Cisco IPv6 IPv4
Материал из Xgu.ru
На этой странице описывается процедура настройки:
- статического IPv6 туннеля через IPv4 сеть,
- защиты туннеля с помощью IPsec,
- статической трансляции между адресами IPv4 и IPv6 (NAT-PT).
На странице Cisco IPv6 IPv4/config представлена схема и конфигурационные файлы для виртуальной сети Xentaur, которая рассматривается на этой странице.
Содержание |
[править] Задача
[править] Настройка статического IPv6 туннеля через IPv4 сеть
Создание туннельного интерфейса и назначение IPv6-адреса:
dyn1(config)# interface Tunnel0 dyn1(config-if)# ipv6 address 2001:128:0:23::1/64
Source и destination адреса для туннеля:
dyn1(config-if)# tunnel source 192.168.2.1 dyn1(config-if)# tunnel destination 192.168.3.3
Настройка режима туннеля (статический туннель):
dyn1(config)# tunnel mode ipv6ip
[править] Проверка работы туннеля
С qua7, после настройки туннеля, доступна qua4:
qua7# ping ipv6 2001:128:0:4::4 PING 2001:128:0:4::4(2001:128:0:4::4) 56 data bytes 64 bytes from 2001:128:0:4::4: icmp_seq=1 ttl=62 time=637 ms 64 bytes from 2001:128:0:4::4: icmp_seq=2 ttl=62 time=529 ms 64 bytes from 2001:128:0:4::4: icmp_seq=3 ttl=62 time=519 ms 64 bytes from 2001:128:0:4::4: icmp_seq=4 ttl=62 time=420 ms --- 2001:128:0:4::4 ping statistics --- 5 packets transmitted, 4 received, 20% packet loss, time 3997ms rtt min/avg/max/mdev = 420.855/526.793/637.889/76.854 ms
Таблица маршрутизации на dyn1:
dyn1#sh ipv6 route IPv6 Routing Table - 7 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 C 2001:128:0:1::/64 [0/0] via ::, FastEthernet0/0 L 2001:128:0:1::1/128 [0/0] via ::, FastEthernet0/0 S 2001:128:0:4::/64 [1/0] via ::, Tunnel0 C 2001:128:0:23::/64 [0/0] via ::, Tunnel0 L 2001:128:0:23::1/128 [0/0] via ::, Tunnel0 L FE80::/10 [0/0] via ::, Null0 L FF00::/8 [0/0] via ::, Null0
[править] Просмотр информации о туннелях
Просмотр информации о IPv6-интерфейсах на маршрутизаторе dyn1:
dyn1# show ipv6 interface brief FastEthernet0/0 [up/up] FE80::C000:4FF:FEB6:0 2001:128:0:1::1 FastEthernet1/0 [up/up] unassigned Tunnel0 [up/up] FE80::C0A8:201 2001:128:0:23::1
Просмотр информации о туннельном интерфейсе на маршрутизаторе dyn1:
dyn1#show ipv6 int tunnel 0 Tunnel0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::C0A8:201 Global unicast address(es): 2001:128:0:23::1, subnet is 2001:128:0:23::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:1 FF02::1:FFA8:201 MTU is 1480 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds Hosts use stateless autoconfig for addresses.
[править] Настройка IPsec
[править] Настройка ISAKMP
Настройка политики isakmp на dyn1:
dyn1(config)# crypto isakmp policy 10 dyn1(config-isakmp)# encr 3des dyn1(config-isakmp)# hash md5 dyn1(config-isakmp)# authentication pre-share dyn1(config-isakmp)# group 2
Настройка pre-shared key, который будет использоваться для аутентификации:
dyn1(config)# crypto isakmp key 0 dynpass 192.168.3.3
[править] Настройка transform set и crypto map
Создание transform set и задание транспортного режима:
dyn1(config)# crypto ipsec transform-set dynset esp-3des esp-md5-hmac dyn1(cfg-crypto-trans)#mode transport
Настройка access-list, который указывает какой трафик будет шифроваться:
dyn1(config)#ip access-list extended ipv6_ipsec dyn1(config-ext-nacl)#permit ip host 192.168.2.1 host 192.168.3.3
Настройка сrypto map:
dyn1(config)#crypto map dynmap 10 ipsec-isakmp dyn1(config-crypto-map)#set transform-set dynset dyn1(config-crypto-map)#set peer 192.168.3.3 dyn1(config-crypto-map)#match address ipv6_ipsec
[править] Применение crypto map на интерфейсе
Применение сrypto map на интерфейсе:
dyn1(config)#int fa 1/0 dyn1(config-if)#crypto map dynmap
[править] Проверка работы туннеля с IPsec
С qua7, после настройки IPsec, доступна qua4 (первые несколько пингов пропадают, так как в это время устанавливается туннель):
qua7# ping ipv6 2001:128:0:4::4 PING 2001:128:0:4::4(2001:128:0:4::4) 56 data bytes 64 bytes from 2001:128:0:4::4: icmp_seq=6 ttl=62 time=836 ms 64 bytes from 2001:128:0:4::4: icmp_seq=7 ttl=62 time=417 ms 64 bytes from 2001:128:0:4::4: icmp_seq=8 ttl=62 time=317 ms 64 bytes from 2001:128:0:4::4: icmp_seq=9 ttl=62 time=497 ms 64 bytes from 2001:128:0:4::4: icmp_seq=10 ttl=62 time=397 ms
Просмотр информации о isakmp sa:
dyn1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 192.168.3.3 192.168.2.1 QM_IDLE 1001 0 ACTIVE IPv6 Crypto ISAKMP SA
Просмотр информации о IPsec sa:
dyn1#sh cry ipsec sa interface: FastEthernet1/0 Crypto map tag: dynmap, local addr 192.168.2.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.2.1/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (192.168.3.3/255.255.255.255/0/0) current_peer 192.168.3.3 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 405, #pkts encrypt: 405, #pkts digest: 405 #pkts decaps: 405, #pkts decrypt: 405, #pkts verify: 405 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 5, #recv errors 0 local crypto endpt.: 192.168.2.1, remote crypto endpt.: 192.168.3.3 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1/0 current outbound spi: 0x4A4DF9AB(1246624171) inbound esp sas: spi: 0xB55C47CE(3042723790) transform: esp-3des esp-md5-hmac , in use settings ={Transport, } conn id: 1, flow_id: SW:1, crypto map: dynmap sa timing: remaining key lifetime (k/sec): (4564195/3094) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x4A4DF9AB(1246624171) transform: esp-3des esp-md5-hmac , in use settings ={Transport, } conn id: 2, flow_id: SW:2, crypto map: dynmap sa timing: remaining key lifetime (k/sec): (4564195/3092) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas:
Просмотр информации о crypto map:
dyn1#sh crypto map Crypto Map "dynmap" 10 ipsec-isakmp Peer = 192.168.3.3 Extended IP access list ipv6_ipsec access-list ipv6_ipsec permit ip host 192.168.2.1 host 192.168.3.3 Current peer: 192.168.3.3 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ dynset, } Interfaces using crypto map dynmap: FastEthernet1/0
[править] NAT-PT
dyn1(config)# interface FastEthernet0/0 dyn1(config-if)# ipv6 nat
dyn1(config)#ipv6 nat v6v4 source 2001:128:0:1::7 192.168.2.100 dyn1(config)#ipv6 nat v4v6 source 192.168.5.5 2005::5 dyn1(config)#ipv6 nat prefix 2005::/96
[править] Проверка NAT-PT
Таблица трансляций без активных сессий:
dyn1# sh ipv6 nat translations Prot IPv4 source IPv6 source IPv4 destination IPv6 destination --- --- --- 192.168.5.5 2005::5 --- 192.168.2.100 2001:128:0:1::7 192.168.5.5 2005::5 --- 192.168.2.100 2001:128:0:1::7 --- --- --- 192.168.2.200 2001:128:0:1:216:3EFF:FE01:6C1 192.168.5.5 2005::5 --- 192.168.2.200 2001:128:0:1:216:3EFF:FE01:6C1 --- ---
Таблица трансляций TCP-соединений, после того как с qua6 выполнено подключение по SSH к qua7:
dyn1# sh ipv6 nat translations tcp Prot IPv4 source IPv6 source IPv4 destination IPv6 destination tcp 192.168.2.100,22 2001:128:0:1::7,22 192.168.5.5,4916 2005::5,4916
Вывод debug ipv6 nat на dyn1, когда с qua6 есть SSH подключение к qua7:
dyn1# debug ipv6 nat *May 28 20:54:56.694: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.100) -> (2001:128:0:1::7) *May 28 20:54:56.766: IPv6 NAT: tcp src (2001:128:0:1::7) -> (192.168.2.100), dst (2005::5) -> (192.168.5.5) *May 28 20:54:57.058: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.100) -> (2001:128:0:1::7) *May 28 20:54:57.126: IPv6 NAT: tcp src (2001:128:0:1::7) -> (192.168.2.100), dst (2005::5) -> (192.168.5.5) *May 28 20:54:57.374: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.100) -> (2001:128:0:1::7) *May 28 20:54:57.374: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.100) -> (2001:128:0:1::7)
