华为源NAT技术与目的NAT技术

1)源NAT对报文源地址进行转换,分为NAT NO-PAT,NAPT,EASY-IP,三元组NAT;

(1)NAT NO-PAT原理:

no-port address translation:非端口地址转换:只转换地址,不转换端口,

私有地址月公有地址一对一转换;

(2)NAPT原理:网络地址端口转换 network address and port translation:

转换IP地址同时转换端口,多个私有地址可以对应一个或多个公网地址(端口区分);

(3)easy IP:同时转换IP地址和传输层端口,但easy ip 没有地址池的概念;

(4)三元组NAT:允许外网用户主动访问私网用户,同时转换地址和端口,多个私网地址公有一个或多个公网地址;

配置步骤:新建安全区域,

如图,配置过程:

firewall zone trust

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy:允许私网交互

rule name policy1

source-zone trust:配置安全策略

source-address 10.1.0.0 24

action permit

quit

配置NAT地址池:

nat address-group group1

mode pat

section 0 1.1.1.10 1.1.1.15

route enable

配置源NAT策略:

nat-policy

rule name policy1

source-zone trust

destination-zone untrust

source-address 10.1.1.0 24

action source-nat address-group group1

2)目的NAT技术:

将目的公网IP转换为私网 IP,实现公网用户可以访问,回送报文再将私网IP转换为公网IP;

目的NAP分为静态NAT和动态NAT:

(1)静态NAT转换前后地址映射固定;

当外网访问内网时候,报文目的地址为访问内网用户对外的公网IP地址,中间的防火墙选择一个私有IP地址,将其目的地址替换,端口号可保留也可替换,然后将其记录存入防火墙会话表中,内网用户回送报文通过查找会话表找到记录,用之前外网用户发送报文的目的地址,即内网用户对外的公网IP地址替换报文的源IP地址,

如图,服务器位于私网:

防火墙加入安全区域:

防火墙中:

firewall zone DMZ

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy

rule name policy1

source-zone untrust:配置安全策略

destination-address 10.2.0.0 24

action permit

quit

destination-nat address-group group1

section 10.2.0.7 10.2.0.8

quit

配置目的NAT策略:

nat-policy

rule name policy1

source-zone untrust

destination-address 1.1.10.10 1.1.10.11

service http

action destination-nat static address-to-address address-group group1

quit

相关推荐
mubeibeinv几秒前
项目搭建+图片(添加+图片)
java·服务器·前端
dessler5 分钟前
Docker-如何启动docker
运维·docker·云原生·容器·eureka
zhy295635 分钟前
【DOCKER】基于DOCKER的服务之DUFS
运维·docker·容器·dufs
小蜗牛慢慢爬行17 分钟前
有关异步场景的 10 大 Spring Boot 面试问题
java·开发语言·网络·spring boot·后端·spring·面试
秋名山小桃子20 分钟前
Kunlun 2280服务器(ARM)Raid卡磁盘盘符漂移问题解决
运维·服务器
与君共勉1213821 分钟前
Nginx 负载均衡的实现
运维·服务器·nginx·负载均衡
MARIN_shen23 分钟前
Marin说PCB之POC电路layout设计仿真案例---06
网络·单片机·嵌入式硬件·硬件工程·pcb工艺
努力学习的小廉28 分钟前
深入了解Linux —— make和makefile自动化构建工具
linux·服务器·自动化
MZWeiei31 分钟前
Zookeeper基本命令解析
大数据·linux·运维·服务器·zookeeper
Arenaschi1 小时前
在Tomcat中部署应用时,如何通过域名访问而不加端口号
运维·服务器