- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-AFT配置
本章節下載: 02-AFT配置 (509.77 KB)
1.10.5 配置引用IVI前綴或General前綴的IPv4到IPv6目的地址轉換策略
1.11.4 配置引用NAT64前綴或General前綴的IPv4到IPv6源地址轉換策略
1.13 配置AFT轉換後IPv6報文的Traffic Class字段值
1.15.2 配置IRF雙機熱備場景下的AFT端口負載分擔功能
1.15.3 配置HA+VRRP場景中AFT與VRRP備份組綁定
1.18.1 IPv6網絡訪問IPv4 Internet配置舉例
1.18.2 IPv4 Internet訪問IPv6網絡內部服務器配置舉例
1.18.4 IPv4網絡訪問IPv6 Internet中的服務器配置舉例
1.18.5 IPv6 Internet訪問IPv4網絡配置舉例
AFT(Address Family Translation,地址族轉換)提供了IPv4和IPv6地址之間的相互轉換功能。在IPv4網絡完全過渡到IPv6網絡之前,兩個網絡之間直接的通信可以通過AFT來實現。例如,使用AFT可以使IPv4網絡中的主機直接訪問IPv6網絡中的FTP服務器。
如圖1-1所示,AFT作用於IPv4和IPv6網絡邊緣設備上,所有的地址轉換過程都在該設備上實現,對IPv4和IPv6網絡內的用戶來說是透明的,即用戶不必改變目前網絡中主機的配置就可實現IPv6網絡與IPv4網絡的通信。
圖1-1 AFT應用場景
AFT的地址轉換分為靜態轉換、動態轉換、前綴轉換及IPv6內部服務器方式。
靜態轉換方式是指采用手工配置的IPv6地址與IPv4地址的一一對應關係來實現IPv6地址與IPv4地址的轉換。靜態轉換方式包括IPv4到IPv6源地址靜態轉換策略和IPv6到IPv4源地址靜態轉換策略。
IPv4到IPv6源地址靜態轉換策略可用於如下地址轉換場景:
· 對於從IPv4側發起的訪問,當報文的源IPv4地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv4地址時,AFT將報文的源IPv4地址轉換為IPv6地址。
· 對於從IPv6側發起的訪問,當報文的目的IPv6地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv6地址時,AFT將報文的目的IPv6地址轉換為IPv4地址。
IPv6到IPv4源地址靜態轉換策略可用於如下地址轉換場景:
· 對於從IPv6側發起的訪問,當報文的源IPv6地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv6地址時,AFT將報文的源IPv6地址轉換為IPv4地址。
· 對於從IPv4側發起的訪問,當報文的目的IPv4地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv4地址時,AFT將報文的目的IPv4地址轉換為IPv6地址。
動態轉換方式是指動態地創建IPv6地址與IPv4地址的對應關係來實現IPv6地址與IPv4地址的轉換。和靜態轉換方式不同,動態轉換方式中IPv6和IPv4地址之間不存在固定的一一對應關係。
將IPv6報文的源IPv6地址轉換為IPv4地址時,動態轉換方式分為NO-PAT和PAT兩種模式。
NO-PAT(Not Port Address Translation,非端口地址轉換)模式下,一個IPv4地址同一時間隻能對應一個IPv6地址進行轉換,不能同時被多個IPv6地址共用。當使用某IPv4地址的IPv6網絡用戶停止訪問IPv4網絡時,AFT會將其占用的IPv4地址釋放並分配給其他IPv6網絡用戶使用。
該模式下,AFT設備隻對報文的IP地址進行AFT轉換,同時會建立一個NO-PAT表項用於記錄IPv6地址和IPv4地址的映射關係,並不涉及端口轉換,可支持所有IP協議的報文。
PAT(Port Address Translation,端口地址轉換)模式下,一個IPv4地址可以同時被多個IPv6地址共用。該模式下,AFT設備需要對報文的IP地址和傳輸層端口同時進行轉換,且隻支持TCP、UDP和ICMPv6(Internet Control Message Protocol for IPv6,IPv6互聯網控製消息協議)查詢報文。
PAT模式的動態轉換策略支持對端口塊大小進行限製,從而達到限製轉換和溯源的目的。可劃分的端口號範圍為1024~65535,剩餘不足劃分的部分則不會進行分配。IPv6主機首次發起連接時,為該地址分配一個用於轉換的IPv4地址,以及該IPv4地址的一個端口塊。後續從該IPv6主機發起的連接都使用這個IPv4地址和端口塊裏麵的端口進行轉換,直到端口塊裏麵的端口用盡。
前綴轉換包括NAT64前綴轉換、IVI前綴轉換和General前綴轉換。
NAT64前綴是長度為32、40、48、56、64或96位的IPv6地址前綴,用來構造IPv4節點在IPv6網絡中的地址,以便IPv4主機與IPv6主機通信。網絡中並不存在帶有NAT64前綴的IPv6地址的主機。
如圖1-2所示,NAT64前綴長度不同時,地址轉換方法有所不同。其中,NAT64前綴長度為32、64和96位時,IPv4地址作為一個整體添加到IPv6地址中;NAT64前綴長度為40、48和56位時,IPv4地址被拆分成兩部分,分別添加到64~71位的前後。64~71位為保留位,必須設置為0。
圖1-2 對應IPv4地址帶有NAT64前綴的IPv6地址格式
AFT構造IPv4節點在IPv6網絡中的地址示例如表1-1所示。
表1-1 IPv4地址帶有NAT64前綴的IPv6地址示例
|
IPv6前綴 |
IPv4地址 |
嵌入IPv4地址的IPv6地址 |
|
2001:db8::/32 |
192.0.2.33 |
2001:db8:c000:221:: |
|
2001:db8:100::/40 |
192.0.2.33 |
2001:db8:1c0:2:21:: |
|
2001:db8:122::/48 |
192.0.2.33 |
2001:db8:122:c000:2:2100:: |
|
2001:db8:122:300::/56 |
192.0.2.33 |
2001:db8:122:3c0:0:221:: |
|
2001:db8:122:344::/64 |
192.0.2.33 |
2001:db8:122:344:c0:2:2100:: |
|
2001:db8:122:344::/96 |
192.0.2.33 |
2001:db8:122:344::192.0.2.33 |
IPv4側發起訪問時,AFT利用NAT64前綴將報文的源IPv4地址轉換為IPv6地址;IPv6側發起訪問時,AFT利用NAT64前綴將報文的目的IPv6地址轉換為IPv4地址。
IVI前綴是長度為32位的IPv6地址前綴。IVI地址是IPv6主機實際使用的IPv6地址,這個IPv6地址中內嵌了一個IPv4地址,可以用於與IPv4主機通信。由IVI前綴構成的IVI地址格式如圖1-3所示。
圖1-3 IVI地址格式
從IPv6側發起訪問時,AFT可以使用IVI前綴將報文的源IPv6地址轉換為IPv4地址。
General前綴與NAT64前綴類似,都是長度為32、40、48、56、64或96位的IPv6地址前綴,用來構造IPv4節點在IPv6網絡中的地址。如圖1-4所示,General前綴與NAT64前綴的區別在於,General前綴沒有64到71位的8位保留位,IPv4地址作為一個整體添加到IPv6地址中。
圖1-4 對應IPv4地址帶有General前綴的IPv6地址格式
從IPv6側發起訪問時,AFT利用General前綴將報文的源/目的IPv6地址轉換為IPv4地址。需要注意的是,General前綴與NAT64前綴都不能與設備上的接口地址同網段。
IPv6內部服務器是指向IPv4網絡主機提供服務的IPv6網絡中的服務器。通過配置IPv6內部服務器,可以將IPv6服務器的地址和端口映射到IPv4網絡,IPv4網絡中的主機通過訪問映射後的IPv4地址和端口就可以訪問IPv6網絡中的服務器。
在IPv4向IPv6過渡前期,多數服務仍然位於IPv4網絡中,IPv6用戶訪問IPv4側服務器時,通過配置IPv4內部服務器,可以將IPv4服務器的地址和端口映射到IPv6網絡,IPv6網絡中的主機通過映射後的IPv6地址和端口就可以訪問IPv4網絡中的服務器。