Вывод debug ipv6 nat, когда с qua7 есть SSH подключение к dyn5:
dyn1# debug ipv6 nat IPv6 NAT-PT debugging is on dyn1# *May 28 20:52:54.246: IPv6 NAT: tcp src (2001:128:0:1:216:3EFF:FE01:6C1) -> (192.168.2.200), dst (2005::5) -> (192.168.5.5) *May 28 20:52:54.474: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.200) -> (2001:128:0:1:216:3EFF:FE01:6C1)
[править] Конфигурационные файлы маршрутизаторов
[править] dyn1
Current configuration : 1375 bytes ! version 12.4 ! hostname dyn1 ! ! ipv6 unicast-routing ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key dynpass address 192.168.3.3 ! ! crypto ipsec transform-set dynset esp-3des esp-md5-hmac mode transport ! crypto map dynmap 10 ipsec-isakmp set peer 192.168.3.3 set transform-set dynset match address ipv6_ipsec ! interface Tunnel0 no ip address ipv6 address 2001:128:0:23::1/64 tunnel source 192.168.2.1 tunnel destination 192.168.3.3 tunnel mode ipv6ip ! interface FastEthernet0/0 no ip address duplex full ipv6 address 2001:128:0:1::1/64 ipv6 nat ! interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 duplex full ipv6 nat crypto map dynmap ! ip route 0.0.0.0 0.0.0.0 192.168.2.2 ! ! ip access-list extended ipv6_ipsec permit ip host 192.168.2.1 host 192.168.3.3 ! ipv6 route 2001:128:0:4::/64 Tunnel0 ipv6 nat v4v6 source 192.168.5.5 2005::5 ipv6 nat v6v4 source 2001:128:0:1::7 192.168.2.100 ipv6 nat v6v4 source 2001:128:0:1:216:3EFF:FE01:6C1 192.168.2.200 ipv6 nat prefix 2005::/96 !
[править] dyn3
Current configuration : 1395 bytes ! version 12.4 ! hostname dyn3 ! ipv6 unicast-routing ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key dynpass address 192.168.2.1 ! ! crypto ipsec transform-set dynset esp-3des esp-md5-hmac mode transport ! crypto map dynmap 10 ipsec-isakmp set peer 192.168.2.1 set transform-set dynset match address ipv6_ipsec ! ! interface Tunnel0 no ip address ipv6 address 2001:128:0:23::3/64 tunnel source 192.168.3.3 tunnel destination 192.168.2.1 tunnel mode ipv6ip ! interface FastEthernet0/0 ip address 192.168.3.3 255.255.255.0 duplex full crypto map dynmap ! ! interface FastEthernet1/0 no ip address duplex full ipv6 address 2001:128:0:4::3/64 ! ip route 0.0.0.0 0.0.0.0 192.168.3.2 ! ! ip access-list extended ipv6_ipsec permit ip host 192.168.3.3 host 192.168.2.1 ! ipv6 route 2001:128:0:1::/64 Tunnel0 !
[править] dyn5
version 12.4 ! hostname dyn5 ! ! interface FastEthernet0/0 ip address 192.168.5.5 255.255.255.0 ip nat outside ip virtual-reassembly duplex full ! interface FastEthernet1/0 ip address 192.168.6.5 255.255.255.0 ip nat inside ip virtual-reassembly duplex full ! ip route 0.0.0.0 0.0.0.0 192.168.5.2 ! ! ip nat inside source list natlist interface FastEthernet0/0 overload ! ip access-list extended natlist permit ip 192.168.6.0 0.0.0.255 any !
[править] qua2, qua4 и qua7
Настройки qua2:
hostname qua2 ! debug ospf6 lsa unknown ! interface eth0 ip address 192.168.2.2/24 ipv6 nd suppress-ra ! interface eth1 ip address 192.168.3.2/24 ipv6 nd suppress-ra ! interface eth2 ip address 192.168.5.2/24 ipv6 nd suppress-ra ! ip forwarding ! line vty !
Настройки qua4:
! hostname qua4 ! debug ospf6 lsa unknown ! ! interface eth0 ipv6 address 2001:128:0:4::4/64 ipv6 nd suppress-ra ! ! ipv6 route ::/0 2001:128:0:4::3 ! ip forwarding ! line vty !
Настройки qua7:
hostname qua7 ! debug ospf6 lsa unknown ! interface eth0 ipv6 address 2001:128:0:1::7/64 ipv6 nd suppress-ra ! ipv6 route ::/0 2001:128:0:1::1 ! ip forwarding ! line vty !