网络基础及其安全 7

项目3防火墙NAT技术应用练习与实践题目参考答案1.选择题1）在网络架构中，NAT技术的主要作用是什么？（B）A．加快网络传输速度B．隐藏内部网络结构，保护内部IP地址C．替代IPv6解决地址短缺问题D．增加网络带宽解析：A．加快网络传输速度，错误。NAT需要进行地址转换，实际上可能略微增加处理延迟，不会加快传输速度。B．隐藏内部网络结构，保护内部IP地址，正确。NAT将内部私有IP转换为公网IP，外部无法直接看到内部主机的真实IP，增强了隐蔽性。C．替代IPv6解决地址短缺问题，错误。NAT缓解了IPv4地址短缺问题，但只是一种过渡方案，并非IPv6的替代技术。D．增加网络带宽，错误。NAT与带宽增加无关，带宽取决于物理链路和网络设备。2）哪家公司通常在其网络设备（如路由器、防火墙）中广泛支持NAT功能？（C）A．IBM B．Microsoft C．Cisco D．Apple解析：A．IBM，错误。IBM主要业务是服务器、大型机、软件服务，不是主流网络设备制造商。B．Microsoft，错误。Microsoft主要开发操作系统与软件，虽然WindowsServer有NAT功能，但并非网络硬件设备主流厂商。C．华为，正确。华为是网络设备领域的领导者，其路由器、防火墙等广泛支持NAT功能。D．Apple，错误。Apple主要生产消费电子（电脑、手机），不生产企业级网络设备。3）以下哪种NAT类型允许将内部网络的多个私有IP地址映射到单个公网IP地址上，并通过端口号区分不同的内部连接？（C）A.静态NAT B.动态NATC.NAPT（网络地址和端口转换） D.PAT（端口地址转换）解析：A．静态NAT，错误。一对一固定映射，不通过端口区分，且一个公网IP只能对应一个私有IP。B．动态NAT，错误。多个私有IP对应一个公网IP池，但仍然是IP对IP映射，不通过端口区分。C．NAPT（网络地址和端口转换），正确。即PAT（PortAddressTranslation），通过“IP+端口”的组合来区分不同会话，允许多个内网IP共享一个公网IP。D．PAT（端口地址转换），错误。本质上与NAPT是同一技术，不同教材/厂商叫法不同。但在本题中，因为C选项明确写了“网络地址和端口转换”，更符合RFC标准术语，因此优选C。4)当配置NATServer时，通常需要在防火墙上设置什么来允许外部用户访问内部服务器？（）A．静态路由 B．访问控制列表（ACL）C．静态NAT条目，映射内部服务器IP到公网IP D.DHCP作用域解析：A．静态路由，错误。静态路由用于指导数据包转发路径，与NAT映射无关。B．访问控制列表（ACL），错误。ACL用于控制访问权限，但NATServer本身需要的是地址映射规则，ACL只是可选的安全配合措施。C．静态NAT条目，映射内部服务器IP到公网IP，正确。NATServer（端口映射/静态NAT）要求将内部服务器的私有IP和端口固定映射到公网IP的某个端口，以便外部访问。D．DHCP作用域，错误。DHCP用于自动分配IP地址，与NATServer无关。5）哪项不是NAT技术带来的好处？（D）A．节省公网IP地址资源 B.隐藏内部网络拓扑，增加安全性C．简化网络配置，减少管理复杂性 D.消除网络延迟解析：A．节省公网IP地址资源，正确。B．隐藏内部网络拓扑，增加安全性，正确。C．简化网络配置，减少管理复杂性，正确。在一定程度上，因为内网可用私有地址，无需申请大量公网IP。D．消除网络延迟，错误。NAT会增加路由器/防火墙的处理负担，可能引入微小延迟，不会消除延迟。