网络拓扑
- 需求
- 防火墙做DNS代理,让V6客户端能通过访问域名的方式,访问到V4服务器的http服务。
- 测试步骤
实现方式:首先通过设备解析出域名对应的V4地址后,将V4地址嵌套到指定前缀中,成为一个嵌套好的V6地址。然后设备配置NAT64动态源转换和目的转换,将源地址转换成指定V4地址,目的地址转换成由设备从嵌套好的V6中提取出对应的V4地址
- 添加区域
- 添加防火墙连接V6端的接口区域对象,用以开放DNS服务
- 添加V4主机对象
用以V6客户端访问V4服务器,转换源地址
- 添加V6子网对象
- 用以匹配转换前的源对象
- 添加V6的虚拟子网对象
- 用以匹配转换前的目的对象
- 创建NAT64前缀对象
- 用以嵌套通过DNS解析出来的V4服务器地址。
- 用以嵌套通过DNS解析出来的V4服务器地址。
- 开放服务
- 针对需要进行DNS代理的接口区域开放DNS服务,控制地址设置为v6地址
- 配置DNS64
指定v4地址的DNS服务器,以及解析出来对应地址后,嵌套到指定前缀中
- 指定V4地址的DNS服务器(需要先配置V4DNS服务器地址,点击应用后,再开启DNS代理)
- 配置DNS64,让设备解析出域名对应的V4地址后,嵌套到指定的前缀中。
- 配置NAT64动态源转换
- 指定匹配转换策略的源、目的。以及转换后源的V4地址,用以将发起源的V6地址转换成V4地址(此处目的为V6虚拟子网,方便进行理解。也可以使用和访问发起源同段的V6子网对象)
- 配置NAT64目的转换
- 让设备可以在已经嵌套完成的V6地址中,根据指定前缀,提取出目的服务器的V4地址。然后将数据包原始访问目的V6地址转换成提取出来的V4地址。最终实现访问
- 完成后策略
- 客户端配置DNS
- 给V6访问端配置DNS地址,为设备的接口IP。由设备进行DNS代理
- DNS服务器配置
- 给DNS服务器配置域名A记录,当防火墙向服务器请求www.test.com时可以解析出V4地址为125.110.121
- 测试结果
- Nslookup测试
- 在V6端使用CMD的nslookup,查看是否可以解析出域名对应的地址,查看解析出来的地址中是否有嵌套完成的V6地址。如果没有解析出对应的嵌套地址,先ping一下域名再进行解析
- Nslookup测试
- 访问测试
- 用浏览器访问域名,测试是否可以访问
- 后台抓取会话
- 在后台使用命令 networksession search dport 80 saddr 3000::2查看指定目的端口和源地址的会话信息,查看会话是否是v6访问过去,v4返回
© 版权声明
THE END
- 最新
- 最热
只看作者