静态目的NAT简介

已于 2023-11-17 10:13:03 修改
阅读量88 收藏
点赞数 1
分类专栏: 华为网络配置学习指南 文章标签: 服务器 运维
于 2023-11-16 17:35:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73258133/article/details/134444467
版权

静态目的NAT

          是一种转换报文目的IP地址的方式,且转换前后的地址存在一种固定的映射关系。

通常情况下,出于安全的考虑,不允许外部网络主动访问内部网络。但是在某些情况下,还是希望能够为外部网络访问内部网络提供一种途径。例如,公司需要将内部网络中的资源提供给外部网络中的客户和出差员工访问。

当Host访问Server时,FW的处理过程如下:

  1. FW收到Internet上用户访问1.1.1.10的报文的首包后,将匹配NAT策略的报文的目的地址进行转换。
  2. FW选择一个私网IP地址,替换报文的目的地址,同时可以选择使用新的端口替换目的端口号或者端口号保持不变。公网地址与私网地址一对一进行映射的场景下,公网地址与目的地址池地址按顺序一对一进行映射,FW从地址池中依次取出私网IP地址,替换报文的目的地址。
  3. 报文通过安全策略后,FW建立会话表,然后将报文发送至内网服务器。
  4. FW收到Server响应Host的报文后,通过查找会话表匹配到3中建立的表项,用原Host报文的目的地址(1.1.1.10)替换Server的IP地址(192.168.1.2),然后将报文发送至Host。
  5. 后续Host继续发送给Server的报文,FW都会直接根据会话表项的记录对其进行转换。

为了兼容V500R003C00之前版本的NAT,保留了NAT server。NAT Server会生成Server-map表,并通过Server-map保存地址转换前后的映射关系。与NAT Server不同,基于NAT策略的静态目的NAT不会产生Server-map表。但如果转换前的地址没有变化,转换后的目的地址也不会改变,转换前后的目的依然会存在固定的映射关系。FW在进行地址转换的过程中还可以选择是否多个地址转换为同一个目的地址,是否选择端口转换,以满足不同场景的需求。

实验拓扑

实验一:公网地址与私网地址一对一进行映射
防火墙配置:
1.配置接口IP地址和安全区域

-配置接口IP:
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet 1/0/0]ip address 10.2.0.1 24
[FW-GigabitEthernet 1/0/0]quit
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet 1/0/1]ip address 1.1.1.1 24
[FW-GigabitEthernet 1/0/1]quit

-将接口分别加入Untrust区域、DMZ区域
[FW]firewall zone untrust
[FW-zone-untrust]add interface GigabitEthernet 1/0/1
[FW-zone-untrust]quit
[FW] firewallzone dmz
[FW-zone-dmz]add interface GigabitEthernet 1/0/0
[FW-zone-dmz]quit


2.配置安全策略
[FW]security-policy
[FW-policy-security]rule name policy1                            (命名)
[FW-policy-security-rule-policy1]source-zone untrust             (设置来源区域)
[FW-policy-security-rule-policy1]destination-zone dmz            (设置目的区域)
[FW-policy-security-rule-policy1]destination-address 10.2.0.0 24 (设置目的匹配的网段)
[FW-policy-security-rule-policy1]action permit                   (设置动作允许通过)
[FW-policy-security-rule-policy1]quit
[FW-policy-security]quit



3.配置目的NAT地址池
[FW]destination-nat address-group nat1                           (命名)
[FW-dnat-address-group-addressgroup1]section 10.2.0.7 10.2.0.8   (服务器两个IP地址)
[FW-dnat-address-group-addressgroup1]quit



4.配置NAT策略
[FW]nat-policy
[FW-policy-nat]rule name policy_nat1                               (命名)                       
[FW-policy-nat-rule-policy_nat1]source-zone untrust                (设置来源区域)
[FW-policy-nat-rule-policy_nat1]destination-address range 1.1.10.10 1.1.10.11 (设置目的匹配转换的两个地址,与设置匹配的地址池地址顺序一一对应)
[FW-policy-nat-rule-policy_nat1]service http                        (开启web服务)
[FW-policy-nat-rule-policy_nat1]service ftp                         (开启ftp服务)                     
[FW-policy-nat-rule-policy_nat1]action destination-nat static address-to-address address-group nat1                                                        (设置动作匹配地址池)
[FW-policy-nat-rule-policy_nat1]quit
[FW-policy-nat]quit



5.配置黑洞路由 以防路由环路
[FW]ip route-static 1.1.10.10 32 NULL0 
[FW]ip route-static 1.1.10.11 32 NULL0


6.开启FTP协议的NAT ALG功能
[FW]firewall interzone dmz untrust
[FW-interzone-dmz-untrust]detect ftp
[FW-interzone-dmz-untrust]quit


7.配置默认路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器
[FW]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
AR1配置:
配置接口IP地址
[AR1]int g 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 1.1.1.254 24
[AR1-GigabitEthernet0/0/0]q
[AR1]int g 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 172.16.1.254 24
[AR1-GigabitEthernet0/0/1]q


配置到公网地址的静态路由,使得去服务器的流量能够送往FW
[AR1]ip route-static 1.1.10.0 24 1.1.1.1
实验结果一:

客户端FTP登录成功

客户端ping通web服务IP

转换地址详细分别转换

实验二:公网端口与私网端口一对一进行映射

在实验一的基础配置上配置

防火墙配置:
在实验一的基础配置上多增设一条地址池和NAT策略即可

1.配置目的NAT地址池
[FW]destination-nat address-group nat2                           (命名)
[FW-dnat-address-group-addressgroup1]section 10.2.0.9 10.2.0.9   (服务器公用的一个IP地址)
[FW-dnat-address-group-addressgroup1]quit


2.配置NAT策略
[FW]nat-policy  
[FW-policy-nat]rule name policy_nat2                                (命名)
[FW-policy-nat-rule-policy_nat1]source-zone untrust                 (设置来源区域)
[FW-policy-nat-rule-policy_nat1]destination-address 1.1.10.12 32    (设置目的匹配转换的地址,与设置匹配的地址池对应)
[FW-policy-nat-rule-policy_nat1]service protocol tcp destination-port 2000 to 2001  (设置自定义目的端口)
[FW-policy-nat-rule-policy_nat1]action destination-nat static port-to-port address-group nat2 80 to 81   (设置动作匹配地址池 端口设置为80和81)
[FW-policy-nat-rule-policy_nat1]quit
[FW-policy-nat]quit
实验结果二:

web服务以80端口登录

ftp服务以81端口登录

IP.lgc
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
防火墙目的NAT配置实战
悦分享
10-05 503
NAT流量先从内到外(公司内办公主机上网),内到外转换源地址和端口。目的NAT流量先从外到外内 (公司内服务器对外提供访问),外到内转换目的地址和端口。目的NAT是指对报文中的目的地址和端口进行转换,通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用公网地址访问内部Server。当外网用户访问内网Server的报文到达FW时,FW将报文的目的IP地址由公网地址转换为私网地址。当回程报文返回至FW时,FW再将报文的源地址由私网地址转换为公网地址。
NAT配置之目的NAT详解
Mario_Ti的博客
12-25 2076
本文将收录NAT合集专栏,此文主要是讲解NAT技术之目的NAT的原理以及种类及配置。
NAT的3种实现方式配置示范
weixin_34245749的博客
09-21 834
NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态 NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址;动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,选择相应的NAT技术类型。——《网络地址转换(NAT)配...
防火墙————目的NAT
xiazhui1的博客
11-16 1156
目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT
目的NAT
aaheguosong的博客
06-05 260
NAT地址池中的地址和私网服务器在同一网段,私网服务器回应时,就不会去查找路由表,而是发送ARP广播报文询问此地址对应的MAC地址。如果Client和Server不在相同的网段,也可以只配置NAT Server,当前场景下配置双向NAT目的是为了Client和Server相互传递的流量都要经过防火墙。可以查看目的地址的转换情况如下:198.51.100.2:9980[192.168.1.2:80] ,[]内的为防火墙转换后的地址。避免大量的服务器配置网关,节省工作的开销。IP地址、Zone配置省略。
配置静态动态NAT实验
最新发布
05-24
### 配置静态动态NAT实验 #### 实验目的 本次实验旨在通过实践操作加深对网络地址转换(Network Address Translation, NAT)的理解,掌握静态NAT和动态NAT的配置方法,以及学会如何验证NAT配置的有效性。通过本...
实验:使用静态NAT对外发布公司官网.docx
11-12
实验:使用静态NAT对外发布公司官网 在IT领域,特别是网络管理中,NAT(Network Address Translation)是一种网络技术,用于将内部网络中的私有IP地址转换为全球唯一的公网IP地址,以便内部网络的设备可以与外部...
路由器静态NAT配置实验
09-17
### 路由器静态NAT配置实验知识点详解 #### 一、实验目的与意义 本实验旨在通过实际操作帮助学生深入理解网络地址转换(Network Address Translation, NAT)的概念、分类及其工作原理,并掌握NAT配置的具体方法。...
静态nat 实验报告
06-11
### 静态NAT实验知识点总结 #### 一、实验背景及目的 本实验旨在通过实际操作加深学生对NAT技术的理解,并掌握如何配置静态NAT。具体目标包括: 1. **熟悉NAT基本概念**:理解NAT在网络中的作用及其分类。 2. **...
静态NAT实验.doc
06-02
静态NAT实验的主要目的是让学生理解NAT如何工作,以及如何配置和验证静态NAT转换。这个实验对于学习网络基础、网络安全和网络管理至关重要,因为它展示了内部网络与外部网络之间通信的关键环节。通过实践,学生可以...
华为防火墙NAT概述和基础配置
qq2353177176的博客
11-13 3582
华为防火墙NAT概述和基础配置。
华为eNSP防火墙NAT配置
YT的博客
01-12 2万+
NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网。 NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程。从实现上来说,一班的NAT转换设备(实现NAT功能的网络设备)都维护者一张地址转换表,所有经过NAT转换设备并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分...
HCIE-Security Day7:6个实验理解目的NAT
小梁的博客
02-10 2032
目的NAT技术 对报文中的目的地址和端口进行转换。根据转换后的目的地址是否固定,分为静态目的nat和动态目的nat静态目的nat 实验一:公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射) 需求和拓扑 某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。网络...
HCIE-Security Day8:3个实验理解双向NAT
小梁的博客
02-11 3128
目录 ​ 外网用户访问内网服务器 私网用户访问内部服务器 同时转换报文的源信息和目的信息,不是单独的功能,而是源NAT目的NAT的组合,双向NAT是针对同一条流,在其经过防火墙时同时转换报文的源地址和目的地址。 主要用在两个场景 外网用户访问内网服务器 避免在内部服务器上设置网关,简化配置。 服务器可以有多个网卡,分别接入不同的网络,但是只能有一个网关。如果网关配置给了同一私网内的用户,那么就无法给联入公网的网卡配置网关。所以从公网到达私网服务器的报文,如果源地址依然...
NGWF_目的NAT
qq_27599713的博客
02-13 217
目的NAT将报文中的目的地址和端口进行转换。如图,当外网用户访问内部Server时,FW的处理流程如下:1.当外网用户访问内网Server报文到达FW时,FW将报文的目的IP地址由公网地址转换为私网地址。2.当响应报文返回FW时,FW再将报文的源地址由私网地址转换为公网地址。
目的NAT转换,源进源出功能,外网访问内部服务器(双出口属于不同安全域)
IT技术小Home
08-29 4895
介绍双出口环境下公网用户通过NAT策略访问内部服务器(双出口属于不同安全区域)的配置举例。 企业一共申请了1.1.1.1和1.1.10.10公网ISP1的公网IP;2.2.2.2和2.2.20.10公网ISP2的公网IP地址; 1.1.1.1和2.2.2.2分别配置到防火墙的两个出口接口上;1.1.10.10和2.2.20.10 分别作为服务器的公网IP为外网用户提供访问服务。内部服务器的IP地址为:10.2.0.8 配置思路 配置接口IP地址和安全区域,完成网络基本参数配置。 配置安全策略,允许外部网络用
华为防火墙的NAT介绍及配置详解
cheng198956的专栏
08-06 1万+
博文大纲:一、华为防火墙NAT的六个分类;二、解决NAT转换时的环路及无效ARP;三、server-map表的作用;四、NAT对报文的处理流程;五、各种常用NAT的配置方法; 一、华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network...
防火墙NAT技术
热门推荐
曹世宏的博客
03-14 3万+
防火墙NAT技术简介 NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。 NAT类型...
juniper SRX防火墙基于目的NAT的配置
weixin_33834137的博客
08-10 633
set security nat destination pool A address 192.168.1.9/32set security nat destination rule-set des-nat from zone untrustset security nat destination rule-set des-nat rule WEb match destination-addres...
asa静态 nat配置
05-15
ASA静态NAT(Network Address Translation)是一种在ASA防火墙上将内部私有IP地址转换为公共IP地址的方式,以实现对外通信的目的。下面是一个静态NAT的配置示例: 首先,需要指定一个公共IP地址作为映射地址...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值