作业十一:防火墙的NAT配置
实验环境
实验步骤
规划并配置IP
Client1:
Server1:
FW1:
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 192.168.1.254 24
[FW1-GigabitEthernet1/0/1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 200.1.1.254 24
配置安全区域
FW1:
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
配置NAT
[FW1]nat address-group 1
[FW1-address-group-1]section 200.1.1.10 200.1.1.10
[FW1-address-group-1]q
[FW1]nat-policy
[FW1-policy-nat]rule name t_u
[FW1-policy-nat-rule-t_u]source-zone trust
[FW1-policy-nat-rule-t_u]destination-zone untrust
[FW1-policy-nat-rule-t_u]source-address 192.168.1.0 24
[FW1-policy-nat-rule-t_u]action source-nat address-group 1
配置安全策略
FW1:
[FW1]security-policy
[FW1-policy-security]rule name ftp
[FW1-policy-security-rule-ftp]source-zone trust
[FW1-policy-security-rule-ftp]destination-zone untrust
[FW1-policy-security-rule-ftp]source-address 192.168.1.0 24
[FW1-policy-security-rule-ftp]destination-address 200.1.1.0 24
[FW1-policy-security-rule-ftp]service ftp
[FW1-policy-security-rule-ftp]action permit
配置ASPF
FW1:
[FW1]firewall detect ftp
检查连通性
对g1/0/0进行抓包:
配置NAT Server和安全策略
[FW1]nat server huawei protocol icmp global 200.1.1.10 inside 192.168.1.1
[FW1]security-policy
[FW1-policy-security]rule name server
[FW1-policy-security-rule-server]source-zone untrust
[FW1-policy-security-rule-server]destination-zone trust
[FW1-policy-security-rule-server]destination-address 192.168.1.0 24
[FW1-policy-security-rule-server]service icmp
[FW1-policy-security-rule-server]action permit
检查连通性
实验总结
通过本次实验我了解了防火墙的NAT配置方法,主要分为源NAT和服务器映射。源NAT包括地址池方式和出接口地址方式(Easy IP)服务器映射为静态映射(NAT Server),实验中涉及地址池方式以及NAT Server。其中的地址池方式运用了NAT ALG,可以完成应用层数据中携带的地址和端口号信息的转换。内部服务器(NAT Server)专门为内部服务器配置一个对外的公网地址来代表私网地址。设备能自动生成Server-map表项。