Hillstone网络地址转换技术解决方案白皮书

Hillstone山石网科入侵防御白皮书Hillstone山石网科入侵防御白皮书1. 概述互联网的发展趋势表明：1. 网络攻击正逐渐从简单的网络层攻击向应用层转变，单纯的防火墙功能已经不能满足当下应用安全的需求。

旁路的入侵检测方式又不能满足对攻击源实时屏蔽的需求，与防火墙联动的入侵检测一直没有标准的联动协议来支撑。

入侵检测解决方案正在被入侵防御取代。

2. 安全漏洞、安全隐患的发生似乎是不可避免的，互联网的应用和业务却正在爆炸式的增长。

应用类型在增加，应用特征却更复杂，比如现在有很多应用都是基于HTTP等基础协议，让传统基于端口来识别应用的入侵防御解决方案已经不能适用。

如何识别出这些新的应用，从而去检测防御针对这些应用的攻击，是新一代入侵检测网关需要解决的问题。

3. 网络带宽在增加，应用类型在增加，应用协议在复杂化，攻击类型在增加，攻击方式在隐蔽化。

传统入侵防御设备受限于自身处理能力，已经不能胜任这样的趋势，如何去进行深度应用分析、深度攻击原理分析，也许所有的厂家都知道简单的攻击特征匹配已经不能满足时下用户对入侵防御漏判误判的要求，却受限与设备自身的处理能力，从而误判漏判的行为时有发生。

Hillstone山石网科的入侵防御是基于多核plus® G2架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。

基于多核plus®G2的安全架提供了高性能的入侵防御解决发难，并为入侵防御需要的深度应用分析和攻击原理分析提供了强劲的处理能力。

全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和开启其他多项应用处理功能提供了高可用性。

基于攻击原理的入侵防御有助于提高攻击检测率和降低攻击误判率。

Hillstone山石网科入侵防御解决方案具有以下特性：●基于深度应用识别，积极防范复杂应用攻击●基于多核Plus® G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求●基于深度应用原理、攻击原理的入侵防御解决方案●支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、Hillstone山石网科入侵防御白皮书FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护。

Hillstone Networks Version5.5R7Copyright2019Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks联系信息公司总部（北京总部）：地址：北京市海淀区宝盛南路1号院20号楼5层邮编：100192联系我们：/about/contact_Hillstone.html关于本手册本手册介绍Hillstone Networks公司的产品系统的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：***********************Hillstone Networkshttps://TWNO:TW-CUG-UNI-VPN-5.5R7-CN-V1.0-11/12/2020目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口（CLI）2CLI介绍2命令模式和提示符2执行模式2全局配置模式2子模块配置模式3CLI命令模式切换3命令行错误信息提示3命令行的输入4命令行的缩写形式4自动列出命令关键字4自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键5过滤CLI输出信息5分页显示CLI输出信息6设置终端属性7设置连接超时时间7重定向输出7诊断命令8 VPN10 IPSec协议11 IPSec协议介绍11安全联盟（Security Association）11 SA建立方式12第一阶段SA12第二阶段SA13验证算法13加密算法14压缩算法14相关资料15 IPSec VPN的应用15配置IPSec VPN功能15提升IPSec VPN解密性能16手工密钥VPN16创建手工密钥VPN16指定IPSec协议的操作模式16指定安全参数索引17指定协议类型17指定加密算法17指定验证算法18指定压缩算法18指定对端IP地址18配置协议的验证密钥19配置协议的加密密钥19指定出接口19 IKEv1VPN20配置P1提议20创建P1提议20指定认证方式20指定加密算法21指定验证算法21选择DH组22指定安全联盟的生命周期22配置ISAKMP网关23创建ISAKMP网关23绑定接口到ISAKMP网关23配置IKE协商模式23配置自定义IKE协商端口24指定对端的IP地址及类型24接受对端ID25指定P1提议25配置预共享密钥25配置PKI信任域25配置对端证书的信任域26配置加密证书的信任域26配置协商协议标准26配置本端ID27配置对端ID27指定连接类型28开启NAT穿越功能28配置DPD功能28指定描述信息29配置P2提议29创建P2提议29指定协议类型29指定加密算法30指定验证算法30指定压缩算法31配置PFS功能31指定生命周期32配置隧道32创建IKE隧道32指定IPSec协议的操作模式33指定ISAKMP网关33指定P2提议33指定第二阶段ID33配置IPsec VPN流量分流与限流34启用接受对端ID功能34配置自动连接功能34配置分片功能35配置防重放功能35配置VPN监控及冗余备份功能36设置Commit位38指定描述信息38配置自动生成路由功能39 IKEv2VPN39配置P1提议39创建P1提议39指定验证算法40指定PRF算法40指定加密算法41选择DH组41指定的生命周期41配置IKEv2对等体42创建IKEv2对等体42绑定接口到对等体42指定对端的IP地址42配置认证方式43指定P1提议43配置本端ID43指定连接类型43创建IKEv2Profile44配置对端ID44配置预共享密钥44指定被保护的数据流量信息45配置P2提议45指定协议类型45指定验证算法46指定加密算法46配置PFS功能47指定生命周期47配置隧道47创建IKEv2隧道47指定IKEv2隧道的操作模式48指定IKEv2对等体48指定P2提议48配置自动连接功能48 XAUTH49启用XAUTH服务器49配置XAUTH地址池49绑定地址池到XAUTH服务器50配置IP用户绑定和IP角色绑定规则51修改IP角色绑定规则排列顺序52配置推送到客户端的WINS/DNS服务器52强制断开客户端XAUTH连接53配置非根VSYS隧道配额53显示IPSec配置信息53配置举例54手工密钥VPN54组网需求55配置步骤55 IKE VPN59组网需求59配置步骤59基于路由的VPN监控及冗余备份功能配置举例65组网需求65配置步骤66基于策略的VPN监控及冗余备份功能配置举例73组网需求73配置步骤74 XAUTH82组网需求82配置步骤82 HA Peer模式支持IPsec VPN85配置步骤85 SSL VPN90 SSL VPN介绍90 SSL VPN设备端配置90地址池配置91配置地址池地址范围91配置保留地址池92配置IP地址绑定规则92配置IP用户绑定规则93配置IP角色绑定规则93修改IP角色绑定规则排列顺序93配置DNS服务器94配置WINS服务器94显示SSL VPN地址池信息94资源列表配置96添加资源条目96查看资源列表97 UDP端口号配置97配置空闲时间97 SSL VPN实例配置98指定地址池99指定设备端接口99指定SSL协议99指定PKI信任域100指定加密信任域101指定隧道密码101指定AAA服务器102指定HTTPS端口号102配置SSL VPN隧道路由102指定网段102指定域名103配置防重放功能103配置分片功能104配置空闲时间104配置用户同名登录功能105配置URL重定向功能105 URL内容格式105配置SSL VPN隧道路由106启用/禁用清除SSL VPN桌面版客户端主机缓存数据功能106在HA Peer模式中使用SSL VPN107绑定L2TP VPN实例107绑定资源108绑定SSL VPN实例到隧道接口108配置客户端USB Key证书认证109开启USB Key证书认证功能110导入USB Key证书相应CA证书到信任域110配置USB Key证书相应CA证书的信任域111配置短信口令认证功能111短信猫认证111开启/关闭短信口令认证功能112设置短信认证手机号码112配置短信认证码有效时间113配置短信最大发送数量113发送测试短信113显示短信猫配置信息114短信网关认证114创建SP实例名称114设置发送认证短信的号码115指定设备ID115指定短信网关的地址和端口号115指定VRouter116指定用户名和密码116配置短信最大发送数量116指定UMS协议类型117指定企业编码117发送测试短信117开启/关闭短信网关认证功能118指定发送方名称118显示短信网关配置信息118显示短信统计信息119配置主机验证功能119开启主机验证功能119批准候选表项120配置超级用户120配置共享主机120增加/减少预批准主机数121清除绑定表121导出/导入绑定表122配置主机安全检测功能123主机安全检测内容123基于角色的访问控制和主机安全检测流程124配置主机安全检测Profile124通过WebUI配置主机安全检测Profile125配置主机安全检测策略规则128配置最优路径检测功能130强制断开客户端SSL VPN连接132允许本地用户修改密码132导出和导入密码文件134导出密码文件134导入密码文件135定制登录页面135定制登录页面135通过Radius认证服务器限定用户的访问范围136配置Radius服务器136配置客户端升级URL137显示SSL VPN信息137 SSL VPN客户端for Windows138客户端的下载与安装139下载与安装（用户名/密码）139下载与安装（用户名/密码+USB Key证书）142下载与安装（用户名/密码+软证书）144下载与安装（只用USB Key证书）145下载与安装（只用软证书）145客户端的启动146 Web方式启动146 Web方式启动（用户名/密码）146 Web方式启动（用户名/密码+USB Key证书）147 Web方式启动（用户名/密码+软证书）148 Web方式启动（只用USB Key证书）148 Web方式启动（只用软证书）149直接启动149基于TLS/SSL协议的启动方式149使用“用户名/密码”方式149使用“用户名/密码+USB Key证书”方式152使用“用户名/密码+软证书”方式154使用“只用USB Key证书”方式156使用“只用软证书”方式157基于国密SSL协议的启动方式158使用“用户名/密码”方式159使用“用户名/密码+数字证书”方式160使用“只用数字证书”方式162通过计划任务启动并自动连接164 USB Key批量部署166客户端GUI168客户端菜单171 Secure Connect设置173设置通用选项174添加登录信息条目175编辑登录信息条目176删除登录信息条目176客户端的卸载176 SSL VPN客户端for Android177下载与安装177启动与登录177 GUI179连接状态179 VPN连接配置管理180添加登录信息条目180编辑登录信息条目181删除登录信息条目182修改设备端登录密码182断开与设备端的连接/登入设备端182连接日志182系统配置183关于我们183SSL VPN客户端for iOS183安装与建立连接183建立VPN连接186 GUI187连接187日志187关于我们188 SSL VPN188 SSL VPN介绍188 SSL VPN配置举例188组网需求188需求一配置步骤189需求二配置步骤191准备工作191配置步骤191 URL重定向配置举例193配置步骤193主机安全检测配置举例196组网需求196配置步骤197最优路径检测配置举例204组网需求一204设备端作最优通道判断205客户端判断最优通道208组网需求二208设备端作最优通道判断209客户端判断最优通道212拨号VPN213拨号VPN介绍213拨号VPN的应用213中心设备配置213配置P1提议213创建P1提议214指定认证方式214指定加密算法214指定验证算法215选择DH组215指定安全联盟的生命周期216配置ISAKMP网关216创建ISAKMP网关216指定ISAKMP网关的认证服务器217绑定接口到ISAKMP网关217配置IKE协商模式217指定对端类型217指定P1提议218配置预共享密钥218配置PKI信任域218配置本端ID219指定连接类型219开启NAT穿越功能219配置DPD功能220指定描述信息220配置P2提议220创建P2提议220指定协议类型221指定加密算法221指定验证算法222配置PFS功能222指定生命周期223配置隧道223创建IKE隧道223指定IPSec协议的操作模式224指定ISAKMP网关224指定P2提议224指定第二阶段ID224配置ID为包含关系时生成IPSec SA225配置IPSec分流限流功能225配置自动连接功能225配置分片功能226配置防重放功能226设置Commit位227配置空闲时间227指定描述信息227配置自动生成路由功能227配置拨号端用户信息228创建拨号端用户帐号228生成拨号端用户预共享密钥229拨号端配置229拨号VPN举例229组网需求229中心设备配置230拨号端1配置233拨号端2配置235 PnPVPN238 PnPVPN简介238 PnPVPN工作流程238 PnPVPN链路冗余239 PnPVPN服务器端配置239通过CLI配置PnPVPN服务器端239配置用户网络参数239配置隧道网络参数240配置ISAKMP网关对端通配符241配置PnPVPN客户端的隧道接口241通过WebUI配置服务器端242用户配置243 IKE VPN配置243隧道接口配置246路由配置246策略配置247配置PnPVPN客户端247 PnPVPN配置举例248组网需求248配置步骤250服务器端配置250客户端配置254 GRE协议256 GRE协议介绍256 GRE配置256配置GRE隧道256指定源地址257指定目的地址257指定出接口257指定IPSec VPN隧道258指定验证秘钥258绑定GRE隧道到隧道接口258显示GRE隧道配置信息259 GRE配置举例259需求描述259配置步骤260中心配置260分支配置263 L2TP协议266介绍266典型的L2TP隧道组网266 L2TP over IPSec267 LNS端配置267地址池配置268配置地址池地址范围268配置保留地址池269配置IP地址绑定规则269配置静态IP地址绑定规则270配置角色-IP地址绑定规则270修改角色-IP地址绑定规则排列顺序270 L2TP实例配置271指定分配IP方式272指定地址池272配置DNS服务器273配置WINS服务器273指定隧道出接口273指定AAA服务器273指定PPP认证的协议274指定LCP Echo报文发送间隔274指定Hello报文间隔275启用隧道认证275指定隧道密码275指定LNS本端名称276启用AVP数据隐含276指定隧道接受窗口大小276配置用户同名登录功能276允许或禁止客户端指定IP地址277指定控制报文重传次数277引用IPSec隧道277配置LCP强制协商278绑定L2TP实例到隧道接口278强制断开L2TP连接279隧道重启279显示L2TP信息279 L2TP客户端配置280 L2TP配置举例280组网需求280配置步骤281 LNS配置281客户端配置283创建L2TP拨号连接283配置L2TP拨号连接284修改注册表286使用客户端连接LNS287 L2TP over IPSec配置举例288组网需求288配置步骤289 LNS配置289客户端配置292创建L2TP拨号连接292配置L2TP拨号连接293启用IPSec加密293使用客户端连接LNS294关于本手册手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：l提示：为用户提供相关参考信息。

高校互联网出口网络安全解决方案意见征询稿Hillstone Networks Inc.2011年6月1日概要高校互联网是高校校园网的重要部分,也是发生安全事件相对集中的环节，对此采取必要的安全防护措施来进行保障，是非常必要的，Hillstone山石网科根据类似的项目经验，总结出高校互联网出口的安全特性，并对应性地提出安全建设建议，实现保障的效果。

1.开放使用、合理管控●高校互联网出口是为学生、教师、职工等提供上网服务的途径，对此需要在开放使用的基础上进行合理管控，特别是对学生的上网行为，需要有对应的管控措施，对行为进行深度分析和管控。

●方案针对此特点通过Hillstone山石网科的用户认证，和深度应用访问控制技术来提供保障，在有效鉴别用户身份的基础上，针对特定用户进行不同细粒度的检测与控制策略，保障校园网互联网出口被合理使用；2.稳定运营、灵活扩展●在稳定运营的基础上实现灵活扩展，也是高校互联网出口商普遍关注的问题，稳定运行是高校互联网出口的基本要求。

但同时也看到，高校互联网出口总是存在多链路、多运营商的特点，因此在出口进行安全防护，引入的安全设备必须具备有灵活扩展的能力，能够有效适应多链路、多运营商的趋势要求。

●方案针对此特点，引入的Hillstone山石网科安全网关能够支撑高稳定性，和高可扩展性要求，在可靠性上支撑多种双机、多链路技术，从而有效适应高校互联网的特点；另外设备支持功能、接口的扩展，以适应高校校园网的不断发展。

3.绿色校园、差异服务●对比其他行业，高校对互联网访问内容的控制更加严格，特别针对学生的上网访问行为，从保障青少年心理健康的角度，需要对学生进行更加严格的控制。

除了对学生的严格控制以外，对于教师和职工，以及家属的上网行为则适当放松，体现差异化的服务性。

●方案通过Hillstone山石网科安全网关提供的上网行为管理、身份认证技术，在区分访问者角色的基础上，对访问行为进行深度分析，和有效控制。

Hillstone培训路由器部分1.引言Hillstone是一家专注于网络安全领域的公司，提供了一系列高性能、高可靠性的网络安全产品，包括防火墙、入侵防御系统、虚拟私有网络等。

其中，路由器作为网络互联的关键设备，扮演着至关重要的角色。

为了帮助用户更好地了解和使用Hillstone路由器，本文将详细介绍Hillstone路由器的培训内容。

2.Hillstone路由器概述Hillstone路由器是一款高性能、高可靠性的网络设备，支持多种路由协议，包括静态路由、动态路由（如BGP、OSPF、RIP 等），并提供灵活的网络地质转换（NAT）功能。

Hillstone路由器还具备强大的安全特性，如访问控制、入侵防御、病毒防护等，能够有效保护网络安全。

3.培训目标(1)了解Hillstone路由器的基本功能和特性；(2)学会配置和管理Hillstone路由器；(3)掌握路由器故障排查和性能优化的方法；(4)了解Hillstone路由器的安全特性及配置方法。

4.培训内容4.1Hillstone路由器基本配置(1)设备初始配置：包括设备命名、密码设置、接口配置等；(2)系统时间配置：同步网络时间协议（NTP）服务器，确保设备时间准确；(3)系统日志配置：设置日志服务器，以便收集和分析设备运行信息；(4)系统监控配置：配置SNMP、NQA等监控工具，实时监控设备状态。

