来源:蜘蛛抓取(WebSpider)
时间:2018-05-18 02:08
标签:
华为路由器查看nat表
华为NAT技术深度剖析(上)华为NAT技术深度剖析(上)青蛙的忏悔百家号今天,我分享的是华为NAT技术,我首先搭建出一张实验拓扑:稍后分享完NAT的技术原理,我会根据这张拓扑图来做一个NAT的综合实验在谈NAT技术之前,我把认为在很多中小企业中网络架构是一个标准误区说的知识点讨论一下.....通常网络运维人员会把网关地址写进某个VLAN接口下,但是在严格的网络架构标准中,三层交换机与路由设备的互联接口上是要配置IP地址的,这样双方就可以传输路由(动态)协议了,这样的好处在于协议传输清晰明了。因为vlan接口主要用于本vlan的总出口,负责传输和其他VLAN通讯的三层数据包文。在华为设备中是可以通过修改端口的路由模式(将二层接口修改为三层接口)但是在ENSP-390版本的模拟器中是没法做到的(其他高版本我没有测试过)。我们在下图中看到,在ENSP模拟器中修改了三层接口后,也不能增加IP地址,这但是在真机上是完全可以做到的,只不过在切换模式的间隔时间为30秒,建议不要频繁转换。HB-SW1-GigabitEthernet0/0/10]undo portswitch随着Internet的发展和网络应用终端的增加,IPv4的地址日益枯竭已经成为制约全球计算机网络发展的瓶颈。今年国务院发布加大普及IPv6技术,但是这个阶段是非常漫长的,在这个燃眉之急的时候就需要用过渡的技术来解决此问题。下面介绍NAT,当然还有别的技术也可以解决此问题,例如有VLSM、CIDR。NAT诞生NAT:Network Address Traslation 网络地址转换。官方解释是将来自一个网络的IP数据包的报头中的IP地址(可以是源IP地址,或者目的IP地址,亦两者都是)转换为另一个网络的IP地址,主要的应用场景在于私网用户和公网用户之间的互访。说到NAT的诞生,其实在早期运营商是借用了DHCP的思想来解决IPV4地址不够用的。如图所示:看着是不是类似NAT的多对多呢?Is the Internet developing fast or is the LAN developing fast?答案是:LAN为何说是局域网发展的快呢?从我记事的时候,看着哥哥姐姐使用windows95系统玩红色警戒,一步步见证了网络从光猫----SDN----LTE的演变。在Windows DOS的时候,两台电脑互联就形成了局域网,所以我可以认为是局域网发展的快。所以,NAT早期解决IPV4的问题使用DHCP思想就是源于局域网来的,随着网络的迅猛发展,互联网的地址也是不够用的!以多对多的分配地址方式是根本满足不了现状,于是出现了多对一(多个人用一个公有的IP地址)的分配形式诞生了(多对多本质实际上就是一对一)。但是随着时间,多对一的分配方式的问题接踵来,是什么问题呢?等讲完NAT支持的设备后,我来分享NAT的核心思想。其实说起来这个NAT技术,可以用鸡肋这个词语来形容,食之无味,弃之可惜.....为何比喻说NAT这项技术是“鸡肋”呢?实际的生产环境中,运维人员在华为的AR(不包括低端)和NE系列的路由器上配置NAT的应用场景是比较少的,很多企业会拿一个很便宜的企业级宽带路由器(几百到几千大洋不等。),其配置NAT的性能一定不比那种价格在几万甚至几十万的路由设备差!何出此言?首先,我们要明白的是这种市面上很常见的宽带路由器工作的原理是通过硬件在线式转发,而华为NE系列或者AR系列的路由器其功能虽然有NAT功能(主要功能不仅仅是NAT,还有强大的数据转发能力),但是这样的路由器是通过软件的方式进行调度转发,所以我可以说在NAT技术上前者不比后者差劲,甚至还略高一筹。Which is better for NAT technology in routing devices or in switching devices?首先回答这个问题的时候一定要明白这个NAT技术到底属于是路由技术还是交换技术?NAT技术是路由技术,从华为很多系列的交换产品中的参数介绍来看,是不支持NAT技术的,我翻阅了一些华为的盒式交换机(s)的技术规格,确实没有发现有支持NAT的,这一点华为做的非常严谨(框式s7700系列的除外),如图所示,我找了个s7700系列的技术参数里面就包换了支持NAT技术。以交换技术为主,实用性特别好的设备,我推荐s5720-EI(增强版)。因此,在NAT应用上已节约成本角度来看,还是使用普通的宽带路由器即可。NAT核心思想NAT早期解决IPV4的问题使用DHCP思想就是源于局域网来的,随着网络的迅猛发展,互联网的地址也是不够用的!以多对多的分配地址方式是根本满足不了现状,于是出现了多对一(多个人用一个公有的IP地址)的分配形式诞生了(多对多本质实际上就是一对一)。那么,多对一这样的分配方式是如何定义的呢?图中的PC1需要访问互联网中的8.8.8.8的DNS服务器,它的数据包势必要经过NAT路由器的转换,将源地址10.0.0.11转换为公网地址(路由器的外网借口地址)60.0.60.1。下面我来对NAT技术做详细剖析:建立NAT-session(转换映射表):官方术语又分为正向NAT表和反向NAT表。这就是协议开发者的所考虑的问题,将源地址换成了什么,回程的报文到达路由设备时,就可以根据这张表的记录转发给某个主机。一定注意的是NAT-seeion里的地址全部都是数据报文中的源IP地址。跟目标地址是没有任何关系的。NAT-session这张表的形成一定是在发送报文的时候形成的。NAT转换映射表中是一定要分方向:1&.outbound
进入路由器。2&.inbound
离开路由器。当内网主机发起访问时,转换的是源IP地址。当外网主机相应访问时,转换的是目的地址。在华为官方资料中,所描述的正向NAT和反向NAT,其实我们主要从NAT映射表中可以看得出来:图中所示,我们有两台PC机如果同时要访问8.8.8.8,那么综上所述的原理会不会出现问题呢?典型的多对一。4.重点从NAT-session表中去分析,正向NAT的表会顺利形成(并且能够顺利到达远方);但是回来的反向NAT表却是出现问题了,路由设备不知道给0.10还是给0.11......TCP协议中不仅仅有IP报头,还有目标端口和目标端口。因此,NAT映射表中的端口要素出现了:在多对一应用场景中,我们要关注的是路由器的外网接口(转换后的公网IP地址)IP地址的那个端口号,不用关心源端口(源端口号时随机的)。5.大多的企业局域网内部或多或少都会存在着自己的业务平台,如用友,OA、考勤系统等等.......如果出现外部用户访问内部网站的时候,那么NAT映射表会发生怎么样的变化?我图中所示的思路:同样的,正向NAT-Session,对调反向NAT的目标地址就是了。内部如果部署有高可用或者负载均衡的web服务器时,服务器端的端口一定是改为为不同的,例如等,只要端口没被占用就可以使用。6.企业内部部署的web服务器几乎是同时访问DNS_1,DNS_2,那么按照之前的NAT正向和反向表项书写,会出现端口占用的问题!图中我们看到了10.0.0.11:80被8.8.8.8和114.114.114.114同时占用!也就是说,无论哪个外部用户访问我这个网站,都是要从我建立NAT路由设备经过的!对这样的可能低几率存在的问题通讯领域中有这样的解决方案:在端口上操作系统会分配给客户端大于1024的端口,NAT的端口也会分配大于1024在华为NAT转换方式中,多对多和多对一的本质其实就是一对一。华为NAT命令配置测试拓扑中全网是否能够通讯:完全正常。在华为NAT中只支持基本ACL和高级ACL。站在R1上做一条基本的ACL,只允许60.0.60.0/20这个网段的地址通过,其他IP地址不能通过。[HuaBin-R1]acl 2001[HuaBin-R1-acl-basic-2001]rule permit source 60.0.60.0 0.0.0.15[HuaBin-R1-acl-basic-2001]rule deny并且在接口的入方向进行应用:[HuaBin-R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2001然后再去测试全网是否能够通讯:看到的结果是不能正常通讯,模拟出运营商公网环境。在R1做完ACL后,还要在R2上做一个允许192.168.1.0/24网段的地址能出去访问到R1下面的地址:多对多试验在文章的开头我提到过最早的NAT思想就是DHCP的思想,所以站在R2上建立一个地址池:配置NAT地址池:默认可以去0-7个组。这里我取组名为1,可以配置多个公网IP地址,这里我配置了两个公网IP地址池。[HuaBin-R2]nat address-group 1 60.0.60.2 60.0.60.3在R2路由器的出口接口应用NATHuaBin-R2-GigabitEthernet0/0/1]nat outbound 2001 address-group 1这个命令的意思就是将R2下的内网地址转换为公网地址池中的任意(这里暂时说任意,后面试验会单独分享顺序)一个地址。查看NAT映射表[IFC-R2]display nat session all查看之前我需要在R2下面的主机进行对R1内网的ping测试:结果测试时通过的。站在R2上查看seeion表:(必须赶紧看,NAT的会话表老化时间是20秒,在看会话表的时候有些卡)我们发现图中的信息,我们可以看到源地址192.168.1.10 转换为了60.0.60.2这个公网地址。这个60.2就是我刚才给地址池中定义的两个公网IP地址之一。接着用R2下面网络的不同的主机访问R1下面网络的不同主机,我也会发现:端口也会不断的增大,是不是比1024大呢??细心的同行也会发现源IP地址并没有被会话表标注。但是我们明明在地址池中定义了两个IP地址,不论我访问多少次,也还是转换成了一个公网IP,这就有点像多对一了,可是我的实验明明是多对多呢!但是,在华为多年的技术的摸索中,这样做其实是很聪明的做法,在众多的NAT地址池中,它分配的顺序官方是随机分配,我刚才说了多对多的本质就是一对一,但是在我们国家实际的网络环境中,一对一很容易就将公网IP地址池中的地址耗尽!所以针对众多内网用户,华为就会随机选择,当端口到达65535的时候,它才会占用下一个随机的公网IP地址。其实这种做法就是另一种变异的多对多!(符合国情)如果要真的想在实验中获取到多对多的实验结果:需要加个参数:[IFC-R2-GigabitEthernet0/0/2]nat outbound 2001 address-group 1 no-pat在用R2下的网络内的主机去Ping R1下网络的内主机,我们观察R2的session表:就会换成不同的公网IP来进行地址转换了。值得注意的是no-pat表示的是不进行端口转换,只转换IP地址,所以我们也叫做一对一转换。时间关系,下次继续分享,欢迎点评~~~本文由百家号作者上传并发布,百家号仅提供信息发布平台。文章仅代表作者个人观点,不代表百度立场。未经作者许可,不得转载。青蛙的忏悔百家号最近更新:简介:不管谁,一生总有那么一刻,比夏花更灿烂作者最新文章相关文章(window.slotbydup=window.slotbydup || []).push({
id: '2014386',
container: s,
size: '234,60',
display: 'inlay-fix'
&&|&&0次下载&&|&&总69页&&|
您的计算机尚未安装Flash,点击安装&
阅读已结束,如需下载到电脑,请使用积分()
下载:30积分
38人评价41页
相关分类推荐
0人评价4页
0人评价66页
0人评价56页
0人评价70页
0人评价50页
所需积分:(友情提示:大部分文档均可免费预览!下载之前请务必先预览阅读,以免误下载造成积分浪费!)
(多个标签用逗号分隔)
文不对题,内容与标题介绍不符
广告内容或内容过于简单
文档乱码或无法正常显示
文档内容侵权
已存在相同文档
不属于经济管理类文档
源文档损坏或加密
若此文档涉嫌侵害了您的权利,请参照说明。
我要评价:
价格:30积分VIP价:24积分当前位置: >>
华为IPv6技术(V5.0)教程
HM-046 IPV6技术ISSUE 5.0华为3Com培训中心华为3Com公司版权所有,未经授权不得使用与传播�引入与IPv4相比,IPv6具有以下特点:? ?近乎无限的地址空间 更简洁的报文头部?? ?内置的安全性更好的QoS支持 更好的移动性……2�学习目标学习完本课程,您应该能够:?了解IPv6地址分类和格式以及配置方法了解IPv6报文结构 了解IPv6路由协议及基本配置方法 了解IPv6主要过渡技术,包括隧道技术 及协议转换技术及基本配置方法???3�课程内容第一章 IPv6基础知识 第二章 IPv6单播数据转发基础第三章 IPv6路由协议第四章 IPv6主要过渡技术4�第一章 IPv6基础知识?IPv6地址分类 IPv6报文格式?5�IPv6地址表示?IPv6地址与IPv4地址表示方法有所不同? ? ?用十六进制表示,如: FE08:…. 4个十六进制数一组,中间用“:”隔开,如: 2001:12FC:…. 每组开头的零可以省略,连续的一个或者多个全零组可用“::”表 示,如: 1:2::ACDR:….?地址前缀长度用“/xx”来表示,如:1::1/64?以下是同一个地址不同表示法的例子:? ? ?00::ABCD: 1:123:0:0:0:ABCD:0:1/96 1:123::ABCD:0:1/966�IPv6地址表示00 00 00:00:0000:45ff:1:0:0:0:45ff:1::45ff7�IPv6地址分类?单播地址(Unicast Address)??组播地址(Multicast Address)任播地址(Anycast Address)8�单播地址?IPv6单播地址分类:?全球单播地址 ?链路本地地址 ?站点本地地址例 01:1::E0:F726:4E58例 FE80::E0:F726:4E58例 FEC0::E0:F726:4E589�组播地址?Flags?用来表示permanent或transient组播组0:预留 1:节点本地范围 2:链路本地范围 5:站点本地范围?Scope?表示组播组的范围?Group ID?组播组ID10�IPv6地址新类型 ― 任播(Anycast)?? ? ?用于标识一组网络接口目标地址为任播地址的数据包将发送给最近的一个接口 适合于One-to-One-of-Many的通讯场合 任播地址采用单播地址空间11�IPv6报文格式IPv6数据包由一个基本报头加上0个或多个扩展报头再加上上层协议?单元构成。基本报头12�IPv6基本报头?备注? ? ? ? ? ? ?version=6 Traffic Class ? IPv4 TOS Flow Label用于标识数据流 Next Header ?IPv4 Protocol Hop Limit ? IPv4 TTL Payload Length指示该IP报文负荷长度 Source和Destination地址都是128位 IPv6IPv413�来个真的!?一个IPv6数据包14�IPv6扩展报头?IPv6扩展报头实现了一些IP层的可选功能,扩展报头位于上层 封装和IPv6基本报头之间?主要的扩展报头:? ? ? ? ? ?Hop-by-Hop Options header Destination Options header Routing header Fragment header Authentication header Encapsulating Security Payload header15�扩展报头的一个举例-Routing HeaderRouting Header的作用在于指定数据包在到达目的地之前须经过特?