通过静态IPv6地址实现设备间通信
通过静态IPv6地址实现设备间通信
设备使用静态IPv6地址接入Internet,并为内部网络提供网络访问服务。
配置思路
- 配置接口的IP地址,并将接口加入相应的安全区域。
- 配置安全策略,允许内部网络中的PC访问Internet。
- 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
- 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。
- 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。
操作步骤
- 开启全局的IPv6功能,使设备可以转发IPv6报文。
<FW> system-view [FW] ipv6
- 配置接口GigabitEthernet 1/0/1的IPv6地址。
[FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ipv6 enable [FW-GigabitEthernet1/0/1] ipv6 address 2001:0DB8:0203::1234 48 [FW-GigabitEthernet1/0/1] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/1 [FW-zone-trust] quit
- 配置接口GigabitEthernet 1/0/2的IPv6地址。
[FW] interface GigabitEthernet 1/0/2 [FW-GigabitEthernet1/0/2] ipv6 enable [FW-GigabitEthernet1/0/2] ipv6 address 2001:0DB8:0506::1234 48 [FW-GigabitEthernet1/0/2] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/2 [FW-zone-untrust] quit
- 配置安全策略。在实际场景可以配置更加精确的安全策略来控制私网用户的访问网络行为。
[FW] security-policy [FW-policy-security] rule name policy_sec_1 [FW-policy-security-rule-policy_sec_1] source-zone trust [FW-policy-security-rule-policy_sec_1] destination-zone untrust [FW-policy-security-rule-policy_sec_1] action permit [FW-policy-security-rule-policy_sec_1] quit [FW-policy-security] quit
- 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
[FW] ipv6 route-static 0:0::0:0 0 2001:0DB8:0506::5678 - 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。
- 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。
通常需要联系ISP的网络管理员来配置此静态路由。
结果验证
-
以FW为例,检查接口GigabitEthernet 1/0/1的状态。如果配置成功,可以查看配置的全球单播地址,且接口的物理状态和IPv6协议状态均为Up。
[FW] display ipv6 interface GigabitEthernet 1/0/1 GigabitEthernet1/0/1 current state : UP IPv6 protocol current state : UP IPv6 is enabled, link-local address is FE80::2E0:FCFF:FE00:1708 Global unicast address(es): 2001:0DB8:0203::1234, subnet is 2001:0DB8:0203::/48 Joined group address(es): FF02::1:FF00:1 FF02::2 FF02::1 FF02::1:FF48:3EF MTU is 1500 bytes ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds ND retransmit interval is 1000 milliseconds ND stale time is 1200 seconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisement max interval 600 seconds, min interval 200 seconds ND router advertisements live for 1800 seconds ND router advertisements hop-limit 64 ND default router preference medium Hosts use stateless autoconfig for addresses
- 检查内部网络中的PC是否能访问Internet,若能访问,则表示配置成功。否则,请检查配置。
配置脚本
FW的配置脚本:
# ipv6 # sysname FW # interface GigabitEthernet1/0/1 ipv6 enable ipv6 address 2001:0DB8:0203::1234 48 # interface GigabitEthernet1/0/2 ipv6 enable ipv6 address 2001:0DB8:0506::1234 48 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/2 # security-policy rule name policy_sec_1 source-zone trust destination-zone untrust action permit # ipv6 route-static 0:0::0:0 0 2001:0DB8:0506::5678 # return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2170.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
打赏
海报
通过静态IPv6地址实现设备间通信
通过静态IPv6地址实现设备间通信
设备使用静态IPv6地址接入Internet,并为内部网络提供网络访问服务。
组网需求
某企业在网络边界处部署了FW作为安全网关,……
共有 0 条评论