2,318 Views
1.5 华为防火墙NAT介绍
网络地址转换(Network Address Translation,简称NAT),NAT技术最早的应用是将私网IP地址转换为公网IP地址,以减少对公网IP地址的使用。
1.5.1 源NAT的基本原理
源NAT地址转换有多种方式,当客户端访问互联网时,防火墙将私网IP地址转换为公网IP地址,当回程报文返回防火墙时再将报文的目的地址由公网IP转换为私网IP地址。源NAT技术是平时最常用技术,比较常用的源NAT地址转换有出接口地址方式(Easy-IP)、NAPT、No-PAT等方式。
- 出接口地址转换(Easy-IP):内部客户端访问Internet或非内部网络时,同时转换报文的IP地址,但转换后的IP地址只能为出接口IP地址。这种模式适应用多数环境,同时接口支持动态获取,例如ADSL线路;
- 网络地址和端口转换(Network Address and Port Translation,简称NATP):内部客户端访问Internet或非内部网络时,同时对网络地址以及端口进行转换。NAPT也是在生产环境中使用比较广泛的NAT技术。
- 网络地址转换(No Port Address Translation,简称No-PAT),内部客户端访问Internet或非内部网络时,不转换端口只转换IP地址。通常用于一些特殊环境。
1.5.2 NAT Server基本原理
NAT Server是NAT技术的一种特殊应用。在生产环境中,内部网络中的服务器可能会提供给外部用户或合作企业访问,而这些服务器使用内部IP地址,通过NAT技术可以完成内部服务器地址到公网IP地址的转换,让外部用户或合作企业可以通过Internet访问内部服务器,这种技术称为NAT Server(服务器映射)。
1.5.3 NAT环境下路由黑洞
路由黑洞指的是报文在防火墙和路由器之间进行循环转发,产生路由环路,同时消耗设备的资源,导致设备无法正常工作。配置路由黑洞是为了避免报文的循环转发,防火墙和路由器之间不产生环路。
当NAT地址池和公网接口地址不在同一网段时,必须配置黑洞路由,避免防火墙和路由器之间不产生环路。
当NAT地址池和公网接口地址在同一网段时,建议配置黑洞路由,避免防火墙发送ARP报文,降低防火墙资源使用。