新华三IPV6过渡技术相关问题
- 0关注
- 1收藏,941浏览
问题描述:
用户想做IPV6改造,但是暂时不想动内部的IPV4组网,
也就是外网出口只有IPV6地址,内网只有IPV4的场景,想要实现内网IPV4能够正常上互联网。华三是否有对应的解决方案呢?
组网及组网描述:
- 2022-03-10提问
- 举报
-
(0)
隧道技术:通过在IPv6报文外封装IPv4头部,使IPv6报文可以穿越IPv4网络,是目 前IPv6过渡技术最常用的方案
-6 to 4隧道,使用固定的6to4地址格式,隧道自动完成封装,使用简单
-ISATAP隧道,建立在主机和路由器之间的隧道,需要在主机端发起连接请求,适 用于单机穿越IPv4访问IPv6网络
-6PE隧道,利用现有的IPv4 MPLS网络进行的隧道传输
NAPPT:使用地址和协议转换技术对IPv4和IPv6协议进行互相转换,与NAT原理类 似,也分为静态NAPPT,动态NAT-PT, NATPT-PT
- 2022-03-10回答
- 评论(0)
- 举报
-
(0)
双栈、隧道,隧道目前常用的方案。
IPv4网络访问IPv6 Internet中的服务器配置举例
1. 组网需求
Internet已经升级到了IPv6,但是某公司内部网络仍然是IPv4网络。而该公司内部网络的10.1.1.0/24网段的用户仍需要访问IPv6 Internet中的服务器,其他用户不能访问。
为满足上述要求,本例中使用如下方式实现:
· 使用IPv4到IPv6源地址动态地址转换策略,将IPv4报文的源地址转换为IPv6地址。
· 通过IPv6到IPv4的源地址静态转换策略为IPv6 Internet上服务器的IPv6地址指定一个对应的IPv4地址,Device收到发往该IPv4地址的报文时将其转换为对应的IPv6地址。
2. 组网图
图1-10 IPv4网络访问IPv6 Internet中的服务器配置组网图
3. 配置步骤
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/2/5/1
[Device-GigabitEthernet1/2/5/1] ip address 10.1.1.4 24
[Device-GigabitEthernet1/2/5/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/2/5/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/2/5/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Server所在网络的下一跳IPv6地址为2014::100,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ipv6 route-static 2013:0:ff14:0101:100:: 64 2014::100
(4) 配置安全策略
# 配置名称为aftlocalin的安全策略,使Device能对Host访问Server的报文进行AFT转换,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalin
[Device-security-policy-ip-1-aftlocalin] source-zone trust
[Device-security-policy-ip-1-aftlocalin] destination-zone local
[Device-security-policy-ip-1-aftlocalin] source-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-1-aftlocalin] destination-ip-host 20.1.1.1
[Device-security-policy-ip-1-aftlocalin] action pass
[Device-security-policy-ip-1-aftlocalin] quit
[Device-security-policy-ip] quit
# 配置名称为aftlocalout的安全策略,允许将AFT转换后的报文转发至Server,具体配置步骤如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalout
[Device-security-policy-ipv6-1-aftlocalout] source-zone local
[Device-security-policy-ipv6-1-aftlocalout] destination-zone untrust
[Device-security-policy-ipv6-1-aftlocalout] source-ip-subnet 2012:: 96
[Device-security-policy-ipv6-1-aftlocalout] destination-ip-host 2013:0:ff14:0101:100::1
[Device-security-policy-ipv6-1-aftlocalout] action pass
[Device-security-policy-ipv6-1-aftlocalout] quit
[Device-security-policy-ipv6] quit
(5) 配置AFT功能
# 配置ACL 2000,仅允许IPv4网络中10.1.1.0/24网段的用户可以访问IPv6 Internet。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] rule deny
[Device-acl-ipv4-basic-2000] quit
# 配置NAT64前缀,此前缀将在IPv4到IPv6源地址动态转换策略中被调用,将报文的源地址转换为IPv6地址。
[Device] aft prefix-nat64 2012:: 96
# 配置IPv4到IPv6源地址动态转换策略,将匹配ACL 2000报文的源地址根据NAT64前缀转换为IPv6地址。
[Device] aft v4tov6 source acl number 2000 prefix-nat64 2012:: 96
# 配置IPv6到IPv4的源地址静态转换策略,用于将报文的目的地址转换为IPv6地址。
[Device] aft v6tov4 source 2013:0:ff14:0101:100:: 20.1.1.1
# 在设备IPv4侧和IPv6侧接口开启AFT。
[Device] interface gigabitethernet 1/2/5/1
[Device-GigabitEthernet1/2/5/1] aft enable
[Device-GigabitEthernet1/2/5/1] quit
[Device] interface gigabitethernet 1/2/5/2
[Device-GigabitEthernet1/2/5/2] aft enable
[Device-GigabitEthernet1/2/5/2] quit
- 2022-03-10回答
- 评论(3)
- 举报
-
(0)
你这场景和我想要的也不一样呀,我是要实现内部IPV4地址访问公网各个IPV6地址,比如内网IPV4主机ping www.baidu.com,要怎么实现他们的通信。
哦,看错了,内部不动的话在路由器或者防火墙做aft转换,就是nat。
