不得不說csdn中關(guān)于nat64的案例配置沒有幾個(gè)詳細(xì)，要么照抄，要么搬運(yùn)~

今天也敲個(gè)做了一單nat64的小實(shí)驗(yàn)，實(shí)話實(shí)說這種需求的題平時(shí)遇見的也少，今天跟大家詳細(xì)的分析以下。

場(chǎng)景很簡(jiǎn)單，黃色區(qū)域?yàn)関6內(nèi)網(wǎng)，藍(lán)色區(qū)域?yàn)関4外網(wǎng)，實(shí)現(xiàn)pc1通過nat64技術(shù)訪問服務(wù)器1

?不多BB，上配置，按照我的順序一步一步敲即可

pc1配置

服務(wù)器配置

?文章來源地址http://www.zghlxwxcb.cn/news/detail-588474.html

?交換機(jī)配置

sysname lsw1? //創(chuàng)建交換機(jī)名字

#

ipv6? //開啟v6功能

#

vlan batch 10 100? //創(chuàng)建業(yè)務(wù)vlan10和三層互聯(lián)vlan100

#

interface GigabitEthernet0/0/1? //進(jìn)入業(yè)務(wù)接口

?port link-type access? //配置接口模式為acc

?port default vlan 10? //接口屬于vlan10，并封裝vlan10標(biāo)簽

#

interface GigabitEthernet0/0/24? //進(jìn)入互聯(lián)二層接口

?port link-type access??//配置接口模式為acc

?port default vlan 100??//接口屬于vlan100，并封裝vlan100標(biāo)簽

#

interface Vlanif10? //進(jìn)入三層vlan10網(wǎng)關(guān)

?ipv6 enable? //開啟v6

?ipv6 address 2001:ABCD:1234:11::254/64? //配置v6網(wǎng)關(guān)

#

interface Vlanif100

?ipv6 enable

?ipv6 address 2001:ABCD:1234:100::254/96? ?//配置三層互聯(lián)地址

#

ipv6 route-static :: 0 2001:ABCD:1234:100::253? //配置v6缺省路由，因?yàn)閜c會(huì)訪問有個(gè)v6地址，該地址是進(jìn)行64轉(zhuǎn)換的地址

路由器配置

這個(gè)沒啥可說的，就是配ip，這個(gè)要是看不懂就關(guān)掉當(dāng)前網(wǎng)頁吧，干點(diǎn)別的

sysname R1

#

interface GigabitEthernet0/0/0

?ip address 200.0.0.2 255.255.255.0

#

interface GigabitEthernet0/0/1

?ip address 201.0.0.254 255.255.255.0

重點(diǎn)-防火墻配置

sysname FW1? //更改名字

#

ipv6??//開啟v6功能

#

接口開啟v6功能、配ip、開啟ping功能

interface GigabitEthernet1/0/0

?ipv6 enable

?ipv6 address 2001:ABCD:1234:100::253/96

?service-manage ping permit

?nat64 enable??//開始64轉(zhuǎn)換功能，該配置可以先配也可以最后配，一定是在v6網(wǎng)絡(luò)的接口配

#

interface GigabitEthernet1/0/1

?ip address 200.0.0.1 255.255.255.0

?service-manage ping permit

#

防火墻接口劃分區(qū)域

firewall zone trust

?add interface GigabitEthernet1/0/0? //v6網(wǎng)絡(luò)為信任區(qū)域

#

firewall zone untrust

?add interface GigabitEthernet1/0/1? //v4網(wǎng)絡(luò)為非信任區(qū)域

#

配置v4網(wǎng)絡(luò)可達(dá)

ip route-static 0.0.0.0 0.0.0.0 200.0.0.2? //配置到服務(wù)器的缺省路由

#

配置v6網(wǎng)絡(luò)可達(dá)

ipv6 route-static 2001:ABCD:1234:11:: 64 2001:ABCD:1234:100::254? //配置到pc1的靜態(tài)v6路由

#

配置nat轉(zhuǎn)換后的地址池，也可配靜態(tài)一對(duì)一

nat address-group 1 0? //創(chuàng)建地址池

?mode pat

?section 0 200.0.0.10 200.0.0.20? //地址池范圍為防火墻v4網(wǎng)絡(luò)中的出接口地址段即可

#

配訪問v4的v6映射地址，ping這個(gè)段才能轉(zhuǎn)換成v4，其他不行

?nat64 prefix 3001:: 96

#

配置安全策略

security-policy

?rule name nat64? //創(chuàng)建策略名字

??source-zone trust? //源區(qū)域-指v6

??destination-zone untrust //目的區(qū)域-指v4

??source-address 2001:ABCD:1234:11:: 64? //源地址前綴

??action permit? //激活策略

#

配置nat策略

nat-policy

?rule name nat64

??source-zone trust

??destination-zone untrust

??source-address 2001:ABCD:1234:11:: 64

??nat-type nat64? //類型為nat64

??action source-nat address-group 1? //激活源nat地址池模式

測(cè)試

前綴為/96 ipv4地址正好為32位? v6地址位128位?

看防火墻v6的會(huì)話表，可以看到轉(zhuǎn)換的

看v4的會(huì)話表是轉(zhuǎn)換成功后的，可別看錯(cuò)了，友友們

?還想看什么評(píng)論區(qū)見

?

到了這里，關(guān)于華為ensp防火墻nat64案例配置的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！