NAT技術在工作中經常用到,在華為防火牆上NAT又是如何配置的呢?下面結合案例給大家分享一下。
NAT分為源NAT和目的NAT。源NAT技術對報文的源地址進行轉換,使大量私網用戶可以利用少量公網IP上網,大大減少了對公網IP地址的需求。
下圖示意了源NAT轉換的過程:當上網流量到達防火牆時,報文的私網源IP將被轉換為公網IP;當回程報文到達防火牆時,報文的公網目的IP將被轉換為私網IP。整個NAT轉換過程對於內、外網主機來說是完全透明的。
地址池
NAT地址池是一個虛擬的概念,它形象地把“公網IP地址的集合”比喻成一個“放IP地址的池子或容器”,防火牆在應用源NAT功能時就是從地址池中挑選出一個公網IP,然後對私網IP進行轉換。可以通執行如下命令配置地址池
nat address-group 1 202.169.1.2 202.169.1.5
華為防火牆支持那些源NAT
下面通過一個案例簡單闡述NATNo-PAT、NAPT和easy-ip的具體區別。我這邊採用ensp的USG6000v.
拓撲圖
1、No-PAT
“No-PAT”表示不進行端口轉換,所以NAT No-PAT只轉換IP地址,故也稱為“一對一IP地址轉換”。
1、配置安全策略
policy interzone trust untrust outbound
policy 1
action permit
policy source 192.168.0.0 0.0.0.255
2、新建地址池
nat address-group 1 202.10.1.3 202.10.1.4
2、配置NAT
nat-policy interzone trust untrust outbound
policy 1
action source-nat
policy source 192.168.0.0 0.0.0.255
address-group 1 no-pat
從會話表中可以看到PC1(192.168.0.2)的IP進行了NAT轉換(中括號[]內的是NAT轉換後的IP和端口),而端口沒有轉換。
從Server-map表中可以看到NAT類型是No-PAT、NAT轉換前後的IP地址,由於端口沒有轉換,所以並沒有顯示端口信息。這裡可以注意到正、反向Server-map表中的目的IP均為any,也就是說只要Server-map表沒有老化,理論上任何外網主機只要知道NAT轉換後的IP,都可以主動訪問內網主機的公網IP。
2、NAPT
NAPT表示網絡地址端口轉換,即同時對IP地址和端口號進行轉換,也可稱為PAT(PAT不是隻轉換端口號的意思,而是IP、端口號同時轉換)。NAPT是最常用的源NAT技術之一。
NAPT和NAT No-PAT配置上的差異點
nat-policy interzone trust untrust outbound
policy 1
address-group 1 //不配置no-pat
從PC1上ping PC2,在FW上查看會話表。可以看到源IP和源端口都做了NAT轉換,而且端口號是順序轉換的
3、出接口地址方式(easy-ip)
出接口地址方式是利用出接口的公網IP做源NAT轉換,適用於公網IP非常少或接口動態獲取IP的場景(僅中低端防火牆支持接口動態獲取IP)。
基於上述的配置做如下修改
policy 1
action source-nat
policy source 192.168.0.0 0.0.0.255
easy-ip GigabitEthernet0/0/2
在防火牆會話表上看到easy-ipNAT地址採用的GigabitEthernet0/0/2的接口地址,而且端口也發生了轉換。這樣大大節約了公網IP和投入的成本。
和NAPT一樣,easy-ip也是沒有Server-map表的。主要用於讓大量用戶上網,如果每個連接都建立Server-map表,則會佔用大量的設備資源。
想獲取拓撲圖和配置文件的小夥伴們可以私信回覆"NAT"
閱讀更多 攻城獅成長日記 的文章
