web界面NAT策略配置位置
策略--》NAT动态转换--》策略配置
如图所示,有两种NAT的配置方式,一种是基于对象组,另一种是传统的ACL,其实两者并没有什么十分大的区别,对象组是人为的预先定义地址组,然后在配置NAT策略的时候通过调用地址组来完成的,这种方式对于那种简单的网络,临时的策略来说有点麻烦,但是如果是需要配置很多的NAT策略,那么这种方式还是不错的,相较于ACL方式就比较适合临时的策略创建。
web方式--基于对象组的NAT策略创建
如图所示,基于对象组的方式需要注意的地方就是对象组,对象组其实就是预先创建的组,这些组内部的成员有很多个种类:
如图所示,对象组的成员可以是IP,端口,或者是服务,这些对象组在很多的配置试图下都可以调用。
主要作用就是让管理员不用每次配置的时候都去重新写这些内容。
注意:基于对象组的NAT一定要配置出接口,否则将不生效,在CLI方式下没有提示你一定要配置出接口,所以要注意
CLI方式--基于对象组的NAT策略创建
1、对象组的创建
object-group ip address xxx
network [ group-object | host | range | subnet ]
2、创建NAT地址池
nat address-group 1 name xxx //创建NAT地址池
address 起始地址 终止地址
port-range 起始端口 终止端口
3、nat策略的创建
nat policy
rule name xxx
source-ip 对象组名称
destnation-ip 对象组名称
service xxx
outbound-interface xxx
action [ addresss-group | easy-ip | no-pat ]
注意:基于对象组的NAT一定要配置出接口,否则将不生效,在CLI方式下没有提示你一定要配置出接口,所以要注意
web方式--基于ACL的NAT策略创建
这种方式和传统的ACl地址转换类似,就不做过多介绍
CLI方式--基于ACL的NAT策略创建
1、ACL创建
这个很简单,就不多说了
2、NAT策略创建
这个和华为的差不多,直接在接口上输入:
nat outbound acl编号 address-group nat地址池编号 其他设置
nat outbound acl编号
其他设置如下图所示:
counting:表示对匹配该nat策略的报文进行统计
description:描述
disable:禁用
no-pat:不使用端口复用
port-preserved:对进行端口复用的端口进行保留
priority:设置该acl的优先级
rule:设置该nat策略的名称
VPN-instance:vpn实例