- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-AFT配置
本章節下載: 17-AFT配置 (507.55 KB)
1.9.6 配置IPv6到IPv4端口塊方式的靜態AFT源地址轉換策略
1.10.4 配置引用IVI前綴或General前綴的IPv4到IPv6目的地址轉換策略
1.11.3 配置引用NAT64前綴或General前綴的IPv4到IPv6源地址轉換策略
1.13 配置AFT轉換後IPv6報文的Traffic Class字段值
1.15.2 配置IRF雙機熱備場景下的AFT端口負載分擔功能
1.15.3 配置HA+VRRP場景中AFT與VRRP備份組綁定
1.18.1 IPv6網絡訪問IPv4 Internet配置舉例
1.18.2 IPv4 Internet訪問IPv6網絡內部服務器配置舉例
1.18.4 IPv4網絡訪問IPv6 Internet中的服務器配置舉例
1.18.5 IPv6 Internet訪問IPv4網絡配置舉例
AFT(Address Family Translation,地址族轉換)提供了IPv4和IPv6地址之間的相互轉換功能。在IPv4網絡完全過渡到IPv6網絡之前,兩個網絡之間直接的通信可以通過AFT來實現。例如,使用AFT可以使IPv4網絡中的主機直接訪問IPv6網絡中的FTP服務器。
如圖1-1所示,AFT作用於IPv4和IPv6網絡邊緣設備上,所有的地址轉換過程都在該設備上實現,對IPv4和IPv6網絡內的用戶來說是透明的,即用戶不必改變目前網絡中主機的配置就可實現IPv6網絡與IPv4網絡的通信。
圖1-1 AFT應用場景
AFT的地址轉換分為靜態轉換、動態轉換、前綴轉換及IPv6內部服務器方式。
靜態轉換方式是指采用手工配置的IPv6地址與IPv4地址的一一對應關係來實現IPv6地址與IPv4地址的轉換。靜態轉換方式包括IPv4到IPv6源地址靜態轉換策略和IPv6到IPv4源地址靜態轉換策略。
IPv4到IPv6源地址靜態轉換策略可用於如下地址轉換場景:
· 對於從IPv4側發起的訪問,當報文的源IPv4地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv4地址時,AFT將報文的源IPv4地址轉換為IPv6地址。
· 對於從IPv6側發起的訪問,當報文的目的IPv6地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv6地址時,AFT將報文的目的IPv6地址轉換為IPv4地址。
IPv6到IPv4源地址靜態轉換策略可用於如下地址轉換場景:
· 對於從IPv6側發起的訪問,當報文的源IPv6地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv6地址時,AFT將報文的源IPv6地址轉換為IPv4地址。
· 對於從IPv4側發起的訪問,當報文的目的IPv4地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv4地址時,AFT將報文的目的IPv4地址轉換為IPv6地址。
動態轉換方式是指動態地創建IPv6地址與IPv4地址的對應關係來實現IPv6地址與IPv4地址的轉換。和靜態轉換方式不同,動態轉換方式中IPv6和IPv4地址之間不存在固定的一一對應關係。
將IPv6報文的源IPv6地址轉換為IPv4地址時,動態轉換方式分為NO-PAT和PAT兩種模式。
NO-PAT(Not Port Address Translation,非端口地址轉換)模式下,一個IPv4地址同一時間隻能對應一個IPv6地址進行轉換,不能同時被多個IPv6地址共用。當使用某IPv4地址的IPv6網絡用戶停止訪問IPv4網絡時,AFT會將其占用的IPv4地址釋放並分配給其他IPv6網絡用戶使用。
該模式下,AFT設備隻對報文的IP地址進行AFT轉換,同時會建立一個NO-PAT表項用於記錄IPv6地址和IPv4地址的映射關係,並不涉及端口轉換,可支持所有IP協議的報文。
PAT(Port Address Translation,端口地址轉換)模式下,一個IPv4地址可以同時被多個IPv6地址共用。該模式下,AFT設備需要對報文的IP地址和傳輸層端口同時進行轉換,且隻支持TCP、UDP和ICMPv6(Internet Control Message Protocol for IPv6,IPv6互聯網控製消息協議)查詢報文。
PAT模式的動態轉換策略支持對端口塊大小進行限製,從而達到限製轉換和溯源的目的。可劃分的端口號範圍為1024~65535,剩餘不足劃分的部分則不會進行分配。IPv6主機首次發起連接時,為該地址分配一個用於轉換的IPv4地址,以及該IPv4地址的一個端口塊。後續從該IPv6主機發起的連接都使用這個IPv4地址和端口塊裏麵的端口進行轉換,直到端口塊裏麵的端口用盡。
前綴轉換包括NAT64前綴轉換、IVI前綴轉換和General前綴轉換。
NAT64前綴是長度為32、40、48、56、64或96位的IPv6地址前綴,用來構造IPv4節點在IPv6網絡中的地址,以便IPv4主機與IPv6主機通信。網絡中並不存在帶有NAT64前綴的IPv6地址的主機。
如圖1-2所示,NAT64前綴長度不同時,地址轉換方法有所不同。其中,NAT64前綴長度為32、64和96位時,IPv4地址作為一個整體添加到IPv6地址中;NAT64前綴長度為40、48和56位時,IPv4地址被拆分成兩部分,分別添加到64~71位的前後。64~71位為保留位,必須設置為0。
圖1-2 對應IPv4地址帶有NAT64前綴的IPv6地址格式
AFT構造IPv4節點在IPv6網絡中的地址示例如表1-1所示。
表1-1 IPv4地址帶有NAT64前綴的IPv6地址示例
|
IPv6前綴 |
IPv4地址 |
嵌入IPv4地址的IPv6地址 |
|
2001:db8::/32 |
192.0.2.33 |
2001:db8:c000:221:: |
|
2001:db8:100::/40 |
192.0.2.33 |
2001:db8:1c0:2:21:: |
|
2001:db8:122::/48 |
192.0.2.33 |
2001:db8:122:c000:2:2100:: |
|
2001:db8:122:300::/56 |
192.0.2.33 |
2001:db8:122:3c0:0:221:: |
|
2001:db8:122:344::/64 |
192.0.2.33 |
2001:db8:122:344:c0:2:2100:: |
|
2001:db8:122:344::/96 |
192.0.2.33 |
2001:db8:122:344::192.0.2.33 |
IPv4側發起訪問時,AFT利用NAT64前綴將報文的源IPv4地址轉換為IPv6地址;IPv6側發起訪問時,AFT利用NAT64前綴將報文的目的IPv6地址轉換為IPv4地址。
IVI前綴是長度為32位的IPv6地址前綴。IVI地址是IPv6主機實際使用的IPv6地址,這個IPv6地址中內嵌了一個IPv4地址,可以用於與IPv4主機通信。由IVI前綴構成的IVI地址格式如圖1-3所示。
圖1-3 IVI地址格式
從IPv6側發起訪問時,AFT可以使用IVI前綴將報文的源IPv6地址轉換為IPv4地址。
General前綴與NAT64前綴類似,都是長度為32、40、48、56、64或96位的IPv6地址前綴,用來構造IPv4節點在IPv6網絡中的地址。如圖1-4所示,General前綴與NAT64前綴的區別在於,General前綴沒有64到71位的8位保留位,IPv4地址作為一個整體添加到IPv6地址中。
圖1-4 對應IPv4地址帶有General前綴的IPv6地址格式
從IPv6側發起訪問時,AFT利用General前綴將報文的源/目的IPv6地址轉換為IPv4地址。需要注意的是,General前綴與NAT64前綴都不能與設備上的接口地址同網段。
IPv6內部服務器是指向IPv4網絡主機提供服務的IPv6網絡中的服務器。通過配置IPv6內部服務器,可以將IPv6服務器的地址和端口映射到IPv4網絡,IPv4網絡中的主機通過訪問映射後的IPv4地址和端口就可以訪問IPv6網絡中的服務器。
在IPv4向IPv6過渡前期,多數服務仍然位於IPv4網絡中,IPv6用戶訪問IPv4側服務器時,通過配置IPv4內部服務器,可以將IPv4服務器的地址和端口映射到IPv6網絡,IPv6網絡中的主機通過映射後的IPv6地址和端口就可以訪問IPv4網絡中的服務器。
端口塊靜態映射是指,AFT設備根據配置自動計算IPv6地址與IPv4地址、端口塊的靜態映射關係,並創建靜態端口塊映射表項。當IPv6側發起連接時,設備通過報文的源IPv6地址匹配的IPv6前綴查找靜態端口塊映射表項,使用表項中記錄的IPv4地址進行地址轉換,並從對應的端口塊中分配一個端口進行TCP/UDP端口轉換。
IPv6側發起訪問和IPv4側發起訪問的報文轉換過程有所不同,下麵將分別介紹。
圖1-5 IPv6側發起訪問的AFT報文轉換過程
如圖1-5所示,IPv6側發起訪問時AFT設備對報文的轉換過程為:
(1) 判斷是否需要進行AFT轉換:AFT設備接收到IPv6網絡主機(IPv6 host)發送給IPv4網絡主機(IPv4 host)的報文後,判斷該報文是否要轉發到IPv4網絡。如果報文的目的IPv6地址能夠匹配到IPv6目的地址轉換策略,則該報文需要轉發到IPv4網絡,需要進行AFT轉換;如果未匹配到任何一種轉換策略,則表示該報文不需要進行AFT轉換。
(2) 轉換報文目的地址:根據IPv6目的地址轉換策略將報文目的IPv6地址轉換為IPv4地址。
(3) 根據目的地址預查路由:根據轉換後的IPv4目的地址查找路由表,確定報文的出接口。如果查找失敗,則丟棄報文。需要注意的是,預查路由時不會查找策略路由。
(4) 轉換報文源地址:根據IPv6源地址轉換策略將報文源IPv6地址轉換為IPv4地址。如果未匹配到任何一種轉換策略,則報文將被丟棄。
(5) 轉發報文並記錄映射關係:報文的源IPv6地址和目的IPv6地址都轉換為IPv4地址後,設備按照正常的轉發流程將報文轉發到IPv4網絡中的主機。同時,將IPv6地址與IPv4地址的映射關係保存在設備中。
(6) 根據記錄的映射關係轉發應答報文:IPv4網絡主機發送給IPv6網絡主機的應答報文到達AFT設備後,設備將根據已保存的映射關係進行相反的轉換,從而將報文發送給IPv6網絡主機。
圖1-6 IPv4側發起訪問的AFT報文轉換過程
如圖1-6所示,IPv4側發起訪問時AFT設備對報文的轉換過程為:
(1) 判斷是否需要進行AFT轉換:AFT設備接收到IPv4網絡主機(IPv4 host)發送給IPv6網絡主機(IPv6 host)的報文後,判斷該報文是否要轉發到IPv6網絡。如果報文的目的IPv4地址能夠匹配到IPv4目的地址轉換策略,則該報文需要轉發到IPv6網絡,需要進行AFT轉換。如果未匹配到任何一種轉換策略,則表示該報文不需要進行AFT地址轉換。
(2) 轉換報文目的地址:根據IPv4目的地址轉換策略將報文目的IPv4地址轉換為IPv6地址。
(3) 根據目的地址預查路由:根據轉換後的IPv6目的地址查找路由表,確定報文的出接口。如果查找失敗,則丟棄報文。需要注意的是,預查路由時不會查找策略路由。
(4) 轉換報文源地址:根據IPv4源地址轉換策略將報文源IPv4地址轉換為IPv6地址。如果未匹配到任何一種轉換策略,則報文將被丟棄。
(5) 轉發報文並記錄映射關係:報文的源IPv4地址和目的IPv4地址都轉換為IPv6地址後,設備按照正常的轉發流程將報文轉發到IPv6網絡中的主機。同時,將IPv4地址與IPv6地址的映射關係保存在設備中。
(6) 根據記錄的映射關係轉發應答報文:IPv6網絡主機發送給IPv4網絡主機的應答報文到達AFT設備後,設備將根據已保存的映射關係進行相反的轉換,從而將報文發送給IPv4網絡主機。
AFT隻對報文頭中的IP地址和端口信息進行轉換,不對應用層數據載荷中的字段進行分析。然而對於一些特殊協議,它們的報文的數據載荷中可能包含IP地址或端口信息。例如,FTP應用由數據連接和控製連接共同完成,而數據連接使用的地址和端口由控製連接報文中的載荷信息決定。這些載荷信息也必須進行有效的轉換,否則可能導致功能問題。ALG(Application Level Gateway,應用層網關)主要完成對應用層報文的處理,利用ALG可以完成載荷信息的轉換。
設備上經過AFT轉換的報文不會再進行NAT轉換。
AFT配置任務如下:
(1) 開啟AFT功能
(2) 配置IPv6側發起的會話的轉換配置
可通過使用本文中的配置任務實現IPv6側發起的會話的轉換,或者使用全局NAT策略實現IPv6側發起的會話的轉換。關於使用全局NAT策略實現此功能的詳細介紹,請參見“三層技術-IP業務配置指導”中的“配置NAT”。
¡ (可選)配置AFT轉換後IPv4報文的ToS字段值
(3) 配置IPv4側發起的會話的轉換配置
可通過使用本文中的配置任務實現IPv4側發起的會話的轉換,或者使用全局NAT策略實現IPv6側發起的會話的轉換。關於使用全局NAT策略實現此功能的詳細介紹,請參見“三層技術-IP業務配置指導”中的“配置NAT”。
¡ (可選)配置AFT轉換後IPv6報文的Traffic Class字段值
(4) (可選)配置AFT ALG
(5) (可選)配置AFT的高可靠性
(6) (可選)開啟AFT日誌功能
隻有在連接IPv4網絡和IPv6網絡的接口上都開啟AFT功能後,才能實現IPv4報文和IPv6報文之間的相互轉換。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟AFT功能。
aft enable
缺省情況下,AFT功能處於關閉狀態。
IPv6目的地址轉換策略匹配的優先級從高到低為:
(1) IPv4內部服務器
(2) IPv4到IPv6的源地址靜態轉換策略。
(3) General前綴。
(4) NAT64前綴。
(1) 進入係統視圖。
system-view
(2) 配置IPv4側服務器對應的IPv6地址及端口。
aft v4server protocol protocol-type ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ] ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
缺省情況下,未配置IPv4側服務器對應的IPv6地址及端口號。
IPv4到IPv6源地址靜態轉換策略手工建立了IPv4地址與IPv6地址的一一對應關係,可用於如下地址轉換場景:
· 對於從IPv4側發起的訪問,當報文的源IPv4地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv4地址時,AFT將報文的源IPv4地址轉換為IPv6地址。
· 對於從IPv6側發起的訪問,當報文的目的IPv6地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv6地址時,AFT將報文的目的IPv6地址轉換為IPv4地址。
