本帮助主要介绍以下内容：

·     特性简介

¡     NAT策略

¡     NAT动态转换

¡     NAT内部服务器

¡     NAT静态转换

¡     NAT444地址转换

¡     NAT高级设置

¡     NAT地址组地址检测

·     配置指南

¡     NAT策略

¡     NAT动态转换

¡     NAT内部服务器

¡     NAT静态转换

¡     NAT444动态转换

¡     NAT444静态转换

·     使用限制和注意事项

¡     全局使用限制和注意事项

¡     NAT策略使用限制和注意事项

¡     NAT动态转换使用限制和注意事项

¡     NAT静态转换使用限制和注意事项

¡     内部服务器使用限制和注意事项

¡     NAT444动态转换使用限制和注意事项

¡     NAT地址组地址检测功能使用限制和注意事项

特性简介

NAT（Network Address Translation，网络地址转换）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要应用在连接两个网络的边缘设备上，用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源（例如内部服务器）的目的。NAT最初的设计目的是实现私有网络访问公共网络的功能，后扩展为实现任意两个网络间进行访问时的地址转换应用。

NAT策略

NAT策略用于定义一个或多个NAT转换规则，这些规则指定了报文匹配条件和转换行为。NAT策略支持的报文匹配条件包括源安全域和目的安全域、源地址和目的地址以及服务，满足所有已配置的匹配条件的报文将按指定行为转换其地址信息。NAT策略包含三种转换模式，不同转换模式有不同的转换行为，具体如下：

·     源地址转换模式

该模式下，NAT设备只转换报文的源IP地址和源端口。源地址转换支持NO-PAT和PAT模式，关于二者的详细介绍请参见“NAT动态转换”。

·     目的地址转换

该模式下，NAT设备只转换报文的目的IP地址和目的端口。目前，目的地址转换仅支持多对一地址转换，即将所有满足匹配条件的报文的目的IP地址和目的端口转换为同一个IP地址和端口。

·     双向转换

该模式下，NAT设备既转换报文的源IP地址和源端口，又转换报文的目的IP地址和目的端口。其中源地址转换支持NO-PAT和PAT模式，目的地址转换支持多对一地址转换。

NAT动态转换

动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式：

·     NO-PAT模式

NO-PAT（Not Port Address Translation）模式下，一个外网地址同一时间只能分配给一个内网地址进行地址转换，不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时，NAT会将其占用的外网地址释放并分配给其他内网用户使用。

该模式下，NAT设备只对报文的IP地址进行NAT转换，同时会建立一个NO-PAT表项用于记录IP地址映射关系，并可支持所有IP协议的报文。

·     PAT模式

PAT（Port Address Translation）模式下，一个NAT地址可以同时分配给多个内网地址共用。该模式下，NAT设备需要对报文的IP地址和传输层端口同时进行转换，且只支持TCP、UDP和ICMP（Internet Control Message Protocol，互联网控制消息协议）查询报文。

采用PAT方式可以更加充分地利用IP地址资源，实现更多内部网络主机对外部网络的同时访问。

一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时，报文的源地址将被转换为地址组成员中的某个地址。

NAT内部服务器

在实际应用中，内网中的服务器可能需要对外部网络提供一些服务，例如给外部网络提供Web服务，或是FTP服务。这种情况下，NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器，NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。

NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。

表-1 NAT内部服务器的地址与端口映射关系

在配置内部服务器时，将内部服务器的内网信息指定为一个内部服务器组，组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时，NAT设备可根据内网服务器的权重和当前连接数，选择其中一台内网服务器作为目的服务器，实现内网服务器负载分担。

NAT静态转换

静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定，该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访：内网用户可以主动访问外网，外网用户也可以主动访问内网。

NAT444地址转换

NAT444是运营商网络部署NAT的整体解决方案，它基于NAT444网关，结合AAA服务器、日志服务器等配套系统，提供运营商级的NAT，并支持用户溯源等功能。在众多IPv4向IPv6网络过渡的技术中，NAT444仅需在运营商侧引入二次NAT，对终端和应用服务器端的更改较小，并且NAT444通过端口块分配方式解决用户溯源等问题，因此成为了运营商的首选IPv6过渡方案。

