源NPTv6组网配置案例（转为出接口IPv6地址）

1 适用的产品和版本

表1 配置示例使用的产品和版本

设备类型	设备型号	版本
防火墙	RG-WALL 1600-CF系列防火墙	适用于NGFW_NTOS 1.0R12或更高版本

2 业务需求

某单位在网络边界处部署了一台Device作为安全网关，需要在Device上配置源NAT策略，将内网地址PC地址转换为Device出接口IPv6地址，实现在不对外体现内网IP地址情况下，内网用户可以正常访问Internet，增强内部用户的网络安全性。

网络环境如下图所示，其中DHCP Server由ISP提供。

3 配置限制与说明

如果NAT66规则中需要匹配任意IPv6地址时，需要用户额外自定义一个“任意IPv6地址”地址对象（地址范围为::1-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF），不能使用系统默认的any对象，因为any对象包含任意IPv4地址和任意IPv6地址。

4 前置条件

默认目的地址转换前后，目的地址都是已经路由可达的，即组网中PC、各个网络设备已经完成接口IP、路由等基础上网配置。

5 配置步骤

5.1 配置接口IP地址，并将接口加入安全区域

（1）通过设备管理接口登录Web管理界面。

（2）点击[网络]>>[接口]>>[物理接口]菜单项。

（3）点击接口对应的编辑按钮，配置IP地址并加入相应的安全域。

5.2 配置NAT66-源NPTv6规则

（1）单击[对象]>>[地址]>>[IPv6地址]，点击<新增>按钮，按照下图配置IPv6地址网络对象。

（2）点击[策略]>>[NAT策略]>>[NAT66转换]，点击<新增>按钮，按照下图配置NAT66转换规则，转换类型选择“源地址转换”，源地址转换为选择“出接口地址”（带“*”的配置项为必配项）。

（3）确认配置无误，点击<保存>。

5.3 配置安全策略放行NAT66规则对应的流量

（1）单击[策略]>>[安全策略]，点击<新增>按钮，按照下图配置安全策略（带“*”的配置项为必配项）。

说明：内容安全功能根据实际业务需求开启。

（2）确认配置无误，点击<保存>。

6 验证配置结果

（1）单击[运营]>>[网络]>>[会话]>>[详细会话信息]，找到对应的实时会话信息，点击“查看详情”按钮，可查看到一条NAT66的会话信息。

（2）单击[策略]>>[安全策略]，查看针对NAT66规则配置的安全策略有命中信息（首包命中，命中数将会+1）。

（3）单击[策略]>>[NAT策略]>>[NAT66转换]，查看NAT66规则有命中信息（首包命中，命中数将会+1）。