Comment faire pour configurer NAT64 sur les pare-feu Palo Alto-IPv6 à la traduction IPv4
Resolution
Vue d’ensemble
Ce document décrit comment configurer NAT64 sur un pare-feu de Palo Alto Networks.
Détails
NAT64 permet aux hôtes IPv6 de communiquer avec les hôtes IPv4. Une adresse équivalente NAT64 pour une destination IPv4 est formée en combinant l'adresse IPv4 du bit 32 avec le préfixe bien connu 64: ff9b::/n pour NAT64 comme indiqué dans la RFC 6052.
Cette implémentation a besoin d'un serveur DNS64 avec lequel le client IPv6 peut communiquer pour synthétiser les enregistrements AAAA à partir d'un enregistrement. Le serveur DNS64 est chargé d'effectuer une recherche IPv4 pour la destination, puis de retourner une adresse IPv6 équivalente (aaaa) au client en ajoutant le préfixe bien connu. Le client envoie ensuite le paquet avec:
- IP SRC = adresse IPv6 configurée
- DST IP = IPv4 Embedded IPv6 Address retourné par DNS64 Server
Lorsque le pare-feu reçoit ce paquet, l'ip SRC et l'ip DST sont traduits en adresses IPv4.
Remarque: bien que cet exemple montre comment implémenter NAT64 avec un serveur DNS64, le pare-feu est capable d'effectuer la traduction d'IPv6 à IPv4, peu importe si cela a été fait par un serveur DNS64 ou par une autre méthode, à condition que l'adresse IPv4 soit intégré dans l'adresse IPv6 comme décrit ci-dessous.
Remarque: la fonction NAT64 prend en charge le préfixe compatible RFC6052, qui couvre le préFixe bien connu et le préfixe spécifique au réseau (par exemple: tout ou partie du préfixe d'adresse globale du client). Ce document explique le scénario de préFixe bien connu avec 96. Cela peut également s'appliquer au préFixe spécifique au réseau.
Le tableau suivant est la règle de mappage d'IPv6 à IPv4. Le mappage varie avec la longueur du préfixe:
Étapes
La topologie réseau suivante est utilisée pour L'exemple de configuration:
- Bind 9 a été utilisé comme serveur DNS64 pour cette configuration. La configuration suivante doit être ajoutée au fichier/etc/bind/named.conf.options.
options {
DNS64 64: ff9b::/96 {
};
listen-on-V6 {any;};
allow-Query {any;};
}; - Assignez le réseau 64: ff9b::/96 à l'interface affectée à la zone'untrust'. Cela permet de s'assurer que les recherches de zone pour les adresses IP de destination de ce réseau correspondent à la zone de non-approbation.
- Configurez la règle NAT64 comme suit:
- Sur le client, ouvrez un navigateur et essayez de naviguer vers un site Web. Nous allons utiliser www.w3schools.com un site d'exemple.
- Le site www.w3schools.com se résout à 66.29.212.73
- Lorsque le PC effectue une recherche d'enregistrement AAAA pour le nom d'hôte www.w3schools.com, le serveur DNS64 renvoie l'adresse IP comme: 64: ff9b:: 421d: D449 où 421d: D449 est l'équivalent hexadécimal de 66.29.212.73.
Vérification
Vérifiez les sessions sur le pare-feu pour le DNS et les sessions de navigation Web suivantes:
Session DNS:
C2S flux :
Source: 2005: db4:40:0: 0:0: 0:31 [Trust-L3]
DST: 2005: db4:31:0: 0:0: 0:200
proto: 17
sport: 58674 dport: 53
Etat : type actif : FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
S2C flux :
Source: 2005: db4:31:0: 0:0: 0:200 [Untrust-L3]
DST: 2005: db4:40:0: 0:0: 0:31
proto: 17
sport: 53 dport: 58674
Etat : type actif : FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
heure de début: Wed Nov 13 13:04:31 2013
Timeout : 30sec
temps de vivre: 15 sec
nombre total d'octets (C2S): 100
nombre total d'octets (S2C): 524
layer7 paquet count(c2s) : 1
layer7 paquet count(s2c) : 1
VSys : vsys1
application: DNS
règle: allow_all
session d’être connecté à la fin : vrai
session en ager session : vrai
session synchronisée de HA homologue : faux
traitement layer7 : activé
Activé le filtrage des URL : faux
session par l’intermédiaire de cookies syn : faux
session terminée sur l’hôte : faux
session traverse le tunnel : faux
session de portail captive : faux
interface entrée : ethernet1/4
interface de sortie : ethernet1/3
règle de QoS de session : N/D (classe 4)
Session de navigation Web:
C2S Flow: (Notez les adresses IPv6 dans C2S Flow)
Source: 2005: db4:40:0: 0:0: 0:31 [Trust-L3]
DST: 64: ff9b: 0:0: 0:0: 421d: D449
proto : 6
sport: 49381 dport: 80
Etat : type actif : FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
flux S2C: (Notez les adresses IPv4 dans S2C Flow)
Source: 66.29.212.73 [Untrust-L3] DST: 10.66.24.80
proto : 6
sport: 80 dport: 65144
Etat : type actif : FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
heure de début: Wed Nov 13 13:04:31 2013
délai d'attente: 3600 sec
temps de vivre: 3568 sec
nombre total d'octets (C2S): 758
nombre total d'octets (S2C): 5439
layer7 paquet count(c2s) : 6
nombre de paquets layer7 (S2C): 6
VSys : vsys1
application : navigation sur le web
règle: allow_all
session d’être connecté à la fin : vrai
session en ager session : vrai
session synchronisée de HA homologue : faux
adresse/port translation : source + destination
NAT-Rule: nat6_4 (vsys1) < NAT64 rule is applied nat64="" rule="" is=""></ NAT64 rule is applied>
traitement layer7 : activé
Activé le filtrage des URL : faux
session par l’intermédiaire de cookies syn : faux
session terminée sur l’hôte : faux
session traverse le tunnel : faux
session de portail captive : faux
interface entrée : ethernet1/4
interface de sortie : ethernet1/3
règle de QoS de session : N/D (classe 4)
Résolution des problèmes
La commande suivante peut être utilisée pour afficher des compteurs pour NAT64 au niveau Drop/Warn:
> afficher la valeur du compteur global Filter All | allumette NAT64
Exemple:
Remarque: le pare-feu IPv6 doit être activé sous Device > Setup > session > pare-feu IPv6.
propriétaire : achitwadgi