03-AFT配置
本章节下载: 03-AFT配置 (545.22 KB)
1.10.7 配置IPv6到IPv4端口块方式的静态AFT源地址转换策略
1.11.5 配置引用IVI前缀或General前缀的IPv4到IPv6目的地址转换策略
1.12.4 配置引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略
1.14 配置AFT转换后IPv6报文的Traffic Class字段值
1.16.2 配置IRF双机热备场景下的AFT端口负载分担功能
1.16.3 配置HA联动VRRP场景中AFT与VRRP备份组绑定
1.19.1 IPv6网络访问IPv4 Internet配置举例
1.19.2 IPv4 Internet访问IPv6网络内部服务器配置举例
1.19.4 IPv4网络访问IPv6 Internet中的服务器配置举例
1.19.5 IPv6 Internet访问IPv4网络配置举例
AFT(Address Family Translation,地址族转换)提供了IPv4和IPv6地址之间的相互转换功能。在IPv4网络完全过渡到IPv6网络之前,两个网络之间直接的通信可以通过AFT来实现。例如,使用AFT可以使IPv4网络中的主机直接访问IPv6网络中的FTP服务器。
如图1-1所示,AFT作用于IPv4和IPv6网络边缘设备上,所有的地址转换过程都在该设备上实现,对IPv4和IPv6网络内的用户来说是透明的,即用户不必改变目前网络中主机的配置就可实现IPv6网络与IPv4网络的通信。
图1-1 AFT应用场景
AFT的地址转换分为静态转换、动态转换、前缀转换及IPv6内部服务器方式。
静态转换方式是指采用手工配置的IPv6地址与IPv4地址的一一对应关系来实现IPv6地址与IPv4地址的转换。静态转换方式包括IPv4到IPv6源地址静态转换策略和IPv6到IPv4源地址静态转换策略。
IPv4到IPv6源地址静态转换策略可用于如下地址转换场景:
· 对于从IPv4侧发起的访问,当报文的源IPv4地址匹配IPv4到IPv6源地址静态转换策略中的IPv4地址时,AFT将报文的源IPv4地址转换为IPv6地址。
· 对于从IPv6侧发起的访问,当报文的目的IPv6地址匹配IPv4到IPv6源地址静态转换策略中的IPv6地址时,AFT将报文的目的IPv6地址转换为IPv4地址。
IPv6到IPv4源地址静态转换策略可用于如下地址转换场景:
· 对于从IPv6侧发起的访问,当报文的源IPv6地址匹配IPv6到IPv4源地址静态转换策略中的IPv6地址时,AFT将报文的源IPv6地址转换为IPv4地址。
· 对于从IPv4侧发起的访问,当报文的目的IPv4地址匹配IPv6到IPv4源地址静态转换策略中的IPv4地址时,AFT将报文的目的IPv4地址转换为IPv6地址。
动态转换方式是指动态地创建IPv6地址与IPv4地址的对应关系来实现IPv6地址与IPv4地址的转换。和静态转换方式不同,动态转换方式中IPv6和IPv4地址之间不存在固定的一一对应关系。
将IPv6报文的源IPv6地址转换为IPv4地址时,动态转换方式分为NO-PAT和PAT两种模式。
NO-PAT(Not Port Address Translation,非端口地址转换)模式下,一个IPv4地址同一时间只能对应一个IPv6地址进行转换,不能同时被多个IPv6地址共用。当使用某IPv4地址的IPv6网络用户停止访问IPv4网络时,AFT会将其占用的IPv4地址释放并分配给其他IPv6网络用户使用。
该模式下,AFT设备只对报文的IP地址进行AFT转换,同时会建立一个NO-PAT表项用于记录IPv6地址和IPv4地址的映射关系,并不涉及端口转换,可支持所有IP协议的报文。
PAT(Port Address Translation,端口地址转换)模式下,一个IPv4地址可以同时被多个IPv6地址共用。该模式下,AFT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMPv6(Internet Control Message Protocol for IPv6,IPv6互联网控制消息协议)查询报文。
PAT模式的动态转换策略支持对端口块大小进行限制,从而达到限制转换和溯源的目的。可划分的端口号范围为1024~65535,剩余不足划分的部分则不会进行分配。IPv6主机首次发起连接时,为该地址分配一个用于转换的IPv4地址,以及该IPv4地址的一个端口块。后续从该IPv6主机发起的连接都使用这个IPv4地址和端口块里面的端口进行转换,直到端口块里面的端口用尽。
前缀转换包括NAT64前缀转换、IVI前缀转换和General前缀转换。
NAT64前缀是长度为32、40、48、56、64或96位的IPv6地址前缀,用来构造IPv4节点在IPv6网络中的地址,以便IPv4主机与IPv6主机通信。网络中并不存在带有NAT64前缀的IPv6地址的主机。NAT64前缀可以是网络特定前缀(Network-specific prefix,NSP)或公认前缀(Well-known prefix,WKP)。NSP由组织分配,通常是该组织IPv6前缀的一个子网。WKP为64:ff9b::/96。如果未配置NSP,NAT64将使用WKP进行地址转换。
如图1-2所示,NAT64前缀长度不同时,地址转换方法有所不同。其中,NAT64前缀长度为32、64和96位时,IPv4地址作为一个整体添加到IPv6地址中;NAT64前缀长度为40、48和56位时,IPv4地址被拆分成两部分,分别添加到64~71位的前后。64~71位为保留位,必须设置为0。
图1-2 对应IPv4地址带有NAT64前缀的IPv6地址格式
AFT构造IPv4节点在IPv6网络中的地址示例如表1-1所示。
表1-1 IPv4地址带有NAT64前缀的IPv6地址示例
IPv6前缀 |
IPv4地址 |
嵌入IPv4地址的IPv6地址 |
2001:db8::/32 |
192.0.2.33 |
2001:db8:c000:221:: |
2001:db8:100::/40 |
192.0.2.33 |
2001:db8:1c0:2:21:: |
2001:db8:122::/48 |
192.0.2.33 |
2001:db8:122:c000:2:2100:: |
2001:db8:122:300::/56 |
192.0.2.33 |
2001:db8:122:3c0:0:221:: |
2001:db8:122:344::/64 |
192.0.2.33 |
2001:db8:122:344:c0:2:2100:: |
2001:db8:122:344::/96 |
192.0.2.33 |
2001:db8:122:344::192.0.2.33 |
IPv4侧发起访问时,AFT利用NAT64前缀将报文的源IPv4地址转换为IPv6地址;IPv6侧发起访问时,AFT利用NAT64前缀将报文的目的IPv6地址转换为IPv4地址。
IVI前缀是长度为32位的IPv6地址前缀。IVI地址是IPv6主机实际使用的IPv6地址,这个IPv6地址中内嵌了一个IPv4地址,可以用于与IPv4主机通信。由IVI前缀构成的IVI地址格式如图1-3所示。
图1-3 IVI地址格式
从IPv6侧发起访问时,AFT可以使用IVI前缀将报文的源IPv6地址转换为IPv4地址。
General前缀与NAT64前缀类似,都是长度为32、40、48、56、64或96位的IPv6地址前缀,用来构造IPv4节点在IPv6网络中的地址。如图1-4所示,General前缀与NAT64前缀的区别在于,General前缀没有64到71位的8位保留位,IPv4地址作为一个整体添加到IPv6地址中。
图1-4 对应IPv4地址带有General前缀的IPv6地址格式
从IPv6侧发起访问时,AFT利用General前缀将报文的源/目的IPv6地址转换为IPv4地址。需要注意的是,General前缀与NAT64前缀都不能与设备上的接口地址同网段。
IPv6内部服务器是指向IPv4网络主机提供服务的IPv6网络中的服务器。通过配置IPv6内部服务器,可以将IPv6服务器的地址和端口映射到IPv4网络,IPv4网络中的主机通过访问映射后的IPv4地址和端口就可以访问IPv6网络中的服务器。
在IPv4向IPv6过渡前期,多数服务仍然位于IPv4网络中,IPv6用户访问IPv4侧服务器时,通过配置IPv4内部服务器,可以将IPv4服务器的地址和端口映射到IPv6网络,IPv6网络中的主机通过映射后的IPv6地址和端口就可以访问IPv4网络中的服务器。
端口块静态映射是指,AFT设备根据配置自动计算IPv6地址与IPv4地址、端口块的静态映射关系,并创建静态端口块映射表项。当IPv6侧发起连接时,设备通过报文的源IPv6地址匹配的IPv6前缀查找静态端口块映射表项,使用表项中记录的IPv4地址进行地址转换,并从对应的端口块中分配一个端口进行TCP/UDP端口转换。
IPv6侧发起访问和IPv4侧发起访问的报文转换过程有所不同,下面将分别介绍。
图1-5 IPv6侧发起访问的AFT报文转换过程
如图1-5所示,IPv6侧发起访问时AFT设备对报文的转换过程为:
(1) 判断是否需要进行AFT转换:AFT设备接收到IPv6网络主机(IPv6 host)发送给IPv4网络主机(IPv4 host)的报文后,判断该报文是否要转发到IPv4网络。如果报文的目的IPv6地址能够匹配到IPv6目的地址转换策略,则该报文需要转发到IPv4网络,需要进行AFT转换;如果未匹配到任何一种转换策略,则表示该报文不需要进行AFT转换。
(2) 转换报文目的地址:根据IPv6目的地址转换策略将报文目的IPv6地址转换为IPv4地址。
(3) 根据目的地址预查路由:根据转换后的IPv4目的地址查找路由表,确定报文的出接口。如果查找失败,则丢弃报文。需要注意的是,预查路由时不会查找策略路由。
(4) 转换报文源地址:根据IPv6源地址转换策略将报文源IPv6地址转换为IPv4地址。如果未匹配到任何一种转换策略,则报文将被丢弃。
(5) 转发报文并记录映射关系:报文的源IPv6地址和目的IPv6地址都转换为IPv4地址后,设备按照正常的转发流程将报文转发到IPv4网络中的主机。同时,将IPv6地址与IPv4地址的映射关系保存在设备中。
(6) 根据记录的映射关系转发应答报文:IPv4网络主机发送给IPv6网络主机的应答报文到达AFT设备后,设备将根据已保存的映射关系进行相反的转换,从而将报文发送给IPv6网络主机。
图1-6 IPv4侧发起访问的AFT报文转换过程
如图1-6所示,IPv4侧发起访问时AFT设备对报文的转换过程为:
(1) 判断是否需要进行AFT转换:AFT设备接收到IPv4网络主机(IPv4 host)发送给IPv6网络主机(IPv6 host)的报文后,判断该报文是否要转发到IPv6网络。如果报文的目的IPv4地址能够匹配到IPv4目的地址转换策略,则该报文需要转发到IPv6网络,需要进行AFT转换。如果未匹配到任何一种转换策略,则表示该报文不需要进行AFT地址转换。
(2) 转换报文目的地址:根据IPv4目的地址转换策略将报文目的IPv4地址转换为IPv6地址。
(3) 根据目的地址预查路由:根据转换后的IPv6目的地址查找路由表,确定报文的出接口。如果查找失败,则丢弃报文。需要注意的是,预查路由时不会查找策略路由。
(4) 转换报文源地址:根据IPv4源地址转换策略将报文源IPv4地址转换为IPv6地址。如果未匹配到任何一种转换策略,则报文将被丢弃。
(5) 转发报文并记录映射关系:报文的源IPv4地址和目的IPv4地址都转换为IPv6地址后,设备按照正常的转发流程将报文转发到IPv6网络中的主机。同时,将IPv4地址与IPv6地址的映射关系保存在设备中。
(6) 根据记录的映射关系转发应答报文:IPv6网络主机发送给IPv4网络主机的应答报文到达AFT设备后,设备将根据已保存的映射关系进行相反的转换,从而将报文发送给IPv4网络主机。
AFT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析。然而对于一些特殊协议,它们的报文的数据载荷中可能包含IP地址或端口信息。例如,FTP应用由数据连接和控制连接共同完成,而数据连接使用的地址和端口由控制连接报文中的载荷信息决定。这些载荷信息也必须进行有效的转换,否则可能导致功能问题。ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的处理,利用ALG可以完成载荷信息的转换。
在HA联动虚拟地址(虚拟地址也称为浮动地址)的高可靠性组网中开启AFT功能,然后配置IPv6侧发起的会话的转换配置,或者IPv4侧发起的会话的转换配置后,HA中的主、备AFT设备均会向同一局域网内的所有节点通告转换配置中转换后的IP地址与自身物理接口MAC地址的对应关系。导致与HA直连的上行三层设备可能会将下行报文发送给HA中的没有业务处理能力的备设备,从而影响业务的正常运行。
为了避免上述情况的发生,仅HA中的主AFT设备会主动通告转换后的IP地址与MAC地址的对应关系,其中的MAC地址为虚拟地址对应的虚拟MAC地址。
与HA直连的上行三层设备接收到主设备发送的地址解析响应报文后,更新IP地址与MAC地址的映射关系。后续该设备发送目的IP地址为转换配置中转换后的IP地址的下行报文时,使用虚拟MAC地址来封装报文,然后发送到具有业务处理能力的主AFT设备,从而保证业务的正常运行。
设备上经过AFT转换的报文不会再进行NAT转换。
AFT配置任务如下:
(1) 开启AFT功能
(2) 配置IPv6侧发起的会话的转换配置
可通过使用本文中的配置任务实现IPv6侧发起的会话的转换,或者使用全局NAT策略实现IPv6侧发起的会话的转换。关于使用全局NAT策略实现此功能的详细介绍,请参见“三层技术-IP业务配置指导”中的“配置NAT”。
¡ (可选)配置AFT转换后IPv4报文的ToS字段值
(3) 配置IPv4侧发起的会话的转换配置
可通过使用本文中的配置任务实现IPv4侧发起的会话的转换,或者使用全局NAT策略实现IPv6侧发起的会话的转换。关于使用全局NAT策略实现此功能的详细介绍,请参见“三层技术-IP业务配置指导”中的“配置NAT”。
¡ (可选)配置AFT转换后IPv6报文的Traffic Class字段值
(4) (可选)配置AFT ALG
(5) (可选)配置AFT的高可靠性
(6) (可选)开启AFT日志功能
只有在连接IPv4网络和IPv6网络的接口上都开启AFT功能后,才能实现IPv4报文和IPv6报文之间的相互转换。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启AFT功能。
aft enable
缺省情况下,AFT功能处于关闭状态。
IPv6目的地址转换策略匹配的优先级从高到低为:
(1) IPv4内部服务器
(2) IPv4到IPv6的源地址静态转换策略。
(3) General前缀。
(4) NAT64前缀。
为保证此功能正常运行,需要配置安全策略放行Local安全域到IPv4网络侧安全域的报文。
不同的IPv6侧服务器配置的IPv4协议、地址、端口和VPN信息不能完全相同。
当IPv6服务器的IPv6地址和IPv6端口号不变,而位置发生如下任一变化时,不允许通过重复执行本命令修改公网/VPN信息。请先通过undo aft v6server命令删除该服务器的配置,再执行aft v6server命令。
· 从VPN转移到公网
· 从一个VPN转移到另外一个VPN
(1) 进入系统视图。
system-view
(2) 配置IPv4侧服务器对应的IPv6地址及端口。
aft v4server protocol protocol-type ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ] ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
缺省情况下,未配置IPv4侧服务器对应的IPv6地址及端口号。
同一个IPv6侧服务器只能与一个VRRP备份组绑定。可以通过重复执行本命令修改同一个IPv6侧服务器绑定的VRRP备份组。
IPv4到IPv6源地址静态转换策略手工建立了IPv4地址与IPv6地址的一一对应关系,可用于如下地址转换场景:
· 对于从IPv4侧发起的访问,当报文的源IPv4地址匹配IPv4到IPv6源地址静态转换策略中的IPv4地址时,AFT将报文的源IPv4地址转换为IPv6地址。
· 对于从IPv6侧发起的访问,当报文的目的IPv6地址匹配IPv4到IPv6源地址静态转换策略中的IPv6地址时,AFT将报文的目的IPv6地址转换为IPv4地址。
(1) 进入系统视图。
system-view
(2) 配置IPv4到IPv6源地址静态转换策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ] [ vrrp virtual-router-id ]
缺省情况下,未配置IPv4到IPv6源地址静态转换策略。
(1) 进入系统视图。
system-view
(2) 配置General前缀。
aft prefix-general prefix-general prefix-length
缺省情况下,未配置General前缀。
(1) 进入系统视图。
system-view
(2) 配置NAT64前缀。
aft prefix-nat64 prefix-nat64 prefix-length
缺省情况下,未配置NAT64前缀。
IPv6源地址转换策略匹配的优先级从高到低为:
(1) IPv6到IPv4的源地址静态转换策略。
(2) General前缀。
(3) IVI前缀。
(4) IPv6到IPv4端口块方式的静态AFT源地址转换策略。
(5) IPv6到IPv4的源地址动态转换策略。
为保证此功能正常运行,需要配置安全策略放行Local安全域到IPv4网络侧安全域的报文。
IPv6到IPv4源地址静态转换策略手工建立了IPv6地址与IPv4地址的一一对应关系,可用于如下地址转换场景:
· 对于从IPv6侧发起的访问,当报文的源IPv6地址匹配IPv6到IPv4源地址静态转换策略中的IPv6地址时,AFT将报文的源IPv6地址转换为IPv4地址。
· 对于从IPv4侧发起的访问,当报文的目的IPv4地址匹配IPv6到IPv4源地址静态转换策略中的IPv4地址时,AFT将报文的目的IPv4地址转换为IPv6地址。
(1) 进入系统视图。
system-view
(2) 配置IPv6到IPv4源地址静态转换策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
(1) 进入系统视图。
system-view
(2) 配置General前缀。
aft prefix-general prefix-general prefix-length
(1) 进入系统视图。
system-view
(2) 配置IVI前缀。
aft prefix-ivi prefix-ivi
IPv6到IPv4源地址动态转换方式是指动态地创建IPv6地址与IPv4地址的对应关系来实现IPv6地址与IPv4地址的转换。在PAT模式的IPv6到IPv4源地址动态转换方式中,一个IPv4地址可以同时被多个IPv6地址共用。该模式下,AFT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMPv6(Internet Control Message Protocol for IPv6,IPv6互联网控制消息协议)查询报文。
(1) 进入系统视图。
system-view
(2) (可选)配置AFT地址组。
a. 创建一个AFT地址组,并进入AFT地址组视图。
aft address-group group-id
