Easy-IP(出接口地址方式,多对一)
配置IP地址 配置静态路由和默认路由 FW1: ip route-static 0.0.0.0 0.0.0.0 172.16.10.2 R1: ip route-static 10.1.1.0 24 172.16.10.1 ip route-static 192.168.10.0 24 172.16.10.1 R2: ip route-static 172.16.10.0 24 172.16.20.1 ip route-static 192.168.10.0 24 172.16.20.1 ip route-static 10.1.1.0 24 172.16.20.1
防火墙添加区域 firewall zone trust add int gi0/0/0 add int gi1/0/0 quit firewall zone untrust add int gi1/0/1 quit 防火墙放行接口 int gi0/0/0 service-manager all permit #允许所有访问,因为有web界面 quit int gi1/0/0 service-manager ping permit #只允许ping通要求 quit int gi1/0/1 service-manager ping permit #只允许ping通要求 quit
防火墙开启nat策略 nat-policy #进入nat策略 rule name nat #自定义nat策略名字 source-zone trust #源区域是trust区域 destination-zone untrust #目的区域是untrust区域 source-address 10.1.1.0 mask 255.255.255.0 #加上源地址,源地址一定要是trust区域的IP地址段,更加精确匹配需要通信的网段 action source-nat easy-ip #源地址转换为出接口地址
防火墙开启安全策略 security-policy #进入安全策略 rule name p1 #自定义安全策略名字 source-zone trust #源区域为trust区域 destination-zone untrust#目的区域为untrust区域 source-address 10.1.1.0 mask 255.255.255.0 #加上源地址更加精确匹配 action permit #允许trust区域访问untrust区域
PC1ping通R2:
查看图形化配置策略
nat-policy #创建nat策略 rule name trust_untrust #内网通过nat地址池转换成外网 source-zone trust #源地址为内网 destination-address 10.1.1.10 mask 255.255.255.255 #目的地址为外网的nat地址池网段 action destination-nat static address-to-address address 10.1.1.2 #应用这个策略,这个nat策略的实际转换的IP地址是R1的IP地址
图形化操作