目录 1 AFT AFT 简介 AFT 应用场景 AFT 基本概念 AFT 转换方式 AFT 报文转换过程 AFT 配置任务简介 IPv6 侧发起访问时 AFT 配置任

Transcription

1 目录 1 AFT AFT 简介 AFT 应用场景 AFT 基本概念 AFT 转换方式 AFT 报文转换过程 AFT 配置任务简介 IPv6 侧发起访问时 AFT 配置任务简介 IPv4 侧发起访问时 AFT 配置任务简介 配置 AFT 开启 AFT 功能 配置 IPv6 到 IPv4 的目的地址转换策略 配置 IPv6 到 IPv4 的源地址转换策略 配置 IPv4 到 IPv6 目的地址转换策略 配置 IPv4 到 IPv6 源地址转换策略 开启 AFT 日志功能 配置 AFT 转换后 IPv4 报文的 ToS 字段值 配置 AFT 转换后 IPv6 报文的 Traffic Class 字段值 AFT 显示和维护 AFT 典型配置举例 IPv6 网络访问 IPv4 Internet IPv4 Internet 访问 IPv6 网络内部服务器 IPv4 网络和 IPv6 网络互访 IPv4 网络访问 IPv6 Internet 中的服务器 IPv6 Internet 访问 IPv4 网络 1-21 i

2 1 AFT MSR810/810-W/810-W-DB/810-LM/810-W-LM/ PoE/810-LM-HK/810-W-LM-HK/810-LMS /810-LUS/ X1/2630/3610/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/3620/362 0-DP/3640/3660/ / / SI/ SI 路由器使用集中式命令行, MSR5620/5660/5680 路由器使用分布式命令行 设备各款型对于本节所描述的特性的支持情况有所不同, 详细差异信息如下 : 型号特性描述 MSR810/810-W/810-W-DB/810-LM/810-W-LM/ PoE/ 810-LM-HK/810-W-LM-HK/810-LMS/810-LUS MSR X1 MSR 2630 MSR / MSR SI/ SI MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC MSR 3610/3620/3620-DP/3640/3660 MSR5620/5660/5680 AFT 支持支持支持支持不支持支持支持支持 1.1 AFT 简介 AFT 应用场景 IPv6 的应用是个循序渐进的过程, 在很长时间内,IPv4 网络和 IPv6 网络会同时存在且需要相互通信 AFT(Address Family Translation, 地址族转换 ) 提供了 IPv4 和 IPv6 地址之间的相互转换功能 在 IPv4 网络完全过渡到 IPv6 网络之前, 两个网络之间直接的通信可以通过 AFT 来实现 例如, 使用 AFT 可以使 IPv4 网络中的主机直接访问 IPv6 网络中的 FTP 服务器 如图 1-1 所示,AFT 作用于 IPv4 和 IPv6 网络边缘设备上, 所有的地址转换过程都在该设备上实现, 对 IPv4 和 IPv6 网络内的用户来说是透明的, 即用户不必改变目前网络中主机的配置就可实现 IPv6 网络与 IPv4 网络的通信 1-1

3 图 1-1 AFT 应用场景 IPv6 network IPv4 network AFT IPv6 host IPv4 host AFT 基本概念 1. NAT64 前缀 NAT64 前缀是长度为 或 96 位的 IPv6 地址前缀, 用来构造 IPv4 节点在 IPv6 网络中的地址, 以便 IPv4 主机与 IPv6 主机通信 网络中并不存在带有 NAT64 前缀的 IPv6 地址的主机 如图 1-2 所示,NAT64 前缀长度不同时, 地址转换方法有所不同 其中,NAT64 前缀长度为 和 96 位时,IPv4 地址作为一个整体添加到 IPv6 地址中 ;NAT64 前缀长度为 和 56 位时,IPv4 地址被拆分成两部分, 分别添加到 64~71 位的前后 图 1-2 对应 IPv4 地址带有 NAT64 前缀的 IPv6 地址格式 General prefix IPv4 address All zeros General prefix IPv4 address All zeros General prefix IPv4 address All zeros General prefix IPv4 address All zeros General prefix IPv4 address All zeros General prefix IPv4 address 2. IVI 前缀 IVI 前缀是长度为 32 位的 IPv6 地址前缀 由 IVI 前缀构成的 IVI 地址格式如图 1-3 所示 IVI 地址是 IPv6 主机实际使用的 IPv6 地址, 这个 IPv6 地址中内嵌了一个 IPv4 地址, 可以用于与 IPv4 主机通信 图 1-3 IVI 地址格式 IVI prefix FF IPv4 address Suffix

4 3. General 前缀 General 前缀与 NAT64 前缀类似, 都是长度为 或 96 位的 IPv6 地址前缀 如图 1-4 所示,General 前缀与 NAT64 前缀的区别在于,General 前缀没有 64 到 71 位的 8 位保留位,IPv4 地址作为一个整体添加到 IPv6 地址中 需要注意的是,General 前缀与 NAT64 前缀都不能与设备上的接口地址同网段 图 1-4 对应 IPv4 地址带有 General 前缀的 IPv6 地址格式 General prefix IPv4 address All zeros General prefix IPv4 address All zeros General prefix IPv4 address All zeros General prefix IPv4 address All zeros General prefix IPv4 address All zeros General prefix IPv4 address AFT 转换方式 AFT 的地址转换方式分为以下几种 : 1. 静态方式静态转换方式是指采用手工配置的 IPv6 地址与 IPv4 地址的一一对应关系来实现 IPv6 地址与 IPv4 地址的转换 2. 动态方式动态转换方式是指动态地创建 IPv6 地址与 IPv4 地址的对应关系来实现 IPv6 地址与 IPv4 地址的转换 和静态转换方式不同, 动态转换方式中 IPv6 和 IPv4 地址之间不存在固定的一一对应关系 将 IPv6 报文的源 IPv6 地址转换为 IPv4 地址时, 动态转换方式分为 NO-PAT 和 PAT 两种模式 : NO-PAT 模式 NO-PAT(Not Port Address Translation, 非端口地址转换 ) 模式下, 一个 IPv4 地址同一时间只能对应一个 IPv6 地址进行转换, 不能同时被多个 IPv6 地址共用 当使用某 IPv4 地址的 IPv6 网络用户停止访问 IPv4 网络时,AFT 会将其占用的 IPv4 地址释放并分配给其他 IPv6 网络用户使用 该模式下,AFT 设备只对报文的 IP 地址进行 AFT 转换, 同时会建立一个 NO-PAT 表项用于记录 IPv6 地址和 IPv4 地址的映射关系, 并不涉及端口转换, 可支持所有 IP 协议的报文 PAT 模式 PAT(Port Address Translation, 端口地址转换 ) 模式下, 一个 IPv4 地址可以同时被多个 IPv6 地址共用 该模式下,AFT 设备需要对报文的 IP 地址和传输层端口同时进行转换, 且只支持 TCP UDP 和 ICMPv6(Internet Control Message Protocol for IPv6,IPv6 互联网控制消息协议 ) 查询报文 1-3

5 PAT 模式的动态转换策略支持对端口块大小进行限制, 从而达到限制转换和溯源的目的 可划分的端口号范围为 1024~65535, 剩余不足划分的部分则不会进行分配 IPv6 主机首次发起连接时, 为该地址分配一个用于转换的 IPv4 地址, 以及该 IPv4 地址的一个端口块 后续从该 IPv6 主机发起的连接都使用这个 IPv4 地址和端口块里面的端口进行转换, 直到端口块里面的端口用尽 3. 前缀方式前缀转换有以下三种方式 : NAT64 前缀转换 :IPv4 侧发起访问时,AFT 利用 NAT64 前缀将报文的源 IPv4 地址转换为 IPv6 地址 ;IPv6 侧发起访问时,AFT 利用 NAT64 前缀将报文的目的 IPv6 地址转换为 IPv4 地址 具体转换方式请参考图 1-2 IVI 前缀转换 : 从 IPv6 侧发起访问时,AFT 可以使用 IVI 前缀将报文的源 IPv6 地址转换为 IPv4 地址 具体转换方式请参考图 1-3 General 前缀转换 : 从 IPv6 侧发起访问时,AFT 利用 General 前缀将报文的源 / 目的 IPv6 地址转换为 IPv4 地址 具体转换方式请参考图 IPv6 内部服务器 IPv6 内部服务器是指向 IPv4 网络主机提供服务的 IPv6 网络中的服务器 通过配置 IPv6 内部服务器, 可以将 IPv6 服务器的地址和端口映射到 IPv4 网络,IPv4 网络中的主机通过访问映射后的 IPv4 地址和端口就可以访问 IPv6 网络中的服务器 AFT 报文转换过程 IPv6 侧发起访问和 IPv4 侧发起访问的报文转换过程有所不同, 下面将分别介绍 1. IPv6 侧发起访问图 1-5 IPv6 侧发起访问的 AFT 报文转换过程 IPv6 addr: 3000:0:ff02:202:200::/48 Embedded IPv4 addr: /8 NAT64 prefix: 2000::/32 IVI prefix: 3000::/32 IPv4 addr: /8 Translated IPv6 addr: 2000:0:101:101::/40 IPv6 host AFT IPv4 host Dst: 2000:0:101:101:: Src: 3000:0:ff02:202:200:: 根据 IVI 前缀或 v6tov4 策略转换源地址 ; 根据 NAT64 前缀转换目的地址 Dst: Src: Dst: Src: Dst: 3000:0:ff02:202:200:: Src: 2000:0:101:101:: 根据记录的映射关系进行 AFT 转换 如图 1-5 所示,IPv6 侧发起访问时 AFT 设备对报文的转换过程为 : 1-4

6 (1) 判断是否需要进行 AFT 转换 :AFT 设备接收到 IPv6 网络主机 (IPv6 host) 发送给 IPv4 网络主机 (IPv4 host) 的报文后, 判断该报文是否要转发到 IPv4 网络 如果报文的目的 IPv6 地址能够匹配到 IPv6 目的地址转换策略, 则该报文需要转发到 IPv4 网络, 需要进行 AFT 转换 ; 如果未匹配到任何一种转换策略, 则表示该报文不需要进行 AFT 转换 (2) 转换报文目的地址 : 根据 IPv6 目的地址转换策略将报文目的 IPv6 地址转换为 IPv4 地址 (3) 根据目的地址预查路由 : 根据转换后的 IPv4 目的地址查找路由表, 确定报文的出接口 如果查找失败, 则丢弃报文 需要注意的是, 预查路由时不会查找策略路由 (4) 转换报文源地址 : 根据 IPv6 源地址转换策略将报文源 IPv6 地址转换为 IPv4 地址 如果未匹配到任何一种转换策略, 则报文将被丢弃 (5) 转发报文并记录映射关系 : 报文的源 IPv6 地址和目的 IPv6 地址都转换为 IPv4 地址后, 设备按照正常的转发流程将报文转发到 IPv4 网络中的主机 同时, 将 IPv6 地址与 IPv4 地址的映射关系保存在设备中 (6) 根据记录的映射关系转发应答报文 :IPv4 网络主机发送给 IPv6 网络主机的应答报文到达 AFT 设备后, 设备将根据已保存的映射关系进行相反的转换, 从而将报文发送给 IPv6 网络主机 2. IPv4 侧发起访问图 1-6 IPv4 侧发起访问的 AFT 报文转换过程 IPv6 addr: 3000:0:ff02:202:200::/48 Embedded IPv4 addr: /8 NAT64 prefix: 2000::/32 IVI prefix: 3000::/32 IPv4 addr: /8 Translated IPv6 addr: 2000:0:101:101::/40 IPv6 host AFT 根据 v4tov6 策略进行 AFT 转换 Dst: Src: IPv4 host Dst: 3000:0:ff02:202:200:: Src: 2000:0:101:101:: Dst: 2000:0:101:101:: Src: 3000:0:ff02:202:200:: 根据记录的映射关系进行 AFT 转换 Dst: Src: 如图 1-6 所示,IPv4 侧发起访问时 AFT 设备对报文的转换过程为 : (1) 判断是否需要进行 AFT 转换 :AFT 设备接收到 IPv4 网络主机 (IPv4 host) 发送给 IPv6 网络主机 (IPv6 host) 的报文后, 判断该报文是否要转发到 IPv6 网络 如果报文的目的 IPv4 地址能够匹配到 IPv4 目的地址转换策略, 则该报文需要转发到 IPv6 网络, 需要进行 AFT 转换 如果未匹配到任何一种转换策略, 则表示该报文不需要进行 AFT 地址转换 (2) 转换报文目的地址 : 根据 IPv4 目的地址转换策略将报文目的 IPv4 地址转换为 IPv6 地址 (3) 根据目的地址预查路由 : 根据转换后的 IPv6 目的地址查找路由表, 确定报文的出接口 如果查找失败, 则丢弃报文 需要注意的是, 预查路由时不会查找策略路由 1-5

