7 第七章 网络地址转换(NAT) v5.0c1.pdf

安全网关通过创建并执行 NAT 规则来实现NAT 功能。NAT 规则有两类，分别为源NAT 规则（SNAT Rule） 和目的NAT 规则（DNAT Rule）。SNAT 转换源IP 地址，从而隐藏内部IP 地址或者分享有限的IP 地址； DNAT 转换目的IP 地址，通常是将受安全网关保护的内部服务器（如WWW 服务器或者SMTP 服务器）的IP 地址转换成公网IP 地址。 NAT 有以下优点： ♦ 通过使用少量的公有 IP 地址代表多数的私有IP 地址，缓解了可用IP 地址空间枯竭的速度。 ♦ NAT 可以隐藏私有网络，达到保护私有网络的目的。 StoneOS 支持三种转换模式：static、dynamicip 和dynamicport。具体描述见下：： Static：静态源NAT 转换即一对一的转换。该模式要求被转换到的地址条目（trans-to-address）包含的 IP 地址数与流量的源地址的地址条目（src-address）包含的IP 地址数相同。 Dynamicip：动态源NAT 转换即多对多的转换。该模式将源地址转换到指定的IP 地址。每一个源地址会被 映射到一个唯一的IP 地址做转换，直到指定地址全部被占用。 Dynamicport：即PAT。多个源地址将被转换成指定IP 地址条目中的一个地址。如果不使用sticky，地址条 目中的第一个地址将会首先被使用，当第一个地址的端口资源被用尽，第二个地址将会被使用。如果使用 了sticky，每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址。 DNAT （目的NAT规则） 转换目的IP 地址，通常是将受安全网关保护的内部服务器（如WWW 服务器或者SMTP 服务器）的IP地址转 换成公网IP 地址，通常用于通过IP映射或端口映射对外发布服务器。 DNAT有端口映射和IP映射两种模式： 端口映射：该模式为一对多的映射，将公网某一IP的不同端口，映射到内网不同IP的不同端口，解决公网 IP有限时多个服务器需对外发布的需求。 IP映射：该模式为一对一的映射，端口一一对应不做转换，通常用于公网IP足够时服务器的对外发布 。 如果需要做双向的IP映射，比如把内网邮件服务器映射到公网上，需要分别添加SNAT和DNAT规则。 通过动态端口方式可以实现内网多个IP通过一个或少量几个公网IP地址NAT上网，所以通常上网SNAT采用 动态端口方式。 NAT 规则基于VRouter 创建并生效。用户可以在VRouter 配置模式下，创建SNAT/DNAT规则、修改 SNAT/DNAT 规则排列以及删除SNAT/DNAT 规则等。 进入VRouter 配置模式，在全局配置模式下使用以下命令： ip vrouter vrouter-name ♦ vrouter-name – 指定VRouter 的名称。 为缺省VR 即trust-vr 配置NAT，也可以使用NAT 模式（在全局配置模式下，使用nat 命令进入NAT 配置模 式）。 如需以端口映射方式发布服务器，需要选择被访问的相应服务，并指定映射到IP的某端口。 如以IP映射方式发布服务器，服务处保持默认配置“Any”即可。 NAT 规则基于VRouter 创建并生效。用户可以在VRouter 配置模式下，创建SNAT/DNAT规则、修改 SNAT/DNAT 规则排列以及删除SNAT/DNAT 规则等。 进入VRouter 配置模式，在全局配置模式下使用以下命令： ip vrouter vrouter-name ♦ vrouter-name – 指定VRouter 的名称。 为缺省VR 即trust-vr 配置NAT，也可以使用NAT 模式（在全局配置模式下，使用nat 命令进入NAT 配置模 式）。 目的NAT做好后，还需要创建相应的访问策略，才可以实现到发布服务器的访问。 策略目的地址需指定服务器所映射的虚地址，通常是公网IP地址。 NAT444主要是被已经拥有大量IPv4地址的运营商用来延缓向IPv6过渡的手段。拥有大量IPv4地址的运营商 一般都是国家级、区域性大型固网宽带运营商，他们的用户上网直接分配到的就是公网IPv4地址。但随着 用户数量的不断增加以及WLAN 网络的建设，这些运营商手里的IPv4地址开始不足，而向IPv6过渡又需要较 大的投资成本，因此他们开始选择使用NAT方案，给用户分配私网IP地址来提供互联网接入服务，这样的 方案被称为NAT444。我司目前提供的NAT444功能是面向中国电信定制的功能，支持外网地址固定端口块 向内网地址的静态映射，以及基于用户生成日志和基于session生成日志。