6）在一个实施了NAT的网络环境中，如果内部用户需要访问外部网络，并且要求源地址保持为公网地址（用于特定的合规性要求），应该使用哪种NAT技术或配置？（B）A.静态NAT，但方向相 B.源NAT（也称为SNAT）C.目的地NAT（DNAT） D.透明代理解析：A．静态NAT，但方向相反，错误。静态NAT通常用于将内部服务器映射到公网IP供外部访问，不是用于内部访问外部时保持源地址为公网地址的通用做法。B．源NAT（也称为SNAT），正确。SNAT在内部主机访问外部时，将其私有IP转换为指定的公网IP（可以是一个固定公网IP），从而在外部看来源地址是该公网IP。C．目的地NAT（DNAT），错误。DNAT是修改目标地址，常用于外部访问内部服务器，与本题场景不符。D．透明代理，错误。透明代理虽然可能修改源地址，但它主要工作在应用层，不是标准NAT技术，且不一定满足“保持为特定公网地址”需求。2.操作题1假设您是一家公司的网络管理员，公司有一个主办公室位于城市C，其内部网络使用私有IP地址范围/16。公司还拥有一个公网IP地址范围，包括一个公网IP地址，用于对外提供服务。公司计划通过防火墙（FW）配置NAT技术，以实现以下目标，网络拓扑图如图3-11所示，IP地址和端口详见表3-4。图3-SEQ图3-\*ARABIC11网络拓扑图表3-SEQ表3-\*ARABIC4IP地址和端口划分设备接口IP地址备注ARGE0/0/0/30AR2220FWGE1/0/0/30USG6000VGE1/0/54/24GE1/0/54/24Web服务器Ethernet0/0/000/24PC1Ethernet0/0//24①允许外部用户通过公网IP地址访问公司内部的一台Web服务器（内部IP地址为00）。②确保内部用户（如员工）能够使用公网IP地址安全地访问互联网，同时保持内部网络地址的隐藏。请按照以下参考步骤完成NAT配置，并在配置完成后验证NAT功能是否按预期工作。①环境准备确保防火墙（FW）设备已正确安装并连接到内部网络和外部网络。确认防火墙支持NAT功能，并已安装必要的操作系统和固件更新。②IP地址规划内部网络IP地址范围：/16Web服务器内部IP地址：00分配给Web服务器的公网IP地址：内部用户访问互联网时使用的NAT地址池（假设为动态NAT，此处不具体分配单个IP，但需在FW中配置地址池）。③配置目的NAT（DNAT）以允许外部访问Web服务器在FW上创建一个DNAT规则，将到达公网IP地址且目标端口为80（HTTP）的流量重定向到内部IP地址00的80端口。④配置源NAT（SNAT）以允许内部用户访问互联网在FW上启用源NAT（也称为PAT或NAPT），以便内部用户访问互联网时，其源IP地址被替换为FW的公网IP地址（或地址池中的一个地址，如果配置了地址池）。配置NAT过载（PAT）规则，确保所有从内部网络到外部网络的出站流量都经过此转换。⑤验证DNAT配置从外部网络（如使用家庭网络或手机网络）访问公网IP地址，检查是否能成功加载Web服务器的页面。使用工具如traceroute或tracert（Windows）查看数据包是否按预期路由到内部Web服务器。⑥验证SNAT配置从内部网络的一台计算机发起对外部网站（如）的访问。在FW上查看NAT日志（如果可用），确认源IP地址已被替换为FW的公网IP地址或地址池中的一个地址。也可以从外部网络捕获数据包，检查源IP地址是否为FW的公网IP地址，以验证SNAT是否生效。步骤1：基础网络配置#进入系统视图

