由于歷史原因,IPv4早在幾年前已經(jīng)枯竭,現(xiàn)在運營商自用或分配到企業(yè)的IPv4都是僅存的那點家底了,很多運營商放給終端用戶的也都不再是正式IPv4地址,而是保留IP或者局域網(wǎng)IP。
那么我們能否只分配IPv6不分配IPv4,并且讓用戶既能上IPv6網(wǎng),也能上IPv4網(wǎng)呢?答案當(dāng)然是可以的,雖然IPv6并不向下兼容IPv4,通常情況下IPv6并不能和IPv4直接通信,但對于一些終端環(huán)境,與IPv4通信基本沒有問題。要滿足這種單棧IPv6的模式,我們需要至少滿足三個技術(shù)條件。
1.有一段前綴長度96并完全空閑的IPv6地址。
2.啟用前面提到的DNS64,將前面的功能從服務(wù)器解析調(diào)整為全網(wǎng)IPv4解析。
3.啟用NAT64。
對于第一個問題,相信非常好解決,因為運營商分配地址起步就是64位,因此劃分出一個96位前綴的IPv6是輕而易舉的事。上節(jié)是對服務(wù)器網(wǎng)絡(luò)做DNS64解析,經(jīng)過適當(dāng)變通,改造成對全網(wǎng)IPv4地址做解析轉(zhuǎn)換。配置如下:
dns64 2019:524::/96{ //假設(shè)你使用2019:524::/96作為映射IPv4的前綴
clients {
YOUR_IPV6_NET;//需要正常訪問IPv4網(wǎng)的IPv6網(wǎng)段
};
mapped {
! YOUR_IPV4_NET;//你的IPV4/IPV6的雙棧網(wǎng)絡(luò)里的IPV4網(wǎng)段
any;
};
exclude {
any;
};
suffix ::;
};
以上解析會將現(xiàn)有所有IPv4的網(wǎng)絡(luò)DNS解析增加前綴為2019:524::/96位的對應(yīng)AAAA解析,保證了你的網(wǎng)絡(luò)上任何IPv4網(wǎng)都能正確解析到IPv6網(wǎng)絡(luò),接下來我們需要啟用NAT64,剛接觸IPv6的朋友可能對NAT64不了解,實際上它就是一種特定的NAT,在 IPv4的NAT里允許將10.0.0.0這樣的IP轉(zhuǎn)換成201.9.5.24這樣的IP訪問互聯(lián)網(wǎng),而NAT64是將2019:524::1這樣的IPv6轉(zhuǎn)換成201.9.5.24這樣的IPv4訪問網(wǎng)絡(luò)。與NAT最大的不同是,在返回的所有IP時,它還自動幫你加上所需要的2019:542::這樣的前綴,保證回來的數(shù)據(jù)也走IPv6與終端通信。
理解了其工作原理,那么在實際操作中該怎么做呢?這里以華為防火墻為例,配置如下:
nat64 prefix 2019:524:: 96 //配置NAT64前綴,讓IPV4回來的包都自動加上該前綴
nat64 enable
nat address-group Global_IPV4 0
mode pat
route enable
section 0 201.9.5.8 201.8.5.24 //訪 問IPv4網(wǎng)使用的地址池
nat-policy
rule name NAT64
source-zone trust
egress-interface Eth-Trunk1
nat-type nat64//轉(zhuǎn)換類型NAT64
action nat addressgroup Global_IPV4
經(jīng)過以上的系列配置,此時單棧IPv6網(wǎng)絡(luò)通過該防火墻就能正常連接IPv4網(wǎng)絡(luò),實現(xiàn)全網(wǎng)單棧IPv6上網(wǎng)。