适用于逻辑系统的 IPv6
IPv6 以 IPv4 的功能为基础,改进了 IP 寻址、配置和维护以及安全性。IPv6 支持身份验证和数据完整性扩展,从而增强隐私和安全性。IPv6 使用 128 位地址,支持几乎无限数量的设备—2 台到第 128 个功率。有关更多信息,请参阅以下主题:
逻辑系统中的 IPv6 地址概述
IP 版本 6 (IPv6) 将 IP 地址的大小从构成 IPv4 地址的 32 位增加到 128 位。给地址的每个额外位都会将其地址空间的大小扩大一倍。IPv6 的地址空间比即将耗尽的 IPv4 地址空间要大得多。
可以为以下功能在逻辑系统中配置 IPv6 地址:
接口
防火墙身份验证
流
路由(仅限 BGP)
区域和安全策略
筛选选项
网络地址转换(接口 NAT 除外)
SSH、HTTPS 和其他公用事业等管理操作
机箱群集
IPv6 会话占用的内存是 IPv4 会话的两倍。因此,可用于 IPv6 的会话数是安全配置文件中为流会话资源配置的保留和最大配额的一半。使用 vty 命令 show usp flow resource usage cp-session 检查流会话使用情况。
另请参阅
了解逻辑系统中的 IPv6 双堆栈 Lite
IPv6 双堆栈精简版 (DS-Lite) 允许迁移到 IPv6 接入网络,无需更改最终用户软件。IPv4 用户可以使用当前的硬件继续访问 IPv4 互联网内容,而 IPv6 用户能够访问 IPv6 内容。客户边缘的 DS-Lite 软线发起方将 IPv4 数据包封装到 IPv6 数据包中,而软线集中器解封装 IPv4-in-IPv6 数据包,并执行 IPv4 NAT 转换。
特定的软线集中器以及与该软线集中器连接的一组软线发起方只能属于一个逻辑系统。主管理员使用 dslite-softwire-initiator [edit system security-profile resources] 层次结构级别的配置语句,配置可连接到逻辑系统中软线集中器的最大和保留数量。默认的最大值是系统最大值;默认保留值为 0。
主管理员可以为主逻辑系统配置安全配置文件,以指定可连接到为主逻辑系统配置的软线集中器的最大和保留数量。在主逻辑系统中配置的软线发起方数计入设备上可用的最大软线发起方数。
用户逻辑系统管理员可以为自己的用户逻辑系统配置软线集中器,而主管理员可以为 [edit security softwires] 层次结构级别的主逻辑系统配置软线集中器。主管理员还可以为 [edit logical-systems logical-system security softwires] 层次结构级别的用户逻辑系统配置软线集中器。
软线集中器 IPv6 地址可以匹配物理接口或环路接口上配置的 IPv6 地址。
另请参阅
示例:为主要、互连和用户逻辑系统配置 IPv6(仅限主管理员)
本主题介绍主要和互连逻辑系统的 IPv6 接口、静态路由和路由实例的配置。它还介绍了用户逻辑系统的 IPv6 逻辑隧道接口配置。
要求
开始之前:
-
请参阅 SRX 系列逻辑系统主管理员配置任务概述 ,了解此过程在整体主管理员配置过程中的适用方式和位置。
-
请参阅 了解互连逻辑系统和逻辑隧道接口。
概述
此场景显示如何为设备上的逻辑系统(包括互连逻辑系统)配置接口。
-
对于互连逻辑系统,该示例配置了逻辑隧道接口 lt-0/0/0.0、lt-0/0/0.2 和 lt-0/0/0.4。该示例配置名为 vr 的路由实例,并为其分配接口。
由于互连逻辑系统充当虚拟交换机,因此配置为 VPLS 路由实例类型。互连逻辑系统的 lt-0/0/0 接口配置以太网-vpls 作为封装类型。主和用户逻辑系统中相应的对等方 lt-0/0/0 接口配置为封装类型。
-
lt-0/0/0.0 连接到根逻辑系统上的 lt-0/0/0.1。
-
lt-0/0/0.2 连接到 LSYS1 逻辑系统上的 lt-0/0/0.3。
-
lt-0/0/0.4 连接到 LSYS2 逻辑系统上的 lt-0/0/0.5。
-
-
对于称为 root-logical-system 的主逻辑系统,该示例配置 ge-5/0/0,并将其分配给 vr0 路由实例。此示例将 lt-0/0/0.1 配置为连接到互连逻辑系统上的 lt-0/0/0.0,并将其分配给 vr0 路由实例。该示例将静态路由配置为允许与其他逻辑系统通信,并将其分配给 vr0 路由实例。
-
对于 LSYS1 逻辑系统,此示例将 lt-0/0/0.3 配置为连接到互连逻辑系统上的 lt-0/0/0.2。
-
对于 LSYS2 逻辑系统,此示例将 lt-0/0/0.5 配置为连接到互连逻辑系统上的 lt-0/0/0.4。
图 1 显示了此部署的拓扑,包括所有 IPv6 逻辑系统的虚拟路由器及其接口。
拓扑
配置
本主题介绍如何为逻辑系统配置接口。
为互连逻辑系统配置逻辑隧道接口和路由实例
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set forwarding-options family inet6 mode flow-based set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 peer-unit 3 set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 peer-unit 5 set logical-systems LSYS0 routing-instances vr instance-type vpls set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.0 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.2 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.4
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要配置互连系统 lt-0/0/0 接口和路由实例:
-
为 IPv6 流量启用基于流的转发。
[edit security] user@host# set forwarding-options family inet6 mode flow-based
-
配置 lt-0/0/0 接口。
[edit logical-systems LSYS0 interfaces] user@host# set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 0 peer-unit 1 user@host# set lt-0/0/0 unit 2 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 2 peer-unit 3 user@host# set lt-0/0/0 unit 4 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 4 peer-unit 5
