华为USG防火墙通过nat64 ipv6用户访问内网ipv4服务（原创，转发请注明出处）

拓扑图

环境

硬件环境 ：USG6635E
外网5720（模拟用户终端）
FW Untrust G0/0/0 ( ipv6 2001::1/96)
FW Trust G0/0/1 (ipv4 10.1.1.254)
Inside Server 10.1.1.1
公网ipv6用户访问内网10.1.1.1的telnet与icmp
现国内运营商开始大量部署ipv6，但ipv4仍然为主流，所以催生一种强制支持ipv6的需求

配置脚本

interface GigabitEthernet0/0/0
description To-Internet
ipv6 enable
ip address 192.168.1.1 255.255.255.0
ipv6 address 2001::1 96
nat64 enable

interface GigabitEthernet0/0/1
description To-Inside
ip address 172.16.1.1 255.255.255.0

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1

firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0

ipv6 route-static :: 0 2001::2
ipv6
nat64 prefix 2409:8C22:1231:20D:: 96
nat64 enable

nat address-group 6to4 4
mode pat
section 1 172.16.1.1 172.16.1.250

security-policy
rule name IPv6_permit
source-zone untrust
destination-zone trust
destination-zone prod
destination-zone test
destination-zone dev
source-address 2001:: 4

nat-policy
rule name nat64_dev
source-zone untrust
destination-zone dev
nat-type nat64
action nat address-group 6to4

测试

10.1.1.1-------->0a01:01（十进制转十六进制）防火墙会自动转换
外网5720测试
ping ipv6 2409:8C22:1231:20D:0a01:0101 (这里是把ipv6前缀与ipv4 内网地址自动组合而成）

补充

因为内网服务器只支持ipv4协议栈，所以6转4时，需要把用户的来源ip,转换成一个ipv4地址，这对某些应用，例如要获取用户源地址失败。