(1) 進入係統視圖。
system-view
(2) 配置IPv4到IPv6源地址靜態轉換策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ] [ vrrp virtual-router-id ]
缺省情況下,未配置IPv4到IPv6源地址靜態轉換策略。
(1) 進入係統視圖。
system-view
(2) 配置General前綴。
aft prefix-general prefix-general prefix-length
缺省情況下,未配置General前綴。
(1) 進入係統視圖。
system-view
(2) 配置NAT64前綴。
aft prefix-nat64 prefix-nat64 prefix-length
缺省情況下,未配置NAT64前綴。
IPv6源地址轉換策略匹配的優先級從高到低為:
(1) IPv6到IPv4的源地址靜態轉換策略。
(2) General前綴。
(3) IVI前綴。
(4) IPv6到IPv4端口塊方式的靜態AFT源地址轉換策略。
(5) IPv6到IPv4的源地址動態轉換策略。
IPv6到IPv4源地址靜態轉換策略手工建立了IPv6地址與IPv4地址的一一對應關係,可用於如下地址轉換場景:
· 對於從IPv6側發起的訪問,當報文的源IPv6地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv6地址時,AFT將報文的源IPv6地址轉換為IPv4地址。
· 對於從IPv4側發起的訪問,當報文的目的IPv4地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv4地址時,AFT將報文的目的IPv4地址轉換為IPv6地址。
(1) 進入係統視圖。
system-view
(2) 配置IPv6到IPv4源地址靜態轉換策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
(1) 進入係統視圖。
system-view
(2) 配置General前綴。
aft prefix-general prefix-general prefix-length
(1) 進入係統視圖。
system-view
(2) 配置IVI前綴。
aft prefix-ivi prefix-ivi
IPv6到IPv4源地址動態轉換方式是指動態地創建IPv6地址與IPv4地址的對應關係來實現IPv6地址與IPv4地址的轉換。在PAT模式的IPv6到IPv4源地址動態轉換方式中,一個IPv4地址可以同時被多個IPv6地址共用。該模式下,AFT設備需要對報文的IP地址和傳輸層端口同時進行轉換,且隻支持TCP、UDP和ICMPv6(Internet Control Message Protocol for IPv6,IPv6互聯網控製消息協議)查詢報文。
(1) 進入係統視圖。
system-view
(2) (可選)配置AFT地址組。
a. 創建一個AFT地址組,並進入AFT地址組視圖。
aft address-group group-id
在配置IPv6到IPv4源地址動態轉換策略前,根據實際情況選配。
b. 添加地址組成員。
address start-address end-address
可通過多次執行本命令添加多個地址組成員。
當前地址組成員的IP地址段不能與該地址組中或者其它地址組中已有成員的IP地址段重疊。
c. 退回係統視圖。
quit
(3) 配置IPv6到IPv4源地址動態轉換策略。
aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } { address-group group-id [ no-pat | port-block-size blocksize [ extended-block-number extended-block-number ] [ port-range start-port-number end-port-number ] ] | interface interface-type interface-number } [ vpn-instance ipv4-vpn-instance-name ]
配置IPv6到IPv4端口塊方式的靜態AFT源地址轉換策略時,需要創建一個AFT端口塊組,一個AFT端口塊組包含如下內容:
· 地址組成員,包含轉換前的IPv6地址和轉換後的IPv4地址。
· IPv4地址的端口範圍。
· 端口塊大小。
設備將根據AFT端口塊組內的配置數據,按照固定的算法生成內網IPv6地址前綴與外網IPv4地址和端口塊的映射關係。AFT端口塊組中可分配的端口塊總數=端口範圍÷端口塊大小,假設可分配的端口塊總數為n個,轉換後的IPv4地址有m個,則可映射的IPv6地址前綴總數=n×m,超出此數目的IPv6地址前綴將無法轉換。例如,轉換後的IPv4地址為X1和Y1,可分配的端口塊總數為n。設備取n個轉換前的IPv6地址前綴,映射同一個IPv4地址,並依次映射第一個到第n個端口塊,生成的映射關係如下所示:
· IPv6地址前綴x1<-->IPv4地址X1+端口塊1
· IPv6地址前綴x2<-->IPv4地址X1+端口塊2
· ……
· IPv6地址前綴xn<-->IPv4地址X1+端口塊n
· IPv6地址前綴y1<-->IPv4地址Y1+端口塊1
· IPv6地址前綴y2<-->IPv4地址Y1+端口塊2
· ……
· IPv6地址前綴yn<-->IPv4地址Y1+端口塊n。
(1) 進入係統視圖。
system-view
(2) 創建AFT端口塊組,並進入AFT端口塊組視圖。
aft port-block-group block-group-id
(3) 向AFT端口塊組中添加源地址轉換前的IPv6地址成員。
ipv6-prefix ipv6-start-prefix ipv6-end-prefix prefix-length [ vpn-instance vpn-name ]
缺省情況下,AFT端口塊組中不存在源地址轉換前的IPv6地址成員。
(4) 向AFT端口塊組中添加源地址轉換後的IPv4地址成員。
ip-address start-address end-address [ vpn-instance vpn-name ]
缺省情況下,AFT端口塊組中不存在源地址轉換後的IPv4地址成員。
(5) 配置AFT進行端口塊分配的端口範圍。
port-range start-port-number end-port-number
缺省情況下,AFT進行端口塊分配的端口範圍為1~65535。
(6) 設置AFT端口塊大小。
block-size block-size-value
缺省情況下,一個端口塊中包含256個端口。
(7) 退回係統視圖。
quit
(8) 配置從IPv6到IPv4端口塊方式的靜態AFT源地址轉換策略。
aft v6tov4 source port-block-group group-id
缺省情況下,未配置從IPv6到IPv4端口塊方式的靜態AFT源地址轉換策略。
IPv4目的地址轉換策略的匹配優先級從高到低為:
(1) IPv6內部服務器。
(2) IPv6到IPv4的源地址靜態轉換策略。
(3) 引用IVI前綴或General前綴的IPv4到IPv6目的地址轉換策略。
(1) 進入係統視圖。
system-view
(2) 配置IPv6側服務器對應的IPv4地址及端口。
aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ]
IPv6到IPv4源地址靜態轉換策略手工建立了IPv6地址與IPv4地址的一一對應關係,可用於如下地址轉換場景:
· 對於從IPv6側發起的訪問,當報文的源IPv6地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv6地址時,AFT將報文的源IPv6地址轉換為IPv4地址。
· 對於從IPv4側發起的訪問,當報文的目的IPv4地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv4地址時,AFT將報文的目的IPv4地址轉換為IPv6地址。
(1) 進入係統視圖。
system-view
(2) 配置IPv6到IPv4源地址靜態轉換策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
(1) 進入係統視圖。
system-view
(2) 配置IVI前綴或General前綴。請選擇其中一項進行配置。
¡ 配置IVI前綴。
aft prefix-ivi prefix-ivi
¡ 配置General前綴。
aft prefix-general prefix-general prefix-length
(3) 配置引用IVI前綴或General前綴的IPv4到IPv6目的地址轉換策略。
aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] } }
引用IVI前綴或General前綴之前,需要先進行IVI前綴或General前綴的配置,轉換策略才能生效。
IPv4源地址轉換策略的匹配優先級從高到低為:
(1) IPv4到IPv6的源地址靜態轉換策略。
(2) 引用NAT64前綴或General前綴的IPv4到IPv6源地址轉換策略。
(3) NAT64前綴。
IPv4到IPv6源地址靜態轉換策略手工建立了IPv4地址與IPv6地址的一一對應關係,可用於如下地址轉換場景:
· 對於從IPv4側發起的訪問,當報文的源IPv4地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv4地址時,AFT將報文的源IPv4地址轉換為IPv6地址。
· 對於從IPv6側發起的訪問,當報文的目的IPv6地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv6地址時,AFT將報文的目的IPv6地址轉換為IPv4地址。
(1) 進入係統視圖。
system-view
(2) 配置IPv4到IPv6源地址靜態轉換策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ]
(1) 進入係統視圖。
system-view
(2) 配置NAT64前綴或General前綴。請選擇其中一項進行配置。
¡ 配置NAT64前綴。
aft prefix-nat64 prefix-nat64 prefix-length
¡ 配置General前綴。
aft prefix-general prefix-general prefix-length
(3) 配置引用NAT64前綴或General前綴的IPv4到IPv6源地址轉換策略。
aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } }
引用NAT64前綴或General前綴之前,需要先進行NAT64前綴或General前綴的配置,轉換策略才能生效。
(1) 進入係統視圖。
system-view
(2) 配置NAT64前綴。
aft prefix-nat64 prefix-nat64 prefix-length
用戶可以設置在進行AFT轉換後,IPv4報文中ToS字段的取值:
· 為0:表示將轉換後報文的服務優先級降為最低。
· 與轉換前對應的ToS字段取值相同:表示保持原有的服務優先級。
(1) 進入係統視圖。
system-view
(2) 配置IPv6報文轉換為IPv4報文後,IPv4報文的ToS字段值為0。
aft turn-off tos
缺省情況下,當IPv6報文轉換為IPv4報文後,IPv4報文中的ToS字段與轉換前的IPv6報文的Traffic Class字段值相同。
用戶可以設置在AFT轉換後,IPv6報文中Traffic Class字段的取值:
· 為0:表示將轉換後報文的服務優先級降為最低。
· 與轉換前對應的Traffic Class字段取值相同:表示保持原有的服務優先級。
(1) 進入係統視圖。
system-view
(2) 配置IPv4報文轉換為IPv6報文後,IPv6報文的Traffic Class字段值為0。
aft turn-off traffic-class
缺省情況下,當IPv4報文轉換為IPv6報文後,IPv6報文中的Traffic Class字段與轉換前的IPv4報文的ToS字段值相同。
在IRF組網環境中,物理接口上配置的AFT業務不支持ALG功能。
(1) 進入係統視圖。
system-view
(2) 開啟指定或所有協議類型的AFT ALG功能。
aft alg { all | dns | ftp | h323 | http | icmp-error | rtsp | sip }
缺省情況下,DNS協議、FTP協議、H323協議、HTTP協議、ICMP差錯控製報文、RTSP協議、SIP協議的AFT ALG功能均處於開啟狀態。
網絡中僅部署一台AFT設備時,一旦該設備發生故障,內網用戶將無法與外網通信。采用雙機熱備方案可以很好的避免上述情況的發生。在IRF雙機熱備和HA高可靠性方案中,主備部署或雙主部署的兩台設備均可承擔AFT業務;兩台設備間進行會話熱備、會話關聯表熱備、AFT端口塊表項熱備以及AFT配置的同步。當其中一台設備故障後流量自動切換到另一台正常工作的設備。
關於IRF的詳細介紹,請參見“虛擬化技術配置指導”中的“IRF”。
關於HA的詳細介紹,請參見“可靠性配置指導”中的“雙機熱備(RBM)”。
AFT支持雙主模式的IRF雙機熱備和主備模式的IRF雙機熱備。兩種熱備場景中需要的AFT配置不同,差異如下:
· 在雙主模式的IRF雙機熱備場景下,當兩台IRF成員設備共用AFT地址組中的地址時,可能會出現兩台設備上不同的IPv6地址+端口號的地址轉換結果相同的情況。為了避免上述情況的發生,需要在IRF設備上開啟AFT端口負載分擔功能。開啟本功能後,兩台設備各獲得一半端口資源,從而保證兩台設備上不同流量的地址轉換結果不同。
· 在主備模式的IRF雙機熱備場景下,分別完成IRF雙機熱備配置以及AFT的基本配置即可,不需要額外的AFT配置來配合。
(1) 進入係統視圖。
system-view
(2) 開啟AFT端口負載分擔功能。
aft port-load-balance enable chassis chassis-number
缺省情況下,AFT端口負載分擔功能處於關閉狀態。
在HA+VRRP的高可靠性組網中,當VRRP的虛擬IP地址與AFT地址組中公網地址成員處於同一網段時,為了避免出現響應AFT地址組中地址成員的ARP請求出錯的情況,需要將AFT地址組與VRRP備份組綁定,由VRRP備份組中的Master設備對AFT地址組中地址成員的ARP請求進行響應。關於VRRP的詳細介紹,請參見“可靠性配置指導”中的“VRRP”。
(1) 進入係統視圖。
system-view
