不知不觉中,IPv6已经开始商用了,尤其是无法获取到公网IP的拨号宽带,服务器端口也就无法映射了,这种情况下,使用IPv6显然是个不错的主意。
但是,IPv6只解决了IPv4地址不足的问题,如何让原有的IPv4电脑访问IPv6的服务器,又成了个问题,总不能所有电脑都使用IPv6地址吧?而本文所述的NAT64静态映射,就能很好地解决这个问题。
NAT64静态映射为一对一的对应关系,通常应用于IPv4网络主动访问IPv6网络,华为USG防火墙就能支持IPv4/IPv6双栈。
如上图所示,要求位于IPv4网络中的PC1通过NAT64静态映射,能够访问位于IPv6网络中PC2,PC2模拟服务器。
PC1和PC2分别配置IPv4地址和IPv6地址,以及网关地址,过程略;下面主要讲述华为USG防火墙的配置。
1、配置接口IP,并且启用NAT64
interface GigabitEthernet1/0/0
undo shutdown
ipv6 enable
ip address 1.1.1.254 255.255.255.0
service-manage ping permit
nat64 enable
interface GigabitEthernet1/0/1
undo shutdown
ipv6 enable
ipv6 address 2001:1::254/64
service-manage ping permit
nat64 enable
2、将接口放到相应的安全区域
firewall zone trust
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
3、设置安全策略,允许IPv4网络访问IPv6网络
security-policy
rule name t2u
source-zone trust
destination-zone untrust
action permit
rule name interzone
source-address 1.1.1.0 0.0.0.255
destination-address 2.2.2.0 0.0.0.255
action permit
4、配置NAT64静态映射关系
nat64 enable
nat64 prefix 2001:2::96 //设置ipv4访问ipv6动态映射的地址前缀
nat64 static 2001:1::100 2.2.2.2 //将PC2的IPv6地址映射为IPv4地址2.2.2.2
5、配置路由
ip route-static 2.2.2.0 255.255.255.0 NULL0
配置完成了,验证一下吧:dis nat64 static,查看NAT64静态映射信息
在PC1上ping 2.2.2.2,然后在防火墙上查看会话表:dis firewall ipv6 session table verbose
能ping通就表示配置正确,会话表只是进一步验证结果而已。