适用于逻辑系统的 IPv6
IPv6 以 IPv4 的功能为基础,改进了 IP 寻址、配置和维护以及安全性。IPv6 支持身份验证和数据完整性扩展,可增强隐私和安全性。IPv6 使用 128 位地址,支持几乎无限数量的设备(2 的 128 次方)。有关更多信息,请参阅以下主题:
逻辑系统中的 IPv6 地址概述
IP 版本 6 (IPv6) 将 IP 地址的大小从组成 IPv4 地址的 32 位增加到 128 位。给地址的每个额外位都会使其地址空间大小增加一倍。IPv6 的地址空间比即将耗尽的 IPv4 地址空间大得多。
可以在逻辑系统中为以下功能配置 IPv6 地址:
接口
防火墙身份验证
流
路由(仅限 BGP)
区域和安全策略
筛选选项
网络地址转换(接口 NAT 除外)
管理作,如 SSH、HTTPS 和其他实用程序
机箱群集
IPv6 会话消耗的内存是 IPv4 会话的两倍。因此,IPv6 可用的会话数是安全配置文件中为流会话资源配置的保留配额和最大配额的一半。使用 vty 命令 show usp flow resource usage cp-session 检查流会话使用情况。
也可以看看
了解逻辑系统中的 IPv6 双堆栈精简版
IPv6 双堆栈精简版 (DS-Lite) 允许迁移到 IPv6 接入网络,而无需更改最终用户软件。IPv4 用户可以继续使用其当前硬件访问 IPv4 互联网内容,而 IPv6 用户能够访问 IPv6 内容。客户边缘的 DS-Lite 软线发起器将 IPv4 数据包封装为 IPv6 数据包,而软线集中器对 IPv6 中的 IPv4 数据包进行解封装,并执行 IPv4 NAT 转换。
特定的软线集中器以及与该软线集中器连接的一组软线发起器只能属于一个逻辑系统。主管理员使用 [edit system security-profile resources] 层次结构级别的配置语句来dslite-softwire-initiator配置可连接到逻辑系统中软线集中器的软线发起器的最大数量和保留数量。默认最大值为系统最大值;默认保留值为 0。
主管理员可以为主逻辑系统配置安全配置文件,用于指定可连接到为主逻辑系统配置的软线集中器的软线发起器的最大数量和保留数量。在主逻辑系统中配置的软线发起方数量将计入设备上可用的最大软线发起方数量。
用户逻辑系统管理员可以为其用户逻辑系统配置软线集中器,主管理员可以在 [edit security softwires] 层次结构级别为主逻辑系统配置软线集中器。主管理员还可以在 [edit logical-systems logical-system security softwires] 层次结构级别为用户逻辑系统配置软线集中器。
软线集中器 IPv6 地址可以与在物理接口或环路接口上配置的 IPv6 地址匹配。
也可以看看
示例:为主逻辑系统、互连逻辑系统和用户逻辑系统配置 IPv6(仅限主管理员)
本主题介绍主逻辑系统和互连逻辑系统的 IPv6 接口、静态路由和路由实例的配置。它还介绍了为用户逻辑系统配置 IPv6 逻辑隧道接口。
要求
开始之前:
-
请参阅 SRX 系列逻辑系统主管理员配置任务概述, 了解此过程在整个主管理员配置过程中的作用和位置。
-
请参阅 了解互连逻辑系统和逻辑隧道接口。
概述
此场景说明如何为设备上的逻辑系统(包括互连逻辑系统)配置接口。
-
对于互连逻辑系统,此示例配置逻辑隧道接口 lt-0/0/0.0、lt-0/0/0.2 和 lt-0/0/0.4。此示例将配置一个名为 vr 的路由实例,并为其分配接口。
由于互连逻辑系统充当虚拟交换机,因此将其配置为 VPLS 路由实例类型。互连逻辑系统的 lt-0/0/0 接口配置为 ethernet-vpls 作为封装类型。主逻辑系统和用户逻辑系统中对应的对等 lt-0/0/0 接口配置了以太网作为封装类型。
-
lt-0/0/0.0 连接到根逻辑系统上的 lt-0/0/0.1。
-
lt-0/0/0.2 连接到 LSYS1 逻辑系统上的 lt-0/0/0.3。
-
lt-0/0/0.4 连接到 LSYS2 逻辑系统上的 lt-0/0/0.5。
-
-
对于称为 root-logical-system 的主逻辑系统,此示例配置 ge-5/0/0 并将其分配给 vr0 路由实例。此示例将 lt-0/0/0.1 配置为连接到互连逻辑系统上的 lt-0/0/0.0,并将其分配给 vr0 路由实例。此示例配置静态路由以允许与其他逻辑系统通信,并将其分配给 vr0 路由实例。
-
对于 LSYS1 逻辑系统,此示例将 lt-0/0/0.3 配置为连接到互连逻辑系统上的 lt-0/0/0.2。
-
对于 LSYS2 逻辑系统,此示例将 lt-0/0/0.5 配置为连接到互连逻辑系统上的 lt-0/0/0.4。
图 1 显示了此部署的拓扑结构,包括所有 IPv6 逻辑系统的虚拟路由器及其接口。
拓扑结构
配置
本主题介绍如何为逻辑系统配置接口。
为互连逻辑系统配置逻辑隧道接口和路由实例
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set forwarding-options family inet6 mode flow-based set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 peer-unit 3 set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 peer-unit 5 set logical-systems LSYS0 routing-instances vr instance-type vpls set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.0 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.2 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.4
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要配置互连系统 lt-0/0/0 接口和路由实例,请执行以下作:
-
为 IPv6 流量启用基于流的转发。
[edit security] user@host# set forwarding-options family inet6 mode flow-based -
配置 lt-0/0/0 接口。
[edit logical-systems LSYS0 interfaces] user@host# set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 0 peer-unit 1 user@host# set lt-0/0/0 unit 2 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 2 peer-unit 3 user@host# set lt-0/0/0 unit 4 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 4 peer-unit 5
