华为源NAT技术与目的NAT技术

1）源NAT对报文源地址进行转换，分为NAT NO-PAT，NAPT,EASY-IP,三元组NAT；

（1）NAT NO-PAT原理：

no-port address translation:非端口地址转换：只转换地址，不转换端口，

私有地址月公有地址一对一转换；

（2）NAPT原理：网络地址端口转换 network address and port translation:

转换IP地址同时转换端口，多个私有地址可以对应一个或多个公网地址（端口区分）；

（3）easy IP:同时转换IP地址和传输层端口，但easy ip 没有地址池的概念；

（4）三元组NAT：允许外网用户主动访问私网用户，同时转换地址和端口，多个私网地址公有一个或多个公网地址；

配置步骤：新建安全区域，

如图，配置过程：

firewall zone trust

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy:允许私网交互

rule name policy1

source-zone trust：配置安全策略

source-address 10.1.0.0 24

action permit

quit

配置NAT地址池：

nat address-group group1

mode pat

section 0 1.1.1.10 1.1.1.15

route enable

配置源NAT策略：

nat-policy

rule name policy1

source-zone trust

destination-zone untrust

source-address 10.1.1.0 24

action source-nat address-group group1

2）目的NAT技术:

将目的公网IP转换为私网 IP，实现公网用户可以访问，回送报文再将私网IP转换为公网IP；

目的NAP分为静态NAT和动态NAT:

（1）静态NAT转换前后地址映射固定；

当外网访问内网时候，报文目的地址为访问内网用户对外的公网IP地址，中间的防火墙选择一个私有IP地址，将其目的地址替换，端口号可保留也可替换，然后将其记录存入防火墙会话表中，内网用户回送报文通过查找会话表找到记录，用之前外网用户发送报文的目的地址，即内网用户对外的公网IP地址替换报文的源IP地址，

如图，服务器位于私网：

防火墙加入安全区域：

防火墙中：

firewall zone DMZ

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy

rule name policy1

source-zone untrust：配置安全策略

destination-address 10.2.0.0 24

action permit

quit

destination-nat address-group group1

section 10.2.0.7 10.2.0.8

quit

配置目的NAT策略：

nat-policy

rule name policy1

source-zone untrust

destination-address 1.1.10.10 1.1.10.11

service http

action destination-nat static address-to-address address-group group1

quit