华为防火墙地址转换技术（NAT）_华为防火墙nat地址转换

281、NAT理论

私网地址不能再公网上路由，NAT的功能主要就是将私网地址在往外转发的过程中，将私网地址转换成为公网地址；

282、PAT：端口多路复用，可以将多个私网地址转换成为一个公网IP地址上网

283、工作原理：私网地址想要出外网，会将自己的源IP地址、目的IP地址、源端口（随机）、目的端口封装至数据包中， 当数据包到达局域网出口时候，就将私网地址转换成为出口IP地址，当数据包回来的时候，就根据回包中带有的源端口将公网IP地址转换成为相应的私网IP地址；

tips：为了避免局域网内的PC使用的随机端口相同，数据包在到局域网出口的时候也会将源端口做一次随机的端口转换；

284、NAT的分类：

285、NAT转换：

实验topo：

①配置NAT转换，让trust区域的可以访问untrust1

先做安全策略：

做源NAT转换：

实验结果测试：

286、实验：源NAT转换：

实验topo：

做NAT策略，让trust的PC可以访问untrust的server ;

先做一条静态路由，将数据包甩给出口路由：

做出口的NAT转换：

方法一：目的安全域

tips：如果目的类型选择出接口，那么在做NAT转换的时候，就会将源IP地址转换成为出接口的IP地址；

命令行做策略：

#

nat-policy

 rule name trust_untrust

  disable

  source-zone trust

  destination-zone untrust

  action nat easy-ip

#

方法二：选择出接口

tips ：将转换类型设置为局域网出口

#

nat-policy

 rule name trust_untrust1

  source-zone trust

  egress-interface GigabitEthernet1/0/2

  action nat easy-ip

#

配置一条安全策略，允许trust访问untrust：

测试连通性：

分别在转换前以及转换后抓包分析：

转换前：

转换后：

由上可知，在源IP地址做NAT转换的同时，源端口也会做NAT转换，避免源端口冲突；