H3C防火墙NAT类型及处理顺序

H3C防火墙NAT处理顺序

本文主要适用于H3C V7版本防火墙，介绍了NAT的基本类型和执行顺序。相关内容很多援引H3C官方产品文档，NAT类型及相关说明以官方文档为准。

1 NAT类型及配置说明

H3C V7产品支持的NAT按照组网方式可分为以下几种：

(1) 传统NAT
报文经过NAT设备时，在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换。对于内网访问外网的报文，在出接口上进行源IP地址转换；对于外网访问内网的报文，在入接口上进行目的地址IP地址转换。

(2) 两次NAT
报文入接口和出接口均为NAT接口。报文经过NAT设备时，先后进行两次NAT转换。对于内网访问外网的报文和外网访问内网的报文，均在入接口进行目的IP地址转换，在出接口进行源IP地址转换。这种方式常用于支持地址重叠的VPN间互访。

(3) 双向NAT
报文经过NAT设备时，在NAT接口上同时进行一次源IP地址转换和一次目的IP地址转换。对于内网访问外网的报文，在出接口上同时进行源IP地址和目的IP地址的转换；对于外网访问内网的报文，同时在入接口上进行目的地址IP地址和源IP地址的转换。这种方式常用于支持内网用户主动访问与之地址重叠的外网资源。

(4) NAT hairpin
NAT hairpin功能用于满足位于内网侧的用户之间或内网侧的用户与服务器之间通过NAT地址进行访问的需求。开启NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。它支持两种组网模式：
•P2P：位于内网侧的用户之间通过动态分配的NAT地址互访。
•C/S：位于内网侧的用户使用静态配置的NAT地址访问内网服务器。

按照实现方式，可将NAT分为以下几种：

(1) 静态方式
静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定，该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访：内网用户可以主动访问外网，外网用户也可以主动访问内网。

(2) 动态方式
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式仅支持单向发起访问，通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式：
•NO-PAT模式
NO-PAT（Not Port Address Translation）模式下，一个外网地址同一时间只能分配给一个内网地址进行地址转换，不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时，NAT会将其占用的外网地址释放并分配给其他内网用户使用。该模式下，NAT设备只对报文的IP地址进行NAT转换，同时会建立一个NO-PAT表项用于记录IP地址映射关系，并可支持所有IP协议的报文。
•PAT模式
PAT（Port Address Translation）模式下，一个NAT地址可以同时分配给多个内网地址共用。该模式下，NAT设备需要对报文的IP地址和传输层端口同时进行转换，且只支持TCP、UDP和ICMP（Internet Control Message Protocol，互联网控制消息协议）查询报文。采用PAT方式可以更加充分地利用IP地址资源，实现更多内部网络主机对外部网络的同时访问。
目前，PAT支持两种不同的地址转换模式：
•Endpoint-Independent Mapping（不关心对端地址和端口转换模式）：只要是来自相同源地址和源端口号的报文，不论其目的地址是否相同，通过PAT映射后，其源地址和源端口号都被转换为同一个外部地址和端口号，该映射关系会被记录下来并生成一个EIM表项；并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。
•Address and Port-Dependent Mapping（关心对端地址和端口转换模式）：对于来自相同源地址和源端口号的报文，相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号，若其目的地址或目的端口号不同，通过PAT映射后，相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是，NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好，但由于同一个内网主机地址转换后的外部地址不唯一，因此不便于位于不同NAT网关之后的主机使