FAQ-USG2200 nat 功能相关说明

发布时间:  2014-11-29 浏览次数:  342 下载次数:  0
问题描述
Q1:NAT地址池中的地址是否必须为连续的地址?

Q2:如果域间NAT策略中配置了多条策略,报文的匹配原则是什么?

Q3:配置域间NAT策略时,能否将地址池地址和设备连接外网接口的地址设置在不同的网段?

Q4:配置NAT Server后是否还需要配置域间的防火墙策略?

Q5:配置NAT Server时,能否将Global地址和设备连接外网接口的地址设置在不同的网段?

Q6:设备支持以哪些形式输出地址转换的会话日志?

解决方案
A1:是。 配置NAT地址池的命令为nat address-group group-number [ address-group-name ] start-address end-address [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ],其中start-address为地址池的起始地址,end-address为地址池的结束地址。start-address和end-address之间为连续的地址范围,如果start-address和end-address相同,则表示地址池中只有一个地址。

A2:如果域间NAT策略中配置了多条策略,设备将会按照策略的显示顺序对报文进行匹配,与策略的编号无关

A3:可以,此时需要在与USG设备相连的上行路由设备上配置路由,使上行路由设备可以将去往地址池地址的报文正确转发到USG。此外,还需要在USG上配置目的地址为地址池地址的32位黑洞路由,使外网主动访问地址池地址的报文匹配到黑洞路由后直接被丢弃,不会在USG和上行路由设备之间循环转发。

A4:需要。设备收到报文后,先匹配Server-Map表,对报文的目的地址进行转换,然后根据转换后的目的地址查找路由表,确定报文的出接口。继而会检查报文入接口所在安全区域和出接口所在安全区域之间的防火墙策略,如果匹配上了某条防火墙策略,则对报文实施该策略中定义的动作;如果没有匹配域间的防火墙策略,则会继续检查缺省包过滤规则。因此在配置NAT Server时还需要配置域间的防火墙策略或者缺省包过滤

A5:可以,此时需要在与USG5300设备相连的上行路由设备上配置路由,使上行路由设备可以将去往Global地址的报文正确转发到USG。此外,还需要在USG上配置目的地址为Global地址的32位黑洞路由,使外部网络访问Global地址但没有匹配到Server-Map的报文匹配到黑洞路由后直接被丢弃,不会在USG和上行路由设备之间循环转发。

A6:设备支持以Syslog形式和二进制形式输出地址转换的会话日志,缺省情况下,采用Syslog形式输出。二进制形式的效率高于Syslog形式,推荐采用二进制形式输出地址转换的会话日志到Elog日志管理系统。

END