防火墙NAT
关于NAT,有源NAT,目的NAT,NAT Server,双向NAT
源NAT
源NAT当中我们用的最多的就是有端口转换的NAT,实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。我会用使用的最多的NAT技术easy ip来作为端口转换的源NAT进行实验
Easy IP
Easy IP是一种利用出接口的公网IP地址作为NAT转后的地址,同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景,Easy IP也一样支持。
当FW的公网接口通过拨号方式动态获取公网地址时,如果只想使用这一个公网IP地址进行地址转换,此时不能在NAT地址池中配置固定的地址,因为公网IP地址是动态变化的。
拓扑
配置
网络基础配置
FW:
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 100.100.100.1 255.255.255.252
划分区域
FW:
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
配置NAT策略
FW:
nat-policy
rule name easy_ip
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
action source-nat easy-ip
配置安全策略
FW:
security-policy
rule name easy_ip
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
action permit
验证
PC>ping 100.100.100.2
Ping 100.100.100.2: 32 data bytes, Press Ctrl_C to break
From 100.100.100.2: bytes=32 seq=1 ttl=254 time=16 ms
From 100.100.100.2: bytes=32 seq=2 ttl=254 time=15 ms
From 100.100.100.2: bytes=32 seq=3 ttl=254 time=16 ms
From 100.100.100.2: bytes=32 seq=4 ttl=254 time=15 ms
From 100.100.100.2: bytes=32 seq=5 ttl=254 time=16 ms
PC可以访问internet了,看看是否进行了NAT转换
[FW]display firewall session table
2023-12-03 14:55:56.260
Current Total Sessions : 5
icmp VPN: public --> public 192.168.1.1:62870[100.100.100.1:2058] --> 100.100.100.2:2048
icmp VPN: public --> public 192.168.1.1:63894[100.100.100.1:2062] --> 100.100.100.2:2048
icmp VPN: public --> public 192.168.1.1:63382[100.100.100.1:2060] --> 100.100.100.2:2048
icmp VPN: public --> public 192.168.1.1:63126[100.100.100.1:2059] --> 100.100.100.2:2048
icmp VPN: public --> public 192.168.1.1:63638[100.100.100.1:2061] --> 100.100.100.2:2048
//可以看到FW是对私网的源IP进行了源NAT转换成为了FW的出口IP发送给了untrust的设备