《华为HCIE安全认证》学习笔记 | 源NAT技术

Posted COCOgsta

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《华为HCIE安全认证》学习笔记 | 源NAT技术相关的知识,希望对你有一定的参考价值。

学习视频来源:《乾颐堂HCIP-HCIE-security安全 2019年录制》

  • 源地址转换
    • 地址池:no_pat、napt、smart、三元组nat
    • 非地址池(出接口):easy_ip
  • 目标地址转换
    • 目的NAT
    • NAT-Server(会产生server-map)
    • SLB
  • 双向NAT(源地址和目标地址都转换)
    • 域间
    • 域内

  • NAT -- 网络地址转换
  • 解决私网地址访问公网没有回包的问题
  • 地址池:可以是一个,也可以是多个
  • 每个地址池里面可以是一组地址,也可以是一个地址

 

 

 

 

 

  • 华为防火墙特有的问题
  • 防火墙地址池地址与出接口不在同一网段,会形成环路,必须配置黑洞路由
  • 防火墙地址池地址与出接口在同一网段,不会形成环路,但会多发一个arp-request,建议配置黑洞路由
  • 防火墙地址池与出接口相同,不会形成环路,也不会多发一个arp-request,不需要配置黑洞路由

 

 

 

  • 只做源IP地址转换,不做端口的转换,并且是一对一 的
  • 安全策略应为转换前的私网地址 ,因为是先匹配安全策略,再匹配源NAT策略

  • no_pat产生的server-map需要流量触发才能生成,如果没有流量触发不会生成
  • server-map如何删除:A.删除no_pat B.无流量访问,等待老化时间,默认12分钟 C.手动清除reset firewall server-map
  • 正向做映射关系,提高转发效率
  • 方向为外网主动发起到内网少写一个NAT转换,
  • no_pat产生的server-map只是做映射关系,安全策略依然需要放行

  • 企业常用场景
  • easy-ip就无需配置地址池
  • 既要转换源IP地址(只能转换到自己的出接口地址),又要转换源端口
  • 特殊的NAPT
  • 条件中的目的区域和出接口只能二选一,不能同时配置
  • 也不会产生server-map,原因同NAPT,因为不可能产生12万多个映射规则
  • 不会像NO_PAT和NAPT一样产生路由黑洞,但注意需要server-manage放通ICMP
  • 总结
    •                 地址池 转换端口 产生server-map 黑洞路由
    • NO_PAT      1          0              1                      1
    • NAPT          1          0               0                     1
    • Easy_ip       0          1              0                      0
    • USG9500 USG6000V支持(不在面试和考试范围内)
      • smart-nat -- 智能NAT,no_pat + NAPT(预留IP做端口转换),还是会产生server-map,也要配置黑洞路由
      • 三元组nat -- 源地址 源端口 协议,会产生server-map,也要配置黑洞路由

 

 

 

 

 

 

 

 

 

 

 

 

 

以上是关于《华为HCIE安全认证》学习笔记 | 源NAT技术的主要内容,如果未能解决你的问题,请参考以下文章

《华为HCIE安全认证》学习笔记 | 目的NAT及服务器负载均衡技术

《华为HCIE安全认证》学习笔记 | 安全策略

《华为HCIE安全认证》学习笔记 | 防火墙互联技术

《华为HCIE安全认证》学习笔记 - 防火墙互联技术

《华为HCIE安全认证》学习笔记 - 防火墙互联技术

《华为HCIE安全认证》学习笔记 - 防火墙用户管理与认证技术