所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

SD-WAN V100R018C00 配置指南

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置NAT策略(Underlay网络)

配置NAT策略(Underlay网络)

背景信息

在Underlay页签下配置NAT策略,主要有下面几种使用场景:
  1. 外网访问内网服务器:LAN侧部署了对外的服务器,比如FTP服务器,Underlay出口将服务器的内网地址转换为公网地址,提供服务。Internet上的流量主动访问内网服务器时,将公网地址转换为服务器实际的私网地址。
  2. 与传统站点互访:SD-WAN站点与传统站点存在地址重复的情况,需要SD-WAN站点上配置静态NAT,传统站点也配置静态NAT,在不更改LAN侧终端地址的情况下实现SD-WAN站点和传统站点的互通。
    说明:

    如果访问流量是单向的,那么在被访问方配置静态NAT即可。比如,传统站点需要访问SD-WAN站点,而SD-WAN站点不需要访问传统站点,那么在SD-WAN站点上配置静态NAT即可,传统站点不需要配置。

前提条件

  1. 已经添加站点。具体操作请参见离线创建站点(Underlay网络)
  2. 站点已经激活。具体操作请参见离线配置站点接入网络的方式(Underlay网络)离线配置站点时钟同步(Underlay网络)

数据准备

表6-102 动态NAT策略信息

参数

数据

策略名称

NAT1

设备

Hub1_1

接口名称

GE0/0/2

NAT模式

No-PAT

IP地址组

起始IP地址

10.1.1.1

结束IP地址

10.1.1.100

匹配规则

优先级

10

动作

允许

协议

TCP

源IP/掩码

-

目的IP/掩码

-

源端口

-

目的端口

-

表6-103 静态NAT策略信息

参数

数据

策略名称

NAT2

设备

Hub1_1

接口名称

GE0/0/2

外部IP

使用当前接口IP

内部IP

192.168.1.1

转换类型

协议转换

协议类型

TCP

外部端口

8080

内部端口

80

方向

双向

操作步骤

  1. 在主菜单中依次选择配置 > 流量策略
  2. “Underlay”网络界面中,选择需要配置的站点所属的“VPN”
  3. 单击“NAT”页签,配置NAT策略。
  4. 在站点区域,选择待配置NAT策略的站点。
  5. 配置动态NAT策略。

    1. 单击“新建”,创建策略。
    2. 填写动态NAT策略的信息,主要包括绑定的接口,NAT模式,外部IP地址段以及匹配规则。

    3. 单击确定,完成配置。

  6. 配置静态NAT策略。

    1. 单击“新建”,创建策略。
    2. 填写静态NAT策略的信息,主要包括绑定的接口,内外部IP地址等。

    3. 单击确定,完成配置。

表6-104 NAT策略

参数名称

说明

动态NAT

策略名称

动态NAT策略的名称。

设备

部署动态NAT策略的CPE设备的名称。

接口名称

使能动态NAT策略的接口。

  • Overlay NAT策略,可选接口为Overlay Tunnel或者LAN侧接口。如果选择Overlay Tunnel口,表示在所有的Tunnel口上做NAT转换。
  • Underlay NAT策略,可选接口为Underlay网络的WAN侧接口。

NAT模式

  • Easy IP:使用接口的地址作为NAT转换后的地址。
    说明:

    同一接口下,Easy IP类型的动态NAT只能配置一条,如果站点上网的配置中,已经使能了NAT,则NAT策略中不可以再配置Easy IP类型动态NAT,因为站点上网中的NAT默认为Easy IP类型。

  • PAT:支持端口转换,地址转换为多对一。
  • No-PAT:不支持端口转换,进行一对一的地址转换。

IP地址组

起始IP地址

NAT转换后的IP地址的范围,一般为公网IP。仅当NAT模式选择PAT或者No-PAT时,才可配置。配置时有以下约束:

  • 结束IP地址必须大于起始IP地址。
  • 地址范围不能超过255。
  • 同一接口下,不同NAT策略的IP地址段不能重叠。

结束IP地址

匹配规则

匹配规则

一个ACL访问控制列表,用户可定义多条ACL规则。匹配ACL的数据报文,CPE将对报文的源IP源端口进行NAT转换。

说明:

如果两个NAT策略,配置了相同的ACL规则和不同的IP地址组,先配置的NAT策略生效。

优先级

ACL规则的优先级。报文优先匹配级别高的规则,执行高优先级规则定义的动作。

动作

  • 允许:表示匹配该ACL规则的报文可以通过。
  • 拒绝:表示匹配该ACL规则的报文不可以通过。

协议

ACL规则匹配报文的协议类型。

源IP/掩码

ACL规则匹配报文的源IP地址。

目的IP/掩码

ACL规则匹配报文的目的IP地址。

源端口

ACL规则匹配报文的源端口。仅当协议选择为TCP或者UDP时,才可配置。

目的端口

ACL规则匹配报文的目的IP端口。仅当协议选择为TCP或者UDP时,才可配置。

静态NAT

策略名称

静态NAT策略的名称。

设备

部署静态NAT策略的CPE设备的名称。

接口名称

使能静态NAT策略的接口。

  • Overlay NAT策略,可选接口为Overlay Tunnel或者LAN侧接口。如果选择Overlay Tunnel口,表示在所有的Tunnel口上做NAT转换。
  • Underlay NAT策略,可选接口为Underlay网络的WAN侧接口。

外部IP

NAT转换后的IP地址,一般是公网IP。

  • 使用当前接口IP:使用接口IP地址作为外部IP。
  • 用户自定义:使用配置的IP地址作为外部IP。

内部IP

NAT转换前的IP地址,一般是私网IP。

转换类型

  • 地址转换:对所有源IP地址为内部IP的报文,进行NAT转换。
  • 协议转换:根据报文的协议类型做NAT转换。

协议类型

仅当转换类型为协议转换时,才可配置。

  • TCP:对所有源IP地址为内部IP、源端口为内部端口、且协议类型为TCP的报文做NAT转换。内部IP转换为外部IP,内部端口转换为外部端口。
  • UDP:对所有源IP地址为内部IP、源端口为内部端口、且协议类型为UDP的报文做NAT转换。内部IP转换为外部IP,内部端口转换为外部端口。
  • ICMP:对所有源IP地址为内部IP且协议类型为ICMP的报文做NAT转换。内部IP转换为外部IP。

外部端口

NAT转换后的端口号。仅当转换类型为协议转换且协议类型为TCP或者UDP,才可配置。

内部端口

NAT转换前的端口号。仅当转换类型为协议转换且协议类型为TCP或者UDP,才可配置。

高级设置

方向

缺省为“双向”,用户也可根据NAT转换的场景指定为“外部访问内部”或者“内部访问外部”。比如,某站点LAN侧部署了对外FTP服务器,外部Internet主动访问内网服务器,则用户也可设置为“外部访问内部”

匹配规则

如果用户需要限制做静态NAT转换的报文的范围,比如目的端口为指定端口的TCP报文才做NAT转换,那么可以在通过配置ACL规则来实现。

具体各字段含义可参考动态NAT的匹配规则。

翻译
下载文档
更新时间:2019-03-04

文档编号:EDOC1100019695

浏览量:22910

下载量:371

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页