AUF DIESER SEITE
IPv6-NAT
IPv6-NAT hilft bei der Übersetzung von IPv4-Adressen in IPv6-Adressen von Netzwerkgeräten. IPv6-NAT hilft auch bei der Übersetzung der Adressen zwischen IPv6-Hosts. IPv6-NAT unterstützt Quell-NAT, Ziel-NAT und statisches NAT.
Verwenden Sie beim Ausführen von NAT64-Übersetzungen den set security nat natv6v4 no-v6-frag-header folgenden Befehl, um Probleme mit dem IPv6-Fragmentierungsheader zu vermeiden.
IPv6-NAT – Übersicht
IPv6 verfügt über einen wesentlich größeren Adressraum als der bald erschöpfte IPv4-Adressraum. IPv4 wurde mithilfe von Techniken wie Network Address Translation (NAT) erweitert, die es ermöglichen, Bereiche privater Adressen durch eine einzige öffentliche Adresse darzustellen, sowie eine temporäre Adresszuweisung. Es gibt eine Vielzahl von Technologien, die den Übergangsmechanismus für den Legacy-IPv4-Host bereitstellen, damit die Verbindung zum Internet aufrechterhalten werden kann. IPv6-NAT ermöglicht die Adressübersetzung zwischen IPv4- und IPv6-adressierten Netzwerkgeräten. Es ermöglicht auch die Adressübersetzung zwischen IPv6-Hosts. NAT zwischen IPv6-Hosts erfolgt auf ähnliche Weise und zu ähnlichen Zwecken wie IPv4-NAT.
IPv6-NAT in Junos OS stellt die folgenden NAT-Typen bereit:
Quellen-NAT
Ziel-NAT
Statische NAT
- Quell-NAT-Übersetzungen, die von IPv6-NAT unterstützt werden
- Ziel-NAT-Zuordnungen, die von IPv6-NAT unterstützt werden
- Von IPv6-NAT unterstützte statische NAT-Zuordnungen
Quell-NAT-Übersetzungen, die von IPv6-NAT unterstützt werden
Quell-NAT ist die Übersetzung der Quell-IP-Adresse eines Pakets, das das Gerät von Juniper Networks verlässt. Quell-NAT wird verwendet, um Hosts mit privaten IP-Adressen den Zugriff auf ein öffentliches Netzwerk zu ermöglichen.
IPv6-NAT in Junos OS unterstützt die folgenden Quell-NAT-Übersetzungen:
Übersetzung von einem IPv6-Subnetz in ein anderes IPv6-Subnetz ohne Portadressübersetzung
Übersetzung von IPv4-Adressen in IPv6-Präfix + IPv4-Adressen
Übersetzung von IPv6-Hosts auf IPv6-Hosts mit oder ohne Portadressübersetzung
Übersetzung von IPv6-Hosts auf IPv4-Hosts mit oder ohne Portadressübersetzung
Übersetzung von IPv4-Hosts auf IPv6-Hosts mit oder ohne Portadressübersetzung
Ziel-NAT-Zuordnungen, die von IPv6-NAT unterstützt werden
Ziel-NAT ist die Übersetzung der Ziel-IP-Adresse eines Pakets, das in das Gerät von Juniper Networks eingeht. Die Ziel-NAT wird verwendet, um Datenverkehr, der für einen virtuellen Host (identifiziert durch die ursprüngliche Ziel-IP-Adresse) bestimmt ist, an den tatsächlichen Host (identifiziert durch die übersetzte Ziel-IP-Adresse) umzuleiten.
IPv6-NAT in Junos OS unterstützt die folgenden Ziel-NAT-Übersetzungen:
Präfixübersetzung zwischen IPv4- und IPv6-Präfix
Zuordnung eines IPv6-Subnetzes zu einem anderen IPv6-Subnetz
Zuordnung eines IPv6-Subnetzes zu einem IPv6-Host
Zuordnung eines IPv6-Subnetzes zu einem IPv4-Subnetz
Zuordnung eines IPv4-Subnetzes zu einem IPv6-Subnetz
Zuordnung eines IPv6-Hosts (und optionaler Portnummer) zu einem speziellen IPv6-Host (und optionaler Portnummer)
Zuordnung eines IPv6-Hosts (und optionaler Portnummer) zu einem speziellen IPv4-Host (und optionaler Portnummer)
Zuordnung eines IPv4-Hosts (und optionaler Portnummer) zu einem speziellen IPv6-Host (und optionaler Portnummer)
Von IPv6-NAT unterstützte statische NAT-Zuordnungen
Statische NAT definiert eine Eins-zu-Eins-Zuordnung von einem IP-Subnetz zu einem anderen IP-Subnetz. Die Zuordnung umfasst die Übersetzung der Ziel-IP-Adresse in eine Richtung und die Übersetzung der Quell-IP-Adresse in die umgekehrte Richtung. Auf dem NAT-Gerät ist die ursprüngliche Zieladresse die IP-Adresse des virtuellen Hosts, während die zugeordnete Adresse die tatsächliche IP-Adresse des Hosts ist.
IPv6-NAT in Junos OS unterstützt die folgenden statischen NAT-Übersetzungen:
Übersetzung von einem IPv6-Subnetz in ein anderes IPv6-Subnetz
Übersetzung von einem IPv6-Host zu einem anderen IPv6-Host
Übersetzung einer IPv4-Adresse a.b.c.d in IPv6-Adresse Präfix::a.b.c.d
Übersetzung von IPv4-Hosts in IPv6-Hosts
Übersetzung von IPv6-Hosts in IPv4-Hosts
Zuordnung eines IPv6-Präfixes zu einem IPv4-Präfix
Zuordnung eines IPv4-Präfixes zu einem IPv6-Präfix
IPv6-NAT-PT – Übersicht
IPv6 Network Address Translation-Protocol Translation (NAT-PT) ermöglicht die Adresszuweisung und Protokollübersetzung zwischen IPv4- und IPv6-adressierten Netzwerkgeräten. Der Übersetzungsprozess basiert auf der Stateless IP/ICMP Translation (SIIT)-Methode; Der Status und der Kontext jeder Kommunikation werden jedoch während der Lebensdauer der Sitzung beibehalten. IPv6 NAT-PT unterstützt ICMP (Internet Control Message Protocol), TCP- und UDP-Pakete.
IPv6 NAT-PT unterstützt die folgenden NAT-PT-Typen:
Herkömmliches NAT-PT: Bei herkömmlichem NAT-PT sind die Sitzungen unidirektional und gehen vom IPv6-Netzwerk aus. Mit herkömmlichem NAT-PT können Hosts innerhalb eines IPv6-Netzwerks auf Hosts in einem IPv4-Netzwerk zugreifen. Es gibt zwei Varianten des herkömmlichen NAT-PT: grundlegendes NAT-PT und NAPT-PT.
Bei grundlegendem NAT-PT ist ein Block von IPv4-Adressen an einer IPv4-Schnittstelle für die Übersetzung von Adressen als IPv6-Hosts reserviert, wenn diese Sitzungen zu den IPv4-Hosts initiieren. Das grundlegende NAT-PT übersetzt die Quell-IP-Adresse und zugehörige Felder wie IP, TCP, UDP und ICMP-Header-Prüfsummen für Pakete, die von der IPv6-Domäne ausgehen. Bei eingehenden Paketen werden die IP-Adresse des Ziels und die Prüfsummen übersetzt.
Network Address Port Translation-Protocol Translation (NAPT-PT) kann mit grundlegendem NAT-PT kombiniert werden, sodass ein Pool externer Adressen in Verbindung mit der Portübersetzung verwendet wird. NAPT-PT ermöglicht es einer Gruppe von IPv6-Hosts, eine einzige IPv4-Adresse gemeinsam zu nutzen. NAPT-PT übersetzt die Quell-IP-Adresse, die Quelltransport-ID und zugehörige Felder wie IP-, TCP-, UDP- und ICMP-Header-Prüfsummen für Pakete, die aus dem IPv6-Netzwerk ausgehen. Die Transport-ID kann ein TCP/UDP-Port oder eine ICMP-Abfrage-ID sein. Bei eingehenden Paketen werden die IP-Adresse des Ziels, die Zieltransport-ID sowie die Prüfsummen der IP- und Transportheader übersetzt.
