1、配置了nat server后Tracert防火墻上的global地址，顯示信息是什么

?

無論具有Inside地址的設(shè)備在防火墻內(nèi)部有多少跳，Tracert時(shí)全部顯示nat server的global的地址。如果有3跳，則顯示3次global地址。

2、nat server和destination-nat的主要區(qū)別是什么

?

• nat server配置后創(chuàng)建server-map表，destination-nat不創(chuàng)建。
• nat server優(yōu)先級高于destination-nat，首包到達(dá)防火墻后先進(jìn)行nat server處理查server-map表，查不到server-map表的情況下，再進(jìn)行destination-nat處理。
• nat server不配置no-reverse的情況下，雙向都能夠nat轉(zhuǎn)換，destination-nat只能單向NAT轉(zhuǎn)換。

3、目的NAT的匹配順序是什么

?

FW版本目的NAT匹配順序按buildrun顯示順序自上向下匹配，如果匹配到deny后跳過這條ACL繼續(xù)向下匹配目的NAT。

4、是否支持對ESP報(bào)文做NAT

?

PAT方式的NAT，不支持對ESP報(bào)文做NAT。NOPAT或NAT Server方式的NAT，支持對ESP報(bào)文做NAT。

5、配置NAT時(shí)什么情況下需要添加黑洞路由

?

• 配置NAT地址池地址和出接口IP地址不在同一網(wǎng)段時(shí)，必須將NAT地址池地址配置為黑洞路由。
• 配置帶端口的nat server，并且nat server的global地址跟出接口不在同一網(wǎng)段時(shí)，必須將nat server的global地址配置為黑洞路由。

防火墻配置NAT的時(shí)候添加黑洞路由的目的是防止以NAT地址池地址或nat server的global地址為目的地址的報(bào)文，防火墻查路由，仍向出接口發(fā)送，但防火墻下行設(shè)備認(rèn)為該地址的目的路由在防火墻上，將報(bào)文又發(fā)回到防火墻，從而導(dǎo)致路由環(huán)路。
NAT地址池地址或nat server的global地址跟出接口IP地址在同一網(wǎng)段也可以配置黑洞路由，可以避免防火墻發(fā)起對NAT地址池地址或nat server的global地址的ARP請求報(bào)文，節(jié)省防火墻ARP資源。

6、FW是否支持nat server的global IP與所有接口IP均不在同一網(wǎng)段

?

支持，防火墻對nat server的global IP沒有做限制，只要防火墻上下行設(shè)備的路由正確即可，因?yàn)榉阑饓τ谵D(zhuǎn)發(fā)的報(bào)文先做目的地址的NAT轉(zhuǎn)換（把nat server的global IP地址轉(zhuǎn)換為inside IP地址），后查路由表。

7、FW是否支持查看報(bào)文命中nat server和NAT地址池進(jìn)行轉(zhuǎn)換的次數(shù)

?

目前防火墻沒有命令查看報(bào)文匹配nat server的次數(shù)。防火墻可以通過命令display nat-policy rule all查看報(bào)文匹配NAT策略的次數(shù)。

displaynat-policyruleall
Total:3
RULEIDRULENAMESTATEACTIONHITTED
-----------------------------------------------------------------------
0defaultenableno-nat0
1testdisableno-nat0
2abcenablenat5
----------------------------------------------------------------------

8、FW上NAT策略配置多條rule后按什么原則進(jìn)行先后匹配

?

按照rule在NAT策略中顯示的先后順序進(jìn)行匹配，一旦命中，無論是no-nat還是nat都不會再繼續(xù)匹配下去。

9、如何把NAT地址池和NAT Server的global地址路由發(fā)布出去

?

通常在防火墻上配置了NAT地址池或nat server，需要把NAT地址池和nat server的global地址路由發(fā)布出去，使得報(bào)文能正確的轉(zhuǎn)發(fā)到防火墻上。對于NAT地址池和nat server的global地址，通常有兩種：

• 和接口地址在同一網(wǎng)段，此時(shí)只需要把接口的地址路由發(fā)布出去就可以，發(fā)布方式有很多種，比如在上行設(shè)備引入直連路由發(fā)布出去等。
• 和接口地址不在同一網(wǎng)段，此時(shí)發(fā)布NAT地址池和nat server的路由，不能通過在ospf中添加network的方式實(shí)現(xiàn)，因?yàn)镹AT地址池和nat server的global地址網(wǎng)段對于OSPF來說是down的，所以O(shè)SPF是不會發(fā)布相應(yīng)路由出去的，此時(shí)可以在防火墻上配置NAT地址池的地址或者是nat server的global地址的黑洞路由，然后通過在OSPF中引入靜態(tài)路由的方式實(shí)現(xiàn)。如果在防火墻的上行設(shè)備上直接配置靜態(tài)路由指向防火墻的接口，就更加簡單。

10、一個(gè)公網(wǎng)地址如何實(shí)現(xiàn)突破65535端口限制轉(zhuǎn)換無限私網(wǎng)地址

?

防火墻采用的是5元組（源端口，源地址，目的地址，目的端口，協(xié)議號）建立和查找session表。所以即使公網(wǎng)地址+公網(wǎng)端口出現(xiàn)重復(fù)，只要目的地址或目的端口不一樣，防火墻就能夠查找到正確的session表，轉(zhuǎn)發(fā)相應(yīng)的報(bào)文。在防火墻上使用NAT策略做NAT時(shí)，對于不同的流，可以出現(xiàn)NAT轉(zhuǎn)換后的IP和端口都相同的情況。

11、是否可以使用接口IP地址做NAT Server或源NAT策略轉(zhuǎn)換

?

可以。

• 如果NAT Server的global IP使用接口IP地址：在報(bào)文訪問防火墻時(shí)，會先對報(bào)文進(jìn)行目的地址的NAT轉(zhuǎn)換，訪問該接口IP地址的報(bào)文始終被替換成訪問NAT Server的inside地址，導(dǎo)致無法訪問該接口，一些常用的針對該接口進(jìn)行的ping探測、WEB管理、Telnet管理等會出問題，所以應(yīng)該避免使用接口地址做NAT Server的全局global IP，可以使用基于協(xié)議的nat server，但是要避免與訪問防火墻本身需求相沖突。
• 如果使用接口IP做源NAT策略：當(dāng)主動訪問防火墻接口IP地址時(shí)，該報(bào)文走首包流程，可以直接訪問該接口IP，不受源NAT策略配置影響。

nat sever和nat outbound一起配置時(shí)，nat server優(yōu)先級高于nat outbound，即報(bào)文先匹配nat server。

12、地址轉(zhuǎn)換和代理（Proxy）的區(qū)別是什么

?

地址轉(zhuǎn)換技術(shù)和地址代理技術(shù)有很類似的地方，都是提供了私有地址訪問Internet的能力。

但是兩者是有區(qū)別的，它們區(qū)別的本質(zhì)是在TCP/IP協(xié)議棧中的位置不同。地址轉(zhuǎn)換是工作在網(wǎng)絡(luò)層，而地址代理是工作在應(yīng)用層。地址轉(zhuǎn)換對各種應(yīng)用是透明的，而地址代理必須在應(yīng)用程序中指明代理服務(wù)器的IP地址。例如使用地址轉(zhuǎn)換技術(shù)訪問Web網(wǎng)頁，不需要在瀏覽器中進(jìn)行任何的配置。而如果使用Proxy訪問Web網(wǎng)頁的時(shí)候，就必須在瀏覽器中指定Proxy的IP地址，如果Proxy只能支持HTTP協(xié)議，那么只能通過代理訪問Web服務(wù)器，如果想使用FTP就不可以了。因此使用地址轉(zhuǎn)換技術(shù)訪問Internet比使用Proxy技術(shù)具有十分良好的擴(kuò)充性，不需要針對應(yīng)用進(jìn)行考慮。

但是，地址轉(zhuǎn)換技術(shù)很難提供基于“用戶名”和“密碼”的驗(yàn)證。在使用Proxy的時(shí)候，可以使用驗(yàn)證功能，使得只有通過“用戶名”和“密碼”驗(yàn)證的用戶才能訪問Internet，而地址轉(zhuǎn)換不能做到這一點(diǎn)。

13、FW是否支持透明模式下（業(yè)務(wù)接口工作在交換模式）的源NAT的配置

?

支持，但只支持采用地址池中的地址做為轉(zhuǎn)換后的源地址，不支持采用出接口地址做為轉(zhuǎn)換后的源地址。

14、配置NAT和VPN功能同時(shí)工作時(shí)有什么注意事項(xiàng)

?

NAT和VPN功能同時(shí)工作時(shí)，請您精確定義NAT策略的匹配條件，確保NAT功能不會將原本是需要進(jìn)行VPN封裝的數(shù)據(jù)流做地址轉(zhuǎn)換。

15、NAT地址池中的地址是否必須為連續(xù)的地址

?

否。

NAT地址池是由“起始地址”和“結(jié)束地址”劃定的一段IP地址范圍，使用排除地址功能可以排除這個(gè)IP地址范圍內(nèi)某些特殊的IP地址。因此NAT地址池中的地址不一定是連續(xù)的地址。

另外，“起始地址”和“結(jié)束地址”也可以相同，此時(shí)NAT地址池中只有一個(gè)地址。

16、配置源NAT策略時(shí)，安全策略中指定的源地址是轉(zhuǎn)換前的還是轉(zhuǎn)換后的地址

?

