AUF DIESER SEITE
IPv6 NAT
IPv6 NAT hilft bei der Übersetzung von IPv4-Adressen in IPv6-Adressen von Netzwerkgeräten. IPv6 NAT hilft auch bei der Übersetzung der Adressen zwischen IPv6-Hosts. IPv6 NAT unterstützt Quell-NAT, Ziel-NAT und statische NAT.
Verwenden Sie bei NAT64-Übersetzungen den Befehl, um Probleme mit der set security nat natv6v4 no-v6-frag-header IPv6-Fragmentierung des Headers zu vermeiden.
IPv6 NAT – Überblick
IPv6 hat einen weitaus größeren Adressraum als der drohend erschöpfte IPv4-Adressraum. IPv4 wurde mithilfe von Techniken wie Network Address Translation (NAT), mit dem private Adressbereiche durch eine einzige öffentliche Adresse dargestellt werden können, und temporärer Adresszuweisung erweitert. Es gibt viele Technologien, die den Übergangsmechanismus für den Legacy-IPv4-Host bereitstellen, um die Verbindung zum Internet aufrechtzuerhalten. IPv6 NAT bietet Adressübersetzung zwischen IPv4- und IPv6-adressierten Netzwerkgeräten. Es bietet auch Adressübersetzung zwischen IPv6-Hosts. NAT zwischen IPv6-Hosts erfolgt auf ähnliche Weise und für ähnliche Zwecke wie IPv4-NAT.
IPv6 NAT in Junos OS stellt die folgenden NAT-Typen bereit:
Quelle: NAT
Zielort NAT
Statische NAT
- Von IPv6 NAT unterstützte NAT-Übersetzungen
- Von IPv6 NAT unterstützte Ziel-NAT-Zuordnungen
- Statische NAT-Zuordnungen, die von IPv6 NAT unterstützt werden
Von IPv6 NAT unterstützte NAT-Übersetzungen
Quell-NAT ist die Übersetzung der Quell-IP-Adresse eines Pakets, das das Gerät von Juniper Networks verlässt. Quell-NAT wird verwendet, um Hosts mit privaten IP-Adressen den Zugriff auf ein öffentliches Netzwerk zu ermöglichen.
IPv6 NAT in Junos OS unterstützt die folgenden NAT-Quellübersetzungen:
Übersetzung eines IPv6-Subnetzes in ein anderes IPv6-Subnetz ohne Portadressübersetzung
Übersetzung von IPv4-Adressen in IPv6-Präfix + IPv4-Adressen
Übersetzung von IPv6-Hosts in IPv6-Hosts mit oder ohne Portadressübersetzung
Übersetzung von IPv6-Hosts in IPv4-Hosts mit oder ohne Portadressübersetzung
Übersetzung von IPv4-Hosts in IPv6-Hosts mit oder ohne Portadressübersetzung
Von IPv6 NAT unterstützte Ziel-NAT-Zuordnungen
Ziel-NAT ist die Übersetzung der Ziel-IP-Adresse eines Pakets, das auf dem Gerät von Juniper Networks eingeht. Ziel-NAT wird verwendet, um Datenverkehr, der für einen virtuellen Host (identifiziert durch die ursprüngliche Ziel-IP-Adresse) bestimmt ist, an den realen Host (identifiziert durch die übersetzte Ziel-IP-Adresse) umzuleiten.
IPv6 NAT in Junos OS unterstützt die folgenden Ziel-NAT-Übersetzungen:
Präfixübersetzung zwischen IPv4- und IPv6-Präfix
Zuordnung eines IPv6-Subnetzes zu einem anderen IPv6-Subnetz
Zuordnung eines IPv6-Subnetzes zu einem IPv6-Host
Zuordnung eines IPv6-Subnetzes zu einem IPv4-Subnetz
Zuordnung eines IPv4-Subnetzes zu einem IPv6-Subnetz
Zuordnung eines IPv6-Hosts (und optionaler Portnummer) zu einem speziellen IPv6-Host (und optionaler Portnummer)
Zuordnung eines IPv6-Hosts (und optionaler Portnummer) zu einem speziellen IPv4-Host (und optionaler Portnummer)
Zuordnung eines IPv4-Hosts (und optionaler Portnummer) zu einem speziellen IPv6-Host (und optionaler Portnummer)
Statische NAT-Zuordnungen, die von IPv6 NAT unterstützt werden
Statische NAT definiert eine Eins-zu-Eins-Zuordnung von einem IP-Subnetz zu einem anderen IP-Subnetz. Die Zuordnung umfasst die Übersetzung der Ziel-IP-Adresse in eine Richtung und die Übersetzung der Quell-IP-Adresse in die umgekehrte Richtung. Auf dem NAT-Gerät ist die ursprüngliche Zieladresse die IP-Adresse des virtuellen Hosts, während die zugeordnete Adresse die tatsächliche Host-IP-Adresse ist.
IPv6 NAT in Junos OS unterstützt die folgenden statischen NAT-Übersetzungen:
Übersetzung eines IPv6-Subnetzes in ein anderes IPv6-Subnetz
Übersetzung eines IPv6-Hosts auf einen anderen IPv6-Host
Übersetzung einer IPv4-Adresse a.b.c.d in IPv6-Adresse Präfix::a.b.c.d
Übersetzung von IPv4-Hosts in IPv6-Hosts
Übersetzung von IPv6-Hosts in IPv4-Hosts
Zuordnung eines IPv6-Präfixes zu einem IPv4-Präfix
Zuordnung eines IPv4-Präfixes zu einem IPv6-Präfix
IPv6 NAT PT – Übersicht
IPv6 Network Address Translation-Protocol Translation (NAT-PT) ermöglicht die Adress- und Protokollübersetzung zwischen IPv4- und IPv6-adressierten Netzwerkgeräten. Der Übersetzungsprozess basiert auf der Stateless IP/ICMP Translation (SIIT)-Methode; Der Status und der Kontext jeder Kommunikation bleiben jedoch während der Sitzungslebensdauer erhalten. IPv6 NAT-PT unterstützt ICMP-Pakete (Internet Control Message Protocol), TCP und UDP.
IPv6 NAT-PT unterstützt die folgenden Arten von NAT-PT:
Herkömmlicher NAT-PT: Beim traditionellen NAT-PT erfolgen die Sitzungen unidirektional und ausgehend vom IPv6-Netzwerk. Herkömmlicher NAT-PT ermöglicht Hosts innerhalb eines IPv6-Netzwerks den Zugriff auf Hosts in einem IPv4-Netzwerk. Es gibt zwei Varianten von traditionellem NAT-PT: grundlegendes NAT-PT und NAPT-PT.
Bei der grundlegenden NAT-PT wird ein Block von IPv4-Adressen an einer IPv4-Schnittstelle für die Übersetzung von Adressen als IPv6-Hosts reserviert, wenn sie Sitzungen zu den IPv4-Hosts initiieren. Der grundlegende NAT-PT übersetzt die Quell-IP-Adresse und zugehörige Felder wie IP-, TCP-, UDP- und ICMP-Header-Prüfsummen für Pakete, die von der IPv6-Domäne ausgehen. Bei eingehenden Paketen werden die Ziel-IP-Adresse und die Prüfsummen übersetzt.
Network Address Port Translation-Protocol Translation (NAPT-PT) kann mit grundlegender NAT-PT kombiniert werden, sodass ein Pool externer Adressen in Verbindung mit der Port-Übersetzung verwendet wird. NAPT-PT ermöglicht es einer Gruppe von IPv6-Hosts, eine einzige IPv4-Adresse gemeinsam zu nutzen. NAPT-PT übersetzt die Quell-IP-Adresse, die Quell-Transport-ID und zugehörige Felder wie IP-, TCP-, UDP- und ICMP-Header-Prüfsummen für Pakete, die aus dem IPv6-Netzwerk ausgehen. Die Transport-ID kann ein TCP/UDP-Port oder eine ICMP-Abfrage-ID sein. Bei eingehenden Paketen werden die Ziel-IP-Adresse, die Zieltransport-ID sowie die IP- und Transport-Header-Prüfsummen übersetzt.
Bidirektionales NAT-PT: In bidirektionalem NAT-PT können Sitzungen sowohl von Hosts im IPv4-Netzwerk als auch im IPv6-Netzwerk initiiert werden. IPv6-Netzwerkadressen sind statisch oder dynamisch an IPv4-Adressen gebunden, wenn Verbindungen in beide Richtungen hergestellt werden. Die statische Konfiguration ähnelt der statischen NAT-Übersetzung. Hosts im IPv4-Bereich greifen auf Hosts im IPv6-Bereich zu, die DNS für die Adressauflösung verwenden. Ein DNS-ALG muss in Verbindung mit einem bidirektionalen NAT-PT verwendet werden, um die Zuordnung von Name zu Adresse zu erleichtern. Insbesondere muss die DNS-ALG in der Lage sein, IPv6-Adressen in DNS-Abfragen und -Antworten in ihre IPv4-Adressbindungen zu übersetzen und umgekehrt, wenn DNS-Pakete zwischen IPv6- und IPv4-Bereichen übertragen werden.
Die Geräte unterstützen teilweise die bidirektionale NAT-PT-Spezifikation. Es unterstützt den bidirektionalen Datenverkehrsfluss, vorausgesetzt, es gibt andere Möglichkeiten, die Zuordnung zwischen der IPv6-Adresse und der dynamisch zugewiesenen IPv4-Adresse zu übermitteln. Beispielsweise kann ein lokales DNS mit den zugeordneten Einträgen für IPv4-Knoten konfiguriert werden, um die Adressen zu identifizieren.
NAT-PT-Betrieb: Die Geräte unterstützen den herkömmlichen NAT-PT und ermöglichen eine statische Zuordnung für den Benutzer, um von IPv4 zu IPv6 zu kommunizieren. Der Benutzer muss den DNS-Server statisch mit einer IPv4-Adresse für den Hostnamen konfigurieren und dann eine statische NAT auf dem Gerät erstellen, damit der Nur-IPv6-Knoten von einem Nur-IPv4-Knoten mit einem Nur-IPv6-Knoten basierend auf dem DNS kommunizieren kann.
Siehe auch
IPv6 NAT-PT Kommunikation – Übersicht
NAT-PT communication with static mapping— Network Address Translation-Protocol Translation (NAT-PT) kann in zwei Richtungen erfolgen, von IPv6 zu IPv4 und umgekehrt. Für jede Richtung wird statische NAT verwendet, um den Zielhost einer lokalen Adresse zuzuordnen, und eine Quelladress-NAT wird verwendet, um die Quelladresse zu übersetzen. Es gibt zwei Arten der statischen NAT- und Quell-NAT-Zuordnung: Eins-zu-Eins-Zuordnung und präfixbasierte Zuordnung.
NAT- PT communication with DNS ALG– Ein DNS-basierter Mechanismus ordnet IPv6-Adressen dynamisch reinen IPv4-Servern zu. NAT-PT verwendet das DNS ALG, um die Übersetzungen transparent durchzuführen. Ein Unternehmen, das ein internes IPv6-Netzwerk nutzt, muss beispielsweise mit externen IPv4-Servern kommunizieren können, die noch keine IPv6-Adressen haben.
Um die dynamische Adressbindung zu unterstützen, sollte ein DNS für die Namensauflösung verwendet werden. Der IPv4-Host sucht den Namen des IPv6-Knotens in seinem lokal konfigurierten IPv4-DNS-Server, der dann die Abfrage über ein Gerät mit NAT-PT an den IPv6-DNS-Server weiterleitet.
Das DNS ALG im NAT-Gerät:
Übersetzt die IPv6-Adressauflösung zurück in IPv4-Adressauflösung.
Weist eine IPv6-Adresse für die Zuordnung zu.
Speichert eine Zuordnung der zugewiesenen IPv4-Adresse zu der IPv6-Adresse, die in der IPv6-Adressauflösung zurückgegeben wird, damit die Sitzung von beliebigen IPv4-Hosts auf den IPv6-Host aufgebaut werden kann.
Siehe auch
Beispiel: Konfigurieren einer IPv4-initiierten Verbindung zu einem IPv6-Knoten mithilfe der statischen Standardzuordnung des Zieladresspräfixes
In diesem Beispiel wird gezeigt, wie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten mithilfe der statischen Standardzuordnung des Zieladresspräfixes konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie Schnittstellen und weisen sie Sicherheitszonen zu.
Überblick
Im folgenden Beispiel wird beschrieben, wie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten konfiguriert wird, für den eine statische 126-basierte IPv6-Adresse auf der Schnittstelle definiert ist und für den eine statische Zuordnung /126 auf dem Gerät eingerichtet ist. In diesem Beispiel wird davon ausgegangen, dass die IPv6-Adressen, die IPv4-Adressen zugeordnet werden sollen, die IPv4-Adressen zu einem Teil des IPv6-Adressraums machen.
Das Konfigurieren einer IPv4-initiierten Verbindung mit einem IPv6-Knoten ist nützlich, wenn die Geräte im IPv4-Netzwerk mit den Geräten im IPv6-Netzwerk verbunden werden müssen und während der Migration eines IPv4-Netzwerks zu einem IPv6-Netzwerk. Die Zuordnung kann für DNS ALG für die umgekehrte Suche von IPv4-Adressen von IPv6-Adressen für den vom IPv6-Netzwerk initiierten Datenverkehr verwendet werden. Dieser Prozess bietet auch Konnektivität für Sitzungen, die von IPv4-Knoten initiiert werden, mit IPv6-Knoten auf der anderen Seite des NAT/PT-Geräts.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten mithilfe der Eins-zu-Eins-Zuordnung statischer Zieladressen:
-
Konfigurieren Sie den statischen NAT-Regelsatz für eine Schnittstelle.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
Definieren Sie die Regel so, dass sie mit dem Zieladresspräfix übereinstimmt.
Die Zieladressnummer in der Übereinstimmungsregel muss eine Zahl sein, die dem Präfixbereich static-nat entspricht.
Es gibt keine Begrenzung für die Quelladressnummer in der Übereinstimmungsregel.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
Definieren Sie das statische NAT-Präfix für das Gerät.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
Konfigurieren Sie den Quell-NAT-Pool mit einem IPv6-Adresspräfix.
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
Konfigurieren Sie den Quell-NAT-Regelsatz für die Schnittstelle.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
Konfigurieren Sie die IPv6-Quell-NAT-Quelladresse.
Die Quelladressnummer in der Übereinstimmungsregel muss eine Adressnummer sein, die dem Quellpoolbereich entspricht. Beispiel: ^2(32 – 30) = 2^(128 – 126) =>.
Es gibt keine Begrenzung für die Zieladressnummer in der Übereinstimmungsregel.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
Konfigurieren Sie die IPv6-Quell-NAT-Zieladresse.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
Definieren Sie den konfigurierten NAT-IPv6-Quellpool in der Regel.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security nat Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
source {
pool myipv6_prefix {
address {
2001:db8::/126;
}
}
rule-set myipv6_rs {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule ipv6_rule {
match {
source-address 10.1.1.45/30;
destination-address 2001:db8::/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/0.0;
rule test_rule {
match {
destination-address 10.1.1.0/30;
}
then {
static-nat {
prefix {
2001:db8::/126;
}
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob statisches NAT konfiguriert ist
Zweck
Überprüfen Sie, ob statische NAT mit einer Schnittstelle, einer Zieladresse und einem Präfix konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static Befehl ein.
Beispiel: Konfigurieren einer IPv4-initiierten Verbindung zu einem IPv6-Knoten mithilfe der Eins-zu-Eins-Zuordnung statischer Zieladressen
In diesem Beispiel wird gezeigt, wie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten mithilfe der Eins-zu-Eins-Zuordnung statischer Zieladressen konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie die Schnittstellen und weisen Sie die Schnittstellen Sicherheitszonen zu.
Überblick
Im folgenden Beispiel wird beschrieben, wie ein IPv4-Knoten für die Kommunikation mit einem IPv6-Knoten über eine statische Eins-zu-Eins-NAT auf dem Gerät konfiguriert wird.
