- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-NAT
本章節下載: 09-NAT (637.69 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ NAT策略
¡ NAT動態轉換
¡ NAT內部服務器
¡ NAT靜態轉換
¡ NAT高級設置
· 配置指南
¡ NAT策略
¡ NAT動態轉換
¡ NAT內部服務器
¡ NAT靜態轉換
NAT(Network Address Translation,網絡地址轉換)是將IP數據報文頭中的IP地址轉換為另一個IP地址的過程。在實際應用中,NAT主要應用在連接兩個網絡的邊緣設備上,用於實現允許內部網絡用戶訪問外部公共網絡以及允許外部公共網絡訪問部分內部網絡資源(例如內部服務器)的目的。NAT最初的設計目的是實現私有網絡訪問公共網絡的功能,後擴展為實現任意兩個網絡間進行訪問時的地址轉換應用。
NAT策略用於定義一個或多個NAT轉換規則,這些規則指定了報文匹配條件和轉換行為。NAT策略支持的報文匹配條件包括源安全域和目的安全域、源地址和目的地址以及服務,滿足所有已配置的匹配條件的報文將按指定行為轉換其地址信息。NAT策略包含三種轉換模式,不同轉換模式有不同的轉換行為,具體如下:
· 源地址轉換模式
該模式下,NAT設備隻轉換報文的源IP地址和源端口。源地址轉換支持NO-PAT和PAT模式,關於二者的詳細介紹請參見“NAT動態轉換”。
· 目的地址轉換
該模式下,NAT設備隻轉換報文的目的IP地址和目的端口。目前,目的地址轉換僅支持多對一地址轉換,即將所有滿足匹配條件的報文的目的IP地址和目的端口轉換為同一個IP地址和端口。
· 雙向轉換
該模式下,NAT設備既轉換報文的源IP地址和源端口,又轉換報文的目的IP地址和目的端口。其中源地址轉換支持NO-PAT和PAT模式,目的地址轉換支持多對一地址轉換。
動態地址轉換是指內部網絡和外部網絡之間的地址映射關係在建立連接的時候動態產生。該方式通常適用於內部網絡有大量用戶需要訪問外部網絡的組網環境。動態地址轉換存在兩種轉換模式:
· NO-PAT模式
NO-PAT(Not Port Address Translation)模式下,一個外網地址同一時間隻能分配給一個內網地址進行地址轉換,不能同時被多個內網地址共用。當使用某外網地址的內網用戶停止訪問外網時,NAT會將其占用的外網地址釋放並分配給其他內網用戶使用。
該模式下,NAT設備隻對報文的IP地址進行NAT轉換,同時會建立一個NO-PAT表項用於記錄IP地址映射關係,並可支持所有IP協議的報文。
· PAT模式
PAT(Port Address Translation)模式下,一個NAT地址可以同時分配給多個內網地址共用。該模式下,NAT設備需要對報文的IP地址和傳輸層端口同時進行轉換,且隻支持TCP、UDP和ICMP(Internet Control Message Protocol,互聯網控製消息協議)查詢報文。
采用PAT方式可以更加充分地利用IP地址資源,實現更多內部網絡主機對外部網絡的同時訪問。
一個NAT地址組是多個地址組成員的集合。當需要對到達外部網絡的數據報文進行地址轉換時,報文的源地址將被轉換為地址組成員中的某個地址。
在實際應用中,內網中的服務器可能需要對外部網絡提供一些服務,例如給外部網絡提供Web服務,或是FTP服務。這種情況下,NAT設備允許外網用戶通過指定的NAT地址和端口訪問這些內部服務器,NAT內部服務器的配置就定義了NAT地址和端口與內網服務器地址和端口的映射關係。
NAT內部服務器支持以下幾種內網和外網的地址、端口映射關係。
表-1 NAT內部服務器的地址與端口映射關係
|
內網 |
|
|
一個外網地址 |
一個內網地址 |
|
一個外網地址、一個端口號 |
一個內網地址、一個內網端口號 |
|
一個外網地址,N個連續的外網端口號 |
一個內網地址,一個內網端口 |
|
N個連續的內網地址,一個內網端口號 |
|
|
一個內網地址,N個連續的內網端口號 |
|
|
N個連續的外網地址 |
一個內網地址 |
|
N個連續的內網地址 |
|
|
N個連續的外網地址,一個外網端口號 |
一個內網地址,一個內網端口號 |
|
N個連續的內網地址,一個內網端口號 |
|
|
一個內網地址,N個連續的內網端口號 |
|
|
一個外網地址,一個外網端口號 |
一個內部服務器組 |
|
一個外網地址,N個連續的外網端口號 |
|
|
N個連續的外網地址,一個外網端口號 |
|
|
外網地址(通過ACL進行匹配) |
一個內網地址 |
|
一個內網地址、一個內網端口號 |
|
|
外網地址(對象組) |
一個內網地址 |
|
一個內網地址、一個內網端口號 |
在配置內部服務器時,將內部服務器的內網信息指定為一個內部服務器組,組內的多台主機可以共同對外提供某種服務。外網用戶向內部服務器指定的外網地址發起應用請求時,NAT設備可根據內網服務器的權重和當前連接數,選擇其中一台內網服務器作為目的服務器,實現內網服務器負載分擔。
靜態地址轉換是指外部網絡和內部網絡之間的地址映射關係由配置確定,該方式適用於內部網絡與外部網絡之間存在固定訪問需求的組網環境。靜態地址轉換支持雙向互訪:內網用戶可以主動訪問外網,外網用戶也可以主動訪問內網。
NAT444是運營商網絡部署NAT的整體解決方案,它基於NAT444網關,結合AAA服務器、日誌服務器等配套係統,提供運營商級的NAT,並支持用戶溯源等功能。在眾多IPv4向IPv6網絡過渡的技術中,NAT444僅需在運營商側引入二次NAT,對終端和應用服務器端的更改較小,並且NAT444通過端口塊分配方式解決用戶溯源等問題,因此成為了運營商的首選IPv6過渡方案。
NAT444解決方案的架構如下圖所示。
圖-1 NAT444解決方案架構
· CPE:實現用戶側地址轉換。
· BRAS:負責接入終端,並配合AAA完成用戶認證、授權和計費。
· NAT444網關:實現運營商級地址轉換。
· AAA服務器:負責用戶認證、授權和計費等。
· 日誌服務器:接受和記錄用戶訪問信息,響應用戶訪問信息查詢。
NAT444網關設備進行的地址轉換(以下稱為“NAT444地址轉換”)是一種PAT方式的動態地址轉換,但與普通PAT方式動態地址轉換不同的是,NAT444地址轉換是基於端口塊(即一個端口範圍)的方式來複用公網IP地址的,即一個私網IP地址在一個時間段內獨占一個公網IP地址的某個端口塊。例如:假設私網IP地址10.1.1.1獨占公網IP地址202.1.1.1的一個端口塊10001~10256,則該私網IP向公網發起的所有連接,源IP地址都將被轉換為同一個公網IP地址202.1.1.1,而源端口將被轉換為端口塊10001~10256之內的一個端口。
NAT444靜態地址轉換是指,NAT網關設備根據配置自動計算私網IP地址到公網IP地址、端口塊的靜態映射關係,並創建靜態端口塊表項。當私網IP地址成員中的某個私網IP地址向公網發起新建連接時,根據私網IP地址匹配靜態端口塊表項,獲取對應的公網IP地址和端口塊,並從端口塊中動態為其分配一個公網端口,對報文進行地址轉換。
配置NAT444靜態地址轉換時,需要創建一個端口塊組,並在端口塊組中配置私網IP地址成員、公網IP地址成員、端口範圍和端口塊大小。假設端口塊組中每個公網IP地址的可用端口塊數為m(即端口範圍除以端口塊大小),則端口塊靜態映射的算法如下:按照從小到大的順序對私網IP地址成員中的所有IP地址進行排列,最小的m個私網IP地址對應最小的公網IP地址及其端口塊,端口塊按照起始端口號從小到大的順序分配;次小的m個私網IP地址對應次小的公網IP地址及其端口塊,端口塊的分配順序相同;依次類推。
NAT444動態地址轉換融合了普通NAT動態地址轉換和NAT444靜態地址轉換的特點。當內網用戶向公網發起連接時,首先根據動態地址轉換中的ACL規則進行過濾,決定是否需要進行源地址轉換。對於需要進行源地址轉換的連接,當該連接為該用戶的首次連接時,從所匹配的動態地址轉換配置引用的NAT地址組中獲取一個公網IP地址,從該公網IP地址中動態分配一個端口塊,創建動態端口塊表項,然後從端口塊表項中動態分配一個公網端口,進行地址轉換。對該用戶後續連接的轉換,均從生成的動態端口塊表項中分配公網端口。當該用戶的所有連接都斷開時,回收為其分配的端口塊資源,刪除相應的動態端口塊表項。
NAT444動態地址轉換支持增量端口塊分配。當為某私網IP地址分配的端口塊資源耗盡(端口塊中的所有端口都被使用)時,如果該私網IP地址向公網發起新的連接,則無法再從端口塊中獲取端口,無法進行地址轉換。此時,如果預先在相應的NAT地址組中配置了增量端口塊數,則可以為該私網IP地址分配額外的端口塊,進行地址轉換。
NAT444地址組與NAT地址組的配置基本相同,所不同的是,NAT444地址組必須配置端口塊參數(端口範圍、端口塊大小和增量端口塊數)以實現基於端口塊的NAT444地址轉換。
NAT地址組由一個或多個IP地址段和端口範圍組成,用於NAT動態轉換。
· 對於采用PAT模式的NAT動態轉換,需要配置地址組成員和端口範圍。此外,對於NAT444動態轉換方案,還需配置端口塊大小和增量端口塊數。
· 對於采用NO-PAT模式的NAT動態轉換,僅需配置地址組成員。
目前,PAT支持兩種不同的地址轉換模式:
· Endpoint-Independent Mapping(不關心對端地址和端口轉換模式):隻要是來自相同源地址和源端口號的報文,不論其目的地址是否相同,通過PAT映射後,其源地址和源端口號都被轉換為同一個外部地址和端口號,該映射關係會被記錄下來並生成一個EIM表項;並且NAT設備允許所有外部網絡的主機通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式可以很好的支持位於不同NAT網關之後的主機進行互訪。
· Address and Port-Dependent Mapping(關心對端地址和端口轉換模式):對於來自相同源地址和源端口號的報文,相同的源地址和源端口號並不要求被轉換為相同的外部地址和端口號,若其目的地址或目的端口號不同,通過PAT映射後,相同的源地址和源端口號通常會被轉換成不同的外部地址和端口號。與Endpoint-Independent Mapping模式不同的是,NAT設備隻允許這些目的地址對應的外部網絡的主機可以通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式安全性好,但由於同一個內網主機地址轉換後的外部地址不唯一,因此不便於位於不同NAT網關之後的主機使用內網主機轉換後的地址進行互訪。
通過配置DNS映射,可以在DNS服務器位於外網的情況下,實現內網用戶可通過域名訪問位於同一內網的內部服務器的功能。DNS映射功能需要和內部服務器配合使用,由內部服務器對外提供服務的外網IP地址和端口號,由DNS映射建立“內部服務器域名<-->外網IP地址+外網端口號+協議類型”的映射關係。
NAT設備對來自外網的DNS響應報文進行DNS ALG處理時,由於載荷中隻包含域名和應用服務器的外網IP地址(不包含傳輸協議類型和端口號),當接口上存在多條NAT服務器配置且使用相同的外網地址而內網地址不同時,DNS ALG僅使用IP地址來匹配內部服務器可能會得到錯誤的匹配結果。因此需要借助DNS映射的配置,指定域名與應用服務器的外網IP地址、端口和協議的映射關係,由域名獲取應用服務器的外網IP地址、端口和協議,進而(在當前NAT接口上)精確匹配內部服務器配置獲取應用服務器的內網IP地址。
通過在內網側接口上使能NAT hairpin功能,可以實現內網用戶使用NAT地址訪問內網服務器或內網其它用戶。NAT hairpin功能需要與內部服務器、出方向動態地址轉換或出方向靜態地址轉換配合工作,且這些配置所在的接口必須在同一個接口板,否則NAT hairpin功能無法正常工作。
該功能在不同工作方式下的具體轉換過程如下:
· C/S方式:NAT在內網接口上同時轉換訪問內網服務器的報文的源和目的IP地址,其中,目的IP地址轉換通過匹配某外網接口上的內部服務器配置來完成,源地址轉換通過匹配內部服務器所在接口上的出方向動態地址轉換或出方向靜態地址轉換來完成。
· P2P方式:內網各主機首先向外網服務器注冊自己的內網地址信息,該地址信息為外網側出方向地址轉換的NAT地址,然後內網主機之間通過使用彼此向外網服務器注冊的外網地址進行互訪。該方式下,外網側的出方向地址轉換必須配置為PAT轉換方式,並使能EIM模式。
通過開啟指定應用協議類型的ALG功能,實現對應用層報文數據載荷字段的分析和NAT處理。
廣域網雙出口組網環境中,如果兩個出接口屬於相同的安全域,當一個接口的鏈路發生故障導致流量切換到另一接口的鏈路時,NAT設備不會刪除原來的會話表項,流量將與原來的會話表項匹配,從而導致用戶無法訪問外網。為了避免該問題的發生,可以開啟雙出口下的NAT會話重建功能,使流量觸發重新建立NAT會話表項,實現主備鏈路切換時的業務可用性。
NAT地址組檢測功能用於檢測NAT地址組中地址的可用性,是通過在地址池中引用NQA模板來實現的,詳細過程如下:
1. NAT地址組引用NQA探測模板後,設備會周期性的向NQA模板中指定的目的地址依次發送探測報文,其中探測報文的源IP地址是地址池中的IP地址。
2. 若設備沒有收到NQA探測應答報文,則將探測報文的源IP地址從地址池中排除,暫時禁止該IP地址用於地址轉換。
3. 被排除的IP地址還會繼續作為探測報文的源IP地址對目的IP地址在下個探測周期進行探測,如果收到回應報文,則允許該IP地址重新用於地址轉換。
本章節重點介紹配置NAT地址轉換的思路和步驟。
NAT地址轉換中涉及入方向和出方向兩個概念,下麵以兩個示意圖為例進行說明。
· 入方向:對接口上收到的報文進行地址轉換,即入接口上配置地址轉換,如圖-2所示。
· 出方向:對接口上發送的報文進行轉換,即出接口上配置地址轉換,如圖-3所示。
NAT策略支持基於安全域、地址對象組和服務對象組的報文匹配條件,支持源地址轉換、目的地址轉換和雙向轉換,配置思路如下圖所示。
圖-4 NAT策略配置指導圖
1. 創建安全域(可選),具體配置過程略。
2. 創建地址對象組(可選),具體配置過程略。
3. 創建服務對象組(可選),具體配置過程略。
4. 創建NAT地址組(可選)
a. 選擇“策略 > NAT > NAT動態轉換 > NAT地址組”。
b. 單擊<新建>,創建NAT地址組。
c. 單擊<確定>,完成NAT地址組配置。
5. 創建NAT444地址組(可選)
a. 選擇“策略 > NAT > NAT444動態轉換 > NAT444地址組”。
b. 單擊<新建>,創建NAT444地址組。
c. 單擊<確定>,完成NAT444地址組配置。
6. 創建NAT策略規則
a. 選擇“策略 > NAT > NAT策略”。
b. 單擊<新建>,創建NAT策略規則。
c. 單擊<確定>,完成NAT策略規則配置。
表-2 NAT策略配置說明
|
配置項 |
說明 |
||
|
規則名稱 |
NAT策略規則的名稱,支持中文 |
||
|
規則描述 |
NAT策略規則的備注信息 |
||
|
轉換模式 |
選擇報文轉換模式,分為如下三種: · 源地址轉換:對報文的源地址進行轉換 · 目的地址轉換:對報文的目的地址進行轉換 · 雙向轉換:對報文的源地址和目的地址都進行轉換 |
||
|
原始報文 |
源安全域 |
配置源安全域作為報文匹配條件 |
|
|
目的安全域 |
配置目的安全域作為報文匹配條件 該項僅轉換模式選擇為“源地址轉換”時可配置 |
||
|
源地址 |
配置源地址對象組作為報文匹配條件 |
||
|
目的地址 |
配置目的地址對象組作為報文匹配條件 |
||
|
服務 |
配置服務對象組作為報文匹配條件 |
||
|
轉換後報文 |
源地址轉換 |
轉換方式 |
選擇源地址轉換方式,分為如下三種: · NO-PAT:使用NO-PAT方式轉換報文源地址 · PAT:使用PAT方式轉換報文源地址 · 不做轉換:不使用此規則,也不使用任何優先級較低的規則轉換報文源地址 |
|
地址類型 |
選擇源地址轉換使用的NAT地址的類型,分為如下兩種: · 地址組:使用NAT地址組中的IP地址進行源地址轉換 · NAT444地址組:使用NAT444地址組中的IP地址進行源地址轉換 |
||
|
轉換後源地址 |
選擇源地址轉換使用的NAT地址組或NAT444地址組 |
||
|
允許反向地址轉換 |
在內網用戶主動向外網發起連接並成功觸發建立地址轉換表項的情況下,允許外網向該內網用戶發起的連接使用已建立的地址轉換表項進行目的地址轉換 該項僅轉換方式選擇為“NO-PAT”時可配置 |
||
|
盡量不轉換端口 |
PAT方式分配端口時盡量不轉換端口 該項僅轉換方式選擇為“PAT”時可配置 |
||
|
目的地址轉換 |
轉換方式 |
選擇目的地址轉換方式,分為如下兩種: · 多對一地址轉換:將滿足所有匹配條件的報文的目的地址轉換為同一個地址 · 不做轉換:不使用此規則,也不使用任何優先級較低的規則轉換報文目的地址 |
|
|
轉換後目的地址 |
設置轉換後報文的目的IP地址 |
||
|
轉換後端口 |
設置轉換後報文的目的端口 |
||
|
啟用規則 |
啟用此NAT策略規則 |
||
|
統計 |
開啟此NAT策略規則的命中次數統計功能 |
||
目前,僅支持出方向的NAT動態地址轉換,包括基於ACL的出方向動態地址轉換和基於對象組的出方向動態地址轉換,配置思路如下圖所示。
圖-5 NAT動態地址轉換配置指導圖
1. 創建NAT地址組(可選)
a. 選擇“策略 > NAT > NAT動態轉換 > NAT地址組”。
b. 單擊<新建>,創建NAT地址組,各項配置說明見下表。
c. 單擊<確定>,完成NAT地址組配置。
表-3 NAT地址組配置說明
|
配置項 |
說明 |
|
地址組編號 |
表示地址組的編號 |
|
地址組名稱 |
表示地址組的名稱 |
|
VRRP備份組 |
配置此功能後,所綁定VRRP備份組中的Master設備將使用虛擬IP地址和虛擬MAC地址響應ARP請求報文。在高可靠性組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
端口範圍 |
該NAT地址組內的所有公網IP地址可用於地址轉換的端口都必須位於所指定的端口範圍之內 |
|
地址檢測 |
此功能用於檢測NAT地址組中地址的可用性,是通過在地址池中引用NQA模板來實現的。本功能僅對用於出方向地址轉換的地址成員的可用性進行檢測 |
|
地址組成員 |
對到達外部網絡的數據報文進行地址轉換時,報文的源地址將被轉換為地址組成員中的某個地址 |
2. 配置基於ACL的NAT動態地址轉換
