stason Posted January 10, 2011 · Report post Планирую прикупить IPv6 блок IP-адресов. Чтобы клиенты могли получатть доступ к IPv4-only хостам хочу для теста настроить такую фичу, как NAT-PT. Но почему-то у меня ничего не работает. Пока блока нет - взял для теста зарезервированный FD00::/8. Разбил его следующим образом: FD00::/64 - сюда подключаются клиенты (тестовый клиент FD00::2) FD00:0:0:1/96 - на этот блок маппятся IPv4 only хосты. Под рукой Cisco 7201 (Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.4(15)T13, RELEASE SOFTWARE (fc3)) В соответствии с приведенной выше ссылкой выполнил следующие настройки: ipv6 unicast-routing ipv6 cef interface GigabitEthernet0/3.679 description IPv6 CLIENTS encapsulation dot1Q 679 no ip redirects no ip proxy-arp ipv6 address FD00::1/64 ipv6 enable ipv6 nd prefix FD00::/64 ipv6 nat no cdp enable end interface GigabitEthernet0/3.910 description IPv4 UPLINK encapsulation dot1Q 910 ip address x.x.x.x 255.255.255.254 no ip redirects no ip proxy-arp ipv6 nat end ipv6 access-list NAT-TO-IPV4 sequence 30 permit ipv6 FD00::/32 any ipv6 nat v6v4 source list NAT-TO-IPV4 pool IPV4_POOL ipv6 nat v6v4 pool IPV4_POOL 91.x.x.140 91.x.x.143 prefix-length 30 ipv6 nat prefix FD00:0:0:1::/96 Пытаюсь пропинговать с IPv6 машины адрес FD00:0:0:1::D5B4:CC03 (213.180.204.3) - не получается. в трансляциях пусто nat-pt#sh ipv6 nat translations Prot IPv4 source IPv6 source IPv4 destination IPv6 destination в статистике тоже nat-pt#sh ipv6 nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended) NAT-PT interfaces: GigabitEthernet0/3.679, GigabitEthernet0/3.910, NVI0 Hits: 0 Misses: 0 Expired translations: 0 включил дебаг nat-pt#sh debug Generic IPv6: IPv6 NAT-PT debugging is on IPv6 NAT-PT detailed debugging is on IPv6 NAT-PT port debugging is on в логах без конца лезет какая-то непонятная дрянь: Jan 10 13:27:12: IPv6 NAT: Found prefix FD00:0:0:1::/96 Jan 10 13:27:12: IPv6 NAT:v4tov6 entry not found Jan 10 13:27:13: IPv6 NAT: Found prefix FD00:0:0:1::/96 Jan 10 13:27:13: IPv6 NAT:v4tov6 entry not found Jan 10 13:27:13: IPv6 NAT: Found prefix FD00:0:0:1::/96 Jan 10 13:27:13: IPv6 NAT:v4tov6 entry not found Jan 10 13:27:13: IPv6 NAT: Found prefix FD00:0:0:1::/96 Jan 10 13:27:13: IPv6 NAT:v4tov6 entry not found кто-нибудь использует или тестировал эту фичу? Есть какие-нибудь мысли на эту тему? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
marikoda Posted January 10, 2011 (edited) · Report post Пока блока нет, можно взять блок из http://en.wikipedia.org/wiki/6to4 . Только не совсем понятно, как будут работать у клиентов сайты, будете преобразовывать в DNS записи A в AAAA ? Где-то на форуме писали, что выдают по ppp два адреса - "серый" IPv4 и нормальный IPv6 . UPD. А вот и описание этой фичи понятным языком http://en.wikipedia.org/wiki/IPv6_transition_mechanisms Edited January 10, 2011 by marikoda Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
marikoda Posted January 10, 2011 · Report post Кстати, нет смысла вводить эту фичу, так как она устарела NAT-PT Network Address Translation/Protocol Translation (or simply NAT-PT) is defined in RFC 2766 but due to numerous problems, it has been obsoleted by RFC 4966 and deprecated to historic status. It is typically used in conjunction with a DNS application-level gateway (DNS-ALG) implementation. NAPT-PT While almost identical to NAT-PT, Network Address Port Translation + Protocol Translation which is also described in RFC 2766 adds translation of the ports as well as the address. This is done primarily to avoid two hosts on one side of the mechanism from using the same exposed port on the other side of the mechanism, which could cause application instability and/or security flaws. This mechanism has been deprecated by RFC 4966. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stason Posted January 10, 2011 (edited) · Report post Только не совсем понятно, как будут работать у клиентов сайты, будете преобразовывать в DNS записи A в AAAA ?на сколько я понял, циска сама это делает.Где-то на форуме писали, что выдают по ppp два адреса - "серый" IPv4 и нормальный IPv6 .не вариант. большой блок IPv4 нам не выдают. Запрашивали /22 - выдали только /24 :(к тому же есть большое желание отказаться от туннелирования в пользу IPoE. Кстати, нет смысла вводить эту фичу, так как она устареласобственно, а чем же тогда пользоваться то? :(NAT64 и DNS64 циска не поддерживает... Edited January 10, 2011 by stason Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stason Posted January 10, 2011 · Report post Сменил софт на Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.4(24)T4, RELEASE SOFTWARE (fc2) - пошла некая движуха. удалось добиться неких положительных результатов... заменил в конфиге ipv6 nat prefix FD00:0:0:1::/96 на ipv6 nat prefix FD00:0:0:1::/96 v4-mapped NAT-TO-IPV4 теперь в трансляциях появились записи даже. от хоста IPv4 запрос доходит до IPv6 хоста. А вот ответ от 6 в 4 где-то теряется :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stason Posted January 16, 2011 · Report post В общем удалось добиться работы, но крайне криво. На просторах Интернета надыбал темку, что NAT-PT вообще сломан http://blog.ioshints.info/2010/01/nat-pt-i...n-late-ios.html .... Оттестировал NAT64 (в реализации Ecdysis и TAYGA). Больше понравилось последнее, ввиду того, что поддерживает NAT не на 1 IPv4 адрес, а на целый пул IPv4-адресов. Так же с первым возникли некоторые проблемы с NAT'ом ICMP трафика. В качестве DNS64 использовал totd. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rm_ Posted January 22, 2011 · Report post Где-то на форуме писали, что выдают по ppp два адреса - "серый" IPv4 и нормальный IPv6 . не вариант. большой блок IPv4 нам не выдают. Запрашивали /22 - выдали только /24 :( Мм, а для раздачи "серых" IPv4 необходим большой блок реальных адресов?По вашим расчётам, сколько клиентов на один реальный адрес? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stason Posted January 22, 2011 · Report post Где-то на форуме писали, что выдают по ppp два адреса - "серый" IPv4 и нормальный IPv6 . не вариант. большой блок IPv4 нам не выдают. Запрашивали /22 - выдали только /24 :( Мм, а для раздачи "серых" IPv4 необходим большой блок реальных адресов?По вашим расчётам, сколько клиентов на один реальный адрес? да фиг знает. за неимением другого я как раз хотел пустить эту /24 под это дело. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...