拓補(bǔ)圖：

一、Easy ip

簡(jiǎn)單的來(lái)闡述一下什么是easy ip以及easy ip的作用，easy ip跟動(dòng)態(tài)nat以及靜態(tài)nat不一樣的是不需要配置nat地址池，而是將私網(wǎng)的地址直接轉(zhuǎn)換成路由器出接口上的公網(wǎng)地址，適合于PPPOE撥號(hào)的用戶，因?yàn)槊看螕芴?hào)之后的公網(wǎng)地址都不一樣了，所以適用于這種用戶，這種方式也是現(xiàn)網(wǎng)當(dāng)中應(yīng)用最廣泛的一種NAT技術(shù)，配置和維護(hù)都簡(jiǎn)單快捷

1. IP地址的配置略

2. 路由的配置

[R1]ip route-static ?0.0.0.0 0 10.1.1.2? ? //注意R1配置默認(rèn)路由能夠到達(dá)R2即可，R2無(wú)需配置路由回來(lái)，這樣才能體現(xiàn)出NTA的效果

3. 防火墻區(qū)域的劃分

[USG6000V1]firewall zone ?trust

[USG6000V1-zone-trust]add interface g1/0/0

[USG6000V1]firewall zone ?untrust

[USG6000V1-zone-untrust]add interface ?g1/0/1

4.新建安全策略

[USG6000V1]security-policy?

[USG6000V1-policy-security]default action ?permit? ? //默認(rèn)放行全部，這里目的是為了演示實(shí)驗(yàn)效果，真實(shí)的生產(chǎn)環(huán)境當(dāng)中不建議這樣配，詳情請(qǐng)查看之前的配置

5.新建NAT策略

[USG6000V1]nat-policy? ? ? ?//新建NAT策略

[USG6000V1-policy-nat]rule ?name huawei? ? ? //NAT規(guī)則名字

[USG6000V1-policy-nat-rule-huawei]source-zone trust? ? ?//轉(zhuǎn)換的源區(qū)域

[USG6000V1-policy-nat-rule-huawei]destination-zone untrust? ? //轉(zhuǎn)換的目標(biāo)區(qū)域

[USG6000V1-policy-nat-rule-huawei]source-address 10.1.1.1 ?32? ? //轉(zhuǎn)換的源地址

[USG6000V1-policy-nat-rule-huawei]destination-address 100.1.1.1 32? ? //轉(zhuǎn)換的目的地址

[USG6000V1-policy-nat-rule-huawei]action source-nat ?easy-ip? ? ? ? //應(yīng)用于easy ip

注意：如果配置了源區(qū)域沒(méi)有配置源地址的話，那就是區(qū)域內(nèi)的私網(wǎng)地址都可以轉(zhuǎn)換，如果配置了源地址的話，那就要滿足在源區(qū)域內(nèi)的這個(gè)源地址才能被轉(zhuǎn)換，目的區(qū)域和目的地址也是如此，但是我們配置的是easy ip所以不需要配置目標(biāo)區(qū)域跟目標(biāo)地址都可以通信，因?yàn)槲覀冎挥衪rust跟untrust區(qū)域

6. 驗(yàn)證效果：能夠正常ping通

7. 抓包查看，發(fā)現(xiàn)源地址是出口路由器的IP地址，因?yàn)閑asy ip就是將內(nèi)網(wǎng)地址轉(zhuǎn)換成出口路由器上的公網(wǎng)地址出來(lái)訪問(wèn)

二、源NAT地池的方式（動(dòng)態(tài)NAT）

先來(lái)簡(jiǎn)單的闡述一下什么是源NAT地址的方式，第一種方式是不帶端口號(hào)進(jìn)行轉(zhuǎn)換，就是需要配置一個(gè)公網(wǎng)地址池，私網(wǎng)地址轉(zhuǎn)換的時(shí)候找公網(wǎng)地址池當(dāng)中的其中一個(gè)沒(méi)有在使用的公網(wǎng)地址轉(zhuǎn)換即可，其實(shí)著也是一對(duì)一的關(guān)系，如果公網(wǎng)地址池當(dāng)中的地址被轉(zhuǎn)換完后其他的私網(wǎng)主機(jī)想出來(lái)上網(wǎng)就無(wú)法上網(wǎng)課，第二種方式就是帶端口轉(zhuǎn)換，就是也需要一個(gè)公網(wǎng)地址池，但是這個(gè)地址池里面只需要一個(gè)公網(wǎng)地址即可，內(nèi)網(wǎng)的主機(jī)出來(lái)轉(zhuǎn)換的時(shí)候就轉(zhuǎn)換到這個(gè)公網(wǎng)地址的不同端口即可，端口的范圍是0~65535，這樣才能做到真正節(jié)約公網(wǎng)地址的目的

1.IP地址的配置忽略

2.路由的配置忽略，可參考上面的實(shí)驗(yàn)

3.防火墻區(qū)域的劃分忽略，可以參考上面的實(shí)驗(yàn)

4.防火墻的安全策略忽略，可以參考上面的實(shí)驗(yàn)

5.NAT策略的配置

[USG6000V1]nat address-group 1? ? ?//新建地址池的組

[USG6000V1-address-group-1]section 100.1.1.50 100.1.1.100? ? // 地址池的范圍

[USG6000V1-address-group-1]mode ?no-pat ?global? ? ?//一定要注意模式，一個(gè)是帶端口pat轉(zhuǎn)換，一個(gè)是不帶端口no-pat轉(zhuǎn)換，引用在全局模式下而不是本地，如果想帶端口轉(zhuǎn)換的話就是PAT，不帶端口轉(zhuǎn)化的話就配置成no-pat，默認(rèn)是PAT模式

[USG6000V1-policy-nat]rule name huawei? ? //規(guī)則名稱

[USG6000V1-policy-nat-rule-huawei]source-zone trust? ? ? ?//源區(qū)域

[USG6000V1-policy-nat-rule-huawei]destination-zone untrust? ? //目標(biāo)區(qū)域

[USG6000V1-policy-nat-rule-huawei]source-address 10.1.1.1 32? ?//轉(zhuǎn)換的源地址

[USG6000V1-policy-nat-rule-huawei]action source-nat ?address-group ?1? ?//應(yīng)用的動(dòng)作

6.驗(yàn)證效果：轉(zhuǎn)換成地址池的公網(wǎng)地址了

三、NAT server

首先來(lái)解釋一下什么是NAT server，NAT sever就是單獨(dú)的把內(nèi)網(wǎng)的一臺(tái)主機(jī)映射到外網(wǎng)，外網(wǎng)的主機(jī)想要訪問(wèn)這臺(tái)內(nèi)網(wǎng)的主機(jī)只需要訪問(wèn)映射出來(lái)的這個(gè)地址即可，這樣能保證內(nèi)網(wǎng)主機(jī)的安全不被外網(wǎng)用戶隨意攻擊，因?yàn)椴恢勒鎸?shí)的內(nèi)網(wǎng)主機(jī)的地址，這樣的應(yīng)用場(chǎng)景大多數(shù)應(yīng)用于某企業(yè)需要將某些網(wǎng)站的業(yè)務(wù)讓客戶可以訪問(wèn)，就可以使用這種方法

1.IP地址的配置忽略

2.路由的配置忽略，可參考上面的實(shí)驗(yàn)

3.防火墻區(qū)域的劃分忽略，可以參考上面的實(shí)驗(yàn)

4.防火墻的安全策略，需要增加一條，讓untrust區(qū)域可以訪問(wèn)這個(gè)映射出來(lái)的IP地址

rule name untrust-trust
source-zone untrust
destination-zone trust
source-address 100.1.1.1 mask 255.255.255.255
service icmp
action permit

5.新建NAT server策略

nat server icmp protocol icmp global 100.1.1.100 inside 10.1.1.1

前面的icmp是規(guī)則的名稱

protocol：選擇的協(xié)議類型

icmp：協(xié)議類型

global：需要轉(zhuǎn)換的公網(wǎng)地址，后面跟著公網(wǎng)地址

inside：需要轉(zhuǎn)換的內(nèi)網(wǎng)地址，后面跟著內(nèi)網(wǎng)的地址

6.驗(yàn)證：客戶端跟服務(wù)端都能進(jìn)行通信

這時(shí)候就產(chǎn)生一個(gè)問(wèn)題了，我們的目的是為了讓外網(wǎng)的客戶能夠訪問(wèn)我們映射出去的公網(wǎng)地址來(lái)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)服務(wù)器的訪問(wèn)，并不需要內(nèi)網(wǎng)的服務(wù)器也能夠ping通外網(wǎng)，所以這時(shí)候就需要配置正向連接即可

7.配置正向連接

?nat server icmp protocol icmp global 100.1.1.100 inside 10.1.1.1 no-reverse? ?//這條命令的意思就是說(shuō)只能讓外網(wǎng)的主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)映射出去的這個(gè)公網(wǎng)地址，內(nèi)網(wǎng)主機(jī)不能訪問(wèn)外網(wǎng)的客戶

8. 驗(yàn)證結(jié)果：外網(wǎng)主機(jī)可以ping通內(nèi)網(wǎng)主機(jī)映射出去的服務(wù)器，但是內(nèi)網(wǎng)主機(jī)訪問(wèn)不了外網(wǎng)的主機(jī)

9. 查看server map

?這樣圖的意思就是說(shuō)any任何一臺(tái)主機(jī)都能訪問(wèn)內(nèi)網(wǎng)主機(jī)10.1.1.1映射出來(lái)的這個(gè)外網(wǎng)地址100.1.1.100?

4. 域間雙向NAT技術(shù)

首先先簡(jiǎn)單的闡述一下什么是域間雙向NAT技術(shù)，為了簡(jiǎn)化配置服務(wù)器至公網(wǎng)的路由，可在NAT Server基礎(chǔ)上，增加源NAT配置。如果要簡(jiǎn)化配置，避免配置到公網(wǎng)地址的路由，則可以對(duì)外網(wǎng)用戶的源IP地址也進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換后的源IP地址與服務(wù)器的私網(wǎng)地址在同一網(wǎng)段。這樣內(nèi)部服務(wù)器會(huì)缺省將回應(yīng)報(bào)文發(fā)給網(wǎng)關(guān)，即設(shè)備本身，由設(shè)備來(lái)轉(zhuǎn)發(fā)回應(yīng)報(bào)文

1.IP地址的配置忽略

2.路由的配置，注意這里面不需要配置默認(rèn)路由到達(dá)公網(wǎng)了

3.防火墻區(qū)域的劃分忽略，可以參考上面的實(shí)驗(yàn)

4.防火墻的安全策略，需要增加一條，讓untrust區(qū)域可以訪問(wèn)這個(gè)映射出來(lái)的IP地址

rule name untrust-trust
source-zone untrust
destination-zone trust
source-address 100.1.1.1 mask 255.255.255.255
service icmp
action permit

5.NAT策略，在原本NAT server的基礎(chǔ)上增加一條源NAT的配置

nat address-group ?1? ? //新建地址池

mode pat? ? ?//帶端口進(jìn)行轉(zhuǎn)換
section 0 10.1.1.100 10.1.1.100? ? ? //注意這里地址池的地址是私網(wǎng)的地址，因?yàn)樵崔D(zhuǎn)換的是私網(wǎng)的地址

nat-policy? ? ? ? ?//新建NAT策略
rule name icmp? ? ? ?//新建NAT策略規(guī)則的名字
source-zone untrust? ? ?//源區(qū)域
destination-zone trust? ?//目標(biāo)區(qū)域
source-address 100.1.1.1 mask 255.255.255.255? ? ? ?//源地址
service icmp? ? ? ? //服務(wù)類型為ICMP
action source-nat address-group 1? ? ? 轉(zhuǎn)換為NAT源地址

