- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-AFT配置
本章節下載: 02-AFT配置 (380.82 KB)
1.12 配置AFT轉換後IPv6報文的Traffic Class字段值
1.16.1 IPv6網絡訪問IPv4 Internet配置舉例
1.16.2 IPv4 Internet訪問IPv6網絡內部服務器配置舉例
1.16.4 IPv4網絡訪問IPv6 Internet中的服務器配置舉例
1.16.5 IPv6 Internet訪問IPv4網絡配置舉例
AFT(Address Family Translation,地址族轉換)提供了IPv4和IPv6地址之間的相互轉換功能。在IPv4網絡完全過渡到IPv6網絡之前,兩個網絡之間直接的通信可以通過AFT來實現。例如,使用AFT可以使IPv4網絡中的主機直接訪問IPv6網絡中的FTP服務器。
如圖1-1所示,AFT作用於IPv4和IPv6網絡邊緣設備上,所有的地址轉換過程都在該設備上實現,對IPv4和IPv6網絡內的用戶來說是透明的,即用戶不必改變目前網絡中主機的配置就可實現IPv6網絡與IPv4網絡的通信。
圖1-1 AFT應用場景
AFT的地址轉換分為靜態轉換、動態轉換、前綴轉換及IPv6內部服務器方式。
靜態轉換方式是指采用手工配置的IPv6地址與IPv4地址的一一對應關係來實現IPv6地址與IPv4地址的轉換。
動態轉換方式是指動態地創建IPv6地址與IPv4地址的對應關係來實現IPv6地址與IPv4地址的轉換。和靜態轉換方式不同,動態轉換方式中IPv6和IPv4地址之間不存在固定的一一對應關係。
將IPv6報文的源IPv6地址轉換為IPv4地址時,動態轉換方式分為NO-PAT和PAT兩種模式。
NO-PAT(Not Port Address Translation,非端口地址轉換)模式下,一個IPv4地址同一時間隻能對應一個IPv6地址進行轉換,不能同時被多個IPv6地址共用。當使用某IPv4地址的IPv6網絡用戶停止訪問IPv4網絡時,AFT會將其占用的IPv4地址釋放並分配給其他IPv6網絡用戶使用。
該模式下,AFT設備隻對報文的IP地址進行AFT轉換,同時會建立一個NO-PAT表項用於記錄IPv6地址和IPv4地址的映射關係,並不涉及端口轉換,可支持所有IP協議的報文。
PAT(Port Address Translation,端口地址轉換)模式下,一個IPv4地址可以同時被多個IPv6地址共用。該模式下,AFT設備需要對報文的IP地址和傳輸層端口同時進行轉換,且隻支持TCP、UDP和ICMPv6(Internet Control Message Protocol for IPv6,IPv6互聯網控製消息協議)查詢報文。
PAT模式的動態轉換策略支持對端口塊大小進行限製,從而達到限製轉換和溯源的目的。可劃分的端口號範圍為1024~65535,剩餘不足劃分的部分則不會進行分配。IPv6主機首次發起連接時,為該地址分配一個用於轉換的IPv4地址,以及該IPv4地址的一個端口塊。後續從該IPv6主機發起的連接都使用這個IPv4地址和端口塊裏麵的端口進行轉換,直到端口塊裏麵的端口用盡。
前綴轉換包括NAT64前綴轉換、IVI前綴轉換和General前綴轉換。
NAT64前綴是長度為32、40、48、56、64或96位的IPv6地址前綴,用來構造IPv4節點在IPv6網絡中的地址,以便IPv4主機與IPv6主機通信。網絡中並不存在帶有NAT64前綴的IPv6地址的主機。
如圖1-2所示,NAT64前綴長度不同時,地址轉換方法有所不同。其中,NAT64前綴長度為32、64和96位時,IPv4地址作為一個整體添加到IPv6地址中;NAT64前綴長度為40、48和56位時,IPv4地址被拆分成兩部分,分別添加到64~71位的前後。
圖1-2 對應IPv4地址帶有NAT64前綴的IPv6地址格式
IPv4側發起訪問時,AFT利用NAT64前綴將報文的源IPv4地址轉換為IPv6地址;IPv6側發起訪問時,AFT利用NAT64前綴將報文的目的IPv6地址轉換為IPv4地址。
IVI前綴是長度為32位的IPv6地址前綴。IVI地址是IPv6主機實際使用的IPv6地址,這個IPv6地址中內嵌了一個IPv4地址,可以用於與IPv4主機通信。由IVI前綴構成的IVI地址格式如圖1-3所示。
圖1-3 IVI地址格式
從IPv6側發起訪問時,AFT可以使用IVI前綴將報文的源IPv6地址轉換為IPv4地址。
General前綴與NAT64前綴類似,都是長度為32、40、48、56、64或96位的IPv6地址前綴,用來構造IPv4節點在IPv6網絡中的地址。如圖1-4所示,General前綴與NAT64前綴的區別在於,General前綴沒有64到71位的8位保留位,IPv4地址作為一個整體添加到IPv6地址中。
圖1-4 對應IPv4地址帶有General前綴的IPv6地址格式
從IPv6側發起訪問時,AFT利用General前綴將報文的源/目的IPv6地址轉換為IPv4地址。需要注意的是,General前綴與NAT64前綴都不能與設備上的接口地址同網段。
IPv6內部服務器是指向IPv4網絡主機提供服務的IPv6網絡中的服務器。通過配置IPv6內部服務器,可以將IPv6服務器的地址和端口映射到IPv4網絡,IPv4網絡中的主機通過訪問映射後的IPv4地址和端口就可以訪問IPv6網絡中的服務器。
