锐捷防火墙(WEB)——高级功能——ipv6

你可知这世上再难遇我 2024-06-13 15:03:20 阅读 52

目录

Ⅰ  页面开启IPv6

Ⅱ  上网配置

Ⅲ  NAT64


 

Ⅰ  页面开启IPv6

一、在WEB页面开启IPv6

菜单:系统管理--面板--状态,点击微件按钮,添加‘功能’插件。

随后面部上增加如下的“功能”微件,点击IPv6后面的按钮,开启WEB页面的IPv6支持。


Ⅱ  上网配置

一、组网需求

       用户内部使用IPv6网络,RGW作为客户网络的互联网边界介入防火墙,实现对互联网的访问。

       wan1互联网接入服务商,IPv6网络。

       internal,内部IPv6网络。

二、网络拓扑

三、配置要点

1、配置接口IP

2、配置路由

3、配置策略

4、UTM和流控

四、操作步骤

       1、配置接口IP

  2、配置路由

config router static6

    edit 1

        set gateway 2001:aa:1::10

        set device "wan1"

    next

end

       3、配置策略

(1)定义IP地址

菜单:防火墙---地址---地址, 点击  新建-----IPv6地址

定义地址lan,内容为 2001:bb:1::1/48   

(2)  定义IPv6策略

定义策略,允许内部访问IPv6网络

4、UTM和流控

继续在步骤3策略中添加utm和流控功能。

五、验证效果

可以正常访问互联网。


Ⅲ  NAT64

一、组网需求

       用户内部使用IPv6网络,RGW作为客户网络的互联网边界介入防火墙,通过NAT64功能实现对互联网的访问。

       wan1互联网接入服务商,IPv4网络。

       internal,内部IPv6网络。

      

二、网络拓扑

三、配置要点

       1、配置接口IP

       2、配置路由

       3、配置地址池

       4、配置策略

       5、配置DNS64

       6、配置Pc

四、操作步骤

       1、配置接口IP

            进入菜单:系统管理--网络--接口--编辑internal

config system interface

    edit "internal"

        set vdom "root"

        set ip 192.168.1.200 255.255.255.0

        set allowaccess ping https ssh http

        set type physical

        set description "    "

        set snmp-index 1

          config ipv6

        set ip6-address 2001:aa:1::10/48

        set ip6-send-adv enable

        config ip6-prefix-list

            edit 2001:db8:1::/48

                set autonomous-flag enable

                set onlink-flag enable

            next

        end

end

        编辑wan1:

2、配置路由

            菜单: 路由--静态--静态路由

目的的IP/子网掩码:   由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。

            设备: 该路由所关联的接口,wan1口,必须正确填写,否则该路由无法工作。

            网关: 下一跳ip地址, 即wan1口对端运营商设备接口的ip地址。

            路径长度:默认10 . 长度小的路由会被装入路由表。

            优先级:默认0.  优先级小的优先使用。

3、配置地址池

IPv4 地址池 

config firewall ippool

    edit "ippool64"

        set startip 192.168.118.88

        set endip 192.168.118.90

    next

end

配置NAT64中的 IPv6地址前缀。

config system nat64

    set status enable

    set nat64-prefix 64:ff9b::/96

end

       4、配置策略

           菜单: 防火墙--策略--NAT64策略               

命令行配置如下:      

config firewall policy64

    edit 1

        set srcintf "internal"

        set dstintf "wan1"

        set srcaddr "all"

        set dstaddr "all"

        set action accept

        set schedule "always"

        set service "ALL"

        set ippool enable

        set poolname "ippool64"

    next

end

5、配置DNS64

IPv6网络侧用户发起AAAA记录查询,DNS64(FGT)服务器代理请求IPv4网络中的A记录,得到A记录响应后,DNS64服务器将A记录转换为AAAA返回给用户

config system nat64

    set status enable

    set nat64-prefix 64:ff9b::/96

    set always-synthesize-aaaa-record enable  //默认开启

end

config system dns-server           //内网口作为DNS服务器代理

    edit "internal"

        set mode forward-only

    next

end

config system dns                    //为系统配置DNS服务器

    set primary 8.8.8.8

end

6、配置PC

DNS 服务器地址为RGW的internal接口IP, RGW作为DNS服务器代理。

五、验证效果

     (1)   ping  ip地址8.8.8.8,    64:ff9b为nat64的前缀,需要将ipv4的IP地址8.8.8.8转换成16进制, 0808:0808

C:\Users\Administrator>ping -6 64:ff9b::0808:0808

正在 Ping 64:ff9b::808:808 具有 32 字节的数据:

来自 64:ff9b::808:808 的回复: 时间=63ms

来自 64:ff9b::808:808 的回复: 时间=63ms  。       

       (2)ping 域名 www.baidu.com

C:\Users\Administrator>ping  -6 www.baidu.com

正在 Ping www.a.shifen.com [64:ff9b::774b:d96d] 具有 32 字节的数据:

来自 64:ff9b::774b:d96d 的回复: 时间=2ms

来自 64:ff9b::774b:d96d 的回复: 时间=1ms

  

     (3)通过浏览器使用域名访问IPv4互联网。

id=13 trace_id=142 msg="vd-root received a packet(proto=58, 2001:bb:1::10:1->64:ff9b::808:808:128) from internal."

id=13 trace_id=142 msg="vd-root received a packet(proto=58, 2001:bb:1::10:1->64:ff9b::808:808:128) from internal."

id=13 trace_id=142 msg="allocate a new session-0000184e"

id=13 trace_id=142 msg="find a route: gw-fe80::a5b:eff:fe6f:f7a6 via wan1 err 0 flags 00000003"

id=13 trace_id=142 msg="Check policy between internal -> wan1"

id=13 trace_id=142 msg="Allowed by Policy-1:"

id=13 trace_id=143 msg="vd-root received a packet(proto=58, 64:ff9b::808:808:1->2001:bb:1::10:129) from wan1."

id=13 trace_id=143 msg="Find an existing session, id-0000184e, reply direction"

id=13 trace_id=143 msg="vd-root received a packet(proto=58, 64:ff9b::808:808:1->2001:bb:1::10:129) from wan1."

id=13 trace_id=143 msg="Find an existing session, id-0000184e, reply direction"



声明

本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。