英菲克i9重置:H3C F100系列防火墙NAT的配置

H3C F100系列防火墙NAT的配置2009-06-07 18:55:51
标签：　　　[推送到技术圈]
NAT 的配置
nat 配置包括：
配置地址池
配置easy ip
配置静态地址转换
配置多对多地址转换
配置napt
配置内部服务器
配置地址转换有效时间（选配）
4.3.1 配置地址池
地址池是一些连续的ip 地址集合，当内部数据包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址。
请在系统视图下进行下列配置。

当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。
如果防火墙仅提供easy ip 功能，则不需要配置nat 地址池，直接使用接口地址作为转换后的ip 地址。
4.3.2 配置地址转换
将访问控制列表和地址池关联（或接口地址）后，即可实现地址转换。这种关联指定了“具有某些特征的ip 报文”才可以使用“这样的地址池中的地址（或接口地址）”。当内部网络有数据包要发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池（或接口地址）进行转换。
访问控制列表的配置请参见第3 章访问控制列表配置。
不同形式的地址转换，配置方法稍有不同。
1. easy ip
如果地址转换命令不带address-group 参数，即仅使用nat outbound acl-number命令，则实现了easy-ip 的特性。地址转换时，直接使用接口的ip 地址作为转换后的地址，利用访问控制列表控制哪些地址可以进行地址转换。
请在接口视图下进行下列配置。

2. 使用指定loopback 接口进行地址转换
请在接口视图下进行下列配置。

匹配访问控制列表的数据报文的源地址将转换为指定的loopback 接口的ip 地址。
3. 配置静态地址转换表
(1) 配置一对一静态地址转换表
请在系统视图下进行下列配置。

(2) 配置静态网段地址转换表
使用静态网段地址转换时，只进行网段地址的转换，而保持主机地址不变。
请在系统视图下进行下列配置。

nat static inside 和nat static 会分别创建两种不同的nat 静态表项，在具体的配置中，两种nat 静态表项不存在冲突即可。
在配置静态网段地址转换时，应该确保转换后的地址不会被网络拓扑中的其他设备使用。
(3) 使静态转换表项在接口上生效
请在接口视图下进行下列配置。

4. 配置多对多地址转换
将访问控制列表和地址池关联后，即可实现多对多地址转换。
请在接口视图下进行下列配置。

5. 配置napt
将访问控制列表和nat 地址池关联时，如果选择no-pat 参数，则表示只转换数据包的ip 地址而不使用端口信息，即不使用napt 功能；如果不选择no-pat 参数，则启用napt 功能。缺省情况是启用。
请在接口视图下进行下列配置。

6. 配置双向地址转换
请在系统视图下进行下面配置。

7. 配置nat 多实例
无论easy ip、多对多地址转换，还是napt，都可以支持nat 多实例的配置。只要在访问控制列表的规则rule 中配置vpn-instance vpn-instance-name，指明那些mpls vpn 用户需要进行地址转换，即可以实现对mpls vpn 的支持。
4.3.3 配置内部服务器
通过配置内部服务器，可将相应的外部地址、端口等映射到内部的服务器上，提供了外部网络可访问内部服务器的功能。内部服务器与外部网络的映射表是由nat server 命令配置的。
用户需要提供的信息包括：外部地址、外部端口、内部服务器地址、内部服务器端口以及服务协议类型。
防火墙支持使用接口地址作为nat server 的公网地址。当路由器的公网接口通过拨号或dhcp 方式获取公网地址时，其nat server 的公网地址可以动态更新，方便用户配置。
当内部服务器位于mpls vpn 时，还应指定所属的vpn-instance-name。如果不设置该值，表示内部服务器属于一个普通的私网，不属于某一个mpls vpn。
请在接口视图下进行下列配置。

global-port 和inside-port 只要有一个定义了any，则另一个要么不定义，要么是any。
如果global-port 和inside-port 都为0、any 或未配置的话，则内网服务器可以通过该配置访问公网，但发起访问的协议必须与配置的协议相同。
acl-number 指定的访问控制列表只对内部到外部的报文生效，即控制其是否进行地址转换处理，对外部到内部的报文不生效。
当使用端口范围配置ftp 服务器的nat server 时，内部端口号不能配置为20和21；当不使用端口范围配置ftp 服务器的nat server 时，内部端口号不能配置为20。
由于tftp 协议的特殊性，当配置tftp 服务器的nat server 时，还应对内部的tftp 服务器配置相应的nat outbound 命令。
4.3.4 配置地址转换应用层网关
请在系统视图下进行下面配置

缺省情况下，使能地址转换应用层网关功能。
4.3.5 配置内部主机通过域名区分并访问其对应的内部服务器
当内部网络无dns 服务器，但存在类型不同的多台内部服务器（如ftp、www等），且内部主机希望通过不同域名区分并访问其对应的内部服务器时，请在系统视图下进行下面配置。

系统最多允许配置16 条映射。
4.3.6 配置地址转换有效时间
由于地址转换所使用的hash 表不能永久存在，该命令支持用户可为tcp、udp、icmp 协议分别设置hash 表有效的时间，若在设定的时间内未使用该hash 表，将失效。举例来说，某个ip 地址为10.110.10.10 的用户利用端口2000 进行了一次对外tcp 连接，地址转换为它分配了相应的地址和端口，但是若在一定时间内他一直未使用这个tcp 连接，系统将把这个连接删除。
请在系统视图下进行下列配置。

参数default 表示采用系统缺省的地址转换有效时间。
缺省情况下，dns 协议地址转换有效时间为60 秒，ftp 协议控制链路地址转换有效时间为7200 秒，ftp 协议数据链路地址转换有效时间为300 秒，pptp 协议地址转换有效时间为86400 秒，tcp 地址转换有效时间为86400 秒，tcp 协议fin、rst 或syn 连接地址转换有效时间为60 秒，udp 地址转换有效时间为300 秒，icmp 地址转换有效时间为60 秒。alg 的默认老化时间和对应的应用有关，同时为防止攻击，首包老化时间设置为5 秒。
4.3.7 配置nat 限制最大tcp 连接数
1. 使能连接数限制功能
请在系统视图下进行下列配置。

缺省情况下，关闭连接数限制功能。
2. 设置缺省的连接数限制行为
当系统在未查找到连接数限制策略时，可以设置缺省行为，即是否进行连接数限制。
请在系统视图下进行下列配置。

缺省情况下，未查找到连接数限制策略时不对连接数进行限制。
3. 设置连接数限制的缺省阈值
请在系统视图下进行下列配置。

缺省情况下，上限为50，下限为20。
4. 创建连接数限制策略
请在系统视图下进行下列配置。

缺省情况下，未创建连接数限制策略。
5. 定义连接数限制策略的规则
请在连接数限制策略视图下进行下列配置。

缺省情况下，未定义连接数限制策略的规则。
通过定义连接限制策略规则的acl，不但可以限制tcp 连接数量，也可以限制非tcp 流量（如：udp、icmp）。如果只对tcp 连接进行限制，需要在acl中明确指定。
在实际应用中，需要合理设置tcp 连接的上限值和下限值，否则会影响正常业务。
6. 绑定连接数限制策略
配置完连接数限制策略后，需将其与nat 功能绑定才能生效。
请在系统视图下进行下列配置。

缺省情况下，未绑定连接数限制策略。