的網絡層地址,使相鄰節點的網絡層可達
表1-2 配置RIPng的基本功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建RIPng進程並進入RIPng視圖 |
ripng [ process-id ] |
必選 缺省情況下,沒有RIPng進程在運行 |
|
退回係統視圖 |
quit |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
在指定的網絡接口上使能RIPng |
ripng process-id enable |
必選 缺省情況下,接口禁用RIPng |
如果接口沒有使能RIPng,那麼RIPng進程在該接口上既不發送也不接收RIPng路由。
在配置RIPng的路由特性之前,需完成以下任務:
· 配置接口的網絡層地址
· 配置RIPng基本功能
· 如果使用IPv6 ACL進行路由過濾,需要定義IPv6 ACL,相關配置請參見“ACL和QoS配置指導”中的“ACL”。
· 如果使用IPv6地址前綴列表進行路由過濾,需要定義IPv6地址前綴列表。
附加度量值是附加在RIPng路由上的輸入輸出度量值,包括發送附加度量值和接收附加度量值。發送附加度量值不會改變路由表中的路由度量值,僅當接口發送RIPng路由信息時才會添加到發送路由上;接收附加度量值會影響接收到的路由度量值,接口接收到一條合法的RIPng路由時,在將其加入路由表前會把附加度量值加到該路由上。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
設置接口接收RIPng路由時的附加度量值 |
ripng metricin value |
可選 缺省情況下,接口接收RIPng路由時的附加度量值為0 |
|
設置接口發送RIPng路由時的附加度量值 |
ripng metricout value |
可選 缺省情況下,接口發送RIPng路由時的附加度量值為1 |
表1-4 配置RIPng路由聚合
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置RIPng在接口發布聚合的IPv6前綴 |
ripng summary-address ipv6-address prefix-length |
必選 |
表1-5 配置RIPng發布缺省路由
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置RIPng發布缺省路由 |
ripng default-route { only | originate } [ cost cost ] |
必選 缺省情況下,RIPng進程不發布缺省路由 |
缺省路由將被強製通過指定接口的路由更新報文發布出去,該路由的發布不考慮其是否已經存在於本設備的IPv6路由表中。
用戶可通過使用IPv6 ACL和IPv6前綴列表對接收到的路由信息進行過濾,隻有通過過濾的路由才能被加入到RIPng路由表;此外,還可對本機所有要發布的路由進行過濾,包括從其它路由協議引入的路由和從鄰居學到的RIPng路由,隻有通過過濾的路由才能被發布給RIPng鄰居。
表1-6 配置RIPng對接收/發布的路由進行過濾
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RIPng視圖 |
ripng [ process-id ] |
- |
|
對接收的路由信息進行過濾 |
filter-policy { acl6-number | ipv6-prefix ipv6-prefix-name } import |
必選 缺省情況下,RIPng不對接收的路由信息進行過濾 |
|
對發布的路由信息進行過濾 |
filter-policy { acl6-number | ipv6-prefix ipv6-prefix-name } export [ protocol [ process-id ] ] |
必選 缺省情況下,RIPng不對發布的路由信息進行過濾 |
任何路由協議都具備特有的協議優先級,在設備進行路由選擇時能夠在不同的協議中選擇最佳路由。可以手工設置RIPng協議的優先級,設置的值越小,其優先級越高。
表1-7 配置RIPng協議優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RIPng視圖 |
ripng [ process-id ] |
- |
|
配置RIPng路由的優先級 |
preference preference |
可選 缺省情況下,RIPng路由的優先級為100 |
表1-8 配置RIPng引入外部路由
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RIPng視圖 |
ripng [ process-id ] |
- |
|
配置引入路由的缺省度量值 |
default cost cost |
可選 缺省情況下,引入路由的缺省度量值為0 |
|
引入外部路由 |
import-route protocol [ process-id ] [ cost cost ] * |
必選 缺省情況下,RIPng不引入其它路由 |
本節將介紹如何調整和優化RIPng網絡的性能,以及在特殊網絡環境中某些RIPng特性的應用,在調整和優化RIPng網絡之前,需完成以下任務:
· 配置接口的網絡層地址
· 配置RIPng基本功能
用戶可通過調節RIPng定時器來調整RIPng路由協議的性能,以滿足網絡需要。
表1-9 配置RIPng定時器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RIPng視圖 |
ripng [ process-id ] |
- |
|
配置RIPng定時器的值 |
timers { garbage-collect garbage-collect-value | suppress suppress-value | timeout timeout-value | update update-value } * |
可選 缺省情況下,Update定時器的值為30秒,Timeout定時器的值為180秒,Suppress定時器的值為120秒,Garbage-collect定時器的值為120秒 |
在配置RIPng定時器時需要注意,定時器值的調整應考慮網絡的性能,並在所有運行RIPng的路由器上進行統一配置,避免增加不必要的網絡流量。
如果同時配置了水平分割和毒性逆轉,則隻有毒性逆轉功能生效。
配置水平分割可以使得從一個接口學到的路由不能通過此接口向外發布,用於避免相鄰路由器間的路由環路。
表1-10 配置水平分割
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使能水平分割功能 |
