静态目的NAT
静态目的NAT是一种转换报文目的IP地址的方式,且转换前后的地址存在一种固定的映射关系。
通常情况下,出于安全的考虑,不允许外部网络主动访问内部网络。但是在某些情况下,还是希望能够为外部网络访问内部网络提供一种途径。例如,公司需要将内部网络中的资源提供给外部网络中的客户和出差员工访问。
基于NAT策略的静态目的NAT工作原理如图1所示。
如图1所示,当Host访问Server时,FW的处理过程如下:
- FW收到Internet上用户访问1.1.1.10的报文的首包后,将匹配NAT策略的报文的目的地址进行转换。
- FW选择一个私网IP地址,替换报文的目的地址,同时可以选择使用新的端口替换目的端口号或者端口号保持不变。公网地址与私网地址一对一进行映射的场景下,公网地址与目的地址池地址按顺序一对一进行映射,FW从地址池中依次取出私网IP地址,替换报文的目的地址。
- 报文通过安全策略后,FW建立会话表,然后将报文发送至内网服务器。
- FW收到Server响应Host的报文后,通过查找会话表匹配到3中建立的表项,用原Host报文的目的地址(1.1.1.10)替换Server的IP地址(192.168.1.2),然后将报文发送至Host。
- 后续Host继续发送给Server的报文,FW都会直接根据会话表项的记录对其进行转换。
为了兼容V500R003C00之前版本的NAT,保留了NAT server。NAT Server会生成Server-map表,并通过Server-map保存地址转换前后的映射关系。与NAT Server不同,基于NAT策略的静态目的NAT不会产生Server-map表。但如果转换前的地址没有变化,转换后的目的地址也不会改变,转换前后的目的依然会存在固定的映射关系。FW在进行地址转换的过程中还可以选择是否多个地址转换为同一个目的地址,是否选择端口转换,以满足不同场景的需求。NAT Server相关配置举例请参考配置NAT Server。
实验拓扑
将接口加入防火墙区域
[LW1]firewall zone dmz
[LW1-zone-dmz]dis th
2023-11-16 08:34:51.640
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1
#
return
[LW1-zone-dmz]q
[LW1]firewall zone untrust
[LW1-zone-untrust]dis th
2023-11-16 08:35:03.680
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
return
配置防火墙安全策略允许私网指定网段与Internet进行报文交互。
security-policy
rule name u_t_d
source-zone untrust
destination-zone dmz
destination-address 172.16.10.0 mask 255.255.255.0
action permit
#
return
配置NAT地址池
destination-nat address-group group1 0
section 172.16.10.1 172.16.10.2
#
NAT策略实现私网指定网段访问Internet时自动进行源地址转换。
nat-policy
rule name nat1
source-zone untrust
destination-address range 1.1.10.10 1.1.10.11
service ftp
service http
action destination-nat static address-to-address address-group group1
#
配置报文目的地址的黑洞路由,以防路由环路。
[FW] ip route-static 1.1.10.10 255.255.255.255 NULL0
[FW] ip route-static 1.1.10.11 255.255.255.255 NULL0
配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
R1路由器配置到公网地址的静态路由,使得去服务器的流量能够送往FW。
[R]ip route-static 1.1.10.10 32 1.1.1.1
[R]ip route-static 1.1.10.11 32 1.1.1.1
实验结果
外网客户机拿到ftp服务器的文件