?配置NAT
系統(tǒng)中把 NAT 的配置分為:源地址轉(zhuǎn)換(Source)、目的地址轉(zhuǎn)換(Destination)、靜態(tài)地址轉(zhuǎn)換(Static)三種基本類型,另外還有一種同時(shí)可以配置源和目的轉(zhuǎn)換的雙向 NAT。目前支持 IPv4 地址之間的互轉(zhuǎn),以及IPv6 地址之間的互轉(zhuǎn)。
每條 NAT 規(guī)則都是和某個(gè)特定的接口關(guān)聯(lián)的,需要注意的是,源地址轉(zhuǎn)換是在離開接口時(shí)進(jìn)行轉(zhuǎn)換的,所以配置源地址轉(zhuǎn)換的時(shí)候必須和對(duì)應(yīng)的出接口關(guān)聯(lián),目的地址轉(zhuǎn)換是在進(jìn)入接口時(shí)進(jìn)行轉(zhuǎn)換的,所以配置目的地址轉(zhuǎn)換的時(shí)候必須和對(duì)應(yīng)的入接口關(guān)聯(lián)。
?
?配置目的地址轉(zhuǎn)換
目的地址轉(zhuǎn)換是一種單向的針對(duì)目的地址的映射,主要用于外網(wǎng)訪問(wèn)內(nèi)網(wǎng),主要用于內(nèi)部服務(wù)器向外部提供服務(wù)的情況,外部可以主動(dòng)訪問(wèn)內(nèi)部,內(nèi)部卻不可以主動(dòng)訪問(wèn)外部。
配置步驟:
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>目的地址轉(zhuǎn)換,點(diǎn)擊新建。
不轉(zhuǎn)換:匹配這條 NAT 規(guī)則的會(huì)話,不進(jìn)行地址轉(zhuǎn)換。
源地址:NAT 規(guī)則匹配的源地址,可以是地址對(duì)象或地址組。
目標(biāo)地址:NAT 規(guī)則匹配的目的地址,可以是地址對(duì)象或地址組。
服務(wù):NAT 規(guī)則匹配的服務(wù)名,可以是服務(wù)對(duì)象或服務(wù)組。
入接口:NAT 規(guī)則匹配的入接口名。
轉(zhuǎn)換后目的地址:需要轉(zhuǎn)換成的地址,可以是地址池名稱,也可以直接配置ip。
轉(zhuǎn)換后端口:需要轉(zhuǎn)換成的端口。
源地址轉(zhuǎn)換:雙向 NAT 中源需要轉(zhuǎn)換成的地址池或者 ip,配置目的 NAT 時(shí)不勾選。
單元 ID:選擇該條規(guī)則的單元 ID,該 ID 在高可靠性功能(HA)啟用時(shí)生效,比如啟用 HA 的主主模式時(shí),如果主機(jī)的 ID 與該 NAT 規(guī)則不一致,則該規(guī)則不生效。默認(rèn)為 1。
描述:對(duì)該轉(zhuǎn)換規(guī)則的描述,最長(zhǎng)不得超過(guò) 128 個(gè)字符。
日志:是否需要對(duì)該規(guī)則啟用日志。
- 點(diǎn)擊提交。
配置雙向地址轉(zhuǎn)換
雙向 NAT 是一條規(guī)則中既有源地址轉(zhuǎn)換,也有目的地址轉(zhuǎn)換。內(nèi)部 pc 訪問(wèn)內(nèi)部服務(wù)器,內(nèi)部服務(wù)器提供一個(gè)虛地址,此時(shí),需要同時(shí)做源 NAT 和目的 NAT。
配置步驟:
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>目的地址轉(zhuǎn)換,點(diǎn)擊新建。
源地址:NAT 規(guī)則匹配的源地址,可以是地址對(duì)象或地址組。
目標(biāo)地址:NAT 規(guī)則匹配的目的地址,可以是地址對(duì)象或地址組。
服務(wù):NAT 規(guī)則匹配的服務(wù)名,可以是服務(wù)對(duì)象或服務(wù)組。
入接口:NAT 規(guī)則匹配的入接口名。
轉(zhuǎn)換后目的地址:需要轉(zhuǎn)換成的地址,地址池名稱。
轉(zhuǎn)換后端口:需要轉(zhuǎn)換成的端口。
源地址轉(zhuǎn)換:雙向 NAT 中源需要轉(zhuǎn)換成的地址池或者 ip,配置雙向 NAT 時(shí)勾選。
單元 ID:選擇該條規(guī)則的單元 ID,該 ID 在高可靠性功能(HA)啟用時(shí)生效,比如啟用 HA 的主主模式時(shí),如果主機(jī)的 ID 與該 NAT 規(guī)則不一致,則該規(guī)則不生效。默認(rèn)為 1。
描述:對(duì)該轉(zhuǎn)換規(guī)則的描述,最長(zhǎng)不得超過(guò) 128 個(gè)字符。
日志:是否需要對(duì)該規(guī)則啟用日志。
- 點(diǎn)擊提交
?
配置靜態(tài)地址轉(zhuǎn)換
靜態(tài)地址轉(zhuǎn)換是一對(duì)一的雙向地址映射。在這種情況下,被映射的內(nèi)部主機(jī)可以主動(dòng)訪問(wèn)外部,外部也可以主動(dòng)訪問(wèn)這臺(tái)內(nèi)部主機(jī),相當(dāng)于在內(nèi)、外網(wǎng)之間建立了一條雙向通道。
配置步驟:
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>靜態(tài)地址轉(zhuǎn)換,點(diǎn)擊新建。
轉(zhuǎn)換類型:設(shè)備支持 IPv4 協(xié)議類型的靜態(tài) NAT,以及 IPv6 協(xié)議類型的靜態(tài)NAT。
外部地址:需要轉(zhuǎn)換的外部地址。
內(nèi)部地址:需要轉(zhuǎn)換的內(nèi)部地址。
外部接口:和外部網(wǎng)絡(luò)相連的接口名。
單元 ID:選擇該條規(guī)則的單元 ID,該 ID 在高可靠性功能(HA)啟用時(shí)生效,比如啟用 HA 的主主模式時(shí),如果主機(jī)的 ID 與該 NAT 規(guī)則不一致,則該規(guī)則不生效。默認(rèn)為 1。
描述:對(duì)該轉(zhuǎn)換規(guī)則的描述,不得超過(guò) 128 個(gè)字符。
日志:是否需要對(duì)該規(guī)則啟用日志。
- 點(diǎn)擊提交。
?
?編輯NAT規(guī)則
已經(jīng)創(chuàng)建的 NAT 規(guī)則可以編輯修改。
源 NAT 轉(zhuǎn)換編輯步驟:
- 進(jìn)入網(wǎng)絡(luò)配置>NAT>NAT 規(guī)則>源地址轉(zhuǎn)換。
- 點(diǎn)擊規(guī)則編號(hào)。
可以對(duì)原有的規(guī)則進(jìn)行編輯。其中轉(zhuǎn)換類型不允許更改。
- 點(diǎn)擊提交。
?
?刪除NAT規(guī)則
源 NAT 轉(zhuǎn)換刪除步驟:
- 進(jìn)入網(wǎng)絡(luò)配置>NAT>NAT 規(guī)則>源地址轉(zhuǎn)換。
- 點(diǎn)擊
刪除選定的 NAT 規(guī)則。
?
?移動(dòng)NAT規(guī)則
相同轉(zhuǎn)換類型的 NAT 規(guī)則可通過(guò)移動(dòng)操作,調(diào)整匹配的順序。
源 NAT 轉(zhuǎn)換移動(dòng)步驟:
- 進(jìn)入網(wǎng)絡(luò)配置>NAT>NAT 規(guī)則>源地址轉(zhuǎn)換。
- 點(diǎn)擊規(guī)則后的
:
規(guī)則 ID:移動(dòng)的目標(biāo)規(guī)則 ID。
移動(dòng)到:指定要移動(dòng)的位置。
?
?配置案例
配置源地址轉(zhuǎn)換
案例描述:
公司內(nèi)部局域網(wǎng)需要通過(guò)應(yīng)用設(shè)備訪問(wèn)外部網(wǎng)絡(luò)。內(nèi)網(wǎng)地址為192.168.0.0/24 網(wǎng)段,公網(wǎng)地址為 202.118.3.1
案例組網(wǎng)圖:
配置步驟:
- 進(jìn)入對(duì)象->地址對(duì)象->地址節(jié)點(diǎn),創(chuàng)建 IPv4 類型的地址對(duì)象“inside-net”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 地址池,創(chuàng)建地址池“pub-pool”。
點(diǎn)擊提交。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>源地址轉(zhuǎn)換,點(diǎn)擊新建。
4.點(diǎn)擊提交。
?
配置目的地址轉(zhuǎn)換
案例描述:
內(nèi)網(wǎng)有一臺(tái)服務(wù)器對(duì)外提供服務(wù),服務(wù)器的內(nèi)網(wǎng)地址為 172.16.10.254,映射的外網(wǎng)地址為 192.168.10.169。
案例組網(wǎng)圖:
配置步驟:
- 進(jìn)入對(duì)象->地址對(duì)象->地址節(jié)點(diǎn),創(chuàng)建 IPv4 類型的地址對(duì)象“outside”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 地址池,創(chuàng)建地址池“dnat-pool”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>目的地址轉(zhuǎn)換,點(diǎn)擊新建。
- 點(diǎn)擊提交。
?
配置雙向地址轉(zhuǎn)換
案例描述:
內(nèi)網(wǎng)有一臺(tái)服務(wù)器對(duì)外提供服務(wù),服務(wù)器的內(nèi)網(wǎng)地址為 172.16.10.254,映射的外網(wǎng)地址為 192.168.10.169。內(nèi)網(wǎng)用戶 172.16.10.252 和外網(wǎng)用戶192.168.10.165 要同時(shí)訪問(wèn)該服務(wù)器。
案例組網(wǎng)圖:
配置步驟:
- 進(jìn)入對(duì)象->地址對(duì)象->地址節(jié)點(diǎn),創(chuàng)建 IPv4 類型的地址對(duì)象“outside”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 地址池,創(chuàng)建地址池“dnat-pool”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>目的地址轉(zhuǎn)換,點(diǎn)擊新建。
- 點(diǎn)擊提交。
?
配置靜態(tài)地址轉(zhuǎn)換
案例描述:
內(nèi)網(wǎng)有一臺(tái)服務(wù)器對(duì)外提供服務(wù),服務(wù)器的內(nèi)網(wǎng)地址為 192.168.0.3,映射的公網(wǎng)地址為 202.118.3.1。
案例組網(wǎng)圖:
配置步驟:
- 進(jìn)入網(wǎng)絡(luò)配>NAT>NAT 規(guī)則>靜態(tài)地址轉(zhuǎn)換,點(diǎn)擊新建。
- 點(diǎn)擊提交,顯示如下界面。
?
?
?常見故障分析
?連接時(shí)通時(shí)斷
?
