Cisco IPv6 IPv4

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


На этой странице описывается процедура настройки:

  • статического IPv6 туннеля через IPv4 сеть,
  • защиты туннеля с помощью IPsec,
  • статической трансляции между адресами IPv4 и IPv6 (NAT-PT).

На странице Cisco IPv6 IPv4/config представлена схема и конфигурационные файлы для виртуальной сети Xentaur, которая рассматривается на этой странице.

Содержание

[править] Задача

IPv6 IPv4.png

[править] Настройка статического IPv6 туннеля через IPv4 сеть

Создание туннельного интерфейса и назначение IPv6-адреса:

dyn1(config)# interface Tunnel0
dyn1(config-if)# ipv6 address 2001:128:0:23::1/64

Source и destination адреса для туннеля:

dyn1(config-if)# tunnel source 192.168.2.1
dyn1(config-if)# tunnel destination 192.168.3.3

Настройка режима туннеля (статический туннель):

dyn1(config)# tunnel mode ipv6ip

[править] Проверка работы туннеля

С qua7, после настройки туннеля, доступна qua4:

qua7# ping ipv6 2001:128:0:4::4
PING 2001:128:0:4::4(2001:128:0:4::4) 56 data bytes
64 bytes from 2001:128:0:4::4: icmp_seq=1 ttl=62 time=637 ms
64 bytes from 2001:128:0:4::4: icmp_seq=2 ttl=62 time=529 ms
64 bytes from 2001:128:0:4::4: icmp_seq=3 ttl=62 time=519 ms
64 bytes from 2001:128:0:4::4: icmp_seq=4 ttl=62 time=420 ms

--- 2001:128:0:4::4 ping statistics ---
5 packets transmitted, 4 received, 20% packet loss, time 3997ms
rtt min/avg/max/mdev = 420.855/526.793/637.889/76.854 ms

Таблица маршрутизации на dyn1:

dyn1#sh ipv6 route         
IPv6 Routing Table - 7 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
C   2001:128:0:1::/64 [0/0]
     via ::, FastEthernet0/0
L   2001:128:0:1::1/128 [0/0]
     via ::, FastEthernet0/0
S   2001:128:0:4::/64 [1/0]
     via ::, Tunnel0
C   2001:128:0:23::/64 [0/0]
     via ::, Tunnel0
L   2001:128:0:23::1/128 [0/0]
     via ::, Tunnel0
L   FE80::/10 [0/0]
     via ::, Null0
L   FF00::/8 [0/0]
     via ::, Null0

[править] Просмотр информации о туннелях

Просмотр информации о IPv6-интерфейсах на маршрутизаторе dyn1:

dyn1# show ipv6 interface brief 
FastEthernet0/0            [up/up]
   FE80::C000:4FF:FEB6:0
   2001:128:0:1::1
FastEthernet1/0            [up/up]
   unassigned
Tunnel0                    [up/up]
   FE80::C0A8:201
   2001:128:0:23::1

Просмотр информации о туннельном интерфейсе на маршрутизаторе dyn1:

dyn1#show ipv6 int tunnel 0
Tunnel0 is up, line protocol is up
 IPv6 is enabled, link-local address is FE80::C0A8:201 
 Global unicast address(es):
   2001:128:0:23::1, subnet is 2001:128:0:23::/64 
 Joined group address(es):
   FF02::1
   FF02::2
   FF02::1:FF00:1
   FF02::1:FFA8:201
 MTU is 1480 bytes
 ICMP error messages limited to one every 100 milliseconds
 ICMP redirects are enabled
 ND DAD is enabled, number of DAD attempts: 1
 ND reachable time is 30000 milliseconds
 Hosts use stateless autoconfig for addresses.

[править] Настройка IPsec

[править] Настройка ISAKMP

Настройка политики isakmp на dyn1:

dyn1(config)# crypto isakmp policy 10
dyn1(config-isakmp)# encr 3des
dyn1(config-isakmp)# hash md5 
dyn1(config-isakmp)# authentication pre-share
dyn1(config-isakmp)# group 2 

Настройка pre-shared key, который будет использоваться для аутентификации:

dyn1(config)# crypto isakmp key 0 dynpass 192.168.3.3 

[править] Настройка transform set и crypto map

Создание transform set и задание транспортного режима:

dyn1(config)# crypto ipsec transform-set dynset esp-3des esp-md5-hmac 
dyn1(cfg-crypto-trans)#mode transport 

Настройка access-list, который указывает какой трафик будет шифроваться:

dyn1(config)#ip access-list extended ipv6_ipsec
dyn1(config-ext-nacl)#permit ip host 192.168.2.1 host 192.168.3.3

Настройка сrypto map:

dyn1(config)#crypto map dynmap 10 ipsec-isakmp
dyn1(config-crypto-map)#set transform-set dynset
dyn1(config-crypto-map)#set peer 192.168.3.3
dyn1(config-crypto-map)#match address ipv6_ipsec

