收藏 分享(赏)
下载资源 加入VIP,免费下载

山石网科Ipv6整体解决方案.pdf

上传人:精品资料 文档编号:9377192 上传时间:2019-08-04 格式:PDF 页数:10 大小:672.31KB
下载 相关 举报
山石网科Ipv6整体解决方案.pdf_第1页
第1页 / 共10页
山石网科Ipv6整体解决方案.pdf_第2页
第2页 / 共10页
山石网科Ipv6整体解决方案.pdf_第3页
第3页 / 共10页
山石网科Ipv6整体解决方案.pdf_第4页
第4页 / 共10页
山石网科Ipv6整体解决方案.pdf_第5页
第5页 / 共10页
点击查看更多>>
资源描述

1、 1 / 10 Ipv6 整体 解决方案 Hillstone Networks Inc. 2016 年 03 月 10 日 2 / 10 内容 提交人 审核人 更新 内容 日期 V1 2016/3/10 目录 1 需求分析 . 3 2 解决方案 . 3 2.1 设备信息 . 3 2.2 拓扑 3 2.3 主要配置 . 4 2.3.1 总部 . 4 2.3.2 分支 1(模拟环境,不考虑上互 联网问题) 6 2.3.3 分支 2 8 3 建设效果 . 8 3 / 10 1 需求 分析 某用户有 100 多个 office,都采用电信光纤接入,需要逐步从 IPv4 演变为 IPv6 地址,在这种场

2、景下,需要做到 IPv4 到 IPv6 内网的互通 。 场景模拟如下 : 一个总部两个分支 ,总部内网采用 IPv6 地址,外网地址采用 IPv4; 分支 1 外网 IPv4,内网 IPv6; 分支机构 2 内外网都为 IPv4 地址 。需求如下 : A. 总部的 IPv6 地址可以访问到互联网 IPv4 资源 , 总部的 IPv6 地址 可以提供互联网用户访问。 B. 总部和分支 1 的 IPv6 地址通过公网 6in4 隧道互相通信 。 C. 总部和分支 2 的 IPv4 地址互相通信 。 2 解决 方案 2.1 设备信息 SG-6000-E1700(总部 ) SG6000-M-3-5.5

3、R2-v6 SG-6000-M3100(分支 1) SG6000-M-5.0R4P12-v6 SG-6000-E1100(分支 2) SG6000-M-3-5.5R1P6-v6 2.2 拓扑 4 / 10 E 0 / 1 : 2 0 0 . 0 . 0 . 2 / 24E 0 / 2 2 0 0 5 : 1 / 962 0 0 5 : 2 / 96E 0 / 4 : 2 0 0 . 0 . 0 . 4 / 24E 0 / 1 : 2 0 0 . 0 . 0 . 3 / 24E 0 / 3 : 1 9 2 . 1 6 8 . 2 . 1 / 24E 0 / 2 : 2 0 0 1 : 1 / 9

4、61 9 2 . 1 6 8 . 2 . 2 5 4 / 242 0 0 1 : 2 / 96分支 1分支 2总部2.3 主要 配置 2.3.1 总部 A. 接口 interface ethernet0/1 zone “untrust“ ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone “trust“ 5 / 10 dns-proxy ipv6 enable ipv6 address 2005:1/96 manage ping exit interface tunnel1 zone “t

5、rust“ ipv6 enable tunnel ip6in4 “fenzhi1“ exit B. Nat 和 路由 ip vrouter “trust-vr“ snatrule id 1 from “2005:/96“ to “2003:/96“ service “Any“ eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网 snat snatrule id 2 from “2005:2/96“ to “2004:2“ service “Any“ eif ethernet0/1 trans-to eif-ip mode dynamic

6、port #与分支 2 通信 snat snatrule id 3 from “Any“ to “200.0.0.2“ service “Any“ eif ethernet0/2 trans-to 2005:1 mode dynamicport #公网已知 ip 访问总部 ipv6 服务器 snat dnatrule id 1 from “2005:/96“ to “2003:/96“ service “Any“ v4-mapped #总部上网 dnat dnatrule id 2 from “2005:2/96“ to “2004:2“ service “Any“ trans-to “200

7、.0.0.4“ #与分支 2 通信 dnat dnatrule id 3 from “Any“ to “200.0.0.2“ service “Any“ trans-to “2005:2“ #公网已知 ip 访问总部 ipv6 服务器 dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001:/96 tunnel1 exit C. 策略 rule id 1 action permit src-addr “Any“ dst-addr “Any“ service “Any“ exit rule id 2 action permit src-ip 2005:

8、/96 dst-ip 2004:/96 service “Any“ exit rule id 3 action permit src-ip 2005:/96 6 / 10 dst-ip 2003:/96 service “Any“ exit rule id 4 action permit src-ip 2005:/96 dst-ip 2001:/96 service “Any“ exit rule id 5 action permit src-ip 2001:/96 dst-ip 2005:/96 service “Any“ exit rule id 6 action permit src-a

9、ddr “IPv6-any“ dst-addr “IPv6-any“ service “Any“ exit D. 其他配置 tunnel ip6in4 “fenzhi1“ manual interface “ethernet0/1“ destination 200.0.0.3 exit ip name-server 8.8.8.8 vrouter trust-vr ip dns-proxy domain any name-server 8.8.8.8 vrouter trust-vr ipv6 dns64-proxy id 1 prefix 2003:/96 source 2005:/96 t

10、rans-mapped-ip any 2.3.2 分支 1(模拟 环境 , 不考虑上互联网问题) A. 接口 interface ethernet0/1 zone “untrust“ ip address 200.0.0.3 255.255.255.0 manage ping exit interface ethernet0/2 zone “trust“ ipv6 enable ipv6 address 2001:1/96 7 / 10 manage ping interface tunnel1 zone “trust“ ipv6 enable tunnel ip6in4 “zongbu“ e

11、xit B. Nat 和 路由 ip vrouter “trust-vr“ ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2005:/96 tunnel1 C. 策略 rule id 1 action permit src-addr “Any“ dst-addr “Any“ service “Any“ exit rule id 33 action permit src-ip 2001:/96 dst-ip 2005:/96 service “Any“ exit rule id 34 action permit src-ip 2005:/96 dst-ip 20

12、01:/96 service “Any“ exit rule id 35 action permit src-addr “IPv6-any“ dst-addr “IPv6-any“ service “Any“ exit D. 其他配置 tunnel ip6in4 “zongbu“ manual interface “ethernet0/1“ destination 200.0.0.2 exit 8 / 10 2.3.3 分支 2 A. 接口 interface ethernet0/3 zone “trust“ ip address 192.168.2.1 255.255.255.0 manag

13、e ping exit interface ethernet0/4 zone “untrust“ ip address 200.0.0.4 255.255.255.0 manage ping exit B. Nat 和 路由 ip vrouter “trust-vr“ snatrule id 1 from “Any“ to “Any“ service “Any“ eif ethernet0/4 trans-to eif-ip mode dynamicport dnatrule id 1 from “200.0.0.2“ to “200.0.0.4“ service “Any“ trans-to

14、 “192.168.2.254“ ip route 0.0.0.0/0 200.0.0.1 exit C. 策略 rule id 1 action permit src-addr “Any“ dst-addr “Any“ service “Any“ exit 3 建设效果 通过 以上配置可以实现: A. 总部访问公网 IPv4 域名;可以 访问 固定的公网 ip;互联网用户 可以访问总部内网服务器 9 / 10 B. 总部 和分支 1 可以 相互通信 C. 总部 和分支 2 可以 相互通信 10 / 10 注意点 : A. 由于 Nat64 技术的 限制, 如果 公网 ip 不固定 且 无法对应到域名, 则 总部 端 无法访问 该ip(因为需要在 FW 上添加固定的转换规则) B. 策略 中 调用 IPv6 的 any 地址簿时应该用 “IPv6 -any” 这个 地址簿 C. 总部 PC 的 DNS 需要指向总部 FW 的内网口 ip,即 2005:1

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报