-
为互连逻辑系统配置路由实例,并将其 lt-0/0/0 接口添加到其中。
[edit logical-systems LSYS0 routing-instances] user@host# set vr instance-type vpls user@host# set vr interface lt-0/0/0.0 user@host# set vr interface lt-0/0/0.2 user@host# set vr interface lt-0/0/0.4
结果
在配置模式下,输入命令以确认 show logical-systems interconnect-logical-system 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
完成设备配置后,请从配置模式进入 commit 。
user@host# show logical-systems LSYS0
interfaces {
lt-0/0/0 {
unit 0 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 2 {
encapsulation ethernet-vpls;
peer-unit 3;
}
unit 4 {
encapsulation ethernet-vpls;
peer-unit 5;
}
}
}
routing-instances {
vr {
instance-type vpls;
interface lt-0/0/0.0;
interface lt-0/0/0.2;
interface lt-0/0/0.4;
}
}
为主逻辑系统配置接口、路由实例和静态路由
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set interfaces ge-5/0/0 vlan-taggingset interfaces ge-5/0/0 unit 0 vlan-id 600set interfaces lt-0/0/0 unit 1 encapsulation Ethernetset interfaces lt-0/0/0 unit 1 peer-unit 0set interfaces lt-0/0/0 unit 1 family inet address 10.1.1.1/24set interfaces lt-0/0/0 unit 1 family inet6 address 2001:db8:1111::1/64set interfaces ge-5/0/0 unit 0 family inet address 10.99.99.1/24set interfaces ge-5/0/0 unit 0 family inet6 address 2001:db8:9999::1/64set routing-instances vr0 instance-type virtual-routerset routing-instances vr0 interface lt-0/0/0.1set routing-instances vr0 interface ge-5/0/0.0set routing-instances vr0 routing-options rib vr0.inet6.0 static route 2001:db8:777::/64 next-hop 2001:db8:1111::3set routing-instances vr0 routing-options rib vr0.inet6.0 static route 2001:db8:888::/64 next-hop 2001:db8:1111::3set routing-instances vr0 routing-options rib vr0.inet6.0 static route 2001:db8:666::/64 next-hop 2001:db8:1111::5set routing-instances vr0 routing-options static route 192.168.7.0/24 next-hop 10.1.1.3set routing-instances vr0 routing-options static route 192.168.8.0/24 next-hop 10.1.1.3set routing-instances vr0 routing-options static route 192.168.6.0/24 next-hop 10.1.1.5
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器。
要配置主逻辑系统接口:
-
配置主(根)逻辑系统和 lt-0/0/0.1 接口。
[edit interfaces] user@host#
set ge-5/0/0 vlan-tagginguser@host#set ge-5/0/0 unit 0 vlan-id 600user@host#set lt-0/0/0 unit 1 encapsulation Ethernetuser@host#set lt-0/0/0 unit 1 peer-unit 0user@host#set lt-0/0/0 unit 1 family inet address 10.1.1.1/24user@host#set lt-0/0/0 unit 1 family inet6 address 2001:db8:1111::1/64user@host#set ge-5/0/0 unit 0 family inet address 10.99.99.1/24user@host#set ge-5/0/0 unit 0 family inet6 address 2001:db8:9999::1/64 -
为主逻辑系统配置路由实例,为其分配接口,并为其配置静态路由。
[edit interfaces routing-instances] user@host#