6. 測(cè)試結(jié)果，外網(wǎng)用戶能夠ping通內(nèi)網(wǎng)用戶映射出來(lái)的公網(wǎng)地址，在沒(méi)有配置路由的情況下可以能夠ping通，僅此而已，內(nèi)網(wǎng)用戶是無(wú)法ping通外網(wǎng)用戶的，因?yàn)闆](méi)有路由可以到達(dá)

5. 域內(nèi)雙向NAT技術(shù)

首先先來(lái)闡述一下什么是域內(nèi)雙向NAT技術(shù)，域內(nèi)NAT是指當(dāng)內(nèi)網(wǎng)用戶和服務(wù)器部署在同一安全區(qū)域的情況下，仍然希望內(nèi)網(wǎng)用戶只能通過(guò)訪問(wèn)服務(wù)器的公網(wǎng)地址的場(chǎng)景。在實(shí)現(xiàn)域內(nèi)NAT過(guò)程中，既要將訪問(wèn)內(nèi)部服務(wù)器的報(bào)文的目的地址由公網(wǎng)地址轉(zhuǎn)換為私網(wǎng)地址，又需要將源地址由私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址。若需要地址轉(zhuǎn)換的雙方都在同一個(gè)安全域內(nèi)，那么就涉及到了域內(nèi)NAT的情況。當(dāng)FTP服務(wù)器和用戶均在Trust區(qū)域，用戶訪問(wèn)FTP服務(wù)器的對(duì)外的公網(wǎng)IP地址，這樣用戶與FTP服務(wù)器之間所有的交互報(bào)文都要經(jīng)過(guò)防火墻。這時(shí)需要同時(shí)配置內(nèi)部服務(wù)器和域內(nèi)NAT

拓補(bǔ)圖：

?

1.IP地址的配置忽略

2.路由的配置，R1和R3均需配置一條默認(rèn)路由

3.防火墻區(qū)域的劃分忽略，可以參考上面的實(shí)驗(yàn)

4.防火墻的安全策略（內(nèi)外網(wǎng)均需可以相互訪問(wèn)，因?yàn)榭蛻舳艘吹刂忿D(zhuǎn)換成公網(wǎng)地址去訪問(wèn)服務(wù)的公網(wǎng)地址，所以內(nèi)網(wǎng)跟外網(wǎng)都需要互通）

?rule name trust-untrust
? source-zone trust
? destination-zone untrust
? source-address 10.1.1.1 mask 255.255.255.255
? service icmp
? action permit
?rule name untrust-trust
? source-zone untrust
? destination-zone trust
? source-address 100.1.1.1 mask 255.255.255.255
? service icmp
? action permit

5. NAT策略的配置（允許trust區(qū)域去訪問(wèn)trust區(qū)域）

服務(wù)端映射出來(lái)的公網(wǎng)地址：

nat server icmp protocol icmp global 100.1.1.100 inside 10.1.1.1

客戶端源地址轉(zhuǎn)換出來(lái)的公網(wǎng)地址：

nat address-group 1 0? ? //新建地址池
mode pat? ? ?//帶端口轉(zhuǎn)換pat
section 0 100.1.1.10 100.1.1.10? ? //地址池的范圍

nat-policy
rule name icmp? ? ??
source-zone trust
destination-zone trust
service icmp
action source-nat address-group 1

6. 驗(yàn)證效果（能正常ping通）

?7. 抓包查看，發(fā)現(xiàn)有兩個(gè)請(qǐng)求和兩個(gè)回應(yīng)的包，也就是兩對(duì)ICMP的包，一去一回，數(shù)據(jù)包的走向是這樣子的，客戶端10.1.1.3源地址轉(zhuǎn)換成100.1.1.10來(lái)訪問(wèn)服務(wù)器映射出來(lái)的100.1.1.100的公網(wǎng)地址

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-475899.html

到了這里，關(guān)于防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！