NAT:
是一种地址转换技术,可以将IPv4报文头中的地址做转换。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,实现了内网设备与公网设备的互访。
优点:
实现IP地址复用,节约宝贵的地址资源。 地址转换过程对用户透明。 对内网用户提供隐私保护。 可实现对内部服务器的负载均衡。
缺点:
网络监控难度加大。 限制某些具体应用。
根据应用场景的不同,NAT可以分为以下三类:
源NAT(Source NAT):用来使多个私网用户能够同时访问Internet。 地址池方式:采用地址池中的公网地址为私网用户进行地址转换,适合大量的私网用户访问Internet的场景。 出接口地址方式(Esay IP):内网主机直接借用公网接口的IP地址访问Internet,特别适用于公网接口IP地址是动态获取的情况。
服务器映射:用来使外网用户能够访问私网服务器。
出接口地址方式也称为Easy IP,即直接使用接口的公网地址作为转换后的地址,不需要配置NAT地址池。转换时同时转换地址和端口,即可实现多个私网地址共用外网接口的公网地址的需求。
静态映射(NAT Server):公网地址和私网地址一对一进行映射,用在公网用户访问私网内部服务器的场景。
实验目的:
(1)观察NAT-防火墙及使用
了解防火墙在NAT转换中的应用。
实验基本配置:
[lsw 1]vlan b 10 20
[lsw 1]int g0/0/1
[lsw 1-GigabitEthernet0/0/1]port link-type access
[lsw 1-GigabitEthernet0/0/1]port default vlan 10
[lsw 1]int g0/0/2
[lsw 1-GigabitEthernet0/0/2]port link-type access
[lsw 1-GigabitEthernet0/0/2]port default vlan 20
[lsw 1-GigabitEthernet0/0/2]q
[lsw 1]int vlanif 1
[lsw 1-Vlanif1]ip add 192.168.3.1 24
[lsw 1-Vlanif1]
[lsw 1-Vlanif1]int vlanif 10
[lsw 1-Vlanif10]ip add 192.168.1.254 24
[lsw 1-Vlanif10]int vlanif 20
[lsw 1-Vlanif20]ip add 192.168.2.254 24
[lsw 1]ip route-static 0.0.0.0 0 192.168.3.254
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 100.0.0.254 24
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 11.0.0.1 24
配置防火墙:
Username:admin //:用户名
Password:Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123 //:旧密码
Please enter new password:Admin@123456 //:新密码
Please confirm new password:Admin@123456 //:再次确认新密码
[USG6000V1]sys f-h-q
[f-h-q]int g0/0/0
[f-h-q-GigabitEthernet0/0/0]ip add 192.168.1.4 24
[f-h-q-GigabitEthernet0/0/0]service-manage https permit //:开启用哪个(http 、HTTPS,ping 等)管理
(允许通过什么协议来管理)
网页进入:
https://192.168.1.4:8443/default.html //:网页地址(设置的地址)
动态nat转换:
过程:
配置接口 :(g1/0/0:tust g1/0/1:UNtrust)
图(1)
配置 静态路由:
图(2)
要使互通需要加入默认路由:
图(3)
一 实验:
添加nat策略:
源地址添加(192.168.1 192.168.2 。源转换地址池:设置为address--(这里先关闭地址转换))
图(4)
(这里先关闭安全策略---- 动作:允许)
进入防火墙在pc1中ping100.0.0.1查看结果:
图(5)
写入安全策略:
禁掉安全策略(动作:禁止)
源地址:未被转换之前的地址(私网地址192.168.1--192.168.2)
配置安全策略:
[fw1]dis firewall server-map
server-map表,正向与反向都有
pc2中ping100.0.0.1查看结果:
图(7)
二:实验:
动态napt:
(关闭之前创建的nat策略;注意(这里关闭是NAT策略中写入的nat,而不是安全策略中写入的nat))
新建napt策略:
新建地址池1:
新建地址池2:
([fw1]dis firewall server-map //:查看server-map 表
动态napt不会形成server-map 表)
创建完成检测互通性:
图(10)
三实验:
easy-ip:
((NAT策略中)关闭之前创建的napt策略和nat策略,)
新建easy-ip:
(源地址转换为:选择出接口)
配置easy-ip:
检测连通性:
图 (12)
easy-ip不会形成server-map 表
[fw1]dis firewall server-map
2022-10-26 04:21:32.430
Current Total Server-map : 0
四实验:
nat sevrer:
改变拓扑结构方便管理配置:
配置NAT-sevrer:
查看结果:
[fw1]dis firewall server-map
2022-10-26 08:02:16.600
Current Total Server-map : 1
Type: Nat Server, ANY -> 11.0.0.100[192.168.1.2], Zone: untrust , protocol:---
Vpn: public -> public
安全策略:
目的地址,为转换后的地址(私网地址)
4228
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
