一、NAT技术原理
对IP报头中的源地址或目的地址进行转换,可以使大量的私网ip地址共享少量的公网ip来访问公网
优点:实现地址复用,内网安全保护,服务器负载均衡
缺点;限制某些应用
二、NAT分类
源NAT:NAT地址池、出接口方式(easy ip)
服务器映射:NAT server ,目的NAT
1、NAT地址池
地址池是一些连续的ip地址集合,当私网报文访问公网,将其选择地址池某个地址进行转换
分为No-pat和pat
配置no-pat
1、配置地址池
[USG6000V1]nat address-group huawei
[USG6000V1-address-group-huawei]mode no-pat
[USG6000V1-address-group-huawei]section 100.1.1.100 100.1.1.102
全局和本地区别:本地更加严格,有区域显示,全局无区域显示
2、配置NAT策略
测试:
配置pat
1、配置地址池
2、配置策略
配置easy ip
配置地址池
配置NAT策略
3、NAT ALG NAT应用级网关,可以对应用层携带的地址以及端口进行转发。 举例: FTP应用由数据连接和控制连接共同完成,而且数据连接的建立由控制连接中的载荷 字段信息决定,所以需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正 确建立。 ASPF功能的主要目的是通过对应用层协议的报文分析,为其开放相应的包过滤规则, NAT ALG的主要目的,是为其开放相应的NAT规则。
抓包
默认开启:命令(开启ASPF\alg)
NAT-server
配置命令:
[USG6000V1]nat server un-dmztcp protocol tcp global 100.1.1.100 ftp inside 192.1
68.3.1 ftp (no-reverse)
不存在no-reverse则firewall server-map表项会生成逆向策略表,此时只要配置安全策略,内网直接可以访问公网
目的NAT