命令:
nat server [
id ]
protocol
protocol-type
global {
global-address [
global-address-end ] | interface
interface-type interface-number } [
global-port ]
inside
host-address [
host-address-end ] [
host-port ] [ vrrp {
virtual-router-id | master | slave } ] [ no-reverse ] [ vpn-instance
vpn-instance-name ]
配置不帶no-reverse參數的nat server后,當公網用戶訪問服務器時,設備能將服務器的公網地址轉換成私網地址;同時,當服務器主動訪問公網時,設備也能將服務器的私網地址轉換成公網地址。
配置參數no-reverse后,設備只將公網地址轉換成私網地址,不能將私網地址轉換成公網地址。當內部服務器主動訪問外部網絡時需要執行outbound的nat策略。
配置NATServer時,no-reverse參數主要用於什么場景?
解決方案
配置NAT Server時,如果沒有指定no-reverse參數,將會生成正反兩個方向的Server-Map表項,如下:
[USG9000] nat server global 202.169.10.20 inside 192.168.1.2
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3
------------------------------------------------------------------------------
Type: Nat Server, ANY -> 202.169.10.20[192.168.1.2], Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
Type: Nat Server Reverse, 192.168.1.2[202.169.10.20] -> ANY, Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
此時無法配置多個Global地址和同一個Inside地址建立映射關系,如下:
[USG9000] nat server global 211.38.20.20 inside 192.168.1.2
Error: The inside ip has been used, please modify it.
如果指定了no-reverse參數,只生成正方向的Server-Map表項,如下:
[USG9000] nat server global 202.169.10.20 inside 192.168.1.2 no-reverse
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3
------------------------------------------------------------------------------
Type: Nat Server, ANY -> 202.169.10.20[192.168.1.2], Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
此時可以配置多個Global地址和同一個Inside地址建立映射關系,如下:
[USG9000] nat server global 211.38.20.20 inside 192.168.1.2 no-reverse
[USG9000] nat server global 211.38.20.21 inside 192.168.1.2 no-reverse
因此no-reverse參數主要用於多出口的環境中,向多個外部網絡提供同一個內部服務器供訪問的場景。在該場景中,如果內部服務器想要主動訪問外部網絡,還需要在內部服務器所在區域和外部網絡所在區域的域間配置NAT策略,將內部服務器的私網地址轉換為公網地址,NAT策略中引用的地址池可以是Global地址也可以是其他的公網地址。
[USG9000] nat server global 202.169.10.20 inside 192.168.1.2
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3
------------------------------------------------------------------------------
Type: Nat Server, ANY -> 202.169.10.20[192.168.1.2], Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
Type: Nat Server Reverse, 192.168.1.2[202.169.10.20] -> ANY, Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
此時無法配置多個Global地址和同一個Inside地址建立映射關系,如下:
[USG9000] nat server global 211.38.20.20 inside 192.168.1.2
Error: The inside ip has been used, please modify it.
如果指定了no-reverse參數,只生成正方向的Server-Map表項,如下:
[USG9000] nat server global 202.169.10.20 inside 192.168.1.2 no-reverse
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3
------------------------------------------------------------------------------
Type: Nat Server, ANY -> 202.169.10.20[192.168.1.2], Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
此時可以配置多個Global地址和同一個Inside地址建立映射關系,如下:
[USG9000] nat server global 211.38.20.20 inside 192.168.1.2 no-reverse
[USG9000] nat server global 211.38.20.21 inside 192.168.1.2 no-reverse
因此no-reverse參數主要用於多出口的環境中,向多個外部網絡提供同一個內部服務器供訪問的場景。在該場景中,如果內部服務器想要主動訪問外部網絡,還需要在內部服務器所在區域和外部網絡所在區域的域間配置NAT策略,將內部服務器的私網地址轉換為公網地址,NAT策略中引用的地址池可以是Global地址也可以是其他的公網地址。