04 NATPT配置.docx
《04 NATPT配置.docx》由会员分享,可在线阅读,更多相关《04 NATPT配置.docx(34页珍藏版)》请在冰豆网上搜索。
04NATPT配置
目录
11NAT-PT配置11-1
11.1NAT-PT简介11-2
11.1.1NAT-PT的使用条件11-2
11.1.2NAT-PT的三种机制11-2
11.1.3NAT-PT的优缺点11-4
11.1.4报文与消息转换11-5
11.1.5参考信息11-7
11.2配置静态NAT-PT11-7
11.2.1建立配置任务11-7
11.2.2使能接口的NAT-PT功能11-8
11.2.3配置NAT-PT前缀11-8
11.2.4配置IP报文的静态映射11-9
11.2.5配置ToS字段或Traffic-class字段取值为011-9
11.2.6检查配置结果11-10
11.3配置动态NAT-PT11-10
11.3.1建立配置任务11-10
11.3.2使能接口的NAT-PT功能11-11
11.3.3配置NAT-PT前缀11-12
11.3.4配置NAT-PT地址池11-12
11.3.5配置IPv4侧报文的动态映射11-13
11.3.6配置IPv6侧报文的动态映射11-13
11.3.7配置不同协议的NAT-PT有效时间11-14
11.3.8配置会话数量的最大值11-15
11.3.9配置ToS字段或Traffic-class字段取值为011-15
11.3.10检查配置结果11-15
11.4维护NAT-PT11-16
11.4.1清除统计信息11-16
11.4.2调试NAT-PT11-16
11.5NAT-PT典型配置举例11-17
11.5.1配置IPv6侧动态映射11-17
11.5.2配置IPv4侧静态映射和IPv6侧静态映射11-20
11.5.3基于DNS-ALG的IPv6DNS服务器11-24
11.5.4基于DNS-ALG的IPv4DNS服务器11-26
11.6NAT-PT故障处理11-28
插图目录
图11-1NAT-PT组网图11-2
图11-2NAT-PT静态映射报文的转换11-3
图11-3应用DNS-ALG的NAT-PT机制11-4
图11-4配置IPv6侧报文动态映射组网图11-17
图11-5NAT-PT组网图(IPv4/IPv6侧为静态映射)11-20
图11-6配置基于DNS-ALG的IPv6DNS服务器组网图11-24
图11-7配置IPv4DNSServer组网图11-26
表格目录
表11-1IPv6报文头转换为IPv4报文头11-5
表11-2包含分片报文头的IPv6报文头转换为IPv4报文头11-5
表11-3IPv4报文头转换为IPv6报文头11-6
NAT-PT配置
关于本章
本章描述内容如下表所示。
标题
内容
11.1NAT-PT简介
了解NAT-PT的基本原理
11.2配置静态NAT-PT
配置静态NAT-PT
举例:
配置IPv4侧静态映射和IPv6侧静态映射
11.3配置动态NAT-PT
配置动态NAT-PT
举例:
配置IPv6侧动态映射
11.4维护NAT-PT
清除NAT-PT的统计信息或调试NAT-PT
11.5NAT-PT典型配置举例
举例说明NAT-PT的典型配置
11.6NAT-PT故障处理
检测和排除NAT-PT的运行故障
NAT-PT简介
NAT-PT(NetworkAddressTranslation-ProtocolTranslation)是附带协议转换器的网络地址转换器,它通过修改IP报文头中的地址和协议,使IPv6网络和IPv4网络之间可以互通。
本节介绍了NAT-PT的基本原理,具体包括:
●NAT-PT的使用条件
●NAT-PT的三种机制
●NAT-PT的优缺点
●报文与消息转换
NAT-PT的使用条件
如图11-1所示,IPv6主机和IPv4主机需要互通时,就要在路由器上实现NAT-PT。
NAT-PT组网图
从基于IPv4的Internet发展到基于IPv6的Internet是个循序渐进的过程,有一个过渡阶段,在这期间,IPv4和IPv6节点同时存在并需要互相通信。
这就需要在IPv4和IPv6网络边缘的路由器上提供NAT-PT功能,实现IPv4和IPv6地址之间的相互转换。
NAT-PT的三种机制
有三种NAT-PT机制可实现IPv4和IPv6地址之间的相互转换:
静态映射的NAT-PT机制、应用DNS-ALG(ApplicationLevelGateway)的NAT-PT机制和动态映射的NAT-PT机制。
静态映射的NAT-PT机制
NAT-PT静态映射报文的转换过程如图11-2所示。
不管是IPv6地址到IPv4地址的转换,还是IPv4地址到IPv6地址的转换,均由NAT-PT服务器来完成。
NAT-PT静态映射报文的转换
步骤1IPv6主机发送IPv6报文到NAT-PT。
NAT-PT路由器进行地址的静态转换:
报文的IPv6地址转化为IPv4地址。
NAT-PT路由器将转化后的报文发送给IPv4主机。
IPv4主机接收到报文后,向IPv6发送相应报文,相应报文的目的地址和源地址与接收报文的地址互换。
NAT-PT路由器接收到IPv4的相应报文后,进行与第二步类似的地址转换,将IPv4地址转化成IPv6地址。
----结束
●IPv4侧报文发送和接收过程中的地址转换与以上步骤类似,不再描述。
●IPv6目的地址是在NAT-PT路由器上静态配置的子网地址。
应用DNS-ALG(ApplicationLevelGateway)的NAT-PT机制
IPv6主机如果要通过主机名而不是IP地址与IPv4主机通信,就需要先使用NAT-PT的DNS-ALG(ApplicationLevelGateway)对主机名进行解析。
另外,为了安全,IPv6主机会向IPv4DNS服务器查询解析的IP地址是否存在访问指针记录(PTR记录)等。
因此NAT-PT的DNS-ALG还需要能够对PTR记录等的查询报文进行转换。
DNS-ALG具体支持的DNS记录类型如下。
●IPv4主机发出的A查询报文
●IPv6主机发出的AAAA查询报文
●IPv4DNS服务器发出的A响应报文
●IPv6DNS服务器发出的AAAA响应报文
●IPv4/IPv6主机发出的PTR和CNAME查询报文
●IPv4/IPv6DNS服务器发出的PTR和CNAME响应报文
下面以图11-3为例,说明DNS-ALG支持主机名解析的过程。
应用DNS-ALG的NAT-PT机制
步骤2IPv6主机发送AAAA查询报文,要求解析名字“”。
该报文的目的地址是在IPv6主机上静态配置的DNS服务器IPv6地址。
NAT-PT路由器接收IPv6的查询报文后,将AAAA请求报文转换为A请求报文。
转换后的请求报文中的DNS服务器地址为IPv4地址形式。
报文的IPv6源地址(IPv6主机的IPv6地址)可静态或动态的转换为IPv4地址。
IPv4的DNS服务器响应A请求报文,并将响应报文发送给NAT-PT路由器。
NAT-PT路由器将DNS的A响应报文转换为AAAA响应报文(包括进行IPv4到IPv6地址的转换),并发给IPv6主机。
通过以上步骤,IPv6主机查询到了“”的IPv6地址。
IPv6主机可以通过主机名而不是IP地址与IPv4主机通信了。
●IPv6主机获得目的IPv4主机地址后,IPv6主机与目的IPv4主机通信过程中的IP地址转换与上面步骤中相同,可以是静态转化,也可以是动态转换。
●NAT-PT的DNS-ALG对PTR和CNAME的查询/响应报文的地址转换过程与上述过程类似,不再描述。
----结束
动态映射的NAT-PT机制
和静态映射不同,动态映射没有IPv6和IPv4地址之间的一一对应关系。
它要求先创建一个地址池,然后根据需要从地址池中选取空闲地址来完成IPv4到IPv6地址的映射。
NAT-PT的优缺点
NAT-PT的优点是不必修改已存在的IPv4网络就可实现内部网络IPv4主机对外部网络IPv6主机的访问。
NAT-PT的缺点:
●属于同一会话的请求和响应都要通过同一NAT-PT路由器。
●不能转换IPv4报文头的可选项部分。
●缺少端到端的安全性。
报文与消息转换
NAT-PT转换
协议转换器只对IP报文头进行转换,而不会对载荷产生影响。
NAT-PT可完成IPv6和IPv4报文头之间的相互转换。
●IPv6报文头转换为IPv4报文头
在下列情况下,协议转换器会将IPv6报文头转换为IPv4报文头:
−当所接收到的报文的目的地址为IPv4映射后的IPv6地址时。
−当存在对输入报文进行映射的会话时。
如果IPv6报文不包含分片报文头,IPv6报文头就会被转换为IPv4报文头,如表11-1所示。
IPv6报文头转换为IPv4报文头
IPv4字段
赋值
版本
4
ToS
与IPv6报文头的流量级别相同
总长度
IPv6报文头的载荷长度+IP报文头长度
标识字段
0
标志
MF设为0,DF设为1
TTL
IPv6报文头的跳数限制-1
协议
IPv6报文头的下一个报文头字段
报文头校验和
IPv4报文头创建后即进行校验
如果IPv6报文包含分片报文头,IPv6报文头按表11-2转换为IPv4报文头:
包含分片报文头的IPv6报文头转换为IPv4报文头
IPv4字段
赋值
版本
4
ToS
与IPv6报文头的流量级别相同
总长度
IPv6报文头的载荷长度-8(分片报文头的长度)+IP报文头长度
标识字段
分片报文头中标识字段的低阶16位
标志
MF与分片报文头MF相同,DF设为0
TTL
IPv6报文头的跳数限制-1
协议
分片报文头的下一个报文头字段
报文头校验和
IPv4报文头创建后即进行校验
●IPv4报文头转换为IPv6报文头
未分片的IPv4报文转换为IPv6报文头,如表11-3所示。
IPv4报文头转换为IPv6报文头
IPv6字段
赋值
版本
6
流量级别
与IPv4报文头ToS相同
流标签
0
净荷长度
IPv4报文头总长度-IPv4报文头长度和IPv4选项
下一个报文头
与IPv4报文头的协议字段相同
跳数限制
IPv4报文头TTL-1
本版本不支持含有分片报文头的IPv4报文转换。
ICMP消息转换
NAT-PTICMP-ALG可转换RFC2765中指定的ICMP消息(包括IPv4与IPv6之间的相互转换)。
ICMPv6中所有需要转换的ICMP消息都要求更新ICMP校验和,作为转换的一部分,而ICMPv4只包含伪报文头校验和。
另外,所有的ICMP报文都需要转换类型值,ICMP错误消息中包含的IP报文头也需要转换。
参考信息
如果要更详细了解NAT-PT的原理,请参考以下文档。
●RFC2765:
IPv6Jumbograms
●RFC2766:
NetworkAddressTranslation-ProtocolTranslation(NAT-PT)
●RFC3152:
DelegationofIP6.ARPA
配置静态NAT-PT
建立配置任务
应用环境
静态NAT-PT应用在IPv4和IPv6之间映射项较少的情况。
前置任务
在配置静态NAT-PT之前,需完成以下任务。
●配置接口的物理特性
●配置接口的链路层协议
●启动IPv6功能,并配置了接口的IP地址
数据准备
在配置静态NAT-PT之前,需准备以下数据。
序号
数据
1
需要启动NAT-PT功能的接口编号
2
全局前缀
3
接口编号及接口前缀
4
含有下一跳选项的接口前缀
5
IPv6侧的静态映射表项
6
IPv4侧的静态映射表项
配置过程
要完成配置静态NAT-PT的任务,需要执行如下的配置过程。
序号
过程
1
建立配置任务
2
配置NAT-PT前缀
3
配置IP报文的静态映射
4
配置ToS字段或Traffic-class字段取值为0
5
检查配置结果
使能接口的NAT-PT功能
请在路由器上进行以下配置。
执行命令system-view,进入系统视图。
执行命令interfaceinterface-typeinterface-number,进入接口视图。
执行命令natptenable,使能接口NAT-PT功能。
----结束
需要在NAT-PT路由器连接IPv4网络和IPv6网络的接口上启动NAT-PT功能。
一旦在某接口启动了NAT-PT功能,从这个接口收到的报文就会被通报给NAT-PT,从而转换IPv4报文头和IPv6报文头。
配置NAT-PT前缀
当删除NAT-PT前缀时可能会影响某些动态配置,所以请谨慎删除。
请在路由器上进行以下配置。
执行命令system-view,进入系统视图。
执行命令natptprefixipv6-prefix,定义全局前缀。
执行命令natptprefixipv6-prefixinterfaceinterface-typeinterface-number[nexthopipv4-address],定义接口前缀。
----结束
在NAT-PT路由器上,配置NAT-PT前缀有2个作用。
●对于从IPv6侧网络收到的报文,路由器将该报文的目的地址前缀与NAT-PT前缀进行比较,如果相同,则允许对该报文头转换,如果不相同,则不对该报文头进行转换。
●对于从IPv4侧网络收到的报文,如果接收该报文的接口启动了NAT-PT功能,路由器将修改该报文头中的目的IP地址,在原IPv4地址前加上NAT-PT前缀,变成IPv6地址。
