防火墙NAT地址转换
NAT-NOPAT(一对一)
NAT No-PAT 只转换报文的IP 地址,不转换端口,需要上网的私网用户数量省,公网IP地址数量与同时上网的最大私网用户数量基本相同,在NAT No-PAT的转换方式中,一上公网IP地址不能同时被多个私网用户使用,其实并没有起到节省公网Ip地址的效果
配置IP地址
配置静态路由和默认路由
FW1:
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
ip route-static 10.1.1.3 255.255.255.255 null0 #配置黑洞路由,防止环路
ip route-static 10.1.1.4 255.255.255.255 null0 #配置黑洞路由,防止环路
R1:
ip route-static 172.16.10.0 255.255.255.0 10.1.1.1
ip route-static 192.168.10.0 255.255.255.0 10.1.1.1
R2:
ip route-static 10.1.1.0 255.255.255.0 11.1.1.1
ip route-static 172.16.10.0 255.255.255.0 11.1.1.1
ip route-static 192.168.10.0 255.255.255.0 11.1.1.1
防火墙添加区域
firewall zone trust
add int gi0/0/0
add int gi1/0/0
quit
firewall zone untrust
add int gi1/0/1
quit
防火墙放行接口
int gi0/0/0
service-manager all permit #允许所有访问,因为有web界面
quit
int gi1/0/0
service-manager ping permit #只允许ping通要求
quit
int gi1/0/1
service-manager ping permit #只允许ping通要求
quit
配置防火墙NAT地址池
nat address-group 1 #创建地址池1
section 11.1.1.2 11.1.1.3 #指定目的地址为防火墙出接口地址
mode no-pat global #模式为no-pat
配置防火墙NAT策略
nat-policy #创建nat策略
rule name nat #定义nat策略名字
source-zone trust #源区域为trust区域
destination-zone untrust #目的区域为untrust
source-address 172.16.10.0 mask 255.255.255.0 #源地址为trust区域的IP地址段,实现精确匹配
action no-nat #把nat地址池绑定在nat策略上面
防火墙开启安全策略
security-policy #进入安全策略
rule name p1 #自定义安全策略名字
source-zone trust #源区域为trust区域
destination-zone untrust#目的区域为untrust区域
source-address 172.16.10.0 mask 255.255.255.0 #加上源地址更加精确匹配
action permit #允许trust区域访问untrust区域
配置查看效果
display firewall session table
PC1ping通R2:
正向server-map表的作用是保证特定私网用户访问Internet时,可以快速转换地址。
反向server-map表的作用保证internet用户主动访问私网用户的报文,命中server-map表,直接进行地址转换
图形化查看效果
好文推荐
发表评论