定的中间节点16�一个带Routing Header报文的转发流程SI1I2I3DSource Address = S Hdr Ext Len = 6 Destination Address = I1 Segments Left = 3 Address[1] = I2 Address[2] = I3 Address[3] = D Source Address = S Hdr Ext Len = 6 Destination Address = I2 Segments Left = 2 Address[1] = I1 Address[2] = I3 Address[3] = DSource Address = S Destination Address = I3Hdr Ext Len = 6 Segments Left = 1 Address[1] = I1 Address[2] = I2 Address[3] = D Source Address = S Hdr Ext Len = 6 Destination Address = D Segments Left = 0 Address[1] = I1 Address[2] = I2 Address[3] = I317�扩展报头的顺序? ?逐跳选项报头 目的选项报头(当存在路由报头时,用于中间节点)?? ?路由报头分片报头 身份验证报头??封装安全有效载荷报头目的选项报头(用于目的节点)18�典型的IPv6数据包?每一种扩展报头其实也有自己特定的协议号,例如:路由报头 为43,AH报头为51?每一个基本报头和扩展报头的Next Header域标识后面紧接的内容IPv6报头 Next Header=6 IPv6报头 Next Header=43 路由报头 Next Header=6 AH报头 Next Header=6TCP段TCP段路由报头 IPv6报头 Next Header=43 Next Header=51TCP段19�小结? ?IPv6地址分类及表示 IPv6数据报文格式20�课程内容第一章 IPv6基础知识 第二章 IPv6单播数据转发基础第三章 IPv6路由协议第四章 IPv6主要过渡技术21�第二章 IPv6单播数据转发基础?第一节 无状态地址自动配置第二节 链路层地址解析?22�IPv6地址配置方法手工配置 有状态地址自动配置(DHCPv6) 无状态地址自动配置? ? ?23�IPv6地址结构?IPv6地址 = 前缀 + 接口标识? ?前缀:相当于v4地址中的网络ID 接口标识:相当于v4地址中的主机ID01:1::E0:F726:4E58前缀01:1 接口标识E0:F726:4E5824�无状态地址自动配置―前缀获得? ? ? ?主机发送Router Solicitation报文 路由器回应Router Advertisement报文 主机获得前缀及其它参数 其实路由器会周期性地向外发送RA报文1::1/64RS报文 RA报文25�无状态地址自动配置―接口ID生成? ?IEEEEUI-64规范是其中最重要的一种生成方法将48比特的MAC地址转化为64比特的接口ID?MAC地址的唯一性保证了接口ID的唯一性?设备自动生成,不需人为干预?48位MAC地址?64位接口ID26�重复地址检测(DAD)重复地址检测(Duplicate Address Detection)确保网络中无 两个相同的单播地址? ? ??任何主机使用的单播地址均需做DAD 未经过DAD检测的地址暂时不可用,称为“tentative地址” 经过DAD检测后,没有冲突的地址可以使用,如果有冲突,则 该地址不能使用27�重复地址检测(DAD)过程?获 得 临 时 地 址 ( tentative 地 址 ) 的 主 机 发 送 NS 报 文 ( Neighbor Solicitation)给该临时地址所对应的solicited-node组播地址,该报文 中包含自己想使用的地址?如果有人用NA报文(Neighbor Advertisement)响应,并报告自己已 使用该地址,则该临时地址不可用?如果无人响应,则认为没有地址冲突发生,该地址正式可用NS报文 NA报文1::1/6428�Solicited-Node组播地址?IPv6中特有的组播地址?用于DAD和获取本地链路上邻居节点的链路层地址(地址解析)等?Solicited-Node组播地址生成过程?? ?接口ID的后24位:XX:XXXX前缀FF02:0:0:0:0:1:FF FF02:0:0:0:0:1:FFXX:XXXX29�无状态地址自动配置的报文? ? ? ?Router Solicitation Router Advertisement Neighbor Solicitation Neighbor Advertisement?所有报文都基于ICMPv6报文30�第二章 IPv6单播数据转发基础?第一节 无状态地址自动配置?第二节 地址解析31�地址解析? ?IPv6取消了ARP协议 通过邻接点请求报文(NS)和邻接点公告报文(NA)的交互 来解析链路层地址32�地址解析发送主机在接口上发送组播NS报文,该报文的目的地址为目标 IP地址所对应的请求节点组播地址(Solicited-node),在其中 也包含了自己的链路层地址??