• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6612 E6453)-6W109

04-NAT典型配置手册

本章节下载  (520.93 KB)

04-NAT典型配置手册


1  NAT简介

NAT是网络地址转换(Network Address Translation)的简称。可以将IPv4报文头中的地址转换为另一个地址。通常用于将多个私网地址转换为少量的公网地址,实现私网的Internet访问,可以有效缓解IPv4地址空间的不足。

NAT的实现方式有三种,源NAT,目的NAT,静态NAT。

·     源NAT是多对一的转换,当内网用户要访问外网时,将源地址内网地址转换为公网地址,然后才可以访问互联网。

·     目的NAT是外网地址要访问内网服务器时,内网服务器地址映射为外网地址,而外网用户通过访问该映射的外网地址就可以访问内网服务器。

·     静态NAT是一对一的转换,指将内部网络的某个私有IP地址转换为特定的公有IP地址。

每条NAT规则都是和某个特定的接口关联的,源地址转换是在离开接口时进行转换的,目的地址转换是在进入接口时进行转换的,所以配置源地址转换的时候必须和对应的出接口关联,而配置目的地址转换的时候需要和对应的入接口关联。

2  NAT46

2.1  简介

IPv6是IP地址的第六版协议,它是来接替IPv4协议的下一代技术,目前正处于过渡期,"互联网之父"之一的文顿·瑟夫博士表示:IPv4是实验网络,IPv6网络是未来发展的必由之路。从国家层面来说,国务院发行《推进互联网协议第六版(IPv6)规模部署行动计划》,提出加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。

与此同时,全球通信行业的运营商和内容提供商都在向IPv6迁移,并呈现出加速趋势。谷歌、苹果、脸书等企业纷纷要求合作伙伴必须支持IPv6才能允许入网。

因此,从IPv4到IPv6的过渡技术就非常重要,通过NAT46转换能够实现从IPv4到IPv6网络的互联互通。

2.2  使用限制说明

·     本机地址直接通过接口地址访问,不支持NAT46转换;通过NAT46策略访问本机地址不通。

·     NAT46策略不支持ALG转换。

·     NAT46策略不支持调整策略优先级。

2.3  NAT46配置举例

2.3.1  组网需求

图1所示,PC通过交换机、设备访问IPv6服务器,PC端为IPv4地址,通过NAT46转换,PC可以通过转换前IPv4地址访问服务器。

 

图1 NAT46配置举例组网图

 

2.3.2  配置思路

(1)     配置接口地址

(2)     配置NAT46策略

2.3.3  配置步骤

(1)     配置接口地址

图2所示,进入“网络配置>接口配置>物理接口”,点击<操作>按钮,配置ge0 地址为1::1/64,ge1地址为2.1.1.1/24。

图2 配置接口地址

 

 

(2)     配置NAT46策略

图3所示,进入“策略配置>NAT转换策略>NAT46”,点击<新建>,配置NAT46策略,配置完成后点击提交。

图3 配置NAT46策略

 

2.3.4  验证配置

(1)     验证NAT46转换功能

PC访问服务器时通过转换前目的地址192.168.0.1可以正常访问到IPv6服务器1::100。

图4 PC通过转换前目的地址访问IPv6服务器

 

3  NAT64

3.1  简介

IPv6IP地址的第六版协议,它是来接替IPv4协议的下一代技术,目前正处于过渡期,"互联网之父"之一的文顿·瑟夫博士表示:IPv4是实验网络,IPv6网络是未来发展的必由之路。

从国家层面来说,国务院发行《推进互联网协议第六版(IPv6)规模部署行动计划》,提出加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。与此同时,全球通信行业的运营商和内容提供商都在向IPv6迁移,并呈现出加速趋势。谷歌、苹果、脸书等企业纷纷要求合作伙伴必须支持IPv6才能允许入网。

