IPv6 NAT
IPv6 NAT 有助于将网络设备的 IPv4 地址转换为 IPv6 地址。IPv6 NAT 还有助于在 IPv6 主机之间转换地址。IPv6 NAT 支持源 NAT、目标 NAT 和静态 NAT。
执行 NAT64 转换时,为避免出现 IPv6 分段标头问题,请使用命令 set security nat natv6v4 no-v6-frag-header 。
IPv6 NAT 概述
IPv6 的地址空间比即将耗尽的 IPv4 地址空间要大得多。IPv4 已使用网络地址转换 (NAT) 等技术得到扩展,其中允许用单个公共地址表示私有地址范围,以及临时地址分配。有很多技术可以为传统 IPv4 主机提供过渡机制,以保持与 Internet 的连接。IPv6 NAT 可在 IPv4 和 IPv6 寻址网络设备之间提供地址转换。它还提供 IPv6 主机之间的地址转换。IPv6 主机之间的 NAT 执行方式和目的与 IPv4 NAT 类似。
Junos OS 中的 IPv6 NAT 提供以下 NAT 类型:
源 NAT
目标 NAT
静态 NAT
IPv6 支持的源 NAT 转换 NAT
源 NAT 是离开瞻博网络设备的数据包的源 IP 地址的转换。源 NAT 用于允许具有私有 IP 地址的主机访问公共网络。
Junos OS 中的 IPv6 NAT 支持以下源 NAT 转换:
将一个 IPv6 子网转换为另一个 IPv6 子网,不带端口地址转换
将 IPv4 地址转换为 IPv6 前缀 + IPv4 地址
将 IPv6 主机转换为 IPv6 主机(带或不带端口地址转换)
IPv6 主机到 IPv4 主机的转换(带或不带端口地址转换)
将 IPv4 主机转换为 IPv6 主机(带或不带端口地址转换)
IPv6 支持的目标 NAT 映射 NAT
目标 NAT 是进入瞻博网络设备的数据包的目标 IP 地址的转换。目标 NAT 用于将发往虚拟主机(由原始目标 IP 地址标识)的流量重定向到真实主机(由转换后的目标 IP 地址标识)。
Junos OS 中的 IPv6 NAT 支持以下目标 NAT 转换:
IPv4 和 IPv6 前缀之间的前缀转换
一个 IPv6 子网到另一个 IPv6 子网的映射
一个 IPv6 子网到 IPv6 主机的映射
一个 IPv6 子网到一个 IPv4 子网的映射
将一个 IPv4 子网映射到一个 IPv6 子网
将一台 IPv6 主机(和可选端口号)映射到一台特殊 IPv6 主机(和可选端口号)
将一台 IPv6 主机(和可选端口号)映射到一台特殊 IPv4 主机(和可选端口号)
将一台 IPv4 主机(和可选端口号)映射到一台特殊 IPv6 主机(和可选端口号)
IPv6 支持的静态 NAT 映射 NAT
静态 NAT 定义从一个 IP 子网到另一个 IP 子网的一对一映射。该映射包括单向目标 IP 地址转换和反向源 IP 地址转换。在 NAT 设备中,原始目的地址是虚拟主机 IP 地址,而映射到地址是真实主机 IP 地址。
Junos OS 中的 IPv6 NAT 支持以下静态 NAT 转换:
将一个 IPv6 子网转换为另一个 IPv6 子网
将一台 IPv6 主机转换为另一台 IPv6 主机
将一个 IPv4 地址 a.b.c.d 转换为 IPv6 地址 前缀::a.b.c.d
IPv4 主机到 IPv6 主机的转换
从 IPv6 主机转换为 IPv4 主机
一个 IPv6 前缀到一个 IPv4 前缀的映射
一个 IPv4 前缀到一个 IPv6 前缀的映射
IPv6 NAT PT 概述
IPv6 网络地址转换-协议转换 (NAT-PT) 可在 IPv4 和 IPv6 寻址网络设备之间进行地址分配和协议转换。转换过程基于无状态 IP/ICMP 转换 (SIIT) 方法;但是,在会话生存期内将保留每个通信的状态和上下文。IPv6 NAT-PT 支持互联网控制消息协议 (ICMP)、TCP 和 UDP 数据包。
IPv6 NAT-PT 支持以下类型的 NAT-PT:
传统 NAT-PT — 在传统 NAT-PT 中,会话是单向的,并且从 IPv6 网络出站。传统 NAT-PT 允许 IPv6 网络中的主机访问 IPv4 网络中的主机。传统 NAT-PT 有两种变体:基本 NAT-PT 和 NAPT-PT。
在基本 NAT-PT 中,IPv4 接口上会预留一组 IPv4 地址,用于在地址发起到 IPv4 主机的会话时将地址转换为 IPv6 主机。基本 NAT-PT 会转换从 IPv6 域出站的数据包的源 IP 地址和相关字段(如 IP、TCP、UDP 和 ICMP 标头校验和)。对于入站数据包,它转换目标 IP 地址和校验和。
网络地址端口转换协议转换 (NAPT-PT) 可以与基本 NAT-PT 组合使用,以便将外部地址池与端口转换结合使用。NAPT-PT 允许一组 IPv6 主机共享一个 IPv4 地址。NAPT-PT 会转换从 IPv6 网络出站的数据包的源 IP 地址、源传输标识符和相关字段,例如 IP、TCP、UDP 和 ICMP 标头校验和。传输标识符可以是 TCP/UDP 端口或 ICMP 查询 ID。对于入站数据包,它转换目标 IP 地址、目标传输标识符以及 IP 和传输标头校验和。
双向 NAT-PT — 在双向 NAT-PT 中,会话可从 IPv4 网络和 IPv6 网络中的主机启动。IPv6 网络地址在任一方向建立连接时,会以静态或动态方式绑定到 IPv4 地址。静态配置类似于静态 NAT 转换。IPv4 领域中的主机使用 DNS 访问 IPv6 领域中的主机进行地址解析。DNS ALG 必须与双向 NAT-PT 结合使用,以促进名称到地址的映射。具体而言,当 DNS 数据包在 IPv6 和 IPv4 领域之间遍历时,DNS ALG 必须能够将 DNS 查询和响应中的 IPv6 地址转换为其 IPv4 地址绑定,反之亦然。
这些设备部分支持双向 NAT-PT 规范。它支持双向流量,前提是有其他方式可以传达 IPv6 地址与动态分配的 IPv4 地址之间的映射。例如,可以使用 IPv4 节点的映射条目配置本地 DNS,以便识别地址。
NAT-PT作 — 设备支持传统的 NAT-PT,并允许用户使用静态映射从 IPv4 到 IPv6 进行通信。用户需要使用 IPv4 地址作为主机名静态配置 DNS 服务器,然后在设备上创建静态 NAT,以便仅支持 IPv6 的节点基于 DNS 从仅支持 IPv4 的节点到仅支持 IPv6 的节点进行通信。
也可以看看
IPv6 NAT-PT 通信概述
NAT-PT communication with static mapping— 网络地址转换协议转换 (NAT-PT) 可以在两个方向上完成,从 IPv6 到 IPv4,反之亦然。对于每个方向,静态 NAT 用于将目标主机映射到本地地址,源地址 NAT 用于转换源地址。静态 NAT 和源 NAT 映射有两种类型:一对一映射和基于前缀的映射。
NAT- PT communication with DNS ALG— 基于 DNS 的机制可将 IPv6 地址动态映射到仅支持 IPv4 的服务器。NAT-PT 使用 DNS ALG 透明地进行转换。例如,使用内部 IPv6 网络的公司需要能够与还没有 IPv6 地址的外部 IPv4 服务器进行通信。
为了支持动态地址绑定,应使用 DNS 进行名称解析。IPv4 主机在其本地配置的 IPv4 DNS 服务器中查找 IPv6 节点的名称,然后该服务器通过使用 NAT-PT 的设备将查询传递给 IPv6 DNS 服务器。
NAT 设备中的 DNS ALG:
将 IPv6 地址解析转换回 IPv4 地址解析。
为映射分配 IPv6 地址。
存储分配的 IPv4 地址与 IPv6 地址解析中返回的 IPv6 地址的映射,以便可以建立从任意 IPv4 主机到 IPv6 主机的会话。
也可以看看
示例:使用默认目标地址前缀静态映射配置由 IPv4 发起的到 IPv6 节点的连接
此示例说明如何使用默认目标地址前缀静态映射配置由 IPv4 启动的到 IPv6 节点的连接。
要求
开始之前,请配置接口并将其分配给安全区域。
概述
以下示例介绍如何配置一个由 IPv4 启动的连接,连接到 IPv6 节点,该节点的接口上定义了基于 126 的静态映射 IPv6 地址,并在设备上设置了静态映射 /126。此示例假定要映射到 IPv4 地址的 IPv6 地址使 IPv4 地址成为 IPv6 地址空间的一部分。
当 IPv4 网络上的设备必须与 IPv6 网络上的设备互连时,以及在将 IPv4 网络迁移到 IPv6 网络的过程中,配置由 IPv4 启动的到 IPv6 节点的连接非常有用。该映射可用于 DNS ALG,用于从 IPv6 地址反向查找 IPv4 地址,用于从 IPv6 网络发起的流量。此过程还为从 IPv4 节点发起的会话与 NAT/PT 设备另一端的 IPv6 节点提供连接。
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
分步程序
下面的示例要求您在各个配置层级中进行导航。
要使用静态目标地址一对一映射配置由 IPv4 发起的到 IPv6 节点的连接:
-
为接口配置静态 NAT 规则集。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
定义与目标地址前缀匹配的规则。
匹配规则中的目标地址号必须是等于静态 NAT 前缀范围的数字。
匹配规则中的源地址号没有限制。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
定义设备的静态 NAT 前缀。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
使用 IPv6 地址前缀配置源 NAT 池。
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
为接口配置源 NAT 规则集。
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
配置 IPv6 源 NAT 源地址。
匹配规则中的源地址号必须是等于源池范围的地址号。例如,^2(32 – 30) = 2^(128 – 126) =>。
匹配规则中的目标地址号没有限制。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
配置 IPv6 源 NAT 目的地址。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
在规则中定义配置的源 NAT IPv6 池。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
结果
在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
source {
pool myipv6_prefix {
address {
2001:db8::/126;
}
}
rule-set myipv6_rs {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule ipv6_rule {
match {
source-address 10.1.1.45/30;
destination-address 2001:db8::/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/0.0;
rule test_rule {
match {
destination-address 10.1.1.0/30;
}
then {
static-nat {
prefix {
2001:db8::/126;
}
}
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
