H3C SecPath M9000作為H3C Comware V7產(chǎn)品平臺的安全旗艦產(chǎn)品，在對于NAT的支持上，除了Comware V5平臺所支持的出方向靜態(tài)地址轉換、出方向動(dòng)態(tài)地址轉換以及內部服務(wù)器映射以外，還另外支持了入方向靜態(tài)地址轉換和入方向動(dòng)態(tài)地址轉換，本文主要介紹這兩種NAT新特性。

一、 入方向地址轉換

1. 入方向靜態(tài)地址轉換

M9000上入方向靜態(tài)地址轉換一般下發(fā)在接外網(wǎng)接口上，主要為了完成以下兩個(gè)需求

• 對于經(jīng)過(guò)靜態(tài)映射所應用接口發(fā)送出去的報文，將其目的IP地址與指定的local-ip進(jìn)行匹配，并將匹配的目的IP地址轉換為global-ip。
• 對于經(jīng)過(guò)靜態(tài)映射所應用接口接收到的報文，將其源IP地址與指定的global-ip進(jìn)行匹配，并將匹配的源IP地址轉換為local-ip。

2. 入方向動(dòng)態(tài)地址轉換

入方向動(dòng)態(tài)地址轉換功能通常與接口上的出方向動(dòng)態(tài)地址轉換、內部服務(wù)器或出方向靜態(tài)地址轉換配合，用于實(shí)現雙向NAT的需求，不建議單獨使用。

入接口動(dòng)態(tài)地址轉換的具體過(guò)程如下：

• 對于該接口接收到的數據流首報文，將與指定的ACL permit規則匹配的報文的源IP地址轉換為地址組中的地址。
• 如果NAT的配置中指定了no-pat reversible參數，并且設備上已經(jīng)存在NO-PAT表項，對于經(jīng)過(guò)該接口發(fā)送的數據流首報文，將其目的IP地址與NO-PAT表項進(jìn)行匹配，并將目的IP地址轉換為匹配的NO-PAT表項中記錄的外網(wǎng)地址，否則對于經(jīng)過(guò)該接口發(fā)送的數據流首報文不做處理。

需要注意的是，該方式下的地址轉換不支持Easy IP功能。

二、 入方向地址轉換典型配置舉例

1. 組網(wǎng)需求

• 某公司總部使用的IP地址網(wǎng)段為192.168.1.0/24。
• 該公司總部針對分支提供Web服務(wù)，Web服務(wù)器地址為192.168.1.2/24。
• 該公司總部有一臺DNS服務(wù)器，IP地址為192.168.1.3/24，用于解析Web服務(wù)器的域名。
• 該公司擁總部有三個(gè)外網(wǎng)IP地址：202.38.1.2、202.38.1.3和202.38.1.4。

分支局點(diǎn)主機可以通過(guò)專(zhuān)線(xiàn)連接到總部，但是使用私網(wǎng)地址同總部地址存在重疊，需要實(shí)現，分支可以通過(guò)域名訪(fǎng)問(wèn)與其地址重疊的總部Web服務(wù)器。

2. 組網(wǎng)圖

圖1 分支用戶(hù)通過(guò)域名訪(fǎng)問(wèn)總部服務(wù)器

3. 配置思路

這是一個(gè)典型的雙向NAT應用，具體配置思路如下。

• 分支主機通過(guò)域名訪(fǎng)問(wèn)Web服務(wù)器，首先需要訪(fǎng)問(wèn)總部的DNS服務(wù)器獲取Web服務(wù)器的IP地址，因此需要通過(guò)配置NAT將內部服務(wù)器將DNS服務(wù)器的內網(wǎng)IP地址和DNS服務(wù)端口映射為一個(gè)外網(wǎng)地址和端口。
• DNS服務(wù)器回應給分支主機的DNS報文載荷中攜帶了Web服務(wù)器的總部?jì)染W(wǎng)IP地址，該地址與分支主機地址重疊，因此在出方向上需要為內網(wǎng)Web服務(wù)器動(dòng)態(tài)分配一個(gè)NAT地址，并將載荷中的地址轉換為該地址。NAT地址分配可以通過(guò)出方向動(dòng)態(tài)地址轉換功能實(shí)現，轉換載荷信息可以通過(guò)DNS ALG功能實(shí)現。
• 分支主機得到總部Web服務(wù)器的IP地址之后（該地址為NAT后地址），使用該地址訪(fǎng)問(wèn)內網(wǎng)Web服務(wù)器，因為分支主機的地址與總部Web服務(wù)器的實(shí)際地址重疊，因此在入方向上也需要為外網(wǎng)主機動(dòng)態(tài)分配一個(gè)NAT地址，可以通過(guò)入方向動(dòng)態(tài)地址轉換實(shí)現。
• NAT設備上沒(méi)有目的地址為分支主機對應的NAT后地址的路由，因此需要手工添加靜態(tài)路由，使得目的地址為分支主機NAT后地址的報文的出接口為GigabitEthernet1/0/2。

4. 配置步驟

# 按照組網(wǎng)圖配置各接口的IP地址。

# 開(kāi)啟DNS協(xié)議的ALG功能。

[M9000] nat alg dns

# 配置ACL 2000，允許對總部網(wǎng)絡(luò )中192.168.1.0/24網(wǎng)段的報文進(jìn)行地址轉換。

[M9000] acl number 2000

[M9000-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

# 創(chuàng )建地址組1。

[M9000] nat address-group 1

# 添加地址組成員202.38.1.2。

[M9000-address-group-1] address 202.38.1.2 202.38.1.2

# 創(chuàng )建地址組2。

[M9000] nat address-group 2

# 添加地址組成員202.38.1.3。

[M9000-address-group-2] address 202.38.1.3 202.38.1.3

# 在接口GigabitEthernet1/0/2上配置NAT內部服務(wù)器，允許分支主機使用地址202.38.1.4訪(fǎng)問(wèn)總部DNS服務(wù)器。

[M9000] interface gigabitethernet 1/0/2

[M9000-GigabitEthernet1/0/2] nat server protocol udp global 202.38.1.4 inside 192.168.1.3 dns

# 在接口GigabitEthernet1/0/2上配置出方向動(dòng)態(tài)地址轉換，允許使用地址組1中的地址對DNS應答報文載荷中的內網(wǎng)地址進(jìn)行轉換，并在轉換過(guò)程中不使用端口信息，以及允許反向地址轉換，以使分支主機訪(fǎng)問(wèn)NAT之后的總部WEB服務(wù)器地址時(shí)可以匹配已建立的地址轉換關(guān)系將目的地址轉換為WEB服務(wù)器真實(shí)地址。

[M9000-GigabitEthernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible

# 在接口GigabitEthernet1/0/2上配置入方向動(dòng)態(tài)地址轉換，允許使用地址組2中的地址對外網(wǎng)訪(fǎng)問(wèn)內網(wǎng)的報文進(jìn)行源地址轉換，并在轉換過(guò)程中使用端口信息。

[M9000-GigabitEthernet1/0/2] nat inbound 2000 address-group 2

# 配置到達202.38.1.3地址的靜態(tài)路由，出接口為GigabitEthernet1/0/2，下一跳地址為20.2.2.2（20.2.2.2為本例中的直連下一跳地址，實(shí)際使用中請以具體組網(wǎng)情況為準）。

完成上述配置后，可使用display nat session verbose命令查看分支用戶(hù)訪(fǎng)問(wèn)總部WEB服務(wù)器的會(huì )話(huà)表項建立情況。