NAT典型配置舉例

 

本文檔介紹NAT功能的典型配置舉例。

NAT功能主要有如下幾種實現方式：

靜態方式

靜態地址轉換是指內部網絡和外部網絡之間的地址映射關係由配置固定。該方式適用於內部網絡與外部網絡之間存在固定訪問需求的組網環境。靜態地址轉換支持雙向互訪：內網用戶可以主動訪問外網，外網用戶也可以主動訪問內網。

動態方式

動態地址轉換是指內部網絡和外部網絡之間的地址映射關係在建立連接的時候動態產生。該方式通常適用於內部網絡有大量用戶需要訪問外部網絡的組網環境。

內部服務器

在實際應用中，內部網絡中的服務器可能需要對外部網絡提供一些服務，例如對外部網絡提供Web服務，或是FTP服務。這種情況下，NAT設備允許外網用戶通過指定的NAT地址和端口訪問這些內部服務器，NAT內部服務器的配置定義了NAT地址和端口與內網服務器地址和端口的映射關係。

NAT444端口塊方式

NAT444是運營商網絡部署NAT的整體解決方案，它基於NAT444網關，結合AAA服務器、日誌服務器等配套係統，提供運營商級的NAT，並支持用戶溯源等功能。在眾多IPv4向IPv6網絡過渡的技術中，NAT444僅需在運營商側引入二次NAT，對終端和應用服務器端的更改較小，並且NAT444通過端口塊分配方式解決用戶溯源等問題，因此成為了運營商的首選IPv6過渡方案。

 

本文檔不嚴格與具體軟、硬件版本對應，如果使用過程中與產品實際情況有差異，請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證，配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置，為了保證配置效果，請確認現有配置與以下舉例中的配置不衝突。

本文檔假設您已了解NAT特性。

組網需求

如圖-1所示，Host所在網絡的出口處部署了一台Device。現需要使用靜態地址轉換功能，將內網用戶地址轉換為出口公網地址來訪問外網。具體需求如下：

內部用戶172.16.100.1/24使用外網地址200.2.2.254/24訪問Internet中地址為100.100.100.100/24的Server。

圖-1 靜態地址轉換配置組網圖

 

使用版本

本舉例是在F1060的F9345版本上進行配置和驗證的。

配置步驟

Device配置

1.     配置接口的IP地址和安全域

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕，配置如下。

·     安全域：Untrust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：200.2.2.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2，配置如下。

·     選安全域：Trust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：172.16.100.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

2.     配置路由

本舉例僅以靜態路由為例，若實際組網中需采用動態路由，請配置對應的動態路由協議。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”，單擊<新建>按鈕，進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由，並進行如下配置：

·     目的IP地址：100.100.100.100

·     掩碼長度：24

·     下一跳IP地址：200.2.2.253

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成靜態路由的配置。

3.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv4

·     動作：允許

·     源IPv4地址：172.16.100.1

·     目的IPv4地址：100.100.100.100

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

4.     配置靜態地址轉換

# 選擇“策略 > NAT > NAT靜態轉換 > 策略配置”，進入NAT出方向靜態地址轉換頁麵。

# 單擊<新建>按鈕，新建NAT出方向靜態地址轉換，配置如下圖所示。

圖-2 新建NAT出方向靜態地址轉換

 

# 單擊<確定>按鈕，完成NAT出方向靜態地址轉換配置。

5.     應用NAT靜態地址轉換

# 選擇“策略 > NAT > NAT靜態轉換 > 策略應用”，勾選GE1/0/1，單擊開啟按鈕，結果如下圖所示。

圖-3 策略應用

 

驗證配置

1.     Host主機可以Ping通外部網絡的服務器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字節的數據:

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

 

100.100.100.100 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看NAT的會話信息。

圖-4 會話列表

 

組網需求

如圖-5所示，公司擁有200.2.2.1/24～200.2.2.3/24三個公網IP地址，三台內部主機地址分別為Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。通過配置NAT NO-PAT方式的地址轉換功能，使內部網絡中的主機可以訪問Internet中的Server。

圖-5 動態地址轉換NO-PAT配置組網圖

 

使用版本

本舉例是在F1060的F9345版本上進行配置和驗證的。

配置步驟

Device配置

1.     配置接口的IP地址和安全域

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕，配置如下。

·     安全域：Untrust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：200.2.2.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：172.16.100.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

2.     配置路由

本舉例僅以靜態路由為例，若實際組網中需采用動態路由，請配置對應的動態路由協議。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”，單擊<新建>按鈕，進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由，並進行如下配置：