示例:使用静态目标地址一对一映射配置由 IPv4 发起的到 IPv6 节点的连接
此示例说明如何使用静态目标地址一对一映射配置由 IPv4 发起的到 IPv6 节点的连接。
要求
开始之前,请配置接口并将接口分配给安全区域。
概述
以下示例介绍如何配置 IPv4 节点,以便在设备上使用一对一静态 NAT 与 IPv6 节点通信。
IPv4 节点与 IPv6 节点的通信对于访问 IPv6 服务器的 IPv4 主机、仅支持 IPv6 且需要连接到 IPv6 网络的新服务器以及在大多数计算机已迁移到 IPv6 时将旧主机迁移到新服务器非常有用。例如,您可以使用此功能将仅支持 IPv4 的节点连接到仅支持 IPv6 的打印机。此映射还可用于 DNS ALG,以便从 IPv6 地址反向查找从 IPv6 网络发起的流量的 IPv4 地址。
在此示例中,与前缀 10.10.10.1/30 匹配的源 IPv4 地址与 IPv6 前缀 2001:db8::/96 相匹配,以形成转换后的源 IPv6 地址,目标 IPv4 地址 10.1.1.25/32 转换为 IPv6 地址 2001:db8::25/128。
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器。
要使用静态目标地址一对一映射配置由 IPv4 发起的到 IPv6 节点的连接:
为接口配置静态 NAT 规则集。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
定义规则和目标地址。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
定义静态 NAT 前缀。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
使用 IPv6 前缀地址配置源 NAT 池。
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
配置源 NAT 规则集。
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
配置源 NAT 源地址。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
配置源 NAT 目的地址。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
在规则中定义配置的源 NAT IPv6 池。
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
结果
在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/96;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.10.10.1/30;
destination-address 2001:db8::25;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 10.1.1.25/32;
}
then {
static-nat prefix 2001:db8::25/128;
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
示例:使用默认目标地址前缀静态映射配置由 IPv6 发起的到 IPv4 节点的连接
此示例说明如何使用默认目标地址前缀静态映射配置由 IPv6 启动的到 IPv4 节点的连接。此示例不显示如何配置反向的 NAT 转换。
要求
开始之前,请配置接口并将接口分配给安全区域。
概述
以下示例介绍了 IPv6 节点与设备上定义了基于前缀的静态 NAT 的 IPv4 节点之间的通信。静态 NAT 假定 IPv4 网络是特殊的 IPv6 网络(即 IPv4 映射的 IPv6 网络),并将整个 IPv4 网络隐藏在 IPv6 前缀后面。
当网络中使用 IPv6 并且必须连接到 IPv4 网络时,或者当网络中同时使用 IPv4 和 IPv6 并且需要一种机制在迁移期间将两个网络互连时,IPv6 节点与 IPv4 节点的通信非常有用。这也为从 IPv6 节点与 NAT/PT 设备另一端的 IPv4 节点发起的会话提供连接。
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器。
要使用默认目标地址前缀静态映射配置由 IPv6 启动的到 IPv4 节点的连接:
为接口配置静态 NAT。
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
使用设备上定义的静态 NAT 转换的前缀定义规则和目标地址。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
将静态 NAT 定义为 inet 以转换为 IPv4 地址。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
配置 IPv4 源 NAT 池地址。
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
配置源 NAT 规则集。
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
配置 IPv4 源 NAT 目的地址。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
使用设备上定义的源NAT的前缀定义源地址。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
在规则中定义配置的源 NAT IPv4 池。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
结果
