NAT
特性简介
NAT(Network Address Translation,网络地址转换)是一种将内部网络私有IP地址,转换成公网IP地址的技术。拥有私有IP地址的内网用户无法直接访问Internet,如果希望内网用户使用运营商提供的公网IP访问外网,或者允许外网用户使用公网IP访问内网资源,则需要配置NAT。
NAT转换方式
NAT支持如下三种地址转换方式:
动态转换:动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。
静态转换:静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。
内部服务器:在实际应用中,内网中的服务器可能需要对外部网络提供一些服务,例如给外部网络提供Web服务,或是FTP服务。这种情况下,NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。
NAT ALG
ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的解析和处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。
例如,FTP(File Transfer Protocol,文件传输协议)应用由FTP客户端与FTP服务器之间建立的数据连接和控制连接共同实现,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置完成载荷信息的转换,以保证后续数据连接的正确建立。
如果内部网络与外部网络之间存在应用层业务,例如FTP/DNS,为了保证这些应用层协议的数据连接经过端口映射或一对一映射后还可以正确建立,就需要开启相应协议的NAT ALG功能。
NAT会话日志
NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。
有三种情况可以触发设备生成NAT会话日志:
新建NAT会话。
删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除。
存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息就被记录并生成日志。
配置指南
配置思路
NAT的配置思路如下图所示:
动态地址转换(使用接口的IP地址,即Easy IP)的配置思路如下图所示:
动态地址转换(使用NAT地址组)的配置思路如下图所示:
静态地址转换(一对一转换)的配置思路如下图所示:
静态地址转换(网段对网段转换)的配置思路如下图所示:
内部服务器(外网地址单一,未使用外网端口或外网端口单一)的配置思路如下图所示:
内部服务器(外网地址单一,外网端口连续)的配置思路如下图所示:
内部服务器(外网地址单一,未使用外网端口)的配置思路如下图所示:
内部服务器(外网地址单一,外网端口单一)的配置思路如下图所示:
内部服务器(外网地址单一)的配置思路如下图所示:
内部服务器(外网地址连续)的配置思路如下图所示:
地址组配置
配置地址组
新增地址组的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“地址组配置”,进入地址组配置页面。
点击<新增>按钮,弹出“新增地址组”配置页面。地址组的具体配置内容如表-1所示。
参数
说明
地址组编号
设置地址组的编号,取值范围为0~65535的整数
地址组名
设置地址组的名称,取值范围为1~63个字符
端口范围
设置地址组的端口范围,取值范围为1~65535的整数
地址组成员
设置地址组的地址成员。点击<新增>按钮,分别在“起始地址”和“结束地址”中添加点分十进制格式的IP地址。其中,“结束地址”必须大于或等于“起始地址”,如果“结束地址”和“起始地址”相同,则表示只有一个地址。
输入“起始地址”和“结束地址”后,点击“确认”即完成地址成员的添加。
在同一个地址组中,支持添加多段地址成员。但是不同地址段的地址成员不能互相重叠
动态地址转换(使用接口的IP地址,即Easy IP)
配置动态地址转换(使用接口的IP地址)
动态地址转换(使用NAT地址组)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“地址转换”,进入地址转换配置页面。
点击<新增>按钮,进入“新增NAT规则”配置页面。具体配置内容如表-2所示。
参数
说明
接口
指定NAT动态地址转换规则的生效接口
启用
是否启用此条地址转换规则
动态NAT规则名称
设置动态NAT规则的名称,取值范围为1~63个字符
显示完整配置
缺省情况下,“显示完整配置”处于关闭状态,报文匹配规则的缺省值为空,即不引用ACL规则;外网地址策略的缺省值为“使用当前接口主IP作为转换后的外网地址(Easy IP)”;转换模式的缺省值为“同时转换IP地址和端口号(PAT)”;优先保证端口号不变缺省情况下处于关闭状态。如需修改缺省值,请打开“显示完整配置”,对报文匹配规则、外网地址策略、转换模式、优先保证端口号不变进行配置
(可选)报文匹配规则(ACL)
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
外网地址策略
指定地址转换使用的NAT地址的来源,支持如下两种方式,可根据业务需求选择其中一种方式:
使用当前接口主IP作为转换后的外网地址(Easy IP)
IPv4地址组
本配置中,选择“使用当前接口主IP作为转换后的外网地址(Easy IP)”
(可选)转换模式
指定转换模式为PAT或NO-PAT
如果转换模式为“同时转换IP地址和端口号(PAT)”,则NAT设备对报文的IP地址和传输层端口同时进行转换,使得一个NAT地址可以同时分配给多个内网地址共用。即PAT模式能够更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问
如果转换模式为“仅对IP地址进行转换(NO-PAT)”,则一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。即NO-PAT模式下,NAT地址的复用率较低
(可选)优先保证端口号不变
缺省情况下,本功能处于关闭状态。有的服务端会对请求的端口号的范围以及具体端口号有要求,为了保证服务可用,需要保证转换前后端口号一致。对于这种情况,请打开此功能。
打开此功能后,如果不转换端口会引起地址冲突,那么会强制转换端口
动态地址转换(NAT地址组)
配置动态地址转换(使用NAT地址组)
动态地址转换(使用NAT地址组)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“地址转换”,进入地址转换配置页面。
点击<新增>按钮,进入“新增NAT规则”配置页面。具体配置内容如表-3所示。
参数
说明
接口
指定NAT动态地址转换规则的生效接口
启用
是否启用此条地址转换规则
动态NAT规则名称
设置动态NAT规则的名称,取值范围为1~63个字符
显示完整配置
缺省情况下,“显示完整配置”处于关闭状态,报文匹配规则的缺省值为空,即不引用ACL规则;外网地址策略的缺省值为“使用当前接口主IP作为转换后的外网地址(Easy IP)”;转换模式的缺省值为“同时转换IP地址和端口号(PAT)”;优先保证端口号不变缺省情况下处于关闭状态。如需修改缺省值,请打开“显示完整配置”,对报文匹配规则、外网地址策略、转换模式、优先保证端口号不变进行配置
(可选)报文匹配规则(IPv4 ACL)
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
外网地址策略
指定地址转换使用的NAT地址的来源,支持如下两种方式,可根据业务需求选择其中一种方式:
使用当前接口主IP作为转换后的外网地址(Easy IP)
IPv4地址组
本配置中,选择“IPv4地址组”
地址组编号
指定地址转换使用的地址组的编号
(可选)转换模式
指定转换模式为PAT或NO-PAT
如果转换模式为“同时转换IP地址和端口号(PAT)”,则NAT设备对报文的IP地址和传输层端口同时进行转换,使得一个NAT地址可以同时分配给多个内网地址共用。即PAT模式能够更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问
如果转换模式为“仅对IP地址进行转换(NO-PAT)”,则一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。即NO-PAT模式下,NAT地址的复用率较低
(可选)优先保证端口号不变
缺省情况下,本功能处于关闭状态。有的服务端会对请求的端口号的范围以及具体端口号有要求,为了保证服务可用,需要保证转换前后端口号一致。对于这种情况,请打开此功能。
打开此功能后,如果不转换端口会引起地址冲突,那么会强制转换端口
静态地址转换(一对一转换)
配置静态地址转换(一对一转换)
静态地址转换(一对一转换)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“静态转换策略”,进入“新增静态NAT策略”配置页面。
转换方式选择“一对一转换(缺省)”,表示配置静态一对一转换,具体配置内容如表-4所示。
参数
说明
启用
是否启用此条地址转换规则
(可选)规则名称
设置静态一对一转换规则的名称,取值范围为1~63个字符
内网IP地址
指定内网IP地址
外网IP地址
指定外网IP地址
(可选)报文匹配规则(IPv4 ACL)
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
允许地址反转
静态转换规则本身默认支持反向地址转换,即允许外网主机主动拿访问内网主机,且无法关闭反向地址转换。但指定了报文匹配的ACL规则后,静态转换规则默认不支持反向地址转换。如需反向地址转换功能,请打开此开关
点击“地址转换”,进入地址转换配置页面。
点击<新增>按钮,进入“新增NAT规则”配置页面。