-
为互连逻辑系统配置路由实例,并将其 lt-0/0/0 接口添加至其中。
[edit logical-systems LSYS0 routing-instances] user@host# set vr instance-type vpls user@host# set vr interface lt-0/0/0.0 user@host# set vr interface lt-0/0/0.2 user@host# set vr interface lt-0/0/0.4
结果
在配置模式下,输入 show logical-systems interconnect-logical-system 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
如果完成设备配置,请从配置模式进入。commit
user@host# show logical-systems LSYS0
interfaces {
lt-0/0/0 {
unit 0 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 2 {
encapsulation ethernet-vpls;
peer-unit 3;
}
unit 4 {
encapsulation ethernet-vpls;
peer-unit 5;
}
}
}
routing-instances {
vr {
instance-type vpls;
interface lt-0/0/0.0;
interface lt-0/0/0.2;
interface lt-0/0/0.4;
}
}
为主逻辑系统配置接口、路由实例和静态路由
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set interfaces ge-5/0/0 vlan-taggingset interfaces ge-5/0/0 unit 0 vlan-id 600set interfaces lt-0/0/0 unit 1 encapsulation Ethernetset interfaces lt-0/0/0 unit 1 peer-unit 0set interfaces lt-0/0/0 unit 1 family inet address 10.1.1.1/24set interfaces lt-0/0/0 unit 1 family inet6 address 2001:db8:1111::1/64set interfaces ge-5/0/0 unit 0 family inet address 10.99.99.1/24set interfaces ge-5/0/0 unit 0 family inet6 address 2001:db8:9999::1/64set routing-instances vr0 instance-type virtual-routerset routing-instances vr0 interface lt-0/0/0.1set routing-instances vr0 interface ge-5/0/0.0set routing-instances vr0 routing-options rib vr0.inet6.0 static route 2001:db8:777::/64 next-hop 2001:db8:1111::3set routing-instances vr0 routing-options rib vr0.inet6.0 static route 2001:db8:888::/64 next-hop 2001:db8:1111::3set routing-instances vr0 routing-options rib vr0.inet6.0 static route 2001:db8:666::/64 next-hop 2001:db8:1111::5set routing-instances vr0 routing-options static route 192.168.7.0/24 next-hop 10.1.1.3set routing-instances vr0 routing-options static route 192.168.8.0/24 next-hop 10.1.1.3set routing-instances vr0 routing-options static route 192.168.6.0/24 next-hop 10.1.1.5
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器。
要配置主逻辑系统接口,请执行以下作:
-
配置主(根)逻辑系统和 lt-0/0/0.1 接口。
[edit interfaces] user@host#
set ge-5/0/0 vlan-tagginguser@host#set ge-5/0/0 unit 0 vlan-id 600user@host#set lt-0/0/0 unit 1 encapsulation Ethernetuser@host#set lt-0/0/0 unit 1 peer-unit 0user@host#set lt-0/0/0 unit 1 family inet address 10.1.1.1/24user@host#set lt-0/0/0 unit 1 family inet6 address 2001:db8:1111::1/64user@host#set ge-5/0/0 unit 0 family inet address 10.99.99.1/24user@host#set ge-5/0/0 unit 0 family inet6 address 2001:db8:9999::1/64 -
为主逻辑系统配置路由实例,为其分配接口,并为其配置静态路由。
[edit interfaces routing-instances] user@host#
