server技术原理和性能环节 Nat

：群众号【 网络 技术干货 圈】

作者 ：圈圈

Nat server技术原理

Nat server：指定 私有地址: 端口 和 私有地址:端口 构成一对一映射相关——映射表。这也是Nat server与其余nat的区别之一，Nat server可以指定端口启动映射。

网络topo如下：

性能环节：

首先对FW启动性能，给 接口 性能IP、掩码。

顺便把接口服务关上，为了繁难间接开启一切服务。（消费中倡导按需开启）

创立域，并将接口参与。

创立战略。

##性能IP[USG6000V1]intg1/0/0[USG6000V1-Gigabithernet1/0/0]ipd192.168.1.25424[USG6000V1-GigabitEthernet1/0/0]serve-manageallp[USG6000V1-GigabitEthernet1/0/0]intg1/0/1[USG6000V1-GigabitEthernet1/0/1]ipadd200.1.1.124[USG6000V1-GigabitEthernet1/0/1]service-manageallpermit[USG6000V1-GigabitEthernet1/0/1]q##端口参与域[USG6000V1]firewallzonedmz[USG6000V1-zone-dmz]addintg1/0/0[USG6000V1-zone-dmz]q[USG6000V1]firewallzoneuntrust[USG6000V1-zone-untrust]addintg1/0/1[USG6000V1-zone-untrust]q##放行战略[USG6000V1]security-policy[USG6000V1-policy-security]rulename1[USG6000V1-policy-security-rule-1]source-zonedmz[USG6000V1-policy-security-rule-1]desnation-zoneuntrust[USG6000V1-policy-security-rule-1]source-address192.168.1.024[USG6000V1-policy-security-rule-1]tionpermit[USG6000V1]security-policy[USG6000V1-policy-security]rulename2[USG6000V1-policy-security-rule-2]source-zoneuntrust[USG6000V1-policy-security-rule-2]destination-zonedmz[USG6000V1-policy-security-rule-2]destination-address192.168.1.024[USG6000V1-policy-security-rule-2]actionpermit##性能自动路由[USG6000V1]iproute-static0.0.0.00.0.0.0200.1.1.2##基于端口映射[USG6000V1]natserverprotocoltcpglobal200.1.1.18888inside192.168.1.180

R2：性能接口IP即可。

[Huawei]intg0/0/0[Huawei-GigabitEthernet0/0/0]ipadd200.1.1.224[Huawei-GigabitEthernet0/0/0]intg0/0/1[Huawei-GigabitEthernet0/0/1]ipadd172.16.1.25424

验证：

给server和client性能IP。

如下所示：Client可以成功访问内网内网主机。

也可以检查会话表 信息

[USG6000V1]disfirewallsessiontableverbose

会话表不存在的要素，或许是：

访问报文没有抵达防火墙。

访问报文被防火墙安保战略丢包。

防火墙没有到内网主机的路由。

防火墙防攻打造成丢包，例如IP spoofing。

假设会话表项存在，然而主机照应报文数量为0，或许的要素：主机服务未开启，两边设施没有到虚构IP地址段的路由：

displayfirewallsessiontableverbosesourceglobal10.100.10.100destinationglobal192.168.10.100httpVPN:public-->publicID:a48f3fb655030b65720d507Zone:untrust-->trustTTL:2Left:2359RecvInteace:GigabitEthernet1/0/7Interface:GigabitEthernet1/0/0NextHop:192.168.10.1MAC:00-03-fa-56-c2-4c<--packets:9bytes:8772-->packets:8bytes:728//8示意发送给主机报文的数量，9示意主机照应报文数量10.100.10.100:63334-->192.168.10.100:80PolicyName:SSLVPN

以上就是Nat Server性能环节及验证，假设疑问望指出，宿愿可以一同提高，加油~

原文题目：华为防火墙技术之NAT Server