NAT/NAPT 概述

時間：2021-07-20作者：上海騰希電氣技術有限公司瀏覽：332

NAT/NAPT 概述



要求

安全模塊處于路由模式，或 DMZ 接口已激活（僅適用于 SCALANCE S623/S627-2M）。

由于會為 NAT/NAPT 規(guī)則自動生成*墻規(guī)則來啟用在組態(tài)的地址轉(zhuǎn)換方向上的通信，因此必須為安全模塊啟用***墻模式和 IP 規(guī)則編輯器中的*墻。有關詳細信息，請參見NAT/NAPT 路由器與*墻之間的關系部分。

如何訪問該功能

選擇要編輯的模塊。

在本地安全設置中，選擇“NAT/NAPT”條目。

使用“打開編輯器”(Open editor) 按鈕調(diào)用相應的編輯器。

需要時，根據(jù) NAT（Network Address Translation，網(wǎng)絡地址轉(zhuǎn)換）或 NAPT（Network Address Port Translation，網(wǎng)絡地址端口轉(zhuǎn)換）組態(tài)地址轉(zhuǎn)換。

使用 NAT（網(wǎng)絡地址轉(zhuǎn)換）進行地址轉(zhuǎn)換

NAT 是一種在兩個地址空間內(nèi)轉(zhuǎn)換地址的程序。
主要任務是將私有地址轉(zhuǎn)換為公共地址；換句話說，轉(zhuǎn)換為在 Internet 上使用甚至路由的 IP 地址。這樣，內(nèi)部網(wǎng)絡的 IP 地址便不會被外部網(wǎng)絡的外部得知。內(nèi)部節(jié)點僅通過地址轉(zhuǎn)換列表（NAT 表）中*的外部 IP 地址對外部網(wǎng)絡可見。如果外部 IP 地址不是安全模塊的地址并且內(nèi)部 IP 地址是一的，這稱為 1:1 NAT。利用 1:1 NAT，內(nèi)部地址轉(zhuǎn)換為該外部地址時*端口轉(zhuǎn)換。否則，會使用 n:1 NAT。

使用 NAPT（網(wǎng)絡地址端口轉(zhuǎn)換）進行地址轉(zhuǎn)換

使用 NAPT 進行地址轉(zhuǎn)換會將目標地址和目標端口更改為通信關系（端口轉(zhuǎn)發(fā)）。

會轉(zhuǎn)換來自外部網(wǎng)絡或 DMZ 網(wǎng)絡并將用于安全模塊 IP 地址的幀。如果幀的目標端口與“源端口”(Source port) 列中*的其中一個值相同，則安全模塊會替換 NAPT 表的相應行中*的目標 IP 地址和目標端口?；貜蜁r，安全模塊將初始幀中包含的目標 IP 地址和目標端口的值用作源 IP 地址和源端口。

與 NAT 的區(qū)別是，此協(xié)議可以同時轉(zhuǎn)換端口。不存在 1:1 的 IP 地址轉(zhuǎn)換。此時，只有一個公共 IP 地址轉(zhuǎn)換為一系列私有 IP 地址外加端口號。

* 隧道中的地址轉(zhuǎn)換

對通過 * 隧道建立的通信關系，可使用 NAT/NAPT 進行地址轉(zhuǎn)換。SCALANCE S612/S623/S627-2M V4 型的連接伙伴支持該地址轉(zhuǎn)換。

有關在 * 隧道中進行地址轉(zhuǎn)換的詳細信息，請參見以下部分：

NAT/NAPT 路由

在 * 隧道中使用 NAT/NAPT 進行地址轉(zhuǎn)換

一致性檢查 - 必須遵守這些規(guī)則

此外，請記住以下規(guī)則，以獲得一致的條目：

內(nèi)部接口的 IP 地址不得在 NAT/NAPT 表中使用。

NAT/NAPT 地址轉(zhuǎn)換列表中使用的 IP 地址不能是組播地址或廣播地址。

為 NAPT 轉(zhuǎn)換分配的外部端口的范圍在 0 到 65535 之間（含 65535）。

端口 123 (NTP)、端口 443 (HTTPS)、端口 514 (Syslog)、端口 161 (SNMP)、端口 67+68 (DHCP) 和端口 500+4500 (IPsec) 在安全模塊上已激活相關服務時除外。

安全模塊的外部 IP 地址或 DMZ 接口的 IP 地址只能在操作“源 NAT”的 NAT 表中使用。

檢查 NAT 表中的重復項

在“目標 NAT”、“源 NAT + 目標 NAT”或“雙 NAT”方向上使用的外部 IP 地址或 DMZ 網(wǎng)絡中的 IP 地址只能在各個*的方向上使用一次。

檢查 NAPT 表中的重復項：每個接口只能輸入一次源端口號。

內(nèi)部 NAPT 端口的范圍可在 0 到 65535 之間（含 65535）。





上海騰希電氣技術有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 交互創(chuàng)建新連接

  交互創(chuàng)建新連接交互組態(tài)連接定義本地設備及其連接伙伴。步驟要交互創(chuàng)建連接，請按照以下步驟操作：在要創(chuàng)建為其連接的連接伙伴的快捷菜單中，選擇“創(chuàng)建新連接”(Create new connection) 命令。將打開“創(chuàng)建新連接”(Create new connection) 對話框。選擇伙伴端點。在對話框的右窗格中，將顯示適合所選端點的可能連接路徑（如果適用）。 不完整路徑（例如，未*的 CPU 的

• 連接資源和通信類型

  連接資源和通信類型每個連接都需要一定的連接資源，用于相應設備上的端點和轉(zhuǎn)換點（例如 CP、CM）?？捎玫倪B接資源數(shù)取決于所使用的 CPU/CP/CM。如果通信伙伴的所有連接資源均已分配，則不能建立新的連接。下面會詳細考慮每種通信類型。只要考慮了可用的連接資源，則可以進行任意組合。通過集成接口進行的 S7 連接通過集成的 MPI/PROFIBUS DP/PN 接口進行 S7 連接時，將為 CPU 上

• 參考點（模擬量）

  參考點（模擬量）坐標在 CPU 執(zhí)行 STOP-RUN 轉(zhuǎn)換后，且軸尚未同步時，將其設置為參考點坐標值。在某個參考點運行后，會將參考點坐標的值分配給該參考點。對于線性軸，參考點坐標的值必須位于工作范圍（包括軟件限位開關起點/終點）內(nèi)。對于旋轉(zhuǎn)軸，參考點坐標的值必須位于 0 到“旋轉(zhuǎn)軸終點 - 1”(End of rotary axis - 1) 范圍內(nèi)。默認為“0”個脈沖。參考點開關的參考點位置在

• TSAP 分配的示例

  TSAP 分配的示例以下示例顯示了從不同方面對 S7-1200/1500 CPU（插槽 1 上的 CPU）的 TSAP 的處理：示例 1： 為 PLC-PLC 通信創(chuàng)建新連接示例 2： 輸入本地 ASCII-TSAP示例 3： 在 TSAP-ID 中輸入 TSAP 擴展示例 4： TSAP-ID 的錯誤編輯示例 5： 通過“TSAP-ID”輸入域輸入 ASCII-TSAP示例 1： 為 PLC-P