IPv6进阶:IPv6 过渡技术之 NAT64(IPv6 节点主动访问 IPv4 节点-地址池方式)
实验拓扑
- PC1是IPv4网络的一个节点,处于Trust安全域;
- PC2是IPv6网络的一个节点,处于Untrust安全域。
实验需求
- 完成防火墙IPv4、IPv6接口的配置,并将接口添加到相应的安全域;
- 在防火墙上配置NAT64的IPv6前缀3001::/64;
- 配置NAT64地址池,并配置NAT64策略;
- 配置域间包过滤策略,使得PC2能够访问PC1。
实验步骤及配置
FW的配置如下:
配置IPv4接口:
[FW] interface GE0/0/1
[FW-GigabitEthernet0/0/1] ip address 10.1.1.254
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet0/0/1
配置IPv6接口:
[FW] interface GE0/0/2
[FW-GigabitEthernet0/0/2] ipv6 enable
[FW-GigabitEthernet0/0/2] ipv6 address 2001::FFFF 64
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet0/0/2
配置NAT64的IPv6前缀:
[FW] nat64 prefix 3001:: 96
配置NAT64地址池及nat64地址转换策略:
[FW] nat64 address-group 1 20.1.1.1 20.1.1.20
[FW] nat64-policy interzone trust untrust inbound
[FW-nat64-policy-interzone-trust- untrust -inbound] policy 10
[FW-nat64-policy-interzone-trust- untrust -inbound-10] action nat64
[FW-nat64-policy-interzone-trust- untrust -inbound-10] address-group 1
配置IPv6域间包过滤规则:
[FW] policy ipv6 interzone trust untrust inbound
[FW-policy-interzone-trust-untrust-inbound] policy 10
[FW-policy-interzone-trust-untrust-inbound-10] policy source 2001:: 64
[FW-policy-interzone-trust-untrust-inbound-10] action permit
完成配置后,PC2即可访问PC1,但是问题是,PC2用什么目的地址来访问PC1?
PC2使用3001::0A01:0101这个地址来访问PC1,但是为什么是这个地址?3001::/96这个前缀是我们在配置的时候指定的NAT64地址前缀,而这个目的地址的最后32bits,也就是0A01:0101,换算成10进制就是10.1.1.1,因此当防火墙收到目的地址为3001::0A01:0101的IPv6数据包时,根据该地址的最后32bits计算得到IPv4地址, 这就是协议转换后的IPv4目的地址,而IPv4源地址则从NAT64地址池中挑一个。
<FW> display firewall ipv6 session table
Current Total IPv6 Sessions: 1
---------------------------------------------------------------------
Source Address : 2001::1
Destination Address : 3001::A01:101
Source Port : 44064
Destination Port : 2048
Protocol : ICMP6
SessType : NAT64
<FW> display nat64 session tableCurrent Total Sessions: 1
--------------------------------------------------------------------
IPv6 Source Address : 2001::1
IPv6 Destination Address : 3001::A01:101
IPv6 Source Port : 44066
IPv6 Destination Port : 2048
IPv4 Source Address : 20.1.1.2
IPv4 Destination Address : 10.1.1.1
IPv4 Source Port : 2010
IPv4 Destination Port : 2048
Protocol : ICMPv6
TTL : 00:00:20
Left Time : 00:00:18
IPv6进阶:IPv6 过渡技术之 NAT64(IPv6 节点主动访问 IPv4 节点-地址池方式)相关推荐
- IPv6进阶:IPv6 过渡技术之 NAT64(IPv4 节点主动访问 IPv6 节点)
实验拓扑 PC1是IPv4网络的一个节点,处于Trust安全域: PC2是IPv6网络的一个节点,处于Untrust安全域. 实验需求 完成防火墙IPv4.IPv6接口的配置,并将接口添加到相应的安全 ...
- 一文读懂 IPv4 到 IPv6 的过渡技术
在介绍 IPv4 到 IPv6 过渡技术之前,我们先来简单了解一下 IPv4 和 IPv6.什么是 IPv4?IPv4 全称为 Internet Protocol version 4,它为互联网上的每 ...
- IPv6技术-什么是IPv6
IPv6技术 1 引言 IPv4地址即将耗尽,因此需要移转至IPv6的讨论,过去数年来一直不曾中断.IPv4和IPv6在报文结构.报文字段意义以及地址配置诸多方面都有显著的不同,这给从IPv4到IP ...
- ipv4v6双栈技术_IPv4、IPv6双栈方法
室 电话: 010-********/3337/3338-8030 传真: 82893336-8031 IPv4/IPv6 双栈方法 正如 2000 问题的幽灵所表现出来的,传统系统的坚固性被高估了. ...
- IPv6 — 地址配置方式
目录 文章目录 目录 IPv6 的地址配置方式 ICMPv6 NDP 协议 ICMPv6 NDP 协议的消息类型 ICMP NDP 协议的地址配置流程 1.路由器发现 2.自动生成链路本地地址 3.重 ...
- ipv4v6双栈技术_IPv6过渡技术之双栈技术
IPv6经过20多年的发展研究实验,已经成为一项成熟技术,其具有大量IP地址数量.更小路由表.更安全等特点,为有效解决IPv4现存问题提供了途径.但是由于IPv6本身与IPv4不兼容,在IPv6成为主 ...
- IPv6进阶:IPv6 过渡技术之 6to4 自动隧道
实验拓扑 R1-R3-R2之间的网络为IPv4公网: PC1及PC2处于IPv6孤岛. 实验需求 R1及R2为IPv6/IPv4双栈设备: 在R1及R2上部署6to4自动隧道使得PC1及PC2能够互相 ...
- IPv6进阶:IPv6 过渡技术之 GRE 隧道
实验拓扑 R1-R3-R2之间的网络为IPv4环境 PC1及PC2处于IPv6孤岛 实验需求 R1及R2为IPv6/IPv4双栈设备 在R1及R2上部署GRE隧道使得PC1及PC2能够互相访问(先采用 ...
- IPv6过渡技术介绍-一
[IT168厂商动态]IP地址的重要性已经无需多言,海量的地址是未来移动互联网.物联网等应用深入发展的基础.而在我国目前IPv4地址已经严重不足的情况下,如何过渡到IPv6的问题就显得更为迫切. ...
最新文章
- [冲昏头脑]IDEA中的maven项目中学习log4j的日志操作
- Go 采用 time.After 实现超时控制
- 从零开始入门 | Kubernetes 中的服务发现与负载均衡
- 进军B2B乏力?转转为何一直在原地打转?
- 请教SQL对日期格式化的写法
- python输入字母终止_将用户输入限制为字母
- 阅读react-redux源码(二) - createConnect、match函数的实现
- 【BZOJ4668】冷战 并查集
- MTK 驱动(85)----RPMB key introduction
- android调用完自己写的app之后如何返回原来的android应用_App逆向篇 神器之 Frida...
- 例2.1 排序 - 九度教程第1题(排序)
- InnoDB存储引擎相关问题整理
- 2022 最新 Kafka 面试题
- 4k颜色测试软件,BMPC 4K 使用达芬奇LUT 调色测试
- python实用【大技巧】之Python手把手实现远程控制桌面
- 论文解读:手机拍照暗光成像
- 推荐一个 github 项目 spider163,抓取网络数据,歌曲评论等数据
- GB/T28181平台服务器解决方案简介
- CF35C Fire Again
- 企业考勤,用开源协同办公OA系统来管理!