csdn には nat64 ケースの設定に関する詳細があまりないので、コピーするか移動してください~
今日も nat64 でちょっとした実験をしてみましたが、正直、このようなデマンドの問題は普段は滅多に遭遇しないので、今日は以下で詳しく分析してみます。
このシーンは非常に単純です。黄色の領域は v6 内部ネットワーク、青色の領域は v4 外部ネットワークです。そのため、pc1 は nat64 テクノロジを通じてサーバー 1 にアクセスできます。
BB の数はそれほど多くありません。設定に移動して、私の指示に従ってください。
pc1の設定
サーバー構成
スイッチ構成
sysname lsw1 //スイッチ名を作成
#
ipv6 // v6機能を有効にする
#
vlanバッチ 10 100 //ビジネス vlan10 とレイヤー 3 相互接続 vlan100 を作成します
#
Interface GigabitEthernet0/0/1 //ビジネスインターフェイスに入る
port link-type access //インターフェイス モードを acc として設定します
port default vlan 10 //インターフェイスは vlan10 に属し、vlan10 ラベルをカプセル化します
#
Interface GigabitEthernet0/0/24 //相互接続レイヤ 2 インターフェイスに入る
port link-type access //インターフェイス モードを acc として設定します
port default vlan 100 //インターフェイスは vlan100 に属し、vlan100 ラベルをカプセル化します
#
interface Vlanif10 //レイヤー 3 vlan10 ゲートウェイに入る
ipv6 Enable //v6 を
ipv6 アドレス 2001:ABCD:1234:11::254/64 //v6 ゲートウェイを構成する
#
インターフェース Vlanif100
IPv6 を有効にする
ipv6 address 2001:ABCD:1234:100::254/96 //レイヤー 3 相互接続アドレスを設定します
#
ipv6 Route-static :: 0 2001:ABCD:1234:100::253 //PC は 64 変換用のアドレスである v6 アドレスにアクセスするため、v6 のデフォルト ルートを設定します。
ルーターの設定
これについては何も言うことはありません。IP を設定するだけです。理解できない場合は、現在の Web ページを閉じて、別のことをしてください。
システム名 R1
#
インターフェイスギガビットイーサネット0/0/0
IP アドレス 200.0.0.2 255.255.255.0
#
インターフェイスギガビットイーサネット0/0/1
IP アドレス 201.0.0.254 255.255.255.0
フォーカス - ファイアウォール構成
sysname FW1 //名前を変更します
#
ipv6 // v6機能を有効にする
#
インターフェイスで v6 機能を有効にし、IP を設定し、ping 機能を有効にします。
インターフェイスギガビットイーサネット1/0/0
IPv6 を有効にする
ipv6 アドレス 2001:ABCD:1234:100::253/96
サービス管理 ping 許可
nat64 Enable //64 変換機能を開始します。この構成は最初または最後に構成できますが、 v6 ネットワークのインターフェイスで構成する必要があります
#
インターフェイス ギガビットイーサネット1/0/1
IP アドレス 200.0.0.1 255.255.255.0
サービス管理 ping 許可
#
ファイアウォールインターフェース部門
ファイアウォールゾーンの信頼性
add Interface GigabitEthernet1/0/0 //v6 ネットワークはトラストゾーンです
#
ファイアウォール ゾーン untrust
add Interface GigabitEthernet1/0/1 //v4 ネットワークは信頼できないエリアです
#
v4 ネットワーク到達可能性の構成
ip Route-static 0.0.0.0 0.0.0.0 200.0.0.2 //サーバーへのデフォルトルートを設定します
#
v6 ネットワーク到達可能性の構成
ipv6 Route-static 2001:ABCD:1234:11::64 2001:ABCD:1234:100::254 //pc1 への静的 v6 ルートを構成します
#
NAT 変換後にアドレス プールを構成し、静的な 1 対 1 を構成することもできます
nat address-group 1 0 //アドレスプールを作成する
モードパット
セクション 0 200.0.0.10 200.0.0.20 //アドレス プールの範囲は、ファイアウォール v4 ネットワークの送信インターフェイスのアドレス セグメントです
#
v4 にアクセスするための v6 マッピング アドレスが装備されており、このセグメントを ping することによってのみ v4 に変換できます。その他はできません。
nat64 プレフィックス 3001:: 96
#
セキュリティポリシーの構成
セキュリティポリシー
ルール名 nat64 //ポリシー名を作成します
source-zone trust //ソース ゾーン - v6 を参照します
destination-zone untrust //宛先ゾーン - v4 を参照します
送信元アドレス 2001:ABCD:1234:11::64 //送信元アドレスのプレフィックス
アクション許可 //アクティブ化ポリシー
#
NAT ポリシーを構成する
nat-ポリシー
ルール名 nat64
ソースゾーンの信頼
宛先ゾーンの untrust
送信元アドレス 2001:ABCD:1234:11:: 64
nat-type nat64 //タイプはnat64です
action source-nat address-group 1 //送信元 nat アドレス プール モードをアクティブにする
テスト
プレフィックスは /96 です。 ipv4 アドレスはちょうど 32 ビットです。 v6 アドレスは 128 ビットです。
ファイアウォール v6 のセッション テーブルを見ると、変換されたことがわかります。
変換が成功したら、v4 のセッション テーブルを見てください。読み間違えないように注意してください。
他に何が見たいですか? コメント欄でお会いしましょう