目的NAT學習
1.概述
目的NAT就是防火牆中數據包在轉換時,轉換的是目的IP地址,不是源IP地址。
在移動終端訪問無線網絡時,如果缺省WAP網關地址於所在地運營商的WAP網關地址不一致時,可以在終端於WAP網關中間部署一臺設備,並配屬署目的NAT功能,使設備自動將轉發給錯誤WAP網關地址的報文自動轉發給正確的WAP網關。
2.網絡拓撲圖
2.首先進行網絡基礎配置
AR1
interface GigabitEthernet0/0/0
ip address 192.168.0.100 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
AR2
interface GigabitEthernet0/0/0
ip address 1.1.1.2 255.255.255.0
FW1
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.0.1 255.255.255.0
dhcp select interface
dhcp server gateway-list 192.168.0.1//g0/0/0口不用配置,默認即是這樣。
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
3.防火牆NAT配置
(1)首先將G0/0/1口加入untrust區域
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
(2)配置策略,允許trust區域和untrust區域通信
policy interzone trust untrust outbound
policy 1
action permit
(3)通過easy-ip方式配置NAT
nat-policy interzone trust untrust outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/1
(4)配置目的NAT
先配置訪問控制列表
acl number 3000
rule 1 permit ip source 192.168.0.0 0.0.0.255 destination 2.2.2.2 0//這裏2.2.2.2是模擬內網終端訪問錯誤的地址。
在firewall zone trust配置目的NAT
firewall zone trust
set priority 85
destination-nat 3000 address 1.1.1.2//目的地址轉換,匹配ACL3000的流量轉換至目的地址1.1.1.2
add interface GigabitEthernet0/0/0
4.驗證
在AR1上進行驗證,ping2.2.2.2成功,實際是訪問的1.1.1.2