Dual-Stack-Tunnel über eine externe Schnittstelle
Dual-Stack-Tunnel – parallele IPv4- und IPv6-Tunnel über eine einzige physische Schnittstelle zu einem Peer – werden für routenbasierte Site-to-Site-VPNs unterstützt. Eine physische Schnittstelle, die mit IPv4- und IPv6-Adressen konfiguriert ist, kann als externe Schnittstelle für IPv4- und IPv6-Gateways auf demselben Peer oder auf verschiedenen Peers gleichzeitig verwendet werden.
Verstehen der VPN-Tunnelmodi
Im VPN-Tunnelmodus verkapselt IPsec das ursprüngliche IP-Datagramm – einschließlich des ursprünglichen IP-Headers – innerhalb eines zweiten IP-Datagramms. Der äußere IP-Header enthält die IP-Adresse des Gateways, während der innere Header die ultimative Quell- und Ziel-IP-Adresse enthält. Die äußeren und inneren IP-Header können ein Protokollfeld von IPv4 oder IPv6 haben. Geräte der SRX-Serie unterstützen vier Tunnelmodi für routenbasierte Site-to-Site-VPNs.
IPv4-in-IPv4-Tunnel verkapseln IPv4-Pakete innerhalb von IPv4-Paketen, wie in Abbildung 1. Die Protokollfelder für den äußeren und den inneren Header sind IPv4.
IPv6-in-IPv6-Tunnel verkapseln IPv6-Pakete innerhalb von IPv6-Paketen, wie in Abbildung 2. Die Protokollfelder für die äußeren und inneren Header sind IPv6.
IPv6-in-IPv4-Tunnel verkapseln IPv6-Pakete innerhalb von IPv4-Paketen, wie in Abbildung 3. Das Protokollfeld für den äußeren Header ist IPv4 und das Protokollfeld für den inneren Header ist IPv6.
IPv4-in-IPv6-Tunnel verkapseln IPv4-Pakete innerhalb von IPv6-Paketen, wie in Abbildung 4. Das Protokollfeld für den äußeren Header ist IPv6 und das Protokollfeld für den inneren Header ist IPv4.
Ein einzelner IPsec-VPN-Tunnel kann sowohl IPv4- als auch IPv6-Datenverkehr übertragen. Beispielsweise kann ein IPv4-Tunnel sowohl im IPv4-in-IPv4- als auch im IPv6-in-IPv4-Tunnelmodus gleichzeitig betrieben werden. Um sowohl IPv4- als auch IPv6-Datenverkehr über einen einzigen IPsec-VPN-Tunnel zuzulassen, muss die an diesen Tunnel gebundene st0-Schnittstelle mit beiden family inet und family inet6konfiguriert werden.
Eine physische Schnittstelle, die mit IPv4- und IPv6-Adressen konfiguriert ist, kann als externe Schnittstelle für parallele IPv4- und IPv6-Tunnel zu einem Peer in einem routenbasierten Site-to-Site-VPN verwendet werden. Diese Funktion wird als Dual-Stack-Tunnel bezeichnet und erfordert separate st0-Schnittstellen für jeden Tunnel.
Für richtlinienbasierte VPNs ist IPv6-in-IPv6 der einzige tunnelbasierte Modus, der unterstützt wird und nur auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten unterstützt wird.
Verständnis von Dual-Stack-Tunneln über eine externe Schnittstelle
Dual-Stack-Tunnel – parallele IPv4- und IPv6-Tunnel über eine einzige physische Schnittstelle zu einem Peer – werden für routenbasierte Site-to-Site-VPNs unterstützt. Eine physische Schnittstelle, die mit IPv4- und IPv6-Adressen konfiguriert ist, kann als externe Schnittstelle zu IPv4- und IPv6-Gateways auf demselben Peer oder auf verschiedenen Peers gleichzeitig verwendet werden. In Abbildung 5unterstützen die physischen Schnittstellen reth0.0 und ge-0/0/0.1 parallele IPv4- und IPv6-Tunnel zwischen zwei Geräten.
In Abbildung 5müssen für jeden IPsec-VPN-Tunnel separate St0-Schnittstellen (Secure Tunnel) konfiguriert werden. Parallele IPv4- und IPv6-Tunnel, die an dieselbe st0-Schnittstelle gebunden sind, werden nicht unterstützt.
Ein einzelner IPsec-VPN-Tunnel kann sowohl IPv4- als auch IPv6-Datenverkehr übertragen. Beispielsweise kann ein IPv4-Tunnel sowohl im IPv4-in-IPv4- als auch im IPv6-in-IPv4-Tunnelmodus gleichzeitig betrieben werden. Um sowohl IPv4- als auch IPv6-Datenverkehr über einen einzigen IPsec-VPN-Tunnel zuzulassen, muss die an diesen Tunnel gebundene st0-Schnittstelle mit beiden family inet und family inet6konfiguriert werden.
Wenn mehrere Adressen derselben Adressfamilie auf derselben externen Schnittstelle zu einem VPN-Peer konfiguriert sind, empfehlen wir, dass Sie die Konfiguration auf Hierarchieebene [edit security ike gateway gateway-name] festlegenlocal-address.
Wenn local-address sie konfiguriert ist, wird die angegebene IPv4- oder IPv6-Adresse als lokale Gatewayadresse verwendet. Wenn auf einer physischen externen Schnittstelle nur eine IPv4- und eine IPv6-Adresse konfiguriert ist, local-address ist keine Konfiguration erforderlich.
Der local-address Wert muss eine IP-Adresse sein, die auf einer Schnittstelle auf dem Gerät der SRX-Serie konfiguriert ist. Wir empfehlen, dass sie local-address zur externen Schnittstelle des IKE-Gateways gehören. Wenn local-address nicht zur externen Schnittstelle des IKE-Gateways gehört, muss sich die Schnittstelle in derselben Zone wie die externe Schnittstelle des IKE-Gateways befinden, und eine zoneninterne Sicherheitsrichtlinie muss so konfiguriert werden, dass der Datenverkehr zugelassen wird.
Der local-address Wert und die Remote-IKE-Gateway-Adresse müssen in derselben Adressfamilie sein, entweder IPv4 oder IPv6.
Wenn local-address nicht konfiguriert ist, basiert die lokale Gateway-Adresse auf der Remote-Gateway-Adresse. Wenn es sich bei der Remote-Gateway-Adresse um eine IPv4-Adresse handelt, ist die lokale Gateway-Adresse die primäre IPv4-Adresse der externen physischen Schnittstelle. Wenn es sich bei der Remote-Gateway-Adresse um eine IPv6-Adresse handelt, ist die lokale Gateway-Adresse die primäre IPv6-Adresse der externen physischen Schnittstelle.
Siehe auch
Beispiel: Konfigurieren von Dual-Stack-Tunneln über eine externe Schnittstelle
Dieses Beispiel zeigt, wie parallele IPv4- und IPv6-Tunnel über eine einzige externe physische Schnittstelle zu einem Peer für routenbasierte Site-to-Site-VPNs konfiguriert werden.
Anforderungen
Bevor Sie beginnen, lesen Sie Die VPN-Tunnelmodi verstehen.
Die in diesem Beispiel gezeigte Konfiguration wird nur mit routenbasierten Site-to-Site-VPNs unterstützt.
Überblick
In diesem Beispiel unterstützt eine redundante Ethernet-Schnittstelle am lokalen Gerät parallele IPv4- und IPv6-Tunnel zu einem Peer-Gerät:
Der IPv4-Tunnel transportiert IPv6-Datenverkehr; es funktioniert im IPv6-in-IPv4-Tunnel-Modus. Die sichere Tunnelschnittstelle st0.0, die an den IPv4-Tunnel gebunden ist, wird nur mit der Produktfamilie inet6 konfiguriert.
Der IPv6-Tunnel transportiert sowohl IPv4- als auch IPv6-Datenverkehr; es funktioniert sowohl im IPv4-in-IPv6- als auch im IPv6-in-IPv6-Tunnelmodus. Die sichere Tunnelschnittstelle st0.1, die an den IPv6-Tunnel gebunden ist, ist sowohl mit der Familie inet als auch mit der Familie inet6 konfiguriert.
Tabelle 1 zeigt die Phase-1-Optionen, die in diesem Beispiel verwendet werden. Die Phase-1-Optionskonfiguration umfasst zwei IKE-Gateway-Konfigurationen, eine zum IPv6-Peer und die andere zum IPv4-Peer.
Option |
Wert |
|---|---|
IKE-Vorschlag |
ike_proposal |
Authentifizierungsmethode |
Preshared Keys |
Authentifizierungsalgorithmus |
MD5 |
Verschlüsselungsalgorithmus |
3DES CBC |
Lebensdauer |
3600 Sekunden |
IKE-Richtlinie |
ike_policy |
Modus |
Aggressiv |
IKE-Vorschlag |
ike_proposal |
Pre-Sharing-Schlüssel |
ASCII-Text |
IPv6-IKE-Gateway |
ike_gw_v6 |
IKE-Richtlinie |
ike_policy |
Gateway-Adresse |
2000::2 |
Externe Schnittstelle |
reth1.0 |
IKE-Version |
IKEv2 |
IPv4-IKE-Gateway |
ike_gw_v4 |
IKE-Richtlinie |
ike_policy |
Gateway-Adresse |
20.0.0.2 |
Externe Schnittstelle |
reth1.0 |
Tabelle 2 zeigt die phase 2-Optionen, die in diesem Beispiel verwendet werden. Die Phase-2-Optionenkonfiguration umfasst zwei VPN-Konfigurationen, eine für den IPv6-Tunnel und die andere für den IPv4-Tunnel.
