Dual-Stack-Tunnel über eine externe Schnittstelle
Dual-Stack-Tunnel – parallele IPv4- und IPv6-Tunnel über eine einzige physische Schnittstelle zu einem Peer – werden für routenbasierte Site-to-Site-VPNs unterstützt. Eine physische Schnittstelle, die sowohl mit IPv4- als auch mit IPv6-Adressen konfiguriert ist, kann als externe Schnittstelle für IPv4- und IPv6-Gateways auf demselben Peer oder auf verschiedenen Peers gleichzeitig verwendet werden.
VPN-Tunnelmodi verstehen
Im VPN-Tunnelmodus kapselt IPsec das ursprüngliche IP-Datagramm – einschließlich des ursprünglichen IP-Headers – in ein zweites IP-Datagramm. Der äußere IP-Header enthält die IP-Adresse des Gateways, während der innere Header die endgültigen Quell- und Ziel-IP-Adressen enthält. Der äußere und der innere IP-Header können das Protokollfeld IPv4 oder IPv6 haben. Die Firewalls der SRX-Serie unterstützen vier Tunnelmodi für routenbasierte Site-to-Site-VPNs.
IPv4-in-IPv4-Tunnel kapseln IPv4-Pakete in IPv4-Paketen, wie in Abbildung 1gezeigt. Die Protokollfelder sowohl für den äußeren als auch für den inneren Header sind IPv4.
IPv6-in-IPv6-Tunnel kapseln IPv6-Pakete in IPv6-Pakete, wie in gezeigt.Abbildung 2 Die Protokollfelder für den äußeren und inneren Header sind IPv6.
IPv6-in-IPv4-Tunnel kapseln IPv6-Pakete in IPv4-Paketen, wie in gezeigt.Abbildung 3 Das Protokollfeld für den äußeren Header ist IPv4 und das Protokollfeld für den inneren Header ist IPv6.
IPv4-in-IPv6-Tunnel kapseln IPv4-Pakete in IPv6-Paketen, wie in gezeigt.Abbildung 4 Das Protokollfeld für den äußeren Header ist IPv6 und das Protokollfeld für den inneren Header ist IPv4.
Ein einzelner IPsec-VPN-Tunnel kann sowohl IPv4- als auch IPv6-Datenverkehr übertragen. Beispielsweise kann ein IPv4-Tunnel gleichzeitig im IPv4-in-IPv4- und IPv6-in-IPv4-Tunnelmodus betrieben werden. Um sowohl IPv4- als auch IPv6-Datenverkehr über einen einzelnen IPsec-VPN-Tunnel zuzulassen, muss die an diesen Tunnel gebundene st0-Schnittstelle sowohl mit als auch konfiguriert werden.family inetfamily inet6
Eine physische Schnittstelle, die sowohl mit IPv4- als auch mit IPv6-Adressen konfiguriert ist, kann als externe Schnittstelle für parallele IPv4- und IPv6-Tunnel zu einem Peer in einem routenbasierten Site-to-Site-VPN verwendet werden. Diese Funktion wird als Dual-Stack-Tunnel bezeichnet und erfordert separate st0-Schnittstellen für jeden Tunnel.
Bei richtlinienbasierten VPNs ist IPv6-in-IPv6 der einzige unterstützte Tunnelmodus und wird nur auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten unterstützt.
Grundlegendes zu Dual-Stack-Tunneln über eine externe Schnittstelle
Dual-Stack-Tunnel – parallele IPv4- und IPv6-Tunnel über eine einzige physische Schnittstelle zu einem Peer – werden für routenbasierte Site-to-Site-VPNs unterstützt. Eine physische Schnittstelle, die sowohl mit IPv4- als auch mit IPv6-Adressen konfiguriert ist, kann als externe Schnittstelle für IPv4- und IPv6-Gateways auf demselben Peer oder auf verschiedenen Peers gleichzeitig verwendet werden. In unterstützen die physikalischen Schnittstellen reth0.0 und ge-0/0/0.1 parallele IPv4- und IPv6-Tunnel zwischen zwei Geräten.Abbildung 5
In müssen für jeden IPsec-VPN-Tunnel separate Schnittstellen für sichere Tunnel (st0) konfiguriert werden.Abbildung 5 Parallele IPv4- und IPv6-Tunnel, die an dieselbe st0-Schnittstelle gebunden sind, werden nicht unterstützt.
Ein einzelner IPsec-VPN-Tunnel kann sowohl IPv4- als auch IPv6-Datenverkehr übertragen. Beispielsweise kann ein IPv4-Tunnel gleichzeitig im IPv4-in-IPv4- und IPv6-in-IPv4-Tunnelmodus betrieben werden. Um sowohl IPv4- als auch IPv6-Datenverkehr über einen einzelnen IPsec-VPN-Tunnel zuzulassen, muss die an diesen Tunnel gebundene st0-Schnittstelle sowohl mit als auch konfiguriert werden.family inetfamily inet6
Wenn mehrere Adressen derselben Adressfamilie auf derselben externen Schnittstelle für einen VPN-Peer konfiguriert sind, wird empfohlen, die Konfiguration auf der Hierarchieebene [] vorzunehmen.local-addressedit security ike gateway gateway-name
Wenn konfiguriert, wird die angegebene IPv4- oder IPv6-Adresse als lokale Gateway-Adresse verwendet.local-address Wenn nur eine IPv4- und eine IPv6-Adresse auf einer physischen externen Schnittstelle konfiguriert ist, ist keine Konfiguration erforderlich.local-address
Der Wert muss eine IP-Adresse sein, die auf einer Schnittstelle in der Firewall der SRX-Serie konfiguriert ist.local-address Wir empfehlen, dass sie zur externen Schnittstelle des IKE-Gateways gehören.local-address Wenn sie nicht zur externen Schnittstelle des IKE-Gateways gehört, muss sich die Schnittstelle in derselben Zone wie die externe Schnittstelle des IKE-Gateways befinden, und eine zoneninterne Sicherheitsrichtlinie muss konfiguriert werden, um Datenverkehr zuzulassen.local-address
Der Wert und die Remote-IKE-Gatewayadresse müssen sich in derselben Adressfamilie befinden, entweder IPv4 oder IPv6.local-address
Wenn diese Option nicht konfiguriert ist, basiert die lokale Gateway-Adresse auf der Remote-Gateway-Adresse.local-address Wenn es sich bei der Remote-Gateway-Adresse um eine IPv4-Adresse handelt, ist die lokale Gateway-Adresse die primäre IPv4-Adresse der externen physischen Schnittstelle. Wenn es sich bei der Remote-Gateway-Adresse um eine IPv6-Adresse handelt, ist die lokale Gateway-Adresse die primäre IPv6-Adresse der externen physischen Schnittstelle.
Siehe auch
Beispiel: Konfigurieren von Dual-Stack-Tunneln über eine externe Schnittstelle
In diesem Beispiel wird gezeigt, wie parallele IPv4- und IPv6-Tunnel über eine einzelne externe physische Schnittstelle zu einem Peer für routenbasierte Site-to-Site-VPNs konfiguriert werden.
Anforderungen
Bevor Sie beginnen, lesen Sie Grundlegendes zu VPN-Tunnelmodi.
Die in diesem Beispiel gezeigte Konfiguration wird nur mit routenbasierten Site-to-Site-VPNs unterstützt.
Überblick
In diesem Beispiel unterstützt eine redundante Ethernet-Schnittstelle auf dem lokalen Gerät parallele IPv4- und IPv6-Tunnel zu einem Peer-Gerät:
Der IPv4-Tunnel überträgt IPv6-Datenverkehr. Es arbeitet im IPv6-in-IPv4-Tunnelmodus. Die an den IPv4-Tunnel gebundene sichere Tunnelschnittstelle st0.0 ist nur mit der Familie inet6 konfiguriert.
Der IPv6-Tunnel überträgt sowohl IPv4- als auch IPv6-Datenverkehr. Er arbeitet sowohl im IPv4-in-IPv6- als auch im IPv6-in-IPv6-Tunnelmodus. Die an den IPv6-Tunnel gebundene sichere Tunnelschnittstelle st0.1 ist sowohl mit der Familie inet als auch mit der Familie inet6 konfiguriert.
Tabelle 1 zeigt die in diesem Beispiel verwendeten Optionen für Phase 1. Die Phase-1-Optionskonfiguration umfasst zwei IKE-Gateway-Konfigurationen, eine für den IPv6-Peer und die andere für den IPv4-Peer.
Option |
Wert |
|---|---|
IKE-Vorschlag |
ike_proposal |
Authentifizierungsmethode |
Preshared Keys |
Authentifizierungsalgorithmus |
MD5 |
Verschlüsselungsalgorithmus |
3DES CBC |
Lebensdauer |
3600 Sekunden |
IKE-Richtlinie |
ike_policy |
Modus |
Aggressiv |
IKE-Vorschlag |
ike_proposal |
Vorinstallierter Schlüssel |
ASCII-Text |
IPv6-IKE-Gateway |
ike_gw_v6 |
IKE-Richtlinie |
ike_policy |
Gateway-Adresse |
2000::2 |
Externe Schnittstelle |
reth1.0 |
IKE-Version |
IKEv2 |
IPv4-IKE-Gateway |
ike_gw_v4 |
IKE-Richtlinie |
ike_policy |
Gateway-Adresse |
20.0.0.2 |
Externe Schnittstelle |
reth1.0 |
Tabelle 2 zeigt die in diesem Beispiel verwendeten Phase-2-Optionen. Die Phase-2-Optionskonfiguration umfasst zwei VPN-Konfigurationen, eine für den IPv6-Tunnel und die andere für den IPv4-Tunnel.
