NAT/NAPT 概述

时间：2021-07-20作者：上海腾希电气技术有限公司浏览：324

NAT/NAPT 概述



要求

安全模块处于路由模式，或 DMZ 接口已激活（仅适用于 SCALANCE S623/S627-2M）。

由于会为 NAT/NAPT 规则自动生成防火墙规则来启用在组态的地址转换方向上的通信，因此必须为安全模块启用高级防火墙模式和 IP 规则编辑器中的防火墙。有关详细信息，请参见NAT/NAPT 路由器与防火墙之间的关系部分。

如何访问该功能

选择要编辑的模块。

在本地安全设置中，选择“NAT/NAPT”条目。

使用“打开编辑器”(Open editor) 按钮调用相应的编辑器。

需要时，根据 NAT（Network Address Translation，网络地址转换）或 NAPT（Network Address Port Translation，网络地址端口转换）组态地址转换。

使用 NAT（网络地址转换）进行地址转换

NAT 是一种在两个地址空间内转换地址的程序。
主要任务是将私有地址转换为公共地址；换句话说，转换为在 Internet 上使用甚至路由的 IP 地址。这样，内部网络的 IP 地址便不会被外部网络的外部得知。内部节点仅通过地址转换列表（NAT 表）中*的外部 IP 地址对外部网络可见。如果外部 IP 地址不是安全模块的地址并且内部 IP 地址是一的，这称为 1:1 NAT。利用 1:1 NAT，内部地址转换为该外部地址时*端口转换。否则，会使用 n:1 NAT。

使用 NAPT（网络地址端口转换）进行地址转换

使用 NAPT 进行地址转换会将目标地址和目标端口更改为通信关系（端口转发）。

会转换来自外部网络或 DMZ 网络并将用于安全模块 IP 地址的帧。如果帧的目标端口与“源端口”(Source port) 列中*的其中一个值相同，则安全模块会替换 NAPT 表的相应行中*的目标 IP 地址和目标端口。回复时，安全模块将初始帧中包含的目标 IP 地址和目标端口的值用作源 IP 地址和源端口。

与 NAT 的区别是，此协议可以同时转换端口。不存在 1:1 的 IP 地址转换。此时，只有一个公共 IP 地址转换为一系列私有 IP 地址外加端口号。

* 隧道中的地址转换

对通过 * 隧道建立的通信关系，可使用 NAT/NAPT 进行地址转换。SCALANCE S612/S623/S627-2M V4 型的连接伙伴支持该地址转换。

有关在 * 隧道中进行地址转换的详细信息，请参见以下部分：

NAT/NAPT 路由

在 * 隧道中使用 NAT/NAPT 进行地址转换

一致性检查 - 必须遵守这些规则

此外，请记住以下规则，以获得一致的条目：

内部接口的 IP 地址不得在 NAT/NAPT 表中使用。

NAT/NAPT 地址转换列表中使用的 IP 地址不能是组播地址或广播地址。

为 NAPT 转换分配的外部端口的范围在 0 到 65535 之间（含 65535）。

端口 123 (NTP)、端口 443 (HTTPS)、端口 514 (Syslog)、端口 161 (SNMP)、端口 67+68 (DHCP) 和端口 500+4500 (IPsec) 在安全模块上已激活相关服务时除外。

安全模块的外部 IP 地址或 DMZ 接口的 IP 地址只能在操作“源 NAT”的 NAT 表中使用。

检查 NAT 表中的重复项

在“目标 NAT”、“源 NAT + 目标 NAT”或“双 NAT”方向上使用的外部 IP 地址或 DMZ 网络中的 IP 地址只能在各个*的方向上使用一次。

检查 NAPT 表中的重复项：每个接口只能输入一次源端口号。

内部 NAPT 端口的范围可在 0 到 65535 之间（含 65535）。





上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• CP 标识

  CP 标识参考使用“TeleControl Basic”协议的 CP。“CP 标识”(CP identification) 参数组整个 STEP 7 项目改为同一个项目编号如果在“CP 标识”(CP identification) 参数组中更改了 CP 的项目编号，则整个 STEP 7 项目中使用“TeleControl Basic”协议的所有 CP 的此参数都将更改。TCSB 从 1...200

• S7-1200 MC_MoveAbsolute

  MC_MoveAbsolute指令名称：**位置指令功能：使轴以某一速度进行**位置定位。使用技巧：在使能**位置指令之前，轴必须回原点。因此MC_MoveAbsolute指令之前必须有MC_Home指令。『注意』部分输入/输出管脚没有具体介绍，请用户参考MC_Power指令中的说明。指令输入端：①Position：**目标位置值。②Velocity：**运动的速度。

• S7-1500案例分享

  前几天处理一个问题，用户反应下雨造成工厂停电，S7-1500 CPU 断电后再也不能启动了？遇到这样的问题**反映就是下雨断电肯定是打雷了，没有做防雷保护影响到PLC系统了，CPU再也启动不起来肯定烧坏了，这样分析问题就简单了。测试后，CPU居然可以启动，是不是断电时间长，电容放电后就可以了，或许是参数设置错误？带着这个疑问查看了CPU的属性配置，配置图如下：在启动项可以看到启动设置为“断开电源之

• 组态文件

  组态文件组态文件的结构下表列出了组态文件的结构： Example AuthorThis Add-In does X, Y, and Z.