山石网科防火墙如何配置源NAT？

1. 需求分析

本文档主要介绍基于如下网络拓扑环境，如何配置源NAT（SNAT）。

2. 组网拓扑

3. 需求说明

防火墙位于网络出口，上连运营商，运营商提供的可用公网IP是10.88.16.210，现用户群需通过防火墙实现上网。

4. 配置说明

网络接口、路由、策略等配置已完成，本文档主要介绍源NAT（SNAT）配置。

【WebUI】

点击“策略 >NAT >源NAT”，点击“新建”按钮，打开<源NAT配置>页面。

【CLI】

NAT规则基于VRouter创建并生效。用户可以在VRouter配置模式下创建SNAT规则：

SG-6000# configure
SG-6000(config)# ip vrouter trust-vr
SG-6000(config-vrouter)# snatrule from 10.10.10.0/24 to any eif ethernet0/1 trans-to eif-ip mode dynamicport

5. 注意事项

1. 用户可以根据实际需求，将内网用户上网流量转换成指定IP或者某些IP；
2. SNAT规则通常配合路由、安全策略实现用户的基础上网需求，路由及安全策略配置方式请参考以下知识库配置案例：《山石网科防火墙如何配置目的路由？》《山石网科防火墙如何配置安全策略？》
3. SNAT转换方式介绍如下：

• • 静态（Static）：静态源NAT转换即一对一的转换。该模式要求被转换到的地址条目包含的IP地址数与流量的源地址的地址条目包含的IP地址数相同 。
  • 动态（Dynamic IP）：选中该单选按钮使用动态转换模式。动态源NAT转换即多对一的转换。该模式将源地址转换到指定的IP地址。每一个源地址会被映射到一个唯一的IP地址做转换，直到指定地址全部被占用。
  • 动态端口（Dynamic Port）：该模式即为PAT。多个源地址将被转换成指定IP地址条目中的一个地址。如果不启用Sticky功能，地址条目中的第一个地址将会首先被使用，当第一个地址的端口资源被用尽，第二个地址将会被使用。如果启用了Sticky功能，每一个源IP产生的所有会话将被映射到同一个固定的IP地址。