策略NAT

特性简介

功能简介

NAT（Network Address Translation，网络地址转换）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要应用在连接两个网络的边缘设备上，用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源（例如内部服务器）的目的。NAT最初的设计目的是实现私有网络访问公共网络的功能，后扩展为实现任意两个网络间进行访问时的地址转换应用。

策略NAT用于定义一个或多个NAT转换规则，这些规则指定了报文匹配条件和转换行为。策略NAT支持的报文匹配条件包括源安全域和目的安全域、源地址和目的地址以及服务，满足所有已配置的匹配条件的报文将按指定行为转换其地址信息。

策略NAT适用于外部接口不固定的场景，当外部接口发生变化时，用户无需更改相关配置，降低了维护成本。

策略NAT类型

存在三种策略NAT，不同策略NAT有不同的应用场景，具体如下：

• NAT44策略：用于IPv4网络互通的NAT地址转换。

• NAT64策略：用于IPv4与IPv6网络互通的NAT地址转换。

• NAT66策略：用于IPv6网络互通的NAT地址转换。

策略NAT转换模式

策略NAT包含三种转换模式，不同转换模式有不同的转换行为，具体如下：

• 源地址转换

  该模式下，NAT设备只转换报文的源IP地址和源端口，能够隐藏内网用户的IP地址。源地址转换支持PAT和NO-PAT模式，关于二者的详细介绍请参见“NAT联机帮助”。

• 目的地址转换

  该模式下，NAT设备只转换报文的目的IP地址和目的端口，通常用于内网服务器对外部网络用户提供服务的场景。目的地址转换支持多对一地址转换和多对多地址转换两种模式。

  • 多对一地址转换：即将所有满足匹配条件的报文的目的IP地址和目的端口转换为同一个IP地址和端口，此时管理员只需要配置一个目的地址转换的地址和端口。

  • 多对多地址转换：根据管理员配置的原始报文的目的地址和服务（端口）数目以及目的地址转换的地址和端口数目来决定转换方式。此时管理员需要保证外网地址的数目×外网端口的数目和内网地址的数目×内网端口的数目相同，否则无法下发配置。该模式下管理员可以配置多个地址一个端口转换或一个地址多个端口转换，不支持地址和端口同时配置多个。

    根据使用场景的不同，多对多地址转换支持以下几种内网和外网的地址转换配置。

    表-1 多对多地址转换配置指导

    使用场景	配置项
    	外网（原始报文的目的IP地址、服务）	内网（目的地址转换后的IP地址、端口）
    允许外部用户通过一个外网地址访问内部服务器	一个外网地址	一个内网地址
    允许外部用户通过一个外网地址、一个端口号访问内部服务器	一个外网地址，一个外网端口号	一个内网地址，一个内网端口号
    允许外部用户通过一个外网地址、多个不同的端口号访问内部服务器	一个外网地址，N个外网端口号	N个内网地址，一个内网端口号
    	一个外网地址，N个外网端口号	一个内网地址，N个内网端口号
    允许外部用户通过多个不同的外网地址访问内部服务器	N个外网地址	N个内网地址
    允许外部用户通过多个不同的外网地址、一个端口号访问内部服务器	N个外网地址，一个外网端口号	一个内网地址，N个内网端口号
    	N个外网地址，一个外网端口号	N个内网地址，一个内网端口号

• 源和目的地址转换

  该模式下，NAT设备既转换报文的源IP地址和源端口，又转换报文的目的IP地址和目的端口。其中源地址转换支持NO-PAT和PAT模式，目的地址转换支持多对一地址转换和多对多地址转换模式。

配置NAT支持双机热备

在单台NAT设备的组网中，一旦发生单点故障，内网用户将无法与外网通信。采用双机热备可以很好的避免上述情况的发生。在双机热备组网中的两台设备均可承担NAT业务，并通过RBM通道进行会话热备、会话关联表项热备、NAT端口块表项热备以及NAT配置的同步。当其中一台设备故障后，流量会切换到另一台正常工作的设备。关于双机热备的详细介绍，请参见“双机热备联机帮助”。

双机热备组网中的两台设备均可承担NAT业务，实际处理NAT业务的设备由VRRP备份组中的Master设备承担。在主备模式的双机热备组网中，静态IP地址转换、源IP地址转换、目的IP地址转换的部分转换规则会将转换后的公网IP地址或内部服务器对外提供服务的公网IP地址下发到地址管理。然后，主、备设备均会向同一局域网内所有节点或本地链路范围内所有节点通告公网IP与自身物理接口MAC地址的对应关系。导致与双机热备直连的上行三层设备可能会将下行报文发送给HA中的Backup设备，从而影响业务的正常运行。在双主模式的双机热备组网中，两台设备互为主备，仍然可能出现与双机热备直连的上行三层设备将下行报文发送给双机热备中的Backup设备，从而影响业务正常运行的情况。

为了避免上述情况的发生，需要将地址转换方式与VRRP备份组绑定。执行绑定操作后，仅Master设备收到对转换后IP地址或内部服务器对外提供服务的公网IP地址的ARP请求或NS请求后，才会回应ARP响应报文或NA响应报文，响应报文中携带的MAC地址为此VRRP备份组的虚拟MAC地址。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

使用限制和注意事项

• 策略NAT的优先级高于接口NAT，同时配置策略NAT和接口NAT有可能导致接口NAT失效。因此，建议在策略NAT和接口NAT中任选其一进行配置。

• NAT策略规则默认按配置顺序排序，可任意改变规则的先后次序。若设备上配置了多条NAT策略规则，规则的次序越靠前，生效优先级越高。

• 新建或复制NAT策略规则时，如果勾选<自动生成安全策略>，设备将依据上方配置的原始报文相关信息自动生成安全策略。如果勾选<自动生成安全策略>后又修改了上方配置的原始报文相关信息，请单击<更新>按钮自动同步修改安全策略。

• 一个NAT地址组被转换方式为“PAT”的NAT规则引用后，不能再被转换方式为“NO-PAT”的NAT规则引用，反之亦然。

• 若同时存在策略NAT和接口NAT配置可能导致接口NAT配置失效，具体关系如下：

  • 策略NAT中的NAT规则仅转换源地址，那么接口NAT中源地址转换的配置不生效，但是不会影响接口NAT中目的地址转换的配置。

  • 策略NAT中的NAT规则仅转换目的地址，那么接口NAT中转换目的地址的配置不生效，但是不会影响接口NAT中源地址转换的配置。

  • 策略NAT中的NAT规则既转换源地址又转换目的地址，那么接口NAT中转换源地址和转换目的地址的配置均不生效。

• 配置地址组时，各地址组成员的IP地址段不能互相重叠。

• NAT规则引用的地址对象组中不能配置主机名。

• 当引用的地址对象组中包含对象组或通配符掩码时，可能会对配置性能和流量匹配性能产生影响。为了保证网络的稳定和流畅，建议引用的地址对象组中尽量避免使用对象组或通配符掩码添加对象。

配置指南

本章节重点介绍配置NAT地址转换的思路和步骤。

NAT地址转换中涉及入方向和出方向两个概念，下面以两个示意图为例进行说明。

• 入方向：对安全域上收到的报文进行地址转换，即入安全域上配置地址转换，如图-1所示。

• 出方向：对安全域上发送的报文进行转换，即出安全域上配置地址转换，如图-2所示。

图-1 入安全域地址转换示意图

图-2 出安全域地址转换示意图

配置思路

策略NAT支持基于安全域、地址对象组和服务对象组的报文匹配条件，支持源地址转换、目的地址转换以及源和目的地址转换，配置思路如下图所示。

图-3 策略NAT配置指导图

NAT44策略

配置步骤

1. 创建安全域（可选），具体配置过程略。

2. 创建地址对象组（可选），具体配置过程略。

3. 创建服务对象组（可选），具体配置过程略。

4. 创建NAT地址组（可选）

   1. 选择“对象 > 对象组 > NAT地址组”。

   2. 单击<新建>，创建NAT地址组。

   3. 单击<确定>，完成NAT地址组配置。

5. 创建NAT44策略规则

   1. 选择“策略 > 策略NAT”。

   2. 在策略NAT页面选择转换模式，进入对应的转换规则页面。

      表-2 转换模式说明

      转换模式	说明
      新建源地址转换	仅转换原始报文的源地址信息
      新建目的地址转换	仅转换原始报文的目的地址信息
      新建源和目的地址转换	既转换原始报文的源地址信息又转换原始报文的目的地址信息

