业务需求
某单位总部正在进行网络升级,从IPv4网络升级到IPv6网络。为了保障网络升级过程中不影响公司正常的生产办公,部分访问频繁的服务器还不能进行迁移升级。因此需要在防火墙上配置NAT-PT策略,确保已经升级到IPv6网络的部门,能够访问到这些还未升级的IPv4服务器。
在网络升级规划过程中,需要为这些IPv4服务器分配固定映射的IPv6地址,以供IPv6子网访问。
表3-2 组网图中关键配置信息说明
信息项 |
说明 |
|---|---|
防火墙管理接口 |
Ge0/0,用于访问防火墙Web界面,进行相关配置 |
防火墙管理接口IP |
192.168.1.200 |
NAT64前缀信息 |
2ffe:db8::/96,目标IPv4地址映射的IPv6子网 |
IPv6子网 |
3ffe:db8::/96 |
IPv6网络地址对象1 |
3ffe:db8:: /96 |
IPv6网络地址对象2 |
2ffe:db8::212:10,OA系统服务器映射的IPv6地址 |
IPv4网络地址对象1 |
10.51.212.10,OA系统在IPv4网络中的IPv4地址 |
IPv4地址池 |
172.16.10.100-172.16.10.139 |
端口范围 |
11001-12000 |
源地址转换模式 |
PAT(端口地址转换模式,即是IP地址可复用) |
任意IPv6地址 |
::/0 |
配置限制与说明
l 动态NAT-PT不支持NAT hairpin场景。
l 若动态NAT-PT规则中需要匹配任意IPv6地址时,需要用户额外自定义一个“任意IPv6地址”地址对象,不能使用系统默认的any对象,因为any对象包含任意IPv4地址和任意IPv6地址。
l 源地址转换地址池引用的地址池对象,如果被某条NAT64规则引用且指定的转换模式为NO-PAT后,则该地址池对象不能再被其他转换模式为PAT的NAT64规则引用。
前置条件
(1) 网络规划时,网络中是具有路由可引导流量能够从IPv4网络流向IPv4地址池所在设备(即防火墙)。
(2) 网络规划时,网络中是具有路由可引导流量能够从IPv6网络流向做NAT64转换的设备(即防火墙)。简而言之,无论是从IPv4还是从IPv6方向,访问的目的地址均是路由可达的。