目标主机收到NS报文后,就会了解到发送主机的IP地址和相应 链路层地址?目标主机向源发送主机发送一个邻接点公告报文(NA),该报 文中包含自己的链路层地址33�地址解析示意图1::1/641::2/64 MAC_BPC1MAC_ANS报文Source Address:1::1 Link layer Address:MAC_A Destination Address:FF02::1:FF00:2PC2NA报文Source Address:1::2 Link layer Address:MAC_B Destination Address:1::134�小结?IPv6除了手动配置和有状态配置外,还提供了无状态自动配置 方法?IPv6取消了ARP协议,使用了一系列的ICMPv6报文来解析链 路层地址?这都是用一系列ICMPv6报文来实现的35�课程内容第一章 IPv6基础知识 第二章 IPv6单播数据转发基础第三章 IPv6路由协议第四章 IPv6主要过渡技术36�第三章 IPv6路由协议?第一节 静态路由配置第二节 动态路由配置?37�静态路由配置命令??ipv6 route-static ip-address prefix-length { interface-name [ nexthop-address ] | gateway-address } [ preference preference-value ]?缺省路由?ipv6 route-static :: 0 2::2Destination : :: NextHop : 2::2 Interface : Ethernet3/0 State : Active Adv GotQ Refrence Count : 2 PrefixLength : 0 Preference : 60 Protocol : Static Cost :038�第三章 IPv6路由协议?第一节 静态路由配置?第二节 动态路由配置39�动态路由协议目前支持IPv6的重要动态路由协议包括? ? ??RIPng OSPFv3 ISIS?MBGP40�RIPng与RIPv2一样, RIPng具备如下特性? ? ??RIPng是距离矢量路由协议,利用UDP传输机制(端口号为521) RIPng用跳数度量路由,16跳为不可达 RIPng利用水平分割与毒性逆转技术来减少环路发生可能性?RIPng 必须支持 IPv6 ,所 以 RIPng报文格式及路由数据库与RIPv2不同。41�RIPng典型配置?RT1与RT2之间运行RIPng协议RT1E1/0 E3/0 E3/0RT2E1/01::1/642::1/642::2/643::1/64sysname RT1 ipv6 interface Ethernet1/0 ipv6 address 1::1/64 undo ipv6 nd ra halt ripng 1 enable interface Ethernet3/0 ipv6 address 2::1/64 ripng 1 enable ripng 1sysname RT2 ipv6 interface Ethernet0/0 interface Ethernet1/0 ipv6 address 3::1/64 ripng 1 enable interface Ethernet3/0 ipv6 address 2::2/64 ripng 1 enable ripng 142�OSPFv3?OSPFv3在基本运行机制上未有改变 (flooding, DR election, area support, SPF calculations)?OSPFv3在如下意义上被重新定义? ? ?OSPFv3报文和基本的LSA去除了编址语义以更好支持多协议 OSPFv3新定义了一些LSA以携带地址和前缀 OSPFv3认证机制被去除43�OSPFv3典型配置?RT1和RT2之间运行OSPFv3协议RT1E0/1 E0/0 E0/0RT2E0/11::1/642::1/642::2/643::1/64sysname RT1 ipv6 interface Ethernet0/0 ipv6 address 2::1/64 ospfv3 1 area 0.0.0.0 interface Ethernet0/1 ipv6 address 1::1/64 ospfv3 1 area 0.0.0.0 ospfv3 1 router-id 1.1.1.1 area 0.0.0.0sysname RT2 ipv6 interface Ethernet0/0 ipv6 address 2::2/64 ospfv3 1 area 0.0.0.0 interface Ethernet0/1 ipv6 address 3::1/64 ospfv3 1 area 0.0.0.0 ospfv3 1 router-id 2.2.2.2 area 0.0.0.044�IS-IS?IS-IS本身是一个可扩展路由协议,它对IPv4的支持本身就是在对 OSI 网 络 的 一 个 扩 展 。 为 使 其 支 持 IPv6 , 我 们 需 要 定 义 “IPv6 Reachability” 和 “IPv6 Interface Address”两个TLV。