H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6614)-6W102

32-NAT

1 NAT

1.1 NAT概述

NAT的配置分为：源地址转换（Source）、目的地址转换（Destination）及静态地址转换（Static）三种类型。

每条NAT规则都是和某个特定的接口关联的，需要注意的是，源地址转换是在离开接口时进行转换的，目的地址转换是在进入接口时进行转换的，所以配置源地址转换的时候必须和对应的出接口关联，而配置目的地址转换的时候需要和对应的入接口关联。

源NAT、目的NAT、静态NAT均支持IPv4和IPv6网络。

1.1.1 地址转换控制

在实际应用中，我们可能希望某些内部网络的主机可以访问外部网络，而某些主机不允许访问，即当NAT设备查看IP数据报文的报头内容时，如果发现源IP地址属于禁止访问外部网络的内部主机，它将不进行地址转换。另外，也希望只有指定的公网地址才可用于地址转换。

设备可以NAT规则的匹配条件和NAT地址池来对地址转换进行控制。

· 匹配条件可以有效地控制地址转换的使用范围，只有满足匹配条件的数据报文才可以进行地址转换。

· 地址池是用于地址转换的一些连续的公网IP地址的集合，它可以有效地控制公网地址的使用。用户可根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况，定义合适的地址池。在地址转换的过程中，NAT设备将会从地址池中挑选一个IP地址作为数据报文转换后的源IP地址。

1.1.2 NAT实现

通过创建并执行NAT规则来实现NAT功能。NAT规则有三类，分别为源NAT规则、目的NAT规则和静态NAT规则。源NAT转换源IP地址，从而隐藏内部IP地址或者分享有限的IP地址；目的NAT转换目的IP地址，通常是将受保护的内部服务器的IP地址转换成公网IP地址；静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

1.1.3 NAT64/46

NAT64是通过在两个地址族之间执行IP头和地址转换，促进IPv6-only和IPv4-only主机和网络之间的通信。内容提供商通过部署NAT64/46技术可透明地向IPv6互联网用户提供现有的或者新的服务，现有网络基础设施几乎不需要做太大的改动，从而保持业务连续性。

通过NAT转换，实现从IPv6到IPv4网络的互联互通。使用场景如下：

· NAT64转换

NAT64转换，完成IPv6网络主机对IPv4网络主机访问的地址转换。

网络访问由IPv6主机或网络发起。

· NAT46转换

NAT46转换，完成IPv4网络主机对IPv6网络主机访问的地址转换。

网络访问由IPv4主机或网络发起。

1.2 NAT地址池配置

在导航栏中选择“策略配置 > NAT转换策略 > 地址池”，进入地址池的显示页面，如图1-1所示。单击<新建>按钮，进入地址池的配置页面，如图1-2所示。地址池详细配置说明，如表1-1所示。

图1-1 地址池显示界面

图1-2 新建地址池界面

表1-1 地址池详细配置

标题项	说明
地址类型	选择地址类型为IPv4或者IPv6
名称	NAT地址池的名称
地址项目	NAT地址池中的起始地址和结束地址，NAT地址池中的结束地址不能小于起始地址。从起始地址到结束地址这个范围内的地址都会作为地址池中的地址
地址池	显示已加入地址池的地址

1.3 源NAT配置

在导航栏中选择“策略配置 > NAT转换策略 > 源NAT”，单击<新建>按钮，进入源NAT配置页面，如图1-3所示。源NAT详细配置说明，如表1-2所示。

图1-3 源NAT配置

表1-2 源NAT详细配置

标题项	说明
启用	勾选后启用NAT策略，默认是勾选状态。
地址类型	选择地址类型为IPv4或者IPv6。
源地址	NAT规则匹配的源地址，可以是地址节点或地址组。
启用	勾选后启用NAT策略，默认是勾选状态。
服务	NAT规则匹配的服务名，可以是服务资源或服务组。
接口	NAT规则匹配的出接口名。
转换类型	需要转换成的地址，可以选择转换成出接口地址、地址池中的地址或不转换不转换：为NAT白名单，指定的地址不做地址转换。
日志	是否需要对该规则启用日志。

1.4 目的NAT配置

在导航栏中选择“策略配置 > NAT转换策略 > 目的NAT”，单击<新建>按钮，进入目的NAT配置页面，如图1-4所示。目的NAT详细配置说明，如表1-3所示。

图1-4 目的NAT配置

表1-3 目的NAT详细配置

标题项	说明
启用	勾选后启用NAT策略，默认是勾选状态
地址类型	选择地址类型为IPv4或者IPv6
源地址	NAT规则匹配的源地址，可以是地址节点或地址组
目的地址	NAT规则匹配的目的地址，可以是地址节点或地址组
服务	NAT规则匹配的服务名，可以是服务资源或服务组
接口	NAT规则匹配的出接口名
转换类型	需要转换成的地址，可以选择地址映射、端口映射或不转换不转换：为NAT白名单，指定的地址不做地址转换
日志	是否需要对该规则启用日志
发布服务器	NAT回流功能，允许内网用户以外网IP来访问内网服务器，开启后此目的NAT匹配不关心报文入接口，同时会在报文出接口做源NAT转换，转换地址为出接口地址。

1.5 静态NAT配置

在导航栏中选择“策略配置 > NAT转换策略 > 静态NAT”，单击<新建>按钮，进入静态NAT配置页面，如图1-5所示。静态NAT详细配置说明，如表1-4所示。

图1-5 静态NAT配置

表1-4 静态NAT详细配置

标题项	说明
启用	勾选后启用NAT策略，默认是勾选状态
地址类型	选择地址类型为IPv4或者IPv6
外部地址	需要转换的外部地址
内部地址	需要转换的内部地址
外部接口	和外部网络相连的接口名
日志	是否需要对该规则启用日志

1.6 NAT64

在导航栏中选择“策略配置 > NAT转换策略> NAT64”，单击<新建>按钮，进入NAT64配置页面，如下图所示。

图1-6 NAT64配置

表1-5 NAT64详细配置

标题项	说明
启用	是否启用NAT64策略。
接口	策略匹配的接口
转换前目的地址前缀	策略匹配的目的地址IPv6前缀
转换后源地址	策略匹配后源地址转换IPv4地址池
日志	是否发生日志

1.7 NAT46

在导航栏中选择“策略配置 > NAT转换策略> NAT46”，单击<新建>按钮，进入NAT46配置页面，如下图所示。

图1-7 NAT46配置

表1-6 NAT46详细配置

项目	说明
启用	是否启用NAT46策略。
接口	策略匹配的接口
转换前目的地址	策略匹配的IPv4目的地址
转换后源地址前缀	策略匹配后源地址转换IPv6地址前缀
转换后目的地址	策略匹配后转换的IPv6目的地址
日志	是否发生日志