1、配置了nat server后Tracert防火墻上的global地址，顯示信息是什么

?

無論具有Inside地址的設備在防火墻內部有多少跳，Tracert時全部顯示nat server的global的地址。如果有3跳，則顯示3次global地址。

2、nat server和destination-nat的主要區別是什么

?

• nat server配置后創建server-map表，destination-nat不創建。
• nat server優先級高于destination-nat，首包到達防火墻后先進行nat server處理查server-map表，查不到server-map表的情況下，再進行destination-nat處理。
• nat server不配置no-reverse的情況下，雙向都能夠nat轉換，destination-nat只能單向NAT轉換。

3、目的NAT的匹配順序是什么

?

FW版本目的NAT匹配順序按buildrun顯示順序自上向下匹配，如果匹配到deny后跳過這條ACL繼續向下匹配目的NAT。

4、是否支持對ESP報文做NAT

?

PAT方式的NAT，不支持對ESP報文做NAT。NOPAT或NAT Server方式的NAT，支持對ESP報文做NAT。

5、配置NAT時什么情況下需要添加黑洞路由

?

• 配置NAT地址池地址和出接口IP地址不在同一網段時，必須將NAT地址池地址配置為黑洞路由。
• 配置帶端口的nat server，并且nat server的global地址跟出接口不在同一網段時，必須將nat server的global地址配置為黑洞路由。

防火墻配置NAT的時候添加黑洞路由的目的是防止以NAT地址池地址或nat server的global地址為目的地址的報文，防火墻查路由，仍向出接口發送，但防火墻下行設備認為該地址的目的路由在防火墻上，將報文又發回到防火墻，從而導致路由環路。
NAT地址池地址或nat server的global地址跟出接口IP地址在同一網段也可以配置黑洞路由，可以避免防火墻發起對NAT地址池地址或nat server的global地址的ARP請求報文，節省防火墻ARP資源。

6、FW是否支持nat server的global IP與所有接口IP均不在同一網段

?

支持，防火墻對nat server的global IP沒有做限制，只要防火墻上下行設備的路由正確即可，因為防火墻對于轉發的報文先做目的地址的NAT轉換（把nat server的global IP地址轉換為inside IP地址），后查路由表。

7、FW是否支持查看報文命中nat server和NAT地址池進行轉換的次數

?

目前防火墻沒有命令查看報文匹配nat server的次數。防火墻可以通過命令display nat-policy rule all查看報文匹配NAT策略的次數。

displaynat-policyruleall
Total:3
RULEIDRULENAMESTATEACTIONHITTED
-----------------------------------------------------------------------
0defaultenableno-nat0
1testdisableno-nat0
2abcenablenat5
----------------------------------------------------------------------

8、FW上NAT策略配置多條rule后按什么原則進行先后匹配

?

按照rule在NAT策略中顯示的先后順序進行匹配，一旦命中，無論是no-nat還是nat都不會再繼續匹配下去。

9、如何把NAT地址池和NAT Server的global地址路由發布出去

?

通常在防火墻上配置了NAT地址池或nat server，需要把NAT地址池和nat server的global地址路由發布出去，使得報文能正確的轉發到防火墻上。對于NAT地址池和nat server的global地址，通常有兩種：

• 和接口地址在同一網段，此時只需要把接口的地址路由發布出去就可以，發布方式有很多種，比如在上行設備引入直連路由發布出去等。
• 和接口地址不在同一網段，此時發布NAT地址池和nat server的路由，不能通過在ospf中添加network的方式實現，因為NAT地址池和nat server的global地址網段對于OSPF來說是down的，所以OSPF是不會發布相應路由出去的，此時可以在防火墻上配置NAT地址池的地址或者是nat server的global地址的黑洞路由，然后通過在OSPF中引入靜態路由的方式實現。如果在防火墻的上行設備上直接配置靜態路由指向防火墻的接口，就更加簡單。

10、一個公網地址如何實現突破65535端口限制轉換無限私網地址

?

防火墻采用的是5元組（源端口，源地址，目的地址，目的端口，協議號）建立和查找session表。所以即使公網地址+公網端口出現重復，只要目的地址或目的端口不一樣，防火墻就能夠查找到正確的session表，轉發相應的報文。在防火墻上使用NAT策略做NAT時，對于不同的流，可以出現NAT轉換后的IP和端口都相同的情況。

11、是否可以使用接口IP地址做NAT Server或源NAT策略轉換

?

可以。

• 如果NAT Server的global IP使用接口IP地址：在報文訪問防火墻時，會先對報文進行目的地址的NAT轉換，訪問該接口IP地址的報文始終被替換成訪問NAT Server的inside地址，導致無法訪問該接口，一些常用的針對該接口進行的ping探測、WEB管理、Telnet管理等會出問題，所以應該避免使用接口地址做NAT Server的全局global IP，可以使用基于協議的nat server，但是要避免與訪問防火墻本身需求相沖突。
• 如果使用接口IP做源NAT策略：當主動訪問防火墻接口IP地址時，該報文走首包流程，可以直接訪問該接口IP，不受源NAT策略配置影響。

nat sever和nat outbound一起配置時，nat server優先級高于nat outbound，即報文先匹配nat server。

12、地址轉換和代理（Proxy）的區別是什么

?

地址轉換技術和地址代理技術有很類似的地方，都是提供了私有地址訪問Internet的能力。

但是兩者是有區別的，它們區別的本質是在TCP/IP協議棧中的位置不同。地址轉換是工作在網絡層，而地址代理是工作在應用層。地址轉換對各種應用是透明的，而地址代理必須在應用程序中指明代理服務器的IP地址。例如使用地址轉換技術訪問Web網頁，不需要在瀏覽器中進行任何的配置。而如果使用Proxy訪問Web網頁的時候，就必須在瀏覽器中指定Proxy的IP地址，如果Proxy只能支持HTTP協議，那么只能通過代理訪問Web服務器，如果想使用FTP就不可以了。因此使用地址轉換技術訪問Internet比使用Proxy技術具有十分良好的擴充性，不需要針對應用進行考慮。

但是，地址轉換技術很難提供基于“用戶名”和“密碼”的驗證。在使用Proxy的時候，可以使用驗證功能，使得只有通過“用戶名”和“密碼”驗證的用戶才能訪問Internet，而地址轉換不能做到這一點。

13、FW是否支持透明模式下（業務接口工作在交換模式）的源NAT的配置

?

支持，但只支持采用地址池中的地址做為轉換后的源地址，不支持采用出接口地址做為轉換后的源地址。

14、配置NAT和VPN功能同時工作時有什么注意事項

?

NAT和VPN功能同時工作時，請您精確定義NAT策略的匹配條件，確保NAT功能不會將原本是需要進行VPN封裝的數據流做地址轉換。

15、NAT地址池中的地址是否必須為連續的地址

?

否。

NAT地址池是由“起始地址”和“結束地址”劃定的一段IP地址范圍，使用排除地址功能可以排除這個IP地址范圍內某些特殊的IP地址。因此NAT地址池中的地址不一定是連續的地址。

另外，“起始地址”和“結束地址”也可以相同，此時NAT地址池中只有一個地址。

16、配置源NAT策略時，安全策略中指定的源地址是轉換前的還是轉換后的地址

?

配置源NAT策略時，安全策略中指定的源地址是轉換前的地址。

設備對報文進行地址轉換時，先查找域間的安全策略，只有通過安全策略檢查，并且命中了域間NAT策略中定義的匹配條件的報文才會進行地址轉換。因此域間安全策略中指定的源地址為轉換前的地址，即私網地址。

17、配置NAT Server時，安全策略中指定的目的地址是轉換前的還是轉換后的地址

?

配置NAT Server時，安全策略中指定的目的地址是轉換后的地址。

設備收到匹配上Server-Map表的報文后，先轉換報文的目的地址，然后再檢查安全策略，因此安全策略中指定的目的地址為轉換后的地址，即私網地址。

18、內部網絡的用戶如何通過公網地址訪問位于同一安全區域內同一網段的內部服務器

?

首先配置一條源NAT策略，其源安全區域和目的安全區域均為用戶和內部服務器所在的安全區域，將內網用戶的源IP地址轉換為公網IP地址。然后再配置一條NAT Server，將去往服務器公網地址的報文目的IP地址轉換為私網地址。

19、設備在關閉狀態檢測功能后是否還支持地址轉換功能

?

關閉狀態檢查功能后，設備可以支持地址轉換功能。

20、三元組NAT為什么要使用源HASH選板模式

?

因為三元組NAT是端口獨占的NAT，因此在分配公網端口時需要保證分配的公網端口是唯一的。如果使用源+目的HASH模式，會導致內網會話HASH到不同的CPU，此時如果要保證公網端口的唯一性就要同其他的CPU去協商，不僅實現困難，實現起來之后也會耗費大量設備資源，上網體驗也不好。

21、NAT統計多久一次

?

缺省情況下，NAT地址池統計周期為30分鐘。

• 可通過命令nat statistics interval，修改NAT地址池統計周期。
• 可通過命令display nat statistics information，查詢當前設備的統計周期值設置為多少。

22、為啥V500R001C20版本執行多次相同global ip和inside ip不同port的NAT Server時會報“Error: This inside address has been used.”

?

當在V500R001C00、V300R001、V100R001版本上執行多次相同global ip和inside ip不同port的NAT Server時，配置可以直接下發，因為相同global ip和inside ip生成的reverse server-map都是相同的，但是V500R001C20及其之后版本開始在配置時做了校驗，同一個inside ip第一條nat server允許下發，從第二條開始會進行校驗，如果發現是同一個inside ip會不允許下發，需要加上no-reverse參數，盡管加了no-reverse，但是效果還是一樣的。另外，設備啟動配置恢復階段，V500R001C20及其之后版本也不會對此進行校驗，從老版本升級上來是可以配置恢復成功的，僅僅是手工配的時候會進行這個校驗。

23、終端選定一個NAT公網地址后，后續的來自相同客戶端的數據能夠采用相同的NAT地址進行轉換嗎

?

可以，PAT模式下，只要不改變地址池的地址，會以相同的HASH方式進行HASH，最后會HASH到同一個地址上面。