- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
17-AFT配置
本章节下载: 17-AFT配置 (577.55 KB)
1.9.4 配置引用IVI前缀或General前缀的IPv4到IPv6目的地址转换策略
1.10.3 配置引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略
1.12 配置AFT转换后IPv6报文的Traffic Class字段值
1.17.1 IPv6网络访问IPv4 Internet配置举例
1.17.2 IPv4 Internet访问IPv6网络内部服务器配置举例
1.17.4 IPv4网络访问IPv6 Internet中的服务器配置举例
1.17.5 IPv6 Internet访问IPv4网络配置举例
1.18.1 IPv6网络访问IPv4 Internet配置举例
1.18.2 转发与控制分离组网下IPv6网络访问IPv4 Internet配置举例
AFT(Address Family Translation,地址族转换)提供了IPv4和IPv6地址之间的相互转换功能。在IPv4网络完全过渡到IPv6网络之前,两个网络之间直接的通信可以通过AFT来实现。例如,使用AFT可以使IPv4网络中的主机直接访问IPv6网络中的FTP服务器。
如图1-1所示,AFT作用于IPv4和IPv6网络边缘设备上,所有的地址转换过程都在该设备上实现,对IPv4和IPv6网络内的用户来说是透明的,即用户不必改变目前网络中主机的配置就可实现IPv6网络与IPv4网络的通信。
图1-1 AFT应用场景
AFT的地址转换分为静态转换、动态转换、前缀转换及IPv6内部服务器方式。
静态转换方式是指采用手工配置的IPv6地址与IPv4地址的一一对应关系来实现IPv6地址与IPv4地址的转换。静态转换方式包括IPv4到IPv6源地址静态转换策略和IPv6到IPv4源地址静态转换策略。
IPv4到IPv6源地址静态转换策略可用于如下地址转换场景:
· 对于从IPv4侧发起的访问,当报文的源IPv4地址匹配IPv4到IPv6源地址静态转换策略中的IPv4地址时,AFT将报文的源IPv4地址转换为IPv6地址。
· 对于从IPv6侧发起的访问,当报文的目的IPv6地址匹配IPv4到IPv6源地址静态转换策略中的IPv6地址时,AFT将报文的目的IPv6地址转换为IPv4地址。
IPv6到IPv4源地址静态转换策略可用于如下地址转换场景:
· 对于从IPv6侧发起的访问,当报文的源IPv6地址匹配IPv6到IPv4源地址静态转换策略中的IPv6地址时,AFT将报文的源IPv6地址转换为IPv4地址。
· 对于从IPv4侧发起的访问,当报文的目的IPv4地址匹配IPv6到IPv4源地址静态转换策略中的IPv4地址时,AFT将报文的目的IPv4地址转换为IPv6地址。
动态转换方式是指动态地创建IPv6地址与IPv4地址的对应关系来实现IPv6地址与IPv4地址的转换。和静态转换方式不同,动态转换方式中IPv6和IPv4地址之间不存在固定的一一对应关系。
将IPv6报文的源IPv6地址转换为IPv4地址时,动态转换方式分为NO-PAT和PAT两种模式。
NO-PAT(Not Port Address Translation,非端口地址转换)模式下,一个IPv4地址同一时间只能对应一个IPv6地址进行转换,不能同时被多个IPv6地址共用。当使用某IPv4地址的IPv6网络用户停止访问IPv4网络时,AFT会将其占用的IPv4地址释放并分配给其他IPv6网络用户使用。
该模式下,AFT设备只对报文的IP地址进行AFT转换,同时会建立一个NO-PAT表项用于记录IPv6地址和IPv4地址的映射关系,并不涉及端口转换,可支持所有IP协议的报文。
PAT(Port Address Translation,端口地址转换)模式下,一个IPv4地址可以同时被多个IPv6地址共用。该模式下,AFT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMPv6(Internet Control Message Protocol for IPv6,IPv6互联网控制消息协议)查询报文。
PAT模式的动态转换策略支持对端口块大小进行限制,从而达到限制转换和溯源的目的。可划分的端口号范围被划分为多个端口块,剩余不足划分的部分则不会进行分配。IPv6主机首次发起连接时,为该地址分配一个用于转换的IPv4地址,以及该IPv4地址的一个端口块。后续从该IPv6主机发起的连接都使用这个IPv4地址和端口块里面的端口进行转换,直到端口块里面的端口用尽。
前缀转换包括NAT64前缀转换、IVI前缀转换和General前缀转换。
NAT64前缀是长度为32、40、48、56、64或96位的IPv6地址前缀,用来构造IPv4节点在IPv6网络中的地址,以便IPv4主机与IPv6主机通信。网络中并不存在带有NAT64前缀的IPv6地址的主机。
如图1-2所示,NAT64前缀长度不同时,地址转换方法有所不同。其中,NAT64前缀长度为32、64和96位时,IPv4地址作为一个整体添加到IPv6地址中;NAT64前缀长度为40、48和56位时,IPv4地址被拆分成两部分,分别添加到64~71位的前后。64~71位为保留位,必须设置为0。
图1-2 对应IPv4地址带有NAT64前缀的IPv6地址格式
AFT构造IPv4节点在IPv6网络中的地址示例如表1-1所示。
表1-1 IPv4地址带有NAT64前缀的IPv6地址示例
|
IPv6前缀 |
IPv4地址 |
嵌入IPv4地址的IPv6地址 |
|
2001:db8::/32 |
192.0.2.33 |
2001:db8:c000:221:: |
|
2001:db8:100::/40 |
192.0.2.33 |
2001:db8:1c0:2:21:: |
|
2001:db8:122::/48 |
192.0.2.33 |
2001:db8:122:c000:2:2100:: |
|
2001:db8:122:300::/56 |
192.0.2.33 |
2001:db8:122:3c0:0:221:: |
|
2001:db8:122:344::/64 |
192.0.2.33 |
2001:db8:122:344:c0:2:2100:: |
|
2001:db8:122:344::/96 |
192.0.2.33 |
2001:db8:122:344::192.0.2.33 |
IPv4侧发起访问时,AFT利用NAT64前缀将报文的源IPv4地址转换为IPv6地址;IPv6侧发起访问时,AFT利用NAT64前缀将报文的目的IPv6地址转换为IPv4地址。
IVI前缀是长度为32位的IPv6地址前缀。IVI地址是IPv6主机实际使用的IPv6地址,这个IPv6地址中内嵌了一个IPv4地址,可以用于与IPv4主机通信。由IVI前缀构成的IVI地址格式如图1-3所示。
图1-3 IVI地址格式
从IPv6侧发起访问时,AFT可以使用IVI前缀将报文的源IPv6地址转换为IPv4地址。
General前缀与NAT64前缀类似,都是长度为32、40、48、56、64或96位的IPv6地址前缀,用来构造IPv4节点在IPv6网络中的地址。如图1-4所示,General前缀与NAT64前缀的区别在于,General前缀没有64到71位的8位保留位,IPv4地址作为一个整体添加到IPv6地址中。
图1-4 对应IPv4地址带有General前缀的IPv6地址格式
从IPv6侧发起访问时,AFT利用General前缀将报文的源/目的IPv6地址转换为IPv4地址。需要注意的是,General前缀与NAT64前缀都不能与设备上的接口地址同网段。
IPv6内部服务器是指向IPv4网络主机提供服务的IPv6网络中的服务器。通过配置IPv6内部服务器,可以将IPv6服务器的地址和端口映射到IPv4网络,IPv4网络中的主机通过访问映射后的IPv4地址和端口就可以访问IPv6网络中的服务器。
IPv6侧发起访问和IPv4侧发起访问的报文转换过程有所不同,下面将分别介绍。
图1-5 IPv6侧发起访问的AFT报文转换过程
如图1-5所示,IPv6侧发起访问时AFT设备对报文的转换过程为:
(1) 判断是否需要进行AFT转换:AFT设备接收到IPv6网络主机(IPv6 host)发送给IPv4网络主机(IPv4 host)的报文后,判断该报文是否要转发到IPv4网络。如果报文的目的IPv6地址能够匹配到IPv6目的地址转换策略,则该报文需要转发到IPv4网络,需要进行AFT转换;如果未匹配到任何一种转换策略,则表示该报文不需要进行AFT转换。
(2) 转换报文目的地址:根据IPv6目的地址转换策略将报文目的IPv6地址转换为IPv4地址。
(3) 根据目的地址预查路由:根据转换后的IPv4目的地址查找路由表,确定报文的出接口。如果查找失败,则丢弃报文。需要注意的是,预查路由时不会查找策略路由。
(4) 转换报文源地址:根据IPv6源地址转换策略将报文源IPv6地址转换为IPv4地址。如果未匹配到任何一种转换策略,则报文将被丢弃。
(5) 转发报文并记录映射关系:报文的源IPv6地址和目的IPv6地址都转换为IPv4地址后,设备按照正常的转发流程将报文转发到IPv4网络中的主机。同时,将IPv6地址与IPv4地址的映射关系保存在设备中。