NAT-PT前缀固定为96位。
在配置NAT-PT前缀后,NAT-PT路由器将该NAT-PT前缀发布到IPv6侧的网络中,目的地址为该前缀的报文会被路由到NAT-PT路由器。
在配置NAT-PT前缀时只需保证该前缀是可路由的。
也可以为指定的接口配置前缀。
如果IPv6报文前缀的目的地址使能了NAT,此报文转换后就会被转发到配置时前缀绑定的接口。
接口前缀也可配置下一跳选项,它会将转换后的报文转发到配置的下一跳地址。
配置IP报文的静态映射
请在路由器上进行以下配置。
执行命令system-view,进入系统视图。
执行命令natptv4boundstaticipv4-addressipv6-address,定义IPv4侧报文的静态映射。
执行命令natptv6boundstaticipv6-addressipv4-address,定义IPv6侧报文的静态映射。
执行命令natptv4boundstaticv6serverprotocol{tcp|udp}ipv4-addressport-numberipv6-addressport-number,定义IPv4侧报文的PAT静态映射。
----结束
IPv4侧报文的映射指的是从IPv4到IPv6的报文转换,在此配置中会增加IPv4源地址的IPv6映射地址。
当IPv4报文发送到IPv6域时,IPv4源地址将会转换为IPv6地址。
缺省情况下,相反的转换规则同样成立,适用于IPv6到IPv4地址的转换。
IPv4和IPv6的port-number取值范围都是1~12287。
如果含有可选关键字v6server,表明是从IPv4侧报文到目的地址的映射。
因为DNS-ALG不支持PAT(PortAddressTranslation),如果地址池很小,映射时就很可能会没有可用地址。
静态PAT命令可以帮助IPv4侧报文的地址转换,节省全球单播地址。
配置ToS字段或Traffic-class字段取值为0
请在路由器上进行以下配置。
执行命令system-view,进入系统视图。
执行命令natptturn-off{tos|traffic-class},配置ToS字段或Traffic-class字段取值为0。
natptturn-offtos命令用来设置IPv6报文的ToS字段为0。
当IPv6报文转换为IPv4报文时,将ToS字段设为0。
natptturn-offtraffic-class命令用来设置IPv6报文的流量级别字段为0。
当IPv4报文转换为IPv6报文时,将流量级别字段设为0。
----结束
检查配置结果
在完成上述配置后,在任一视图下执行下面的display命令,查看NAT-PT的运行信息,检查配置的效果。
运行信息的详细解释请参见《VRP命令参考》。
操作
命令
查看NAT-PT地址组配置信息
displaynatptaddress-group
查看NAT-PT的静态和动态映射信息
displaynatptaddress-mapping
查看NAT-PT连接的有效时间
displaynatptaging-time
查看所有NAT-PT配置信息
displaynatptall
查看NAT-PT分片会话信息
displaynatptfrag-sessionsslotslot-id
查看NAT-PT的统计信息
displaynatptstatistics[slotslot-id]
执行命令displaynatptaddress-mapping,可以看到配置的静态NAT-PT的配置信息和映射项。
执行命令displaynatptstatistics,可以看到静态NAT-PT的统计信息。
配置动态NAT-PT
建立配置任务
应用环境
动态NAT-PT应用在映射项较多的情况下。
前置任务
在配置动态NAT-PT之前,需完成以下任务。
●配置接口的物理特性
●配置接口的链路层协议
●启动IPv6功能,并配置了接口的IPv6地址
●配置用于IPv4侧动态NAT-PT的ACL4
●配置用于IPv6侧动态NAT-PT的ACL6
数据准备
在配置动态NAT-PT之前,需准备以下数据。
序号
数据
1
需要启动NAT-PT功能的接口编号
2
全局前缀
3
接口前缀及其接口编号以及下一跳的IP地址
4
含有下一跳选项的接口前缀
5
地址池的名称及起始地址
6
ACL4编号
7