Die Kommunikation eines IPv4-Knotens mit einem IPv6-Knoten ist nützlich für IPv4-Hosts, die auf einen IPv6-Server zugreifen, für neue Server, die nur IPv6 unterstützen und mit dem IPv6-Netzwerk verbunden werden müssen, und für die Migration alter Hosts auf den neuen Server, wenn die meisten Computer bereits auf IPv6 umgestellt wurden. Sie können diese Funktion beispielsweise verwenden, um einen Nur-IPv4-Knoten mit einem Nur-IPv6-Drucker zu verbinden. Diese Zuordnung kann auch für DNS ALG für die umgekehrte Suche von IPv4-Adressen von IPv6-Adressen für Datenverkehr verwendet werden, der vom IPv6-Netzwerk initiiert wird.
In diesem Beispiel wird die IPv4-Quelladresse, die dem Präfix 10.10.10.1/30 entspricht, mit dem IPv6-Präfix 2001:db8::/96 hinzugefügt, um die übersetzte IPv6-Quelladresse zu bilden, und die IPv4-Zieladresse 10.1.1.25/32 wird in die IPv6-Adresse 2001:db8::25/128 übersetzt.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine IPv4-initiierte Verbindung zu einem IPv6-Knoten mithilfe der Eins-zu-Eins-Zuordnung statischer Zieladressen:
Konfigurieren Sie den statischen NAT-Regelsatz für eine Schnittstelle.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Definieren Sie die Regel und die Zieladresse.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
Definieren Sie das statische NAT-Präfix.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
Konfigurieren Sie einen NAT-Quellpool mit einer IPv6-Präfixadresse.
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
Konfigurieren Sie den Quell-NAT-Regelsatz.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
Konfigurieren Sie die Quell-NAT-Quelladresse.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
Konfigurieren Sie die Quell-NAT-Zieladresse.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
Definieren Sie einen konfigurierten NAT-IPv6-Quellpool in der Regel.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security nat Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/96;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.10.10.1/30;
destination-address 2001:db8::25;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 10.1.1.25/32;
}
then {
static-nat prefix 2001:db8::25/128;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob statisches NAT konfiguriert ist
Zweck
Überprüfen Sie, ob statische NAT mit einer Schnittstelle, einer Zieladresse und einem Präfix konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static Befehl ein.
Beispiel: Konfigurieren einer IPv6-initiierten Verbindung zu einem IPv4-Knoten mithilfe der statischen Standardzuordnung des Zieladresspräfixes
In diesem Beispiel wird gezeigt, wie eine IPv6-initiierte Verbindung zu einem IPv4-Knoten mithilfe der statischen Standardzuordnung des Zieladresspräfixes konfiguriert wird. In diesem Beispiel wird nicht gezeigt, wie die NAT-Übersetzung für die umgekehrte Richtung konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie die Schnittstellen und weisen Sie die Schnittstellen Sicherheitszonen zu.
Überblick
Im folgenden Beispiel wird die Kommunikation eines IPv6-Knotens mit einem IPv4-Knoten beschrieben, für den eine präfixbasierte statische NAT auf dem Gerät definiert ist. Die statische NAT geht davon aus, dass es sich bei dem IPv4-Netzwerk um ein spezielles IPv6-Netzwerk handelt (d. h. ein IPv4-zugeordnetes IPv6-Netzwerk), und verbirgt das gesamte IPv4-Netzwerk hinter einem IPv6-Präfix.
Die Kommunikation eines IPv6-Knotens mit einem IPv4-Knoten ist nützlich, wenn IPv6 im Netzwerk verwendet wird und mit dem IPv4-Netzwerk verbunden werden muss, oder wenn sowohl IPv4 als auch IPv6 im Netzwerk verwendet werden und ein Mechanismus erforderlich ist, um die beiden Netzwerke während der Migration miteinander zu verbinden. Dies bietet auch Konnektivität für Sitzungen, die von IPv6-Knoten initiiert werden, mit IPv4-Knoten auf der anderen Seite des NAT/PT-Geräts.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine IPv6-initiierte Verbindung zu einem IPv4-Knoten mithilfe der statischen Standardzuordnung des Zieladresspräfixes:
Konfigurieren Sie die statische NAT für eine Schnittstelle.
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
Definieren Sie die Regel und die Zieladresse mit dem Präfix für die statische NAT-Übersetzung, die auf dem Gerät definiert ist.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
Definieren Sie die statische NAT als inet, um in eine IPv4-Adresse zu übersetzen.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
Konfigurieren Sie die IPv4-Quell-NAT-Pooladresse.