(6) 根据记录的映射关系转发应答报文:IPv4网络主机发送给IPv6网络主机的应答报文到达AFT设备后,设备将根据已保存的映射关系进行相反的转换,从而将报文发送给IPv6网络主机。
图1-6 IPv4侧发起访问的AFT报文转换过程
如图1-6所示,IPv4侧发起访问时AFT设备对报文的转换过程为:
(1) 判断是否需要进行AFT转换:AFT设备接收到IPv4网络主机(IPv4 host)发送给IPv6网络主机(IPv6 host)的报文后,判断该报文是否要转发到IPv6网络。如果报文的目的IPv4地址能够匹配到IPv4目的地址转换策略,则该报文需要转发到IPv6网络,需要进行AFT转换。如果未匹配到任何一种转换策略,则表示该报文不需要进行AFT地址转换。
(2) 转换报文目的地址:根据IPv4目的地址转换策略将报文目的IPv4地址转换为IPv6地址。
(3) 根据目的地址预查路由:根据转换后的IPv6目的地址查找路由表,确定报文的出接口。如果查找失败,则丢弃报文。需要注意的是,预查路由时不会查找策略路由。
(4) 转换报文源地址:根据IPv4源地址转换策略将报文源IPv4地址转换为IPv6地址。如果未匹配到任何一种转换策略,则报文将被丢弃。
(5) 转发报文并记录映射关系:报文的源IPv4地址和目的IPv4地址都转换为IPv6地址后,设备按照正常的转发流程将报文转发到IPv6网络中的主机。同时,将IPv4地址与IPv6地址的映射关系保存在设备中。
(6) 根据记录的映射关系转发应答报文:IPv6网络主机发送给IPv4网络主机的应答报文到达AFT设备后,设备将根据已保存的映射关系进行相反的转换,从而将报文发送给IPv4网络主机。
AFT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析。然而对于一些特殊协议,它们的报文的数据载荷中可能包含IP地址或端口信息。例如,FTP应用由数据连接和控制连接共同完成,而数据连接使用的地址和端口由控制连接报文中的载荷信息决定。这些载荷信息也必须进行有效的转换,否则可能导致功能问题。ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的处理,利用ALG可以完成载荷信息的转换。
目前,AFT支持对FTP报文、DNS报文、HTTP报文和ICMP差错报文进行ALG处理。
AFT配置任务如下:
(1) 开启AFT功能
(2) 配置IPv6侧发起的会话的转换配置
¡ (可选)配置AFT转换后IPv4报文的ToS字段值
(3) 配置IPv4侧发起的会话的转换配置
¡ (可选)配置AFT转换后IPv6报文的Traffic Class字段值
(4) 配置动态地址转换的备份组
使用CGN板卡处理NAT业务的环境中,必须配置本功能。
(5) (可选)开启AFT日志功能
只有在连接IPv4网络和IPv6网络的接口上都开启AFT功能后,才能实现IPv4报文和IPv6报文之间的相互转换。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启AFT功能。
aft enable
缺省情况下,AFT功能处于关闭状态。
IPv6目的地址转换策略匹配的优先级从高到低为:
(1) IPv4到IPv6的源地址静态转换策略。
(2) General前缀。
(3) NAT64前缀。
IPv4到IPv6源地址静态转换策略手工建立了IPv4地址与IPv6地址的一一对应关系,可用于如下地址转换场景:
· 对于从IPv4侧发起的访问,当报文的源IPv4地址匹配IPv4到IPv6源地址静态转换策略中的IPv4地址时,AFT将报文的源IPv4地址转换为IPv6地址。
· 对于从IPv6侧发起的访问,当报文的目的IPv6地址匹配IPv4到IPv6源地址静态转换策略中的IPv6地址时,AFT将报文的目的IPv6地址转换为IPv4地址。
(1) 进入系统视图。
system-view
(2) 配置IPv4到IPv6源地址静态转换策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ]
缺省情况下,未配置IPv4到IPv6源地址静态转换策略。
(1) 进入系统视图。
system-view
(2) 配置General前缀。
aft prefix-general prefix-general prefix-length
缺省情况下,未配置General前缀。
(1) 进入系统视图。
system-view
(2) 配置NAT64前缀。
aft prefix-nat64 prefix-nat64 prefix-length
缺省情况下,未配置NAT64前缀。
IPv6源地址转换策略匹配的优先级从高到低为:
(1) IPv6到IPv4的源地址静态转换策略。
(2) General前缀。
(3) IVI前缀。
(4) IPv6到IPv4的源地址动态转换策略。
IPv6到IPv4源地址静态转换策略手工建立了IPv6地址与IPv4地址的一一对应关系,可用于如下地址转换场景:
· 对于从IPv6侧发起的访问,当报文的源IPv6地址匹配IPv6到IPv4源地址静态转换策略中的IPv6地址时,AFT将报文的源IPv6地址转换为IPv4地址。
· 对于从IPv4侧发起的访问,当报文的目的IPv4地址匹配IPv6到IPv4源地址静态转换策略中的IPv4地址时,AFT将报文的目的IPv4地址转换为IPv6地址。
(1) 进入系统视图。
system-view
(2) 配置IPv6到IPv4源地址静态转换策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ failover-group group-name ]
缺省情况下,未配置IPv6到IPv4源地址静态转换策略。
(1) 进入系统视图。
system-view
(2) 配置General前缀。
aft prefix-general prefix-general prefix-length
缺省情况下,未配置General前缀。
(1) 进入系统视图。
system-view
(2) 配置IVI前缀。
aft prefix-ivi prefix-ivi
缺省情况下,未配置IVI前缀。
IPv6到IPv4源地址动态转换方式是指动态地创建IPv6地址与IPv4地址的对应关系来实现IPv6地址与IPv4地址的转换。在PAT模式的IPv6到IPv4源地址动态转换方式中,一个IPv4地址可以同时被多个IPv6地址共用。该模式下,AFT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMPv6(Internet Control Message Protocol for IPv6,IPv6互联网控制消息协议)查询报文。
(1) 进入系统视图。
system-view
(2) (可选)配置AFT地址组。
a. 创建一个AFT地址组,并进入AFT地址组视图。
aft address-group group-id
在配置IPv6到IPv4源地址动态转换策略前,根据实际情况选配。
b. 添加地址组成员。
address start-address end-address
可通过多次执行本命令添加多个地址组成员。
当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有成员的IP地址段重叠。
c. (可选)配置公网IPv4地址使用的端口范围。
port-range start-port-number end-port-number
缺省情况下,公网IPv4地址使用的端口范围为1024~65535。
d. 退回系统视图。
quit
(3) 配置IPv6到IPv4源地址动态转换策略。
aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } { address-group group-id [ no-pat | port-block-size blocksize ] | interface interface-type interface-number } [ vpn-instance ipv4-vpn-instance-name ]
缺省情况下,未配置IPv6到IPv4源地址动态转换策略。
IPv4目的地址转换策略的匹配优先级从高到低为:
(1) IPv6内部服务器。
(2) IPv6到IPv4的源地址静态转换策略。
(3) 引用IVI前缀或General前缀的IPv4到IPv6目的地址转换策略。
(1) 进入系统视图。
system-view
(2) 配置IPv6侧服务器对应的IPv4地址及端口。
aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ]
IPv6到IPv4源地址静态转换策略手工建立了IPv6地址与IPv4地址的一一对应关系,可用于如下地址转换场景:
· 对于从IPv6侧发起的访问,当报文的源IPv6地址匹配IPv6到IPv4源地址静态转换策略中的IPv6地址时,AFT将报文的源IPv6地址转换为IPv4地址。
· 对于从IPv4侧发起的访问,当报文的目的IPv4地址匹配IPv6到IPv4源地址静态转换策略中的IPv4地址时,AFT将报文的目的IPv4地址转换为IPv6地址。
(1) 进入系统视图。
system-view
(2) 配置IPv6到IPv4源地址静态转换策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ failover-group group-name ]
(1) 进入系统视图。
system-view
(2) 配置IVI前缀或General前缀。请选择其中一项进行配置。
¡ 配置IVI前缀。
aft prefix-ivi prefix-ivi
¡ 配置General前缀。
aft prefix-general prefix-general prefix-length
(3) 配置引用IVI前缀或General前缀的IPv4到IPv6目的地址转换策略。
aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] } }
引用IVI前缀或General前缀之前,需要先进行IVI前缀或General前缀的配置,转换策略才能生效。
IPv4源地址转换策略的匹配优先级从高到低为:
(1) IPv4到IPv6的源地址静态转换策略。
(2) 引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略。
(3) NAT64前缀。
IPv4到IPv6源地址静态转换策略手工建立了IPv4地址与IPv6地址的一一对应关系,可用于如下地址转换场景:
· 对于从IPv4侧发起的访问,当报文的源IPv4地址匹配IPv4到IPv6源地址静态转换策略中的IPv4地址时,AFT将报文的源IPv4地址转换为IPv6地址。
· 对于从IPv6侧发起的访问,当报文的目的IPv6地址匹配IPv4到IPv6源地址静态转换策略中的IPv6地址时,AFT将报文的目的IPv6地址转换为IPv4地址。
(1) 进入系统视图。
system-view
(2) 配置IPv4到IPv6源地址静态转换策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ]
(1) 进入系统视图。
system-view
(2) 配置NAT64前缀或General前缀。请选择其中一项进行配置。
¡ 配置NAT64前缀。
aft prefix-nat64 prefix-nat64 prefix-length
¡ 配置General前缀。
aft prefix-general prefix-general prefix-length
(3) 配置引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略。
aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } }
引用NAT64前缀或General前缀之前,需要先进行NAT64前缀或General前缀的配置,转换策略才能生效。
(1) 进入系统视图。
system-view
(2) 配置NAT64前缀。
aft prefix-nat64 prefix-nat64 prefix-length
用户可以设置在进行AFT转换后,IPv4报文中ToS字段的取值:
· 为0:表示将转换后报文的服务优先级降为最低。
· 与转换前对应的ToS字段取值相同:表示保持原有的服务优先级。
(1) 进入系统视图。
system-view
(2) 配置IPv6报文转换为IPv4报文后,IPv4报文的ToS字段值为0。
aft turn-off tos
缺省情况下,当IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段与转换前的IPv6报文的Traffic Class字段值相同。
用户可以设置在AFT转换后,IPv6报文中Traffic Class字段的取值:
· 为0:表示将转换后报文的服务优先级降为最低。
· 与转换前对应的Traffic Class字段取值相同:表示保持原有的服务优先级。
(1) 进入系统视图。
system-view
(2) 配置IPv4报文转换为IPv6报文后,IPv6报文的Traffic Class字段值为0。
aft turn-off traffic-class
缺省情况下,当IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段与转换前的IPv4报文的ToS字段值相同。
通过指定备份组,设备会将需要进行动态AFT的流量引到指定的备份组进行处理。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
在使用CGN(Carrier Grade NAT,运营商级网络地址转换)板卡提供地址转换功能的环境中,必须配置本功能,否则可能会导致反向地址转换出错。关于CGN的详细介绍,请参见“三层技术-IP业务”中的“NAT”。
如果设备上创建了手动备份组,则只能为AFT地址组指定手动备份组,不允许再指定自动备份组。
(1) 进入系统视图。
system-view
(2) 进入AFT地址组视图。
aft address-group group-id
(3) 配置AFT地址组与备份组绑定。
failover-group group-name
缺省情况下,AFT地址组未绑定任何备份组。
在普通组网中,AFT设备工作在普通模式,即AFT模块的控制业务及数据转发业务均由本设备完成。
在转发与控制分离组网中,根据AFT设备承担业务类型的不同,将AFT设备划分为两种设备角色:
· CP(Control Plane,控制平面)设备:负责AFT地址管理等控制平面的业务。
· UP(User Plane,用户平面)设备:负责端口块分配、地址转换、用户数据报文转发、AFT ALG等数据平面的业务。
CP和UP之间通过建立CSUP和VXLAN两条传输通道实现表项下发和协议报文的交互。其中,CSUP作为CP和UP之间的控制通道,实现业务表项下发、查询以及接口资源上报等功能;VXLAN隧道作为CP和UP之间的协议通道,实现协议报文交互。
CP作为DHCP服务器,采用nat-central类型的IP地址池为UP上的AFT地址组分配地址。关于IP地址池的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。
AFT地址的申请和释放机制如下:
(1) UP上的AFT地址组与CP上nat-central类型的IP地址池绑定后,会向CP设备上nat-central类型的IP地址池申请子网段地址空间。
(2) CP将申请到的子网段地址空间分配给UP设备上的AFT地址组进行地址转换。
(3) 内网用户向公网发起的首次连接且需要进行源地址转换或用户成功上线时,UP使用AFT地址组中的资源为该用户分配IPv4地址以及端口块。
(4) UP周期性统计AFT地址组的地址使用率,当地址使用率大于等于申请阈值时,UP向CP申请新的地址段;当地址使用率小于释放阈值时,UP通知CP回收空闲的地址段。
转发与控制分离组网中,目前仅支持端口块方式的IPv6到IPv4源地址动态转换策略。
本节配置仅供参考,有关CP上配置的详细介绍,请参见担任CP角色的设备的产品手册。
(1) 进入系统视图。
system-view
(2) 配置nat-central类型的IP地址池。
具体配置请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。
(1) 进入系统视图。
system-view
(2) 进入AFT地址组视图。
aft address-group group-id
(3) 将AFT地址组与备份组绑定。
failover-group group-name
缺省情况下,AFT地址组未绑定任何备份组。
(4) 将AFT地址组与CP上nat-central类型的IP地址池绑定。
bind dhcp-server-pool server-pool-name
缺省情况下,AFT地址组未绑定任何IP地址池。
AFT地址组绑定的IP地址池需要与CP上nat-central类型的IP地址池名称一致。
(5) 配置AFT地址组的地址段申请阈值和释放阈值。
ip-usage-threshold upper-limit upper-value lower-limit lower-value
缺省情况下,AFT地址组的地址段申请阈值为80%,释放阈值为20%。
为了满足网络管理员安全审计的需要,可以开启AFT日志功能,以便对AFT连接(AFT连接是指报文经过设备时,源或目的地址进行过AFT转换的连接)信息进行记录。在以下情况下会触发记录AFT日志:
· AFT端口块分配。
· AFT端口块回收。
· AFT流创建,即AFT会话创建时输出日志。
· AFT流删除,即AFT会话释放时输出日志。
· AFT端口分配失败。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 开启AFT日志功能。
aft log enable
缺省情况下,AFT日志功能处于关闭状态。
(3) (可选)开启AFT流创建或流删除的日志功能。
¡ 开启AFT流创建的日志功能。
aft log flow-begin
缺省情况下,AFT新建流的日志功能处于关闭状态。
如需记录AFT会话创建时的日志信息,则需要配置本命令。
¡ 开启AFT流删除的日志功能。
aft log flow-end
缺省情况下,AFT删除流的日志功能处于关闭状态。
如需记录AFT会话释放时的日志信息,则需要配置本命令。
(4) (可选)开启AFT端口块分配的日志功能。
aft log port-block-assign
缺省情况下,AFT端口块分配的日志功能处于关闭状态。
开启本功能后,当端口块被分配时,会输出AFT分配端口块的日志。
(5) (可选)开启AFT端口块回收的日志功能。
aft log port-block-withdraw
缺省情况下,AFT端口块回收的日志功能处于关闭状态。
开启本功能后,当释放端口块资源时,会输出该AFT端口块回收的日志。
(6) (可选)开启AFT端口分配失败的日志功能。
aft log port-alloc-fail
缺省情况下,AFT端口分配失败的日志功能处于关闭状态。
开启本功能后,当动态方式的AFT地址转换发生端口分配失败的情况时,系统会输出端口分配失败的日志。通常,端口块中所有的端口资源都被占用时会导致端口分配失败。
在完成上述配置后,在任意视图下执行display命令可以显示AFT配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以删除AFT会话或统计信息。
表1-2 AFT显示和维护
|
操作 |
命令 |
|
显示AFT配置信息 |
display aft configuration |
|
显示地址组信息 |
display aft address-group [ group-id ] |
|
显示AFT地址映射信息 |
(独立运行模式) display aft address-mapping [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display aft address-mapping [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示AFT NO-PAT表项信息 |
(独立运行模式) display aft no-pat [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display aft no-pat [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示AFT端口块映射表项信息 |
(独立运行模式) display aft port-block [ translated-ip ipv4-address ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display aft port-block [ translated-ip ipv4-address ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示AFT会话 |
(独立运行模式) display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ] (IRF模式) display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn –instance-name ] ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ] |
|
显示AFT统计信息 |
(独立运行模式) display aft statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display aft statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
删除AFT会话 |
(独立运行模式) reset aft session [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset aft session [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
某公司将网络升级到了IPv6,但是仍然希望内网2013::/96网段的用户可以访问IPv4 Internet,其它网段的用户不能访问IPv4 Internet。该公司访问IPv4 Internet使用的IPv4地址为10.1.1.1、10.1.1.2和10.1.1.3。
为满足上述需求,本例中实现方式如下:
· 使用NAT64前缀与IPv4网络中的主机地址组合成为IPv6地址,此IPv6地址将与IPv4 Internet内的主机建立相应的映射关系,IPv6网络中的主机访问该IPv6地址即可实现对IPv4 Internet的访问。报文到达Router后,设备将根据NAT64前缀将该目的IPv6地址转换为对应的IPv4地址。
· 使用IPv6到IPv4源地址动态转换策略将IPv6网络到IPv4网络报文的源地址转换为IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
图1-7 IPv6网络访问IPv4 Internet配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 利用QoS功能将需要进行AFT转换的流量牵引到业务板,具体配置过程略。
# 配置地址组0包含三个IPv4地址10.1.1.1、10.1.1.2和10.1.1.3。
<Router> system-view
[Router] aft address-group 0
[Router-aft-address-group-0] address 10.1.1.1 10.1.1.3
[Router-aft-address-group-0] quit
# 配置IPv6 ACL 2000,该ACL用来匹配源IPv6地址属于2013::/96网段的报文。
[Router] acl ipv6 basic 2000
[Router-acl-ipv6-basic-2000] rule permit source 2013:: 96
[Router-acl-ipv6-basic-2000] rule deny
[Router-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址动态转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的地址,即将2013::/96网段内主机所发送报文的源IPv6地址转换为IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
[Router] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 配置NAT64前缀为2012::/96,报文的目的地址根据该NAT64前缀转换为IPv4地址。
[Router] aft prefix-nat64 2012:: 96
# 在IPv6侧接口Ten-GigabitEthernet3/1/1开启AFT功能。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] aft enable
[Router-Ten-GigabitEthernet3/1/1] quit
# 在IPv4侧接口Ten-GigabitEthernet3/1/2开启AFT功能。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] aft enable
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,检查IPv6 Host与IPv4 Server的连通性。以IPv6 host A ping IPv4 server A为例:
D:\>ping 2012::20.1.1.1
Pinging 2012::20.1.1.1 with 32 bytes of data:
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
# 通过查看AFT会话,可以看到创建了一个IPv6会话和IPv4会话,分别对应转换前和转换后的报文。
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013::100/0
Destination IP/port: 2012::1401:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 2012::1401:0101/0
Destination IP/port: 2013::100/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMPV6_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMP_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
某公司将网络升级到了IPv6,此时Internet仍然是IPv4网络。该公司希望内部的FTP服务器能够继续为IPv4 Internet的用户提供服务。该公司拥有的IPv4地址为10.1.1.1。