   3. 选择“NAT44”页签，进行NAT44策略规则配置。

      表-3 NAT44策略配置说明

      配置项		说明
      当IP地址符合以下条件时	源安全域	配置源安全域作为报文匹配条件
      	目的安全域	配置目的安全域作为报文匹配条件
      	源地址	配置IP地址、网段或对象组作为报文源地址匹配条件
      	目的地址	配置IP地址、网段或对象组作为报文目的地址匹配条件 如果转换模式选择为目的地址转换或源和目的地址转换，必须指定原始报文的目的地址
      	服务	配置服务对象组作为报文匹配条件
      将源地址转换为	转换方式	选择源地址转换方式，分为如下四种： 接口IP地址：使用设备出接口的IP地址进行源地址转换 动态IP：使用PAT或NO-PAT方式动态转换报文源地址 静态IP：将报文源IP地址转换为固定的IP地址 不做转换：不使用此规则，也不使用任何优先级较低的规则转换报文源地址
      	地址类型	选择源地址转换使用的NAT地址的类型，分为如下四种： 地址对象组：使用地址对象组中的IP地址进行源地址转换 NAT地址组：使用NAT地址组中的IP地址进行源地址转换 IP地址：使用固定的IP地址进行源地址转换 网段地址：使用网段中的IP地址进行源地址转换
      	转换为地址	配置源地址转换使用的NAT地址
      	IPv4源备份组	配置此功能后，所绑定VRRP备份组（IPv4源备份组）中的Master设备将使用虚拟IP地址和虚拟MAC地址响应报文。双机热备组网环境中需要配置此功能。此功能不同设备的支持情况不同，请以设备Web页面的实际支持情况为准
      	允许反向地址转换	在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下，允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换 该项仅转换方式选择为“动态IP”时可配置
      	端口转换	开启时使用PAT方式动态转换报文源地址，既转换报文源IP地址又转换报文源端口；不开启时使用NO-PAT方式动态转换报文源地址，只转换报文源IP地址
      	优先使用原始端口	PAT方式分配端口时优先使用报文的原始源端口，当原始端口已被分配给其他用户时才使用其他端口进行转换 该项仅转换方式选择为“动态IP”或“接口IP地址”时可配置
      将目的地址转换为	转换方式	选择目的地址转换方式，分为如下三种： IP地址：将报文目的IP地址转换为固定的IP地址 地址对象组转换：将报文目的IP地址转换为地址对象组中的地址 不做转换：不使用此规则，也不使用任何优先级较低的规则转换报文目的地址
      	转换为地址	配置目的地址转换使用的NAT地址
      	转换为端口	设置转换后报文的目的端口
      	IPv4目的备份组	配置此功能后，所绑定VRRP备份组（IPv4目的备份组）中的Master设备将使用虚拟IP地址和虚拟MAC地址响应报文。双机热备组网环境中需要配置此功能。此功能不同设备的支持情况不同，请以设备Web页面的实际支持情况为准
      通用设置	名称	NAT44策略规则的名称，支持中文
      	启用	启用此NAT44策略规则
      	自动生成安全策略	配置此功能后，设备将依据上方配置的原始报文相关信息自动生成安全策略
      高级设置	描述	NAT44策略规则的备注信息
      	转换前报文所属VRF	表示转换前报文所属的VRF
      	转换后报文所属VRF	表示转换后报文所属的VRF
      	统计	开启此NAT44策略规则的命中次数统计功能

   4. 单击<确定>，完成NAT44策略规则配置。

NAT66策略

配置步骤

1. 创建安全域（可选），具体配置过程略。

2. 创建地址对象组（可选），具体配置过程略。

3. 创建服务对象组（可选），具体配置过程略。

4. 创建NAT66策略规则

   1. 选择“策略 > 策略NAT”。

   2. 在策略NAT页面选择转换模式，进入对应的转换规则页面。

      表-4 转换模式说明

      转换模式	说明
      新建源地址转换	仅转换原始报文的源地址信息
      新建目的地址转换	仅转换原始报文的目的地址信息
      新建源和目的地址转换	既转换原始报文的源地址信息又转换原始报文的目的地址信息

