目的NAT学习
qq3421609946
1。概述
目的NAT就是防火墙中数据包在转换时,转换的是目的IP地址,不是源IP地址。
在移动终端访问无线网络时,如果缺省WAP网关地址于所在地运营商的WAP网关地址不一致时,可以在终端于WAP网关中间部署一台设备,并配属署目的NAT功能,使设备自动将转发给错误WAP网关地址的报文自动转发给正确的WAP网关。
2。网络拓扑图
2。首先进行网络基础配置
AR1 GigabitEthernet0/0/0
<代码>界面 ip地址192.168.0.100 255.255.255.0 ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 代码>
AR2 GigabitEthernet0/0/0
<代码>界面 ip地址1.1.1.2 255.255.255.0 代码>
FW1 GigabitEthernet0/0/0
<代码>界面 别名GE0/管理 ip地址192.168.0.1 255.255.255.0 dhcp选择界面 dhcp服务器网关列表192.168.0.1//g0/0/0口不用配置,默认即是这样。 接口GigabitEthernet0/0/1 ip地址1.1.1.1 255.255.255.0 代码>
3。防火墙NAT配置
(1)首先将G0/0/1口加入untrust区域
<代码> untrust防火墙区域 设置优先级5 添加接口GigabitEthernet0/0/1 代码>
(2)配置策略,允许信任区域和untrust区域通信
<代码>政策地区间的信任untrust出站 政策1 操作允许代码>
(3)通过easy-ip方式配置NAT
<代码> nat-policy地带间的信任untrust出站 政策1 行动source-nat easy-ip GigabitEthernet0/0/1 代码>
(4)配置目的NAT
先配置访问控制列表
<代码> acl 3000号 规则1允许ip源192.168.0.0 0.0.0.255目的地2.2.2.2 0//这里2.2.2.2是模拟内网终端访问错误的地址。代码>
在防火墙信任区配置目的NAT
<代码>防火墙区信任 设置优先级85 1.1.1.2 destination-nat 3000地址//目的地址转换,匹配ACL3000的流量转换至目的地址1.1.1.2 添加接口GigabitEthernet0/0/0 代码>
4。验证
在AR1上进行验证,ping2.2.2.2成功,实际是访问的1.1.1.2