IPv6側發起訪問和IPv4側發起訪問的報文轉換過程有所不同,下麵將分別介紹。
圖1-5 IPv6側發起訪問的AFT報文轉換過程
如圖1-5所示,IPv6側發起訪問時AFT設備對報文的轉換過程為:
(1) 判斷是否需要進行AFT轉換:AFT設備接收到IPv6網絡主機(IPv6 host)發送給IPv4網絡主機(IPv4 host)的報文後,判斷該報文是否要轉發到IPv4網絡。如果報文的目的IPv6地址能夠匹配到IPv6目的地址轉換策略,則該報文需要轉發到IPv4網絡,需要進行AFT轉換;如果未匹配到任何一種轉換策略,則表示該報文不需要進行AFT轉換。
(2) 轉換報文目的地址:根據IPv6目的地址轉換策略將報文目的IPv6地址轉換為IPv4地址。
(3) 根據目的地址預查路由:根據轉換後的IPv4目的地址查找路由表,確定報文的出接口。如果查找失敗,則丟棄報文。需要注意的是,預查路由時不會查找策略路由。
(4) 轉換報文源地址:根據IPv6源地址轉換策略將報文源IPv6地址轉換為IPv4地址。如果未匹配到任何一種轉換策略,則報文將被丟棄。
(5) 轉發報文並記錄映射關係:報文的源IPv6地址和目的IPv6地址都轉換為IPv4地址後,設備按照正常的轉發流程將報文轉發到IPv4網絡中的主機。同時,將IPv6地址與IPv4地址的映射關係保存在設備中。
(6) 根據記錄的映射關係轉發應答報文:IPv4網絡主機發送給IPv6網絡主機的應答報文到達AFT設備後,設備將根據已保存的映射關係進行相反的轉換,從而將報文發送給IPv6網絡主機。
圖1-6 IPv4側發起訪問的AFT報文轉換過程
如圖1-6所示,IPv4側發起訪問時AFT設備對報文的轉換過程為:
(1) 判斷是否需要進行AFT轉換:AFT設備接收到IPv4網絡主機(IPv4 host)發送給IPv6網絡主機(IPv6 host)的報文後,判斷該報文是否要轉發到IPv6網絡。如果報文的目的IPv4地址能夠匹配到IPv4目的地址轉換策略,則該報文需要轉發到IPv6網絡,需要進行AFT轉換。如果未匹配到任何一種轉換策略,則表示該報文不需要進行AFT地址轉換。
(2) 轉換報文目的地址:根據IPv4目的地址轉換策略將報文目的IPv4地址轉換為IPv6地址。
(3) 根據目的地址預查路由:根據轉換後的IPv6目的地址查找路由表,確定報文的出接口。如果查找失敗,則丟棄報文。需要注意的是,預查路由時不會查找策略路由。
(4) 轉換報文源地址:根據IPv4源地址轉換策略將報文源IPv4地址轉換為IPv6地址。如果未匹配到任何一種轉換策略,則報文將被丟棄。
(5) 轉發報文並記錄映射關係:報文的源IPv4地址和目的IPv4地址都轉換為IPv6地址後,設備按照正常的轉發流程將報文轉發到IPv6網絡中的主機。同時,將IPv4地址與IPv6地址的映射關係保存在設備中。
(6) 根據記錄的映射關係轉發應答報文:IPv6網絡主機發送給IPv4網絡主機的應答報文到達AFT設備後,設備將根據已保存的映射關係進行相反的轉換,從而將報文發送給IPv4網絡主機。
AFT隻對報文頭中的IP地址和端口信息進行轉換,不對應用層數據載荷中的字段進行分析。然而對於一些特殊協議,它們的報文的數據載荷中可能包含IP地址或端口信息。例如,FTP應用由數據連接和控製連接共同完成,而數據連接使用的地址和端口由控製連接報文中的載荷信息決定。這些載荷信息也必須進行有效的轉換,否則可能導致功能問題。ALG(Application Level Gateway,應用層網關)主要完成對應用層報文的處理,利用ALG可以完成載荷信息的轉換。
設備上經過AFT轉換的報文不會再進行NAT轉換。
AFT配置任務如下:
(1) 開啟AFT功能
(2) 配置IPv6側發起的會話的轉換配置
可通過使用本文中的配置任務實現IPv6側發起的會話的轉換,或者使用全局NAT策略實現IPv6側發起的會話的轉換。關於使用全局NAT策略實現此功能的詳細介紹,請參見“NAT配置指導”中的“配置NAT”。
¡ (可選)配置AFT轉換後IPv4報文的ToS字段值
(3) 配置IPv4側發起的會話的轉換配置
可通過使用本文中的配置任務實現IPv4側發起的會話的轉換,或者使用全局NAT策略實現IPv6側發起的會話的轉換。關於使用全局NAT策略實現此功能的詳細介紹,請參見“NAT配置指導”中的“配置NAT”。
¡ (可選)配置AFT轉換後IPv6報文的Traffic Class字段值
(4) (可選)配置AFT ALG
(5) (可選)配置AFT的高可靠性
(6) (可選)開啟AFT日誌功能
隻有在連接IPv4網絡和IPv6網絡的接口上都開啟AFT功能後,才能實現IPv4報文和IPv6報文之間的相互轉換。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟AFT功能。
aft enable
缺省情況下,AFT功能處於關閉狀態。
IPv6目的地址轉換策略匹配的優先級從高到低為:
(1) IPv4內部服務器
(2) IPv4到IPv6的源地址靜態轉換策略。
(3) General前綴。
(4) NAT64前綴。
此功能需要保證安全策略放行IPv6網絡側安全域到Local安全域的報文。
(1) 進入係統視圖。
system-view
(2) 配置IPv4側服務器對應的IPv6地址及端口。
aft v4server protocol protocol-type ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ] ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
缺省情況下,未配置IPv4側服務器對應的IPv6地址及端口號。
IPv4到IPv6源地址靜態轉換策略手工建立了IPv4地址與IPv6地址的一一對應關係,可用於如下地址轉換場景:
· 對於從IPv4側發起的訪問,當報文的源IPv4地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv4地址時,AFT將報文的源IPv4地址轉換為IPv6地址。
· 對於從IPv6側發起的訪問,當報文的目的IPv6地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv6地址時,AFT將報文的目的IPv6地址轉換為IPv4地址。
(1) 進入係統視圖。
system-view
(2) 配置IPv4到IPv6源地址靜態轉換策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ]
缺省情況下,未配置IPv4到IPv6源地址靜態轉換策略。
(1) 進入係統視圖。
system-view
(2) 配置General前綴。
aft prefix-general prefix-general prefix-length
缺省情況下,未配置General前綴。
(1) 進入係統視圖。
system-view
(2) 配置NAT64前綴。
aft prefix-nat64 prefix-nat64 prefix-length
缺省情況下,未配置NAT64前綴。
IPv6源地址轉換策略匹配的優先級從高到低為:
(1) IPv6到IPv4的源地址靜態轉換策略。
(2) General前綴。
(3) IVI前綴。
(4) IPv6到IPv4的源地址動態轉換策略。
此功能需要保證安全策略放行Local安全域到IPv4網絡側安全域的報文。
IPv6到IPv4源地址靜態轉換策略手工建立了IPv6地址與IPv4地址的一一對應關係,可用於如下地址轉換場景:
· 對於從IPv6側發起的訪問,當報文的源IPv6地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv6地址時,AFT將報文的源IPv6地址轉換為IPv4地址。
· 對於從IPv4側發起的訪問,當報文的目的IPv4地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv4地址時,AFT將報文的目的IPv4地址轉換為IPv6地址。
(1) 進入係統視圖。
system-view
(2) 配置IPv6到IPv4源地址靜態轉換策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