IPv6側發起訪問和IPv4側發起訪問的報文轉換過程有所不同,下麵將分別介紹。
圖1-5 IPv6側發起訪問的AFT報文轉換過程
如圖1-5所示,IPv6側發起訪問時AFT設備對報文的轉換過程為:
(1) 判斷是否需要進行AFT轉換:AFT設備接收到IPv6網絡主機(IPv6 host)發送給IPv4網絡主機(IPv4 host)的報文後,判斷該報文是否要轉發到IPv4網絡。如果報文的目的IPv6地址能夠匹配到IPv6目的地址轉換策略,則該報文需要轉發到IPv4網絡,需要進行AFT轉換;如果未匹配到任何一種轉換策略,則表示該報文不需要進行AFT轉換。
(2) 轉換報文目的地址:根據IPv6目的地址轉換策略將報文目的IPv6地址轉換為IPv4地址。
(3) 根據目的地址預查路由:根據轉換後的IPv4目的地址查找路由表,確定報文的出接口。如果查找失敗,則丟棄報文。需要注意的是,預查路由時不會查找策略路由。
(4) 轉換報文源地址:根據IPv6源地址轉換策略將報文源IPv6地址轉換為IPv4地址。如果未匹配到任何一種轉換策略,則報文將被丟棄。
(5) 轉發報文並記錄映射關係:報文的源IPv6地址和目的IPv6地址都轉換為IPv4地址後,設備按照正常的轉發流程將報文轉發到IPv4網絡中的主機。同時,將IPv6地址與IPv4地址的映射關係保存在設備中。
(6) 根據記錄的映射關係轉發應答報文:IPv4網絡主機發送給IPv6網絡主機的應答報文到達AFT設備後,設備將根據已保存的映射關係進行相反的轉換,從而將報文發送給IPv6網絡主機。
圖1-6 IPv4側發起訪問的AFT報文轉換過程
如圖1-6所示,IPv4側發起訪問時AFT設備對報文的轉換過程為:
(1) 判斷是否需要進行AFT轉換:AFT設備接收到IPv4網絡主機(IPv4 host)發送給IPv6網絡主機(IPv6 host)的報文後,判斷該報文是否要轉發到IPv6網絡。如果報文的目的IPv4地址能夠匹配到IPv4目的地址轉換策略,則該報文需要轉發到IPv6網絡,需要進行AFT轉換。如果未匹配到任何一種轉換策略,則表示該報文不需要進行AFT地址轉換。
(2) 轉換報文目的地址:根據IPv4目的地址轉換策略將報文目的IPv4地址轉換為IPv6地址。
(3) 根據目的地址預查路由:根據轉換後的IPv6目的地址查找路由表,確定報文的出接口。如果查找失敗,則丟棄報文。需要注意的是,預查路由時不會查找策略路由。
(4) 轉換報文源地址:根據IPv4源地址轉換策略將報文源IPv4地址轉換為IPv6地址。如果未匹配到任何一種轉換策略,則報文將被丟棄。
(5) 轉發報文並記錄映射關係:報文的源IPv4地址和目的IPv4地址都轉換為IPv6地址後,設備按照正常的轉發流程將報文轉發到IPv6網絡中的主機。同時,將IPv4地址與IPv6地址的映射關係保存在設備中。
(6) 根據記錄的映射關係轉發應答報文:IPv6網絡主機發送給IPv4網絡主機的應答報文到達AFT設備後,設備將根據已保存的映射關係進行相反的轉換,從而將報文發送給IPv4網絡主機。
AFT隻對報文頭中的IP地址和端口信息進行轉換,不對應用層數據載荷中的字段進行分析。然而對於一些特殊協議,它們的報文的數據載荷中可能包含IP地址或端口信息。例如,FTP應用由數據連接和控製連接共同完成,而數據連接使用的地址和端口由控製連接報文中的載荷信息決定。這些載荷信息也必須進行有效的轉換,否則可能導致功能問題。ALG(Application Level Gateway,應用層網關)主要完成對應用層報文的處理,利用ALG可以完成載荷信息的轉換。
目前,AFT支持對FTP報文、DNS報文和ICMP差錯報文進行ALG處理。
AFT配置任務如下:
(1) 開啟AFT功能
(2) 配置IPv6側發起的會話的轉換配置
¡ (可選)配置AFT轉換後IPv4報文的ToS字段值
(3) 配置IPv4側發起的會話的轉換配置
¡ (可選)配置AFT轉換後IPv6報文的Traffic Class字段值
(4) (可選)開啟AFT日誌功能
(5) (可選)關閉AFT生成OpenFlow流表功能
隻有在連接IPv4網絡和IPv6網絡的接口上都開啟AFT功能後,才能實現IPv4報文和IPv6報文之間的相互轉換。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟AFT功能。
aft enable
缺省情況下,AFT功能處於關閉狀態。
IPv6目的地址轉換策略匹配的優先級從高到低為:
(1) IPv4到IPv6的源地址靜態轉換策略。
(2) General前綴。
(3) NAT64前綴。
(1) 進入係統視圖。
system-view
(2) 配置IPv6到IPv4的目的地址轉換策略。
¡ 配置IPv4到IPv6源地址靜態轉換策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ]
¡ 配置General前綴。
aft prefix-general prefix-general prefix-length
¡ 配置NAT64前綴。
aft prefix-nat64 prefix-nat64 prefix-length
IPv6源地址轉換策略匹配的優先級從高到低為:
(1) IPv6到IPv4的源地址靜態轉換策略。
(2) General前綴。
(3) IVI前綴。
(4) IPv6到IPv4的源地址動態轉換策略。
(1) 進入係統視圖。
system-view
(2) (可選)配置AFT地址組。
a. 創建一個AFT地址組,並進入AFT地址組視圖。
aft address-group group-id
在配置IPv6到IPv4源地址動態轉換策略前,根據實際情況選配。
b. 添加地址組成員。
address start-address end-address
可通過多次執行本命令添加多個地址組成員。
當前地址組成員的IP地址段不能與該地址組中或者其它地址組中已有成員的IP地址段重疊。
c. 退回係統視圖。
quit
僅IPv6到IPv4源地址動態轉換策略支持本配置。
(3) 配置IPv6到IPv4的源地址轉換策略。
¡ 配置IPv6到IPv4源地址靜態轉換策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ]
¡ 配置IPv6到IPv4源地址動態轉換策略。
aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } { address-group group-id [ no-pat | port-block-size blocksize ] | interface interface-type interface-number } [ vpn-instance ipv4-vpn-instance-name ]
¡ 配置General前綴。
aft prefix-general prefix-general prefix-length
¡ 配置IVI前綴。
aft prefix-ivi prefix-ivi
IPv4目的地址轉換策略的匹配優先級從高到低為:
(1) IPv6內部服務器。
(2) IPv6到IPv4的源地址靜態轉換策略。
(3) IPv4到IPv6的目的地址動態轉換策略。
(1) 進入係統視圖。
system-view
(2) 配置IPv6側服務器對應的IPv4地址及端口。
aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ]
(1) 進入係統視圖。
system-view
(2) 配置IPv6到IPv4源地址靜態轉換策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ]
(1) 進入係統視圖。
system-view
(2) 配置IVI前綴或General前綴。請選擇其中一項進行配置。
¡ 配置IVI前綴。
aft prefix-ivi prefix-ivi
¡ 配置General前綴。
aft prefix-general prefix-general prefix-length
(3) 配置IPv4到IPv6目的地址動態轉換策略。
aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] } }
引用IVI前綴或General前綴之前,需要先進行IVI前綴或General前綴的配置,轉換策略才能生效。
IPv4源地址轉換策略的匹配優先級從高到低為:
(1) IPv4到IPv6的源地址靜態轉換策略。
(2) IPv4到IPv6的源地址動態轉換策略。
(3) NAT64前綴。
(1) 進入係統視圖。
system-view
(2) 配置IPv4到IPv6源地址靜態轉換策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ]
(1) 進入係統視圖。
system-view
(2) 配置NAT64前綴或General前綴。請選擇其中一項進行配置。
¡ 配置NAT64前綴。
aft prefix-nat64 prefix-nat64 prefix-length
¡ 配置General前綴。
aft prefix-general prefix-general prefix-length
(3) 配置IPv4到IPv6源地址動態轉換策略。
aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } }
引用NAT64前綴或General前綴之前,需要先進行NAT64前綴或General前綴的配置,轉換策略才能生效。
(1) 進入係統視圖。
system-view
(2) 配置NAT64前綴。
aft prefix-nat64 prefix-nat64 prefix-length
用戶可以設置在進行AFT轉換後,IPv4報文中ToS字段的取值:
· 為0:表示將轉換後報文的服務優先級降為最低。
· 與轉換前對應的ToS字段取值相同:表示保持原有的服務優先級。
(1) 進入係統視圖。
system-view
(2) 配置IPv6報文轉換為IPv4報文後,IPv4報文的ToS字段值為0。
aft turn-off tos
缺省情況下,當IPv6報文轉換為IPv4報文後,IPv4報文中的ToS字段與轉換前的IPv6報文的Traffic Class字段值相同。
用戶可以設置在AFT轉換後,IPv6報文中Traffic Class字段的取值:
· 為0:表示將轉換後報文的服務優先級降為最低。
