静态NAT-PT ipv6配置

第!"卷增刊#$$"年%$月大连理工大学学报!"#$%&’"()&’*&%+%*,-$.*/0"(1-23%"’"405"’6!"!7#88’692/&#$$"文章编号!%$$$’()$(!#$$""*’$$*0’$!收稿日期!#$$"’$(’$0,作者简介!鹿凯宁!%0""’"#男#教授#硕士生导师#研究方向$计算机网络与通信#1’2435$;:5<!>‘<,9=<,7:%高#磊!%0(#’"#男#硕士生#研究方向$下一代网络通信#1’2345$A 3?594!>‘<,9=<,7:,基于=J 1F @1的?@,E ／?@,A 综合组网技术研究与设计鹿凯宁!#高#磊!天津大学电子信息工程学院"天津#F $$$+##摘要!对现有-./!到-./)几种主要过渡技术的特点进行了介绍和比较"并以R 1M \1E #骨干网为背景"分析这几种技术在R 1M \1E #条件下进行组网中的可行性,通过对比"提出了一种基于\D E ’.E 的在校园中进行-./!$-./)组网的方案"并对其性能作了分析和预测,强调了\D E ’.E 的扩展性和可靠性"实现了负载平衡,关键词!R 1M \1E #%\D E ’.E %地址映射%负载平衡中图分类号!E .F 0F文献标识码!DB #引#言随着-:>9@:9>数据业务的飞速发展和全球网络用户数的剧增#其核心协议-./!不断面临着窘境,作为下一代互联网核心协议的-./)无论在地址空间&可靠性&移动性等诸多方面较-./!而言都有很大的优势#它能为网络用户提供更好更高效安全的服务#很多国家和地区都建设起自己的-./)网络,在中国#下一代互联网!R \O -"示范工程核心网建设项目R 1M \1E #’%&#(也已经在#$$!年底建成#是世界上最大规模的纯-./)网络,可以预见#由-./!过渡到-./)仍需要很长的一段时间#由-./!向-./)网络的平稳过渡和-./!)-./)综合组网形式的研究#有助于探索下一代互联网的发展方向和技术模式#为网络设备制造商的研发方向提供参考依据#影响着-./)实用化和商业化的步伐%同时#对-./)自身的完善和发展也具有促进作用,目前已经出现了很多种针对不同情况的过渡策略#比较常见的有$双协议栈技术&隧道技术和地址翻译技术,C #几种过渡方案及比较C 6C #双协议栈技术和隧道技术双栈技术是指同时具有-./!和-./)两个协议栈%它既可以处理-./!的分组#也可以处理-./)的分组,实现它要与其他的技术相结合,在-./!)-./)###综合组网中#不论是运营商的骨干网还是接入网#所需的路由器和接入设备一般都需要具备双栈功能,隧道技术是一种通过穿越-./!主干网而实现-./)间通信的技术,隧道端点通常都是双栈节点,在隧道入口以一种协议的形式来对另外一种协议数据进行封装#并发送,在隧道出口对接受到的协议数据解封装#并做相应的处理,隧道可分为手工配置隧道和自动建立隧道#自动配置隧道有-*D E D .&)>?!&)?/9@!等技术#这些隧道的实现原理和技术细节各不相同#其相应的应用场景也不同,C 6>#=J 1F @1［F］设想一下-./!到-./)的过渡过程#考虑到平滑过渡和过渡成本等问题#最理想的情况是在现有-./!网络不变的情况下#不断加入双栈网络#并逐步将-./!网络中的主机升级为双栈%最后出现一个完全支持双栈协议的-:>9@:9>%最终过渡到-./)网络,但是在目前的实际中#不可能让所有的主机或终端都升级支持双栈%在网络中不可避免地存在纯-./!主机和纯-./)主机之间进行通信的业务需求#由于协议栈的不同很自然地需要对这些协议进行翻译转换,\D E ’.E 就为这种情况提供了一种解决方案,\D E ’.E 是一种网络地址转换协议#其基本工作原理如图%所示,它在进行-./!)-./)地址转换###的同时在-./!分组和-./)分组之间进行包头和语义的翻译,有些网络协议会把地址信息存放在封包的负载中!而\D E’.E机制又无法得到封包中的信息!引入D N O可以协助\D E’.E来达到这个功能, \D E’.E可以引入P\*’D N O的支持!从而实现-./)单协议网络节点和-./!单协议网络节点之间的相互通信,为了实现-./!地址到-./)地址的转换!转换网关一般要维护一个-./!和-./)地址的映射关系表,映射分为静态地址映射"动态地址映射和地址#端口映射,D#基于=J1F@1的校园组网方案由前面的各种分析!在R1M\1E#逐步完善和实现应用的条件下!将从现在的一个仅在各高校间进行实验科研目的网络逐渐发展成为一个中国网络科技创新的基础平台"##!未来将会有更多的-./)网络连接到这个大环境中去,校园-./!$-./)的综合组网!要侧重于增加网内的-./)主机数量!充分利用R1M\1E#网络的高速接入特点和其中丰富的教育科研资源,对组网方案的讨论中!可以看到\D E’.E技术在综合组网中的重要作用!特别是校园中-./)主机数逐渐庞大的情况下!-./)网络和-./!网络之间的互通变得更加重要,图#是一种基于\D E’.E的校园内部-./!$ -./)综合组网方案%根据实际!将综合网分为纯-./!&纯-./)和双栈网络三类,前面的组网规则中提到!双协议栈的主机不需要协议转换!自动选择相应的通信协议!如图中双栈用户区中的主机所示,中加以实践并逐步完善,-./!!-./)综合组网的实施"要根据不同的环境提出具体详细的方案"考虑路由#域名#安全等诸多问题"所以综合组网理论还需要在以后的实践中不断丰富和深化,参考文献：!%"P 11M -\O *#V -\P 1\M,-:>9@:9>6@?>?7?5#/9@K 4?:)$-./)%K 6974I 473>4?:!*",M G R #!)$#!*,5,"&-1E G #%00(,!#"吴建平#李#星#李崇荣,R \O -核心网R 1M \1E #的设计!1Y ’C N ",北京&中国教育和科研计算机网##$$"!#$$"’$(’$#"#8>>6&’’L L L,79@:9>,9=<,7:’,!F "E *-M E *-*O #*M -*B M 1*V.,\9>L ?@;3==@9K K >@3:K 53’>4?:’6@?>?7?5>@3:K 53>4?:$\D E ’.E %!*",M G R#+))#!*,5,"&-1E G ##$$$,!!"*M B *a M 1*O.#V C N P M 1O 1T,-.:9>L ?@;3==@9K K>@3:K 53>?@$\D E %>9@24:?5?A H 3:=7?:K 4=9@3>4?:K !*",M G R#))F #!*,5,"&-1E G #%000,!""叶润国#冯彦君#吴#宇#等,\D E ’.E 可扩展性和可靠性问题研究![",微电子学与计算机##$$!#>C $!%&%0’#!,<-.-&$23&%HH -.*4%"(/-23%"’"40&G "#//3-?@,E ’?@,A 2"F -R *./-%2-%-/I "$OG &.-H"%=J 1F @1D ?#L 6&-’&’(##3+2#D 0&$1./,,J ,I #J 0.<=,’&.K *’I ,=96<&,’#’(&’00=&’(#)&6’5&’(?’&@0=A &<B #)&6’5&’(F$$$+##!/&’6%J G ./$&2/&E 896369@4:>@?=<79KK ?29;9H >978:?5?A49K3J ?<>>899/?5/929:>I @?2-./!>?-./)3:=7?263@9K >89=4I I 9@9:79J 9>L 99:>892,Y 3K 9=?:>89R 1M \1E ##>89I 93K 4J 454>49K?I>8923665H 4:A >?-./!’-./)7?’9U 4K >9:79:9>L ?@;3@93:35H Z 9=,E 8@?<A 8>897?263@4K ?:#36@?‘97>I ?@@9354Z 4:A >89-./!’-./)7?’9U 4K >9:79:9>L ?@;J 3K 9=?:\D E ’.E4K A 4/9:,D :=>896369@3:35H Z 9K3:=I ?@973K >K>8969@I ?@23:79?I >896@?‘97>,K -0I"$H .&R 1M \1E #(\D E ’.E (3==@9K K23664:A (5?3=J 353:79#%W 大连理工大学学报第!"卷#。