Bidirektionales NAT-PT—Bei bidirektionalem NAT-PT können Sitzungen sowohl von Hosts im IPv4- als auch im IPv6-Netzwerk initiiert werden. IPv6-Netzwerkadressen sind an IPv4-Adressen gebunden, entweder statisch oder dynamisch, wenn Verbindungen in beide Richtungen hergestellt werden. Die statische Konfiguration ähnelt der statischen NAT-Übersetzung. Hosts im IPv4-Bereich greifen auf Hosts im IPv6-Bereich zu, die DNS für die Adressauflösung verwenden. Ein DNS-ALG muss in Verbindung mit bidirektionalem NAT-PT verwendet werden, um die Zuordnung von Namen zu Adressen zu erleichtern. Insbesondere muss das DNS-ALG in der Lage sein, IPv6-Adressen in DNS-Abfragen und -Antworten in ihre IPv4-Adressbindungen zu übersetzen und umgekehrt, wenn DNS-Pakete zwischen IPv6- und IPv4-Bereichen wechseln.
Die Geräte unterstützen teilweise die bidirektionales NAT-PT-Spezifikation. Er unterstützt den bidirektionalen Datenverkehr unter der Annahme, dass es andere Möglichkeiten gibt, die Zuordnung zwischen der IPv6-Adresse und der dynamisch zugewiesenen IPv4-Adresse zu übermitteln. Beispielsweise kann ein lokales DNS mit den zugeordneten Einträgen für IPv4-Knoten konfiguriert werden, um die Adressen zu identifizieren.
NAT-PT-Betrieb: Die Geräte unterstützen den herkömmlichen NAT-PT und ermöglichen eine statische Zuordnung für die Kommunikation des Benutzers von IPv4 zu IPv6. Der Benutzer muss den DNS-Server statisch mit einer IPv4-Adresse für den Hostnamen konfigurieren und dann eine statische NAT auf dem Gerät erstellen, damit der Nur-IPv6-Knoten von einem Nur-IPv4-Knoten mit einem Nur-IPv6-Knoten basierend auf dem DNS kommunizieren kann.
Siehe auch
IPv6-NAT-PT-Kommunikation – Übersicht
NAT-PT communication with static mapping— Network Address Translation-Protocol Translation (NAT-PT) kann in zwei Richtungen erfolgen: von IPv6 zu IPv4 und umgekehrt. Für jede Richtung wird eine statische NAT verwendet, um den Zielhost einer lokalen Adresse zuzuordnen, und eine NAT der Quelladresse wird verwendet, um die Quelladresse zu übersetzen. Es gibt zwei Arten der statischen NAT- und der Quell-NAT-Zuordnung: die Eins-zu-Eins-Zuordnung und die präfixbasierte Zuordnung.
NAT- PT communication with DNS ALG– Ein DNS-basierter Mechanismus ordnet IPv6-Adressen dynamisch reinen IPv4-Servern zu. NAT-PT verwendet das DNS ALG, um die Übersetzungen transparent durchzuführen. Ein Unternehmen, das ein internes IPv6-Netzwerk nutzt, muss beispielsweise in der Lage sein, mit externen IPv4-Servern zu kommunizieren, die noch keine IPv6-Adressen haben.
Um die dynamische Adressbindung zu unterstützen, sollte ein DNS für die Namensauflösung verwendet werden. Der IPv4-Host sucht den Namen des IPv6-Knotens in seinem lokal konfigurierten IPv4-DNS-Server, der dann die Abfrage über ein Gerät mit NAT-PT an den IPv6-DNS-Server weiterleitet.
Das DNS-ALG im NAT-Gerät:
Übersetzt die IPv6-Adressauflösung zurück in die IPv4-Adressauflösung.
Weist eine IPv6-Adresse für das Mapping zu.
Speichert eine Zuordnung der zugewiesenen IPv4-Adresse zu der IPv6-Adresse, die in der IPv6-Adressauflösung zurückgegeben wird, sodass die Sitzung von beliebigen IPv4-Hosts zum IPv6-Host eingerichtet werden kann.
Siehe auch
Beispiel: Konfigurieren einer IPv4-initiierten Verbindung zu einem IPv6-Knoten mithilfe der statischen Standardzuordnung für Zieladresspräfixe
In diesem Beispiel wird gezeigt, wie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten mithilfe der statischen Standardzuordnung für Zieladresspräfixe konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie Schnittstellen, und weisen Sie sie Sicherheitszonen zu.