ACL6编号
配置过程
要完成配置动态NAT-PT的任务,需要执行如下的配置过程。
序号
过程
1
使能接口的NAT-PT功能
2
配置NAT-PT前缀
3
配置NAT-PT地址池
4
配置IPv4侧报文的动态映射
5
配置IPv6侧报文的动态映射
6
配置不同协议的NAT-PT有效时间
7
配置会话数量的最大值
8
配置ToS字段或Traffic-class字段取值为0
9
检查配置结果
使能接口的NAT-PT功能
请在路由器上进行以下配置。
执行命令system-view,进入系统视图。
执行命令interfaceinterface-typeinterface-number,进入接口视图。
执行命令natptenable,使能接口NAT-PT功能。
----结束
需要在NAT-PT路由器连接IPv4网络和IPv6网络的接口上启动NAT-PT功能。
一旦在某接口启动了NAT-PT功能,从这个接口收到的报文就会被通报给NAT-PT,从而转换IPv4报文头和IPv6报文头。
配置NAT-PT前缀
当删除NAT-PT前缀时可能会影响某些动态配置,所以请谨慎删除。
请在路由器上进行以下配置。
执行命令system-view,进入系统视图。
执行命令natptprefixipv6-prefix,定义全局前缀。
执行命令natptprefixipv6-prefixinterfaceinterface-typeinterface-number[nexthopipv4-address],定义接口前缀。
----结束
在NAT-PT路由器上,配置NAT-PT前缀有2个作用。
●对于从IPv6侧网络收到的报文,路由器将该报文的目的地址前缀与NAT-PT前缀进行比较,如果相同时,则允许对该报文头转换,如果不相同,则不对该报文头进行转换。
●对于从IPv4侧网络收到的报文,如果接收该报文的接口启动了NAT-PT功能,路由器将修改该报文头中的目的IP地址,在原IPv4地址前加上NAT-PT前缀,变成IPv6地址。
NAT-PT前缀固定为96位。
在配置NAT-PT前缀后,NAT-PT路由器将该NAT-PT前缀发布到IPv6侧的网络中,目的地址为该前缀的报文会被路由到NAT-PT路由器。
在配置NAT-PT前缀时只需保证该前缀是可路由的。
也可以为指定的接口配置前缀。
如果IPv6报文前缀的目的地址使能了NAT,此报文转换后就会被转发到配置时前缀绑定的接口。
接口前缀也可配置下一跳选项,它会将转换后的报文转发到配置的下一跳地址。
配置NAT-PT地址池
地址池与地址转换的某个ACL建立连接后,不允许被删除。
请在路由器上进行以下配置。
执行命令system-view,进入系统视图。
执行命令natptaddress-groupgroup-numberstart-ipv4-addressend-ipv4-address,定义地址池。
----结束
地址池是一组连续的IPv4地址。
当内部网络的数据包通过NAT-PT发送到外部网络,它就会在地址池中选择一个地址作为IPv6报文转换后的源地址。
配置IPv4侧报文的动态映射
请在路由器上进行以下配置。
执行命令system-view,进入系统视图。
执行命令natptv4bounddynamicaclnumberacl-numberprefixnatpt-prefix,定义IPv4侧报文的动态映射。
----结束
根据配置命令时使用的选项来识别要转换的地址。
IPv4侧的报文映射需要ACL号和前缀列表。
如果从IPv4域发出的报文符合ACL号,地址转换时就会在前面加上命令指定的前缀。
配置IPv6侧报文的动态映射
请在路由器上进行以下配置。
执行命令system-view,进入系统视图。
执行命令natptv6bounddynamicacl6numberacl-numberaddress-groupgroup-number[no-pat],定义IPv6侧报文的动态映射(组合1)。
执行命令natptv6bounddynamicacl6numberacl-numberinterfaceinterface-typeinterface-number,定义IPv6侧报文的动态映射(组合2)。
执行命令natptv6bounddynamicprefixnatpt-prefixaddress-groupgroup-number[no-pat],定义IPv6侧报文的动态映射
升级会员 