请教防火墙上nat static outbound和nat static inbound的使用区别
- 0关注
- 0收藏,561浏览
问题描述:
请教防火墙nat static outbound和nat static inbound的使用区别,既然nat static outbound已经可以实现双向访问的一对一映射了,为什么又开发了nat static inbound这个指令,请问nat static inbound指令是在哪种场景使用的。
- 2024-08-23提问
- 举报
-
(0)
最佳答案
nat static outbound
nat static outbound命令用来配置出方向一对一静态地址转换映射。
undo nat static outbound命令用来删除出方向一对一静态地址转换映射。
【命令】
nat static outbound local-ip global-ip
undo nat static outbound local-ip
【缺省情况】
不存在任何地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
local-ip:内网IP地址。
global-ip:外网IP地址。
【使用指导】
对于从内网到外网的报文,将其源地址local-ip转换为global-ip;对于从外网到内网的报文,将其目的地址global-ip转换为local-ip。
【举例】
# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向静态地址转换映射。
<Sysname> system-view
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
【相关命令】
nat static inbound
nat static inbound命令用来配置入方向一对一静态地址转换映射。
undo nat static inbound命令用来删除指定的入方向一对一静态地址转换映射。
【命令】
nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] local-ip [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ]
undo nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] local-ip [ vpn-instance local-vpn-instance-name ]
【缺省情况】
不存在地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
global-ip:外网IP地址。
vpn-instance global-vpn-instance-name:外网IP地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN实例。
local-ip:内网IP地址。
vpn-instance local-vpn-instance-name:内网IP地址所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN实例。
acl:指定ACL的编号或名称,本参数用于控制指定源地址的内网主机可以访问外网。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从内网主动访问外网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\\”、“/”、“:”、“*”、“?”、“\”、“<”、“>”、“|”、“””和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
对于从外网到内网的报文,将其源地址global-ip转换为local-ip;对于从内网到外网的报文,将其目的地址local-ip转换为global-ip。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从外网到内网的报文都可以使用该配置进行源地址转换;所有从内网到外网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条入方向静态地址转换映射(包括nat static inbound和nat static inbound net-to-net)。
在VPN组网中,配置入方向静态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
对于引用了ACL的入方向一对一静态地址转换映射,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
【举例】
# 配置外网IP地址2.2.2.2到内网IP地址192.168.1.1的入方向静态地址转换。
<Sysname> system-view
[Sysname] nat static inbound 2.2.2.2 192.168.1.1
【相关命令】
· display nat all
· display nat static
· nat static enable
- 2024-08-23回答
- 评论(1)
- 举报
-
(0)
nat static outbound已经可以支持双向地址转换了啊,无论内网到外网还是外网到内网的,为啥还开发一个nat static inbound的啊
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
nat static outbound已经可以支持双向地址转换了啊,无论内网到外网还是外网到内网的,为啥还开发一个nat static inbound的啊