IPv4(NAT44)
本帮助主要介绍以下内容:
特性简介
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。NAT最初的设计目的是实现私有网络访问公共网络的功能,后扩展为实现任意两个网络间进行访问时的地址转换应用。
NAT动态转换
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式:
NO-PAT模式
NO-PAT(Not Port Address Translation)模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用。
该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。
PAT模式
PAT(Port Address Translation)模式下,一个NAT地址可以同时分配给多个内网地址共用。该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,互联网控制消息协议)查询报文。
采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址。
NAT内部服务器
在实际应用中,内网中的服务器可能需要对外部网络提供一些服务,例如给外部网络提供Web服务,或是FTP服务。这种情况下,NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。
NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。
内网 | |
一个外网地址 | 一个内网地址 |
一个外网地址、一个端口号 | 一个内网地址、一个内网端口号 |
一个外网地址,N个连续的外网端口号 | 一个内网地址,一个内网端口 |
N个连续的内网地址,一个内网端口号 | |
一个内网地址,N个连续的内网端口号 | |
N个连续的外网地址 | 一个内网地址 |
N个连续的内网地址 | |
N个连续的外网地址,一个外网端口号 | 一个内网地址,一个内网端口号 |
N个连续的内网地址,一个内网端口号 | |
一个内网地址,N个连续的内网端口号 | |
一个外网地址,一个外网端口号 | 一个内部服务器组 |
一个外网地址,N个连续的外网端口号 | |
N个连续的外网地址,一个外网端口号 | |
外网地址(通过ACL进行匹配) | 一个内网地址 |
一个内网地址、一个内网端口号 | |
外网地址(对象组) | 一个内网地址 |
一个内网地址、一个内网端口号 |
在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。
NAT静态转换
静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。
NAT444地址转换
NAT444是运营商网络部署NAT的整体解决方案,它基于NAT444网关,结合AAA服务器、日志服务器等配套系统,提供运营商级的NAT,并支持用户溯源等功能。在众多IPv4向IPv6网络过渡的技术中,NAT444仅需在运营商侧引入二次NAT,对终端和应用服务器端的更改较小,并且NAT444通过端口块分配方式解决用户溯源等问题,因此成为了运营商的首选IPv6过渡方案。
NAT444解决方案的架构如下图所示。
CPE:实现用户侧地址转换。
BRAS:负责接入终端,并配合AAA完成用户认证、授权和计费。
NAT444网关:实现运营商级地址转换。
AAA服务器:负责用户认证、授权和计费等。
日志服务器:接受和记录用户访问信息,响应用户访问信息查询。
NAT444网关设备进行的地址转换(以下称为“NAT444地址转换”)是一种PAT方式的动态地址转换,但与普通PAT方式动态地址转换不同的是,NAT444地址转换是基于端口块(即一个端口范围)的方式来复用公网IP地址的,即一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。例如:假设私网IP地址10.1.1.1独占公网IP地址202.1.1.1的一个端口块10001~10256,则该私网IP向公网发起的所有连接,源IP地址都将被转换为同一个公网IP地址202.1.1.1,而源端口将被转换为端口块10001~10256之内的一个端口。
NAT444静态转换
NAT444静态地址转换是指,NAT网关设备根据配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项。当私网IP地址成员中的某个私网IP地址向公网发起新建连接时,根据私网IP地址匹配静态端口块表项,获取对应的公网IP地址和端口块,并从端口块中动态为其分配一个公网端口,对报文进行地址转换。
配置NAT444静态地址转换时,需要创建一个端口块组,并在端口块组中配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小。假设端口块组中每个公网IP地址的可用端口块数为m(即端口范围除以端口块大小),则端口块静态映射的算法如下:按照从小到大的顺序对私网IP地址成员中的所有IP地址进行排列,最小的m个私网IP地址对应最小的公网IP地址及其端口块,端口块按照起始端口号从小到大的顺序分配;次小的m个私网IP地址对应次小的公网IP地址及其端口块,端口块的分配顺序相同;依次类推。