<FW>system-view

#配置接口IP地址和安全区域

[FW]interfaceGigabitEthernet1/0/0

[FW-GigabitEthernet1/0/0]ipaddress52

[FW-GigabitEthernet1/0/0]descriptionTo-Internet

[FW-GigabitEthernet1/0/0]service-managepingpermit#允许ping管理

[FW-GigabitEthernet1/0/0]quit

[FW]interfaceGigabitEthernet1/0/1

[FW-GigabitEthernet1/0/1]ipaddress54

[FW-GigabitEthernet1/0/1]descriptionDMZ-Web-Server

[FW-GigabitEthernet1/0/1]quit

[FW]interfaceGigabitEthernet1/0/2

[FW-GigabitEthernet1/0/2]ipaddress54

[FW-GigabitEthernet1/0/2]descriptionInternal-User

[FW-GigabitEthernet1/0/2]quit

#配置安全区域

[FW]firewallzoneuntrust

[FW-zone-untrust]addinterfaceGigabitEthernet1/0/0

[FW-zone-untrust]quit

[FW]firewallzonedmz

[FW-zone-dmz]addinterfaceGigabitEthernet1/0/1

[FW-zone-dmz]quit

[FW]firewallzonetrust

[FW-zone-trust]addinterfaceGigabitEthernet1/0/2

[FW-zone-trust]quit

#配置默认路由指向AR

[FW]iproute-static步骤2：配置安全策略#允许untrust访问DMZ的Web服务器（HTTP/HTTPS）

[FW]security-policy

[FW-policy-security]rulenameuntrust_to_dmz_web

[FW-policy-security-rule-untrust_to_dmz_web]source-zoneuntrust

[FW-policy-security-rule-untrust_to_dmz_web]destination-zonedmz

[FW-policy-security-rule-untrust_to_dmz_web]destination-address0032

[FW-policy-security-rule-untrust_to_dmz_web]servicehttp

[FW-policy-security-rule-untrust_to_dmz_web]servicehttps

[FW-policy-security-rule-untrust_to_dmz_web]actionpermit

[FW-policy-security-rule-untrust_to_dmz_web]quit

#允许trust到untrust的互联网访问

[FW-policy-security]rulenametrust_to_untrust

[FW-policy-security-rule-trust_to_untrust]source-zonetrust

[FW-policy-security-rule-trust_to_untrust]destination-zoneuntrust

[FW-policy-security-rule-trust_to_untrust]actionpermit

[FW-policy-security-rule-trust_to_untrust]quit

#允许DMZ到外网的回应流量（如果Web服务器需要访问外网资源）

[FW-policy-security]rulenamedmz_to_untrust

[FW-policy-security-rule-dmz_to_untrust]source-zonedmz

[FW-policy-security-rule-dmz_to_untrust]destination-zoneuntrust

[FW-policy-security-rule-dmz_to_untrust]actionpermit

[FW-policy-security-rule-dmz_to_untrust]quit

[FW-policy-security]quit步骤3：配置DNAT（端口映射）#配置服务器映射（ServerMap）

[FW]natserverpolicy_webprotocoltcpglobalwwwinside00www

#或者使用以下等价命令：

[FW]natserverpolicy_webprotocoltcpglobal80inside0080

#如果需要HTTPS映射

[FW]natserverpolicy_web_httpsprotocoltcpglobal443inside00443

#配置域内NAT（如果内网用户需要通过公网IP访问内部服务器）

[FW]natinterzonetrustdmz

[FW-nat-interzone-trust-dmz]natserverpolicy_web_trustprotocoltcpglobalwwwinside00www

[FW-nat-interzone-trust-dmz]quit步骤4：配置SNAT（PAT/NAT过载）#方式1：使用接口地址进行PAT（推荐，节省公网IP）

[FW]nat-policyinterzonetrustuntrustoutbound

[FW-nat-policy-interzone-trust-untrust]policy1

[FW-nat-policy-interzone-trust-untrust-policy-1]source#内部网段

[FW-nat-policy-interzone-trust-untrust-policy-1]actionsource-nat

[FW-nat-policy-interzone-trust-untrust-policy-1]easy-ipGigabitEthernet1/0/0#使用接口IP

