nat server主要应用于实现私网服务器以公网IP地址对外提供服务的场景。nat server是最常用的基于目的地址的nat 。当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置nat server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。
nat server是最常用的基于目的地址的nat 。当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置nat server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。
nat server功能使得内部服务器可以供外部网络访问。外部网络的用户访问内部服务器时,nat将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,nat还会自动将回应报文的源地址(私网地址)转换成公网地址。
nat server可以通过静态IP(即global IP地址)和动态IP(即接口IP地址)两种方式实现地址转换。当通过global IP地址配置nat server后,再通过基于接口地址的方式配置nat server,当被借用的接口的地址与global IP地址相同时,二者冲突,基于接口方式的nat server不生效。
NAT Server实验拓扑
将接口加入防火墙区域
[LW1]firewall zone dmz
[LW1-zone-dmz]dis th
2023-11-16 08:34:51.640
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1
#
return
[LW1-zone-dmz]q
[LW1]firewall zone untrust
[LW1-zone-untrust]dis th
2023-11-16 08:35:03.680
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
return
配置防火墙安全策略允许私网指定网段与Internet进行报文交互。
security-policy
rule name u_t_d
source-zone untrust
destination-zone dmz
destination-address 172.16.10.0 mask 255.255.255.0
action permit
#
return
配置NAT Server功能
firewall detect ftp
#
nat server web protocol tcp global 1.1.1.10 8080 inside 172.16.10.1 www unr-route
nat server ftp protocol tcp global 1.1.1.10 ftp inside 172.16.10.2 ftp unr-route
#
配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
实验结果
一、客户机访问内网的ftp和http服务器
成功转换IP地址