SANGFOR_AF_6.8_源地址转换配置指导

SANGFOR_AF_6.8_源地址转换配置指导
深信服科技有限公司
文档编号审核
修订记录
版本时间修订内容
1.02016年7月
目录
1介绍 (3)
1.1文档说明 (3)
1.2读者对象 (3)
1.3缩写和约定 (3)
1.4使用反馈 (3)
2功能简介 (4)
3应用场景 (4)
4必要条件说明 (4)
5配置思路 (4)
6配置方式及截图 (4)
6.1确认需求 (5)
6.2源地址转换配置方法及验证方法 (5)
7注意事项 (8)
1介绍
1.1文档说明
本文档深信服公司及其许可者版权所有，并保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式出版传播。

由于产品版本升级或其他原因，本手册内容有可能变更。

深信服保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，深信服尽全力在本手册中提供准确的信息，但是并不确保手册内容完全没有错误。

1.2读者对象
本配置指导文档主要适用于如下工程师：
✓网络或应用管理人员
✓现场技术支持与维护人员
✓负责网络配置和维护的网络管理员
1.3缩写和约定
本文中AF均指代SANGFOR NGAF设备或服务。

1.4使用反馈
如果您在使用过程中发现本资料的任何问题，欢迎及时反馈给我们，可以通过反馈到深信服技术社区：
感谢您的支持与反馈，我们将会做的更好！
2功能简介
NAT是作为一种解决IPv4地址短缺以避免保留IP地址困难的方案而流行起来的。

3应用场景
测试地址转换的拓扑图，如下图：
使用地址转换的应用场景：
外网公网地址不够，但是内网多台PC需要上网。

4必要条件说明
1.NGAF设备一台，要求有一个外网接口并且接上有公网地址，保证AF本身能上网。

2.在配置IPv4地址转换的情况下，内网接PC电脑或者服务器必须有一个路由口。

5配置思路
源地址转换：内网用户访问公网服务器。

6配置方式及截图
6.1确认需求
首先了解内网需求在【防火墙】模块里面选择对应的地址转换功能，如下图：
6.2源地址转换配置方法及验证方法
1.选择【源地址转换】源区域为内网区域，源IP组为内网需要上网的ip地址或者选择全部;目的区
域为外网区域，源地址转换的地址为出接口地址，具体配置如下图：
源区域：需要访问公网服务器的用户所在的区域。

源ip组：需要访问公网服务器的用户的ip地址或者ip地址段。

目的ip组：要访问的公网服务器ip组，一般都配置成全部，除非客户有特殊需求可以手动指定。

源地址转换地址：指定内网用户需要转换成哪个出口ip，一般选择全部。

2.配置完成之后，可以使用【系统维护】—>【抓包取证】进行抓包验证，源地址转换是否成功，
具体配置如下图：
3.选择一台内网PC机ping域名，然后看PC解析出来的ip地址，按照下面的例
子填好抓包的ip地址，如下图：
网口：eth1口为内网接口。

ip地址：为PC的IP地址，可以理解成请求的源ip，端口不填代表所有端口。

过滤表达式：host113.105.88.148为的服务器IP地址。

4.测试PC机ping完之后，在抓包验证选择停止抓包，然后下载数据包检查数据包内容，如下图：
此处抓包是验证内网PC的数据包能不能到达AF的内网接口，数据包名字是以时间+接口（eth1）来命名的，从数据包中可以看到数据包是有交互的。

5.同理外网接口除了IP地址那一栏留空，因为源地址转换之后源ip地址已经不是测试pc的，如下
图：
抓包结果如下：
从抓取的数据包来看源ip地址已经替换成AF的wan口ip地址，说明源地址转换成功了。

7注意事项
1.保证AF能上网，同时应用控制策略需要放通。

2.内网PC要能正常访问防火墙的内网接口。