 因此,从IPv4IPv6的过渡技术就非常重要,通过NAT64转换能够实现从IPv6IPv4网络的互联互通。

3.2  使用限制说明

·     本机地址直接通过接口地址访问,不支持NAT64转换;通过NAT64策略访问本机地址不通。

·     NAT64策略不支持ALG转换。

·     NAT64策略不支持调整策略优先级。

3.3  NAT64配置举例

3.3.1  组网需求

图5所示,PC通过设备、交换机访问IPv4服务器,PC端为IPv6地址,通过NAT64转换,PC可以通过转换后目的地址访问IPv4服务器。

图5 NAT64配置举例组网图

 

3.3.2  配置思路

(1)     配置接口地址

(2)     配置NAT64策略

3.3.3  配置步骤

(1)     配置接口地址

图6所示,进入“网络配置>接口配置>物理接口”,点击<操作>按钮,配置ge0 地址为1::1/64,ge1地址为2.1.1.1/24。

图6 配置接口地址

 

 

(2)     配置NAT64策略

进入“策略配置>NAT转换策略-NAT64”,点击<新建>,配置NAT64策略,配置完成后点击提交。

图7 配置NAT64策略

 

3.3.4  验证配置

(1)     验证NAT64转换功能

目的地址由转换前目的地址前缀2::/96和实际地址2.1.1.100组合而成,组合后为2::201:164。

PC通过转换后的IPv6地址2::201:164,能正常访问到2.1.1.100的服务器。

图8 PC通过转换后地址访问IPv4服务器

 

4  NAT66

4.1  简介

随着Internet的发展,它的基础IPv4协议显示出了诸多弊端。由于互联网用户的日益增加,网络需求日益扩大,IPv4的地址空间已经不能满足需求。尽管之后人们采用了NAT技术,但这并不能从根本上解决 IPv4存在的问题。IPv6协议的出现,从根本上解决了地址短缺问题,并且和IPv4相比具有明显的优势:庞大的地址空间,即插即用功能,更好的服务质量(QoS),更完善的安全性(IPSec),对移动设备提供更好的支持。

IPv6从根本上解决了IP地址短缺的问题,是不是NAT技术真的已经没有必要了呢?答案是否定的。原因有四点:首先由于IPv6拥有庞大的地址空间,这样每台计算机都可以拥有一个全球唯一的公网地址,这对于企业的局域网络管理造成了极大的不便,破坏了本地网络的地址独立性。比如:ISP更改了分配给用户的地址前缀,或者用户主动更换了ISP,对于大规模的局域网络的维护增加了极大的难度;其次,企业所有计算机拥有各自的公网地址,并且暴露在Internet中,具有极大的安全隐患,所以需要将本地网络部署在NAT设备之后,隐藏本地网络的拓扑结构,保证本地网络的安全运行;同时,通过NAT设备,执行相应的策略,实现对整个本地网络的可控可管,比如限制某些计算机的访问等等,提高网络管理的效率;最后,通过NAT技术可以极大地降低网络支出费用,减少用户花费等。

可见基于IPv6网络的NAT66技术是很有必要的,现在CERNET2已经建成了纯IPv6网络,运营商也开始加快了IPv6网络的部署,NAT66技术的需求也会更加紧迫。

 

4.2  使用限制说明

不支持目的NAT配置全any

4.3  NAT66配置举例

4.3.1  组网需求

图9所示,内网PC通过设备、交换机访问IPv6服务器,PC端为IPv6地址。内网PC可以使用转换后的出接口地址访问服务器。

图9 NAT66配置举例组网图

 

4.3.2  配置思路

(1)     配置接口地址

(2)     配置地址对象

(3)     配置NAT66策略

4.3.3  配置步骤

(1)     配置接口地址

图10所示,进入“网络配置>接口配置>物理接口”,点击<操作>按钮,配置ge0 地址为1::1/64,ge1地址为2::1/64。

图10 配置接口地址

 

(2)     配置地址对象

进入“策略配置>对象管理>地址对象”,点击<新建>,配置地址对象,如下图所示。

图11 配置地址对象

 

(3)     配置NAT66策略

进入“策略配置>NAT转换策略>源NAT”,点击<新建>,配置NAT66策略,配置完成后点击提交。

图12 配置NAT66策略

 

4.3.4  验证配置

内网PC可以正常访问IPv6服务器2::100。

图13 内网PC访问IPv6服务器

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们