配置源NAT策略時(shí)，安全策略中指定的源地址是轉(zhuǎn)換前的地址。

設(shè)備對報(bào)文進(jìn)行地址轉(zhuǎn)換時(shí)，先查找域間的安全策略，只有通過安全策略檢查，并且命中了域間NAT策略中定義的匹配條件的報(bào)文才會進(jìn)行地址轉(zhuǎn)換。因此域間安全策略中指定的源地址為轉(zhuǎn)換前的地址，即私網(wǎng)地址。

17、配置NAT Server時(shí)，安全策略中指定的目的地址是轉(zhuǎn)換前的還是轉(zhuǎn)換后的地址

?

配置NAT Server時(shí)，安全策略中指定的目的地址是轉(zhuǎn)換后的地址。

設(shè)備收到匹配上Server-Map表的報(bào)文后，先轉(zhuǎn)換報(bào)文的目的地址，然后再檢查安全策略，因此安全策略中指定的目的地址為轉(zhuǎn)換后的地址，即私網(wǎng)地址。

18、內(nèi)部網(wǎng)絡(luò)的用戶如何通過公網(wǎng)地址訪問位于同一安全區(qū)域內(nèi)同一網(wǎng)段的內(nèi)部服務(wù)器

?

首先配置一條源NAT策略，其源安全區(qū)域和目的安全區(qū)域均為用戶和內(nèi)部服務(wù)器所在的安全區(qū)域，將內(nèi)網(wǎng)用戶的源IP地址轉(zhuǎn)換為公網(wǎng)IP地址。然后再配置一條NAT Server，將去往服務(wù)器公網(wǎng)地址的報(bào)文目的IP地址轉(zhuǎn)換為私網(wǎng)地址。

19、設(shè)備在關(guān)閉狀態(tài)檢測功能后是否還支持地址轉(zhuǎn)換功能

?

關(guān)閉狀態(tài)檢查功能后，設(shè)備可以支持地址轉(zhuǎn)換功能。

20、三元組NAT為什么要使用源HASH選板模式

?

因?yàn)槿MNAT是端口獨(dú)占的NAT，因此在分配公網(wǎng)端口時(shí)需要保證分配的公網(wǎng)端口是唯一的。如果使用源+目的HASH模式，會導(dǎo)致內(nèi)網(wǎng)會話HASH到不同的CPU，此時(shí)如果要保證公網(wǎng)端口的唯一性就要同其他的CPU去協(xié)商，不僅實(shí)現(xiàn)困難，實(shí)現(xiàn)起來之后也會耗費(fèi)大量設(shè)備資源，上網(wǎng)體驗(yàn)也不好。

21、NAT統(tǒng)計(jì)多久一次

?

缺省情況下，NAT地址池統(tǒng)計(jì)周期為30分鐘。

• 可通過命令nat statistics interval，修改NAT地址池統(tǒng)計(jì)周期。
• 可通過命令display nat statistics information，查詢當(dāng)前設(shè)備的統(tǒng)計(jì)周期值設(shè)置為多少。

22、為啥V500R001C20版本執(zhí)行多次相同global ip和inside ip不同port的NAT Server時(shí)會報(bào)“Error: This inside address has been used.”

?

當(dāng)在V500R001C00、V300R001、V100R001版本上執(zhí)行多次相同global ip和inside ip不同port的NAT Server時(shí)，配置可以直接下發(fā)，因?yàn)橄嗤琯lobal ip和inside ip生成的reverse server-map都是相同的，但是V500R001C20及其之后版本開始在配置時(shí)做了校驗(yàn)，同一個(gè)inside ip第一條nat server允許下發(fā)，從第二條開始會進(jìn)行校驗(yàn)，如果發(fā)現(xiàn)是同一個(gè)inside ip會不允許下發(fā)，需要加上no-reverse參數(shù)，盡管加了no-reverse，但是效果還是一樣的。另外，設(shè)備啟動配置恢復(fù)階段，V500R001C20及其之后版本也不會對此進(jìn)行校驗(yàn)，從老版本升級上來是可以配置恢復(fù)成功的，僅僅是手工配的時(shí)候會進(jìn)行這個(gè)校驗(yàn)。

23、終端選定一個(gè)NAT公網(wǎng)地址后，后續(xù)的來自相同客戶端的數(shù)據(jù)能夠采用相同的NAT地址進(jìn)行轉(zhuǎn)換嗎

?

可以，PAT模式下，只要不改變地址池的地址，會以相同的HASH方式進(jìn)行HASH，最后會HASH到同一個(gè)地址上面。