IPv6关于路由器配置静态IPv6路由的命令今天在学习路由器配置ipv6 的时候遇到了⼀点疑惑⼀条命令为：ipv6 route FE80:0202::/32 serail 0/1 201⼀条命令为：ipv6 route FE80:0202::/32 serail 0/1 1然后我就在想这⾥的区别，在这⾥记下笔记省的以后再犯⾸先格式是ipv6 route <⽬标IPv6前缀> <出站接⼝> <下⼀跳IPv6地址>然后在这⾥， ::1是本地回环地址，所以第⼆条命令是错误的。

环回地址00…1(128 bits)::1/128链路本地地址1111111010FE80::/10唯⼀本地地址1111 110FC00::/7（包括FD00::/8和不常⽤的FC00::/8）站点本地地址（已弃⽤，被唯⼀本地地址代替）1111111011FEC0::/10链路本地地址和唯⼀本地地址都属于本地单播地址，在IPv6中，本地单播地址就是指本地⽹络使⽤的单播地址，也就是IPV4地址中局域⽹专⽤地址。

每个接⼝上⾄少要有⼀个链路本地单播地址，另外还可分配任何类型（单播、任播和组播）或范围的IPv6地址。

(1)链路本地地址（FE80::/10）：仅⽤于单个链路（链路层不能跨VLAN），不能在不同⼦⽹中路由。

结点使⽤链路本地地址与同⼀个链路上的相邻结点进⾏通信。

例如，在没有路由器的单链路IPv6⽹络上，主机使⽤链路本地地址与该链路上的其他主机进⾏通信。

(2)唯⼀本地地址（FC00::/7）：唯⼀本地地址是本地全局的，它应⽤于本地通信，但不通过Internet路由，将其范围限制为组织的边界。

(3)站点本地地址（FEC0::/10，新标准中已被唯⼀本地地址代替）部分内容引⾃百度。

一、机制概述RFC2766、RFC2765。

NAT-PT（网络地址转换-协议转换）是一种地址转换技术，它可以把IPv6地址转换成IPv4地址，反之亦然。

NAT-PT基于RFC2766中定义的无状态IP/ICMP转换器（SIIT）算法。

SIIT算法互译IPv4和IPv6数据包头部，也包括ICMP头部。

需要注意的是，在IPv6环境中，不建议像IPv4对待NAT的态度哪样，去使用NAT。

仅仅在V4单协议与V6单协议网络需要互相通信的时候，才建议使用NAT-PT。

我们看上面的例子，对于IPv6单协议网络而言，首先它有访问IPv6因特网的需求，因此默认的IPv6流量全部交给R1，另外，它可能还有访问IPv4因特网的需求，这时候，就需要借助R2这台NAT-PT设备。

2001:2::/96，这个长度为96位的前缀是我们为了NAT-PT操作预定义的前缀，可以自定义，但是长度必须是96bits。

在IPv6单协议网络中产生的、去往2001:2::/96这个目的地的流量被路由到R2也就是NAT-PT设备，然后数据包中的IPv6地址被转换为IPv4地址并传送给IPv4因特网中的IPv4单协议节点。

二、NAT-PT配置及原理2.1 静态NAT-PT1、静态NAT-PT（单向）A和B的配置都极其简单A的配置：interface FastEthernet0/0ipv6 enableipv6 address 2001:1::1/64ipv6 route ::/0 2001:1::FFFFB的配置如下：interface FastEthernet0/0ip address 202.101.100.2 255.255.255.0ip route 0.0.0.0 0.0.0.0 202.101.100.1R2的配置如下：ipv6 unicast-routing!interface FastEthernet0/0 !! 连接A的接口ipv6 enableipv6 address 2001:1::FFFF/64ipv6 nat!interface FastEthernet1/0ip address 202.101.100.1 255.255.255.0ipv6 nat!ipv6 nat prefix 2001:2::/96 !! 是一个为NAT-PT预留的池ipv6 nat v6v4 source 2001:1::1 202.101.100.100 !! 相当于将2001:1::1这个IPv6的节点，“告知”给IPv4单协议网络中的用户知道，可以以202.101.100.100的方式访问。

IPv6静态路由配置指导1、笔记本电脑提前安装好secureCRT软件，安装好串口线usb驱动，确保能正常登入路由器、交换机设备。

我的电脑右击--属性得到对话框如下：选择设备管理器--端口，查看对应的端口是COM多少。

2、打开secureCRT软件,创建连接会话，如下图所示：单击CRT菜单栏文件—连接，出现如下连接对话框：选择连接对话框里面的新建会话，如果是选择使用串口（console）登入设备，选择serial 协议；如果选择使用业务口、管理口登入设备，选择Telnet协议。

