您现在的位置是:首页 > 技术教程 正文

IPv4网络用户访问IPv6网络服务器

admin 阅读: 2024-03-17
后台-插件-广告管理-内容页头部广告(手机)

NAT64静态映射为一对一的对应关系,通常应用在IPv4网络主动访问IPv6网络的场景中。

 要求位于IPv4网络中的PC通过IPv4地址1.1.1.10能够直接访问位于IPv6网络中Server。

操作步骤
  1. 配置FW。

    # 配置接口GigabitEthernet 0/0/1的IPv4地址。

  1. <FW> system-view
  2. [FW] interface GigabitEthernet 0/0/1
  3. [FW-GigabitEthernet0/0/1] ip address 1.1.1.1 24
  4. [FW-GigabitEthernet0/0/1] quit

# 开启IPv6报文转发功能。

[FW] ipv6

# 配置接口GigabitEthernet 0/0/2的IPv6地址。

  1. [FW] interface GigabitEthernet 0/0/2
  2. [FW-GigabitEthernet0/0/2] ipv6 enable
  3. [FW-GigabitEthernet0/0/2] ipv6 address 2001::2 64

# 开启接口GigabitEthernet 0/0/2的NAT64功能。

  1. [FW-GigabitEthernet0/0/2] nat64 enable
  2. [FW-GigabitEthernet0/0/2] quit

# 将接口GigabitEthernet 0/0/1加入Trust安全区域。

  1. [FW] firewall zone trust
  2. [FW-zone-trust] add interface GigabitEthernet 0/0/1
  3. [FW-zone-trust] quit

# 将接口GigabitEthernet 0/0/2加入Untrust安全区域。

  1. [FW] firewall zone untrust
  2. [FW-zone-untrust] add interface GigabitEthernet 0/0/2
  3. [FW-zone-untrust] quit

# 配置NAT64前缀,PC访问Server的报文在IPv6网络中传输时使用的源地址由NAT64前缀和PC的IPv4地址组合而成。

[FW] nat64 prefix 3001:: 96

   此处NAT64前缀以3001:: 96为例,如果不配置,则默认为知名前缀。

# 配置NAT64静态映射关系,将Server的IPv6地址2001::1映射为IPv4地址1.1.1.10。

[FW] nat64 static 2001::1 1.1.1.10 unr-route

# 开启NAT64报文受安全策略控制功能。

[FW] nat64 security-policy enable

# 配置安全策略。

配置NAT64静态映射需要配置IPv6安全策略。

[FW] security-policy [FW-policy-security] rule name policy_sec_1 [FW-policy-security-rule-policy_sec_1] source-zone trust [FW-policy-security-rule-policy_sec_1] destination-zone untrust [FW-policy-security-rule-policy_sec_1] destination-address 2001::1 64 [FW-policy-security-rule-policy_sec_1] action permit [FW-policy-security-rule-policy_sec_1] quit

配置PC的IPv4地址。(IPv4地址的配置方法与PC的操作系统有关,配置方法略。)

# 配置PC的IPv4地址为1.1.1.2/24,与FW的接口GigabitEthernet 0/0/1同一网段。

配置Server的IPv6地址和路由。(IPv6地址和路由的配置方法与Server的操作系统有关,配置方法略。)

# 配置Server的IPv6地址为2001::1/24,与FW的接口GigabitEthernet 0/0/2同一网段。

# 配置Server去往3001::/96网段的路由为2001::2。

结果验证

# 配置完成后,PC上执行ping 1.1.1.10

C:\> ping 1.1.1.10 Pinging 1.1.1.10 with 32 bytes of data: Reply from 1.1.1.10: time=69ms Reply from 1.1.1.10: time=34ms Reply from 1.1.1.10: time=17ms Reply from 1.1.1.10: time=18ms Ping statistics for 1.1.1.10: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 17ms, Maximum = 69ms, Average = 34ms

PC可以ping通Server的IPv4映射地址。

# 在FW任意视图下执行display firewall ipv6 session table,查看NAT64的会话表信息。

display firewall ipv6 session table Current total IPv6 sessions: 1 Slot: 6 CPU: 1 NAT64: icmp6 VPN: public --> public 3001::101:102.44006[1.1.1.2:44006] --> 2001::1.2048[1.1.1.10:2048]

由NAT64会话表得知IPv6与IPv4地址的转换关系。

配置脚本

FW的配置脚本

  1. #
  2. sysname FW
  3. #
  4. ipv6
  5. #
  6. interface GigabitEthernet0/0/1
  7. ip address 1.1.1.1 255.255.255.0
  8. #
  9. interface GigabitEthernet0/0/2
  10. ipv6 enable
  11. nat64 enable
  12. ipv6 address 2001::2/64
  13. #
  14. firewall zone trust
  15. set priority 85
  16. add interface GigabitEthernet0/0/1
  17. #
  18. firewall zone untrust
  19. set priority 5
  20. add interface GigabitEthernet0/0/2
  21. #
  22. nat64 prefix 3001:: 96
  23. nat64 static 2001::1 1.1.1.10 unr-route
  24. #
  25. nat64 security-policy enable
  26. #
  27. security-policy
  28. rule name policy_sec_1
  29. source-zone trust
  30. destination-zone untrust
  31. destination-address 2001::1 64
  32. action permit
  33. #
  34. return

标签:
声明

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

在线投稿:投稿 站长QQ:1888636

后台-插件-广告管理-内容页尾部广告(手机)
相关文章
关注我们

扫一扫关注我们,了解最新精彩内容

搜索
排行榜
最近发表
标签列表