如何配置帕洛阿尔托防火墙上的 NAT64-IPv6 IPv4 翻译
Resolution
概述
本文档介绍如何在帕洛阿尔托网络防火墙上配置 NAT64。
详细
NAT64 使 IPv6 主机能够与 IPv4 主机通信。IPv4 目标的 NAT64 等效地址是通过将32位 IPv4 地址与众所周知的前缀 64: ff9b::/n 用于 NAT64, 如 RFC 6052 中所述, 形成的。
此实现需要 IPv6 客户端可以与之进行通信的 DNS64 服务器, 以便从记录中合成 AAAA 记录。DNS64 服务器负责为目标执行 IPv4 查找, 然后通过追加已知的前缀将等效的 IPv6 地址 (AAAA) 返回给客户端。然后客户端发送数据包:
- Src IP = 配置的 IPv6 地址
- Dst IP = IPv4 DNS64 服务器返回的嵌入 IPv6 地址
当防火墙接收到此数据包时, Src ip 和 Dst ip 都将转换为 IPv4 地址。
注意: 虽然此示例演示如何使用 DNS64 服务器实现 NAT64, 但防火墙可以执行从 IPv6 到 IPv4 的转换, 无论这是由 DNS64 服务器完成还是通过其他方法进行, 只要 IPv4 地址是嵌入到 IPv6 地址中, 如下所述。
注意: NAT64 功能支持 RFC6052 兼容前缀, 它涵盖了已知的前缀和特定于网络的前缀 (例如: 客户的全局地址前缀的全部或部分). 本文档解释已知前缀与96的方案。 这也可以应用于网络特定的前缀。
下表是从 IPv6 到 IPv4 的映射规则。映射随前缀长度的不同而变化:
步骤
以下网络拓扑用于配置示例:
- 绑定9用作此安装程序的 DNS64 服务器。需要将以下配置添加到/等/绑定/命名. 不敌选项文件中。
选项 {
dns64 64: ff9b::/96 {
};
listen-on-v6 {任何;};
允许查询 {任何;};
}; - 将 64: ff9b::/96 网络连接到分配给 "不信任" 区域的接口。这是为了确保此网络中目标 IPs 的区域查找与不信任区域匹配。
- 按如下方式配置 NAT64 规则:
- 在客户端上, 打开一个浏览器并尝试导航到一个网站。我们将使用www.w3schools.com一个示例站点.
- 网站www.w3schools.com解析为 66.29.212.73
- 当 PC 对主机名 www.w3schools.com 执行 AAAA 记录查找时, DNS64 服务器将 IP 地址返回为:64: ff9b:: 421 d: d449 421 d: d449 等于66.29.212.73 的十六进制.
验证
检查防火墙上的 DNS 和以下 web 浏览会话的会话:
DNS 会话:
c2s 流︰
来源: 2005: db4:40:0: 0:0: 0:31 [trust-L3]
dst: 2005: db4:31:0: 0:0: 0:200
原:17
体育: 58674 dport:53
状态: 活动类型: 流
src 用户︰ 未知
dst 用户︰ 未知
s2c 流︰
来源: 2005: db4:31:0: 0:0: 0:200 [untrust-L3]
dst: 2005: db4:40:0: 0:0: 0:31
原:17
体育:53 dport: 58674
状态: 活动类型: 流
src 用户︰ 未知
dst 用户︰ 未知
开始时间: 11月13日 (星期三) 13:04:31 2013
超时时间: 30 秒
居住时间:15 秒
总字节数 (c2s): 100
总字节数 (s2c): 524
layer7 包 count(c2s): 1
layer7 包 count(s2c): 1
vsys: vsys1
应用: dns
规则: allow_all
会议结束时记录︰ 真实
会议在会议经理: 真实
医管局对等方同步会话︰ 虚假
layer7 处理︰ 启用
已启用 URL 筛选︰ 虚假
通过 syn cookie 的会话︰ 虚假
在主机上终止会话︰ 虚假
会议遍历隧道︰ 虚假
圈养的门户会话︰ 虚假
进入接口: ethernet1/4
出口接口: ethernet1/3
会议 QoS 规则︰ n/A (4 班)
Web 浏览会话:
c2s 流量: (注意 c2s 流中的 IPv6 地址)
来源: 2005: db4:40:0: 0:0: 0:31 [trust-L3]
dst:64: ff9b: 0:0: 0:0: 421 d: d449
原: 6
体育: 49381 dport:80
状态: 活动类型: 流
src 用户︰ 未知
dst 用户︰ 未知
s2c 流量: (注意 s2c 流中的 IPv4 地址)
来源: 66.29.212.73 [untrust-L3] dst: 10.66.24.80
原: 6
体育:80 dport: 65144
状态: 活动类型: 流
src 用户︰ 未知
dst 用户︰ 未知
开始时间: 11月13日 (星期三) 13:04:31 2013
超时: 3600 秒
居住时间: 3568 秒
总字节数 (c2s): 758
总字节数 (s2c): 5439
layer7 包 count(c2s): 6
layer7 数据包计数 (s2c): 6
vsys: vsys1
应用程序: web 浏览
规则: allow_all
会议结束时记录︰ 真实
会议在会议经理: 真实
医管局对等方同步会话︰ 虚假
地址/端口翻译︰ 源 + 目的地
nat 规则: nat6_4 (vsys1) < NAT64 rule is applied nat64="" rule="" is=""></ NAT64 rule is applied>
layer7 处理︰ 启用
已启用 URL 筛选︰ 虚假
通过 syn cookie 的会话︰ 虚假
在主机上终止会话︰ 虚假
会议遍历隧道︰ 虚假
圈养的门户会话︰ 虚假
进入接口: ethernet1/4
出口接口: ethernet1/3
会议 QoS 规则︰ n/A (4 班)
疑难解答
以下命令可用于在下拉/警告级别查看 NAT64 的计数器:
>> 显示计数器全局筛选器值全部 |匹配 nat64
示例:
注: IPv6 防火墙需要在设备 >> 安装 > 会话 > Ipv6 防火墙中启用.
所有者: achitwadgi