发门网
IPv6进阶:IPv6 过渡技术之 NAT64(IPv6 节点主动访问 IPv4 节点-地址池方式)
创始人
2024-03-01 06:19:43
0

实验拓扑

  • PC1是IPv4网络的一个节点,处于Trust安全域;
  • PC2是IPv6网络的一个节点,处于Untrust安全域。

实验需求

  • 完成防火墙IPv4、IPv6接口的配置,并将接口添加到相应的安全域;
  • 在防火墙上配置NAT64的IPv6前缀3001::/64;
  • 配置NAT64地址池,并配置NAT64策略;
  • 配置域间包过滤策略,使得PC2能够访问PC1。

实验步骤及配置

FW的配置如下:

配置IPv4接口:

[FW] interface GE0/0/1
[FW-GigabitEthernet0/0/1] ip address 10.1.1.254
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet0/0/1

配置IPv6接口:

[FW] interface GE0/0/2
[FW-GigabitEthernet0/0/2] ipv6 enable
[FW-GigabitEthernet0/0/2] ipv6 address 2001::FFFF 64
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet0/0/2

配置NAT64的IPv6前缀:

[FW] nat64 prefix 3001:: 96

配置NAT64地址池及nat64地址转换策略:

[FW] nat64 address-group 1 20.1.1.1 20.1.1.20
[FW] nat64-policy interzone trust untrust inbound
[FW-nat64-policy-interzone-trust- untrust -inbound] policy 10
[FW-nat64-policy-interzone-trust- untrust -inbound-10] action nat64
[FW-nat64-policy-interzone-trust- untrust -inbound-10] address-group 1

配置IPv6域间包过滤规则:

[FW] policy ipv6 interzone trust untrust inbound
[FW-policy-interzone-trust-untrust-inbound] policy 10
[FW-policy-interzone-trust-untrust-inbound-10] policy source 2001:: 64
[FW-policy-interzone-trust-untrust-inbound-10] action permit

完成配置后,PC2即可访问PC1,但是问题是,PC2用什么目的地址来访问PC1?

PC2使用3001::0A01:0101这个地址来访问PC1,但是为什么是这个地址?3001::/96这个前缀是我们在配置的时候指定的NAT64地址前缀,而这个目的地址的最后32bits,也就是0A01:0101,换算成10进制就是10.1.1.1,因此当防火墙收到目的地址为3001::0A01:0101的IPv6数据包时,根据该地址的最后32bits计算得到IPv4地址, 这就是协议转换后的IPv4目的地址,而IPv4源地址则从NAT64地址池中挑一个。

 display firewall ipv6 session table
Current Total IPv6 Sessions: 1
---------------------------------------------------------------------
Source Address : 2001::1
Destination Address : 3001::A01:101
Source Port : 44064
Destination Port : 2048
Protocol : ICMP6
SessType : NAT64

 display nat64 session tableCurrent Total Sessions: 1
--------------------------------------------------------------------
IPv6 Source Address : 2001::1
IPv6 Destination Address : 3001::A01:101
IPv6 Source Port : 44066
IPv6 Destination Port : 2048
IPv4 Source Address : 20.1.1.2
IPv4 Destination Address : 10.1.1.1
IPv4 Source Port : 2010
IPv4 Destination Port : 2048
Protocol : ICMPv6
TTL : 00:00:20
Left Time : 00:00:18

上一篇:ABAQUS学习之路

下一篇:Python+Selenium:Google patent数据爬取

相关内容

热门资讯

监控摄像头接入GB28181平... 流程简介将监控摄像头的视频在网站和APP中直播,要解决的几个问题是:1&...
Windows10添加群晖磁盘... 在使用群晖NAS时,我们需要通过本地映射的方式把NAS映射成本地的一块磁盘使用。 通过...
protocol buffer... 目录 目录 什么是protocol buffer 1.protobuf 1.1安装  1.2使用...
在Word、WPS中插入AxM... 引言 我最近需要写一些文章,在排版时发现AxMath插入的公式竟然会导致行间距异常&#...
Fluent中创建监测点 1 概述某些仿真问题,需要创建监测点,用于获取空间定点的数据࿰...
educoder数据结构与算法...                                                   ...
MySQL下载和安装(Wind... 前言:刚换了一台电脑,里面所有东西都需要重新配置,习惯了所...
MFC文件操作  MFC提供了一个文件操作的基类CFile,这个类提供了一个没有缓存的二进制格式的磁盘...
有效的括号 一、题目 给定一个只包括 '(',')','{','}'...
【Ctfer训练计划】——(三... 作者名:Demo不是emo  主页面链接:主页传送门 创作初心ÿ...