HCIE-Security Day7:6个实验理解目的NAT

已于 2022-02-11 23:35:02 修改
阅读量2k 收藏 12
点赞数 3
分类专栏: HCIE-Security 文章标签: 网络
于 2022-02-10 23:12:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/122871242
版权
本文通过六个实验详细介绍了目的NAT技术,包括静态目的NAT,展示了如何在不同场景下配置和验证NAT策略,以实现公网用户访问内部服务器的不同服务。实验涉及公网地址与私网地址、端口的一对一映射,以及双出口环境下的NAT策略应用。
摘要由CSDN通过智能技术生成

目的NAT技术

对报文中的目的地址和端口进行转换。根据转换后的目的地址是否固定,分为静态目的nat和动态目的nat。

静态目的nat

实验一:公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射)

需求和拓扑

某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。网络环境如图所示,其中Router是ISP提供的接入网关。

操作步骤

1、配置接口地址和安全区域

2、配置路由

Fw
ip route-static 2.2.2.0 255.255.255.0 1.1.1.254
ar
ip route-static 1.1.10.0 255.255.255.0 1.1.1.1

3、配置安全策略

security-policy
 rule name 1
  source-zone untrust
 destination-zone trust
  source-address 2.2.2.0 mask 255.255.255.0
  destination-address 10.2.0.0 mask 255.255.255.0
  service ftp
  service http
  service icmp
  action permit

4、配置目的nat策略

//配置目的地址池,名字不能是数字
destination-nat address-group a 0
 section 10.2.0.10 10.2.0.11
nat-policy
 rule name 1
  source-zone untrust
//不能配置目的区域
//如果使用静态一对一映射时,地址池内地址数量必须和目的地址范围一致
  destination-address range 1.1.10.10 1.1.10.11
  service ftp
  service http
  service icmp
  action destination-nat static address-to-address address-group a

验证和分析

查看会话表(ftp被动模式)

<f1>dis fire session table 
2022-02-10 03:30:18.480 
 Current Total Sessions : 3
icmp  VPN: public --> public  2.2.2.2:256 --> 1.1.10.11:2048[10.2.0.11:2048]
 ftp  VPN: public --> public  2.2.2.2:2067 +-> 1.1.10.11:21[10.2.0.11:21]
 ftp-data  VPN: public --> public  2.2.2.2:2068 --> 1.1.10.11:2054[10.2.0.11:2054]

查看server-map表

<f1>dis fire server-map 
2022-02-10 03:31:26.950 
 Current Total Server-map : 1
 Type: ASPF,  2.2.2.2 -> 1.1.10.11:2054[10.2.0.11:2054],  Zone:---
 Protocol: tcp(Appro: ftp-data),  Left-Time:00:00:09
 Vpn: public -> public

其session table 和server-map都是流量动态生成的。且默认没有生成反向表项。Server-map表项生成的是aspf表,引导ftp数据通道在被动模式下的建立,这是从公网client到私网server之间的tcp连接。没有源端口。

查看session table和server-map(主动模式)

<f1>dis fire server-map 
2022-02-10 03:43:44.240 
 Current Total Server-map : 1
 Type: ASPF,  10.2.0.11[1.1.10.11] -> 2.2.2.2:2070,  Zone:---
 Protocol: tcp(Appro: ftp-data),  Left-Time:00:00:13
 Vpn: public -> public

<f1>dis firewall session table 
2022-02-10 03:43:46.090 
 Current Total Sessions : 2
 ftp-data  VPN: public --> public  10.2.0.11:20[1.1.10.11:20] --> 2.2.2.2:2070
 ftp  VPN: public --> public  2.2.2.2:2069 +-> 1.1.10.11:21[10.2.0.11:21]

可见即使在主动模式下,fw也会动态建立server-map表项。

实验二:公网用户通过目的NAT访问内部服务器(公网端口与私网端口一对一进行映射)

