0x01. 组网需求

某单位互联网出口同时开通了IPV4和IPV6,但是单位内部局域网是IPV4网络,现在单位内部需要访问Internet上的一个IPV6网站服务器该服务器只支持IPV6访问。

为满足上述要求,本次使用如下方式实现:

· 使用IPv4到IPv6源地址动态地址转换策略,将IPv4报文的源地址转换为IPv6地址。

· 通过IPv6到IPv4的源地址静态转换策略为IPv6 Internet上服务器的IPv6地址指定一个对应的IPv4地址,Device收到发往该IPv4地址的报文时将其转换为对应的IPv6地址。

0x02. 组网图

图1-10 IPv4网络访问IPv6 Internet

H3C防火墙-IPv4地址转换为IPV6

0x03. 配置步骤

按照组网图配置各接口的IP地址,具体配置过程略。

配置接口IPV6地址

ipv6 address 240e:47:0:701::1/127

配置ipv6缺省路由

ipv6 route-static :: 0 240e:9f:8300:e::2

AFT配置

# 配置ACL 2000,仅允许IPv4网络中10.1.1.0/24网段的用户可以访问IPv6 Internet。

<Device> system-view

[Device] acl number 2000

[Device-acl-ipv4-basic-2000] rule permit source 10.1.1.0 0.0.0.255

[Device-acl-ipv4-basic-2000] rule deny

[Device-acl-ipv4-basic-2000] quit

# 配置NAT64前缀,此前缀将在IPv4到IPv6源地址动态转换策略中被调用,将报文的源地址转换为IPv6地址。

[Device] aft prefix-nat64 2012:: 96

# 配置IPv4到IPv6源地址动态转换策略,将匹配ACL 2000报文的源地址根据NAT64前缀转换为IPv6地址。

[Device] aft v4tov6 source acl number 2000 prefix-nat64 2012:: 96

# 配置IPv6到IPv4的源地址静态转换策略,用于将报文的目的地址转换为IPv6地址。

[Device] aft v6tov4 souce 240e:47:0:701::1  20.1.1.1

# 在IPv4侧接口GigabitEthernet1/0/1开启AFT。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] aft enable

[Device-GigabitEthernet1/0/1] quit

# 在IPv6侧接口GigabitEthernet1/0/2开启AFT。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] aft enable

[Device-GigabitEthernet1/0/2] quit

0x04.域名解析配置

防火墙上配置域名解析为ipv6对应的ipv4源地址,并将防火墙内网接口作为主机DNS服务器

#配置静态域名解析
ip host www.text.com 20.1.1.1
#开启DNS代理服务器
dns proxy enable
#配置上游DNS 服务器
dns server 61.128.128.68

0x05.总结

IPV4访问IPV6服务器就是将服务器IPV6地址固定转换为一个没有使用的IPV4地址,IPV4网络访问这个IPV4地址,防火墙自动转换为对应IPV6地址