[править] Применение crypto map на интерфейсе

Применение сrypto map на интерфейсе:

dyn1(config)#int fa 1/0
dyn1(config-if)#crypto map dynmap

[править] Проверка работы туннеля с IPsec

С qua7, после настройки IPsec, доступна qua4 (первые несколько пингов пропадают, так как в это время устанавливается туннель):

qua7# ping ipv6 2001:128:0:4::4
PING 2001:128:0:4::4(2001:128:0:4::4) 56 data bytes
64 bytes from 2001:128:0:4::4: icmp_seq=6 ttl=62 time=836 ms
64 bytes from 2001:128:0:4::4: icmp_seq=7 ttl=62 time=417 ms
64 bytes from 2001:128:0:4::4: icmp_seq=8 ttl=62 time=317 ms
64 bytes from 2001:128:0:4::4: icmp_seq=9 ttl=62 time=497 ms
64 bytes from 2001:128:0:4::4: icmp_seq=10 ttl=62 time=397 ms

Просмотр информации о isakmp sa:

dyn1#show crypto isakmp sa        
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
192.168.3.3     192.168.2.1     QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA

Просмотр информации о IPsec sa:

dyn1#sh cry ipsec sa

interface: FastEthernet1/0
    Crypto map tag: dynmap, local addr 192.168.2.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.2.1/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (192.168.3.3/255.255.255.255/0/0)
   current_peer 192.168.3.3 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 405, #pkts encrypt: 405, #pkts digest: 405
    #pkts decaps: 405, #pkts decrypt: 405, #pkts verify: 405
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 5, #recv errors 0

     local crypto endpt.: 192.168.2.1, remote crypto endpt.: 192.168.3.3
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1/0
     current outbound spi: 0x4A4DF9AB(1246624171)

     inbound esp sas:
      spi: 0xB55C47CE(3042723790)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 1, flow_id: SW:1, crypto map: dynmap
        sa timing: remaining key lifetime (k/sec): (4564195/3094)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x4A4DF9AB(1246624171)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 2, flow_id: SW:2, crypto map: dynmap
        sa timing: remaining key lifetime (k/sec): (4564195/3092)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

Просмотр информации о crypto map:

dyn1#sh crypto map 
Crypto Map "dynmap" 10 ipsec-isakmp
        Peer = 192.168.3.3
        Extended IP access list ipv6_ipsec
            access-list ipv6_ipsec permit ip host 192.168.2.1 host 192.168.3.3
        Current peer: 192.168.3.3
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform sets={ 
                dynset, 
        }
        Interfaces using crypto map dynmap:
                FastEthernet1/0

[править] NAT-PT

dyn1(config)# interface FastEthernet0/0
dyn1(config-if)# ipv6 nat 
dyn1(config)#ipv6 nat v6v4 source 2001:128:0:1::7 192.168.2.100
dyn1(config)#ipv6 nat v4v6 source 192.168.5.5 2005::5
dyn1(config)#ipv6 nat prefix 2005::/96

[править] Проверка NAT-PT

Таблица трансляций без активных сессий:

dyn1# sh ipv6 nat translations 
Prot  IPv4 source              IPv6 source
      IPv4 destination         IPv6 destination
---   ---                      ---
      192.168.5.5              2005::5

---   192.168.2.100            2001:128:0:1::7
      192.168.5.5              2005::5

---   192.168.2.100            2001:128:0:1::7
      ---                      ---

---   192.168.2.200            2001:128:0:1:216:3EFF:FE01:6C1
      192.168.5.5              2005::5

---   192.168.2.200            2001:128:0:1:216:3EFF:FE01:6C1
      ---                      ---

Таблица трансляций TCP-соединений, после того как с qua6 выполнено подключение по SSH к qua7:

dyn1# sh ipv6 nat translations tcp 
Prot  IPv4 source              IPv6 source
      IPv4 destination         IPv6 destination
tcp   192.168.2.100,22         2001:128:0:1::7,22
      192.168.5.5,4916         2005::5,4916

Вывод debug ipv6 nat на dyn1, когда с qua6 есть SSH подключение к qua7:

dyn1# debug ipv6 nat
*May 28 20:54:56.694: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.100) -> (2001:128:0:1::7)
*May 28 20:54:56.766: IPv6 NAT: tcp src (2001:128:0:1::7) -> (192.168.2.100), dst (2005::5) -> (192.168.5.5)
*May 28 20:54:57.058: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.100) -> (2001:128:0:1::7)
*May 28 20:54:57.126: IPv6 NAT: tcp src (2001:128:0:1::7) -> (192.168.2.100), dst (2005::5) -> (192.168.5.5)
*May 28 20:54:57.374: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.100) -> (2001:128:0:1::7)
*May 28 20:54:57.374: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.100) -> (2001:128:0:1::7)

