Mithilfe von NAT64-Regeln führt ein NSX Edge eine Netzwerkadressübersetzung durch, um Datenverkehr von externen IPv6-Subnetzen zu internen IPv4-Subnetzen zuzulassen.

NAT64 unterstützt eine Kommunikation, die von einem reinen IPv6-Knoten mit einem reinen IPv4-Knoten initiiert wird.

NAT64 unterstützt die folgenden Schicht-4-Protokolle:
  • TCP
  • UDP
  • ICMP
    • Nur ICMP-Echoanforderung und -antwort.
    • ICMPv4-Fehler werden unterstützt, ICMPv6-Fehler dagegen nicht.
Alle anderen Protokolltyppakete werden verworfen.

Die Übersetzung der IPv4-Optionen, IPv6-Routing-Header, Hop-für-Hop-Erweiterungs-Header, Zieloptionen-Header und Quell-Routing-Header wird nicht unterstützt. FTP wird nicht unterstützt. Fragmentierte Pakete werden nicht unterstützt.

NSX Edge-Hochverfügbarkeit wird mit NAT64 nicht unterstützt. NAT64-Sitzungen werden zwischen aktiven und Standby-Appliances nicht synchronisiert. Bei Auftreten eines Failover ist deshalb die Konnektivität unterbrochen.

Wenn Sie Protokolle für ein dynamisches Routing konfiguriert haben, werden die IPv4-Präfixe neu verteilt.

Für den NAT64-Datenverkehr gelten die folgenden Timer:
Tabelle 1. NAT64-Timer
Protokoll Zeitüberschreitung
TCP Eingehende TCP-SYNCHRONISIERUNG

6 Sekunden

TCP-HERGESTELLT

2 Stunden

TCP-Übertragung

4 Minuten

UDP 5 Minuten
ICMP 1 Minute

Voraussetzungen

  • Konfigurieren Sie eine Uplink-Schnittstelle des Edge Services Gateway mit einer Adresse im IPv6-Netzwerk.
  • Konfigurieren Sie eine interne Schnittstelle des Edge Services Gateway mit einer Adresse im IPv4-Netzwerk.
  • Stellen Sie sicher, dass diese Adressen nicht an einer anderen Stelle in Ihrer Umgebung verwendet werden.

Prozedur

  1. Navigieren Sie im vSphere Web Client zu Netzwerk und Sicherheit (Networking & Security) > NSX Edges.
  2. Doppelklicken Sie auf eine NSX Edge-Instanz.
  3. Klicken Sie auf Verwalten (Manage) > NAT.
  4. Wählen Sie im Dropdown-Menü Ansicht (View) die Option NAT64 aus.
  5. Klicken Sie auf Hinzufügen (Add) und geben Sie die NAT64-Parameter ein.
    Option Beschreibung
    Auf IPv6-Zielpräfix abstimmen

    Geben Sie ein IPv6-Netzwerkpräfix (Netzwerkadresse) oder eine bestimmte IPv6-Adresse in CIDR-Notation ein.

    Da NAT64 Konnektivität von IPv6-Subnetzen zu IPv4-Subnetzen bereitstellt, können Sie in den meisten Fällen ein IPv6-Netzwerkpräfix anstelle einer bestimmten IPv6-Adresse eingeben.

    NAT64 verwendet das IPv6-Netzwerkpräfix, das Sie in diesem Textfeld angeben, um die IPv4-Zieladressen den IPv6-Zieladressen zuzuordnen. Die Präfixlänge muss sich auf eine der folgenden Zeichenzahlen belaufen: 32, 40, 48, 56, 64 oder 96.

    Wenn Sie z. B. das /96-Netzwerkpräfix verwenden, fügt NAT64 das hexadezimale Äquivalent der IPv4 Zieladresse an das IPv6-Adressen-Netzwerkpräfix an. Ein Beispiel finden Sie in der beispielhaften NAT64-Regel nach diesem Verfahren.

    Hinweis: Sie können das bekannte, in RFC 6052 definierte Präfix „64:ff9b::/96“ oder eine beliebige andere IPv6-Adresse in der CIDR-Notation verwenden, die nicht bereits in Ihrer Umgebung verwendet wird.
    Übersetztes IPv4-Quellpräfix

    Optional: Geben Sie ein IPv4-Netzwerkpräfix (Netzwerkadresse) oder eine bestimmte IPv4-Adresse in CIDR-Notation ein.

    Stellen Sie sicher, dass das IPv4-Netzwerkpräfix oder die IPv4-Adresse nicht bereits in Ihrer Umgebung verwendet wird.

    Da NAT64 Konnektivität von IPv6-Subnetzen zu IPv4-Subnetzen bereitstellt, können Sie in den meisten Fällen ein IPv4-Netzwerkpräfix anstelle einer bestimmten IPv4-Adresse eingeben.

    NAT64 verwendet eine IP-Adresse aus dem IPv4-Netzwerkpräfix, um die IPv6-Quelladresse in eine IPv4-Quelladresse zu übersetzen. Ein Beispiel finden Sie in der beispielhaften NAT64-Regel nach diesem Verfahren.

    Hinweis:
    • Der freigegebene 100.64.0.0/16-IPv4-Adressbereich ist für NAT64 reserviert. Sie können diesen reservierten Adressbereich verwenden.
    • Wenn Sie dieses Textfeld leer lassen, verwendet die NAT64-Regel automatisch den reservierten Adressbereich, wenn Sie die Regel veröffentlichen.
    Beschreibung Optionale Beschreibung für die Regel.
    „Aktiviert“ oder „Status“ Aktiviert die NAT64-Regel.
    „Protokollierung aktivieren“ oder „Protokollierung“ Aktiviert die Protokollierung für die NAT64-Regel.
  6. Klicken Sie auf Hinzufügen, um die Regel zu speichern.
  7. Klicken Sie auf Veröffentlichen, damit die Regel wirksam wird.

Beispiel: Beispiel für eine NAT64-Regel

Sie möchten, dass der NSX Edge-Datenverkehr von einem Webserver (2001::20/64), der sich auf einem externen IPv6-Netzwerk befindet, auf VM 1 (10.10.10.2/30) zulässt, der sich im internen IPv4-Subnetz befindet.


Diagramm zeigt den Fluss des Datenverkehrs von einem Web1-Computer über ein externes IPv6-Subnetz zu VM1 im privaten IPv4-Subnetz an.
Die NAT64-Regel in diesem Beispiel verwendet die folgenden beispielhaften Werte:
  • Auf IPv6-Zielpräfix abstimmen: 64:ff90::/96
  • Übersetztes IPv4-Quell-Präfix: 30.30.30.0/24

Die folgende Bildschirmaufnahme zeigt die veröffentlichte Regel. Die Regel-ID wird automatisch generiert und kann in Ihrer Umgebung variieren.

Abbildung 1. Definition der NAT64-Regel

Definition der NAT64-Regel verwendet 64:ff90:/96 als IPv6-Ziel-Präfix und 30.30.30.0/24 als IPv4-Quell-Präfix.

Die NAT64-Regel verwendet die Hex-Entsprechung der Ziel-IPv4-Adresse (10.10.10.2) und hängt diese an das IPv6-Netzwerkpräfix (64: ff90::) an, um die IPv6-Zieladresse zu bilden: 64:ff90::a0a:a02.

Die Regel nimmt eine beliebige IP-Adresse aus dem übersetzten IPv4-Quell-Präfix (30.30.30.0/24) auf. Angenommen, die Regel nimmt 30.30.30.32 auf. NAT64 verwendet diese IPv4-Quelladresse, um die Zieladresse 64:ff90::a0a:a02 in die tatsächliche IPv4-Zieladresse (10.10.10.2) zu übersetzen

Führen Sie nach der Veröffentlichung der Regel die folgenden Schritte aus:
  1. Melden Sie sich bei der Eingabeaufforderung des Web1-Computers an und geben Sie einen ping-Befehl für die IPv6-Zieladresse 64:ff90::a0a:a02 ein. Eine NAT64-Sitzung wird eingerichtet.
  2. Melden Sie sich bei der NSX Edge-CLI an und zeigen Sie die NAT64-Sitzung an, indem Sie den Befehl show nat64 sessions ausführen.
    Protocol     IPv6-SA     IPv6-DA               SPort     DPort     IPv4_SA        IPv4-DA      SPort     DPort
TCP          2001::20    64:ff90::a0a:a02      2055      22        30.30.30.32    10.10.10.2   2055      22