單飛，IPv6的終極目標(biāo)

由于歷史原因，IPv4早在幾年前已經(jīng)枯竭，現(xiàn)在運營商自用或分配到企業(yè)的IPv4都是僅存的那點家底了，很多運營商放給終端用戶的也都不再是正式IPv4地址，而是保留IP或者局域網(wǎng)IP。

那么我們能否只分配IPv6不分配IPv4，并且讓用戶既能上IPv6網(wǎng)，也能上IPv4網(wǎng)呢？答案當(dāng)然是可以的，雖然IPv6并不向下兼容IPv4，通常情況下IPv6并不能和IPv4直接通信，但對于一些終端環(huán)境，與IPv4通信基本沒有問題。要滿足這種單棧IPv6的模式，我們需要至少滿足三個技術(shù)條件。

1.有一段前綴長度96并完全空閑的IPv6地址。

2.啟用前面提到的DNS64，將前面的功能從服務(wù)器解析調(diào)整為全網(wǎng)IPv4解析。

3.啟用NAT64。

對于第一個問題，相信非常好解決，因為運營商分配地址起步就是64位，因此劃分出一個96位前綴的IPv6是輕而易舉的事。上節(jié)是對服務(wù)器網(wǎng)絡(luò)做DNS64解析，經(jīng)過適當(dāng)變通，改造成對全網(wǎng)IPv4地址做解析轉(zhuǎn)換。配置如下：

dns64 2019:524::/96{ //假設(shè)你使用2019:524::/96作為映射IPv4的前綴

clients {

YOUR_IPV6_NET;//需要正常訪問IPv4網(wǎng)的IPv6網(wǎng)段

};

mapped {

! YOUR_IPV4_NET;//你的IPV4/IPV6的雙棧網(wǎng)絡(luò)里的IPV4網(wǎng)段

any;

};

exclude {

any;

};

suffix ::;

};

以上解析會將現(xiàn)有所有IPv4的網(wǎng)絡(luò)DNS解析增加前綴為2019:524::/96位的對應(yīng)AAAA解析，保證了你的網(wǎng)絡(luò)上任何IPv4網(wǎng)都能正確解析到IPv6網(wǎng)絡(luò)，接下來我們需要啟用NAT64，剛接觸IPv6的朋友可能對NAT64不了解，實際上它就是一種特定的NAT，在 IPv4的NAT里允許將10.0.0.0這樣的IP轉(zhuǎn)換成201.9.5.24這樣的IP訪問互聯(lián)網(wǎng)，而NAT64是將2019:524::1這樣的IPv6轉(zhuǎn)換成201.9.5.24這樣的IPv4訪問網(wǎng)絡(luò)。與NAT最大的不同是，在返回的所有IP時，它還自動幫你加上所需要的2019:542::這樣的前綴，保證回來的數(shù)據(jù)也走IPv6與終端通信。

理解了其工作原理，那么在實際操作中該怎么做呢？這里以華為防火墻為例，配置如下：

nat64 prefix 2019:524:: 96 //配置NAT64前綴，讓IPV4回來的包都自動加上該前綴

nat64 enable

nat address-group Global_IPV4 0

mode pat

route enable

section 0 201.9.5.8 201.8.5.24 //訪 問IPv4網(wǎng)使用的地址池

nat-policy

rule name NAT64

source-zone trust

egress-interface Eth-Trunk1

nat-type nat64//轉(zhuǎn)換類型NAT64

action nat addressgroup Global_IPV4

經(jīng)過以上的系列配置，此時單棧IPv6網(wǎng)絡(luò)通過該防火墻就能正常連接IPv4網(wǎng)絡(luò)，實現(xiàn)全網(wǎng)單棧IPv6上網(wǎng)。