如何配置帕洛阿尔托防火墙上的 NAT64-IPv6 IPv4 翻译

概述

本文档介绍如何在帕洛阿尔托网络防火墙上配置 NAT64。

 

详细

NAT64 使 IPv6 主机能够与 IPv4 主机通信。IPv4 目标的 NAT64 等效地址是通过将32位 IPv4 地址与众所周知的前缀 64: ff9b::/n 用于 NAT64, 如 RFC 6052 中所述, 形成的。

 

此实现需要 IPv6 客户端可以与之进行通信的 DNS64 服务器, 以便从记录中合成 AAAA 记录。DNS64 服务器负责为目标执行 IPv4 查找, 然后通过追加已知的前缀将等效的 IPv6 地址 (AAAA) 返回给客户端。然后客户端发送数据包:

• Src IP = 配置的 IPv6 地址
• Dst IP = IPv4 DNS64 服务器返回的嵌入 IPv6 地址

当防火墙接收到此数据包时, Src ip 和 Dst ip 都将转换为 IPv4 地址。

        

注意:  虽然此示例演示如何使用 DNS64 服务器实现 NAT64, 但防火墙可以执行从 IPv6 到 IPv4 的转换, 无论这是由 DNS64 服务器完成还是通过其他方法进行, 只要 IPv4 地址是嵌入到 IPv6 地址中, 如下所述。

 

 

       

 

注意: NAT64 功能支持 RFC6052 兼容前缀, 它涵盖了已知的前缀和特定于网络的前缀 (例如: 客户的全局地址前缀的全部或部分). 本文档解释已知前缀与96的方案。  这也可以应用于网络特定的前缀。

下表是从 IPv6 到 IPv4 的映射规则。映射随前缀长度的不同而变化:

 

步骤

以下网络拓扑用于配置示例:

1. 绑定9用作此安装程序的 DNS64 服务器。需要将以下配置添加到/等/绑定/命名. 不敌选项文件中。
   选项 {
   dns64 64: ff9b::/96 {
   };
   listen-on-v6 {任何;};
   允许查询 {任何;};
   };
2. 将 64: ff9b::/96 网络连接到分配给 "不信任" 区域的接口。这是为了确保此网络中目标 IPs 的区域查找与不信任区域匹配。
3. 按如下方式配置 NAT64 规则:
   
4. 在客户端上, 打开一个浏览器并尝试导航到一个网站。我们将使用www.w3schools.com一个示例站点.
   • 网站www.w3schools.com解析为 66.29.212.73
   • 当 PC 对主机名 www.w3schools.com 执行 AAAA 记录查找时, DNS64 服务器将 IP 地址返回为:64: ff9b:: 421 d: d449 421 d: d449 等于66.29.212.73 的十六进制.

 

验证

检查防火墙上的 DNS 和以下 web 浏览会话的会话:

DNS 会话:

        c2s 流︰

                来源: 2005: db4:40:0: 0:0: 0:31 [trust-L3]

                dst: 2005: db4:31:0: 0:0: 0:200

                原:17

                体育: 58674 dport:53

                状态： 活动类型： 流

                src 用户︰ 未知

                dst 用户︰ 未知

 

        s2c 流︰

                来源: 2005: db4:31:0: 0:0: 0:200 [untrust-L3]

                dst: 2005: db4:40:0: 0:0: 0:31

                原:17

                体育:53 dport: 58674

                状态： 活动类型： 流

                src 用户︰ 未知

                dst 用户︰ 未知

 

        开始时间: 11月13日 (星期三) 13:04:31 2013

        超时时间： 30 秒

        居住时间:15 秒

        总字节数 (c2s): 100

        总字节数 (s2c): 524

        layer7 包 count(c2s): 1

        layer7 包 count(s2c): 1

        vsys: vsys1

        应用: dns

        规则: allow_all

        会议结束时记录︰ 真实

        会议在会议经理： 真实

        医管局对等方同步会话︰ 虚假

        layer7 处理︰ 启用

        已启用 URL 筛选︰ 虚假

        通过 syn cookie 的会话︰ 虚假

        在主机上终止会话︰ 虚假

        会议遍历隧道︰ 虚假

        圈养的门户会话︰ 虚假

        进入接口： ethernet1/4

        出口接口： ethernet1/3

        会议 QoS 规则︰ n/A （4 班）

 

Web 浏览会话:

        c2s 流量: (注意 c2s 流中的 IPv6 地址)

                来源: 2005: db4:40:0: 0:0: 0:31 [trust-L3]

                dst:64: ff9b: 0:0: 0:0: 421 d: d449

                原： 6

                体育: 49381 dport:80

                状态： 活动类型： 流

                src 用户︰ 未知

                dst 用户︰ 未知

 

        s2c 流量: (注意 s2c 流中的 IPv4 地址)

                来源: 66.29.212.73 [untrust-L3] dst: 10.66.24.80

                原： 6

                体育:80 dport: 65144

                状态： 活动类型： 流

                src 用户︰ 未知

                dst 用户︰ 未知

 

        开始时间: 11月13日 (星期三) 13:04:31 2013

        超时: 3600 秒

        居住时间: 3568 秒

        总字节数 (c2s): 758

        总字节数 (s2c): 5439

        layer7 包 count(c2s): 6

        layer7 数据包计数 (s2c): 6

        vsys: vsys1

        应用程序： web 浏览

        规则: allow_all

        会议结束时记录︰ 真实

        会议在会议经理： 真实

        医管局对等方同步会话︰ 虚假

        地址/端口翻译︰ 源 + 目的地

        nat 规则: nat6_4 (vsys1)     < NAT64 rule is applied nat64="" rule="" is=""></ NAT64 rule is applied>

        layer7 处理︰ 启用

        已启用 URL 筛选︰ 虚假

        通过 syn cookie 的会话︰ 虚假

        在主机上终止会话︰ 虚假

        会议遍历隧道︰ 虚假

        圈养的门户会话︰ 虚假

        进入接口： ethernet1/4

        出口接口： ethernet1/3

        会议 QoS 规则︰ n/A （4 班）

 

疑难解答

以下命令可用于在下拉/警告级别查看 NAT64 的计数器:

>> 显示计数器全局筛选器值全部 |匹配 nat64

 

示例:
单击以放大

 

注: IPv6 防火墙需要在设备 >> 安装 > 会话 > Ipv6 防火墙中启用.

 

所有者： achitwadgi