防火墙AF的IPV6部署(6to4)实施思路 1. 和运营商确认IPV6地址,一般运营商会提供以下的地址: 例如: 网关地址:2408:XXXX:XXXX:3::2/127 用户地址:2408:XXXX:XXXX:4::/64
2. 在防火墙的上单独开辟一个接口,(TIPS:当前AF75版本的IPV6接口开启后,就不能开启IPV4的VPN专线口,之后的新版本会优化升级,还是要及时更新防火墙版本,增强防火墙性能),配置一个IPV6地址。这边可以配置2408:XXXX:XXXX:3::3/127。这里使用了小交换机(二层)将运营商网络进来分成两根线接入到防火墙,形成"Y"形。
3. 配置IPV6默认路由,回包路由运营商侧已经写好。
4. 填写对应IPV6对象,便于IPV6toIPV4映射的填写。其中IPV6地址为用户地址:2408:XXXX:XXXX:4::/64(任意选取,建议选取完后记录在表格里),IPV4为业务系统地址。
5. 填写IPV6toIPV4映射,这里是源目地址双向转换,因为外网IPV6转换成内网IPV4才能和内网IPV4服务器通信。 一般考虑到业务系统开发的需求,内网服务器都会使用IPV4,后续随着技术的成熟,IPV6才能真正意义上取代IPV4,不过这个过程会很长。
6. 配置时源地址远程外网全部,目的地址选择为需要访问的目的IPV6地址(即需要对外发布的IPV6地址),源地址可以转换为出接口地址,或者指定出接口地址。目的地址转换为目的IPV4服务器(业务地址)。其中服务(端口)可以继承原来IPV4的服务。注意下面,点击放通策略,默认放通对应的应用控制策略。 7. 配置完成后,可以将AF的IPV6接口接入运营商网络,使用外网电脑(手机无线热点接入)访问IPV6业务地址,能够PING通信或者能访问业务。 |