1、配置了nat server后Tracert防火墻上的global地址，顯示信息是什么

?

無論具有Inside地址的設(shè)備在防火墻內(nèi)部有多少跳，Tracert時全部顯示nat server的global的地址。如果有3跳，則顯示3次global地址。

2、nat server和destination-nat的主要區(qū)別是什么

?

• nat server配置后創(chuàng)建server-map表，destination-nat不創(chuàng)建。
• nat server優(yōu)先級高于destination-nat，首包到達防火墻后先進行nat server處理查server-map表，查不到server-map表的情況下，再進行destination-nat處理。
• nat server不配置no-reverse的情況下，雙向都能夠nat轉(zhuǎn)換，destination-nat只能單向NAT轉(zhuǎn)換。

3、目的NAT的匹配順序是什么

?

FW版本目的NAT匹配順序按buildrun顯示順序自上向下匹配，如果匹配到deny后跳過這條ACL繼續(xù)向下匹配目的NAT。

4、是否支持對ESP報文做NAT

?

PAT方式的NAT，不支持對ESP報文做NAT。NOPAT或NAT Server方式的NAT，支持對ESP報文做NAT。

5、配置NAT時什么情況下需要添加黑洞路由

?

• 配置NAT地址池地址和出接口IP地址不在同一網(wǎng)段時，必須將NAT地址池地址配置為黑洞路由。
• 配置帶端口的nat server，并且nat server的global地址跟出接口不在同一網(wǎng)段時，必須將nat server的global地址配置為黑洞路由。

防火墻配置NAT的時候添加黑洞路由的目的是防止以NAT地址池地址或nat server的global地址為目的地址的報文，防火墻查路由，仍向出接口發(fā)送，但防火墻下行設(shè)備認為該地址的目的路由在防火墻上，將報文又發(fā)回到防火墻，從而導致路由環(huán)路。
NAT地址池地址或nat server的global地址跟出接口IP地址在同一網(wǎng)段也可以配置黑洞路由，可以避免防火墻發(fā)起對NAT地址池地址或nat server的global地址的ARP請求報文，節(jié)省防火墻ARP資源。

6、FW是否支持nat server的global IP與所有接口IP均不在同一網(wǎng)段

?

支持，防火墻對nat server的global IP沒有做限制，只要防火墻上下行設(shè)備的路由正確即可，因為防火墻對于轉(zhuǎn)發(fā)的報文先做目的地址的NAT轉(zhuǎn)換（把nat server的global IP地址轉(zhuǎn)換為inside IP地址），后查路由表。

7、FW是否支持查看報文命中nat server和NAT地址池進行轉(zhuǎn)換的次數(shù)

?

目前防火墻沒有命令查看報文匹配nat server的次數(shù)。防火墻可以通過命令display nat-policy rule all查看報文匹配NAT策略的次數(shù)。

displaynat-policyruleall
Total:3
RULEIDRULENAMESTATEACTIONHITTED
-----------------------------------------------------------------------
0defaultenableno-nat0
1testdisableno-nat0
2abcenablenat5
----------------------------------------------------------------------

8、FW上NAT策略配置多條rule后按什么原則進行先后匹配

?

按照rule在NAT策略中顯示的先后順序進行匹配，一旦命中，無論是no-nat還是nat都不會再繼續(xù)匹配下去。

9、如何把NAT地址池和NAT Server的global地址路由發(fā)布出去

?

通常在防火墻上配置了NAT地址池或nat server，需要把NAT地址池和nat server的global地址路由發(fā)布出去，使得報文能正確的轉(zhuǎn)發(fā)到防火墻上。對于NAT地址池和nat server的global地址，通常有兩種：

• 和接口地址在同一網(wǎng)段，此時只需要把接口的地址路由發(fā)布出去就可以，發(fā)布方式有很多種，比如在上行設(shè)備引入直連路由發(fā)布出去等。
• 和接口地址不在同一網(wǎng)段，此時發(fā)布NAT地址池和nat server的路由，不能通過在ospf中添加network的方式實現(xiàn)，因為NAT地址池和nat server的global地址網(wǎng)段對于OSPF來說是down的，所以O(shè)SPF是不會發(fā)布相應(yīng)路由出去的，此時可以在防火墻上配置NAT地址池的地址或者是nat server的global地址的黑洞路由，然后通過在OSPF中引入靜態(tài)路由的方式實現(xiàn)。如果在防火墻的上行設(shè)備上直接配置靜態(tài)路由指向防火墻的接口，就更加簡單。

10、一個公網(wǎng)地址如何實現(xiàn)突破65535端口限制轉(zhuǎn)換無限私網(wǎng)地址

?

防火墻采用的是5元組（源端口，源地址，目的地址，目的端口，協(xié)議號）建立和查找session表。所以即使公網(wǎng)地址+公網(wǎng)端口出現(xiàn)重復，只要目的地址或目的端口不一樣，防火墻就能夠查找到正確的session表，轉(zhuǎn)發(fā)相應(yīng)的報文。在防火墻上使用NAT策略做NAT時，對于不同的流，可以出現(xiàn)NAT轉(zhuǎn)換后的IP和端口都相同的情況。

11、是否可以使用接口IP地址做NAT Server或源NAT策略轉(zhuǎn)換

?

可以。

• 如果NAT Server的global IP使用接口IP地址：在報文訪問防火墻時，會先對報文進行目的地址的NAT轉(zhuǎn)換，訪問該接口IP地址的報文始終被替換成訪問NAT Server的inside地址，導致無法訪問該接口，一些常用的針對該接口進行的ping探測、WEB管理、Telnet管理等會出問題，所以應(yīng)該避免使用接口地址做NAT Server的全局global IP，可以使用基于協(xié)議的nat server，但是要避免與訪問防火墻本身需求相沖突。
• 如果使用接口IP做源NAT策略：當主動訪問防火墻接口IP地址時，該報文走首包流程，可以直接訪問該接口IP，不受源NAT策略配置影響。

nat sever和nat outbound一起配置時，nat server優(yōu)先級高于nat outbound，即報文先匹配nat server。

12、地址轉(zhuǎn)換和代理（Proxy）的區(qū)別是什么

?

地址轉(zhuǎn)換技術(shù)和地址代理技術(shù)有很類似的地方，都是提供了私有地址訪問Internet的能力。

但是兩者是有區(qū)別的，它們區(qū)別的本質(zhì)是在TCP/IP協(xié)議棧中的位置不同。地址轉(zhuǎn)換是工作在網(wǎng)絡(luò)層，而地址代理是工作在應(yīng)用層。地址轉(zhuǎn)換對各種應(yīng)用是透明的，而地址代理必須在應(yīng)用程序中指明代理服務(wù)器的IP地址。例如使用地址轉(zhuǎn)換技術(shù)訪問Web網(wǎng)頁，不需要在瀏覽器中進行任何的配置。而如果使用Proxy訪問Web網(wǎng)頁的時候，就必須在瀏覽器中指定Proxy的IP地址，如果Proxy只能支持HTTP協(xié)議，那么只能通過代理訪問Web服務(wù)器，如果想使用FTP就不可以了。因此使用地址轉(zhuǎn)換技術(shù)訪問Internet比使用Proxy技術(shù)具有十分良好的擴充性，不需要針對應(yīng)用進行考慮。

但是，地址轉(zhuǎn)換技術(shù)很難提供基于“用戶名”和“密碼”的驗證。在使用Proxy的時候，可以使用驗證功能，使得只有通過“用戶名”和“密碼”驗證的用戶才能訪問Internet，而地址轉(zhuǎn)換不能做到這一點。

13、FW是否支持透明模式下（業(yè)務(wù)接口工作在交換模式）的源NAT的配置

?

支持，但只支持采用地址池中的地址做為轉(zhuǎn)換后的源地址，不支持采用出接口地址做為轉(zhuǎn)換后的源地址。

14、配置NAT和VPN功能同時工作時有什么注意事項

?

NAT和VPN功能同時工作時，請您精確定義NAT策略的匹配條件，確保NAT功能不會將原本是需要進行VPN封裝的數(shù)據(jù)流做地址轉(zhuǎn)換。

15、NAT地址池中的地址是否必須為連續(xù)的地址

?

否。

NAT地址池是由“起始地址”和“結(jié)束地址”劃定的一段IP地址范圍，使用排除地址功能可以排除這個IP地址范圍內(nèi)某些特殊的IP地址。因此NAT地址池中的地址不一定是連續(xù)的地址。

另外，“起始地址”和“結(jié)束地址”也可以相同，此時NAT地址池中只有一個地址。

16、配置源NAT策略時，安全策略中指定的源地址是轉(zhuǎn)換前的還是轉(zhuǎn)換后的地址

?

配置源NAT策略時，安全策略中指定的源地址是轉(zhuǎn)換前的地址。

設(shè)備對報文進行地址轉(zhuǎn)換時，先查找域間的安全策略，只有通過安全策略檢查，并且命中了域間NAT策略中定義的匹配條件的報文才會進行地址轉(zhuǎn)換。因此域間安全策略中指定的源地址為轉(zhuǎn)換前的地址，即私網(wǎng)地址。

17、配置NAT Server時，安全策略中指定的目的地址是轉(zhuǎn)換前的還是轉(zhuǎn)換后的地址

?

配置NAT Server時，安全策略中指定的目的地址是轉(zhuǎn)換后的地址。

設(shè)備收到匹配上Server-Map表的報文后，先轉(zhuǎn)換報文的目的地址，然后再檢查安全策略，因此安全策略中指定的目的地址為轉(zhuǎn)換后的地址，即私網(wǎng)地址。

18、內(nèi)部網(wǎng)絡(luò)的用戶如何通過公網(wǎng)地址訪問位于同一安全區(qū)域內(nèi)同一網(wǎng)段的內(nèi)部服務(wù)器

?

首先配置一條源NAT策略，其源安全區(qū)域和目的安全區(qū)域均為用戶和內(nèi)部服務(wù)器所在的安全區(qū)域，將內(nèi)網(wǎng)用戶的源IP地址轉(zhuǎn)換為公網(wǎng)IP地址。然后再配置一條NAT Server，將去往服務(wù)器公網(wǎng)地址的報文目的IP地址轉(zhuǎn)換為私網(wǎng)地址。

19、設(shè)備在關(guān)閉狀態(tài)檢測功能后是否還支持地址轉(zhuǎn)換功能

?

關(guān)閉狀態(tài)檢查功能后，設(shè)備可以支持地址轉(zhuǎn)換功能。

20、三元組NAT為什么要使用源HASH選板模式

?

因為三元組NAT是端口獨占的NAT，因此在分配公網(wǎng)端口時需要保證分配的公網(wǎng)端口是唯一的。如果使用源+目的HASH模式，會導致內(nèi)網(wǎng)會話HASH到不同的CPU，此時如果要保證公網(wǎng)端口的唯一性就要同其他的CPU去協(xié)商，不僅實現(xiàn)困難，實現(xiàn)起來之后也會耗費大量設(shè)備資源，上網(wǎng)體驗也不好。

21、NAT統(tǒng)計多久一次

?

缺省情況下，NAT地址池統(tǒng)計周期為30分鐘。

• 可通過命令nat statistics interval，修改NAT地址池統(tǒng)計周期。
• 可通過命令display nat statistics information，查詢當前設(shè)備的統(tǒng)計周期值設(shè)置為多少。

22、為啥V500R001C20版本執(zhí)行多次相同global ip和inside ip不同port的NAT Server時會報“Error: This inside address has been used.”

?

當在V500R001C00、V300R001、V100R001版本上執(zhí)行多次相同global ip和inside ip不同port的NAT Server時，配置可以直接下發(fā)，因為相同global ip和inside ip生成的reverse server-map都是相同的，但是V500R001C20及其之后版本開始在配置時做了校驗，同一個inside ip第一條nat server允許下發(fā)，從第二條開始會進行校驗，如果發(fā)現(xiàn)是同一個inside ip會不允許下發(fā)，需要加上no-reverse參數(shù)，盡管加了no-reverse，但是效果還是一樣的。另外，設(shè)備啟動配置恢復階段，V500R001C20及其之后版本也不會對此進行校驗，從老版本升級上來是可以配置恢復成功的，僅僅是手工配的時候會進行這個校驗。

23、終端選定一個NAT公網(wǎng)地址后，后續(xù)的來自相同客戶端的數(shù)據(jù)能夠采用相同的NAT地址進行轉(zhuǎn)換嗎

?

可以，PAT模式下，只要不改變地址池的地址，會以相同的HASH方式進行HASH，最后會HASH到同一個地址上面。