Web方式：IPv4 Internet访问IPv6网络内部服务器典型配置（策略NAT）

使用版本

本举例是在F5000-AI120的F9900版本上进行配置和验证的。

组网需求

如下图所示，某公司将网络升级到了IPv6，此时Internet仍然是IPv4网络。该公司希望内部的FTP服务器能够继续为IPv4 Internet的用户提供服务。该公司拥有的IPv4地址为10.1.1.1。

为满足上述要求，本例实现方式如下：

• 使用IPv6侧服务器配置将IPv6内部服务器的地址及端口映射为IPv4地址及端口，Device收到来自IPv4 Internet的报文后，根据该配置策略将报文IPv4目的地址转换为IPv6地址；

• 使用NAT64前缀将报文源IPv4地址转换为IPv6地址。

图-1 IPv4 Internet访问IPv6网络内部服务器配置组网图

配置步骤

Device配置

1. 配置接口的IP地址和安全域

# 选择“网络 > 接口与VRF > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

• 安全域：Untrust

• 选择“IPv4地址”页签，配置IP地址/掩码：10.1.1.2/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

• # 按照同样的步骤配置接口GE1/0/2，配置如下。

• 安全域：Trust

• 选择“IPv6地址”页签，配置IP地址/掩码：2013::1/96

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

• 目的IP地址：20.1.1.0

• 掩码长度：24

• 下一跳IP地址：10.1.1.100

• 其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3. 配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建IPv4安全策略，并进行如下配置：

• 名称：aftlocalin

• 源安全域： Untrust

• 目的安全域：Local

• 类型：IPv4

• 动作：允许

• 目的IPv4地址：10.1.1.1

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

# 新建IPv6安全策略，并进行如下配置：

• 名称：aftlocalout

• 源安全域：Local

• 目的安全域：Trust

• 类型：IPv6

• 动作：允许

• 源IPv6地址：2012:: 96

• 目的IPv6地址：2013::102

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4. 配置策略NAT功能

# 配置IPv6侧服务器对应的IPv4地址及端口号。IPv4网络内用户通过访问该IPv4地址及端口即可访问IPv6服务器。

# 选择“策略 > 策略NAT > 新建源和目的地址转换 > NAT64 > V4toV6”。

参数配置如下图所示。

图-2 配置策略NAT

# 单击<确定>按钮，完成安全策略的配置。

5. 在设备IPv4侧和IPv6侧接口开启AFT。

# 登录设备CLI页面，进入设备IPv4侧和IPv6侧接口的接口视图，执行aft enable命令开启AFT功能。

验证配置

# 以上配置完成后，IPv4 Host可以通过FTP协议访问IPv6 FTP Server。

# 通过查看AFT会话，可以看到创建了一个IPv4会话和IPv6会话，分别对应转换前和转换后的报文。

[Device] display aft session ipv4 verbose

Initiator:

  Source      IP/port: 20.1.1.1/11025

  Destination IP/port: 10.1.1.1/21

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/1

  Source security zone: Untrust

Responder:

  Source      IP/port: 10.1.1.1/21

  Destination IP/port: 20.1.1.1/11025

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/2

  Source security zone: Local

State: TCP_ESTABLISHED

Application: FTP

Rule ID: -/-/-

Rule name:

Start time: 2014-03-13 09:07:30  TTL: 3577s

Initiator->Responder:            3 packets        124 bytes

Responder->Initiator:            2 packets        108 bytes

Total sessions found: 1

[Device] display aft session ipv6 verbose

Initiator:

  Source      IP/port: 2012::1401:0101/1029

  Destination IP/port: 2013::102/21

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/1

  Source security zone: Local

Responder:

  Source      IP/port: 2013::102/21

  Destination IP/port: 2012::1401:0101/1029

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/2

  Source security zone: Trust

State: TCP_ESTABLISHED

Application: FTP

Rule ID: 0

Rule name: aftlocalout

Start time: 2014-03-13 09:07:30  TTL: 3582s

Initiator->Responder:            3 packets        184 bytes

Responder->Initiator:            2 packets        148 bytes

Total sessions found: 1