华为源NAT技术与目的NAT技术

1)源NAT对报文源地址进行转换,分为NAT NO-PAT,NAPT,EASY-IP,三元组NAT;

(1)NAT NO-PAT原理:

no-port address translation:非端口地址转换:只转换地址,不转换端口,

私有地址月公有地址一对一转换;

(2)NAPT原理:网络地址端口转换 network address and port translation:

转换IP地址同时转换端口,多个私有地址可以对应一个或多个公网地址(端口区分);

(3)easy IP:同时转换IP地址和传输层端口,但easy ip 没有地址池的概念;

(4)三元组NAT:允许外网用户主动访问私网用户,同时转换地址和端口,多个私网地址公有一个或多个公网地址;

配置步骤:新建安全区域,

如图,配置过程:

firewall zone trust

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy:允许私网交互

rule name policy1

source-zone trust:配置安全策略

source-address 10.1.0.0 24

action permit

quit

配置NAT地址池:

nat address-group group1

mode pat

section 0 1.1.1.10 1.1.1.15

route enable

配置源NAT策略:

nat-policy

rule name policy1

source-zone trust

destination-zone untrust

source-address 10.1.1.0 24

action source-nat address-group group1

2)目的NAT技术:

将目的公网IP转换为私网 IP,实现公网用户可以访问,回送报文再将私网IP转换为公网IP;

目的NAP分为静态NAT和动态NAT:

(1)静态NAT转换前后地址映射固定;

当外网访问内网时候,报文目的地址为访问内网用户对外的公网IP地址,中间的防火墙选择一个私有IP地址,将其目的地址替换,端口号可保留也可替换,然后将其记录存入防火墙会话表中,内网用户回送报文通过查找会话表找到记录,用之前外网用户发送报文的目的地址,即内网用户对外的公网IP地址替换报文的源IP地址,

如图,服务器位于私网:

防火墙加入安全区域:

防火墙中:

firewall zone DMZ

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy

rule name policy1

source-zone untrust:配置安全策略

destination-address 10.2.0.0 24

action permit

quit

destination-nat address-group group1

section 10.2.0.7 10.2.0.8

quit

配置目的NAT策略:

nat-policy

rule name policy1

source-zone untrust

destination-address 1.1.10.10 1.1.10.11

service http

action destination-nat static address-to-address address-group group1

quit

相关推荐
DLYSB_12 分钟前
生命通道:如何用 HIS 医疗系统直连网络声光终端,打造“零延误”的危急值响应网关?
java·网络·数据库·报警灯
大E帝国子民11 小时前
MacOS 安装Seismic Unix
服务器·macos·unix
Tim_Van1 小时前
在 CentOS 7 中安装 Chromium 的完整步骤
linux·运维·chrome·centos
孫治AllenSun2 小时前
【Nginx】配置参数和使用案例
运维·nginx
哥是强混2 小时前
Means:基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务
网络·数据库·.net
啵啵鱼爱吃小猫咪3 小时前
Ubuntu 20.04 + ROS Noetic 源码安装 libfranka 0.8.0 和 franka_ros 0.8.0 完整教程
linux·运维·ubuntu
Piko6143 小时前
锐捷 VSU 虚拟化堆叠配置
运维·网络·笔记
ljs6482739514 小时前
Linux运维实操:vi编辑器永久配置静态IP(CentOS系列)
linux·运维·编辑器
2301_780303904 小时前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
AOwhisky4 小时前
Python 学习笔记(第三期)——流程控制:条件判断与循环结构
运维·笔记·python·学习·云原生·流程控制·循环