F1090防火墙做6to4隧道，求详细配置

您好，参考配置指导

1.6.2  配置6to4隧道举例

1. 组网需求

如图1-11所示，两个6to4网络通过网络边缘6to4设备（Device A和Device B）与IPv4网络相连。在Device A和Device B之间建立6to4隧道，实现6to4网络中的主机Host A和Host B之间的互通。

2. 组网图

图1-11 6to4隧道组网图

3. 配置思路

为了实现6to4网络之间的互通，除了配置6to4隧道外，还需要为6to4网络内的主机及6to4设备配置6to4地址。

·     Device A上接口GigabitEthernet1/0/2的IPv4地址为2.1.1.1/24，转换成6to4地址后的前缀为2002:0201:0101::/48，Host A的地址必须使用该前缀。

·     Device B上接口GigabitEthernet1/0/2的IPv4地址为5.1.1.1/24，转换成6to4地址后的前缀为2002:0501:0101::/48，Host B的地址必须使用该前缀。

4. 配置注意事项

需要将安全设备的Tunnel接口加入安全域，并放行该安全域到连接IPv6网络的接口所在安全域的IPv6流量，否则Tunnel接口不能与IPv6网络通信。（本例中需将Tunnel接口加入Untrust安全域，除放行Untrust域到Trust域的IPv6流量外，还要放行Untrust域到Local域的IPv6流量。）

5. 配置步骤

(1)     配置路由、安全域及域间安全策略保证网络可达，具体配置步骤略。

(2)     配置Device A

# 配置接口GigabitEthernet1/0/2的地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip address 2.1.1.1 24

[DeviceA-GigabitEthernet1/0/2] quit

# 配置接口GigabitEthernet1/0/1的地址为6to4地址2002:0201:0101:1::1/64。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipv6 address 2002:0201:0101:1::1/64

[DeviceA-GigabitEthernet1/0/1] quit

# 创建模式为6to4隧道的接口Tunnel0。

[DeviceA] interface tunnel 0 mode ipv6-ipv4 6to4

# 配置Tunnel0接口的IPv6地址。

[DeviceA-Tunnel0] ipv6 address 3001::1/64

# 配置Tunnel0接口的源接口为GigabitEthernet1/0/2。

[DeviceA-Tunnel0] source gigabitethernet 1/0/2

[DeviceA-Tunnel0] quit

# 配置到目的地址2002::/16，下一跳为Tunnel接口的静态路由。

[DeviceA] ipv6 route-static 2002:: 16 tunnel 0

# 将Tunnel0接口加入到Untrust安全域中。

[DeviceA] security-zone name Untrust

[DeviceA-security-zone-Untrust] import interface Tunnel 0

[DeviceA-security-zone-Untrust] quit

(3)     配置Device B

# 配置接口GigabitEthernet1/0/2的地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ip address 5.1.1.1 24

[DeviceB-GigabitEthernet1/0/2] quit

# 配置接口GigabitEthernet1/0/1的地址为6to4地址2002:0501:0101:1::1/64。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 address 2002:0501:0101:1::1/64

[DeviceB-GigabitEthernet1/0/1] quit

# 创建模式为6to4隧道的接口Tunnel0。

[DeviceB] interface tunnel 0 mode ipv6-ipv4 6to4

# 配置Tunnel0接口的IPv6地址。

[DeviceB-Tunnel0] ipv6 address 3002::1/64

# 配置Tunnel0接口的源接口为GigabitEthernet1/0/2。

[DeviceB-Tunnel0] source gigabitethernet 1/0/2

[DeviceB-Tunnel0] quit

# 配置到目的地址2002::/16，下一跳为Tunnel接口的静态路由。

[DeviceB] ipv6 route-static 2002:: 16 tunnel 0

# 将Tunnel0接口加入到Untrust安全域中。

[DeviceB] security-zone name Untrust

[DeviceB-security-zone-Untrust] import interface Tunnel 0

[DeviceB-security-zone-Untrust] quit

6. 验证配置

完成以上配置之后，安装Linux系统的Host A与Host B可以互相Ping通。

D:\>ping6 -s 2002:201:101:1::2 2002:501:101:1::2

Pinging 2002:501:101:1::2

from 2002:201:101:1::2 with 32 bytes of data:

Reply from 2002:501:101:1::2: bytes=32 time=13ms

Reply from 2002:501:101:1::2: bytes=32 time=1ms

Reply from 2002:501:101:1::2: bytes=32 time=1ms

Reply from 2002:501:101:1::2: bytes=32 time<1ms

Ping statistics for 2002:501:101:1::2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 13ms, Average = 3ms