set vr0 instance-type virtual-routeruser@host#set vr0 interface lt-0/0/0.1user@host#set vr0 interface ge-5/0/0.0user@host#set vr0 routing-options rib vr0.inet6.0 static route 2001:db8:1111:777/64 next-hop 2001:db8:1111::3user@host#set vr0 routing-options rib vr0.inet6.0 static route 2001:db8:1111:888/64 next-hop 2001:db8:1111::3user@host#set vr0 routing-options rib vr0.inet6.0 static route 2001:db8:1111:666/64 next-hop 2001:db8:1111::5user@host#set vr0 routing-options static route 192.168.7.0/24 next-hop 10.1.1.3user@host#set vr0 routing-options static route 192.168.8.0/24 next-hop 10.1.1.3user@host#set vr0 routing-options static route 192.168.6.0/24 next-hop 10.1.1.5
结果
在配置模式下,输入和 show routing-instances 命令以确认show interfaces 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit]
user@host# show interfaces
ge-5/0/0 {
vlan-tagging;
unit 0 {
vlan-id 600;
family inet {
address 10.99.99.1/24;
}
family inet 6{
address 2001:db8:9999:1/64;
}
}
}
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 0;
family inet {
address 10.1.1.1/24;
}
family inet 6{
address 2001:db8:1111::1/64;
}
}
}
[edit]
user@host# show routing-instances
vr0 {
instance-type virtual-router;
interface ge-5/0/0.0;
interface lt-0/0/0;
routing-options {
rib vr0.inet6.0 {
static {
route 2001:db8:1111:888/64 next-hop 2001:db8:1111:3;
route 2001:db8:1111:777/64 next-hop 2001:db8:1111:3;
route 2001:db8:1111:666/64 next-hop 2001:db8:1111:5;
}
}
static {
route 192.168.7.0/24 next-hop 10.1.1.3;
route 192.168.8.0/24 next-hop 10.1.1.3;
route 192.168.6.0/24 next-hop 10.1.1.5;
}
}
}
完成设备配置后,请从配置模式进入 commit 。
为用户逻辑系统配置逻辑隧道接口
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 encapsulation ethernetset logical-systems LSYS1 interfaces lt-0/0/0 unit 3 peer-unit 2set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 family inet address 10.1.1.3/24set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 family inet6 address 2001:db8:1111:2/64set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 encapsulation ethernetset logical-systems LSYS2 interfaces lt-0/0/0 unit 5 peer-unit 4set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 family inet address 10.1.1.5/24set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 family inet6 address 2001:db8:1111::5/64
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器。
-
为第一个用户逻辑系统配置 lt-0/0/0 接口:
[edit logical-systems LSYS1 interfaces lt-0/0/0 unit 3] user@host#
set encapsulation ethernetuser@host#set peer-unit 2user@host#set family inet address 10.1.1.3/24user@host#set family inet6 address 2001:db8:1111:3::1/64 -
为第二个用户逻辑系统配置 lt-0/0/0 接口。
[edit logical-systems LSYS2 interfaces lt-0/0/0 unit 5] user@host#
set encapsulation ethernetuser@host#set peer-unit 4user@host#set family inet address 10.1.1.5/24user@host#set family inet6 address 2001:db8:1111::5/64
结果
在配置模式下,输入 、 和 show logical-systems LSYS2 interfaces lt-0/0/0 命令, show logical-systems LSYS1 interfaces lt-0/0/0以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
user@host# show logical-systems LSYS1 interfaces lt-0/0/0
lt-0/0/0 {
unit 3 {
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.1.1.3/24;
}
family inet 6{
address 2001:db8:1111::3/64;
}
}
}
user@host# show logical-systems LSYS2 interfaces lt-0/0/0
lt-0/0/0 {
unit 5 {
encapsulation ethernet;
peer-unit 4;
family inet {
address 10.1.1.5/24;
}
family inet 6{
