1 业务场景

1.1 业务需求

某单位在网络边界处部署了一台防火墙作为安全网关,需要在防火墙上配置源NAT策略,在不对外体现内网IP地址情况下,实现内网用户正常访问Internet,增强内部用户的网络安全性。

网络环境如下图所示,其中路由器是ISP提供的接入网关。

image.png

网络规划及关键配置信息说明:

信息项

说明

网关设备管理接口

Ge0/0,用于访问设备Web界面,进行相关配置

网关设备管理接口IP

192.168.1.200

IPv6网络地址对象1

fd01:0203:0405::/48,用于源地址转换前的IPv6前缀

前缀转换信息

2001:0db8:0001::/48,用于源地址转换后的IPv6前缀

Ge0/1 IPv6地址

FD01:0203:0405::5678/48,LAN区域

Ge0/2 IPv6地址

2001:0DB8:0506::1234/48,WAN区域

任意IPv6地址

::-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF


1.2 配置限制与说明

l  地址前缀转换前后的前缀长度必须是相等的。例如,源NPTv6转换规则中匹配的源地址对象中包含的IPv6子网前缀长度和转换后的前缀转换信息前缀长度要一致。

l  如果NAT66规则中需要匹配任意IPv6地址时,需要用户额外自定义一个任意IPv6地址地址对象,不能够使用系统默认的any对象,因为any对象包含任意IPv4地址和任意IPv6地址。

l  源转换后的IPv6前缀信息(IPv6前缀地址和前缀长度)建议不与NAT66转换设备转换NAT66流量的出接口IPv6地址前缀一样。例如,源地址转换后的前缀为2001::/48,报文出接口的IPv6地址为2001::10/48

1.3 前置条件

在前期网络规划时,已经完成路由等相关配置,确保默认目的地址转换前后,目的地址都是已经路由可达的

2 配置步骤

2.1 基础网络配置

(1) 通过设备管理接口IP地址https://192.168.1.200,登录Web管理界面。

(2)点击[网络配置]>>[接口] >>[物理接口]菜单项。

      点击对应接口的编辑按钮,按照网络地址规划,配置接口IP地址,具体配置步骤略。

2.2 配置源NPTv6规则

1、配置地址对象

(1)单击[对象配置]>>[地址]>>[IPv6地址],点击<新增>按钮,按照下图配置IPv6地址网络对象。

2、配置NAT66转换规则

(1)点击[策略配置]>>[NAT策略]>>[NAT66转换],点击<新增>按钮,按照下图配置NAT66转换规则,转换类型选择“源NPTv6转换”(带“*”的配置项为必配项)。

(2)确认配置无误,点击<保存>。


3 配置验证

源nat66.png