• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-策略

目录

05-策略NAT

本章节下载 05-策略NAT  (393.75 KB)

05-策略NAT

策略NAT

 

本帮助主要介绍以下内容:

·     特性简介

·     配置指南

     配置思路

     NAT44策略

     NAT64策略

     NAT66策略

·     使用限制和注意事项

特性简介

策略NAT用于定义一个或多个NAT转换规则,这些规则指定了报文匹配条件和转换行为。策略NAT支持的报文匹配条件包括源安全域和目的安全域、源地址和目的地址以及服务,满足所有已配置的匹配条件的报文将按指定行为转换其地址信息。

存在三种策略NAT,不同策略NAT有不同的应用场景,具体如下:

·     NAT44策略:用于IPv4网络互通的NAT地址转换。

·     NAT64策略:用于IPv4IPv6网络互通的NAT地址转换。

·     NAT66策略:用于IPv6网络互通的NAT地址转换。

策略NAT包含三种转换模式,不同转换模式有不同的转换行为,具体如下:

·     源地址转换

该模式下,NAT设备只转换报文的源IP地址和源端口。源地址转换支持PATNO-PAT模式,关于二者的详细介绍请参见“NAT联机帮助”。

·     目的地址转换

该模式下,NAT设备只转换报文的目的IP地址和目的端口。目前,目的地址转换仅支持多对一地址转换,即将所有满足匹配条件的报文的目的IP地址和目的端口转换为同一个IP地址和端口。

·     源和目的地址转换

该模式下,NAT设备既转换报文的源IP地址和源端口,又转换报文的目的IP地址和目的端口。其中源地址转换支持NO-PATPAT模式,目的地址转换支持多对一地址转换。

配置指南

本章节重点介绍配置NAT地址转换的思路和步骤。

NAT地址转换中涉及入方向和出方向两个概念,下面以两个示意图为例进行说明。

·     入方向:对安全域上收到的报文进行地址转换,即入安全域上配置地址转换,如图-1所示。

·     出方向:对安全域上发送的报文进行转换,即出安全域上配置地址转换,如图-2所示。

图-1 入安全域地址转换示意图

 

图-2 出安全域地址转换示意图

 

配置思路

策略NAT支持基于安全域、地址对象组和服务对象组的报文匹配条件,支持源地址转换、目的地址转换以及源和目的地址转换,配置思路如下图所示。

图-3 策略NAT配置指导图

 

NAT44策略

配置步骤

1.     创建安全域(可选),具体配置过程略。

2.     创建地址对象组(可选),具体配置过程略。

3.     创建服务对象组(可选),具体配置过程略。

4.     创建NAT地址组(可选)

a.     选择“对象 > 对象组 > NAT地址组”。

b.     单击<新建>,创建NAT地址组。

c.     单击<确定>,完成NAT地址组配置。

5.     创建NAT44策略规则

a.     选择“策略 > 策略NAT”。

b.     单击<新建>,创建NAT策略规则。

c.     选择规则类型为“NAT44”。

d.     单击<确定>,完成NAT44策略规则配置。

表-1 NAT44策略配置说明

配置项

说明

规则名称

NAT44策略规则的名称,支持中文

规则描述

NAT44策略规则的备注信息

转换模式

NAT44策略规则转换报文的模式,分为如下三种:

·     源地址转换:仅转换原始报文的源地址信息

·     目的地址转换:仅转换原始报文的目的地址信息

·     源和目的地址转换:既转换原始报文的源地址信息又转换原始报文的目的地址信息

原始报文

源安全域

配置源安全域作为报文匹配条件

目的安全域

配置目的安全域作为报文匹配条件

源地址

配置IP地址、网段或对象组作为报文源地址匹配条件

目的地址

配置IP地址、网段或对象组作为报文目的地址匹配条件

如果转换模式选择为目的地址转换或源和目的地址转换,必须指定原始报文的目的地址

服务

配置服务对象组作为报文匹配条件

源地址转换

转换方式

选择源地址转换方式,分为如下四种:

·     动态IP+端口:使用PAT方式动态转换报文源地址,既转换报文源IP地址又转换报文源端口

·     动态IP:使用NO-PAT方式动态转换报文源地址,只转换报文源IP地址

·     静态IP:将报文源IP地址转换为固定的IP地址

·     不做转换:不使用此规则,也不使用任何优先级较低的规则转换报文源地址

 

地址类型

选择源地址转换使用的NAT地址的类型,分为如下五种:

·     地址对象组:使用地址对象组中的IP地址进行源地址转换

·     NAT地址组:使用NAT地址组中的IP地址进行源地址转换

·     IP地址:使用固定的IP地址进行源地址转换

·     网段地址:使用网段中的IP地址进行源地址转换

·     Easy IP:使用设备出接口的IP地址进行源地址转换

 

转换为地址

配置源地址转换使用的NAT地址

 

允许反向地址转换

在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换

该项仅转换方式选择为“动态IP”时可配置

 

优先使用原始端口

PAT方式分配端口时优先使用报文的原始源端口,当原始端口已被分配给其他用户时才使用其他端口进行转换

该项仅转换方式选择为“动态IP+端口”时可配置

 

目的地址转换

转换方式

选择目的地址转换方式,分为如下三种:

·     IP地址转换:将报文目的IP地址转换为固定的IP地址

·     地址对象组转换:将报文目的IP地址转换为地址对象组中的地址

·     不做转换:不使用此规则,也不使用任何优先级较低的规则转换报文目的地址

 

转换为地址

配置目的地址转换使用的NAT地址

 

转换为端口

设置转换后报文的目的端口

 

启用规则

启用此NAT44策略规则

统计

开启此NAT44策略规则的命中次数统计功能

 

NAT64策略

配置步骤

1.     创建安全域(可选),具体配置过程略。

2.     创建地址对象组(可选),具体配置过程略。

3.     创建服务对象组(可选),具体配置过程略。

4.     创建NAT64策略规则

a.     选择“策略 > 策略NAT”。

b.     单击<新建>,创建NAT策略规则。

c.     选择规则类型为“NAT64”。

d.     单击<确定>,完成NAT64策略规则配置。

表-2 NAT64策略配置说明

配置项

说明

规则名称

NAT64策略规则的名称,支持中文

规则描述

NAT64策略规则的备注信息

转换模式

NAT64策略规则转换报文的模式,分为如下两种:

·     V4toV6:适用于IPv4网络主动访问IPv6网络的场景,转换原始报文的源和目的地址信息

·     V6toV4:适用于IPv6网络主动访问IPv4网络的场景,转换原始报文的源和目的地址信息

原始报文

源安全域

配置源安全域作为报文匹配条件

源地址

配置IP地址、网段或对象组作为报文源地址匹配条件

目的地址

配置IP地址、网段或对象组作为报文目的地址匹配条件

服务

配置服务对象组作为报文匹配条件

源地址转换

转换方式

选择源地址转换方式,分为如下四种:

·     动态IP+端口:使用PAT方式动态转换报文源地址,既转换报文源IP地址又转换报文源端口

·     动态IP:使用NO-PAT方式动态转换报文源地址,只转换报文源IP地址

·     静态IP:将报文源IP地址转换为固定的IP地址

·     前缀转换:利用IPv6前缀转换报文源IP地址

 

转换为地址

配置源地址转换使用的NAT地址

该项仅转换方式选择为“动态IP+端口”“动态IP”或“静态IP”时可配置

 

前缀转换

选择前缀转换的类型,分为如下三种:

·     General前缀:使用General前缀进行源地址转换

·     IVI前缀:使用IVI前缀进行源地址转换

·     NAT64前缀:使用NAT64前缀进行源地址转换

该项仅转换方式选择为“前缀转换”时可配置

 

IPv6前缀

配置“前缀转换”所对应的IPv6地址前缀

该项仅前缀转换选择为“General前缀”或“NAT64前缀”时可配置

 

前缀长度

配置“IPv6前缀”的长度

该项仅前缀转换选择为“General前缀”或“NAT64前缀”时可配置

 

目的地址转换

动作

选择目的地址转换方式,分为如下三种:

·     前缀转换:利用IPv6前缀转换报文目的IP地址

·     服务器地址转换:将报文目的IP地址和目的端口转换为固定的IP地址和端口

·     静态转换:将报文目的IP地址转换为固定的IP地址

 

前缀转换

选择前缀转换的类型,分为如下三种:

·     General前缀:使用General前缀进行源地址转换

·     IVI前缀:使用IVI前缀进行源地址转换

·     NAT64前缀:使用NAT64前缀进行源地址转换

该项仅动作选择为“前缀转换”时可配置

 

IPv6前缀

配置“前缀转换”所对应的IPv6地址前缀

该项仅前缀转换选择为“General前缀”或“IVI前缀”时可配置

 

前缀长度

配置“IPv6前缀”的长度

该项仅前缀转换选择为“General前缀”或“IVI前缀”时可配置

 

地址

设置转换后报文的目的IP地址

 

转换为端口

设置转换后报文的目的端口

该项仅动作选择为“服务器地址转换”时可配置

 

启用规则

启用此NAT64策略规则

统计

开启此NAT64策略规则的命中次数统计功能

 

NAT66策略

配置步骤

1.     创建安全域(可选),具体配置过程略。

2.     创建地址对象组(可选),具体配置过程略。

3.     创建服务对象组(可选),具体配置过程略。

4.     创建NAT66策略规则

a.     选择“策略 > 策略NAT”。

b.     单击<新建>,创建NAT策略规则。

c.     选择规则类型为“NAT66”。

d.     单击<确定>,完成NAT66策略规则配置。

表-3 NAT66策略配置说明

配置项

说明

规则名称

NAT66策略规则的名称,支持中文

规则描述

NAT66策略规则的备注信息

转换模式

NAT66策略规则转换报文的模式,分为如下三种:

·     源地址转换:仅转换原始报文的源地址信息

·     目的地址转换:仅转换原始报文的目的地址信息

·     源和目的地址转换:既转换原始报文的源地址信息又转换原始报文的目的地址信息

原始报文

源安全域

配置源安全域作为报文匹配条件

目的安全域

配置目的安全域作为报文匹配条件

源地址

配置IP地址、网段或对象组作为报文源地址匹配条件

目的地址

配置IP地址、网段或对象组作为报文目的地址匹配条件

如果转换模式选择为目的地址转换或源和目的地址转换,必须指定原始报文的目的地址

服务

配置服务对象组作为报文匹配条件

源地址转换

转换方式

选择源地址转换方式,分为如下五种:

·     动态IP+端口:使用PAT方式动态转换报文源地址,既转换报文源IP地址又转换报文源端口

·     动态IP:使用NO-PAT方式动态转换报文源地址,只转换报文源IP地址

·     静态IP:将报文源IP地址转换为固定的IP地址

·     NPTv6:使用NPTv6方式转换报文源地址,将源IPv6地址前缀替换为配置的地址前缀。此方式必须配置IP地址类型的原始报文源地址匹配条件

·     不做转换:不使用此规则,也不使用任何优先级较低的规则转换报文源地址

 

转换为地址

配置源地址转换使用的NAT地址

 

IPv6前缀

配置“前缀转换”所对应的IPv6地址前缀

该项仅转换方式选择为“NPTv6”时可配置

 

前缀长度

配置“IPv6前缀”的长度

该项仅转换方式选择为“NPTv6”时可配置

 

目的地址转换

动作

选择目的地址转换方式,分为如下三种:

·     转换:将报文目的IP地址和目的端口转换为固定的IP地址和端口

·     NPTv6:使用NPTv6方式转换报文目的地址,将目的IPv6地址前缀替换为配置的地址前缀

·     不转换:不使用此规则,也不使用任何优先级较低的规则转换报文目的IP地址

 

地址

设置转换后报文的目的IP地址

 

转换为端口

设置转换后报文的目的端口

 

IPv6前缀

配置NPTv6转换所使用的IPv6地址前缀

该项仅动作选择为“NPTv6”时可配置

 

前缀长度

配置“IPv6前缀”的长度

该项仅动作选择为“NPTv6”时可配置

 

启用规则

启用此NAT66策略规则

统计

开启此NAT66策略规则的命中次数统计功能

 

使用限制和注意事项

·     策略NAT的优先级高于接口NAT,同时配置策略NAT和接口NAT有可能导致接口NAT失效。因此,建议在策略NAT和接口NAT中任选其一进行配置。

·     NAT策略规则默认按配置顺序排序,可任意改变规则的先后次序。若设备上配置了多条NAT策略规则,规则的次序越靠前,生效优先级越高。

·     一个NAT地址组被转换方式为“PAT”的NAT规则引用后,不能再被转换方式为“NO-PAT”的NAT规则引用,反之亦然。

·     若同时存在策略NAT和接口NAT配置可能导致接口NAT配置失效,具体关系如下:

     策略NAT中的NAT规则仅转换源地址,那么接口NAT中源地址转换的配置不生效,但是不会影响接口NAT中目的地址转换的配置。

     策略NAT中的NAT规则仅转换目的地址,那么接口NAT中转换目的地址的配置不生效,但是不会影响接口NAT中源地址转换的配置。

     策略NAT中的NAT规则既转换源地址又转换目的地址,那么接口NAT中转换源地址和转换目的地址的配置均不生效。

·     配置地址组时,各地址组成员的IP地址段不能互相重叠。

·     NAT规则引用的地址对象组中不能配置主机名或嵌套地址对象组。

·     NAT地址资源需要不小于安全引擎个数,否则有些引擎分配不到NAT地址资源。

·     新建或复制NAT策略规则时,如果勾选<自动生成安全策略>,设备将依据上方配置的原始报文相关信息自动生成安全策略。如果勾选<自动生成安全策略>后又修改了上方配置的原始报文相关信息,请单击<更新>按钮自动同步修改安全策略。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们