· 與轉換前對應的Traffic Class字段取值相同:表示保持原有的服務優先級。
(1) 進入係統視圖。
system-view
(2) 配置IPv4報文轉換為IPv6報文後,IPv6報文的Traffic Class字段值為0。
aft turn-off traffic-class
缺省情況下,當IPv4報文轉換為IPv6報文後,IPv6報文中的Traffic Class字段與轉換前的IPv4報文的ToS字段值相同。
為了滿足網絡管理員安全審計的需要,可以開啟AFT日誌功能,以便對AFT連接(AFT連接是指報文經過設備時,源或目的地址進行過AFT轉換的連接)信息進行記錄。在以下情況下會觸發記錄AFT日誌:
· AFT端口塊新建。
· AFT端口塊刪除。
· AFT流創建,即AFT會話創建時輸出日誌。
· AFT流刪除,即AFT會話釋放時輸出日誌。
生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟AFT日誌功能。
aft log enable
缺省情況下,AFT日誌功能處於關閉狀態。
配置本命令後,將記錄AFT端口塊新建和AFT端口塊刪除的日誌信息。
(3) (可選)開啟AFT流創建或流刪除的日誌功能。
¡ 開啟AFT流創建的日誌功能。
aft log flow-begin
缺省情況下,AFT新建流的日誌功能處於關閉狀態。
如需記錄AFT會話創建時的日誌信息,則需要配置本命令。隻有配置aft log enable命令之後,本命令才能生效。
¡ 開啟AFT流刪除的日誌功能。
aft log flow-end
缺省情況下,AFT刪除流的日誌功能處於關閉狀態。
如需記錄AFT會話釋放時的日誌信息,則需要配置本命令。隻有配置aft log enable命令之後,本命令才能生效。
多引擎環境下,為保證同一條流的正向報文和反向報文由同一個引擎處理,AFT模塊會在接口板下發OpenFlow流表來匹配和處理報文。
開啟該功能後,係統會為新的AFT轉換配置以及已經存在的AFT轉換配置生成OpenFlow流表。關閉該功能後,係統不再為新的AFT轉換配置生成OpenFlow流表,並刪除已存在的AFT轉換配置生成的OpenFlow流表,可能會造成流量中斷。
使用IPv6到IPv4的源地址動態轉換策略時,建議關閉前綴轉換和靜態轉換生成AFT流表功能,否則可能會導致轉換策略不生效。
(1) 進入係統視圖。
system-view
(2) 關閉AFT生成OpenFlow流表的功能。
aft flow-redirect { all | dynamic | prefix | static | v6server } disable
缺省情況下,AFT前綴轉換生成OpenFlow流表的功能處於關閉狀態,動態AFT、靜態AFT和IPv6內部服務器生成OpenFlow流表的功能處於開啟狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示AFT配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以刪除AFT會話或統計信息。
表1-1 AFT顯示和維護
|
操作 |
命令 |
|
顯示AFT配置信息 |
display aft configuration |
|
顯示地址組信息 |
display aft address-group [ group-id ] |
|
顯示AFT地址映射信息 |
(獨立運行模式) display aft address-mapping [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display aft address-mapping [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
顯示AFT NO-PAT表項信息 |
(獨立運行模式) display aft no-pat [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display aft no-pat [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
顯示AFT端口塊映射表項信息 |
(獨立運行模式) display aft port-block [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display aft port-block [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
顯示AFT會話 |
(獨立運行模式) display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ] (IRF模式) display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn –instance-name ] ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ] |
|
顯示AFT統計信息 |
