【天融信TOS防火墙NATPT配置】实现:IPV6主机通过V6地址访问内网IPV4主机~温权~
文章目录
- 一、组网拓扑图:
- 二、需求描述:
- 三、具体配置
- 四、配置NATPT功能
- 五、数据收发问题
说明:在TOS防火墙上使用IPV6功能时,需要升级到020版本,并且需要跟产品经理要license导入后才能有license功能。这里我们说的是NATPT的v4和v6过渡的一种技术,如果有版本支持NAT64和46,尽量选用后者。
一、组网拓扑图:
Server 1(10.53.253.34)和server2(10.53.253.74)--------(eth11)防火墙 (eth10)-------IPV6网络和IPV4网络
二、需求描述:
TOS防火墙为出口设备,运营商拉了一条专线接到我们设备的eth10接口上,专线上既有IPV4地址又有IPV6地址。IPV4地址不做讨论,运营商IPV6地址分配具体如下:
接口IPV6地址及IPV6网关:240e:6a0:0:8::3/127、GW:240e:6a0:0:8::2/127 (作为V6网络联通)
分配的业务前缀地址:240E:06A0:0010:000A:0000:0000:0000:0000/64 (作为NATPT业务访问地址主机前缀)
最终我们可以在IPV6网络中,通过业务前缀IPV6地址访问到内网的IPV4服务器server1和server2的业务。
三、具体配置
1、连通性配置:配置IPV6接口地址到外网接口上240e:6a0:0:8::3/127
配置缺省路由::/0到IPV6网关
ND链路节点邻居正常
2、在ipv6网络中测试IPV6接口地址240e:6a0:0:8::3能否ping通。在子网中添加一条代表任意V6地址的子网
在相应区域添加IPV6的ping服务器,允许任意v6地址ping访问
使用IPV6网络上的主机ping 240e:6a0:0:8::3测试IPV6链路是否正常通信,线路没有问题就可以正常通了
四、配置NATPT功能
1、配置V6侧的接口为ETH10、V4侧的接口为ETH11,设置V6前缀为运营商给的业务前缀地址:240E:06A0:0010:000A:0000:0000:0000:0000,注意这里的前缀必须是96位
(在使用定制的支持HA环境下NATPT的版本后,这里会多出两个选项,上面输入IPV6网关地址即可,下面的输入防火墙到服务器网段静态路由下一跳即可)
2、访问控制也放通一下
五、数据收发问题
1、IPV6访问–IPV4方向,我们ping 240e:6a0:10:a ::a35:fd4a,也就是ping 240e:6a0:10:a ::10.53.253.74
C:\Users\lenovo>ping 240e:6a0:10:a ::a35:fd4a
正在 Ping 240e:6a0:10:a ::a35:fd4a 具有 32 字节的数据:
来自 240e:6a0:10:a ::a35:fd4a 的回复: 时间=107ms
来自 240e:6a0:10:a ::a35:fd4a 的回复: 时间=47ms
来自 240e:6a0:10:a ::a35:fd4a 的回复: 时间=42ms
来自 240e:6a0:10:a ::a35:fd4a 的回复: 时间=51ms
240e:6a0:10:::a35:fd4a 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 42ms,最长 = 107ms,平均 = 61ms
ETH10抓包:IPV6地址之间的数据收发互通
外围防火墙A% system tcpdump -ni eth10 host 240e:6a0:10:a ::a35:fd4a
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth10, link-type EN10MB (Ethernet), capture size 96 bytes
16:46:07.787612 R@eth10 IP6 240e:e8:fb82:550e:c856:7d73:97b1:7aa1 > 240e:6a0:10:
a::a35:fd4a: ICMP6, echo request, seq 2956, length 40
16:46:07.788568 X@eth10 IP6 240e:6a0:10: a::a35:fd4a > 240e:e8:fb82:550e:c856:7d7
3:97b1:7aa1: ICMP6, echo reply, seq 2956, length 40
16:46:08.781739 R@eth10 IP6 240e:e8:fb82:550e:c856:7d73:97b1:7aa1 > 240e:6a0:10:
a::a35:fd4a: ICMP6, echo request, seq 2957, length 40
16:46:08.782465 X@eth10 IP6 240e:6a0:10: a::a35:fd4a > 240e:e8:fb82:550e:c856:7d7
3:97b1:7aa1: ICMP6, echo reply, seq 2957, length 40
16:46:09.790060 R@eth10 IP6 240e:e8:fb82:550e:c856:7d73:97b1:7aa1 > 240e:6a0:10:
a::a35:fd4a: ICMP6, echo request, seq 2958, length 40
16:46:09.790807 X@eth10 IP6 240e:6a0:10: a::a35:fd4a > 240e:e8:fb82:550e:c856:7d7
3:97b1:7aa1: ICMP6, echo reply, seq 2958, length 40
16:46:10.789993 R@eth10 IP6 240e:e8:fb82:550e:c856:7d73:97b1:7aa1 > 240e:6a0:10:
a::a35:fd4a: ICMP6, echo request, seq 2959, length 40
16:46:10.790650 X@eth10 IP6 240e:6a0:10: a::a35:fd4a > 240e:e8:fb82:550e:c856:7d7
3:97b1:7aa1: ICMP6, echo reply, seq 2959, length 40
ETH11抓包:IPV4地址之间的互通
外围防火墙A% system tcpdump -ni eth11 host 10.53.253.74
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth11, link-type EN10MB (Ethernet), capture size 96 bytes
16:47:02.348878 X@eth11 IP 10.53.252.251 > 10.53.253.74: ICMP echo request, id 1
, seq 1053, length 40
16:47:02.349072 X@eth11 IP 10.53.252.251 > 10.53.253.74: ICMP echo request, id 1
, seq 1053, length 40
16:47:02.349395 R@eth11 IP 10.53.253.74 > 10.53.252.251: ICMP echo reply, id 1,
seq 1053, length 40
16:47:02.349436 R@eth11 IP 10.53.253.74 > 10.53.252.251: ICMP echo reply, id 1,
seq 1053, length 40
16:47:03.349184 X@eth11 IP 10.53.252.251 > 10.53.253.74: ICMP echo request, id 1
, seq 1056, length 40
16:47:03.349591 R@eth11 IP 10.53.253.74 > 10.53.252.251: ICMP echo reply, id 1,
seq 1056, length 40
16:47:04.348456 X@eth11 IP 10.53.252.251 > 10.53.253.74: ICMP echo request, id 1
, seq 1051, length 40
16:47:04.349036 R@eth11 IP 10.53.253.74 > 10.53.252.251: ICMP echo reply, id 1,
seq 1051, length 40
保证域名和正确的IPV6绑定后,测试业务端口:
注:如果客户处没有IPV6网络测试环境怎么办?
1、 找个电信的4G手机开热点,笔记本无线连接即可。现在电信4G已经完成IPV6改造可以直接用,别的运营商可能不行。。
2、 用IPV6测试网站进行测试,网站地址:https://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php
3、020.085版本不支持HA开启的组网环境下,使用NATPT功能。如果有双机组网下使用NATPT功能需要联系北京同事获取特定的版本使用,目前比较稳定的是3.3.020.084.1_B5960_11版本