选择应用静态NAT策略的接口,然后在“静态NAT策略”区域打开“对当前接口应用全局静态NAT策略”开关。点击<提交>按钮则会在选中的接口应用静态NAT策略。
静态地址转换(网段对网段转换)
配置静态地址转换(网段对网段转换)
静态地址转换(网段对网段转换)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“静态转换策略”,进入“新增静态NAT策略”配置页面。
转换方式选择“网段对网段转换”,表示配置静态网段对网段转换,具体配置内容如表-5所示。
参数
说明
启用
是否启用此条地址转换规则
(可选)规则名称
设置静态网段对网段转换规则的名称,取值范围为1~63个字符
内网IP地址范围
指定内网IP地址范围
外网IP地址网段
指定外网IP地址和掩码。可以输入点分十进制格式的掩码,也可以输入掩码长度。如果输入点分十进制格式的掩码,则取值范围为255.0.0.0~255.255.255.254;如果输入掩码长度,则取值范围为8~31
(可选)报文匹配规则(IPv4 ACL)
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
允许地址反转
静态转换规则本身默认支持反向地址转换,即允许外网主机主动拿访问内网主机,且无法关闭反向地址转换。但指定了报文匹配的ACL规则后,静态转换规则默认不支持反向地址转换。如需反向地址转换功能,请打开此开关
点击“地址转换”,进入地址转换配置页面。
点击<新增>按钮,进入“新增NAT规则”配置页面。
选择应用静态NAT策略的接口,然后在“静态NAT策略”区域打开“对当前接口应用全局静态NAT策略”开关。点击<提交>按钮则会在选中的接口应用静态NAT策略。
内部服务器(外网地址单一,未使用外网端口或外网端口单一)
配置内部服务器(外网地址单一,未使用外网端口或外网端口单一)
内部服务器(外网地址单一,未使用外网端口或外网端口单一)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT >”,进入NAT配置页面。
点击“内部服务器”,进入内部服务器配置页面。
点击<新增>按钮,进入“新增NAT内部服务器”配置页面。具体配置内容如表-6所示。
表-6 内部服务器(外网地址单一,未使用外网端口或外网端口单一)配置参数表
参数
说明
接口
指定内部服务器的生效接口
启用
是否启用此条地址转换规则
动态NAT规则名称
设置内部服务器转换规则的名称,取值范围为1~63个字符
显示完整配置
缺省情况下,“显示完整配置”处于关闭状态,报文匹配规则的缺省值为空,即不引用ACL规则;IP协议类型的缺省值为“对所有协议类型生效”;映射方式的缺省值为“外网地址单一,未使用外网端口”;外网地址的缺省值为“使用当前接口主IP作为转换后的外网地址(Easy IP)”。如需修改缺省值,请打开“显示完整配置”,对IP协议类型、映射方式、外网地址进行配置
报文匹配规则(IPv4 ACL)
打开“显示完整配置”后,才能配置本参数。
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
IP协议类型
打开“显示完整配置”后,才能配置本参数。
支持通过如下两种方式指定协议类型:
指定协议名称,取值包括:ICMP、TCP和UDP
指定协议号,取值范围为1~255的整数
本配置中,选择TCP或UDP
映射方式
打开“显示完整配置”后,才能配置本参数。
指定映射方式为“外网地址单一,未使用外网端口或外网端口单一”
外网地址
指定内部服务器对外提供服务使用的IP地址。支持如下三种配置方式,可根据业务需求选择其中一种方式:
使用当前接口的主IP地址作为内部服务器的外网地址(Easy IP)
使用Loopback接口的主IP地址作为内部服务器的外网地址
指定IP地址
端口号模式
支持如下两种模式,可根据业务需求选择其中一种模式:
单一端口
不使用端口
外网端口
端口号模式为“单一端口”时,通过此参数指定内部服务器对外提供服务使用的端口号
内部服务器IP
指定内网服务器的内网地址
内部服务器端口
指定内部服务器的内网端口号。只有IP协议类型为TCP或UDP时,才能指定本配置参数
(可选)反向地址转换
缺省情况下,不支持私网侧内部服务器主动访问外网。如有需要且确保没有安全风险的情况下,可以勾选“允许反向地址转换”
内部服务器(外网地址单一,外网端口连续)
配置内部服务器(外网地址单一,外网端口连续)
内部服务器(外网地址单一,外网端口连续)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“内部服务器”,进入内部服务器配置页面。
点击<新增>按钮,进入“新增NAT内部服务器”配置页面。具体配置内容如表-7所示。
参数
说明
接口
指定内部服务器的生效接口
启用
是否启用此条地址转换规则
动态NAT规则名称
设置内部服务器转换规则的名称,取值范围为1~63个字符
显示完整配置
