H3C SecPath M9000多业务安全网关NAT新特性介绍

H3C SecPath M9000作为H3C Comware V7产品平台的安全旗舰产品，在对于NAT的支持上，除了Comware V5平台所支持的出方向静态地址转换、出方向动态地址转换以及内部服务器映射以外，还另外支持了入方向静态地址转换和入方向动态地址转换，本文主要介绍这两种NAT新特性。

一、 入方向地址转换

1. 入方向静态地址转换

M9000上入方向静态地址转换一般下发在接外网接口上，主要为了完成以下两个需求

• 对于经过静态映射所应用接口发送出去的报文，将其目的IP地址与指定的local-ip进行匹配，并将匹配的目的IP地址转换为global-ip。
• 对于经过静态映射所应用接口接收到的报文，将其源IP地址与指定的global-ip进行匹配，并将匹配的源IP地址转换为local-ip。

2. 入方向动态地址转换

入方向动态地址转换功能通常与接口上的出方向动态地址转换、内部服务器或出方向静态地址转换配合，用于实现双向NAT的需求，不建议单独使用。

入接口动态地址转换的具体过程如下：

• 对于该接口接收到的数据流首报文，将与指定的ACL permit规则匹配的报文的源IP地址转换为地址组中的地址。
• 如果NAT的配置中指定了no-pat reversible参数，并且设备上已经存在NO-PAT表项，对于经过该接口发送的数据流首报文，将其目的IP地址与NO-PAT表项进行匹配，并将目的IP地址转换为匹配的NO-PAT表项中记录的外网地址，否则对于经过该接口发送的数据流首报文不做处理。

需要注意的是，该方式下的地址转换不支持Easy IP功能。

二、 入方向地址转换典型配置举例

1. 组网需求

• 某公司总部使用的IP地址网段为192.168.1.0/24。
• 该公司总部针对分支提供Web服务，Web服务器地址为192.168.1.2/24。
• 该公司总部有一台DNS服务器，IP地址为192.168.1.3/24，用于解析Web服务器的域名。
• 该公司拥总部有三个外网IP地址：202.38.1.2、202.38.1.3和202.38.1.4。

分支局点主机可以通过专线连接到总部，但是使用私网地址同总部地址存在重叠，需要实现，分支可以通过域名访问与其地址重叠的总部Web服务器。

2. 组网图

图1 分支用户通过域名访问总部服务器

3. 配置思路

这是一个典型的双向NAT应用，具体配置思路如下。

• 分支主机通过域名访问Web服务器，首先需要访问总部的DNS服务器获取Web服务器的IP地址，因此需要通过配置NAT将内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。
• DNS服务器回应给分支主机的DNS报文载荷中携带了Web服务器的总部内网IP地址，该地址与分支主机地址重叠，因此在出方向上需要为内网Web服务器动态分配一个NAT地址，并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现，转换载荷信息可以通过DNS ALG功能实现。
• 分支主机得到总部Web服务器的IP地址之后（该地址为NAT后地址），使用该地址访问内网Web服务器，因为分支主机的地址与总部Web服务器的实际地址重叠，因此在入方向上也需要为外网主机动态分配一个NAT地址，可以通过入方向动态地址转换实现。
• NAT设备上没有目的地址为分支主机对应的NAT后地址的路由，因此需要手工添加静态路由，使得目的地址为分支主机NAT后地址的报文的出接口为GigabitEthernet1/0/2。

4. 配置步骤

# 按照组网图配置各接口的IP地址。

# 开启DNS协议的ALG功能。

[M9000] nat alg dns

# 配置ACL 2000，允许对总部网络中192.168.1.0/24网段的报文进行地址转换。

[M9000] acl number 2000

[M9000-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

# 创建地址组1。

[M9000] nat address-group 1

# 添加地址组成员202.38.1.2。

[M9000-address-group-1] address 202.38.1.2 202.38.1.2

# 创建地址组2。

[M9000] nat address-group 2

# 添加地址组成员202.38.1.3。

[M9000-address-group-2] address 202.38.1.3 202.38.1.3

# 在接口GigabitEthernet1/0/2上配置NAT内部服务器，允许分支主机使用地址202.38.1.4访问总部DNS服务器。

[M9000] interface gigabitethernet 1/0/2

[M9000-GigabitEthernet1/0/2] nat server protocol udp global 202.38.1.4 inside 192.168.1.3 dns

# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换，允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址转换，以使分支主机访问NAT之后的总部WEB服务器地址时可以匹配已建立的地址转换关系将目的地址转换为WEB服务器真实地址。

[M9000-GigabitEthernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible

# 在接口GigabitEthernet1/0/2上配置入方向动态地址转换，允许使用地址组2中的地址对外网访问内网的报文进行源地址转换，并在转换过程中使用端口信息。

[M9000-GigabitEthernet1/0/2] nat inbound 2000 address-group 2

# 配置到达202.38.1.3地址的静态路由，出接口为GigabitEthernet1/0/2，下一跳地址为20.2.2.2（20.2.2.2为本例中的直连下一跳地址，实际使用中请以具体组网情况为准）。

完成上述配置后，可使用display nat session verbose命令查看分支用户访问总部WEB服务器的会话表项建立情况。