目录
Ⅱ 上网配置
Ⅰ 页面开启IPv6
一、在WEB页面开启IPv6
菜单:系统管理--面板--状态,点击微件按钮,添加‘功能’插件。
随后面部上增加如下的“功能”微件,点击IPv6后面的按钮,开启WEB页面的IPv6支持。
Ⅱ 上网配置
三、配置要点
1、配置接口IP
2、配置路由
3、配置策略
4、UTM和流控
四、操作步骤
1、配置接口IP
2、配置路由
config router static6
edit 1
set gateway 2001:aa:1::10
set device "wan1"
next
end
3、配置策略
(1)定义IP地址
菜单:防火墙---地址---地址, 点击 新建-----IPv6地址
定义地址lan,内容为 2001:bb:1::1/48
(2) 定义IPv6策略
定义策略,允许内部访问IPv6网络。
4、UTM和流控
继续在步骤3策略中添加utm和流控功能。
五、验证效果
可以正常访问互联网。
Ⅲ NAT64
一、组网需求
用户内部使用IPv6网络,RGW作为客户网络的互联网边界介入防火墙,通过NAT64功能实现对互联网的访问。
wan1互联网接入服务商,IPv4网络。
internal,内部IPv6网络。
二、网络拓扑
三、配置要点
1、配置接口IP
2、配置路由
3、配置地址池
4、配置策略
5、配置DNS64
6、配置Pc
四、操作步骤
1、配置接口IP
进入菜单:系统管理--网络--接口--编辑internal
config system interface
edit "internal"
set vdom "root"
set ip 192.168.1.200 255.255.255.0
set allowa***ess ping https ssh http
set type physical
set description " "
set snmp-index 1
config ipv6
set ip6-address 2001:aa:1::10/48
set ip6-send-adv enable
config ip6-prefix-list
edit 2001:db8:1::/48
set autonomous-flag enable
set onlink-flag enable
next
end
end
编辑wan1:
2、配置路由
菜单: 路由--静态--静态路由
目的的IP/子网掩码: 由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可。
设备: 该路由所关联的接口,wan1口,必须正确填写,否则该路由无法工作。
网关: 下一跳ip地址, 即wan1口对端运营商设备接口的ip地址。
路径长度:默认10 . 长度小的路由会被装入路由表。
优先级:默认0. 优先级小的优先使用。
3、配置地址池
IPv4 地址池
config firewall ippool
edit "ippool64"
set startip 192.168.118.88
set endip 192.168.118.90
next
end
配置NAT64中的 IPv6地址前缀。
config system nat64
set status enable
set nat64-prefix 64:ff9b::/96
end
4、配置策略
菜单: 防火墙--策略--NAT64策略
命令行配置如下:
config firewall policy64
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action a***ept
set schedule "always"
set service "ALL"
set ippool enable
set poolname "ippool64"
next
end
5、配置DNS64
IPv6网络侧用户发起AAAA记录查询,DNS64(FGT)服务器代理请求IPv4网络中的A记录,得到A记录响应后,DNS64服务器将A记录转换为AAAA返回给用户
config system nat64
set status enable
set nat64-prefix 64:ff9b::/96
set always-synthesize-aaaa-record enable //默认开启
end
config system dns-server //内网口作为DNS服务器代理
edit "internal"
set mode forward-only
next
end
config system dns //为系统配置DNS服务器
set primary 8.8.8.8
end
6、配置PC
DNS 服务器地址为RGW的internal接口IP, RGW作为DNS服务器代理。
五、验证效果
(1) ping ip地址8.8.8.8, 64:ff9b为nat64的前缀,需要将ipv4的IP地址8.8.8.8转换成16进制, 0808:0808
C:\Users\Administrator>ping -6 64:ff9b::0808:0808
正在 Ping 64:ff9b::808:808 具有 32 字节的数据:
来自 64:ff9b::808:808 的回复: 时间=63ms
来自 64:ff9b::808:808 的回复: 时间=63ms 。
(2)ping 域名 www.baidu.***
C:\Users\Administrator>ping -6 www.baidu.***
正在 Ping www.a.shifen.*** [64:ff9b::774b:d96d] 具有 32 字节的数据:
来自 64:ff9b::774b:d96d 的回复: 时间=2ms
来自 64:ff9b::774b:d96d 的回复: 时间=1ms
(3)通过浏览器使用域名访问IPv4互联网。
id=13 trace_id=142 msg="vd-root received a packet(proto=58, 2001:bb:1::10:1->64:ff9b::808:808:128) from internal."
id=13 trace_id=142 msg="vd-root received a packet(proto=58, 2001:bb:1::10:1->64:ff9b::808:808:128) from internal."
id=13 trace_id=142 msg="allocate a new session-0000184e"
id=13 trace_id=142 msg="find a route: gw-fe80::a5b:eff:fe6f:f7a6 via wan1 err 0 flags 00000003"
id=13 trace_id=142 msg="Check policy between internal -> wan1"
id=13 trace_id=142 msg="Allowed by Policy-1:"
id=13 trace_id=143 msg="vd-root received a packet(proto=58, 64:ff9b::808:808:1->2001:bb:1::10:129) from wan1."
id=13 trace_id=143 msg="Find an existing session, id-0000184e, reply direction"
id=13 trace_id=143 msg="vd-root received a packet(proto=58, 64:ff9b::808:808:1->2001:bb:1::10:129) from wan1."
id=13 trace_id=143 msg="Find an existing session, id-0000184e, reply direction"