Option |
Wert |
|---|---|
IPsec-Vorschlag |
ipsec_proposal |
Protokoll |
ESP |
Authentifizierungsalgorithmus |
HMAC SHA-1 96 |
Verschlüsselungsalgorithmus |
3DES CBC |
IPsec-Richtlinie |
ipsec_policy |
Vorschlag |
ipsec_proposal |
IPv6-VPN |
test_s2s_v6 |
Bind-Schnittstelle |
st0.1 |
IKE-Gateway |
ike_gw_v6 |
IKE-IPsec-Richtlinie |
ipsec_policy |
Tunnel einrichten |
Sofort |
IPv4-VPN |
test_s2s_v4 |
Bind-Schnittstelle |
st0.0 |
IKE-Gateway |
ike_gw_4 |
IKE-IPsec-Richtlinie |
ipsec_policy |
Die folgenden statischen Routen sind in der IPv6-Routingtabelle konfiguriert:
Leiten Sie IPv6-Datenverkehr an 3000::1/128 bis st0.0 weiter.
Leiten Sie IPv6-Datenverkehr an 3000::2/128 bis st0.1 weiter.
In der Standardroutingtabelle (IPv4) wird eine statische Route konfiguriert, um IPv4-Datenverkehr an 30.0.0.0/24 bis st0.1 weiterzuleiten.
Die Flow-basierte Verarbeitung von IPv6-Datenverkehr muss mit der Konfigurationsoption auf der Hierarchieebene [] aktiviert werden.mode flow-basededit security forwarding-options family inet6
Topologie
In unterstützt die Firewall A der SRX-Serie IPv4- und IPv6-Tunnel zu Gerät B. IPv6-Datenverkehr zu 3000::1/128 wird durch den IPv4-Tunnel geleitet, während IPv6-Datenverkehr zu 3000::2/128 und IPv4-Datenverkehr zu 30.0.0.0/24 durch den IPv6-Tunnel geleitet werden.Abbildung 6
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 20.0.0.1/24 set interfaces reth1 unit 0 family inet6 address 2000::1/64 set interfaces st0 unit 0 family inet6 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set security ike proposal ike_proposal authentication-method pre-shared-keys set security ike proposal ike_proposal authentication-algorithm md5 set security ike proposal ike_proposal encryption-algorithm 3des-cbc set security ike proposal ike_proposal lifetime-seconds 3600 set security ike policy ike_policy mode aggressive set security ike policy ike_policy proposals ike_proposal set security ike policy ike_policy pre-shared-key ascii-text "$ABC123" set security ike gateway ike_gw_v6 ike-policy ike_policy set security ike gateway ike_gw_v6 address 2000::2 set security ike gateway ike_gw_v6 external-interface reth1.0 set security ike gateway ike_gw_v6 version v2-only set security ike gateway ike_gw_v4 ike-policy ike_policy set security ike gateway ike_gw_v4 address 20.0.0.2 set security ike gateway ike_gw_v4 external-interface reth1.0 set security ipsec proposal ipsec_proposal protocol esp set security ipsec proposal ipsec_proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_proposal encryption-algorithm 3des-cbc set security ipsec policy ipsec_policy proposals ipsec_proposal set security ipsec vpn test_s2s_v6 bind-interface st0.1 set security ipsec vpn test_s2s_v6 ike gateway ike_gw_v6 set security ipsec vpn test_s2s_v6 ike ipsec-policy ipsec_policy set security ipsec vpn test_s2s_v6 establish-tunnels immediately set security ipsec vpn test_s2s_v4 bind-interface st0.0 set security ipsec vpn test_s2s_v4 ike gateway ike_gw_v4 set security ipsec vpn test_s2s_v4 ike ipsec-policy ipsec_policy set routing-options rib inet6.0 static route 3000::1/128 next-hop st0.0 set routing-options rib inet6.0 static route 3000::2/128 next-hop st0.1 set routing-options static route 30.0.0.0/24 next-hop st0.1 set security forwarding-options family inet6 mode flow-based
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imJunos OS CLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Dual-Stack-Tunnel:
Konfigurieren Sie die externe Schnittstelle.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 20.0.0.1/24 user@host# set reth1 unit 0 family inet6 address 2000::1/64
Konfigurieren Sie die sicheren Tunnelschnittstellen.