4.2路由协议配置(1)静态路由：配置静态路由，实现网络互联；(2)动态路由：配置BGP、OSPF、RIP等动态路由协议，实现网络动态互联；(3)路由策略：配置路由策略，实现流量调度和路由优化。

4.3网络地质转换（NAT）配置(1)NAT概述：了解NAT的工作原理和类型；(2)NAT配置：配置静态NAT、动态NAT、NAPT等，实现内外网地质映射；(3)PAT配置：配置端口地质转换，提高公网IP利用率。

4.4安全特性配置(1)访问控制：配置访问控制列表（ACL），实现网络访问控制；(2)入侵防御：配置入侵防御系统（IPS），实时防御网络攻击；(3)病毒防护：配置病毒防护功能，防止病毒传播；(4)VPN配置：配置IPsecVPN、SSLVPN等，实现远程安全接入。

Hillstone 山石网科流量管理白皮书Hillstone 山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展，爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽，你也许会碰到下面的一些问题：●即使把带宽增加了，正常业务访问还是变慢了？● 有没有办法保证重要业务不受到影响？● 有没有办法查看到底是谁在蚕食我的带宽？从根本上来讲，QOS 功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如老板的流量访问、财务部门的流量，也可以针对某种应用，比如针对企事业重要的正常业务。

从技术实现来看，主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现，比如降低P2P 下载应用的带宽。

StoneOS ® QoS是一个工具箱，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

同时，StoneOS ® QoS是建立在Hillstone 山石网科多核Plus ® G2安全架构之上，能提供基于深度应用、角色等流量管理。

2. StoneOS® QoS基本结构StoneOS ®的QoS 基于以下基本模块实现：● QoS识别和标记技术。

用于网络元素间从点到点的QoS 协调● 单一网络元素内的QoS(例如：队列、拥塞避免、调度、管制以及流量整形工具● 统计功能。

基于角色、应用的实时流量统计，用于控制和管理流量。

Hillstone 山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术，StoneOS ®用创新的专有的技术实现强大而灵活的QoS 解决方案：● 基于RFC 的DSCP 标记●IP QoS● 角色QOS ● 应用QoS ● 混合QOS ● 应用标记● 弹性QoS3.1 与第三方设备互通QoS 是不同品牌网络设备之间共同努力的结果。

以一个大型企业的网络环境为例，Hillstone 山石网科设备可以被部署为分支办公室的网关设备，它可能与Cisco 的路由器共同工作。

Hillstone山石网科流量管理白皮书Hillstone山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展，爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽，你也许会碰到下面的一些问题：●即使把带宽增加了，正常业务访问还是变慢了？●有没有办法保证重要业务不受到影响？●有没有办法查看到底是谁在蚕食我的带宽？从根本上来讲，QOS功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如老板的流量访问、财务部门的流量，也可以针对某种应用，比如针对企事业重要的正常业务。

从技术实现来看，主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现，比如降低P2P下载应用的带宽。

StoneOS® QoS是一个工具箱，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

同时，StoneOS® QoS是建立在Hillstone 山石网科多核Plus® G2安全架构之上，能提供基于深度应用、角色等流量管理。

2. StoneOS® QoS基本结构StoneOS®的QoS基于以下基本模块实现：●QoS识别和标记技术。

用于网络元素间从点到点的QoS协调●单一网络元素内的QoS(例如：队列、拥塞避免、调度、管制以及流量整形工具)●统计功能。

基于角色、应用的实时流量统计，用于控制和管理流量。

Hillstone山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术，StoneOS®用创新的专有的技术实现强大而灵活的QoS解决方案：●基于RFC的DSCP标记●IP QoS●角色QOS●应用QoS●混合QOS●应用标记●弹性QoS3.1 与第三方设备互通QoS是不同品牌网络设备之间共同努力的结果。

以一个大型企业的网络环境为例，Hillstone 山石网科设备可以被部署为分支办公室的网关设备，它可能与Cisco的路由器共同工作。

Ipv6整体解决方案Hillstone Networks Inc. 2016年03月10日内容提交人审核人更新内容日期V1 2016/3/10目录1需求分析 (3)2解决方案 (3)2.1设备信息 (3)2.2拓扑 (3)2.3主要配置 (4)2.3.1总部 (4)2.3.2分支1（模拟环境，不考虑上互联网问题） (6)2.3.3分支2 (8)3建设效果 (8)1需求分析某用户有100多个office，都采用电信光纤接入，需要逐步从IPv4演变为IPv6地址，在这种场景下，需要做到IPv4到IPv6内网的互通。

场景模拟如下：一个总部两个分支，总部内网采用IPv6地址，外网地址采用IPv4；分支1外网IPv4，内网IPv6；分支机构2内外网都为IPv4地址。

需求如下：A.总部的IPv6地址可以访问到互联网IPv4资源，总部的IPv6地址可以提供互联网用户访问。

B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。

C.总部和分支2的IPv4地址互相通信。

2解决方案2.1设备信息2.2拓扑分支12005::2/96 2.3主要配置2.3.1总部A.接口interface ethernet0/1zone "untrust"ip address 200.0.0.2 255.255.255.0manage httpexitinterface ethernet0/2zone "trust"dns-proxyipv6 enableipv6 address 2005::1/96manage pingexitinterface tunnel1zone "trust"ipv6 enabletunnel ip6in4 "fenzhi1"exitB.Nat和路由ip vrouter "trust-vr"snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snatsnatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snatsnatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snatdnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnatdnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnatip route 0.0.0.0/0 200.0.0.1ipv6 route 2001::/96 tunnel1exitC.策略rule id 1action permitsrc-addr "Any"dst-addr "Any"service "Any"exitrule id 2action permitsrc-ip 2005::/96dst-ip 2004::/96service "Any"exitrule id 3action permitsrc-ip 2005::/96dst-ip 2003::/96service "Any"exitrule id 4action permitsrc-ip 2005::/96dst-ip 2001::/96service "Any"exitrule id 5action permitsrc-ip 2001::/96dst-ip 2005::/96service "Any"exitrule id 6action permitsrc-addr "IPv6-any"dst-addr "IPv6-any"service "Any"exitD.其他配置tunnel ip6in4 "fenzhi1" manualinterface "ethernet0/1"destination 200.0.0.3exitip name-server 8.8.8.8 vrouter trust-vrip dns-proxy domain any name-server 8.8.8.8 vrouter trust-vripv6 dns64-proxy id 1 prefix 2003::/96 source 2005::/96 trans-mapped-ip any2.3.2分支1（模拟环境，不考虑上互联网问题）A.接口interface ethernet0/1zone "untrust"ip address 200.0.0.3 255.255.255.0manage pingexitinterface ethernet0/2zone "trust"ipv6 enableipv6 address 2001::1/96manage pinginterface tunnel1zone "trust"ipv6 enabletunnel ip6in4 "zongbu"exitB.Nat和路由ip vrouter "trust-vr"ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2005::/96 tunnel1C.策略rule id 1action permitsrc-addr "Any"dst-addr "Any"service "Any"exitrule id 33action permitsrc-ip 2001::/96dst-ip 2005::/96service "Any"exitrule id 34action permitsrc-ip 2005::/96dst-ip 2001::/96service "Any"exitrule id 35action permitsrc-addr "IPv6-any"dst-addr "IPv6-any" service "Any"exitD.其他配置tunnel ip6in4 "zongbu" manual interface "ethernet0/1" destination 200.0.0.2exit2.3.3分支2A.接口interface ethernet0/3zone "trust"ip address 192.168.2.1 255.255.255.0manage pingexitinterface ethernet0/4zone "untrust"ip address 200.0.0.4 255.255.255.0manage pingexitB.Nat和路由ip vrouter "trust-vr"snatrule id 1 from "Any" to "Any" service "Any" eif ethernet0/4 trans-to eif-ip mode dynamicport dnatrule id 1 from "200.0.0.2" to "200.0.0.4" service "Any" trans-to "192.168.2.254"ip route 0.0.0.0/0 200.0.0.1exitC.策略rule id 1action permitsrc-addr "Any"dst-addr "Any"service "Any"exit3建设效果通过以上配置可以实现：A.总部访问公网IPv4域名；可以访问固定的公网ip；互联网用户可以访问总部内网服务器B.总部和分支1可以相互通信C.总部和分支2可以相互通信A.由于Nat64技术的限制，如果公网ip不固定且无法对应到域名，则总部端无法访问该ip（因为需要在FW上添加固定的转换规则）B.策略中调用IPv6的any地址簿时应该用“IPv6-any”这个地址簿C.总部PC的DNS需要指向总部FW的内网口ip，即2005::1。