当前位置：首页 > news >正文

huawei USG6001v1学习----NAT和智能选路

news 2026/2/10 19:19:55

1.NAT的分类

2.智能选路

1.就近选路

2.策略路由

3.智能选路

NAT:（Network Address Translation，网络地址转换） 指网络地址转换，1994年提出的。NAT是用于在本地网络中使用私有地址，在连接互联网时转而使用全局 IP 地址的技术。NAT实际上是为解决IPv4地址短缺而开发的技术。

NAPT:（Network Address Port Translation），即网络地址端口转换，可将多个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部地址相对应，也就是与之间的转换。NAPT普遍用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT也被称为“多对一”的NAT，或者叫PAT（Port Address Translations，端口地址转换）、地址超载（address overloading）。

NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号

1.NAT的分类

对报文中的源地址进行转换还是对目的地址进行转换，NAT可以分为源NAT、目的NAT和双向NAT

源NAT --- 基于源IP地址进行转换，包含静态NAT，动态NAT以及NAPT

-------争对源地址进行转换，主要应用场景是私网访问公网

目标NAT --- 基于目标IP地址进行转换，以前的端口映射

--------仅对报文中的目的地址和目的端口号进行转换，主要应用于公网用户访问私网服务的场景

双向NAT --- 同时转换源IP地址和目标IP地址

-------转换过程中同时转换报文的源信息和目的信息。双向NAT不是一个单独的功能，而是源NAT和目的NAT的组合。主要应用在同时有外网用户访问内部服务器和私网用户访问内部服务器的场景。

配置：

出接口是easy IP，指定接口转发，动态nat可以选择地址池中地址，配相应的地址范围

注意：

配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口，这里主要是为了

应对公网地址和出接口地址不在同一个网段的情况，因为在这种情况下，如果公网用户访问地

址池中的公网地址，将可能造成环路，所以，需要通过空接口防环；如果公网地址池地址和出

接口在同一个网段，也可以勾选该选项，这种情况下虽然不会出现环路，但是，有了这个黑洞

路由，可以减少ARP报文的出现；

（都是针对NAPT技术）

五元组NAT --- 通过源IP，源端口，目标IP，目标端口，协议五个参数来标定一次NAT的转

换，如果任何一个参数发生变化，都需要更换端口来进行转换。

三元组NAT --- 仅识别源IP，源端口和协议三个参数来区分一次NAT的链接。

端口预分配 --- 可以设定端口转换使用的端口范围

源IP地址数量限制 --- 可以设定一个公网IP地址转换的源IP地址的数量，比如设置为1，则公

网IP地址在会话表老化之前，只能针对一个源IP地址进行转换

保留IP地址 ---- 可以将不需要使用的公网IP地址放置在保留IP地址中，则在进行转换的时候，

不会使用该地址转换。

在一下情况建议使用三元组,因为做了nat转换后，目标地址端口会发生变化，导致不知道发给谁，然后丢包

服务器映射

将私网的http服务器IP与公网的一个IP一对一的绑定，当外网访问这个服务器的时候，就直接访问绑定的公网IP。

注意：源NAT的执行在安全策略之后，目标NAT的执行在安全策略之前；

端口是用来标识主机的，端口是用来标识应用和服务的，一个地址可以有多个端口

安全区域 ---- 写的是被允许访问该服务器设备所在的区域。

双向NAT场景

源NAT
1，将不同的接口放置在不同的区域中，基于区域做NAT策略
2，将不同的接口放在同一个区域，基于接口做NAT策略
目标NAT
1，可以分区域配置两个服务器映射
2，也可以是同一个区域。注意，如果是同一个区域，不能将两条服务器映射策略同时
开启“允许服务器访问公网”

2.智能选路

1.就近选路

--- 根据访问的节点所在的运营商选择对应的运营商线路

将近选路配置

2.策略路由

-PBR （(Policy-Based Routing）--- 策略路由其实也是一种策略，他不仅可以按照现有的路由表进行转发，而且可以根据用户指定的策略进行路由选择的机制，从更多维度决定报文是如何转发的，如例如源IP地址、源MAc地址、目的MAc地址、源端口号、目的端口号、VLAN-ID等等

抓取的流量进行转发

虚拟系统 --- VRF--把一个路由器和防火墙逻辑成多台进行转发

单出口

如果没有配置监控，则匹配上策略路由的流量发现下一跳不可达，则将直接丢弃数据
包；如果可开启了检测，检测发现目标下一跳不可达，则将使该策略不生效，则直接不
匹配流量，数据包将直接走路由表。

3.智能选路

--- 全局选路策略

1，基于链路带宽进行负载分担

如果一条链路超过了过载保护阈值，则该链路不再参加智能选路（如果已经创建了会话
表的流量，则将依然走该链路。），将在剩下链路中继续进行智能选路。

基于源IP的会话保持 --- 来自同一个源IP或者同网段源IP的流量将始终使用同一个出接口
转发，适用于对链路切换敏感的场景
基于目的IP的会话保持 --- 访问同一个目标或者相同的目标网段，流量将始终使用同一
个出接口转发，适用于对链路切换敏感的场景

2，基于链路质量进行负载分担

1，丢包率 --- 防火墙会连续发送若干个（默认5个）探测报文，去计算丢包的比
例。（丢包个数/探测报文个数） --- 丢包率是最主要的链路质量参数
2，时延 --- 防火墙会连续发送若干个（默认5个）探测报文，取五次往返时间的平均值
作为时延参数。
3，延时抖动 --- 防火墙会连续发送若干个（默认5个）探测报文，取两两之间时延差值
的绝对值的平均值。