华为ensp防火墙nat64案例配置 | 您所在的位置:网站首页 › 深信服防火墙端口策略配置 › 华为ensp防火墙nat64案例配置 |
不得不说csdn中关于nat64的案例配置没有几个详细,要么照抄,要么搬运~ 今天也敲个做了一单nat64的小实验,实话实说这种需求的题平时遇见的也少,今天跟大家详细的分析以下。 场景很简单,黄色区域为v6内网,蓝色区域为v4外网,实现pc1通过nat64技术访问服务器1 不多BB,上配置,按照我的顺序一步一步敲即可 pc1配置 服务器配置
交换机配置 sysname lsw1 //创建交换机名字 # ipv6 //开启v6功能 # vlan batch 10 100 //创建业务vlan10和三层互联vlan100 # interface GigabitEthernet0/0/1 //进入业务接口 port link-type access //配置接口模式为acc port default vlan 10 //接口属于vlan10,并封装vlan10标签 # interface GigabitEthernet0/0/24 //进入互联二层接口 port link-type access //配置接口模式为acc port default vlan 100 //接口属于vlan100,并封装vlan100标签 # interface Vlanif10 //进入三层vlan10网关 ipv6 enable //开启v6 ipv6 address 2001:ABCD:1234:11::254/64 //配置v6网关 # interface Vlanif100 ipv6 enable ipv6 address 2001:ABCD:1234:100::254/96 //配置三层互联地址 # ipv6 route-static :: 0 2001:ABCD:1234:100::253 //配置v6缺省路由,因为pc会访问有个v6地址,该地址是进行64转换的地址 路由器配置 这个没啥可说的,就是配ip,这个要是看不懂就关掉当前网页吧,干点别的 sysname R1 # interface GigabitEthernet0/0/0 ip address 200.0.0.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 201.0.0.254 255.255.255.0 重点-防火墙配置 sysname FW1 //更改名字 # ipv6 //开启v6功能 # 接口开启v6功能、配ip、开启ping功能 interface GigabitEthernet1/0/0 ipv6 enable ipv6 address 2001:ABCD:1234:100::253/96 service-manage ping permit nat64 enable //开始64转换功能,该配置可以先配也可以最后配,一定是在v6网络的接口配 # interface GigabitEthernet1/0/1 ip address 200.0.0.1 255.255.255.0 service-manage ping permit # 防火墙接口划分区域 firewall zone trust add interface GigabitEthernet1/0/0 //v6网络为信任区域 # firewall zone untrust add interface GigabitEthernet1/0/1 //v4网络为非信任区域 # 配置v4网络可达 ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 //配置到服务器的缺省路由 # 配置v6网络可达 ipv6 route-static 2001:ABCD:1234:11:: 64 2001:ABCD:1234:100::254 //配置到pc1的静态v6路由 # 配置nat转换后的地址池,也可配静态一对一 nat address-group 1 0 //创建地址池 mode pat section 0 200.0.0.10 200.0.0.20 //地址池范围为防火墙v4网络中的出接口地址段即可 # 配访问v4的v6映射地址,ping这个段才能转换成v4,其他不行 nat64 prefix 3001:: 96 # 配置安全策略 security-policy rule name nat64 //创建策略名字 source-zone trust //源区域-指v6 destination-zone untrust //目的区域-指v4 source-address 2001:ABCD:1234:11:: 64 //源地址前缀 action permit //激活策略 # 配置nat策略 nat-policy rule name nat64 source-zone trust destination-zone untrust source-address 2001:ABCD:1234:11:: 64 nat-type nat64 //类型为nat64 action source-nat address-group 1 //激活源nat地址池模式 测试 前缀为/96 ipv4地址正好为32位 v6地址位128位 看防火墙v6的会话表,可以看到转换的 看v4的会话表是转换成功后的,可别看错了,友友们 还想看什么评论区见
|
CopyRight 2018-2019 实验室设备网 版权所有 |