配置网络地址转换(NAT)

最近更新时间:2020-08-28 10:30:16

您可为网关类型为 NAT 型的专线网关配置 IP 转换和配置 IP 端口转换,具体可参考如下操作:

配置 IP 转换

配置本端 IP 转换

规则限制

  • 原 IP 必须在私有网络 CIDR 范围内。
  • 映射 IP 不可以在专线网关所在私有网络 CIDR 范围内。
  • 原 IP 唯一不可以重复,即私有网络内1个 IP 只能唯一映射为1个 IP。
  • 映射 IP 唯一不可以重复,即不支持多个私有网络 IP 映射为同1个 IP。
  • 原目的 IP 不支持广播地址(255.255.255.255)、D 类地址(224.0.0.0 - 239.255.255.255)、E 类地址(240.0.0.0 - 255.255.255.254)。
  • 专线网关的本端 IP 转换最大支持100个 IP 映射,每个 IP 映射最大支持20条 ACL 规则(如需提升配额,请提交 工单申请)。

操作步骤

  1. 登录 私有网络控制台
  2. 在左侧导航栏中,单击【专线网关】,进入管理页面。
  3. 单击网关类型为 NAT 型专线网关 ID,进入详情页。
  4. 在专线网关详情页中,选择【本端 IP 转换】选项卡,进行本端 IP 转换配置。
  5. 在 IP 映射页左上角,单击【新增】,新增本端 IP 映射。
  6. 在弹框中,输入原 IP、映射 IP 及备注,单击【确定】即可。
  7. (可选)新增本端 IP 映射时,默认添加了允许所有进出流量通过的 ACL 规则,即本端 IP 转换对所有专用通道生效,您可以编辑本端 IP 转换的 ACL 规则,以改变本端 IP 转换的适用范围。
    说明:

    • 当专线网关同时配置对端 IP 转换时,本端 IP 转换 ACL 规则的目的 IP 需要填写对端 IP 转换的映射 IP ,而不是原 IP。
    • 本端 IP 转换 ACL 规则支持配置协议(支持 TCP 或 UDP)、源端口、目的 IP、目的端口,其中,端口、IP 不填代表 ALL;当协议选择 ALL 时,端口和 IP 默认均选择 ALL。
    1. 在 IP 映射页中,单击 IP 映射所在行右侧的【编辑 ACL 规则】,进入 ACL 规则编辑状态。
    2. 在已有的 ACL 规则底部,单击【新增一行】,完成 ACL 规则的新增后,单击【保存】即可。
    3. (可选)在 ACL 规则编辑状态下,您可对已有的 ACL 规则进行修改或删除,完成操作后,单击【保存】即可。
    4. (可选)您也可在 IP 映射页中,直接单击展开 IP 映射规则,单击规则所在行右侧的【修改】或【删除】,操作完成后,确认操作即可。
  8. (可选)如果您需修改本端 IP 映射,可在 IP 映射页中,单击 IP 映射所在行右侧的【修改 IP 映射】,即可修改本端 IP 映射的原 IP、映射 IP 和备注,单击【确定】后,IP 映射生效。
  9. (可选)如果您需删除本端 IP 映射,可在 IP 映射页中,单击 IP 映射所在行右侧的【删除】,并确认操作即可,IP 映射删除后将联动删除该 IP 映射下的 ACL 规则。

配置对端 IP 转换

规则限制

  • 映射 IP 不可以在专线网关所在私有网络 CIDR 范围内。
  • 原 IP 唯一不可以重复,即专线对端1个 IP 只能唯一映射为1个 IP。
  • 映射 IP 唯一不可以重复,即不支持多个专线对端 IP 映射为同1个 IP。
  • 原目的 IP 不支持广播地址(255.255.255.255)、D 类地址(224.0.0.0 - 239.255.255.255)、E 类地址(240.0.0.0 - 255.255.255.254)。
  • 专线网关的对端 IP 转换最大支持100个 IP 映射(如需提升配额,请提交 工单申请)。

操作步骤

  1. 登录 私有网络控制台
  2. 在左侧导航栏中,单击【专线网关】,进入管理页面。
  3. 单击网关类型为 NAT 型专线网关 ID,进入详情页。
  4. 在专线网关详情页中,选择【对端 IP 转换】选项卡,进行对端 IP 转换配置。
  5. 在 IP 映射页左上角,单击【新增】,新增对端 IP 映射。
  6. 在弹框中,输入原 IP、映射 IP 及备注,单击【确定】即可。
  7. (可选)如果您需修改对端 IP 映射,可在 IP 映射页中,单击 IP 映射所在行右侧的【修改 IP 映射】,即可修改对端 IP 映射的原 IP、映射 IP 和备注,单击【确定】后,对端 IP 映射生效。
  8. (可选)如果您需删除对端 IP 映射,可在 IP 映射页中,单击 IP 映射所在行右侧的【删除】,并确认操作即可。

配置 IP 端口转换

配置本端源 IP 端口转换

说明:

当本端 IP 转换和本端源 IP 端口转换冲突时,优先匹配本端 IP 转换。

规则限制

  • 映射 IP 池不可以在专线网关所在私有网络的 CIDR 范围内。
  • 多个映射 IP 池的 ACL 规则不可以重叠,否则会导致网络地址转换冲突。
  • 多个映射 IP 池之间 IP 不可以重叠。
  • 映射 IP 池仅支持单 IP 或连续 IP,且连续 IP 的 /24 网段需保持一致,即支持“192.168.0.1 - 192.168.0.6”,不支持“192.168.0.1 - 192.168.1.2”。
  • 映射 IP 池不支持广播地址(255.255.255.255)、D 类地址(224.0.0.0 - 239.255.255.255)、E 类地址(240.0.0.0 - 255.255.255.254)。
  • 本端源 IP 端口转换最大支持100个映射 IP 池,每个映射 IP 池支持最大20条 ACL 规则(如需提升配额,请提交 工单申请)。

操作步骤

  1. 登录 私有网络控制台
  2. 在左侧导航栏中,单击【专线网关】,进入管理页面。
  3. 单击网关类型为 NAT 型专线网关 ID,进入详情页。
  4. 在专线网关详情页中,选择【本端源 IP 端口转换】选项卡,进行本端源 IP 端口转换配置。
  5. 在映射 IP 池页左上角,单击【新增】,新增映射 IP 池。
  6. 在弹框中,输入映射 IP 池(支持 IP 或 IP 段,IP 段格式为 “A - B”)和备注,单击【确定】即可。
  7. 新增映射 IP 池的 ACL 规则为拒绝所有进出流量通过,需要额外编辑 ACL 规则才可以实现网络转换。
    说明:

    • 当专线网关同时配置对端 IP 转换时,本端源 IP 端口转换 ACL 规则的目的 IP 需要填写对端 IP 转换的映射 IP,而不是原 IP。
    • 本端源 IP 端口转换 ACL 规则支持配置协议(支持 TCP 或 UDP)、源 IP、源端口、目的 IP、目的端口。
    1. 在映射 IP 池页中,单击映射 IP 池所在行右侧的【编辑 ACL 规则】,进入 ACL 规则编辑状态。
    2. 在已有 ACL 规则底部,单击【新增一行】,完成 ACL 规则的新增后,单击【保存】即可。
    3. (可选)在 ACL 规则编辑状态下,您可对已有的 ACL 规则进行修改或删除,完成操作后,单击【保存】即可。
    4. (可选)您也可在映射 IP 池页中,单击展开映射 IP 池规则,单击规则所在行右侧的【修改】或【删除】,操作完成后,确认操作即可。
  8. (可选)如果您需修改映射 IP 池,可在映射 IP 池页中,单击映射 IP 池所在行右侧的【修改映射 IP 池】,即可修改该映射 IP 池的 IP 和备注。
  9. (可选)如果您需删除映射 IP 池,可在映射 IP 池页中,单击映射 IP 池所在行右侧的【删除】并确认操作,即可删除该映射 IP 池,映射 IP 池删除后,将自动删除映射 IP 池关联的 ACL 规则。

