0


华为防火墙地址转换技术(NAT)

281、NAT理论

私网地址不能再公网上路由,NAT的功能主要就是将私网地址在往外转发的过程中,将私网地址转换成为公网地址;

282、PAT:端口多路复用,可以将多个私网地址转换成为一个公网IP地址上网

283、工作原理:私网地址想要出外网,会将自己的源IP地址、目的IP地址、源端口(随机)、目的端口封装至数据包中, 当数据包到达局域网出口时候,就将私网地址转换成为出口IP地址,当数据包回来的时候,就根据回包中带有的源端口将公网IP地址转换成为相应的私网IP地址;

tips:为了避免局域网内的PC使用的随机端口相同,数据包在到局域网出口的时候也会将源端口做一次随机的端口转换;

284、NAT的分类:

285、NAT转换:

实验topo:

①配置NAT转换,让trust区域的可以访问untrust1

先做安全策略:

做源NAT转换:

实验结果测试:

286、实验:源NAT转换:

实验topo:

做NAT策略,让trust的PC可以访问untrust的server ;

先做一条静态路由,将数据包甩给出口路由:

做出口的NAT转换:

方法一:目的安全域

tips:如果目的类型选择出接口,那么在做NAT转换的时候,就会将源IP地址转换成为出接口的IP地址;

命令行做策略:

nat-policy

rule name trust_untrust

disable

source-zone trust

destination-zone untrust

action nat easy-ip

方法二:选择出接口

tips :将转换类型设置为局域网出口

nat-policy

rule name trust_untrust1

source-zone trust

egress-interface GigabitEthernet1/0/2

action nat easy-ip

配置一条安全策略,允许trust访问untrust:

测试连通性:

分别在转换前以及转换后抓包分析:

转换前:

转换后:

由上可知,在源IP地址做NAT转换的同时,源端口也会做NAT转换,避免源端口冲突;

标签: 华为 网络 安全

本文转载自: https://blog.csdn.net/weixin_45442003/article/details/127345384
版权归原作者 不爱学习的小刘~ 所有, 如有侵权,请联系我们删除。

“华为防火墙地址转换技术(NAT)”的评论:

还没有评论