(2) 進入AFT地址組視圖。
aft address-group group-id
(3) 將AFT地址組與VRRP備份組綁定。
vrrp vrid virtual-router-id
缺省情況下,AFT地址組未綁定任何VRRP備份組。
(4) 退回係統視圖。
quit
(5) 指定HA中主、從管理設備可以使用的AFT端口塊範圍。
aft remote-backup port-alloc { primary | secondary }
缺省情況下,HA中的主、從管理設備共用AFT端口資源。
當兩台設備共用AFT地址組中的地址時,需要在主管理設備上配置本命令。
(1) 進入係統視圖。
system-view
(2) 進入AFT地址組視圖。
aft address-group group-id
(3) 將AFT地址組與VRRP備份組綁定。
vrrp vrid virtual-router-id
缺省情況下,AFT地址組未綁定任何VRRP備份組。
請在遠端備份組主管理設備上配置本命令。
在業務熱備份環境中,通過開啟AFT端口塊熱備份功能,可以實現主備切換後動態AFT端口塊表項一致。
HA組網環境下,開啟HA熱備業務表項功能(執行hot-backup enable命令)後本功能才能生效。
IRF組網環境下,開啟會話業務熱備份功能(執行session synchronization enable命令)後本功能才能生效。
(1) 進入係統視圖。
system-view
(2) 開啟AFT動態端口塊熱備份功能。
aft port-block synchronization enable
缺省情況下,AFT動態端口塊熱備份功能處於開啟狀態。
在業務熱備份環境中,通過開啟AFT端口塊熱備份功能,可以實現主備切換後動態AFT端口塊表項一致
為了滿足網絡管理員安全審計的需要,可以開啟AFT連接的日誌功能,以便對AFT連接(AFT連接是指報文經過設備時,源或目的地址進行過AFT轉換的連接)信息進行記錄。以下情況下會觸發記錄AFT連接的日誌信息:
· AFT端口塊分配。
· AFT端口塊回收。
· AFT端口塊耗盡。
· AFT流創建,即AFT會話創建時輸出日誌。
· AFT流刪除,即AFT會話釋放時輸出日誌。
生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟AFT連接的日誌功能。
aft log enable
缺省情況下,AFT連接的日誌功能處於關閉狀態。
配置本命令後,將記錄AFT端口塊新建和AFT端口塊刪除的日誌信息。
(3) (可選)開啟AFT端口塊日誌功能。
aft log port-block { alarm | assign | withdraw }
缺省情況下,AFT端口塊日誌功能處於關閉狀態。
如需記錄AFT端口塊分配、回收以及AFT端口塊耗盡時的日誌信息,則需要配置本命令。隻有配置aft log enable命令之後,本命令才能生效。
(4) (可選)開啟AFT流創建或流刪除的日誌功能。
¡ 開啟AFT流創建的日誌功能。
aft log flow-begin
缺省情況下,AFT新建流的日誌功能處於關閉狀態。
如需記錄AFT會話創建時的日誌信息,則需要配置本命令。隻有配置aft log enable命令之後,本命令才能生效。
¡ 開啟AFT流刪除的日誌功能。
aft log flow-end
缺省情況下,AFT刪除流的日誌功能處於關閉狀態。
如需記錄AFT會話釋放時的日誌信息,則需要配置本命令。隻有配置aft log enable命令之後,本命令才能生效。
端口塊方式的IPv6到IPv4源地址動態轉換策略中,如果可為用戶分配的AFT資源用盡,後續連接由於沒有可用的資源無法對其進行地址轉換,相應的報文將被丟棄。本命令用來在AFT資源用盡時輸出告警日誌。AFT資源是指IPv4地址和端口塊。當端口塊的使用率大於設置的閾值時,係統會輸出告警日誌。
生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
隻有開啟AFT連接的日誌功能(通過aft log enable命令)之後,AFT告警信息日誌功能才能生效。
(1) 進入係統視圖。
system-view
(2) 開啟AFT連接的日誌功能。
aft log enable
缺省情況下,AFT連接的日誌功能處於關閉狀態。
(3) 配置AFT端口塊使用率的閾值。
aft log port-block usage threshold threshold-value
缺省情況下,AFT端口塊使用率的閾值為90%。
在完成上述配置後,在任意視圖下執行display命令可以顯示AFT配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以刪除AFT會話或統計信息。
表1-2 AFT顯示和維護
|
操作 |
命令 |
|
顯示AFT配置信息 |
display aft configuration |
|
顯示地址組信息 |
display aft address-group [ group-id ] |
|
顯示AFT地址映射信息 |
(獨立運行模式) display aft address-mapping [ slot slot-number ] (IRF模式) display aft address-mapping [ chassis chassis-number slot slot-number ] |
|
顯示AFT NO-PAT表項信息 |
(獨立運行模式) display aft no-pat [ slot slot-number ] (IRF模式) display aft no-pat [ chassis chassis-number slot slot-number ] |
|
顯示AFT端口塊映射表項信息 |
(獨立運行模式) display aft port-block { dynamic | static } [ slot slot-number ] (IRF模式) display aft port-block { dynamic | static } [ chassis chassis-number slot slot-number ] |
|
顯示AFT會話 |
(獨立運行模式) display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ slot slot-number ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ slot slot-number ] [ verbose ] (IRF模式) display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn –instance-name ] ] [ chassis chassis-number slot slot-number ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ chassis chassis-number slot slot-number ] [ verbose ] |
|
顯示AFT統計信息 |
(獨立運行模式) display aft statistics [ slot slot-number ] (IRF模式) display aft statistics [ chassis chassis-number slot slot-number ] |
|
刪除AFT會話 |
