• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

AFT v4 v6互访

2026-05-25提问
  • 0关注
  • 0收藏,107浏览
zhiliao_ztK3Ks
zhiliao_ztK3Ks 四段
粉丝:0人 关注:2人

问题描述:

小AC——poe——AP——client

 |

router

 |

AC

组网如图所示,

1.小AC某GE口为路由模式,ip为大网地址;

2.AC、AP、poe为二层组网,网关在小AC上;vlan 100(私有vlan)

3.无线服务为集中转发,client为纯ipv6地址上线,地址池在小AC;vlan200(私有vlan)

4.现在想使用路由器,通过aft命令,使终端可以访问大网,根据press文档配置后,dis aft session ipv6 versbose没查到进程,是哪里出了问题

组网及组网描述:

2 个回答
按时间 按赞数
刘浩存
刘浩存 九段
粉丝:17人 关注:1人

从你的描述来看,dis aft session ipv6 verbose 查不到会话进程,通常说明流量根本就没有到达AFT(NAT64)的转换模块,或者报文在到达AFT处理前就被其他机制拦截了
结合你的组网(Client -> AP -> PoE -> AC -> 小AC -> Router),以下是导致AFT转换未生效的几个核心排查方向:

1. 检查路由与默认网关(最常见原因)

AFT转换的前提是,纯IPv6的Client发出的报文必须被引导到配置了AFT功能的路由器(或三层网关)上。
  • 排查点:确认 Client 的默认网关是否指向了小AC或Router上支持AFT的接口地址?
  • 逻辑:如果Client的网关没有指向Router,或者小AC上没有配置指向Router的IPv6默认路由(ipv6 route-static :: 0 [下一跳IPv6地址]),IPv6报文根本走不到Router,AFT自然无法生效。

2. 检查AFT功能是否在接口下开启

仅仅配置了 aft prefix-nat64 和转换策略是不够的,必须在物理接口或VLAN接口下显式开启AFT功能。
  • 排查点:进入Router连接小AC的接口(以及连接大网的接口),检查是否执行了 aft enable 命令。

3. 检查ACL匹配与NAT64前缀配置

AFT转换策略需要精确匹配流量。如果ACL写得不对,流量会被放行但不会被转换。
  • 排查点
    • ACL是否匹配:检查 acl ipv6 是否准确匹配了 Client 所在的 VLAN 200 的 IPv6 网段。
    • 策略关联:确认 aft v4tov6 source acl number [xxx] prefix-nat64 [前缀] 这条命令是否正确引用了上述ACL和前缀。
    • 前缀合法性:确认配置的 NAT64 前缀(如 2012::/96)是否是一个合法的、未在网络中实际分配的前缀。

4. 检查安全策略(防火墙拦截)

如果你的 Router 或 小AC 具备防火墙功能(如H3C设备通常有安全域划分),IPv6报文在转换前需要经过安全策略的检查。
  • 排查点:检查是否配置了允许 Local域/Trust域 到 Untrust域(或对应的大网安全域)的 IPv6 安全策略。如果没有放行策略,报文会被直接丢弃,无法触发AFT。

5. 核心排查手段: Debug 或 抓包

如果以上配置都确认无误,建议直接在 Router 上进行抓包或开启调试信息,这是定位问题最直观的方法:
  • 抓包:在 Router 连接小AC的接口上抓包,看是否能收到 Client 发出的 IPv6 报文(如 Ping 大网IPv4地址的报文)。
    • 收不到包:问题出在上行链路、小AC的路由或VLAN透传上。
    • 收到包但没转换:问题出在 Router 的AFT配置、ACL匹配或安全策略上。

暂无评论

zhiliao_GeOM0O
zhiliao_GeOM0O 八段
粉丝:10人 关注:2人

根据你的组网和配置现象(display aft session ipv6 verbose 无会话),问题大概率出在 AFT 转换流程的关键环节,而不是基础命令错误。结合你贴的官方配置案例,按优先级排查:

一、先确认基础环境是否满足(组网与接口)

1. 接口模式与地址检查

AFT 必须在三层路由接口上配置,且两端接口的地址族必须正确:
  • IPv4 侧接口:配置 IPv4 地址,aft enable 必须在该接口下开启(你的案例中 G1/0/1 是 IPv4 侧)
  • IPv6 侧接口:配置 IPv6 地址,aft enable 必须在该接口下开启(你的案例中 G1/0/2 是 IPv6 侧)

2. 接口方向与业务流向匹配

你的业务是 IPv6 终端(VLAN200)→ 小 AC → 路由器 IPv6 接口 → 转换为 IPv4 访问大网,因此:
  • 路由器的 IPv6 侧接口(连接 AC 的方向)是入接口,必须开启 aft enable
  • 路由器的 IPv4 侧接口(连接大网的方向)是出接口,必须开启 aft enable

二、AFT 关键配置项排查(按官方配置核对)

1. NAT64 前缀与 IVI 前缀是否配置正确

AFT 双向转换必须同时配置两种前缀,且格式不能错:
bash
运行
# NAT64前缀(用于IPv4→IPv6源地址转换,IPv6→IPv4目的地址转换) aft prefix-nat64 2012:: 96 # IVI前缀(用于IPv6→IPv4源地址转换,必须和终端IPv6地址匹配) aft prefix-ivi 2013::
  • 注意:prefix-nat64 必须是 /96 前缀prefix-ivi 必须和终端 IPv6 地址的前缀一致(比如你的终端地址是 2013:ff14:0101:0100::/64,则 prefix-ivi 应为 2013::

2. 动态转换策略是否引用了正确的 ACL 和 IVI 前缀

IPv4 到 IPv6 的动态目的地址转换策略,必须在路由器上配置,且 ACL 要覆盖所有需要转换的流量:
bash
运行
# 配置ACL,允许所有IPv4侧访问(或指定网段) acl number 2000 rule permit # 配置转换策略,引用ACL和IVI前缀 aft v4tov6 destination acl number 2000 prefix-ivi 2013::
  • 关键:v4tov6 是目的地址转换,v6tov4 是源地址转换,不要搞反
  • 你的业务是 IPv6 终端访问 IPv4 大网,还需要配置 v6tov4 源地址转换策略,否则终端发起的流量无法转换源地址,无法建立会话!

3. 地址池 / 转换范围是否冲突

  • 确认 NAT64 前缀对应的 IPv4 地址段没有被其他业务占用
  • 确认 IVI 前缀和终端 IPv6 地址的对应关系正确(IPv6 地址后 32 位对应 IPv4 地址)

三、业务流量路径排查(终端侧与 AC 侧)

1. 终端 IPv6 配置是否正确

  • 终端必须配置为 仅 IPv6 地址,且网关指向路由器的 IPv6 接口地址
  • 测试终端 ping 路由器 IPv6 接口地址,确认二层可达
  • 测试终端 ping NAT64 格式的 IPv4 地址(比如访问 1.1.1.1,构造为 2012::1.1.1.1),看是否能触发转换

2. AC 侧转发是否正常

  • 无线服务为集中转发,确认 VLAN200(IPv6 终端)的流量正常转发到路由器的 IPv6 接口
  • 确认 AC 和路由器之间的二层 / 三层互通,IPv6 路由可达(display ipv6 route 看是否有路由器的路由)

四、快速验证命令(直接在路由器上执行)

bash
运行
# 1. 查看AFT配置是否生效 display aft config # 2. 查看转换策略是否匹配流量 display aft statistics # 3. 查看接口是否开启AFT display interface brief | include aft # 4. 手动触发转换测试(用终端ping NAT64地址) display aft session ipv6 verbose

五、最常见的三个坑(90% 场景)

  1. 只配置了 v4tov6 策略,没配置 v6tov4 策略:终端发起的 IPv6 流量无法转换源地址,无法建立会话
  2. 接口方向搞反,AFT enable 开错了接口:比如只在 IPv4 侧开了 aft enable,IPv6 侧没开
  3. NAT64/IVI 前缀和终端地址不匹配:比如终端 IPv6 前缀是 2001::,但配置的 prefix-ivi2013::,无法识别流量

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明