Cómo configurar NAT64 en palo alto firewalls-IPv6 a IPv4 traducción
Resolution
Resumen
Este documento describe cómo configurar NAT64 en un cortafuegos de Palo Alto Networks.
Detalles
NAT64 permite a los hosts IPv6 comunicarse con hosts IPv4. Una dirección equivalente de NAT64 para un destino IPv4 se forma combinando la dirección IPv4 de 32 bits con el prefijo bien conocido 64: ff9b::/n para NAT64 como se indica en RFC 6052.
Esta implementación necesita un servidor DNS64 con el que el cliente IPv6 pueda comunicarse para sintetizar los registros AAAA de los registros. El servidor DNS64 es responsable de realizar una búsqueda IPv4 para el destino y, a continuación, devolver una dirección IPv6 equivalente (aaaa) al cliente anexando el prefijo bien conocido. A continuación, el cliente envía el paquete con:
- IP src = dirección IPv6 configurada
- DST IP = dirección IPv6 incrustada IPv4 devuelta por DNS64 Server
Cuando el cortafuegos recibe este paquete, tanto el IP src como la IP DST se traducen en direcciones IPv4.
Nota: aunque en este ejemplo se muestra cómo implementar NAT64 con un servidor DNS64, el Firewall es capaz de realizar la traducción desde IPv6 a IPv4 independientemente de si esto fue realizado por un servidor DNS64 o por algún otro método, siempre y cuando la dirección IPv4 sea incrustado en la dirección IPv6 como se describe a continuación.
Nota: la función NAT64 admite el prefijo compatible RFC6052, que cubre el preFijo bien conocido y el prefijo específico de la red (por ejemplo: todo o una parte del prefijo de dirección global del cliente). Este documento explica la situación del preFijo bien conocido con 96. Esto también puede aplicarse al prefijo específico de la red.
La tabla siguiente es la regla de asignación de IPv6 a IPv4. La asignación varía con la longitud del prefijo:
Pasos
Para el ejemplo de configuración se utiliza la siguiente topología de red:
- BIND 9 se usó como servidor DNS64 para esta configuración. Debe agregarse la siguiente configuración al archivo/etc/bind/named.conf.Options
Options {
dns64 64: ff9b::/96 {
};
escuchar-en-V6 {any;};
permitir-consulta {any;};
}; - Asigne la red 64: ff9b::/96 a la interfaz asignada a la zona ' Untrust '. Esto es para asegurarse de que las búsquedas de zona para las IPS de destino en esta red coincidan con la zona Untrust.
- Configure la regla NAT64 de la siguiente manera:
- En el cliente, abra un explorador e intente navegar a un sitio Web. Vamos a utilizar www.w3schools.com un sitio de ejemplo.
- El sitio Web www.w3schools.com resuelve a 66.29.212.73
- Cuando el PC hace una búsqueda de registro AAAA para el nombre de host www.w3schools.com, el servidor DNS64 devuelve la dirección IP como: 64: ff9b:: 421d: d449 donde 421d: d449 es el equivalente hexadecimal de 66.29.212.73.
Verificación de
Compruebe las sesiones del cortafuegos para el DNS y las siguientes sesiones de navegación web:
Sesión DNS:
flujo de C2S:
Fuente: 2005: DB4:40:0: 0:0: 0:31 [Trust-L3]
DST: 2005: DB4:31:0: 0:0: 0:200
Proto: 17
deporte: 58674 dport: 53
Estado: tipo activo: flujo
usuario fuente: desconocido
usuario de DST: desconocido
flujo de s2c:
Fuente: 2005: DB4:31:0: 0:0: 0:200 [Untrust-L3]
DST: 2005: DB4:40:0: 0:0: 0:31
Proto: 17
deporte: 53 dport: 58674
Estado: tipo activo: flujo
usuario fuente: desconocido
usuario de DST: desconocido
hora de Inicio: Wed Nov 13 13:04:31 2013
tiempo de espera: 30 segundos
tiempo de vida: 15 seg.
cuenta total del octeto (C2S): 100
conteo total de bytes (s2c): 524
count(c2s) paquete de layer7: 1
count(s2c) paquete de layer7: 1
vsys: vsys1
aplicación: DNS
regla: allow_all
sesión para iniciar sesión final: True
sesión en ager sesión: verdadero
sesión sincronizado de peer HA: falso
procesamiento de layer7: habilitado
Filtrado de URL habilitada: False
sesión vía cookies syn: falso
sesión terminada en host: falso
sesión atraviesa túnel: falso
sesión portal cautivo: falso
interfaz de entrada: ethernet1/4
interfaz de salida: ethernet1/3
regla de QoS de sesión: N/A (clase 4)
Sesión de navegación web:
flujo de C2S: (aviso direcciones IPv6 en flujo de C2S)
Fuente: 2005: DB4:40:0: 0:0: 0:31 [Trust-L3]
DST: 64: ff9b: 0:0: 0:0: 421d: d449
Proto: 6
deporte: 49381 dport: 80
Estado: tipo activo: flujo
usuario fuente: desconocido
usuario de DST: desconocido
flujo s2c: (observe las direcciones IPv4 en s2c Flow)
Fuente: 66.29.212.73 [Untrust-L3] DST: 10.66.24.80
Proto: 6
deporte: 80 dport: 65144
Estado: tipo activo: flujo
usuario fuente: desconocido
usuario de DST: desconocido
hora de Inicio: Wed Nov 13 13:04:31 2013
timeout: 3600 sec
tiempo de vida: 3568 seg.
cuenta total del octeto (C2S): 758
conteo total de bytes (s2c): 5439
count(c2s) paquete de layer7: 6
conteo de paquetes layer7 (s2c): 6
vsys: vsys1
aplicación: navegación por la web
regla: allow_all
sesión para iniciar sesión final: True
sesión en ager sesión: verdadero
sesión sincronizado de peer HA: falso
dirección/puerto traducción: fuente + destino
NAT-regla: nat6_4 (vsys1) < NAT64 rule is applied nat64="" rule="" is=""></ NAT64 rule is applied>
procesamiento de layer7: habilitado
Filtrado de URL habilitada: False
sesión vía cookies syn: falso
sesión terminada en host: falso
sesión atraviesa túnel: falso
sesión portal cautivo: falso
interfaz de entrada: ethernet1/4
interfaz de salida: ethernet1/3
regla de QoS de sesión: N/A (clase 4)
Solución de problemas
El comando siguiente se puede utilizar para ver los contadores para NAT64 en el nivel de gota/WARN:
> Mostrar el valor de filtro global contra todo | Match nat64
Ejemplo:
agrandar
Nota: es necesario habilitar el cortafuegos IPv6 en el dispositivo > configuración > sesión > cortafuegos IPv6.
Propietario: achitwadgi