标签：PAT No NGFW 地址 NAT 公网 FW1

一，源NAT简介

1.1什么是源NAT？

　　源NAT是指对报文中的源地址进行转换。通过源NAT技术将私网IP转换成公网IP地址，使私网用户可以利用公网地址访问Internet。如图1_1所示。

图1_1 源nat工作原理示意图

　　当PC访问Server，FW的处理过程为：①当报文到达FW时候，FW将报文的源IP转换为公网地址。②当回程报文返回至FW时，FW再将报文的目的地址转换为私网地址。。

1.2源NAT技术

　　NAT No-PAT：No-PAT是一种NAT转换时只转换地址，不转换端口，实现私网地址到公网地址一对一的转地址转换方式。适用于上网用户较少且公网地址数量与同时上网的数量相同的场景。

　　NAPT：NAPT是一种同时转换地址和端口，实现多个私网地址公钥一个或多个公网地址的地址转换方式。适用于公网地址数量少，需要上网的私网用户数量大的场景。

　　Smart NAT：Smart Nat是No-PAT方式的一种补充。Smart NAT是一种可以在No-PAT的NAT模式下，指定某个IP地址预留做NAPT方式的地址转换方式。适用平时上网的用户数量少，公网IP地址数量与同时上网用户数基本相同，但个别时段上网用户激增的场景。

　　Easy IP：Easy-IP是一种利用出接口的公网IP地址作为NAT转后的地址，同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景，Easy-IP也一样支持。

　　三元组NAT：三元组是一种同时转换地址和端口，实现多个私网地址公用一个或多个公网地址的地址转换方式。允许Internet上的用户主动访问私网用户，与基于P2P技术的文件共享，语音通信，视频传输等业务也可以很好的共存。当内网PC访问Internet时，如果FW采用五元组NAT（NAPT）方式进行地址转换，外部设备无法通过转换后的地址和端口主动访问内部PC。三元组NAT方式可以解决这个问题。

二，源NAT实验

2.1NAT No-PAT

2.1.1拓扑图

2.1.1拓扑介绍

　　适用ENSP模拟的网络环境，Internet桥接在本地环回口可以访问公网地址。MGMT_PC桥接在物理网卡，管理图形化界面。使用No-PAT，PC访问公共网络。

　　IP地址的规划标注在拓扑图上。

2.1.2配置No-PAT

　　1.基础配置（IP地址配置，安全区域划分，部分路由互通略）

　　2.配置源地址池

[FW1]nat address-group No-PAT 
[FW1-address-group-No-PAT]mode  no-pat  local
[FW1-address-group-No-PAT]section 202.100.10.20 202.100.10.21

　　3.配置NAT策略

[FW1]nat-policy
[FW1-policy-nat]rule name No-PAT
[FW1-policy-nat-rule-No-PAT]source-zone  trust  
[FW1-policy-nat-rule-No-PAT]destination-zone untrust  
[FW1-policy-nat-rule-No-PAT]egress-interface  GigabitEthernet  1/0/1
[FW1-policy-nat-rule-No-PAT]action  source-nat  address-group  No-PAT

　　4.安全策略（源NAT转换发生在查找安全策略之后，所以需要放行私网地址。在查找安全策略过后，进行源NAT的转换）

[FW1]security-policy  
[FW1-policy-security]rule name No-PAT
[FW1-policy-security-rule-No-PAT]source-zone  trust
[FW1-policy-security-rule-No-PAT]source-address 10.1.1.0  24
[FW1-policy-security-rule-No-PAT]destination-zone untrust  
[FW1-policy-security-rule-No-PAT]action  permit