好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



MSR系列路由器ISISv6 + GRE隧道 + IPSec方式穿越NAT功能的配置

 

关键字:MSR;IPSec;NAT;野蛮模式;NAT;IPv6;ISISv6;IS-ISv6;GRE

 

一、组网需求

RT1RT2都是IPv6孤岛的出口,RT2出口处还有一个NAT设备,RT1RT2通过建立一个穿越NATIPSec隧道,然后在这个IPSec隧道之上建立一个IPv6GRE隧道,并在GRE隧道上运行ISIS路由协议传递IPv6路由,使双方的IPv6站点可以互通,可以根据需要将ISIS换成OSPFv3或者RIPng

设备清单:MSR系列路由器3

二、组网图:

三、配置步骤:

RT1配置

#

 //IKE本地名字

 ike local-name rt1

#

 //全局使能IPv6

 ipv6

#

//配置对端IKE Peer

ike peer rt2

 //野蛮模式

 exchange-mode aggressive

 pre-shared-key h3c

 id-type name

 remote-name rt2

 //使能NAT穿越

 nat traversal

#

//安全提议

ipsec proposal 1

#

//安全策略模板

ipsec policy-template rt2 1

 ike-peer rt2

 proposal 1

#

//通过模板配置安全策略

ipsec policy tort2 1 isakmp template rt2

#

//ISIS配置

isis 1

 network-entity 11.1111.1111.1111.00

 #

  //使能ISISIPv6路由功能

  ipv6 enable

 #

#

interface Ethernet0/0

 port link-mode route

 //连结外网的接口地址

 ip address 1.1.1.2 255.255.255.0

 //绑定安全策略

 ipsec policy tort2

#

interface Ethernet0/1

 port link-mode route

 //内部IPv6接口地址

 ipv6 address 1::1/64

 //使能ISIS IPv6路由功能

 isis ipv6 enable 1

#

//GRE隧道接口

interface Tunnel0

 //配置IPv6地址,只配置Link-Local地址就可使IPv6路由协议正常工作

 ipv6 address auto link-local

 //指定隧道的源地址

 source Ethernet0/0

 //指定隧道的目的地址

 destination 192.168.2.1

 //使能ISIS IPv6路由功能

 isis ipv6 enable 1

#

 //配置一条静态路由,下一跳是NAT

 ip route-static 0.0.0.0 0.0.0.0 1.1.1.1

#

RT2配置

#

 //IKE本地名字

 ike local-name rt2

#

 //全局使能IPv6

 ipv6

#

//配置对端IKE Peer

ike peer rt1

 //野蛮模式

 exchange-mode aggressive

 pre-shared-key h3c

 id-type name

 remote-name rt1

 remote-address 1.1.1.2

 //使能NAT穿越

 nat traversal

#

//安全提议

ipsec proposal 1

#

//IPSec安全策略配置

ipsec policy tort1 1 isakmp

 security acl 3000

 ike-peer rt1

 proposal 1

#

//ISIS配置

isis 1

 network-entity 22.2222.2222.2222.00

 #

  //使能ISISIPv6路由功能

  ipv6 enable

 #

#

//配置触发IPSecACL192.168.2.1ßà1.1.1.2GRE流量)

acl number 3000

 rule 0 permit gre source 192.168.2.1 0 destination 1.1.1.2 0

#

interface Ethernet0/0

 port link-mode route

 //连结外网的接口地址

 ip address 192.168.2.1 255.255.255.0

 //绑定安全策略

 ipsec policy tort1

#

interface Ethernet0/1

 port link-mode route

 //内部IPv6接口地址

 ipv6 address 2::1/64

 //使能ISIS IPv6路由功能

 isis ipv6 enable 1

#

//GRE隧道接口

interface Tunnel0

 //配置IPv6地址,只配置Link-Local地址就可使IPv6路由协议正常工作

 ipv6 address auto link-local

 //指定隧道的源地址

 source Ethernet0/0

 //指定隧道的目的地址

 destination 1.1.1.2

 //使能ISIS IPv6路由功能

 isis ipv6 enable 1

#

 //配置一条静态路由下一跳是NAT

 ip route-static 0.0.0.0 0.0.0.0 192.168.2.2

#

NAT配置

#

 //NAT地址池配置

 nat address-group 0 2.0.0.1 2.0.0.10

#

//触发NATACL

acl number 2000

 rule 0 permit source 192.168.2.1 0

#

interface Ethernet0/0

 port link-mode route

 //连结RT2的接口地址

 ip address 192.168.2.2 255.255.255.0

#

interface Ethernet0/1

 port link-mode route

 //连结公网的接口地址上配置NAT Outbound

 nat outbound 2000 address-group 0

 ip address 1.1.1.1 255.255.255.0

#

四、配置关键点

1) RT2上注意ACL的配置,必须包含GRE流量。

2) 野蛮模式配置参考IPSec穿越NAT的典型配置案例

3) Tunnel接口上可以只配置FE80开头的链路本地地址;

4) ISISv6配置参考相关典型配置;

5) 在相关接口使能isis ipv6 enable

X Close
X Close