华为_防火墙NAT策略

                                                    防火墙NAT策略

NAT概述：

NAT技术是用解决当今IP地址资源枯竭的一种技术，同时也是IPv4到IPv6的过渡技术，绝大多数网络环境中在使用NAT技术。

NAT分类：

在内网的边界，流量有出，入两个方向，所以NAT技术包含源地址转换目标地址两类。一般情况下，源地址转换主要用于解决内部局域网计算机访问Internet的场景；而目标地址转换主要用于解决Internet用户访问局域网服务器的场景，目标地址通常被称为服务器地址映射。

华为支持的源地址转换方式有：

NAT NO-PAT：动态转换，只转换源IP地址，不转换端口，属于多对多转换，这种方式不能有效的节约公网IP地址。

NAPT(Network Address and Port Translation)：PAT转换，NAT即转换报文的源地址，又转换源端口，属于多对一转换，可以有效的节约IP地址。

出接口地址(Easy-IP)：因其转换方式简单，所以称为Easy-IP，和NAPT一样，既可以转发接口所配的IP地址，又可以转发源端口。

Smart NAT(智能转换)：通过预留一个公网地址进行NAPT转换，而其他的公网地址用来进行NAT NO-PAT转换。

三元组NAT：与源IP地址，源端口和协议类型有关的一种转换，将源IP地址和端口转换为固定公网IP地址和端口，能够解决一些特殊应用在普通NAT中五法实现的问题。

NAT对报文的处理流程：

防火墙接口从收到一个报文到最终发送出去需要经历一系列处理，而NAT只是其中的一项任务，NAT的配置受到路由及安全策略的影响。这里需要重点去了解NAT对报文的处理流程。

NAT处理报文流程如下：

防火墙收到报文后，首先检查报文是否匹配Server-map中的条目，如果是，则根据表项转换报文的目标地址，然后根据报文的目标地址查找路由表，如果存在路由表，便依次匹配安全策略中的规则，如果策略允许报文通过，则去查找是否存在源NAT的相关配置及是否符合NAT条件，如果是，则准换源地址后，在发送报文之前创建会话，后续和返回的报文可以直接匹配会话表转发。最后防火墙发送报文。

NAT NO-PAT实例演示：

配置命令：

配置默认路由

配置安全策略

配置内网接口为trust区域

配置外网接口为untrust区域

配置NA地址组，地址组中的IP地址对应公网地

指定地址组的模式

配置NAT策略：

针对转换后的全局地址，配置黑洞路由：

这里呢实验就完事了。非常好理解。那么我们再看下一条。

NAPT实例演示：

配置命令：

R1的配置：

FW1的配置：

配置安全策略

配置NAT地址组，地址组中的地址对应的是公网地址。

配置NAT策略：

有了前面的基础也非常的简单。