学习视频来源:《乾颐堂HCIP-HCIE-security安全 2019年录制》
- 源地址转换
- 地址池:no_pat、napt、smart、三元组nat
- 非地址池(出接口):easy_ip
- 目标地址转换
- 目的NAT
- NAT-Server(会产生server-map)
- SLB
- 双向NAT(源地址和目标地址都转换)
- 域间
- 域内
- NAT -- 网络地址转换
- 解决私网地址访问公网没有回包的问题
- 地址池:可以是一个,也可以是多个
- 每个地址池里面可以是一组地址,也可以是一个地址
- 华为防火墙特有的问题
- 防火墙地址池地址与出接口不在同一网段,会形成环路,必须配置黑洞路由
- 防火墙地址池地址与出接口在同一网段,不会形成环路,但会多发一个arp-request,建议配置黑洞路由
- 防火墙地址池与出接口相同,不会形成环路,也不会多发一个arp-request,不需要配置黑洞路由
- 只做源IP地址转换,不做端口的转换,并且是一对一 的
- 安全策略应为转换前的私网地址 ,因为是先匹配安全策略,再匹配源NAT策略
- no_pat产生的server-map需要流量触发才能生成,如果没有流量触发不会生成
- server-map如何删除:A.删除no_pat B.无流量访问,等待老化时间,默认12分钟 C.手动清除reset firewall server-map
- 正向做映射关系,提高转发效率
- 方向为外网主动发起到内网少写一个NAT转换,
- no_pat产生的server-map只是做映射关系,安全策略依然需要放行
- 企业常用场景
- easy-ip就无需配置地址池
- 既要转换源IP地址(只能转换到自己的出接口地址),又要转换源端口
- 特殊的NAPT
- 条件中的目的区域和出接口只能二选一,不能同时配置
- 也不会产生server-map,原因同NAPT,因为不可能产生12万多个映射规则
- 不会像NO_PAT和NAPT一样产生路由黑洞,但注意需要server-manage放通ICMP
- 总结
- 地址池 转换端口 产生server-map 黑洞路由
- NO_PAT 1 0 1 1
- NAPT 1 0 0 1
- Easy_ip 0 1 0 0
- USG9500 USG6000V支持(不在面试和考试范围内)
- smart-nat -- 智能NAT,no_pat + NAPT(预留IP做端口转换),还是会产生server-map,也要配置黑洞路由
- 三元组nat -- 源地址 源端口 协议,会产生server-map,也要配置黑洞路由
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