[FW-nat-policy-interzone-trust-untrust-policy-1]quit

#方式2：使用NAT地址池（如果需要使用多个公网IP）

[FW]nataddress-groupinternet_pool1

[FW-address-group-internet_pool]modepat#PAT模式

[FW-address-group-internet_pool]section0#如果有多个IP可以指定范围

[FW-address-group-internet_pool]quit

[FW]nat-policyinterzonetrustuntrustoutbound

[FW-nat-policy-interzone-trust-untrust]policy2

[FW-nat-policy-interzone-trust-untrust-policy-2]source

[FW-nat-policy-interzone-trust-untrust-policy-2]actionsource-nat

[FW-nat-policy-interzone-trust-untrust-policy-2]address-groupinternet_pool

[FW-nat-policy-interzone-trust-untrust-policy-2]quit

[FW-nat-policy-interzone-trust-untrust]quit

#为DMZ区域配置SNAT（如果Web服务器需要主动访问外网）

[FW]nat-policyinterzonedmzuntrustoutbound

[FW-nat-policy-interzone-dmz-untrust]policy1

[FW-nat-policy-interzone-dmz-untrust-policy-1]source

[FW-nat-policy-interzone-dmz-untrust-policy-1]actionsource-nat

[FW-nat-policy-interzone-dmz-untrust-policy-1]easy-ipGigabitEthernet1/0/0

[FW-nat-policy-interzone-dmz-untrust-policy-1]quit

[FW-nat-policy-interzone-dmz-untrust]quit步骤5：保存配置[FW]commit#提交配置（USG6000V需要）

[FW]save#保存配置到配置文件

Systemwillsavetheconfigurationtothedevice

Areyousuretocontinue?(y/n)[n]:y

Itwilltakeseveralminutestosaveconfigurationfile,pleasewait.......

Configurationfilehadbeensavedsuccessfully验证命令1.验证DNAT配置#查看NAT服务器映射

[FW]displaynatserver

ServerMapItem(s):

Protocol:6(TCP)

Global::80(80)

Inside:00:80(80)