·     目的IP地址：100.100.100.100

·     掩碼長度：24

·     下一跳IP地址：200.2.2.253

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成靜態路由的配置。

3.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv4

·     動作：允許

·     源IPv4地址：172.16.100.1、172.16.100.2、172.16.100.3

·     目的IPv4地址：100.100.100.100

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

4.     配置NAT地址組

# 選擇“策略 > NAT > NAT高級設置 > NAT地址組”。

# 單擊<新建>按鈕，新建NAT地址組，參數配置如下圖所示。

圖-6 新建地址組

 

# 單擊<確定>按鈕，完成NAT地址組配置。

5.     配置NAT動態地址轉換策略

# 選擇“策略 > NAT > NAT動態轉換 > NAT出方向動態轉換（基於對象組）”。

# 單擊<新建>按鈕，新建NAT出方向動態轉換，參數配置如下圖所示。

圖-7 新建NAT出方向動態轉換

 

# 單擊<確定>按鈕，完成NAT出方向動態轉換配置。

驗證配置

1.     Host主機可以Ping通外部網絡的服務器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字節的數據:

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

 

100.100.100.100 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看NAT的會話信息。

圖-8 會話列表

 

組網需求

如圖-9所示，公司擁有一個200.2.2.1/24的公網IP地址，三台內部主機地址分別為Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。通過配置NAT PAT方式的地址轉換功能，內部網絡中的主機可以通過公網地址200.2.2.1/24訪問Internet中的Server。

圖-9 動態地址轉換PAT方式配置組網圖

 

使用版本

本舉例是在F1060的F9345版本上進行配置和驗證的。

配置步驟

Device配置

1.     配置接口的IP地址和安全域

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕，配置如下。

·     安全域：Untrust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：200.2.2.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：172.16.100.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

2.     配置路由

本舉例僅以靜態路由為例，若實際組網中需采用動態路由，請配置對應的動態路由協議。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”，單擊<新建>按鈕，進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由，並進行如下配置：

·     目的IP地址：100.100.100.100

·     掩碼長度：24

·     下一跳IP地址：200.2.2.253

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成靜態路由的配置。

3.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv4

·     動作：允許

·     源IPv4地址：172.16.100.1、172.16.100.2、172.16.100.3

·     目的IPv4地址：100.100.100.100

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

4.     配置NAT地址組

# 選擇“策略 > NAT > NAT高級設置 > NAT地址組”。

# 單擊<新建>按鈕，新建地址組，參數配置如下圖所示。

圖-10 新建地址組

 

# 單擊<確定>按鈕，完成NAT地址組配置。

5.     配置NAT動態轉換策略

# 選擇“策略 > NAT > NAT動態轉換 > NAT出方向動態轉換（基於對象組）”，進入NAT出方向動態轉換配置界麵。

# 單擊<新建>按鈕，新建NAT出方向動態轉換，參數配置如下圖所示。

圖-11 新建NAT出方向動態轉換

 

# 單擊<確定>按鈕，完成NAT出方向動態轉換配置。

驗證配置

1.     Host主機可以Ping通外部網絡的服務器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字節的數據:

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

 

100.100.100.100 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看NAT的會話信息。

圖-12 會話列表

 

組網需求

如圖-13所示，公司有一台對外提供Web服務的Web Server，其地址為172.16.100.1/24，通過配置NAT內部服務器功能，外部網絡主機Host可以通過公網地址200.2.2.1/24訪問公司內部的Web Server。

圖-13 NAT內部服務器配置組網圖

 

使用版本

本舉例是在F1060的F9345版本上進行配置和驗證的。

配置步驟

Device配置

1.     配置接口的IP地址和安全域

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕，配置如下。

·     安全域：Untrust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：200.2.2.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：172.16.100.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

2.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：Secpolicy

·     源安全域：Untrust

·     目的安全域：Trust

·     類型：IPv4

·     動作：允許

·     源IPv4地址：100.100.100.100

·     目的IPv4地址：172.16.100.1

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

3.     配置NAT內部服務器轉換

# 選擇“策略 > NAT > NAT內部服務器 > 策略配置”。

# 單擊<新建>按鈕，新建NAT內部服務器，參數配置如下圖所示。

圖-14 新建NAT內部服務器

 

# 單擊<確定>按鈕，完成NAT內部服務器配置。

驗證配置

1.     Host主機可以Ping通外部網絡的服務器地址。

C:\Users\abc>ping 200.2.2.1

 

正在 Ping 200.2.2.1 具有 32 字節的數據:

來自 200.2.2.1 的回複: 字節=32 時間<1ms TTL=253

來自 200.2.2.1 的回複: 字節=32 時間<1ms TTL=253

來自 200.2.2.1 的回複: 字節=32 時間<1ms TTL=253

來自 200.2.2.1 的回複: 字節=32 時間<1ms TTL=253

 

