技术起因:为缓解v4地址的稀缺。
实现方法:
5元组 源、目的ip,源、目的port和协议,确定唯一一条ipv4的流量。会话表就是用来记录5元组的。
只要有任意一项对不上,都不会认为这个报文和前面的报文有关系。
源Nat之所以能够实现私网ip和公网ip的转换,就是利用了源port的不同,将不同的内网ip对应到公网的port上
源端口不一定是严格意义上的传输层端口号,也可能是进程的端口号,最大范围是65535(2进制16位)
拓扑如下:
1、基础配置(端口ip、安全区域、路由)
fw1配置如下:
interface GigabitEthernet1/0/0
ip address 10.1.1.254 255.255.255.0
service-manage ping permit
interface GigabitEthernet1/0/1
ip address 1.1.1.21 255.255.255.0
service-manage ping permit
firewall zone trust
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
security-policy
rule name T_U
source-zone trust
destination-zone untrust
source-address 10.1.1.0 24
destination-address 2.2.2.0 24
destination-address 1.1.1.0 24
action permit
ospf1
area 0
network 1.1.1.0 0.0.0.255
disp ip int b
检查防火墙配置正确
AR1配置:
int g0/0/0
ip add 1.1.1.1 24
int g0/0/1
ip add 2.2.2.254 24
ospf 1
area 0
network 1.1.1.0 0.0.0.255
network 2.2.2.0 0.0.0.255
端口配置正确
fw配置地址池1.1.1.100-1.1.1.102
nat address-group test
(此处可以用mode改模式,如pat,no-pat,full-cone(三元组))
section 1.1.1.100
q
至此,内网有用户要访问外网,就会从nat处拿一个地址匹配
源地址nat测试,配置nat规则(可以不配置目的地址、协议)
nat-policy
rule name nat
source-address 10.1.1.0 24
source-zone trust
destination-zone untrust
action source-nat address-group test
pcping2.2.2.2 测试
抓包发现源ip为地址池的ip1.1.1.1.100
会话可以看到ip转换的过程,两个内网地址均使用了1.1.1.100这个公网地址