你看看这个: IPv4网络访问IPv6 Internet中的服务器配置举例 1. 组网需求 Internet已经升级到了IPv6,但是某公司内部网络仍然是IPv4网络。而该公司内部网络的10.1.1.0/24网段的用户仍需要访问IPv6 Internet中的服务器,其他用户不能访问。 为满足上述要求,本例中使用如下方式实现: · 使用IPv4到IPv6源地址动态地址转换策略,将IPv4报文的源地址转换为IPv6地址。 · 通过IPv6到IPv4的源地址静态转换策略为IPv6 Internet上服务器的IPv6地址指定一个对应的IPv4地址,Device收到发往该IPv4地址的报文时将其转换为对应的IPv6地址。 2. 组网图 图1-10 IPv4网络访问IPv6 Internet中的服务器配置组网图 3. 配置步骤 (1) 配置接口IP地址 # 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。 <Device> system-view [Device] interface gigabitethernet 1/2/5/1 [Device-GigabitEthernet1/2/5/1] ip address 10.1.1.4 24 [Device-GigabitEthernet1/2/5/1] quit 请参考以上步骤配置其他接口的IP地址,具体配置步骤略。 (2) 将接口加入安全域 # 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。 [Device] security-zone name trust [Device-security-zone-Trust] import interface gigabitethernet 1/2/5/1 [Device-security-zone-Trust] quit [Device] security-zone name untrust [Device-security-zone-Untrust] import interface gigabitethernet 1/2/5/2 [Device-security-zone-Untrust] quit (3) 配置静态路由 本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。 # 请根据组网图中规划的信息,配置静态路由,本举例假设到达Server所在网络的下一跳IPv6地址为2014::100,实际使用中请以具体组网情况为准,具体配置步骤如下。 [Device] ipv6 route-static 2013:0:ff14:0101:100:: 64 2014::100 (4) 配置安全策略 # 配置名称为aftlocalin的安全策略,使Device能对Host访问Server的报文进行AFT转换,具体配置步骤如下。 [Device] security-policy ip [Device-security-policy-ip] rule name aftlocalin [Device-security-policy-ip-1-aftlocalin] source-zone trust [Device-security-policy-ip-1-aftlocalin] destination-zone local [Device-security-policy-ip-1-aftlocalin] source-ip-subnet 10.1.1.0 24 [Device-security-policy-ip-1-aftlocalin] destination-ip-host 20.1.1.1 [Device-security-policy-ip-1-aftlocalin] action pass [Device-security-policy-ip-1-aftlocalin] quit [Device-security-policy-ip] quit # 配置名称为aftlocalout的安全策略,允许将AFT转换后的报文转发至Server,具体配置步骤如下。 [Device] security-policy ipv6 [Device-security-policy-ipv6] rule name aftlocalout [Device-security-policy-ipv6-1-aftlocalout] source-zone local [Device-security-policy-ipv6-1-aftlocalout] destination-zone untrust [Device-security-policy-ipv6-1-aftlocalout] source-ip-subnet 2012:: 96 [Device-security-policy-ipv6-1-aftlocalout] destination-ip-host 2013:0:ff14:0101:100::1 [Device-security-policy-ipv6-1-aftlocalout] action pass [Device-security-policy-ipv6-1-aftlocalout] quit [Device-security-policy-ipv6] quit (5) 配置AFT功能 # 配置ACL 2000,仅允许IPv4网络中10.1.1.0/24网段的用户可以访问IPv6 Internet。 [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 10.1.1.0 0.0.0.255 [Device-acl-ipv4-basic-2000] rule deny [Device-acl-ipv4-basic-2000] quit # 配置NAT64前缀,此前缀将在IPv4到IPv6源地址动态转换策略中被调用,将报文的源地址转换为IPv6地址。 [Device] aft prefix-nat64 2012:: 96 # 配置IPv4到IPv6源地址动态转换策略,将匹配ACL 2000报文的源地址根据NAT64前缀转换为IPv6地址。 [Device] aft v4tov6 source acl number 2000 prefix-nat64 2012:: 96 # 配置IPv6到IPv4的源地址静态转换策略,用于将报文的目的地址转换为IPv6地址。 [Device] aft v6tov4 source 2013:0:ff14:0101:100:: 20.1.1.1 # 在设备IPv4侧和IPv6侧接口开启AFT。 [Device] interface gigabitethernet 1/2/5/1 [Device-GigabitEthernet1/2/5/1] aft enable [Device-GigabitEthernet1/2/5/1] quit [Device] interface gigabitethernet 1/2/5/2 [Device-GigabitEthernet1/2/5/2] aft enable [Device-GigabitEthernet1/2/5/2] quit
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
别随手就甩链接啊,链接无法体现我才来提问的,请问是否有做过相关方案?
链接里面就有配置方法和相关案例
都不能满足我的需求啊,起码要支持DNS64吧