23道问答题，再也不怕遇到防火墙NAT策略问题了！

1、配置了nat server后Tracert防火墙上的global地址，显示信息是什么

❝

无论具有Inside地址的设备在防火墙内部有多少跳，Tracert时全部显示nat server的global的地址。如果有3跳，则显示3次global地址。

2、nat server和destination-nat的主要区别是什么

❝

• nat server配置后创建server-map表，destination-nat不创建。
• nat server优先级高于destination-nat，首包到达防火墙后先进行nat server处理查server-map表，查不到server-map表的情况下，再进行destination-nat处理。
• nat server不配置no-reverse的情况下，双向都能够nat转换，destination-nat只能单向NAT转换。

3、目的NAT的匹配顺序是什么

❝

FW版本目的NAT匹配顺序按buildrun显示顺序自上向下匹配，如果匹配到deny后跳过这条ACL继续向下匹配目的NAT。

4、是否支持对ESP报文做NAT

❝

PAT方式的NAT，不支持对ESP报文做NAT。NOPAT或NAT Server方式的NAT，支持对ESP报文做NAT。

5、配置NAT时什么情况下需要添加黑洞路由

❝

• 配置NAT地址池地址和出接口IP地址不在同一网段时，必须将NAT地址池地址配置为黑洞路由。
• 配置带端口的nat server，并且nat server的global地址跟出接口不在同一网段时，必须将nat server的global地址配置为黑洞路由。

防火墙配置NAT的时候添加黑洞路由的目的是防止以NAT地址池地址或nat server的global地址为目的地址的报文，防火墙查路由，仍向出接口发送，但防火墙下行设备认为该地址的目的路由在防火墙上，将报文又发回到防火墙，从而导致路由环路。
NAT地址池地址或nat server的global地址跟出接口IP地址在同一网段也可以配置黑洞路由，可以避免防火墙发起对NAT地址池地址或nat server的global地址的ARP请求报文，节省防火墙ARP资源。

6、FW是否支持nat server的global IP与所有接口IP均不在同一网段

❝

支持，防火墙对nat server的global IP没有做限制，只要防火墙上下行设备的路由正确即可，因为防火墙对于转发的报文先做目的地址的NAT转换（把nat server的global IP地址转换为inside IP地址），后查路由表。

7、FW是否支持查看报文命中nat server和NAT地址池进行转换的次数

❝

目前防火墙没有命令查看报文匹配nat server的次数。防火墙可以通过命令display nat-policy rule all查看报文匹配NAT策略的次数。

displaynat-policyruleall
Total:3
RULEIDRULENAMESTATEACTIONHITTED
-----------------------------------------------------------------------
0defaultenableno-nat0
1testdisableno-nat0
2abcenablenat5
----------------------------------------------------------------------

8、FW上NAT策略配置多条rule后按什么原则进行先后匹配

❝

按照rule在NAT策略中显示的先后顺序进行匹配，一旦命中，无论是no-nat还是nat都不会再继续匹配下去。

9、如何把NAT地址池和NAT Server的global地址路由发布出去

❝

通常在防火墙上配置了NAT地址池或nat server，需要把NAT地址池和nat server的global地址路由发布出去，使得报文能正确的转发到防火墙上。对于NAT地址池和nat server的global地址，通常有两种：

• 和接口地址在同一网段，此时只需要把接口的地址路由发布出去就可以，发布方式有很多种，比如在上行设备引入直连路由发布出去等。
• 和接口地址不在同一网段，此时发布NAT地址池和nat server的路由，不能通过在ospf中添加network的方式实现，因为NAT地址池和nat server的global地址网段对于OSPF来说是down的，所以OSPF是不会发布相应路由出去的，此时可以在防火墙上配置NAT地址池的地址或者是nat server的global地址的黑洞路由，然后通过在OSPF中引入静态路由的方式实现。如果在防火墙的上行设备上直接配置静态路由指向防火墙的接口，就更加简单。

10、一个公网地址如何实现突破65535端口限制转换无限私网地址

❝

防火墙采用的是5元组（源端口，源地址，目的地址，目的端口，协议号）建立和查找session表。所以即使公网地址+公网端口出现重复，只要目的地址或目的端口不一样，防火墙就能够查找到正确的session表，转发相应的报文。在防火墙上使用NAT策略做NAT时，对于不同的流，可以出现NAT转换后的IP和端口都相同的情况。

11、是否可以使用接口IP地址做NAT Server或源NAT策略转换

❝

可以。

• 如果NAT Server的global IP使用接口IP地址：在报文访问防火墙时，会先对报文进行目的地址的NAT转换，访问该接口IP地址的报文始终被替换成访问NAT Server的inside地址，导致无法访问该接口，一些常用的针对该接口进行的ping探测、WEB管理、Telnet管理等会出问题，所以应该避免使用接口地址做NAT Server的全局global IP，可以使用基于协议的nat server，但是要避免与访问防火墙本身需求相冲突。
• 如果使用接口IP做源NAT策略：当主动访问防火墙接口IP地址时，该报文走首包流程，可以直接访问该接口IP，不受源NAT策略配置影响。

nat sever和nat outbound一起配置时，nat server优先级高于nat outbound，即报文先匹配nat server。

12、地址转换和代理（Proxy）的区别是什么

❝

地址转换技术和地址代理技术有很类似的地方，都是提供了私有地址访问Internet的能力。

但是两者是有区别的，它们区别的本质是在TCP/IP协议栈中的位置不同。地址转换是工作在网络层，而地址代理是工作在应用层。地址转换对各种应用是透明的，而地址代理必须在应用程序中指明代理服务器的IP地址。例如使用地址转换技术访问Web网页，不需要在浏览器中进行任何的配置。而如果使用Proxy访问Web网页的时候，就必须在浏览器中指定Proxy的IP地址，如果Proxy只能支持HTTP协议，那么只能通过代理访问Web服务器，如果想使用FTP就不可以了。因此使用地址转换技术访问Internet比使用Proxy技术具有十分良好的扩充性，不需要针对应用进行考虑。

但是，地址转换技术很难提供基于“用户名”和“密码”的验证。在使用Proxy的时候，可以使用验证功能，使得只有通过“用户名”和“密码”验证的用户才能访问Internet，而地址转换不能做到这一点。

13、FW是否支持透明模式下（业务接口工作在交换模式）的源NAT的配置

❝

支持，但只支持采用地址池中的地址做为转换后的源地址，不支持采用出接口地址做为转换后的源地址。

14、配置NAT和VPN功能同时工作时有什么注意事项

❝

NAT和VPN功能同时工作时，请您精确定义NAT策略的匹配条件，确保NAT功能不会将原本是需要进行VPN封装的数据流做地址转换。

15、NAT地址池中的地址是否必须为连续的地址

❝

否。

NAT地址池是由“起始地址”和“结束地址”划定的一段IP地址范围，使用排除地址功能可以排除这个IP地址范围内某些特殊的IP地址。因此NAT地址池中的地址不一定是连续的地址。

另外，“起始地址”和“结束地址”也可以相同，此时NAT地址池中只有一个地址。

16、配置源NAT策略时，安全策略中指定的源地址是转换前的还是转换后的地址

❝

配置源NAT策略时，安全策略中指定的源地址是转换前的地址。

设备对报文进行地址转换时，先查找域间的安全策略，只有通过安全策略检查，并且命中了域间NAT策略中定义的匹配条件的报文才会进行地址转换。因此域间安全策略中指定的源地址为转换前的地址，即私网地址。

17、配置NAT Server时，安全策略中指定的目的地址是转换前的还是转换后的地址

❝

配置NAT Server时，安全策略中指定的目的地址是转换后的地址。

设备收到匹配上Server-Map表的报文后，先转换报文的目的地址，然后再检查安全策略，因此安全策略中指定的目的地址为转换后的地址，即私网地址。

18、内部网络的用户如何通过公网地址访问位于同一安全区域内同一网段的内部服务器

❝

首先配置一条源NAT策略，其源安全区域和目的安全区域均为用户和内部服务器所在的安全区域，将内网用户的源IP地址转换为公网IP地址。然后再配置一条NAT Server，将去往服务器公网地址的报文目的IP地址转换为私网地址。

19、设备在关闭状态检测功能后是否还支持地址转换功能

❝

关闭状态检查功能后，设备可以支持地址转换功能。

20、三元组NAT为什么要使用源HASH选板模式

❝

因为三元组NAT是端口独占的NAT，因此在分配公网端口时需要保证分配的公网端口是唯一的。如果使用源+目的HASH模式，会导致内网会话HASH到不同的CPU，此时如果要保证公网端口的唯一性就要同其他的CPU去协商，不仅实现困难，实现起来之后也会耗费大量设备资源，上网体验也不好。

21、NAT统计多久一次

❝

缺省情况下，NAT地址池统计周期为30分钟。

• 可通过命令nat statistics interval，修改NAT地址池统计周期。
• 可通过命令display nat statistics information，查询当前设备的统计周期值设置为多少。

22、为啥V500R001C20版本执行多次相同global ip和inside ip不同port的NAT Server时会报“Error: This inside address has been used.”

❝

当在V500R001C00、V300R001、V100R001版本上执行多次相同global ip和inside ip不同port的NAT Server时，配置可以直接下发，因为相同global ip和inside ip生成的reverse server-map都是相同的，但是V500R001C20及其之后版本开始在配置时做了校验，同一个inside ip第一条nat server允许下发，从第二条开始会进行校验，如果发现是同一个inside ip会不允许下发，需要加上no-reverse参数，尽管加了no-reverse，但是效果还是一样的。另外，设备启动配置恢复阶段，V500R001C20及其之后版本也不会对此进行校验，从老版本升级上来是可以配置恢复成功的，仅仅是手工配的时候会进行这个校验。

23、终端选定一个NAT公网地址后，后续的来自相同客户端的数据能够采用相同的NAT地址进行转换吗

❝

可以，PAT模式下，只要不改变地址池的地址，会以相同的HASH方式进行HASH，最后会HASH到同一个地址上面。