Currentconnections:0

#查看NAT会话（需要从外网访问触发）

[FW]displayfirewallsessiontable

#或

[FW]displayfirewallsessiontableverbose|include

#查看安全策略命中情况

[FW]displaysecurity-policyruleall2.验证SNAT配置#从内部PC访问外网后，查看NAT会话

[FW]displayfirewallsessiontable

例如：

httpVPN:public-->public:2456-->:80

httpVPN:public-->public:1024-->:80

#查看NAT地址转换统计

[FW]displaynatstatistics

#或

[FW]displaynatoutbound

#查看NAT日志（需要先开启日志功能）

[FW]displaylogbuffer|includeNAT3.故障排查命令#测试连通性

[FW]ping#测试防火墙到外网

[FW]ping00#测试防火墙到Web服务器

[FW]ping#测试防火墙到PC

#详细NAT调试（临时开启）

<FW>debuggingnatall

<FW>terminaldebugging

<FW>terminalmonitor

#查看接口状态

[FW]displayinterfacebrief

[FW]displayipinterfacebrief

#查看路由表

[FW]displayiprouting-table3.操作题2假设您是一家跨国公司的网络管理员，负责管理公司总部（位于国家A）的网络环境。公司总部内部使用私有IP地址空间/16，并且有一个分配给公司的公网IP地址段，其中包括公网IP地址00。为了提升安全性和灵活性，公司决定在防火墙（FW）上实施NAT技术，以实现以下目标，网络拓扑图如图3-12所示，IP地址和端口详见表3-5。图3-SEQ图3-\*ARABIC12网络拓扑图表3-SEQ表3-\*ARABIC5IP地址和端口划分设备接口IP地址备注ARGE0/0/002/30AR2220FWGE1/0/001/30USG6000VGE1/0/154/24GE1/0/254/24邮件服务Ethernet0/0/00/24PC1Ethernet0/0/1/24①动态NAT：允许内部网络中多台设备通过有限的几个公网IP地址安全地访问互联网，同时保持内部IP地址的隐藏。②静态NAT：将公司的一台内部邮件服务器（内部IP地址为0）映射到特定的公网IP地址01上，以便外部用户可以稳定地访问邮件服务。请按照以下参考步骤完成NAT配置，并在配置完成后验证NAT功能是否正常工作。①环境准备确保防火墙（FW）设备已安装并连接到内部网络和外部网络。检查FW是否支持NAT功能，并确保固件和操作系统为最新版本。②IP地址规划内部网络IP地址范围：/16邮件服务器内部IP地址：0分配给邮件服务器的公网IP地址：01剩余公网IP地址（假设为02-105）用于动态NAT地址池。③配置静态NAT在FW上创建一个静态NAT规则，将到达公网IP地址01的流量重定向到内部IP地址0。确保该条目适用于所有相关协议和端口（或特定于邮件服务的端口如SMTP/25,IMAP/143等）。④配置动态NAT在FW上设置一个动态NAT地址池，包含公网IP地址02至05。创建一个动态NAT规则，将所有从内部网络到外部网络的出站流量（除了已指定为静态NAT的流量）映射到该地址池中的IP地址。⑤验证静态NAT从外部网络尝试访问邮件服务器的公网IP地址01，检查是否能够成功连接到邮件服务。使用traceroute或tracert工具查看数据包路径，确认其是否指向内部邮件服务器的实际IP地址。⑥验证动态NAT从内部网络的不同设备发起对外部网站的访问。在FW上检查NAT日志（如果可用），验证源IP地址是否被正确替换为动态NAT地址池中的IP地址。也可以从外部网络捕获数据包，检查来自内部网络的请求是否使用了动态NAT地址池中的IP地址。步骤1：基础网络配置进入系统视图