NAT444解决方案的架构如下图所示。

图-1 NAT444解决方案架构

·     CPE：实现用户侧地址转换。

·     BRAS：负责接入终端，并配合AAA完成用户认证、授权和计费。

·     NAT444网关：实现运营商级地址转换。

·     AAA服务器：负责用户认证、授权和计费等。

·     日志服务器：接受和记录用户访问信息，响应用户访问信息查询。

NAT444网关设备进行的地址转换（以下称为“NAT444地址转换”）是一种PAT方式的动态地址转换，但与普通PAT方式动态地址转换不同的是，NAT444地址转换是基于端口块（即一个端口范围）的方式来复用公网IP地址的，即一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。例如：假设私网IP地址10.1.1.1独占公网IP地址202.1.1.1的一个端口块10001～10256，则该私网IP向公网发起的所有连接，源IP地址都将被转换为同一个公网IP地址202.1.1.1，而源端口将被转换为端口块10001～10256之内的一个端口。

NAT444静态转换

NAT444静态地址转换是指，NAT网关设备根据配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系，并创建静态端口块表项。当私网IP地址成员中的某个私网IP地址向公网发起新建连接时，根据私网IP地址匹配静态端口块表项，获取对应的公网IP地址和端口块，并从端口块中动态为其分配一个公网端口，对报文进行地址转换。

配置NAT444静态地址转换时，需要创建一个端口块组，并在端口块组中配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小。假设端口块组中每个公网IP地址的可用端口块数为m（即端口范围除以端口块大小），则端口块静态映射的算法如下：按照从小到大的顺序对私网IP地址成员中的所有IP地址进行排列，最小的m个私网IP地址对应最小的公网IP地址及其端口块，端口块按照起始端口号从小到大的顺序分配；次小的m个私网IP地址对应次小的公网IP地址及其端口块，端口块的分配顺序相同；依次类推。

NAT444动态转换

NAT444动态地址转换融合了普通NAT动态地址转换和NAT444静态地址转换的特点。当内网用户向公网发起连接时，首先根据动态地址转换中的ACL规则进行过滤，决定是否需要进行源地址转换。对于需要进行源地址转换的连接，当该连接为该用户的首次连接时，从所匹配的动态地址转换配置引用的NAT地址组中获取一个公网IP地址，从该公网IP地址中动态分配一个端口块，创建动态端口块表项，然后从端口块表项中动态分配一个公网端口，进行地址转换。对该用户后续连接的转换，均从生成的动态端口块表项中分配公网端口。当该用户的所有连接都断开时，回收为其分配的端口块资源，删除相应的动态端口块表项。

NAT444动态地址转换支持增量端口块分配。当为某私网IP地址分配的端口块资源耗尽（端口块中的所有端口都被使用）时，如果该私网IP地址向公网发起新的连接，则无法再从端口块中获取端口，无法进行地址转换。此时，如果预先在相应的NAT地址组中配置了增量端口块数，则可以为该私网IP地址分配额外的端口块，进行地址转换。

NAT444地址组与NAT地址组的配置基本相同，所不同的是，NAT444地址组必须配置端口块参数（端口范围、端口块大小和增量端口块数）以实现基于端口块的NAT444地址转换。

NAT高级设置

NAT地址组

NAT地址组由一个或多个IP地址段和端口范围组成，用于NAT动态转换。

·     对于采用PAT模式的NAT动态转换，需要配置地址组成员和端口范围。此外，对于NAT444动态转换方案，还需配置端口块大小和增量端口块数。

·     对于采用NO-PAT模式的NAT动态转换，仅需配置地址组成员。

PAT转换模式

目前，PAT支持两种不同的地址转换模式：

·     Endpoint-Independent Mapping（不关心对端地址和端口转换模式）：只要是来自相同源地址和源端口号的报文，不论其目的地址是否相同，通过PAT映射后，其源地址和源端口号都被转换为同一个外部地址和端口号，该映射关系会被记录下来并生成一个EIM表项；并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。

·     Address and Port-Dependent Mapping（关心对端地址和端口转换模式）：对于来自相同源地址和源端口号的报文，相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号，若其目的地址或目的端口号不同，通过PAT映射后，相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是，NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好，但由于同一个内网主机地址转换后的外部地址不唯一，因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。

DNS映射

通过配置DNS映射，可以在DNS服务器位于外网的情况下，实现内网用户可通过域名访问位于同一内网的内部服务器的功能。DNS映射功能需要和内部服务器配合使用，由内部服务器对外提供服务的外网IP地址和端口号，由DNS映射建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。

NAT设备对来自外网的DNS响应报文进行DNS ALG处理时，由于载荷中只包含域名和应用服务器的外网IP地址（不包含传输协议类型和端口号），当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时，DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS映射的配置，指定域名与应用服务器的外网IP地址、端口和协议的映射关系，由域名获取应用服务器的外网IP地址、端口和协议，进而（在当前NAT接口上）精确匹配内部服务器配置获取应用服务器的内网IP地址。

