Q&A
1、配置了nat server后Tracert防火墙上的global地址,显示信息是什么?
无论具有Inside地址的设备在防火墙内部有多少跳,Tracert时全部显示nat server的global的地址。如果有3跳,则显示3次global地址。
2、nat server和destination-nat的主要区别是什么?
🔵 nat server配置后创建server-map表,destination-nat不创建。
🔵 nat server优先级高于destination-nat,首包到达防火墙后先进行nat server处理查server-map表,查不到server-map表的情况下,再进行destination-nat处理。
🔵 nat server不配置no-reverse的情况下,双向都能够nat转换,destination-nat只能单向NAT转换。
3、目的NAT的匹配顺序是什么?
FW版本目的NAT匹配顺序按buildrun显示顺序自上向下匹配,如果匹配到deny后跳过这条ACL继续向下匹配目的NAT。
4、是否支持对ESP报文做NAT?
PAT方式的NAT,不支持对ESP报文做NAT。NOPAT或NAT Server方式的NAT,支持对ESP报文做NAT。
5、配置NAT时什么情况下需要添加黑洞路由?
⚫ 配置NAT地址池地址和出接口IP地址不在同一网段时,必须将NAT地址池地址配置为黑洞路由。
⚫ 配置带端口的nat server,并且nat server的global地址跟出接口不在同一网段时,必须将nat server的global地址配置为黑洞路由。
防火墙配置NAT的时候添加黑洞路由的目的是防止以NAT地址池地址或nat server的global地址为目的地址的报文,防火墙查路由,仍向出接口发送,但防火墙下行设备认为该地址的目的路由在防火墙上,将报文又发回到防火墙,从而导致路由环路。
NAT地址池地址或nat server的global地址跟出接口IP地址在同一网段也可以配置黑洞路由,可以避免防火墙发起对NAT地址池地址或nat server的global地址的AR