标签:set ipv6 d3d 1.5 tar from https 工作 firewall
最近一直在做公司相关的IPv6改造的技术预研和NAT产品选型工作,将近期测试相关的一些体会跟大家分享;
IPV6过渡技术路线图中有有很多地址翻译的技术,其中NAT66技术作为一个小众技术,由思科提出相关标准RFC6296 https://tools.ietf.org/html/rfc6296 基于前缀的进行地址翻译,cisco在ciscolive大会上也阐述了相关技术的试用场景。
跟主流的双栈技术相比无疑NAT66的适用场景更适合中小型企业,无相关AS号码和地址宣告能力的企业使用;由于我司目前的IPV6的多线路需求,又在NAT66的基础上叠加了更为复杂的对等地址翻译可能带来的性能和多运营商的优化选路问题。下图为思科2018年ciscolive大会中对NPTv6翻译技术的描述:
前期测试了cisco、juniper、飞塔、华为等相关产品,目前仅飞塔防火墙设备支持IPV6 NAT IPV6不对等的地址翻译技术,无疑在IPv6部署方面企业多了一种类似原IPv4中相关网络部署策略,值得持续关注相关技术发展和部署案例的推广。
Fortinet F600D测试配置及截图验证如下:1.出接口地址翻译:
FGT6HD3915800157 # show firewall policy6
config firewall policy6
edit 1
set name "nat-ipv6"
set uuid 38dd7abc-3d62-51e9-d348-8e877a6a0696
set srcintf "port10"
set dstintf "VLAN1001"
set srcaddr "fd00::0/64"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
end
配置策略截图如下,使用出接口方式:
2.地址池翻译
FGT6HD3915800157 # show firewall policy6
config firewall policy6
edit 1
set name "nat-ipv6"
set uuid 38dd7abc-3d62-51e9-d348-8e877a6a0696
set srcintf "port10"
set dstintf "VLAN1001"
set srcaddr "fd00::0/64"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
set ippool enable
set poolname "ipv6_natpool1"
next
end
FGT6HD3915800157 # show firewall ippool6
config firewall ippool6
edit "2001:aa:1::10"
set startip 2001:aa:1::10
set endip 2001:aa:1::10
next
edit "ipv6_natpool1"
set startip 2059::10
set endip 2059::10
next
end
配置策略截图如下,使用地址池方式:
[~SW9]ping ipv6 ***-instance Intranet -c 1000 2019::1
PING 2019::1 : 56 data bytes, press CTRL_C to break
Reply from 2019::1
bytes=56 Sequence=1 hop limit=62 time=1 ms
Reply from 2019::1
bytes=56 Sequence=2 hop limit=62 time=2 ms
Reply from 2019::1
标签:set ipv6 d3d 1.5 tar from https 工作 firewall
原文地址:https://blog.51cto.com/milestone/2358628
