防火墙--NAT

1、NAT/NAPT技术

NAT，即网络地址转换(Network Address Translation)，运行在路由设备上，是一种把私网IP转换为公网IP的技术，用于解决IPv4地址不足的问题。

NAPT，即网络地址端口转换(Network Address Port Translation)，在NAT的基础上又加入了端口映射。

1、接口与IP的关系
一台主机通常只有一条物理链路链接到网络，主机与物理链路之间的边界称为接口。而对于路由器，至少需要一条链路接收数据、另一条链路发送数据，因此路由器有多个接口(至少两个)。

每台主机与路由器都能发送和接收IP数据报，因而IP要求每台主机和路由器接口都拥有自己独立的IP地址。因此，从技术上讲，一个IP地址与一个接口相关联，而不是与包含该接口的主机或路由器相关联。

2、路由器的LAN口与WAN口
WAN，即Wide Area Network，代表广域网，是路由器与运营商网线相连的接口，对应WAN口IP。

LAN，即Local Area Network，代表局域网，是计算机与路由器相连的接口，对应LAN口IP。

3、NAPT的基本工作原理
当局域网内的某台主机想要访问公网上的某台服务器时，它会将数据报发送到路由器LAN口，数据报中包含源IP和TCP/UDP协议的源端口号、目的IP和TCP/UDP协议的目的端口号。

NAPT路由器内部维护一张NAPT转换表。NAPT路由器收到数据报后，会为其生成没有出现在NAPT转换表中的新端口号替换源端口号，并用WAN口IP替换源IP，从而形成(新的IP,端口号)，将(新IP,端口号):(源IP,源端口号)的映射关系存储在表中。

数据报的传输可能会经过N跳路由器，每一跳都会经历上述IP和端口号替换的过程。

数据报到达服务器后，服务器会发送响应报文。报文每到达一个路由器，就通过查找NAPT转换表的方式找到源IP和源端口，直到到达目的主机。

注：NAT与NAPT的区别在于，NAT内部使用了不同的IP进行映射，而NAPT使用了一个WAN口IP和不同的端口号进行映射。

源NAT 

源NAT  --- 基于源IP地址进行转换，包含静态NAT，动态NAT以及

NAPT 目标NAT --- 基于目标IP地址进行转换，以前的端口映射双向NAT --- 同时转换源IP地址和目标IP地址

Easy ip 

注意：源NAT是在安全策略之后执行转换。

多对多的NAPT

 

配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口，这里主要是为了应对公网地址和出接口地址不在同一个网段的情况，因为在这种情况下，如果公网用户访问地址池中的公网地址，将可能造成环路，所以，需要通过空接口防环；如果公网地址池地址和出接口在同一个网段，也可以勾选该选项，这种情况下虽然不会出现环路，但是，有了这个黑洞路由，可以减少ARP报文的出现；

 

（都是针对NAPT技术）

五元组NAT

五元组NAT --- 通过源IP，源端口，目标IP，目标端口，协议五个参数来标定一次NAT的转换，如果任何一个参数发生变化，都需要更换端口来进行转换。

三元组NAT -

三元组NAT --- 仅识别源IP，源端口和协议三个参数来区分一次NAT的链接

 

 

端口预分配 --- 可以设定端口转换使用的端口范围

源IP地址数量限制 --- 可以设定一个公网IP地址转换的源IP地址的数量，比如设置为1，则公网IP地址在会话表老化之前，只能针对一个源IP地址进行转换

保留IP地址 ---- 可以将不需要使用的公网IP地址放置在保留IP地址中，则在进行转换的时候，不会使用该地址转换

动态nat

三元组NAT

目标NAT

服务器映射

安全区域  ---- 写的是被允许访问该服务器设备所在的区域 

注意：源NAT的执行在安全策略之后，目标NAT的执行在安全策略之前 

双向NAT

多出口NAT

源NAT

1，将不同的接口放置在不同的区域中，基于区域做NAT策略

2，将不同的接口放在同一个区域，基于接口做NAT策略

目标NAT

1，可以分区域配置两个服务器映射

2，也可以是同一个区域。注意，如果是同一个区域，不能将两条服务器映射策略同时开启“允许服务器访问公网”