目录
理解NAT的原理与作用
我们可以看到在做nat策略的时候这里有3种转换类型,现在对每种类型进行解释
1.只转换源地址:
意思是当内部的数据包到达防火墙后,防火墙会将数据包中的源地址转换成某个公网IP,然后达到网通的作用
2.只转换目的地址:
意思是外部数据包到达防火墙后,防火墙会将数据包中的目的地址转换成内部的某个地址一般是服务器的,从而实现了公网的人可以访问内部的服务器
3.两个都转换:
先说一下这个的场景吧,一般是内部的服务器通过域名的方式访问自己内部的服务器。
再得理解这个过程
1:内部服务器A发送的包会到防火墙(这个包源是IP_A,目标是IP_公网,因为是域名,所以给DNS服务器转化成了公网IP)
2:防火墙转化目标地址(就是B的地址啦),同时也会转化源地址为自己的内网接口IP地址,然后将这个包发送给内部服务器B(这个给B包的源地址是IP_防火墙,目标地址是IP_B)
3:服务器B收到后以自己的IP为源地址给防火墙回包(这个B给的包的源是地址是IP_B,目标是IP_防火墙)
4:防火墙收到B的包,这个包的源是地址是IP_B,目标是IP_防火墙,此时防火墙再次转化将源改为IP_公网,目标是IP_A
5:A收到后完成!,注意这里是先匹配NAT在匹配路由转发
抓包体现大体如下
实验
拓扑图与要求
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)
8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;
10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;
11,游客区仅能通过移动链路访问互联网
ps:前6个在上几篇文章已经完成
FW2防火墙建立NAT策略
办公区可以出去
子公司可以访问内部HTTPServer
解释一下这里为什么原始数据报的源地址是23.0.0.2,这个其实是另一个防火墙的出接口地址,并且在那个防火墙配置NAT的时候,出来转换的IP其实就是23.0.0.2
FW2限制10.0.2.10访问移动
这里要注意策略的顺序,一般越精细的策略越上面,然后这条是精确到了这个IP访问外网的移动
FW2过载保护
到这里第一个防火墙基本结束啦,接下来是第二个防火墙
FW4外部可以访问内部的HTTPServer
这里是通过一对一转换,就是当外部访问23.0.0.11的时候会被转换成内部服务器的IP172.168.1.30
FW4配置两个都转换实现可以通过域名访问自己的服务器
解释一下原始数据包的源地址是代表着内网的所有IP,目的地址就是23.0.0.11,因为这个地址是映射给服务器了,而且DNS存的也是这个
FW4可以去总公司服务器的NAT(实际是就是可以上网)
因为这里还要访问DNS服务器的,所以题目没说但是子公司肯定也是得配置可以上网这条NAT的
配置公网的DNS服务器
测试结果
公网的可以通过域名访问子公司内部服务器
内部自己通过域名访问自己的服务器
子公司电信访问主公司的服务器
子公司移动访问主公司服务器
结束!!!!