NAT典型配置举例

本章包含如下内容：

·     简介

·     配置前提

·     使用限制

·     静态地址转换配置举例

·     动态地址转换NO-PAT方式配置举例

·     动态地址转换PAT方式配置举例

·     NAT内部服务器配置举例

·     NAT444静态转换配置举例

·     NAT444动态转换配置举例

 

本文档介绍NAT功能的典型配置举例。

NAT功能主要有如下几种实现方式：

1.     静态方式

静态地址转换是指内部网络和外部网络之间的地址映射关系由配置固定。该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访：内网用户可以主动访问外网，外网用户也可以主动访问内网。

2.     动态方式

动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。

3.     内部服务器

在实际应用中，内部网络中的服务器可能需要对外部网络提供一些服务，例如对外部网络提供Web服务，或是FTP服务。这种情况下，NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器，NAT内部服务器的配置定义了NAT地址和端口与内网服务器地址和端口的映射关系。

4.     NAT444端口块方式

NAT444是运营商网络部署NAT的整体解决方案，它基于NAT444网关，结合AAA服务器、日志服务器等配套系统，提供运营商级的NAT，并支持用户溯源等功能。在众多IPv4向IPv6网络过渡的技术中，NAT444仅需在运营商侧引入二次NAT，对终端和应用服务器端的更改较小，并且NAT444通过端口块分配方式解决用户溯源等问题，因此成为了运营商的首选IPv6过渡方案。

 

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置与以下举例中的配置不冲突。

本文档假设您已了解NAT特性。

 

本特性不支持与全局NAT特性混用。

组网需求

如图-1所示，Host所在网络的出口处部署了一台Device。现需要使用静态地址转换功能，将内网用户地址转换为出口公网地址来访问外网。具体需求如下：

内部用户172.16.100.1/24使用外网地址200.2.2.254/24访问Internet中地址为100.100.100.100/24的Server。

图-1 静态地址转换配置组网图

 

使用版本

本举例是在F1090的R8860版本上进行配置和验证的。

配置步骤

Device配置

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·     安全域：Untrust

·     选择“IPv4地址”页签，配置IP地址/掩码：200.2.2.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     选安全域：Trust

·     选择“IPv4地址”页签，配置IP地址/掩码：172.16.100.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2.     配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

·     目的IP地址：100.100.100.100

·     掩码长度：24

·     下一跳IP地址：200.2.2.253

·     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3.     配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     类型：IPv4

·     动作：允许

·     源IPv4地址：172.16.100.1

·     目的IPv4地址：100.100.100.100

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4.     配置静态地址转换

# 选择“策略 > 接口NAT > IPv4 > NAT静态转换 > 策略配置”，进入NAT出方向静态地址转换页面。

# 单击<新建>按钮，新建NAT出方向静态地址转换，配置如下图所示。

图-2 新建NAT出方向静态地址转换

 

# 单击<确定>按钮，完成NAT出方向静态地址转换配置。

5.     应用NAT静态地址转换

# 选择“策略 > 接口NAT > IPv4 > NAT静态转换 > 策略应用”，勾选GE1/0/1，单击开启按钮，结果如下图所示。

图-3 策略应用

 

验证配置

1.     Host主机可以Ping通外部网络的服务器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字节的数据:

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

 

100.100.100.100 的 Ping 统计信息:

    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

    最短 = 0ms，最长 = 0ms，平均 = 0ms

2.     在Device上，选择“监控 > 会话列表”，查看NAT的会话信息。

图-4 会话列表

 

组网需求

如图-5所示，公司拥有200.2.2.1/24～200.2.2.3/24三个公网IP地址，三台内部主机地址分别为Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。通过配置NAT NO-PAT方式的地址转换功能，使内部网络中的主机可以访问Internet中的Server。

图-5 动态地址转换NO-PAT配置组网图

 

使用版本

本举例是在F1090的R8860版本上进行配置和验证的。

配置步骤

Device配置

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·     安全域：Untrust

·     选择“IPv4地址”页签，配置IP地址/掩码：200.2.2.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     选择“IPv4地址”页签，配置IP地址/掩码：172.16.100.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2.     配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

·     目的IP地址：100.100.100.100

·     掩码长度：24

·     下一跳IP地址：200.2.2.253

·     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3.     配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     类型：IPv4

·     动作：允许

·     源IPv4地址：172.16.100.1、172.16.100.2、172.16.100.3

·     目的IPv4地址：100.100.100.100

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4.     配置NAT地址组

# 选择“对象 > 对象组 > NAT地址组”。

# 单击<新建>按钮，新建NAT地址组，参数配置如下图所示。

图-6 新建地址组

 

# 单击<确定>按钮，完成NAT地址组配置。

5.     配置NAT动态地址转换策略

# 选择“策略 > 接口NAT > IPv4 > NAT动态转换 > NAT出方向动态转换（基于对象组）”。

# 单击<新建>按钮，新建NAT出方向动态转换，参数配置如下图所示。

图-7 新建NAT出方向动态转换

 

# 单击<确定>按钮，完成NAT出方向动态转换配置。

验证配置

1.     Host主机可以Ping通外部网络的服务器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字节的数据:

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

 

100.100.100.100 的 Ping 统计信息:

    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

    最短 = 0ms，最长 = 0ms，平均 = 0ms

2.     在Device上，选择“监控 > 会话列表”，查看NAT的会话信息。

图-8 会话列表

 

组网需求

如图-9所示，公司拥有一个200.2.2.1/24的公网IP地址，三台内部主机地址分别为Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。通过配置NAT PAT方式的地址转换功能，内部网络中的主机可以通过公网地址200.2.2.1/24访问Internet中的Server。

图-9 动态地址转换PAT方式配置组网图

 

使用版本

本举例是在F1090的R8860版本上进行配置和验证的。

配置步骤

Device配置

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·     安全域：Untrust

·     选择“IPv4地址”页签，配置IP地址/掩码：200.2.2.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     选择“IPv4地址”页签，配置IP地址/掩码：172.16.100.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2.     配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

·     目的IP地址：100.100.100.100

·     掩码长度：24

·     下一跳IP地址：200.2.2.253

·     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3.     配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     类型：IPv4

·     动作：允许

·     源IPv4地址：172.16.100.1、172.16.100.2、172.16.100.3

·     目的IPv4地址：100.100.100.100

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4.     配置NAT地址组

# 选择“对象 > 对象组 > NAT地址组”。

# 单击<新建>按钮，新建地址组，参数配置如下图所示。

图-10 新建地址组

 

# 单击<确定>按钮，完成NAT地址组配置。

5.     配置NAT动态转换策略

# 选择“策略 > 接口NAT > IPv4 > NAT动态转换 > NAT出方向动态转换（基于对象组）”，进入NAT出方向动态转换配置界面。

# 单击<新建>按钮，新建NAT出方向动态转换，参数配置如下图所示。

图-11 新建NAT出方向动态转换

 

# 单击<确定>按钮，完成NAT出方向动态转换配置。

验证配置

1.     Host主机可以Ping通外部网络的服务器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字节的数据:

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

 

100.100.100.100 的 Ping 统计信息:

    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

    最短 = 0ms，最长 = 0ms，平均 = 0ms

2.     在Device上，选择“监控 > 会话列表”，查看NAT的会话信息。

图-12 会话列表

 

组网需求

如图-13所示，公司有一台对外提供Web服务的Web Server，其地址为172.16.100.1/24，通过配置NAT内部服务器功能，外部网络主机Host可以通过公网地址200.2.2.1/24访问公司内部的Web Server。

图-13 NAT内部服务器配置组网图

 

使用版本

本举例是在F1090的R8860版本上进行配置和验证的。

配置步骤

Device配置

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·     安全域：Untrust

·     选择“IPv4地址”页签，配置IP地址/掩码：200.2.2.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     选择“IPv4地址”页签，配置IP地址/掩码：172.16.100.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2.     配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：Secpolicy

·     源安全域：Untrust

·     目的安全域：Trust

·     类型：IPv4

·     动作：允许

·     源IPv4地址：100.100.100.100

·     目的IPv4地址：172.16.100.1

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

3.     配置NAT内部服务器转换

# 选择“策略 > 接口NAT > IPv4 > NAT内部服务器 > 策略配置”。

# 单击<新建>按钮，新建NAT内部服务器，参数配置如下图所示。

图-14 新建NAT内部服务器

 

# 单击<确定>按钮，完成NAT内部服务器配置。

验证配置

1.     Host主机可以Ping通外部网络的服务器地址。

C:\Users\abc>ping 200.2.2.1

 

正在 Ping 200.2.2.1 具有 32 字节的数据:

来自 200.2.2.1 的回复: 字节=32 时间<1ms TTL=253

来自 200.2.2.1 的回复: 字节=32 时间<1ms TTL=253

来自 200.2.2.1 的回复: 字节=32 时间<1ms TTL=253

来自 200.2.2.1 的回复: 字节=32 时间<1ms TTL=253

 

200.2.2.1 的 Ping 统计信息:

    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

    最短 = 0ms，最长 = 0ms，平均 = 0ms

2.     在Device上，选择“监控 > 会话列表”，查看NAT的会话信息。

图-15 会话列表

 

组网需求

如图-16所示，公司拥有一个200.2.2.1/24的公网IP地址，三台内部主机地址分别为Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。内网用户地址基于NAT444端口块静态映射方式复用外网地址200.2.2.1，外网地址的端口范围为10001～15000，端口块大小为500。

图-16 NAT444端口块静态映射配置组网

 

使用版本

本举例是在F1090的R8860版本上进行配置和验证的。

配置步骤

Device配置

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·     安全域：Untrust

·     选择“IPv4地址”页签，配置IP地址/掩码：200.2.2.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     选择“IPv4地址”页签，配置IP地址/掩码：172.16.100.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2.     配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

·     目的IP地址：100.100.100.100

·     掩码长度：24

·     下一跳IP地址：200.2.2.253

·     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3.     配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     类型：IPv4

·     动作：允许

·     源IPv4地址：172.16.100.1、172.16.100.2、172.16.100.3

·     目的IPv4地址：100.100.100.100

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4.     配置NAT端口块组

# 选择“策略 > 接口NAT > IPv4 > NAT444静态转换 > 端口块组”。

# 单击<新建>按钮，新建端口块组，参数配置如下图所示。

图-17 新建端口块组

 

# 单击<确定>按钮，完成端口块组配置。

5.     配置NAT444静态转换策略

# 选择“策略 > 接口NAT > IPv4 > NAT444静态转换 > 策略配置”。

# 单击<新建>按钮，新建NAT444静态转换策略，参数配置如下图所示。

图-18 新建NAT444静态转换

 

# 单击<确定>按钮，完成NAT444静态转换配置。

验证配置

1.     Host主机可以Ping通外部网络的服务器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字节的数据:

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

 

100.100.100.100 的 Ping 统计信息:

    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

    最短 = 0ms，最长 = 0ms，平均 = 0ms

2.     在Device上，选择“监控 > 会话列表”，查看NAT的会话信息。

图-19 会话列表

 

组网需求

如图-20所示，公司拥有200.2.2.1/24～200.2.2.3/24三个公网IP地址，三台内部主机地址分别为Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。基于NAT444端口块动态映射方式复用三个外网地址，外网地址的端口范围为1024～65535，端口块大小为500。当为某用户分配的端口块资源耗尽时，再为其增量分配1个端口块。

图-20 NAT444端口块动态映射配置组网

 

使用版本

本举例是在F1090的R8860版本上进行配置和验证的。

配置步骤

Device配置

1.     配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

·     安全域：Untrust

·     选择“IPv4地址”页签，配置IP地址/掩码：200.2.2.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     安全域：Trust

·     选择“IPv4地址”页签，配置IP地址/掩码：172.16.100.254/24

·     其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2.     配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

·     目的IP地址：100.100.100.100

·     掩码长度：24

·     下一跳IP地址：200.2.2.253

·     其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3.     配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

·     名称：Secpolicy

·     源安全域：Trust

·     目的安全域：Untrust

·     类型：IPv4

·     动作：允许

·     源IPv4地址：172.16.100.1、172.16.100.2、172.16.100.3

·     目的IPv4地址：100.100.100.100

·     其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4.     配置NAT地址组

# 选择“对象 > 对象组 > NAT地址组”。

# 单击<新建>按钮，新建NAT地址组，参数配置如下图所示。

图-21 新建NAT地址组

 

# 单击<确定>按钮，完成NAT444地址组配置。

5.     配置NAT444动态地址转换策略

# 选择“策略 > 接口NAT > IPv4 > NAT动态转换 > NAT出方向动态转换（基于对象组）”。

# 单击<新建>按钮，新建NAT动态转换策略，参数配置如下图所示。

图-22 新建NAT动态转换

 

# 单击<确定>按钮，完成NAT444动态转换配置。

验证配置

1.     Host主机可以Ping通外部网络的服务器地址。

C:\Users\abc>ping 100.100.100.100

 

正在 Ping 100.100.100.100 具有 32 字节的数据:

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253

 

100.100.100.100 的 Ping 统计信息:

    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

    最短 = 0ms，最长 = 0ms，平均 = 0ms

2.     在Device上，选择“监控 > 会话列表”，查看NAT的会话信息。

图-23 会话列表