IPv6 to IPv4过渡技术有手工隧道、GRE隧道、6over4、isatap和NAT64五种。从今天给大家发一系列文章,主要介绍IPv6 to IPv4过渡技术。本文介绍的是NAT64技术。
注意,阅读本文,您需要具有较深的IPv6知识,以及华为系列防火墙设备配置知识。
一、实验要求及拓扑
实验拓扑图如下所示:
很简单的拓扑图,在上述场景中,PC1配置的是IPv4地址,PC2配置的是IPv6地址,现在使用华为防火墙设备配置NAT64,使得PC1和PC2可以互通。
注:理论上,华为系列路由器也可以实现类似功能,但是在eNSP方面可能存在问题,因此在这里使用防火墙代替,其原理是相同的。
二、实验配置命令
下面,我就把实验中用到的命令粘贴如下
(一)保证互通基本配置命令
为了首先保证防火墙与两个PC之间PING功能正常,因此必须要配置安全域和安全策略,在这里为了演示最基本的NAT64功能,因此对这些配置采取了最简单的配置方式:
firewall zone trust
add interface GigabitEthernet1/0/1
add interface GigabitEthernet1/0/2
security-policy
rule name 1
action permit
此外,为了保证接口上PING正常,除了配置IP地址外,还需要执行命令:
service-manage ping permit
这样,在完成接口上IP地址配置和上述配置后,两个PC应该可以PING通防火墙上的接口IP地址,也就是他们的网关了。
(二)保证IPv4到IPv6通信——NAT64命令
在NAT64配置中,要保证IPv4访问IPv6,只需要配置一条NAT64策略即可:
nat64 static 2000::1 10.1.1.100
同时在接口上应用该NAT64配置:
interface GigabitEthernet1/0/2
nat64 enable
上面的配置命令,是将PC2的2000::1的地址映射到10.1.1.100,以此实现PC1对PC2的访问。
在配置完上述命令后,应该能够实现PC1PING通PC2了。
(三)保证IPv6到IPv4通信——NAT前缀和NAT策略命令
但是,此时还不能实现PC2PING通PC1,这是因为在完成上述配置后,PC1发送的ICMP报文经过防火墙后,防火墙将该ICMP报文的源地址转化成NAT64的专用地址。但是在PC2 PING PC1的时候,防火墙不知道将该ICMP的源地址转换成什么IP地址。
为了实现PC2 PING PC1,此时就必须配置NAT前缀和NAT策略,配置命令如下:
nat address-group 1 0
mode pat
section 0 10.1.1.110 10.1.1.20
#
nat-policy
rule name 1
action source-nat address-group 1
#
nat64 prefix 3000:: 96
在上述配置命令中,配置了一个NAT地址范围,定义了PC2访问PC1的数据包在穿过防火墙后的源IP地址,而上面的NAT64前缀配置中96是专门为IPv6区域访问IPv4设计的,这样的前缀预留了32位主机地址,而当PC2要访问PC1时,就把该NAT64前缀拿过来,然后在后面24位预留主机IP中填入PC1的IPv4地址即可。
三、实现效果
1、PC1和PC2互相访问
2、在没有配置反向NAT64之前抓包
3、防火墙上查看NAT64结果
四、附录——防火墙配置命令
最后,把实验中防火墙配置全体粘贴如下(舍弃不必要配置命令)
ipv6
#
nat64 prefix 3000:: 96
nat64 static 2000::1 10.1.1.100
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.1.254 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/2
undo shutdown
ipv6 enable
ipv6 address 2000::2/64
service-manage ping permit
nat64 enable
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
add interface GigabitEthernet1/0/2
security-policy
rule name 1
action permit
#
nat-policy
rule name 1
action source-nat address-group 1
nat address-group 1 0
mode pat
section 0 10.1.1.110 10.1.1.200
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118710599