一、实验要求及拓扑

实验拓扑图如下所示：

很简单的拓扑图，在上述场景中，PC1配置的是IPv4地址，PC2配置的是IPv6地址，现在使用华为防火墙设备配置NAT64,使得PC1和PC2可以互通。

注：理论上，华为系列路由器也可以实现类似功能，但是在eNSP方面可能存在问题，因此在这里使用防火墙代替，其原理是相同的。

二、实验配置命令

下面，我就把实验中用到的命令粘贴如下：

（一）保证互通基本配置命令

为了首先保证防火墙与两个PC之间PING功能正常，因此必须要配置安全域和安全策略，在这里为了演示最基本的NAT64功能，因此对这些配置采取了最简单的配置方式：

firewall zone trust
add interface GigabitEthernet1/0/1
add interface GigabitEthernet1/0/2
security-policy
rule name 1
action permit

此外，为了保证接口上PING正常，除了配置IP地址外，还需要执行命令：

service-manage ping permit

这样，在完成接口上IP地址配置和上述配置后，两个PC应该可以PING通防火墙上的接口IP地址，也就是他们的网关了。

（二）保证IPv4到IPv6通信——NAT64命令

在NAT64配置中，要保证IPv4访问IPv6，只需要配置一条NAT64策略即可：

nat64 static 2000::1 10.1.1.100

同时在接口上应用该NAT64配置：

interface GigabitEthernet1/0/2
nat64 enable

上面的配置命令，是将PC2的2000::1的地址映射到10.1.1.100，以此实现PC1对PC2的访问。

在配置完上述命令后，应该能够实现PC1PING通PC2了。

（三）保证IPv6到IPv4通信——NAT前缀和NAT策略命令

但是，此时还不能实现PC2PING通PC1，这是因为在完成上述配置后，PC1发送的ICMP报文经过防火墙后，防火墙将该ICMP报文的源地址转化成NAT64的专用地址。但是在PC2 PING PC1的时候，防火墙不知道将该ICMP的源地址转换成什么IP地址。

为了实现PC2 PING PC1，此时就必须配置NAT前缀和NAT策略，配置命令如下：

nat address-group 1 0
 mode pat
 section 0 10.1.1.110 10.1.1.20
#
nat-policy
 rule name 1
  action source-nat address-group 1
#
nat64 prefix 3000:: 96

在上述配置命令中，配置了一个NAT地址范围，定义了PC2访问PC1的数据包在穿过防火墙后的源IP地址，而上面的NAT64前缀配置中96是专门为IPv6区域访问IPv4设计的，这样的前缀预留了32位主机地址，而当PC2要访问PC1时，就把该NAT64前缀拿过来，然后在后面24位预留主机IP中填入PC1的IPv4地址即可。

三、实现效果

1、PC1和PC2互相访问:

2、在没有配置反向NAT64之前抓包:

3、防火墙上查看NAT64结果:

四、附录——防火墙配置命令

最后，把实验中防火墙配置全体粘贴如下（舍弃不必要配置命令）：

ipv6
#
 nat64 prefix 3000:: 96
 nat64 static 2000::1 10.1.1.100
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ipv6 enable
 ipv6 address 2000::2/64
 service-manage ping permit
 nat64 enable
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
 add interface GigabitEthernet1/0/2
security-policy
 rule name 1
  action permit
#
nat-policy
 rule name 1
  action source-nat address-group 1
nat address-group 1 0
 mode pat
 section 0 10.1.1.110 10.1.1.200

推荐阅读

>>>【独家首发】新版HCIE考试解读直播回顾
>>> 重磅！华为HCIE认证改版升级通知！
>>>【命令解析】Linux用户行为的常用命令
>>> 网工必备通信基础知识，还不知道你就out了？
>>>【必备干货】网工入门必会桥接教程，外网+GNS3+Vmware
>>>【技术指南】5分钟搞清楚OSPF链路状态路由协议

网工界市场认可度极高的华为认证，你考了吗？

拿下华为HCIE认证之后，你可以：

• 跨越90%企业的招聘硬门槛

• 增加70%就业机会

• 拿下BAT全国TOP100大厂敲门砖

• 体系化得到网络技术硬实力

• 技术大佬年薪可达30w+