NAT Hairpin

通过在内网侧接口上使能NAT hairpin功能，可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。NAT hairpin功能需要与内部服务器、出方向动态地址转换或出方向静态地址转换配合工作，且这些配置所在的接口必须在同一个接口板，否则NAT hairpin功能无法正常工作。

该功能在不同工作方式下的具体转换过程如下：

·     C/S方式：NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址，其中，目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成，源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。

·     P2P方式：内网各主机首先向外网服务器注册自己的内网地址信息，该地址信息为外网侧出方向地址转换的NAT地址，然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。该方式下，外网侧的出方向地址转换必须配置为PAT转换方式，并使能EIM模式。

NAT ALG

通过开启指定应用协议类型的ALG功能，实现对应用层报文数据载荷字段的分析和NAT处理。

NAT全局开关

广域网双出口组网环境中，如果两个出接口属于相同的安全域，当一个接口的链路发生故障导致流量切换到另一接口的链路时，NAT设备不会删除原来的会话表项，流量将与原来的会话表项匹配，从而导致用户无法访问外网。为了避免该问题的发生，可以开启双出口下的NAT会话重建功能，使流量触发重新建立NAT会话表项，实现主备链路切换时的业务可用性。

NAT地址组地址检测

NAT地址组检测功能用于检测NAT地址组中地址的可用性，是通过在地址池中引用NQA模板来实现的，详细过程如下：

1.     NAT地址组引用NQA探测模板后，设备会周期性的向NQA模板中指定的目的地址依次发送探测报文，其中探测报文的源IP地址是地址池中的IP地址。

2.     若设备没有收到NQA探测应答报文，则将探测报文的源IP地址从地址池中排除，暂时禁止该IP地址用于地址转换。

3.     被排除的IP地址还会继续作为探测报文的源IP地址对目的IP地址在下个探测周期进行探测，如果收到回应报文，则允许该IP地址重新用于地址转换。

配置指南

本章节重点介绍配置NAT地址转换的思路和步骤。

NAT地址转换中涉及入方向和出方向两个概念，下面以两个示意图为例进行说明。

·     入方向：对接口上收到的报文进行地址转换，即入接口上配置地址转换，如图-2所示。

·     出方向：对接口上发送的报文进行转换，即出接口上配置地址转换，如图-3所示。

图-2 入接口地址转换示意图

图-3 出接口地址转换示意图

NAT策略

配置思路

NAT策略支持基于安全域、地址对象组和服务对象组的报文匹配条件，支持源地址转换、目的地址转换和双向转换，配置思路如下图所示。

图-4 NAT策略配置指导图

配置步骤（4、5步二选一）

1.     创建安全域（可选），具体配置过程略。

2.     创建地址对象组（可选），具体配置过程略。

3.     创建服务对象组（可选），具体配置过程略。

4.     创建NAT地址组（可选）

a.     选择“策略 > NAT > NAT动态转换 > NAT地址组”。

b.     单击<新建>，创建NAT地址组。

c.     单击<确定>，完成NAT地址组配置。

5.     创建NAT444地址组（可选）

a.     选择“策略 > NAT > NAT444动态转换 > NAT444地址组”。

b.     单击<新建>，创建NAT444地址组。

c.     单击<确定>，完成NAT444地址组配置。

6.     创建NAT策略规则

a.     选择“策略 > NAT > NAT策略”。

b.     单击<新建>，创建NAT策略规则。

c.     单击<确定>，完成NAT策略规则配置。

表-2 NAT策略配置说明

NAT动态转换

配置思路

目前，仅支持出方向的NAT动态地址转换，包括基于ACL的出方向动态地址转换和基于对象组的出方向动态地址转换，配置思路如下图所示。

图-5 NAT动态地址转换配置指导图

配置步骤（2、3步二选一）

1.     创建NAT地址组（可选）

a.     选择“策略 > NAT > NAT动态转换 > NAT地址组”。

b.     单击<新建>，创建NAT地址组，各项配置说明见下表。

c.     单击<确定>，完成NAT地址组配置。

表-3 NAT地址组配置说明

2.     配置基于ACL的NAT动态地址转换

a.     选择“策略 > NAT > NAT动态转换 > 策略配置”。

b.     选择<NAT出方向动态转换（基于ACL）>页签，单击<新建>，创建基于ACL的NAT出方向动态转换规则，各项配置说明见下表。

c.     单击<确定>，完成NAT动态转换配置。

表-4 基于ACL的NAT出方向动态地址转换配置说明

3.     配置基于对象组的NAT动态地址转换

a.     选择“策略 > NAT > NAT动态转换 > 策略配置”。

b.     选择<NAT出方向动态转换（基于对象组）>页签，单击<新建>，创建基于对象组的NAT出方向动态转换规则，各项配置说明见下表。

c.     单击<确定>，完成NAT动态转换配置。

表-5 基于对象组的NAT出方向动态地址转换配置说明

NAT内部服务器

配置思路

NAT内部服务器配置思路如下图所示。

图-6 NAT内部服务器配置指导图

配置步骤

1.     创建服务器组（可选）

a.     选择“策略 > NAT > NAT内部服务器 > 服务器组”。

b.     单击<新建>，创建服务器组。

c.     单击<确定>，完成服务器组配置。

2.     配置NAT内部服务器

a.     选择“策略 > NAT > NAT内部服务器 > 策略配置”。

b.     单击<新建>，新建NAT内部服务器规则，各项配置说明见下表。

c.     单击<确定>，完成NAT内部服务器配置。

表-6 NAT内部服务器配置说明

NAT静态转换

配置思路

目前，仅支持出方向的NAT静态地址转换，配置思路如下图所示。

图-7 NAT静态地址转换配置指导图

配置步骤

1.     选择“策略 > NAT > NAT静态转换 > 策略配置”。

2.     单击<新建>，创建NAT静态转换策略。

表-7 NAT静态地址转换配置说明

3.     单击<确定>，完成NAT出方向静态地址转换。

4.     选择“策略 > NAT > NAT静态转换 > 策略应用”。

5.     选中接口前的复选框。

6.     单击<开启>，将NAT静态转换策略应用到接口上。

NAT444动态转换

配置思路

NAT444动态转换的配置思路如下图所示。

图-8 NAT444动态转换配置指导图

配置步骤（2、3步二选一）

1.     创建NAT444地址组。

a.     选择“策略 > NAT > NAT444动态转换 > NAT444地址组”。

b.     单击<新建>，创建NAT444地址组。

c.     单击<确定>，完成NAT444地址组配置。

表-8 NAT444地址组配置说明

2.     配置基于ACL的NAT444动态转换。

a.     选择“策略 > NAT > NAT444动态转换 > 策略配置”。

b.     选择<NAT444出方向动态转换（基于ACL）>页签，单击<新建>，新建基于ACL的NAT444动态转换策略，各项配置说明见下表。

c.     单击<确定>，完成NAT444动态转换。

表-9 基于ACL的NAT444动态转换配置说明

3.     配置基于对象组的NAT444动态转换。

a.     选择“策略 > NAT > NAT444动态转换 > 策略配置”。

b.     选择<NAT444出方向动态转换（基于对象组）>页签，单击<新建>，新建基于对象组的NAT444动态转换策略，各项配置说明见下表。

c.     单击<确定>，完成NAT444动态转换。

表-10 基于对象组的NAT444动态转换配置说明

NAT444静态转换

配置思路

NAT444静态地址转换的配置思路如下图所示。

图-9 NAT444静态地址转换配置指导图

配置步骤

1.     单击“策略 > NAT > NAT444静态转换”。

2.     单击<新建>，新建NAT444静态转换。

3.     选择NAT444静态转换应用的接口。

4.     选择或新建端口块组。

5.     单击<确定>，完成NAT444静态转换。

使用限制和注意事项

全局使用限制和注意事项

·     若同时存在NAT策略和普通NAT配置（包括NAT静态地址转换、普通NAT动态地址转换、NAT444端口块静态映射、NAT444端口块动态映射、NAT内部服务器）可能导致普通NAT配置失效，具体关系如下：

¡     NAT策略中的NAT规则仅转换源地址，那么普通NAT中源地址转换的配置不生效，但是不会影响普通NAT中目的地址转换的配置。

¡     NAT策略中的NAT规则仅转换目的地址，那么普通NAT中转换目的地址的配置不生效，但是不会影响普通NAT中源地址转换的配置。

¡     NAT策略中的NAT规则既转换源地址又转换目的地址，那么普通NAT中转换源地址和转换目的地址的配置均不生效。

·     入方向的静态地址转换通常用于与接口上的出方向动态地址转换、NAT内部服务器或出方向静态地址转换配合以实现双向NAT，不建议单独配置。

·     若接口上同时存在普通NAT静态地址转换、普通NAT动态地址转换、NAT444端口块静态映射、NAT444端口块动态映射和NAT内部服务器的配置，则在地址转换过程中，它们的优先级从高到低依次为：NAT内部服务器；普通NAT静态地址转换；NAT444端口块静态映射；NAT444动态转换和普通NAT动态地址转换，系统对二者不做区分，统一按照ACL编号由大到小的顺序匹配。

·     配置地址组时，各地址组成员的IP地址段不能互相重叠。

·     对于分布式设备，NAT地址资源需要不小于安全引擎个数，否则有些引擎分配不到NAT地址资源。

NAT策略使用限制和注意事项

·     NAT策略规则默认按配置顺序排序，可任意改变规则的先后次序。若设备上配置了多条NAT策略规则，规则的次序越靠前，生效优先级越高。

·     一个NAT地址组或NAT444地址组被转换方式为“PAT”的NAT规则引用后，不能再被转换方式为“NO-PAT”的NAT规则引用，反之亦然。

·     新建或复制NAT策略规则时，如果勾选<自动生成安全策略>，设备将依据上方配置的原始报文相关信息自动生成安全策略。如果勾选<自动生成安全策略>后又修改了上方配置的原始报文相关信息，请单击<更新>按钮自动同步修改安全策略。

NAT动态转换使用限制和注意事项

同一接口配置多条出方向地址转换规则时，生效优先级如下：

·     指定了ACL的转换规则优先级高于未指定ACL的转换规则。

·     转换规则中都指定了ACL时，其生效优先级由ACL编号的大小决定，编号越大，优先级越高。

NAT静态转换使用限制和注意事项

·     指定引用的地址对象组时，需要注意：

¡     内网IPv4地址对象组和外网IPv4地址对象组内只能存在一个IPv4地址对象（一个主机对象或者一个子网对象）。

¡     内网IPv4地址对象组内地址数应不大于外网IPv4地址对象组。

¡     外网IPv4地址对象组的地址对象不能是地址范围。

¡     地址对象组不能包含排除地址，否则配置不生效。

¡     针对地址对象组的修改将直接作用于引用该地址对象组的NAT静态转换，需要时请谨慎修改。

·     在VPN组网中，配置出方向静态地址转换时需要指定VPN，且VPN实例的名称必须与该接口关联的VPN实例一致。

·     指定引用的ACL时，需要注意：

¡     如果没有指定ACL，则所有从内网到外网的报文都可以使用该配置进行源地址转换；所有从外网到内网的报文都可以使用该配置进行目的地址转换。

¡     如果仅指定了ACL，没有指定ACL反向匹配，对于从内网到外网的报文，只有报文符合ACL permit规则，才能使用该配置进行源地址转换；对于从外网主动访问内网的报文，不能使用该配置进行目的地址转换。

¡     如果既指定了ACL，又指定了ACL反向匹配，对于从内网到外网的报文，只有报文符合ACL permit规则，才能使用该策略进行源地址转换；对于从外网主动访问内网的报文，需要进行ACL反向匹配（提取报文的源地址/端口和目的地址/端口，并根据配置转换目的地址，然后将源地址/端口和目的地址/端口互换去匹配ACL），只有反向匹配ACL的报文才能使用该策略进行转换，否则不予转换。

内部服务器使用限制和注意事项

·     在配置负载均衡内部服务器时，若配置一个外网地址，N个连续的外网端口号对应一个内部服务器组，或N个连续的外网地址，一个外网端口号对应一个内部服务器组，则内部服务器组的成员个数不能小于N，即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。

·     内部服务器组成员按照权重比例对外提供服务，权重值越大的内部服务器组成员对外提供服务的比重越大。

·     在VPN组网中，配置NAT内部服务器时需要指定VRF，且VPN实例的名称必须与该接口关联的VPN实例一致。

·     NAT内部服务器的地址与端口映射关系为基于对象组的内部服务器时，外网地址引用的地址对象组仅能为网段、IP地址范围和主机IP地址三种类型的IPv4地址对象组，且不能存在排除地址。

NAT444动态转换使用限制和注意事项

同一接口配置多条出方向地址转换规则时，生效优先级如下：

·     指定了ACL的转换规则优先级高于未指定ACL的转换规则。

·     转换规则中都指定了ACL时，其生效优先级由ACL编号的大小决定，编号越大，优先级越高。

NAT地址组地址检测功能使用限制和注意事项

·     NAT地址组可以引用多个NQA探测模板。当引用多个NQA探测模板时，只要有一个NQA探测模板探测成功，则表示该地址可用于地址转换。

·     NQA探测模板不能配置源IP地址。