IPv6 to IPv4过渡技术

IPv6 to IPv4过渡技术有手工隧道、GRE隧道、6over4、isatap和NAT64五种。从今天给大家发一系列文章，主要介绍IPv6 to IPv4过渡技术。本文介绍的是NAT64技术。 注意，阅读本文，您需要具有较深的IPv6知识，以及华为系列防火墙设备配置知识。

实验拓扑图如下所示：

很简单的拓扑图，在上述场景中，PC1配置的是IPv4地址，PC2配置的是IPv6地址，现在使用华为防火墙设备配置NAT64,使得PC1和PC2可以互通。 注：理论上，华为系列路由器也可以实现类似功能，但是在eNSP方面可能存在问题，因此在这里使用防火墙代替，其原理是相同的。

下面，我就把实验中用到的命令粘贴如下

为了首先保证防火墙与两个PC之间PING功能正常，因此必须要配置安全域和安全策略，在这里为了演示最基本的NAT64功能，因此对这些配置采取了最简单的配置方式：

此外，为了保证接口上PING正常，除了配置IP地址外，还需要执行命令：

这样，在完成接口上IP地址配置和上述配置后，两个PC应该可以PING通防火墙上的接口IP地址，也就是他们的网关了。

在NAT64配置中，要保证IPv4访问IPv6，只需要配置一条NAT64策略即可：

同时在接口上应用该NAT64配置：

上面的配置命令，是将PC2的2000::1的地址映射到10.1.1.100，以此实现PC1对PC2的访问。 在配置完上述命令后，应该能够实现PC1PING通PC2了。

但是，此时还不能实现PC2PING通PC1，这是因为在完成上述配置后，PC1发送的ICMP报文经过防火墙后，防火墙将该ICMP报文的源地址转化成NAT64的专用地址。但是在PC2 PING PC1的时候，防火墙不知道将该ICMP的源地址转换成什么IP地址。 为了实现PC2 PING PC1，此时就必须配置NAT前缀和NAT策略，配置命令如下：

在上述配置命令中，配置了一个NAT地址范围，定义了PC2访问PC1的数据包在穿过防火墙后的源IP地址，而上面的NAT64前缀配置中96是专门为IPv6区域访问IPv4设计的，这样的前缀预留了32位主机地址，而当PC2要访问PC1时，就把该NAT64前缀拿过来，然后在后面24位预留主机IP中填入PC1的IPv4地址即可。

1、PC1和PC2互相访问

2、在没有配置反向NAT64之前抓包 3、防火墙上查看NAT64结果

最后，把实验中防火墙配置全体粘贴如下（舍弃不必要配置命令）

原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/118710599