某局点comwareV7防火墙NAT66不成功

组网如下：

内网FW1通过NAT66来访问外网FW3

现场配置了NAT66，发现内网FW1无法通过源地址200::1访问FW32408:8710:20:4500::2

interface GigabitEthernet5/0

 port link-mode route

 ip address 66.66.66.67 255.255.255.0

 nat66 prefix source 200:: 60 2408:8710:20:4500:: 60

 ipv6 address 2408:8710:20:4500::1/60

查看配置手册，发现有如下说明：主要是我打中括号的说明，就是字面意思，NAT66前缀不能与外网口相同，也不能与内网访问的目的地址相同

1. 配置限制和指导

在同一个接口下，一个内网地址前缀和一个外网地址前缀必须是一对一的唯一映射关系。

不同接口下，同一个外网地址前缀不能映射为不同的内网地址前缀。

【内部服务器向外提供服务时对外公布的外网IPv6地址前缀不能与NAT66设备的外网地址前缀以及访问内部服务器的外网主机地址前缀相同。

不支持对 AH和ESP协议的报文进行NAT66目的地址转换。】

因为如果NAT66前缀与接口地址在同一网段，NAT66前缀是不能响应对端发送的NS报文的，所以必须配置为不同网段

interface GigabitEthernet5/0

 port link-mode route

 ip address 66.66.66.67 255.255.255.0

 nat66 prefix source 200:: 60 2408:8710:20:3500:: 60

 ipv6 address 2408:8710:20:4500::1/60

此时FW1pingFW3,在FW2上可以看到NAT66的会话

FW2会话如下