address 2001:db8:1111::5/64;
}
}
}
完成设备配置后,请从配置模式进入 commit 。
示例:为用户逻辑系统配置 IPv6 区域
此示例说明如何为用户逻辑系统配置 IPv6 区域。
要求
开始之前:
以用户逻辑系统管理员身份登录用户逻辑系统。
请参阅 用户逻辑系统配置概述。
确保 inet6 的转发选项基于流。否则,必须进行配置并重置设备。
使用
show security forwarding-options命令检查配置。注意:只有用户逻辑系统管理员才能配置转发选项。
概述
此示例配置示例:创建用户逻辑系统、管理员、用户和互连逻辑系统中描述的 ls-product 设计用户逻辑系统
此示例将创建 表 1 所述的 IPv6 区域和地址簿。
特征 |
名字 |
配置参数 |
|---|---|---|
区 |
ls-product-design-trust |
|
|
ls-product-design-untrust |
|
地址簿 |
产品设计内部 |
|
|
产品设计-外部 |
|
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set logical-system lsys1 security address-book product-design-internal address product-designers 3002::1/96 set logical-system lsys1 security address-book product-design-internal attach zone ls-product-design-trust set logical-system lsys1 security address-book product-design-external address marketing 3003::1/24 set logical-system lsys1 security address-book product-design-external address accounting 3004::1/24 set logical-system lsys1 security address-book product-design-external address others 3002::2/24 set logical-system lsys1 security address-book product-design-external address-set otherlsys address marketing set logical-system lsys1 security address-book product-design-external address-set otherlsys address accounting set logical-system lsys1 security address-book product-design-external attach zone ls-product-design-untrust set logical-system lsys1 security zones security-zone ls-product-design-trust tcp-rst set logical-system lsys1 security zones security-zone ls-product-design-trust interfaces ge-0/0/5.1 set logical-system lsys1 security zones security-zone ls-product-design-untrust interfaces lt-0/0/0.3
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
在用户逻辑系统中配置 IPv6 区域:
以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
配置安全区域并将其分配给接口。
[edit logical-system lsys1 security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-trust interfaces ge-0/0/5.1
为区域配置 TCP-Reset 参数。
[edit logical-system lsys1 security zones security-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set tcp-rst
配置安全区域并将其分配给接口。
[edit logical-system lsys1 security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-untrust interfaces lt-0/0/0.3
创建全局通讯簿条目。
[edit logical-system lsys1 security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal address product-designers 3002::1/96 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address marketing 3003::1/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address accounting 3004::1/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address others 3002::2/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address marketing lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address accounting
将通讯簿附加到区域。
[edit logical-system lsys1 security] lsdesignadmin1@host:ls-product-design#set address-book product-design-internal attach zone ls-product-design-trust lsdesignadmin1@host:ls-product-design#set address-book product-design-external attach zone ls-product-design-untrust
结果
