网络地址转换 (NAT) > 关于 1-to-1 NAT > 配置防火墙 1-to-1 NAT

配置防火墙 1-to-1 NAT

  1. 选择网络 > NAT
    将显示 NAT 设置页面。
  1. 1-to-1 NAT 部分中单击添加。 
    将显示 1-to-1 NAT 配置页面
  1. 映射类型下拉列表中,选择单个 IP(映射一台主机)、IP 范围(映射一个主机范围)或 IP 子网(映射一个子网)。
    如果选择 IP 范围IP 子网,则指定的子网或范围中包含的 IP 地址不得超过 256 个。 如果要对超过 256 个 IP 地址应用 1-to-1 NAT,则必须创建多条规则。
  1. 填写配置部分中的所有字段。

有关如何使用这些字段的详细信息,请参阅后续的定义 1-to-1 NAT 规则 部分。

  1. 单击保存
  1. 向相应的策略添加 NAT IP 地址。

在前面的示例中,我们按照关于 1-to-1 NAT 中所述用 1-to-1 NAT 向一组电子邮件服务器提供访问权,因此必须配置 SMTP 策略以允许 SMTP 流量。 要完成此配置,您必须更改策略设置,以允许从外部网络到 IP 地址范围 10.1.1.1–10.1.1.5 的流量。

  1. 创建新策略,或修改现有策略。
  2. 列表旁边,单击添加
  3. 选择别名任意外部并单击确定
  4. 列表旁边,单击添加
  5. 要一次添加一个 IP 地址,请从下拉列表中选择主机 IP,并在旁边的文本框中输入该 IP 地址。 单击确定
  6. 对 NAT 地址范围中的每个 IP 地址重复步骤 3-4。
    要一次添加几个 IP 地址,请从下拉列表中选择主机范围 。 输入 NAT 基址范围中的第一个和最后一个 IP 地址,然后单击确定

要连接到使用 1-to-1 NAT 的其他接口上的计算机,必须使用该计算机的公用(NAT 基址)IP 地址。 如果出现问题,可禁用 1-to-1 NAT 并使用静态 NAT。

定义 1-to-1 NAT 规则 

对于每条 1-to-1 NAT 规则,都可以配置一台主机、一系列主机或一个子网。 此外,还必须配置以下项:

接口

应用 1-to-1 NAT 规则的以太网接口的名称。 XTM 设备对发送至该接口以及从该接口传出的数据包应用 1-to-1 NAT。 在上述示例中,规则应用到外部接口。

NAT 基址

配置 1-to-1 NAT 规则时,应利用 IP 地址范围配置规则。 NAT 基址是 地址范围内的第一个可用 IP 地址。 NAT 基址 IP 地址是在应用 1-to-1 NAT 后真实基址 IP 地址更改后的地址。 不能使用现有以太网接口的 IP 地址作为 NAT 基址。 在上述示例中,NAT 基址为 203.0.113.11。

真实基址

配置 1-to-1 NAT 规则时,应利用 IP 地址范围配置规则。 真实基址是 地址范围内的第一个可用 IP 地址。 该 IP 地址分配给将要应用 1-to-1 NAT 策略的计算机物理以太网接口。 使用真实基址的计算机中的数据包通过指定接口时,将应用 1:1 操作。 在上述示例中,真实基址为 10.0.1.11。

应用 NAT 规则的主机数(仅适用于范围)

应用 1-to-1 NAT 规则的范围内的 IP 地址数目。 应用 1-to-1 NAT 规则时,会将第一个真实基址 IP 地址转换为第一个 NAT 基址 IP 地址。 应用 1-to-1 NAT 规则时,会将第二个真实基址 IP 地址转换为第二个 NAT 基址 IP 地址。 此转换操作将重复执行,直到达到应用 NAT 规则的主机数 为止。 在上述示例中,应用 NAT 规则的主机数为 5。

当必须在使用同一专用网络地址的两个网络之间创建 VPN 隧道时,也可使用 1-to-1 NAT。 创建 VPN 隧道时,VPN 隧道两端的网络必须具有不同的网络地址范围。 如果远程网络上的网络范围与本地网络上的网络范围相同,则可将两个网关都配置为使用 1-to-1 NAT。 然后便可创建 VPN 隧道且不必更改隧道每端的 IP 地址。 配置 VPN 隧道并且不在网络 > NAT 对话框中时,即为 VPN 隧道配置了 1-to-1 NAT。

有关如何使用 1-to-1 NAT 的示例,请参阅 1-to-1 NAT 示例

请参阅

关于 1-to-1 NAT

配置基于策略的 1-to-1 NAT

提供反馈  •   获得支持  •   全部产品文件  •   知识库