(1) 進入係統視圖。
system-view
(2) 配置General前綴。
aft prefix-general prefix-general prefix-length
(1) 進入係統視圖。
system-view
(2) 配置IVI前綴。
aft prefix-ivi prefix-ivi
IPv6到IPv4源地址動態轉換方式是指動態地創建IPv6地址與IPv4地址的對應關係來實現IPv6地址與IPv4地址的轉換。在PAT模式的IPv6到IPv4源地址動態轉換方式中,一個IPv4地址可以同時被多個IPv6地址共用。該模式下,AFT設備需要對報文的IP地址和傳輸層端口同時進行轉換,且隻支持TCP、UDP和ICMPv6(Internet Control Message Protocol for IPv6,IPv6互聯網控製消息協議)查詢報文。
(1) 進入係統視圖。
system-view
(2) (可選)配置AFT地址組。
a. 創建一個AFT地址組,並進入AFT地址組視圖。
aft address-group group-id
在配置IPv6到IPv4源地址動態轉換策略前,根據實際情況選配。
b. 添加地址組成員。
address start-address end-address
可通過多次執行本命令添加多個地址組成員。
當前地址組成員的IP地址段不能與該地址組中或者其它地址組中已有成員的IP地址段重疊。
c. 退回係統視圖。
quit
(3) 配置IPv6到IPv4源地址動態轉換策略。
aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } { address-group group-id [ no-pat | port-block-size blocksize ] | interface interface-type interface-number } [ vpn-instance ipv4-vpn-instance-name ]
IPv4目的地址轉換策略的匹配優先級從高到低為:
(1) IPv6內部服務器。
(2) IPv6到IPv4的源地址靜態轉換策略。
(3) 引用IVI前綴或General前綴的IPv4到IPv6目的地址轉換策略。
此功能需要保證安全策略放行IPv4網絡側安全域到Local安全域的報文。
(1) 進入係統視圖。
system-view
(2) 配置IPv6側服務器對應的IPv4地址及端口。
aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ]
IPv6到IPv4源地址靜態轉換策略手工建立了IPv6地址與IPv4地址的一一對應關係,可用於如下地址轉換場景:
· 對於從IPv6側發起的訪問,當報文的源IPv6地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv6地址時,AFT將報文的源IPv6地址轉換為IPv4地址。
· 對於從IPv4側發起的訪問,當報文的目的IPv4地址匹配IPv6到IPv4源地址靜態轉換策略中的IPv4地址時,AFT將報文的目的IPv4地址轉換為IPv6地址。
(1) 進入係統視圖。
system-view
(2) 配置IPv6到IPv4源地址靜態轉換策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
(1) 進入係統視圖。
system-view
(2) 配置IVI前綴或General前綴。請選擇其中一項進行配置。
¡ 配置IVI前綴。
aft prefix-ivi prefix-ivi
¡ 配置General前綴。
aft prefix-general prefix-general prefix-length
(3) 配置引用IVI前綴或General前綴的IPv4到IPv6目的地址轉換策略。
aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] } }
引用IVI前綴或General前綴之前,需要先進行IVI前綴或General前綴的配置,轉換策略才能生效。
IPv4源地址轉換策略的匹配優先級從高到低為:
(1) IPv4到IPv6的源地址靜態轉換策略。
(2) 引用NAT64前綴或General前綴的IPv4到IPv6源地址轉換策略。
(3) NAT64前綴。
此功能需要保證安全策略放行Local安全域到IPv6網絡側安全域的報文。
IPv4到IPv6源地址靜態轉換策略手工建立了IPv4地址與IPv6地址的一一對應關係,可用於如下地址轉換場景:
· 對於從IPv4側發起的訪問,當報文的源IPv4地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv4地址時,AFT將報文的源IPv4地址轉換為IPv6地址。
· 對於從IPv6側發起的訪問,當報文的目的IPv6地址匹配IPv4到IPv6源地址靜態轉換策略中的IPv6地址時,AFT將報文的目的IPv6地址轉換為IPv4地址。
(1) 進入係統視圖。
system-view
(2) 配置IPv4到IPv6源地址靜態轉換策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ]
(1) 進入係統視圖。
system-view
(2) 配置NAT64前綴或General前綴。請選擇其中一項進行配置。
¡ 配置NAT64前綴。
aft prefix-nat64 prefix-nat64 prefix-length
¡ 配置General前綴。
aft prefix-general prefix-general prefix-length
(3) 配置引用NAT64前綴或General前綴的IPv4到IPv6源地址轉換策略。
aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } }
引用NAT64前綴或General前綴之前,需要先進行NAT64前綴或General前綴的配置,轉換策略才能生效。
(1) 進入係統視圖。
system-view
(2) 配置NAT64前綴。
aft prefix-nat64 prefix-nat64 prefix-length
用戶可以設置在進行AFT轉換後,IPv4報文中ToS字段的取值:
· 為0:表示將轉換後報文的服務優先級降為最低。
· 與轉換前對應的ToS字段取值相同:表示保持原有的服務優先級。
(1) 進入係統視圖。
system-view
(2) 配置IPv6報文轉換為IPv4報文後,IPv4報文的ToS字段值為0。
aft turn-off tos
缺省情況下,當IPv6報文轉換為IPv4報文後,IPv4報文中的ToS字段與轉換前的IPv6報文的Traffic Class字段值相同。
用戶可以設置在AFT轉換後,IPv6報文中Traffic Class字段的取值:
· 為0:表示將轉換後報文的服務優先級降為最低。
· 與轉換前對應的Traffic Class字段取值相同:表示保持原有的服務優先級。
(1) 進入係統視圖。
system-view
(2) 配置IPv4報文轉換為IPv6報文後,IPv6報文的Traffic Class字段值為0。
aft turn-off traffic-class
缺省情況下,當IPv4報文轉換為IPv6報文後,IPv6報文中的Traffic Class字段與轉換前的IPv4報文的ToS字段值相同。
在IRF組網環境中,物理接口上配置的AFT業務不支持ALG功能。
(1) 進入係統視圖。
system-view
(2) 開啟指定或所有協議類型的AFT ALG功能。
aft alg { all | dns | ftp | http | icmp-error }
缺省情況下,DNS協議、FTP協議、ICMP差錯控製報文、HTTP協議的AFT ALG功能處於開啟狀態。
網絡中僅部署一台AFT設備時,一旦該設備發生故障,內網用戶將無法與外網通信。采用雙機熱備方案可以很好的避免上述情況的發生。在IRF雙機熱備和HA高可靠性方案中,主備部署或雙主部署的兩台設備均可承擔AFT業務;兩台設備間進行會話熱備、會話關聯表熱備、AFT端口塊表項熱備以及AFT配置的同步。當其中一台設備故障後流量自動切換到另一台正常工作的設備。
關於IRF的詳細介紹,請參見“虛擬化技術配置指導”中的“IRF”。
關於HA的詳細介紹,請參見“高可靠性配置指導”中的“雙機熱備(RBM)”。
