- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
19-SMART6配置
本章节下载 (259.98 KB)
目 录
在IPv4和IPv6混合组网的网络中,绝大多数的资源和应用都部署在IPv4网络中,这样对于网络中的IPv6用户,要想访问IPv4网络中的资源和应用,需要有一种技术来实现。
Smart6系统就实现了IPv6的客户端访问IPv4网络中的应用。Smart6系统在IPv4网络和IPv6网络中间部署一个网关,采用动态映射的方式将用户的IPv6通用地址映射为IPv4地址池地址。将CP/SP(Content Provider/Service Provider)的IPv4公网地址映射为带运营商前缀的合成IPv6地址,从而实现IPv6用户向IPv4应用的访问。对于纯IPv6或双栈的用户发起的向IPv4应用服务器的访问,可以通过IPv6网络实现,此时需要Smart6网关和DNS服务器的配合。其中,Smart6网关可以为单个ICP(Internet Content Provider)独享,也可以为多个ICP共享。
Smart6系统部署在IPv4和IPv6网络之间,主要包含两个组件:
Smart6网关主要负责在IPv6网络中接入只支持IPv4的ICP/IDC,对于IPv6用户侧,实现IPv6地址和IPv4地址间的动态有状态映射;对于IPv4服务器侧,则实现IPv4公网地址和带有运营商前缀的IPv6地址间的无状态映射。
DNS服务器主要负责对用户访问应用服务器的DNS请求进行地址解析,实现对IPv4域名查询(即A查询)和IPv6域名查询(即AAAA查询)的反馈,具备DNS64功能。DNS服务器部署在IPv6的网络中。
图1-1 Smart6工作流程
如图1-1所示,Smart6的工作流程为:
(1) IPv6客户端发出AAAA和A查询请求,由DNS服务器返回AAAA地址和A地址。对于采用Smart6进行业务迁移的CP/SP,需要具备DNS64功能的DNS服务器将A地址结合运营商前缀转换为AAAA地址返回给用户,这样,用户就可以收到合成的AAAA地址并通过Smart6进行处理。
(2) IPv6客户端在得到IPv6地址后,发出IPv6数据包到具有Smart6网关功能的网络设备上,对于第一个数据包建立映射表项,将客户端的IPv6地址映射为IPv4地址,后续的数据包查询该映射表,通过协议翻译,将IPv6数据包转换为IPv4数据包。Smart6网关将转换后的IPv4数据包发送到ICP的IPv4应用服务器。
(3) ICP的IPv4应用服务器返回的IPv4数据包,在Smart6网关处,查询该映射表,通过协议翻译,将IPv4数据包转换为IPv6数据包,发送回IPv6客户端。
Smart6系统只支持从IPv6网络侧发起业务连接。
对于用户侧地址的映射,Smart6支持两种地址映射方式:
(1) A模式地址映射:Smart6网关动态的将用户的通用IPv6地址映射为IPv4地址池中地址的能力,映射方式为一一映射,记为A模式地址映射方式。
(2) B模式地址映射:Smart6网关支持映射方式为一对多映射(即通过端口的复用,实现一个IPv4地址映射为多个IPv6地址),该映射方式记为B模式地址映射方式。在该模式下必须支持基于预设端口段的复用方式,即为每用户配置一个端口区间,每一IPv6地址固定地映射为一个IPv4地址和端口区间中。
对于服务器侧地址的映射,A模式和B模式均采用与运营商前缀一一映射合成的方式。Smart6网关为A端口和B端口分别定义两个不同的96位映射前缀,记作PrefA和PrefB,通过与32位的IPv4服务器地址拼接即可得到128位的IPv6地址。该地址称为服务器端合成地址,具备DNS64功能的DNS服务器也可以合成服务器端合成地址。用户在得到了AAAA地址时已携带了PrefA或PrefB前缀,因此,Smart6网关可通过识别PrefA或PrefB前缀类型来确定对数据包进行的处理模式。
表1-1 Smart6配置任务简介
|
操作 |
说明 |
详细配置 |
|
配置Smart6地址池 |
必选 |
|
|
配置Smart6地址转换前缀 |
必选 |
|
|
配置Smart6地址转换策略 |
必选 |
|
|
配置IPv4 Server地址 |
可选 |
|
|
使能Smart6功能 |
必选 |
|
|
使能Smart6 ALG功能 |
可选 |
|
|
配置会话老化时间 |
可选 |
|
|
使能日志记录功能 |
可选 |
|
|
使能地址池阈值告警功能 |
可选 |
在配置Smart6之前,需要先在设备上完成以下配置任务:
· 使能IPv6转发功能,详细配置请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
· 根据实际情况在连接IPv4网络或IPv6网络的接口上配置IPv4或IPv6地址。
Smart6地址转换的过程中,Smart6网关设备将会从配置的地址池中挑选一个IPv4地址来映射客户端IPv6的地址。
表1-2 配置Smart6地址池
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建一个地址池,并进入地址池视图 |
smart6 address-group group-number |
必选 |
|
添加地址池成员 |
address start-ipv4-address [ end-ipv4-address ] |
必选 |
· 不同地址池中定义的IP地址段之间不允许重叠。
· 地址池成员的IP地址段不能与其它地址池成员的IP地址段重叠。
Smart6支持A模式和B模式两种地址映射方式,不同的映射方式需要配置不同的地址转换前缀,Smart6网关可以根据该前缀来确定对数据包进行的处理模式。
表1-3 配置Smart6地址转换前缀
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置Smart6地址转换前缀 |
smart6 prefix { mode-a | mode-b } ipv6-address-prefix |
必选 |
通过配置地址转换策略,可以决定地址的映射方式为A模式或B模式,同时可以配置IPv6 ACL来过滤非授权用户,实现只为已授权的用户提供服务,对于非授权用户不予转换。
表1-4 配置Smart6地址转换策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置Smart6地址转换策略 |
smart6 address-mapping mode-a [ acl6 ipv6-acl-number ] address-group group-number |
二者必选其一 |
|
smart6 address-mapping mode-b [ acl6 ipv6-acl-number ] address-group group-number port-block-size block-size |
A模式下只进行地址转换,B模式下同时进行地址和端口的转换。
Smart6网关支持对可转换IPv4服务器地址的配置,配置此功能后,会优先根据配置的IPv4 server对应的模式进行转换。如果没有配置,会根据报文的目的地址前缀来自动匹配不同的模式。
表1-5 配置IPv4 Server列表
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置IPv4服务器的对应的地址 |
smart6 v4-server v4-server-address { mode-a | mode-b } |
可选 |
为了确保Smart6的正常运行,需要在Smart6网关连接IPv4网络和IPv6网络的接口上分别使能Smart6功能。
表1-6 使能Smart6功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
使能Smart6功能 |
smart6 enable |
必选 |
Smart6系统支持FTP ALG(Application Level Gateway,应用层网关)和HTTP ALG。
表1-7 使能Smart6 ALG功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能Smart6 ALG功能 |
smart6 alg { all | ftp | http } |
可选 |
关于ALG的详细介绍,请参见“安全配置指导”中的“ALG”。
在Smart6网关中,IPv4和IPv6地址之间的映射记录在一个映射表中,每个映射称为一个映射表项,每个映射表项都有一个会话老化时间,用来表明该映射表项的生效时长,即最后一个IPv4或IPv6包后的生存时间,在超过生存时间还没收到IPv4或IPv6包,则该映射表项会被删除。
表1-8 配置会话老化时间
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置会话老化时间 |
smart6 aging-time session { icmp-closed | icmp-open | rawip-open | rawip-ready | relation | tcp-est | tcp-fin | tcp-syn | udp-open | udp-ready } time-value |
可选 |
Smart6日志为为创建表项日志和删除表项日志,能够查看日志建立的时间,转换前的源地址,转换后的地址和端口段。
表1-9 使能日志记录功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能日志记录功能 |
smart6 log { address-mapping | session-start | session-end | all } enable |
可选 |
Smart6网关设备支持地址池容量阈值上限告警功能,即地址池使用到达一定门限(配置的百分比)时即可启动告警功能。
表1-10 使能地址池阈值告警功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能地址池阈值告警功能 |
smart6 address-group alarm-threshold high high-value low low-value |
可选 |
在完成上述配置后,在任意视图下执行display命令可以显示Smart6配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除Smart6地址转换和会话的相关信息。
表1-11 Smart6显示和维护
|
操作 |
命令 |
|
显示Smart6会话信息 |
display smart6 session { [ mode-a | mode-b ] | protocol { protocol-value | icmp | tcp | udp } | ipv6-source-address ipv6-source-address-value | ipv6-destination-address ipv6-destination-address-value | ipv4-source-address ipv4-source-address-value | ipv4-destination-address ipv4-destination-address-value } * [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
显示Smart6的地址映射信息 |
display smart6 address-mapping { [ mode-a | mode-b ] | ipv6-address ipv6-address-value | ipv4-address ipv4-address-value } * [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
显示Smart6的关联表信息 |
display smart6 relation { [ mode-a | mode-b ] | ipv6-address ipv6-address-value | ipv4-address ipv4-address-value } * [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
显示Smart6的统计信息 |
display smart6 statistics [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
删除会话表 |
reset smart6 session [ mode-a | mode-b ] [ slot slot-number ] |
|
删除地址映射表 |
reset smart6 address-mapping [ mode-a | mode-b ] [ slot slot-number ] |
IPv6网络内地址为2001::2/64的Host希望访问IPv4网络地址为8.0.0.2/24,域名为test1.com的服务器Server,为了满足上述需求,需要在IPv4网络和IPv6网络之间部署Smart6设备Router,在RouterA上配置A模式地址映射,保证IPv6网络中的主机能够通过域名访问IPv4中的网络资源。
图1-2 Smart6典型配置组网图
(1) 配置Router
# 按照组网图配置各接口IP地址(略)。
# 使能Router的IPv6转发功能。
<Router> system-view
[Router] ipv6
# 配置Smart6地址池,索引号为1。
[Router] smart6 address-group 1
[Router-smart6-address-group-1] address 9.1.1.1 9.1.1.100
[Router-smart6-address-group-1] quit
# 配置A模式地址转换前缀6000::。
[Router] smart6 prefix mode-a 6000::
# 配置A模式地址转换策略,关联到Smart6地址池1。
[Router] smart6 address-mapping mode-a address-group 1
# 配置IPv4 Server地址为8.0.0.2。
[Router] smart6 v4-server 8.0.0.2 mode-a
# 在Router的接口GE0/0/0和GE0/0/1上分别使能Smart6功能。
[Router] interface gigabitethernet 0/0/0
[Router-GigabitEthernet0/0/0] smart6 enable
[Router-GigabitEthernet0/0/0] quit
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] smart6 enable
[Router-GigabitEthernet0/0/1] quit
(2) 配置DNS服务器
在DNS服务器中加入IPv4网络中服务器对应的IPv6地址(由Smart6前缀+实际IPv4地址组成)的AAAA表项,本例中配置6000::800:0002对应的DNS域名为test1.com。
(3) 配置Host,具体配置过程略
配置Host的IPv6地址为2001::2/64,配置到达前缀6000::/96网段的静态路由,下一跳地址为2000::1。
(4) 配置Server,具体配置过程略
配置Server的IP地址为8.0.0.2/24,配置到达地址池9.1.1.0/24网段的静态路由,下一跳地址为8.0.0.1
# 在Host上执行Ping test1.com会收到响应报文,此时Router上会有如下日志输出。
[Router]
%Aug 17 16:08:24:002 2012 H3C SMART6/4/WARN: smart6:userbasedA [- - 2001::0002 9.1.1.1 - - -]
# 查看Router上建立如下Smart6地址映射表项。
[Router] display smart6 address-mapping
Address mappings on slot 0:
IPv6-Address IPv4-Address/ Port TTL
2001::0002 9.1.1.1/ 0 282
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
