Wie man NAT64 auf Palo Alto Firewalls konfiguriert-IPv6 auf IPv4-ÜberSetzung
Resolution
Übersicht
Dieses Dokument beschreibt, wie man NAT64 auf einer Palo Alto Networks Firewall konfiguriert.
Details
NAT64 ermöglicht IPv6-Hosts, mit IPv4-Hosts zu kommunizieren. EINE NAT64-äquivalente Adresse für ein IPv4-Ziel wird durch die Kombination der 32-Bit-IPv4-Adresse mit dem bekannten Präfix 64: ff9b::/n für NAT64, wie in RFC 6052 beschrieben, gebildet.
Diese Implementierung benötigt einen DNS64-Server, mit dem der IPv6-Client kommunizieren kann, um AAAA-Datensätze aus einem Datensätze zu synthetisieren. Der DNS64-Server ist dafür verantwortlich, eine IPv4-Suche für das Ziel durch zu machen und dann eine gleichwertige IPv6-Adresse (AAAA) an den Client zurückzugeben, indem das bekannte Präfix angehängt wird. Der Kunde schickt das Paket dann mit:
- Src IP = konfigurierte IPv6-Adresse
- DST IP = IPv4 eingebettete IPv6-Adresse von DNS64 Server zurückgegeben
Wenn die Firewall dieses Paket empfängt, werden sowohl die src-IP als auch die DST-IP in IPv4-Adressen übersetzt.
Hinweis: Obwohl dieses Beispiel zeigt, wie man NAT64 mit einem DNS64-Server implementiert, ist die Firewall in der Lage, die überSetzung von IPv6 zu IPv4 durchzuführen, unabhängig davon, ob dies von einem DNS64-Server oder von einer anderen Methode durchgeführt wurde, solange die IPv4-Adresse eingebettet in die IPv6-Adresse, wie unten beschrieben.
Hinweis: die NAT64-Funktion unterSTÜTZT RFC6052 kompatibles Präfix, das ein bekanntes Präfix und ein Netzwerk spezifisches Präfix abdeckt (zum Beispiel: alle oder ein Teil des globalen Adress Präfixes des Kunden). Dieses Dokument erklärt das Szenario des bekannten Präfix mit 96. Dies kann auch für Netzwerk spezifisches Präfix gelten.
Die folgende Tabelle ist die Mapping-Regel von IPv6 zu IPv4. Die Kartierung variiert mit der Länge der Vorwahl:
Schritte
Für das Konfigurationsbeispiel wird folgende Netztopologie verwendet:
- BIND 9 wurde als DNS64-Server für dieses Setup verwendet. Die folgende Konfiguration muss der/etc/bind/named.conf.options-Datei hinzugefügt werden.
Optionen {
dns64 64: ff9b::/96 {
};
Listen-on-V6 {any;};
erlauben-Abfrage {any;};
}; - Weisen Sie das 64: ff9b::/96-Netzwerk an die Schnittstelle zu, die der "Untrust"-Zone zugeordnet ist. Dies soll sicherstellen, dass Zone-Lookups für Destination-IPs in diesem Netzwerk mit der Untrust-Zone übereinstimmen.
- Konfigurieren Sie die NAT64-Regel wie folgt:
- Öffnen Sie auf dem Client einen Browser und versuchen Sie, zu einer Website zu navigieren. Wir werden www.W3Schools.com eine Beispielseite verwenden.
- Die Website www.W3Schools.com beschließt 66.29.212.73
- Wenn der PC eine AAAA-Aufzeichnungs Suche für den Hostnamen www.W3Schools.com durchführt , gibt der DNS64-Server die IP-Adresse als: 64: ff9b:: 421D: d449 an, wo 421D: d449 das Hex-Äquivalent von 66.29.212.73 ist.
Überprüfung
ÜberPrüfen Sie die Sitzungen auf der Firewall für die DNS und die folgenden Web-Browsing-Sessions:
DNS-Session:
C2S fließen:
Quelle: 2005: db4:40:0: 0:0: 0:31 [Trust-L3]
DST: 2005: db4:31:0: 0:0: 0:200
Proto: 17
Sport: 58674 dport: 53
Status: aktive Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
S2C Durchfluss:
Quelle: 2005: db4:31:0: 0:0: 200 [Untrust-L3]
DST: 2005: db4:40:0: 0:0: 0:31
Proto: 17
Sport: 53 dport: 58674
Status: aktive Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
Startzeit: Mi Nov 13 13:04:31 2013
Zeitlimit: 30 Sek.
Zeit zum Leben: 15 Sek.
Gesamtzahl der Byte (C2S): 100
Gesamtzahl der Byte (S2C): 524
Layer7-Paket count(c2s): 1
Layer7-Paket count(s2c): 1
VSys: vsys1
Anwendung: DNS
Regel: ALLOW_ALL
Sitzung am Ende angemeldet sein: wahr
Sitzung im Sitzung Ager: wahr
Sitzung von HA Peer synchronisiert: False
Layer7-Verarbeitung: aktiviert
URL-Filterung aktiviert: False
Sitzung über Syn-Cookies: False
Sitzung beendet auf Host: False
Sitzung Tunnel durchquert: False
Captive Portal Sitzung: False
Eindringen-Schnittstelle: ethernet1/4
Egress-Schnittstelle: ethernet1/3
Sitzung-QoS-Regel: N/A (Klasse 4)
Web-Browsing-Session:
C2S Flow: (Beachten Sie IPv6-Adressen in C2S Flow)
Quelle: 2005: db4:40:0: 0:0: 0:31 [Trust-L3]
DST: 64: ff9b: 0:0: 0:0: 421D: d449
Proto: 6
Sport: 49381 dport: 80
Status: aktive Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
S2C Flow: (Beachten Sie IPv4-Adressen in S2C Flow)
Quelle: 66.29.212.73 [Untrust-L3] DST: 10.66.24.80
Proto: 6
Sport: 80 dport: 65144
Status: aktive Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
Startzeit: Mi Nov 13 13:04:31 2013
Timeout: 3600 sec
Zeit zum Leben: 3568 sec
Gesamtzahl der Byte (C2S): 758
Gesamtzahl der Byte (S2C): 5439
Layer7-Paket count(c2s): 6
layer7 Paket Zählung (S2C): 6
VSys: vsys1
Anwendung: Surfen
Regel: ALLOW_ALL
Sitzung am Ende angemeldet sein: wahr
Sitzung im Sitzung Ager: wahr
Sitzung von HA Peer synchronisiert: False
Adresse/Port Übersetzung: Quelle + Ziel
NAT-rule: nat6_4 (vsys1) < NAT64 rule is applied nat64="" rule="" is=""></ NAT64 rule is applied>
Layer7-Verarbeitung: aktiviert
URL-Filterung aktiviert: False
Sitzung über Syn-Cookies: False
Sitzung beendet auf Host: False
Sitzung Tunnel durchquert: False
Captive Portal Sitzung: False
Eindringen-Schnittstelle: ethernet1/4
Egress-Schnittstelle: ethernet1/3
Sitzung-QoS-Regel: N/A (Klasse 4)
Fehlerbehebung
Der folgende Befehl kann verwendet werden, um Zähler für NAT64 auf der Drop/Warn-Ebene anzuzeigen:
> Counter globale Filter Wert anzeigen alle | Match NAT64
Beispiel:zum Vergrößern anklicken
Hinweis: IPv6-Firewall muss unter Device > Setup > Session > IPv6 Firewall aktiviert werden.
Besitzer: Achitwadgi