289、实验:NO PAT,一对一的地址转换
实验topo:
需求:做NO PAT,让trust区域的客户机可以访问untrust2 区域的server;
新建一个地址池,将需要一对一转换的IP地址写入地址池中,并且不勾选“允许端口地址转换”
#
nat address-group untrust_pool 0
mode no-pat global
section 0 13.1.1.3 13.1.1.3
#
新建一条源NAT策略,并引用该地址池:
#
nat-policy
rule name trust_untrust2
source-zone trust
destination-zone untrust2
action nat address-group untrust_pool
#
新建一条安全策略,让trust区域访问untrust2 区域的流量可以通行;
#
security-policy
rule name trust_untrust2
source-zone trust
destination-zone untrust2
action permit
#
测试结果:
290、基于目的IP地址的NAT转换:
应用场景,国外的手机进入国内之后,会带有一个国外运营商的网关,所以不能上网,必须将网关转换成为国内的网关地址才可以上网;
实验topo:
实验需求:配置一条目的NAT策略,使得trust区域访问9.9.9.9的时候,将目的IP地址转换成为 10.1.1.10
先做一条ACL,匹配目的IP地址;
#
acl number 3000
rule 5 permit ip destination 9.9.9.9 0
#
在做一条目的NAT,调用ACL3000
#
firewall zone trust
destination-nat 3000 address 10.1.1.10
#
测试结果: