配置NAT

系统中把 NAT 的配置分为：源地址转换（Source）、目的地址转换（Destination）、静态地址转换（Static）三种基本类型，另外还有一种同时可以配置源和目的转换的双向 NAT。目前支持 IPv4 地址之间的互转，以及IPv6 地址之间的互转。

每条 NAT 规则都是和某个特定的接口关联的，需要注意的是，源地址转换是在离开接口时进行转换的，所以配置源地址转换的时候必须和对应的出接口关联，目的地址转换是在进入接口时进行转换的，所以配置目的地址转换的时候必须和对应的入接口关联。

 配置目的地址转换

目的地址转换是一种单向的针对目的地址的映射，主要用于外网访问内网，主要用于内部服务器向外部提供服务的情况，外部可以主动访问内部，内部却不可以主动访问外部。

配置步骤：

1. 进入网络>NAT>NAT 规则>目的地址转换，点击新建。

不转换：匹配这条 NAT 规则的会话，不进行地址转换。

源地址：NAT 规则匹配的源地址，可以是地址对象或地址组。

目标地址：NAT 规则匹配的目的地址，可以是地址对象或地址组。

服务：NAT 规则匹配的服务名，可以是服务对象或服务组。

入接口：NAT 规则匹配的入接口名。

转换后目的地址：需要转换成的地址，可以是地址池名称，也可以直接配置ip。

转换后端口：需要转换成的端口。

源地址转换：双向 NAT 中源需要转换成的地址池或者 ip，配置目的 NAT 时不勾选。

单元 ID：选择该条规则的单元 ID，该 ID 在高可靠性功能（HA）启用时生效，比如启用 HA 的主主模式时，如果主机的 ID 与该 NAT 规则不一致，则该规则不生效。默认为 1。

描述：对该转换规则的描述，最长不得超过 128 个字符。

日志：是否需要对该规则启用日志。

2. 点击提交。

配置双向地址转换

双向 NAT 是一条规则中既有源地址转换，也有目的地址转换。内部 pc 访问内部服务器，内部服务器提供一个虚地址，此时，需要同时做源 NAT 和目的 NAT。

配置步骤：

1. 进入网络>NAT>NAT 规则>目的地址转换，点击新建。

源地址：NAT 规则匹配的源地址，可以是地址对象或地址组。

目标地址：NAT 规则匹配的目的地址，可以是地址对象或地址组。

服务：NAT 规则匹配的服务名，可以是服务对象或服务组。

入接口：NAT 规则匹配的入接口名。

转换后目的地址：需要转换成的地址，地址池名称。

转换后端口：需要转换成的端口。

源地址转换：双向 NAT 中源需要转换成的地址池或者 ip，配置双向 NAT 时勾选。

单元 ID：选择该条规则的单元 ID，该 ID 在高可靠性功能（HA）启用时生效，比如启用 HA 的主主模式时，如果主机的 ID 与该 NAT 规则不一致，则该规则不生效。默认为 1。

描述：对该转换规则的描述，最长不得超过 128 个字符。

日志：是否需要对该规则启用日志。

2. 点击提交

配置静态地址转换

静态地址转换是一对一的双向地址映射。在这种情况下，被映射的内部主机可以主动访问外部，外部也可以主动访问这台内部主机，相当于在内、外网之间建立了一条双向通道。

配置步骤：

1. 进入网络>NAT>NAT 规则>静态地址转换，点击新建。

转换类型：设备支持 IPv4 协议类型的静态 NAT，以及 IPv6 协议类型的静态NAT。

外部地址：需要转换的外部地址。

内部地址：需要转换的内部地址。

外部接口：和外部网络相连的接口名。

单元 ID：选择该条规则的单元 ID，该 ID 在高可靠性功能（HA）启用时生效，比如启用 HA 的主主模式时，如果主机的 ID 与该 NAT 规则不一致，则该规则不生效。默认为 1。

描述：对该转换规则的描述，不得超过 128 个字符。

日志：是否需要对该规则启用日志。

2. 点击提交。

 编辑NAT规则

已经创建的 NAT 规则可以编辑修改。

源 NAT 转换编辑步骤：

1. 进入网络配置>NAT>NAT 规则>源地址转换。

2. 点击规则编号。

可以对原有的规则进行编辑。其中转换类型不允许更改。

3. 点击提交。

 删除NAT规则

源 NAT 转换删除步骤：

1. 进入网络配置>NAT>NAT 规则>源地址转换。

2. 点击删除选定的 NAT 规则。

 移动NAT规则

相同转换类型的 NAT 规则可通过移动操作，调整匹配的顺序。

源 NAT 转换移动步骤：

1. 进入网络配置>NAT>NAT 规则>源地址转换。

2. 点击规则后的 ：

规则 ID：移动的目标规则 ID。

移动到：指定要移动的位置。

 配置案例

配置源地址转换

案例描述：

公司内部局域网需要通过应用设备访问外部网络。内网地址为192.168.0.0/24 网段，公网地址为 202.118.3.1

案例组网图：

配置步骤：

1. 进入对象->地址对象->地址节点，创建 IPv4 类型的地址对象“inside-net”。

2. 进入网络>NAT>NAT 地址池，创建地址池“pub-pool”。

点击提交。

3. 进入网络>NAT>NAT 规则>源地址转换，点击新建。

4．点击提交。

配置目的地址转换

案例描述：

内网有一台服务器对外提供服务，服务器的内网地址为 172.16.10.254，映射的外网地址为 192.168.10.169。

案例组网图：

配置步骤：

1. 进入对象->地址对象->地址节点，创建 IPv4 类型的地址对象“outside”。

2. 进入网络>NAT>NAT 地址池，创建地址池“dnat-pool”。

3. 进入网络>NAT>NAT 规则>目的地址转换，点击新建。

4. 点击提交。

配置双向地址转换

案例描述：

内网有一台服务器对外提供服务，服务器的内网地址为 172.16.10.254，映射的外网地址为 192.168.10.169。内网用户 172.16.10.252 和外网用户192.168.10.165 要同时访问该服务器。

案例组网图：

配置步骤：

1. 进入对象->地址对象->地址节点，创建 IPv4 类型的地址对象“outside”。

2. 进入网络>NAT>NAT 地址池，创建地址池“dnat-pool”。

3. 进入网络>NAT>NAT 规则>目的地址转换，点击新建。

4. 点击提交。

配置静态地址转换

案例描述：

内网有一台服务器对外提供服务，服务器的内网地址为 192.168.0.3，映射的公网地址为 202.118.3.1。

案例组网图：

配置步骤：

1. 进入网络配>NAT>NAT 规则>静态地址转换，点击新建。

2. 点击提交，显示如下界面。

 常见故障分析

 连接时通时断