<FW>system-view

#配置接口IP地址

[FW]interfaceGigabitEthernet1/0/0

[FW-GigabitEthernet1/0/0]ipaddress0152

[FW-GigabitEthernet1/0/0]descriptionTo-Internet

[FW-GigabitEthernet1/0/0]service-managepingpermit

[FW-GigabitEthernet1/0/0]quit

[FW]interfaceGigabitEthernet1/0/1

[FW-GigabitEthernet1/0/1]ipaddress54

[FW-GigabitEthernet1/0/1]descriptionDMZ-Mail-Server

[FW-GigabitEthernet1/0/1]quit

[FW]interfaceGigabitEthernet1/0/2

[FW-GigabitEthernet1/0/2]ipaddress54

[FW-GigabitEthernet1/0/2]descriptionInternal-Users

[FW-GigabitEthernet1/0/2]quit

#配置安全区域

[FW]firewallzoneuntrust

[FW-zone-untrust]addinterfaceGigabitEthernet1/0/0

[FW-zone-untrust]quit

[FW]firewallzonedmz

[FW-zone-dmz]addinterfaceGigabitEthernet1/0/1

[FW-zone-dmz]quit

[FW]firewallzonetrust

[FW-zone-trust]addinterfaceGigabitEthernet1/0/2

[FW-zone-trust]quit

#配置默认路由（假设AR的接口地址为02）

[FW]iproute-static02步骤2：配置安全策略#允许untrust访问DMZ的邮件服务器

[FW]security-policy

[FW-policy-security]rulenameuntrust_to_dmz_mail

[FW-policy-security-rule-untrust_to_dmz_mail]source-zoneuntrust

[FW-policy-security-rule-untrust_to_dmz_mail]destination-zonedmz

[FW-policy-security-rule-untrust_to_dmz_mail]destination-address032

[FW-policy-security-rule-untrust_to_dmz_mail]servicesmtp#SMTP-端口25

[FW-policy-security-rule-untrust_to_dmz_mail]servicepop3#POP3-端口110

[FW-policy-security-rule-untrust_to_dmz_mail]serviceimap#IMAP-端口143

[FW-policy-security-rule-untrust_to_dmz_mail]servicepop3s#POP3S-端口995

[FW-policy-security-rule-untrust_to_dmz_mail]serviceimaps#IMAPS-端口993

[FW-policy-security-rule-untrust_to_dmz_mail]servicesmtps#SMTPS-端口465/587

[FW-policy-security-rule-untrust_to_dmz_mail]actionpermit

[FW-policy-security-rule-untrust_to_dmz_mail]quit

#允许trust到untrust的互联网访问

[FW-policy-security]rulenametrust_to_untrust

[FW-policy-security-rule-trust_to_untrust]source-zonetrust

[FW-policy-security-rule-trust_to_untrust]destination-zoneuntrust

[FW-policy-security-rule-trust_to_untrust]actionpermit

[FW-policy-security-rule-trust_to_untrust]quit

#允许DMZ到外网的访问（邮件服务器可能需要访问外部DNS等）

[FW-policy-security]rulenamedmz_to_untrust

[FW-policy-security-rule-dmz_to_untrust]source-zonedmz

[FW-policy-security-rule-dmz_to_untrust]destination-zoneuntrust

[FW-policy-security-rule-dmz_to_untrust]actionpermit

[FW-policy-security-rule-dmz_to_untrust]quit

#允许trust访问DMZ（内部用户访问邮件服务器）

[FW-policy-security]rulenametrust_to_dmz

[FW-policy-security-rule-trust_to_dmz]source-zonetrust

[FW-policy-security-rule-trust_to_dmz]destination-zonedmz

[FW-policy-security-rule-trust_to_dmz]actionpermit

[FW-policy-security-rule-trust_to_dmz]quit

[FW-policy-security]quit步骤3：配置静态NAT（一对一映射）#创建NAT地址池（用于静态NAT和动态NAT）

#注意：根据题目要求，动态NAT地址池为02-105

#但02是AR的接口地址，01是FW的接口地址

#实际上可用地址可能只有03-105，这里按题目要求配置

#首先配置静态NAT（一对一映射）

[FW]natstaticenable#启用静态NAT功能

#创建静态NAT映射：将公网IP01映射到内部邮件服务器0

#注意：这里使用no-pat参数表示一对一映射，不进行端口转换

[FW]natstaticglobal01inside0netmask55

#或者使用以下命令：

[FW]natstaticprotocol0global010inside00

#将静态NAT规则应用到安全区域

[FW]firewallinterzonedmzuntrust

[FW-interzone-dmz-untrust]detectsmtp#启用SMTPALG

[FW-interzone-dmz-untrust]detectpop3#启用POP3ALG

[FW-interzone-dmz-untrust]detectimap#启用IMAPALG

[FW-interzone-dmz-untrust]quit

#配置域内NAT（允许内网用户通过公网IP访问邮件服务器）

[FW]natinterzonetrustdmz

[FW-nat-interzone-trust-dmz]natstaticglobal01inside0netmask55

[FW-nat-interzone-trust-dmz]quit

#如果需要配置特定端口的静态映射（备用方案，与一对一映射二选一）

#[FW]natserverprotocoltcpglobal01smtpinside0smtp

#[FW]natserverprotocoltcpglobal01pop3inside0pop3

#[FW]natserverprotocoltcpglobal01imapinside0imap步骤4：配置动态NAT地址池#创建动态NAT地址池（使用PAT模式）