a. 選擇“策略 > NAT > NAT動態轉換 > 策略配置”。
b. 選擇<NAT出方向動態轉換(基於ACL)>頁簽,單擊<新建>,創建基於ACL的NAT出方向動態轉換規則,各項配置說明見下表。
c. 單擊<確定>,完成NAT動態轉換配置。
表-4 基於ACL的NAT出方向動態地址轉換配置說明
|
配置項 |
說明 |
||
|
接口 |
NAT轉換應用的接口,通常應用在外網側接口上 |
||
|
ACL |
對匹配ACL permit規則的報文進行地址轉換 不指定ACL的情況下,不對轉換對象進行限製 |
||
|
轉換後源地址 |
選擇源地址轉換使用的NAT地址,分為如下兩種: · NAT地址組:NAT轉換時使用NAT地址組中的IP地址 · 接口IP地址:NAT轉換時直接使用接口上的IP地址
|
||
|
VRF |
配置轉換後源地址所屬的VPN。缺省為“公網”,表示不屬於任何一個VPN
|
||
|
轉換模式 |
指定NAT動態地址轉換的模式: · PAT:對於匹配轉換規則的報文,使用地址組中的地址或該接口的地址進行源地址轉換,同時轉換源端口 · NO-PAT:對於匹配轉換規則的報文,使用地址組中的地址進行源地址轉換,但不轉換源端口 |
||
|
不轉換端口 |
PAT方式分配端口時盡量不轉換端口 該項僅轉換模式選擇為“PAT”時可配置 |
||
|
反向地址轉換 |
允許反向地址轉換,即在內網用戶主動向外網發起連接並成功觸發建立地址轉換表項的情況下,允許外網向該內網用戶發起的連接使用已建立的地址轉換表項進行目的地址轉換 該項僅轉換模式選擇為“NO-PAT”時可配置 |
||
|
啟用規則 |
啟用該NAT地址轉換規則 |
3. 配置基於對象組的NAT動態地址轉換
a. 選擇“策略 > NAT > NAT動態轉換 > 策略配置”。
b. 選擇<NAT出方向動態轉換(基於對象組)>頁簽,單擊<新建>,創建基於對象組的NAT出方向動態轉換規則,各項配置說明見下表。
c. 單擊<確定>,完成NAT動態轉換配置。
表-5 基於對象組的NAT出方向動態地址轉換配置說明
|
配置項 |
說明 |
||
|
規則名稱 |
此NAT規則的名稱 |
||
|
規則描述 |
此NAT規則的描述信息 |
||
|
出接口 |
NAT轉換應用的接口,通常應用在外網側接口上 |
||
|
源IP地址 |
NAT規則引用的源地址對象組,用於匹配報文的源IP地址 可配置多個地址對象組,各項間為“或”關係,即隻需要匹配其中任一地址對象組 |
||
|
目的IP地址 |
NAT規則引用的目的地址對象組,用於匹配報文的目的IP地址 可配置多個地址對象組,各項間為“或”關係,即隻需要匹配其中任一地址對象組 |
||
|
服務 |
NAT規則引用的服務對象組,用於匹配報文攜帶的服務類型 可配置多個服務對象組,各項間為“或”關係,即隻需要匹配其中任一服務對象組
|
||
|
動作 |
指定NAT動態地址轉換的模式: · PAT:對於匹配轉換規則的報文,使用地址組中的地址或該接口的地址進行源地址轉換,同時轉換源端口 · NO-PAT:對於匹配轉換規則的報文,使用地址組中的地址進行源地址轉換,但不轉換源端口 · 接口IP地址:NAT轉換時直接使用接口上的IP地址 · 不做轉換:不對符合此規則中匹配條件的報文進行地址轉換 |
||
|
轉換後源地址 |
選擇源地址轉換使用的NAT地址組
|
||
|
盡量不轉換端口 |
PAT方式分配端口時盡量不轉換端口 該項僅轉換模式選擇為“PAT”時可配置 |
||
|
反向地址轉換 |
允許反向地址轉換,即在內網用戶主動向外網發起連接並成功觸發建立地址轉換表項的情況下,允許外網向該內網用戶發起的連接使用已建立的地址轉換表項進行目的地址轉換 該項僅轉換模式選擇為“NO-PAT”時可配置 |
||
|
啟用規則 |
啟用該NAT地址轉換規則 |
NAT內部服務器配置思路如下圖所示。
圖-6 NAT內部服務器配置指導圖
1. 創建服務器組(可選)
a. 選擇“策略 > NAT > NAT內部服務器 > 服務器組”。
b. 單擊<新建>,創建服務器組。
c. 單擊<確定>,完成服務器組配置。
2. 配置NAT內部服務器
a. 選擇“策略 > NAT > NAT內部服務器 > 策略配置”。
b. 單擊<新建>,新建NAT內部服務器規則,各項配置說明見下表。
c. 單擊<確定>,完成NAT內部服務器配置。
表-6 NAT內部服務器配置說明
|
配置項 |
說明 |
|
名稱 |
此NAT映射規則的名稱 |
|
接口 |
NAT內部服務器應用的接口,通常配置在外網側接口上 |
|
協議類型 |
指定協議類型 如果不指定協議類型,則表示對所有協議類型的報文都生效 |
|
映射方式 |