配置本端目的 IP 端口转换

规则限制

  • 原 IP 必须在专线网关所在私有网络 CIDR 范围之内。
  • 原 IP 端口唯一,即私有网络内同一 IP 端口只能唯一映射为一个 IP 端口。
  • 映射 IP 端口不可以在私有网络 CIDR 范围之内。
  • 映射 IP 端口不可以重复,即不存在一个 IP 端口映射多个私有网络 IP 端口。
  • 原 IP 和映射 IP 不支持广播地址(255.255.255.255)、D 类地址(224.0.0.0 - 239.255.255.255)、E 类地址(240.0.0.0 - 255.255.255.254)。
  • 本端目的 IP 端口转换最大支持100个 IP 端口映射(如需提升配额,请提交 工单申请)。

操作步骤

  1. 登录 私有网络控制台
  2. 在左侧导航栏中,单击【专线网关】,进入管理页面。
  3. 单击网关类型为 NAT 型专线网关 ID,进入详情页。
  4. 在专线网关详情页,选择【本端目的 IP 端口转换】选项卡,进行本端目的 IP 端口转换配置。
  5. 在 IP 端口映射页左上角,单击【新增】,新增本端目的 IP 端口映射。
  6. 在弹框中,选择协议,输入原 IP 端口、映射后 IP 端口及备注,单击【确定】即可。
  7. (可选)如果您需修改本端目的 IP 端口映射,可在 IP 端口映射页中,单击 IP 端口映射所在行右侧的【修改 IP 端口映射】,即可修改该 IP 端口映射的映射关系及备注。
  8. (可选)如果您需删除本端目的 IP 端口映射,可在 IP 端口映射页中,单击 IP 端口映射所在行右侧的【删除】并确认操作,即可删除该映射。

配置示例

配置本端 IP 转换示例

若私有网络内的 IP A 192.168.0.3 作为原 IP,通过本端 IP 转换,映射为 IP B 10.100.0.3,则:

  • IP A 对专线对端的主动访问网络包原 IP 将自动修改为 10.100.0.3
  • 所有专线对端访问的 10.100.0.3 的网络包将自动指向 IP A 192.168.0.3

配置对端 IP 转换示例

专线对端 IP D 10.0.0.3 作为原 IP,通过对端 IP 转换,映射为 IP C 172.16.0.3,则:

  • IP D 10.0.0.3主动访问私有网络的网络包原 IP ,并自动修改为 IP C 172.16.0.3
  • 所有私有网络访问 IP C 172.16.0.3的网络包,将自动指向专线对端 IP D 10.0.0.3

配置本端源 IP 端口转换示例

私有网络 C 网段为 172.16.0.0/16, 通过专线连接第三方银行 A 和 B,其中银行 A 对端网段为10.0.0.0/28,要求对接网段为 192.168.0.0/28;银行 B 对端网段为 10.1.0.0/28,要求对接网段为192.168.1.0/28。则可以按照下面配置 A、B 两条本端源 IP 端口转换:

配置 本端源 IP 端口转换 A 本端源 IP 端口转换 B
映射 IP 池 192.168.0.1 - 192.168.0.15 192.168.1.1 - 192.168.1.15
ACL 规则 协议 ALL ALL
源 IP 172.16.0.0/16 172.16.0.0/16
源端口
目的 IP 10.0.0.0/28 10.1.0.0/28
目的端口
完成配置后,私有网络 C 内主动访问银行 A、B 的网络请求,会根据对应的 ACL 规则分别转换为对应映射 IP 池的随机端口,访问对应的专用通道。

配置本端目的 IP 端口转换示例

私有网络 C 的网段为 172.16.0.0/16,仅希望开放部分端口给专线对端主动访问,则可以按照下面方案配置 A、B 两条本端目的 IP 端口映射:

  • 本端目的 IP 端口映射 A:原 IP 端口 172.16.0.1:80,映射后 IP 端口 10.0.0.1:80
  • 本端目的 IP 端口映射 B:原 IP 端口 172.16.0.0:8080,映射后 IP 端口 10.0.0.1:8080

完成配置后,专线对端可以主动访问 10.0.0.1:8010.0.0.1:8080 端口,实现对私有网络 C 内172.16.0.1:80172.16.0.0:8080 两个端口的主动访问。

目录