Jump to content
Калькуляторы

Cisco 7201 & NAT-PT Проблема в настройке...

Планирую прикупить IPv6 блок IP-адресов. Чтобы клиенты могли получатть доступ к IPv4-only хостам хочу для теста настроить такую фичу, как NAT-PT.

Но почему-то у меня ничего не работает.

Пока блока нет - взял для теста зарезервированный FD00::/8.

Разбил его следующим образом:

FD00::/64 - сюда подключаются клиенты (тестовый клиент FD00::2)

FD00:0:0:1/96 - на этот блок маппятся IPv4 only хосты.

 

Под рукой Cisco 7201 (Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.4(15)T13, RELEASE SOFTWARE (fc3))

 

В соответствии с приведенной выше ссылкой выполнил следующие настройки:

 

ipv6 unicast-routing
ipv6 cef

interface GigabitEthernet0/3.679
description IPv6 CLIENTS
encapsulation dot1Q 679
no ip redirects
no ip proxy-arp
ipv6 address FD00::1/64
ipv6 enable
ipv6 nd prefix FD00::/64
ipv6 nat
no cdp enable
end

interface GigabitEthernet0/3.910
description IPv4 UPLINK
encapsulation dot1Q 910
ip address x.x.x.x 255.255.255.254
no ip redirects
no ip proxy-arp
ipv6 nat
end

ipv6 access-list NAT-TO-IPV4
sequence 30 permit ipv6 FD00::/32 any

ipv6 nat v6v4 source list NAT-TO-IPV4 pool IPV4_POOL
ipv6 nat v6v4 pool IPV4_POOL 91.x.x.140 91.x.x.143 prefix-length 30
ipv6 nat prefix FD00:0:0:1::/96

 

Пытаюсь пропинговать с IPv6 машины адрес FD00:0:0:1::D5B4:CC03 (213.180.204.3) - не получается.

 

в трансляциях пусто

nat-pt#sh ipv6 nat translations 
Prot  IPv4 source              IPv6 source
      IPv4 destination         IPv6 destination

 

в статистике тоже

nat-pt#sh ipv6 nat statistics 
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
NAT-PT interfaces: 
  GigabitEthernet0/3.679, GigabitEthernet0/3.910, NVI0
Hits: 0  Misses: 0
Expired translations: 0

 

включил дебаг

nat-pt#sh debug                 
Generic IPv6:
  IPv6 NAT-PT debugging is on
  IPv6 NAT-PT detailed debugging is on
  IPv6 NAT-PT port debugging is on

 

в логах без конца лезет какая-то непонятная дрянь:

Jan 10 13:27:12: IPv6 NAT: Found prefix FD00:0:0:1::/96
Jan 10 13:27:12: IPv6 NAT:v4tov6 entry not found

Jan 10 13:27:13: IPv6 NAT: Found prefix FD00:0:0:1::/96
Jan 10 13:27:13: IPv6 NAT:v4tov6 entry not found

Jan 10 13:27:13: IPv6 NAT: Found prefix FD00:0:0:1::/96
Jan 10 13:27:13: IPv6 NAT:v4tov6 entry not found

Jan 10 13:27:13: IPv6 NAT: Found prefix FD00:0:0:1::/96
Jan 10 13:27:13: IPv6 NAT:v4tov6 entry not found

 

кто-нибудь использует или тестировал эту фичу? Есть какие-нибудь мысли на эту тему?

Share this post


Link to post
Share on other sites

Пока блока нет, можно взять блок из http://en.wikipedia.org/wiki/6to4 .

 

Только не совсем понятно, как будут работать у клиентов сайты, будете преобразовывать в DNS записи A в AAAA ?

 

Где-то на форуме писали, что выдают по ppp два адреса - "серый" IPv4 и нормальный IPv6 .

 

UPD. А вот и описание этой фичи понятным языком http://en.wikipedia.org/wiki/IPv6_transition_mechanisms

Edited by marikoda

Share this post


Link to post
Share on other sites

Кстати, нет смысла вводить эту фичу, так как она устарела

 

NAT-PT

 

Network Address Translation/Protocol Translation (or simply NAT-PT) is defined in RFC 2766 but due to numerous problems, it has been obsoleted by RFC 4966 and deprecated to historic status. It is typically used in conjunction with a DNS application-level gateway (DNS-ALG) implementation.

 

NAPT-PT

 

While almost identical to NAT-PT, Network Address Port Translation + Protocol Translation which is also described in RFC 2766 adds translation of the ports as well as the address. This is done primarily to avoid two hosts on one side of the mechanism from using the same exposed port on the other side of the mechanism, which could cause application instability and/or security flaws. This mechanism has been deprecated by RFC 4966.

Share this post


Link to post
Share on other sites

Только не совсем понятно, как будут работать у клиентов сайты, будете преобразовывать в DNS записи A в AAAA ?
на сколько я понял, циска сама это делает.
Где-то на форуме писали, что выдают по ppp два адреса - "серый" IPv4 и нормальный IPv6 .
не вариант. большой блок IPv4 нам не выдают. Запрашивали /22 - выдали только /24 :(

к тому же есть большое желание отказаться от туннелирования в пользу IPoE.

 

Кстати, нет смысла вводить эту фичу, так как она устарела
собственно, а чем же тогда пользоваться то? :(

NAT64 и DNS64 циска не поддерживает...

Edited by stason

Share this post


Link to post
Share on other sites

Сменил софт на Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.4(24)T4, RELEASE SOFTWARE (fc2) - пошла некая движуха.

 

удалось добиться неких положительных результатов...

заменил в конфиге

ipv6 nat prefix FD00:0:0:1::/96

на

ipv6 nat prefix FD00:0:0:1::/96 v4-mapped NAT-TO-IPV4

теперь в трансляциях появились записи даже. от хоста IPv4 запрос доходит до IPv6 хоста. А вот ответ от 6 в 4 где-то теряется :(

Share this post


Link to post
Share on other sites

В общем удалось добиться работы, но крайне криво.

На просторах Интернета надыбал темку, что NAT-PT вообще сломан

http://blog.ioshints.info/2010/01/nat-pt-i...n-late-ios.html ....

 

Оттестировал NAT64 (в реализации Ecdysis и TAYGA).

Больше понравилось последнее, ввиду того, что поддерживает NAT не на 1 IPv4 адрес, а на целый пул IPv4-адресов. Так же с первым возникли некоторые проблемы с NAT'ом ICMP трафика.

В качестве DNS64 использовал totd.

Share this post


Link to post
Share on other sites

Где-то на форуме писали, что выдают по ppp два адреса - "серый" IPv4 и нормальный IPv6 .

не вариант. большой блок IPv4 нам не выдают. Запрашивали /22 - выдали только /24 :(

Мм, а для раздачи "серых" IPv4 необходим большой блок реальных адресов?

По вашим расчётам, сколько клиентов на один реальный адрес?

Share this post


Link to post
Share on other sites

Где-то на форуме писали, что выдают по ppp два адреса - "серый" IPv4 и нормальный IPv6 .

не вариант. большой блок IPv4 нам не выдают. Запрашивали /22 - выдали только /24 :(

Мм, а для раздачи "серых" IPv4 необходим большой блок реальных адресов?

По вашим расчётам, сколько клиентов на один реальный адрес?

да фиг знает. за неимением другого я как раз хотел пустить эту /24 под это дело.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.