ethernet 0/1 IP: 202.1.1.1 Untrust
IP包1应答报文 源IP：202.1.1.2 IP：202.1.1.1 目的
Server IP: 202.1.1.2
NAT转换过程（DNAT）
IP包1 源IP：202.1.1.2 IP：10.1.1.2 目的
IP包1 源IP：202.1.1.2 IP：202.1.1.1 目的
dynamicip
dynamicport 即PAT。多个源地址将被转换成指定IP地址条目中的一个 地址。如果不使用sticky，地址条目中的第一个地址将会 首先被使用，当第一个地址的端口资源被用尽，第二个地 址将会被使用。如果使用了sticky，每一个源IP产生的所 有会话将被映射到同一个固定的IP地址。
配置目的NAT(WebUI)
防火墙>NAT>目的NAT NAT规则基于VRouter创建并生效
→ → → →
访问发起IP 目的虚拟IP 访问服务
服务器真实ip
配置DNAT（CLI）
在NAT配置模式下使用以下命令：
dnatrule [id id] [before id | after id | top] from src-address to dst-address [service service-name] trans-to trans-to-address [port port] [load-balance [ping-track]] [log]
ethernet 0/0
10.1.1.1
Trust
ethernet 0/1 IP: 202.1.1.1 Untrust
PC IP: 202.1.1. 2
Server
10.1.1.2 服务器 应答报文 源IP： 10 .1.1.2 IP： 目的 202.1.1.2 IP包1应答报文 源IP：202.1.1.1 IP：202.1.1.2 目的
议程：网络地址转换
• NAT的概念 • 源NAT • 目的NAT
NAT匹配顺序与相关策略
NAT规则
• NAT分为源NAT和目的NAT，源NAT由多条源NAT规则组成目 的NAT由多条目的NAT规则组成。当定义多条NAT规则时需 要根据需求移动NAT规则位置。 • NAT规则匹配顺序 每一条NAT都有唯一一个ID号。流量进入防火墙时，防火 墙对NAT规则进行顺序查找，然后按照查找到的相匹配的 第一条规则对流量的源IP做NAT转换。但是，ID的大小顺序 并不是规则匹配顺序。使用show snat/dnat命令列出的规 则顺序才是规则匹配顺序。用户可以移动已有的NAT规则 从而改变规则的排列顺序。
NAT转换过程（SNAT）
IP包1 源IP：10.1.1.2 IP：202.1.1.2 目的
IP包1 源IP：202.1.1.1 IP：202.1.1.2 目的
ethernet 0/0 IP: 10.1.1.1 Trust PC IP: 10.1.1.2 IP包1应答报文 源IP：202.1.1.2 IP：10.1AT
目的NAT
• NAT匹配顺序及相关策略
目的NAT
• DNAT（目的NAT规则）
转换目的IP地址，通常是将受防火墙保护的内部服务器（如WWW服 务器或者SMTP服务器）的IP地址转换成公网IP地址。 主要应用：通过IP映射或者端口映射对外发布服务器 根据工作模式分为以下两种： · VIP（端口映射） -该模式为一对多的映射，将公网某一IP的不同端口，映射到内网不 同IP的不同端口，解决公网IP有限时多个服务器需对外发布的需求 · MIP（IP映射） -该模式为一对一的映射，端口一一对应不做转换，通常用于公网IP 足够时服务器的对外发布。
调整NAT规则
• 通过WebUI调整NAT规则位置，在NAT规则编辑页面：
•
编辑NAT规则顺序
• 调整规则的排列顺序，在NAT配置模式下使用以命令：
snatrule move id {before id | after id| top | bottom} dnatrule move id {before id | after id| top | bottom}
议程：网络地址转换
• NAT的概念
源NAT
• 目的NAT • NAT匹配顺序及相关策略
源NAT
• SNAT（源NAT） 转换源IP地址，从而隐藏内部IP地址或者分享IP有限的IP地 址。根据工作模式分为以下三种：
模式 static 描述 静态源NAT转换即一对一的转换。该模式要求被转换到的 地址条目（trans-to-address）包含的IP地址数与流 量的源地址的地址条目（src-address）包含的IP地址 数相同。 动态源NAT转换即多对多的转换。该模式将源地址转换到 指定的IP地址。每一个源地址会被映射到一个唯一的IP地 址做转换，直到指定地址全部被占用。
• 删除规则，在NAT配置模式下使用以下命令：
no snatrule id id
no dnatrule id id
配置访问策略（WebUI）
防火墙>策略
•
→
服务器对应公网地址
检查NAT配置
• 显示NAT配置信息： show snat [id] show snat rescource show dnat [id]
配置源NAT(WebUI)
防火墙>NAT>源NAT NAT规则基于VRouter创建并生效
配置源NAT(CLI)
• 在NAT配置模式下，使用以下命令：
snatrule [id id] [before id | after id | top] from src-address to dst-address [eif egress-interface] trans-to {addressbook trans-to-address | eif-ip} mode {static | dynamicip | dynamicport [sticky]} [log] – id id – 为SNAT规则指定ID号。 – before id | after id | top – 指定规则所在的位置 – from src-address to dst-address [eif egress-interface] – 指定该规则中 流量应符合的条件。 – eif egress-interface - 指定流量的出接口。 – addressbook trans-to-address | eif-ip – 指定NAT转换地址。mode {static | dynamicip | dynamicport [sticky]} – 指定转换模式。DCFOS 支持三种转换模式：static、dynamicip和dynamicport。
网络地址转换
章节目标
• 通过完成此章节课程，您将可以：
- 熟悉多种NAT应用的环境 - 掌握源NAT的配置及应用 - 掌握目的NAT的配置应用 - 掌握NAT与相关策略的配置
议程：网络地址转换
NAT的概念
• 源NAT • 目的NAT • NAT匹配顺序及相关策略
议程：网络地址转换
• 网络地址转换（Network Address Translation）简称为NAT 是将IP数据包包头中的IP地址转换为另一个IP地址。当IP数 据包通过路由器或者防火墙时，路由器或者防火墙会把IP 数据包的源IP地址和/或者目的IP地址进行转换。在实际应 用中，NAT主要用于私有网络访问外部网络或外部网络访 问私有网络的情况。 • RFC1918规定的三类私有地址如下： A类：10.0.0.0 - 10.255.255.255（10.0.0.0/8） B类：172.16.0.0 - 172.31.255.255（172.16.0.0/12） C类：192.168.0.0 - 192.168.255.255（192.168.0.0/16）
小结
※ 在本章中讲述了以下内容： • NAT的分类 • 源NAT和目的NAT的应用
问题
• 1、通常配置内网用户上网采用哪种NAT方式? • 2、基于端口的DNAT有何优势？ • 3、对外发布服务器时，访问策略目的IP如何配置?
THANKS!