1、NAT No-PAT。
NAT No-PAT是一种NAT转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。

2、当Host访问Web Server时,FW的处理过程如下:
-
FW收到Host发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过安全策略检查后继而查找NAT策略,发现需要对报文进行地址转换。
-
FW根据轮询算法从NAT地址池中选择一个空闲的公网IP地址,替换报文的源IP地址,并建立Server-map表和会话表,然后将报文发送至Internet。
-
FW收到Web Server响应Host的报文后,通过查找会话表匹配到步骤2中建立的表项,将报文的目的地址替换为Host的IP地址,然后将报文发送至Intranet。
此方式下,公网地址和私网地址属于一对一转换。如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。
3、FW上生成的Server-map表中存放Host的私网IP地址与公网IP地址的映射关系。
-
正向Server-map表项保证特定私网用户访问Internet时,快速转换地址,提高了FW处理效率。
-
反向Server-map表项允许Internet上的用户主动访问私网用户,将报文进行地址转换。
NAT NO-PAT有两种:
-
本地(Local)NO-PAT
本地NO-PAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host。
-
全局(Global)NO-PAT
全局NO-PAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网Host。
4、NAT(No-PAT)实验。
实验拓扑:

1、FW1配置。
##基础IP地址配置
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.254 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 1.1.1.1 24
[FW1-GigabitEthernet1/0/2]q
##配置安全区域分别将g1/0/1加入trust区域、g1/0/2加入untrust区域
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/1
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/2
##配置默认路由访问公网
[FW1]ip route-static 0.0.0.0 0 1.1.1.254
##配置安全策略
[FW1]security-policy
[FW1-policy-security]rule name policy1 //创建策略名为policy1
[FW1-policy-security-rule-policy1]source-zone trust //设置源区域为trust
[FW1-policy-security-rule-policy1]destination-zone untrust //设置目标区域为untrust
[FW1-policy-security-rule-policy1]source-address 10.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-policy1]action permit //安全规则的动作,这里表示允许该规则流量的通过
##创建NAT地址池
[FW1]nat address-group bdqn
[FW1-address-group-bdqn]mode no-pat global //设置模式为no-pat,global表示Server-map表中不包含安全区域参数
[FW1-address-group-bdqn]section 0 1.1.1.10 1.1.1.11 //地址池数量由1.1.1.10~1.1.1.11
[FW1-address-group-bdqn]route enable //开启NAT路由
##配置NAT策略
[FW1]nat-policy
[FW1-policy-nat]rule name nat1
[FW1-policy-nat-rule-nat1]source-zone trust
[FW1-policy-nat-rule-nat1]destination-zone untrust
[FW1-policy-nat-rule-nat1]source-address 10.1.1.0 24
[FW1-policy-nat-rule-nat1]action source-nat address-group bdqn
2、R1配置。
##基础IP地址配置
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 1.1.1.254 24
[R1-GigabitEthernet0/0/0]int loo0
[R1-LoopBack0]ip add 172.16.1.1 32
[R1-LoopBack0]q
3、实验结果。
在防火墙上查看会话表可以看到转换信息。
转换IP地址时不转换端口号

也可以查看防火墙的Server-map表

因为NAT No-PAT属于一对一转换。如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换,所以【pc3】ping不通R1



1992

被折叠的 条评论
为什么被折叠?



