「干货」华为防火墙NAT配置方式详解

「干货」华为防火墙NAT配置方式详解

首页冒险解谜反向防火墙更新时间:2024-09-23

NAT分为源NAT和目的NAT。源NAT技术对报文的源地址进行转换,使大量私网用户可以利用少量公网IP上网,大大减少了对公网IP地址的需求。

下图示意了源NAT转换的过程:当上网流量到达防火墙时,报文的私网源IP将被转换为公网IP;当回程报文到达防火墙时,报文的公网目的IP将被转换为私网IP。整个NAT转换过程对于内、外网主机来说是完全透明的。

地址池

NAT地址池是一个虚拟的概念,它形象地把“公网IP地址的集合”比喻成一个“放IP地址的池子或容器”,防火墙在应用源NAT功能时就是从地址池中挑选出一个公网IP,然后对私网IP进行转换。可以通执行如下命令配置地址池

nat address-group 1 202.169.1.2 202.169.1.5华为防火墙支持哪些源NAT?

下面通过一个案例简单阐述 NAT No-PAT、NAPT和easy-ip的具体区别。(采用ensp的USG6000v.)

拓扑图

No-PAT

“No-PAT”表示不进行端口转换,所以NAT No-PAT只转换IP地址,故也称为“一对一IP地址转换”。

1、配置安全策略

policy interzone trust untrust outbound

policy 1

action permit

policy source 192.168.0.0 0.0.0.255

2、新建地址池

nat address-group 1 202.10.1.3 202.10.1.4

3、配置NAT

nat-policy interzone trust untrust outbound

policy 1

action source-nat

policy source 192.168.0.0 0.0.0.255

address-group 1 no-pat

从会话表中可以看到PC1(192.168.0.2)的IP进行了NAT转换(中括号[]内的是NAT转换后的IP和端口),而端口没有转换。

从Server-map表中可以看到NAT类型是No-PAT、NAT转换前后的IP地址,由于端口没有转换,所以并没有显示端口信息。这里可以注意到正、反向Server-map表中的目的IP均为any,也就是说只要Server-map表没有老化,理论上任何外网主机只要知道NAT转换后的IP,都可以主动访问内网主机的公网IP。

NAPT

NAPT表示网络地址端口转换,即同时对IP地址和端口号进行转换,也可称为PAT(PAT不是只转换端口号的意思,而是IP、端口号同时转换)。NAPT是最常用的源NAT技术之一。

NAPT和NAT No-PAT配置上的差异点

nat-policy interzone trust untrust outbound

policy 1

address-group 1 //不配置no-pat

从PC1上ping PC2,在FW上查看会话表。可以看到源IP和源端口都做了NAT转换,而且端口号是顺序转换的

出接口地址方式(easy-ip)

出接口地址方式是利用出接口的公网IP做源NAT转换,适用于公网IP非常少或接口动态获取IP的场景(仅中低端防火墙支持接口动态获取IP)。

基于上述的配置做如下修改

policy 1

action source-nat

policy source 192.168.0.0 0.0.0.255

easy-ip GigabitEthernet0/0/2

在防火墙会话表上看到easy-ipNAT地址采用的GigabitEthernet0/0/2的接口地址,而且端口也发生了转换。这样大大节约了公网IP和投入的成本。

和NAPT一样,easy-ip也是没有Server-map表的。主要用于让大量用户上网,如果每个连接都建立Server-map表,则会占用大量的设备资源。

欢迎关注我的头条号,私信交流,学习更多网络技术!

查看全文
大家还看了
也许喜欢
更多游戏

Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved