一.NAT分类

• 源IP-NAT(源IP与公网之间转换)：静态NAT，动态NAT，NAPT；使内网能够访问公网
• 目标NAT（目标IP与公网之间转换）：服务器端口映射；使公网能够访问内网服务器
• 双向NAT：同时转换目标IP和源IP

二.防火墙配置

 一对多NAT配置

 接口配置

 边界路由器ISP配置

[Huawei]sysname ISP
[ISP]interface GigabitEthernet 0/0/0
[ISP-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[ISP]interface LoopBack 0
[ISP-LoopBack0]ip address 1.1.1.1 24

 防火墙NAT策略配置

 抓取私网流量

注：NAT策略配置完成后需要配置一条安全策略 ，如上图。

实验结果验证

多对多NAT配置

NAT策略配置

 注：配置黑洞路由防止特定情况下出现环路。因此需要勾选配置黑洞路由

环路出现详解

 注:当NAT地址池中的地址和接口地址不属于同一网段时（接口：12.0.0.2/24 地址池：12.0.0.5-12.0.0.7/24）若此时ISP路由器中存在一条路由（目标IP：12.0.0.5 下一跳：12.0.0.2）ISP路由器根据路由表转发，将报文从GE 0/0/0接口转发出去，当防火墙收到该报文后首先根据该报文确定是否创建会话表，由于防火墙默认存在一条指向ISP路由器的缺省路由（0.0.0.0 12.0.0.1）即路由可达；由于报文匹配缺省后，再次从原接口GE 1/0/1转发出去，因此无需匹配安全策略；当报文匹配缺省被再次转发到ISP后，ISP再次执行路由表中路由，依次循环，环路出现。