Option |
Wert |
|---|---|
IPsec-Vorschlag |
ipsec_proposal |
Protokoll |
ESP |
Authentifizierungsalgorithmus |
HMAC SHA-1 96 |
Verschlüsselungsalgorithmus |
3DES CBC |
IPsec-Richtlinie |
ipsec_policy |
Vorschlag |
ipsec_proposal |
IPv6-VPN |
test_s2s_v6 |
Bind-Schnittstelle |
st0.1 |
IKE-Gateway |
ike_gw_v6 |
IKE IPsec-Richtlinie |
ipsec_policy |
Tunnel einrichten |
Sofort |
IPv4-VPN |
test_s2s_v4 |
Bind-Schnittstelle |
st0.0 |
IKE-Gateway |
ike_gw_4 |
IKE IPsec-Richtlinie |
ipsec_policy |
Die folgenden statischen Routen werden in der IPv6-Routingtabelle konfiguriert:
Leiten Sie IPv6-Datenverkehr zu 3000::1/128 bis st0.0.
Routen Sie IPv6-Datenverkehr zu 3000::2/128 über st0.1.
Eine statische Route wird in der Standard-Routingtabelle (IPv4) konfiguriert, um IPv4-Datenverkehr an 30.0.0.0/24 bis st0.1 zu leiten.
Die ablaufbasierte Verarbeitung von IPv6-Datenverkehr muss mit der mode flow-based Konfigurationsoption auf [edit security forwarding-options family inet6] Hierarchieebene aktiviert werden.
Topologie
In Abbildung 6unterstützt Gerät A der SRX-Serie IPv4- und IPv6-Tunnel zu Gerät B. IPv6-Datenverkehr zu 3000::1/128 wird durch den IPv4-Tunnel geroutet, während IPv6-Datenverkehr zu 3000::2/128 und IPv4-Datenverkehr zu 30.0.0.0/24 durch den IPv6-Tunnel geroutet werden.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 20.0.0.1/24 set interfaces reth1 unit 0 family inet6 address 2000::1/64 set interfaces st0 unit 0 family inet6 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set security ike proposal ike_proposal authentication-method pre-shared-keys set security ike proposal ike_proposal authentication-algorithm md5 set security ike proposal ike_proposal encryption-algorithm 3des-cbc set security ike proposal ike_proposal lifetime-seconds 3600 set security ike policy ike_policy mode aggressive set security ike policy ike_policy proposals ike_proposal set security ike policy ike_policy pre-shared-key ascii-text "$ABC123" set security ike gateway ike_gw_v6 ike-policy ike_policy set security ike gateway ike_gw_v6 address 2000::2 set security ike gateway ike_gw_v6 external-interface reth1.0 set security ike gateway ike_gw_v6 version v2-only set security ike gateway ike_gw_v4 ike-policy ike_policy set security ike gateway ike_gw_v4 address 20.0.0.2 set security ike gateway ike_gw_v4 external-interface reth1.0 set security ipsec proposal ipsec_proposal protocol esp set security ipsec proposal ipsec_proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_proposal encryption-algorithm 3des-cbc set security ipsec policy ipsec_policy proposals ipsec_proposal set security ipsec vpn test_s2s_v6 bind-interface st0.1 set security ipsec vpn test_s2s_v6 ike gateway ike_gw_v6 set security ipsec vpn test_s2s_v6 ike ipsec-policy ipsec_policy set security ipsec vpn test_s2s_v6 establish-tunnels immediately set security ipsec vpn test_s2s_v4 bind-interface st0.0 set security ipsec vpn test_s2s_v4 ike gateway ike_gw_v4 set security ipsec vpn test_s2s_v4 ike ipsec-policy ipsec_policy set routing-options rib inet6.0 static route 3000::1/128 next-hop st0.0 set routing-options rib inet6.0 static route 3000::2/128 next-hop st0.1 set routing-options static route 30.0.0.0/24 next-hop st0.1 set security forwarding-options family inet6 mode flow-based
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Dual-Stack-Tunnel:
Konfigurieren Sie die externe Schnittstelle.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 20.0.0.1/24 user@host# set reth1 unit 0 family inet6 address 2000::1/64
Konfigurieren Sie die sicheren Tunnelschnittstellen.
[edit interfaces] user@host# set st0 unit 0 family inet6 user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Konfigurieren Sie Phasen-1-Optionen.