需求和拓扑

某公司在网络边界处部署了FW作为

最低0.47元/天 解锁文章
信封同学
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
HCIE-Security 网络安全专家 V3.0 培训教材及实验手册
04-09
HCIE-Security V3.0 考试大纲.pdf HCIE-Security V3.0 实验手册.pdf HCIE-Security V3.0 培训教材.pdf
防火墙————目的NAT
xiazhui1的博客
11-16 1257
目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT
一文了解网络地址转换(NAT
闵行小鱼塘
06-30 5331
本文试图尽可能全面的讲清楚NAT
如何配置静态与动态NAT,以及NAT服务的使用场景。
最新发布
tyy2917193296的博客
06-15 1219
• 项目目的:AR1是企业网关路由器,G0/0/0接口连接ISP,G0/0/1接口连接内网主机,AR2是ISP路由器。• 当网关路由器连接ISP的接口上未使用固定IP地址,而是需要动态地从ISP获取IP地址时,为了向内部使用私有IP地址的主机提供访问外网的服务,需要在网关路由器上配置Easy IP。• 当使用私有IP地址的内部主机需要访问外网时,需要使用NAT将其私有IP地址转换为共有IP地址,此时需要在网关路由器上配置NAT,来提供相应的地址转换服务。• 在AR1上配置静态NAT
NAT配置之目的NAT详解
Mario_Ti的博客
12-25 2223
本文将收录NAT合集专栏,此文主要是讲解NAT技术之目的NAT的原理以及种类及配置。
目的NAT(公网地址与私网地址一对一进行映射)
hey1616的博客
11-16 1504
静态目的NAT原理、静态目的NAT实验
防火墙——目的NAT
qq_59359593的博客
09-25 392
指报文命中NAT策略后,转换报文的目的IP地址,且转换前后的地址存在一定的映射关系。通常情况下,出于安全考虑,我们不允许外部网络主动访问内部网络。当公网用户访问服务器时,防火墙处理流程如下。①防火墙收到用户访问服务器198.51.100.2的第一个报文后,匹配NAT策略。②匹配到NAT策略后,防火墙从目的NAT地址池中选择一个私网IP地址,替换报文的目的地址,同时可以选择使用新的端口替换目的端口或者端口保持不变。③报文通过安全策略后,会在防火墙上建立会话表,然后将报文发送至内网服务器。
HCIE-Security大神学习笔记
09-13
HCIE-Security大神学习笔记,非常详细
HCIE-Security V2.0培训PPT.rar
06-21
目录: 01 模块一 第一章 安全认证概述 02 模块一 第二章 信息安全防范与趋势 03 模块一 第三章 信息安全管理 04 模块一 第四章 隐私保护 05 模块二 第一章 安全攻防概述 06 模块二 第二章 信息收集与网络探测 ...
HCIE-Security V1.5.rar
07-17
内涵HCIE-Security华为认证网络安全精英培训教材V1.5,HCIE-Security华为认证网络安全精英培训实验手册,资料难得,望珍惜!
HCIE-Security V2.0 培训教材.rar
04-18
HCIE-Security V2.0 培训教材》是华为认证的顶级专家级课程,专注于网络安全领域的深度学习和实践。此教材涵盖了网络安全的各个方面,旨在培养具备高级网络安全技术能力的专业人士。作为华为认证互联网专家...
目的NAT(公网端口与私网端口进行映射)
hey1616的博客
11-16 208
动态目的NAT、公网端口与私网端口一对一进行映射
HCIE-Security Day9:5个实验理解NAT Server
小梁的博客
02-11 2396
NAT Server与目的NAT的区别和联系 NAT Server是一种静态目的NAT技术,与基于策略的静态目的NAT一样,都可以用于解决私网IP与公网IP存在固定映射关系的场景,但是基于策略的目的NAT在一条策略中可以匹配多个地址段,且支持地址排除功能,配置更为灵活。NAT Server可以逐条配置地址转换关系,命令简单清晰。 两者还有如下区别 1、nat server 配置后创建静态server-map表项,destination-nat不创建 2、nat server 优先级...
NAT的配置详解
热门推荐
RongChun的博客
06-03 2万+
NAT:Network address Translation是网络地址转换 它实现内网的IP地址与公网的地址之间的相互转换,将大量的内网IP地址转换为一个或少量的公网IP地址,减少对 公网IP地址的占用 概念: 1) 私有网络—>公有网络的转换 2) NAT术语 Inside Local:内部本地地址,公司内部私有网络 Inside Global:内部全局地址,公司访问外网使用的公网IP地...
了解目的NAT
xw19979790869的博客
11-16 144
但如果转换前的地址没有变化,转换后的目的地址也不会改变,转换前后的目的依然会存在固定的映射关系。基于ACL的目的NAT将符合特定条件的报文的目的地址以及目的端口转换为指定的地址及端口。基于ACL的目的NAT通过特定条件匹配,而基于NAT策略的动态目的NAT通过NAT策略匹配。NAT Server作为一种静态目的NAT技术,与基于策略的静态目的NAT一样,都可用于解决私网IP与公网IP存在固定映射关系的场景。动态目的NAT是一种动态转换报文目的IP地址的方式,转换前后的地址不存在一种固定的映射关系。
目的NAT: 公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射)
GUOJUNWEI11的博客
11-16 289
通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT目的NAT是指对报文中的目的地址和端口进行转换。Client1 FTP 连接成功信息。WEB 的连接成功信息。
华为防火墙配置目的nat
Ddfgxfgg的博客
10-17 2179
华为防火墙内网映射
网络地址转换(NAT)技术
qq_51776588的博客
02-14 9383
网络地址转换原理 NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。 NAT是将IP报文报头中的IP地址转换为另一个IP地址的过程,一般的NAT转换设备都维护着一张地址转换表,所有经过NAT转换设备(处于内部网络和外部网络的连接处,常见的设备有:路由器、防火墙等)并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分: 1、内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和
【防火墙】防火墙NAT Server的配置
2301_76769041的博客
08-31 2341
介绍公网用户通过NAT Server访问内部服务器的配置举例。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值