nat66雙出口配置案例
- 0關注
- 0收藏,1338瀏覽
問題描述:
我有一台防火牆,有兩條ipv6專線,現在需要做nat66主備,麻煩大佬給我發一下配置案例
組網及組網描述:
我有一台防火牆,有兩條ipv6專線,現在需要做nat66主備,麻煩大佬給我發一下配置案例
- 2025-02-11提問
- 舉報
-
(0)
最佳答案
1.8.2 IPv6內網用戶通過轉換後的地址前綴訪問外網配置舉例(多宿主)
1. 組網需求
某公司為了隱藏內部網絡,為用戶分配的IPv6地址的前綴為FD01:0203:0405::/48,使用該地址前綴的IPv6地址為唯一本地地址,不可在互聯網上路由。
兩台NAT66設備連接同一個內部網絡,同時連接到不同的外部網絡。分別在兩台NAT66設備的外網側接口上配置地址轉換,將同一個內網地址轉換成不同的外網地址,實現同一個內部地址到多個外部地址的映射。
2. 組網圖
圖1-2 IPv6內網用戶通過轉換後的地址前綴訪問外網配置組網圖(多宿主)
3. 配置Device A
(1) 配置接口IPv6地址
# 根據組網圖中規劃的信息,配置各接口的IPv6地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/2/5/1
[DeviceA-GigabitEthernet1/2/5/1] ipv6 address FD01:0203:0405::10 48
[DeviceA-GigabitEthernet1/2/5/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達FTP服務器所在網絡的下一跳IP地址為2001:0DB8:0001::11,實際使用中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ipv6 route-static 2001:0DC8:0001::100 48 2001:0DB8:0001::11
(3) 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/2/5/1
[DeviceA-security-zone-Trust] quit
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/2/5/2
[DeviceA-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為trust-untrust的安全策略,保證Trust安全域內的Host 可以訪問Internet中的FTP Server,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-1-trust-untrust] source-ip-host FD01:0203:0405::1
[DeviceA-security-policy-ipv6-1-trust-untrust] destination-ip-host 2001:0DC8:0001::100
[DeviceA-security-policy-ipv6-1-trust-untrust] action pass
[DeviceA-security-policy-ipv6-1-trust-untrust] quit
[DeviceA-security-policy-ipv6] quit
(5) 配置NAT66前綴轉換功能
# 配置IPv6源地址轉換的前綴映射關係,將IPv6地址前綴FD01:0203:0405::/48轉換為2001:0DF8:0001::/48。
[DeviceA] interface gigabitethernet 1/2/5/2
[DeviceA-GigabitEthernet1/2/5/2] nat66 prefix source fd01:0203:0405:: 48 2001:0df8:0001:: 48
[DeviceA-GigabitEthernet1/2/5/2] quit
4. 配置Device B
(1) 配置接口IPv6地址
# 根據組網圖中規劃的信息,配置各接口的IPv6地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/2/5/1
[DeviceB-GigabitEthernet1/2/5/1] ipv6 address FD01:0203:0405::20 48
[DeviceB-GigabitEthernet1/2/5/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達FTP服務器所在網絡的下一跳IP地址為2001:0DB8:5555::11,實際使用中請以具體組網情況為準,具體配置步驟如下。
[DeviceB] ipv6 route-static 2001:0DC8:0001::100 48 2001:0DB8:5555::11
(3) 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/2/5/1
[DeviceB-security-zone-Trust] quit
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/2/5/2
[DeviceB-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為trust-untrust的安全策略,保證Trust安全域內的Host 可以訪問Internet中的FTP Server,具體配置步驟如下。
[DeviceB] security-policy ipv6
[DeviceB-security-policy-ipv6] rule name trust-untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-zone trust
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ipv6-1-trust-untrust] source-ip-host FD01:0203:0405::1
[DeviceB-security-policy-ipv6-1-trust-untrust] destination-ip-host 2001:0DC8:0001::100
[DeviceB-security-policy-ipv6-1-trust-untrust] action pass
[DeviceB-security-policy-ipv6-1-trust-untrust] quit
[DeviceB-security-policy-ipv6] quit
(5) 配置NAT66前綴轉換功能
# 配置IPv6源地址轉換的前綴映射關係,將IPv6地址前綴FD01:0203:0405::/48轉換為2001:0DE8:0001::/48。
[DeviceB] interface gigabitethernet 1/2/5/2
[DeviceB-GigabitEthernet1/2/5/2] nat66 prefix source fd01:0203:0405:: 48 2001:0de8:0001:: 48
[DeviceB-GigabitEthernet1/2/5/2] quit
5. 驗證配置
以上配置完成後,內網主機能夠通過Device A或Device B訪問FTP server。對於內網主機經由不同的NAT66設備到達FTP服務器的報文,映射後的結果不同。同時,從FTP服務器經由不同的NAT66設備到達內網主機的報文,均會被NAT66設備映射為相同的IPv6地址,該地址即為內網主機的唯一本地地址。
# 在Device A上通過查看如下顯示信息,可以驗證以上配置成功。
[DeviceA] display nat66 all
NAT66 source information:
Totally 1 source rules.
Interface(outbound): GigabitEthernet1/0/2
Original prefix/prefix-length: FD01:203:405::/48
Translated prefix/prefix-length: 2001:DF8:1::/48
# 在Device B上通過查看如下顯示信息,可以驗證以上配置成功。
[DeviceB] display nat66 all
NAT66 source information:
Totally 1 source rules.
Interface(outbound): GigabitEthernet1/0/2
Original prefix/prefix-length: FD01:203:405::/48
Translated prefix/prefix-length: 2001:DE8:1::/48
# 在Device A上查看內部主機訪問外部FTP server時生成NAT66會話信息。
[DeviceA] display nat66 session verbose
Slot 1 in chassis 1
Initiator:
Source IP/port: FD01:203:405::1/35990
Destination IP/port: 2001:DC8:1::100/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 2001:DC8:1::100/21
Destination IP/port: 2001:DF8:1:D50F::1/35990
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
State: TCP_ESTABLISHED
Application: FTP
Rule ID: 0
Rule name: aaa
Start time: 2021-10-31 14:47:44 TTL: 3584s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 在Device B上查看內部主機訪問外部FTP server時生成NAT66會話信息。
[DeviceB] display nat66 session verbose
Slot 1 in chassis 1
Initiator:
Source IP/port: FD01:203:405::1/35992
Destination IP/port: 2001:DC8:1::100/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 2001:DC8:1::100/21
Destination IP/port: 2001:DE8:1:D51F::1/35992
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
State: TCP_ESTABLISHED
Application: FTP
Rule ID: 0
Rule name: aaa
Start time: 2021-10-31 14:50:03 TTL: 3594s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
- 2025-02-21回答
- 評論(0)
- 舉報
-
(0)
//www.yolosolive.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904194
- 2025-02-11回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論