使用串口（console）登入设备如下图所示，不同设备选择的波特率不同，ZXR1800设备的波特率为115200，ZXR3950设备的波特率为9600，注意数据流控制选项都去除勾选：端口选择前面设备管理器查询得到的COM口编号；ZXR1800设备的波特率为115200，波特率选择不符的话，使用串口将登入不上设备。

ZXR3950设备的波特率为9600，波特率选择不符的话，使用串口将登入不上设备。

选择完这些只需下一步就完成连接配置，可以正常登入设备。

实验拓扑图如下所示：路由器A ：gei_0/1 IPv6地址：1111::1/64;loopback1:2222::2/128路由器B ：gei_0/1 IPv6地址：1111::2/64;loopback1:3333::3/128登入设备后，常用命令如下所示：ZXR10>enablePassword:zxr10 //进入特权模式ZXR10(config)#hostname ZXR10-1800-1-1 //修改设备名称ZXR10-1800-1-1(config)# //修改后的设备名称ZXR10#show version //查看设备版本信息ZXR10#show process //查看设备单板信息 Loopback1 Loopback12222::2/128 3333::3/128ZXR10#show running-config //查看设备全部配置及运行信息ZXR10#show ip interface brief //查看设备全部三层IPv4接口信息ZXR10#show ipv6 interface brief //查看设备全部IPv6接口信息ZXR10#config ter//进入全局配置模式ZXR10#write //保存配置信息命令ZXR10(config)#who // 查看当前用户ZXR10(config)#show username // 查看配置的用户信息，可显示用户名和密码A设备配置端口IPv6地址：ZXR10-1800-1-1#con t //进入全局配置模式ZXR10-1800-1-1config)#interface gei_0/1 //进入接口gei_0/1配置模式ZXR10-1800-1-1(config-if)#ipv6 enable //端口开启IPv6协议ZXR10-1800-1-1(config-if)#ipv6 address 1111::1/64 //配置IPv6地址ZXR10-1800-1-1(config-if)#no shutdown //协议上强制接口upA设备配置Loopback1端口IPv6地址:ZXR10-1800-1-1#con tZXR10-1800-1-1(config)#interface loopback1 //创建loopback接口，序号为1 ZXR10-1800-1-1(config-if)#ipv6 enableZXR10-1800-1-1(config-if)#ipv6 address 2222::2/128 //逻辑接口loopback1添加ipv6地址ZXR10-1800-1-1(config-if)#no shutdown //协议上强制接口upA设备配置完后检查端口是否配置成功：ZXR10-1800-1-1(config-if)#show ipv6 interface briefgei_0/1 [up/up]fe80::4e09:b4ff:feff:42301111::1/64gei_0/2 [disable/down]unassignedgei_0/3 [disable/down]unassignedloopback1 [up/up]fe80::4e09:b4ff:feff:42302222::2/128B设备配置端口IPv6地址：ZXR10#con t //进入全局配置模式ZXR10(config)#interface gei_0/1 //进入接口gei_0/1ZXR10(config-if)#ipv6 enable //端口开启IPv6协议ZXR10(config-if)#ipv6 address 1111::2/64 //配置IPv6地址ZXR10(config-if)#no shutdown //协议上强制接口upB设备配置Loopback1端口IPv6地址:ZXR10-1800-1-2#con tZXR10-1800-1-2(config)#interface loopback1 //创建loopback接口，序号为1ZXR10-1800-1-2(config-if)#ipv6 address 3333::3/128 //逻辑接口loopback1添加ipv6地址ZXR10-1800-1-1(config-if)#ipv6 enableZXR10-1800-1-2(config-if)#no shutdown //协议上强制接口upB设备配置完后检查端口是否配置成功：ZXR10-1800-1-2(config-if)#show ipv6 interface briefgei_0/1 [up/up]fe80::4e09:b4ff:feff:42301111::2/64gei_0/2 [disable/down]unassignedgei_0/3 [disable/down]unassignedloopback1 [up/up]fe80::4e09:b4ff:feff:42303333::3/128配置完后检查设备A、B之间的直连接口是否能ping通：ZXR10-1800-1-1#ping6 1111::2 //A设备ping B设备的接口ZXR10-1800-1-2#ping6 1111::1 //B设备ping A设备的接口，相互ping通数据转发才不会丢包。