在配置IPv6到IPv4源地址动态转换策略前,根据实际情况选配。
b. 添加地址组成员。
address start-address end-address
可通过多次执行本命令添加多个地址组成员。
当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有成员的IP地址段重叠。
c. 退回系统视图。
quit
(3) 配置IPv6到IPv4源地址动态转换策略。
aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } { address-group group-id [ no-pat | port-block-size blocksize [ extended-block-number extended-block-number ] [ port-range start-port-number end-port-number ] ] | interface interface-type interface-number } [ vpn-instance ipv4-vpn-instance-name ]
配置IPv6到IPv4端口块方式的静态AFT源地址转换策略时,需要创建一个AFT端口块组,一个AFT端口块组包含如下内容:
· 地址组成员,包含转换前的IPv6地址和转换后的IPv4地址。
· IPv4地址的端口范围。
· 端口块大小。
设备将根据AFT端口块组内的配置数据,按照固定的算法生成内网IPv6地址前缀与外网IPv4地址和端口块的映射关系。AFT端口块组中可分配的端口块总数=端口范围÷端口块大小,假设可分配的端口块总数为n个,转换后的IPv4地址有m个,则可映射的IPv6地址前缀总数=n×m,超出此数目的IPv6地址前缀将无法转换。例如,转换后的IPv4地址为X1和Y1,可分配的端口块总数为n。设备取n个转换前的IPv6地址前缀,映射同一个IPv4地址,并依次映射第一个到第n个端口块,生成的映射关系如下所示:
· IPv6地址前缀x1<-->IPv4地址X1+端口块1
· IPv6地址前缀x2<-->IPv4地址X1+端口块2
· ……
· IPv6地址前缀xn<-->IPv4地址X1+端口块n
· IPv6地址前缀y1<-->IPv4地址Y1+端口块1
· IPv6地址前缀y2<-->IPv4地址Y1+端口块2
· ……
· IPv6地址前缀yn<-->IPv4地址Y1+端口块n。
(1) 进入系统视图。
system-view
(2) 创建AFT端口块组,并进入AFT端口块组视图。
aft port-block-group block-group-id
(3) 向AFT端口块组中添加源地址转换前的IPv6地址成员。
ipv6-prefix ipv6-start-prefix ipv6-end-prefix prefix-length [ vpn-instance vpn-name ]
缺省情况下,AFT端口块组中不存在源地址转换前的IPv6地址成员。
(4) 向AFT端口块组中添加源地址转换后的IPv4地址成员。
ip-address start-address end-address [ vpn-instance vpn-name ]
缺省情况下,AFT端口块组中不存在源地址转换后的IPv4地址成员。
(5) 配置AFT进行端口块分配的端口范围。
port-range start-port-number end-port-number
缺省情况下,AFT进行端口块分配的端口范围为1~65535。
(6) 设置AFT端口块大小。
block-size block-size-value
缺省情况下,一个端口块中包含256个端口。
(7) 退回系统视图。
quit
(8) 配置从IPv6到IPv4端口块方式的静态AFT源地址转换策略。
aft v6tov4 source port-block-group group-id
缺省情况下,未配置从IPv6到IPv4端口块方式的静态AFT源地址转换策略。
IPv4目的地址转换策略的匹配优先级从高到低为:
(1) IPv6内部服务器。
(2) IPv6到IPv4的源地址静态转换策略。
(3) 引用IVI前缀或General前缀的IPv4到IPv6目的地址转换策略。
此功能需要保证安全策略放行Local安全域到IPv6网络侧安全域的报文。
不同的IPv6侧服务器配置的IPv4协议、地址、端口和VPN信息不能完全相同。
当IPv6服务器的IPv6地址和IPv6端口号不变,而位置发生如下任一变化时,不允许通过重复执行本命令修改公网/VPN信息。请先通过undo aft v6server命令删除该服务器的配置,再执行aft v6server命令。
· 从VPN转移到公网
· 从一个VPN转移到另外一个VPN
(1) 进入系统视图。
system-view
(2) 配置IPv6侧服务器对应的IPv4地址及端口。
aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ]
缺省情况下,未配置IPv6侧服务器对应的IPv4地址及端口号。
同一个IPv6侧服务器只能与一个VRRP备份组绑定。可以通过重复执行本命令修改同一个IPv6侧服务器绑定的VRRP备份组。
IPv6到IPv4源地址静态转换策略手工建立了IPv6地址与IPv4地址的一一对应关系,可用于如下地址转换场景:
· 对于从IPv6侧发起的访问,当报文的源IPv6地址匹配IPv6到IPv4源地址静态转换策略中的IPv6地址时,AFT将报文的源IPv6地址转换为IPv4地址。
· 对于从IPv4侧发起的访问,当报文的目的IPv4地址匹配IPv6到IPv4源地址静态转换策略中的IPv4地址时,AFT将报文的目的IPv4地址转换为IPv6地址。
(1) 进入系统视图。
system-view
(2) 配置IPv6到IPv4源地址静态转换策略。
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
(1) 进入系统视图。
system-view
(2) 配置IVI前缀或General前缀。请选择其中一项进行配置。
¡ 配置IVI前缀。
aft prefix-ivi prefix-ivi
¡ 配置General前缀。
aft prefix-general prefix-general prefix-length
(3) 配置引用IVI前缀或General前缀的IPv4到IPv6目的地址转换策略。
aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] } }
引用IVI前缀或General前缀之前,需要先进行IVI前缀或General前缀的配置,转换策略才能生效。
IPv4源地址转换策略的匹配优先级从高到低为:
(1) IPv4到IPv6的源地址静态转换策略。
(2) 引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略。
(3) NAT64前缀。
为保证此功能正常运行,需要配置安全策略放行Local安全域到IPv6网络侧安全域的报文。
IPv4到IPv6源地址静态转换策略手工建立了IPv4地址与IPv6地址的一一对应关系,可用于如下地址转换场景:
· 对于从IPv4侧发起的访问,当报文的源IPv4地址匹配IPv4到IPv6源地址静态转换策略中的IPv4地址时,AFT将报文的源IPv4地址转换为IPv6地址。
· 对于从IPv6侧发起的访问,当报文的目的IPv6地址匹配IPv4到IPv6源地址静态转换策略中的IPv6地址时,AFT将报文的目的IPv6地址转换为IPv4地址。
(1) 进入系统视图。
system-view
(2) 配置IPv4到IPv6源地址静态转换策略。
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ]
(1) 进入系统视图。
system-view
(2) 配置NAT64前缀或General前缀。请选择其中一项进行配置。
¡ 配置NAT64前缀。
aft prefix-nat64 prefix-nat64 prefix-length
¡ 配置General前缀。
aft prefix-general prefix-general prefix-length
(3) 配置引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略。
aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } }
引用NAT64前缀或General前缀之前,需要先进行NAT64前缀或General前缀的配置,转换策略才能生效。
(1) 进入系统视图。
system-view
(2) 配置NAT64前缀。
aft prefix-nat64 prefix-nat64 prefix-length
用户可以设置在进行AFT转换后,IPv4报文中ToS字段的取值:
· 为0:表示将转换后报文的服务优先级降为最低。
· 与转换前对应的ToS字段取值相同:表示保持原有的服务优先级。
(1) 进入系统视图。
system-view
(2) 配置IPv6报文转换为IPv4报文后,IPv4报文的ToS字段值为0。
aft turn-off tos
缺省情况下,当IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段与转换前的IPv6报文的Traffic Class字段值相同。
用户可以设置在AFT转换后,IPv6报文中Traffic Class字段的取值:
· 为0:表示将转换后报文的服务优先级降为最低。
· 与转换前对应的Traffic Class字段取值相同:表示保持原有的服务优先级。
(1) 进入系统视图。
system-view
(2) 配置IPv4报文转换为IPv6报文后,IPv6报文的Traffic Class字段值为0。
aft turn-off traffic-class
缺省情况下,当IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段与转换前的IPv4报文的ToS字段值相同。
在IRF组网环境中,物理接口上配置的AFT业务不支持ALG功能。
为保证此功能正常运行,需要配置安全策略放行发起请求方安全域到Local安全域的报文。
(1) 进入系统视图。
system-view
(2) 开启指定或所有协议类型的AFT ALG功能。
aft alg { all | dns | ftp | h323 | http | icmp-error | rtsp | sip }
缺省情况下,DNS协议、FTP协议、H323协议、HTTP协议、ICMP差错控制报文、RTSP协议、SIP协议的AFT ALG功能均处于开启状态。
网络中仅部署一台AFT设备时,一旦该设备发生故障,内网用户将无法与外网通信。采用双机热备方案可以很好的避免上述情况的发生。在IRF双机热备和HA高可靠性方案中,主备部署或双主部署的两台设备均可承担AFT业务;两台设备间进行会话热备、会话关联表热备、AFT端口块表项热备以及AFT配置的同步。当其中一台设备故障后流量自动切换到另一台正常工作的设备。
关于IRF的详细介绍,请参见“虚拟化技术配置指导”中的“IRF”。
关于HA的详细介绍,请参见“高可靠性配置指导”中的“双机热备(RBM)”。
AFT支持双主模式的IRF双机热备和主备模式的IRF双机热备。两种热备场景中需要的AFT配置不同,差异如下:
· 在双主模式的IRF双机热备场景下,当两台IRF成员设备共用AFT地址组中的地址时,可能会出现两台设备上不同的IPv6地址+端口号的地址转换结果相同的情况。为了避免上述情况的发生,需要在IRF设备上开启AFT端口负载分担功能。开启本功能后,两台设备各获得一半端口资源,从而保证两台设备上不同流量的地址转换结果不同。
· 在主备模式的IRF双机热备场景下,分别完成IRF双机热备配置以及AFT的基本配置即可,不需要额外的AFT配置来配合。
(1) 进入系统视图。
system-view
(2) 开启AFT端口负载分担功能。
aft port-load-balance enable slot slot-number
缺省情况下,AFT端口负载分担功能处于关闭状态。
在HA联动VRRP的高可靠性组网中开启AFT功能,然后配置IPv6到IPv4源地址动态转换策略或IPv6到IPv4端口块方式的静态AFT源地址转换策略后,HA中的主、备AFT设备均会向同一局域网内的所有节点发送免费ARP报文,用来通告转换策略中IPv4地址与自身物理接口MAC地址的对应关系。导致与HA直连的上行三层设备可能会将下行报文发送给HA中的没有业务处理能力的备设备,从而影响业务的正常运行。
为了避免上述情况的发生,需要将AFT地址组或AFT端口块组与VRRP备份组绑定。执行绑定操作后,仅HA中的主AFT设备会主动通告转换后的IP地址与MAC地址的对应关系,其中的MAC地址为VRRP备份组的虚拟MAC地址。
上述机制使得与HA直连的上行三层设备只会将下行报文发送给HA中的主设备,保证业务的正常运行。关于HA的详细介绍,请参见“高可靠性配置指导”中的“双机热备(RBM)”。关于VRRP的详细介绍,请参见“高可靠性配置指导”中的“双机热备(RBM)”。
在双主模式的HA组网中,不建议用户使用AFT端口块组进行地址转换。否则,其中一台设备故障,由另外一台设备承担其业务时,可能会出现AFT业务异常的情况。
(1) 进入系统视图。
system-view
(2) 进入AFT地址组视图。
aft address-group group-id
(3) 将AFT地址组与VRRP备份组绑定。
vrrp vrid virtual-router-id
缺省情况下,AFT地址组未绑定任何VRRP备份组。
(4) 退回系统视图。
quit
(5) 指定HA中主、从管理设备可以使用的AFT端口块范围。
aft remote-backup port-alloc { primary | secondary }
缺省情况下,HA中的主、从管理设备共用AFT端口资源。
当两台设备共用AFT地址组中的地址时,需要在主管理设备上配置本命令。
(1) 进入系统视图。
system-view
(2) 进入AFT地址组视图或AFT端口块组视图。
¡ 进入AFT地址组视图。
aft address-group group-id
¡ 进入AFT端口块组视图。
aft port-block-group block-group-id
(3) 将AFT地址组或AFT端口块组与VRRP备份组绑定。
vrrp vrid virtual-router-id
缺省情况下,AFT地址组或AFT端口块组未绑定任何VRRP备份组。
请在远端备份组主管理设备上配置本命令。
在业务热备份环境中,通过开启AFT端口块热备份功能,可以实现主备切换后动态AFT端口块表项一致。
HA组网环境下,开启HA热备业务表项功能(执行hot-backup enable命令)后本功能才能生效。
IRF组网环境下,开启会话业务热备份功能(执行session synchronization enable命令)后本功能才能生效。
(1) 进入系统视图。
system-view
(2) 开启AFT动态端口块热备份功能。
aft port-block synchronization enable
缺省情况下,AFT动态端口块热备份功能处于开启状态。
在业务热备份环境中,通过开启AFT端口块热备份功能,可以实现主备切换后动态AFT端口块表项一致
为了满足网络管理员安全审计的需要,可以开启AFT连接的日志功能,以便对AFT连接(AFT连接是指报文经过设备时,源或目的地址进行过AFT转换的连接)信息进行记录。以下情况下会触发记录AFT连接的日志信息:
· AFT端口块分配。
· AFT端口块回收。
· AFT端口块耗尽。
· AFT流创建,即AFT会话创建时输出日志。
· AFT流删除,即AFT会话释放时输出日志。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 开启AFT连接的日志功能。
aft log enable
缺省情况下,AFT连接的日志功能处于关闭状态。
配置本命令后,将记录AFT端口块新建和AFT端口块删除的日志信息。
(3) (可选)开启AFT端口块日志功能。
aft log port-block { alarm | assign | withdraw }
缺省情况下,AFT端口块日志功能处于关闭状态。
如需记录AFT端口块分配、回收以及AFT端口块耗尽时的日志信息,则需要配置本命令。只有配置aft log enable命令之后,本命令才能生效。
(4) (可选)开启AFT流创建或流删除的日志功能。
¡ 开启AFT流创建的日志功能。
aft log flow-begin
缺省情况下,AFT新建流的日志功能处于关闭状态。
如需记录AFT会话创建时的日志信息,则需要配置本命令。只有配置aft log enable命令之后,本命令才能生效。
¡ 开启AFT流删除的日志功能。
aft log flow-end
缺省情况下,AFT删除流的日志功能处于关闭状态。
如需记录AFT会话释放时的日志信息,则需要配置本命令。只有配置aft log enable命令之后,本命令才能生效。
端口块方式的IPv6到IPv4源地址动态转换策略中,如果可为用户分配的AFT资源用尽,后续连接由于没有可用的资源无法对其进行地址转换,相应的报文将被丢弃。本命令用来在AFT资源用尽时输出告警日志。AFT资源是指IPv4地址和端口块。当端口块的使用率大于设置的阈值时,系统会输出告警日志。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
只有开启AFT连接的日志功能(通过aft log enable命令)之后,AFT告警信息日志功能才能生效。
(1) 进入系统视图。
system-view
(2) 开启AFT连接的日志功能。
aft log enable
缺省情况下,AFT连接的日志功能处于关闭状态。
(3) 配置AFT端口块使用率的阈值。
aft log port-block usage threshold threshold-value
缺省情况下,AFT端口块使用率的阈值为90%。
在完成上述配置后,在任意视图下执行display命令可以显示AFT配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以删除AFT会话或统计信息。
表1-2 AFT显示和维护
操作 |
命令 |
显示AFT配置信息 |
display aft configuration |
显示地址组信息 |
display aft address-group [ group-id ] |
显示AFT地址映射信息 |
display aft address-mapping [ slot slot-number ] |
显示AFT NO-PAT表项信息 |
display aft no-pat [ slot slot-number ] |
显示AFT端口块映射表项信息 |
display aft port-block { dynamic | static } [ slot slot-number ] |
显示AFT会话 |
display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ slot slot-number ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ slot slot-number ] [ verbose ] |
显示AFT统计信息 |
display aft statistics [ slot slot-number ] |
删除AFT会话 |
reset aft session [ slot slot-number ] |
删除AFT统计信息 |
reset aft statistics [ slot slot-number ] |
某公司将网络升级到了IPv6,但是仍然希望内网2013::/96网段的用户可以访问IPv4 Internet,其它网段的用户不能访问IPv4 Internet。该公司访问IPv4 Internet使用的IPv4地址为10.1.1.1、10.1.1.2和10.1.1.3。
为满足上述需求,本例中实现方式如下:
· 使用NAT64前缀与IPv4网络中的主机地址组合成为IPv6地址,此IPv6地址将与IPv4 Internet内的主机建立相应的映射关系,IPv6网络中的主机访问该IPv6地址即可实现对IPv4 Internet的访问。报文到达Device后,设备将根据NAT64前缀将该目的IPv6地址转换为对应的IPv4地址。
· 使用IPv6到IPv4源地址动态转换策略将IPv6网络到IPv4网络报文的源地址转换为IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
图1-7 IPv6网络访问IPv4 Internet配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 address 2013::1 96
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Server所在网络的下一跳IP地址为10.1.1.100,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 20.1.1.0 24 10.1.1.100
(4) 配置安全策略
# 配置名称为aftlocalin的安全策略,使Device能对Host访问Server的报文进行AFT转换,具体配置步骤如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalin
[Device-security-policy-ipv6-1-aftlocalin] source-zone trust
[Device-security-policy-ipv6-1-aftlocalin] destination-zone local
[Device-security-policy-ipv6-1-aftlocalin] source-ip-subnet 2013:: 96
[Device-security-policy-ipv6-1-aftlocalin] destination-ip-host 2012::20.1.1.1
[Device-security-policy-ipv6-1-aftlocalin] destination-ip-host 2012::20.1.1.2
[Device-security-policy-ipv6-1-aftlocalin] action pass
[Device-security-policy-ipv6-1-aftlocalin] quit
[Device-security-policy-ipv6] quit
# 配置名称为aftlocalout的安全策略,允许将AFT转换后的报文转发至Server,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalout
[Device-security-policy-ip-1-aftlocalout] source-zone local
[Device-security-policy-ip-1-aftlocalout] destination-zone untrust
[Device-security-policy-ip-1-aftlocalout] source-ip-host 10.1.1.1
[Device-security-policy-ip-1-aftlocalout] source-ip-host 10.1.1.2
[Device-security-policy-ip-1-aftlocalout] source-ip-host 10.1.1.3
[Device-security-policy-ip-1-aftlocalout] destination-ip-host 20.1.1.1
[Device-security-policy-ip-1-aftlocalout] destination-ip-host 20.1.1.2
[Device-security-policy-ip-1-aftlocalout] action pass
[Device-security-policy-ip-1-aftlocalout] quit
[Device-security-policy-ip] quit
(5) 配置AFT功能
# 配置地址组0包含三个IPv4地址10.1.1.1、10.1.1.2和10.1.1.3。
[Device] aft address-group 0
[Device-aft-address-group-0] address 10.1.1.1 10.1.1.3
[Device-aft-address-group-0] quit
# 配置IPv6 ACL 2000,该ACL用来匹配源IPv6地址属于2013::/96网段的报文。
[Device] acl ipv6 basic 2000
[Device-acl-ipv6-basic-2000] rule permit source 2013:: 96
[Device-acl-ipv6-basic-2000] rule deny
[Device-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址动态转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的地址,即将2013::/96网段内主机所发送报文的源IPv6地址转换为IPv4地址10.1.1.1、10.1.1.2或10.1.1.3。
[Device] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 配置NAT64前缀为2012::/96,报文的目的地址根据该NAT64前缀转换为IPv4地址。
[Device] aft prefix-nat64 2012:: 96
# 在设备IPv6侧和IPv4侧接口开启AFT功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,检查IPv6 Host与IPv4 Server的连通性。以IPv6 host A ping IPv4 server A为例:
D:\>ping 2012::20.1.1.1
Pinging 2012::20.1.1.1 with 32 bytes of data:
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
Reply from 2012::20.1.1.1: time=3ms
# 通过查看AFT会话,可以看到创建了一个IPv6会话和IPv4会话,分别对应转换前和转换后的报文。
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013::100/0
Destination IP/port: 2012::1401:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 2012::1401:0101/0
Destination IP/port: 2013::100/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
State: ICMP_REPLY
Application: ICMP
Rule ID: 0
Rule name: aftlocalout
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
某公司将网络升级到了IPv6,此时Internet仍然是IPv4网络。该公司希望内部的FTP服务器能够继续为IPv4 Internet的用户提供服务。该公司拥有的IPv4地址为10.1.1.1。
为满足上述要求,本例实现方式如下:
· 使用IPv6侧服务器配置将IPv6内部服务器的地址及端口映射为IPv4地址及端口,Device收到来自IPv4 Internet的报文后,根据该配置策略将报文IPv4目的地址转换为IPv6地址;
· 使用NAT64前缀将报文源IPv4地址转换为IPv6地址。
图1-8 IPv4 Internet访问IPv6网络内部服务器配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.2 24
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(3) 配置安全策略
# 配置名称为aftlocalin的安全策略,使Device能对Host访问Server的报文进行AFT转换,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalin
[Device-security-policy-ip-1-aftlocalin] source-zone untrust
[Device-security-policy-ip-1-aftlocalin] destination-zone local
[Device-security-policy-ip-1-aftlocalin] destination-ip-host 10.1.1.1
[Device-security-policy-ip-1-aftlocalin] action pass
[Device-security-policy-ip-1-aftlocalin] quit
[Device-security-policy-ip] quit
# 配置名称为aftlocalout的安全策略,允许将AFT转换后的报文转发至Server,具体配置步骤如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalout
[Device-security-policy-ipv6-1-aftlocalout] source-zone local
[Device-security-policy-ipv6-1-aftlocalout] destination-zone trust
[Device-security-policy-ipv6-1-aftlocalout] source-ip-subnet 2012:: 96
[Device-security-policy-ipv6-1-aftlocalout] destination-ip-host 2013::102
[Device-security-policy-ipv6-1-aftlocalout] action pass
[Device-security-policy-ipv6-1-aftlocalout] quit
[Device-security-policy-ipv6] quit
(4) 配置AFT功能
# 配置IPv6侧服务器对应的IPv4地址及端口号。IPv4网络内用户通过访问该IPv4地址及端口即可访问IPv6服务器。
[Device] aft v6server protocol tcp 10.1.1.1 21 2013::102 21
# 报文的源地址将根据配置的NAT64前缀转换为IPv6地址。
[Device] aft prefix-nat64 2012:: 96
# 在设备IPv4侧和IPv6侧接口开启AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,IPv4 Host可以通过FTP协议访问IPv6 FTP Server。
# 通过查看AFT会话,可以看到创建了一个IPv4会话和IPv6会话,分别对应转换前和转换后的报文。
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/11025
Destination IP/port: 10.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
Responder:
Source IP/port: 10.1.1.1/21
Destination IP/port: 20.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
State: TCP_ESTABLISHED
Application: FTP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::1401:0101/1029
Destination IP/port: 2013::102/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
Responder:
Source IP/port: 2013::102/21
Destination IP/port: 2012::1401:0101/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
State: TCP_ESTABLISHED
Application: FTP
Rule ID: 0
Rule name: aftlocalout
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
某公司内部同时部署了IPv4网络和IPv6网络,并且希望IPv4网络和IPv6网络能够互相访问。
为满足上述需求,本例中使用如下方式实现:
· 为IPv6网络分配一个IVI前缀和IPv4网段,IPv6网络中所有IPv6主机的地址均配置为由IVI前缀和IPv4网段中地址组合而成的IPv6地址。
· 为IPv4网络分配一个NAT64前缀,IPv4网络主动访问IPv6网络时,IPv4源地址使用NAT64前缀转换为IPv6地址;IPv6网络主动访问IPv4网络时,目的地址使用NAT64前缀和IPv4地址组合成的IPv6地址。
图1-9 IPv4网络和IPv6网络互访配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 20.1.1.1 24
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达IPv6 Host所在网络的下一跳IPv6地址为2014::100,到达IPv4 Host所在网络的下一跳IP地址为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ipv6 route-static 2013:: 32 2014::100
[Device] ip route-static 10.1.1.0 24 20.1.1.2
(4) 配置安全策略
a. 配置安全策略放行IPv4 Host访问IPv6 Host的流量。
# 配置名称为aftlocalin4的安全策略,使Device能对IPv4 Host访问IPv6 Host的报文进行AFT转换,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalin4
[Device-security-policy-ip-1-aftlocalin4] source-zone trust
[Device-security-policy-ip-1-aftlocalin4] destination-zone local
[Device-security-policy-ip-1-aftlocalin4] source-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-1-aftlocalin4] destination-ip-subnet 20.1.1.0 24
[Device-security-policy-ip-1-aftlocalin4] action pass
[Device-security-policy-ip-1-aftlocalin4] quit
[Device-security-policy-ip] quit
# 配置名称为aftlocalout6的安全策略,允许将AFT转换后的报文转发至IPv6 Host,具体配置步骤如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalout6
[Device-security-policy-ipv6-1-aftlocalout6] source-zone local
[Device-security-policy-ipv6-1-aftlocalout6] destination-zone trust
[Device-security-policy-ipv6-1-aftlocalout6] source-ip-subnet 2012:: 96
[Device-security-policy-ipv6-1-aftlocalout6] destination-ip-subnet 2013:: 32
[Device-security-policy-ipv6-1-aftlocalout6] action pass
[Device-security-policy-ipv6-1-local-ipv6] quit
b. 配置安全策略放行IPv6 Host访问IPv4 Host的流量。
# 配置名称为aftlocalin6的安全策略,使Device能对IPv6 Host访问IPv4 Host的报文进行AFT转换,具体配置步骤如下。
[Device-security-policy-ipv6] rule name aftlocalin6
[Device-security-policy-ipv6-2-aftlocalin6] source-zone trust
[Device-security-policy-ipv6-2-aftlocalin6] destination-zone local
[Device-security-policy-ipv6-2-aftlocalin6] source-ip-subnet 2013:: 32
[Device-security-policy-ipv6-2-aftlocalin6] destination-ip-subnet 2012:: 96
[Device-security-policy-ipv6-2-aftlocalin6] action pass
[Device-security-policy-ipv6-2-aftlocalin6] quit
[Device-security-policy-ipv6] quit
# 配置名称为aftlocalout4的安全策略,允许将AFT转换后的报文转发至IPv4 Host,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule 2 name aftlocalout4
[Device-security-policy-ip-2-aftlocalout4] source-zone local
[Device-security-policy-ip-2-aftlocalout4] destination-zone trust
[Device-security-policy-ip-2-aftlocalout4] source-ip-subnet 20.1.1.0 24
[Device-security-policy-ip-2-aftlocalout4] destination-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-2-aftlocalout4] action pass
[Device-security-policy-ip-2-aftlocalout4] quit
[Device-security-policy-ip] quit
(5) 配置AFT功能
# 配置ACL 2000用来过滤需要访问IPv6网络的用户,同时匹配该ACL 2000的报文的目的地址将会根据配置的IVI前缀转换为IPv6地址。此处所有IPv4网络用户均需要访问IPv6网络。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit
[Device-acl-ipv4-basic-2000] quit
# 配置NAT64前缀,用于进行IPv4到IPv6的源地址转换和IPv6到IPv4的目的地址转换。
[Device] aft prefix-nat64 2012:: 96
# 配置IVI前缀,用于进行IPv6到IPv4源地址转换,且在IPv4到IPv6动态目的地址转换策略中引用该前缀。
[Device] aft prefix-ivi 2013::
# 配置IPv4到IPv6动态目的地址转换策略,IPv4到IPv6报文的目的IPv4地址转换为IPv6地址。
[Device] aft v4tov6 destination acl number 2000 prefix-ivi 2013::
# 在设备IPv4侧和IPv6侧接口开启AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,IPv4 host与IPv6 host可以互通。以IPv6 host A ping IPv4 host A为例:
D:\>ping 2012::a01:0101
Pinging 2012::a01:0101 with 32 bytes of data:
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
Reply from 2012::a01:0101: time=3ms
# 通过查看AFT会话,可以看到创建了一个IPv6会话和IPv4会话,分别对应转换前和转换后的报文。显示内容如下:
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0a01:0101/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 2012::0a01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
Responder:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
State: ICMP_REPLY
Application: ICMP
Rule ID: 2
Rule name: aftlocalout4
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
Internet已经升级到了IPv6,但是某公司内部网络仍然是IPv4网络。而该公司内部网络的10.1.1.0/24网段的用户仍需要访问IPv6 Internet中的服务器,其他用户不能访问。
为满足上述要求,本例中使用如下方式实现:
· 使用IPv4到IPv6源地址动态地址转换策略,将IPv4报文的源地址转换为IPv6地址。
· 通过IPv6到IPv4的源地址静态转换策略为IPv6 Internet上服务器的IPv6地址指定一个对应的IPv4地址,Device收到发往该IPv4地址的报文时将其转换为对应的IPv6地址。
图1-10 IPv4网络访问IPv6 Internet中的服务器配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.3 24
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Server所在网络的下一跳IPv6地址为2014::100,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ipv6 route-static 2013:0:ff14:0101:100:: 64 2014::100
(4) 配置安全策略
# 配置名称为aftlocalin的安全策略,使Device能对Host访问Server的报文进行AFT转换,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalin
[Device-security-policy-ip-1-aftlocalin] source-zone trust
[Device-security-policy-ip-1-aftlocalin] destination-zone local
[Device-security-policy-ip-1-aftlocalin] source-ip-subnet 10.1.1.0 24
[Device-security-policy-ip-1-aftlocalin] destination-ip-host 20.1.1.1
[Device-security-policy-ip-1-aftlocalin] action pass
[Device-security-policy-ip-1-aftlocalin] quit
[Device-security-policy-ip] quit
# 配置名称为aftlocalout的安全策略,允许将AFT转换后的报文转发至Server,具体配置步骤如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalout
[Device-security-policy-ipv6-1-aftlocalout] source-zone local
[Device-security-policy-ipv6-1-aftlocalout] destination-zone untrust
[Device-security-policy-ipv6-1-aftlocalout] source-ip-subnet 2012:: 96
[Device-security-policy-ipv6-1-aftlocalout] destination-ip-host 2013:0:ff14:0101:100::1
[Device-security-policy-ipv6-1-aftlocalout] action pass
[Device-security-policy-ipv6-1-aftlocalout] quit
[Device-security-policy-ipv6] quit
(5) 配置AFT功能
# 配置ACL 2000,仅允许IPv4网络中10.1.1.0/24网段的用户可以访问IPv6 Internet。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] rule deny
[Device-acl-ipv4-basic-2000] quit
# 配置NAT64前缀,此前缀将在IPv4到IPv6源地址动态转换策略中被调用,将报文的源地址转换为IPv6地址。
[Device] aft prefix-nat64 2012:: 96
# 配置IPv4到IPv6源地址动态转换策略,将匹配ACL 2000报文的源地址根据NAT64前缀转换为IPv6地址。
[Device] aft v4tov6 source acl number 2000 prefix-nat64 2012:: 96
# 配置IPv6到IPv4的源地址静态转换策略,用于将报文的目的地址转换为IPv6地址。
[Device] aft v6tov4 source 2013:0:ff14:0101:100::1 20.1.1.1
# 在设备IPv4侧和IPv6侧接口开启AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,检查IPv4 host与IPv6 server的连通性。以IPv4 host A ping IPv6 server为例:
D:\>ping 20.1.1.1
Pinging 20.1.1.1 with 32 bytes of data:
Reply from 20.1.1.1: bytes=32 time=14ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
Reply from 20.1.1.1: bytes=32 time=1ms TTL=63
# 通过查看AFT会话,可以看到创建了一个IPv4会话和IPv6会话,分别对应转换前和转换后的报文。
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 10.1.1.1/1025
Destination IP/port: 20.1.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 20.1.1.1/1025
Destination IP/port: 10.1.1.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
State: ICMP_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 08:52:59 TTL: 27s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 4 packets 240 bytes
Total sessions found: 1
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2012::0A01:0101/0
Destination IP/port: 2013:0:FF14:0101:0100::/32768
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
Responder:
Source IP/port: 2013:0:FF14:0101:0100::/0
Destination IP/port: 2012::0A01:0101/33024
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
State: ICMPV6_REPLY
Application: ICMP
Rule ID: 0
Rule name: aftlocalout
Start time: 2014-03-13 08:52:59 TTL: 23s
Initiator->Responder: 4 packets 320 bytes
Responder->Initiator: 4 packets 320 bytes
Total sessions found: 1
Internet已经升级到了IPv6,但是某公司内部网络仍然是IPv4网络。而该公司仍希望为IPv6 Internet内的用户提供FTP服务。该公司访问IPv6 Internet使用的IPv6地址为2012::1。
为满足上述要求,实现方式如下:
· 通过IPv4到IPv6源地址静态转换策略,为IPv4网络中的FTP服务器地址指定一个对应的IPv6地址,IPv6 Internet中的主机通过访问该IPv6地址可以访问IPv4网络中的FTP服务器。Device收到发往该IPv6地址的报文时将其目的地址转换为对应的IPv4地址。
· 通过IPv6到IPv4源地址动态转换策略,将IPv6 Internet发送过来的IPv6报文源地址转换为IPv4地址30.1.1.1和30.1.1.2。
图1-11 IPv6 Internet访问IPv4网络配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 address 2014::1 96
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
(3) 配置安全策略
# 配置名称为aftlocalin的安全策略,使Device能对Host访问Server的报文进行AFT转换,具体配置步骤如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name aftlocalin
[Device-security-policy-ipv6-1-aftlocalin] source-zone untrust
[Device-security-policy-ipv6-1-aftlocalin] destination-zone local
[Device-security-policy-ipv6-1-aftlocalin] destination-ip-host 2012::1
[Device-security-policy-ipv6-1-aftlocalin] action pass
[Device-security-policy-ipv6-1-aftlocalin] quit
[Device-security-policy-ipv6] quit
# 配置名称为aftlocalout的安全策略,允许将AFT转换后的报文转发至Server,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name aftlocalout
[Device-security-policy-ip-1-aftlocalout] source-zone local
[Device-security-policy-ip-1-aftlocalout] destination-zone trust
[Device-security-policy-ip-1-aftlocalout] source-ip-host 30.1.1.1
[Device-security-policy-ip-1-aftlocalout] source-ip-host 30.1.1.2
[Device-security-policy-ip-1-aftlocalout] destination-ip-host 20.1.1.1
[Device-security-policy-ip-1-aftlocalout] action pass
[Device-security-policy-ip-1-aftlocalout] quit
[Device-security-policy-ip] quit
(4) 配置AFT功能
# 配置IPv4到IPv6源地址静态转换策略,手动指定IPv4与IPv6地址一一对应的转换关系,此策略可将报文的目的地址转换为对应的IPv4地址。
[Device] aft v4tov6 source 20.1.1.1 2012::1
# 配置地址组0包含2个IPv4地址:30.1.1.1和30.1.1.2。
[Device] aft address-group 0
[Device-aft-address-group-0] address 30.1.1.1 30.1.1.2
[Device-aft-address-group-0] quit
# 配置IPv6 ACL 2000,匹配IPv6网络到IPv4网络的报文。此处允许所有IPv6网络内主机访问IPv4 FTP Server。
[Device] acl ipv6 basic 2000
[Device-acl-ipv6-basic-2000] rule permit
[Device-acl-ipv6-basic-2000] quit
# 配置IPv6到IPv4的源地址动态转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的IPv4地址30.1.1.1或30.1.1.2。
[Device] aft v6tov4 source acl ipv6 number 2000 address-group 0
# 在设备IPv6侧和IPv4侧接口GigabitEthernet1/0/1开启AFT。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] aft enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] aft enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,检查IPv6 host与IPv4 FTP server的连通性。以IPv6 host A ping IPv4 FTP server为例:
D:\>ping 2012::1
Pinging 2012::1 with 32 bytes of data:
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
Reply from 2012::1: time=3ms
# 通过查看AFT会话,可以看到创建了一个IPv6会话和IPv4会话,分别对应转换前和转换后的报文。
[Device] display aft session ipv6 verbose
Initiator:
Source IP/port: 2013:0:FF0A:0101:0100::/1029
Destination IP/port: 2012::1/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
Responder:
Source IP/port: 2012::1/21
Destination IP/port: 2013:0:FF0A:0101:0100::/1029
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: IPV6-ICMP(58)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Local
State: ICMPV6_REPLY
Application: ICMP
Rule ID: -/-/-
Rule name:
Start time: 2014-03-13 09:07:30 TTL: 3582s
Initiator->Responder: 3 packets 184 bytes
Responder->Initiator: 2 packets 148 bytes
Total sessions found: 1
[Device] display aft session ipv4 verbose
Initiator:
Source IP/port: 30.1.1.1/11025
Destination IP/port: 20.1.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Local
Responder:
Source IP/port: 20.1.1.1/21
Destination IP/port: 30.1.1.1/11025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
State: ICMP_REPLY
Application: ICMP
Rule ID: 0
Rule name: aftlocalout
Start time: 2014-03-13 09:07:30 TTL: 3577s
Initiator->Responder: 3 packets 124 bytes
Responder->Initiator: 2 packets 108 bytes
Total sessions found: 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!