如何设置目的地-NAT对于 IPv6。
8834
Created On 05/16/21 10:19 AM - Last Modified 06/29/23 03:50 AM
Objective
本文提供有关 Destination- 的配置步骤NAT在 IPv6 上,以便来自 Untust 接口的流量进入信任服务器 2401:efXX:X000::10。
Environment
拓扑:
不信任---->PA ----> 信任服务器 2401:efXX:X000::10。
不信任接口 IPv6 地址:2402:efXX:X000:0000::2/64。
Procedure
配置目的地-NAT对于 IPv6,首先确定校验和中性公共 IPv6 地址。如果您使用 NPTv6 执行目的地NAT,您可以提供内部 IPv6 地址和外部前缀/前缀长度firewall接口语法如下CLI命令:
test nptv6 cks-neutral source-ip <内部 IPv6 地址> dest-network <外部 IPv6 前缀>
这CLI以校验和中立的公共 IPv6 地址响应,以在 NPTv6 配置中使用以到达该目的地。 以下是上述拓扑的校验和中性公共 IPv6 地址:
> 测试 nptv6 cks-中性源 ip 2401:efXX:X000::10 dest-network 2402:efXX:X000:0::/64
2401:efXX:X000::10的校验和中性地址是2402:efXX:X000::/64子网中的2402:efXX:X000:0:XXfd::10
相关的NAT policy看起来像下面这样:
Untrust 接口还需要 2402:efXX:X000:0:XXfd::10 下的条目 Advanced>NDP代理人。
Additional Information
https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -admin/networking/nptv6.html