?配置NAT
系統(tǒng)中把 NAT 的配置分為:源地址轉(zhuǎn)換(Source)、目的地址轉(zhuǎn)換(Destination)、靜態(tài)地址轉(zhuǎn)換(Static)三種基本類型,另外還有一種同時可以配置源和目的轉(zhuǎn)換的雙向 NAT。目前支持 IPv4 地址之間的互轉(zhuǎn),以及IPv6 地址之間的互轉(zhuǎn)。
每條 NAT 規(guī)則都是和某個特定的接口關(guān)聯(lián)的,需要注意的是,源地址轉(zhuǎn)換是在離開接口時進(jìn)行轉(zhuǎn)換的,所以配置源地址轉(zhuǎn)換的時候必須和對應(yīng)的出接口關(guān)聯(lián),目的地址轉(zhuǎn)換是在進(jìn)入接口時進(jìn)行轉(zhuǎn)換的,所以配置目的地址轉(zhuǎn)換的時候必須和對應(yīng)的入接口關(guān)聯(lián)。
?
?配置目的地址轉(zhuǎn)換
目的地址轉(zhuǎn)換是一種單向的針對目的地址的映射,主要用于外網(wǎng)訪問內(nèi)網(wǎng),主要用于內(nèi)部服務(wù)器向外部提供服務(wù)的情況,外部可以主動訪問內(nèi)部,內(nèi)部卻不可以主動訪問外部。
配置步驟:
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>目的地址轉(zhuǎn)換,點擊新建。
不轉(zhuǎn)換:匹配這條 NAT 規(guī)則的會話,不進(jìn)行地址轉(zhuǎn)換。
源地址:NAT 規(guī)則匹配的源地址,可以是地址對象或地址組。
目標(biāo)地址:NAT 規(guī)則匹配的目的地址,可以是地址對象或地址組。
服務(wù):NAT 規(guī)則匹配的服務(wù)名,可以是服務(wù)對象或服務(wù)組。
入接口:NAT 規(guī)則匹配的入接口名。
轉(zhuǎn)換后目的地址:需要轉(zhuǎn)換成的地址,可以是地址池名稱,也可以直接配置ip。
轉(zhuǎn)換后端口:需要轉(zhuǎn)換成的端口。
源地址轉(zhuǎn)換:雙向 NAT 中源需要轉(zhuǎn)換成的地址池或者 ip,配置目的 NAT 時不勾選。
單元 ID:選擇該條規(guī)則的單元 ID,該 ID 在高可靠性功能(HA)啟用時生效,比如啟用 HA 的主主模式時,如果主機的 ID 與該 NAT 規(guī)則不一致,則該規(guī)則不生效。默認(rèn)為 1。
描述:對該轉(zhuǎn)換規(guī)則的描述,最長不得超過 128 個字符。
日志:是否需要對該規(guī)則啟用日志。
- 點擊提交。
配置雙向地址轉(zhuǎn)換
雙向 NAT 是一條規(guī)則中既有源地址轉(zhuǎn)換,也有目的地址轉(zhuǎn)換。內(nèi)部 pc 訪問內(nèi)部服務(wù)器,內(nèi)部服務(wù)器提供一個虛地址,此時,需要同時做源 NAT 和目的 NAT。
配置步驟:
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>目的地址轉(zhuǎn)換,點擊新建。
源地址:NAT 規(guī)則匹配的源地址,可以是地址對象或地址組。
目標(biāo)地址:NAT 規(guī)則匹配的目的地址,可以是地址對象或地址組。
服務(wù):NAT 規(guī)則匹配的服務(wù)名,可以是服務(wù)對象或服務(wù)組。
入接口:NAT 規(guī)則匹配的入接口名。
轉(zhuǎn)換后目的地址:需要轉(zhuǎn)換成的地址,地址池名稱。
轉(zhuǎn)換后端口:需要轉(zhuǎn)換成的端口。
源地址轉(zhuǎn)換:雙向 NAT 中源需要轉(zhuǎn)換成的地址池或者 ip,配置雙向 NAT 時勾選。
單元 ID:選擇該條規(guī)則的單元 ID,該 ID 在高可靠性功能(HA)啟用時生效,比如啟用 HA 的主主模式時,如果主機的 ID 與該 NAT 規(guī)則不一致,則該規(guī)則不生效。默認(rèn)為 1。
描述:對該轉(zhuǎn)換規(guī)則的描述,最長不得超過 128 個字符。
日志:是否需要對該規(guī)則啟用日志。
- 點擊提交
?
配置靜態(tài)地址轉(zhuǎn)換
靜態(tài)地址轉(zhuǎn)換是一對一的雙向地址映射。在這種情況下,被映射的內(nèi)部主機可以主動訪問外部,外部也可以主動訪問這臺內(nèi)部主機,相當(dāng)于在內(nèi)、外網(wǎng)之間建立了一條雙向通道。
配置步驟:
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>靜態(tài)地址轉(zhuǎn)換,點擊新建。
轉(zhuǎn)換類型:設(shè)備支持 IPv4 協(xié)議類型的靜態(tài) NAT,以及 IPv6 協(xié)議類型的靜態(tài)NAT。
外部地址:需要轉(zhuǎn)換的外部地址。
內(nèi)部地址:需要轉(zhuǎn)換的內(nèi)部地址。
外部接口:和外部網(wǎng)絡(luò)相連的接口名。
單元 ID:選擇該條規(guī)則的單元 ID,該 ID 在高可靠性功能(HA)啟用時生效,比如啟用 HA 的主主模式時,如果主機的 ID 與該 NAT 規(guī)則不一致,則該規(guī)則不生效。默認(rèn)為 1。
描述:對該轉(zhuǎn)換規(guī)則的描述,不得超過 128 個字符。
日志:是否需要對該規(guī)則啟用日志。
- 點擊提交。
?
?編輯NAT規(guī)則
已經(jīng)創(chuàng)建的 NAT 規(guī)則可以編輯修改。
源 NAT 轉(zhuǎn)換編輯步驟:
- 進(jìn)入網(wǎng)絡(luò)配置>NAT>NAT 規(guī)則>源地址轉(zhuǎn)換。
- 點擊規(guī)則編號。
可以對原有的規(guī)則進(jìn)行編輯。其中轉(zhuǎn)換類型不允許更改。
- 點擊提交。
?
?刪除NAT規(guī)則
源 NAT 轉(zhuǎn)換刪除步驟:
- 進(jìn)入網(wǎng)絡(luò)配置>NAT>NAT 規(guī)則>源地址轉(zhuǎn)換。
- 點擊刪除選定的 NAT 規(guī)則。
?
?移動NAT規(guī)則
相同轉(zhuǎn)換類型的 NAT 規(guī)則可通過移動操作,調(diào)整匹配的順序。
源 NAT 轉(zhuǎn)換移動步驟:
- 進(jìn)入網(wǎng)絡(luò)配置>NAT>NAT 規(guī)則>源地址轉(zhuǎn)換。
- 點擊規(guī)則后的 :
規(guī)則 ID:移動的目標(biāo)規(guī)則 ID。
移動到:指定要移動的位置。
?
?配置案例
配置源地址轉(zhuǎn)換
案例描述:
公司內(nèi)部局域網(wǎng)需要通過應(yīng)用設(shè)備訪問外部網(wǎng)絡(luò)。內(nèi)網(wǎng)地址為192.168.0.0/24 網(wǎng)段,公網(wǎng)地址為 202.118.3.1
案例組網(wǎng)圖:
配置步驟:
- 進(jìn)入對象->地址對象->地址節(jié)點,創(chuàng)建 IPv4 類型的地址對象“inside-net”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 地址池,創(chuàng)建地址池“pub-pool”。
點擊提交。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>源地址轉(zhuǎn)換,點擊新建。
4.點擊提交。
?
配置目的地址轉(zhuǎn)換
案例描述:
內(nèi)網(wǎng)有一臺服務(wù)器對外提供服務(wù),服務(wù)器的內(nèi)網(wǎng)地址為 172.16.10.254,映射的外網(wǎng)地址為 192.168.10.169。
案例組網(wǎng)圖:
配置步驟:
- 進(jìn)入對象->地址對象->地址節(jié)點,創(chuàng)建 IPv4 類型的地址對象“outside”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 地址池,創(chuàng)建地址池“dnat-pool”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>目的地址轉(zhuǎn)換,點擊新建。
- 點擊提交。
?
配置雙向地址轉(zhuǎn)換
案例描述:
內(nèi)網(wǎng)有一臺服務(wù)器對外提供服務(wù),服務(wù)器的內(nèi)網(wǎng)地址為 172.16.10.254,映射的外網(wǎng)地址為 192.168.10.169。內(nèi)網(wǎng)用戶 172.16.10.252 和外網(wǎng)用戶192.168.10.165 要同時訪問該服務(wù)器。
案例組網(wǎng)圖:
配置步驟:
- 進(jìn)入對象->地址對象->地址節(jié)點,創(chuàng)建 IPv4 類型的地址對象“outside”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 地址池,創(chuàng)建地址池“dnat-pool”。
- 進(jìn)入網(wǎng)絡(luò)>NAT>NAT 規(guī)則>目的地址轉(zhuǎn)換,點擊新建。
- 點擊提交。
?
配置靜態(tài)地址轉(zhuǎn)換
案例描述:
內(nèi)網(wǎng)有一臺服務(wù)器對外提供服務(wù),服務(wù)器的內(nèi)網(wǎng)地址為 192.168.0.3,映射的公網(wǎng)地址為 202.118.3.1。
案例組網(wǎng)圖:
配置步驟:
- 進(jìn)入網(wǎng)絡(luò)配>NAT>NAT 規(guī)則>靜態(tài)地址轉(zhuǎn)換,點擊新建。
- 點擊提交,顯示如下界面。
?
?
?常見故障分析
?連接時通時斷
?