選擇NAT內部服務器的地址與端口映射關係,詳細介紹請參見表-1 NAT內部服務器的地址與端口映射關係 |
|
映射備注 |
針對此NAT映射規則的備注信息 |
|
外網地址 |
內部服務器向外提供服務時對外公布的外網IP地址 |
|
外網端口 |
外網端口號或者外網端口號的範圍,具體與選擇的映射方式有關 配置外網端口號範圍時,外網結束端口必須大於外網起始端口 |
|
外網VRF |
對外公布的外網地址所屬的VPN 缺省值為“公網”,表示對外公布的外網地址不屬於任何一個VPN |
|
內部服務器IP地址 |
內部服務器的內網IP地址或者IP地址範圍,具體與選擇的映射方式有關 配置IP地址範圍時,內部服務器結束IP地址必須大於內部服務器起始IP地址。該地址範圍的數量必須和外網起始端口、外網結束端口定義的端口數量相同 |
|
內部服務器端口 |
內部服務器的內網端口號或者端口號範圍,具體與選擇的映射方式有關 配置內網端口號範圍時,內網結束端口必須大於內網起始端口 |
|
內部服務器VRF |
內部服務器所屬的VPN 缺省值為“公網”,表示內部服務器不屬於任何一個VPN |
|
報文匹配規則(ACL) |
對匹配ACL permit規則的報文使用內部服務器的映射表進行地址轉換 不指定ACL的情況下,不對轉換對象進行限製 |
|
VRRP備份組 |
配置此功能後,所綁定VRRP備份組中的Master設備將使用虛擬IP地址和虛擬MAC地址響應ARP請求報文。在高可靠性組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
允許反向地址轉換 |
允許私網側內部服務器主動訪問外網。內部服務器主動訪問外網時,將私網地址轉換為內部服務器向外提供服務的外網IP地址 該項僅映射方式選擇為“外網地址單一,未使用外網端口或外網端口單一”可配置 |
|
啟用規則 |
啟用該NAT映射規則 |
目前,僅支持出方向的NAT靜態地址轉換,配置思路如下圖所示。
圖-7 NAT靜態地址轉換配置指導圖
1. 選擇“策略 > NAT > NAT靜態轉換 > 策略配置”。
2. 單擊<新建>,創建NAT靜態轉換策略。
表-7 NAT靜態地址轉換配置說明
|
配置項 |
說明 |
|
轉換方式 |
選擇靜態地址轉換的方式: · 一對一:實現一個內部私有網絡地址與一個外部公有網絡地址之間的轉換 · 網段對網段:實現一個內部私有網絡與一個外部公有網絡之間的地址轉換 · 地址對象組:實現基於對象組的內部私有網絡地址與外部公有網絡地址的轉換 |
|
內網地址 |
內網IP地址。此項具體的配置與選擇的轉換方式有關 對於地址對象組方式,需要引用IPv4地址對象組 |
|
外網VRF |
外網IP地址所屬的VPN。缺省為“公網”,表示不屬於任何一個VPN |
|
內網VRF |
內網IP地址所屬的VPN。缺省為“公網”,表示不屬於任何一個VPN |
|
外網地址 |
外網IP地址。此項具體的配置與選擇的轉換方式有關 對於地址對象組方式,需要引用IPv4地址對象組 |
|
ACL |
指定ACL,用於控製內網主機可以訪問的外網地址 |
|
VRRP備份組 |
配置此功能後,所綁定VRRP備份組中的Master設備將使用虛擬IP地址和虛擬MAC地址響應ARP請求報文。在高可靠性組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
允許反向地址轉換 |
開啟該功能後,從外網主動訪問內網的報文必須通過ACL反向匹配,才能使用該策略進行目的地址轉換 |
|
啟用規則 |
啟用該NAT地址轉換規則 |
3. 單擊<確定>,完成NAT出方向靜態地址轉換。
4. 選擇“策略 > NAT > NAT靜態轉換 > 策略應用”。
5. 選中接口前的複選框。
6. 單擊<開啟>,將NAT靜態轉換策略應用到接口上。
NAT444動態轉換的配置思路如下圖所示。
圖-8 NAT444動態轉換配置指導圖
1. 創建NAT444地址組。
a. 選擇“策略 > NAT > NAT444動態轉換 > NAT444地址組”。
b. 單擊<新建>,創建NAT444地址組。
c. 單擊<確定>,完成NAT444地址組配置。
表-8 NAT444地址組配置說明
|
配置項 |
說明 |
|
地址組編號 |
表示地址組的編號 |
|
VRRP備份組 |
配置此功能後,所綁定VRRP備份組中的Master設備將使用虛擬IP地址和虛擬MAC地址響應ARP請求報文。在高可靠性組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
端口範圍 |
該NAT444地址組內的所有公網IP地址可用於地址轉換的端口都必須位於所指定的端口範圍之內 |
