NAT/NAPT 概述

時(shí)間：2021-07-20作者：上海騰希電氣技術(shù)有限公司瀏覽：331

NAT/NAPT 概述



要求

安全模塊處于路由模式，或 DMZ 接口已激活（僅適用于 SCALANCE S623/S627-2M）。

由于會(huì)為 NAT/NAPT 規(guī)則自動(dòng)生成*墻規(guī)則來啟用在組態(tài)的地址轉(zhuǎn)換方向上的通信，因此必須為安全模塊啟用***墻模式和 IP 規(guī)則編輯器中的*墻。有關(guān)詳細(xì)信息，請(qǐng)參見NAT/NAPT 路由器與*墻之間的關(guān)系部分。

如何訪問該功能

選擇要編輯的模塊。

在本地安全設(shè)置中，選擇“NAT/NAPT”條目。

使用“打開編輯器”(Open editor) 按鈕調(diào)用相應(yīng)的編輯器。

需要時(shí)，根據(jù) NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）或 NAPT（Network Address Port Translation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）組態(tài)地址轉(zhuǎn)換。

使用 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）進(jìn)行地址轉(zhuǎn)換

NAT 是一種在兩個(gè)地址空間內(nèi)轉(zhuǎn)換地址的程序。
主要任務(wù)是將私有地址轉(zhuǎn)換為公共地址；換句話說，轉(zhuǎn)換為在 Internet 上使用甚至路由的 IP 地址。這樣，內(nèi)部網(wǎng)絡(luò)的 IP 地址便不會(huì)被外部網(wǎng)絡(luò)的外部得知。內(nèi)部節(jié)點(diǎn)僅通過地址轉(zhuǎn)換列表（NAT 表）中*的外部 IP 地址對(duì)外部網(wǎng)絡(luò)可見。如果外部 IP 地址不是安全模塊的地址并且內(nèi)部 IP 地址是一的，這稱為 1:1 NAT。利用 1:1 NAT，內(nèi)部地址轉(zhuǎn)換為該外部地址時(shí)*端口轉(zhuǎn)換。否則，會(huì)使用 n:1 NAT。

使用 NAPT（網(wǎng)絡(luò)地址端口轉(zhuǎn)換）進(jìn)行地址轉(zhuǎn)換

使用 NAPT 進(jìn)行地址轉(zhuǎn)換會(huì)將目標(biāo)地址和目標(biāo)端口更改為通信關(guān)系（端口轉(zhuǎn)發(fā)）。

會(huì)轉(zhuǎn)換來自外部網(wǎng)絡(luò)或 DMZ 網(wǎng)絡(luò)并將用于安全模塊 IP 地址的幀。如果幀的目標(biāo)端口與“源端口”(Source port) 列中*的其中一個(gè)值相同，則安全模塊會(huì)替換 NAPT 表的相應(yīng)行中*的目標(biāo) IP 地址和目標(biāo)端口。回復(fù)時(shí)，安全模塊將初始幀中包含的目標(biāo) IP 地址和目標(biāo)端口的值用作源 IP 地址和源端口。

與 NAT 的區(qū)別是，此協(xié)議可以同時(shí)轉(zhuǎn)換端口。不存在 1:1 的 IP 地址轉(zhuǎn)換。此時(shí)，只有一個(gè)公共 IP 地址轉(zhuǎn)換為一系列私有 IP 地址外加端口號(hào)。

* 隧道中的地址轉(zhuǎn)換

對(duì)通過 * 隧道建立的通信關(guān)系，可使用 NAT/NAPT 進(jìn)行地址轉(zhuǎn)換。SCALANCE S612/S623/S627-2M V4 型的連接伙伴支持該地址轉(zhuǎn)換。

有關(guān)在 * 隧道中進(jìn)行地址轉(zhuǎn)換的詳細(xì)信息，請(qǐng)參見以下部分：

NAT/NAPT 路由

在 * 隧道中使用 NAT/NAPT 進(jìn)行地址轉(zhuǎn)換

一致性檢查 - 必須遵守這些規(guī)則

此外，請(qǐng)記住以下規(guī)則，以獲得一致的條目：

內(nèi)部接口的 IP 地址不得在 NAT/NAPT 表中使用。

NAT/NAPT 地址轉(zhuǎn)換列表中使用的 IP 地址不能是組播地址或廣播地址。

為 NAPT 轉(zhuǎn)換分配的外部端口的范圍在 0 到 65535 之間（含 65535）。

端口 123 (NTP)、端口 443 (HTTPS)、端口 514 (Syslog)、端口 161 (SNMP)、端口 67+68 (DHCP) 和端口 500+4500 (IPsec) 在安全模塊上已激活相關(guān)服務(wù)時(shí)除外。

安全模塊的外部 IP 地址或 DMZ 接口的 IP 地址只能在操作“源 NAT”的 NAT 表中使用。

檢查 NAT 表中的重復(fù)項(xiàng)

在“目標(biāo) NAT”、“源 NAT + 目標(biāo) NAT”或“雙 NAT”方向上使用的外部 IP 地址或 DMZ 網(wǎng)絡(luò)中的 IP 地址只能在各個(gè)*的方向上使用一次。

檢查 NAPT 表中的重復(fù)項(xiàng)：每個(gè)接口只能輸入一次源端口號(hào)。

內(nèi)部 NAPT 端口的范圍可在 0 到 65535 之間（含 65535）。





上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 冗余VRRPv3 統(tǒng)計(jì)信息

  VRRPv3 統(tǒng)計(jì)信息簡(jiǎn)介此頁面顯示 VRRPv3 協(xié)議以及全部組態(tài)虛擬路由器的統(tǒng)計(jì)信息。提示只有與設(shè)備存在在線連接時(shí)才顯示該頁面。顯示值說明該頁面顯示以下字段：VRID Errors顯示已接收的包含不受支持的 VRID 的 VRRPv3 數(shù)據(jù)包的數(shù)目。Version Errors顯示包含無效版本號(hào)的已接收 VRRPv3 數(shù)據(jù)包的數(shù)目。Checksum Errors顯示包含無效校驗(yàn)和的已接收 VR

• TestCopyMonitor 的操作

  TestCopyMonitor 的操作DB TestCopyData 的操作模式和傳送方向在 DB TestCopyData 的位 0 (OperationMode) 中，已對(duì) FC 的模式進(jìn)行編碼。值 0 ... 3 標(biāo)識(shí)模式：模式 0功能已阻止模式 1幀條目作為 DB TestCopyData 的開始模式 2不斷以循環(huán)緩沖的形式寫入 DB TestCopyData模式 3填充 DB TestC

• S7-1200 PROFINET通信口

  S7-1200 CPU 本體上集成了一個(gè) PROFINET 通信口（CPU 1211C - CPU 1214C）或者兩個(gè) PROFINET 通信口（CPU 1215C - CPU 1217C），支持以太網(wǎng)和基于 TCP/IP 和 UDP 的通信標(biāo)準(zhǔn)。這個(gè) PROFINET 物理接口是支持 10/100Mb/s 的 RJ45 口，支持電纜交叉自適應(yīng)，因此標(biāo)準(zhǔn)的或是交叉的以太網(wǎng)線都可以用于這個(gè)接口。使

• 安全功能用戶管理的特殊功能

  安全功能用戶管理的特殊功能訪問安全功能只有在激活項(xiàng)目保護(hù)且用戶成功登錄后才能訪問安全功能。已登錄用戶還必須擁有必要的工程組態(tài)和運(yùn)行權(quán)限。有關(guān) STEP 7 中用戶管理的基本信息，請(qǐng)參見信息系統(tǒng)的“使用用戶管理”部分。針對(duì)安全模塊的工程組態(tài)權(quán)限這些工程組態(tài)權(quán)限可對(duì)安全模塊進(jìn)行診斷和組態(tài)：安全：具有讀取權(quán)限的安全模塊：顯示安全模塊的全局安全功能及本地安全設(shè)置。安全：具有寫入權(quán)限的安全模塊：組態(tài)安全模塊