Überblick
Im folgenden Beispiel wird beschrieben, wie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten konfiguriert wird, auf dessen Schnittstelle eine statische Zuordnung 126-basierte IPv6-Adresse definiert und auf dem Gerät die statische Zuordnung /126 eingerichtet ist. In diesem Beispiel wird davon ausgegangen, dass die IPv6-Adressen, die IPv4-Adressen zugeordnet werden sollen, Teil des IPv6-Adressraums werden.
Die Konfiguration einer IPv4-initiierten Verbindung zu einem IPv6-Knoten ist nützlich, wenn die Geräte im IPv4-Netzwerk mit den Geräten im IPv6-Netzwerk verbunden sein müssen und während der Migration eines IPv4-Netzwerks zu einem IPv6-Netzwerk. Die Zuordnung kann für DNS ALG für den Reverse-Lookup von IPv4-Adressen von IPv6-Adressen für den Datenverkehr verwendet werden, der aus dem IPv6-Netzwerk initiiert wird. Dieser Prozess bietet auch Konnektivität für Sitzungen, die von IPv4-Knoten mit IPv6-Knoten auf der anderen Seite des NAT/PT-Geräts initiiert werden.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten mithilfe der Eins-zu-Eins-Zuordnung einer statischen Zieladresse:
-
Konfigurieren Sie den statischen NAT-Regelsatz für eine Schnittstelle.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
Definieren Sie die Regel so, dass sie mit dem Präfix der Zieladresse übereinstimmt.
Die Zieladressnummer in der Übereinstimmungsregel muss eine Zahl sein, die dem Präfixbereich static-nat entspricht.
Es gibt keine Begrenzung für die Quelladressnummer in der Übereinstimmungsregel.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
Definieren Sie das statische NAT-Präfix für das Gerät.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
Konfigurieren Sie den Quell-NAT-Pool mit einem IPv6-Adresspräfix.
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
Konfigurieren Sie den Quell-NAT-Regelsatz für die Schnittstelle.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
Konfigurieren Sie die Quelladresse der IPv6-Quell-NAT.
Die Quelladressnummer in der Abgleichsregel muss eine Adressnummer sein, die dem Quellpoolbereich entspricht. Beispiel: ^2(32 – 30) = 2^(128 – 126) =>.
Es gibt keine Begrenzung für die Zieladressnummer in der Übereinstimmungsregel.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
Konfigurieren Sie die Zieladresse der IPv6-Quell-NAT.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
Definieren Sie den konfigurierten Quell-NAT-IPv6-Pool in der Regel.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
source {
pool myipv6_prefix {
address {
2001:db8::/126;
}
}
rule-set myipv6_rs {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule ipv6_rule {
match {
source-address 10.1.1.45/30;
destination-address 2001:db8::/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/0.0;
rule test_rule {
match {
destination-address 10.1.1.0/30;
}
then {
static-nat {
prefix {
2001:db8::/126;
}
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob die statische NAT konfiguriert ist
Zweck
Überprüfen Sie, ob die statische NAT mit einer Schnittstelle, einer Zieladresse und einem Präfix konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static Befehl ein.
Beispiel: Konfigurieren einer IPv4-initiierten Verbindung zu einem IPv6-Knoten mit statischer Eins-zu-Eins-Zuordnung von Zieladressen
In diesem Beispiel wird gezeigt, wie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten mithilfe einer statischen Eins-zu-Eins-Zuordnung für Zieladressen konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie die Schnittstellen, und weisen Sie die Schnittstellen Sicherheitszonen zu.
Überblick
Im folgenden Beispiel wird beschrieben, wie ein IPv4-Knoten so konfiguriert wird, dass er mit einem IPv6-Knoten über eine statische Eins-zu-Eins-NAT auf dem Gerät kommuniziert.
