NAT Server与目的NAT的区别和联系
NAT Server是一种静态目的NAT技术,与基于策略的静态目的NAT一样,都可以用于解决私网IP与公网IP存在固定映射关系的场景,但是基于策略的目的NAT在一条策略中可以匹配多个地址段,且支持地址排除功能,配置更为灵活。NAT Server可以逐条配置地址转换关系,命令简单清晰。
两者还有如下区别
1、nat server 配置后创建静态server-map表项,destination-nat不创建
2、nat server 优先级高于destination-nat,首包到达防火墙后先进行nat server处理查server-map表,查不到server-map表的情况下,再进行destination-nat处理
3、nat server不配置no-reverse的情况下,双向都可以进行nat转换,destination-nat只能单向nat转换。
实验一:公网用户通过NAT Server访问内部服务器
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置NAT Server功能。除了公网接口的IP地址外,公司还向ISP申请了一个IP地址(1.1.1.10)作为内网服务器对外提供服务的地址。网络环境如图1所示,其中Router是ISP提供的接入网关。
操作步骤
1、配置接口地址,划分安全区域
2、配置路由
ip route-static 2.2.2.0 255.255.255.0 1.1.1.254
3、配置安全区域
security-policy rule name 1 source-zone untrust destination-zone dmz source-address 2.2.2.0 mask 255.255.255.0 destination-address 10.2.0.0 mask 255.255.255.0 service ftp service http service icmp action permit
4、配置nat server
nat server 0 protocol tcp global 1.1.1.10 ftp inside 10.2.0.7 ftp no-reverse nat server 1 protocol tcp global 1.1.1.10 www inside 10.2.0.8 www no-reverse nat server 2 protocol icmp global 1.1.1.10 inside 10.2.0.7 no-reverse
验证和分析
不做任何操作,直接检查fw的server-map
[f1]dis fire server-map 2022-02-11 00:57:51.620 Current Total Server-map : 3 Type: Nat Server, ANY -> 1.1.1.10:80[10.2.0.8:80], Zone:---, protocol:tcp Vpn: public -> public Type: Nat Server, ANY -> 1.1.1.10[10.2.0.7], Zone:---, protocol:icmp Vpn: public -> public Type: Nat Server, ANY -> 1.1.1.10:21[10.2.0.7:21], Zone:---, protocol:tcp Vpn: public -> public
在公网client上分别访问1.1.1.10提供的ftp和http服务后,检查fw的session table
[f1]dis fire sess table 2022-02-11 00:57:54.200