创建 NAT 策略规则
NAT 处理中心对 NAT 规则集和规则的评估。规则集决定要处理的信息流的总体方向。找到与信息流匹配的规则集后,规则集中的每个规则都会进行匹配评估。NAT 规则可以在以下数据包信息上匹配:
源地址和目标地址
源端口(仅适用于源和静态 NAT)
目标端口
规则集中第一个与信息流匹配的规则。如果数据包在会话建立期间与规则集中的规则匹配,则信息流将根据该规则指定的操作进行处理。
要创建新 NAT 规则,请单击 NAT 策略名称。页面 Single NAT Policy 显示,为您提供配置 NAT 规则的选项。或者,您可以根据策略单击 “规则” 下列出的规则编号,以创建新规则。您可以配置以下类型的 NAT 规则:
静态 — 要添加静态 NAT 规则,请单击 添加静态 NAT 规则 或单击 在右上角 创建 并选择 静态。
源 - 要添加源 NAT 规则,请单击 添加源 NAT 规则 或单击 在右上角 创建 并选择 源。
目标 — 要添加目标 NAT 规则,请单击 添加目标 NAT 规则 或单击 在右上角 创建 并选择 目标。
根据您选择的规则类型,规则中的某些字段将不适用。除了定义区域和接口之间的规则之外,您还可以使用设备上定义的虚拟路由器来定义 NAT 规则。这些规则可以在设备上成功发布和更新。
要创建 NAT 策略规则:
将创建带有您提供的配置的 NAT 规则。
表 1 提供了有关使用 单一 NAT 策略 页面上的字段的准则。
领域 |
描述 |
---|---|
源 |
单击 添加图标 (+) 从显示的地址、协议、接口、路由实例、区域或端口列表中选择 NAT 策略规则适用的源端点。 源的可能端点因 NAT 规则是源、目标还是静态 NAT 规则而异。
您还可以使用 “选择 NAT 源”中介绍的方法来选择源端点。 |
目的地 |
单击添加图标 (+) 从显示的地址、接口、服务、路由实例、区域或端口列表中选择 NAT 策略规则所应用的目标端点。 目标的可能端点因 NAT 规则是源规则、目标规则还是静态 NAT 规则而异。
您可以使用“ 选择 NAT 目标”中介绍的方法来选择目标端点。
注意:
为到达端接口上终止 VPN 链路的信息流创建目标 NAT 规则时,转换过程可能会中断 VPN 链路。如果目标 NAT 规则中的目标地址仅指定为该接口面向 WAN 的 IP 地址,将发生此情况。例如,在以下 NAT 规则中,任何发往 Wan.IP 的信息流都将转换为目标池,并将中断此接口上终止的 VPN 链路数据包的功能。
因此,在这种情况下,建议使用目标 NAT 规则,目标字段为
|
翻译 | |
转换类型 |
指定传入流量的转换类型。转换选项因创建源、静态或目标 NAT 规则而异。 为源 NAT 规则在以下转换类型中选择一个:
为静态 NAT 规则在以下转换类型中选择一个:
为目标 NAT 规则在以下转换类型中选择一个:
|
高级设置(可选) |
单击 配置 以配置源或静态 NAT 规则的预先设置。有关转换类型 接口 和 池 以获取源 NAT 规则的高级设置的详细信息,请参阅 表 2。有关转换类型 接口 和 池 的静态 NAT 规则的高级设置的详细信息,请参阅 表 3 |
细节 | |
名字 |
输入一串独特的字母数字字符、结肠、时段、仪表和突显。不允许空格,最大长度为 255 个字符。 |
描述 |
输入策略意图的说明;最大长度为 1024 个字符。 |
端点 |
创建源端点和目标端点,例如地址和服务。 要编辑已配置的地址或服务参数,请在上面盘旋并单击编辑图标(铅笔符号)。 |
表 2 提供了有关在 Advanced Settings 页面上使用源 NAT 规则的字段的准则。
领域 |
描述 |
---|---|
持续 |
启用复选框,确保将来自同一内部传输地址的所有请求映射到相同的反射传输地址。
注意:
要使持久性适用于 NAT 策略,请确保 NAT 策略适用的设备的端口过载已关闭。使用以下命令关闭设备的端口过载: [Edit mode] set security nat source interface port-overloading off |
持久 NAT 类型 |
配置持久 NAT 映射。
|
不活动超时 |
当绑定条目的所有会话结束时,持续 NAT 绑定在站点内存的时间(以秒为秒)。达到配置的超时时时,绑定将从内存中卸下。不活动超时的价值范围为 60 至 7200 秒。不活动超时的默认值为 60 秒。 |
最大会话数 |
最大会话数 — 可与持久 NAT 绑定关联的最大会话数。例如,如果持久 NAT 规则的最大会话数为 65,536,则如果该会话使用从持久 NAT 规则创建的持久 NAT 绑定,则无法建立第 65,537 个会话。 范围为 8 到 65,536。默认为 30 个会话。 |
地址映射 |
从可用列表中选择地址。 |
池地址 |
显示 NAT 池地址。 |
主机地址库 |
显示原始源 IP 地址范围的基本地址。主机地址库用于 IP 地址转换。 |
端口转换 |
显示此 NAT 规则是否启用或禁用端口转换。 |
溢流池类型 |
显示当前地址池耗尽时要使用的源池。 |
溢流池名称 |
显示溢流池的名称。 |
映射端口类型 |
指定端口映射的类型:
|
表 3 提供了有关在 Advanced Settings 页面上使用静态 NAT 规则的字段的准则。
领域 |
描述 |
---|---|
映射端口类型 |
指定端口映射的类型:
|
路由实例 |
为静态 NAT 规则选择路由实例。 |