(獨立運行模式) reset aft session [ slot slot-number ] (IRF模式) reset aft session [ chassis chassis-number slot slot-number ] |
|
刪除AFT統計信息 |
(獨立運行模式) reset aft statistics [ slot slot-number ] (IRF模式) reset aft statistics [ chassis chassis-number slot slot-number ] |
某公司將網絡升級到了IPv6,但是仍然希望內網2013::/96網段的用戶可以訪問IPv4 Internet,其它網段的用戶不能訪問IPv4 Internet。該公司訪問IPv4 Internet使用的IPv4地址為10.1.1.1、10.1.1.2和10.1.1.3。
為滿足上述需求,本例中實現方式如下:
· 使用NAT64前綴與IPv4網絡中的主機地址組合成為IPv6地址,此IPv6地址將與IPv4 Internet內的主機建立相應的映射關係,IPv6網絡中的主機訪問該IPv6地址即可實現對IPv4 Internet的訪問。報文到達Router後,設備將根據NAT64前綴將該目的IPv6地址轉換為對應的IPv4地址。
· 使用IPv6到IPv4源地址動態轉換策略將IPv6網絡到IPv4網絡報文的源地址轉換為IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
圖1-7 IPv6網絡訪問IPv4 Internet配置組網圖
# 按照組網圖配置各接口的IP地址,具體配置過程略。
# 配置2013::/96網段到NAT64前綴2012::/96的路由,使訪問IPv4 網絡的報文經Device進行地址轉換,具體配置過程略。
# 配置地址組0包含三個IPv4地址10.1.1.1、10.1.1.2和10.1.1.3。
<Router> system-view
[Router] aft address-group 0
[Router-aft-address-group-0] address 10.1.1.1 10.1.1.3
[Router-aft-address-group-0] quit
# 配置IPv6 ACL 2000,該ACL用來匹配源IPv6地址屬於2013::/96網段的報文。
[Router] acl ipv6 basic 2000
[Router-acl-ipv6-basic-2000] rule permit source 2013:: 96
[Router-acl-ipv6-basic-2000] rule deny
[Router-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址動態轉換策略,將匹配ACL 2000的IPv6報文源地址轉換為地址組0中的地址,即將2013::/96網段內主機所發送報文的源IPv6地址轉換為IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
[Router] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 配置NAT64前綴為2012::/96,報文的目的地址根據該NAT64前綴轉換為IPv4地址。
[Router] aft prefix-nat64 2012:: 96
# 在IPv6側接口GigabitEthernet1/0/1開啟AFT功能。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] aft enable
[Router-GigabitEthernet1/0/1] quit
# 在IPv4側接口GigabitEthernet1/0/2開啟AFT功能。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] aft enable
[Router-GigabitEthernet1/0/2] quit
# 以上配置完成後,檢查IPv6 Host與IPv4 Server的連通性。以IPv6 host A ping IPv4 server A為例:
D:\>ping 2012::20.1.1.1
Pinging 2012::20.1.1.1 with 32 bytes of data:
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
# 通過查看AFT會話,可以看到創建了一個IPv6會話和IPv4會話,分別對應轉換前和轉換後的報文。
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013::100/0
Destination IP/port: 2012::1401:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
Responder:
Source IP/port: 2012::1401:0101/0
Destination IP/port: 2013::100/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
State: ICMP_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
某公司將網絡升級到了IPv6,此時Internet仍然是IPv4網絡。該公司希望內部的FTP服務器能夠繼續為IPv4 Internet的用戶提供服務。該公司擁有的IPv4地址為10.1.1.1。
為滿足上述要求,本例實現方式如下:
· 使用IPv6側服務器配置將IPv6內部服務器的地址及端口映射為IPv4地址及端口,Router收到來自IPv4 Internet的報文後,根據該配置策略將報文IPv4目的地址轉換為IPv6地址;
· 使用NAT64前綴將報文源IPv4地址轉換為IPv6地址。
圖1-8 IPv4 Internet訪問IPv6網絡內部服務器配置組網圖
# 按照組網圖配置各接口的IP地址,具體配置過程略。
# 配置20.1.1.1/24網段到IP地址10.1.1.1的路由,使訪問IPv6側服務器的報文經Device進行地址轉換,具體配置過程略。
# 配置IPv6側服務器對應的IPv4地址及端口號。IPv4網絡內用戶通過訪問該IPv4地址及端口即可訪問IPv6服務器。
<Router> system-view
[Router] aft v6server protocol tcp 10.1.1.1 21 2013::102 21
# 報文的源地址將根據配置的NAT64前綴轉換為IPv6地址。
[Router] aft prefix-nat64 2012:: 96
# 在IPv4側接口GigabitEthernet1/0/1開啟AFT。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] aft enable
[Router-GigabitEthernet1/0/1] quit
# 在IPv6側接口GigabitEthernet1/0/2開啟AFT。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] aft enable
[Router-GigabitEthernet1/0/2] quit
