不知不觉中,IPv6已经开始商用了,尤其是无法获取到公网IP的拨号宽带,服务器端口也就无法映射了,这种情况下,使用IPv6显然是个不错的主意。
但是,IPv6只解决了IPv4地址不足的问题,如何让原有的IPv4电脑访问IPv6的服务器,又成了个问题,总不能所有电脑都使用IPv6地址吧?而本文所述的NAT64静态映射,就能很好地解决这个问题。
NAT64静态映射为一对一的对应关系,通常应用于IPv4网络主动访问IPv6网络,华为USG防火墙就能支持IPv4/IPv6双栈。
如上图所示,要求位于IPv4网络中的PC1通过NAT64静态映射,能够访问位于IPv6网络中PC2,PC2模拟服务器。
PC1和PC2分别配置IPv4地址和IPv6地址,以及网关地址,过程略;下面主要讲述华为USG防火墙的配置。
1、配置接口IP,并且启用NAT64
interfaceGigabitEthernet1/0/0
undoshutdown
ipv6enable
ipaddress1.1.1....0
service-managepingpermit
nat64enable
#
interfaceGigabitEthernet1/0/1
undoshutdown
ipv6enable
ipv6address:1::/64
service-managepingpermit
nat64enable
#
2、将接口放到相应的安全区域
firewallzonetrust
addinterfaceGigabitEthernet1/0/0
#
firewallzoneuntrust
addinterfaceGigabitEthernet1/0/1
#
3、设置安全策略,允许IPv4网络访问IPv6网络
security-policy
rulenamet2u
source-zonetrust
destination-zoneuntrust
actionpermit
rulenameinterzone
source-address1.1.1.00.0.0.
destination-address2.2.2.00.0.0.
actionpermit
#
4、配置NAT64静态映射关系
nat64enable
nat64prefix:2::96//设置ipv4访问ipv6动态映射的地址前缀
nat64static:1::.2.2.2//将PC2的IPv6地址映射为IPv4地址2.2.2.2
5、配置路由
iproute-static2.2.2.0...0NULL0
配置完成了,验证一下吧:disnat64static,查看NAT64静态映射信息
在PC1上ping2.2.2.2,然后在防火墙上查看会话表:disfirewallipv6sessiontableverbose
能ping通就表示配置正确,会话表只是进一步验证结果而已。