IPv6 ReachabilityIPv6 Interface Address45�ISIS典型配置?RT1和RT2之间运行ISISv6协议RT1E0/1 E0/0 E0/0RT2E0/11::1/642::1/642::2/643::1/64sysname RT1 ipv6 isis 1 network-entity 47.00.1001.00 ipv6 enable interface Ethernet0/0 ipv6 address 2::1/64 isis ipv6 enable 1 interface Ethernet0/1 ipv6 address 1::1/64 isis ipv6 enable 1sysname RT2 ipv6 isis 1 network-entity 47.00.2002.00 ipv6 enable interface Ethernet0/0 ipv6 address 2::2/64 isis ipv6 enable 1 interface Ethernet0/1 ipv6 address 3::1/64 isis ipv6 enable 146�MBGP?Multi-protocol BGP是一个旨在让BGP可以传输多种协议(不仅仅IPv4)的扩展,也称为BGP4+。与IS-IS类似,MBGP支持IPv6也是比较容易,只需要将IPv6前缀信息和下一跳信息置于 新定义的MP-NLRI即可。MP-NLRI47�MBGP典型配置?RT1和RT2之间运行BGP4+协议AS100E0/1RT1E0/0 E0/0RT2E0/1AS2003::1/641::1/642::1/642::2/64sysname RT1 ipv6 interface Ethernet0/0 ipv6 address 2::1/64 interface Ethernet0/1 ipv6 address 1::1/64 bgp 100 router-id 1.1.1.1 peer 2::2 as-number 200 undo synchronization ipv6-family network 1:: 64 undo synchronization peer 2::2 enable48sysname RT2 ipv6 interface Ethernet0/0 ipv6 address 2::2/64 interface Ethernet0/1 ipv6 address 3::1/64 bgp 200 router-id 2.2.2.2 peer 2::1 as-number 100 undo synchronization ipv6-family network 3:: 64 undo synchronization peer 2::1 enable�小结目前支持IPv6的动态路由协议包括RIPng、OSPFv3、IS-IS和 BGP4+??BGP、ISIS协议本身具有扩展性;与OSPFv2相比,OSPFv3有 了很大改变?无论静态路由还是动态路由,与IPv4相比,配置方法没有太大 区别49�课程内容第一章 IPv6基础知识 第二章 ND机制第三章 IPv6路由协议第四章 IPv6主要过渡技术50�第四章 IPv6过渡技术?第一节 IPv6孤岛互联技术第二节 IPv6与IPv4互通技术?51�IPv6网络部署进程?循序渐进,降低成本IPv4孤岛 IPv6 Internet IPv4孤岛 IPv4 Internet IPv6孤岛IPv6孤岛协议转换IPv6 Internet IPv6孤岛 IPv4 Internet IPv6孤岛IPv6孤岛52�IPv6孤岛互联技术采用隧道技术来完成互通??优点? ??IPv6报文作为IPv4的载荷,或由MPLS承载充分利用现有网络 骨干网内部设备无须升级?主要隧道技术包括:? ? ? ? ??缺点? ?GRE隧道手工隧道 6to4隧道 ISATAP隧道额外的隧道配置 效率降低6PE53�GRE隧道技术?GRE隧道技术?IPv6报文被包含在GRE报文中作为GRE的载荷?优点? ?通用性好 技术成熟,易于理解?缺点?扩展性差IPv4报头GRE报头IPv6报头 IPv4有效数据54IPv6有效数据�GRE隧道技术的流程?? ?发送方与接收方都是双栈设备隧道已预先建立好 发送方封装报文,接收方解封装IPv6孤岛IPv6主机IPv6报头+数据20.1.1.1IPv4网络隧道20.1.2.1双栈IPv6孤岛IPv6主机IPv6报头+数据双栈IPv4报头 GRE报头 IPv6报头+数据源:20.1.1.1 目的:20.1.2.155�GRE隧道的配置interface ethernet 0/0 ip address 20.1.1.1 255.255.255.0 interface tunnel 0 ipv6 address 1::1 64 source 20.1.1.1 destination 20.1.2.1 interface ethernet 0/0 ip address 20.1.2.1 255.255.255.0 interface tunnel 0 ipv6 address 1::2 64 source 20.1.2.1 destination 20.1.1.1IPv6孤岛IPv6主机IPv6报头+数据20.1.1.1IPv4网络隧道20.1.2.1双栈IPv6孤岛IPv6主机IPv6报头+数据双栈IPv4报头 GRE报头 IPv6报头+数据源:20.1.1.1 目的:20.1.2.156�手动隧道技术?