Die Kommunikation eines IPv4-Knotens mit einem IPv6-Knoten ist nützlich für IPv4-Hosts, die auf einen IPv6-Server zugreifen, für neue Server, die nur IPv6 unterstützen und mit dem IPv6-Netzwerk verbunden werden müssen, und für die Migration alter Hosts auf den neuen Server, wenn die meisten Rechner bereits auf IPv6 umgestellt wurden. Sie können diese Funktion z. B. verwenden, um einen Nur-IPv4-Knoten mit einem Nur-IPv6-Drucker zu verbinden. Diese Zuordnung kann auch für DNS ALG zum Reverse-Lookup von IPv4-Adressen von IPv6-Adressen für Datenverkehr verwendet werden, der aus dem IPv6-Netzwerk initiiert wird.
In diesem Beispiel wird die Quell-IPv4-Adresse, die dem Präfix 10.10.10.1/30 entspricht, mit dem IPv6-Präfix 2001:db8::/96 hinzugefügt, um die übersetzte Quell-IPv6-Adresse zu bilden, und die IPv4-Zieladresse 10.1.1.25/32 wird in die IPv6-Adresse 2001:db8::25/128 übersetzt.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten mithilfe der Eins-zu-Eins-Zuordnung einer statischen Zieladresse:
Konfigurieren Sie den statischen NAT-Regelsatz für eine Schnittstelle.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Definieren Sie die Regel und die Zieladresse.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
Definieren Sie das statische NAT-Präfix.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
Konfigurieren Sie einen NAT-Quellpool mit einer IPv6-Präfixadresse.
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
Konfigurieren Sie den Quell-NAT-Regelsatz.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
Konfigurieren Sie die Quell-NAT-Quelladresse.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
Konfigurieren Sie die Zieladresse der Quell-NAT.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
Definieren Sie einen konfigurierten Quell-NAT-IPv6-Pool in der Regel.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/96;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.10.10.1/30;
destination-address 2001:db8::25;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 10.1.1.25/32;
}
then {
static-nat prefix 2001:db8::25/128;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob die statische NAT konfiguriert ist
Zweck
Überprüfen Sie, ob die statische NAT mit einer Schnittstelle, einer Zieladresse und einem Präfix konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static Befehl ein.
Beispiel: Konfigurieren einer IPv6-initiierten Verbindung zu einem IPv4-Knoten mithilfe der statischen Standardzuordnung für Zieladresspräfixe
In diesem Beispiel wird gezeigt, wie eine IPv6-initiierte Verbindung zu einem IPv4-Knoten mithilfe der statischen Standardzuordnung für Zieladresspräfixe konfiguriert wird. In diesem Beispiel wird nicht gezeigt, wie die NAT-Übersetzung für die umgekehrte Richtung konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie die Schnittstellen, und weisen Sie die Schnittstellen Sicherheitszonen zu.
Überblick
Im folgenden Beispiel wird die Kommunikation eines IPv6-Knotens mit einem IPv4-Knoten beschrieben, für den eine präfixbasierte statische NAT auf dem Gerät definiert ist. Bei der statischen NAT wird davon ausgegangen, dass es sich bei dem IPv4-Netzwerk um ein spezielles IPv6-Netzwerk handelt (d. h. um ein IPv4-zugeordnetes IPv6-Netzwerk), und das gesamte IPv4-Netzwerk wird hinter einem IPv6-Präfix versteckt.
Die Kommunikation eines IPv6-Knotens mit einem IPv4-Knoten ist nützlich, wenn IPv6 im Netzwerk verwendet wird und eine Verbindung zum IPv4-Netzwerk hergestellt werden muss, oder wenn sowohl IPv4 als auch IPv6 im Netzwerk verwendet werden und ein Mechanismus erforderlich ist, um die beiden Netzwerke während der Migration miteinander zu verbinden. Dadurch wird auch die Konnektivität für Sitzungen bereitgestellt, die von IPv6-Knoten mit IPv4-Knoten auf der anderen Seite des NAT/PT-Geräts initiiert werden.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine IPv6-initiierte Verbindung zu einem IPv4-Knoten unter Verwendung der statischen Standardzuordnung für Zieladresspräfixe:
Konfigurieren Sie die statische NAT für eine Schnittstelle.
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
Definieren Sie die Regel und die Zieladresse mit dem Präfix für die statische NAT-Übersetzung, die auf dem Gerät definiert ist.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
Definieren Sie die statische NAT als inet, um in eine IPv4-Adresse zu übersetzen.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
Konfigurieren Sie die Adresse des IPv4-Quell-NAT-Pools.
