实验一-目的NAT
设备 | 接口 | IP |
服务器 | G1/0/1 | 172.168.1.1 |
宿主机 | VirtualBOX host | 10.10.20.10 |
网络拓扑如下:
防火墙配置:
- 配置策略NAT,选择NAT44,转换模式选择目的地址转换,配置目的地址时填写外网地址,端口填写需要映射到的端口上,目的地址转换填写服务器的真实IP地址具体配置见下图
- 配置安全策略为全通
验证测试
通过宿主机在浏览器上访问防火墙的外网接口8080端口能正常访问到服务器的内容,验证成功
查看防火墙的会话转换过程
实验二-源NAT
设备 | 接口 | IP |
服务器 | G1/0/1 | 112.112.112.112 |
交换机2 | G1/0/1 | 80.38.2.2 |
G1/0/0 | 112.112.112.254 | |
防火墙 | G1/0/1 | 80.38.2.1 |
G1/0/0 | 192.168.10.254 | |
交换机1 | G1/0/1 | 192.168.10.10 |
G1/0/2 | 192.168.20.254 | |
PC | G1/0/1 | 192.168.20.113 |
网络拓扑如下:
防火墙配置:
1.新建策略NAT,规则类型选择NAT44,源和目的根据流向选择,源IP填写源网段或指定IP,目的IP填写需要访问的地址或any,转换方式使用动态IP+端口的形式,地址类型使用easy ip。
2.配置安全策略为全通
验证结果:
- 当主机访问服务器时,查看会话表可以看见源地址已正常转换
实验三-双向NAT
设备 | 接口 | IP |
服务器 | G1/0/1 | 192.168.20.20 |
交换机 | G1/0/1 | 192.168.10.10 |
G1/0/2 | 192.168.20.254 | |
G1/0/3 | ||
PC | G1/0/1 | 192.168.20.113 |
防火墙 | G1/0/0 | 192.168.10.20 |
网络拓扑如下:
防火墙配置:
- 新建策略NAT,规则类型选择NAT44,转换类型选择源和目的地址转换
- 注意:配置中源地址是具体网段;目的地址是具体IP;不能填写any
- 注意:策略NAT和接口NAT互斥;配置策略NAT即可。
流量:内网192.168.20.113终端访问80.38.1.16:8080;到达防火墙匹配源和目的转换后,将源地址10.1.1.2更改为80.38.1.16;目的地址80.38.1.16:8080更改为192.168.20.20:81进行访问
即:10.1.1.2—80.38.1.16:8080; 变为:1.1.1.1—192.168.20.20:80
- NAT对象组配置
交换机配置:
PC配置:
测试访问:
抓包分析转换过程: