目的NAT配置要点

配置NAT策略设备的NAT转换通过NAT策略下的NAT规则实现。创建NAT规则指定需要转换的数据流及转换动作。

如果同时配置多条NAT规则，设备会在NAT规则列表中从上到下依次进行匹配。如果流量匹配了某个NAT规则，将不再继续匹配。因此配置时要注意配置顺序。

创建NAT规则并配置匹配条件。

操作

命令

说明

进入NAT策略视图并创建NAT规则

nat-policy

rule name rule-name

-

配置NAT规则的匹配条件：地址

配置需匹配流量的源IP地址。

source-address { address-set address-set-name &<1-6> | ipv4-address { ipv4-mask-length | mask mask-address | wildcard } [ description description ] [ description description ] | range { ipv4-start-address ipv4-end-address } [ description description ] | mac-address &<1-6> | any }

在进行转换的地址范围内排除部分地址。

source-address-exclude { address-set address-set-name &<1-6> | ipv4-address { ipv4-mask-length | mask mask-address | wildcard } | range { ipv4-start-address ipv4-end-address } } [ description description ]

配置需匹配流量的目的地址。

destination-address { address-set address-set-name &<1-6> | ipv4-address { ipv4-mask-length | mask mask-address | wildcard } [ description description ] [ description description ] | range { ipv4-start-address ipv4-end-address } [ description description ] | mac-address &<1-6> | domain-set domain-set &<1-6> | any }

在进行转换的地址范围内排除部分地址。

destination-address-exclude { address-set address-set-name &<1-6> | ipv4-address { ipv4-mask-length | mask mask-address | wildcard } | range { ipv4-start-address ipv4-end-address } } [ description description ]

基于目的地址的匹配条件为必配，基于其他类型地址的匹配条件为选配。

例如：目的地址为10.1.1.0/24网段的用户需要进行NAT转换

[sysname] nat-policy

[sysname-policy-nat] rule name policy1

[sysname-policy-nat-rule-policy1] destination-address 10.1.1.0 24

配置NAT规则的匹配条件：安全区域

配置流量的源安全区域，通常为外部网络所在安全区域。

source-zone { zone-name &<1-6> | any }

配置目的NAT策略时，仅支持配置源安全区域，不支持配置目的安全区域。

配置NAT规则的匹配条件：服务

引用已存在的服务集。

service { service-name &<1-6> | any }

service-exclude service-name &<1-6>

直接配置服务（直接引用TCP/UDP/SCTP端口或IP层协议）

service protocol { { 17 | udp } | { 6 | tcp } | { 132 | sctp } } [ source-port { source-port | start-source-port to end-source-port } &<1-64> | destination-port { destination-port | start-destination-port to end-destination-port } &<1-64> ] *

service protocol { 1 | icmp } [ icmp-type { icmp-name | icmp-type-number { icmp-code-number [ to icmp-code-number ] } &<1-64> } ]

service protocol { 58 | icmpv6 } [ icmpv6-type { icmpv6-name | icmpv6-type-number { icmpv6-code-number [ to icmpv6-code-number ] } &<1-64> } ]

service protocol protocol-number

service-exclude protocol { { 17 | udp } | { 6 | tcp } | { 132 | sctp } } [ source-port { source-port | start-source-port to end-source-port } &<1-64> | destination-port { destination-port | start-destination-port to end-destination-port } &<1-64> ] *

service-exclude protocol { 1 | icmp } [ icmp-type { icmp-name | icmp-type-number { icmp-code-number [ to icmp-code-number ] } &<1-64> } ]

service-exclude protocol { 58 | icmpv6 } [ icmpv6-type { icmpv6-name | icmpv6-type-number { icmpv6-code-number [ to icmpv6-code-number ] } &<1-64> } ]

service-exclude protocol protocol-number

设备支持两种指定服务的方式：

通过service命令引用预定义或自定义服务。针对自定义服务，必须提前配置好自定义服务再引用。通过service protocol命令可以直接在NAT规则下配置服务的端口、协议号等。但是这种方式配置的服务不能被其他策略重用。

例如：需要指定源端口TCP 123～128作为匹配条件。

第一种配置方式：

[sysname] ip service-set set1 type object

[sysname-object-service-set-set1] service protocol tcp source-port 123 to 128

[sysname-object-service-set-set1] quit

[sysname] nat-policy

[sysname-policy-nat] rule name policy1

[sysname-policy-nat-rule-policy1] service set1

第二种配置方式：

[sysname] nat-policy

[sysname-policy-nat] rule name policy1

[sysname-policy-nat-rule-policy1] service protocol tcp source-port 123 to 128

配置NAT规则的动作。

action destination-nat