NAT444动态转换
NAT444动态地址转换融合了普通NAT动态地址转换和NAT444静态地址转换的特点。当内网用户向公网发起连接时,首先根据动态地址转换中的ACL规则进行过滤,决定是否需要进行源地址转换。对于需要进行源地址转换的连接,当该连接为该用户的首次连接时,从所匹配的动态地址转换配置引用的NAT地址组中获取一个公网IP地址,从该公网IP地址中动态分配一个端口块,创建动态端口块表项,然后从端口块表项中动态分配一个公网端口,进行地址转换。对该用户后续连接的转换,均从生成的动态端口块表项中分配公网端口。当该用户的所有连接都断开时,回收为其分配的端口块资源,删除相应的动态端口块表项。
NAT444动态地址转换支持增量端口块分配。当为某私网IP地址分配的端口块资源耗尽(端口块中的所有端口都被使用)时,如果该私网IP地址向公网发起新的连接,则无法再从端口块中获取端口,无法进行地址转换。此时,如果预先在相应的NAT地址组中配置了增量端口块数,则可以为该私网IP地址分配额外的端口块,进行地址转换。
NAT高级设置
PAT转换模式
目前,PAT支持两种不同的地址转换模式:
Endpoint-Independent Mapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。
Address and Port-Dependent Mapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号,若其目的地址或目的端口号不同,通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是,NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但由于同一个内网主机地址转换后的外部地址不唯一,因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。
DNS映射
通过配置DNS映射,可以在DNS服务器位于外网的情况下,实现内网用户可通过域名访问位于同一内网的内部服务器的功能。DNS映射功能需要和内部服务器配合使用,由内部服务器对外提供服务的外网IP地址和端口号,由DNS映射建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。
NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS映射的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。
NAT Hairpin
通过在内网侧接口上使能NAT hairpin功能,可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。
NAT hairpin功能需要与地址转换配合工作,支持如下两种不同的配合方式:
NAT hairpin功能与内部服务器、出方向动态地址转换配合工作。
NAT hairpin功能与内部服务器、出方向静态地址转换配合工作。
NAT hairpin与不同的地址转换配合工作时,这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。
该功能在不同工作方式下的具体转换过程如下:
C/S方式:NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。
P2P方式:内网各主机首先向外网服务器注册自己的内网地址信息,该地址信息为外网侧出方向地址转换的NAT地址,然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。该方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并使能EIM模式。
NAT全局开关
广域网双出口组网环境中,如果两个出接口属于相同的安全域,当一个接口的链路发生故障导致流量切换到另一接口的链路时,NAT设备不会删除原来的会话表项,流量将与原来的会话表项匹配,从而导致用户无法访问外网。为了避免该问题的发生,可以开启双出口下的NAT会话重建功能,使流量触发重新建立NAT会话表项,实现主备链路切换时的业务可用性。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
全局使用限制和注意事项
策略NAT的优先级高于接口NAT,同时配置策略NAT和接口NAT有可能导致接口NAT失效。因此,建议在策略NAT和接口NAT中任选其一进行配置。
一个NAT地址组或NAT444地址组被转换方式为“PAT”的NAT规则引用后,不能再被转换方式为“NO-PAT”的NAT规则引用,反之亦然。
入方向的静态地址转换通常用于与接口上的出方向动态地址转换、NAT内部服务器或出方向静态地址转换配合以实现双向NAT,不建议单独配置。
若接口上同时存在NAT静态地址转换、NAT动态地址转换、NAT444端口块静态映射和NAT内部服务器的配置,则在地址转换过程中,它们的优先级从高到低依次为:NAT内部服务器;NAT静态地址转换;NAT444静态转换;NAT动态地址转换。
配置地址组时,各地址组成员的IP地址段不能互相重叠。
NAT地址资源需要不小于安全引擎个数,否则有些引擎分配不到NAT地址资源。
NAT动态转换使用限制和注意事项
同一接口配置多条出方向地址转换规则时,生效优先级如下:
指定了ACL的转换规则优先级高于未指定ACL的转换规则。
转换规则中都指定了ACL时,其生效优先级由ACL编号的大小决定,编号越大,优先级越高。
NAT静态转换使用限制和注意事项
指定引用的地址对象组时,需要注意:
内网IPv4地址对象组和外网IPv4地址对象组内只能存在一个IPv4地址对象(一个主机对象或者一个子网对象)。
内网IPv4地址对象组内地址数应不大于外网IPv4地址对象组。
外网IPv4地址对象组的地址对象不能是地址范围。
地址对象组不能包含排除地址,否则配置不生效。
针对地址对象组的修改将直接作用于引用该地址对象组的NAT静态转换,需要时请谨慎修改。
在VPN组网中,配置出方向静态地址转换时需要指定VPN,且VPN实例的名称必须与该接口关联的VPN实例一致。
指定引用的ACL时,需要注意:
如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换。
如果仅指定了ACL,没有指定ACL反向匹配,对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换。
如果既指定了ACL,又指定了ACL反向匹配,对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该策略进行源地址转换;对于从外网主动访问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该策略进行转换,否则不予转换。
内部服务器使用限制和注意事项
在配置负载均衡内部服务器时,若配置一个外网地址,N个连续的外网端口号对应一个内部服务器组,或N个连续的外网地址,一个外网端口号对应一个内部服务器组,则内部服务器组的成员个数不能小于N,即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。
内部服务器组成员按照权重比例对外提供服务,权重值越大的内部服务器组成员对外提供服务的比重越大。
在VPN组网中,配置NAT内部服务器时需要指定VRF,且VPN实例的名称必须与该接口关联的VPN实例一致。
NAT内部服务器的地址与端口映射关系为基于对象组的内部服务器时,外网地址引用的地址对象组仅能为网段、IP地址范围和主机IP地址三种类型的IPv4地址对象组,且不能存在排除地址。
配置指南
本章节重点介绍配置NAT地址转换的思路和步骤。
NAT地址转换中涉及入方向和出方向两个概念,下面以两个示意图为例进行说明。
配置准备
配置NAT动态转换
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。
配置思路
目前,仅支持出方向的NAT动态地址转换,包括基于ACL的出方向动态地址转换和基于对象组的出方向动态地址转换,配置思路如下图所示。
配置步骤
创建NAT地址组(可选)
选择“对象 > 对象组 > NAT地址组”。
单击<新建>,创建NAT地址组。具体配置内容请参见“对象组”中的详细介绍。
单击<确定>,完成NAT地址组配置。
配置基于ACL的NAT动态地址转换
选择“策略 > 接口NAT > IPv4”。
选择<NAT出方向动态转换(基于ACL)>页签,单击<新建>,创建基于ACL的NAT出方向动态转换规则,具体配置内容如下所示:
图-5 新建NAT出方向动态转换(基于ACL)
图-6 新建NAT出方向动态转换页面(基于ACL)
表-2 基于ACL的NAT出方向动态地址转换配置说明
配置项
说明
接口
NAT转换应用的接口,通常应用在外网侧接口上
ACL
对匹配ACL permit规则的报文进行地址转换
不指定ACL的情况下,不对转换对象进行限制
转换后源地址
选择源地址转换使用的NAT地址,分为如下两种:
NAT地址组:NAT转换时使用NAT地址组中的IP地址
接口IP地址:NAT转换时直接使用接口上的IP地址
一个地址组被PAT方式转换规则引用后,不能再被NO-PAT方式的转换规则引用,反之亦然
VRF
配置转换后源地址所属的VPN。缺省为“公网”,表示不属于任何一个VPN
在VPN组网中,该项必须配置,且VPN实例的名称必须与该接口关联的VPN实例一致
转换模式
指定NAT动态地址转换的模式:
PAT:对于匹配转换规则的报文,使用地址组中的地址或该接口的地址进行源地址转换,同时转换源端口
NO-PAT:对于匹配转换规则的报文,使用地址组中的地址进行源地址转换,但不转换源端口
优先使用原始端口
PAT方式分配端口时尽量不转换端口
该项仅转换模式选择为“PAT”时可配置
允许反向地址转换
允许反向地址转换,即在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换
该项仅转换模式选择为“NO-PAT”时可配置
启用规则
启用该NAT地址转换规则
统计
开启规则命中统计功能,可查看该规则的命中次数