ripng split-horizon |
可選 缺省情況下,水平分割功能處於使能狀態 |
· 通常情況下,為了防止路由環路的出現,水平分割都是必要的,因此,建議不要關閉水平分割。
· 在幀中繼和X.25等NBMA(Non-Broadcast Multi-Access,非廣播多路訪問)網絡中,當主接口和點到多點子接口配置了多條虛電路時,為了保證路由信息的正確傳播,需要關閉水平分割功能。
配置毒性逆轉可以使得從一個接口學到的路由還可以從這個接口向外發布,但此時這些路由的度量值已設置為16,即不可達。
表1-11 配置毒性逆轉
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使能毒性逆轉功能 |
ripng poison-reverse |
必選 缺省情況下,毒性逆轉功能處於關閉狀態 |
RIPng報文頭部中的一些字段必須配置為0,也稱為零域。使能RIPng報文的零域檢查功能後,如果報文頭部零域中的值不為零,這些報文將被丟棄,不做處理。如果能確保所有報文都是可信任的,則不需要進行該項檢查,以節省CPU處理時間。
表1-12 配置RIPng報文的零域檢查
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RIPng視圖 |
ripng [ process-id ] |
- |
|
使能對RIPng報文頭部的零域檢查操作 |
checkzero |
可選 缺省情況下,RIPng進行零域檢查操作 |
表1-13 配置最大等價路由條數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RIPng視圖 |
ripng [ process-id ] |
- |
|
配置RIPng最大等價路由條數 |
maximum load-balancing number |
可選 RIPng支持的最大等價路由條數為4 |
在安全性要求較高的網絡環境中,可以通過配置基於IPsec安全策略的認證方式來對RIPng報文進行有效性檢查和驗證。
路由器在發送的報文中會攜帶配置好的IPsec安全策略的SPI(Security Parameter Index,安全參數索引)值,接收報文時通過SPI值進行IPsec安全策略匹配:隻有策略匹配的報文才能接收;否則將不會接收報文,從而不能正常建立鄰居和學習路由。
RIPng支持在進程和接口下配置IPsec安全策略。進程下配置的IPsec安全策略對該進程下的所有報文有效,接口下的IPsec安全策略隻對接口下的報文有效。當接口和接口所在進程均配置了IPsec安全策略時,接口下的策略生效。
配置RIPng IPsec安全策略之前,需要滿足下麵配置:
· 安全提議已經創建。
· IPsec安全策略已經創建。
關於安全提議和IPsec安全策略的詳細配置過程,請參見“安全配置指導”中的“IPsec”。
表1-14 配置RIPng IPsec安全策略(RIPng進程)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入RIPng視圖 |
ripng [ process-id ] |
- |
|
配置RIPng進程應用IPsec安全策略 |
enable ipsec-policy policy-name |
必選 缺省情況下,RIPng進程沒有應用IPsec安全策略 |
表1-15 配置RIPng IPsec安全策略(接口)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置使能了RIPng的接口上應用IPsec安全策略 |
ripng ipsec-policy policy-name |
必選 缺省情況下,使能了RIPng的接口上沒有應用IPsec安全策略 |
RIPng IPsec安全策略隻支持手工配置方式,具體情況請參見“安全配置指導”中的“IPsec”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後RIPng的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以重啟RIPng進程或清除指定RIPng進程的統計信息。
表1-16 RIPng顯示和維護
|
操作 |
命令 |
|
顯示RIPng進程的配置信息 |
display ripng [ process-id ] [ | { begin | exclude | include } regular-expression ] |
|
顯示RIPng發布數據庫中的路由 |
display ripng process-id database [ | { begin | exclude | include } regular-expression ] |
|
顯示指定RIPng進程的路由信息 |
display ripng process-id route [ | { begin | exclude | include } regular-expression ] |
|
顯示RIPng的接口信息 |
display ripng process-id interface [ interface-type interface-number ] [ | { begin | exclude | include } regular-expression ] |
|
重啟RIPng進程 |
reset ripng process-id process |
|
清除RIPng進程的統計信息 |
reset ripng process-id statistics |
· Switch A、AC和Switch B相連並通過RIPng來學習網絡中的IPv6路由信息;
· 在AC上對接收的Switch B的路由(3::/64)進行過濾,使其不加入到AC的RIPng進程的路由表中,也不發布給Switch A。
圖1-4 RIPng配置舉例組網圖
(1) 配置各接口的IPv6地址(略)
(2) 配置RIPng的基本功能
# 配置Switch A。
<SwitchA> system-view
[SwitchA] ripng 1
[SwitchA-ripng-1] quit
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ripng 1 enable
[SwitchA-Vlan-interface100] quit
[SwitchA] interface vlan-interface 400
[SwitchA-Vlan-interface400] ripng 1 enable
[SwitchA-Vlan-interface400] quit
# 配置AC。
<AC> system-view
[AC] ripng 1
[AC-ripng-1] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ripng 1 enable