7 (4) 转换报文源地址 : 根据 IPv4 源地址转换策略将报文源 IPv4 地址转换为 IPv6 地址 如果未匹配到任何一种转换策略, 则报文将被丢弃 (5) 转发报文并记录映射关系 : 报文的源 IPv4 地址和目的 IPv4 地址都转换为 IPv6 地址后, 设备按照正常的转发流程将报文转发到 IPv6 网络中的主机 同时, 将 IPv4 地址与 IPv6 地址的映射关系保存在设备中 (6) 根据记录的映射关系转发应答报文 :IPv6 网络主机发送给 IPv4 网络主机的应答报文到达 AFT 设备后, 设备将根据已保存的映射关系进行相反的转换, 从而将报文发送给 IPv4 网络主机 1.2 AFT 配置任务简介 IPv6 侧发起访问时 AFT 配置任务简介如表 1-1 所示,IPv6 主机主动向 IPv4 主机发起访问时,AFT 设备上需要配置以下内容 表 1-1 IPv6 侧发起访问时 AFT 配置任务简介 配置任务 说明 详细配置 开启 AFT 功能 必选 配置 IPv6 到 IPv4 的目的地址转换策略 必选 配置 IPv6 到 IPv4 的源地址转换策略 必选 开启 AFT 日志功能 可选 配置 AFT 转换后 IPv4 报文的 ToS 字段值 可选 IPv4 侧发起访问时 AFT 配置任务简介如表 1-2 所示,IPv4 主机主动向 IPv6 主机发起访问时,AFT 设备上需要配置以下内容 表 1-2 IPv4 侧发起访问时 AFT 配置任务简介 配置任务 说明 详细配置 开启 AFT 功能 必选 配置 IPv4 到 IPv6 的目的地址转换策略 必选 配置 IPv4 到 IPv6 的源地址转换策略 必选 开启 AFT 日志功能 可选 配置 AFT 转换后 IPv6 报文的 Traffic Class 字段值 可选

8 1.3 配置 AFT 开启 AFT 功能只有在连接 IPv4 网络和 IPv6 网络的接口上都开启 AFT 功能后, 才能实现 IPv4 报文和 IPv6 报文之间的相互转换 表 1-3 开启 AFT 功能 操作 命令 说明 进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 开启 AFT 功能 aft enable 缺省情况下,AFT 功能处于关闭状态 配置 IPv6 到 IPv4 的目的地址转换策略 IPv6 目的地址转换策略匹配的优先级从高到低为 : IPv4 到 IPv6 的源地址静态转换策略 : 该策略确定了一个 IPv4 地址和一个 IPv6 地址的对应关系 根据该对应关系, 可以将报文中的 IPv6 目的地址转换为 IPv4 地址 General 前缀 : 根据 General 前缀, 取出 IPv6 目的地址中内嵌的 IPv4 地址, 作为转换后的 IPv4 地址 NAT64 前缀 : 根据 NAT64 前缀, 取出 IPv6 目的地址中内嵌的 IPv4 地址, 作为转换后的 IPv4 地址 表 1-4 配置 IPv6 到 IPv4 的目的地址转换策略 操作命令说明进入系统视图 system-view - 配置 IPv4 到 IPv6 源地址静态转换策略 配置 General 前缀 配置 NAT64 前缀 aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv 6-address [ vpn-instance ipv6-vpn-instance-name ] aft prefix-general prefix-general prefix-length aft prefix-nat64 prefix-nat64 prefix-length 三者选其一根据 aft v4tov6 source 命令指定的对应关系可实现 IPv6 到 IPv4 目的地址转换缺省情况下, 不存在 IPv6 到 IPv4 的目的地址转换策略 配置 IPv6 到 IPv4 的源地址转换策略 IPv6 源地址转换策略匹配的优先级从高到低为 : IPv6 到 IPv4 的源地址静态转换策略 : 该策略确定了一个 IPv6 源地址和一个 IPv4 源地址的对应关系 根据这个对应关系, 可以将报文中的 IPv6 源地址转换为 IPv4 地址 1-7

