u012451051的博客

把NAT地址池中的地址配置成和私网服务器在同一网段，当私网服务器回应公网用户的访问请求时，发现自己的地址和目的地址在同一网段，此时私网服务器就不会去查找路由，而是发送ARP广播报文询问目的地址对应的MAC。答案是肯定不会影响，但是配置了有它本身的好处。在配置源NAT策略时，destination-address：由于先进行NAT Server转换，再进行源NAT转换，所以此处的目的地址是NAT Server转换后的地址，即服务器的私网地址。这里配置的源NAT，虽然叫源NAT，考虑的时候是反着来的。

第一条，反向表，将报文源地址192.168.10.2转换为110.1.1.1，第二条，反向表，将源地址192.168.10.2，转换为210.1.1.1，如果同时下发后，防火墙既可以将报文源地址由192.168.10.2转换为110.1.1.1，又可以将源地址192.168.10.2，转换为210.1.1.1，于是，防护墙凌乱了。例如：ISP1网络中的公网用户如果通过防火墙发布了ISP2的公网地址来访问私网服务器，或者ISP1的公网用户访问服务器后，从ISP2回包的，基本就属于绕路了。

NAT No-PAT：一对一，不转换端口，生成Server-map表，需要配置路由黑洞。NAPT：多对一，多对多。转换端口，不生成server-map表，需要配置路由黑洞。Easy-IP：多对一，转换端口，不生成server-map表，无需配置路由黑洞。Smart NAT：一对一，多对一（针对预留地址），预留地址会转换端口，仅NAT No-PAT方式生成Server-map表，需要配置路由黑洞。三元组NAT：多对一，多对多，转换端口，生成Server-map表，不必配置路由黑洞。

对于不在detect命令支持协议范围内的某些特殊应用，防火墙提供了用户自定义协议的ASPF功能。可以通过ACL来识别该应用的报文，ASPF会自动为其创建三元组Server-map表项。保证该应用报文顺利通过防火墙。配置ACL越精细越好，以免影响其他业务。以TFTP举例TFTP协议控制通道和数据通道共用TFTP客户端的端口号。开启用户自定义的ASPF功能很简单。acl 3000开启后虽然生成的表项保证了业务，但是也存在对端口的访问权限。

2013年9月，华为在企业网络大会发布了下一代防火墙USG6600，标志着华为进入新的历史发展阶段。防火墙主要用户保护一个网络免受来自另一个网络的攻击和入侵行为，因其隔离、防守的属性，防火墙灵活用于网络边界、子网隔离等位置。路由器用来连接不同的网络，通过路由协议来保证互联互通，确保将报文转发到目的地。交换机通常用于组建局域网，作为局域网的重要枢纽，通过二三层交换机快速转发报文。防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器和交换机本质是转发，防火墙本质是控制。