手动隧道技术?IPv6报文被包含在IPv4报文中作为IPv4的载荷?同GRE隧道有类似的优缺点IPv4报头IPv6报头IPv6有效数据 IPv4有效数据57�手动隧道的配置interface ethernet 0/0 ip address 20.1.1.1 255.255.255.0 interface tunnel 0 ipv6 address 1::1 64 source 20.1.1.1 destination 20.1.2.1 tunnel-protocol ipv6-ipv4 interface ethernet 0/0 ip address 20.1.2.1 255.255.255.0 interface tunnel 0 ipv6 address 1::2 64 source 20.1.2.1 destination 20.1.1.1 tunnel-protocol ipv6-ipv4IPv6孤岛IPv6主机IPv6报头+数据20.1.1.1IPv4网络隧道20.1.2.1双栈IPv6孤岛IPv6主机IPv6报头+数据双栈IPv4报头 IPv6报头+数据源:20.1.1.1 目的:20.1.2.158�6to4隧道技术?6to4隧道技术? ?目的地址为6to4地址,包含的IPv4地址即为隧道末端 6to4地址: 2002:a.b.c.d:xxxx:xxxx:xxxx:xxxx:xxxx?可通过6to4中继路由器,使6to4网点连接到大的纯IPv6网络?优点?不需要为每条隧道预先配置,维护方便?缺点?6to4网络内只允许使用特殊类型的地址? ? ? ±? ?3 FP 00113 TLA 0x000232 IPv4? ? ? ?16 SLA ID64 ? ? ? ? ID6to4地址59�6to4隧道技术的流程?6to4中继?通往纯IPv6网络的网关纯IPv6网络6to4网络IPv6主机IPv4网络6to4中继 9.2.2.3 3FFE:ABCD::/486to4边缘 128.1.2.3 隧道 03::/48IPv6报头+数据 IPv4报头 IPv6报头+数据9.1.2.3 6to4边缘6to4网络IPv6主机03::/48源:128.1.2.3 目的:9.1.2.3IPv6报头+数据60�6to4隧道的配置interface ethernet 0/0 ip address 128.1.2.3 255.255.255.0 interface tunnel 0 ipv6 address 03:: 48 source 128.1.2.3 tunnel-protocol ipv6-ipv4 6to4 ipv6 route-static 2002:: 16 tunnel 0 interface ethernet 0/0 ip address 9.1.2.3 255.255.255.0 interface tunnel 0 ipv6 address 03 48 source 9.1.2.3 tunnel-protocol ipv6-ipv4 6to4 ipv6 route-static 2002:: 16 tunnel 0 纯IPv6网络 6to4网络IPv6主机6to4边缘 128.1.2.3 隧道 03::/48IPv6报头+数据 IPv4报头 IPv6报头+数据IPv4网络6to4中继 9.2.2.3 3FFE:ABCD::/489.1.2.3 6to4边缘6to4网络IPv6主机03::/48源:128.1.2.3 目的:9.1.2.361IPv6报头+数据�ISATAP隧道技术?ISATAP隧道技术? ?连接IPv4网络内的双栈主机和IPv6网络 将IPv4网点作为一个NBMA链路,在IPv4报文中封装IPv6报文?优点?IPv4网络内的双栈主机可自动获得IPv6前缀IPv4地址:20.1.2.1 IPv6地址:1::5EFE:20.1.2.1IPv4地址:20.1.1.1 IPv6地址:1::5EFE:20.1.1.1IPv4网络v4/v6主机 ND协议可跨网段进行 双栈IPv6网络IPv6主机62�ISATAP隧道的配置interface ethernet 0/0 ip address 20.1.2.1 255.255.255.0 interface tunnel 0 ipv6 address 1::5EFE:20.1.2.1 64 source 20.1.2.1 undo ipv6 nd ra halt tunnel-protocol ipv6-ipv4 isatapIPv4地址:20.1.1.1 IPv6地址:1::5EFE:20.1.1.1IPv4地址:20.1.2.1 IPv6地址:1::5EFE:20.1.2.1IPv4网络双栈IPv6网络IPv6主机v4/v6主机63�6PE?MPLS/BGP 隧道?通过IPv4或MPLS网络连接多个IPv6 孤岛,使用BGP交换IPv6可 达信息?IPv6网络可被看作VPN网,多个IPv6孤岛属于同一VPN,利用VPN机制在PE之间建立隧道连接?