创建 NAT 策略规则

NAT 处理中心对 NAT 规则集和规则的评估。规则集决定要处理的信息流的总体方向。找到与信息流匹配的规则集后，规则集中的每个规则都会进行匹配评估。NAT 规则可以在以下数据包信息上匹配：

源地址和目标地址
源端口（仅适用于源和静态 NAT）
目标端口

规则集中第一个与信息流匹配的规则。如果数据包在会话建立期间与规则集中的规则匹配，则信息流将根据该规则指定的操作进行处理。

要创建新 NAT 规则，请单击 NAT 策略名称。页面 Single NAT Policy 显示，为您提供配置 NAT 规则的选项。或者，您可以根据策略单击 “规则” 下列出的规则编号，以创建新规则。您可以配置以下类型的 NAT 规则：

静态 — 要添加静态 NAT 规则，请单击添加静态 NAT 规则或单击在右上角创建并选择静态。
源 - 要添加源 NAT 规则，请单击添加源 NAT 规则或单击在右上角创建并选择源。
目标 — 要添加目标 NAT 规则，请单击添加目标 NAT 规则或单击在右上角创建并选择目标。

根据您选择的规则类型，规则中的某些字段将不适用。除了定义区域和接口之间的规则之外，您还可以使用设备上定义的虚拟路由器来定义 NAT 规则。这些规则可以在设备上成功发布和更新。

要创建 NAT 策略规则：

选择配置> NAT > NAT 策略。

NAT 策略页面将显示现有 NAT 策略。
单击要创建规则的 NAT 策略的名称。或者，您可以根据 NAT 策略单击 “规则” 下列出的编号。

页面 Single NAT Policy 将显示。
单击 Create 并选择源、静态或目标。该页面显示用于创建 NAT 规则的字段。
按照表 1 中提供的准则完成配置。
单击 OK 保存更改。如果您想放弃更改，请单击 Cancel 。

将创建带有您提供的配置的 NAT 规则。

表 1 提供了有关使用单一 NAT 策略页面上的字段的准则。

表 1：用于创建 NAT 规则的单一 NAT 策略页面上的字段
领域	描述
源	单击添加图标（+）从显示的地址、协议、接口、路由实例、区域或端口列表中选择 NAT 策略规则适用的源端点。源的可能端点因 NAT 规则是源、目标还是静态 NAT 规则而异。源 NAT 规则的可能端点包括：地址路由实例、接口或区域协议港口 VRF 组目标 NAT 规则来源的可能端点包括：地址路由实例、接口或区域协议 VRF 组静态 NAT 规则源的可能端点包括：地址路由实例、接口或区域港口 VRF 组您还可以使用 “选择 NAT 源”中介绍的方法来选择源端点。
目的地	单击添加图标（+）从显示的地址、接口、服务、路由实例、区域或端口列表中选择 NAT 策略规则所应用的目标端点。目标的可能端点因 NAT 规则是源规则、目标规则还是静态 NAT 规则而异。源 NAT 规则的目标可能端点包括：地址路由实例、接口或区域服务港口 VRF 组目标 NAT 规则的目标可能端点包括：地址服务港口静态 NAT 规则的目标可能端点包括：地址港口您可以使用“ 选择 NAT 目标”中介绍的方法来选择目标端点。注意：为到达端接口上终止 VPN 链路的信息流创建目标 NAT 规则时，转换过程可能会中断 VPN 链路。如果目标 NAT 规则中的目标地址仅指定为该接口面向 WAN 的 IP 地址，将发生此情况。例如，在以下 NAT 规则中，任何发往 Wan.IP 的信息流都将转换为目标池，并将中断此接口上终止的 VPN 链路数据包的功能。 `[Any.Address] --> [Wan.IP] :: [Dest-Pool-1]` 因此，在这种情况下，建议使用目标 NAT 规则，目标字段为 `[Address + Port]`。例如： `[Any.Address] --> [Wan.IP + Port] :: [Dest-Pool-1]`
翻译
转换类型	指定传入流量的转换类型。转换选项因创建源、静态或目标 NAT 规则而异。为源 NAT 规则在以下转换类型中选择一个：无 — 传入信息流无需转换。接口 — 在源或目标数据包上执行基于接口的转换。池 — 在源或目标数据包上执行基于池的转换。单击选择池字段中的添加图标（+）以选择转换池。您也可通过单击添加新池创建新池。请参阅创建 NAT 池。为静态 NAT 规则在以下转换类型中选择一个：地址 — 在源或目标数据包上执行基于地址的转换。单击选择地址字段中的添加图标（+）以选择转换地址。您还可以单击添加新地址来创建新地址。请参阅创建地址或地址组。注意：在 SD-WAN 环境中，必须选择对应于转换地址的路由实例。您可以使用 Advanced Settings 页面选择路由实例作为转换地址。有关高级设置的详细信息，请参阅表 3。对应的 IPv4 — 使用相应的 IPv4 地址对源或目标数据包执行转换。为目标 NAT 规则在以下转换类型中选择一个：无 — 传入信息流无需转换。池 — 在源或目标数据包上执行基于池的转换。单击选择池字段中的添加图标（+）以选择转换池。您也可通过单击添加新池创建新池。请参阅创建 NAT 池。注意：在 SD-WAN 环境中，所选的目标 NAT 池应配置与池地址对应的站点和路由实例。例如，HR 部门正在运行具有 IP 地址（IP1）的 Web 服务器。要创建与此 Webserver IP 地址对应的目标 NAT 池，必须在创建 NAT 池时指定以下必需字段： `Address - IP1` `Site - the site hosting the webserver` `Routing instance - natVR_HR`
高级设置（可选）	单击配置以配置源或静态 NAT 规则的预先设置。有关转换类型接口和池以获取源 NAT 规则的高级设置的详细信息，请参阅表 2。有关转换类型接口和池的静态 NAT 规则的高级设置的详细信息，请参阅表 3
细节
名字	输入一串独特的字母数字字符、结肠、时段、仪表和突显。不允许空格，最大长度为 255 个字符。
描述	输入策略意图的说明;最大长度为 1024 个字符。
端点	创建源端点和目标端点，例如地址和服务。要创建地址，请单击添加图标（+）并选择地址。请参阅创建地址或地址组以配置地址参数。要创建服务，请单击添加图标（+）并选择 Service。请参阅创建服务和服务组以配置服务参数。要编辑已配置的地址或服务参数，请在上面盘旋并单击编辑图标（铅笔符号）。

表 2 提供了有关在 Advanced Settings 页面上使用源 NAT 规则的字段的准则。

表 2：源 NAT 规则高级设置页面上的字段
领域	描述
持续	启用复选框，确保将来自同一内部传输地址的所有请求映射到相同的反射传输地址。注意：要使持久性适用于 NAT 策略，请确保 NAT 策略适用的设备的端口过载已关闭。使用以下命令关闭设备的端口过载： [Edit mode] set security nat source interface port-overloading off
持久 NAT 类型	配置持久 NAT 映射。允许任何远程主机 — 来自特定内部 IP 地址和端口的所有请求都映射到相同的反射式传输地址。（反身传输地址是离 STUN 服务器最近的 NAT 设备创建的公共 IP 地址和端口。）任何外部主机都可将数据包发送至反射式传输地址，从而将数据包发送至内部主机。允许目标主机 — 来自特定内部 IP 地址和端口的所有请求都映射到相同的反身传输地址。外部主机可将数据包发送至反射式传输地址，从而将数据包发送至内部主机。内部主机以前必须将数据包发送至外部主机的 IP 地址。允许目标主机端口 — 来自特定内部 IP 地址和端口的所有请求都映射到相同的反身传输地址。外部主机可将数据包发送至反射式传输地址，从而将数据包发送至内部主机。内部主机以前必须将数据包发送至外部主机的 IP 地址和端口。
不活动超时	当绑定条目的所有会话结束时，持续 NAT 绑定在站点内存的时间（以秒为秒）。达到配置的超时时时，绑定将从内存中卸下。不活动超时的价值范围为 60 至 7200 秒。不活动超时的默认值为 60 秒。
最大会话数	最大会话数 — 可与持久 NAT 绑定关联的最大会话数。例如，如果持久 NAT 规则的最大会话数为 65，536，则如果该会话使用从持久 NAT 规则创建的持久 NAT 绑定，则无法建立第 65，537 个会话。范围为 8 到 65，536。默认为 30 个会话。
地址映射	从可用列表中选择地址。
池地址	显示 NAT 池地址。
主机地址库	显示原始源 IP 地址范围的基本地址。主机地址库用于 IP 地址转换。
端口转换	显示此 NAT 规则是否启用或禁用端口转换。
溢流池类型	显示当前地址池耗尽时要使用的源池。
溢流池名称	显示溢流池的名称。
映射端口类型	指定端口映射的类型：端口 — 输入端口值，从 0 到 65，535 不等。范围 — 在开始和结束字段中输入端口范围值，范围为 0 到 65，535。

表 3 提供了有关在 Advanced Settings 页面上使用静态 NAT 规则的字段的准则。

表 3：静态 NAT 规则高级设置页面上的字段
领域	描述
映射端口类型	指定端口映射的类型：端口 — 输入端口值，从 0 到 65，535 不等。范围 — 在开始和结束字段中输入端口范围值，范围为 0 到 65，535。
路由实例	为静态 NAT 规则选择路由实例。

创建 NAT 策略规则

相关文档