200.2.2.1 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看NAT的會話信息。

圖-15 會話列表

 

組網需求

如圖-16所示，公司擁有一個200.2.2.1/24的公網IP地址，三台內部主機地址分別為Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。內網用戶地址基於NAT444端口塊靜態映射方式複用外網地址200.2.2.1，外網地址的端口範圍為10001～15000，端口塊大小為500。

圖-16 NAT444端口塊靜態映射配置組網

 

使用版本

本舉例是在F1060的F9345版本上進行配置和驗證的。

配置步驟

Device配置

1.     配置接口的IP地址和安全域

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕，配置如下。

·     安全域：Untrust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：200.2.2.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：172.16.100.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

2.     配置路由

本舉例僅以靜態路由為例，若實際組網中需采用動態路由，請配置對應的動態路由協議。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”，單擊<新建>按鈕，進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由，並進行如下配置：

·     目的IP地址：100.100.100.100

·     掩碼長度：24

·     下一跳IP地址：200.2.2.253

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成靜態路由的配置。

3.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv4

·     動作：允許

·     源IPv4地址：172.16.100.1、172.16.100.2、172.16.100.3

·     目的IPv4地址：100.100.100.100

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

4.     配置NAT端口塊組

# 選擇“策略 > NAT > NAT444靜態轉換 > 端口塊組”。

# 單擊<新建>按鈕，新建端口塊組，參數配置如下圖所示。

圖-17 新建端口塊組

 

# 單擊<確定>按鈕，完成端口塊組配置。

5.     配置NAT444靜態轉換策略

# 選擇“策略 > NAT > NAT444靜態轉換 > 策略配置”。

# 單擊<新建>按鈕，新建NAT444靜態轉換策略，參數配置如下圖所示。

圖-18 新建NAT444靜態轉換

 

# 單擊<確定>按鈕，完成NAT444靜態轉換配置。

驗證配置

1.     Host主機可以Ping通外部網絡的服務器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字節的數據:

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

 

100.100.100.100 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看NAT的會話信息。

圖-19 會話列表

 

組網需求

如圖-20所示，公司擁有200.2.2.1/24～200.2.2.3/24三個公網IP地址，三台內部主機地址分別為Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。基於NAT444端口塊動態映射方式複用三個外網地址，外網地址的端口範圍為1024～65535，端口塊大小為500。當為某用戶分配的端口塊資源耗盡時，再為其增量分配1個端口塊。

圖-20 NAT444端口塊動態映射配置組網

 

使用版本

本舉例是在F1060的F9345版本上進行配置和驗證的。

配置步驟

Device配置

1.     配置接口的IP地址和安全域

# 選擇“網絡 > 接口 > 接口”，進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕，配置如下。

·     安全域：Untrust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：200.2.2.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     選擇“IPv4地址”頁簽，配置IP地址/掩碼：172.16.100.254/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成接口IP地址和安全域的配置。

2.     配置路由

本舉例僅以靜態路由為例，若實際組網中需采用動態路由，請配置對應的動態路由協議。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”，單擊<新建>按鈕，進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由，並進行如下配置：

·     目的IP地址：100.100.100.100

·     掩碼長度：24

·     下一跳IP地址：200.2.2.253

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成靜態路由的配置。

3.     配置安全策略

# 選擇“策略 > 安全策略> 安全策略”，單擊<新建>按鈕，選擇新建策略，進入新建安全策略頁麵。

# 新建安全策略，並進行如下配置：

·     名稱：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     類型：IPv4

·     動作：允許

·     源IPv4地址：172.16.100.1、172.16.100.2、172.16.100.3

·     目的IPv4地址：100.100.100.100

·     其他配置項使用缺省值

# 單擊<確定>按鈕，完成安全策略的配置。

4.     配置NAT地址組

# 選擇“策略 > NAT > NAT高級設置 > NAT地址組”。

# 單擊<新建>按鈕，新建NAT地址組，參數配置如下圖所示。

圖-21 新建NAT地址組

 

# 單擊<確定>按鈕，完成NAT444地址組配置。

5.     配置NAT444動態地址轉換策略

# 選擇“策略 > NAT > NAT444動態轉換 > NAT444出方向動態轉換（基於對象組）”。

# 單擊<新建>按鈕，新建NAT444動態轉換策略，參數配置如下圖所示。

圖-22 新建NAT444動態轉換

 

# 單擊<確定>按鈕，完成NAT444動態轉換配置。

驗證配置

1.     Host主機可以Ping通外部網絡的服務器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字節的數據:

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

來自 100.100.100.100 的回複: 字節=32 時間<1ms TTL=253

 

100.100.100.100 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒為單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

2.     在Device上，選擇“監控 > 會話列表”，查看NAT的會話信息。

圖-23 會話列表