|
端口塊大小 |
表示一個端口塊中所包含的端口數 |
|
增量端口數 |
當分配端口塊中的端口資源耗盡(所有端口都被使用)時,如果分配端口塊的公網IP地址所屬的NAT地址組中配置了增量端口塊數,則可以為對應的私網IP地址進行增量端口塊分配 |
|
地址檢測 |
此功能用於檢測NAT444地址組中地址的可用性,是通過在地址池中引用NQA模板來實現的。本功能僅對用於出方向地址轉換的地址成員的可用性進行檢測 |
|
地址組成員 |
對到達外部網絡的數據報文進行地址轉換時,報文的源地址將被轉換為地址組成員中的某個地址 |
2. 配置基於ACL的NAT444動態轉換。
a. 選擇“策略 > NAT > NAT444動態轉換 > 策略配置”。
b. 選擇<NAT444出方向動態轉換(基於ACL)>頁簽,單擊<新建>,新建基於ACL的NAT444動態轉換策略,各項配置說明見下表。
c. 單擊<確定>,完成NAT444動態轉換。
表-9 基於ACL的NAT444動態轉換配置說明
|
配置項 |
說明 |
||
|
接口 |
NAT轉換應用的接口,一個接口下可同時配置多條出方向地址轉換規則 |
||
|
報文匹配規則(ACL) |
對匹配ACL permit規則的報文進行地址轉換 不指定ACL的情況下,不對轉換對象進行限製 |
||
|
地址組 |
選擇源地址轉換使用的NAT444地址組 |
||
|
VRF |
配置轉換後源地址所屬的VPN。缺省為“公網”,表示不屬於任何一個VPN
|
||
|
轉換模式 |
指定NAT動態地址轉換的模式: · PAT:對於匹配轉換規則的報文,使用地址組中的地址或該接口的地址進行源地址轉換,同時轉換源端口 · NO-PAT:對於匹配轉換規則的報文,使用地址組中的地址進行源地址轉換,但不轉換源端口。配置NAT444動態轉換時,不建議使用該方式 |
||
|
反向地址轉換 |
該項僅轉換模式選擇為“NO-PAT”時可配置。配置NAT444動態轉換時,不建議配置 |
3. 配置基於對象組的NAT444動態轉換。
a. 選擇“策略 > NAT > NAT444動態轉換 > 策略配置”。
b. 選擇<NAT444出方向動態轉換(基於對象組)>頁簽,單擊<新建>,新建基於對象組的NAT444動態轉換策略,各項配置說明見下表。
c. 單擊<確定>,完成NAT444動態轉換。
表-10 基於對象組的NAT444動態轉換配置說明
|
配置項 |
說明 |
||
|
規則名稱 |
此NAT規則的名稱 |
||
|
規則描述 |
此NAT規則的描述信息 |
||
|
接口 |
NAT轉換應用的接口,一個接口下可同時配置多條出方向地址轉換規則 |
||
|
源IP地址 |
NAT規則引用的源地址對象組,用於匹配報文的源IP地址 可配置多個地址對象組,各項間為“或”關係,即隻需要匹配其中任一地址對象組 |
||
|
目的IP地址 |
NAT規則引用的目的地址對象組,用於匹配報文的目的IP地址 可配置多個地址對象組,各項間為“或”關係,即隻需要匹配其中任一地址對象組 |
||
|
服務 |
NAT規則引用的服務對象組,用於匹配報文攜帶的服務類型 可配置多個服務對象組,各項間為“或”關係,即隻需要匹配其中任一服務對象組
|
||
|
動作 |
指定NAT動態地址轉換的模式: · PAT:對於匹配轉換規則的報文,使用地址組中的地址進行源地址轉換,同時轉換源端口 · NO-PAT:對於匹配轉換規則的報文,使用地址組中的地址進行源地址轉換,但不轉換源端口。配置NAT444動態轉換時,不建議使用該方式 |
||
|
轉換後源地址 |
選擇源地址轉換使用的NAT地址組
|
||
|
反向地址轉換 |
該項僅轉換模式選擇為“NO-PAT”時可配置。配置NAT444動態轉換時,不建議配置 |
NAT444靜態地址轉換的配置思路如下圖所示。
圖-9 NAT444靜態地址轉換配置指導圖
1. 單擊“策略 > NAT > NAT444靜態轉換”。
2. 單擊<新建>,新建NAT444靜態轉換。
3. 選擇NAT444靜態轉換應用的接口。
4. 選擇或新建端口塊組。
5. 單擊<確定>,完成NAT444靜態轉換。
· 若同時存在NAT策略和普通NAT配置(包括NAT靜態地址轉換、普通NAT動態地址轉換、NAT444端口塊靜態映射、NAT444端口塊動態映射、NAT內部服務器)可能導致普通NAT配置失效,具體關係如下:
¡ NAT策略中的NAT規則僅轉換源地址,那麼普通NAT中源地址轉換的配置不生效,但是不會影響普通NAT中目的地址轉換的配置。
¡ NAT策略中的NAT規則僅轉換目的地址,那麼普通NAT中轉換目的地址的配置不生效,但是不會影響普通NAT中源地址轉換的配置。