   3. 选择“NAT66”页签，进行NAT66策略规则配置。

      表-5 NAT66策略配置说明

      配置项		说明
      当IP地址符合以下条件时	源安全域	配置源安全域作为报文匹配条件
      	目的安全域	配置目的安全域作为报文匹配条件
      	源地址	配置IP地址、网段或对象组作为报文源地址匹配条件
      	目的地址	配置IP地址、网段或对象组作为报文目的地址匹配条件 如果转换模式选择为目的地址转换或源和目的地址转换，必须指定原始报文的目的地址
      	服务	配置服务对象组作为报文匹配条件
      将源地址转换为	转换方式	选择源地址转换方式，分为如下四种： NPTv6：使用NPTv6方式转换报文源地址，将源IPv6地址前缀替换为配置的地址前缀。此方式必须配置IP地址类型的原始报文源地址匹配条件 动态IP：使用PAT或NO-PAT方式动态转换报文源地址 静态IP：将报文源IP地址转换为固定的IP地址 不做转换：不使用此规则，也不使用任何优先级较低的规则转换报文源地址
      	转换为地址	配置源地址转换使用的NAT地址
      	端口转换	开启时使用PAT方式动态转换报文源地址，既转换报文源IP地址又转换报文源端口；不开启时使用NO-PAT方式动态转换报文源地址，只转换报文源IP地址
      	IPv6源备份组	配置此功能后，所绑定VRRP备份组（IPv6源备份组）中的Master设备将使用虚拟IP地址和虚拟MAC地址响应报文。双机热备组网环境中需要配置此功能。此功能不同设备的支持情况不同，请以设备Web页面的实际支持情况为准
      	IPv6前缀	配置“前缀转换”所对应的IPv6地址前缀 该项仅转换方式选择为“NPTv6”时可配置
      	前缀长度	配置“IPv6前缀”的长度 该项仅转换方式选择为“NPTv6”时可配置
      将目的地址转换为	转换方式	选择目的地址转换方式，分为如下三种： NPTv6：使用NPTv6方式转换报文目的地址，将目的IPv6地址前缀替换为配置的地址前缀 IP地址：将报文目的IP地址和目的端口转换为固定的IP地址和端口 不做转换：不使用此规则，也不使用任何优先级较低的规则转换报文目的IP地址
      	转换为地址	设置转换后报文的目的IP地址
      	转换为端口	设置转换后报文的目的端口
      	IPv6前缀	配置NPTv6转换所使用的IPv6地址前缀 该项仅动作选择为“NPTv6”时可配置
      	前缀长度	配置“IPv6前缀”的长度 该项仅动作选择为“NPTv6”时可配置
      通用设置	名称	NAT66策略规则的名称，支持中文
      	启用	启用此NAT66策略规则
      高级设置	描述	NAT66策略规则的备注信息
      	转换前报文所属VRF	表示转换前报文所属的VRF
      	转换后报文所属VRF	表示转换后报文所属的VRF
      	统计	开启此NAT66策略规则的命中次数统计功能

   4. 单击<确定>，完成NAT66策略规则配置。

NAT64策略

配置步骤

1. 创建安全域（可选），具体配置过程略。

2. 创建地址对象组（可选），具体配置过程略。

3. 创建服务对象组（可选），具体配置过程略。

4. 创建NAT64策略规则

   1. 选择“策略 > 策略NAT”。

   2. 在策略NAT页面选择“新建源和目的地址转换”，进入对应的转换规则页面。

   3. 选择“NAT64”页签，进行NAT64策略规则配置。

      表-6 NAT64策略配置说明

      配置项		说明
      转换模式	V4toV6	适用于IPv4网络主动访问IPv6网络的场景，转换原始报文的源和目的地址信息
      	V6toV4	适用于IPv6网络主动访问IPv4网络的场景，转换原始报文的源和目的地址信息
      当IP地址符合以下条件时	源安全域	配置源安全域作为报文匹配条件
      	源地址	配置IP地址、网段或对象组作为报文源地址匹配条件
      	目的地址	配置IP地址、网段或对象组作为报文目的地址匹配条件
      	服务	配置服务对象组作为报文匹配条件
      将源地址转换为	转换方式	选择源地址转换方式，分为如下三种： 动态IP：使用PAT或NO-PAT方式动态转换报文源地址 静态IP：将报文源IP地址转换为固定的IP地址 前缀：利用IPv6前缀转换报文源IP地址
      	转换为地址	配置源地址转换使用的NAT地址 该项仅转换方式选择为“动态IP”或“静态IP”时可配置
      	端口转换	开启时使用PAT方式动态转换报文源地址，既转换报文源IP地址又转换报文源端口；不开启时使用NO-PAT方式动态转换报文源地址，只转换报文源IP地址
      	IPv4源备份组	配置此功能后，所绑定VRRP备份组（IPv4源备份组）中的Master设备将使用虚拟IP地址和虚拟MAC地址响应报文。双机热备组网环境中需要配置此功能。此功能不同设备的支持情况不同，请以设备Web页面的实际支持情况为准
      	IPv6源备份组	配置此功能后，所绑定VRRP备份组（IPv6源备份组）中的Master设备将使用虚拟IP地址和虚拟MAC地址响应报文。双机热备组网环境中需要配置此功能。此功能不同设备的支持情况不同，请以设备Web页面的实际支持情况为准
      	前缀转换	选择前缀转换的类型，分为如下三种： General前缀：使用General前缀进行源地址转换 IVI前缀：使用IVI前缀进行源地址转换 NAT64前缀：使用NAT64前缀进行源地址转换 该项仅转换方式选择为“前缀转换”时可配置
      	IPv6前缀	配置“前缀转换”所对应的IPv6地址前缀 该项仅前缀转换选择为“General前缀”或“NAT64前缀”时可配置
      	前缀长度	配置“IPv6前缀”的长度 该项仅前缀转换选择为“General前缀”或“NAT64前缀”时可配置
      将目的地址转换为	转换方式	选择目的地址转换方式，分为如下三种： 前缀：利用IPv6前缀转换报文目的IP地址 服务器地址：将报文目的IP地址和目的端口转换为固定的IP地址和端口 静态IP：将报文目的IP地址转换为固定的IP地址
      	前缀转换	选择前缀转换的类型，分为如下三种： General前缀：使用General前缀进行源地址转换 IVI前缀：使用IVI前缀进行源地址转换 NAT64前缀：使用NAT64前缀进行源地址转换 该项仅动作选择为“前缀转换”时可配置
      	IPv6前缀	配置“前缀转换”所对应的IPv6地址前缀 该项仅前缀转换选择为“General前缀”或“IVI前缀”时可配置
      	前缀长度	配置“IPv6前缀”的长度 该项仅前缀转换选择为“General前缀”时可配置
      	IPv4目的备份组	配置此功能后，所绑定VRRP备份组（IPv4目的备份组）中的Master设备将使用虚拟IP地址和虚拟MAC地址响应报文。双机热备组网环境中需要配置此功能。此功能不同设备的支持情况不同，请以设备Web页面的实际支持情况为准
      	IPv6目的备份组	配置此功能后，所绑定VRRP备份组（IPv6目的备份组）中的Master设备将使用虚拟IP地址和虚拟MAC地址响应报文。双机热备组网环境中需要配置此功能。此功能不同设备的支持情况不同，请以设备Web页面的实际支持情况为准
      	转换为地址	设置转换后报文的目的IP地址
      	转换为端口	设置转换后报文的目的端口 该项仅动作选择为“服务器地址转换”时可配置
      通用设置	名称		NAT64策略规则的名称，支持中文
      	启用		启用此NAT64策略规则
      高级设置	描述		NAT64策略规则的备注信息
      	转换前报文所属VRF		表示转换前报文所属的VRF
      	转换后报文所属VRF		表示转换后报文所属的VRF
      	统计		开启此NAT64策略规则的命中次数统计功能

   4. 单击<确定>，完成NAT64策略规则配置。

导出CSV格式的配置

配置步骤

1. 选择“策略 > 策略NAT”。

2. 在策略NAT页面单击<导出CSV格式的配置>按钮，进入导出CSV格式的配置页面。

   表-7 导出CSV格式的配置说明

   配置项		说明
   类型	导出全部	导出全部的策略NAT规则配置
   	导出指定规则	仅导出指定的策略NAT规则配置
   起始名称		表示从该策略NAT规则配置开始导出 如果不指定起始名称，则从第一条策略NAT规则开始导出指定数量的策略NAT规则 该项仅类型选择为“导出指定规则”时可配置
   导出数量		表示导出的策略NAT规则数量 如果不指定导出数量，则将从起始名称开始导出后续所有策略NAT规则 该项仅类型选择为“导出指定规则”时可配置

3. 单击<导出>按钮，导出需要的策略NAT规则配置。