AFT支持雙主模式的IRF雙機熱備和主備模式的IRF雙機熱備。兩種熱備場景中需要的AFT配置不同,差異如下:
· 在雙主模式的IRF雙機熱備場景下,當兩台IRF成員設備共用AFT地址組中的地址時,可能會出現兩台設備上不同的IPv6地址+端口號的地址轉換結果相同的情況。為了避免上述情況的發生,需要在IRF設備上開啟AFT端口負載分擔功能。開啟本功能後,兩台設備各獲得一半端口資源,從而保證兩台設備上不同流量的地址轉換結果不同。
· 在主備模式的IRF雙機熱備場景下,分別完成IRF雙機熱備配置以及AFT的基本配置即可,不需要額外的AFT配置來配合。
(1) 進入係統視圖。
system-view
(2) 開啟AFT端口負載分擔功能。
aft port-load-balance enable slot slot-number
缺省情況下,AFT端口負載分擔功能處於關閉狀態。
在HA+VRRP的高可靠性組網中,當VRRP的虛擬IP地址與AFT地址組中公網地址成員處於同一網段時,為了避免出現響應AFT地址組中地址成員的ARP請求出錯的情況,需要將AFT地址組與VRRP備份組綁定,由VRRP備份組中的Master設備對AFT地址組中地址成員的ARP請求進行響應。關於VRRP的詳細介紹,請參見“高可靠性配置指導”中的“高可靠性”。
(1) 進入係統視圖。
system-view
(2) 進入AFT地址組視圖。
aft address-group group-id
(3) 將AFT地址組與VRRP備份組綁定。
vrrp vrid virtual-router-id
缺省情況下,AFT地址組未綁定任何VRRP備份組。
(4) 退回係統視圖。
quit
(5) 將AFT地址組與VRRP備份組綁定。
aft remote-backup port-alloc { primary | secondary }
當兩台設備共用AFT地址組中的地址時,需要在主管理設備上配置本命令。
(1) 進入係統視圖。
system-view
(2) 進入AFT地址組視圖。
aft address-group group-id
(3) 將AFT地址組與VRRP備份組綁定。
vrrp vrid virtual-router-id
缺省情況下,AFT地址組未綁定任何VRRP備份組。
請在遠端備份組主管理設備上配置本命令。
為了滿足網絡管理員安全審計的需要,可以開啟AFT日誌功能,以便對AFT連接(AFT連接是指報文經過設備時,源或目的地址進行過AFT轉換的連接)信息進行記錄。在以下情況下會觸發記錄AFT日誌:
· AFT端口塊新建。
· AFT端口塊刪除。
· AFT流創建,即AFT會話創建時輸出日誌。
· AFT流刪除,即AFT會話釋放時輸出日誌。
生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟AFT日誌功能。
aft log enable
缺省情況下,AFT日誌功能處於關閉狀態。
配置本命令後,將記錄AFT端口塊新建和AFT端口塊刪除的日誌信息。
(3) (可選)開啟AFT流創建或流刪除的日誌功能。
¡ 開啟AFT流創建的日誌功能。
aft log flow-begin
缺省情況下,AFT新建流的日誌功能處於關閉狀態。
如需記錄AFT會話創建時的日誌信息,則需要配置本命令。隻有配置aft log enable命令之後,本命令才能生效。
¡ 開啟AFT流刪除的日誌功能。
aft log flow-end
缺省情況下,AFT刪除流的日誌功能處於關閉狀態。
如需記錄AFT會話釋放時的日誌信息,則需要配置本命令。隻有配置aft log enable命令之後,本命令才能生效。
在完成上述配置後,在任意視圖下執行display命令可以顯示AFT配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以刪除AFT會話或統計信息。
表1-2 AFT顯示和維護
|
操作 |
命令 |
|
顯示AFT配置信息 |
display aft configuration |
|
顯示地址組信息 |
display aft address-group [ group-id ] |
|
顯示AFT地址映射信息 |
display aft address-mapping [ slot slot-number ] |
|
顯示AFT NO-PAT表項信息 |
display aft no-pat [ slot slot-number ] |
|
顯示AFT端口塊映射表項信息 |
display aft port-block [ slot slot-number ] |
|
顯示AFT會話 |
display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ slot slot-number ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ slot slot-number ] [ verbose ] |
|
顯示AFT統計信息 |
display aft statistics [ slot slot-number ] |
|
刪除AFT會話 |
reset aft session [ slot slot-number ] |
|
刪除AFT統計信息 |
reset aft statistics [ slot slot-number ] |
某公司將網絡升級到了IPv6,但是仍然希望內網2013::/96網段的用戶可以訪問IPv4 Internet,其它網段的用戶不能訪問IPv4 Internet。該公司訪問IPv4 Internet使用的IPv4地址為10.1.1.1、10.1.1.2和10.1.1.3。
為滿足上述需求,本例中實現方式如下:
· 使用NAT64前綴與IPv4網絡中的主機地址組合成為IPv6地址,此IPv6地址將與IPv4 Internet內的主機建立相應的映射關係,IPv6網絡中的主機訪問該IPv6地址即可實現對IPv4 Internet的訪問。報文到達Device後,設備將根據NAT64前綴將該目的IPv6地址轉換為對應的IPv4地址。
· 使用IPv6到IPv4源地址動態轉換策略將IPv6網絡到IPv4網絡報文的源地址轉換為IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
圖1-7 IPv6網絡訪問IPv4 Internet配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 address 2013::1 96
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Server所在網絡的下一跳IP地址為10.1.1.100,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 20.1.1.0 24 10.1.1.100
(4) 配置安全策略
# 配置名稱為aftlocalin的安全策略,使Device能對Host訪問Server的報文進行AFT轉換,具體配置步驟如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalin
[Device-security-policy-ipv6-1-aftlocalin] source-zone trust
[Device-security-policy-ipv6-1-aftlocalin] destination-zone local
[Device-security-policy-ipv6-1-aftlocalin] source-ip-subnet 2013:: 96
[Device-security-policy-ipv6-1-aftlocalin] destination-ip-host 2012::20.1.1.1
[Device-security-policy-ipv6-1-aftlocalin] destination-ip-host 2012::20.1.1.2
[Device-security-policy-ipv6-1-aftlocalin] action pass
[Device-security-policy-ipv6-1-aftlocalin] quit
[Device-security-policy-ipv6] quit
