f1000-ai-25

参考配置指导

配置出方向一对一静态地址转换

1. 功能简介

出方向一对一静态地址转换通常应用在外网侧接口上，用于实现一个内部私有网络地址到一个外部公有网络地址的转换，具体过程如下：

·     对于经过该接口发送的内网访问外网的报文，将其源IP地址与指定的内网IP地址local-ip进行匹配，并将匹配的源IP地址转换为global-ip。

·     对于该接口接收到的外网访问内网的报文，将其目的IP地址与指定的外网IP地址global-ip进行匹配，并将匹配的目的IP地址转换为local-ip。

2. 配置限制和指导

多个出方向一对一静态地址转换引用不同的ACL规则时，可以将同一个私网地址转换为不同的公网地址。

出方向一对一静态地址转换的配置中不引用ACL规则时，该静态地址转换允许反方向发起的连接进行地址转换。否则，必须指定reversible参数才允许反向地址转换。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置出方向一对一静态地址转换映射。

nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]

(3)     （可选）调整出方向一对一静态NAT规则的匹配优先级。

nat static outbound rule move nat-rule-name1 { after | before } nat-rule-name2

(4)     进入接口视图。

interface interface-type interface-number

(5)     开启接口上的NAT静态地址转换功能。

nat static enable

缺省情况下，NAT静态地址转换功能处于关闭状态。

3.3.4  配置出方向网段对网段静态地址转换

1. 功能简介

出方向网段对网段静态地址转换通常应用在外网侧接口上，用于实现一个内部私有网络到一个外部公有网络的地址转换，具体过程如下：

·     对于经过该接口发送的内网访问外网的报文，将其源IP地址与指定的内网网络地址进行匹配，并将匹配的源IP地址转换为指定外网网络地址之一。

·     对于该接口接收到的外网访问内网的报文，将其目的IP地址与指定的外网网络地址进行匹配，并将匹配的目的IP地址转换为指定的内网网络地址之一。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置出方向网段对网段静态地址转换映射。

nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ]

(3)     （可选）调整出方向网段对网段静态NAT规则的匹配优先级。

nat static outbound net-to-net rule move nat-rule-name1 { after | before } nat-rule-name2

缺省情况下，出方向网段对网段静态NAT规则的位置决定了匹配的优先级，位置越靠前的NAT规则，其匹配优先级越高。

(4)     进入接口视图。

interface interface-type interface-number

(5)     开启接口上的NAT静态地址转换功能。

nat static enable

缺省情况下，NAT静态地址转换功能处于关闭状态。