Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建 NAT 规则

开始之前

NAT 处理以评估 NAT 规则集和规则为中心。规则集确定要处理的流量的总体方向。找到与流量匹配的规则集后,将评估规则集中的每个规则以进行匹配。NAT 规则可以匹配以下数据包信息:

  • 源地址和目标地址

  • 源端口(仅适用于源和静态 NAT)

  • 目标端口

使用规则集中与流量匹配的第一个规则。如果在会话建立期间数据包与规则集中的规则匹配,则根据该规则指定的操作处理流量。

创建新的 NAT 策略时,请单击 NAT 策略名称以配置规则。您可以配置以下类型的 NAT 规则:

  • 静态的

  • 目的地

根据您选择的规则类型,规则中的某些字段将不适用。除了在区域和接口之间定义规则外,您还可以使用设备上定义的虚拟路由器定义 NAT 规则。可以在设备上成功发布和更新这些规则。

要配置 NAT 规则,请执行以下操作:

  1. 选择配置 > NAT 策略>策略。
  2. 单击 NAT 策略名称。

    此时将显示“规则”页面。

  3. 通过单击“ 创建”添加规则。选择要添加的规则类型(源、静态或目标)。
  4. 根据 表 1 中提供的指南完成配置。
  5. 单击 保存

为 NAT 策略配置了新的 NAT 规则。

表 1:NAT 规则设置

设置

指引

显示分配给 NAT 规则的序列号。

名字

选择要向其添加规则的 NAT 策略的名称。

NAT 类型

选择 NAT 规则的类型:

  • 静态的

  • 目的地

源入口

单击源入口字段以配置入口类型。

  • 入口类型 — 选择入口类型:区域、接口或路由实例。

  • 从相应的选择器中,从可用列中选择要将规则关联到的区域、接口或路由实例。

    对于路由实例选项,您可以选择设备上的一个或多个可用虚拟路由器。对于组 NAT 策略,您将看到策略分配到的所有设备上所有虚拟路由器的综合列表。

  • 单击“确定”。

源地址

单击源地址字段以从可用列表中分配策略的源地址。

从 Security Director 版本 21.3R1 热补丁 v3 开始,在为组策略创建 NAT 规则时,可以选择多态地址作为源地址。

源端口

单击源端口字段以配置策略的源端口。

  • 最多输入八个端口和以逗号分隔的端口范围。

  • 从“可用”列表中选择所需的端口集。

    通过单击 添加新源端口以内联方式创建源端口。

协议

从“可用”列表中选择协议以允许或拒绝流量。

目标出口

单击目标出口字段以配置出口类型。

  • 选择出口类型:区域、接口或路由实例。

  • 从相应的选择器中,从可用列中选择要将规则关联到的区域、接口或路由实例。

  • 单击“确定”。

目标地址

单击目标地址字段以从可用列表中分配策略的目标地址。通过单击添加新 目标地址以内联方式创建目标地址。

从 Security Director 版本 21.3R1 热补丁 v3 开始,在为组策略创建 NAT 规则时,可以选择多态地址作为目标地址。

注意:

静态 NAT 目标地址不支持多态地址。

目标端口

单击目标端口字段以配置策略的目标端口。

  • 最多输入八个端口和以逗号分隔的端口范围。运行 Junos OS 12.1X47 及更高版本的设备支持多个端口和范围,与源端口相同。

  • 从“可用”列表中选择所需的端口集。

    通过单击添加新源端口以内联方式创建目标端口。

服务

为源和目标类型 NAT 规则选择要允许或拒绝的服务。运行 Junos OS 12.1X47 版的设备支持此功能。

选择以下选项之一:

  • 包括任何服务

  • 包括特定

转换后的数据包源

单击 转换的数据包源

选择适当的源地址。此选项仅适用于源 NAT 规则。

您可以选择翻译类型为“无”、“接口”或“池”。

  • 无 - 无需翻译。

  • 接口 — 启用带或不带端口过载的接口 NAT。

  • 池 - IP 地址从 NAT 池使用。

如果选择“池”,请选择用于转换 IP 地址的源 NAT 池。

如果启用代理 ARP,交换机将捕获流量并将其路由到预期目标。

启用“持久”复选框以确保来自同一内部传输地址的所有请求都映射到同一反身传输地址。

配置持久 NAT 类型:

  • 允许任何远程主机 - 来自特定内部 IP 地址和端口的所有请求都映射到相同的反射传输地址。(反身传输地址是由最靠近 STUN 服务器的 NAT 设备创建的公共 IP 地址和端口。任何外部主机都可以通过将数据包发送到反射传输地址来向内部主机发送数据包。

  • 允许目标主机 — 来自特定内部 IP 地址和端口的所有请求都映射到同一个反射传输地址。外部主机可以通过将数据包发送到反射传输地址来将数据包发送到内部主机。内部主机之前必须已将数据包发送到外部主机的 IP 地址。

  • 允许目标主机端口 — 来自特定内部 IP 地址和端口的所有请求都映射到相同的自反传输地址。外部主机可以通过将数据包发送到反射传输地址来将数据包发送到内部主机。内部主机之前必须已将数据包发送到外部主机的 IP 地址和端口。

选择“不活动超时”。这是当绑定条目的所有会话都消失时,持久 NAT 绑定保留在瞻博网络设备内存中的时间量(以秒为单位)。达到配置的超时时,将从内存中删除绑定。范围为 60 到 7200 秒。

选择最大会话数。这是可以与持久 NAT 绑定关联的最大会话数。例如,如果持久 NAT 规则的最大会话数为 65,536,则当该会话使用从持久 NAT 规则创建的持久 NAT 绑定时,将无法建立第 65,537 个会话。范围为 8 到 65,536。默认值为 30 个会话。

启用地址映射以允许将来自特定内部 IP 地址的请求映射到相同的反射 IP 地址。

转换后的数据包目的地

单击 转换的数据包目标

选择适当的目标地址。此选项仅适用于目标 NAT 规则。

您可以选择翻译类型为“无”或“池”。

  • 无 - 无需翻译。

  • 池 - IP 地址从 NAT 池使用。

如果选择“池”,请选择用于转换 IP 地址的目标池。

描述

输入 NAT 规则的说明;最大长度为 4096 个字符。

相关文档