配置NATServer时,no-reverse参数主要用于什么场景?
命令:nat server [ id ] protocol protocol-type global { global-address [ global-address-end ] | interface interface-type interface-number } [ global-port ] inside host-address [ host-address-end ] [ host-port ] [ vrrp { virtual-router-id | master | slave } ] [ no-reverse ] [ vpn-instance vpn-instance-name ]
配置不带no-reverse参数的nat server后,当公网用户访问服务器时,设备能将服务器的公网地址转换成私网地址;同时,当服务器主动访问公网时,设备也能将服务器的私网地址转换成公网地址。
配置参数no-reverse后,设备只将公网地址转换成私网地址,不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行outbound的nat策略。
配置NATServer时,no-reverse参数主要用于什么场景?
解决方案
配置NAT Server时,如果没有指定no-reverse参数,将会生成正反两个方向的Server-Map表项,如下:
[USG9000] nat server global 202.169.10.20 inside 192.168.1.2
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3
------------------------------------------------------------------------------
Type: Nat Server, ANY -> 202.169.10.20[192.168.1.2], Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
Type: Nat Server Reverse, 192.168.1.2[202.169.10.20] -> ANY, Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
此时无法配置多个Global地址和同一个Inside地址建立映射关系,如下:
[USG9000] nat server global 211.38.20.20 inside 192.168.1.2
Error: The inside ip has been used, please modify it.
如果指定了no-reverse参数,只生成正方向的Server-Map表项,如下:
[USG9000] nat server global 202.169.10.20 inside 192.168.1.2 no-reverse
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3
------------------------------------------------------------------------------
Type: Nat Server, ANY -> 202.169.10.20[192.168.1.2], Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
此时可以配置多个Global地址和同一个Inside地址建立映射关系,如下:
[USG9000] nat server global 211.38.20.20 inside 192.168.1.2 no-reverse
[USG9000] nat server global 211.38.20.21 inside 192.168.1.2 no-reverse
因此no-reverse参数主要用于多出口的环境中,向多个外部网络提供同一个内部服务器供访问的场景。在该场景中,如果内部服务器想要主动访问外部网络,还需要在内部服务器所在区域和外部网络所在区域的域间配置NAT策略,将内部服务器的私网地址转换为公网地址,NAT策略中引用的地址池可以是Global地址也可以是其他的公网地址。
[USG9000] nat server global 202.169.10.20 inside 192.168.1.2
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3
------------------------------------------------------------------------------
Type: Nat Server, ANY -> 202.169.10.20[192.168.1.2], Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
Type: Nat Server Reverse, 192.168.1.2[202.169.10.20] -> ANY, Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
此时无法配置多个Global地址和同一个Inside地址建立映射关系,如下:
[USG9000] nat server global 211.38.20.20 inside 192.168.1.2
Error: The inside ip has been used, please modify it.
如果指定了no-reverse参数,只生成正方向的Server-Map表项,如下:
[USG9000] nat server global 202.169.10.20 inside 192.168.1.2 no-reverse
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3
------------------------------------------------------------------------------
Type: Nat Server, ANY -> 202.169.10.20[192.168.1.2], Zone:---
Protocol: ANY(Appro: unknown), Left-Time:---, Pool: ---
Vpn: public -> public
此时可以配置多个Global地址和同一个Inside地址建立映射关系,如下:
[USG9000] nat server global 211.38.20.20 inside 192.168.1.2 no-reverse
[USG9000] nat server global 211.38.20.21 inside 192.168.1.2 no-reverse
因此no-reverse参数主要用于多出口的环境中,向多个外部网络提供同一个内部服务器供访问的场景。在该场景中,如果内部服务器想要主动访问外部网络,还需要在内部服务器所在区域和外部网络所在区域的域间配置NAT策略,将内部服务器的私网地址转换为公网地址,NAT策略中引用的地址池可以是Global地址也可以是其他的公网地址。
作者:静默虚空
欢迎任何形式的转载,但请务必注明出处。
限于本人水平,如果文章和代码有表述不当之处,还请不吝赐教。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!