【华为防火墙】IPV6过度技术

共存方面
(1)双栈

(2)早期:
6over 4： 手动隧道、自动隧道
手动隧道：6over4手动隧道、GRE手动隧道
自动隧道： 6to4隧道、6over4自动隧道（已废弃）

(3)后期：
4 over 6 : 手动隧道

互通方面
NAT64

注：都需要设备支持双栈协议

手动隧道

6over4

配置思路
第一步：基本配置（地址 ZONE 路由）

第二步：配置tunnel接口
FW1:
interface Tunnel0
ipv6 enable
ipv6 address 3001::10/64
tunnel-protocol ipv6-ipv4
source 1.1.1.10
destination 1.1.1.11

FW2:
interface Tunnel0
ipv6 enable
ipv6 address 3001::11/64
tunnel-protocol ipv6-ipv4
source 1.1.1.11
destination 1.1.1.10

注：
1、千万不要忘记tunnle加ZONE
firewall zone untrust
add interface Tunnel0

2、源地址可以是地址、接口等
[FW1-Tunnel0]source ?
GigabitEthernet GigabitEthernet interface
NULL NULL interface
Tunnel Tunnel interface
Virtual-if Virtual interface
X.X.X.X IP address

3、目的地址只能是IP地址
[FW1-Tunnel0]destination ?
X.X.X.X IP address

第三步：配置引流到隧道
FW1:
ipv6 route-static 3011:: 64 Tunnel0

FW2:
ipv6 route-static 2011:: 64 Tunnel0

第四步：放行安全策略
security-policy
rule name ipv6
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
action permit
rule name tunnel
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
action permit

第五步：测试检查

GRE隧道

举例：FW1

interface Tunnel0
ipv6 enable
ipv6 address 3001::10/64
tunnel-protocol gre
source 1.1.1.10
destination 1.1.1.11

其它部分同6over4手工

测试检查：

校验和**

自动隧道

6to4隧道

注：
6to4地址要严格对应上图配置，配错一个都不会通！！！

举例：
        202.100.     1.0     /24
2002：  CA64:     010A::   /48

配置思路：
第一步：基本配置(地址 ZONE 路由）

第二步：配置隧道
FW1
interface Tunnel0
ipv6 enable
ipv6 address 2002:CA64:10A::10/48
tunnel-protocol ipv6-ipv4 6to4
source 202.100.1.10

FW2；
interface Tunnel0
ipv6 enable
ipv6 address 2002:CA64:10B::11/48
tunnel-protocol ipv6-ipv4 6to4
source 202.100.1.11

注：tunnl0需要加ZONE
firewall zone untrust
add interface Tunnel0

第三步：引流
FW1 FW2
ipv6 route-static 2002:: 16 Tunnel0

第四步: 放行安全策略
security-policy
rule name ipv6
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
action permit
rule name tunnel
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
action permit

第五步：测试检查

NAT64

实现IPV4与IPV6相互访问

静态方式 :

解决IPV4到IPV6，IPV6到IPV4

知名前缀
即64:FF9B::/96，缺省情况下已存在，无需配置。

以IPv4地址为1.1.1.100，NAT前缀为3000::/64为例，该IPv4地址对应的IPv6地址为3000:0000:0000:0000:0001:0101:0100:0000，即3000::1:101????0

配置思路：
第一步:基本配置(IP地址 ZONE 路由）

第二步：接口开启NAT64
interface GigabitEthernet1/0/2
nat64 enable

第三步：配置NAT64前缀地址（可选）
nat64 prefix 3000:: 64

第四步：NAT64静态映射
nat64 static 2001::1 1.1.1.100

第五步：测试检查

IPV6访问IPV4也一样

动态方式:

只能解决IPV6到IPV4

配置：
interface GigabitEthernet1/0/2
nat64 enable

nat64 prefix 3000:: 64

nat address-group nat64 0
mode pat
section 0 1.1.1.100 1.1.1.100

nat-policy
rule name nat64
source-zone untrust
destination-zone trust
nat-type nat64
action source-nat address-group nat64

汇总贴