# 配置名稱為aftlocalout的安全策略,允許將AFT轉換後的報文轉發至Server,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalout
[Device-security-policy-ip-1-aftlocalout] source-zone local
[Device-security-policy-ip-1-aftlocalout] destination-zone untrust
[Device-security-policy-ip-1-aftlocalout] source-ip-host 10.1.1.1
[Device-security-policy-ip-1-aftlocalout] source-ip-host 10.1.1.2
[Device-security-policy-ip-1-aftlocalout] source-ip-host 10.1.1.3
[Device-security-policy-ip-1-aftlocalout] destination-ip-host 20.1.1.1
[Device-security-policy-ip-1-aftlocalout] destination-ip-host 20.1.1.2
[Device-security-policy-ip-1-aftlocalout] action pass
[Device-security-policy-ip-1-aftlocalout] quit
[Device-security-policy-ip] quit
(5) 配置AFT功能
# 配置地址組0包含三個IPv4地址10.1.1.1、10.1.1.2和10.1.1.3。
[Device] aft address-group 0
[Device-aft-address-group-0] address 10.1.1.1 10.1.1.3
[Device-aft-address-group-0] quit
# 配置IPv6 ACL 2000,該ACL用來匹配源IPv6地址屬於2013::/96網段的報文。
[Device] acl ipv6 basic 2000
[Device-acl-ipv6-basic-2000] rule permit source 2013:: 96
[Device-acl-ipv6-basic-2000] rule deny
[Device-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址動態轉換策略,將匹配ACL 2000的IPv6報文源地址轉換為地址組0中的地址,即將2013::/96網段內主機所發送報文的源IPv6地址轉換為IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
[Device] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 配置NAT64前綴為2012::/96,報文的目的地址根據該NAT64前綴轉換為IPv4地址。
[Device] aft prefix-nat64 2012:: 96
# 在設備IPv6側和IPv4側接口開啟AFT功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,檢查IPv6 Host與IPv4 Server的連通性。以IPv6 host A ping IPv4 server A為例:
D:\>ping 2012::20.1.1.1
Pinging 2012::20.1.1.1 with 32 bytes of data:
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
# 通過查看AFT會話,可以看到創建了一個IPv6會話和IPv4會話,分別對應轉換前和轉換後的報文。
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013::100/0
Destination IP/port: 2012::1401:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 2012::1401:0101/0
Destination IP/port: 2013::100/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
State: ICMP_REPLY
Application: ICMP
Rule ID: 0
Rule name: aftlocalout
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
某公司將網絡升級到了IPv6,此時Internet仍然是IPv4網絡。該公司希望內部的FTP服務器能夠繼續為IPv4 Internet的用戶提供服務。該公司擁有的IPv4地址為10.1.1.1。
為滿足上述要求,本例實現方式如下:
· 使用IPv6側服務器配置將IPv6內部服務器的地址及端口映射為IPv4地址及端口,Device收到來自IPv4 Internet的報文後,根據該配置策略將報文IPv4目的地址轉換為IPv6地址;
· 使用NAT64前綴將報文源IPv4地址轉換為IPv6地址。
圖1-8 IPv4 Internet訪問IPv6網絡內部服務器配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.2 24
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(3) 配置安全策略
# 配置名稱為aftlocalin的安全策略,使Device能對Host訪問Server的報文進行AFT轉換,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalin
[Device-security-policy-ip-1-aftlocalin] source-zone untrust
[Device-security-policy-ip-1-aftlocalin] destination-zone local
[Device-security-policy-ip-1-aftlocalin] destination-ip-host 10.1.1.1
[Device-security-policy-ip-1-aftlocalin] action pass
[Device-security-policy-ip-1-aftlocalin] quit
[Device-security-policy-ip] quit
# 配置名稱為aftlocalout的安全策略,允許將AFT轉換後的報文轉發至Server,具體配置步驟如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalout
[Device-security-policy-ipv6-1-aftlocalout] source-zone local
[Device-security-policy-ipv6-1-aftlocalout] destination-zone trust
[Device-security-policy-ipv6-1-aftlocalout] source-ip-subnet 2012:: 96
[Device-security-policy-ipv6-1-aftlocalout] destination-ip-host 2013::102
[Device-security-policy-ipv6-1-aftlocalout] action pass
[Device-security-policy-ipv6-1-aftlocalout] quit
[Device-security-policy-ipv6] quit
(4) 配置AFT功能
# 配置IPv6側服務器對應的IPv4地址及端口號。IPv4網絡內用戶通過訪問該IPv4地址及端口即可訪問IPv6服務器。
[Device] aft v6server protocol tcp 10.1.1.1 21 2013::102 21
# 報文的源地址將根據配置的NAT64前綴轉換為IPv6地址。
[Device] aft prefix-nat64 2012:: 96
