源NAT————NAT NO-PAT

已于 2023-11-15 17:48:24 修改
阅读量444 收藏 1
点赞数
分类专栏: 华为防火墙 文章标签: 网络 服务器 运维
于 2023-11-15 16:42:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zj2059129607/article/details/134422672
版权

NAT No-PAT

NAT No-PAT是一种NAT转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。工作原理如图1所示。

图1 NAT No-PAT工作原理示意图

当Host访问Web Server时,FW的处理过程如下:

  1. FW收到Host发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过安全策略检查后继而查找NAT策略,发现需要对报文进行地址转换。
  2. FW根据轮询算法从NAT地址池中选择一个空闲的公网IP地址,替换报文的源IP地址,并建立Server-map表和会话表,然后将报文发送至Internet。
  3. FW收到Web Server响应Host的报文后,通过查找会话表匹配到步骤2中建立的表项,将报文的目的地址替换为Host的IP地址,然后将报文发送至Intranet。

此方式下,公网地址和私网地址属于一对一转换。如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。

FW上生成的Server-map表中存放Host的私网IP地址与公网IP地址的映射关系。

  • 正向Server-map表项保证特定私网用户访问Internet时,快速转换地址,提高了FW处理效率。
  • 反向Server-map表项允许Internet上的用户主动访问私网用户,将报文进行地址转换。

NAT NO-PAT有两种:

  • 本地(Local)NO-PAT

    本地NO-PAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host。

  • 全局(Global)NO-PAT

    全局NO-PAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网Host。

实验NAT NO-PAT 拓扑图

 

 将防火墙接口加入防火墙区域

[FW1]firewall zone trust 
[FW1-zone-trust]dis th
2023-11-15 08:27:48.770 
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/0
#

[FW1]firewall zone untrust 
[FW1-zone-untrust]dis th
2023-11-15 08:26:47.490 
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1

配置防火墙安全策略允许私网指定网段与Internet进行报文交互。

security-policy
 rule name t_2_u
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  action permit
#

配置NAT地址池

nat address-group group1 
 mode no-pat global
 route enable
 section 0 1.1.1.10 1.1.1.12
#

NAT策略实现私网指定网段访问Internet时自动进行源地址转换。

nat-policy
 rule name nat1
  source-zone trust
  destination-zone untrust
  source-address 172.16.10.0 mask 255.255.255.0
  action source-nat address-group group1
#

 在FW上配置缺省路由,使私网流量可以正常转发至外网的路由器

[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

 配置完成后可以ping通外网R1的LooBack接口

查看会话表去往外网的流量会被转换成NAT地址池中的1.1.1.10IP地址

IT_浣熊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
weex-nat相机
02-02
相机 安装 weexpack plugin add nat-camera npm install natjs --save 用法 使用weex项目( .vue / .we ) < script > import Nat from 'natjs' // take a photo Nat . camera . captureImage ( ( err , ret ) => { console . log ( 'Path: ' , ret . path ) } ) // record a video Nat . camera . captureVideo ( ( err , ret ) => { console . log ( 'Path: ' , ret . path ) } ) </ script > 有关更多详细信息,请参见Nat
网络安全技术- NAT-04 NATPAT.mp3
07-04
网络安全技术- NAT-04 NATPAT.mp3
nat-api:使用UPnP和NAT-PMP进行快速端口映射
05-12
纳塔比 在NodeJS中使用UPnP和NAT-PMP进行快速端口映射。 安装 必需:NodeJS> = 10 npm install nat-api 用法 const NatAPI = require ( 'nat-api' ) const client = new NatAPI ( ) // Map public port 1000 to private port 1000 with UDP and TCP client . map ( 1000 , function ( err ) { if ( err ) return console . log ( 'Error' , err ) console . log ( 'Port mapped!' ) } ) // Map public port 2000 to private port 3000 with UDP and TC
网络安全技术- NAT-01 NAT的优缺点.mp3
07-04
网络安全技术- NAT-01 NAT的优缺点.mp3
NAT简介
m0_67900004的博客
07-06 1197
NAT、地址转换、网络安全
浅谈NAT类型
从宏观到微观,从抽象到具象!
03-16 4647
充分理解NAT的工作类型,以更广、更远的视觉去看待NAT技术,不仅加强对网络世界的认知也对学习其他技术打好底层基础。
NATPAT配置及原理
m0_71521555的博客
06-17 1575
NATPAT配置及原理
防火墙通过NO-pat访问外网
weixin_58368471的博客
07-01 1705
防火墙设置nat访问外网
华为防火墙natNAT NO-PATNATP、easy-ip)实验
Ddfgxfgg的博客
10-15 3712
华为natNAT NO-PATNATP、easy-ip)实验
NAT(No-PAT)只转换地址、不转换端口
hey1616的博客
11-15 1032
NAT No-PAT实验
网络安全技术- NAT-06 在路由器上配置PAT.mp3
07-04
网络安全技术- NAT-06 在路由器上配置PAT.mp3
网络安全技术- NAT-03 NAT隐藏内网.mp3
07-04
网络安全技术- NAT-03 NAT隐藏内网.mp3
网络安全技术- NAT-02 NAT的应用.mp3
07-04
网络安全技术- NAT-02 NAT的应用.mp3
Day 13 NAT技术
weixin_45971758的博客
03-08 130
例如:地址池中的公网IP地址只有两个。由于一台私网主机在借用其中的一个公网IP访问公网时,会占用这个IP的所有端口。因此,这种情况只允许最多有两台私网主机同时访问公网,其他的私网主机要等到其中一台主机不再访问公网,它占用的公网IP地址被释放后,才可以再进行NAT访问公网。有几个公网IP就有几台主机能够上线。
NAT
du_lijun的博客
04-01 1279
一、NAT类型 根据转化方式的不同,NAT可以分为三类: NAT地址转化的NAT。 有:NO—PAT, NAPT, Easy_ip,Smart_nat, 三元组NAT 目的NAT:将目的地址做转化。 有:NAT-Server, SLB 双向NAT:即做地址转化,又做目的地址转化 二、nat NAT是指对报文中的地址进行转换。通过NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet。 1、NO—PA...
私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)
qq_44751470的博客
06-26 587
示例图 一、实验目的 1.私网用户通过NAT No-PAT访问Internet(访问明确的目的Server) 二、注意事项 1.安全策略:安全策略检验是否允许流量通过 2.NAT策略:NAT 策略检验是否对流量进行 NAT 转换 3.由于防火墙检验流量是否符合安全策略的操作,发生在检查 NAT 策略之前 所以如果要针对 IP 设置安全策略,则该 IP 应该是做 NAT转换前的 IP 4.黑的路由:黑洞路由是一个让路由“有来无回”的路由,它的效果就是让设备丢弃命中 该路由的报文。针对地址池中的公网
华为NAT配置(静态、动态、PAT)三种模式
热门推荐
CSDNhansl的博客
07-01 2万+
华为NAT 配置 NAT(Network Address Translation,网络地址转换) NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad 静态转换 是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换 是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是
HCIA~网络地址转换
m0_45912044的博客
03-19 3470
网络地址转换
计算机网络(6) ICMP协议
最新发布
qq_42761215的博客
06-14 410
ICMP是网络通信中不可或缺的协议,虽然不传输用户数据,但在网络管理和诊断中起着重要作用。理解ICMP及其各种消息类型对于网络管理员和工程师来说是至关重要的,它有助于维护网络的正常运行和性能优化。
解释“ nat outbound 3500 address-group 1 no-pat”中的no-pat的用途
06-12
在该命令中,"no-pat"是一个参数,用于指定在NAT操作时是否使用端口地址转换(Port Address Translation,PAT)。 PAT是一种将多个内部IP地址映射到一个公共IP地址和端口号的技术。这种技术通常用于解决IPv4地址不足的问题,将多个内部主机共享同一个公网IP地址,通过不同的端口号来区分不同的内部主机。 而使用"no-pat"参数,则表示在NAT操作中不使用PAT技术,即不对端口号进行转换,而只进行IP地址的转换。这通常用于一些应用场景中,如使用某些VPN协议时或需要使用相同的端口号时,需要保留原始端口号的情况。 总的来说,"no-pat"参数的作用是在NAT操作中控制是否使用PAT技术,以便更好地适应不同的应用场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值