某单位在网络边界处部署了一台防火墙作为安全网关,需要在防火墙上配置源NAT策略,在不对外体现内网IP地址情况下,实现内网用户正常访问Internet,增强内部用户的网络安全性。
网络环境如下图所示,其中路由器是ISP提供的接入网关。
网络规划及关键配置信息说明:
信息项 |
说明 |
---|---|
网关设备管理接口 |
Ge0/0,用于访问设备Web界面,进行相关配置 |
网关设备管理接口IP |
192.168.1.200 |
IPv6网络地址对象1 |
fd01:0203:0405::/48,用于源地址转换前的IPv6前缀 |
前缀转换信息 |
2001:0db8:0001::/48,用于源地址转换后的IPv6前缀 |
Ge0/1 IPv6地址 |
FD01:0203:0405::5678/48,LAN区域 |
Ge0/2 IPv6地址 |
2001:0DB8:0506::1234/48,WAN区域 |
任意IPv6地址 |
::-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF |
l 地址前缀转换前后的前缀长度必须是相等的。例如,源NPTv6转换规则中匹配的源地址对象中包含的IPv6子网前缀长度和转换后的前缀转换信息前缀长度要一致。
l 如果NAT66规则中需要匹配任意IPv6地址时,需要用户额外自定义一个“任意IPv6地址”地址对象,不能够使用系统默认的any对象,因为any对象包含任意IPv4地址和任意IPv6地址。
l 源转换后的IPv6前缀信息(IPv6前缀地址和前缀长度)建议不与NAT66转换设备转换NAT66流量的出接口IPv6地址前缀一样。例如,源地址转换后的前缀为2001::/48,报文出接口的IPv6地址为2001::10/48。
在前期网络规划时,已经完成路由等相关配置,确保默认目的地址转换前后,目的地址都是已经路由可达的。
(1) 通过设备管理接口IP地址https://192.168.1.200,登录Web管理界面。
(2)点击[网络配置]>>[接口] >>[物理接口]菜单项。
点击对应接口的编辑按钮,按照网络地址规划,配置接口IP地址,具体配置步骤略。
(1)单击[对象配置]>>[地址]>>[IPv6地址],点击<新增>按钮,按照下图配置IPv6地址网络对象。
(1)点击[策略配置]>>[NAT策略]>>[NAT66转换],点击<新增>按钮,按照下图配置NAT66转换规则,转换类型选择“源NPTv6转换”(带“*”的配置项为必配项)。
(2)确认配置无误,点击<保存>。
单击 [安全监控]>>[流量监控]>>[会话监控]>>[实时会话信息],找到对应的实时会话信息,点击“查看详情”按钮,可查看到一条NAT66的会话信息。
单击[策略配置]>>[NAT策略]>>[NAT66转换],查看NAT66规则有命中信息(首包命中,命中数会+1)。