- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-策略NAT
本章節下載: 14-策略NAT (401.70 KB)
本幫助主要介紹以下內容:
· 特性簡介
· 配置指南
○ 配置思路
○ NAT44策略
○ NAT64策略
○ NAT66策略
策略NAT用於定義一個或多個NAT轉換規則,這些規則指定了報文匹配條件和轉換行為。策略NAT支持的報文匹配條件包括源安全域和目的安全域、源地址和目的地址以及服務,滿足所有已配置的匹配條件的報文將按指定行為轉換其地址信息。
存在三種策略NAT,不同策略NAT有不同的應用場景,具體如下:
· NAT44策略:用於IPv4網絡互通的NAT地址轉換。
· NAT64策略:用於IPv4與IPv6網絡互通的NAT地址轉換。
· NAT66策略:用於IPv6網絡互通的NAT地址轉換。
策略NAT包含三種轉換模式,不同轉換模式有不同的轉換行為,具體如下:
· 源地址轉換
該模式下,NAT設備隻轉換報文的源IP地址和源端口。源地址轉換支持PAT和NO-PAT模式,關於二者的詳細介紹請參見“NAT聯機幫助”。
· 目的地址轉換
該模式下,NAT設備隻轉換報文的目的IP地址和目的端口。目前,目的地址轉換僅支持多對一地址轉換,即將所有滿足匹配條件的報文的目的IP地址和目的端口轉換為同一個IP地址和端口。
· 雙向轉換
該模式下,NAT設備既轉換報文的源IP地址和源端口,又轉換報文的目的IP地址和目的端口。其中源地址轉換支持NO-PAT和PAT模式,目的地址轉換支持多對一地址轉換。
本章節重點介紹配置NAT地址轉換的思路和步驟。
NAT地址轉換中涉及入方向和出方向兩個概念,下麵以兩個示意圖為例進行說明。
· 入方向:對安全域上收到的報文進行地址轉換,即入安全域上配置地址轉換,如圖-1所示。
· 出方向:對安全域上發送的報文進行轉換,即出安全域上配置地址轉換,如圖-2所示。
策略NAT支持基於安全域、地址對象組和服務對象組的報文匹配條件,支持源地址轉換、目的地址轉換和雙向轉換,配置思路如下圖所示。
圖-3 策略NAT配置指導圖
1. 創建安全域(可選),具體配置過程略。
2. 創建地址對象組(可選),具體配置過程略。
3. 創建服務對象組(可選),具體配置過程略。
4. 創建NAT地址組(可選)
a. 選擇“對象 > 對象組 > NAT地址組”。
b. 單擊<新建>,創建NAT地址組。
c. 單擊<確定>,完成NAT地址組配置。
5. 創建NAT44策略規則
a. 選擇“策略 > 策略NAT”。
b. 單擊<新建>,創建NAT策略規則。
c. 選擇規則類型為“NAT44”。
d. 單擊<確定>,完成NAT44策略規則配置。
表-1 NAT44策略配置說明
|
配置項 |
說明 |
|||
|
規則名稱 |
NAT44策略規則的名稱,支持中文 |
|||
|
規則描述 |
NAT44策略規則的備注信息 |
|||
|
原始報文 |
源安全域 |
配置源安全域作為報文匹配條件 |
||
|
目的安全域 |
配置目的安全域作為報文匹配條件 |
|||
|
源地址 |
配置IP地址、網段或對象組作為報文源地址匹配條件 |
|||
|
目的地址 |
配置IP地址、網段或對象組作為報文目的地址匹配條件 |
|||
|
服務 |
配置服務對象組作為報文匹配條件 |
|||
|
源地址轉換 |
轉換方式 |
選擇源地址轉換方式,分為如下四種: · 動態IP+端口:使用PAT方式動態轉換報文源地址,既轉換報文源IP地址又轉換報文源端口 · 動態IP:使用NO-PAT方式動態轉換報文源地址,隻轉換報文源IP地址 · 靜態IP:將報文源IP地址轉換為固定的IP地址 · 不做轉換:不使用此規則,也不使用任何優先級較低的規則轉換報文源地址 |
|
|
|
地址類型 |
選擇源地址轉換使用的NAT地址的類型,分為如下五種: · 地址對象組:使用地址對象組中的IP地址進行源地址轉換 · NAT地址組:使用NAT地址組中的IP地址進行源地址轉換 · IP地址:使用固定的IP地址進行源地址轉換 · 網段地址:使用網段中的IP地址進行源地址轉換 · Easy IP:使用設備出接口的IP地址進行源地址轉換 |
|
||
|
轉換為地址 |
配置源地址轉換使用的NAT地址 |
|
||
|
IPv4源備份組 |
配置此功能後,所綁定VRRP備份組(IPv4源備份組)中的Master設備將使用虛擬IP地址和虛擬MAC地址響應報文。雙機熱備組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
||
|
允許反向地址轉換 |
在內網用戶主動向外網發起連接並成功觸發建立地址轉換表項的情況下,允許外網向該內網用戶發起的連接使用已建立的地址轉換表項進行目的地址轉換 該項僅轉換方式選擇為“動態IP”時可配置 |
|
||
|
優先使用原始端口 |
PAT方式分配端口時優先使用報文的原始源端口,當原始端口已被分配給其他用戶時才使用其他端口進行轉換 該項僅轉換方式選擇為“動態IP+端口”時可配置 |
|
||
|
目的地址轉換 |
轉換方式 |
選擇目的地址轉換方式,分為如下三種: · IP地址轉換:將報文目的IP地址轉換為固定的IP地址 · 地址對象組轉換:將報文目的IP地址轉換為地址對象組中的地址 · 不做轉換:不使用此規則,也不使用任何優先級較低的規則轉換報文目的地址 |
|
|
|
轉換為地址 |
配置目的地址轉換使用的NAT地址 |
|
||
|
轉換為端口 |
設置轉換後報文的目的端口 |
|
||
|
IPv4目的備份組 |
配置此功能後,所綁定VRRP備份組(IPv4目的備份組)中的Master設備將使用虛擬IP地址和虛擬MAC地址響應報文。雙機熱備組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
||
|
轉換前報文所屬VRF |
配置轉換前報文所屬的VRF,即報文入接口關聯的VRF |
|||
|
轉換後報文所屬VRF |
配置轉換後報文所屬的VRF,即報文出接口關聯的VRF |
|||
|
啟用規則 |
啟用此NAT44策略規則 |
|||
|
統計 |
開啟此NAT44策略規則的命中次數統計功能 |
|||
1. 創建安全域(可選),具體配置過程略。
2. 創建地址對象組(可選),具體配置過程略。
3. 創建服務對象組(可選),具體配置過程略。
4. 創建NAT64策略規則
a. 選擇“策略 > 策略NAT”。
b. 單擊<新建>,創建NAT策略規則。
c. 選擇規則類型為“NAT64”。
d. 單擊<確定>,完成NAT64策略規則配置。
表-2 NAT64策略配置說明
|
配置項 |
說明 |
|||
|
規則名稱 |
NAT64策略規則的名稱,支持中文 |
|||
|
規則描述 |
NAT64策略規則的備注信息 |
|||
|
原始報文 |
源安全域 |
配置源安全域作為報文匹配條件 |
||
|
源地址 |
配置IP地址、網段或對象組作為報文源地址匹配條件 |
|||
|
目的地址 |
配置IP地址、網段或對象組作為報文目的地址匹配條件 |
|||
|
服務 |
配置服務對象組作為報文匹配條件 |
|||
|
源地址轉換 |
轉換方式 |
選擇源地址轉換方式,分為如下四種: · 動態IP+端口:使用PAT方式動態轉換報文源地址,既轉換報文源IP地址又轉換報文源端口 · 動態IP:使用NO-PAT方式動態轉換報文源地址,隻轉換報文源IP地址 · 靜態IP:將報文源IP地址轉換為固定的IP地址 · 前綴轉換:利用IPv6前綴轉換報文源IP地址 |
|
|
|
轉換為地址 |
配置源地址轉換使用的NAT地址 該項僅轉換方式選擇為“動態IP+端口”“動態IP”或“靜態IP”時可配置 |
|
||
|
IPv4源備份組 |
配置此功能後,所綁定VRRP備份組(IPv4源備份組)中的Master設備將使用虛擬IP地址和虛擬MAC地址響應報文。雙機熱備組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
||
|
IPv6源備份組 |
配置此功能後,所綁定VRRP備份組(IPv6源備份組)中的Master設備將使用虛擬IP地址和虛擬MAC地址響應報文。雙機熱備組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
||
|
前綴轉換 |
選擇前綴轉換的類型,分為如下三種: · General前綴:使用General前綴進行源地址轉換 · IVI前綴:使用IVI前綴進行源地址轉換 · NAT64前綴:使用NAT64前綴進行源地址轉換 該項僅轉換方式選擇為“前綴轉換”時可配置 |
|
||
|
IPv6前綴 |
配置“前綴轉換”所對應的IPv6地址前綴 該項僅前綴轉換選擇為“General前綴”或“NAT64前綴”時可配置 |
|
||
|
前綴長度 |
配置“IPv6前綴”的長度 該項僅前綴轉換選擇為“General前綴”或“NAT64前綴”時可配置 |
|
||
|
目的地址轉換 |
動作 |
選擇目的地址轉換方式,分為如下三種: · 前綴轉換:利用IPv6前綴轉換報文目的IP地址 · 服務器地址轉換:將報文目的IP地址和目的端口轉換為固定的IP地址和端口 · 靜態轉換:將報文目的IP地址轉換為固定的IP地址 |
|
|
|
前綴轉換 |
選擇前綴轉換的類型,分為如下三種: · General前綴:使用General前綴進行源地址轉換 · IVI前綴:使用IVI前綴進行源地址轉換 · NAT64前綴:使用NAT64前綴進行源地址轉換 該項僅動作選擇為“前綴轉換”時可配置 |
|
||
|
IPv6前綴 |
配置“前綴轉換”所對應的IPv6地址前綴 該項僅前綴轉換選擇為“General前綴”或“IVI前綴”時可配置 |
|
||
|
前綴長度 |
配置“IPv6前綴”的長度 該項僅前綴轉換選擇為“General前綴”或“IVI前綴”時可配置 |
|
||
|
IPv4目的備份組 |
配置此功能後,所綁定VRRP備份組(IPv4目的備份組)中的Master設備將使用虛擬IP地址和虛擬MAC地址響應報文。雙機熱備組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
||
|
IPv6目的備份組 |
配置此功能後,所綁定VRRP備份組(IPv6目的備份組)中的Master設備將使用虛擬IP地址和虛擬MAC地址響應報文。雙機熱備組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
||
|
地址 |
設置轉換後報文的目的IP地址 |
|
||
|
轉換為端口 |
設置轉換後報文的目的端口 該項僅動作選擇為“服務器地址轉換”時可配置 |
|
||
|
轉換前報文所屬VRF |
配置轉換前報文所屬的VRF,即報文入接口關聯的VRF |
|||
|
轉換後報文所屬VRF |
配置轉換後報文所屬的VRF,即報文出接口關聯的VRF |
|||
|
啟用規則 |
啟用此NAT64策略規則 |
|||
|
統計 |
開啟此NAT64策略規則的命中次數統計功能 |
|||
1. 創建安全域(可選),具體配置過程略。
2. 創建地址對象組(可選),具體配置過程略。
3. 創建服務對象組(可選),具體配置過程略。
4. 創建NAT66策略規則
a. 選擇“策略 > 策略NAT”。
b. 單擊<新建>,創建NAT策略規則。
c. 選擇規則類型為“NAT66”。
d. 單擊<確定>,完成NAT66策略規則配置。
表-3 NAT66策略配置說明
|
配置項 |
說明 |
|||
|
規則名稱 |
NAT66策略規則的名稱,支持中文 |
|||
|
規則描述 |
NAT66策略規則的備注信息 |
|||
|
原始報文 |
源安全域 |
配置源安全域作為報文匹配條件 |
||
|
目的安全域 |
配置目的安全域作為報文匹配條件 |
|||
|
源地址 |
配置IP地址、網段或對象組作為報文源地址匹配條件 |
|||
|
目的地址 |
配置IP地址、網段或對象組作為報文目的地址匹配條件 |
|||
|
服務 |
配置服務對象組作為報文匹配條件 |
|||
|
源地址轉換 |
轉換方式 |
選擇源地址轉換方式,分為如下五種: · 動態IP+端口:使用PAT方式動態轉換報文源地址,既轉換報文源IP地址又轉換報文源端口 · 動態IP:使用NO-PAT方式動態轉換報文源地址,隻轉換報文源IP地址 · 靜態IP:將報文源IP地址轉換為固定的IP地址 · NPTv6:使用NPTv6方式轉換報文源地址,將源IPv6地址前綴替換為配置的地址前綴。此方式必須配置IP地址類型的原始報文源地址匹配條件 · 不做轉換:不使用此規則,也不使用任何優先級較低的規則轉換報文源地址 |
|
|
|
轉換為地址 |
配置源地址轉換使用的NAT地址 |
|
||
|
IPv6源備份組 |
配置此功能後,所綁定VRRP備份組(IPv6源備份組)中的Master設備將使用虛擬IP地址和虛擬MAC地址響應報文。雙機熱備組網環境中需要配置此功能。此功能不同設備的支持情況不同,請以設備Web頁麵的實際支持情況為準 |
|
||
|
IPv6前綴 |
配置“前綴轉換”所對應的IPv6地址前綴 該項僅轉換方式選擇為“NPTv6”時可配置 |
|
||
|
前綴長度 |
配置“IPv6前綴”的長度 該項僅轉換方式選擇為“NPTv6”時可配置 |
|
||
|
目的地址轉換 |
動作 |
選擇目的地址轉換方式,分為如下三種: · 轉換:將報文目的IP地址和目的端口轉換為固定的IP地址和端口 · NPTv6:使用NPTv6方式轉換報文目的地址,將目的IPv6地址前綴替換為配置的地址前綴 · 不轉換:不使用此規則,也不使用任何優先級較低的規則轉換報文目的IP地址 |
|
|
|
地址 |
設置轉換後報文的目的IP地址 |
|
||
|
轉換為端口 |
設置轉換後報文的目的端口 |
|
||
|
IPv6前綴 |
配置NPTv6轉換所使用的IPv6地址前綴 該項僅動作選擇為“NPTv6”時可配置 |
|
||
|
前綴長度 |
配置“IPv6前綴”的長度 該項僅動作選擇為“NPTv6”時可配置 |
|
||
|
轉換前報文所屬VRF |
配置轉換前報文所屬的VRF,即報文入接口關聯的VRF |
|||
|
轉換後報文所屬VRF |
配置轉換後報文所屬的VRF,即報文出接口關聯的VRF |
|||
|
啟用規則 |
啟用此NAT66策略規則 |
|||
|
統計 |
開啟此NAT66策略規則的命中次數統計功能 |
|||
· 策略NAT的優先級高於接口NAT,同時配置策略NAT和接口NAT有可能導致接口NAT失效。因此,建議在策略NAT和接口NAT中任選其一進行配置。
· NAT策略規則默認按配置順序排序,可任意改變規則的先後次序。若設備上配置了多條NAT策略規則,規則的次序越靠前,生效優先級越高。
· 一個NAT地址組被轉換方式為“PAT”的NAT規則引用後,不能再被轉換方式為“NO-PAT”的NAT規則引用,反之亦然。
· 若同時存在策略NAT和接口NAT配置可能導致接口NAT配置失效,具體關係如下:
○ 策略NAT中的NAT規則僅轉換源地址,那麼接口NAT中源地址轉換的配置不生效,但是不會影響接口NAT中目的地址轉換的配置。
○ 策略NAT中的NAT規則僅轉換目的地址,那麼接口NAT中轉換目的地址的配置不生效,但是不會影響接口NAT中源地址轉換的配置。
○ 策略NAT中的NAT規則既轉換源地址又轉換目的地址,那麼接口NAT中轉換源地址和轉換目的地址的配置均不生效。
· 配置地址組時,各地址組成員的IP地址段不能互相重疊。
· NAT規則引用的地址對象組中不能配置主機名或嵌套地址對象組。
· 新建或複製NAT策略規則時,如果勾選<自動生成安全策略>,設備將依據上方配置的原始報文相關信息自動生成安全策略。如果勾選<自動生成安全策略>後又修改了上方配置的原始報文相關信息,請單擊<更新>按鈕自動同步修改安全策略。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
