防火墙之NAT，智能选路篇

什么是NAT?   网络地址转换

1.静态NAT（static NAT）（静态一对一映射）：设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。多用于服务器场景。

2.动态NAT（pooled NAT）（基于地址池一对一映射（NO-PAT））：在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。多用于网络中的工作站场景。动态NAT和静态NAT在地址转换上很相似，只是可用的公有IP地址不能被某个私有网络的计算机永久独自占有。

3.动态NAPT（Network Address and Port Translation）（基于地址池多对一映射）：PAT的NAT设备用一个私网IP地址映射到公网IP地址的不同端口上，从而让多台设备使用一个公网IP地址上网。

4.Easy IP：是NAPT的一种简化。Easy IP是一种网络地址转换技术，它可以帮助隐藏真实的IP地址，防止网络活动被监视或个人信息被黑客窃取。Easy IP的工作原理与NAPT相同，同时转换IP地址和传输层端口，但与NAPT不同的是，Easy IP没有地址池的概念，而是使用接口地址作为NAT转换的公有地址。Easy IP主要应用于通过路由器WAN接口IP地址作为要被映射的公网IP地址的情形，特别适合小型局域网接入Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境，一般具有以下特点：内部主机较少、出接口通过拨号方式获得临时（或固定）公网IP地址以供内部主机访问Internet。

5.端口映射：在路由器中以“IP地址+端口号”形式，将内网IP地址及端口号固定地址转换为外网IP地址及端口号，适用于允许外网用户访问内网计算机特定服务的场景中。

可以将IP基于源或者目标进行转换。

源NAT --- 基于源IP地址进行转换，包含静态NAT，动态NAT以及NAPT

目标NAT --- 基于目标IP地址进行转换，以前的端口映射

双向NAT --- 同时转换源IP地址和目标IP地址

在模拟器上创建NAT策略

源NAT:

多对多的NAPT

配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口，这里主要是为了 应对公网地址和出接口地址不在同一个网段的情况，因为在这种情况下，如果公网用户访问地 址池中的公网地址，将可能造成环路，所以，需要通过空接口防环；如果公网地址池地址和出 接口在同一个网段，也可以勾选该选项，这种情况下虽然不会出现环路，但是，有了这个黑洞 路由，可以减少ARP报文的出现；

其实也就是空接口。

注意：源NAT是在安全策略之后执行转换

           目标NAT是在安全策略之前执行转换

（都是针对NAPT技术）

五元组NAT --- 通过源IP，源端口，目标IP，目标端口，协议五个参数来标定一次NAT的转 换，如果任何一个参数发生变化，都需要更换端口来进行转换。

三元组NAT --- 仅识别源IP，源端口和协议三个参数来区分一次NAT的链接

端口预分配---可以设定端口转换使用的端口范围 源IP地址数量限制---可以设定一个公网IP地址转换的源IP地址的数量，比如设置为1，则公 网IP地址在会话表老化之前，只能针对一个源IP地址进行转换

保留IP地址---- 可以将不需要使用的公网IP地址放置在保留IP地址中，则在进行转换的时候， 不会使用该地址转换

目标NAT:

这里的安全区域是指外部的区域

双向NAT:

 双向NAT是一种同时转换报文的源地址和目的地址的技术

什么情况下会用到双向NAT呢？

用户通过公网IP（G1/0/0上的IP）访问内网的服务器。

如果没有用双向NAT,用了端口或者一对一NAT对应内网的服务器。

会出现什么？

用户先来到防火墙上，由于做了基于目标的一对一NAT,在访问公有IP后，防火墙将流量发送给服务器，但是数据包的源IP不是防火墙，而是用户的IP， 数据来到服务器后，服务器发现是同一个网段，直接就通过交换机给用户了，用户发现目标IP不一样，不要该数据包。就通信失败。

但是在开启双向NAT之后：

不仅将G1/0/0/(公有IP)转换成了内网服务器。还将用户IP转换成出接口IP，这样内网服务器收到的源IP就不是用户的，而是防火墙上的。（如果是出接口配置，那么就是出接口的地址g1/0/1）

这样，内网服务器就会将包发给防火墙，而不是直接给用户，防火墙收到后通过地址转换给内网用户。通信成功。

多出口NAT

源NAT

1，将不同的接口放置在不同的区域中，基于区域做NAT策略

2，将不同的接口放在同一个区域，基于接口做NAT策略

目标NAT

1，可以分区域配置两个服务器映射

2，也可以是同一个区域。注意，如果是同一个区域，不能将两条服务器映射策略同时 开启“允许服务器访问公网（因为service-map表会自动生成源NAT的记录，如果有两个记录，就可能出两个出口出去，然后回包的时候，如果出去的源IP和回来目的IP的不一样，状态检测不通过，建立不了会话表，那么可能会导致业务中断）

智能选路

1.就近选路

根据访问的节点所在的运营商选择对应的运营商线路

2.策略路由 

策略路由其实也是一种策略，他不仅可以按照现有的路由表进行 转发，而且可以根据用户指定的策略进行路由选择的机制，从更多维度决定报文是如何 转发的

如果没有配置监控，则匹配上策略路由的流量发现下一跳不可达，则将直接丢弃数据 包；如果可开启了检测，检测发现目标下一跳不可达，则将使该策略不生效，则直接不 匹配流量，数据包将直接走路由表

3.全局选路策略

4.DNS透明代理

一般来说，企业的客户端上都只能配置一个运营商的DNS服务器地址，DNS服务器通常会将域名解析成自己所在ISP内的Web服务器地址，这将导致内网用户的上网流量都集中在一个ISP的链路上转发，最终可能会造成链路拥塞，影响用户的上网体验。同时，由于其他ISP的链路资源没有被使用，也造成了资源的浪费。

为了解决上述问题，可以使用DNS透明代理功能。防火墙配置DNS透明代理功能后，对于命中DNS透明代理策略的DNS请求报文，防火墙会根据DNS请求报文选择的出接口，修改请求报文的目的地址（DNS服务器地址），即将其修改为其他ISP内的DNS服务器地址，DNS请求被转发到不同的ISP，解析后的Web服务器地址也就属于不同的ISP，所以上网流量将通过不同的ISP链路转发，充分利用了所有链路资源。