NAT策略模板
使用此模板将NAT地图规则添加到支持的所有设备网络地址解读。
什么时候到达
两种用例说明了对NAT的需求:
入站纳特。从云门户检索子网信息时,设备会自动创建源NAT(网络地址翻译)映射。这样可以确保注定要到SaaS服务器的流量有通往该电池的返回路径。
出口纳特。设备和服务器在云中,服务器访问Internet。如下示例中,Citrix薄客户端访问其基于云的服务器,并且服务器访问Internet。
对于云中的部署,最好的做法是纳入所有流量- 取决于启动请求的方向。这避免了特定于云的IP地址要求可能导致的黑色孔。
启用全部将NAT策略应用于通过流量和优化的流量,以确保不会发生黑色刺激。全部在出口上,仅应用通行流量。
如果倒退已启用,当当前NAT IP上的端口用尽时,设备将移至下一个IP(如果有)。
通常,在应用NAT策略时,请配置单独的WAN和LAN接口,以确保NAT正常工作。您可以通过在路由器模式下用两个(或四个)接口的路由器模式部署设备来做到这一点。
高级设置
设备可以执行源网络地址翻译(源NAT或SNAT)在入站或出站流量上。
NAT政策有两种类型:
动态的- 当系统自动为入站NAT创建SaaS优化启用功能,并选择SaaS服务以进行优化。设备调查了SaaS服务目录的云情报服务,并为与选定的SaaS服务相关的每个子网创建NAT策略,以确保这些SaaS服务使用的服务器注定要使用这些SaaS服务中的服务器。设备。
手动的- 由管理员为特定的IP地址 /范围或子网创建。在NAT地图中为单个策略分配优先级时,首先要动态政策为了确保手动编号方案不会干扰动态策略编号(也就是说,手动分配的优先级不能在范围内:4000-5000)。默认(禁止)策略编号为65535。
NAT政策图具有以下标准,设定动作:
匹配标准
这些在所有政策图中都是普遍的 -路线,,,,QoS,,,,优化,,,,纳特(网络地址翻译)和安全。
如果您期望在不同地图中使用相同的匹配标准,则可以创建一个ACL(访问控制列表),这是一组可重复使用的规则集。为了效率,将它们创建配置>模板和策略> ACL>访问列表,并将它们跨电器应用。
可用参数是应用,,,,地址图(用于按国家进行排序,IP地址所有者或SaaS申请),领域,,,,地理位置,,,,界面,,,,协议,,,,DSCP,,,,IP/子网,,,,港口, 和交通行为。
要指定入站和出站流量的不同标准,请选择资料来源:DEST复选框。
源或目的地
IP地址可以指定子网;例如,10.10.10.0/24(IPv4)或FE80 :: 204:23FF:FED8:4BA2/64(IPv6)。
允许任何IP地址,使用0.0.0.0/0(IPv4)或::/0(IPv6)。
端口仅适用于协议TCP,,,,UDP, 和TCP/UDP。
允许任何端口, 利用0。
基于通配符的前缀匹配
当使用范围或通配符时,必须以4 octet格式指定IPv4地址,并由点表示法隔开。例如,A B C D。
使用仪表板指定范围。例如,128-129。
通配符指定为星号(*)。
范围和通配符都可以在同一地址中使用,但是八位位置只能包含一个或另一个。例如,10.136-137。*。64-95。
通配符只能用来定义整个八位位。例如,10.13*。*。64-95不支持。指定此范围的正确方法是10.130-139。*。64-94。
相同的规则适用于IPv6地址。
CIDR表示法和(范围或通配符)在同一地址中相互排斥。例如,使用任何一个192.168.0.0/24或者192.168.0.1-127。
这些前缀匹配规则仅适用于以下策略:路由器,QoS,优化,NAT,安全性和ACL。
设定动作
NAT类型
| 选项 | 描述 |
|---|---|
| 禁止 | 是个默认。没有更改IP地址。 |
| 源纳特 | 是个默认。没有更改IP地址。 |
NAT方向
| 选项 | 描述 |
|---|---|
| 入站 | NAT在LAN接口上。 |
| 出站 | NAT在WAN接口上。 |
| 没有任何 | 唯一的选项是NAT类型是禁止。 |
NAT IP
| 选项 | 描述 |
|---|---|
| 汽车 | 选择是否要NAT全部交通。然后,该设备选择第一个可用的NAT IP/端口。 |
| 隧道 | 选择是否要NAT隧道仅流量。仅适用于入站NAT,因为出站不支持隧道流量的NAT。 |
| [IP地址] | 选择是否要在地址翻译过程中使用此IP地址。 |
为了倒退,如果IP地址已满,则设备使用下一个可用的IP地址。
当您选择特定的IP时,请确保将路由安置在NAT-TED返回流量中。
合并 /替换
在页面顶部,选择
合并要使用模板中的值,但请按原样保留任何值(制作模板和设备规则的混合),
-或者-
代替(建议)用模板中的所有值替换所有值。