目录
理解NAT的原理与作用
我们可以看到在做nat策略的时候这里有3种转换类型,现在对每种类型进行解释
1.只转换源地址:
意思是当内部的数据包到达防火墙后,防火墙会将数据包中的源地址转换成某个公网IP,然后达到网通的作用2.只转换目的地址:
意思是外部数据包到达防火墙后,防火墙会将数据包中的目的地址转换成内部的某个地址一般是服务器的,从而实现了公网的人可以访问内部的服务器3.两个都转换:
先说一下这个的场景吧,一般是内部的服务器通过域名的方式访问自己内部的服务器。再得理解这个过程
1:内部服务器A发送的包会到防火墙(这个包源是IP_A,目标是IP_公网,因为是域名,所以给DNS服务器转化成了公网IP)2:防火墙转化目标地址(就是B的地址啦),同时也会转化源地址为自己的内网接口IP地址,然后将这个包发送给内部服务器B(这个给B包的源地址是IP_防火墙,目标地址是IP_B)
3:服务器B收到后以自己的IP为源地址给防火墙回包(这个B给的包的源是地址是IP_B,目标是IP_防火墙)
4:防火墙收到B的包,这个包的源是地址是IP_B,目标是IP_防火墙,此时防火墙再次转化将源改为IP_公网,目标是IP_A
5:A收到后完成!,注意这里是先匹配NAT在匹配路由转发
一、实验拓扑及要求 ![](https://i-blog.csdnimg.cn/direct/3665d944b6184e36becc190187c4dcb7.png)
要求
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
二、实验步骤
1)配置总公司办公区访问外网时的NAT
条件:
办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
思路:
创建地址池,保留一个IP地址
先匹配办公区的流量,对办公区的流量进行NAT,
分别在电信链路和移动链路都进行配置,
实现
地址池:
NAT策略,当然做了NAT策略别忘了做安全策略,要不然NAT白做,
分别做两个NAT,一个电信,一个移动
测试:
2)配置分公司访问外网的NAT,以及总公司的服务器映射
条件:
分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
思路:
在分公司出接口配置NAT,保证内网地址可以访问外网
在总公司出口做服务器映射,保证外网可以访问到内网服务器
实现
分公司:
总公司:
同样,写两条映射,一条电信,一条移动
测试:
分公司访问总公司的HTTP服务器
3)配置智能选路和策略路由
条件:
多出口环境基于带宽比例进行选路,但是,办公区中10.0.1.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
思路:
首先在电信和移动接口配置接口带宽的过载保护以及保护阈值
然后在智能路由选择全局选路策略配置
再配置策略路由,抓取10.0.1.10的IP地址,配置下一跳
实现
接口带宽:
智能路由:
策略路由:
4)配置智能选路和策略路由
条件:
分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
思路:
在分公司出口设配配置服务器映射,保证外网可以访问到内网服务器
然后再配置一条原地址和目标地址都转换的双NAT,保证内网服务器可以通过分公司的公网地址访问本部的内网服务器
在公网架设一台DNS服务器。进行域名解析
实现:
服务器映射:
双NAT转换:
安全策略可以在创建NAT时快速创建
DNS:
测试:
外网访问www.qq.com
分公司主机访问dragon.com
5)配置策略路由
条件:
游客区仅能通过移动链路访问互联网
配置游客区访问外网的NAT
配置策略路由,抓取游客区流量,指定他的流量去向
NAT:
策略路由:
测试:
做策略路由后: