全局IPv6地址是否可以在防火墙级别对内部IPv4地址进行NAT?

作为一个组织,我们刚刚要求我们进行首次IPv6分配.目前,我们是一个完整的IPv4组织,在我们的边缘路由器上配置了全局IPv4地址分配,并通过边缘防火墙(主要)使用NAT到内部托管的具有私有IPv4地址的Web服务器.

我明白,一个方法,使我们可以向IPv6互联网面向外部的服务将实现IPv6双栈整个内部网络和直接分配全局访问的IPv6地址(除了现有的IPv4地址),这些服务器.

然而,即使阅读大量的帖子和文章对IPv6过渡技术和亲的和NAT的反对的在IPv6的世界我还不能完全确定我们是否可以基本上复制我们现有的设置,但使用IPv6地址,即在可能我们在我们的边缘路由器上配置一个全局可路由的IPv6接口,在我们的防火墙上配置一个相关的IPv6“外部”接口,只需1:1 NAT全局面向IPv4地址的IPv6地址?

这显然基于我们与ISP建立IPv6 BGP对等安排以及RFC1918满足我们内部寻址需求的原则,但我们希望使所选的外部服务IPv6可访问.

最佳答案
正如第一条评论所述,我也强烈建议转向双栈,因为从长远来看,它比实施NAT解决方案便宜. (无论如何你必须这样做,为什么不呢?)

但是,对于您的问题,仍有两种可能的解决方案/解决方法:

>支持NAT64的路由器;
>具有本机IPv6支持的负载均衡器,通过IPv4平衡其背后的服务器.

转载注明原文:全局IPv6地址是否可以在防火墙级别对内部IPv4地址进行NAT? - 代码日志