目录1 IPv6 静态路由配置.............................................................................................................................1-11.1 IPv6静态路由简介.............................................................................................................................1-11.1.1 IPv6静态路由属性及功能.......................................................................................................1-11.1.2 IPv6缺省路由.........................................................................................................................1-11.2 配置IPv6静态路由.............................................................................................................................1-11.2.1 配置准备.................................................................................................................................1-11.2.2 配置IPv6静态路由..................................................................................................................1-11.3 IPv6静态路由显示和维护..................................................................................................................1-21.4 IPv6静态路由典型配置举例..............................................................................................................1-21 IPv6 静态路由配置1.1 IPv6静态路由简介静态路由是一种特殊的路由，它由管理员手工配置。

目录1 IPv6 静态路由配置.............................................................................................................................1-11.1 IPv6静态路由简介.............................................................................................................................1-11.1.1 IPv6静态路由属性及功能.......................................................................................................1-11.1.2 IPv6缺省路由.........................................................................................................................1-11.2 配置IPv6静态路由.............................................................................................................................1-11.2.1 配置准备.................................................................................................................................1-11.2.2 配置IPv6静态路由..................................................................................................................1-11.3 IPv6静态路由显示和维护..................................................................................................................1-21.4 IPv6静态路由典型配置举例..............................................................................................................1-21 IPv6 静态路由配置1.1 IPv6静态路由简介静态路由是一种特殊的路由，它由管理员手工配置。

IPv6隧道配置一、概述IPv6的根本目的是继承和取代IPv4，但从IPv4到IPv6的演进是一个逐渐的过程。

因此在IPv6完全取代IPv4之前，不可避免地，这两种协议要有一个共存时期。

在这个过渡阶段的初期，IPv4网络仍然是主要的网络，IPv6网络类似孤立于IPv4网络中的小岛。

过渡的问题可以分成两大类：1)被孤立的IPv6网络之间透过IPv4网络互相通信的问题；2) IPv6的网络与IPv4网络之间通信的问题；本文讨论的隧道（Tunnel）技术，就是解决问题1的，解决问题2的方案是NAT-PT（网络地址转换-协议转换），不在本文讨论范围内。

IPv6隧道是将IPv6报文封装在IPv4报文中，这样IPv6协议包就可以穿越IPv4网络进行通信。

因此被孤立的IPv6网络之间可以通过IPv6的隧道技术利用现有的IPv4网络互相通信而无需对现有的IPv4网络做任何修改和升级。

IPv6隧道可以配置在边界路由器之间也可以配置在边界路由器和主机之间，但是隧道两端的节点都必须既支持IPv4协议栈又支持IPv6协议栈。

注意：通过IPv6隧道技术将被孤立的IPv6网络互联起来并不是最终的IPv6的网络架构，而只是一种过渡的技术。

使用隧道技术的模型如下图：1手工配置隧道(IPv6 Manually Configured Tunnel)一个手工配置隧道类似于在两个IPv6域之间通过IPv4的主干网络建立了一条永久链路。

适合用在两台边界路由器或者边界路由器和主机之间对安全性要求较高并且比较固定的连接上。

在隧道接口上，IPv6地址需要手工配置，并且隧道的源IPv4地址(Tunnel Source)和目的IPv4地址(Tunnel Destination)必须手工配置。

隧道两端的节点必须支持IPv6和IPv4协议栈。

手工配置隧道在实际应用中总是成对配置的，即在两台边缘设备上同时配置，可以将其看作是一种点对点的隧道。

26to4自动隧道(Automatic 6to4 Tunnel)6to4自动隧道技术允许将被孤立的IPv6网络透过IPv4网络互联。

MSR系列路由器IPv6 NA TPT与DNS-ALG配合功能的配置一、组网需求：如图，RTA是NATPT设备，在IPv4侧分别连接着一个DNS服务器（2.0.0.2）和一个纯IPv4主机（1.0.0.2），IPv6侧使用一台MSR路由器RTB代替，因为RTB上可以手动指定IPv6的DNS服务器地址。

设备清单：MSR系列路由器2台，PC两台二、组网图：三、配置步骤：适用设备和版本：MSR系列、Version 5.20, Beta 1202后所有版本。

四、配置关键点：1) 介绍一下工作流程，当RTB执行ping ipv6 pc.h3c时会向2::200:2请求pc.h3c的AAAA纪录，该DNS请求根据RTB上的静态路由发送给RTA；2) RTA发现IPv6包目的地址为2::200:2，并且是在一个使能NATPT接口收到的，匹配NATPT Prefix 2::，因此进行NATPT转换，源地址由1::2换成NATPT Address-Group 1中的一个，这里假设为1.0.0.20，目的地址从2::200:2变换成2.0.0.2（根据200:2计算而来），然后发送给DNS服务器；3) DNS服务器根据请求的AAAA类型向1.0.0.20发送DNS的纪录[pc.h3c, AAAA, 2::100:2]，承载DNS纪录的IP包被转发给RTA；4) RTA根据NATP维护的Session，将源地址2.0.0.2换成2::200:2，目的地址1.0.0.20换成1::2，然后把IPv6包（携带DNS纪录）转发给RTB；5) RTB收到DNS解析结过后，开始发送IPv6的Echo Request，源地址1::2，目的地址2::100:2，此过程同动态的NATPT，这里不再解释。

6) 如果是要从IPv4 PC发起测试，则该PC必须禁用IPv6，如PC执行ping rtb.h3c，则会向2.0.0.2发送DNS请求，由于PC和DNS服务器都在IPv4侧，RTA并不需要进行特殊处理，只进行正常的IP包转发。

6to4中继和NAT-PT共同使用配置举例Hangzhou Huawei-3Com Technology Co., Ltd.杭州华为3Com技术有限公司All rights reserved版权所有侵权必究6to4中继和NAT-PT共同使用配置举例目录目录1介绍 (1)1.1特性简介 (1)2使用指南 (2)1.2使用场合 (2)1.3配置指南 (2)1.4注意事项 (2)3配置举例 (3)1.5组网需求 (3)1.6配置步骤 (3)1.6.1使用的版本 (3)1.6.2配置路由器 Router1 (3)1.6.3配置路由器Router2 (4)1.6.4验证结果 (5)1.7故障排除 (5)4相关资料 (6)10/25/2006 版权所有，侵权必究第i页6to4中继和NAT-PT共同使用配置举例关键词：6to4中继、NAT-PT摘要：本文对IPv6用户同时实现穿越IPv4访问纯IPv6网络以及直接访问IPv4网络的配置进行了介绍缩略语：缩略语英文全名中文解释NAT-PT Network Address Translation-Protocol Translation附带协议转换的网络地址转换1 介绍1.1 特性简介普通6to4隧道6to4隧道是点到多点的自动隧道，主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。

6to4隧道通过IPv6报文的目的地址中嵌入的IPv4地址，可以自动获取隧道的终点。

6to4隧道采用特殊的地址：6to4地址，其格式为：2002:abcd:efgh:子网号::接口ID/64，其中abcd:efgh表示该6to4隧道对应的32位IPv4源地址，用16进制表示（如1.1.1.1可以表示为0101:0101）。

通过这个嵌入的IPv4地址可以自动确定隧道的终点，使隧道的建立非常方便。

6to4中继6to4隧道只能将前缀为2002::/16的网络连接起来，但在IPv6网络中也会使用像2001::/16这样的IPv6网络地址。

2018软考网络工程师《华为基础实验》-实验三十NAT-PT 配置n NAT-PT（Network Address Translation-Protocol Translation）是附带协议转换器的网络地址转换器，它通过修改IP 报文头中的地址和协议，使IPv6 网络和IPv4 网络之间可以互通。

n NAT-PT 的三种机制1）静态映射的NAT-PT 机制NAT-PT 静态映射报文的转换过程如错误！未找到引用源。

所示。

不管是IPv6 地址到IPv4址的转换，还是IPv4 地址到IPv6 地址的转换，均由NAT-PT 服务器来完成。

2）动态映射的NAT-PT 机制它要求先创建一个地址池，然后根据需要从地址池中选取空闲地址来完成IPv4 到IPv6地址的映射。

3）NAPT-PT 机制提供多个有IPV6 前缀的IPV6 地址和一个源IPV4 地址间多对一动态映射。

实验要求一：n IPv4 网络与 IPv6 网络通过 NAT-PT 路由器 RouterB 相连，RouterB 上配置 IPv4 侧报文静态映射和IPv6侧报文静态映射，使IPv4网络和IPv6网络之间可以互相访问。