可以充分利用已有MPLS或VPN网络 MPLS/IPv4网络纯IPv6网络IPv6IPv4 VPNIPv6IPv664IPv4 VPN�第四章 IPv6过渡技术?第一节 IPv6孤岛互联技术?第二节 IPv6与IPv4互通技术65�NAT-PT原理?NAT-PT的工作原理?类似于传统NAT,但是将IPv6地址和IPv4地址互相转换,另加上协议 转换?通过中间的NAT-PT协议转换服务器,实现纯IPv6节点和纯IPv4节点 间的互通? ?NAT-PT服务器分配IPv4地址来标识IPv6主机 NAT-PT服务器向相邻IPv6网络宣告96位地址前缀信息,用于标识 IPv4主机?优点?只需设置NAT-PT服务器?缺点?资源消耗较大,服务器负载重,NAT-PT设备是性能瓶颈66�NAT-PT种类?静态NAT-PT? ?NAT-PT服务器提供一对一的IPv6地址和IPv4地址的映射 配置复杂,使用大量的IPv4地址?动态NAT-PT? ?NAT-PT服务器提供多对一的IPv6地址和IPv4地址的映射 采用上层协议复用的方法67�静态NAT-PT转换过程1::1NAT-PT转换服务器2.2.2.2IPv6网络IPv6主机 映射地址:2.2.2.3 =1::1 2::2 =2.2.2.2IPv4网络IPv4主机IPv6报头+数据IPv4报头+数据源: 1::1 目的:2::2源: 2.2.2.3 目的:2.2.2.2源 : 2::2 目的: 1::1源: 2.2.2.2 目的: 2.2.2.368�动态NAT-PT转换过程IPv4地址池 2.2.2.3--2.2.2.5 1::1 2.2.2.2IPv6网络IPv6主机 NAT-PT转换服务器IPv4网络IPv4主机映射地址:1::1 =2.2.2.3 2.2.2.2 =prefix:2.2.2.2IPv6报头+数据IPv4报头+数据源: 1::1 目的:prefix:2.2.2.2源: 2.2.2.3 目的:2.2.2.2源:prefix:2.2.2.2 目的: 1::1源: 2.2.2.2 目的: 2.2.2.369�NAT-PT DNS ALG转换过程映射地址:1::1 =2.2.2.3 1.1.1.2 =prefix:1.1.1.2 2.2.2.2 =prefix:2.2.2.2Pc1:1::1 IPv4地址池 2.2.2.3--2.2.2.5 IPv4主机 Pc2:2.2.2.2IPv6网络IPv6主机 NAT-PT转换服务器IPv4网络IPv4 DNS Server源: 1::1 目的:prefix:1.1.1.2 Who’s Pc2(type AAAA) 源:prefix:1.1.1.2 目的: 1::1 Pc2 is prefix:2.2.2.2 (type AAAA) 源: 1::1 目的:prefix:2.2.2.2源: 2.2.2.3 目的:1.1.1.2 Who’s Pc2(type A) 源: 1.1.1.2 目的: 2.2.2.3 Pc2 is 2.2.2.2(type A) 源: 2.2.2.3 目的:2.2.2.2 源: 2.2.2.2 目的: 2.2.2.3 701.1.1.2源:prefix:2.2.2.2 目的: 1::1�静态NAT-PT典型配置1::1 NAT-PT转换服务器 2.2.2.2IPv6网络IPv6主机IPv4网络IPv4主机# 使能NATPT [Quidway-Serial0/0]natpt enable # 配置IPv4侧报文的静态映射 [Quidway]natpt v4bound static 2.2.2.2 2::2 # 配置IPv6侧报文的静态映射 [Quidway]natpt v6bound static 1::1 2.2.2.3 # 配置前缀 [Quidway]natpt prefix 2::71�动态NAT-PT典型配置1::1 IPv4地址池 2.2.2.3--2.2.2.5 2.2.2.2IPv6网络IPv6主机NAT-PT转换服务器IPv4网络IPv4主机# 配置地址池 [Quidway]natpt address-group 1 2.2.2.3 2.2.2.5 # 配置IPv4侧报文的动态映射 [Quidway]natpt v4bound dynamic acl number 2000 prefix 2:: # 配置IPv6侧报文的动态映射 [Quidway]natpt v6bound dynamic prefix 2:: address-group 1 # 配置前缀 [Quidway]natpt prefix 2::72�小结? ?IPv6网络建设不是一蹴而就的,会逐步从IPv4过渡到IPv6 在过渡过程中需要解决IPv6孤岛的互联问题,以及IPv4网络与 IPv6网络互通问题? ?IPv6孤岛互联的技术主要有各种隧道技术 互通技术主要有NAT-PT技术73�课程总结? ?IPv6地址的表示和分类以及无状态配置技术 IPv6报文结构?? ?链路层地址解析技术IPv6路由技术及配置 IPv6过渡技术,包括隧道技术和协议转换技术74
更多搜索:
All rights reserved Powered by
文档资料库内容来自网络,如有侵犯请联系客服。