在配置模式下,输入命令以确认 show security zones 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
lsdesignadmin1@host:ls-product-design# show security zones
address-book {
product-design-internal {
address product-designers 3002::1/96;
attach {
zone ls-product-design-trust;
}
}
product-design-external {
address marketing 3003::1/24;
address accounting 3004::1/24;
address others 3002::2/24;
address-set otherlsys {
address marketing;
address accounting;
}
attach {
zone ls-product-design-untrust;
}
}
}
zones {
security-zone ls-product-design-trust {
tcp-rst;
interfaces {
ge-0/0/5.1;
}
}
security-zone ls-product-design-untrust {
interfaces {
lt-0/0/0.3;
}
}
}
完成设备配置后,请从配置模式进入 commit 。
示例:为用户逻辑系统配置 IPv6 安全策略
此示例说明如何为用户逻辑系统配置 IPv6 安全策略。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。
请参阅 用户逻辑系统配置概述。
show system security-profiles policy使用命令查看分配给逻辑系统的安全策略资源。配置区域和地址簿。
概述
此示例说明如何配置 表 2 中描述的安全策略。
策略名称 |
配置参数 |
|---|---|
permit-all-to-otherlsys |
允许以下流量:
|
permit-all-from-otherlsys |
允许以下流量:
|
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-d esign-trust policy permit-all-from-otherlsys then permit
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要为用户逻辑系统配置 IPv6 安全策略:
以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
配置一个安全策略,以允许从 ls-product-design-trust 区域到 ls-product-design-untrust 区域的流量。
[edit logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
配置一个安全策略,以允许从 ls-product-design-untrust 区域到 ls-product-design-trust 区域的流量。
[edit logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
结果
在配置模式下,输入命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
完成设备配置后,请从配置模式进入 commit 。
示例:为用户逻辑系统配置 IPv6 双堆栈 Lite
此示例说明如何为用户逻辑系统配置软线集中器。
要求
开始之前:
以用户逻辑系统管理员身份登录用户逻辑系统。请参阅 用户逻辑系统配置概述。
show system security-profile dslite-softwire-initiator使用命令查看可连接到逻辑系统中软线集中器的数量。
概述
此示例说明如何配置软线集中器以解封装 ls-product-design 用户逻辑系统中的 IPv4-in-IPv6 数据包, 如示例:创建用户逻辑系统、管理员、用户和互连逻辑系统。软线集中器的 IPv6 地址为 3000:1,而软线配置的名称sc_1。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security softwires softwire-name sc_1 softwire-concentrator 3000::1 softwire-type IPv4-in-IPv6
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要配置 IPv6 DS-Lite 软线集中器:
以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
指定软线集中器的地址和软线类型。
[edit security] lsdesignadmin1@host:ls-product-design# set softwires softwire-name sc_1 softwire-concentrator 3000::1 softwire-type IPv4-in-IPv6
结果
在配置模式下,输入命令以确认 show security softwires 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
lsdesignadmin1@host:ls-product-design# show security softwires
softwire-name sc_1 {
softwire-concentrator 3000::1;
softwire-type IPv4-in-IPv6;
}
完成设备配置后,请从配置模式进入 commit 。
验证
验证 DS-Lite 配置
目的
验证软线发起方是否可以连接到用户逻辑系统中配置的软线集中器。
行动
在操作模式下,输入 show security softwires 命令。
如果软线发起方未连接,则操作输出如下所示:
lsdesignadmin1@host:ls-product-design> show security softwires Softwire Name SC Address Status Number of SI connected sc_1 3000::1 Active 0
如果连接了软线发起方,则操作输出如下所示:
lsdesignadmin1@host:ls-product-design> show security softwires Softwire Name SC Address Status Number of SI connected sc_1 3000::1 Connected 1