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
Konfigurieren Sie den Quell-NAT-Regelsatz.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
Konfigurieren Sie die Zieladresse der IPv4-Quell-NAT.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
Definieren Sie die Quelladresse mit dem Präfix für die Quell-NAT, die auf dem Gerät definiert ist.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
Definieren Sie einen konfigurierten Quell-NAT-IPv4-Pool in der Regel.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.5/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.1.1.15/30;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::1/96;
}
then {
static-nat inet;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob die statische NAT konfiguriert ist
Zweck
Überprüfen Sie, ob die statische NAT mit einer Schnittstelle, einer Zieladresse und einem Präfix konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static rule Befehl ein.
user@host> show security nat static rule test_rule
Static NAT rule: test_rule Rule-set: test_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
Destination addresses : 2001:db8::1
Host addresses : 0.0.0.0
Netmask : 96
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Überprüfen, ob die Quell-NAT konfiguriert ist
Zweck
Überprüfen Sie, ob die Quell-NAT konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule Befehl ein.
user@host> show security nat source rule ipv4_rule
source NAT rule: ipv4_rule Rule-set: myipv4_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
To interface : ge-0/0/2.0
Match
Source addresses : 2001:db8:: - 2001:db8::ffff:ffff
Destination addresses : 10.1.1.15 - 10.1.1.15
Action : myipv4
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Geben Sie im Betriebsmodus den show security nat source pool Befehl ein.
user@host> show security nat source pool myipv4
Pool name : myipv4
Pool id : 5
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
Twin port : [63488, 65535]
Port overloading : 1
Address assignment : no-paired
Total addresses : 4
Translation hits : 0
Address range Single Ports Twin Ports
203.0.113.2 - 203.0.113.5 0 0
Beispiel: Konfigurieren einer IPv6-initiierten Verbindung zu einem IPv4-Knoten mithilfe der Eins-zu-Eins-Zuordnung einer statischen Zieladresse
In diesem Beispiel wird gezeigt, wie eine IPv6-initiierte Verbindung zu einem IPv4-Knoten mithilfe der Eins-zu-Eins-Zuordnung einer statischen Zieladresse konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie die Schnittstellen, und weisen Sie die Schnittstellen Sicherheitszonen zu.
Überblick
Im folgenden Beispiel wird die Kommunikation eines IPv6-Knotens mit einem IPv4-Knoten beschrieben, für den eine statische Eins-zu-Eins-NAT-Adresse auf dem Gerät definiert ist. Die Kommunikation eines IPv6-Knotens mit einem IPv4-Knoten ermöglicht IPv6-Hosts den Zugriff auf einen IPv4-Server, wenn keines der Geräte über einen Dual-Stack verfügt und die Kommunikation vom NAT/PT-Gerät abhängig ist. Dadurch können einige IPv4-Legacy-Serveranwendungen auch nach der Migration des Netzwerks zu IPv6 verwendet werden.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine IPv6-initiierte Verbindung zu einem IPv4-Knoten mithilfe der Eins-zu-Eins-Zuordnung einer statischen Zieladresse:
Konfigurieren Sie den statischen NAT-Regelsatz für eine Schnittstelle.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Definieren Sie eine Regel, die mit der Zieladresse übereinstimmt.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
Definieren Sie das statische NAT-Präfix für die Regel.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
Konfigurieren Sie einen Quell-NAT-Pool mit IPv4-Adressen.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
Konfigurieren Sie die IPv4-Adresse für die Schnittstelle.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
Konfigurieren Sie die Quelladresse auf die IPv4-Quell-NAT-Adresse.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
Konfigurieren Sie die Zieladresse als IPv4-Quell-NAT-Adresse.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
Definieren Sie den konfigurierten Quell-NAT-IPv4-Pool in der Regel.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.3/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::15/128;
}
then {
static-nat prefix 10.2.2.15/32;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob die statische NAT konfiguriert ist
Zweck
Überprüfen Sie, ob die statische NAT mit einer Schnittstelle, einer Zieladresse und einem Präfix konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static Befehl ein.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.