华为源NAT技术与目的NAT技术
1)源NAT对报文源地址进行转换,分为NAT NO-PAT,NAPT,EASY-IP,三元组NAT;
(1)NAT NO-PAT原理:
no-port address translation:非端口地址转换:只转换地址,不转换端口,
私有地址月公有地址一对一转换;
(2)NAPT原理:网络地址端口转换 network address and port translation:
转换IP地址同时转换端口,多个私有地址可以对应一个或多个公网地址(端口区分);
(3)easy IP:同时转换IP地址和传输层端口,但easy ip 没有地址池的概念;
(4)三元组NAT:允许外网用户主动访问私网用户,同时转换地址和端口,多个私网地址公有一个或多个公网地址;
配置步骤:新建安全区域,
如图,配置过程:
firewall zone trust
add interface GigabitEthernet 0/0/0
quit
firewall zone untrust
add interface GigabitEthernet 1/0/0
quit
security-policy:允许私网交互
rule name policy1
source-zone trust:配置安全策略
source-address 10.1.0.0 24
action permit
quit
配置NAT地址池:
nat address-group group1
mode pat
section 0 1.1.1.10 1.1.1.15
route enable
配置源NAT策略:
nat-policy
rule name policy1
source-zone trust
destination-zone untrust
source-address 10.1.1.0 24
action source-nat address-group group1
2)目的NAT技术:
将目的公网IP转换为私网 IP,实现公网用户可以访问,回送报文再将私网IP转换为公网IP;
目的NAP分为静态NAT和动态NAT:
(1)静态NAT转换前后地址映射固定;
当外网访问内网时候,报文目的地址为访问内网用户对外的公网IP地址,中间的防火墙选择一个私有IP地址,将其目的地址替换,端口号可保留也可替换,然后将其记录存入防火墙会话表中,内网用户回送报文通过查找会话表找到记录,用之前外网用户发送报文的目的地址,即内网用户对外的公网IP地址替换报文的源IP地址,
如图,服务器位于私网:
防火墙加入安全区域:
防火墙中:
firewall zone DMZ
add interface GigabitEthernet 0/0/0
quit
firewall zone untrust
add interface GigabitEthernet 1/0/0
quit
security-policy
rule name policy1
source-zone untrust:配置安全策略
destination-address 10.2.0.0 24
action permit
quit
destination-nat address-group group1
section 10.2.0.7 10.2.0.8
quit
配置目的NAT策略:
nat-policy
rule name policy1
source-zone untrust
destination-address 1.1.10.10 1.1.10.11
service http
action destination-nat static address-to-address address-group group1
quit