FAQ-配置NAT策略时有哪些注意事项

发布时间:  2014-09-19 浏览次数:  106 下载次数:  0
问题描述
配置NAT策略时有哪些注意事项?
解决方案
1. 在双机热备负载分担(双主)组网情况下,为避免主备防火墙上NAT地址池的端口重叠,需要配置NAT地址池端口分段功能。
如下命令配置的NAT地址池可以使用的端口范围为2048~33767:
[USG9000] hrp nat primary-group
如下命令配置的NAT地址池可以使用的端口范围为33768~65535:
[USG9000] hrp nat secondary-group
2. 静态映射中配置的公网IPv4地址池的地址不能与NAT地址池中的地址冲突,否则配置失败。
3. 排除地址池中的IP地址、排除地址池中的端口和配置地址池的工作状态等功能不能和端口预分配功能同时配置。
4. 配置三元组NAT时,不能将NAT地址池中的IP地址配置为32位的主机路由,否则会影响业务。
5. 为避免路由环路,请将NAPT方式的地址池中IP地址配置为黑洞路由。
6. 如果需要使用三元组NAT功能,必须将HASH选板模式设置为源地址HASH模式。
7. 当NAT策略中需要指定源IP地址时,源IP地址应该设置为NAT转换前的私网IP地址;如果与NAT Server配合使用时,当NAT策略中需要指定目的IP地址时,目的地址应该为NAT Server的Inside地址。

END