華爲防火牆目的NAT

目的NAT學習

1.概述

目的NAT就是防火牆中數據包在轉換時，轉換的是目的IP地址，不是源IP地址。
在移動終端訪問無線網絡時，如果缺省WAP網關地址於所在地運營商的WAP網關地址不一致時，可以在終端於WAP網關中間部署一臺設備，並配屬署目的NAT功能，使設備自動將轉發給錯誤WAP網關地址的報文自動轉發給正確的WAP網關。

2.網絡拓撲圖

2.首先進行網絡基礎配置

AR1

interface GigabitEthernet0/0/0
 ip address 192.168.0.100 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

AR2

interface GigabitEthernet0/0/0
 ip address 1.1.1.2 255.255.255.0

FW1

interface GigabitEthernet0/0/0
 alias GE0/MGMT
 ip address 192.168.0.1 255.255.255.0
 dhcp select interface
 dhcp server gateway-list 192.168.0.1//g0/0/0口不用配置，默認即是這樣。
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0

3.防火牆NAT配置

（1）首先將G0/0/1口加入untrust區域

firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/1

（2）配置策略，允許trust區域和untrust區域通信

policy interzone trust untrust outbound
 policy 1
  action permit

（3）通過easy-ip方式配置NAT

nat-policy interzone trust untrust outbound
 policy 1
  action source-nat
  easy-ip GigabitEthernet0/0/1

（4）配置目的NAT
先配置訪問控制列表

acl number 3000
 rule 1 permit ip source 192.168.0.0 0.0.0.255 destination 2.2.2.2 0//這裏2.2.2.2是模擬內網終端訪問錯誤的地址。

在firewall zone trust配置目的NAT

firewall zone trust
 set priority 85
 destination-nat 3000 address 1.1.1.2//目的地址轉換，匹配ACL3000的流量轉換至目的地址1.1.1.2
 add interface GigabitEthernet0/0/0

4.驗證

在AR1上進行驗證，ping2.2.2.2成功，實際是訪問的1.1.1.2