实验拓扑一：实验步骤一：1、IPv4 侧路由器 RouterA 的配置。

# 配置接口的IP 地址。

<RouterA> system-view[RouterA] interface G0/0/0[RouterA-G0/0/0] ip address 8.0.0.2 255.255.255.0[RouterA-G0/0/0] quit2、IPv6 侧路由器 RouterC 的配置# 使能IPv6 报文转发能力。

<RouterC> system-view [RouterC] ipv6# 配置接口的IPv6 地址。

[RouterC] interface G0/0/1[RouterC-G0/0/0] ipv6 address 2001::2/64[RouterC-G0/0/0] quit# 配置静态路由。

IPv6网络安全设备部署与配置随着互联网的快速发展，IPv6（Internet Protocol version 6）作为下一代互联网协议，已逐渐取代了IPv4，并在全球范围内得到广泛应用。

然而，随着IPv6规模的不断扩大，网络安全问题也日益突出。

为了确保IPv6网络的安全性，合理部署和配置网络安全设备显得尤为重要。

本文将介绍IPv6网络安全设备的部署与配置的相关内容，以助于读者全面了解并应用于实际网络环境中。

一、IPv6网络安全设备部署原则1. 网络设备位置选择：根据网络拓扑结构和需求，合理选择将安全设备部署在核心设备、边界设备和终端设备之间的位置。

核心设备上部署防火墙等安全设备可对整个网络流量进行监控和过滤，边界设备上部署入侵检测系统（IDS）和入侵防御系统（IPS）可防范外部攻击，而终端设备上部署安全终端软件可增加用户的防护能力。

