要求位于IPv4网络中的PC通过IPv4地址1.1.1.10能够直接访问位于IPv6网络中Server。

操作步骤
       此处NAT64前缀以3001:: 96为例,如果不配置,则默认为知名前缀。

    # 配置NAT64静态映射关系,将Server的IPv6地址2001::1映射为IPv4地址1.1.1.10。

    [FW] nat64 static 2001::1 1.1.1.10 unr-route

    # 开启NAT64报文受安全策略控制功能。

    [FW] nat64 security-policy enable

    # 配置安全策略。

    配置NAT64静态映射需要配置IPv6安全策略。

    [FW] security-policy
    [FW-policy-security] rule name policy_sec_1
    [FW-policy-security-rule-policy_sec_1] source-zone trust
    [FW-policy-security-rule-policy_sec_1] destination-zone untrust
    [FW-policy-security-rule-policy_sec_1] destination-address 2001::1 64
    [FW-policy-security-rule-policy_sec_1] action permit
    [FW-policy-security-rule-policy_sec_1] quit

    配置PC的IPv4地址。(IPv4地址的配置方法与PC的操作系统有关,配置方法略。)

    # 配置PC的IPv4地址为1.1.1.2/24,与FW的接口GigabitEthernet 0/0/1同一网段。

    配置Server的IPv6地址和路由。(IPv6地址和路由的配置方法与Server的操作系统有关,配置方法略。)

    # 配置Server的IPv6地址为2001::1/24,与FW的接口GigabitEthernet 0/0/2同一网段。

    # 配置Server去往3001::/96网段的路由为2001::2。

    结果验证

    # 配置完成后,PC上执行ping 1.1.1.10

    C:\> ping 1.1.1.10
    Pinging 1.1.1.10 with 32 bytes of data:Reply from 1.1.1.10: time=69ms
    Reply from 1.1.1.10: time=34ms
    Reply from 1.1.1.10: time=17ms
    Reply from 1.1.1.10: time=18msPing statistics for 1.1.1.10:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 17ms, Maximum = 69ms, Average = 34ms

    PC可以ping通Server的IPv4映射地址。

    # 在FW任意视图下执行display firewall ipv6 session table,查看NAT64的会话表信息。

    <FW> display firewall ipv6 session table
     Current total IPv6 sessions: 1                                                 
     Slot: 6 CPU: 1                                                                 
    NAT64: icmp6 VPN: public --> public  3001::101:102.44006[1.1.1.2:44006] --> 2001::1.2048[1.1.1.10:2048]

    由NAT64会话表得知IPv6与IPv4地址的转换关系。

    配置脚本

    FW的配置脚本

    #                                                                               
     sysname FW                                      
    #                                                                               
     ipv6
    #                                                                               
    interface GigabitEthernet0/0/1                                                  
     ip address 1.1.1.1 255.255.255.0                                               
    #                                                                               
    interface GigabitEthernet0/0/2                                                  
     ipv6 enable
     nat64 enable
     ipv6 address 2001::2/64                                              
    #                                                                               
    firewall zone trust                                                             
     set priority 85                                                                
     add interface GigabitEthernet0/0/1                                             
    #                                                                               
    firewall zone untrust                                                             
     set priority 5                                                                
     add interface GigabitEthernet0/0/2                                             
    #  
     nat64 prefix 3001:: 96                                                        
     nat64 static 2001::1 1.1.1.10 unr-route                                                             
    # 
    nat64 security-policy enable
    #                                                                          
    security-policy                                                                 
      rule name policy_sec_1                                                        
        source-zone trust                                                           
        destination-zone untrust                                                    
        destination-address 2001::1 64                                               
        action permit                                                               
    #                                                                                
    return

点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论

微信小程序

微信扫一扫体验

立即
投稿

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部