缺省情况下,“显示完整配置”处于关闭状态,报文匹配规则的缺省值为空,即不引用ACL规则;IP协议类型的缺省值为“对所有协议类型生效”;映射方式的缺省值为“外网地址单一,未使用外网端口”;外网地址的缺省值为“使用当前接口主IP作为转换后的外网地址(Easy IP)”。如需修改缺省值,请打开“显示完整配置”,对IP协议类型、映射方式、外网地址进行配置
报文匹配规则(IPv4 ACL)
打开“显示完整配置”后,才能配置本参数。
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
IP协议类型
打开“显示完整配置”后,才能配置本参数。
支持通过如下两种方式指定协议类型:
指定协议名称,取值包括:ICMP、TCP和UDP
指定协议号,取值范围为1~255的整数
本配置中,选择TCP或UDP
映射方式
打开“显示完整配置”后,才能配置本参数。
指定映射方式为“外网地址单一,外网端口连续”
外网地址
指定内部服务器对外提供服务使用的IP地址。支持如下三种配置方式,可根据业务需求选择其中一种方式:
使用当前接口的主IP地址作为内部服务器的外网地址(Easy IP)
使用Loopback接口的主IP地址作为内部服务器的外网地址
指定IP地址
外网端口范围
指定内部服务器对外提供服务使用的端口号范围。只有IP协议类型为TCP或UDP时,才能指定本配置参数
内部服务器地址类型
支持如下两种类型,可根据业务需求选择其中一种类型:
单一地址
地址范围
内部服务器IP
内部服务器地址类型为“单一地址”时,通过此参数指定内网服务器的内网地址
内部服务器地址类型为“地址范围”时,通过此参数指定内网服务器的内网地址范围
内部服务器端口
指定内部服务器的内网端口号。只有IP协议类型为TCP或UDP时,才能指定本配置参数
内部服务器(外网地址连续,未使用外网端口)
配置内部服务器(外网地址连续,未使用外网端口)
内部服务器(外网地址连续,未使用外网端口)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“内部服务器”,进入内部服务器配置页面。
点击<新增>按钮,进入“新增NAT内部服务器”配置页面。具体配置内容如表-8所示。
表-8 内部服务器(外网地址连续,未使用外网端口)配置参数表
参数
说明
接口
指定内部服务器的生效接口
启用
是否启用此条地址转换规则
动态NAT规则名称
设置内部服务器转换规则的名称,取值范围为1~63个字符
显示完整配置
缺省情况下,“显示完整配置”处于关闭状态,报文匹配规则的缺省值为空,即不引用ACL规则;IP协议类型的缺省值为“对所有协议类型生效”;映射方式的缺省值为“外网地址单一,未使用外网端口”;外网地址的缺省值为“使用当前接口主IP作为转换后的外网地址(Easy IP)”。如需修改缺省值,请打开“显示完整配置”,对IP协议类型、映射方式、外网地址进行配置
报文匹配规则(IPv4 ACL)
打开“显示完整配置”后,才能配置本参数。
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
IP协议类型
打开“显示完整配置”后,才能配置本参数。
支持通过如下两种方式指定协议类型:
指定协议名称,取值包括:ICMP、TCP和UDP
指定协议号,取值范围为1~255的整数
本配置中,选择TCP或UDP
映射方式
打开“显示完整配置”后,才能配置本参数。
指定映射方式为“外网地址连续,未使用外网端口”
外网IP地址范围
指定内部服务器对外提供服务使用的IP地址范围
内部服务器IP地址范围
指定内部服务器的内网地址范围
内部服务器(外网地址连续,外网端口单一)
配置内部服务器(外网地址连续,外网端口单一)
内部服务器(外网地址连续,外网端口单一)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“内部服务器”,进入内部服务器配置页面。
点击<新增>按钮,进入“新增NAT内部服务器”配置页面。具体配置内容如表-9所示。
参数
说明
接口
指定内部服务器的生效接口
启用
是否启用此条地址转换规则
动态NAT规则名称
设置内部服务器转换规则的名称,取值范围为1~63个字符
显示完整配置
缺省情况下,“显示完整配置”处于关闭状态,报文匹配规则的缺省值为空,即不引用ACL规则;IP协议类型的缺省值为“对所有协议类型生效”;映射方式的缺省值为“外网地址单一,未使用外网端口”;外网地址的缺省值为“使用当前接口主IP作为转换后的外网地址(Easy IP)”。如需修改缺省值,请打开“显示完整配置”,对IP协议类型、映射方式、外网地址进行配置
报文匹配规则(IPv4 ACL)
打开“显示完整配置”后,才能配置本参数。
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
IP协议类型
打开“显示完整配置”后,才能配置本参数。
支持通过如下两种方式指定协议类型:
指定协议名称,取值包括:ICMP、TCP和UDP
指定协议号,取值范围为1~255的整数
本配置中,选择TCP或UDP
映射方式
打开“显示完整配置”后,才能配置本参数。
指定映射方式为“外网地址连续,外网端口单一”
外网IP地址范围
指定内部服务器对外提供服务使用的IP地址范围
外网端口
指定内部服务器对外提供服务使用的端口号。只有IP协议类型为TCP或UDP时,才能指定本配置参数
内部服务器IP地址
指定内部服务器的内网地址
内部服务器端口范围
指定内部服务器的内网端口号范围。只有IP协议类型为TCP或UDP时,才能指定本配置参数
内部服务器(外网地址单一)
配置内部服务器(外网地址单一)
内部服务器(外网地址单一)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“内部服务器”,进入内部服务器配置页面。
点击<新增>按钮,进入“新增NAT内部服务器”配置页面。具体配置内容如表-10所示。
参数
说明
接口
指定内部服务器的生效接口
启用
是否启用此条地址转换规则
动态NAT规则名称
设置内部服务器转换规则的名称,取值范围为1~63个字符
显示完整配置
缺省情况下,“显示完整配置”处于关闭状态,报文匹配规则的缺省值为空,即不引用ACL规则;IP协议类型的缺省值为“对所有协议类型生效”;映射方式的缺省值为“外网地址单一,未使用外网端口”;外网地址的缺省值为“使用当前接口主IP作为转换后的外网地址(Easy IP)”。如需修改缺省值,请打开“显示完整配置”,对IP协议类型、映射方式、外网地址进行配置
报文匹配规则(IPv4 ACL)
打开“显示完整配置”后,才能配置本参数。
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
IP协议类型
打开“显示完整配置”后,才能配置本参数。
支持通过如下两种方式指定协议类型:
指定协议名称,取值包括:ICMP、TCP和UDP
指定协议号,取值范围为1~255的整数
本配置中,选择ICMP
映射方式
打开“显示完整配置”后,才能配置本参数。
指定映射方式为“外网地址单一”
内部服务器IP
指定内部服务器的内网地址
内部服务器(外网地址连续)
配置内部服务器(外网地址连续)
内部服务器(外网地址连续)的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“内部服务器”,进入内部服务器配置页面。
点击<新增>按钮,进入“新增NAT内部服务器”配置页面。具体配置内容如表-11所示。
参数
说明
接口
指定内部服务器的生效接口
启用
是否启用此条地址转换规则
动态NAT规则名称
设置内部服务器转换规则的名称,取值范围为1~63个字符
显示完整配置
缺省情况下,“显示完整配置”处于关闭状态,报文匹配规则的缺省值为空,即不引用ACL规则;IP协议类型的缺省值为“对所有协议类型生效”;映射方式的缺省值为“外网地址单一,未使用外网端口”;外网地址的缺省值为“使用当前接口主IP作为转换后的外网地址(Easy IP)”。如需修改缺省值,请打开“显示完整配置”,对IP协议类型、映射方式、外网地址进行配置
报文匹配规则(IPv4 ACL)
打开“显示完整配置”后,才能配置本参数。
如果指定了报文匹配规则,则NAT设备只对匹配该规则的报文进行地址转换
IP协议类型
打开“显示完整配置”后,才能配置本参数。
支持通过如下两种方式指定协议类型:
指定协议名称,取值包括:ICMP、TCP和UDP
指定协议号,取值范围为1~255的整数
本配置中,选择ICMP
映射方式
打开“显示完整配置”后,才能配置本参数。
指定映射方式为“外网地址连续”
外网IP地址范围
指定内部服务器对外提供服务使用的IP地址范围
内部服务器IP地址范围
指定内部服务器的内网地址范围
应用层网关
配置应用层协议地址转换
应用层协议地址转换的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“应用层网关”,进入应用层网关配置页面。
如果希望开启界面上所有协议的NAT ALG功能,则请勾选“选择全部”,然后点击<提交>按钮,即开启界面上所有协议的NAT ALG功能。
如果希望开启某个或某些协议的NAT ALG功能,则只勾选对应的协议,然后点击<提交>按钮,仅开启某个或某些协议的NAT ALG功能。
日志设置
设置NAT日志
NAT日志的具体配置步骤如下:
选择“配置 > 网络配置 > 更多配置 > NAT”,进入NAT配置页面。
点击“日志设置”,进入NAT日志配置页面。
NAT会话日志包括如下功能:
NAT活跃流日志。点击开关按钮,当其显示为“开”时,表示此功能已开启;当其显示为“关”时,表示此功能已关闭。
记录NAT新建会话的日志。点击开关按钮,当其显示为“开”时,表示此功能已开启;当其显示为“关”时,表示此功能已关闭。
记录NAT删除会话的日志。点击开关按钮,当其显示为“开”时,表示此功能已开启;当其显示为“关”时,表示此功能已关闭。
报文匹配规则ACL(IPv4)。点击下拉菜单选择ACL编号。
如果未指定ACL,则表示对所有被NAT处理过的数据流都有可能触发输出NAT会话日志。如果指定了ACL,则只有符合ACL permit规则的数据流才会触发输出NAT会话日志。
点击<提交>按钮,完成NAT日志的配置。