华为防火墙NAT配置及简介

华为防火墙NAT策略

一.NAT概述
NAT技术是用来解决当今IP地址资源枯竭的一种技术，同时也是IPv4到IPv6的过渡技术。
二.华为防火墙NAT分类
1.NAT No-PAT:类似于Cisco的动态转换，只转换源iP地址，不转换端口，属于多对多转换不能节约公网iP地址,实际情况下使用较少，主要适用于需要上网的用户较少．而公网地址又足够的场景下。
2.NAPT (网络地址和端口转换):类似于Cisco的PAT转换，NAPT既转换报文的源地址，又转换源端口。转换后的地址不能是外网接口iP地址属于多对多或多对一转换，可以节约IP地址，使用场景较多，主要适用于内部大量用户需要上网,同时仅有少数几个公网iP地址可用的场景下。
3.出接口地址（Easy-lP):因其转换方式非常简单，所以也称为Easy-P,和NAPT一样.既转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址，主要适用于没有额外的公网地址可用，内部上网用户非常多的场景下,直接通过外网接口本身的P地址作为转换目标。
4.Smart NAT(智能转换):通过预留一个公网地址进行NAPT 转换，而其他的公网地址用来进行NAT No-PAT转换。其主要用于平时上网用户比较少，而申请的公网地址基本可以满足这些少量用户进行NAT No-PAT转换,但是偶尔会出现上网用户倍增的情况下.
5.三元组NAT:与源IP地址、源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普通NAT中无法实现的问题。其主要用于外部用户访问局域网用户的一些 P2P应用。
三.华为防火墙NAT配置（注：华为防火墙配置都需先配置安全策略）
1.NAT NO-PAT 配置
NAT地址池配置：
nat address-group natgroup //配置NAT地址组，指定名称natgroup
section 0 200.0.0.1 200.0.0.1 //指定条件，转换为的公网地址为200.0.0.1
mode no-pat local //指定地址组模式为no-pat，即为NAT NO-PAT模式，local关键字表示对本区域有效
NAT策略配置：
nat-policy //配置nat策略
rule name natpolicy //配置名称为natpolicy的nat规则
source-address 192.168.1.0 24 //指定条件
source-zone trust
destination-zone untrust
action nat address-group natgroup //指定条件，满足条件的数据包将依据地址组做转换
2.NAPT配置
NAT地址池配置：
nat address-group natgroup //配置NAT地址组，指定名称natgroup
section 0 200.0.0.1 200.0.0.1 //指定条件，转换为的公网地址为200.0.0.1
mode pat //配置为NAPT方式
NAT策略配置：
nat-policy //配置nat策略
rule name natpolicy //配置名称为natpolicy的nat规则
source-address 192.168.1.0 24 //指定条件
source-zone trust
destination-zone untrust
action nat address-group natgroup //指定条件，满足条件的数据包将依据地址组做转换
3.EASY-IP配置（直接配置NAT策略）
配置NAT策略：
nat-policy //配置nat策略
rule name natpolicy //配置名称为natpolicy的nat规则
source-address 192.168.1.0 24 //指定条件
source-zone trust
destination-zone untrust
action nat easy-ip //配置出接口方式
4.NAT Server
配置NAT Server：
nat server natserver_ftp protocol tcp global 200.0.0.1 21 inside 192.168.1.10 21
四.查看会话表
display firewall session table