(獨立運行模式) display aft statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display aft statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
刪除AFT會話 |
(獨立運行模式) reset aft session [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset aft session [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
刪除AFT統計信息 |
(獨立運行模式) reset aft statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset aft statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
某公司將網絡升級到了IPv6,但是仍然希望內網2013::/96網段的用戶可以訪問IPv4 Internet,其它網段的用戶不能訪問IPv4 Internet。該公司訪問IPv4 Internet使用的IPv4地址為10.1.1.1、10.1.1.2和10.1.1.3。
為滿足上述需求,本例中實現方式如下:
· 使用NAT64前綴與IPv4網絡中的主機地址組合成為IPv6地址,此IPv6地址將與IPv4 Internet內的主機建立相應的映射關係,IPv6網絡中的主機訪問該IPv6地址即可實現對IPv4 Internet的訪問。報文到達Device後,設備將根據NAT64前綴將該目的IPv6地址轉換為對應的IPv4地址。
· 使用IPv6到IPv4源地址動態轉換策略將IPv6網絡到IPv4網絡報文的源地址轉換為IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
圖1-7 IPv6網絡訪問IPv4 Internet配置組網圖
# 按照組網圖配置各接口的IP地址,具體配置過程略。
# 配置2013::/96網段到NAT64前綴2012::/96的路由,使訪問IPv4 網絡的報文經Device進行地址轉換,具體配置過程略。
# 配置地址組0包含三個IPv4地址10.1.1.1、10.1.1.2和10.1.1.3。
<Device> system-view
[Device] aft address-group 0
[Device-aft-address-group-0] address 10.1.1.1 10.1.1.3
[Device-aft-address-group-0] quit
# 配置IPv6 ACL 2000,該ACL用來匹配源IPv6地址屬於2013::/96網段的報文。
[Device] acl ipv6 basic 2000
[Device-acl-ipv6-basic-2000] rule permit source 2013:: 96
[Device-acl-ipv6-basic-2000] rule deny
[Device-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址動態轉換策略,將匹配ACL 2000的IPv6報文源地址轉換為地址組0中的地址,即將2013::/96網段內主機所發送報文的源IPv6地址轉換為IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
[Device] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 配置NAT64前綴為2012::/96,報文的目的地址根據該NAT64前綴轉換為IPv4地址。
[Device] aft prefix-nat64 2012:: 96
# 在IPv6側接口GigabitEthernet1/0/1開啟AFT功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
# 在IPv4側接口GigabitEthernet1/0/2開啟AFT功能。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,檢查IPv6 Host與IPv4 Server的連通性。以IPv6 host A ping IPv4 server A為例:
D:\>ping 2012::20.1.1.1
Pinging 2012::20.1.1.1 with 32 bytes of data:
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
# 通過查看AFT會話,可以看到創建了一個IPv6會話和IPv4會話,分別對應轉換前和轉換後的報文。
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013::100/0
Destination IP/port: 2012::1401:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 2012::1401:0101/0
Destination IP/port: 2013::100/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
