配置NATServer时，no-reverse参数主要用于什么场景？(允许服务器使用公网地址上网no-reverse e)(display firewall server-map)

配置NATServer时，no-reverse参数主要用于什么场景？(允许服务器使用公网地址上网no-reverse e)(display firewall server-map)
解决方案

配置NAT Server时，如果没有指定no-reverse参数，将会生成正反两个方向的Server-Map表项，如下：
[USG9000] nat server global 20.69.10.20 inside 192.168.1.2
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3                                              
------------------------------------------------------------------------------ 
Type: Nat Server,  ANY -> 20.69.10.20[192.168.1.2],  Zone:---                   
Protocol: ANY(Appro: unknown),  Left-Time:---,  Pool: ---                      
Vpn: public -> public                                                                                                                          
Type: Nat Server Reverse,  192.168.1.2[20.69.10.20] -> ANY,  Zone:---           
Protocol: ANY(Appro: unknown),  Left-Time:---,  Pool: ---                      
Vpn: public -> public                                                         
此时无法配置多个Global地址和同一个Inside地址建立映射关系，如下：
[USG9000] nat server global 21.8.20.20 inside 192.168.1.2
Error: The inside ip has been used, please modify it.
如果指定了no-reverse参数，只生成正方向的Server-Map表项，如下：
[USG9000] nat server global 20.69.10.20 inside 192.168.1.2 no-reverse
[USG9000] display firewall server-map
ServerMap item(s) on slot 2 cpu 3                                              
------------------------------------------------------------------------------ 
Type: Nat Server,  ANY -> 20.69.10.20[192.168.1.2],  Zone:---                   
Protocol: ANY(Appro: unknown),  Left-Time:---,  Pool: ---                      
Vpn: public -> public                                                         
此时可以配置多个Global地址和同一个Inside地址建立映射关系，如下：
[USG9000] nat server global 21.8.20.20 inside 192.168.1.2 no-reverse
[USG9000] nat server global 21.8.20.21 inside 192.168.1.2 no-reverse
因此no-reverse参数主要用于多出口的环境中，向多个外部网络提供同一个内部服务器供访问的场景。在该场景中，如果内部服务器想要主动访问外部网络，还需要在内部服务器所在区域和外部网络所在区域的域间配置NAT策略，将内部服务器的私网地址转换为公网地址，NAT策略中引用的地址池可以是Global地址也可以是其他的公网地址。

配置NAT Server时，对于同一个内部服务器发布多个公网IP供外部网络访问的场景，如果不同公网IP所在的链路规划在同一个安全区域，必须通过配置指定no-reverse参数的NAT Server来实现。另外，指定no-reverse参数后，内部服务器将无法主动访问外部网络。如果需要内部服务器主动访问外网，则可以另外给内网的网段配置一个源NAT。

NAT回流

目前大多数企业网都存在nat回流现象，回流是为了让内网用户能通过公网地址访问服务器。此时还涉及到一个概念就是源进源出和非源进源出。非源进源出例如：设备的数据流从接口7进来但是从接口6出去，从A地址进从B地址出。

华为设备命令：

nat server ops_3389_33891 zone untrust protocol tcp global 22x.xxx.xx.16 33891 inside 172.16.xxx.200 3389 no-reverse unr-route

【22x.xxx.xx.16为源进地址，带no-reverse不勾选[允许服务器使用公网地址上网]为源出地址，此时源进源出不一样，源出为默认出口地址】

nat server ops_3389_33891 zone untrust protocol tcp global 223.70.239.16 33891 inside 172.16.151.19 3389 unr-route

【22x.xxx.xx.16为源进地址，不带no-reverse勾选[允许服务器使用公网地址上网]为源出地址，此时源进源出一样,源出为22x.xxx.xx.16】

带参数no-reverse的nat server命令，可以为该内部服务器配置多个公网地址；

未配置参数no-reverse则表示只能为该内部服务器配置一个公网地址。

配置不带no-reverse参数的nat server后，当公网用户访问服务器时，设备能将服务器的公网地址转换成私网地址；同时，当服务器主动访问公网时，设备也能将服务器的私网地址转换成公网地址。

配置参数no-reverse后，设备只将公网地址转换成私网地址，不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行outbound的nat策略。

global地址可以为静态的IP地址global-address，也可以借用动态的接口，即interface对应的接口，以实现当公网IP发生变化时能进行正常的NAT转换。摘自（华为）

如果内网用户和内部服务器都是通过交换机汇聚后接入到设备上，那么就不能将内网用户和内部服务器划分到不同的安全区域中。所以此时只能通过配置域内NAT来实现内网用户通过公网IP访问内部服务器的需求。在实现域内NAT过程中，既要将访问内部服务器的报文的目的地址由公网地址转换为私网地址，又需要将源地址由私网地址转换为公网地址。

注意：域内的源NAT的“目的地址”，是服务器的内网IP。

NAT参数：no-reverse unr-route（允许服务器使用公网地址上网no-reverse 、配置黑洞路由unr-route）

http://www.zh-cjh.com/wangluoanquan/3662.html