实验拓扑
PC1是IPv4网络的一个节点,处于Trust安全域;
PC2是IPv6网络的一个节点,处于Untrust安全域。
实验需求
完成防火墙IPv4、IPv6接口的配置,并将接口添加到相应的安全域;
在防火墙上配置NAT64的IPv6前缀3001::/64;
配置NAT64地址池,并配置NAT64策略;
配置域间包过滤策略,使得PC2能够访问PC1。
实验步骤及配置
FW的配置如下:
配置IPv4接口:
[FW] interface GE0/0/1 [FW-GigabitEthernet0/0/1] ip address 10.1.1.254 [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet0/0/1
配置IPv6接口:
[FW] interface GE0/0/2 [FW-GigabitEthernet0/0/2] ipv6 enable [FW-GigabitEthernet0/0/2] ipv6 address 2001::FFFF 64 [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet0/0/2
配置NAT64的IPv6前缀:
[FW] nat64 prefix 3001:: 96
配置NAT64地址池及nat64地址转换策略:
[FW] nat64 address-group 1 20.1.1.1 20.1.1.20 [FW] nat64-policy interzone trust untrust inbound [FW-nat64-policy-interzone-trust- untrust -inbound] policy 10 [FW-nat64-policy-interzone-trust- untrust -inbound-10] action nat64 [FW-nat64-policy-interzone-trust- untrust -inbound-10] address-group 1
配置IPv6域间包过滤规则:
[FW] policy ipv6 interzone trust untrust inbound [FW-policy-interzone-trust-untrust-inbound] policy 10 [FW-policy-interzone-trust-untrust-inbound-10] policy source 2001:: 64 [FW-policy-interzone-trust-untrust-inbound-10] action permit
完成配置后,PC2即可访问PC1,但是问题是,PC2用什么目的地址来访问PC1?
PC2使用3001::0A01:0101这个地址来访问PC1,但是为什么是这个地址?3001::/96这个前缀是我们在配置的时候指定的NAT64地址前缀,而这个目的地址的最后32bits,也就是0A01:0101,换算成10进制就是10.1.1.1,因此当防火墙收到目的地址为3001::0A01:0101的IPv6数据包时,根据该地址的最后32bits计算得到IPv4地址, 这就是协议转换后的IPv4目的地址,而IPv4源地址则从NAT64地址池中挑一个。
<FW> display firewall ipv6 session table Current Total IPv6 Sessions: 1 --------------------------------------------------------------------- Source Address : 2001::1 Destination Address : 3001::A01:101 Source Port : 44064 Destination Port : 2048 Protocol : ICMP6 SessType : NAT64
<FW> display nat64 session table Current Total Sessions: 1 -------------------------------------------------------------------- IPv6 Source Address : 2001::1 IPv6 Destination Address : 3001::A01:101 IPv6 Source Port : 44066 IPv6 Destination Port : 2048 IPv4 Source Address : 20.1.1.2 IPv4 Destination Address : 10.1.1.1 IPv4 Source Port : 2010 IPv4 Destination Port : 2048 Protocol : ICMPv6 TTL : 00:00:20 Left Time : 00:00:18
IPv6进阶:IPv6 过渡技术之 NAT64(IPv6 节点主动访问 IPv4 节点-地址池方式)
最新推荐文章于 2024-06-03 19:36:28 发布