# 以上配置完成後,IPv4 Host可以通過FTP協議訪問IPv6 FTP Server。
# 通過查看AFT會話,可以看到創建了一個IPv4會話和IPv6會話,分別對應轉換前和轉換後的報文。
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/11025
Destination IP/port: 10.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
Responder:
Source IP/port: 10.1.1.1/21
Destination IP/port: 20.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
State: TCP_ESTABLISHED
Application: FTP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::1401:0101/1029
Destination IP/port: 2013::102/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
Responder:
Source IP/port: 2013::102/21
Destination IP/port: 2012::1401:0101/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
State: TCP_ESTABLISHED
Application: FTP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
某公司內部同時部署了IPv4網絡和IPv6網絡,並且希望IPv4網絡和IPv6網絡能夠互相訪問。
為滿足上述需求,本例中使用如下方式實現:
· 為IPv6網絡分配一個IVI前綴和IPv4網段,IPv6網絡中所有IPv6主機的地址均配置為由IVI前綴和IPv4網段中地址組合而成的IPv6地址。
· 為IPv4網絡分配一個NAT64前綴,IPv4網絡主動訪問IPv6網絡時,IPv4源地址使用NAT64前綴轉換為IPv6地址;IPv6網絡主動訪問IPv4網絡時,目的地址使用NAT64前綴和IPv4地址組合成的IPv6地址。
圖1-9 IPv4網絡和IPv6網絡互訪配置組網圖
# 按照組網圖配置各接口的IP地址,其中IPv6網絡中的主機使用的IPv6地址根據IVI前綴2013::/32和20.1.1.0/24組合而成。具體配置過程略。
# 配置10.1.1.1/24網段到20.1.1.0/24網段的路由,使訪問IPv6網絡的報文經Device進行地址轉換;配置IPv6網絡到NAT64前綴2012::/96的路由,使訪問IPv4網絡的報文經Device進行地址轉換。具體配置過程略。
# 配置ACL 2000用來過濾需要訪問IPv6網絡的用戶,同時匹配該ACL 2000的報文的目的地址將會根據配置的IVI前綴轉換為IPv6地址。此處所有IPv4網絡用戶均需要訪問IPv6網絡。
<Router> system-view
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit
[Router-acl-ipv4-basic-2000] quit
# 配置NAT64前綴,用於進行IPv4到IPv6的源地址轉換和IPv6到IPv4的目的地址轉換。
[Router] aft prefix-nat64 2012:: 96
# 配置IVI前綴,用於進行IPv6到IPv4源地址轉換,且在IPv4到IPv6動態目的地址轉換策略中引用該前綴。
[Router] aft prefix-ivi 2013::
# 配置IPv4到IPv6動態目的地址轉換策略,IPv4到IPv6報文的目的IPv4地址轉換為IPv6地址。
[Router] aft v4tov6 destination acl number 2000 prefix-ivi 2013::
# 在IPv4側接口GigabitEthernet1/0/1開啟AFT。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] aft enable
[Router-GigabitEthernet1/0/1] quit
# 在IPv6側接口GigabitEthernet1/0/2開啟AFT。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] aft enable
[Router-GigabitEthernet1/0/2] quit
# 以上配置完成後,IPv4 host與IPv6 host可以互通。以IPv6 host A ping IPv4 host A為例:
D:\>ping 2012::a01:0101
Pinging 2012::a01:0101 with 32 bytes of data:
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
# 通過查看AFT會話,可以看到創建了一個IPv6會話和IPv4會話,分別對應轉換前和轉換後的報文。顯示內容如下:
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0a01:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
Responder:
Source IP/port: 2012::0a01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
Responder:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
State: ICMP_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
Internet已經升級到了IPv6,但是某公司內部網絡仍然是IPv4網絡。而該公司內部網絡的10.1.1.0/24網段的用戶仍需要訪問IPv6 Internet中的服務器,其他用戶不能訪問。
為滿足上述要求,本例中使用如下方式實現:
· 使用IPv4到IPv6源地址動態地址轉換策略,將IPv4報文的源地址轉換為IPv6地址。
· 通過IPv6到IPv4的源地址靜態轉換策略為IPv6 Internet上服務器的IPv6地址指定一個對應的IPv4地址,Router收到發往該IPv4地址的報文時將其轉換為對應的IPv6地址。
圖1-10 IPv4網絡訪問IPv6 Internet中的服務器配置組網圖
# 按照組網圖配置各接口的IP地址,具體配置過程略。
# 配置10.1.1.1/24網段到IP地址20.1.1.1的路由,使訪問IPv6側服務器的報文經Device進行地址轉換,具體配置過程略。
# 配置ACL 2000,僅允許IPv4網絡中10.1.1.0/24網段的用戶可以訪問IPv6 Internet。
<Router> system-view
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] rule deny
[Router-acl-ipv4-basic-2000] quit
# 配置NAT64前綴,此前綴將在IPv4到IPv6源地址動態轉換策略中被調用,將報文的源地址轉換為IPv6地址。
[Router] aft prefix-nat64 2012:: 96
# 配置IPv4到IPv6源地址動態轉換策略,將匹配ACL 2000報文的源地址根據NAT64前綴轉換為IPv6地址。
[Router] aft v4tov6 source acl number 2000 prefix-nat64 2012:: 96
# 配置IPv6到IPv4的源地址靜態轉換策略,用於將報文的目的地址轉換為IPv6地址。
[Router] aft v6tov4 source 2013:0:ff14:0101:100::1 20.1.1.1
# 在IPv4側接口GigabitEthernet1/0/1開啟AFT。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] aft enable
[Router-GigabitEthernet1/0/1] quit
# 在IPv6側接口GigabitEthernet1/0/2開啟AFT。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] aft enable
[Router-GigabitEthernet1/0/2] quit
# 以上配置完成後,檢查IPv4 host與IPv6 server的連通性。以IPv4 host A ping IPv6 server為例:
D:\>ping 20.1.1.1
Pinging 20.1.1.1 with 32 bytes of data:
Reply from 20.1.1.1: bytes=32 time=14ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
# 通過查看AFT會話,可以看到創建了一個IPv4會話和IPv6會話,分別對應轉換前和轉換後的報文。
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
State: ICMP_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::0A01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
Responder:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0A01:0101/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
Internet已經升級到了IPv6,但是某公司內部網絡仍然是IPv4網絡。而該公司仍希望為IPv6 Internet內的用戶提供FTP服務。該公司訪問IPv6 Internet使用的IPv6地址為2012::1。
為滿足上述要求,實現方式如下:
· 通過IPv4到IPv6源地址靜態轉換策略,為IPv4網絡中的FTP服務器地址指定一個對應的IPv6地址,IPv6 Internet中的主機通過訪問該IPv6地址可以訪問IPv4網絡中的FTP服務器。Router收到發往該IPv6地址的報文時將其目的地址轉換為對應的IPv4地址。
· 通過IPv6到IPv4源地址動態轉換策略,將IPv6 Internet發送過來的IPv6報文源地址轉換為IPv4地址30.1.1.1和30.1.1.2。
圖1-11 IPv6 Internet訪問IPv4網絡配置組網圖
# 按照組網圖配置各接口的IP地址,具體配置過程略。
# 配置IPv6 Host網段到IPv6地址2012::1的路由,使訪問IPv4 側服務器的報文經Device進行地址轉換,具體配置過程略。
# 配置IPv4到IPv6源地址靜態轉換策略,手動指定IPv4與IPv6地址一一對應的轉換關係,此策略可將報文的目的地址轉換為對應的IPv4地址。
<Router> system-view
[Router] aft v4tov6 source 20.1.1.1 2012::1
# 配置地址組0包含2個IPv4地址:30.1.1.1和30.1.1.2。
[Router] aft address-group 0
[Router-aft-address-group-0] address 30.1.1.1 30.1.1.2
[Router-aft-address-group-0] quit
# 配置IPv6 ACL 2000,匹配IPv6網絡到IPv4網絡的報文。此處允許所有IPv6網絡內主機訪問IPv4 FTP Server。
[Router] acl ipv6 basic 2000
[Router-acl-ipv6-basic-2000] rule permit
[Router-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址動態轉換策略,將匹配ACL 2000的IPv6報文源地址轉換為地址組0中的IPv4地址30.1.1.1或30.1.1.2。
[Router] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 在IPv6側接口GigabitEthernet1/0/1開啟AFT。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] aft enable
[Router-GigabitEthernet1/0/1] quit
# 在IPv4側接口GigabitEthernet1/0/2開啟AFT。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] aft enable
[Router-GigabitEthernet1/0/2] quit
# 以上配置完成後,檢查IPv6 host與IPv4 FTP server的連通性。以IPv6 host A ping IPv4 FTP server為例:
D:\>ping 2012::1
Pinging 2012::1 with 32 bytes of data:
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
# 通過查看AFT會話,可以看到創建了一個IPv6會話和IPv4會話,分別對應轉換前和轉換後的報文。
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF0A:0101:0100::/1029
Destination IP/port: 2012::1/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
Responder:
Source IP/port: 2012::1/21
Destination IP/port: 2013:0:FF0A:0101:0100::/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 30.1.1.1/11025
Destination IP/port: 20.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: -
Responder:
Source IP/port: 20.1.1.1/21
Destination IP/port: 30.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: -
State: ICMP_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