State: ICMPV6_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
State: ICMP_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
某公司將網絡升級到了IPv6,此時Internet仍然是IPv4網絡。該公司希望內部的FTP服務器能夠繼續為IPv4 Internet的用戶提供服務。該公司擁有的IPv4地址為10.1.1.1。
為滿足上述要求,本例實現方式如下:
· 使用IPv6側服務器配置將IPv6內部服務器的地址及端口映射為IPv4地址及端口,Device收到來自IPv4 Internet的報文後,根據該配置策略將報文IPv4目的地址轉換為IPv6地址;
· 使用NAT64前綴將報文源IPv4地址轉換為IPv6地址。
圖1-8 IPv4 Internet訪問IPv6網絡內部服務器配置組網圖
# 按照組網圖配置各接口的IP地址,具體配置過程略。
# 配置20.1.1.1/24網段到IP地址10.1.1.1的路由,使訪問IPv6側服務器 的報文經Device進行地址轉換,具體配置過程略。
# 配置IPv6側服務器對應的IPv4地址及端口號。IPv4網絡內用戶通過訪問該IPv4地址及端口即可訪問IPv6服務器。
<Device> system-view
[Device] aft v6server protocol tcp 10.1.1.1 21 2013::102 21
# 報文的源地址將根據配置的NAT64前綴轉換為IPv6地址。
[Device] aft prefix-nat64 2012:: 96
# 在IPv4側接口GigabitEthernet1/0/1開啟AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
# 在IPv6側接口GigabitEthernet1/0/2開啟AFT。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,IPv4 Host可以通過FTP協議訪問IPv6 FTP Server。
# 通過查看AFT會話,可以看到創建了一個IPv4會話和IPv6會話,分別對應轉換前和轉換後的報文。
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/11025
Destination IP/port: 10.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 10.1.1.1/21
Destination IP/port: 20.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::1401:0101/1029
Destination IP/port: 2013::102/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 2013::102/21
Destination IP/port: 2012::1401:0101/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
某公司內部同時部署了IPv4網絡和IPv6網絡,並且希望IPv4網絡和IPv6網絡能夠互相訪問。
為滿足上述需求,本例中使用如下方式實現:
· 為IPv6網絡分配一個IVI前綴和IPv4網段,IPv6網絡中所有IPv6主機的地址均配置為由IVI前綴和IPv4網段中地址組合而成的IPv6地址。
· 為IPv4網絡分配一個NAT64前綴,IPv4網絡主動訪問IPv6網絡時,IPv4源地址使用NAT64前綴轉換為IPv6地址;IPv6網絡主動訪問IPv4網絡時,目的地址使用NAT64前綴和IPv4地址組合成的IPv6地址。
圖1-9 IPv4網絡和IPv6網絡互訪配置組網圖
# 按照組網圖配置各接口的IP地址,其中IPv6網絡中的主機使用的IPv6地址根據IVI前綴2013::/32和20.1.1.0/24組合而成。具體配置過程略。
# 配置10.1.1.1/24網段到20.1.1.0/24網段的路由,使訪問IPv6網絡 的報文經Device進行地址轉換;配置IPv6網絡到NAT64前綴2012::/96的路由,使訪問IPv4網絡的報文經Device進行地址轉換。具體配置過程略。
# 配置ACL 2000用來過濾需要訪問IPv6網絡的用戶,同時匹配該ACL 2000的報文的目的地址將會根據配置的IVI前綴轉換為IPv6地址。此處所有IPv4網絡用戶均需要訪問IPv6網絡。
<Device> system-view
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit
[Device-acl-ipv4-basic-2000] quit
# 配置NAT64前綴,用於進行IPv4到IPv6的源地址轉換和IPv6到IPv4的目的地址轉換。
[Device] aft prefix-nat64 2012:: 96
