1 业务场景
1.1 业务需求
某单位总部正在进行网络升级,从IPv4网络升级到IPv6网络,为了保障网络升级过程中不影响公司正常的生产办公,部分访问频繁的服务器不能进行迁移升级。因此需要在边界网关上配置NAT-PT策略,确保已经升级到IPv6网络的部门,能够访问到这些还未升级的IPv4服务器。
在网络升级规划过程中,可以为这些IPv4服务器分配固定映射的IPv6地址,以供IPv6子网访问。但是使用固定地址映射,一旦网络中设备地址发生变化,将会导致网络维护难。因此,业务方不希望这种固定映射关系存在于网关设备上,因为地址的变动必然引起设备一系列的规则变动,很不安全;此外,业务方希望服务器的访问方式改为域名的访问方式。
网络规划及关键配置信息说明:
信息项 |
说明 |
|---|---|
网关设备管理接口 |
Ge0/0,用于访问设备Web界面,进行相关配置 |
网关设备管理接口IP |
192.168.1.200 |
NAT64前缀信息 |
2ffe:db8::/96,所有IPv4服务器在DNS64服务器注册的IPv6地址公共前缀信息 |
IPv6子网 |
3ffe:db8::/96 |
IPv6网络地址对象1 |
3ffe:db8::/96 |
IPv6网络地址对象2 |
2ffe:db8::/96 |
IPv4网络地址对象1 |
10.51.212.10-10.51.212.12 |
IPv4地址池 |
172.16.10.100-172.16.10.139 |
端口范围 |
11001-12000 |
源地址转换模式 |
PAT,端口地址转换模式,即是IP地址可复用 |
任意IPv6地址 |
::/0 |
1.2 配置限制与说明
l 动态NAT64不支持NAT hairpin场景。
l 如果NAT64规则中需要匹配任意IPv6地址时,需要用户额外自定义一个“任意IPv6地址”地址对象,不能够使用系统默认的any对象,因为any对象包含任意IPv4地址和任意IPv6地址。
l 配置的源地址转换地址池引用的地址池对象,如果被某条NAT64规则引用且指定的转换模式为NO-PAT后,则该地址池对象不能再被其他转换模式为PAT的NAT64规则引用。
1.3 前置条件
(1) 无论是从IPv4还是从IPv6方向,访问的目的地址均是路由可达的。
(2) IPv6主机对DNS64服务器的访问不经过设备便可达(简言之,参照组网图,DNS64服务器部署在网关右侧)。
(3) IPv4服务器在DNS64服务器上的域名地址绑定信息已经提前配置正确。
2 配置步骤
2.1 基础网络配置
(1) 通过设备管理接口IP地址https://192.168.1.200,登录Web管理界面。
(2)点击[网络]>>[接口] >>[物理接口]菜单项。
点击对应接口的编辑按钮,按照网络地址规划,配置接口IP地址,具体配置步骤略。
2.2 配置动态NAT64规则
1、配置地址对象
(1)单击[对象]>>[地址]>>[IPv6地址],点击<新增>按钮,按照下图配置IPv6地址网络对象。
(2)单击[IPv4地址],点击<新增>按钮,按照下图配置IPv4地址网络对象。
2、新增NAT64前缀
单击[网络]>>[NAT] >>[NAT64前缀],单击<新增>按钮,按照下图配置NAT64前缀信息。
3、配置地址转换池
点击[地址池]转换选项卡,点击<新增>按钮,配置IPv6子网映射地址池。
4、配置动态NAT64转换规则
(1)点击[NAT64转换],点击<新增>按钮,按照下图配置动态NAT64转换规则(带“*”的配置项为必配项)。
(2)确认配置无误,点击<保存>。
3 配置验证
(1) 单击[运营]>>[网络]>>[会话]>>[实时会话信息],找到对应下的实时会话信息,点击“ 查看详情”按钮,可查看到一条NAT64的会话信息。
(2) 单击[网络]>>[NAT]>>[NAT64转换],查看NAT64规则有命中信息(首包命中,命中数会+1)。
