前言隨著Internet的快速發(fā)展，IPv4的公網(wǎng)地址資源已經(jīng)非常匱乏，NAT（Network

AddressTranslation）技術(shù)通過對IP報(bào)文中的地址或端口進(jìn)行轉(zhuǎn)換，可以使大量的私網(wǎng)IP地址通過共享少量的公網(wǎng)IP地址來 公網(wǎng)，從而有效減少對公網(wǎng)地址的需求，從而有效減緩了IP地址空間枯竭的速度。本章節(jié)重點(diǎn)講解USG

上NAT的技術(shù)原理、基本命令、應(yīng)用場景、典型配置案例、故障排除方法及拓展學(xué)習(xí)資料等。目標(biāo)學(xué)完本課程后，您將能夠:描述NAT技術(shù)原理掌握NAT配置命令的基本功能配置上網(wǎng)、服務(wù)發(fā)布配置雙出口場景NAT配置服務(wù)器負(fù)載均衡NAT故障排除NAT技術(shù)原理NAT配置NAT故障排除原理：NAT技術(shù)原理NAT涉及到的技術(shù)原理：NAT分類、NAT基本概念源NAT、目的NAT、雙向NATNAPT、Easy-IPNATALG、No-NATSmartNAT、三元組NATNAT的分類源NAT根據(jù)轉(zhuǎn)換的方向：Inbound

NAT

和Outbound

NAT根據(jù)端口是否轉(zhuǎn)換：No-PAT

和NAPT目的NAT分為NAT

sever和目的NAT雙向NATNAT

Inbound

和NAT

Server一起使用域內(nèi)NAT和NAT

Server一起使用NAT基本概念（1/3）：IP地址分類類別網(wǎng)段/掩碼網(wǎng)絡(luò)數(shù)每網(wǎng)絡(luò)可用主機(jī)私有地址A類/8116777214B類/16-/161665534C類/24-/24256254公有地址A類/8-/8/8-/812516777214B類/16-/161636765534/16-/16/16-/16C類/24-.0/242096896254-/24特殊地址D類-55

主要用于組播E類-54

保留地址段，目前不使用其它、/8、/16、55NAT基本概念（2/3）：NAT地址池NAT地址池是指用NAT轉(zhuǎn)換時(shí)用于分配的公網(wǎng)IP地址范圍。進(jìn)行轉(zhuǎn)換時(shí)，設(shè)備會從該地址池中選擇一個(gè)隨機(jī)地址，用于替換報(bào)文中的源IP地址。公網(wǎng)地址由ISP分配，可用的地址池范圍可以計(jì)算出來0/24/240/29/29靜態(tài)

服務(wù)器：3-4地址池范圍：1-200/24NAT基本概念（3/3）：Server

MapServer-map表項(xiàng)主要是用于存放一種 關(guān)系，設(shè)備根據(jù)這種

關(guān)系對報(bào)文的地址進(jìn)行轉(zhuǎn)換，并轉(zhuǎn)發(fā)。NAT生成Server-map的兩種情況配置NAT

Server成功后生成靜態(tài)表項(xiàng)用于存放Global地址和Inside地址 關(guān)系不配置“no-reverse”參數(shù)時(shí)，生成正反方向兩個(gè)server-map配置“no-reverse”參數(shù)時(shí)，只生成正方向server-map配置NAT

No-PAT后，流量觸發(fā)建立Server-map表用于存放私網(wǎng)IP地址與公網(wǎng)IP地址的 關(guān)系源NAT(1/5):基礎(chǔ)原理源NAT技術(shù)通過對報(bào)文的源地址進(jìn)行轉(zhuǎn)換，使大量私網(wǎng)用戶可以利用少量公網(wǎng)IP上網(wǎng)，大大減少了對公網(wǎng)IP地址的需求。0/24/240/29/2900/24IP報(bào)文源地址：0目的地址：00數(shù)據(jù)IP報(bào)文源地址：1目的地址：00數(shù)據(jù)IP報(bào)文源地址：00目的地址：0數(shù)據(jù)IP報(bào)文源地址：00目的地址：1數(shù)據(jù)源NAT(2/5):共用地址池使用一個(gè)地址

所有電腦進(jìn)行地址轉(zhuǎn)換nat

address-group

1

12-100/240/29/29IP報(bào)文源地址：:51481源地址：:51737源地址：:51989IP報(bào)文源地址：1:5123源地址：2:5130源地址：1:5136源NAT(3/5):多地址池使用多個(gè)地址池可以對不同的用戶群的地址進(jìn)行分別轉(zhuǎn)換nat

address-group

1

11nat

address-group

2

22用戶群1-50/24/240/29/29IP報(bào)文源地址：1:61481源地址：1:61737IP報(bào)文源地址：2:6123源地址：2:6130用戶群21-100/24IP報(bào)文源地址：:51481源地址：:51737IP報(bào)文源地址：1:5123源地址：1:5130源NAT(4/5):源NAT的其它技術(shù)NO-PAT：1對1IP地址轉(zhuǎn)換NAPT：NAT轉(zhuǎn)換時(shí)同時(shí)轉(zhuǎn)換IP地址和端Easy-IP：使用接口上的公網(wǎng)地址對私網(wǎng)IP進(jìn)行轉(zhuǎn)換Smart-NAT：同時(shí)支持no-pat轉(zhuǎn)換和NAPT轉(zhuǎn)換使用section中的地址段進(jìn)行1對1轉(zhuǎn)換使用smart-nopat地址進(jìn)行NAPT轉(zhuǎn)換三元組NAT：源IP、源端口、協(xié)議號支持

主動動態(tài)端口對外一致性源NAT示例(5/5):技術(shù)對比源NAT類型私網(wǎng)IP和公網(wǎng)IP的數(shù)量對應(yīng)是否轉(zhuǎn)換端口NAT

No-PAT一對一否NAPT多對一多對多是出接口地址方式（easy-ip）多對一是Smart

NAT（僅高端

USG9000系列支持）一對一（預(yù)留IP做多對一轉(zhuǎn)換）否（預(yù)留IP做端口轉(zhuǎn)換）三元組NAT（僅高端

USG9000系列支持）多對一多對多目的NAT(1/2):NAT

ServerNAT

Server可以用來發(fā)布內(nèi)網(wǎng)的服務(wù)器或特定的服務(wù)[FW]

natserverglobal

3

inside

00[FW]

nat

server

protocol

tcp

global

4

80

inside

00

8000/24/240/29/2900/24IP報(bào)文源地址：00：1023目的地址：00：80數(shù)據(jù)IP報(bào)文源地址：00：1023目的地址：4：80數(shù)據(jù)目的NAT(2/2):目的NAT對報(bào)文的目的地進(jìn)行轉(zhuǎn)換轉(zhuǎn)換

終端的WAP網(wǎng)關(guān)進(jìn)行流量重定向下圖示例中把去向DNS服務(wù)器()的解析流量重定向到中國電信的服務(wù)器上(33)用戶群1-50/24/240/29/29用戶群21-100/24IP報(bào)文源地址：1:61481目的地址：：53IP報(bào)文源地址：2:6123目的地址：33：53NAT

ALGNAT

ALG（Application

Level

Gateway）支持對應(yīng)用層的信息進(jìn)行相應(yīng)的轉(zhuǎn)換使用detect

protocol

命令執(zhí)行可以域間策略上開啟（域間NAT場景）可以在域策略上開啟（域內(nèi)NAT場景）支持的協(xié)議有：dns、ftp、netbios

、pptp、sqlneth323、sip、

、rtspic

q、msnils、mmsFTP協(xié)議的NATALG處理FTP

Client

USGFTP

ServerSrc

IP：Src

port

：

xSrc

IP：Srcport

：

xdst

IP：dst

port

：21三次握手建立控制通道SYNSYN

+

ACKACK交互用戶名、Port

command

:ip

port

yyyyPort

command

OKSYNSYN

+

ACKACK交互用戶名、Port

command

:ip

port

yyyyPort

command

OK交互Port命令dst

IP：dst

port

：yyyydst

IP：dstport

：yyyysrc

IP：src

port

：20三次握手建立數(shù)據(jù)通道SYNSYN

+

ACKACKLIST

Command傳輸數(shù)據(jù)SYNSYN

+

ACKACKLIST

Command傳輸數(shù)據(jù)1.

NAT技術(shù)原理NAT配置配置：NAT配置基礎(chǔ)案例1：配置用戶上網(wǎng)、服務(wù)發(fā)布案例2：配置雙出口場景NAT案例3：配置服務(wù)器負(fù)載均衡NAT故障排除NAT命令(1/5):源NAT配置步驟配置項(xiàng)配置命令1（可選）配

址池nataddress-group

addressgroup1section

0

02nat-mode

pat2配置黑洞路由ip

route-static

0

55

NULL0ip

route-static

155

NULL0ip

route-static

2

55

NULL03配置安全策略security-policyrule

name

policy1source-zone

trustdestination-zone

untrustsource-address

24action

permit4配置NAT策略nat-policyrule

name

policy_nat1source-zone

trustdestination-zone

untrustsource-address

24actionnat

address-group

addressgroup1NAT命令(2/5):配置NAT

Server步驟配置項(xiàng)配置命令1配置安全策略security-policyrule

name

policy1source-zone

untrustdestination-zone

dmzdestination-address

24action

permit2配置黑洞路由ip

route-static

055

NULL03配置NAT

Servernat

server

policy_web

protocol

tcp

global

0

wwwinside

80

no-reversenat

server

policy_ftp

protocol

tcp

global

0

ftp

inside

ftp

no-reverse4（可選）配置源進(jìn)源出interface

GigabitEthernet1/0/1ip

address

reverse-route

next-hop

54NAT命令(3/5):配置服務(wù)器負(fù)載均衡步驟配置項(xiàng)配置命令1開啟SLBslb

enable2配置SLBslbrserver

1

rip

weight

32

healthchkrserver

2

rip

weight

32

healthchkrserver

3

rip

weight

32

healthchkgroup

policy_webmetric

srchashaddrserver

1addrserver

2addrserver

3vserver

policy_web

vip

0

group

policy_web

tcp

vport

8080

rport

803配置安全策略security-policyrule

name

policy1source-zone

localsource-zone

untrustdestination-zone

dmzdestination-address

24action

permitNAT命令(4/5):配置目的NAT上網(wǎng)目的NAT示意圖步驟配置項(xiàng)配置命令1配置ACLacl3000rule

permit

source

552安全區(qū)域視圖firewall

zone

trust3配置目的NATdestination-nat

3000

address

NAT命令(5/5):配置NAT

ALG步驟配置項(xiàng)配置命令1全局NAT

ALGsystem-viewfirewall

detect

ftpfirewall

detect

rstp……2域間NAT

ALGfirewall

interzone

trust

untrustdetect

ftpdetectrtsp……3配置域內(nèi)NAT

ALGfirewall

zone

trustset

priority85detect

ftpdetect

rtsp……4（可選）配置在出現(xiàn)報(bào)文重傳的情況下對NAT業(yè)務(wù)無影響firewall

alg-detect

enable1.

NAT技術(shù)原理NAT配置配置：NAT配置基礎(chǔ)案例1：配置用戶上網(wǎng)、服務(wù)發(fā)布案例2：配置雙出口場景NAT案例3：配置服務(wù)器負(fù)載均衡NAT故障排除案例1：配置用戶上網(wǎng)、服務(wù)發(fā)布組網(wǎng)拓?fù)?24/2454/24/24FTP

Server/24WEB

Server8/24源NAT

策略G1/0/1靜態(tài)服務(wù)器G1/0/2G1/0/3UntrustTrustDMZ命令行基礎(chǔ)配置配置接口IP并添加接口到安全區(qū)域，配置安全策略interface

GigabitEthernet1/0/1ip

address

#interface

GigabitEthernet1/0/2

ip

address

#interface

GigabitEthernet1/0/3ip

address

#firewall

zone

trustset

priority

85addinterface

GigabitEthernet1/0/1#firewall

zone

untrustset

priority

5addinterface

GigabitEthernet1/0/2#firewall

zone

dmzset

priority

50addinterface

GigabitEthernet1/0/3#ip

route-static

54#配置安全策略

policy1，允許來自trust區(qū)域的用戶可以可以untrust區(qū)域，用戶的源地址屬于

/24，網(wǎng)段security-policyrule

namepolicy1source-zonetrustdestination-zone

untrustsource-address

24action

permit#配置安全策略policy2，允許來自untrust區(qū)域的用戶可以可以

dmz區(qū)域，用戶的目的地屬于

/24網(wǎng)段rule

namepolicy2source-zone

untrustdestination-zone

dmzdestination-address

24action

permit命令行配置NAT配置用戶上網(wǎng)及服務(wù)器#使用NAT策略實(shí)現(xiàn)用戶上網(wǎng)的配置nat-policyrule

name

policy_nat1source-zone

trustdestination-zone

untrustsource-address

24action

nat

easy-ip#使用NAT

Server實(shí)現(xiàn)可以 服務(wù)器nat

server

policy_web

protocol

tcp

global

0

www

inside

80

no-reversenat

server

policy_ftp

protocol

tcp

global

0

ftp

inside

ftp

no-reverse#配置NAT

Server對應(yīng)的黑洞路由，防止環(huán)路

ip

route-static

0

55

NULL0WEB配置NAT策略實(shí)現(xiàn)上網(wǎng)選擇“策略>NAT策略>源NAT策略”，單擊“新建”WEB配置NAT策略實(shí)現(xiàn)服務(wù)器發(fā)布選擇“策略>NAT策略>服務(wù)器”，單擊“新建”1.

NAT技術(shù)原理NAT配置配置：NAT配置基礎(chǔ)案例1：配置用戶上網(wǎng)、服務(wù)發(fā)布案例2：配置雙出口場景NAT案例3：配置服務(wù)器負(fù)載均衡NAT故障排除案例2：雙出口場景NAT組網(wǎng)拓?fù)?24G1/0/2/24