为满足上述要求,本例实现方式如下:
· 使用IPv6侧服务器配置将IPv6内部服务器的地址及端口映射为IPv4地址及端口,Router收到来自IPv4 Internet的报文后,根据该配置策略将报文IPv4目的地址转换为IPv6地址;
· 使用NAT64前缀将报文源IPv4地址转换为IPv6地址。
图1-8 IPv4 Internet访问IPv6网络内部服务器配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置IPv6侧服务器对应的IPv4地址及端口号。IPv4网络内用户通过访问该IPv4地址及端口即可访问IPv6服务器。
<Router> system-view
[Router] aft v6server protocol tcp 10.1.1.1 21 2013::102 21
# 报文的源地址将根据配置的NAT64前缀转换为IPv6地址。
[Router] aft prefix-nat64 2012:: 96
# 在IPv4侧接口Ten-GigabitEthernet3/1/1开启AFT。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] aft enable
[Router-Ten-GigabitEthernet3/1/1] quit
# 在IPv6侧接口Ten-GigabitEthernet3/1/2开启AFT。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] aft enable
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,IPv4 Host可以通过FTP协议访问IPv6 FTP Server。
# 通过查看AFT会话,可以看到创建了一个IPv4会话和IPv6会话,分别对应转换前和转换后的报文。
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/11025
Destination IP/port: 10.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 10.1.1.1/21
Destination IP/port: 20.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::1401:0101/1029
Destination IP/port: 2013::102/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 2013::102/21
Destination IP/port: 2012::1401:0101/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
某公司内部同时部署了IPv4网络和IPv6网络,并且希望IPv4网络和IPv6网络能够互相访问。
为满足上述需求,本例中使用如下方式实现:
· 为IPv6网络分配一个IVI前缀和IPv4网段,IPv6网络中所有IPv6主机的地址均配置为由IVI前缀和IPv4网段中地址组合而成的IPv6地址。
· 为IPv4网络分配一个NAT64前缀,IPv4网络主动访问IPv6网络时,IPv4源地址使用NAT64前缀转换为IPv6地址;IPv6网络主动访问IPv4网络时,目的地址使用NAT64前缀和IPv4地址组合成的IPv6地址。
图1-9 IPv4网络和IPv6网络互访配置组网图
# 按照组网图配置各接口的IP地址,其中IPv6网络中的主机使用的IPv6地址根据IVI前缀2013::/32和20.1.1.0/24组合而成。具体配置过程略。
# 配置ACL 2000用来过滤需要访问IPv6网络的用户,同时匹配该ACL 2000的报文的目的地址将会根据配置的IVI前缀转换为IPv6地址。此处所有IPv4网络用户均需要访问IPv6网络。
<Router> system-view
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit
[Router-acl-ipv4-basic-2000] quit
# 配置NAT64前缀,用于进行IPv4到IPv6的源地址转换和IPv6到IPv4的目的地址转换。
[Router] aft prefix-nat64 2012:: 96
# 配置IVI前缀,用于进行IPv6到IPv4源地址转换,且在IPv4到IPv6动态目的地址转换策略中引用该前缀。
[Router] aft prefix-ivi 2013::
# 配置IPv4到IPv6动态目的地址转换策略,IPv4到IPv6报文的目的IPv4地址转换为IPv6地址。
[Router] aft v4tov6 destination acl number 2000 prefix-ivi 2013::
# 在IPv4侧接口Ten-GigabitEthernet3/1/1开启AFT。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] aft enable
[Router-Ten-GigabitEthernet3/1/1] quit
# 在IPv6侧接口Ten-GigabitEthernet3/1/2开启AFT。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] aft enable
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,IPv4 host与IPv6 host可以互通。以IPv6 host A ping IPv4 host A为例:
D:\>ping 2012::a01:0101
Pinging 2012::a01:0101 with 32 bytes of data:
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
# 通过查看AFT会话,可以看到创建了一个IPv6会话和IPv4会话,分别对应转换前和转换后的报文。显示内容如下:
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0a01:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: Ten-GigabitEthernet3/1/2
Responder:
Source IP/port: 2012::0a01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: Ten-GigabitEthernet3/1/1
State: ICMPV6_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
Responder:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
State: ICMP_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
Internet已经升级到了IPv6,但是某公司内部网络仍然是IPv4网络。而该公司内部网络的10.1.1.0/24网段的用户仍需要访问IPv6 Internet中的服务器,其他用户不能访问。
为满足上述要求,本例中使用如下方式实现:
· 使用IPv4到IPv6源地址动态地址转换策略,将IPv4报文的源地址转换为IPv6地址。
· 通过IPv6到IPv4的源地址静态转换策略为IPv6 Internet上服务器的IPv6地址指定一个对应的IPv4地址,Router收到发往该IPv4地址的报文时将其转换为对应的IPv6地址。
图1-10 IPv4网络访问IPv6 Internet中的服务器配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置ACL 2000,仅允许IPv4网络中10.1.1.0/24网段的用户可以访问IPv6 Internet。
<Router> system-view
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] rule deny
[Router-acl-ipv4-basic-2000] quit
# 配置NAT64前缀,此前缀将在IPv4到IPv6源地址动态转换策略中被调用,将报文的源地址转换为IPv6地址。
[Router] aft prefix-nat64 2012:: 96
# 配置IPv4到IPv6源地址动态转换策略,将匹配ACL 2000报文的源地址根据NAT64前缀转换为IPv6地址。
[Router] aft v4tov6 source acl number 2000 prefix-nat64 2012:: 96
# 配置IPv6到IPv4的源地址静态转换策略,用于将报文的目的地址转换为IPv6地址。
[Router] aft v6tov4 source 2013:0:ff14:0101:100::1 20.1.1.1