单击<确定>,完成NAT动态转换配置。
配置基于对象组的NAT动态地址转换
选择“策略 > 接口NAT > IPv4”。
选择<NAT出方向动态转换(基于对象组)>页签,单击<新建>,创建基于对象组的NAT出方向动态转换规则,具体配置内容如下所示:
图-7 新建NAT出方向动态转换(基于对象组)
图-8 新建NAT出方向动态转换页面(基于对象组)
表-3 基于对象组的NAT出方向动态地址转换配置说明
配置项
说明
规则名称
此NAT规则的名称
规则描述
此NAT规则的描述信息
出接口
NAT转换应用的接口,通常应用在外网侧接口上
源IP地址
NAT规则引用的源地址对象组,用于匹配报文的源IP地址
可配置多个地址对象组,各项间为“或”关系,即只需要匹配其中任一地址对象组
目的IP地址
NAT规则引用的目的地址对象组,用于匹配报文的目的IP地址
可配置多个地址对象组,各项间为“或”关系,即只需要匹配其中任一地址对象组
服务
NAT规则引用的服务对象组,用于匹配报文携带的服务类型
可配置多个服务对象组,各项间为“或”关系,即只需要匹配其中任一服务对象组
服务、源IP地址、目的IP地址配置项间为“与”关系,即源IP地址、目的IP地址和服务类型均匹配上述配置项的报文才被视为匹配此转换规则
动作
指定NAT动态地址转换的模式:
PAT:对于匹配转换规则的报文,使用地址组中的地址或该接口的地址进行源地址转换,同时转换源端口
NO-PAT:对于匹配转换规则的报文,使用地址组中的地址进行源地址转换,但不转换源端口
接口IP地址:NAT转换时直接使用接口上的IP地址
不做转换:不对符合此规则中匹配条件的报文进行地址转换
转换后源地址
选择源地址转换使用的NAT地址组
一个地址组被PAT方式转换规则引用后,不能再被NO-PAT方式的转换规则引用,反之亦然
优先使用原始端口
PAT方式分配端口时尽量不转换端口
该项仅转换模式选择为“PAT”或“接口IP地址”时可配置
允许反向地址转换
允许反向地址转换,即在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换
该项仅转换模式选择为“NO-PAT”时可配置
启用规则
启用该NAT地址转换规则
单击<确定>,完成NAT动态转换配置。
配置NAT内部服务器
在实际应用中,内网中的服务器可能需要对外部网络提供一些服务,例如给外部网络提供Web服务,或是FTP服务。这种情况下,NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。
配置步骤
配置NAT内部服务器
选择“策略 > 接口NAT > IPv4”。
选择<NAT内部服务器>页签,单击<新建>,新建NAT内部服务器规则,具体配置内容如下所示:
图-9 新建NAT内部服务器
图-10 新建NAT内部服务器页面
表-4 NAT内部服务器配置说明
配置项
说明
名称
此NAT映射规则的名称
接口
NAT内部服务器应用的接口,通常配置在外网侧接口上
协议类型
指定协议类型
如果不指定协议类型,则表示对所有协议类型的报文都生效
映射方式
选择NAT内部服务器的地址与端口映射关系,详细介绍请参见表-1
映射备注
针对此NAT映射规则的备注信息
外网地址
指定IP地址
表示内部服务器提供给外部网络访问的IP地址
使用当前接口的主IP地址作为内部服务器的外网地址(Easy IP)
表示使用当前接口的IP地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器
使用Loopback接口的主IP地址作为内部服务器的外网地址
表示使用指定接口的IP地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器,目前只支持Loopback接口
外网端口
外网端口号或者外网端口号的范围,具体与选择的映射方式有关
配置外网端口号范围时,外网结束端口必须大于外网起始端口
外网VRF
对外公布的外网地址所属的VPN
缺省值为“公网”,表示对外公布的外网地址不属于任何一个VPN
内部服务器IP地址
内部服务器的内网IP地址或者IP地址范围,具体与选择的映射方式有关
配置IP地址范围时,内部服务器结束IP地址必须大于内部服务器起始IP地址。该地址范围的数量必须和外网起始端口、外网结束端口定义的端口数量相同
内部服务器端口
内部服务器的内网端口号或者端口号范围,具体与选择的映射方式有关
配置内网端口号范围时,内网结束端口必须大于内网起始端口
内部服务器VRF
内部服务器所属的VPN
缺省值为“公网”,表示内部服务器不属于任何一个VPN
报文匹配规则(ACL)
对匹配ACL permit规则的报文使用内部服务器的映射表进行地址转换
不指定ACL的情况下,不对转换对象进行限制
VRRP备份组
配置此功能后,所绑定VRRP备份组中的Master设备将使用虚拟IP地址和虚拟MAC地址响应ARP请求报文。在高可靠性组网环境中需要配置此功能。此功能不同设备的支持情况不同,请以设备Web页面的实际支持情况为准
允许反向地址转换
允许私网侧内部服务器主动访问外网。内部服务器主动访问外网时,将私网地址转换为内部服务器向外提供服务的外网IP地址
该项仅映射方式选择为“外网地址单一,未使用外网端口或外网端口单一”可配置
启用规则
启用该NAT映射规则
统计
开启规则命中统计功能,可查看该规则的命中次数
单击<确定>,完成NAT内部服务器配置。
配置NAT静态转换
静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。
配置思路
目前,仅支持出方向的NAT静态地址转换,配置思路如下图所示。
图-11 NAT静态地址转换配置指导图
配置步骤
选择“策略 > 接口NAT > IPv4”。
选择<NAT静态转换>页签,单击<新建>,创建NAT静态转换策略,具体配置内容如下所示:
图-12 新建NAT静态转换
图-13 新建NAT静态转换页面
表-5 NAT静态地址转换配置说明
配置项
说明
转换方式
选择静态地址转换的方式:
一对一:实现一个内部私有网络地址与一个外部公有网络地址之间的转换
网段对网段:实现一个内部私有网络与一个外部公有网络之间的地址转换
地址对象组:实现基于对象组的内部私有网络地址与外部公有网络地址的转换
内网地址
内网IP地址。此项具体的配置与选择的转换方式有关
对于地址对象组方式,需要引用IPv4地址对象组
内网VRF
内网IP地址所属的VPN。缺省为“公网”,表示不属于任何一个VPN
外网地址
外网IP地址。此项具体的配置与选择的转换方式有关
对于地址对象组方式,需要引用IPv4地址对象组
外网VRF
外网IP地址所属的VPN。缺省为“公网”,表示不属于任何一个VPN
ACL
指定ACL,用于控制内网主机可以访问的外网地址
VRRP备份组
配置此功能后,所绑定VRRP备份组中的Master设备将使用虚拟IP地址和虚拟MAC地址响应ARP请求报文。在高可靠性组网环境中需要配置此功能。此功能不同设备的支持情况不同,请以设备Web页面的实际支持情况为准
反向地址转换
开启该功能后,从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该策略进行目的地址转换
启用规则
启用该NAT地址转换规则
统计
开启规则命中统计功能,可查看该规则的命中次数
单击<确定>,完成NAT出方向静态地址转换。
单击<策略应用>按钮,选中接口前的复选框。
图-14 策略应用
图-15 策略应用页面
单击<开启>,将NAT静态转换策略应用到接口上。
配置NAT444静态转换
NAT444是运营商网络部署NAT的整体解决方案,它基于NAT444网关,结合AAA服务器、日志服务器等配套系统,提供运营商级的NAT,并支持用户溯源等功能。
配置思路
NAT444静态地址转换的配置思路如下图所示。
图-16 NAT444静态地址转换配置指导图
配置步骤
单击“策略 > 接口NAT > IPv4”。
选择<NAT444静态转换>页签,单击<新建>,新建NAT444静态转换。
图-17 新建NAT444静态转换
图-18 新建NAT444静态转换页面
选择NAT444静态转换应用的接口。
选择或新建端口块组。
(可选)选择开启统计功能,可查看该规则的命中次数
单击<确定>,完成NAT444静态转换。
配置NAT高级设置
配置NAT DNS映射
通过配置DNS映射,可以在DNS服务器位于外网的情况下,实现内网用户可通过域名访问位于同一内网的内部服务器的功能。
单击“策略 > 接口NAT > IPv4”。
选择<NAT DNS映射>页签,单击<新建>,新建域名到内部服务器的映射,具体配置内容如下所示:
图-19 NAT DNS映射
图-20 NAT DNS映射页面
表-6 NAT DNS映射配置说明
配置项
说明
域名
表示内部服务器的域名
内部服务器协议类型
表示内部服务器的协议类型,可选择TCP或UDP
外网地址
指定IP地址
表示内部服务器提供给外部网络访问的IP地址内部服务器的外网地址
Easy IP
表示使用指定接口的IP地址作为内部服务器的外网地址,目前只支持Loopback接口
外网端口号
表示内部服务器的外网端口号
单击<确定>,完成映射配置。
配置NAT Hairpin
通过在内网侧接口上使能NAT hairpin功能,可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。
单击“策略 > 接口NAT > IPv4”。
选择<NAT Hairpin>页签,勾选接口后单击<开启>,在选中接口上开启NAT Hairpin功能。
图-21 在选中接口上开启NAT Hairpin
配置NAT 全局开关
广域网双出口组网环境中,如果两个出接口属于相同的安全域,当一个接口的链路发生故障导致流量切换到另一接口的链路时,NAT设备不会删除原来的会话表项,流量将与原来的会话表项匹配,从而导致用户无法访问外网。为了避免该问题的发生,可以开启双出口下的NAT会话重建功能,使流量触发重新建立NAT会话表项,实现主备链路切换时的业务可用性。
单击“策略 > 接口NAT > IPv4”。
选择<全局配置>页签,勾选“双出口下的NAT会话重建”,并单击<应用>,开启双出口下的NAT会话重建功能。
图-22 开启双出口下的NAT会话重建功能
配置PAT转换模式
单击“策略 > 接口NAT > IPv4”。
选择<全局配置>页签,选择PAT转换模式,并单击<应用>,使用指定的PAT模式转换报文。
图-23 使用指定的PAT转换模式