# 在設備IPv4側和IPv6側接口開啟AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,IPv4 Host可以通過FTP協議訪問IPv6 FTP Server。
# 通過查看AFT會話,可以看到創建了一個IPv4會話和IPv6會話,分別對應轉換前和轉換後的報文。
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/11025
Destination IP/port: 10.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
Responder:
Source IP/port: 10.1.1.1/21
Destination IP/port: 20.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
State: TCP_ESTABLISHED
Application: FTP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::1401:0101/1029
Destination IP/port: 2013::102/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
Responder:
Source IP/port: 2013::102/21
Destination IP/port: 2012::1401:0101/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
State: TCP_ESTABLISHED
Application: FTP
Rule ID: 0
Rule name: aftlocalout
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
某公司內部同時部署了IPv4網絡和IPv6網絡,並且希望IPv4網絡和IPv6網絡能夠互相訪問。
為滿足上述需求,本例中使用如下方式實現:
· 為IPv6網絡分配一個IVI前綴和IPv4網段,IPv6網絡中所有IPv6主機的地址均配置為由IVI前綴和IPv4網段中地址組合而成的IPv6地址。
· 為IPv4網絡分配一個NAT64前綴,IPv4網絡主動訪問IPv6網絡時,IPv4源地址使用NAT64前綴轉換為IPv6地址;IPv6網絡主動訪問IPv4網絡時,目的地址使用NAT64前綴和IPv4地址組合成的IPv6地址。
圖1-9 IPv4網絡和IPv6網絡互訪配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 20.1.1.1 24
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(3) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達IPv6 Host所在網絡的下一跳IPv6地址為2014::100,到達IPv4 Host所在網絡的下一跳IP地址為20.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ipv6 route-static 2013:: 32 2014::100
[Device] ip route-static 10.1.1.0 24 20.1.1.2
(4) 配置安全策略
a. 配置安全策略放行IPv4 Host訪問IPv6 Host的流量。
# 配置名稱為aftlocalin4的安全策略,使Device能對IPv4 Host訪問IPv6 Host的報文進行AFT轉換,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalin4
[Device-security-policy-ip-1-aftlocalin4] source-zone trust
[Device-security-policy-ip-1-aftlocalin4] destination-zone local
[Device-security-policy-ip-1-aftlocalin4] source-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-1-aftlocalin4] destination-ip-subnet 20.1.1.0 24
[Device-security-policy-ip-1-aftlocalin4] action pass
[Device-security-policy-ip-1-aftlocalin4] quit
[Device-security-policy-ip] quit
# 配置名稱為aftlocalout6的安全策略,允許將AFT轉換後的報文轉發至IPv6 Host,具體配置步驟如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalout6
[Device-security-policy-ipv6-1-aftlocalout6] source-zone local
[Device-security-policy-ipv6-1-aftlocalout6] destination-zone trust
[Device-security-policy-ipv6-1-aftlocalout6] source-ip-subnet 2012:: 96
[Device-security-policy-ipv6-1-aftlocalout6] destination-ip-subnet 2013:: 32
[Device-security-policy-ipv6-1-aftlocalout6] action pass
[Device-security-policy-ipv6-1-local-ipv6] quit
b. 配置安全策略放行IPv6 Host訪問IPv4 Host的流量。
# 配置名稱為aftlocalin6的安全策略,使Device能對IPv6 Host訪問IPv4 Host的報文進行AFT轉換,具體配置步驟如下。
[Device-security-policy-ipv6] rule name aftlocalin6
[Device-security-policy-ipv6-2-aftlocalin6] source-zone trust
[Device-security-policy-ipv6-2-aftlocalin6] destination-zone local
[Device-security-policy-ipv6-2-aftlocalin6] source-ip-subnet 2013:: 32
[Device-security-policy-ipv6-2-aftlocalin6] destination-ip-subnet 2012:: 96
[Device-security-policy-ipv6-2-aftlocalin6] action pass
[Device-security-policy-ipv6-2-aftlocalin6] quit
[Device-security-policy-ipv6] quit
# 配置名稱為aftlocalout4的安全策略,允許將AFT轉換後的報文轉發至IPv4 Host,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule 2 name aftlocalout4
[Device-security-policy-ip-2-aftlocalout4] source-zone local
[Device-security-policy-ip-2-aftlocalout4] destination-zone trust
[Device-security-policy-ip-2-aftlocalout4] source-ip-subnet 20.1.1.0 24
[Device-security-policy-ip-2-aftlocalout4] destination-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-2-aftlocalout4] action pass
