防火墙 NAT

您好，可以是可以，有优先级的区别，参考

全局NAT策略根据报文的属性对报文进行地址转换，通过NAT规则定义需要识别的报文属性。与传统的基于接口的NAT相比，使用全局NAT策略不需要指定应用NAT规则的接口。

全局NAT策略由NAT规则组成，NAT规则由匹配条件和动作组成：

·     匹配条件：源地址、目的地址、服务类型、源安全域和目的安全域。每条NAT规则中可以根据需求配置不同的匹配条件，设备对匹配上的流量进行地址转换。匹配上的流量指的是能够匹配上某条NAT规则中所有匹配条件的流量。

·     动作：源地址转换和目的地址转换。

NAT规则有如下三种类型：

·     NAT类型的地址转换，即IPv4和IPv4地址的相互转换。关于NAT功能和原理的详细介绍，请参见“NAT配置指导”中的“NAT”。

·     NAT64类型的地址转，即IPv4和IPv6地址的相互转换。关于NAT64功能和原理的详细介绍，请参见“NAT配置指导”中的“AFT”。

·     NAT66类型的地址转换，即IPv6地址之间的相互转换，或者NPTv6方式的前缀转换。关于NAT66功能和原理的详细介绍，请参见“NAT配置指导”中的“NAT66”。

接口NAT通用配置限制和指导如下：

·     如果NAT规则中使用了ACL进行报文过滤，则NAT只对匹配指定的ACL permit规则的报文才进行地址转换，匹配时仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例，不关注ACL规则中定义的其它元素。

·     在双上行链路组网环境中，一个出接口配置了地址转换，另一个出接口没有配置地址转换，这种情况下，建议用户不要将两个出接口添加到同一个安全域，否则可能导致流量中断。关于“安全域”的相关介绍，请参见“安全配置指导”中的“安全域”。

·     对于支持多slot的设备，建议将NAT功能配置在设备的逻辑接口上，使得需要进行NAT转换的报文都能经过该逻辑接口进行处理。否则，可能会出现报文出入设备的slot不一致的情况，该情况会导致地址转换失败。

·     若接口上同时存在普通NAT静态地址转换、普通NAT动态地址转换、内部服务器、NAT444端口块静态映射、NAT444端口块动态映射和DS-Lite B4地址转换的配置，则在地址转换过程中，它们的优先级从高到低依次为：

a.     内部服务器。

b.     普通NAT静态地址转换。

c.     NAT444端口块静态映射。

d.     NAT444端口块动态映射、普通NAT动态地址转换和DS-Lite B4地址转换。对于NAT444端口块动态映射和普通NAT动态地址转换，系统在处理IPv4报文时对二者不做区分，统一按照ACL编号由大到小的顺序匹配。DS-Lite B4地址转换处理的是IPv6报文。

配置BRAS联动功能时，需要注意：

·     目前，支持BRAS联动功能的用户地址类型包括私网IP地址（private-ipv4）、私网双栈地址（private-ds）和轻量级双栈地址（ds-lite）。

·     用户上线后，若NAT444配置发生变更，则在线用户使用的公网IP和端口块也会随之变化，而上报给RADIUS服务器的公网IP和端口块并不能保持同步变化，会导致在线用户溯源不准确。因此，建议在NAT444配置发生变更之后，立即手动强制所有使用该NAT配置的用户下线。当用户再次上线之后，将会使用配置变更后的公网IP和端口。