Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

静态NAT

静态NAT将网络信息流从静态外部 IP 地址映射到内部 IP 地址或网络。它创建实际地址到映射地址的静态转换。静态NAT通过具有未注册专用 IP 地址的专用 LAN 提供与网络设备的互联网连接。

了解静态NAT

静态NAT可定义从一个 IP 子网到另一个 IP 子网的一对一映射。映射包括一个方向的目标 IP 地址转换,以及反向的源 IP 地址转换。从NAT设备,原始目标地址是虚拟主机 IP 地址,而映射至地址是真正的主机 IP 地址。

静态NAT允许连接源自网络每一端,但是转换仅限于一对一或相同大小的地址块之间。对于每个专用地址,必须分配一个公共地址。无需地址池。

静态NAT还支持以下类型的转换:

  • 将多个 IP 地址和指定端口范围映射到同一 IP 地址和不同端口范围

  • 将特定 IP 地址和端口映射到不同的 IP 地址和端口

在目标端口(范围)和映射端口(范围)之间提供静态映射,还支持端口地址转换 (PAT)。

注意:

原始目标地址以及源和目标路由池NAT地址不能重叠在同一路由实例中。

在NAT规则查找中,静态NAT规则优先于目标 NAT 规则,而静态 NAT 规则反向映射优先于源路由NAT规则。

了解静态NAT规则

静态网络地址转换 (NAT) 规则指定两层匹配条件:

  • 信息流方向 - 允许您从接口区域或路由实例指定

  • 数据包信息 - 可以是源地址和端口,也可以作为目标地址和端口。

对于除 FTP 以外的所有 ALG 流量,建议您不使用静态规则NAT选项 或 source-address source-port 。如果使用这些选项,则数据会话创建可能失败,因为 IP 地址和源端口值(随机值)可能与静态规则NAT匹配。对于 FTP ALG 流量,可以使用 选项,因为提供的 IP 地址可以匹配静态路由规则 source-address NAT地址。

当源地址和目标地址均配置为规则匹配条件时,流量将匹配到源地址和目标地址。由于静态NAT双向路由,因此反向的信息流与规则匹配,并且流量的目标地址与配置的源地址匹配。

如果多个静态NAT规则在匹配条件中重叠,则选择最具体的规则。例如,如果规则 A 和 B 指定相同的源和目标 IP 地址,但是规则 A 指定区域 1 中的流量,而规则 B 指定来自接口 ge-0/0/0 的流量,则规则 B 用于执行静态 NAT。接口匹配被视为比区域匹配更具体,而区域匹配比路由实例匹配更具体。

由于NAT规则不支持重叠地址和端口,因此不应用于将一个外部 IP 地址映射到 ALG 流量的多个内部 IP 地址。例如,如果不同站点想要访问两台不同的 FTP 服务器,则内部 FTP 服务器应映射到两个不同的外部 IP 地址。

对于静态NAT操作,请指定转换的地址和(可选)路由实例。

在NAT中,静态NAT规则优先于目标 NAT 规则,而静态路由规则的反向映射NAT优先于源路由NAT规则。

静态NAT配置概述

静态路由的主要NAT如下:

  1. 配置符合NAT和安全要求的静态路由规则。
  2. 为NAT接口同一子网中的 IP 地址配置代理 ARP 条目。

示例:为单个NAT配置静态地址转换

此示例介绍如何将单个专用NAT映射到公共地址的静态路由。

要求

开始之前:

  1. 在设备上配置网络接口。请参阅 安全设备接口用户指南

  2. 创建安全区域,并为其分配接口。请参阅 了解安全区域

概述

此示例为私有地址空间使用信任安全区域,对公共地址空间使用不信任安全区域。

在图 1中,不信任区域中的设备通过公共地址 203.0.113.200/32 访问信任区域中的服务器。对于从不信任区域进入 瞻博网络 安全设备的数据包,其目标 IP 地址为 203.0.113.200/32,目标 IP 地址将转换为专用地址 192.168.1.200/32。对于源自服务器的新会话,传出数据包中的源 IP 地址将转换为公共地址 203.0.113.200/32。

图 1:静态NAT单个地址转换 Static NAT Single Address Translation

此示例说明了以下配置:

  • 静态NAT规则集,用于将来自不信任区域中的数据包与目标地址 rs1 r1 203.0.113.200/32 匹配。为匹配数据包,目标 IP 地址将转换为专用地址 192.168.1.200/32。

  • 接口 ge-0/0/0.0 上的地址 203.0.113.200 的代理 ARP。这样,瞻博网络安全设备将可以响应接口上收到的该地址的 ARP 请求。

  • 安全策略允许来自和来自 192.168.1.200 服务器的信息流。

配置

程序

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 在配置 模式下CLI编辑器

要配置从专用NAT到公共地址的静态路由映射:

  1. 创建静态NAT规则集。

  2. 配置匹配数据包且将数据包中的目标地址转换为专用地址的规则。

  3. 配置代理 ARP。

  4. 配置全局地址簿中的地址。

  5. 配置安全策略,允许从不信任区域到信任区域服务器的流量。

  6. 配置安全策略,允许从信任区域服务器到不信任区域的所有流量。

结果

在配置模式下,输入 和 命令以确认 show security nat show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

要确认配置工作正常,请执行以下任务:

验证静态NAT配置

目的

验证是否有与静态规则集NAT匹配。

行动

在操作模式下,输入 show security nat static rule 命令。查看"转换命中"字段以检查与规则匹配的流量。

验证NAT到流量的应用程序

目的

验证NAT是否正应用于指定的信息流。

行动

在操作模式下,输入 show security flow session 命令。

示例:配置静态NAT进行子网转换

此示例介绍如何将专用子网NAT映射到公共子网地址的静态路由。

注意:

静态路由映射NAT块必须相同大小。

要求

开始之前:

  1. 在设备上配置网络接口。请参阅 安全设备接口用户指南

  2. 创建安全区域,并为其分配接口。请参阅 了解安全区域

概述

此示例为私有地址空间使用信任安全区域,对公共地址空间使用不信任安全区域。 在图 2中,通过公共子网地址 203.0.113.0/24 的方式在信任区域访问可信区域的设备。对于从不信任区域进入 瞻博网络 安全设备的数据包,其目标 IP 地址在 203.0.113.0/24 子网中,目标 IP 地址将转换为 192.168.1.0/24 子网上的专用地址。对于源自 192.168.1.0/24 子网的新会话,传出数据包中的源 IP 地址将转换为公共 203.0.113.0/24 子网上的地址。

图 2:静态NAT子网转换 Static NAT Subnet Translation

此示例说明了以下配置:

  • 静态NAT规则集,规则与接口 rs1 r1 ge-0/0/0.0 上收到的数据包与 203.0.113.0/24 子网中的目标 IP 地址匹配。为匹配数据包,目标地址将转换为 192.168.1.0/24 子网上的地址。

  • 地址范围为 203.0.113.1/32 到接口 ge-0/0/0.0 上的 203.0.113.249/32 的代理 ARP。这使安全瞻博网络可响应接口上收到的这些地址的 ARP 请求。地址 203.0.113.250/32 将被分配至接口本身,因此此地址不会包含在代理 ARP 配置中。

  • 安全策略允许来自和来自 192.168.1.0/24 子网的流量。

配置

程序

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 在配置 模式下CLI编辑器

要配置从专用NAT到公共子网地址的静态路由映射:

  1. 创建静态NAT规则集。

  2. 配置匹配数据包且将数据包中的目标地址转换为专用子网中的地址的规则。

  3. 配置代理 ARP。

  4. 配置全局地址簿中的地址。

  5. 配置安全策略,允许从不信任区域到信任区域子网的流量。

  6. 配置安全策略,允许从信任区域子网到不信任区域的所有流量。

结果

在配置模式下,输入 和 命令以确认 show security nat show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

要确认配置工作正常,请执行以下任务:

验证静态NAT配置

目的

验证是否有与静态规则集NAT匹配。

行动

在操作模式下,输入 show security nat static rule 命令。查看"转换命中"字段以检查与规则匹配的流量。

验证NAT到流量的应用程序

目的

验证NAT是否正应用于指定的信息流。

行动

在操作模式下,输入 show security flow session 命令。

示例:配置静态NAT进行端口映射

此示例介绍如何将公共NAT的静态路由映射到指定端口范围上的专用地址。

本主题包括以下章节:

要求

开始之前:

概述

此示例为私有地址空间使用信任安全区域,对公共地址空间使用不信任安全区域。

图 3中,不信任区域中的设备通过公共地址 203.0.113.1/32、203.0.113.1/32 和 203.0.113.3/32 访问信任区域中的服务器。对于从不信任区域进入 瞻博网络 IP 地址为 203.0.113.1/32 的数据包, 203.0.113.1/32 和 203.0.113.3/32,目标 IP 地址将转换为专用地址 10.1.1.1/32、10.1.1.2/32 和 10.1.1.2/32。

图 3:用于NAT的静态路由 Static NAT for Port Mapping
注意:
  • 要配置目标端口,您必须将 IP 地址用于目标地址字段,而不是 IP 地址前缀。

  • 您必须配置目标端口以配置映射的端口,反之亦然。

  • 在配置目标端口和映射端口时,对端口使用相同的编号范围。

  • 如果不配置目标端口和映射的端口,IP 映射将是一对一映射。

  • 不允许任何地址重叠或任何地址和端口重叠。

此示例说明了以下配置:

  • 静态NAT规则集 rs1,其规则 rs1 用于将来自不信任区域中的数据包与目标地址 203.0.113.1/32 和目标端口 100 到 200 匹配。为匹配数据包,目标 IP 地址将转换为专用地址 10.1.1.1/32 并映射到端口 300 到 400。

  • 静态NAT规则集 rs1 规则 rs1,用于将来自不信任区域中的数据包与目标地址 203.0.113.1/32 和目标端口 300 到 400 匹配。为匹配数据包,目标 IP 地址将转换为专用地址 10.1.1.2/32 并映射到端口 300 到 400。

  • 静态NAT规则集 rs1,其规则 rs1 用于将来自不信任区域中的数据包与目标地址 203.0.113.3/32 和目标端口 300 匹配。为匹配数据包,目标 IP 地址将转换为专用地址 10.1.1.2/32 并映射到端口 200。

配置

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit

程序

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 在配置CLI使用编辑器 。

要配置从专用NAT到公共子网地址的静态路由映射:

  1. 创建静态NAT规则集。

  2. 配置匹配数据包且将数据包中的目标地址转换为专用地址的规则。

  3. 配置匹配数据包且将数据包中的目标地址转换为专用地址的规则。

  4. 配置匹配数据包且将数据包中的目标地址转换为专用地址的规则。

结果

在配置模式下,输入 命令以确认 show security nat 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

[edit]

user@host# show security nat

如果完成设备配置,请从配置 commit 模式输入 。

验证

验证静态NAT配置

目的

验证是否有与静态规则集NAT匹配。

行动

在操作模式下,输入 show security nat static rule 命令。查看"转换命中"字段以检查与规则匹配的流量。

故障 排除

静态NAT端口配置故障排除

问题

静态NAT端口映射配置失败在提交过程中发生。

具有重叠 IP 地址和端口的无效配置会导致提交失败。

以下示例显示具有重叠地址和端口的无效配置:

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 match destination-port 100 to 200

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.2

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490

提交上述配置提交时,显示以下错误消息:

解决 方案

要配置目标端口,必须避免任何地址重叠或任何地址和端口重叠。有关有效配置的示例,请参阅 Configuration

监控静态NAT信息

目的

查看静态NAT规则信息。

行动

在 J-Web >NAT>选择 Monitor NAT Static 选项,或者输入以下 CLI 命令:

show security nat static rule

表 1 概括显示了静态输出NAT字段。

表 1:静态关键输出NAT汇总

领域

行动

规则集名称

规则集的名称。

从列表中选择要显示的所有规则集或特定规则集。

规则总数

配置的规则数。

Id

规则 ID 编号。

位置

表示应用于信息流的顺序的规则位置。

名字

规则的名称。

规则集名称

规则集的名称。

数据包来自的路由实例/接口/区域的名称

源地址

源 IP 地址。

源端口

源端口号。

目标地址

目标 IP 地址和子网掩码。

目标端口

目标端口号 。

主机地址

主机地址的名称。

主机端口

主机端口号。

Netmask

子网 IP 地址。

主机路由实例

数据包来自的路由实例的名称。

报警阈值

利用率告警阈值。

会话 (Succ/

发生故障/

电流)

成功、失败和当前会话。

  • Succ-匹配规则之后成功安装NAT数。

  • 失败 - 匹配规则之后NAT的未成功会话安装数。

  • 引用指定规则的当前 –会话数。

翻译命中数

转换表中的转换用于静态规则NAT多次。

10 大翻译命中图

显示 10 大翻译命中数的图形。