网络地址转换 (NAT) > 使用静态 NAT 配置 NAT 回环 > NAT 回环和 1-to-1 NAT

NAT 回环和 1-to-1 NAT

NAT 回环允许可信任网络或可选网络上的用户使用其公用 IP 地址或域名连接到与其位于同一物理 XTM 设备接口上的公用服务器。 如果使用 1-to-1 NAT 将流量路由到内部网络上的服务器,请按照以下说明来配置从内部用户到此类服务器的 NAT 回环。 如果您不使用 1-to-1 NAT,请参阅使用静态 NAT 配置 NAT 回环

为帮助您理解在使用 1-to-1 NAT 时如何配置 NAT 回环,请参阅以下示例:

ABC 公司有一台 HTTP 服务器,位于 XTM 设备的可信任接口上。 该公司使用 1-to-1 NAT 规则将公用 IP 地址映射到该内部服务器。 该公司想要允许该可信任接口上的用户使用公用 IP 地址或域名访问这台公用服务器。

对于这个示例,我们假设:

在 NAT 配置页面的 1-to-1 NAT 部分中,选择以下选项:

接口 — 外部,NAT 基址 — 203.0.113.5,真实基址 — 10.0.1.5

在这个示例中,要为所有连接到该可信任接口的用户启用 NAT 回环,必须:

  1. 确保当内部计算机使用 NAT 回环连接访问公用 IP 地址 203.0.113.5 时,流量使用的每个接口都有一个 1-to-1 NAT 条目。

您必须再添加一个 1-to-1 NAT 映射,以便应用到从该可信任接口开始的流量。 除接口被设置为可信任而非外部外,这个新的 1:1 映射与之前的映射相同。

添加第二个 1-to-1 NAT 条目后,NAT页面上的 1-to-1 NAT 部分将显示两个 1-to-1 NAT 映射:一个用于外部,一个用于可信任。

接口 — 外部,NAT 基址 — 203.0.113.5,真实基址 — 10.0.1.5
接口 — 可信任,NAT 基址 — 203.0.113.5,真实基址 — 10.0.1.5

  1. 为服务器连接的接口上的每个网络上添加一个动态 NAT 条目。

该动态 NAT 条目的字段是网络的 IP 地址,计算机就由此网络使用 NAT 回环访问 1-to-1 NAT IP 地址。

该动态 NAT 条目的字段是 1-to-1 NAT 映射中的 NAT 基址地址。

在本示例中,可信任接口已定义了两个网络,而我们想要允许这两个网络上的用户使用该服务器的公用 IP 地址或主机名访问 HTTP 服务器。 此时必须添加两个动态 NAT 条目。

在 NAT 配置页面的动态 NAT 部分中,添加:

10.0.1.0/24 - 203.0.113.5
192.168.2.0/24 - 203.0.113.5

  1. 添加一项策略,以允许可信任网络上的用户使用公用 IP 地址或域名访问可信任网络上的公用服务器。 在本示例中:

任意可信任

203.0.113.5

用户想要连接到的公用 IP 地址为 203.0.113.5。 此 IP 地址配置为外部接口上的次 IP 地址。

有关配置静态 NAT 的详细信息,请参阅配置 静态 NAT

有关如何配置 1-to-1 NAT 的详细信息,请参阅配置防火墙 1-to-1 NAT

提供反馈  •   获得支持  •   全部产品文件  •   知识库