¡ NAT策略中的NAT規則既轉換源地址又轉換目的地址,那麼普通NAT中轉換源地址和轉換目的地址的配置均不生效。
· 入方向的靜態地址轉換通常用於與接口上的出方向動態地址轉換、NAT內部服務器或出方向靜態地址轉換配合以實現雙向NAT,不建議單獨配置。
· 若接口上同時存在普通NAT靜態地址轉換、普通NAT動態地址轉換、NAT444端口塊靜態映射、NAT444端口塊動態映射和NAT內部服務器的配置,則在地址轉換過程中,它們的優先級從高到低依次為:NAT內部服務器;普通NAT靜態地址轉換;NAT444端口塊靜態映射;NAT444動態轉換和普通NAT動態地址轉換,係統對二者不做區分,統一按照ACL編號由大到小的順序匹配。
· 配置地址組時,各地址組成員的IP地址段不能互相重疊。
· 對於分布式設備,NAT地址資源需要不小於安全引擎個數,否則有些引擎分配不到NAT地址資源。
· NAT策略規則默認按配置順序排序,可任意改變規則的先後次序。若設備上配置了多條NAT策略規則,規則的次序越靠前,生效優先級越高。
· 一個NAT地址組或NAT444地址組被轉換方式為“PAT”的NAT規則引用後,不能再被轉換方式為“NO-PAT”的NAT規則引用,反之亦然。
· 新建或複製NAT策略規則時,如果勾選<自動生成安全策略>,設備將依據上方配置的原始報文相關信息自動生成安全策略。如果勾選<自動生成安全策略>後又修改了上方配置的原始報文相關信息,請單擊<更新>按鈕自動同步修改安全策略。
同一接口配置多條出方向地址轉換規則時,生效優先級如下:
· 指定了ACL的轉換規則優先級高於未指定ACL的轉換規則。
· 轉換規則中都指定了ACL時,其生效優先級由ACL編號的大小決定,編號越大,優先級越高。
· 指定引用的地址對象組時,需要注意:
¡ 內網IPv4地址對象組和外網IPv4地址對象組內隻能存在一個IPv4地址對象(一個主機對象或者一個子網對象)。
¡ 內網IPv4地址對象組內地址數應不大於外網IPv4地址對象組。
¡ 外網IPv4地址對象組的地址對象不能是地址範圍。
¡ 地址對象組不能包含排除地址,否則配置不生效。
¡ 針對地址對象組的修改將直接作用於引用該地址對象組的NAT靜態轉換,需要時請謹慎修改。
· 在VPN組網中,配置出方向靜態地址轉換時需要指定VPN,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
· 指定引用的ACL時,需要注意:
¡ 如果沒有指定ACL,則所有從內網到外網的報文都可以使用該配置進行源地址轉換;所有從外網到內網的報文都可以使用該配置進行目的地址轉換。
¡ 如果僅指定了ACL,沒有指定ACL反向匹配,對於從內網到外網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從外網主動訪問內網的報文,不能使用該配置進行目的地址轉換。
¡ 如果既指定了ACL,又指定了ACL反向匹配,對於從內網到外網的報文,隻有報文符合ACL permit規則,才能使用該策略進行源地址轉換;對於從外網主動訪問內網的報文,需要進行ACL反向匹配(提取報文的源地址/端口和目的地址/端口,並根據配置轉換目的地址,然後將源地址/端口和目的地址/端口互換去匹配ACL),隻有反向匹配ACL的報文才能使用該策略進行轉換,否則不予轉換。
· 在配置負載均衡內部服務器時,若配置一個外網地址,N個連續的外網端口號對應一個內部服務器組,或N個連續的外網地址,一個外網端口號對應一個內部服務器組,則內部服務器組的成員個數不能小於N,即同一用戶不能通過不同的外網地址或外網端口號訪問相同內網服務器的同一服務。
· 內部服務器組成員按照權重比例對外提供服務,權重值越大的內部服務器組成員對外提供服務的比重越大。
· 在VPN組網中,配置NAT內部服務器時需要指定VRF,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
· NAT內部服務器的地址與端口映射關係為基於對象組的內部服務器時,外網地址引用的地址對象組僅能為網段、IP地址範圍和主機IP地址三種類型的IPv4地址對象組,且不能存在排除地址。
同一接口配置多條出方向地址轉換規則時,生效優先級如下:
· 指定了ACL的轉換規則優先級高於未指定ACL的轉換規則。
· 轉換規則中都指定了ACL時,其生效優先級由ACL編號的大小決定,編號越大,優先級越高。
· NAT地址組可以引用多個NQA探測模板。當引用多個NQA探測模板時,隻要有一個NQA探測模板探測成功,則表示該地址可用於地址轉換。
· NQA探測模板不能配置源IP地址。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
