NAT

本节介绍源NAT规则的相关配置,包括新建、编辑、删除、搜索源NAT规则以及调整源NAT规则的优先级。

新建源NAT规则

新建源NAT规则,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置网络NAT”,进入源NAT页面。
  2. 点击源NAT列表中的『新建』按钮,弹出<新建源NAT>对话框。
  3. 在『基本配置』标签页,进行源NAT规则的基本配置
    • 虚拟路由器:指定源NAT规则的虚拟路由器。关于多虚拟路由器功能,请参阅虚拟路由器一节。
    • 源地址:指定源NAT规则中流量的源IP地址。可选地址包括:
      地址条目 - 在组合框中输入或选择已配置的地址条目。
      IP地址 - 在文本框中直接输入IP地址。
    • 目的地址:指定源NAT规则中流量的目的IP地址。可选地址包括:
      地址条目 - 在组合框中输入或选择已配置的地址条目。
      IP地址 - 在文本框中直接输入IP地址。
    • 出流量:指定源NAT规则的出流量。包括:
      所有 - 指定源NAT规则中出流量为所有流量。
      出接口 - 指定源NAT规则中流量的出接口,从下拉菜单中选择接口名称。
      下一跳虚拟路由器 -指定源NAT规则中流量的下一跳虚拟路由器,从下拉菜单中选择虚拟路由器的名称。
    • 转换为:指定将符合条件的流量转为出接口IP、指定IP或不做流量转换。
      出接口IP - 将符合条件的流量转为出接口IP地址。
      指定IP - 将符合条件的流量转为指定的IP地址,在<地址条目>组合框中输入或选择地址条目或在<IP地址>文本框中输入IP地址。
      不转换 - 对符合条件的流量不做NAT转换。
    • 描述:指定源NAT规则的描述信息。
    • 高级配置:指定地址转换的模式。包括:
      静态 - 选中该单选按钮使用静态转换模式。静态源NAT转换即一对一的转换。该模式要求被转换到的地址条目包含的IP地址数与流量的源地址的地址条目包含的IP地址数相同。
      动态IP - 选中该单选按钮使用动态IP转换模式。动态源NAT转换即多对多的转换。该模式将源地址转换到指定的IP地址。每一个源地址会被映射到一个唯一的IP地址做转换,直到指定地址全部被占用。
      动态端口 - 选中该单选按钮使用动态端口转换模式。该模式即为PAT。多个源地址将被转换成指定IP地址条目中的一个地址。如果不启用sticky,地址条目中的第一个地址将会首先被使用,当第一个地址的端口资源被用尽,第二个地址将会被使用。如果启用了sticky,每一个源IP产生的所有会话将被映射到同一个固定的IP地址。选中Sticky对应的<启用>复选框启用sticky。用户还可以对NAT转换后的公网地址是否有效进行检测,即以其作为源地址来监测到目标网站或主机的访问是否正常。选中Track对应的<启用>复选框启用该功能,并从下拉菜单选择监测对象。
  4. 在『更多配置』标签页,进行源NAT规则的其它配置
    • HA组: 指定源NAT规则所属的HA组。从下拉菜单中选中合适的HA组。默认属于HA组0。
    • NAT日志:选中<启用>复选框开启该源NAT规则的日志功能(当有流量匹配该地址转换规则时产生日志信息)。
    • 列表位置:指定规则所在的位置。每一条源NAT规则都有唯一一个ID号。流量进入安全网关时,安全网关对源NAT规则进行顺序查找,然后按照查找到的相匹配的第一条规则对流量的源IP做NAT转换。但是,ID的大小顺序并不是规则匹配顺序。在源NAT列表中显示的顺序才是规则的匹配顺序。从下拉菜单中选择该源NAT规则在源NAT列表中所处的位置,包括:
      列表最后 - 配置的源NAT规则将处于所有源NAT规则的末尾。默认情况下,系统会将新创建的源NAT规则放到所有源NAT规则的末尾。
      列表最前 - 配置的源NAT规则将处于所有源NAT规则的首位。
      该ID之前 - 从下拉菜单中选择<该ID之前>,并且在其后的文本框中输入需要的源NAT规则ID,配置的源NAT将处于指定ID源NAT规则的前一位。
      该ID之后 - 从下拉菜单中选择<该ID之后>,并且在其后的文本框中输入需要的源NAT规则ID,配置的源NAT将处于指定ID源NAT规则的后一位。
    • ID:指定规则获得ID的方式。每一条源NAT规则都有一个唯一的ID。选中合适方式的单选按钮,可以为<自动分配ID>(系统默认)或者<手工分配ID>。当选择<手工分配ID>时,还需在后面的文本框中输入ID。
  5. 点击『确定』按钮保存所做配置。

编辑源NAT规则

编辑源NAT规则,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置网络NAT”,进入源NAT页面。
  2. 从源NAT列表中选中需要编辑的源NAT规则对应的复选框,然后点击列表左上方的『编辑』按钮,弹出<编辑源NAT>对话框。在该对话框进行编辑。
  3. 编辑完成点击『确定』按钮保存所做配置。

删除源NAT规则

删除源NAT规则,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置网络NAT”,进入源NAT页面。
  2. 从源NAT列表中选中需要删除的源NAT规则对应的复选框,然后点击列表左上方的『删除』按钮。

搜索源NAT规则

搜索源NAT规则,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置网络NAT”,进入源NAT页面。
  2. 从源NAT列表上方的<虚拟路由器>下拉菜单选择过滤条件,并在<源地址>、<目的地址>、<服务>、<描述>文本框中输入关键字,点击『搜索』按钮搜索特定的源NAT规则信息。系统会将搜索结果显示在下方的源NAT规则信息列表中。如果需要清除已填写的搜索条件,点击『清空』按钮。

关于源/目的地址的搜索,系统采用如下匹配方式:

当输入的源/目的地址为完整的IP地址时,系统将搜索出如下源NAT规则信息

当输入的源/目的地址为非完整IP地址时,系统将搜索出源/目的地址条目名称包含该字符串的源NAT规则。

调整优先级

每一条源NAT规则都有唯一一个ID号。流量进入安全网关时,安全网关对源NAT规则进行顺序查找,然后按照查找到的相匹配的第一条规则对流量的源IP做NAT转换。但是,ID的大小顺序并不是规则匹配顺序。在源NAT列表中显示的顺序才是规则的匹配顺序。

调整源NAT规则的优先级,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置网络NAT”,进入源NAT页面。
  2. 从源NAT列表中选中需要调整优先级的源NAT规则对应的复选框,然后点击列表左上方的『优先级』按钮,弹出<调整优先级>对话框。
  3. 选择<移到最前>、<移到最后>、<该ID之前>或<该ID之后>单选按钮,调整源NAT规则的在列表中的顺序。
    移到最前 - 将该源NAT规则移至所有源NAT规则的首位。
    移到最后 - 将该源NAT规则移至所有源NAT规则的末位。
    该ID之前 - 将源NAT规则移至指定ID源NAT规则的前一位。在文本框中输入ID号。
    该ID之后- 将源NAT规则移至指定ID源NAT规则的后一位。在文本框中输入ID号。
  4. 点击『确定』按钮保存所做配置。

相关链接

NAT配置举例