在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.5/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.1.1.15/30;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::1/96;
}
then {
static-nat inet;
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
验证是否已配置静态 NAT
目的
验证静态 NAT 是否配置了接口、目标地址和前缀。
行动
在作模式下,输入命令 show security nat static rule 。
user@host> show security nat static rule test_rule
Static NAT rule: test_rule Rule-set: test_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
Destination addresses : 2001:db8::1
Host addresses : 0.0.0.0
Netmask : 96
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
验证是否已配置源 NAT
目的
验证是否配置了源 NAT。
行动
在作模式下,输入命令 show security nat source rule 。
user@host> show security nat source rule ipv4_rule
source NAT rule: ipv4_rule Rule-set: myipv4_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
To interface : ge-0/0/2.0
Match
Source addresses : 2001:db8:: - 2001:db8::ffff:ffff
Destination addresses : 10.1.1.15 - 10.1.1.15
Action : myipv4
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
在作模式下,输入命令 show security nat source pool 。
user@host> show security nat source pool myipv4
Pool name : myipv4
Pool id : 5
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
Twin port : [63488, 65535]
Port overloading : 1
Address assignment : no-paired
Total addresses : 4
Translation hits : 0
Address range Single Ports Twin Ports
203.0.113.2 - 203.0.113.5 0 0
示例:使用静态目标地址一对一映射配置由 IPv6 发起的到 IPv4 节点的连接
此示例说明如何使用静态目标地址一对一映射配置由 IPv6 发起的到 IPv4 节点的连接。
要求
开始之前,请配置接口并将接口分配给安全区域。
概述
以下示例介绍了 IPv6 节点与设备上定义了一对一静态 NAT 地址的 IPv4 节点之间的通信。当两台设备都没有双堆栈,必须依赖于 NAT/PT 设备进行通信时,IPv6 节点与 IPv4 节点的通信允许 IPv6 主机访问 IPv4 服务器。这使得某些 IPv4 传统服务器应用即使在网络迁移到 IPv6 之后也能正常工作。
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器。
要使用静态目标地址一对一映射配置由 IPv6 发起的到 IPv4 节点的连接:
为接口配置静态 NAT 规则集。
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
定义与目标地址匹配的规则。
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
定义规则的静态 NAT 前缀。
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
使用 IPv4 地址配置源 NAT 池。
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
为接口配置 IPv4 地址。
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
将源地址配置为 IPv4 源 NAT 地址。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
将目标地址配置为 IPv4 源 NAT 地址。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
在规则中定义配置的源 NAT IPv4 池。
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
结果
在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.3/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::15/128;
}
then {
static-nat prefix 10.2.2.15/32;
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。