文档介绍：第四章 网络地址转换技术
目标
学完本课程后，您将能够:
驾驭NAT的技术原理
驾驭NAT几种应用方式
驾驭防火墙的NAT配置
书目
网络地址转换技术介绍
源NAT技术
服务器映射及目的NAT技术
双向NAT技术
Nddress-group address-group name } | easy-ip } | no-nat }
配置源NAT策略 (WEB)
指定源和目的地址
指定源和目的平安区域
可以选择将地址转换为地址池地址，也可以干脆指定接口IP地址为转换后的地址
为什么须要NAT ALG？
NAT ALG（Application Level Gateway，应用级网关）是特定的应用协议的转换代理，可以完成应用层数据中携带的地址及端口号信息的转换
以太网首部
IP首部
TCP首部
应用数据
以太网尾部
NAT可以转换的部分
﹖
NAT ALG实现原理
FTP主动模式下的NAT ALG应用
私网
公网
Host
NAT ALG

FTP Server
Host与FTP Server之间建立限制连接
发送PORT报文
（,1084）
ALG处理
PORT报文载荷已被转换
（, 12487）
FTP Server向Host发起数据连接
（, 3004  , 12487）
FTP Server向Host发起数据连接
（, 3004  , 1084）
在已经建立的数据连接上进行数据传输
NAT与Server Map表
NAT ALG通过 server-map表中的转换字段，可以转换上层的信息
NAT中生成Server-map表项 的两种状况：
配置NAT Server
配置NAT No-PAT
设备会自动生成Server-map表项，用于存放Global地址与Inside地址的映射关系。
设备会为已配置的多通道协议产生的有实际流量的数据流建立Server-map表。
书目
网络地址转换技术介绍
源NAT技术
服务器映射及目的NAT技术
双向NAT技术
NAT应用场景配置
NAT Server-内部服务器
内部服务器(Nat Server)功能是运用一个公网地址来代表内部服务器对外地址。
DMZ
untrust
在防火墙上，特地为内部的服务器配置一个对外的公网地址来代表私网地址。对于外网用户来说，防火墙上配置的外网地址就是服务器的地址。
公网地址
真正的地址
WWW服务器
外网用户
源IP地址 目的
源IP地址 目的
转换
基于NAT Server的配置 (CLI)
在系统视图下:
nat server [ id ] protocol protocol-type global { global-address [ global-address-end ] | interface interface-type interface-number } inside host-address [ host-address-end ] [ no-reverse ][ vpn-instance vpn-instance-name2 ]
例：nat server server1 protocol tcp global inside www
IP协议承载的协议类型
转换后的公网地址
内部server实际地址
服务类型
基于NAT Server的配置(WEB)
静态映射即为NAT Server配置
设置公网地址和私网地址
对应于no-reserve参数
目的NAT
在移动终端访问无线网络时，假如其缺省WAP网关地址与所在地运营商的WAP网关地址不一样时，可以在终端与WAP网关中间部署一台设备，并配置目的NAT功能，使设备自动将终端发往错误WAP网关地址的报文自动转发给正确的WAP网关。
基站
GGSN
GSR
防火墙
WAP网关
基于目的NAT的配置(CLI)
在系统视图下，进入平安区域视图，配置目的NAT
firewall zone [ name ] zone-name
destination-nat acl-number address ip-address [ port port-number ]

举例：
[USG] firewall zone trust
书目
网络地址转换技术介绍