NAT/NAPT 路由

时间：2021-07-20作者：上海腾希电气技术有限公司浏览：61

NAT/NAPT 路由



使用 NAT 进行地址转换

菜单栏中提供以下控制元素：

操作员控制元素	功能
	启用 NAT 启用 NAT 规则编辑器。如果编辑器已启用，相应的规则可进行组态，并会在加载过程中传送到模块。 由于会为 NAT 规则自动生成 IP 规则来启用在组态的地址转换方向上的通信，因此仅当通过有效 IP 防火墙启用高级防火墙模式时才能启用 NAT 规则编辑器。
	上插规则 将规则插入到所选规则/所选规则集上方。要上插规则集，则必须选中其**行。
	下插规则 将规则插入到所选规则/所选规则集下方。要下插规则集，则必须选中其**行。
	上移 将所选规则/所选规则集上移一行。要移动规则集，则必须选中其**行。
	下移 将所选规则/所选规则集下移一行。要移动规则集，则必须选中其**行。
	展开规则集 展开显示现有规则集。
	折叠规则集 折叠显示现有规则集。
	分离 将所选行转换为单独的一条或多条规则。如果选择的是规则集的**行，则规则集的所有规则都会转换为单独的规则。如果选择的是规则集中包含的一个规则，则该规则会转换为一条单独的规则。除此之外，规则集的以下规则也会转换为一个单独的规则集。

创建 NAT 规则以后，相应的防火墙规则会在高级防火墙模式下生成并显示，请参见以下部分：

NAT/NAPT 路由器与防火墙之间的关系

如果外部接口或 DMZ 接口的 PPPoE 已激活，则不能通过操作“目标 NAT”将外部接口或 DMZ 接口选为朝向方向。组态操作“源 NAT”时，不能在“源转换”(Source translation) 输入框中输入 IP 地址，因为此地址会在运行期间动态获得。

可能的 NAT 地址转换

下表列出了使用 NAT 进行地址转换的输入选项。

操作“目标 NAT”-“Redirect”

可在以下方向执行操作“目标 NAT”：

外部到内部

如果安全模块（仅适用于 SCALANCE S623/S627-2M）的 DMZ 接口已激活，还可以在以下方向上执行操作“目标 NAT”：

外部到 DMZ

DMZ 到内部

DMZ 到外部

如果 SCALANCE S 模块（仅适用于 SCALANCE S612/S623/S627-2M V4 及更高版本）在 * 组中并且启用了隧道接口，还可以在以下方向上执行“目标 NAT”(Destination NAT) 操作：

隧道到内部

隧道到外部

隧道到 DMZ（仅当 DMZ 接口激活时）

例如，以下规则适用于“外部到内部”方向：检查从外部网络进入的帧，看其目标 IP 地址是否与“目标 IP 地址”(Destination IP address) 输入框中*的 IP 地址匹配。如果匹配，则将该帧的目标 IP 地址替换为“目标转换”(Destination translation) 输入框中*的 IP 地址，将该帧转发到内部网络。此时，可以通过外部地址从外部网络访问内部网络。

下表列出了操作“目标 NAT”所需的输入。

功能框	可能的条目	含义
源 IP 地址	与此操作无关。	-
源转换	与此操作无关。	-
目标 IP 地址	源网络中的 IP 地址	源网络中的目标 IP 地址，通过该地址可以访问目标网络中的 IP 地址。目标 IP 地址不得与源网络中安全模块的 IP 地址匹配。 如果帧中的目标 IP 地址与输入的地址匹配，那么将用目标网络中的相应 IP 地址替换该地址。 *的目标 IP 地址将成为别名地址。这意味着，*的 IP 地址也将注册为所选接口的 IP 地址。确保别名地址不会在网络中引起 IP 地址冲突。安全模块的别名 IP 地址显示在相应接口的“别名 IP 地址”(Alias IP addresses) 条目下。
目标转换	目标网络中的 IP 地址	目标 IP 地址由此处*的 IP 地址替换。
编号	-	STEP 7 分配的连续编号，用于引用 STEP 7 根据 NAT 规则生成的防火墙规则。