# 在IPv4侧接口Ten-GigabitEthernet3/1/1开启AFT。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] aft enable
[Router-Ten-GigabitEthernet3/1/1] quit
# 在IPv6侧接口Ten-GigabitEthernet3/1/2开启AFT。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] aft enable
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,检查IPv4 host与IPv6 server的连通性。以IPv4 host A ping IPv6 server为例:
D:\>ping 20.1.1.1
Pinging 20.1.1.1 with 32 bytes of data:
Reply from 20.1.1.1: bytes=32 time=14ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
# 通过查看AFT会话,可以看到创建了一个IPv4会话和IPv6会话,分别对应转换前和转换后的报文。
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMP_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::0A01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0A01:0101/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMPV6_REPLY
Application: OTHER
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
Internet已经升级到了IPv6,但是某公司内部网络仍然是IPv4网络。而该公司仍希望为IPv6 Internet内的用户提供FTP服务。该公司访问IPv6 Internet使用的IPv6地址为2012::1。
为满足上述要求,实现方式如下:
· 通过IPv4到IPv6源地址静态转换策略,为IPv4网络中的FTP服务器地址指定一个对应的IPv6地址,IPv6 Internet中的主机通过访问该IPv6地址可以访问IPv4网络中的FTP服务器。Router收到发往该IPv6地址的报文时将其目的地址转换为对应的IPv4地址。
· 通过IPv6到IPv4源地址动态转换策略,将IPv6 Internet发送过来的IPv6报文源地址转换为IPv4地址30.1.1.1和30.1.1.2。
图1-11 IPv6 Internet访问IPv4网络配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置IPv4到IPv6源地址静态转换策略,手动指定IPv4与IPv6地址一一对应的转换关系,此策略可将报文的目的地址转换为对应的IPv4地址。
<Router> system-view
[Router] aft v4tov6 source 20.1.1.1 2012::1
# 配置地址组0包含2个IPv4地址:30.1.1.1和30.1.1.2。
[Router] aft address-group 0
[Router-aft-address-group-0] address 30.1.1.1 30.1.1.2
[Router-aft-address-group-0] quit
# 配置IPv6 ACL 2000,匹配IPv6网络到IPv4网络的报文。此处允许所有IPv6网络内主机访问IPv4 FTP Server。
[Router] acl ipv6 basic 2000
[Router-acl-ipv6-basic-2000] rule permit
[Router-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址动态转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的IPv4地址30.1.1.1或30.1.1.2。
[Router] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 在IPv6侧接口Ten-GigabitEthernet3/1/1开启AFT。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] aft enable
[Router-Ten-GigabitEthernet3/1/1] quit
# 在IPv4侧接口Ten-GigabitEthernet3/1/2开启AFT。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] aft enable
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,检查IPv6 host与IPv4 FTP server的连通性。以IPv6 host A ping IPv4 FTP server为例:
D:\>ping 2012::1
Pinging 2012::1 with 32 bytes of data:
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
# 通过查看AFT会话,可以看到创建了一个IPv6会话和IPv4会话,分别对应转换前和转换后的报文。
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF0A:0101:0100::/1029
Destination IP/port: 2012::1/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 2012::1/21
Destination IP/port: 2013:0:FF0A:0101:0100::/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 30.1.1.1/11025
Destination IP/port: 20.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 20.1.1.1/21
Destination IP/port: 30.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
某公司将网络升级到了IPv6,但是仍然希望内网2013::/96网段的用户可以访问IPv4 Internet,其它网段的用户不能访问IPv4 Internet。该公司访问IPv4 Internet使用的IPv4地址为10.1.1.1、10.1.1.2和10.1.1.3。
为满足上述需求,本例中实现方式如下:
· 使用NAT64前缀与IPv4网络中的主机地址组合成为IPv6地址,此IPv6地址将与IPv4 Internet内的主机建立相应的映射关系,IPv6网络中的主机访问该IPv6地址即可实现对IPv4 Internet的访问。报文到达Router后,设备将根据NAT64前缀将该目的IPv6地址转换为对应的IPv4地址。
· 使用IPv6到IPv4源地址动态转换策略将IPv6网络到IPv4网络报文的源地址转换为IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
图1-12 IPv6网络访问IPv4 Internet配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 创建名称为cgn的备份组。
<Router> system-view
[Router] failover group cgn
# 将指定slot配置为备份组cgn的主节点。本配置中通过bind命令加入备份组的节点为支持CGN功能的slot,指定的slot编号仅为示例,请以slot所在的实际槽位号为准。
[Router-failover-group-cgn] bind slot 5 primary
[Router-failover-group-cgn] quit
# 配置地址组0,包含三个IPv4地址10.1.1.1、10.1.1.2和10.1.1.3,并将地址组0与备份组cgn绑定。
[Router] aft address-group 0
[Router-aft-address-group-0] address 10.1.1.1 10.1.1.3
[Router-aft-address-group-0] failover-group cgn
# 配置IPv6 ACL 2000,该ACL用来匹配源IPv6地址属于2013::/96网段的报文。
[Router] acl ipv6 basic 2000
[Router-acl-ipv6-basic-2000] rule permit source 2013:: 96
[Router-acl-ipv6-basic-2000] rule deny
[Router-acl-ipv6-basic-2000] quit
# 配置流分类cgn,配置流行为cgn,将匹配IPv6 ACL 2000的流量引到备份组cgn。
[Router] traffic classifier cgn
[Router-classifier-cgn] if-match acl ipv6 2000
[Router-classifier-cgn] quit
[Router] traffic behavior cgn
[Router-behavior-cgn] redirect failover-group cgn
[Router-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[Router] qos policy cgn
[Router-qospolicy-cgn] classifier cgn behavior cgn
[Router-qospolicy-cgn] quit
# 在接口Ten-GigabitEthernet3/1/1上配置引流规则。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置IPv6到IPv4的源地址动态转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的地址,即将2013::/96网段内主机所发送报文的源IPv6地址转换为IPv4地址10.1.1.1、10.1.1.2或10.1.1.3,并设置端口块大小为200。
[Router] aft v6tov4 source acl ipv6 number 2000 address-group 0 port-block-size 200
# 配置NAT64前缀为2012::/96,报文的目的地址根据该NAT64前缀转换为IPv4地址。
[Router] aft prefix-nat64 2012:: 96
# 在IPv6侧接口Ten-GigabitEthernet3/1/1开启AFT功能。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] aft enable
[Router-Ten-GigabitEthernet3/1/1] quit
# 在IPv4侧接口Ten-GigabitEthernet3/1/2开启AFT功能。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] aft enable
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置处理基于会话业务的备份组,即仅允许将匹配ACL 2000的IPv6报文引流到备份组cgn的主节点上进行业务处理。
[Router] session service-location acl ipv6 2000 failover-group cgn
# 开启流量触发分配端口块功能。
[Router] aft port-block flow-trigger enable
# 以上配置完成后,检查IPv6 host与IPv4 server A的连通性。以IPv6 host A ping IPv4 server A为例:
D:\>ping 2012::1
Pinging 2012::1 with 32 bytes of data:
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
# 通过查看AFT会话,可以看到创建了一个IPv6会话和IPv4会话,分别对应转换前和转换后的报文。
[Router] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013::100/1024
Destination IP/port: 2012::1401:101/1025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 2012::1401:101/1025
Destination IP/port: 2013::100/1024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/2
State: UDP_OPEN
Application: OTHER
Role: -
Failover group ID: -
Start time: 2019-01-08 07:59:11 TTL: 99555s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
[Router] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.2/1024
Destination IP/port: 20.1.1.1/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.2/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/2
State: UDP_OPEN
Application: OTHER
Role: -
Failover group ID: -
Start time: 2019-01-08 07:59:11 TTL: 99443s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 通过查看AFT端口块,可以看到端口块的分配情况。
[Router] display aft port-block
IPv6 Address: 2013::100
IPv4 Address: 10.1.1.2
Port block : [1024 - 1223]
· 某公司将网络升级到了IPv6,但是仍然希望内网2013::/96网段的用户可以通过PPPoE客户端访问IPv4 Internet,其它网段的用户不能访问IPv4 Internet。
· 公司采用转发与控制分离组网方案。Device B设备作为CP设备,负责用户识别与发起认证请求、身份认证、地址分配与管理和接入控制等。Device A作为UP设备,负责地址转换以及端口块分配、报文转发与流量控制等。
· Device A作为DHCP服务器,为公司用户访问IPv4 Internet提供处于1.1.0.0/16范围内的公网地址。
· 主机作为PPPoE Client,运行PPPoE客户端拨号软件。当用户通过PPPoE接入IPv4 Internet时,CP对其进行地认证、授权、计费。
图1-13 转控分离组网下IPv6网络访问IPv4 Internet配置组网图
· 按照组网图配置各接口的IP地址,并配置路由保证设备间路由可达。
· 配置CP和UP间的管理通道、控制通道和协议隧道,具体配置请参见“转发与业务分离业务配置指导”中的“CP-UP连接管理”。
担任CP角色的产品的不同版本的配置命令可能存在差异,本节配置仅供参考,有关CP上配置的详细介绍,请参见担任CP角色的设备的产品手册。
(1) 创建远端接口
# 创建ID为1024的UP管理实例,并进入UP管理视图。
<DeviceB> system-view
[DeviceB] up-manage id 1024
# 创建远端UP接口Remote-XGE1024/3/1/1。
[DeviceB-manage-1024] remote interface ten-gigabitethernet 3/1/1
[DeviceB-manage-1024] quit
(2) 配置IP地址池
# 创建为UP设备上的NAT功能分配子网段的IP地址池,其名称为dhcp。
[DeviceB] ip pool dhcp nat-central
# 配置IP地址池动态分配的主网段为1.1.0.0/16。
[DeviceB-ip-pool-dhcp] network 1.1.0.0 mask 255.255.0.0
# 配置可动态分配子网段的IP地址池分配的子网段掩码长度为24。
[DeviceB-ip-pool-dhcp] subnet mask-length 24
[DeviceB-ip-pool-dhcp] quit
(3) 配置PPPoE Server
# 创建一个PPPoE本地用户。
[DeviceB] local-user user1 class network
[DeviceB-luser-network-user1] password simple 123456789
[DeviceB-luser-network-user1] service-type ppp
[DeviceB-luser-network-user1] quit
# 配置虚拟模板接口1的参数,采用PAP认证对端。
[DeviceB] interface virtual-template1
[DeviceB-Virtual-Template1] ppp authentication-mode pap domain cgn
[DeviceB-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[DeviceB] interface remote-xge 1024/3/1/1
[DeviceB-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[DeviceB-Remote-XGE1024/3/1/1] quit
