- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-NAT66配置
本章節下載: 03-NAT66配置 (212.34 KB)
NPTv6(IPv6-to-IPv6 Network Prefix Translation,IPv6-to-IPv6網絡前綴轉換)是基於IPv6網絡的地址轉換技術,用於將IPv6報文中的IPv6地址前綴轉換為另一個IPv6地址前綴。我們將這種地址轉換方式稱為NAT66。支持NAT66功能的設備稱為NAT66設備,可提供NAT66源地址轉換功能和目的地址轉換功能。
NAT66源地址轉換功能主要應用在如下場景中:
· 單個內部網絡和外部網絡。使用NAT66設備連接單個內部網絡和公網,內部網絡中的主機使用僅支持在本地範圍內路由的IPv6地址前綴。當內部網絡中的主機訪問外部網絡時,報文中的源IPv6地址前綴將被NAT66設備轉換為全球單播IPv6地址前綴。
· 冗餘和負載分擔。一個IPv6網絡去往另外一個IPv6網絡的邊緣位置存在多個NAT66設備,通過NAT66設備去往另一個IPv6網絡的路徑形成了等價路由,流量可以在這些NAT66設備上進行負載分擔。這種情況下,可以在這些NAT66設備上配置相同的源地址轉換規則,使得任意一台NAT66設備都可以處理不同站點間的IPv6流量。
· 多宿主。在多宿主的網絡環境中,NAT66設備連接一個內部網絡,同時連接到不同的外部網絡。可以在NAT66設備的各個外網側接口上配置地址轉換,將同一個內網地址轉換成不同的外網地址,實現同一個內部地址到多個外部地址的映射。
NAT66目的地址轉換功能用於內網中的服務器對外部網絡提供服務的場景中,例如給外部網絡提供Web服務,或是FTP服務。通過在NAT66設備外網側接口上配置內部服務器地址和外網地址的映射關係,外部網絡用戶能夠通過指定的外網地址來訪問內網服務器。
ALG(Application Level Gateway,應用層網關)主要完成對應用層報文的解析和處理。通常情況下,NAT66隻對報文頭中的IPv6地址和端口信息進行轉換,不對應用層數據載荷中的字段進行分析和處理。然而對於一些應用層協議,它們的報文的數據載荷中可能包含IPv6地址或端口信息,這些載荷信息也必須進行有效的轉換,否則可能導致功能不正常。
例如,FTP(File Transfer Protocol,文件傳輸協議)應用由FTP客戶端與FTP服務器之間建立的數據連接和控製連接共同實現,而數據連接使用的地址和端口由控製連接協商報文中的載荷信息決定,這就需要ALG利用NAT的相關轉換配置完成載荷信息的轉換,以保證後續數據連接的正確建立。
目前,NAT66支持對FTP報文和ICMP差錯報文進行ALG處理。
在同一個接口下,一個內網地址前綴和一個外網地址前綴必須是一對一的唯一映射關係。
不同接口下,不同的內網地址前綴不能映射到同一個外網地址前綴。
使用不進行端口轉換的源地址轉換方式時,需要保證轉換前後的源IPv6地址前綴長度一致。
轉換後的源IPv6地址前綴不能與NAT66設備的外網地址前綴以及目的外網地址前綴相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv6源地址轉換的前綴映射關係。
nat66 prefix source original-ipv6-prefix prefix-length translated-ipv6-prefix prefix-length [ pat ]
缺省情況下,未配置IPv6源地址轉換前綴映射關係。
在同一個接口下,一個內網地址前綴和一個外網地址前綴必須是一對一的唯一映射關係。
不同接口下,同一個外網地址前綴不能映射為不同的內網地址前綴。
內部服務器向外提供服務時對外公布的外網IPv6地址前綴不能與NAT66設備的外網地址前綴以及訪問內部服務器的外網主機地址前綴相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv6目的地址轉換的前綴映射關係。
nat66 prefix destination original-ipv6-prefix prefix-length [ protocol pro-type [ global-port ] ] translated-ipv6-prefix prefix-length [ local-port ]
缺省情況下,未配置IPv6目的地址轉換的前綴映射關係。
可在任意視圖下執行以下命令:
· 顯示所有的NAT66配置信息。
display nat66 all
· 顯示NAT66會話,即經過NAT66地址轉換處理的會話。
display nat66 session [ slot slot-number ] [ verbose ]
· 顯示NAT66統計信息。
display nat66 statistics [ summary ] [ slot slot-number ]
請在用戶視圖下執行以下命令,刪除NAT66會話。
reset nat66 session [ slot slot-number ]
某公司為了隱藏內部網絡,為用戶分配的IPv6地址的前綴為FD01:0203:0405::/48,使用該地址前綴的IPv6地址為唯一本地地址,不可在互聯網上路由。為了使內網網絡用戶能夠訪問互聯網上的FTP服務器,將內網用戶使用的IPv6地址前綴轉換為2001:0DF8:0001::/48。
圖1-1 IPv6內網用戶通過轉換後的地址前綴訪問外網配置組網圖
# 配置接口IPv6地址、路由、安全域及安全策略保證網絡可達,具體配置步驟略。
# 配置IPv6源地址轉換的前綴映射關係,將IPv6地址前綴FD01:0203:0405::/48轉換為2001:0DF8:0001::/48。
<Device> system-view
[Device] interface gigabitethernet 0/0/2
[Device-GigabitEthernet0/0/2] nat66 prefix source fd01:0203:0405:: 48 2001:0df8:0001:: 48
[Device-GigabitEthernet0/0/2] quit
# 以上配置完成後,內網主機能夠訪問FTP server。通過查看如下顯示信息,可以驗證以上配置成功。
[Device] display nat66 all
NAT66 source information:
Totally 1 source rules.
Interface(outbound): GigabitEthernet0/0/2
Original prefix/prefix-length: FD01:203:405::/48
Translated prefix/prefix-length: 2001:DF8:1::/48
# 通過以下顯示命令,可以看到內部主機訪問外部FTP server時生成NAT66會話信息。
<Device> display nat66 session verbose
Slot 1:
Initiator:
Source IP/port: FD01:203:405::1/56002
Destination IP/port: 2001:DC8:1::100/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet0/0/1
Source security zone: Trust
Responder:
Source IP/port: 2001:DC8:1::100/21
Destination IP/port: 2001:DF8:1:D50F::1/56002
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet0/0/2
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: FTP
Rule ID: 1
Rule name: 1
Start time: 2018-12-06 14:48:31 TTL: 3597s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
某公司內部對外提供FTP服務。公司內部使用的IPv6地址前綴為FD01:0203:0405::/48。其中,內部FTP服務器地址為FD01:0203:0405::100/48。需要實現如下功能:
· 外部的主機可以訪問內部的FTP服務器。
· 使用2001:AB01:0001::1作為公司對外提供服務的IPv6地址。
圖1-2 IPv6外網用戶通過轉換後的地址前綴訪問內網服務器配置組網圖
# 配置接口IPv6地址、路由、安全域及安全策略保證網絡可達,具體配置步驟略。
# 配置IPv6目的地址轉換的前綴映射關係,將IPv6地址前綴2001:AB01:0001::1/128轉換為FD01:0203:0405::100/128。
<Device> system-view
[Device] interface gigabitethernet 0/0/2
[Device-GigabitEthernet0/0/2] nat66 prefix destination 2001:ab01:1::1 128 fd01:203:405::100 128
[Device-GigabitEthernet0/0/2] quit
# 以上配置完成後,外部主機能夠訪問FTP server。通過查看如下顯示信息,可以驗證以上配置成功。
[Device] display nat66 all
NAT66 destination information:
Totally 1 destination rules.
Interface(inbound): GigabitEthernet0/0/2
Original prefix/prefix-length: 2001:AB01:1::1/128
Translated prefix/prefix-length: FD01:203:405::100/128
# 通過以下顯示命令,可以看到外部主機訪問內部FTP server時生成NAT會話信息。
[Device] display nat66 session verbose
Slot 1:
Initiator:
Source IP/port: 2001:DC8:1::100/9025
Destination IP/port: 2001:AB01:1::1/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet0/0/2
Source security zone: Untrust
Responder:
Source IP/port: FD01:203:405::100/21
Destination IP/port: 2001:DC8:1::100/9025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet0/0/1
Source security zone: Trust
State: TCP_ESTABLISHED
Application: FTP
Rule ID: 1
Rule name: 1
Start time: 2018-12-06 14:56:03 TTL: 3579s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
