- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-NAT出方向动态转换(基于ACL)
本章节下载: 02-NAT出方向动态转换(基于ACL) (234.85 KB)
本帮助主要介绍以下内容:
· 特性简介
· 配置指南
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式:
· NO-PAT模式
NO-PAT(Not Port Address Translation)模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用。
该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。
· PAT模式
PAT(Port Address Translation)模式下,一个NAT地址可以同时分配给多个内网地址共用。该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,互联网控制消息协议)查询报文。
采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
同一接口配置多条出方向地址转换规则时,生效优先级如下:
· 指定了ACL的转换规则优先级高于未指定ACL的转换规则。
· 转换规则中都指定了ACL时,其生效优先级由ACL编号的大小决定,编号越大,优先级越高。
1. 创建NAT地址组(可选)
a. 选择“对象 > 对象组 > NAT地址组”。
b. 单击<新建>,创建NAT地址组,各项配置说 见下表。
c. 单击<确定>,完成NAT地址组配置。
表-1 NAT地址组配置说明
|
配置项 |
说明 |
|
地址组编号 |
表示地址组的编号 |
|
地址组名称 |
表示地址组的名称 |
|
VRRP备份组 |
配置此功能后,所绑定VRRP备份组中的Master设备将使用虚拟IP地址和虚拟MAC地址响应ARP请求报文。在高可靠性组网环境中需要配置此功能。此功能不同设备的支持情况不同,请以设备Web页面的实际支持情况为准 |
|
端口范围 |
该NAT地址组内的所有公网IP地址可用于地址转换的端口都必须位于所指定的端口范围之内 |
|
地址检测 |
此功能用于检测NAT地址组中地址的可用性,是通过在地址池中引用NQA模板来实现的。本功能仅对用于出方向地址转换的地址成员的可用性进行检测 |
|
地址组成员 |
对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址 |
2. 配置基于ACL的NAT动态地址转换
a. 单击“策略 > 接口NAT”。
b. 选择<NAT出方向动态转换(基于ACL)>页签,单击<新建>,创建基于ACL的NAT出方向动态转换规则,各项配置说明见下表。
c. 单击<确定>,完成NAT动态转换配置。
表-2 基于ACL的NAT出方向动态地址转换配置说明
|
配置项 |
说明 |
|
接口 |
NAT转换应用的接口,通常应用在外网侧接口上 |
|
ACL |
对匹配ACL permit规则的报文进行地址转换 不指定ACL的情况下,不对转换对象进行限制 |
|
转换后源地址 |
选择源地址转换使用的NAT地址,分为如下两种: · NAT地址组:NAT转换时使用NAT地址组中的IP地址 · 接口IP地址:NAT转换时直接使用接口上的IP地址 一个地址组被PAT方式转换规则引用后,不能再被NO-PAT方式的转换规则引用,反之亦然 |
|
优先使用原始端口 |
PAT方式分配端口时尽量不转换端口 该项仅转换模式选择为“PAT”时可配置 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
