华为安全-防火墙-双向NAT_华为防火墙双向nat配置

在一些特殊的场景，可以将源NAT与SERVER NAT同时使用，以实现特殊的通讯，这就是本文介绍的双向NAT。双向NAT根据作用的ZONE不一样，可以分为域间双向NAT和域内双向NAT。

一、域间双向NAT

举个例子，下图中untrust域的用户访问企业的DMZ，常规配置，可以在企业的出口配置NAT SERVER策略，以实现公网的用户可以访问企业的资源，这时当untrust区域访问DMZ的时候，报文的目的IP将转换为DMZ区域的私网IP，在回包的过程中由于有网关的存在，也就知道路由怎么转发，在通过NAT SERVER转换的对应关系，也就实现了公网用户访问DMZ区域私网服务器。

我们先看一下传统NAT SERVER访问内网服务器数据包走向，来理解NAT转换的过程。

但是在有些企业，内网的服务器不需要让他联网，也就是不需要配置网关地址，这样的话常规的NAT SERVER在回包的过程就找不到路由，这样的话会把数据包丢弃，如果在此基础上增加源NAT，那么就可以实现DMZ区域的SERVER1不用配置网关。

下面我们根据最开始的的拓扑图来配置双向NAT

1、路由器的配置

<Huawei>sy
 
Enter system view, return user view with Ctrl+Z.
 
[Huawei]in g0/0/0
 
[Huawei-GigabitEthernet0/0/0]ip add 11.1.1.1 24
 
[Huawei-GigabitEthernet0/0/0]int g0/0/1
 
[Hu