6.1. Preparação
A escolha de usar o NAT64 geralmente ocorre porque um dispositivo como um firewall já oferece essa possibilidade. Caso contrário, usar um proxy reverso conforme descrito acima é mais fácil e menos sujeito a erros.
6,2 Visão geral técnica
Nestes exemplos, usamos estes endereços e portas:
- O endereço IPv4 do servidor real:
192.0.2.1
- O endereço IPv6 em que o servidor proxy escuta:
2001:db8:abc:123::cafe
O NAT64 mapeia todo o endereço IPv6 para um endereço IPv4, portanto, ele se aplica a todos os protocolos e portas.
Neste exemplo, usaremos um firewall da série Juniper SRX como o gateway NAT64. Primeiro, o firewall deve ser informado para qual endereço IPv4 encaminhar o tráfego:
root # set security nat destino pool server1 address 192.0.2.1/32
Agora precisamos mapear o tráfego enviado ao endereço IPv6 para este endereço IPv4:
root # top root # edit security nat destination rule-set server1-dest root # definido da zona não confiável root # set rule rule-1 match destination-address 2001: db8: abc: 123 :: cafe / 128 root # set rule rule-1 then destination-nat pool server1
Com apenas esta configuração, o pacote está em um estado inválido. O endereço de origem do pacote ainda é um endereço IPv6 enquanto alteramos o endereço de destino para um endereço IPv4. Os pacotes podem ser totalmente IPv4 ou IPv6, mas não misturados. Portanto, agora precisamos alterar o endereço de origem do pacote para IPv4 também. Usaremos o endereço da interface IPv4 do firewall como o novo endereço de origem:
root # top root # edit security nat source rule-set server1-source root # definido da zona não confiável root # definido como zona não confiável root # set rule rule-2 match source-address 0 :: / 0 root # set rule-2 match destination-address 192.0.2.1/32 root # set rule rule-2 e depois a interface source-nat
Agora o servidor precisa ser ajustado para enviar apenas pacotes IPv4 com tamanho máximo de 1260 bytes. Como isso é feito depende do sistema operacional do servidor, mas geralmente uma opção de MTU pode ser encontrada nas configurações do adaptador de rede.
6.3. Benefícios e desvantagens desta solução
Uma grande desvantagem dessa abordagem é que ela requer mudanças no comportamento IPv4 dos servidores. Eles devem ser configurados com um MTU menor, o que afetará todo o tráfego IPv4. Se um dispositivo existente já oferece NAT64, pode ser uma maneira rápida de implantar o IPv6, e tem sido usado como tal por várias organizações.
Deixe uma resposta