G1/0/1

/24G1/0/7/24ISP

1ISP

2DMZISP1ISP2User

1WEB

Server/24Trust命令行基礎(chǔ)配置配置接口IP地址，并加入?yún)^(qū)域#interface

GigabitEthernet1/0/1

ip

address

#interface

GigabitEthernet1/0/2ip

address

#interface

GigabitEthernet1/0/3ip

address

#interface

GigabitEthernet1/0/7

ip

address

##firewall

zone

trustset

priority85add

interface

GigabitEthernet1/0/3#firewall

zone

dmzset

priority85add

interface

GigabitEthernet1/0/2#firewall

zone

name

isp1set

priority10add

interface

GigabitEthernet1/0/1#firewall

zone

name

isp2set

priority

20add

interface

GigabitEthernet1/0/7命令行配置安全策略及靜態(tài)路由#配置安全策略security-policyrule

name

policy_sec_1source-zone

trustdestination-zone

isp1source-address

24action

permitrule

name

policy_sec_2source-zone

trustdestination-zone

isp2source-address

24action

permitrule

name

policy_sec_3source-zone

isp1destination-zone

dmzdestination-address

0

32action

permitrule

name

policy_sec_4source-zone

isp2destination-zone

dmzdestination-address

0

32action

permit#配置靜態(tài)默認(rèn)路由ip

route-static

GigabitEthernet1/0/754

preference

70ip

route-static

GigabitEthernet1/0/154#配置明細(xì)路由ip

route-static

GigabitEthernet1/0/1

54ip

route-static

GigabitEthernet1/0/1

54ip

route-static

GigabitEthernet1/0/7

54ip

route-static

GigabitEthernet1/0/7

54命令行配置NAT配置NAT上網(wǎng)策略及服務(wù)器發(fā)布#配置NAT地址組nat

address-group

address_1section

0

0

2nat

address-group

address_2section

0

02#配置NAT

Server發(fā)布www服務(wù)nat

server

policy_natserver_1

protocol

tcpglobal

00

ftp

inside

0

www

no-reversenat

server

policy_natserver_2

protocol

tcpglobal

00

ftp

inside

0

www

no-reverse#配置NAT策略實(shí)現(xiàn)用戶上網(wǎng)nat-policyrule

name

policy_nat_1source-zone

trustdestination-zone

isp1source-address

24action

nat

address-group

address_1rule

name

policy_nat_2source-zone

trustdestination-zone

isp2source-address

24actionnat

address-group

address_2rule

name

policy_nat_3source-zone

dmzdestination-zone

dmzsource-address

24destination-address

0

32actionnat

address-group

address_1WEB配置雙出口場景NAT(用戶上網(wǎng))配置安全策略WEB配置雙出口場景NAT(用戶上網(wǎng))配置NAT策略WEB配置雙出口場景NAT(服務(wù)發(fā)布)配置安全策略WEB配置雙出口場景NAT(服務(wù)發(fā)布)配置NATWEB配置雙出口場景NAT(服務(wù)發(fā)布)配置DMZ通過公網(wǎng)地址

服務(wù)器1.

NAT技術(shù)原理NAT配置配置：NAT配置基礎(chǔ)案例1：配置用戶上網(wǎng)、服務(wù)發(fā)布案例2：配置雙出口場景NAT案例3：配置服務(wù)器負(fù)載均衡NAT故障排除案例2：配置服務(wù)器負(fù)載均衡組網(wǎng)拓?fù)?2454/24/24WEB

Server/24/24/24G1/0/1服務(wù)器負(fù)載均衡G1/0/1G1/0/2/24/24靜態(tài)路由UntrustTrustDMZ命令行基礎(chǔ)配置配置接口IP地址，并加入?yún)^(qū)域，配置安全策略#interface

GigabitEthernet1/0/1

ip

address

#interface

GigabitEthernet1/0/2ip

address

#firewall

zone

untrustset

priority5add

interface

GigabitEthernet1/0/1#firewall

zone

dmzset

priority50add

interface

GigabitEthernet1/0/2##security-policyrule

name

policy1source-zone

localsource-zone

untrustdestination-zone

dmzdestination-address

24action

permit#命令行配置服務(wù)器負(fù)載均衡配置SLB功能#slb

enable#slbrserver

1

rip

weight

32

healthchkrserver

2

rip

weight

32

healthchkrserver

3

rip

weight

32

healthchkgroup

policy_webmetric

srchashaddrserver

1addrserver

2addrserver

3vserver

policy_web

vip

0

group

policy_web

tcp

vport

8080

rport

80#WEB配置服務(wù)器負(fù)載均衡選擇“策略>NAT策略>服務(wù)器”，單擊新建：NAT技術(shù)原理NAT配置NAT故障排除NAT故障排除1故障現(xiàn)象：某公司在網(wǎng)絡(luò)邊界處部署了USG作為安全網(wǎng)關(guān)，通過在

USG上配置源NAT策略，使網(wǎng)絡(luò)中的PC能夠

Internet上的資源。實(shí)際使用中，發(fā)現(xiàn)

網(wǎng)絡(luò)中的PC_A（地址為）無法Internet上的Web服務(wù)器（地址為）。PC_A/24/24/2454/24PC_B/24故障排除思路選擇“>會話表”，查詢源地址為的表項(xiàng)。根據(jù)會話表顯示結(jié)果可以縮小可能原因的