set vr0 instance-type virtual-routeruser@host#set vr0 interface lt-0/0/0.1user@host#set vr0 interface ge-5/0/0.0user@host#set vr0 routing-options rib vr0.inet6.0 static route 2001:db8:1111:777/64 next-hop 2001:db8:1111::3user@host#set vr0 routing-options rib vr0.inet6.0 static route 2001:db8:1111:888/64 next-hop 2001:db8:1111::3user@host#set vr0 routing-options rib vr0.inet6.0 static route 2001:db8:1111:666/64 next-hop 2001:db8:1111::5user@host#set vr0 routing-options static route 192.168.7.0/24 next-hop 10.1.1.3user@host#set vr0 routing-options static route 192.168.8.0/24 next-hop 10.1.1.3user@host#set vr0 routing-options static route 192.168.6.0/24 next-hop 10.1.1.5
结果
在配置模式下,输入和show interfaces show routing-instances命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host# show interfaces
ge-5/0/0 {
vlan-tagging;
unit 0 {
vlan-id 600;
family inet {
address 10.99.99.1/24;
}
family inet 6{
address 2001:db8:9999:1/64;
}
}
}
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 0;
family inet {
address 10.1.1.1/24;
}
family inet 6{
address 2001:db8:1111::1/64;
}
}
}
[edit]
user@host# show routing-instances
vr0 {
instance-type virtual-router;
interface ge-5/0/0.0;
interface lt-0/0/0;
routing-options {
rib vr0.inet6.0 {
static {
route 2001:db8:1111:888/64 next-hop 2001:db8:1111:3;
route 2001:db8:1111:777/64 next-hop 2001:db8:1111:3;
route 2001:db8:1111:666/64 next-hop 2001:db8:1111:5;
}
}
static {
route 192.168.7.0/24 next-hop 10.1.1.3;
route 192.168.8.0/24 next-hop 10.1.1.3;
route 192.168.6.0/24 next-hop 10.1.1.5;
}
}
}
如果完成设备配置,请从配置模式进入。commit
为用户逻辑系统配置逻辑隧道接口
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 encapsulation ethernetset logical-systems LSYS1 interfaces lt-0/0/0 unit 3 peer-unit 2set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 family inet address 10.1.1.3/24set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 family inet6 address 2001:db8:1111:2/64set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 encapsulation ethernetset logical-systems LSYS2 interfaces lt-0/0/0 unit 5 peer-unit 4set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 family inet address 10.1.1.5/24set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 family inet6 address 2001:db8:1111::5/64
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器。
-
为第一个用户逻辑系统配置 lt-0/0/0 接口:
[edit logical-systems LSYS1 interfaces lt-0/0/0 unit 3] user@host#
set encapsulation ethernetuser@host#set peer-unit 2user@host#set family inet address 10.1.1.3/24user@host#set family inet6 address 2001:db8:1111:3::1/64 -
为第二个用户逻辑系统配置 lt-0/0/0 接口。
[edit logical-systems LSYS2 interfaces lt-0/0/0 unit 5] user@host#
set encapsulation ethernetuser@host#set peer-unit 4user@host#set family inet address 10.1.1.5/24user@host#set family inet6 address 2001:db8:1111::5/64
结果
在配置模式下,输入 show logical-systems LSYS1 interfaces lt-0/0/0和 show logical-systems LSYS2 interfaces lt-0/0/0 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show logical-systems LSYS1 interfaces lt-0/0/0
lt-0/0/0 {
unit 3 {
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.1.1.3/24;
}
family inet 6{
address 2001:db8:1111::3/64;
}
}
}
user@host# show logical-systems LSYS2 interfaces lt-0/0/0
lt-0/0/0 {
unit 5 {
encapsulation ethernet;
peer-unit 4;
family inet {