[Device-security-policy-ip-2-aftlocalout4] quit
[Device-security-policy-ip] quit
(5) 配置AFT功能
# 配置ACL 2000用來過濾需要訪問IPv6網絡的用戶,同時匹配該ACL 2000的報文的目的地址將會根據配置的IVI前綴轉換為IPv6地址。此處所有IPv4網絡用戶均需要訪問IPv6網絡。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit
[Device-acl-ipv4-basic-2000] quit
# 配置NAT64前綴,用於進行IPv4到IPv6的源地址轉換和IPv6到IPv4的目的地址轉換。
[Device] aft prefix-nat64 2012:: 96
# 配置IVI前綴,用於進行IPv6到IPv4源地址轉換,且在IPv4到IPv6動態目的地址轉換策略中引用該前綴。
[Device] aft prefix-ivi 2013::
# 配置IPv4到IPv6動態目的地址轉換策略,IPv4到IPv6報文的目的IPv4地址轉換為IPv6地址。
[Device] aft v4tov6 destination acl number 2000 prefix-ivi 2013::
# 在設備IPv4側和IPv6側接口開啟AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,IPv4 host與IPv6 host可以互通。以IPv6 host A ping IPv4 host A為例:
D:\>ping 2012::a01:0101
Pinging 2012::a01:0101 with 32 bytes of data:
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
# 通過查看AFT會話,可以看到創建了一個IPv6會話和IPv4會話,分別對應轉換前和轉換後的報文。顯示內容如下:
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0a01:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 2012::0a01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
Responder:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
State: ICMP_REPLY
Application: ICMP
Rule ID: 2
Rule name: aftlocalout4
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
Internet已經升級到了IPv6,但是某公司內部網絡仍然是IPv4網絡。而該公司內部網絡的10.1.1.0/24網段的用戶仍需要訪問IPv6 Internet中的服務器,其他用戶不能訪問。
為滿足上述要求,本例中使用如下方式實現:
· 使用IPv4到IPv6源地址動態地址轉換策略,將IPv4報文的源地址轉換為IPv6地址。
· 通過IPv6到IPv4的源地址靜態轉換策略為IPv6 Internet上服務器的IPv6地址指定一個對應的IPv4地址,Device收到發往該IPv4地址的報文時將其轉換為對應的IPv6地址。
圖1-10 IPv4網絡訪問IPv6 Internet中的服務器配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.3 24
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Server所在網絡的下一跳IPv6地址為2014::100,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ipv6 route-static 2013:0:ff14:0101:100:: 64 2014::100
(4) 配置安全策略
# 配置名稱為aftlocalin的安全策略,使Device能對Host訪問Server的報文進行AFT轉換,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalin
[Device-security-policy-ip-1-aftlocalin] source-zone trust
[Device-security-policy-ip-1-aftlocalin] destination-zone local
[Device-security-policy-ip-1-aftlocalin] source-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-1-aftlocalin] destination-ip-host 20.1.1.1
[Device-security-policy-ip-1-aftlocalin] action pass
[Device-security-policy-ip-1-aftlocalin] quit
[Device-security-policy-ip] quit
# 配置名稱為aftlocalout的安全策略,允許將AFT轉換後的報文轉發至Server,具體配置步驟如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalout
[Device-security-policy-ipv6-1-aftlocalout] source-zone local
[Device-security-policy-ipv6-1-aftlocalout] destination-zone untrust
[Device-security-policy-ipv6-1-aftlocalout] source-ip-subnet 2012:: 96
[Device-security-policy-ipv6-1-aftlocalout] destination-ip-host 2013:0:ff14:0101:100::1
[Device-security-policy-ipv6-1-aftlocalout] action pass
[Device-security-policy-ipv6-1-aftlocalout] quit
[Device-security-policy-ipv6] quit
(5) 配置AFT功能
# 配置ACL 2000,僅允許IPv4網絡中10.1.1.0/24網段的用戶可以訪問IPv6 Internet。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] rule deny
[Device-acl-ipv4-basic-2000] quit
# 配置NAT64前綴,此前綴將在IPv4到IPv6源地址動態轉換策略中被調用,將報文的源地址轉換為IPv6地址。
[Device] aft prefix-nat64 2012:: 96
# 配置IPv4到IPv6源地址動態轉換策略,將匹配ACL 2000報文的源地址根據NAT64前綴轉換為IPv6地址。
[Device] aft v4tov6 source acl number 2000 prefix-nat64 2012:: 96
# 配置IPv6到IPv4的源地址靜態轉換策略,用於將報文的目的地址轉換為IPv6地址。
[Device] aft v6tov4 source 2013:0:ff14:0101:100::1 20.1.1.1
# 在設備IPv4側和IPv6側接口開啟AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,檢查IPv4 host與IPv6 server的連通性。以IPv4 host A ping IPv6 server為例:
D:\>ping 20.1.1.1
Pinging 20.1.1.1 with 32 bytes of data:
Reply from 20.1.1.1: bytes=32 time=14ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
# 通過查看AFT會話,可以看到創建了一個IPv4會話和IPv6會話,分別對應轉換前和轉換後的報文。
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
State: ICMP_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::0A01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
Responder:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0A01:0101/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
State: ICMPV6_REPLY
Application: ICMP
Rule ID: 0
Rule name: aftlocalout
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
Internet已經升級到了IPv6,但是某公司內部網絡仍然是IPv4網絡。而該公司仍希望為IPv6 Internet內的用戶提供FTP服務。該公司訪問IPv6 Internet使用的IPv6地址為2012::1。
為滿足上述要求,實現方式如下:
· 通過IPv4到IPv6源地址靜態轉換策略,為IPv4網絡中的FTP服務器地址指定一個對應的IPv6地址,IPv6 Internet中的主機通過訪問該IPv6地址可以訪問IPv4網絡中的FTP服務器。Device收到發往該IPv6地址的報文時將其目的地址轉換為對應的IPv4地址。
· 通過IPv6到IPv4源地址動態轉換策略,將IPv6 Internet發送過來的IPv6報文源地址轉換為IPv4地址30.1.1.1和30.1.1.2。
圖1-11 IPv6 Internet訪問IPv4網絡配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 address 2014::1 96
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(3) 配置安全策略
# 配置名稱為aftlocalin的安全策略,使Device能對Host訪問Server的報文進行AFT轉換,具體配置步驟如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalin
[Device-security-policy-ipv6-1-aftlocalin] source-zone untrust
[Device-security-policy-ipv6-1-aftlocalin] destination-zone local
[Device-security-policy-ipv6-1-aftlocalin] destination-ip-host 2012::1
[Device-security-policy-ipv6-1-aftlocalin] action pass
[Device-security-policy-ipv6-1-aftlocalin] quit
[Device-security-policy-ipv6] quit
# 配置名稱為aftlocalout的安全策略,允許將AFT轉換後的報文轉發至Server,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalout
[Device-security-policy-ip-1-aftlocalout] source-zone local
[Device-security-policy-ip-1-aftlocalout] destination-zone trust
[Device-security-policy-ip-1-aftlocalout] source-ip-host 30.1.1.1
[Device-security-policy-ip-1-aftlocalout] source-ip-host 30.1.1.2
[Device-security-policy-ip-1-aftlocalout] destination-ip-host 20.1.1.1
[Device-security-policy-ip-1-aftlocalout] action pass
[Device-security-policy-ip-1-aftlocalout] quit
[Device-security-policy-ip] quit
(4) 配置AFT功能
# 配置IPv4到IPv6源地址靜態轉換策略,手動指定IPv4與IPv6地址一一對應的轉換關係,此策略可將報文的目的地址轉換為對應的IPv4地址。
[Device] aft v4tov6 source 20.1.1.1 2012::1
# 配置地址組0包含2個IPv4地址:30.1.1.1和30.1.1.2。
[Device] aft address-group 0
[Device-aft-address-group-0] address 30.1.1.1 30.1.1.2
[Device-aft-address-group-0] quit
# 配置IPv6 ACL 2000,匹配IPv6網絡到IPv4網絡的報文。此處允許所有IPv6網絡內主機訪問IPv4 FTP Server。
[Device] acl ipv6 basic 2000
[Device-acl-ipv6-basic-2000] rule permit
[Device-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址動態轉換策略,將匹配ACL 2000的IPv6報文源地址轉換為地址組0中的IPv4地址30.1.1.1或30.1.1.2。
[Device] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 在設備IPv6側和IPv4側接口GigabitEthernet1/0/1開啟AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成後,檢查IPv6 host與IPv4 FTP server的連通性。以IPv6 host A ping IPv4 FTP server為例:
D:\>ping 2012::1
Pinging 2012::1 with 32 bytes of data:
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
# 通過查看AFT會話,可以看到創建了一個IPv6會話和IPv4會話,分別對應轉換前和轉換後的報文。
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF0A:0101:0100::/1029
Destination IP/port: 2012::1/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
Responder:
Source IP/port: 2012::1/21
Destination IP/port: 2013:0:FF0A:0101:0100::/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 30.1.1.1/11025
Destination IP/port: 20.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
Responder:
Source IP/port: 20.1.1.1/21
Destination IP/port: 30.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
State: ICMP_REPLY
Application: ICMP
Rule ID: 0
Rule name: aftlocalout
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
