一、实验需求
某公司在网络边界处部署了USG6000作为安全网关。为了使私网中192.168.10.0/24网段的用户可以正常访问Internet,需要在防火墙设备上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。如果有大量的内网用户上网,会导致NAT转换时端口冲突,这时可以选择限制公网地址对应的私网地址数,保证用户正常上网。网络环境如下图所示,其中AR1模拟的是ISP提供的接入网关。
二、实验环境
三、实验地址规划
四、具体步骤
1.配置防火墙接口IP地址并将其加入到安全域中
2.配置安全策略,允许私网指定的用户访问internet
3.配置NAT地址池,不开启端口转换
4.配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
四、验证
1.在PC上面pingISP的地址是否可以访问
2.在防火墙上面查看nat策略命中次数,大于1表示有数据流命中该nat策略
3.在防火墙上面查看NAT会话表信息
查看防火墙的路由表中存在unr路由:
unr路由解释:
Unr即用户网络路由user network route的简写,按照平时的理解,路由一般都有很明确的协议,比如ospf、bgp、static等,可以通过ospf、bgp等从其他设备学习路由,也可以通过本地发布的方式发布路由,如静态路由、黑洞路由等; 但是unr路由并没有类似明确的协议,一般来说,要产生路由,首先要在接口上配置ip,再其次是配置IP的端口需要UP,然后才会产生本地路由,出现在本地路由表;或者配置相关静态路由,发布到本地路由表,但是unr路由有一个统一特征,就是由非接口IP产生,不存在于任何接口上;Unr路由产生,无法直接undo删除。
在防火墙作为公网出口场景下,如果内网用户基数大,则使用easy-ip方式不能满足需求,可以通过nat address-group方式创建地址组扩容;
当公网用户主动访问NAT地址池中的地址时,FW收到此报文后,无法匹配到会话表,根据缺省路由转发给路由器,路由器收到报文后,查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发,造成路由环路。特别是nat地址池与公网出接口地址不再同一网段时候,必须配置黑洞路由防环;此种场景下,也可以在nat address-group视图下,配置route enable命令来下发unr路由,作用与黑洞路由的作用相同,可以防止路由环路,
注意事项:黑洞路由
1. 当NAT地址池地址与出接口地址不在同一网段时,必须配置黑洞路由;
2. 当NAT地址池地址与出接口地址在同一网段时,建议配置黑洞路由。
3. 当地址池地址与出接口地址一致时,不会产生路由环路,不需要配置黑洞路由。
4. 可以配置黑洞路由功能route enable命令产生UNR路由,也可以使用ip route-static ip-address (x.x.x.x x.x.x.x) NULL 0命令手工进行配置实现黑洞路由,两种方法二先一。