思博网络 发表于 2022-5-13 14:25:04

【网工入门基础】IPV6—NAT64

什么是NAT64?

NAT(NetworkAddress Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址,但现在又想和因特网上的主机通信时,可使用NAT方法。

随着时间的推移,人们发现NAT对于网络迁移、网络融合、服务器负载共享等应用来说都非常有用。

无论未来的IoT会发展到何种规模,IPv4目前的43亿地址都已经远远不能满足需求了。从容量角度来看,我们在20世纪90年代中期就已经耗尽了IPv4地址。
所以说IPv6不必可少,但是在过渡到IPv6网络之前还有许多困难。


Internet缺乏集中式管理,是大量独立管理的自治系统的联盟,因而没有办法强制或协调大家全部都从IPv4切换到IPv6。



网络完全支持IPv6需要大量财力、人力和技术。



IPv6与IPv4不后向兼容。IPv6最初诞生在20世纪90年代,当时的设计人员认为运营商肯定会积极部署IPv6,几乎没有人想到IPv6的部署会面临诸多阻力。


众所周知,目前网络均属于IPV6过渡阶段,NAT64是一种实现IPV4和IPV6之间网络互访的技术。

NE40E支持IPV4和IPV6双协议栈,NAT64可以用于IPV4主动访问IPV6,也可以用于IPV6主动访问IPV。

虽然现在的绝大多数设备都支持IPv6,但依然有很多仅支持IPv4的老设备,所以,这就更需要通过某种方式将这些设备通过IPv6网络互连起来。

而NAT64就可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议转换,由于IPv6不兼容IPv4,因此就得有必要的迁移机制,比如双栈、隧道和转换。


file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml6272/wps1.jpg

NAT64的功能和配置
简单的NAT64设置可能是一个设备的两个接口分别连接到IPv4网络与IPv6网络的网关。

IPv6网络的流量经由网关路由,其对两个网络之间传送的分组进行所有必要的翻译。但是,这种翻译并不是对称的,因为IPv6地址空间比IPv4地址空间大得多,因此就不可能进行一对一的地址映射。

通常来说,NAT64被设计为在IPv6主机发起通信时使用。但也存在一些机制允许反向场景,例如静态地址映射。

IPV4主动访问IPV6:配置IPV6前缀,配置NAT64静态映射,类似NAT SERVER原理。

IPV6主动访问IPV4:配置IPV6前缀,做nat64 policy,类似NAT OUTBOUND原理。

目前IPV6多数用在局域网,然后在网关做NAT64出去变成IPV4,也有做隧道出去的,也就是说一般运营商的骨干网都不支持IPV6,除非运营商明确已经支持。

既然运营商的骨干网不支持IPV6,你公网的DNS64服务器就不能访问的,因为DNS64提供的服务器地址是IPV6的,设备到DNS64之间的链路不支持IPV6,这种运用也就是有问题的。

在局域网搭建一个DNS64服务器也比较简单,任何一台具备双网卡的Windows XP、2003、Vista、Win 7等X86 32位系统都可以安装BIND来作为一台DNS64服务器,组网一般如下图:

file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml6272/wps2.jpg
红线为IPV6地址,蓝线为IPV4地址。

配置思路:
(1)内网PC的IPV6默认网关设置为防火墙的内网IPV6地址,DNS服务器设置为DNS64的IPV6地址。

(2)DNS64接交换机的网卡配置为IPV6地址,接防火墙的网卡配置为IPV4地址,并配置IPV6前缀(默认为64:ff9b::/96)、域名服务器(8.8.8.8)。

(3)防火墙配置NAT64策略,将内网IPV6访问外网的流量转变成IPV4报文出去。

业务流程,以访问google为例:

(1)内网PC访问google.com,将域名发往DNS64服务器解析。DNS64将IPV6的4a域名查询,转变成IPV4的域名查询,向8.8.8.8发送域名请求。该报文经防火墙转发到外网。

(2)8.8.8.8响应报文中域名对应的地址为IPV4地址,该报文到达DNS64服务器,DNS64服务器将该IPV4地址加上一个配置好的前缀,变成IPV6地址,回复给内网PC。

(3)PC向该IPV6地址发送报文,该报文源和目的都是IPV6地址。报文到达防火墙之后,命中NAT64策略,防火墙将目的IP的前缀(该前缀就是DNS64服务器加的前缀,这个前缀必须与防火墙上配置的前缀一样)剥掉。

并且将源IP地址做NAT为IPV4地址,这个源和目的都是IPV4地址的报文再经运营商网络到达目的地。


文章来源:内容综合自网络和华为官网,因觉优质,特此分享,侵删。
每天通过一位IE,每两位IE,一位在思博
群里有一群一起备考的战友哦
回贴可领取实验手册噢**** Hidden Message *****

进入全国网络工程师交流群 ,请扫描下方二维码↓↓↓
群里有行业大咖、实战分享、技术交流、技术咨询、企业内推等机会
若群满,请添加老杨微信(spotoa),邀你进群






页: [1]
查看完整版本: 【网工入门基础】IPV6—NAT64