[AC-Vlan-interface100] quit
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ripng 1 enable
[AC-Vlan-interface200] quit
# 配置Switch B。
<SwitchB> system-view
[SwitchB] ripng 1
[SwitchB-ripng-1] quit
[SwitchB] interface vlan-interface 200
[SwitchB-Vlan-interface200] ripng 1 enable
[SwitchB-Vlan-interface200] quit
[SwitchB] interface vlan-interface 500
[SwitchB-Vlan-interface500] ripng 1 enable
[SwitchB-Vlan-interface500] quit
[SwitchB] interface vlan-interface 600
[SwitchB-Vlan-interface600] ripng 1 enable
[SwitchB-Vlan-interface600] quit
# 查看AC的RIPng路由表。
[AC] display ripng 1 route
Route Flags: A - Aging, S - Suppressed, G - Garbage-collect
----------------------------------------------------------------
Peer FE80::20F:E2FF:FE23:82F5 on Vlan-interface100
Dest 1::/64,
via FE80::20F:E2FF:FE23:82F5, cost 1, tag 0, A, 6 Sec
Dest 2::/64,
via FE80::20F:E2FF:FE23:82F5, cost 1, tag 0, A, 6 Sec
Peer FE80::20F:E2FF:FE00:100 on Vlan-interface200
Dest 3::/64,
via FE80::20F:E2FF:FE00:100, cost 1, tag 0, A, 11 Sec
Dest 4::/64,
via FE80::20F:E2FF:FE00:100, cost 1, tag 0, A, 11 Sec
Dest 5::/64,
via FE80::20F:E2FF:FE00:100, cost 1, tag 0, A, 11 Sec
(3) 配置AC對接收和發布的路由進行過濾
[AC] acl ipv6 number 2000
[AC-acl6-basic-2000] rule deny source 3::/64
[AC-acl6-basic-2000] rule permit
[AC-acl6-basic-2000] quit
[AC] ripng 1
[AC-ripng-1] filter-policy 2000 import
[AC-ripng-1] filter-policy 2000 export
# 查看AC和Switch A的RIPng路由表。
[AC] display ripng 1 route
Route Flags: A - Aging, S - Suppressed, G - Garbage-collect
----------------------------------------------------------------
Peer FE80::20F:E2FF:FE23:82F5 on Vlan-interface100
Dest 1::/64,
via FE80::20F:E2FF:FE23:82F5, cost 1, tag 0, A, 2 Sec
Dest 2::/64,
via FE80::20F:E2FF:FE23:82F5, cost 1, tag 0, A, 2 Sec
Peer FE80::20F:E2FF:FE00:100 on Vlan-interface200
Dest 4::/64,
via FE80::20F:E2FF:FE00:100, cost 1, tag 0, A, 5 Sec
Dest 5::/64,
via FE80::20F:E2FF:FE00:100, cost 1, tag 0, A, 5 Sec
[SwitchA] display ripng 1 route
Route Flags: A - Aging, S - Suppressed, G - Garbage-collect
----------------------------------------------------------------
Peer FE80::20F:E2FF:FE00:1235 on Vlan-interface100
Dest 1::/64,
via FE80::20F:E2FF:FE00:1235, cost 1, tag 0, A, 2 Sec
Dest 4::/64,
via FE80::20F:E2FF:FE00:1235, cost 2, tag 0, A, 2 Sec
Dest 5::/64,
via FE80::20F:E2FF:FE00:1235, cost 2, tag 0, A, 2 Sec
· AC上運行兩個RIPng進程:RIPng100和RIPng200。AC通過RIPng100和Switch A交換路由信息,通過RIPng200和Switch B交換路由信息。
· 要求在AC上配置路由引入,將兩個不同進程的RIPng路由相互引入到對方的RIPng進程中,將引入的RIPng200的路由缺省度量值設為3。
圖1-5 配置RIPng引入外部路由組網圖
(1) 配置各接口的IPv6地址(略)
(2) 配置RIPng
# 在Switch A上啟動RIPng進程100。
<SwitchA> system-view
[SwitchA] ripng 100
[SwitchA-ripng-100] quit
[SwitchA] interface vlan-interface 200
[SwitchA-Vlan-interface200] ripng 100 enable
[SwitchA-Vlan-interface200] quit
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ripng 100 enable
# 在AC上啟動兩個RIPng進程,進程號分別為100和200。
<AC> system-view
[AC] ripng 100
[AC-ripng-100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ripng 100 enable
[AC-Vlan-interface100] quit
[AC] ripng 200
[AC-ripng-200] quit
[AC] interface vlan-interface 300
[AC-Vlan-interface300] ripng 200 enable
# 在Switch B上啟動RIPng進程200。
<SwitchB> system-view
[SwitchB] ripng 200
[SwitchB-ripng-200] quit
[SwitchB] interface vlan-interface 400
[SwitchB-Vlan-interface400] ripng 200 enable
[SwitchB- Vlan-interface400] quit
[SwitchB] interface vlan-interface 300
[SwitchB-Vlan-interface300] ripng 200 enable
[SwitchB-Vlan-interface300] quit
# 查看Switch A的路由表信息。
[RouterA] display ipv6 routing-table
Routing Table :
Destinations : 6 Routes : 6
Destination: ::1/128 Protocol : Direct
NextHop : ::1 Preference: 0
Interface : InLoop0 Cost : 0
Destination: 1::/64 Protocol : Direct
NextHop : 1::1 Preference: 0
Interface : Vlan100 Cost : 0
Destination: 1::1/128 Protocol : Direct
NextHop : ::1 Preference: 0
Interface : InLoop0 Cost : 0
Destination: 2::/64 Protocol : Direct
NextHop : 2::1 Preference: 0
Interface : Vlan200 Cost : 0
Destination: 2::1/128 Protocol : Direct
NextHop : ::1 Preference: 0
Interface : InLoop0 Cost : 0
Destination: FE80::/10 Protocol : Direct
NextHop : :: Preference: 0
Interface : NULL0 Cost : 0
(3) 配置RIPng引入外部路由
# 在AC上將兩個不同RIPng進程的路由相互引入到對方的路由表中。
[AC] ripng 100
[AC-ripng-100] default cost 3
[AC-ripng-100] import-route ripng 200
[AC-ripng-100] quit
[AC] ripng 200
[AC-ripng-200] import-route ripng 100
[AC-ripng-200] quit
# 查看路由引入後Switch A的路由表信息。
[SwitchA] display ipv6 routing-table
Routing Table :
Destinations : 7 Routes : 7
Destination: ::1/128 Protocol : Direct
NextHop : ::1 Preference: 0
Interface : InLoop0 Cost : 0
Destination: 1::/64 Protocol : Direct
NextHop : 1::1 Preference: 0
Interface : Vlan100 Cost : 0
Destination: 1::1/128 Protocol : Direct
NextHop : ::1 Preference: 0
Interface : InLoop0 Cost : 0
Destination: 2::/64 Protocol : Direct
NextHop : 2::1 Preference: 0
Interface : Vlan200 Cost : 0
Destination: 2::1/128 Protocol : Direct
NextHop : ::1 Preference: 0
Interface : InLoop0 Cost : 0
Destination: 4::/64 Protocol : RIPng
NextHop : FE80::200:BFF:FE01:1C02 Preference: 100
Interface : Vlan100 Cost : 4
Destination: FE80::/10 Protocol : Direct
NextHop : :: Preference: 0
Interface : NULL0 Cost : 0
· Switch A、AC和Switch B相連並通過RIPng來學習網絡中的IPv6路由信息。
· 要求配置IPsec安全策略對Switch A、AC和Switch B之間的RIPng報文進行有效性檢查和驗證。
圖1-6 RIPng IPsec安全策略組網圖
(1) 配置各接口的IPv6地址(略)
(2) 配置RIPng的基本功能
# 配置Switch A。
<SwitchA> system-view
[SwitchA] ripng 1
[SwitchA-ripng-1] quit
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ripng 1 enable
[SwitchA-Vlan-interface100] quit
# 配置AC。
<AC> system-view
[AC] ripng 1
[AC-ripng-1] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ripng 1 enable
[AC-Vlan-interface100] quit
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ripng 1 enable
[AC-Vlan-interface200] quit
# 配置Switch B。
<SwitchB> system-view
[SwitchB] ripng 1
[SwitchB-ripng-1] quit
[SwitchB] interface vlan-interface 200
[SwitchB-Vlan-interface200] ripng 1 enable