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
Konfigurieren Sie den Quell-NAT-Regelsatz.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
Konfigurieren Sie die IPv4-Quell-NAT-Zieladresse.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
Definieren Sie die Quelladresse mit dem Präfix für die auf dem Gerät definierte Quell-NAT.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
Definieren Sie einen konfigurierten NAT-IPv4-Quellpool in der Regel.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security nat Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.5/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.1.1.15/30;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::1/96;
}
then {
static-nat inet;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob statisches NAT konfiguriert ist
Zweck
Überprüfen Sie, ob statische NAT mit einer Schnittstelle, einer Zieladresse und einem Präfix konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static rule Befehl ein.
user@host> show security nat static rule test_rule
Static NAT rule: test_rule Rule-set: test_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
Destination addresses : 2001:db8::1
Host addresses : 0.0.0.0
Netmask : 96
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Überprüfen, ob Quell-NAT konfiguriert ist
Zweck
Überprüfen Sie, ob die Quell-NAT konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule Befehl ein.
user@host> show security nat source rule ipv4_rule
source NAT rule: ipv4_rule Rule-set: myipv4_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
To interface : ge-0/0/2.0
Match
Source addresses : 2001:db8:: - 2001:db8::ffff:ffff
Destination addresses : 10.1.1.15 - 10.1.1.15
Action : myipv4
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Geben Sie im Betriebsmodus den show security nat source pool Befehl ein.
user@host> show security nat source pool myipv4
Pool name : myipv4
Pool id : 5
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
Twin port : [63488, 65535]
Port overloading : 1
Address assignment : no-paired
Total addresses : 4
Translation hits : 0
Address range Single Ports Twin Ports
203.0.113.2 - 203.0.113.5 0 0
Beispiel: Konfigurieren einer IPv6-initiierten Verbindung zu einem IPv4-Knoten mithilfe der Eins-zu-Eins-Zuordnung statischer Zieladressen
Dieses Beispiel zeigt, wie eine IPv6-initiierte Verbindung zu einem IPv4-Knoten mithilfe der Eins-zu-Eins-Zuordnung statischer Zieladressen konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie die Schnittstellen und weisen Sie die Schnittstellen Sicherheitszonen zu.
Überblick
Im folgenden Beispiel wird die Kommunikation eines IPv6-Knotens mit einem IPv4-Knoten beschrieben, für den eine statische Eins-zu-Eins-NAT-Adresse auf dem Gerät definiert ist. Die Kommunikation eines IPv6-Knotens mit einem IPv4-Knoten ermöglicht IPv6-Hosts den Zugriff auf einen IPv4-Server, wenn keines der Geräte über einen Dual-Stack verfügt und für die Kommunikation vom NAT/PT-Gerät abhängig sein muss. Dadurch können einige IPv4-Legacy-Serveranwendungen auch nach der Migration des Netzwerks auf IPv6 funktionieren.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine IPv6-initiierte Verbindung zu einem IPv4-Knoten mithilfe der Eins-zu-Eins-Zuordnung statischer Zieladressen:
Konfigurieren Sie den statischen NAT-Regelsatz für eine Schnittstelle.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Definieren Sie eine Regel, die mit der Zieladresse übereinstimmt.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
Definieren Sie das statische NAT-Präfix für die Regel.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
Konfigurieren Sie einen Quell-NAT-Pool mit IPv4-Adressen.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
Konfigurieren Sie die IPv4-Adresse für die Schnittstelle.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
Konfigurieren Sie die Quelladresse mit der IPv4-Quell-NAT-Adresse.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
Konfigurieren Sie die Zieladresse auf IPv4-Quell-NAT-Adresse.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
Definieren Sie den konfigurierten NAT-IPv4-Quellpool in der Regel.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security nat Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.3/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::15/128;
}
then {
static-nat prefix 10.2.2.15/32;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen, ob statisches NAT konfiguriert ist
Zweck
Überprüfen Sie, ob statische NAT mit einer Schnittstelle, einer Zieladresse und einem Präfix konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security nat static Befehl ein.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.