- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-NAT66配置
本章節下載: 06-NAT66配置 (235.77 KB)
NPTv6(IPv6-to-IPv6 Network Prefix Translation,IPv6-to-IPv6網絡前綴轉換)是基於IPv6網絡的地址轉換技術,用於將IPv6報文中的IPv6地址前綴轉換為另一個IPv6地址前綴。這種地址轉換方式被稱為NAT66。支持NAT66功能的設備稱為NAT66設備,可提供NAT66源地址轉換功能和目的地址轉換功能。
NAT66源地址轉換功能主要應用在如下場景中:
· 單個內部網絡和外部網絡。使用NAT66設備連接單個內部網絡和公網,內部網絡中的主機使用僅支持在本地範圍內路由的IPv6地址前綴。當內部網絡中的主機訪問外部網絡時,報文中的源IPv6地址前綴將被NAT66設備轉換為全球單播IPv6地址前綴。
· 冗餘和負載分擔。一個IPv6網絡去往另外一個IPv6網絡的邊緣位置存在多個NAT66設備,通過NAT66設備去往另一個IPv6網絡的路徑形成了等價路由,流量可以在這些NAT66設備上進行負載分擔。這種情況下,可以在這些NAT66設備上配置相同的源地址轉換規則,使得任意一台NAT66設備都可以處理不同站點間的IPv6流量。
· 多宿主。在多宿主的網絡環境中,NAT66設備連接一個內部網絡,同時連接到不同的外部網絡。可以在NAT66設備的各個外網側接口上配置地址轉換,將同一個內網地址轉換成不同的外網地址,實現同一個內部地址到多個外部地址的映射。
NAT66目的地址轉換功能用於內網中的服務器對外部網絡提供服務的場景中,例如給外部網絡提供Web服務,或是FTP服務。通過在NAT66設備外網側接口上配置內部服務器地址和外網地址的映射關係,外部網絡用戶能夠通過指定的外網地址來訪問內網服務器。
ALG(Application Level Gateway,應用層網關)主要完成對應用層報文的解析和處理。通常情況下,NAT66隻對報文頭中的IPv6地址和端口信息進行轉換,不對應用層數據載荷中的字段進行分析和處理。然而對於一些應用層協議,它們的報文的數據載荷中可能包含IPv6地址或端口信息,這些載荷信息也必須進行有效的轉換,否則可能導致功能不正常。
例如,FTP(File Transfer Protocol,文件傳輸協議)應用由FTP客戶端與FTP服務器之間建立的數據連接和控製連接共同實現,而數據連接使用的地址和端口由控製連接協商報文中的載荷信息決定,這就需要ALG利用NAT的相關轉換配置完成載荷信息的轉換,以保證後續數據連接的正確建立。
目前,NAT66支持對FTP報文和ICMP差錯報文進行ALG處理。
在同一個接口下,公網或同一VPN內一個內網地址前綴和一個外網地址前綴必須是一對一的唯一映射關係。即:
· 在同一個接口下,已經存在IPv6源地址轉換的前綴映射關係配置的情況下,如果嚐試下發新的IPv6源地址轉換的前綴映射關係配置,並且該配置中original-ipv6-prefix original-prefix-length和translated-ipv6-prefix translated-prefix-length與現有配置相同,但其他參數不同(如vpn-instance或pat),則不允許該配置下發。
· 在同一個接口下,如需修改已經存在的IPv6源地址轉換的前綴映射關係配置中original-ipv6-prefix original-prefix-length和translated-ipv6-prefix translated-prefix-length外的其他參數,請先通過undo nat66 prefix source命令刪除已經存在的轉換關係的配置,再執行nat66 prefix source命令。
不同接口下,公網或同一VPN內不同的內網地址前綴不能映射到同一個外網地址前綴。
使用不進行端口轉換的源地址轉換方式時,需要保證轉換前後的源IPv6地址前綴長度一致。
轉換後的源IPv6地址前綴不能與NAT66設備的外網地址前綴以及目的外網地址前綴相同。
可以使用全局NAT策略實現IPv6源地址的前綴映射。關於全局NAT策略實現IPv6源地址前綴映射的詳細介紹,請參見“三層技術-IP業務配置指導”中的“配置NAT”。
不支持對AH和ESP協議的報文進行NAT66源地址轉換。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv6源地址轉換的前綴映射關係。
nat66 prefix source original-ipv6-prefix original-prefix-length [ vpn-instance original-vpn-instance-name ] translated-ipv6-prefix translated-prefix-length [ vpn-instance translated-vpn-instance-name ] [ pat ]
缺省情況下,未配置IPv6源地址轉換前綴映射關係。
Easy IP NAT66允許設備在進行地址轉換時,使用其出接口上的IPv6地址作為地址轉換後的IPv6地址。同時還會轉換私網側報文的源端口號。
在接口的IP地址是動態分配的情況下,Easy IP NAT66也能夠正常工作。例如,當設備通過撥號方式接入網絡並動態獲取其公網IPv6地址時,如果用戶隻希望使用動態獲取的公網IPv6地址進行地址轉換,則可以采用Easy IP NAT66的方法。通過這種方式,即便出口接口的公網IPv6地址發生了變動,設備依然能根據最新的地址進行有效的地址轉換。
nat66 source easy-ip命令用在NAT66設備的外網側接口上,配置時需注意:
· 接口下存在多個IPv6地址時,Easy IP NAT66會自動比較報文下一跳的IPv6地址與該接口上所有IPv6地址的匹配程度,然後通過最長前綴匹配原則選擇一個IPv6地址,並將此地址作為轉換後的源IPv6地址。
· 接口下不存在IPv6地址時,設備會丟棄經過該接口的報文。
· 如果Easy IP NAT66轉換配置關聯的ACL規則未生效,則Easy IP NAT66轉換配置不生效。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置Easy IP方式的IPv6源地址轉換。
nat66 source [ acl { ipv6-acl-number | name ipv6-acl-name } ] easy-ip
缺省情況下,未配置Easy IP方式的IPv6源地址轉換。
在同一個接口下,公網或同一VPN內一個內網地址前綴和一個外網地址前綴必須是一對一的唯一映射關係。即:
· 在同一個接口下,已經存在IPv6目的地址轉換的前綴映射關係配置的情況下,如果嚐試下發新的IPv6目的地址轉換的前綴映射關係配置,並且該配置中original-ipv6-prefix original-prefix-length和translated-ipv6-prefix translated-prefix-length與現有配置相同,但其他參數不同(如protocol或vpn-instance),則不允許該配置下發。
· 在同一個接口下,如需修改已經存在的IPv6目的地址轉換的前綴映射關係配置中original-ipv6-prefix original-prefix-length和translated-ipv6-prefix translated-prefix-length外的其他參數,請先通過undo nat66 prefix destination命令刪除已經存在的轉換關係的配置,再執行nat66 prefix destination命令。
不同接口下,公網或同一VPN內同一個外網地址前綴不能映射為不同的內網地址前綴。
內部服務器向外提供服務時對外公布的外網IPv6地址前綴不能與NAT66設備的外網地址前綴以及訪問內部服務器的外網主機地址前綴相同。
可以使用全局NAT策略實現IPv6目的地址的前綴映射。關於全局NAT策略實現IPv6目的地址前綴映射的詳細介紹,請參見“三層技術-IP業務配置指導”中的“配置NAT”。
不支持對AH和ESP協議的報文進行NAT66目的地址轉換。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置IPv6目的地址轉換的前綴映射關係。
nat66 prefix destination [ protocol pro-type ] original-ipv6-prefix original-prefix-length [ global-port ] [ vpn-instance original-vpn-instance-name ] translated-ipv6-prefix translated-prefix-length [ local-port ] [ vpn-instance translated-vpn-instance-name ]
缺省情況下,未配置IPv6目的地址轉換的前綴映射關係。
表1-1 NAT66顯示和維護
|
操作 |
命令 |
|
顯示所有的NAT66配置信息 |
display nat66 all |
|
顯示NAT66會話,即經過NAT66地址轉換處理的會話 |
(獨立運行模式) display nat66 session [ slot slot-number ] [ verbose ] (IRF模式) display nat66 session [ chassis chassis-number slot slot-number ] [ verbose ] |
|
顯示NAT66統計信息 |
(獨立運行模式) display nat66 statistics [ summary ] [ slot slot-number ] (IRF模式) display nat66 statistics [ summary ] [ chassis chassis-number slot slot-number ] |
|
刪除NAT66會話 |
(獨立運行模式) reset nat66 session [ slot slot-number ] (IRF模式) reset nat66 session [ chassis chassis-number slot slot-number ] |
某公司為了隱藏內部網絡,為用戶分配的IPv6地址的前綴為FD01:0203:0405::/48,使用該地址前綴的IPv6地址為唯一本地地址,不可在互聯網上路由。為了使內網網絡用戶能夠訪問互聯網上的FTP服務器,將內網用戶使用的IPv6地址前綴轉換為2001:0DF8:0001::/48。
圖1-1 IPv6內網用戶通過轉換後的地址前綴訪問外網配置組網圖
# 配置接口IPv6地址、路由保證網絡可達,具體配置步驟略。
# 配置IPv6源地址轉換的前綴映射關係,將IPv6地址前綴FD01:0203:0405::/48轉換為2001:0DF8:0001::/48。
<Device> system-view
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat66 prefix source fd01:0203:0405:: 48 2001:0df8:0001:: 48
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,內網主機能夠訪問FTP server。通過查看如下顯示信息,可以驗證以上配置成功。
[Device] display nat66 all
NAT66 source information:
Totally 1 source rules.
Interface(outbound): GigabitEthernet1/0/2
Original prefix/prefix-length: FD01:203:405::/48
Translated prefix/prefix-length: 2001:DF8:1::/48
# 通過以下顯示命令,可以看到內部主機訪問外部FTP server時生成NAT66會話信息。
<Device> display nat66 session verbose
Slot 1:
Initiator:
Source IP/port: FD01:203:405::1/56002
Destination IP/port: 2001:DC8:1::100/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 2001:DC8:1::100/21
Destination IP/port: 2001:DF8:1:D50F::1/56002
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
State: TCP_ESTABLISHED
Application: FTP
Rule ID: 1
Rule name: 1
Start time: 2018-12-06 14:48:31 TTL: 3597s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
某公司內部對外提供FTP服務。公司內部使用的IPv6地址前綴為FD01:0203:0405::/48。其中,內部FTP服務器地址為FD01:0203:0405::100/48。需要實現如下功能:
· 外部的主機可以訪問內部的FTP服務器。
· 使用2001:AB01:0001::1作為公司對外提供服務的IPv6地址。
圖1-2 IPv6外網用戶通過轉換後的地址前綴訪問內網服務器配置組網圖
# 配置接口IPv6地址、路由保證網絡可達,具體配置步驟略。
# 配置IPv6目的地址轉換的前綴映射關係,將IPv6地址前綴2001:AB01:0001::1/128轉換為FD01:0203:0405::100/128。
<Device> system-view
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat66 prefix destination 2001:ab01:1::1 128 fd01:203:405::100 128
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,外部主機能夠訪問FTP server。通過查看如下顯示信息,可以驗證以上配置成功。
[Device] display nat66 all
NAT66 destination information:
Totally 1 destination rules.
Interface(inbound): GigabitEthernet1/0/2
Original prefix/prefix-length: 2001:AB01:1::1/128
Translated prefix/prefix-length: FD01:203:405::100/128
# 通過以下顯示命令,可以看到外部主機訪問內部FTP server時生成NAT會話信息。
[Device] display nat66 session verbose
Slot 1:
Initiator:
Source IP/port: 2001:DC8:1::100/9025
Destination IP/port: 2001:AB01:1::1/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Responder:
Source IP/port: FD01:203:405::100/21
Destination IP/port: 2001:DC8:1::100/9025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
State: TCP_ESTABLISHED
Application: FTP
Rule ID: 1
Rule name: 1
Start time: 2018-12-06 14:56:03 TTL: 3579s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