address 10.1.1.5/24;
}
family inet 6{
address 2001:db8:1111::5/64;
}
}
}
如果完成设备配置,请从配置模式进入。commit
示例:为用户逻辑系统配置 IPv6 区域
此示例说明如何为用户逻辑系统配置 IPv6 区域。
要求
开始之前:
以用户逻辑系统管理员身份登录到用户逻辑系统。
请参阅 用户逻辑系统配置概述。
确保 inet6 的转发选项是基于流的。否则,您必须对其进行配置并重置设备。
使用命令
show security forwarding-options检查配置。注意:只有用户逻辑系统管理员可以配置转发选项。
概述
此示例配置 ls-product-design 用户逻辑系统,详见 示例:创建用户逻辑系统、其管理员、其用户和互连逻辑系统
此示例创建 IPv6 区域和地址簿,如 表 1 所述。
功能 |
姓名 |
配置参数 |
|---|---|---|
区域 |
ls-product-design-trust |
|
ls-product-design-untrust |
|
|
地址簿 |
产品设计内部 |
|
产品-设计-外部 |
|
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set logical-system lsys1 security address-book product-design-internal address product-designers 3002::1/96 set logical-system lsys1 security address-book product-design-internal attach zone ls-product-design-trust set logical-system lsys1 security address-book product-design-external address marketing 3003::1/24 set logical-system lsys1 security address-book product-design-external address accounting 3004::1/24 set logical-system lsys1 security address-book product-design-external address others 3002::2/24 set logical-system lsys1 security address-book product-design-external address-set otherlsys address marketing set logical-system lsys1 security address-book product-design-external address-set otherlsys address accounting set logical-system lsys1 security address-book product-design-external attach zone ls-product-design-untrust set logical-system lsys1 security zones security-zone ls-product-design-trust tcp-rst set logical-system lsys1 security zones security-zone ls-product-design-trust interfaces ge-0/0/5.1 set logical-system lsys1 security zones security-zone ls-product-design-untrust interfaces lt-0/0/0.3
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要在用户逻辑系统中配置 IPv6 区域,请执行以下作:
以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
配置安全区域并将其分配给接口。
[edit logical-system lsys1 security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-trust interfaces ge-0/0/5.1
为区域配置 TCP-Reset 参数。
[edit logical-system lsys1 security zones security-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set tcp-rst
配置安全区域并将其分配给接口。
[edit logical-system lsys1 security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-untrust interfaces lt-0/0/0.3
创建全局通讯簿条目。
[edit logical-system lsys1 security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal address product-designers 3002::1/96 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address marketing 3003::1/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address accounting 3004::1/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address others 3002::2/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address marketing lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address accounting
将地址簿附加到区域。
[edit logical-system lsys1 security] lsdesignadmin1@host:ls-product-design#set address-book product-design-internal attach zone ls-product-design-trust lsdesignadmin1@host:ls-product-design#set address-book product-design-external attach zone ls-product-design-untrust
结果
在配置模式下,输入 show security zones 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
lsdesignadmin1@host:ls-product-design# show security zones
address-book {
product-design-internal {
address product-designers 3002::1/96;
attach {
zone ls-product-design-trust;
}
}
product-design-external {
address marketing 3003::1/24;
address accounting 3004::1/24;
address others 3002::2/24;
address-set otherlsys {
address marketing;
address accounting;
}
attach {
zone ls-product-design-untrust;
}
}
}
zones {
security-zone ls-product-design-trust {
tcp-rst;
interfaces {
ge-0/0/5.1;
}
}
security-zone ls-product-design-untrust {
interfaces {
lt-0/0/0.3;
}
}
}
如果完成设备配置,请从配置模式进入。commit
示例:为用户逻辑系统配置 IPv6 安全性策略
此示例说明如何为用户逻辑系统配置 IPv6 安全策略。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。
请参阅 用户逻辑系统配置概述。
使用此
show system security-profiles policy命令查看分配给逻辑系统的安全策略资源。配置区域和地址簿。
概述
此示例说明如何配置 表 2 中所述的安全策略。
策略名称 |
配置参数 |
|---|---|
允许所有到其他系统 |
允许以量:
|
允许所有来自其他系统 |
允许以量:
|
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-d esign-trust policy permit-all-from-otherlsys then permit
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要为用户逻辑系统配置 IPv6 安全策略:
以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
配置一个安全策略,以允许从 ls-product-design-trust 区域到 ls-product-design-untrust 区域的流量。
[edit logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
配置安全策略,允许从 ls-product-design-untrust 区域到 ls-product-design-trust 区域的流量。
[edit logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式进入。commit
示例:为用户逻辑系统配置 IPv6 Dual-Stack Lite
此示例说明如何为用户逻辑系统配置软线集中器。
要求
开始之前:
以用户逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
使用该
show system security-profile dslite-softwire-initiator命令查看可连接到逻辑系统中软线集中器的软线发起器的数量。
概述
此示例说明如何配置软线集中器,以在 ls-product-design 用户逻辑系统中解封装 IPv4-in-IPv6 数据包,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统。软线集中器的 IPv6 地址为 3000::1,软线配置的名称为 sc_1。
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security softwires softwire-name sc_1 softwire-concentrator 3000::1 softwire-type IPv4-in-IPv6
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要配置 IPv6 DS-Lite 软线集中器,请执行以下作:
以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
指定软线集中器的地址和软线类型。
[edit security] lsdesignadmin1@host:ls-product-design# set softwires softwire-name sc_1 softwire-concentrator 3000::1 softwire-type IPv4-in-IPv6
结果
在配置模式下,输入 show security softwires 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
lsdesignadmin1@host:ls-product-design# show security softwires
softwire-name sc_1 {
softwire-concentrator 3000::1;
softwire-type IPv4-in-IPv6;
}
如果完成设备配置,请从配置模式进入。commit
验证
验证 DS-Lite 配置
目的
验证软线发起器是否可以连接到用户逻辑系统中配置的软线集中器。
行动
在作模式下,输入命令 show security softwires 。
如果未连接软线启动器,则作输出如下所示:
lsdesignadmin1@host:ls-product-design> show security softwires Softwire Name SC Address Status Number of SI connected sc_1 3000::1 Active 0
如果连接了软线启动器,则作输出如下所示:
lsdesignadmin1@host:ls-product-design> show security softwires Softwire Name SC Address Status Number of SI connected sc_1 3000::1 Connected 1