URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1325
[ Назад ]

Исходное сообщение
"NAT-64 и NAT-PT"

Отправлено nixit , 23-Апр-14 06:04 
В общем идея такая:
Есть некая сеть построенная на ipv6 маршрутизации (ospfv3 only). Есть некий клиентский шлюз - cisco 2900. Есть некие клиенты, оборудование которых не поддерживает ipv6. Хотелось бы терменировать сети ipv4, отдавать их клиенту, а на роутере транслировать ipv4 в ipv6.

Интерфейс смотрит в сторону ABR:
interface GigabitEthernet0/0.202
description #ospf_area_1#
encapsulation dot1Q 202
nat64 enable
ipv6 address XXXX:XXXX:15:1::1/96
ipv6 enable
ipv6 ospf 1 area 1
end

Интерфейс в сторону клиентов:
interface GigabitEthernet0/1.204
description _test_nat-pt_
encapsulation dot1Q 204
ip address 192.168.0.1 255.255.255.0
nat64 enable
end

Настройки nat:
nat64 prefix stateless XXXX:XXXX:15:1::/96

Когда пытаюсь выполнить команду
nat64 route 192.168.0.0/24 GigabitEthernet0/0.202
Cisco ругается:
% 192.168.0.0 is assigned to GigabitEthernet0/1.204
NAT64: Failed at v4 route sanity check.

Видимо сеть, можно добавить только ту, что не терменируется на роутере.

Может, тоже самое можно сделать с помощью NAT-PT? Если честно, не вкурил как это сделать.


Содержание

Сообщения в этом обсуждении
"NAT-64 и NAT-PT"
Отправлено eek , 23-Апр-14 15:41 
Просто для информации: Дойчетелеком такое не осилил.
Они тащат через опорную сеть (которая у них на ipv6) весь ipv4 траффик внутри тунелей l2tpv3.

Это я не к тому, что это не возможно.
Наверное возможно, но тут уже как в анекдоте "или крест сними или трусы надень".


"NAT-64 и NAT-PT"
Отправлено nixit , 24-Апр-14 03:09 
> Просто для информации: Дойчетелеком такое не осилил.
> Они тащат через опорную сеть (которая у них на ipv6) весь ipv4
> траффик внутри тунелей l2tpv3.
> Это я не к тому, что это не возможно.
> Наверное возможно, но тут уже как в анекдоте "или крест сними или
> трусы надень".

Теоретически возможно, а практически не работает что-то. С тоннелями слишком гемора много, да и нагрузка возрастает.

Неужели, никто не ковырял трансляцию v4 в v6?


"NAT-64 и NAT-PT"
Отправлено eek , 24-Апр-14 10:49 
> Теоретически возможно, а практически не работает что-то. С тоннелями слишком гемора много,
> да и нагрузка возрастает.
> Неужели, никто не ковырял трансляцию v4 в v6?

Проблема то не новая :).
Поэтому если сетка относительно не большая, то dual-stack.
Если большая то ipv4/mpls + frr(по желанию) на траснпорт и тогда тяни по верху что хочешь.


"NAT-64 и NAT-PT"
Отправлено nixit , 25-Апр-14 02:55 
>> Теоретически возможно, а практически не работает что-то. С тоннелями слишком гемора много,
>> да и нагрузка возрастает.
>> Неужели, никто не ковырял трансляцию v4 в v6?
> Проблема то не новая :).
> Поэтому если сетка относительно не большая, то dual-stack.
> Если большая то ipv4/mpls + frr(по желанию) на траснпорт и тогда тяни
> по верху что хочешь.

Проблема в том, что с вышестоящим провайдером стык по bgp с ipv6 и блок PI адресов тоже ipv6. Так что, не выйдет...


"NAT-64 и NAT-PT"
Отправлено eek , 25-Апр-14 06:18 
> Проблема в том, что с вышестоящим провайдером стык по bgp с ipv6
> и блок PI адресов тоже ipv6. Так что, не выйдет...

Я вашего горе понять могу, но вы же как-бы сервис продаете... Кто-то нарисовал проект (бизнес план если угодно), кто-то дал на него денег. Тут серьезный вопрос встает по компетентности граждан...

Ответ на вопрос "Что делать?", думаю, вы знаете и сами.
Полуйчайте PI ipv4, на времянку можно PA у аплинков попросить.


"NAT-64 и NAT-PT"
Отправлено nixit , 26-Апр-14 15:41 
>> Проблема в том, что с вышестоящим провайдером стык по bgp с ipv6
>> и блок PI адресов тоже ipv6. Так что, не выйдет...
> Я вашего горе понять могу, но вы же как-бы сервис продаете... Кто-то
> нарисовал проект (бизнес план если угодно), кто-то дал на него денег.
> Тут серьезный вопрос встает по компетентности граждан...
> Ответ на вопрос "Что делать?", думаю, вы знаете и сами.
> Полуйчайте PI ipv4, на времянку можно PA у аплинков попросить.

Вопрос - получилось ли у кого-то настроить nat64 или nat-pt. IPv4 не выдают нынче.


"NAT-64 и NAT-PT"
Отправлено eek , 28-Апр-14 07:14 
> Вопрос - получилось ли у кого-то настроить nat64 или nat-pt. IPv4 не
> выдают нынче.

Товарищи, которых знаю лично, и которое на заре всего этого айпокалипсиса делали ставку на nat-pt - отказались.

Нат 6 в 4 постоянное делают мобильные операторы, для лабы собирал.

Но у вас то, как я понимаю, совсем другая задача, вы хотите пропускать ipv4 траффик сквозь ipv6 сеть, при этом endpoints у вас ipv4. (2 набора костылей)...


"NAT-64 и NAT-PT"
Отправлено nixit , 29-Апр-14 03:30 
>> Вопрос - получилось ли у кого-то настроить nat64 или nat-pt. IPv4 не
>> выдают нынче.
> Товарищи, которых знаю лично, и которое на заре всего этого айпокалипсиса делали
> ставку на nat-pt - отказались.
> Нат 6 в 4 постоянное делают мобильные операторы, для лабы собирал.
> Но у вас то, как я понимаю, совсем другая задача, вы хотите
> пропускать ipv4 траффик сквозь ipv6 сеть, при этом endpoints у вас
> ipv4. (2 набора костылей)...

Если есть безкостыльное решение с удовольствием использовал бы его. Может подскажите?

Почему отказались от nat-pt? А nat64?


"NAT-64 и NAT-PT"
Отправлено ShyLion , 29-Апр-14 06:42 
>>> Вопрос - получилось ли у кого-то настроить nat64 или nat-pt. IPv4 не
>>> выдают нынче.
>> Товарищи, которых знаю лично, и которое на заре всего этого айпокалипсиса делали
>> ставку на nat-pt - отказались.
>> Нат 6 в 4 постоянное делают мобильные операторы, для лабы собирал.
>> Но у вас то, как я понимаю, совсем другая задача, вы хотите
>> пропускать ipv4 траффик сквозь ipv6 сеть, при этом endpoints у вас
>> ipv4. (2 набора костылей)...
> Если есть безкостыльное решение с удовольствием использовал бы его. Может подскажите?
> Почему отказались от nat-pt? А nat64?

NAT64 это когда IPv6 хост хочет связаться с IPv4 хостом. Для этого на сервере NAT64 должен быть доступный адрес IPv4 для трансляции. У вас их нет, судя по вашим словам.


"NAT-64 и NAT-PT"
Отправлено nixit , 29-Апр-14 07:13 
>[оверквотинг удален]
>>> ставку на nat-pt - отказались.
>>> Нат 6 в 4 постоянное делают мобильные операторы, для лабы собирал.
>>> Но у вас то, как я понимаю, совсем другая задача, вы хотите
>>> пропускать ipv4 траффик сквозь ipv6 сеть, при этом endpoints у вас
>>> ipv4. (2 набора костылей)...
>> Если есть безкостыльное решение с удовольствием использовал бы его. Может подскажите?
>> Почему отказались от nat-pt? А nat64?
> NAT64 это когда IPv6 хост хочет связаться с IPv4 хостом. Для этого
> на сервере NAT64 должен быть доступный адрес IPv4 для трансляции. У
> вас их нет, судя по вашим словам.

Есть, на клиентских шлюзах.


"NAT-64 и NAT-PT"
Отправлено ShyLion , 29-Апр-14 07:52 
>[оверквотинг удален]
>>>> Нат 6 в 4 постоянное делают мобильные операторы, для лабы собирал.
>>>> Но у вас то, как я понимаю, совсем другая задача, вы хотите
>>>> пропускать ipv4 траффик сквозь ipv6 сеть, при этом endpoints у вас
>>>> ipv4. (2 набора костылей)...
>>> Если есть безкостыльное решение с удовольствием использовал бы его. Может подскажите?
>>> Почему отказались от nat-pt? А nat64?
>> NAT64 это когда IPv6 хост хочет связаться с IPv4 хостом. Для этого
>> на сервере NAT64 должен быть доступный адрес IPv4 для трансляции. У
>> вас их нет, судя по вашим словам.
> Есть, на клиентских шлюзах.

Это понятно. Но должен быть стык вас с Интернетом. По сути вышестоящий оператор должен на стык с вами выдать как минимум линковочный адрес.
Во вторых, если стать LIRом, можно все еще получить /24 IPv4.


