CLI举例:私网用户通过NAPT访问Internet(限制公网地址对应的私网地址数)
**组网需求:
某公司在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。当大量的内网用户上网时会导致NAT转换时端口冲突,因此需要限制公网地址对应的私网地址数,保证用户正常上网。网络环境如图1所示,其中Router是ISP提供的接入网关。
**
拓扑:
NAT配置过程:
1.地址配置(基础配置)
2.安全区域的划分
3.策略放行
4.NAT地址池
5.NAT的策略
6.回指路由 【可以省略,目的地是非路由器】
核心命令:(转化为谁)
配置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用。
[FW] nat address-group addressgroup1 /创建NAT地址池
[FW-address-group-addressgroup1] mode pat /NAT的模式是带端口转换
[FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.15 /地址有多少个
[FW-address-group-addressgroup1] route enable /启用路由
核心命令(哪些可以转换)
配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone trust
[