#注意：实际网络规划中需要确保这些地址可用且路由可达

[FW]nataddress-groupdynamic_pool1

[FW-address-group-dynamic_pool]modepat#端口地址转换（PAT）

[FW-address-group-dynamic_pool]section00305

[FW-address-group-dynamic_pool]quit

#配置动态NAT策略（trust到untrust）

[FW]nat-policyinterzonetrustuntrustoutbound

[FW-nat-policy-interzone-trust-untrust]policy1

[FW-nat-policy-interzone-trust-untrust-policy-1]source

[FW-nat-policy-interzone-trust-untrust-policy-1]actionsource-nat

[FW-nat-policy-interzone-trust-untrust-policy-1]address-groupdynamic_pool

[FW-nat-policy-interzone-trust-untrust-policy-1]quit

#配置DMZ区域到untrust的NAT（如果邮件服务器需要访问外网）

[FW]nat-policyinterzonedmzuntrustoutbound

[FW-nat-policy-interzone-dmz-untrust]policy1

#排除邮件服务器的静态NAT映射，避免双重NAT

[FW-nat-policy-interzone-dmz-untrust-policy-1]source

[FW-nat-policy-interzone-dmz-untrust-policy-1]actionsource-nat

[FW-nat-policy-interzone-dmz-untrust-policy-1]address-groupdynamic_pool

[FW-nat-policy-interzone-dmz-untrust-policy-1]quit

[FW-nat-policy-interzone-dmz-untrust]quit步骤5：配置NATALG（应用层网关）#启用邮件相关协议的ALG

[FW]firewallinterzonedmzuntrust

[FW-interzone-dmz-untrust]detectftp#FTP协议

[FW-interzone-dmz-untrust]detectsmtp#SMTP协议

[FW-interzone-dmz-untrust]detectpop3#POP3协议

[FW-interzone-dmz-untrust]detectimap#IMAP协议

[FW-interzone-dmz-untrust]detectdns#DNS协议

[FW-interzone-dmz-untrust]quit

[FW]firewallinterzonetrustuntrust

[FW-interzone-trust-untrust]detectftp

[FW-interzone-trust-untrust]detectdns

[FW-interzone-trust-untrust]quit步骤6：保存配置[FW]commit

[FW]save

Thecurrentconfigurationwillbewrittentothedevice.

Areyousure?(y/n)[n]:y

Itwilltakeseveralminutestosaveconfigurationfile,pleasewait.......

Configurationfilehadbeensavedsuccessfully

Note:Theconfigurationfilewilltakeeffectafterbeingactivated验证命令1.验证静态NAT配置#查看静态NAT配置

[FW]displaynatstatic

StaticNATInformation:

GlobalIP/Port:01/0

InsideIP/Port:0/0

Protocol:0

VPNinstance:-

Description:-

Status:Active

#查看NAT服务器映射

[FW]displaynatserver

#查看静态NAT会话（需要从外网访问触发）

[FW]displayfirewallsessiontableverbose|include01

#测试静态NAT连通性（从FW自身测试）

[FW]ping-a01

#测试邮件端口

[FW]telnet0125

[FW]telnet011102.验证动态NAT配置#查看NAT地址池

[FW]displaynataddress-group

Address-groupInformation:

IndexStart-addressEnd-addressPAT

10305Y

#查看动态NAT策略

[FW]displaynat-policy

#或者

[FW]displaynat-policyinterzonetrustuntrustoutbound

#从内部PC访问外网后查看NAT会话

[FW]displayfirewallsessiontable

示例输出：

httpVPN:public-->public:34567-->:80

httpVPN:public-->public03:1024-->:80

#查看NAT转换统计

[FW]displaynatstatistics

NATStatistics:

Totalsessions:10

StaticNATsessions:2

DynamicNATsessions:8

Addressgroup1usage:3/3addressesinuse3.详细NAT调试#开启NAT调试（仅在排查问题时使用）

<FW>debuggingnatall

<FW>terminaldebugging

<FW>terminalmonitor

#查看NAT日志

[FW]displaylogbuffer|includeNAT

[FW]displaylogbuffer|include"translate"

#查看安全策略命中统计

[FW]displaysecurity-policyruleallhit-count

#查看接口NAT统计

[FW]displaynatoutboundinterfaceGigabitEthernet1/0/0验证测试方法1.静态NAT验证：#从外网测试邮件