[edit interfaces] user@host# set st0 unit 0 family inet6 user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal ike_proposal] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm md5 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600 [edit security ike policy ike_policy] user@host# set mode aggressive user@host# set proposals ike_proposal user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway ike_gw_v6] user@host# set ike-policy ike_policy user@host# set address 2000::2 user@host# set external-interface reth1.0 user@host# set version v2-only [edit security ike gateway ike_gw_v4] user@host# set ike-policy ike_policy user@host# set address 20.0.0.2 user@host# set external-interface reth1.0
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal ipsec_proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc [edit security ipsec policy ipsec_policy] user@host# set proposals ipsec_proposal [edit security ipsec vpn test_s2s_v6 ] user@host# set bind-interface st0.1 user@host# set ike gateway ike_gw_v6 user@host# set ike ipsec-policy ipsec_policy user@host# set establish-tunnels immediately [edit security ipsec vpn test_s2s_v4] user@host# set bind-interface st0.0 user@host# set ike gateway ike_gw_v4 user@host# set ike ipsec-policy ipsec_policy
Konfigurieren Sie statische Routen.
[edit routing-options rib inet6.0] user@host# set static route 3000::1/128 next-hop st0.0 user@host# set static route 3000::2/128 next-hop st0.1 [edit routing-options] user@host# set static route 30.0.0.0/24 next-hop st0.1
Aktivieren Sie die IPv6-Flow-basierte Weiterleitung.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , und eingeben.show interfacesshow security ikeshow security ipsecshow routing-optionsshow security forwarding-options Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 20.0.0.1/24;
}
family inet6 {
address 2000::1/64;
}
}
}
st0 {
unit 0 {
family inet;
family inet6;
}
unit 1 {
family inet6;
}
}
[edit]
user@host# show security ike
proposal ike_proposal {
authentication-method pre-shared-keys;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy ike_policy {
mode aggressive;
proposals ike_proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway ike_gw_v6 {
ike-policy ike_policy;
address 2000::2;
external-interface reth1.0;
version v2-only;
}
gateway ike_gw_4 {
ike-policy ike_policy;
address 20.0.0.2;
external-interface reth1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy {
proposals ipsec_proposal;
}
vpn test_s2s_v6 {
bind-interface st0.1;
ike {
gateway ike_gw_v6;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
vpn test_s2s_v4 {
bind-interface st0.0;
ike {
gateway ike_gw_4;
ipsec-policy ipsec_policy;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 3000::1/128 next-hop st0.0;
route 3000::2/128 next-hop st0.1;
}
}
static {
route 30.0.0.0/24 next-hop st0.1;
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen des IKE-Phase-1-Status
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ike security-associations
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2 2000::2
1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive 20.0.0.2
Bedeutung
Der Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf.show security ike security-associations Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 1 müssen auf den Peer-Geräten übereinstimmen.
Überprüfen des IPsec-Phase-2-Status
Zweck
Überprüfen Sie den IPsec-Phase 2-Status.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec security-associations
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2 >131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2 <131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2 >131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
Bedeutung
Der Befehl listet alle aktiven IKE Phase 2 SAs auf.show security ipsec security-associations Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf den Peer-Geräten übereinstimmen.
Verifizieren von Routen
Zweck
Überprüfen Sie aktive Routen.
Was
Geben Sie im Betriebsmodus den Befehl ein.show route
user@host> show route
inet.0: 20 destinations, 20 routes (20 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.5.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.10.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.48.0/21 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.155.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 3d 01:43:23
> via fxp0.0
10.157.72.36/32 *[Local/0] 3d 01:43:23
Local via fxp0.0
10.204.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.206.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.209.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
20.0.0.0/24 *[Direct/0] 03:45:41
> via reth1.0
20.0.0.1/32 *[Local/0] 03:45:41
Local via reth1.0
30.0.0.0/24 *[Static/5] 00:07:49
> via st0.1
50.0.0.0/24 *[Direct/0] 03:45:42
> via reth0.0
50.0.0.1/32 *[Local/0] 03:45:42
Local via reth0.0
172.16.0.0/12 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.102.0/23 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.192/32 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
2000::/64 *[Direct/0] 03:45:41
> via reth1.0
2000::1/128 *[Local/0] 03:45:41
Local via reth1.0
3000::1/128 *[Static/5] 00:03:45
> via st0.0
3000::2/128 *[Static/5] 00:03:45
> via st0.1
5000::/64 *[Direct/0] 03:45:42
> via reth0.0
5000::1/128 *[Local/0] 03:45:42
Local via reth0.0
fe80::/64 *[Direct/0] 03:45:42
> via reth0.0
[Direct/0] 03:45:41
> via reth1.0
[Direct/0] 03:45:41
> via st0.0
[Direct/0] 03:45:13
> via st0.1
fe80::210:dbff:feff:1000/128
*[Local/0] 03:45:42
Local via reth0.0
fe80::210:dbff:feff:1001/128
*[Local/0] 03:45:41
Local via reth1.0
Bedeutung
Der Befehl listet aktive Einträge in den Routing-Tabellen auf.show route