通过静态IPv6地址实现设备间通信

通过静态IPv6地址实现设备间通信

设备使用静态IPv6地址接入Internet,并为内部网络提供网络访问服务。

组网需求

某企业在网络边界处部署了FW作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络IPv6接入Internet的需求。

图1 通过IPv6地址接入Internet组网图

配置思路

  1. 配置接口的IP地址,并将接口加入相应的安全区域。
  2. 配置安全策略,允许内部网络中的PC访问Internet。
  3. FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
  4. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW
  5. 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW

操作步骤

  1. 开启全局的IPv6功能,使设备可以转发IPv6报文。
    <FW> system-view
    [FW] ipv6
  2. 配置接口GigabitEthernet 1/0/1的IPv6地址。
    [FW] interface GigabitEthernet 1/0/1
    [FW-GigabitEthernet1/0/1] ipv6 enable
    [FW-GigabitEthernet1/0/1] ipv6 address 2001:0DB8:0203::1234 48
    [FW-GigabitEthernet1/0/1] quit
    [FW] firewall zone trust
    [FW-zone-trust] add interface GigabitEthernet 1/0/1
    [FW-zone-trust] quit
  3. 配置接口GigabitEthernet 1/0/2的IPv6地址。
    [FW] interface GigabitEthernet 1/0/2
    [FW-GigabitEthernet1/0/2] ipv6 enable
    [FW-GigabitEthernet1/0/2] ipv6 address 2001:0DB8:0506::1234 48
    [FW-GigabitEthernet1/0/2] quit
    [FW] firewall zone untrust
    [FW-zone-untrust] add interface GigabitEthernet 1/0/2
    [FW-zone-untrust] quit
  4. 配置安全策略。在实际场景可以配置更加精确的安全策略来控制私网用户的访问网络行为。
    [FW] security-policy
    [FW-policy-security] rule name policy_sec_1
    [FW-policy-security-rule-policy_sec_1] source-zone trust
    [FW-policy-security-rule-policy_sec_1] destination-zone untrust
    [FW-policy-security-rule-policy_sec_1] action permit
    [FW-policy-security-rule-policy_sec_1] quit
    [FW-policy-security] quit
  5. FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
    [FW] ipv6 route-static 0:0::0:0 0 2001:0DB8:0506::5678
  6. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW
  7. 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW

    通常需要联系ISP的网络管理员来配置此静态路由。

结果验证

  1. FW为例,检查接口GigabitEthernet 1/0/1的状态。如果配置成功,可以查看配置的全球单播地址,且接口的物理状态和IPv6协议状态均为Up。

    [FW] display ipv6 interface GigabitEthernet 1/0/1
    GigabitEthernet1/0/1 current state : UP                                         
    IPv6 protocol current state : UP                                                
    IPv6 is enabled, link-local address is FE80::2E0:FCFF:FE00:1708
      Global unicast address(es):                                                   
        2001:0DB8:0203::1234, subnet is 2001:0DB8:0203::/48                                                
      Joined group address(es):                                                     
        FF02::1:FF00:1                                                              
        FF02::2                                                                     
        FF02::1                                                                     
        FF02::1:FF48:3EF                                                            
      MTU is 1500 bytes                                                             
      ND DAD is enabled, number of DAD attempts: 1                                  
      ND reachable time is 30000 milliseconds                                       
      ND retransmit interval is 1000 milliseconds                                   
      ND stale time is 1200 seconds                                                 
      ND advertised reachable time is 0 milliseconds                                
      ND advertised retransmit interval is 0 milliseconds                           
      ND router advertisement max interval 600 seconds, min interval 200 seconds    
      ND router advertisements live for 1800 seconds                                
      ND router advertisements hop-limit 64                                         
      ND default router preference medium                                           
      Hosts use stateless autoconfig for addresses
  2. 检查内部网络中的PC是否能访问Internet,若能访问,则表示配置成功。否则,请检查配置。

配置脚本

FW的配置脚本:

#                                                                               
 ipv6                                                                           
#                                                                               
 sysname FW                    
#                                                                               
interface GigabitEthernet1/0/1           
 ipv6 enable                                                                    
 ipv6 address 2001:0DB8:0203::1234 48 
#                                                                               
interface GigabitEthernet1/0/2           
 ipv6 enable                                                                    
 ipv6 address 2001:0DB8:0506::1234 48 
#                                                                               
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet1/0/1          
#                                                                               
firewall zone trust                                                           
 set priority 85                                                                 
 add interface GigabitEthernet1/0/2 
#                                                                               
security-policy                                                                 
  rule name policy_sec_1                                                                                                                 
    source-zone trust                                                                                                              
    destination-zone untrust                                                    
    action permit                                                               
#
ipv6 route-static 0:0::0:0 0 2001:0DB8:0506::5678
#
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2170.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
通过静态IPv6地址实现设备间通信
通过静态IPv6地址实现设备间通信 设备使用静态IPv6地址接入Internet,并为内部网络提供网络访问服务。 组网需求 某企业在网络边界处部署了FW作为安全网关,……
<<上一篇
下一篇>>