[edit security ike proposal ike_proposal] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm md5 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600 [edit security ike policy ike_policy] user@host# set mode aggressive user@host# set proposals ike_proposal user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway ike_gw_v6] user@host# set ike-policy ike_policy user@host# set address 2000::2 user@host# set external-interface reth1.0 user@host# set version v2-only [edit security ike gateway ike_gw_v4] user@host# set ike-policy ike_policy user@host# set address 20.0.0.2 user@host# set external-interface reth1.0
Konfigurieren Sie Phasen-2-Optionen.
[edit security ipsec proposal ipsec_proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc [edit security ipsec policy ipsec_policy] user@host# set proposals ipsec_proposal [edit security ipsec vpn test_s2s_v6 ] user@host# set bind-interface st0.1 user@host# set ike gateway ike_gw_v6 user@host# set ike ipsec-policy ipsec_policy user@host# set establish-tunnels immediately [edit security ipsec vpn test_s2s_v4] user@host# set bind-interface st0.0 user@host# set ike gateway ike_gw_v4 user@host# set ike ipsec-policy ipsec_policy
Konfigurieren Sie statische Routen.
[edit routing-options rib inet6.0] user@host# set static route 3000::1/128 next-hop st0.0 user@host# set static route 3000::2/128 next-hop st0.1 [edit routing-options] user@host# set static route 30.0.0.0/24 next-hop st0.1
Aktivieren Sie die flussbasierte IPv6-Weiterleitung.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show security ike, , show security ipsecshow routing-optionsund show security forwarding-options eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 20.0.0.1/24;
}
family inet6 {
address 2000::1/64;
}
}
}
st0 {
unit 0 {
family inet;
family inet6;
}
unit 1 {
family inet6;
}
}
[edit]
user@host# show security ike
proposal ike_proposal {
authentication-method pre-shared-keys;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy ike_policy {
mode aggressive;
proposals ike_proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway ike_gw_v6 {
ike-policy ike_policy;
address 2000::2;
external-interface reth1.0;
version v2-only;
}
gateway ike_gw_4 {
ike-policy ike_policy;
address 20.0.0.2;
external-interface reth1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy {
proposals ipsec_proposal;
}
vpn test_s2s_v6 {
bind-interface st0.1;
ike {
gateway ike_gw_v6;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
vpn test_s2s_v4 {
bind-interface st0.0;
ike {
gateway ike_gw_4;
ipsec-policy ipsec_policy;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 3000::1/128 next-hop st0.0;
route 3000::2/128 next-hop st0.1;
}
}
static {
route 30.0.0.0/24 next-hop st0.1;
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfung des Status von IKE Phase 1
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Aktion
Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2 2000::2
1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive 20.0.0.2
Bedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Phase-1-Vorschlagsparameter müssen auf den Peer-Geräten übereinstimmen.
Überprüfung des IPsec-Phase-2-Status
Zweck
Überprüfen Sie den IPsec-Phase-2-Status.
Aktion
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein.
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2 >131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2 <131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2 >131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
Bedeutung
Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Phase-2-Vorschlagsparameter müssen auf den Peer-Geräten übereinstimmen.
Verifizieren von Routen
Zweck
Überprüfen der aktiven Routen.
Aktion
Geben Sie im Betriebsmodus den show route Befehl ein.
user@host> show route
inet.0: 20 destinations, 20 routes (20 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.5.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.10.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.48.0/21 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.155.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 3d 01:43:23
> via fxp0.0
10.157.72.36/32 *[Local/0] 3d 01:43:23
Local via fxp0.0
10.204.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.206.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.209.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
20.0.0.0/24 *[Direct/0] 03:45:41
> via reth1.0
20.0.0.1/32 *[Local/0] 03:45:41
Local via reth1.0
30.0.0.0/24 *[Static/5] 00:07:49
> via st0.1
50.0.0.0/24 *[Direct/0] 03:45:42
> via reth0.0
50.0.0.1/32 *[Local/0] 03:45:42
Local via reth0.0
172.16.0.0/12 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.102.0/23 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.192/32 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
2000::/64 *[Direct/0] 03:45:41
> via reth1.0
2000::1/128 *[Local/0] 03:45:41
Local via reth1.0
3000::1/128 *[Static/5] 00:03:45
> via st0.0
3000::2/128 *[Static/5] 00:03:45
> via st0.1
5000::/64 *[Direct/0] 03:45:42
> via reth0.0
5000::1/128 *[Local/0] 03:45:42
Local via reth0.0
fe80::/64 *[Direct/0] 03:45:42
> via reth0.0
[Direct/0] 03:45:41
> via reth1.0
[Direct/0] 03:45:41
> via st0.0
[Direct/0] 03:45:13
> via st0.1
fe80::210:dbff:feff:1000/128
*[Local/0] 03:45:42
Local via reth0.0
fe80::210:dbff:feff:1001/128
*[Local/0] 03:45:41
Local via reth1.0
Bedeutung
Der show route Befehl listet aktive Einträge in den Routing-Tabellen auf.