9 General 前缀 : 根据 General 前缀, 取出 IPv6 源地址中内嵌的 IPv4 地址, 作为转换后的 IPv4 源地址 IVI 前缀 : 根据 IVI 前缀, 取出 IPv6 源地址中内嵌的 IPv4 地址, 作为转换后的 IPv4 源地址 IPv6 到 IPv4 的源地址动态转换策略 : 如果报文匹配指定的 ACL 规则或 NAT64 前缀, 则根据本策略从指定的地址组中动态选取一个 IPv4 地址作为转换后的源 IPv4 地址 表 1-5 配置 IPv6 到 IPv4 的源地址转换策略操作命令说明进入系统视图 system-view - 创建一个 AFT 地址组, 并进入 AFT 地址组视图 添加地址组成员 aft address-group group-id address start-address end-address 在配置 IPv6 到 IPv4 源地址动态转换策略前, 根据实际情况选配缺省情况下, 设备上不存在任何 AFT 地址组 缺省情况下, 地址组内不存在任何地址组成员可通过多次执行本命令添加多个地址组成员当前地址组成员的 IP 地址段不能与该地址组中或者其它地址组中已有成员的 IP 地址段重叠 退回系统视图 quit - 配置 IPv6 到 IPv4 源地址静态转换策略 配置 IPv6 到 IPv4 的源地址动态转换策略 配置 General 前缀 配置 IVI 前缀 aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-addres s [ vpn-instance ipv4-vpn-instance-name ] aft v6tov4 source { acl ipv6 { name ipv6-acl-name number ipv6-acl-number } prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } { address-group group-id [ no-pat port-block-size blocksize ] interface interface-type interface-number } [ vpn-instance ipv4-vpn-instance-name ] aft prefix-general prefix-general prefix-length aft prefix-ivi prefix-ivi 四者选其一缺省情况下, 不存在 IPv6 到 IPv4 的源地址转换策略 配置 IPv4 到 IPv6 目的地址转换策略 IPv4 目的地址转换策略的匹配优先级从高到低为 : IPv6 内部服务器 : 该策略将 IPv6 服务器映射到 IPv4 网络, 该配置确定了 IPv6 目的地址和端口对应的 IPv4 地址和端口, 根据这个对应关系, 设备可以将 IPv4 目的地址和端口转换为 IPv6 目的地址和端口 IPv6 到 IPv4 的源地址静态转换策略 : 该策略确定了一个 IPv6 地址和一个 IPv4 地址的对应关系 根据这个对应关系, 可以将报文中的 IPv4 目的地址转换为 IPv6 地址 1-8

10 IPv4 到 IPv6 的目的地址动态转换策略 : 该策略规定了符合指定 ACL 规则的报文可以使用指定的 IVI 前缀或 General 前缀进行目的地址转换, 即使用报文中的 IPv4 目的地址与策略中的 IVI 前缀或 General 前缀组合成 IPv6 地址, 作为转换后的 IPv6 目的地址 表 1-6 配置 IPv4 到 IPv6 目的地址转换策略操作命令说明进入系统视图 system-view - 配置 IPv6 侧服务器对应的 IPv4 地址及端口 配置 IPv6 到 IPv4 源地址静态转换策略 配置 IPv4 到 IPv6 目的地址动态转换策略 aft v6server protocol protocol-type ipv4-destination-address i pv4-port-number [ vpn-instance ipv4-vpn-instance-name ] ipv6-de stination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ] aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-add ress [ vpn-instance ipv4-vpn-instance-name ] aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] number ipv4-acl-number { prefix-general prefix-general prefix-length prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] } } 三者选其一根据 aft v6tov4 source 命令指定的对应关系, 可实现 IPv4 到 IPv6 的目的地址转换缺省情况下, 不存在 IPv4 到 IPv6 目的地址转换策略引用 IVI 前缀或 General 前缀之前, 需要先进行 IVI 前缀或 General 前缀的配置, 转换策略才能生效 配置 IPv4 到 IPv6 源地址转换策略 IPv4 源地址转换策略的匹配优先级从高到低为 : IPv4 到 IPv6 的源地址静态转换策略 : 该策略确定了一个 IPv4 源地址和一个 IPv6 源地址的对应关系 根据这个对应关系, 可以将报文中的 IPv4 源地址转换为 IPv6 地址 IPv4 到 IPv6 的源地址动态转换策略 : 该策略规定了匹配指定 ACL 规则的报文可以使用指定的 NAT64 前缀或 General 前缀进行源地址转换, 即使用报文中的 IPv4 源地址与策略中的 NAT64 前缀或 General 前缀组合成 IPv6 地址, 作为转换后的 IPv6 源地址 NAT64 前缀 : 如果报文没有匹配到前面两种转换策略, 则使用第一个 NAT64 前缀进行转换, 使用报文中的 IPv4 源地址与 NAT64 前缀组合成 IPv6 地址, 作为转换后的 IPv6 源地址 表 1-7 配置 v4tov6 源地址转换策略 操作命令说明进入系统视图 system-view - 配置 IPv4 到 IPv6 源地址静态转换策略 aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-add ress [ vpn-instance ipv6-vpn-instance-name ] 三者选其一缺省情况下, 不存 1-9

11 操作命令说明 配置 IPv4 到 IPv6 源地址动态转换策略 配置 NAT64 前缀 aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] number ipv4-acl-number { prefix-general prefix-general prefix-length prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } } aft prefix-nat64 prefix-nat64 prefix-length 在 IPv4 到 IPv6 源地址转换策略引用 NAT64 前缀或 General 前缀之前, 需要先进行 NAT64 前缀或 General 前缀的配置, 转换策略才能生效 开启 AFT 日志功能 为了满足网络管理员安全审计的需要, 可以开启 AFT 日志功能, 以便对 AFT 连接 (AFT 连接是指报文经过设备时, 源或目的地址进行过 AFT 转换的连接 ) 信息进行记录 表 1-8 配置 AFT 日志操作命令说明进入系统视图 system-view - 开启 AFT 日志功能 开启 AFT 流创建的日志功能 开启 AFT 流删除的日志功能 aft log enable aft log flow-begin aft log flow-end 缺省情况下,AFT 日志功能处于关闭状态 缺省情况下,AFT 新建流的日志功能处于关闭状态 缺省情况下,AFT 删除流的日志功能处于关闭状态 配置 AFT 转换后 IPv4 报文的 ToS 字段值用户可以设置在进行 AFT 转换后,IPv4 报文中 ToS 字段的取值 : 为 0: 表示将转换后报文的服务优先级降为最低 与转换前对应的 ToS 字段取值相同 : 表示保持原有的服务优先级 表 1-9 配置 AFT 转换后 IPv4 报文 ToS 字段值 操作命令说明进入系统视图 system-view - 配置 IPv6 报文转换为 IPv4 报文后,IPv4 报文的 ToS 字段值为 0 aft turn-off tos 缺省情况下, 当 IPv6 报文转换为 IPv4 报文后,IPv4 报文中的 ToS 字段与转换前的 IPv6 报文的 Traffic Class 字段值相同 配置 AFT 转换后 IPv6 报文的 Traffic Class 字段值 用户可以设置在 AFT 转换后,IPv6 报文中 Traffic Class 字段的取值 : 1-10

12 为 0: 表示将转换后报文的服务优先级降为最低 与转换前对应的 Traffic Class 字段取值相同 : 表示保持原有的服务优先级 表 1-10 配置 AFT 转换后 IPv6 报文的 Traffic Class 字段值操作命令说明进入系统视图 system-view - 配置 IPv4 报文转换为 IPv6 报文后,IPv6 报文的 Traffic Class 字段值为 0 aft turn-off traffic-class 缺省情况下, 当 IPv4 报文转换为 IPv6 报文后,IPv6 报文中的 Traffic Class 字段与转换前的 IPv4 报文的 ToS 字段值相同 1.4 AFT 显示和维护 表 1-11 AFT 显示和维护 操作 命令 显示 AFT 配置信息 display aft configuration 显示地址组信息 display aft address-group [ group-id ] 显示 AFT 地址映射信息 ( 集中式设备 - 独立运行模式 ) display aft address-mapping 显示 AFT 地址映射信息 ( 分布式设备 - 独立运行模式 / 集中式设备 -IRF 模式 ) 显示 AFT 地址映射信息 ( 分布式设备 -IRF 模式 ) 显示 AFT NO-PAT 表项信息 ( 集中式设备 - 独立运行模式 ) 显示 AFT NO-PAT 表项信息 ( 分布式设备 - 独立运行模式 / 集中式设备 -IRF 模式 ) 显示 AFT NO-PAT 表项信息 ( 分布式设备 -IRF 模式 ) 显示 AFT 端口块映射表项信息 ( 集中式设备 - 独立运行模式 ) 显示 AFT 端口块映射表项信息 ( 分布式设备 - 独立运行模式 / 集中式设备 -IRF 模式 ) 显示 AFT 端口块映射表项信息 ( 分布式设备 -IRF 模式 ) 显示 AFT 会话 ( 集中式设备 - 独立运行模式 ) display aft address-mapping [ slot slot-number ] display aft address-mapping [ chassis chassis-number slot slot-number ] display aft no-pat display aft no-pat [ slot slot-number ] display aft no-pat [ chassis chassis-number slot slot-number ] display aft port-block display aft port-block [ slot slot-number ] display aft port-block [ chassis chassis-number slot slot-number ] display aft session ipv4 [ { source-ip source-ip-address destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ verbose ] 1-11

13 操作 显示 AFT 会话 ( 分布式设备 - 独立运行模式 / 集中式设备 -IRF 模式 ) 显示 AFT 会话 ( 分布式设备 -IRF 模式 ) 显示 AFT 统计信息 ( 集中式设备 - 独立运行模式 ) 显示 AFT 统计信息 ( 分布式设备 - 独立运行模式 / 集中式设备 -IRF 模式 ) 显示 AFT 统计信息 ( 分布式设备 -IRF 模式 ) 删除 AFT 会话 ( 集中式设备 - 独立运行模式 ) 删除 AFT 会话 ( 分布式设备 - 独立运行模式 / 集中式设备 -IRF 模式 ) 删除 AFT 会话 ( 分布式设备 -IRF 模式 ) 删除 AFT 统计信息 ( 集中式设备 - 独立运行模式 ) 删除 AFT 统计信息 ( 分布式设备 - 独立运行模式 / 集中式设备 -IRF 模式 ) 删除 AFT 统计信息 ( 分布式设备 -IRF 模式 ) 命令 display aft session ipv4 [ { source-ip source-ip-address destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ slot slot-number ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ slot slot-number ] [ verbose ] display aft session ipv4 [ { source-ip source-ip-address destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn instance-name ] ] [ chassis chassis-number slot slot-number ] [ verbose ] display aft session ipv6 [ { source-ip source-ipv6-address destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ chassis chassis-number slot slot-number ] [ verbose ] display aft statistics display aft statistics [ slot slot-number ] display aft statistics [ chassis chassis-number slot slot-number ] reset aft session reset aft session [ slot slot-number ] reset aft session [ chassis chassis-number slot slot-number ] reset aft statistics reset aft statistics [ slot slot-number ] reset aft statistics [ chassis chassis-number slot slot-number ] 1.5 AFT 典型配置举例 IPv6 网络访问 IPv4 Internet 1. 组网需求某公司将网络升级到了 IPv6, 但是仍然希望内网 2013::/96 网段的用户可以访问 IPv4 Internet, 其它网段的用户不能访问 IPv4 Internet 该公司访问 IPv4 Internet 使用的 IPv4 地址为 和

14 为满足上述需求, 本例中实现方式如下 : 使用 NAT64 前缀与 IPv4 网络中的主机地址组合成为 IPv6 地址, 此 IPv6 地址将与 IPv4 Internet 内的主机建立相应的映射关系,IPv6 网络中的主机访问该 IPv6 地址即可实现对 IPv4 Internet 的访问 报文到达 Router 后, 设备将根据 NAT64 前缀将该目的 IPv6 地址转换为对应的 IPv4 地址 使用 IPv6 到 IPv4 源地址动态转换策略将 IPv6 网络到 IPv4 网络报文的源地址转换为 IPv4 地址 或 图 1-7 IPv6 网络访问 IPv4 Internet 2013::100/ /24 IPv6 host A 2013::101/96 GE2/0/1 GE2/0/2 IPv4 Internet IPv4 server A IPv6 host B 2013::102/96 Router /24 IPv6 host C IPv4 server B 2. 配置步骤 # 按照组网图配置各接口的 IP 地址, 具体配置过程略 # 配置地址组 0 包含三个 IPv4 地址 和 <Router> system-view [Router] aft address-group 0 [Router-aft-address-group-0] address [Router-aft-address-group-0] quit # 配置 IPv6 ACL 2000, 该 ACL 用来匹配源 IPv6 地址属于 2013::/96 网段的报文 [Router] acl ipv6 basic 2000 [Router-acl-ipv6-basic-2000] rule permit source 2013:: 96 [Router-acl-ipv6-basic-2000] rule deny [Router-acl-ipv6-basic-2000] quit # 配置 IPv6 到 IPv4 的源地址动态转换策略, 将匹配 ACL 2000 的 IPv6 报文源地址转换为地址组 0 中的地址, 即将 2013::/96 网段内主机所发送报文的源 IPv6 地址转换为 IPv4 地址 或 [Router] aft v6tov4 source acl ipv6 number 2000 address-group 0 # 配置 NAT64 前缀为 2012::/96, 报文的目的地址根据该 NAT64 前缀转换为 IPv4 地址 [Router] aft prefix-nat :: 96 # 在 IPv6 侧接口 GigabitEthernet2/0/1 开启 AFT 功能 [Router] interface gigabitethernet 2/0/1 [Router-GigabitEthernet2/0/1] aft enable [Router-GigabitEthernet2/0/1] quit # 在 IPv4 侧接口 GigabitEthernet2/0/2 开启 AFT 功能 [Router] interface gigabitethernet 2/0/2 1-13

15 [Router-GigabitEthernet2/0/2] aft enable [Router-GigabitEthernet2/0/2] quit 3. 验证配置 # 以上配置完成后, 检查 IPv6 Host 与 IPv4 Server 的连通性 以 IPv6 host A ping IPv4 server A 为例 : D:\>ping 2012:: Pinging 2012:: with 32 bytes of data: Reply from 2012:: : time=3ms Reply from 2012:: : time=3ms Reply from 2012:: : time=3ms Reply from 2012:: : time=3ms # 通过查看 AFT 会话, 可以看到创建了一个 IPv6 会话和 IPv4 会话, 分别对应转换前和转换后的报文 [Router] display aft session ipv6 verbose Initiator: Source IP/port: 2013::100/0 Destination IP/port: 2012::1401:0101/32768 Protocol: IPV6-ICMP(58) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 2012::1401:0101/0 Destination IP/port: 2013::100/33024 Protocol: IPV6-ICMP(58) Inbound interface: GigabitEthernet2/0/2 State: ICMPV6_REPLY Application: OTHER Start time: :52:59 TTL: 23s Initiator->Responder: 4 packets 320 bytes Responder->Initiator: 4 packets 320 bytes Total sessions found: 1 [Router] display aft session ipv4 verbose Initiator: Source IP/port: /1025 Destination IP/port: /2048 DS-Lite tunnel peer: - Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: /1025 Destination IP/port: /0 DS-Lite tunnel peer:

16 Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/2 State: ICMP_REPLY Application: OTHER Start time: :52:59 TTL: 27s Initiator->Responder: 4 packets 240 bytes Responder->Initiator: 4 packets 240 bytes Total sessions found: IPv4 Internet 访问 IPv6 网络内部服务器 1. 组网需求某公司将网络升级到了 IPv6, 此时 Internet 仍然是 IPv4 网络 该公司希望内部的 FTP 服务器能够继续为 IPv4 Internet 的用户提供服务 该公司拥有的 IPv4 地址为 为满足上述要求, 本例实现方式如下 : 使用 IPv6 侧服务器配置将 IPv6 内部服务器的地址及端口映射为 IPv4 地址及端口,Router 收到来自 IPv4 Internet 的报文后, 根据该配置策略将报文 IPv4 目的地址转换为 IPv6 地址 ; 使用 NAT64 前缀将报文源 IPv4 地址转换为 IPv6 地址 图 1-8 IPv4 Internet 访问 IPv6 网络 /24 IPv4 host A /24 IPv4 Internet GE2/0/1 Router GE2/0/2 2013::102/96 IPv6 FTP server IPv4 host B 2. 配置步骤 # 按照组网图配置各接口的 IP 地址, 具体配置过程略 # 配置 IPv6 侧服务器对应的 IPv4 地址及端口号 IPv4 网络内用户通过访问该 IPv4 地址及端口即可访问 IPv6 服务器 <Router> system-view [Router] aft v6server protocol tcp :: # 报文的源地址将根据配置的 NAT64 前缀转换为 IPv6 地址 [Router] aft prefix-nat :: 96 # 在 IPv4 侧接口 GigabitEthernet2/0/1 开启 AFT [Router] interface gigabitethernet 2/0/1 [Router-GigabitEthernet2/0/1] aft enable [Router-GigabitEthernet2/0/1] quit # 在 IPv6 侧接口 GigabitEthernet2/0/2 开启 AFT [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] aft enable [Router-GigabitEthernet2/0/2] quit 1-15

17 3. 验证配置 # 以上配置完成后,IPv4 Host 可以通过 FTP 协议访问 IPv6 FTP Server # 通过查看 AFT 会话, 可以看到创建了一个 IPv4 会话和 IPv6 会话, 分别对应转换前和转换后的报文 [Router] display aft session ipv4 verbose Initiator: Source IP/port: /11025 Destination IP/port: /21 DS-Lite tunnel peer: - Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: /21 Destination IP/port: /11025 DS-Lite tunnel peer: - Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 State: TCP_ESTABLISHED Application: FTP Start time: :07:30 TTL: 3577s Initiator->Responder: 3 packets 124 bytes Responder->Initiator: 2 packets 108 bytes Total sessions found: 1 [Router] display aft session ipv6 verbose Initiator: Source IP/port: 2012::1401:0101/1029 Destination IP/port: 2013::102/21 Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 2013::102/21 Destination IP/port: 2012::1401:0101/1029 Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 State: TCP_ESTABLISHED Application: FTP Start time: :07:30 TTL: 3582s Initiator->Responder: 3 packets 184 bytes Responder->Initiator: 2 packets 148 bytes Total sessions found:

18 1.5.3 IPv4 网络和 IPv6 网络互访 1. 组网需求某公司内部同时部署了 IPv4 网络和 IPv6 网络, 并且希望 IPv4 网络和 IPv6 网络能够互相访问 为满足上述需求, 本例中使用如下方式实现 : 为 IPv6 网络分配一个 IVI 前缀和 IPv4 网段,IPv6 网络中所有 IPv6 主机的地址均配置为由 IVI 前缀和 IPv4 网段中地址组合而成的 IPv6 地址 为 IPv4 网络分配一个 NAT64 前缀,IPv4 网络主动访问 IPv6 网络时,IPv4 源地址使用 NAT64 前缀转换为 IPv6 地址 ;IPv6 网络主动访问 IPv4 网络时, 目的地址使用 NAT64 前缀和 IPv4 地址组合成的 IPv6 地址 图 1-9 IPv4 网络和 IPv6 网络互访 / :0:ff14:0101:100::/64 IPv4 host A IPv4 network GE2/0/1 GE2/0/2 IPv6 network IPv6 host A /24 Router 2013:0:ff14:0101:200::/64 IPv4 host B IPv6 host B 2. 配置步骤 # 按照组网图配置各接口的 IP 地址, 其中 IPv6 网络中的主机使用的 IPv6 地址根据 IVI 前缀 2013::/32 和 /24 组合而成 具体配置过程略 # 配置 ACL 2000 用来过滤需要访问 IPv6 网络的用户, 同时匹配该 ACL 2000 的报文的目的地址将会根据配置的 IVI 前缀转换为 IPv6 地址 此处所有 IPv4 网络用户均需要访问 IPv6 网络 <Router> system-view [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permit [Router-acl-ipv4-basic-2000] quit # 配置 NAT64 前缀, 用于进行 IPv4 到 IPv6 的源地址转换和 IPv6 到 IPv4 的目的地址转换 [Router] aft prefix-nat :: 96 # 配置 IVI 前缀, 用于进行 IPv6 到 IPv4 源地址转换, 且在 IPv4 到 IPv6 动态目的地址转换策略中引用该前缀 [Router] aft prefix-ivi 2013:: # 配置 IPv4 到 IPv6 动态目的地址转换策略,IPv4 到 IPv6 报文的目的 IPv4 地址转换为 IPv6 地址 [Router] aft v4tov6 destination acl number 2000 prefix-ivi 2013:: # 在 IPv4 侧接口 GigabitEthernet2/0/1 开启 AFT [Router] interface gigabitethernet 2/0/1 [Router-GigabitEthernet2/0/1] aft enable [Router-GigabitEthernet2/0/1] quit # 在 IPv6 侧接口 GigabitEthernet2/0/2 开启 AFT [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] aft enable [Router-GigabitEthernet2/0/2] quit 1-17

19 3. 验证配置 # 以上配置完成后,IPv4 host 与 IPv6 host 可以互通 以 IPv6 host A ping IPv4 host A 为例 : D:\>ping 2012::a01:0101 Pinging 2012::a01:0101 with 32 bytes of data: Reply from 2012::a01:0101: time=3ms Reply from 2012::a01:0101: time=3ms Reply from 2012::a01:0101: time=3ms Reply from 2012::a01:0101: time=3ms # 通过查看 AFT 会话, 可以看到创建了一个 IPv6 会话和 IPv4 会话, 分别对应转换前和转换后的报文 显示内容如下 : [Router] display aft session ipv6 verbose Initiator: Source IP/port: 2013:0:FF14:0101:0100::/0 Destination IP/port: 2012::0a01:0101/32768 Protocol: IPV6-ICMP(58) Inbound interface: GigabitEthernet2/0/2 Responder: Source IP/port: 2012::0a01:0101/0 Destination IP/port: 2013:0:FF14:0101:0100::/33024 Protocol: IPV6-ICMP(58) Inbound interface: GigabitEthernet2/0/1 State: ICMPV6_REPLY Application: OTHER Start time: :52:59 TTL: 23s Initiator->Responder: 4 packets 320 bytes Responder->Initiator: 4 packets 320 bytes Total sessions found: 1 [Router] display aft session ipv4 verbose Initiator: Source IP/port: /1025 Destination IP/port: /2048 DS-Lite tunnel peer: - Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/2 Responder: Source IP/port: /1025 Destination IP/port: /0 DS-Lite tunnel peer: - Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/1 State: ICMP_REPLY 1-18

20 Application: OTHER Start time: :52:59 TTL: 27s Initiator->Responder: 4 packets 240 bytes Responder->Initiator: 4 packets 240 bytes Total sessions found: IPv4 网络访问 IPv6 Internet 中的服务器 1. 组网需求 Internet 已经升级到了 IPv6, 但是某公司内部网络仍然是 IPv4 网络 而该公司内部网络的 /24 网段的用户仍需要访问 IPv6 Internet 中的服务器, 其他用户不能访问 为满足上述要求, 本例中使用如下方式实现 : 使用 IPv4 到 IPv6 源地址动态地址转换策略, 将 IPv4 报文的源地址转换为 IPv6 地址 通过 IPv6 到 IPv4 的源地址静态转换策略为 IPv6 Internet 上服务器的 IPv6 地址指定一个对应的 IPv4 地址,Router 收到发往该 IPv4 地址的报文时将其转换为对应的 IPv6 地址 图 1-10 IPv4 网络访问 IPv6 Internet /24 IPv4 host A GE2/0/1 GE2/0/2 IPv6 Internet 2013:0:ff14:0101:100::/ /24 Router IPv6 server IPv4 host B 2. 配置步骤 # 按照组网图配置各接口的 IP 地址, 具体配置过程略 # 配置 ACL 2000, 仅允许 IPv4 网络中 /24 网段的用户可以访问 IPv6 Internet <Router> system-view [Router] acl number 2000 [Router-acl-ipv4-basic-2000] rule permit source [Router-acl-ipv4-basic-2000] rule deny [Router-acl-ipv4-basic-2000] quit # 配置 NAT64 前缀, 此前缀将在 IPv4 到 IPv6 源地址动态转换策略中被调用, 将报文的源地址转换为 IPv6 地址 [Router] aft prefix-nat :: 96 # 配置 IPv4 到 IPv6 源地址动态转换策略, 将匹配 ACL 2000 报文的源地址根据 NAT64 前缀转换为 IPv6 地址 [Router] aft v4tov6 source acl number 2000 prefix-nat :: 96 # 配置 IPv6 到 IPv4 的源地址静态转换策略, 用于将报文的目的地址转换为 IPv6 地址 [Router] aft v6tov4 souce 2013:0:ff14:0101:100:: # 在 IPv4 侧接口 GigabitEthernet2/0/1 开启 AFT [Router] interface gigabitethernet 2/0/1 [Router-GigabitEthernet2/0/1] aft enable 1-19