(4) 配置ISP域
# 创建并进入名称为cgn的ISP域。
[DeviceB] domain name cgn
# 配置PPP用户使用本地认证/授权/计费方案。
[DeviceB-isp-cgn] authentication ppp local
[DeviceB-isp-cgn] authorization ppp local
[DeviceB-isp-cgn] accounting ppp local
# 指定ISP域cgn下为用户分配的IPv6前缀为2013::/64。
[DeviceB-isp-cgn] authorization-attribute ipv6-prefix 2013:: 64
# 配置用户地址类型为NAT64地址。该地址类型的用户认证成功后将触发AFT地址分配。
[DeviceB-isp-cgn] user-address-type nat64
[DeviceB-isp-cgn] quit
(1) 配置Device A的工作模式
# 配置Device A的工作模式为转发模式。
<DeviceA> system-view
[DeviceA] work-mode user-plane
(2) 配置备份组
# 创建名称为cgn的备份组。
[DeviceA] failover group cgn
# 将指定slot配置为备份组cgn的主节点。本配置中通过bind命令加入备份组的节点为支持CGN功能的slot,指定的slot编号仅为示例,请以slot所在的实际槽位号为准。
[DeviceA-failover-group-cgn] bind slot 5 primary
[DeviceA-failover-group-cgn] quit
(3) 配置AFT地址组
# 创建编号为0的AFT地址组。
[DeviceA] aft address-group 0
# 配置AFT地址组0绑定名称为dhcp的DHCP地址池。该地址池的名称需要和CP设备上本地DHCP地址池的名称一致。
[DeviceA-aft-address-group-0] bind dhcp-server-pool dhcp
[DeviceA-aft-address-group-0] failover-group cgn
[DeviceA-aft-address-group-0] quit
(4) 配置ACL
# 创建IPv6基本ACL 2000,该ACL用来匹配源IPv6地址属于2013::/96网段的报文。
[DeviceA] acl ipv6 basic 2000
[DeviceA-acl-ipv6-basic-2000] rule permit source 2013:: 96
[DeviceA-acl-ipv6-basic-2000] rule deny
[DeviceA-acl-ipv6-basic-2000] quit
(5) 配置QoS策略
# 定义类c1的匹配规则为:匹配IPv6 ACL 2000的报文。
[DeviceA] traffic classifier cgn
[DeviceA-classifier-c1] if-match acl ipv6 2000
[DeviceA-classifier-c1] quit
# 定义流行为b1,为流行为b1配置流量重定向到备份组cgn的动作。
[DeviceA] traffic behavior b1
[DeviceA-behavior-b1] redirect failover-group cgn
[DeviceA-behavior-b1] quit
# 创建QoS策略cgn,并为类c1指定采用流行为b1。
[DeviceA] qos policy cgn
[DeviceA-qospolicy-cgn] classifier c1 behavior b1
[DeviceA-qospolicy-cgn] quit
# 将QoS策略cgn应用到接口Ten-GigabitEthernet3/1/1的入方向上。
[DeviceA] interface ten-gigabitethernet 3/1/1
[DeviceA-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[DeviceA-Ten-GigabitEthernet3/1/1] quit
(6) 配置AFT
# 配置IPv6到IPv4的源地址动态转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的地址,即将2013::/96网段内主机所发送报文的源IPv6地址转换为IPv4地址,并设置端口块大小为200。
[DeviceA] aft v6tov4 source acl ipv6 number 2000 address-group 0 port-block-size 200
# 配置NAT64前缀为2012::/96,报文的目的地址根据该NAT64前缀转换为IPv4地址。
[DeviceA] aft prefix-nat64 2012:: 96
# 在IPv6侧接口Ten-GigabitEthernet3/1/1开启AFT功能。
[DeviceA] interface ten-gigabitethernet 3/1/1
[DeviceA-Ten-GigabitEthernet3/1/1] aft enable
[DeviceA-Ten-GigabitEthernet3/1/1] quit
# 在IPv4侧接口Ten-GigabitEthernet3/1/2开启AFT功能。
[DeviceA] interface ten-gigabitethernet 3/1/2
[DeviceA-Ten-GigabitEthernet3/1/2] aft enable
[DeviceA-Ten-GigabitEthernet3/1/2] quit
# 配置处理基于会话业务的备份组,即仅允许将匹配ACL 2000的IPv6报文引流到备份组cgn的主节点上进行业务处理。
[DeviceA] session service-location acl ipv6 2000 failover-group cgn
# 以上配置完成后,检查IPv6 host与IPv4 server A的连通性。以IPv6 host A ping IPv4 server A为例:
D:\>ping 2012::1401:101
Pinging 2012::1401:101 with 32 bytes of data:
Reply from 2012::1401:101: time=3ms
Reply from 2012::1401:101: time=3ms
Reply from 2012::1401:101: time=3ms
Reply from 2012::1401:101: time=3ms
# 通过如下命令在UP上查看AFT会话,可以看到创建了一个IPv6会话和IPv4会话,分别对应转换前和转换后的报文。
[DeviceA] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013::100/1024
Destination IP/port: 2012::1401:101/1025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 2012::1401:101/1025
Destination IP/port: 2013::100/1024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/2
State: UDP_OPEN
Application: OTHER
Role: -
Failover group ID: -
Start time: 2019-01-08 07:59:11 TTL: 99555s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
[DeviceA] display aft session ipv4 verbose
Initiator:
Source IP/port: 1.1.0.2/1024
Destination IP/port: 20.1.1.1/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 1.1.0.2/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/2
State: UDP_OPEN
Application: OTHER
Role: -
Failover group ID: -
Start time: 2019-01-08 07:59:11 TTL: 99443s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 通过查看AFT端口块,可以看到端口块的分配情况。
[DeviceA] display aft port-block
IPv6 Address: 2013::100
IPv4 Address: 1.1.0.2
Port block : [1024 - 1223]
Total entries found: 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
