不知不觉中，IPv6已经开始商用了，尤其是无法获取到公网IP的拨号宽带，服务器端口也就无法映射了，这种情况下，使用IPv6显然是个不错的主意。

但是，IPv6只解决了IPv4地址不足的问题，如何让原有的IPv4电脑访问IPv6的服务器，又成了个问题，总不能所有电脑都使用IPv6地址吧？而本文所述的NAT64静态映射，就能很好地解决这个问题。

NAT64静态映射为一对一的对应关系，通常应用于IPv4网络主动访问IPv6网络，华为USG防火墙就能支持IPv4/IPv6双栈。

如上图所示，要求位于IPv4网络中的PC1通过NAT64静态映射，能够访问位于IPv6网络中PC2，PC2模拟服务器。

PC1和PC2分别配置IPv4地址和IPv6地址，以及网关地址，过程略；下面主要讲述华为USG防火墙的配置。

1、配置接口IP，并且启用NAT64

interface GigabitEthernet1/0/0

undo shutdown

ipv6 enable

ip address 1.1.1.254 255.255.255.0

service-manage ping permit

nat64 enable

#

interface GigabitEthernet1/0/1

undo shutdown

ipv6 enable

ipv6 address 2001:1::254/64

service-manage ping permit

nat64 enable

#

2、将接口放到相应的安全区域

firewall zone trust

add interface GigabitEthernet1/0/0

#

firewall zone untrust

add interface GigabitEthernet1/0/1

#

3、设置安全策略，允许IPv4网络访问IPv6网络

security-policy

rule name t2u

source-zone trust

destination-zone untrust

action permit

rule name interzone

source-address 1.1.1.0 0.0.0.255

destination-address 2.2.2.0 0.0.0.255

action permit

#

4、配置NAT64静态映射关系

nat64 enable

nat64 prefix 2001:2::96 //设置ipv4访问ipv6动态映射的地址前缀

nat64 static 2001:1::100 2.2.2.2 //将PC2的IPv6地址映射为IPv4地址2.2.2.2

5、配置路由

ip route-static 2.2.2.0 255.255.255.0 NULL0

配置完成了，验证一下吧：dis nat64 static，查看NAT64静态映射信息

在PC1上ping 2.2.2.2，然后在防火墙上查看会话表：dis firewall ipv6 session table verbose

能ping通就表示配置正确，会话表只是进一步验证结果而已。

华为防火墙，功能强大，安全系数高，是我平时在项目中使用最多的硬件防火墙，值得推荐给大家。