21 [Router-GigabitEthernet2/0/1] quit # 在 IPv6 侧接口 GigabitEthernet2/0/2 开启 AFT [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] aft enable [Router-GigabitEthernet2/0/2] quit 3. 验证配置 # 以上配置完成后, 检查 IPv4 host 与 IPv6 server 的连通性 以 IPv4 host A ping IPv6 server 为例 : D:\>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=14ms TTL=63 Reply from : bytes=32 time=1ms TTL=63 Reply from : bytes=32 time=1ms TTL=63 Reply from : bytes=32 time=1ms TTL=63 # 通过查看 AFT 会话, 可以看到创建了一个 IPv4 会话和 IPv6 会话, 分别对应转换前和转换后的报文 [Router] display aft session ipv4 verbose Initiator: Source IP/port: /1025 Destination IP/port: /2048 DS-Lite tunnel peer: - Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: /1025 Destination IP/port: /0 DS-Lite tunnel peer: - Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/2 State: ICMP_REPLY Application: OTHER Start time: :52:59 TTL: 27s Initiator->Responder: 4 packets 240 bytes Responder->Initiator: 4 packets 240 bytes Total sessions found: 1 [Router] display aft session ipv6 verbose Initiator: Source IP/port: 2012::0A01:0101/0 Destination IP/port: 2013:0:FF14:0101:0100::/32768 Protocol: IPV6-ICMP(58) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 2013:0:FF14:0101:0100::/0 1-20

22 Destination IP/port: 2012::0A01:0101/33024 Protocol: IPV6-ICMP(58) Inbound interface: GigabitEthernet2/0/2 State: ICMPV6_REPLY Application: OTHER Start time: :52:59 TTL: 23s Initiator->Responder: 4 packets 320 bytes Responder->Initiator: 4 packets 320 bytes Total sessions found: IPv6 Internet 访问 IPv4 网络 1. 组网需求 Internet 已经升级到了 IPv6, 但是某公司内部网络仍然是 IPv4 网络 而该公司仍希望为 IPv6 Internet 内的用户提供 FTP 服务 该公司访问 IPv6 Internet 使用的 IPv6 地址为 2012::1 为满足上述要求, 实现方式如下 : 通过 IPv4 到 IPv6 源地址静态转换策略, 为 IPv4 网络中的 FTP 服务器地址指定一个对应的 IPv6 地址,IPv6 Internet 中的主机通过访问该 IPv6 地址可以访问 IPv4 网络中的 FTP 服务器 Router 收到发往该 IPv6 地址的报文时将其目的地址转换为对应的 IPv4 地址 通过 IPv6 到 IPv4 源地址动态转换策略, 将 IPv6 Internet 发送过来的 IPv6 报文源地址转换为 IPv4 地址 和 图 1-11 IPv6 Internet 访问 IPv4 网络 2013:0:ff0a:0101:100::/64 IPv6 host A 2013:0:ff0a:0101:200::/64 IPv6 Internet GE2/0/1 GE2/0/ /24 IPv6 host B 2013:0:ff0a:0101:300::/64 Router IPv4 FTP server IPv6 host C 2. 配置步骤 # 按照组网图配置各接口的 IP 地址, 具体配置过程略 # 配置 IPv4 到 IPv6 源地址静态转换策略, 手动指定 IPv4 与 IPv6 地址一一对应的转换关系, 此策略可将报文的目的地址转换为对应的 IPv4 地址 <Router> system-view [Router] aft v4tov6 source ::1 # 配置地址组 0 包含 2 个 IPv4 地址 : 和 [Router] aft address-group 0 [Router-aft-address-group-0] address

23 [Router-aft-address-group-0] quit # 配置 IPv6 ACL 2000, 匹配 IPv6 网络到 IPv4 网络的报文 此处允许所有 IPv6 网络内主机访问 IPv4 FTP Server [Router] acl ipv6 basic 2000 [Router-acl-ipv6-basic-2000] rule permit [Router-acl-ipv6-basic-2000] quit # 配置 IPv6 到 IPv4 的源地址动态转换策略, 将匹配 ACL 2000 的 IPv6 报文源地址转换为地址组 0 中的 IPv4 地址 或 [Router] aft v6tov4 source acl ipv6 number 2000 address-group 0 # 在 IPv6 侧接口 GigabitEthernet2/0/1 开启 AFT [Router] interface gigabitethernet 2/0/1 [Router-GigabitEtherne t2/0/1] aft enable [Router-GigabitEthernet2/0/1] quit # 在 IPv4 侧接口 GigabitEthernet2/0/2 开启 AFT [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] aft enable [Router-GigabitEthernet2/0/2] quit 3. 验证配置 # 以上配置完成后, 检查 IPv6 host 与 IPv4 FTP server 的连通性 以 IPv6 host A ping IPv4 FTP server 为例 : D:\>ping 2012::1 Pinging 2012::1 with 32 bytes of data: Reply from 2012::1: time=3ms Reply from 2012::1: time=3ms Reply from 2012::1: time=3ms Reply from 2012::1: time=3ms # 通过查看 AFT 会话, 可以看到创建了一个 IPv6 会话和 IPv4 会话, 分别对应转换前和转换后的报文 [Router] display aft session ipv6 verbose Initiator: Source IP/port: 2013:0:FF0A:0101:0100::/1029 Destination IP/port: 2012::1/21 Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 2012::1/21 Destination IP/port: 2013:0:FF0A:0101:0100::/1029 Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 State: TCP_ESTABLISHED Application: FTP Start time: :07:30 TTL: 3582s Initiator->Responder: 3 packets 184 bytes Responder->Initiator: 2 packets 148 bytes 1-22

24 Total sessions found: 1 [Router] display aft session ipv4 verbose Initiator: Source IP/port: /11025 Destination IP/port: /21 DS-Lite tunnel peer: - Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: /21 Destination IP/port: /11025 DS-Lite tunnel peer: - Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 State: TCP_ESTABLISHED Application: FTP Start time: :07:30 TTL: 3577s Initiator->Responder: 3 packets 124 bytes Responder->Initiator: 2 packets 108 bytes Total sessions found: