问题描述:
MSR3600路由器Version 7.1.064, Release 6749P43
需求:内部的设备不获取公网的ipv6地址,使用私网的IPV6地址提供给外部访问
外部通过公网的IPV6地址映射到内网的IPV6私网地址中(内部有多个设备需要提供给外部访问)
内部的私网IPV6地址无需通过IPV6的方式来访问网络,上网使用纯IPV4
请问目前使用什么技术来实现,如何来做配置
目前双栈IPV4+IPV6的解决方案是使用什么技术?
组网及组网描述:
wan口运营商线路IPV4+IPV6
lan口私网IPV4+IPV6,下联各类服务器对外提供服务。
- 2026-05-27提问
- 举报
-
(0)
1. 需求一:外部公网 IPv6 映射到内网私网 IPv6(IPv6 端口映射)
- 在 WAN 口和 LAN 口开启 IPv6 转发。
- 配置 NAPT66 策略,将 WAN 口的公网 IPv6 地址(或指定的公网 IPv6)的特定端口,映射到内网服务器的私网 IPv6 地址及端口。
- 关键一步: 必须配置安全策略(Security Policy)或防火墙规则,放行从 WAN 口(通常是 Untrust 域)到 LAN 口(Trust 域)的流量。
1# 1. 开启 IPv6 报文转发
2ipv6
3
4# 2. 配置 NAPT66 策略
5# 假设 WAN 口公网 IPv6 为 240e:1234::1,内网服务器私网 IPv6 为 fd00::100
6# 将外部访问 240e:1234::1 的 80 端口映射到内部 fd00::100 的 80 端口
7nat66 policy 1
8 rule 1 inbound interface GigabitEthernet0/0 destination-address 240e:1234::1 destination-port 80 translate-address fd00::100 translate-port 80
9 quit
10
11# 3. 在 WAN 口应用 NAPT66 策略
12interface GigabitEthernet0/0 # 假设 G0/0 为 WAN 口
13 nat66 apply policy 1
14 quit
15
16# 4. 配置安全策略放行外部访问(至关重要,否则映射了也进不来)
17security-zone name Untrust
18 import interface GigabitEthernet0/0
19security-zone name Trust
20 import interface GigabitEthernet0/1
21
22security-policy ip
23 rule name IPv6_External_Access
24 action permit
25 source-zone Untrust
26 destination-zone Trust
27 source-address 0::0 128 # 允许任意源 IPv6
28 destination-address fd00::100 128 # 映射后的真实内网服务器地址
29 service http # 允许 http 服务
30 quit2. 需求二:内部私网 IPv6 设备上网走纯 IPv4
- 配置 NAT64 转换规则,将内网 IPv6 流量转换为 WAN 口的 IPv4 地址上网。
- 内网服务器需要将 DNS 指向一个支持 DNS64 的服务器(如果运营商不提供,通常需要在内网自建 DNS64 服务器或使用公共的 DNS64 服务)。
1# 1. 配置 NAT64 转换规则(将内网 IPv6 转换为 WAN 口 IPv4 上网)
2nat64 prefix stateless 64:ff9b:: 96 # 配置 NAT64 前缀(通常为 64:ff9b::/96)
3
4nat64 policy 1
5 rule 1 source-address fd00:: 16 # 匹配内网 IPv6 私网网段
6 action nat64 outbound interface GigabitEthernet0/0 # 转换为 WAN 口 IPv4 地址出方向
7 quit
8
9# 2. 在 LAN 口应用 NAT64 策略
10interface GigabitEthernet0/1 # 假设 G0/1 为 LAN 口
11 nat64 apply policy 1
12 quit***.*** 时,DNS64 服务器会返回一个带有 64:ff9b:: 前缀的假 IPv6 地址,路由器收到后会自动识别并通过 NAT64 翻译成 IPv4 报文发往互联网。3. 目前双栈 IPv4+IPv6 的解决方案是什么?
- 基础架构: 你的 WAN 口和 LAN 口同时配置 IPv4 和 IPv6 地址,设备能同时处理两种报文。
- 对外服务: 使用 NAPT66 技术,实现 IPv6 到 IPv6 的端口映射(类似 IPv4 的 NAT Server)。
- 上网访问:
- 访问 IPv6 网站:直接通过 IPv6 路由转发。
- 访问 IPv4 网站:通过 NAT64(IPv6 转 IPv4)或直接走 IPv4 协议栈(如果终端也配了 IPv4)。
- 内网互通: 纯 IPv4 设备走 IPv4 路由,纯 IPv6 设备走 IPv6 路由,互不干扰。
- 2026-05-28回答
- 评论(1)
- 举报
-
(0)
Version 7.1.064, Release 6749P43 我这款MSR3600路由器应该没有你描述的这些命令
那v4和v6分别做好对应需求的功能配置就行。NAT44源地址转换保证内到外上网不受影响;NAT66目的地址转换可实现将公网IPv6地址映射到内部私有IPv6服务器。
- 2026-05-27回答
- 评论(6)
- 举报
-
(0)
应该是
NAT66是不是只能1对1,不能像V4的端口映射这么配置?
NAT66是不是只能1对1,不能像V4的端口映射这么配置?
# 配置IPv6目的地址转换的前缀映射关系,将IPv6地址前缀2001:AB01:0001::1/128转换为FD01:0203:0405::100/128。 <Device> system-view [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat66 prefix destination 2001:ab01:1::1 128 fd01:203:405::100 128 [Device-GigabitEthernet1/0/2] quit
NAT66是不是只支持1对1,不能像V4端口映射一样多个端口对应内部多台设备?
NAT66是不是只支持1对1,不能像V4端口映射一样多个端口对应内部多台设备?
应该是
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
Version 7.1.064, Release 6749P43 我这款MSR3600路由器应该没有你描述的这些命令