Erstellen von NAT-Richtlinienregeln

Die NAT-Verarbeitung konzentriert sich auf die Bewertung von NAT-Regelsätzen und -Regeln. Ein Regelsatz legt die Gesamtrichtung des zu verarbeitenden Datenverkehrs fest. Nachdem ein Regelsatz gefunden wurde, der dem Datenverkehr entspricht, wird jede Regel im Regelsatz für eine Übereinstimmung ausgewertet. NAT-Regeln können für die folgenden Paketinformationen übereinstimmen:

Quell- und Zieladresse
Quell-Port (nur für Quell- und statische NAT)
Ziel-Port

Die erste Regel im Regelsatz, die dem Datenverkehr entspricht, wird verwendet. Wenn ein Paket während der Sitzungseinrichtung einer Regel in einem Regelsatz entspricht, wird der Datenverkehr gemäß der in dieser Regel angegebenen Aktion verarbeitet.

Klicken Sie zum Erstellen einer neuen NAT-Regel auf den NAMEN der NAT-Richtlinie. Die Single NAT Policy Seite wird angezeigt und bietet Ihnen Optionen zur Konfiguration von NAT-Regeln. Alternativ können Sie auf die Regelnummer klicken, die unter Regeln für die Richtlinie aufgeführt ist, um eine neue Regel zu erstellen. Sie können die folgenden Arten von NAT-Regeln konfigurieren:

Statisch: Um eine statische NAT-Regel hinzuzufügen, klicken Sie auf Statische NAT-Regel hinzufügen , oder klicken Sie in der oberen rechten Ecke auf Erstellen , und wählen Sie Statisch aus.
Quelle: Um eine Quell-NAT-Regel hinzuzufügen, klicken Sie auf Quell-NAT-Regel hinzufügen oder klicken Sie in der oberen rechten Ecke auf Erstellen , und wählen Sie Quelle aus.
Ziel: Um eine Ziel-NAT-Regel hinzuzufügen, klicken Sie auf Ziel-NAT-Regel hinzufügen oder klicken Sie in der oberen rechten Ecke auf Erstellen , und wählen Sie Ziel aus.

Abhängig von der Art der Regel, die Sie ausgewählt haben, sind einige Felder in der Regel nicht anwendbar. Zusätzlich zur Definition von Regeln zwischen Zonen und Schnittstellen können Sie NAT-Regeln mit virtuellen Routern definieren, die auf dem Gerät definiert sind. Diese Regeln können erfolgreich auf dem Gerät veröffentlicht und aktualisiert werden.

So erstellen Sie eine NAT-Richtlinienregel:

Wählen Sie Konfiguration > NAT->-NAT-Richtlinien aus.

Auf der Seite NAT-Richtlinien werden die vorhandenen NAT-Richtlinien angezeigt.
Klicken Sie auf den Namen der NAT-Richtlinie, für die Regeln erstellt werden sollen. Alternativ können Sie auf die Zahl klicken, die unter Regeln für eine NAT-Richtlinie aufgeführt ist.

Die Single NAT Policy Seite wird angezeigt.
Klicken Sie auf Erstellen , und wählen Sie entweder Quelle, Statisch oder Ziel aus. Auf der Seite werden Felder zum Erstellen einer NAT-Regel angezeigt.
Schließen Sie die Konfiguration gemäß den Richtlinien in Tabelle 1 ab.
Klicken Sie auf OK , um die Änderungen zu speichern. Wenn Sie ihre Änderungen verwerfen möchten, klicken Sie stattdessen auf "Abbrechen" .

Eine NAT-Regel mit der von Ihnen bereitgestellten Konfiguration wird erstellt.

Tabelle 1 enthält Richtlinien zur Verwendung der Felder auf der Seite "Einheitliche NAT-Richtlinie ".

Tabelle 1: Felder auf der einzelnen NAT-Richtlinienseite zum Erstellen von NAT-Regeln
Feld	Beschreibung
Quelle	Klicken Sie auf das Symbol hinzufügen (+), um aus der angezeigten Liste der Adressen, Protokolle, Schnittstellen, Routing-Instanzen, Zonen oder Ports die Quellendpunkte auszuwählen, auf denen die NAT-Richtlinienregel anwendung. Die möglichen Endpunkte für die Quelle unterscheiden sich davon, ob es sich bei der NAT-Regel um eine Quell-, Ziel- oder statische NAT-Regel handelt. Die möglichen Endpunkte für source for a Source NAT-Regel sind: Adressen Routing-Instanzen, -Schnittstellen oder -Zonen Protokolle Ports VRF-Gruppen Die möglichen Endpunkte für die Quell-für eine Ziel-NAT-Regel sind: Adressen Routing-Instanzen, -Schnittstellen oder -Zonen Protokolle VRF-Gruppen Die möglichen Endpunkte für die Quelle für eine statische NAT-Regel sind: Adressen Routing-Instanzen, -Schnittstellen oder -Zonen Ports VRF-Gruppen Sie können auch ein Quellendpunkt auswählen, indem Sie die unter Auswählen der NAT-Quelle beschriebenen Methoden verwenden.
Ziel	Klicken Sie auf das Symbol hinzufügen (+), um aus der angezeigten Liste der Adressen, Schnittstellen, Services, Routing-Instanzen, Zonen oder Ports die Zielendpunkte auszuwählen, auf denen die NAT-Richtlinienregel anwendung. Die möglichen Endpunkte für Ziel unterscheiden sich davon, ob es sich bei der NAT-Regel um eine Quell-, Ziel- oder statische NAT-Regel handelt. Die möglichen Endpunkte für das Ziel einer Quell-NAT-Regel sind: Adressen Routing-Instanzen, -Schnittstellen oder -Zonen Dienstleistungen Ports VRF-Gruppen Die möglichen Endpunkte für das Ziel für eine NAT-Regel sind: Adressen Dienstleistungen Ports Die möglichen Endpunkte für das Ziel einer statischen NAT-Regel sind: Adressen Ports Sie können ein Zielendpunkt mit den unter Nat-Ziel auswählen beschriebenen Methoden auswählen. Hinweis: Wenn Sie eine Ziel-NAT-Regel für den Datenverkehr erstellen, der über eine Schnittstelle ankommt, die einen VPN-Link beendet, kann der Übersetzungsprozess den VPN-Link unterbrechen. Dies geschieht, wenn die Zieladresse in einer Ziel-NAT-Regel nur als WAN-gerichtete IP-Adresse dieser Schnittstelle angegeben wird. In der folgenden NAT-Regel wird beispielsweise jeder Datenverkehr, der für Wan.IP bestimmt ist, in den Zielpool übersetzt und die Funktionalität der VPN-Verbindungspakete, die auf dieser Schnittstelle enden, unterbrochen. `[Any.Address] --> [Wan.IP] :: [Dest-Pool-1]` Daher empfiehlt es sich in solchen Fällen, eine Ziel-NAT-Regel mit Zielfeld als `[Address + Port]`. Zum Beispiel: `[Any.Address] --> [Wan.IP + Port] :: [Dest-Pool-1]`
Übersetzung
Übersetzungstyp	Geben Sie den Übersetzungstyp für den eingehenden Datenverkehr an. Die Übersetzungsoptionen hängen davon ab, ob Sie eine Quell-, statische oder Ziel-NAT-Regel erstellen. Wählen Sie einen der folgenden Übersetzungstypen für eine Quell-NAT-Regel: Keine: Für den eingehenden Datenverkehr ist keine Übersetzung erforderlich. Schnittstelle: Führt schnittstellenbasierte Übersetzungen für das Quell- oder Zielpaket aus. Pool: Führt Pool-basierte Übersetzungen für das Quell- oder Zielpaket aus. Klicken Sie im Feld "Pool auswählen" auf das Symbol "Hinzufügen" (+), um den Übersetzungspool auszuwählen. Sie können auch einen neuen Pool erstellen, indem Sie auf Neuen Pool hinzufügen klicken. Siehe Erstellen von NAT-Pools. Wählen Sie einen der folgenden Übersetzungstypen für eine statische NAT-Regel: Adresse: Führt adressbasierte Übersetzungen für das Quell- oder Zielpaket aus. Klicken Sie im Feld Adresse auswählen auf das Symbol hinzufügen (+), um die Übersetzungsadresse auszuwählen. Sie können auch eine neue Adresse erstellen, indem Sie auf Neue Adresse hinzufügen klicken. Siehe Erstellen von Adressen oder Adressgruppen. Hinweis: In einer SD-WAN-Umgebung müssen Sie unbedingt die Routing-Instanz auswählen, die der Übersetzungsadresse entspricht. Sie können die Routing-Instanz für eine Übersetzungsadresse über die Seite Erweiterte Einstellungen auswählen. Weitere Informationen zu erweiterten Einstellungen finden Sie in Tabelle 3. Entsprechende IPv4: Verwendet die entsprechende IPv4-Adresse, um Übersetzungen für das Quell- oder Zielpaket durchzuführen. Wählen Sie einen der folgenden Übersetzungstypen für eine Ziel-NAT-Regel aus: Keine: Für den eingehenden Datenverkehr ist keine Übersetzung erforderlich. Pool: Führt Pool-basierte Übersetzungen für das Quell- oder Zielpaket aus. Klicken Sie im Feld "Pool auswählen" auf das Symbol "Hinzufügen" (+), um den Übersetzungspool auszuwählen. Sie können auch einen neuen Pool erstellen, indem Sie auf Neuen Pool hinzufügen klicken. Siehe Erstellen von NAT-Pools. Hinweis: In einer SD-WAN-Umgebung sollte der ausgewählte Ziel-NAT-Pool mit einem Standort und einer Routing-Instanz konfiguriert werden, die der Pooladresse entspricht. In der Personalabteilung läuft beispielsweise ein Webserver mit IP-Adresse (IP1). Um einen NAT-Zielpool zu erstellen, der dieser Webserver-IP-Adresse entspricht, müssen Sie beim Erstellen des NAT-Pools die folgenden Pflichtfelder angeben: `Address - IP1` `Site - the site hosting the webserver` `Routing instance - natVR_HR`
Erweiterte Einstellungen (optional)	Klicken Sie auf Konfigurieren, um erweiterte Einstellungen für eine Quell- oder statische NAT-Regel zu konfigurieren. Weitere Informationen zu erweiterten Einstellungen für die Übersetzungstypen Schnittstelle und Pool für eine Quell-NAT-Regel finden Sie in Tabelle 2. Weitere Informationen zu erweiterten Einstellungen für die Übersetzungstypen Schnittstelle und Pool für eine statische NAT-Regel finden Sie in Tabelle 3.
Details
Namen	Geben Sie eine eindeutige Zeichenfolge aus alphanumerischen Zeichen, Doppelpunkten, Perioden, Strichen und Unterstrichen ein. Es sind keine Leerzeichen zulässig und die maximale Länge beträgt 255 Zeichen.
Beschreibung	Geben Sie eine Beschreibung für den Richtlinienabsatz ein. Die maximale Länge beträgt 1024 Zeichen.
Endpunkte	Erstellen Sie Quell- und Zielendpunkte wie Adressen und Services. Klicken Sie zum Erstellen einer Adresse auf das Symbol "Hinzufügen" (+) und wählen Sie "Adresse" aus. Siehe Erstellen von Adressen oder Adressgruppen , um die Parameter der Adresse zu konfigurieren. Klicken Sie zum Erstellen eines Service auf das Symbol "Hinzufügen" (+) und wählen Sie "Service" aus. Siehe Erstellen von Services und Servicegruppen , um die Parameter des Diensts zu konfigurieren. Um die konfigurierten Parameter einer Adresse oder eines Dienstes zu bearbeiten, bewegen Sie den Mauszeiger darüber und klicken Sie auf das Bearbeitungssymbol (Bleistiftsymbol).

