双向 NAT 功能提供了什么?
171824
Created On 09/25/18 19:21 PM - Last Modified 06/16/23 20:18 PM
Resolution
在 GUI 中, 在 "策略" nat 下, 创建静态 IP 源 NAT 转换时有一个双向的复选框。
详细
在此示例中, 双向 NAT 将用于从源区域中的服务器 "内部" 到外部目标区域的连接, 并使用专用地址 "A_private" 和公共地址 "A_public"。用户出站通信将从私有向公共进行源代码转换。来自外部的流量, 以及来自任何其他区域或地址的 A_public, 都将对 A_private 进行目的地翻译。下面的示例显示规则:
注意:使用双向选项, 防火墙仍会创建两个规则, 即源 nat 和目标 nat, 这将计数到设备的最大 NAT 规则数. 使用双向选项创建的两条规则将说明如下:
- 源 NAT
- 原始数据包:
- 源区域内, 目标区域外, 源地址 A_private, 目标地址任意。
- 翻译数据包:
- 源翻译静态 IP, 翻译地址 A_public。
- 原始数据包:
- 目标 NAT
- 原始数据包:
- 源区域任何 (内部和外部或任何其他区域), 目标区域外部, 源地址任何, 目标地址 A_public,
- 翻译数据包:
- 目的地翻译, 翻译地址 A_private。
- 原始数据包:
对于双向 NAT 转换, 请打开 nat 策略规则并转到 "已翻译的数据包" 选项卡。在 "源地址转换" 下, 选择用于翻译类型的静态 IP。对于双向选项, 请根据所需配置选择 "是" 或 "否":
如果使用双向选项, 则给定规则将被扩展为两个规则, 如上文所述:
- 原始源代码转换规则
- 目标翻译规则
- 目标 NAT 规则将具有上面示例中的以下结果:
- 原始数据包:
- 任何到目标区域以外的源区域。
- 源地址任何到目标地址 A_public;从原始规则翻译的目标地址
- 翻译数据包:
- 目的地地址 A_private;从原始规则源地址。
- 原始数据包:
注意:在双向规则中创建的目标 NAT 规则, 原始数据包中的源区域和源地址将是任意的. 如果将规则设置为双向的静态源 NAT, 则会中断某些通信。要对源和目标 NAT 规则进行粒状控制, 请分别创建它们。如果双向 NAT 在给定配置中不工作, 则可能需要这样做。
所有者︰ panagent