NAT技術在工作中經常用到，在華為防火牆上NAT又是如何配置的呢？下面結合案例給大家分享一下。

NAT分為源NAT和目的NAT。源NAT技術對報文的源地址進行轉換，使大量私網用戶可以利用少量公網IP上網，大大減少了對公網IP地址的需求。

下圖示意了源NAT轉換的過程：當上網流量到達防火牆時，報文的私網源IP将被轉換為公網IP；當回程報文到達防火牆時，報文的公網目的IP将被轉換為私網IP。整個NAT轉換過程對于内、外網主機來說是完全透明的。

NAT地址池是一個虛拟的概念，它形象地把“公網IP地址的集合”比喻成一個“放IP地址的池子或容器”，防火牆在應用源NAT功能時就是從地址池中挑選出一個公網IP，然後對私網IP進行轉換。可以通執行如下命令配置地址池

nat address-group 1 202.169.1.2 202.169.1.5

下面通過一個案例簡單闡述NATNo-PAT、NAPT和easy-ip的具體區别。我這邊采用ensp的USG6000v.

“No-PAT”表示不進行端口轉換，所以NAT No-PAT隻轉換IP地址，故也稱為“一對一IP地址轉換”。

1、配置安全策略

policy interzone trust untrust outbound

policy 1

action permit

policy source 192.168.0.0 0.0.0.255

2、新建地址池

nat address-group 1 202.10.1.3 202.10.1.4

2、配置NAT

nat-policy interzone trust untrust outbound

policy 1

action source-nat

policy source 192.168.0.0 0.0.0.255

address-group 1 no-pat

從會話表中可以看到PC1（192.168.0.2）的IP進行了NAT轉換（中括号[]内的是NAT轉換後的IP和端口），而端口沒有轉換。

從Server-map表中可以看到NAT類型是No-PAT、NAT轉換前後的IP地址，由于端口沒有轉換，所以并沒有顯示端口信息。這裡可以注意到正、反向Server-map表中的目的IP均為any，也就是說隻要Server-map表沒有老化，理論上任何外網主機隻要知道NAT轉換後的IP，都可以主動訪問内網主機的公網IP。

NAPT表示網絡地址端口轉換，即同時對IP地址和端口号進行轉換，也可稱為PAT（PAT不是隻轉換端口号的意思，而是IP、端口号同時轉換）。NAPT是最常用的源NAT技術之一。

NAPT和NAT No-PAT配置上的差異點

nat-policy interzone trust untrust outbound

policy 1

address-group 1 //不配置no-pat

從PC1上ping PC2，在FW上查看會話表。可以看到源IP和源端口都做了NAT轉換，而且端口号是順序轉換的

出接口地址方式是利用出接口的公網IP做源NAT轉換，适用于公網IP非常少或接口動态獲取IP的場景（僅中低端防火牆支持接口動态獲取IP）。

基于上述的配置做如下修改

policy 1

action source-nat

policy source 192.168.0.0 0.0.0.255

easy-ip GigabitEthernet0/0/2

在防火牆會話表上看到easy-ipNAT地址采用的GigabitEthernet0/0/2的接口地址，而且端口也發生了轉換。這樣大大節約了公網IP和投入的成本。

和NAPT一樣，easy-ip也是沒有Server-map表的。主要用于讓大量用戶上網，如果每個連接都建立Server-map表，則會占用大量的設備資源。

想獲取拓撲圖和配置文件的小夥伴們可以私信回複"NAT"