• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

M9000 AFT功能实现IPv4网络与IPv6网络互访

2018-06-26 发表
  • 0关注
  • 2收藏 3745浏览
李政
李政 四段
粉丝:0人 关注:0人

组网及说明

一、AFT简介

IPv4IPv6过渡阶段,AFT可以实现IPv4网络和IPv6网络的互访。AFT本质与NAT类似,通过将IPv6地址映射为IPv4地址和IPv4地址映射为IPv6地址实现互访。对AFT地址转换方式的理解也可以参考NAT,具体包含以下四种方式:

1、静态模式(11);

2、动态模式(1对多)

3、前缀方式:

nat64前缀;将IPv4地址和IPv6地址相互映射,前缀长度为324048566496,格式如下:

IVI前缀和general前缀:IPv6侧发起访问时,将IPv6地址映射为IPv4地址

4IPv6内部服务器

        IPv6侧发起访问时,实现地址和端口映射

匹配优先级:IPv6内部服务器>静态模式>动态模式>前缀模式


此外AFT还支持FTPDNSICMP差错报文的ALG处理。以SSH为例


二、组网图

 

 

M9000中需要先配置域间策略,放通IPv4IPv6报文。此处略过,重点关注AFT配置方式


 



配置步骤

典型配置及验证

1IPv4客户端通过SSH访问IPv6服务器

1)防火墙配置

#

aft prefix-nat64 2013:: 96                                                 //IPv4地址通过NAT64前缀方式转换为IPv6地址

#

aft v6server protocol tcp 1.1.1.5 22 2013::1 22                //IPV6地址2013::1映射为1.1.1.5 端口号为22

#

interface GigabitEthernet1/5/0/9

 aft enable                                                                        //端口使能AFT功能

interface GigabitEthernet1/5/0/13

 aft enable

 

 

2)结果验证:

<S6800-L5>ssh 1.1.1.5

Username: aaa

Press CTRL+C to abort.

Connecting to 1.1.1.5 port 22.

The server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:y

aaa@1.1.1.5's password:

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<S6800-L1>

<S6800-L1>

 

在防火墙上查看地址映射信息:

[H3C]dis aft address-mapping

Slot 0 in chassis 1:

Total address-mapping found: 0

Slot 1 in chassis 1:

Total address-mapping found: 0

 

CPU 1 on slot 2 in chassis 1:

IPv6: Source IP/port: 2013::101:101/15940

      Destination IP/port: 2013::1/22

      VPN instance/VLAN ID/VLL ID: -/-/-

      Protocol: TCP(6)

IPv4: Source IP/port: 1.1.1.1/15940

      Destination IP/port: 1.1.1.5/22

      VPN instance/VLAN ID/VLL ID: -/-/-

      Protocol: TCP(6)

Total address-mapping found: 1

 

 

2IPv6客户端通过SSH访问IPv4服务器

1)防火墙配置

#

aft address-group 0                                   //IPv6地址转换为地址族内的地址对外网进行访问

 address 1.1.1.5 1.1.1.7

#

aft prefix-nat64 2013:: 96                        //IPv4地址通过NAT64前缀方式转换为IPv6地址

#

aft v6tov4 source acl ipv6 number 2001 address-group 0

#

interface GigabitEthernet1/5/0/9             //接口使能aft功能

 aft enable

interface GigabitEthernet1/5/0/13               //接口使能aft功能

 aft enable

 

 

2)结果验证:

<S6800-L1>ssh ipv6 2013::1.1.1.1

Username: aaa

Press CTRL+C to abort.

Connecting to 2013::101:101 port 22.

aaa@2013::101:101's password:

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<S6800-L5>

<S6800-L5>

 

 

 

在防火墙上查看映射关系:

[H3C]dis aft address-mapping

Slot 0 in chassis 1:

Total address-mapping found: 0

 

Slot 1 in chassis 1:

Total address-mapping found: 0

 

CPU 1 on slot 2 in chassis 1:

IPv6: Source IP/port: 2013::1/16330

      Destination IP/port: 2013::101:101/22

      VPN instance/VLAN ID/VLL ID: -/-/-

      Protocol: TCP(6)

IPv4: Source IP/port: 1.1.1.6/1035

      Destination IP/port: 1.1.1.1/22

      VPN instance/VLAN ID/VLL ID: -/-/-

      Protocol: TCP(6)

Total address-mapping found: 1

 

 

配置关键点

1、防火墙域间策略需放通IPv6报文;

2、利用NAT64作地址映射通常采用96为地址前缀,如1.1.1.1映射为2013::1.1.1.1

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-12对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作