[SwitchB- Vlan-interface200] quit
(3) 配置RIPng IPsec安全策略
# 配置Router A。創建名為tran1的安全提議,報文封裝形式采用傳輸模式,安全協議采用ESP協議。創建一條安全策略policy001,協商方式為manual,配置SPI和密鑰。
[SwitchA] ipsec transform-set tran1
[SwitchA-ipsec-transform-set-tran1] encapsulation-mode transport
[SwitchA-ipsec-transform-set-tran1] transform esp
[SwitchA-ipsec-transform-set-tran1] esp encryption-algorithm des
[SwitchA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[SwitchA-ipsec-transform-set-tran1] quit
[SwitchA] ipsec policy policy001 10 manual
[SwitchA-ipsec-policy-manual-policy001-10] transform-set tran1
[SwitchA-ipsec-policy-manual-policy001-10] sa spi outbound esp 12345
[SwitchA-ipsec-policy-manual-policy001-10] sa spi inbound esp 12345
[SwitchA-ipsec-policy-manual-policy001-10] sa string-key outbound esp abcdefg
[SwitchA-ipsec-policy-manual-policy001-10] sa string-key inbound esp abcdefg
[SwitchA-ipsec-policy-manual-policy001-10] quit
# 配置AC。創建名為tran1的安全提議,報文封裝形式采用傳輸模式,安全協議采用ESP協議。創建一條安全策略policy001,協商方式為manual,配置SPI和密鑰。
[AC] ipsec transform-set tran1
[AC-ipsec-transform-set-tran1] encapsulation-mode transport
[AC-ipsec-transform-set-tran1] transform esp
[AC-ipsec-transform-set-tran1] esp encryption-algorithm des
[AC-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[AC-ipsec-transform-set-tran1] quit
[AC] ipsec policy policy001 10 manual
[AC-ipsec-policy-manual-policy001-10] transform-set tran1
[AC-ipsec-policy-manual-policy001-10] sa spi outbound esp 12345
[AC-ipsec-policy-manual-policy001-10] sa spi inbound esp 12345
[AC-ipsec-policy-manual-policy001-10] sa string-key outbound esp abcdefg
[AC-ipsec-policy-manual-policy001-10] sa string-key inbound esp abcdefg
[AC-ipsec-policy-manual-policy001-10] quit
# 配置Switch B。創建名為tran1的安全提議,報文封裝形式采用傳輸模式,安全協議采用ESP協議。創建一條安全策略policy001,協商方式為manual,配置SPI和密鑰。
[SwitchB] ipsec transform-set tran1
[SwitchB-ipsec-transform-set-tran1] encapsulation-mode transport
[SwitchB-ipsec-transform-set-tran1] transform esp
[SwitchB-ipsec-transform-set-tran1] esp encryption-algorithm des
[SwitchB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[SwitchB-ipsec-transform-set-tran1] quit
[SwitchA] ipsec policy policy001 10 manual
[SwitchB-ipsec-policy-manual-policy001-10] transform-set tran1
[SwitchB-ipsec-policy-manual-policy001-10] sa spi outbound esp 12345
[SwitchB-ipsec-policy-manual-policy001-10] sa spi inbound esp 12345
[SwitchB-ipsec-policy-manual-policy001-10] sa string-key outbound esp abcdefg
[SwitchB-ipsec-policy-manual-policy001-10] sa string-key inbound esp abcdefg
[SwitchB-ipsec-policy-manual-policy001-10] quit
(4) RIPng進程上應用IPsec安全策略
# 配置Switch A。
[SwitchA] ripng 1
[SwitchA-ripng-1] enable ipsec-policy policy001
[SwitchA-ripng-1] quit
# 配置AC。
[AC] ripng 1
[AC-ripng-1] enable ipsec-policy policy001
[AC-ripng-1] quit
# 配置Switch B。
[SwitchB] ripng 1
[SwitchB-ripng-1] enable ipsec-policy policy001
[SwitchB-ripng-1] quit
以上配置完成後,Switch A、AC和Switch B之間的RIPng報文將被加密傳輸。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