"NAT-64 и NAT-PT"
Отправлено nixit , 29-Апр-14 11:21 
>[оверквотинг удален]
>>>>> ipv4. (2 набора костылей)...
>>>> Если есть безкостыльное решение с удовольствием использовал бы его. Может подскажите?
>>>> Почему отказались от nat-pt? А nat64?
>>> NAT64 это когда IPv6 хост хочет связаться с IPv4 хостом. Для этого
>>> на сервере NAT64 должен быть доступный адрес IPv4 для трансляции. У
>>> вас их нет, судя по вашим словам.
>> Есть, на клиентских шлюзах.
> Это понятно. Но должен быть стык вас с Интернетом. По сути вышестоящий
> оператор должен на стык с вами выдать как минимум линковочный адрес.
> Во вторых, если стать LIRом, можно все еще получить /24 IPv4.

p-t-p сеть тоже ipv6. Можно же в /96 сети транслировать ipv4 адреса (я НЕ про ::FFFF:0:0/96). По идее, можно транслировать в любую /96 сеть и со внешнего мира этот абонент будет доступен только по ipv6 адресу.  У клиента будет ipv4, а во внешний мир выходит ipv6. Для этого вроде бы и сделали nat-pt. Вот только не выходит что-то.

Как это выглядит:

Оператор -> BGP IPV6 -> OSPF v3 -> Клиентский роутер( fa0/0.100 ip addr = 192.168.0.1/24)

Вот адрес 192.168.0.2 должен транслироваться в XXXX:XXXX:XXXX::/96. После преобразования должно получится XXXX:XXXX:XXXX:XXXX:С0:A8:0:2. Причем, на каждый клиенский роутер будет выделяться /96 сеть. Трансляция должна происходить на клиентском роутере, дабы по маршрутизации все шло в ipv6.


"NAT-64 и NAT-PT"
Отправлено ShyLion , 29-Апр-14 13:31 
> Оператор -> BGP IPV6 -> OSPF v3 -> Клиентский роутер( fa0/0.100 ip
> addr = 192.168.0.1/24)
> Вот адрес 192.168.0.2 должен транслироваться в XXXX:XXXX:XXXX::/96. После преобразования
> должно получится XXXX:XXXX:XXXX:XXXX:С0:A8:0:2. Причем, на каждый клиенский роутер будет
> выделяться /96 сеть. Трансляция должна происходить на клиентском роутере, дабы по
> маршрутизации все шло в ipv6.

Клиенту нужен 1.2.3.4, который про IPv6 не слыхал вообще. Каким образом траффик от клиента и обратно должен ходить, если у тебя нет IPv4 вообще? Какой соурс IP увидит 1.2.3.4?


"NAT-64 и NAT-PT"
Отправлено nixit , 29-Апр-14 15:44 
>> Оператор -> BGP IPV6 -> OSPF v3 -> Клиентский роутер( fa0/0.100 ip
>> addr = 192.168.0.1/24)
>> Вот адрес 192.168.0.2 должен транслироваться в XXXX:XXXX:XXXX::/96. После преобразования
>> должно получится XXXX:XXXX:XXXX:XXXX:С0:A8:0:2. Причем, на каждый клиенский роутер будет
>> выделяться /96 сеть. Трансляция должна происходить на клиентском роутере, дабы по
>> маршрутизации все шло в ipv6.
> Клиенту нужен 1.2.3.4, который про IPv6 не слыхал вообще. Каким образом траффик
> от клиента и обратно должен ходить, если у тебя нет IPv4
> вообще? Какой соурс IP увидит 1.2.3.4?

Будет транслироваться в v6. И обратно из v6 в v4, не? Ходить будет адрес v6, а на клиентском роутере преобразовываться из v4 в v6 и обратно из v6 в v4. Как-то так я себе это вижу.
Или, так не выйдет?


"NAT-64 и NAT-PT"
Отправлено Merridius , 29-Апр-14 16:01 
>[оверквотинг удален]
>>> выделяться /96 сеть. Трансляция должна происходить на клиентском роутере, дабы по
>>> маршрутизации все шло в ipv6.
>> Клиенту нужен 1.2.3.4, который про IPv6 не слыхал вообще. Каким образом траффик
>> от клиента и обратно должен ходить, если у тебя нет IPv4
>> вообще? Какой соурс IP увидит 1.2.3.4?
> Будет транслироваться в v6. И обратно из v6 в v4, не? Ходить
> будет адрес v6, а на клиентском роутере преобразовываться из v4 в
> v6 и обратно из v6 в v4. Как-то так я себе
> это вижу.
> Или, так не выйдет?

Получается вы хотите решение своей проблемы свалить на клиентов? А если у клиентов оборудование такого не позволяет?


"NAT-64 и NAT-PT"
Отправлено nixit , 30-Апр-14 01:14 
>[оверквотинг удален]
>>> Клиенту нужен 1.2.3.4, который про IPv6 не слыхал вообще. Каким образом траффик
>>> от клиента и обратно должен ходить, если у тебя нет IPv4
>>> вообще? Какой соурс IP увидит 1.2.3.4?
>> Будет транслироваться в v6. И обратно из v6 в v4, не? Ходить
>> будет адрес v6, а на клиентском роутере преобразовываться из v4 в
>> v6 и обратно из v6 в v4. Как-то так я себе
>> это вижу.
>> Или, так не выйдет?
> Получается вы хотите решение своей проблемы свалить на клиентов? А если у
> клиентов оборудование такого не позволяет?

Клиентский роутер - наше оборудование. Например cisco 2960.


"NAT-64 и NAT-PT"
Отправлено ShyLion , 30-Апр-14 07:01 
>[оверквотинг удален]
>>>> от клиента и обратно должен ходить, если у тебя нет IPv4
>>>> вообще? Какой соурс IP увидит 1.2.3.4?
>>> Будет транслироваться в v6. И обратно из v6 в v4, не? Ходить
>>> будет адрес v6, а на клиентском роутере преобразовываться из v4 в
>>> v6 и обратно из v6 в v4. Как-то так я себе
>>> это вижу.
>>> Или, так не выйдет?
>> Получается вы хотите решение своей проблемы свалить на клиентов? А если у
>> клиентов оборудование такого не позволяет?
> Клиентский роутер - наше оборудование. Например cisco 2960.

Рано или поздно, кто-то в цепочке должен будет транслировать 192.168.х.х в реальный IPv4 адрес. Кому это кроме вас и вашего клиента должно быть нужно? Еще раз спрошу - чей реальный IP должен увидеть в соурс адресе сферический хост в интернете 1.2.3.4 ?


"NAT-64 и NAT-PT"
Отправлено eek , 30-Апр-14 07:08 
Коллега, это либо троль либо школьник.
Не тратье время, все решения даны в начале темы.



"NAT-64 и NAT-PT"
Отправлено ShyLion , 30-Апр-14 07:27 
> Коллега, это либо троль либо школьник.
> Не тратье время, все решения даны в начале темы.

Я как бы сам не эксперт, мне интересно поразбираться.


"NAT-64 и NAT-PT"
Отправлено nixit , 30-Апр-14 16:45 
>[оверквотинг удален]
>>>> v6 и обратно из v6 в v4. Как-то так я себе
>>>> это вижу.
>>>> Или, так не выйдет?
>>> Получается вы хотите решение своей проблемы свалить на клиентов? А если у
>>> клиентов оборудование такого не позволяет?
>> Клиентский роутер - наше оборудование. Например cisco 2960.
> Рано или поздно, кто-то в цепочке должен будет транслировать 192.168.х.х в реальный
> IPv4 адрес. Кому это кроме вас и вашего клиента должно быть
> нужно? Еще раз спрошу - чей реальный IP должен увидеть в
> соурс адресе сферический хост в интернете 1.2.3.4 ?

Я как бы тоже не эксперт. Но, насколько я помню в ipv6 есть диапазон адресов IPv4 embedded. Соответсвенно для белого адреса 1.2.3.4 будет существовать ipv6 адрес ::ffff:102:304. Для серого же адреса 192.168.0.2 (с учетом того, что у меня есть сеть 2000:0:15::/96) трансляция будет 2000:0:15::c0a8:0002.

Вот 1.2.3.4 (::ffff:102:304) увидит 2000:0:15::c0a8:0002. Насколько я могу понять.


"NAT-64 и NAT-PT"
Отправлено ShyLion , 30-Апр-14 21:37 
> Вот 1.2.3.4 (::ffff:102:304) увидит 2000:0:15::c0a8:0002. Насколько я могу понять.

1.2.3.4 и его провайдер и провайдер его провайдера не знает о ipv6 вообще ничего. Какой адрес источника он увидит?


"NAT-64 и NAT-PT"
Отправлено mas , 08-Июл-15 09:43 
>> Вот 1.2.3.4 (::ffff:102:304) увидит 2000:0:15::c0a8:0002. Насколько я могу понять.
> 1.2.3.4 и его провайдер и провайдер его провайдера не знает о ipv6
> вообще ничего. Какой адрес источника он увидит?

Добрый день, коллеги.

Планируется в применении подобная схема.
2 провайдера bgp ipv6, внутренняя сеть на ipv4.
так же статическая трансляция например 111:111::2 -> 10.0.0.2 и обратно
Удалось победить проблему?