Tabelle 2 enthält Richtlinien zur Verwendung der Felder auf der Seite Erweiterte Einstellungen für eine Quell-NAT-Regel.

Tabelle 2: Felder auf der Seite Erweiterte Einstellungen für Quell-NAT-Regel
Feld	Beschreibung
Persistente	Aktivieren Sie das Kontrollkästchen, um sicherzustellen, dass alle Anfragen von derselben internen Transportadresse auf dieselbe reflexive Transportadresse abgebildet werden. Hinweis: Damit die Persistenz für die NAT-Richtlinie anwendbar ist, stellen Sie sicher, dass die Portüberladung für das Gerät, auf das die NAT-Richtlinie anwendbar ist, deaktiviert ist. Verwenden Sie den folgenden Befehl, um die Portüberlastung für ein Gerät zu deaktivieren: [Edit mode] set security nat source interface port-overloading off
Persistenter NAT-Typ	Konfigurieren Sie persistente NAT-Zuordnungen. Remote-Hosts zulassen: Alle Anfragen von einer bestimmten internen IP-Adresse und einem Port werden auf dieselbe reflexive Transportadresse abgebildet. (Die reflexive Transportadresse ist die öffentliche IP-Adresse und der Port, die vom NAT-Gerät erstellt werden, das dem STUN-Server am nächsten ist.) Jeder externe Host kann ein Paket an den internen Host senden, indem er das Paket an die reflexive Transportadresse sendet. Zielhost zulassen: Alle Anfragen von einer bestimmten internen IP-Adresse und einem Port werden auf dieselbe reflexive Transportadresse abgebildet. Ein externer Host kann ein Paket an einen internen Host senden, indem er das Paket an die reflexive Transportadresse sendet. Der interne Host muss zuvor ein Paket an die IP-Adresse des externen Hosts gesendet haben. Ziel-Host-Port zulassen: Alle Anfragen von einer bestimmten internen IP-Adresse und einem Port werden auf dieselbe reflexive Transportadresse abgebildet. Ein externer Host kann ein Paket an einen internen Host senden, indem er das Paket an die reflexive Transportadresse sendet. Der interne Host muss zuvor ein Paket an die IP-Adresse und den Port des externen Hosts gesendet haben.
Timeout für Inaktivität	Die Dauer der NAT-Bindung bleibt in Sekunden im Speicher des Standorts, wenn alle Sitzungen des Bindungseintrags beendet sind. Wenn das konfigurierte Timeout erreicht ist, wird die Bindung aus dem Speicher entfernt. Der Wert des Inaktivitäts-Timeouts kann zwischen 60 und 7200 Sekunden liegen. Der Standardwert des Timeouts für Inaktivität ist 60 Sekunden.
Maximale Sitzungsnummer	Maximale Sitzungsnummer: Die maximale Anzahl von Sitzungen, mit denen eine persistente NAT-Bindung verknüpft werden kann. Wenn beispielsweise die maximale Sitzungsnummer der persistenten NAT-Regel 65.536 beträgt, kann eine 65.537. Sitzung nicht festgelegt werden, wenn in dieser Sitzung die aus der persistenten NAT-Regel erstellte persistente NAT-Bindung verwendet wird. Der Bereich beträgt 8 bis 65.536. Der Standard ist 30 Sitzungen.
Adresszuordnung	Wählen Sie eine Adresse aus der verfügbaren Liste aus.
Pool-Adresse	Zeigt die NAT-Pool-Adresse an.
Host-Adressbasis	Zeigt die Basisadresse des ursprünglichen Quell-IP-Adressbereichs an. Die Host-Adressbasis wird für die Verschiebung von IP-Adressen verwendet.
Port-Übersetzung	Zeigt an, ob die Portübersetzung für diese NAT-Regel aktiviert oder deaktiviert ist.
Typ des Überlaufpools	Zeigt den Quellpool an, der verwendet werden soll, wenn der aktuelle Adresspool erschöpft ist.
Name des Overflow-Pools	Zeigt den Namen des Überlaufpools an.
Zugeordneter Porttyp	Geben Sie den Typ der Portzuordnung an: Port: Geben Sie einen Wert für Port ein, der von 0 bis 65.535 reicht. Bereich : Geben Sie die Werte für den Portbereich in die Felder Start und Ende ein, die von 0 bis 65.535 reichen.

Tabelle 3 enthält Richtlinien zur Verwendung der Felder auf der Seite Erweiterte Einstellungen für eine statische NAT-Regel.

Tabelle 3: Felder auf der Seite Erweiterte Einstellungen für statische NAT-Regel
Feld	Beschreibung
Zugeordneter Porttyp	Geben Sie den Typ der Portzuordnung an: Port: Geben Sie einen Wert für Port ein, der von 0 bis 65.535 reicht. Bereich : Geben Sie die Werte für den Portbereich in die Felder Start und Ende ein, die von 0 bis 65.535 reichen.
Routing-Instanz	Wählen Sie die Routing-Instanz für die statische NAT-Regel aus.

Erstellen von NAT-Richtlinienregeln

Ähnliche Dokumentation