Вывод debug ipv6 nat, когда с qua7 есть SSH подключение к dyn5:

dyn1# debug ipv6 nat
IPv6 NAT-PT debugging is on
dyn1#
*May 28 20:52:54.246: IPv6 NAT: tcp src (2001:128:0:1:216:3EFF:FE01:6C1) -> (192.168.2.200), dst (2005::5) -> (192.168.5.5)
*May 28 20:52:54.474: IPv6 NAT: tcp src (192.168.5.5) -> (2005::5), dst (192.168.2.200) -> (2001:128:0:1:216:3EFF:FE01:6C1)

[править] Конфигурационные файлы маршрутизаторов

[править] dyn1

Current configuration : 1375 bytes
!
version 12.4
!
hostname dyn1
!
!
ipv6 unicast-routing
!
crypto isakmp policy 10
 encr 3des
 hash md5 
 authentication pre-share
 group 2  
crypto isakmp key dynpass address 192.168.3.3
!         
!         
crypto ipsec transform-set dynset esp-3des esp-md5-hmac 
 mode transport
!         
crypto map dynmap 10 ipsec-isakmp 
 set peer 192.168.3.3
 set transform-set dynset 
 match address ipv6_ipsec
!            
interface Tunnel0
 no ip address
 ipv6 address 2001:128:0:23::1/64
 tunnel source 192.168.2.1
 tunnel destination 192.168.3.3
 tunnel mode ipv6ip
!         
interface FastEthernet0/0
 no ip address
 duplex full
 ipv6 address 2001:128:0:1::1/64
 ipv6 nat 
!         
interface FastEthernet1/0
 ip address 192.168.2.1 255.255.255.0
 duplex full
 ipv6 nat 
 crypto map dynmap
!         
ip route 0.0.0.0 0.0.0.0 192.168.2.2
!
!         
ip access-list extended ipv6_ipsec
 permit ip host 192.168.2.1 host 192.168.3.3
!         
ipv6 route 2001:128:0:4::/64 Tunnel0
ipv6 nat v4v6 source 192.168.5.5 2005::5
ipv6 nat v6v4 source 2001:128:0:1::7 192.168.2.100
ipv6 nat v6v4 source 2001:128:0:1:216:3EFF:FE01:6C1 192.168.2.200
ipv6 nat prefix 2005::/96
!       

[править] dyn3

Current configuration : 1395 bytes
!
version 12.4
!
hostname dyn3
!
ipv6 unicast-routing
!
!         
crypto isakmp policy 10
 encr 3des
 hash md5 
 authentication pre-share
 group 2  
crypto isakmp key dynpass address 192.168.2.1
!         
!         
crypto ipsec transform-set dynset esp-3des esp-md5-hmac 
 mode transport
!         
crypto map dynmap 10 ipsec-isakmp 
 set peer 192.168.2.1
 set transform-set dynset 
 match address ipv6_ipsec
!                
!         
interface Tunnel0
 no ip address
 ipv6 address 2001:128:0:23::3/64
 tunnel source 192.168.3.3
 tunnel destination 192.168.2.1
 tunnel mode ipv6ip
!         
interface FastEthernet0/0
 ip address 192.168.3.3 255.255.255.0
 duplex full
 crypto map dynmap
!         
!         
interface FastEthernet1/0
 no ip address
 duplex full
 ipv6 address 2001:128:0:4::3/64
!         
ip route 0.0.0.0 0.0.0.0 192.168.3.2
!         
!         
ip access-list extended ipv6_ipsec
 permit ip host 192.168.3.3 host 192.168.2.1
!         
ipv6 route 2001:128:0:1::/64 Tunnel0
!

[править] dyn5

version 12.4
!
hostname dyn5
!
!
interface FastEthernet0/0
 ip address 192.168.5.5 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex full
!         
interface FastEthernet1/0
 ip address 192.168.6.5 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex full
!         
ip route 0.0.0.0 0.0.0.0 192.168.5.2
!         
!         
ip nat inside source list natlist interface FastEthernet0/0 overload
!         
ip access-list extended natlist
 permit ip 192.168.6.0 0.0.0.255 any
!

[править] qua2, qua4 и qua7

Настройки qua2:

hostname qua2
!
debug ospf6 lsa unknown
!
interface eth0
 ip address 192.168.2.2/24
 ipv6 nd suppress-ra
!
interface eth1
 ip address 192.168.3.2/24
 ipv6 nd suppress-ra
!
interface eth2
 ip address 192.168.5.2/24
 ipv6 nd suppress-ra
!
ip forwarding
!
line vty
!

Настройки qua4:

!
hostname qua4
!
debug ospf6 lsa unknown
!
!
interface eth0
 ipv6 address 2001:128:0:4::4/64
 ipv6 nd suppress-ra
!
!
ipv6 route ::/0 2001:128:0:4::3
!
ip forwarding
!
line vty
!

Настройки qua7:

hostname qua7
!
debug ospf6 lsa unknown
!
interface eth0
 ipv6 address 2001:128:0:1::7/64
 ipv6 nd suppress-ra
!
ipv6 route ::/0 2001:128:0:1::1
!
ip forwarding
!
line vty
!
Источник — «http://xgu.ru/wiki/Cisco_IPv6_IPv4»