• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(E6401 E6451)-6W112

11-NAT

本章节下载 11-NAT  (360.09 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/ACG1000_WCG(E6401_E6451)-6W112/202009/1334329_30005_0.htm

11-NAT


1 NAT

1.1  NAT概述

NAT的配置分为: 源地址转换(Source)、目的地址转换(Destination)及静态地址转换(Static)三种类型。

每条NAT规则都是和某个特定的接口关联的,需要注意的是,源地址转换是在离开接口时进行转换的,目的地址转换是在进入接口时进行转换的,所以配置源地址转换的时候必须和对应的出接口关联,而配置目的地址转换的时候需要和对应的入接口关联。

1.1.1  地址转换控制

在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问,即当NAT设备查看IP数据报文的报头内容时,如果发现源IP地址属于禁止访问外部网络的内部主机,它将不进行地址转换。另外,也希望只有指定的公网地址才可用于地址转换。

设备可以NAT规则的匹配条件和NAT地址池来对地址转换进行控制。

·      匹配条件可以有效地控制地址转换的使用范围,只有满足匹配条件的数据报文才可以进行地址转换。

·      地址池是用于地址转换的一些连续的公网IP地址的集合,它可以有效地控制公网地址的使用。用户可根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况,定义合适的地址池。在地址转换的过程中,NAT设备将会从地址池中挑选一个IP地址作为数据报文转换后的源IP地址。

1.1.2  NAT实现

通过创建并执行NAT规则来实现NAT功能。NAT规则有三类,分别为源NAT规则、目的NAT规则和静态NAT规则。 源NAT转换源IP地址,从而隐藏内部IP地址或者分享有限的IP地址;目的NAT转换目的IP地址,通常是将受保护的内部服务器的IP地址转换成公网IP地址;静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。

1.2  NAT地址池配置

在导航栏中选择“网络配置 > NAT > 地址池”,进入地址池的显示页面,如图1-1所示。单击<新建>按钮,进入地址池的配置页面,如图1-2所示。地址池详细配置说明,如表1-1所示。

图1-1 地址池显示界面

 

 

图1-2 新建地址池界面

 

表1-1 地址池详细配置

标题项

说明

名称

NAT地址池的名称

地址项目

NAT地址池中的起始地址和结束地址,NAT地址池中的结束地址不能小于起始地址。从起始地址到结束地址这个范围内的地址都会作为地址池中的地址

地址池

显示已加入地址池的地址

 

1.3  源NAT配置

在导航栏中选择“网络配置  > NAT > 源NAT”,单击<新建>按钮,进入源NAT配置页面,如图1-3所示。源NAT详细配置说明,如表1-2所示。

图1-3 源NAT配置

 

表1-2 源NAT详细配置

标题项

说明

源地址

NAT规则匹配的源地址,可以是地址节点或地址组

目的地址

NAT规则匹配的目的地址,可以是地址节点或地址组

服务

NAT规则匹配的服务名,可以是服务资源或服务组

接口

NAT规则匹配的出接口名

转换类型

需要转换成的地址,可以选择转换成出接口地址、地址池中的地址或不转换

不转换:为NAT白名单,指定的地址不做地址转换

日志

是否需要对该规则启用日志

 

1.4  目的NAT配置

在导航栏中选择“网络配置 > NAT > 目的NAT”,单击<新建>按钮,进入目的NAT配置页面,如图1-4所示。目的NAT详细配置说明,如表1-3所示。

图1-4 目的NAT配置

 

表1-3 目的NAT详细配置

标题项

说明

源地址

NAT规则匹配的源地址,可以是地址节点或地址组。

目的地址

NAT规则匹配的目的地址,可以是地址节点或地址组。

服务

NAT规则匹配的服务名,可以是服务资源或服务组。

接口

NAT规则匹配的出接口名。

转换类型

需要转换成的地址,可以选择地址映射、段映射或不转换。

不转换:为NAT白名单,指定的地址不做地址转换。

日志

是否需要对该规则启用日志。

 

1.5  静态NAT配置

在导航栏中选择“网络配置 > NAT > 静态NAT”,单击<新建>按钮,进入静态NAT配置页面,如图1-5所示。静态NAT详细配置说明,如表1-4所示。

图1-5 静态NAT配置

 

表1-4 静态NAT详细配置

标题项

说明

外部地址

需要转换的外部地址。

内部地址

需要转换的内部地址。

外部接口

和外部网络相连的接口名。

日志

是否需要对该规则启用日志。

 

1.6  配置举例

1.6.1  源NAT配置案例

1. 组网需求

公司拥有202.118.3.1/24至202.118.3.3/24三个外网地址,内网地址为192.168.1.0/24网段,需要实现内网地址可以使用202.118.3.1和202.118.3.2两个地址访问外网。

图1-6 源NAT配置组网图

 

2. 配置步骤

(1)     按照组网图组网。

(2)     在导航栏中选择“对象管理 > 地址 > IPv4地址对象”,单击<新建>按钮,进入IPv4地址对象配置页面,如图1-7所示。

图1-7 地址对象配置

 

点击<提交>按钮,提交配置。

(3)     在导航栏中选择“网络配置 > NAT > 地址池”,单击<新建>按钮,进入创建地址池配置页面配置地址池对象,如图1-8所示。

图1-8 地址池对象配置

 

点击<提交>按钮,提交配置。

(4)     在导航栏中选择“网络配置 > NAT > 源NAT”,单击<新建>按钮,进入源NAT配置页面配置源NAT转换,如图1-9所示。

图1-9 源NAT规则配置

 

点击<提交>按钮,提交配置。

3. 验证配置

配置完成后,内网PC可以直接访问外网。

1.6.2  目的NAT配置案例

1. 组网需求

公司内网有一台服务器对外提供HTTP服务,内网地址为192.168.1.3,服务端口为tcp 80,对外开放的地址为202.118.3.2,对外开放的服务端口为tcp 8080,现需要在外网可以直接访问内网服务器。

图1-10 目的NAT配置组网图

 

2. 配置步骤

(1)     按照组网图组网

(2)     在导航栏中选择“对象管理 > 地址 > IPv4地址对象”,单击<新建>按钮,进入IPv4地址对象配置页面,如图1-11所示。

图1-11 地址对象配置

 

点击<提交>按钮,提交配置。

(3)     在导航栏中选择“网络配置 > NAT > 地址池”,单击<新建>按钮,进入创建地址池配置页面配置地址池对象,如图1-12所示。

图1-12 地址池对象配置

 

点击<提交>按钮,提交配置。

(4)     在导航栏中选择“对象管理 > 服务 > 新建自定义服务”,单击<新建>按钮,进入自定义服务配置页面配置服务对象,如图1-13所示。

图1-13 新建自定义服务

 

点击<提交>按钮,提交配置。

(5)     在导航栏中选择“网络配置 > NAT > 目的NAT”,单击<新建>按钮,进入目的NAT配置页面配置目的NAT转换,如图1-14所示。

图1-14 目的NAT配置

 

3. 验证配置

配置完成后,外网可以访问内网服务器。

1.6.3  静态NAT配置案例

1. 组网需求

内网有一台服务器对外提供服务,服务器的内网地址为192.168.0.3,映射的公网地址为202.118.3.1。

2. 组网图

图1-15 静态NAT配置组网图

 

3. 配置步骤

(1)     按照组网图组网。

(2)     在导航栏中选择“网络配置 > NAT > 静态NAT”,单击<新建>按钮,进入静态NAT配置页面,如图1-16所示。

图1-16 静态NAT配置

 

点击<提交>按钮,提交配置。

4. 验证配置

配置完成后,外网通过IP 地址202.118.3.1可以访问内部服务器。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们