MSR系列路由器ISISv6 + GRE隧道 + IPSec方式穿越NAT功能的配置
关键字:MSR;IPSec;NAT;野蛮模式;NAT;IPv6;ISISv6;IS-ISv6;GRE
一、组网需求:
RT1和RT2都是IPv6孤岛的出口,RT2出口处还有一个NAT设备,RT1和RT2通过建立一个穿越NAT的IPSec隧道,然后在这个IPSec隧道之上建立一个IPv6的GRE隧道,并在GRE隧道上运行ISIS路由协议传递IPv6路由,使双方的IPv6站点可以互通,可以根据需要将ISIS换成OSPFv3或者RIPng
设备清单:MSR系列路由器3台
二、组网图:
三、配置步骤:
RT1配置 |
# //IKE本地名字 ike
local-name rt1 # //全局使能IPv6 ipv6 # //配置对端IKE
Peer ike peer rt2 //野蛮模式 exchange-mode aggressive pre-shared-key h id-type name remote-name rt2 //使能NAT穿越 nat
traversal # //安全提议 ipsec proposal 1 # //安全策略模板 ipsec policy-template rt2 1 ike-peer
rt2 proposal 1 # //通过模板配置安全策略 ipsec policy tort2 1 isakmp template rt2 # //ISIS配置 network-entity 11.1111.1111.1111.00 # //使能ISIS的IPv6路由功能 ipv6 enable # # interface Ethernet0/0 port link-mode route //连结外网的接口地址 ip address //绑定安全策略 ipsec
policy tort2 # interface Ethernet0/1 port link-mode route //内部IPv6接口地址 ipv6
address 1::1/64 //使能ISIS IPv6路由功能 # //GRE隧道接口 interface Tunnel0 //配置IPv6地址,只配置Link-Local地址就可使IPv6路由协议正常工作 ipv6 address auto link-local //指定隧道的源地址 source Ethernet0/0 //指定隧道的目的地址 destination 192.168.2.1 //使能ISIS IPv6路由功能 # //配置一条静态路由,下一跳是NAT ip
route-static # |
RT2配置 |
# //IKE本地名字 ike
local-name rt2 # //全局使能IPv6 ipv6 # //配置对端IKE
Peer ike peer rt1 //野蛮模式 exchange-mode aggressive pre-shared-key h id-type name remote-name rt1 remote-address //使能NAT穿越 nat traversal # //安全提议 ipsec proposal 1 # //IPSec安全策略配置 ipsec policy tort1 1 isakmp security acl
3000 ike-peer rt1 proposal 1 # //ISIS配置 network-entity 22.2222.2222.2222.00 # //使能ISIS的IPv6路由功能 ipv6 enable # # //配置触发IPSec的ACL(192.168.2.1ßà acl number 3000 rule 0 permit gre
source 192.168.2.1 0 destination # interface
Ethernet0/0 port link-mode route //连结外网的接口地址 ip address
192.168.2.1 255.255.255.0 //绑定安全策略 ipsec policy
tort1 # interface
Ethernet0/1 port link-mode route //内部IPv6接口地址 ipv6 address 2::1/64 //使能ISIS
IPv6路由功能 # //GRE隧道接口 interface Tunnel0 //配置IPv6地址,只配置Link-Local地址就可使IPv6路由协议正常工作 ipv6 address auto link-local //指定隧道的源地址 source Ethernet0/0 //指定隧道的目的地址 destination //使能ISIS IPv6路由功能 isis ipv6 enable 1 # //配置一条静态路由,下一跳是NAT ip
route-static # |
NAT配置 |
# //NAT地址池配置 nat
address-group 0 # //触发NAT的ACL acl number 2000 rule 0 permit source 192.168.2.1 0 # interface
Ethernet0/0 port link-mode route //连结RT2的接口地址 ip address
192.168.2.2 255.255.255.0 # interface Ethernet0/1 port link-mode route //连结公网的接口地址上配置NAT Outbound nat outbound
2000 address-group 0 ip address # |
四、配置关键点:
1) RT2上注意ACL的配置,必须包含GRE流量。
2) 野蛮模式配置参考IPSec穿越NAT的典型配置案例;
3) 在Tunnel接口上可以只配置FE80开头的链路本地地址;
4) ISISv6配置参考相关典型配置;
5) 在相关接口使能isis ipv6 enable。