secpath l5000-c ipv6隐藏内网地址

NAT66（IPv6到IPv6网络地址转换）不使用传统IPv4 NAT中的PAT（端口地址转换）机制，因为IPv6地址空间足够大，通常不需要通过端口复用来实现地址转换。在NAT66配置中，是将私网IPv6前缀映射到公网IPv6前缀，**不涉及端口复用**。

针对你的问题：

- 运营商分配的是 **/127** 前缀（典型点对点链路），仅用于接口间通信，**不适合用作NAT后的公网地址池**。
- 你内网使用的是 **/64** 前缀，这是IPv6标准子网大小，符合规范。
- 若希望通过NAT66将私网IPv6地址（如：1000::/64）转换为公网IPv6地址访问外网，**必须拥有可路由的公网IPv6地址池（如/64或更大）作为NAT目标地址**，不能使用运营商的/127链路地址。

因此：
- **NAT66转换后的公网地址前缀应与运营商分配的可路由公网前缀一致（通常是/64），而不是/127链路前缀**。
- 你应向运营商申请一个或多个可路由的公网/64 IPv6前缀，用于NAT66的公网地址池（如2000::/64）。
- NAT66配置示例：将内网1000::/64 → 公网2000::/64 中的某个地址（如2000::1），确保转换后的源地址是全局可路由的，且**不与外网接口地址前缀冲突**。

总结回答：

> NAT66转换后的源IPv6地址必须使用运营商分配的**可路由公网/64前缀**（非/127链路地址），不能开启PAT（IPv6无PAT概念）。应避免转换后地址前缀与外网接口或目的地址前缀重叠。**保持公网侧为/64前缀是标准做法，不会冲突，前提是正确规划地址分配**。/127仅用于链路，不可用于主机或NAT地址池。