华为源NAT技术与目的NAT技术

1)源NAT对报文源地址进行转换,分为NAT NO-PAT,NAPT,EASY-IP,三元组NAT;

(1)NAT NO-PAT原理:

no-port address translation:非端口地址转换:只转换地址,不转换端口,

私有地址月公有地址一对一转换;

(2)NAPT原理:网络地址端口转换 network address and port translation:

转换IP地址同时转换端口,多个私有地址可以对应一个或多个公网地址(端口区分);

(3)easy IP:同时转换IP地址和传输层端口,但easy ip 没有地址池的概念;

(4)三元组NAT:允许外网用户主动访问私网用户,同时转换地址和端口,多个私网地址公有一个或多个公网地址;

配置步骤:新建安全区域,

如图,配置过程:

firewall zone trust

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy:允许私网交互

rule name policy1

source-zone trust:配置安全策略

source-address 10.1.0.0 24

action permit

quit

配置NAT地址池:

nat address-group group1

mode pat

section 0 1.1.1.10 1.1.1.15

route enable

配置源NAT策略:

nat-policy

rule name policy1

source-zone trust

destination-zone untrust

source-address 10.1.1.0 24

action source-nat address-group group1

2)目的NAT技术:

将目的公网IP转换为私网 IP,实现公网用户可以访问,回送报文再将私网IP转换为公网IP;

目的NAP分为静态NAT和动态NAT:

(1)静态NAT转换前后地址映射固定;

当外网访问内网时候,报文目的地址为访问内网用户对外的公网IP地址,中间的防火墙选择一个私有IP地址,将其目的地址替换,端口号可保留也可替换,然后将其记录存入防火墙会话表中,内网用户回送报文通过查找会话表找到记录,用之前外网用户发送报文的目的地址,即内网用户对外的公网IP地址替换报文的源IP地址,

如图,服务器位于私网:

防火墙加入安全区域:

防火墙中:

firewall zone DMZ

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy

rule name policy1

source-zone untrust:配置安全策略

destination-address 10.2.0.0 24

action permit

quit

destination-nat address-group group1

section 10.2.0.7 10.2.0.8

quit

配置目的NAT策略:

nat-policy

rule name policy1

source-zone untrust

destination-address 1.1.10.10 1.1.10.11

service http

action destination-nat static address-to-address address-group group1

quit

相关推荐
江团1io014 分钟前
深入解析TCP核心机制:连接管理、流量与拥塞控制
服务器·网络·tcp/ip
知白守黑26722 分钟前
Ansible角色
运维·服务器·ansible
Jwest202122 分钟前
工业显示器在地铁电力监控与运维中的应用
运维·计算机外设
海拥✘4 小时前
深入理解 IP 地址:概念、分类与日常应用
网络·网络协议·tcp/ip
Miracle&4 小时前
2.TCP深度解析:握手、挥手、状态机、流量与拥塞控制
linux·网络·tcp/ip
liulilittle5 小时前
IP校验和算法:从网络协议到SIMD深度优化
网络·c++·网络协议·tcp/ip·算法·ip·通信
c&0xff005 小时前
Flink反压问题
网络·flink
深圳多奥智能一卡(码、脸)通系统6 小时前
基于多奥(DAIC)品牌的IC卡电梯门禁系统(梯控)基础配置清单,整合核心硬件、软件及安全组件,确保系统可独立运行并支持未来扩展
网络
googleccsdn6 小时前
ESNP LAB 笔记:配置MPLS(Part4)
网络·笔记·网络协议
tan180°6 小时前
Boost搜索引擎 网络库与前端(4)
linux·网络·c++·搜索引擎