35-NPTv6典型配置举例
本章节下载: 35-NPTv6典型配置举例 (239.83 KB)
NPTv6典型配置举例
本章包含如下内容:
· 简介
· 配置前提
· 使用限制
本文档介绍NPTv6功能的典型配置举例。
NPTv6(IPv6-to-IPv6 Network Prefix Translation,IPv6-to-IPv6网络前缀转换)是NAT66的一种实现方式,其将报文头中IPv6地址的前缀替换为另一个等长IPv6地址前缀,实现IPv6地址转换。
NPTv6提供如下两种地址转换方式:
· 源地址转换:转换报文源IPv6地址。该方式应用于内部网络主动访问外部网络的场景中。
· 目的地址转换:转换报文目的IPv6地址。该方式应用于内部网络向外部网络提供服务,并由外部网络主动访问这些服务的场景中。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置与以下举例中的配置不冲突。
本文档假设您已了解NPTv6特性。
本特性不支持与全局NAT特性混用。
如图-1所示,Host所在网络的出口处部署了一台Device。现需要使用NPTv6功能,将内网用户地址转换为公网地址来访问外网。具体需求如下:
内部用户FEC0:FEC0:FEC0:1010::1/64使用外网地址2019:2019:2019:1010::1/64访问Internet中地址为2019:2019:2019:1011::1/64的Server。
本举例是在F1090的R8860版本上进行配置和验证的。
1. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。
· 安全域:Untrust
· 选择“IPv6地址”页签,手工配置全球单播地址:2019:2019:2019:1010::100/64
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/0,配置如下。
· 安全域:Trust
· 选择“IPv6地址”页签,手工配置全球单播地址:FEC0:FEC0:FEC0:1010::100/64
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv6静态路由”,单击<新建>按钮,进入新建IPv6静态路由页面。
# 新建IPv6静态路由,并进行如下配置:
· 目的IPv6地址:2019:2019:2019:1011::1
· 前缀长度:64
· 下一跳IPv6地址:2019:2019:2019:1010::101
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。# 新建安全策略,并进行如下配置:
· 名称:Secpolicy
· 源安全域:Trust
· 目的安全域:Untrust
· 类型:IPv6
· 动作:允许
· 源IPv6地址:FEC0:FEC0:FEC0:1010::1
· 目的IPv6地址:2019:2019:2019:1011::1
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 配置NPTv6
# 选择“策略 > 接口NAT > IPv6 > NAT66前缀转换”,进入NAT66前缀转换页面。
# 单击<新建>按钮,新建NAT66前缀转换,将源IPv6地址前缀FEC0:FEC0:FEC0:1010::/64替换为2019:2019:2019:1010::/64,配置如下图所示。
图-2 新建NAT66前缀转换
# 单击<确定>按钮,完成NAT66前缀转换配置。
1. Host主机可以Ping通外部网络的服务器地址。
C:\Users\abc>ping 2019:2019:2019:1011::1
正在 Ping 2019:2019:2019:1011::1 具有 32 字节的数据:
来自 2019:2019:2019:1011::1 的回复: 字节=32 时间<1ms TTL=253
来自 2019:2019:2019:1011::1 的回复: 字节=32 时间<1ms TTL=253
来自 2019:2019:2019:1011::1 的回复: 字节=32 时间<1ms TTL=253
来自 2019:2019:2019:1011::1 的回复: 字节=32 时间<1ms TTL=253
2019:2019:2019:1011::1 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
2. 在Device上,选择“监控 > 会话列表”,查看NPTv6的会话信息。
图-3 会话列表
如图-4所示,公司有一台对外提供Web服务的Web Server,其地址为FEC0:FEC0:FEC0:1010::1/64,通过配置目的地址转换功能,外部网络主机Host可以通过公网地址2019:2019:2019:1010::1/64访问公司内部的Web Server。
本举例是在F1090的R8860版本上进行配置和验证的。
1. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。
· 安全域:Untrust
· 选择“IPv6地址”页签,手工配置全球单播地址:2019:2019:2019:1010::100/64
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/0,配置如下。
· 安全域:Trust
· 选择“IPv6地址”页签,手工配置全球单播地址:FEC0:FEC0:FEC0:1010::100/64
· 其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
2. 配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
# 选择“网络 > 路由 > 静态路由 > IPv6静态路由”,单击<新建>按钮,进入新建IPv6静态路由页面。
# 新建IPv6静态路由,并进行如下配置:
· 目的IPv6地址:::
· 前缀长度:0
· 下一跳IPv6地址:2019:2019:2019:1010::101
· 其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
3. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。# 新建安全策略,并进行如下配置:
· 名称:Secpolicy
· 源安全域:Untrust
· 目的安全域:Trust
· 类型:IPv6
· 动作:允许
· 源IPv6地址:2019:2019:2019:1011::1
· 目的IPv6地址:FEC0:FEC0:FEC0:1010::1
· 其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
4. 配置NPTv6
# 选择“策略 > 接口NAT > IPv6 > NAT66前缀转换”,进入NAT66前缀转换页面。
# 单击<新建>按钮,新建NAT66前缀转换,将目的IPv6地址前缀2019:2019:2019:1010::/64替换为FEC0:FEC0:FEC0:1010::/64,配置如下图所示。
图-5 新建NAT66前缀转换
# 单击<确定>按钮,完成NAT66前缀转换配置。
1. Host主机可以Ping通外部网络的服务器地址。
C:\Users\abc>ping 2019:2019:2019:1010::1
正在 Ping 2019:2019:2019:1010::1 具有 32 字节的数据:
来自 2019:2019:2019:1010::1 的回复: 字节=32 时间<1ms TTL=253
来自 2019:2019:2019:1010::1 的回复: 字节=32 时间<1ms TTL=253
来自 2019:2019:2019:1010::1 的回复: 字节=32 时间<1ms TTL=253
来自 2019:2019:2019:1010::1 的回复: 字节=32 时间<1ms TTL=253
2019:2019:2019:1010::1 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
2. 在Device上,选择“监控 > 会话列表”,查看NPTv6的会话信息。
图-6 会话列表
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!