# 配置IVI前綴,用於進行IPv6到IPv4源地址轉換,且在IPv4到IPv6動態目的地址轉換策略中引用該前綴。
[Device] aft prefix-ivi 2013::
# 配置IPv4到IPv6動態目的地址轉換策略,IPv4到IPv6報文的目的IPv4地址轉換為IPv6地址。
[Device] aft v4tov6 destination acl number 2000 prefix-ivi 2013::
# 在IPv4側接口GigabitEthernet1/0/1開啟AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
# 在IPv6側接口GigabitEthernet1/0/2開啟AFT。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,IPv4 host與IPv6 host可以互通。以IPv6 host A ping IPv4 host A為例:
D:\>ping 2012::a01:0101
Pinging 2012::a01:0101 with 32 bytes of data:
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
# 通過查看AFT會話,可以看到創建了一個IPv6會話和IPv4會話,分別對應轉換前和轉換後的報文。顯示內容如下:
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0a01:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Responder:
Source IP/port: 2012::0a01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
State: ICMPV6_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Responder:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
State: ICMP_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
Internet已經升級到了IPv6,但是某公司內部網絡仍然是IPv4網絡。而該公司內部網絡的10.1.1.0/24網段的用戶仍需要訪問IPv6 Internet中的服務器,其他用戶不能訪問。
為滿足上述要求,本例中使用如下方式實現:
· 使用IPv4到IPv6源地址動態地址轉換策略,將IPv4報文的源地址轉換為IPv6地址。
· 通過IPv6到IPv4的源地址靜態轉換策略為IPv6 Internet上服務器的IPv6地址指定一個對應的IPv4地址,Device收到發往該IPv4地址的報文時將其轉換為對應的IPv6地址。
圖1-10 IPv4網絡訪問IPv6 Internet中的服務器配置組網圖
# 按照組網圖配置各接口的IP地址,具體配置過程略。
# 配置10.1.1.1/24網段到IP地址20.1.1.1的路由,使訪問IPv6側服務器 的報文經Device進行地址轉換,具體配置過程略。
# 配置ACL 2000,僅允許IPv4網絡中10.1.1.0/24網段的用戶可以訪問IPv6 Internet。
<Device> system-view
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] rule deny
[Device-acl-ipv4-basic-2000] quit
# 配置NAT64前綴,此前綴將在IPv4到IPv6源地址動態轉換策略中被調用,將報文的源地址轉換為IPv6地址。
[Device] aft prefix-nat64 2012:: 96
# 配置IPv4到IPv6源地址動態轉換策略,將匹配ACL 2000報文的源地址根據NAT64前綴轉換為IPv6地址。
[Device] aft v4tov6 source acl number 2000 prefix-nat64 2012:: 96
# 配置IPv6到IPv4的源地址靜態轉換策略,用於將報文的目的地址轉換為IPv6地址。
[Device] aft v6tov4 source 2013:0:ff14:0101:100:: 20.1.1.1
# 在IPv4側接口GigabitEthernet1/0/1開啟AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
# 在IPv6側接口GigabitEthernet1/0/2開啟AFT。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,檢查IPv4 host與IPv6 server的連通性。以IPv4 host A ping IPv6 server為例:
D:\>ping 20.1.1.1
Pinging 20.1.1.1 with 32 bytes of data:
Reply from 20.1.1.1: bytes=32 time=14ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
