华为防火墙NAT原理及配置

面临IP地址匮乏，短期方案：NAT（全称），长期方案：IPV6（下一代因特网）。

NAT原理

私网IP发往公网IP需要使用NAT，需要USG配置NAT协议。

防火墙应用

NAT/PAT地址转换

NAT
nat地址转换是基于ip进行转换，在以上网络中，一个私网ip需要对应一个公网ip，四个公网指定只能四个私网上网。

#
定义地址池
[USG2100]nat address-group 1 202.38.160.1 202.38.160.4
[USG2100]nat-porlicy interzone untrust trust outbound #出方向
[USG2100-nat-policy-interzone-untrust-inbound]policy 1 #定义策略1
action source-nat  #替换源ip
address-group 1 no-pat #不做端口映射（不使用pat）
#

PAT
为了解决此问题，需要使用pat，pat的转换基于端口号，通过不同端口号区分不同用户，通过此类映射，可以解决三个用户同时上网需求，只需要一个公网IP，实际应用中都是使用PAT技术。

PAT（port address translation ）

策略NAT

NAT Server映射内部服务器

在NAT/PAT中

映射表是由内网用户访问时才会触发，服务器不会主动访问外部，一般只可能监听， 那么USG不会建立映射表，无映射表，外部用户无法进来。
为了解决此问题，需要使用NAT SERVER

将公网IP端口号与内网IP端口号进行绑定，通过此绑定，外网访问时，等于访问公网IP。

目的地址NAT

手机基站->WAP网关，在城市中可能按区布置WAP网关（海沧、湖里…）WAP网关IP地址是不同的，在GGSN与GSR都需要配置WAP网关的地址。为了简化配置维护，防火墙左边的设备全部使用网关2.2.2.2的IP。在这种场景需要使用目的地址NAT，在USG上配置。

ensp实验

#基本配置
system-view
inter g0/0/0
ip add 10.0.0.1 24
quit
inter g0/0/1
ip add 20.0.0.1 24
#配置安全区域
firewall zone trust 
add inter g0/0/0 
quit
firewall zone untrust
add inter g0/0/1
#配置策略
firewall packet-filter default permit interzone trust untrust #放行两个区域的流量（配置完会出现如下图，两个区域的流量都放行）
ping pc2抓G0/0/1的ping包，查看源ip与目标ip

nat配置
nat address-group 1 20.0.0.1 20.0.0.1  #起始地址~截至地址，只有一个，所以相同。
nat-policy interzone untrust  trust outbound
policy 1
action source-nat 
address-group1 pat   #1个ip地址，no-pat或pat都可以
再抓ping包对比是否成功