NAT的作用:NAT 技术是用来解决当今IP地址资源枯竭的一种技术
NAT分类:
NAPT(Network Address and Port Translation,网络地址和端口转换)NAPT即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,
属于多对多或多对一转换,可以节约公网IP地址,使用场景较多。
出接口地址 (Easy-IP)
因其转换方式非常简单,所以也被称为Easy-IP、
和NAPT一样,即转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址。
NAT Server
静态一对一发布,主要用于内部服务器需要对Internet提供服务时使用。
如图所示:我们在防火墙上设置NAT,一般情况下,将内网(Trust)区域使用NAPT或者Easy-IP;服务器(DMZ)区域使用NAT-Server技术
开始配置:
在开始之前我们要给防火墙和外网路由器配置缺省路由:
FW1(下一跳为公网地址)
ip route-static 0.0.0.0 0.0.0.0 10.10.10.2
AR1(下一跳为公网地址)
ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
因为我们在防火墙上配置,所以还需要配置相应的区域(前面的课程有讲配置区域):
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g 1/0/6
[FW1-zone-dmz]q
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g 1/0/0
[FW1-zone-untrust]q
[FW1]firewall zone trust
[FW1-zone-trust]add int g 1/0/1
[FW1-zone-trust]q
NAPT配置(二选一)
先配置策略,允许Trust(内网)区域访问Untrust(外网)区域
[FW1]security-policy
[FW1-policy-security]rule name NAPT
[FW1-policy-security-rule-NAPT]source-zone trust
[FW1-policy-security-rule-NAPT]destination-zone untrust
[FW1-policy-security-rule-NAPT]action permit
[FW1-policy-security-rule-NAPT]q
[FW1-policy-security]q
配置NAPT地址池(可以设置一个或者多个)
[FW1]nat address-group NAPT
[FW1-address-group-NAPT]section 0 10.10.10.1
[FW1-address-group-NAPT]mode pat #指定模式为pat模式
[FW1-address-group-NAPT]q
配置NAT策略
[FW1]nat-policy
[FW1-policy-nat]rule name NAPT
[FW1-policy-nat-rule-NAPT]source-zone trust
[FW1-policy-nat-rule-NAPT]destination-zone untrust
[FW1-policy-nat-rule-NAPT]action source-nat address-group NAPT
Easy-IP配置(二选一)
一样配置策略,允许Trust(内网)区域访问Untrust(外网)区域
[FW1]security-policy
[FW1-policy-security]rule name easy_ip
[FW1-policy-security-rule-easy_ip]source-zone trust
[FW1-policy-security-rule-easy_ip]destination-zone untrust
[FW1-policy-security-rule-easy_ip]action permit
[FW1-policy-security-rule-easy_ip]q
[FW1-policy-security]q
无需配置地址池,直接配置NAT策略
[FW1]nat-policy
[FW1-policy-nat]rule name easy-ip
[FW1-policy-nat-rule-easy-ip]source-zone trust
[FW1-policy-nat-rule-easy-ip]destination-zone untrust
[FW1-policy-nat-rule-easy-ip]action source-nat easy-ip
NAT-Server(仅用于服务器地址转换)
防火墙上配置安全策略(允许untrust(外网)区域访问DMZ(服务器)区域的FTP、HTTP服务)
[FW1]security-policy
[FW1-policy-security]rule name untodmz
[FW1-policy-security-rule-untodmz]source-zone untrust
[FW1-policy-security-rule-untodmz]destination-zone dmz
[FW1-policy-security-rule-untodmz]service ftp
[FW1-policy-security-rule-untodmz]service http
[FW1-policy-security-rule-untodmz]action permit
[FW1-policy-security-rule-untodmz]q
[FW1-policy-security]q
配置NAT-Server策略,将服务器的ftp、http服务通过将内部IP192.168.2.2.转换成10.10.10.3,给外网访问!
[FW1]nat server ftp protocol tcp global 10.10.10.3 21 inside 192.168.2.2 21
[FW1]nat server http protocol tcp global 10.10.10.3 80 inside 192.168.2.2 80
OK!就是这样,不是很难,然后如何查询NAT是否转换成功
dis firewall session table