华为ensp防火墙nat64案例配置

不得不说csdn中关于nat64的案例配置没有几个详细，要么照抄，要么搬运~

今天也敲个做了一单nat64的小实验，实话实说这种需求的题平时遇见的也少，今天跟大家详细的分析以下。

场景很简单，黄色区域为v6内网，蓝色区域为v4外网，实现pc1通过nat64技术访问服务器1

 不多BB，上配置，按照我的顺序一步一步敲即可

pc1配置

服务器配置

 交换机配置

扫描二维码关注公众号，回复： 15555654 查看本文章

sysname lsw1  //创建交换机名字

#

ipv6  //开启v6功能

#

vlan batch 10 100  //创建业务vlan10和三层互联vlan100

#

interface GigabitEthernet0/0/1  //进入业务接口

 port link-type access  //配置接口模式为acc

 port default vlan 10  //接口属于vlan10，并封装vlan10标签

#

interface GigabitEthernet0/0/24  //进入互联二层接口

 port link-type access  //配置接口模式为acc

 port default vlan 100  //接口属于vlan100，并封装vlan100标签

#

interface Vlanif10  //进入三层vlan10网关

 ipv6 enable  //开启v6

 ipv6 address 2001:ABCD:1234:11::254/64  //配置v6网关

#

interface Vlanif100

 ipv6 enable

 ipv6 address 2001:ABCD:1234:100::254/96   //配置三层互联地址

#

ipv6 route-static :: 0 2001:ABCD:1234:100::253  //配置v6缺省路由，因为pc会访问有个v6地址，该地址是进行64转换的地址

路由器配置

这个没啥可说的，就是配ip，这个要是看不懂就关掉当前网页吧，干点别的

sysname R1

#

interface GigabitEthernet0/0/0

 ip address 200.0.0.2 255.255.255.0

#

interface GigabitEthernet0/0/1

 ip address 201.0.0.254 255.255.255.0

重点-防火墙配置

sysname FW1  //更改名字

#

ipv6  //开启v6功能

#

接口开启v6功能、配ip、开启ping功能

interface GigabitEthernet1/0/0

 ipv6 enable

 ipv6 address 2001:ABCD:1234:100::253/96

 service-manage ping permit

 nat64 enable  //开始64转换功能，该配置可以先配也可以最后配，一定是在v6网络的接口配

#

interface GigabitEthernet1/0/1

 ip address 200.0.0.1 255.255.255.0

 service-manage ping permit

#

防火墙接口划分区域

firewall zone trust

 add interface GigabitEthernet1/0/0  //v6网络为信任区域

#

firewall zone untrust

 add interface GigabitEthernet1/0/1  //v4网络为非信任区域

#

配置v4网络可达

ip route-static 0.0.0.0 0.0.0.0 200.0.0.2  //配置到服务器的缺省路由

#

配置v6网络可达

ipv6 route-static 2001:ABCD:1234:11:: 64 2001:ABCD:1234:100::254  //配置到pc1的静态v6路由

#

配置nat转换后的地址池，也可配静态一对一

nat address-group 1 0  //创建地址池

 mode pat

 section 0 200.0.0.10 200.0.0.20  //地址池范围为防火墙v4网络中的出接口地址段即可

#

配访问v4的v6映射地址，ping这个段才能转换成v4，其他不行

 nat64 prefix 3001:: 96

#

配置安全策略

security-policy

 rule name nat64  //创建策略名字

  source-zone trust  //源区域-指v6

  destination-zone untrust //目的区域-指v4

  source-address 2001:ABCD:1234:11:: 64  //源地址前缀

  action permit  //激活策略

#

配置nat策略

nat-policy

 rule name nat64

  source-zone trust

  destination-zone untrust

  source-address 2001:ABCD:1234:11:: 64

  nat-type nat64  //类型为nat64

  action source-nat address-group 1  //激活源nat地址池模式

测试

前缀为/96 ipv4地址正好为32位  v6地址位128位 

看防火墙v6的会话表，可以看到转换的

看v4的会话表是转换成功后的，可别看错了，友友们

 还想看什么评论区见