ipv6.baidu.com这种域名,正常流程是:prefix-dns64这一项。aft prefix-dns64 2000:: 32(举例),当 IPv4 终端来查 ***.***:2001:db8:xx::1192.0.0.1(well-known 的合成段)或者直接走 NAT64 前缀嵌# 1. 开 IPv6
ipv6
# 2. 内网口(IPv4侧)/ 外网口(IPv6侧)都要 aft enable
interface GigabitEthernet x/x/x # 内网
ip address 192.168.0.1 24
aft enable
interface GigabitEthernet y/y/y # 外网,已拿运营商 IPv6 地址
ipv6 address 2001:db8:1::1/64
aft enable
# 3. 三个前缀都要配
aft prefix-nat64 2012:: 96 # v4→v6 源转 / v6→v4 目的转
aft prefix-ivi 2013:: # v4→v6 目的转(嵌 IPv4 到 v6 目的)
aft prefix-dns64 2000:: 32 # DNS64 合成用
# 4. 转换策略
acl basic 2000
rule permit source 192.168.0.0 0.0.0.255
aft v4tov6 destination acl 2000 prefix-ivi 2013:: # v4 目的 → v6 目的
aft v4tov6 source acl 2000 prefix-nat64 2012:: 96 # v4 源 → v6 源⚠️ 不是所有场景都能通,下面几种会跪:
240e:xxxx(运营商真实前缀),你内网 IPv4 终端根本没法用——这是对的,这条路走不通。prefix-dns64/ prefix-ivi这两个本地合成前缀,对外发包时 M9000 再把 IVI 前缀里的嵌的 IPv4 反算 + NAT64 前缀拼出真实 IPv6 源/目的。
prefix-dns64 + prefix-ivi + prefix-nat64三件套 + v4tov6 策略就行。你现在是已经在 M9000 上试了 AFT 发现 DNS 那关过不去,还是还在方案阶段盘能不能做?如果是前者,把 display aft configuration和 DNS 走向贴一下,能直接看是 DNS64 没生效还是前缀配错了。
暂无评论
AAAA 2409:xxxx::(运营商真实公网 IPv6 地址),Windows/Linux 纯 IPv4 网卡无法识别 IPv6 地址,终端直接丢弃该记录,打不开网站。
M9000 的AFT+DNS64 联动会解决这个问题:dns64前缀合成一条 ** 虚拟 IPv4 地址(A 记录)** 下发给内网终端;IVI前缀还原成真实公网 IPv6,源 IPv4 通过NAT64前缀转换成运营商分配的公网 IPv6 地址,转发至 IPv6 互联网。关键:内网终端拿到的永远是防火墙虚拟合成的 IPv4,不会接触运营商真实 IPv6 前缀,彻底解决你担心的解析不通问题。
ipv6、内外网接口均开启aft enable;system-view
# 全局开启IPv6
ipv6
# 开启DNS透明代理(拦截内网DNS,是DNS64生效前提)
dns transparent-proxy enable
# 定义三类独立前缀(示例,前缀可自定义,不可重复)
aft prefix-nat64 2012:: 96
aft prefix-ivi 2013::
aft prefix-dns64 2000:: 96
# 内网IPv4接口 Trust域
interface GigabitEthernet 1/0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
aft enable
firewall zone trust
add interface GigabitEthernet 1/0/1
# 外网IPv6接口 Untrust域(运营商分配公网IPv6)
interface GigabitEthernet 1/0/2
port link-mode route
ipv6 address 2408:xxxx:xxxx::1/64
aft enable
firewall zone untrust
add interface GigabitEthernet 1/0/2
# ACL匹配内网所有IPv4用户
acl number 2000
rule permit source 192.168.1.0 0.0.0.255
rule deny
# 源地址动态NAT64:内网IPv4源转换为公网IPv6
aft v4tov6 source acl number 2000 prefix-nat64 2012:: 96
# 目的地址IVI转换:虚拟IPv4还原成真实公网IPv6
aft v4tov6 destination prefix-ivi 2013::
# 匹配DNS64前缀流量,启用DNS64地址合成
aft v6tov4 prefix-dns64 2000:: 96
# 内网IPv4 → IPv6公网允许所有业务
security-policy
rule 10 permit source-zone trust destination-zone untrust service all
***.***,发起 DNS A 记录查询;2409::1234(真实 IPv6),无 A 记录;prefix-dns64合成虚拟 IPv4:10.0.0.1下发给终端;10.0.0.1(仅 IPv4 报文,无 IPv6 感知);2012::c0a8:1642013::a00:1(等价 2409::1234)dns transparent-proxy enable,终端直连公网 DNS 拿到原生 AAAA 记录,纯 IPv4 网卡丢弃;必须强制 DNS 流量过防火墙。aft enable漏配、三类前缀重复、安全域策略拦截、运营商 IPv6 路由不通。aft v4tov6 source/destination策略未绑定正确前缀 / ACL。暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论