2. 设备策略规划：根据网络的特点和安全需求，合理规划设备的策略，如访问控制策略、入侵检测策略、漏洞扫描策略等。

策略规划应充分考虑到网络的安全性、可用性和性能，并根据实际情况进行定期的风险评估和安全审计。

3. 多层次、多维度的安全防护：在部署安全设备时，应采用多层次、多维度的安全防护手段。

例如，可以通过结合访问控制、入侵检测、行为分析等技术手段，提升网络的综合安全防护能力。

同时，对于不同类型的攻击，采取相应的防御措施，如防火墙对抗DDoS攻击、入侵检测系统对抗恶意流量等。

二、IPv6网络安全设备配置步骤1. 安全设备初始化配置：在部署安全设备前，首先进行安全设备的初始化配置。

这包括设置设备的管理地址、用户名和密码，并确保设备的固件和软件版本是最新的，以充分利用安全设备的功能和性能。

2. 网络拓扑配置：根据实际网络拓扑结构，配置安全设备与其他网络设备的连接关系。

确保安全设备能够正常与其他设备进行通信和交互，并设置相应的安全策略，以实现网络访问控制、防火墙过滤等功能。

IP IPv6 NAT-PT 动态映射实验有三台路由器分别为R1,R2,R3,拓扑如上图.R1配置:R1(config)#int f0/0R1(config-if)#ip address 16.23.31.2 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 16.23.31.1R3配置:R3(config)#ipv6 unicast-routingR3(config)#int f0/0R3(config-if)#ipv6 address 2000:B00::2/48R3(config-if)#no shutdownR3(config-if)#exitR3(config)#ipv6 route ::/0 FastEthernet0/0 2000:B00::1R2配置:R2(config)#ipv6 unicast-routingR2(config)#int f0/0R2(config-if)#ip address 16.23.31.1 255.255.255.0R2(config-if)#ipv6 natR2(config-if)#no shutdownR2(config-if)#exitR2(config)#int f1/0R2(config-if)#ipv6 address 2000:B00::1/48R2(config-if)#ipv6 natR2(config-if)#no shutdownR2(config-if)#exitR2(config)#ipv6 access-list v4map permit 2000:B00::/48 anyR2(config)#ipv6 access-list v6list permit 2000:B00::/48 anyR2(config)#ipv6 nat prefix 2001::/96 v4-mapped v4mapR2(config)#ipv6 nat v6v4 pool v4pool 16.23.32.10 16.23.32.20 prefix-length 24R2(config)#ipv6 nat v6v4 source list v6list pool v4pool配置完成.调试:R2#debug ipv6 nat因为是NAT-PT动态映射,所以只能从v6端发起访问,因为在一开始并没有v6端的主机使用了地址池中的地址,地址池的ipv4地址没有与任何v6端的主机的ipv6地址进行映射,因此v4端在相应映射未建立的情况下是无法ping通地址池里对应的地址.而v4端的ipv6地址是通过:96位的前缀加上自己的ipv4地址(32位)合并而成,一共是128位.所以我们想从R3pingR1的话就需要使用v6地址2001::1017:1f02(就是2001::16.23.32.2).R3#ping 2001::1017:1f02Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 2001::1017:1F02, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 52/116/252 ms此时的R2出现的调试信息:*Mar 1 00:15:21.387: IPv6 NA T: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)*Mar 1 00:15:21.451: IPv6 NA T: src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)*Mar 1 00:15:21.531: IPv6 NA T: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)*Mar 1 00:15:21.611: IPv6 NA T: src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)*Mar 1 00:15:21.639: IPv6 NA T: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)*Mar 1 00:15:21.667: IPv6 NA T: src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)*Mar 1 00:15:21.699: IPv6 NA T: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)*Mar 1 00:15:21.731: IPv6 NA T: src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)*Mar 1 00:15:21.755: IPv6 NA T: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)*Mar 1 00:15:21.791: IPv6 NA T: src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)可以看到icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)来自R3的icmp包被转换了,此时R3使用的v4地址为16.23.32.10现在在R1处ping这个地址16.23.32.10:R1#ping 16.23.32.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 16.23.32.10, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 128/152/204 ms成功ping通.此时的R2出现的调试信息:*Mar 1 00:20:01.823: IPv6 NA T: icmp src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)*Mar 1 00:20:01.967: IPv6 NA T: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)*Mar 1 00:20:02.007: IPv6 NA T: src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)*Mar 1 00:20:02.099: IPv6 NA T: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)*Mar 1 00:20:02.135: IPv6 NA T: src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)*Mar 1 00:20:02.211: IPv6 NAT: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)*Mar 1 00:20:02.327: IPv6 NA T: src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)*Mar 1 00:20:02.407: IPv6 NA T: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)*Mar 1 00:20:02.463: IPv6 NA T: src (16.23.31.2) -> (2001::1017:1F02), dst (16.23.32.10) -> (2000:B00::2)*Mar 1 00:20:02.535: IPv6 NA T: icmp src (2000:B00::2) -> (16.23.32.10), dst (2001::1017:1F02) -> (16.23.31.2)。

基于NAT-PT的IPv6试验NAT-PT不必修改已经存在的IPv4网络，就可以实现内部网络的IPv4主机对外部网络IPv6主机的访问，且通过上层协议映射使大量的IPv6主机使用同一个IPv4地址，节省了IPv4地址资源。

下面为您介绍基于NAT-PT的IPv6试验。

NAT-PT是附带协议转换的网络地址转换器，通过修改协议报头来转换网络地址，使IPv4节点和IPv6节点互通。

与一些隧道技术不同，NAT-PT只要求在IPv4和IPv6之间互联的网络转换设备上启用，协议转换的目的是实现IPv4和IPv6协议头之间的转换，地址转换则是为了让IPv4和IPv6网络中的主机互相识别对方。

另外，NAT-PT通过与应用层网关（ALG）相结合，实现了只安装IPv6的主机和只安装了IPv4主机的大部分应用的相互通信。

同时，NAT-PT将SIIT（Stateless IP/ICMP Translation）协议转换技术和IPv4网络中动态地址翻译技术（NAT）相结合。

它利用了SIIT技术的工作机制，同时又利用了传统的IPv4下的NAT技术，动态地访问IPv4节点的IPv6节点分配IPv4地址，很好地解决了SIIT技术中的全局IPv4地址池规模有限的问题。

SIIT技术无状态IP/ICMP翻译技术（Stateless IP/ICMP Translation，SIIT）是对IP/ICMP报文进行协议转换的技术，它并不记录一个流的状态（无状态）。

在SIIT网络中，IPv6节点需要配置成格式为::FFFF:0:W.X.Y.Z的IPv4翻译地址，其中W.X.Y.Z是IPv4节点认为IPv6节点在IPv4网络中的地址，IPv6节点访问IPv4节点则通过映射地址::FFFF:0:W.X.Y.Z来表示IPv4节点。

IPv4地址为图1SIIT原理示意图设IPv4主机A（100.0.0.1），IPv6主机B的地址是::FFFF:0:W.X.Y.Z的IPv4翻译地址，并且W.X.Y.Z是全局IPv4单播地址（设为1.1.1.1）。