操作“源 NAT”-“Masquerading”

可在以下方向执行操作“源 NAT”：

内部到外部

如果安全模块（仅适用于 SCALANCE S623/S627-2M）的 DMZ 接口已激活，还可以在以下方向上执行操作“源 NAT”：

内部到 DMZ

外部到 DMZ

DMZ 到外部

如果 SCALANCE S 模块（仅适用于 SCALANCE S612/S623/S627-2M V4 及更高版本）在 * 组中并且启用了隧道接口，还可以在以下方向上执行“源 NAT”(Source NAT) 操作：

内部到隧道

外部到隧道

DMZ 到隧道（仅当 DMZ 接口激活时）

例如，以下规则适用于“内部到外部”方向：检查从内部网络进入的帧，看其源 IP 地址是否与“源 IP 地址”(Source IP address) 输入框中*的 IP 地址匹配。如果两者匹配，则将带有“源转换”(Source translation) 输入框中所*外部 IP 地址的帧转发到外部网络，作为新的源 IP 地址。在外部网络中，外部 IP 地址有效。

下表列出了操作“源 NAT”所需的输入。

功能框	可能的条目	含义
源 IP 地址	源网络中的 IP 地址	*节点的源 IP 地址由“源转换”(Source translation) 输入框中*的 IP 地址替换。
	源网络中的 IP 地址范围/IP 地址段	IP 地址范围/IP 地址段的 IP 地址由“源转换”(Source translation) 输入框中*的 IP 地址替换。
	*	源网络中所有节点的 IP 地址由“源转换”(Source translation) 输入框中*的 IP 地址替换。
源转换	目标网络中的 IP 地址	将该 IP 地址条目作为新的源 IP 地址。 如果此处输入的 IP 地址不是安全模块的 IP 地址，则会成为别名地址。这意味着，*的地址还将注册为所选接口的 IP 地址。确保别名地址不会在网络中引起 IP 地址冲突。安全模块的别名 IP 地址显示在相应接口的“别名 IP 地址”(Alias IP addresses) 条目下。
目标 IP 地址	与此操作无关。	-
目标转换	与此操作无关。	-
编号	-	STEP 7 分配的连续编号，用于引用 STEP 7 根据 NAT 规则生成的防火墙规则。

提示 可以在目标网络中将地址转换组态为模块的 IP 地址，因为所有帧都是从源网络进入目标网络。安全模块还为每个帧分配端口号。这是一种 n:1 的 NAT 地址转换，通过此转换，源网络的多个 IP 地址将转换为目标网络的一个 IP 地址。 例如，输入以下适用于“内部到外部”方向的参数： 操作：“源 NAT” 从：“内部” 到“外部” 源 IP 地址：“*” 源转换：安全模块的外部 IP 地址




操作“源 NAT + 目标 NAT”-“1:1-NAT”

可在以下方向执行操作“源 NAT + 目标 NAT”：

内部到外部

如果安全模块（仅适用于 SCALANCE S623/S627-2M）的 DMZ 接口已激活，还可以在以下方向上执行操作“源 NAT + 目标”：

内部到 DMZ

外部到 DMZ

DMZ 到外部

如果 SCALANCE S 模块（仅适用于 SCALANCE S612/S623/S627-2M V4 及更高版本）在 * 组中并且启用了隧道接口，还可以在以下方向上执行“源 NAT + 目标 NAT”(Source-NAT + Destination-NAT) 操作：

外部到隧道

内部到隧道

DMZ 到隧道（仅当 DMZ 接口激活时）

例如，以下规则适用于“内部到外部”方向：从内部访问外部时，执行操作“源 NAT”。从外部访问内部时，执行操作“目标 NAT”。

下表列出了操作“源 NAT + 目标 NAT”所需的输入:

功能框	可能的条目	含义
源 IP 地址	源网络中的 IP 地址	组态始终在源 NAT 方向上*。STEP 7 随后会自动插入目标 NAT 方向的 IP 地址。
源转换	目标网络中的 IP 地址
目标 IP 地址	与此操作无关。
目标转换	与此操作无关。
编号	-	STEP 7 分配的连续编号，用于引用 STEP 7 根据 NAT 规则生成的防火墙规则。

操作“双 NAT”

对于 SCALANCE S 模块，可在以下方向上执行操作“双 NAT”：

内部到外部

外部到内部

如果安全模块（仅适用于 SCALANCE S623/S627-2M）的 DMZ 接口已激活，还可以在以下方向上执行操作“双 NAT”：

内部到 DMZ

外部到 DMZ

DMZ 到内部

DMZ 到外部

各个方向上的源和目标 NAT 始终同时进行。
例如，以下规则适用于“外部到内部”方向：从外部访问内部时，替换外部节点的源 IP 地址（源 NAT）。访问内部网络还使用“目标 IP 地址”(Destination IP address) 输入框中*的外部 IP 地址（目标 NAT）。

例如，使用目标 NAT 为要访问的设备输入标准路由器而非安全模块时，可以使用此操作。这时，此设备的响应帧不发送到已输入的标准路由器，而是发送到相应的安全模块接口。

下表列出了操作“双 NAT”所需的输入：

功能框	可能的条目	含义
源 IP 地址	源网络中的 IP 地址	源网络中节点的 IP 地址
源转换	-	源 NAT 的地址始终转换为目标网络中安全模块的 IP 地址。因此，无法组态“源转换”(Source translation) 输入框。
目标 IP 地址	源网络中的 IP 地址	源网络中的目标 IP 地址，通过该地址可以访问目标网络中的 IP 地址。 如果帧的目标 IP 地址与输入的 IP 地址匹配，那么将用“目标转换”(Destination translation) 输入框中*的 IP 地址替换该 IP 地址。 如果此处输入的 IP 地址不是安全模块的 IP 地址，则会成为别名地址。这意味着，*的地址还将注册为所选接口的 IP 地址。确保别名地址不会在网络中引起 IP 地址冲突。安全模块的别名 IP 地址显示在相应接口的“别名 IP 地址”(Alias IP addresses) 条目下。
目标转换	目标网络中的 IP 地址	目标 IP 地址由此处*的 IP 地址替换。
编号	-	STEP 7 分配的连续编号，用于引用 STEP 7 根据 NAT 规则生成的防火墙规则。

高级 NAT 编辑器

选择一个 NAT 规则后，在巡视窗口的“属性 > 常规”(Properties > General) 中，会显示高级 NAT 编辑器，用于对端口和 IP 地址的地址范围进行简单组态。在该编辑器中进行的更改会应用到所选 NAT 规则中。除此之外，可在高级 NAT 编辑器中复制所选 NAT 规则和 NAT 规则集。要复制 NAT 规则集，必须选中该规则集的**行。通过修改为 NAT 规则调整生成的 IP 规则，可*使用哪些已复制的 NAT 规则。以下部分通过示例介绍高级 NAT 编辑器中地址范围的组态。

在高级 NAT 编辑器中组态地址范围

可在文本框“起始地址”(From) 和“结束地址”(To) 列中组态地址范围。如果为一个 NAT 规则组态了多个地址范围，每种情况下的地址数必须匹配。组态地址范围后，STEP 7 会通过所选 NAT 规则（包含每个地址的对应 NAT 规则）创建一个 NAT 规则集。

另一种方法是，在端口的文本框中，可将占位符“*”用在“结束地址”(To) 栏中。在此情况下，会根据其它 NAT 参数形成受影响的端口范围和 NAT 规则。

使用 NAPT 进行地址转换

菜单栏中提供以下控制元素：

操作员控制元素	功能
	激活 NAPT 启用 NAPT 规则编辑器。如果编辑器已启用，相应的规则可进行组态，并会在加载过程中传送到模块。选择 NAPT 规则后，巡视窗口的“属性 > 常规”(Properties > General) 选项卡中会提供高级 NAPT 设置编辑器。
	上插规则 将规则插入到所选规则/所选规则集上方。要上插规则集，则必须选中其**行。
	下插规则 将规则插入到所选规则/所选规则集下方。要下插规则集，则必须选中其**行。
	上移 将所选规则/所选规则集上移一行。要移动规则集，则必须选中其**行。
	下移 将所选规则/所选规则集下移一行。要移动规则集，则必须选中其**行。
	展开规则集 展开显示现有规则集。
	折叠规则集 折叠显示现有规则集。
	分离 将所选行转换为单独的规则。如果选择的是规则集的**行，则规则集的所有规则都会转换为单独的规则。如果选择的是规则集中包含的一个规则，则该规则会转换为单独的规则。除此之外，规则集的以下规则也会转换为单独的规则集。

创建 NAPT 规则以后，相应的防火墙规则会在高级防火墙模式下生成并显示，请参见以下部分：
NAT/NAPT 路由器与防火墙之间的关系

可在以下方向上使用 NAPT 执行 IP 地址转换：

外部到内部

如果安全模块（仅适用于 SCALANCE S623/S627-2M）的 DMZ 接口已激活，还可以在以下方向上使用 NAPT 执行 IP 地址转换：

外部到 DMZ

DMZ 到内部

DMZ 到外部

如果 SCALANCE S 模块（仅适用于 SCALANCE S612/S623/S627-2M V4 及更高版本）在 * 组中并且启用了隧道接口，还可以在以下方向上使用 NAPT 执行 IP 地址转换：

隧道到内部

隧道到外部

隧道到 DMZ（仅当 DMZ 接口激活时）

例如，以下规则适用于“外部到内部”方向：将用于安全模块外部 IP 地址的帧和用于“虚拟端口”(Virtual port) 列中所输入端口的帧转发到内部网络中*的目标 IP 地址和*的目标端口。

将帧转发至目标网络所用的 IP 地址显示在“虚拟 IP 地址”(Virtual IP address) 列。如果方向起始为外部，该地址为安全模块的外部 IP 地址；如果方向起始为 DMZ，该地址为安全模块 DMZ 接口的 IP 地址。

下表列出了“NAPT”选项卡中使用 NAPT 进行地址转换所需的输入。

功能框	可能的条目	含义
虚拟端口	TCP/UDP 端口或端口范围 输入端口范围的示例：78:99	源网络中的节点可以通过该端口号将帧发送到目标网络中的节点。
目标 IP 地址	目标网络中的 IP 地址	将用于源网络中安全模块 IP 地址的帧和用于“虚拟端口”(Virtual port) 框中所* TCP/UDP 端口的帧转发到此处*的 IP 地址。
目标端口	TCP/UDP 端口	向其转发来自源网络的帧的端口号。
协议	TCP+UDP TCP UDP	为*的端口号选择协议系列
编号	-	STEP 7 分配的连续编号，用于引用 STEP 7 根据 NAPT 规则生成的防火墙规则。

高级 NAPT 编辑器

选择一个 NAPT 规则后，高级 NAPT 编辑器会出现在巡视窗口的“属性 > 常规”(Properties > General) 中，并用于对端口和 IP 地址的地址范围进行简单组态。在该编辑器中进行的更改会应用到所选 NAPT 规则中。除此之外，所选 NAPT 规则和 NAPT 规则集可复制到高级 NAPT 编辑器中。要复制 NAPT 规则集，则必须选中其**行。可通过调整为 NAPT 规则生成的 IP 规则*使用哪一已复制 NAPT 规则。以下部分通过示例介绍高级 NAPT 编辑器中地址范围的组态。

高级 NAPT 编辑器中地址范围的组态

可在文本框“起始地址”(From) 和“结束地址”(To) 列中组态地址范围。如果为 NAPT 规则组态了多个地址范围，每种情况下的地址数必须匹配。组态地址范围后，STEP 7 会通过所选 NAPT 规则（包含每个地址的对应 NAPT 规则）创建 NAPT 规则集。

下例介绍了虚拟端口、目标 IP 地址和目标端口的地址范围组态。


图片: 高级 NAPT 编辑器：示例 1

另一种方法是，在端口的文本框中，可将占位符“*”用在“结束地址”(To) 栏中。在此情况下，会根据其它 NAPT 参数形成受影响的端口范围和 NAPT 规则。

下例中，虚拟端口和目标端口的端口范围是由 STEP 7 确定的：


图片: 高级 NAPT 编辑器：示例 2

要为 NAPT 规则集的每个 NAPT 规则组态相同的端口范围，可在“起始端口”(From) 栏中*虚拟端口端口范围的起始端口和结束端口，两者以冒号分隔。对于目标端口，则不能*此类端口范围。冒号后的占位符“*”解释为较大值 65535。

下例中，为 NAPT 规则集的每个 NAPT 规则使用带注释的端口范围。


图片: 高级 NAPT 编辑器：示例 3（NAPT 规则）

在示例 3 中，每个 NAPT 规则的虚拟 IP 地址和虚拟端口都完全相同。在这种情况下，使用哪一 NAPT 规则是由 STEP 7 为 NAPT 规则创建的防火墙规则的**级决定的。为 NAPT 规则创建的编号为 NAPT_1.1 的防火墙规则的**级较高。


图片: 高级 NAPT 编辑器：示例 3（防火墙规则）

为此，将用于 IP 地址 192.168.0.1 以及范围在 85...90 的端口的所有帧都会转发到目标 IP 地址 192.168.1.5 和目标端口 95。

为了对虚拟 IP 地址相同、虚拟端口/端口范围相同的 NAPT 规则进行一标识，可在相关 IP 规则中组态源 IP 地址。源 IP 地址随后决定使用哪一 NAPT 规则。


图片: 高级 NAPT 编辑器：示例 3 补充内容


上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• S7-200 SMART 读写V90PN

  S7-200 SMART 读写V90PN的驱动参数PLC通过编程软件中提供的SINAMICS库功能块SINA_PARA_S可以读取或修改V90 PN中的参数。文档下载 文档号：109766737：S7-200 SMART 读写V90PN的驱动参数例程为了更好地理解 V90 PN驱动参数的读写，可参考下面的例程。注意：1. 该例程使用 STEP 7-Micro/WIN SMART 编写。2

• 系统时间按钮

  按钮SCALANCE S615 功能SET 按钮用于：重启加载新固件复位为出厂设置有关功能的详细说明，请参见设备操作说明。可在此页面中限制该按钮的功能。SCALANCE S615 说明可用功能包括：重启/恢复出厂默认设置 (Restart/Restore Factory Defaults)禁用时，SET 按钮不能用于重启或恢复出厂默认设置。小心启动期间，按钮功能“重启/恢复出厂默认设置”(Rest

• 6ES7518-4AP00-0AB0

  S7-1500 控制器产品系列中具有较大容量程序及数据存储器的 CPU，适用于具有较高程序范围和联网要求的苛刻应用。具有较高处理速度，适用于二进制和浮点运算用于系列机器、**机器以及工厂中的跨领域自动化任务在具有集中式和分布式 I/O 的生产线上作为集中式 PLC 使用PROFINET IO IRT 接口，带 2 端换机PROFINET I/O 控制器，用于经由 PROFINET 控制分布式 I/

• SM 1278 4xIO-Link 主站

  6ES7278-4BD32-0XB0SIMATIC S7-1200， SM1278 IO-Link， 4xIO-Link 主站根据 IO Link 规范 V1.1 连接较多 4 个 IO-Link 设备的模块。可使用端口组态工具 (PCT) V3.2 或更高版本对 IO-Link 参数进行组态。应用使用 SM 1278 模块，可通过一条 3 线制电缆与较多 4 个外部 IO-Link 设备或 4