华为源NAT技术与目的NAT技术

1)源NAT对报文源地址进行转换,分为NAT NO-PAT,NAPT,EASY-IP,三元组NAT;

(1)NAT NO-PAT原理:

no-port address translation:非端口地址转换:只转换地址,不转换端口,

私有地址月公有地址一对一转换;

(2)NAPT原理:网络地址端口转换 network address and port translation:

转换IP地址同时转换端口,多个私有地址可以对应一个或多个公网地址(端口区分);

(3)easy IP:同时转换IP地址和传输层端口,但easy ip 没有地址池的概念;

(4)三元组NAT:允许外网用户主动访问私网用户,同时转换地址和端口,多个私网地址公有一个或多个公网地址;

配置步骤:新建安全区域,

如图,配置过程:

firewall zone trust

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy:允许私网交互

rule name policy1

source-zone trust:配置安全策略

source-address 10.1.0.0 24

action permit

quit

配置NAT地址池:

nat address-group group1

mode pat

section 0 1.1.1.10 1.1.1.15

route enable

配置源NAT策略:

nat-policy

rule name policy1

source-zone trust

destination-zone untrust

source-address 10.1.1.0 24

action source-nat address-group group1

2)目的NAT技术:

将目的公网IP转换为私网 IP,实现公网用户可以访问,回送报文再将私网IP转换为公网IP;

目的NAP分为静态NAT和动态NAT:

(1)静态NAT转换前后地址映射固定;

当外网访问内网时候,报文目的地址为访问内网用户对外的公网IP地址,中间的防火墙选择一个私有IP地址,将其目的地址替换,端口号可保留也可替换,然后将其记录存入防火墙会话表中,内网用户回送报文通过查找会话表找到记录,用之前外网用户发送报文的目的地址,即内网用户对外的公网IP地址替换报文的源IP地址,

如图,服务器位于私网:

防火墙加入安全区域:

防火墙中:

firewall zone DMZ

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy

rule name policy1

source-zone untrust:配置安全策略

destination-address 10.2.0.0 24

action permit

quit

destination-nat address-group group1

section 10.2.0.7 10.2.0.8

quit

配置目的NAT策略:

nat-policy

rule name policy1

source-zone untrust

destination-address 1.1.10.10 1.1.10.11

service http

action destination-nat static address-to-address address-group group1

quit

相关推荐
小Tomkk12 分钟前
AutoLabelImg:高效的数据自动化标注工具和下载
运维·人工智能·自动化
Json____1 小时前
docker搭建部署 onlyoffice 实现前端集成在线解析文档解决方案
运维·docker·容器·在线文档·onlyoffice·文档预览·在线文档解析
慌糖1 小时前
Spring Boot音乐服务器项目-查询音乐模块
服务器·spring boot·后端
basketball6161 小时前
Linux C 进程间高级通信
linux·运维·服务器
是小恐龙啊1 小时前
【测试报告】博客系统(Java+Selenium+Jmeter自动化测试)
运维·服务器
kyle~1 小时前
Windows---动态链接库Dynamic Link Library(.dll)
运维·windows·操作系统·运维开发·开发部署
水痕012 小时前
nginx一个域名下部署多套前端项目
运维·前端·nginx
YCY^v^5 小时前
centos 7 开启80,443端口,怎么弄?
linux·运维·centos
北南京海5 小时前
[Linux]进程地址空间
linux·运维·服务器