實驗環境
***公司的環境,內部有若干客戶機,一台伺服器,提供ftp 服務,通過防火牆連線網際網路。
需求描述
內網客戶端可以訪問網際網路伺服器 (ping通即可)
網際網路客戶端可以訪問內網伺服器 (通過ftp訪問)
內網伺服器可以訪問網際網路伺服器 (ping通即可)
配置網路引數及路由
配置nat no-nat
將內網介面加入指定區域
[f1]firewall zone trust
[f1-zone-trust]add inte***ce gigabitethernet 1/0/2
[f1-zone-trust]add inte***ce gigabitethernet 1/0/1
將外網介面加入指定區域
[f1]firewall zone untrust
[f1-zone-untrust]add inte***ce gigabitethernet 1/0/0
配置安全策略
[f1]security-policy
[f1-policy-security]rule name natnonat
[f1-policy-security-rule-natnonat]source-zone trust
[f1-policy-security-rule-natnonat]destination-zone untrust
[f1-policy-security-rule-natnonat]source-address 192.168.1.0 24
[f1-policy-security-rule-natnonat]source-address 192.168.2.0 24
[f1-policy-security-rule-natnonat]action permit
配置位址池
[f1]nat address-group natnonat
[f1-address-group-natnonat]section 0 202.96.1.3 202.96.1.4
[f1-address-group-natnonat]mode no-pat local
配置nat策略
[f1]nat-policy
[f1-policy-nat]rule name natnonat
[f1-policy-nat-rule-natnonat]source-zone trust
[f1-policy-nat-rule-natnonat]destination-zone untrust
[f1-policy-nat-rule-natnonat]source-address 192.168.1.0 24
[f1-policy-nat-rule-natnonat]source-address 192.168.2.0 24
[f1-policy-nat-rule-natnonat]action nat address-group natnonat
配置防止路由黑洞
[f1]ip route-static 202.96.1.3 32 null 0
[f1]ip route-static 202.96.1.4 32 null 0
驗證
[f1]display firewall session table
current total sessions : 1
icmp ***: public --> public 192.168.2.3:256[202.96.1.3:256] --> 202.96.2.2:20
48[f1]display firewall session table
current total sessions : 1
icmp ***: public --> public 192.168.1.10:256[202.96.1.4:256] --> 202.96.2.2:2
048natserver
配置安全策略
[f1]security-policy
[f1-policy-security]rule name sec_1
[f1-policy-security-rule-sec_1]source-zone untrust
[f1-policy-security-rule-sec_1]destination-zone trust
[f1-policy-security-rule-sec_1]destination-address 192.168.1.0 24
[f1-policy-security-rule-sec_1]service ftp
[f1-policy-security-rule-sec_1]action permit
配置natserver
[f1]nat server natsever_ftp protocol tcp global 202.96.11.11 21 inside 192.168.1
.10 21
配置防止路由黑洞
[f1]ip route-static 202.96.11.11 32 null 0
配置靜態路由
[r1]ip route-static 202.96.11.0 24 202.96.1.1
驗證
配置靜態NAT(案例)
問題 隨著接入internet的計算機數量的不斷猛增,ip位址資源也就愈加顯得捉襟見肘。事實上,除了中國教育和科研計算機網 cernet 外,一般使用者幾乎申請不到整段的c類ip位址。在其他isp那裡,即使是擁有幾百台計算機的大型區域網使用者,當他們申請ip位址時,所分配的位址也不過只有幾個或十幾個...
華為裝置NAT配置案例
在一台路由器上對進或者出流量進行ip位址的修改,通常規則為從內部去往外部時修改源ip位址,從外部去往內部修改目標ip位址 配置 route int g0 0 1 ip add 192.168.1.10 24 int g0 0 0 ip add 12.1.1.1 24 ip route static ...
實驗十四配置 NAT與PAT
nat與pat 預備知識 l nat network address translation 網路位址轉換 l pat port address translation 埠位址轉換 pat為internet節省了大量的ip位址,延緩了ip v4位址的耗盡。nat主要起到隱藏位址的作用,不能節省ip位...