防火墙AFT实现IPv4和IPv6网络互访详细版

需求：现场部署了IPV4和IPV6网络，需要让IPV4和IPV6网络互访。

实现方式：

***为IPv6网络分配一个IVI前缀（250C::）和IPv4网段（192.168.2.0/24），IPv6网络中所有IPv6主机的地址均配置为由IVI前缀和IPv4网段中地址组合而成的IPv6地址。

***为IPv4网络分配一个NAT64前缀（2024::），IPv4网络主动访问IPv6网络时，IPv4源地址使用NAT64前缀转换为IPv6地址；IPv6网络主动访问IPv4网络时，目的地址使用NAT64前缀和IPv4地址组合成的IPv6地址。

注意事项：

（1）IPv6侧分配IVI前缀以及使用的IPv4地址需要规划好；（PC2真实是IPv6地址，逻辑上给它规划IPv4地址，相当于IPv6地址=IVI前缀+IPv4地址）

（2）IPV4侧PC需要有路由到IPv6网络逻辑分配的IPv4网段（192.168.2.0/24），IPV6侧PC需要有路由到NAT64前缀（2024::）；

（3）PC防火墙需要关闭。


配置流程：
(1)配置ACL 2000用来过滤需要访问IPv6网络的用户，同时匹配该ACL 2000的报文的目的地址将会根据配置的IVI前缀转换为IPv6地址。

acl basic 2500

 rule 0 permit

(2)配置NAT64前缀为2024::/96，用于进行IPv4到IPv6的源地址转换和IPv6到IPv4的目的地址转换。

aft prefix-nat64 2024:: 96

(3) 配置IVI前缀，用于进行IPv6到IPv4源地址转换，且在IPv4到IPv6动态目的地址转换策略中引用该前缀。

aft prefix-ivi 250C::

(4)配置IPv4到IPv6动态目的地址转换策略，IPv4到IPv6报文的目的IPv4地址转换为IPv6地址。

aft v4tov6 destination acl number 2500 prefix-ivi 250C::

(5)接口开启aft

interface GigabitEthernet6/0

 port link-mode route

 aft enable

 ipv6 address 250C:0:FFC0:A802:100::/64

interface GigabitEthernet1/0

 port link-mode route

 ip address 111.11.11.1 255.255.255.0

 aft enable

(5)IPv4终端新增路由

 route add 192.168.2.0 mask 255.255.255.0  111.11.11.1

route print -4查看路由：

(6)IPv6终端新增路由

电脑IPv6地址：

route -6 add 2024::/64  250C:0:FFC0:A802:0100::     ////首先要有ipv6邻居才能下发成功，否则报错

netsh interface ipv6 show neighbors /////查看电脑ipv6邻居缓存 

route print -6查看路由：

防火墙ipv6邻居表：

测试：

（1）ipv6访问ipv4

（2）ipv4访问ipv6

客户端和防火墙涉及的地址