# 通過查看AFT會話,可以看到創建了一個IPv4會話和IPv6會話,分別對應轉換前和轉換後的報文。
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
State: ICMP_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::0A01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0A01:0101/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
State: ICMPV6_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
Internet已經升級到了IPv6,但是某公司內部網絡仍然是IPv4網絡。而該公司仍希望為IPv6 Internet內的用戶提供FTP服務。該公司訪問IPv6 Internet使用的IPv6地址為2012::1。
為滿足上述要求,實現方式如下:
· 通過IPv4到IPv6源地址靜態轉換策略,為IPv4網絡中的FTP服務器地址指定一個對應的IPv6地址,IPv6 Internet中的主機通過訪問該IPv6地址可以訪問IPv4網絡中的FTP服務器。Device收到發往該IPv6地址的報文時將其目的地址轉換為對應的IPv4地址。
· 通過IPv6到IPv4源地址動態轉換策略,將IPv6 Internet發送過來的IPv6報文源地址轉換為IPv4地址30.1.1.1和30.1.1.2。
圖1-11 IPv6 Internet訪問IPv4網絡配置組網圖
# 按照組網圖配置各接口的IP地址,具體配置過程略。
# 配置IPv6 Host網段到IPv6地址2012::1的路由,使訪問IPv4 側服務器的報文經Device進行地址轉換,具體配置過程略。
# 配置IPv4到IPv6源地址靜態轉換策略,手動指定IPv4與IPv6地址一一對應的轉換關係,此策略可將報文的目的地址轉換為對應的IPv4地址。
<Device> system-view
[Device] aft v4tov6 source 20.1.1.1 2012::1
# 配置地址組0包含2個IPv4地址:30.1.1.1和30.1.1.2。
[Device] aft address-group 0
[Device-aft-address-group-0] address 30.1.1.1 30.1.1.2
[Device-aft-address-group-0] quit
# 配置IPv6 ACL 2000,匹配IPv6網絡到IPv4網絡的報文。此處允許所有IPv6網絡內主機訪問IPv4 FTP Server。
[Device] acl ipv6 basic 2000
[Device-acl-ipv6-basic-2000] rule permit
[Device-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址動態轉換策略,將匹配ACL 2000的IPv6報文源地址轉換為地址組0中的IPv4地址30.1.1.2或30.1.1.3。
[Device] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 在IPv6側接口GigabitEthernet1/0/1開啟AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
# 在IPv4側接口GigabitEthernet1/0/2開啟AFT。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,檢查IPv6 host與IPv4 FTP server的連通性。以IPv6 host A ping IPv4 FTP server為例:
D:\>ping 2012::1
Pinging 2012::1 with 32 bytes of data:
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
# 通過查看AFT會話,可以看到創建了一個IPv6會話和IPv4會話,分別對應轉換前和轉換後的報文。
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF0A:0101:0100::/1029
Destination IP/port: 2012::1/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 2012::1/21
Destination IP/port: 2013:0:FF0A:0101:0100::/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 30.1.1.1/11025
Destination IP/port: 20.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 20.1.1.1/21
Destination IP/port: 30.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
