NAPT(地址池多对一)
配置IP地址 配置静态路由和默认路由 FW1: ip route-static 0.0.0.0 0.0.0.0 172.16.10.2 R1: ip route-static 10.1.1.0 24 172.16.10.1 ip route-static 192.168.10.0 24 172.16.10.1 R2: ip route-static 172.16.10.0 24 172.16.20.1 ip route-static 192.168.10.0 24 172.16.20.1 ip route-static 10.1.1.0 24 172.16.20.1
防火墙添加区域 firewall zone trust add int gi0/0/0 add int gi1/0/0 quit firewall zone untrust add int gi1/0/1 quit 防火墙放行接口 int gi0/0/0 service-manager all permit #允许所有访问,因为有web界面 quit int gi1/0/0 service-manager ping permit #只允许ping通要求 quit int gi1/0/1 service-manager ping permit #只允许ping通要求 quit
配置防火墙NAT地址池 nat address-group dcc #创建地址池dcc section 172.16.10.1 #指定目的地址为防火墙出接口地址 mode pat #模式为pat 配置防火墙NAT策略 nat-policy #创建nat策略 rule name nat_pt #定义nat策略名字 source-zone trust #源区域为trust区域 destination-zone untrust #目的区域为untrust source-address 10.1.1.0 mask 255.255.255.0 #源地址为trust区域的IP地址段,实现精确匹配 action source-nat address-group dcc #把nat地址池绑定在nat策略上面
防火墙开启安全策略 security-policy #进入安全策略 rule name p1 #自定义安全策略名字 source-zone trust #源区域为trust区域 destination-zone untrust#目的区域为untrust区域 source-address 10.1.1.0 mask 255.255.255.0 #加上源地址更加精确匹配 action permit #允许trust区域访问untrust区域
PC1ping通R2:
查看图形化配置策略: