NAT网络地址转换技术(三)在防火墙上配置源NAT和NAT Server
文章目录
- 实验要求
- 实验步骤
- 一
- 二
- 三
- 四
实验要求
实验步骤
一
搭建拓扑,合理规划网段并配置终端以及防火墙接口IP地址。终端IP地址省略。
防火墙各个接口IP地址:
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip ad 192.168.1.254 24
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip ad 202.196.1.254 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip ad 10.0.0.254 24
二
配置防火墙安全区域以及安全策略。
安全区域和策略具体配置以及解释请查看文章:防火墙详解(三)华为防火墙基础安全策略配置(命令行配置)
区域配置命令:
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/0[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/1[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]a i g1/0/2
可以通过display zone 查看安全区域具体配置情况
安全策略配置:
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name t2u
[USG6000V1-policy-security-rule-t2u]source-zone trust
[USG6000V1-policy-security-rule-t2u]destination-zone untrust
[USG6000V1-policy-security-rule-t2u]destination-zone dmz
[USG6000V1-policy-security-rule-t2u]action permit
[USG6000V1-policy-security-rule-t2u]q[USG6000V1-policy-security]rule name u2d
[USG6000V1-policy-security-rule-u2d]source-zone untrust
[USG6000V1-policy-security-rule-u2d]destination-zone dmz
[USG6000V1-policy-security-rule-u2d]action permit
可以通过display security-policy all查看全部的安全策略,也可以通过display security-policy rule [name] 查看具体规则
三
配置源NAT
命令:
[USG6000V1]nat address-group nat1 //创建NAT地址池[USG6000V1-address-group-nat1]mode ? //源NAT模式选择full-cone Indicate the Fullone modeno-pat Indicate the NOPAT mode //不使用端口号pat Indicate the Pat mode //使用端口号(NAPT)pcp Indicate the PCP mode //[USG6000V1-address-group-nat1]mode pat //选择Pat模式
[USG6000V1-address-group-nat1]section 202.196.1.2 202.196.1.10 //设置地址池范围
[USG6000V1-address-group-nat1]q[USG6000V1]nat-policy //设置NAT策略
[USG6000V1-policy-nat]rule name nat1 //创建名字
[USG6000V1-policy-nat-rule-nat1]source-zone trust //源区域
[USG6000V1-policy-nat-rule-nat1]destination-zone untrust //目的区域
[USG6000V1-policy-nat-rule-nat1]source-address 192.168.1.0 mask 255.255.255.0 //源地址
[USG6000V1-policy-nat-rule-nat1]action nat address-group nat1 //设置规则,当匹配上述条件则在nat1地址池中选择地址
验证:
分别在防火墙G1/0/0和G1/0/1抓包,并内网ping外网,查看地址是否变化。
四
配置NAT Server:
[USG6000V1]nat server server1 protocol icmp global 202.196.1.88 inside 10.0.0.1
no-reverse //配置NAT Server 名称为Server1 协议为IMCP,将10.0.0.1 转换成202.196.1.88
在这里插入代码片
验证:
注意,ping 202.196.1.88
NAT网络地址转换技术(三)在防火墙上配置源NAT和NAT Server相关推荐
- 细致讲解一下NAT网络地址转换技术
目录 静态nat 静态nat配置 动态nat 动态nat配置 NAPT(Network Address and Port Translation,网络地址端口转换 NAPT配置 Easy IP Eas ...
- NAT 网络地址转换技术(一)NAT原理介绍:静态NAT、动态NAT、NAPT、Easy IP、NAT ALG、NAT服务器、双向NAT技术
文章目录 出现原因 基本概念 NAT技术基本原理 源NAT技术 静态NAT 动态NAT NAPT Easy IP NAT ALG NAT服务器 双向NAT技术 域间双向NAT(NAT Server+源 ...
- NAT 网络地址转换技术(二):在路由器上配置NAT技术
文章目录 实验要求 配置 步骤一 步骤二:静态NAT配置 步骤三:动态NAT配置 步骤三:配置NAPT 步骤四:配置Easy IP AR1所有配置 实验要求 PC1到PC5,使用静态NAT,将192. ...
- 网络技术:NAT 网络地址转换及原理
NAT 网络地址转换(NAT)技术的理论部分可以看博客--网络层--NAT.NAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 I ...
- eNSP—静态路由+NAT网络地址转换
实验需求 1.全网可达 2.拓扑中所需地址全部基于192.168.0.0/24划分所得 3.静态路由(不许使用其他动态) 4.R1的有三个环回,需要汇总 DNS.http部分属于扩展部分,模拟网页访问 ...
- Nat网络地址转换实验
实验要求: 使用Nat网络地址转换完成下图中所有的要求 第一步:子网划分,ip地址规划 本实验网段差异较大,所以我们在左边类似企业内网的网段直接使用192.168.1.0/24网段.右边的isp网段我 ...
- 网络入门-NAT网络地址转换-Easy ip
209.NAT网络地址转换--Easy IP :允许多个私网地址转换成公网IP地址:企业网常用: 210 .实验topo: 原理: 内网私网地址转换成公网接口g0/0/1 当前的IP地址: 先将内网 ...
- 【计算机网络】网络层 : NAT 网络地址转换 ( 私有 IP 地址不被路由器转发 | NAT 转换表 )
文章目录 一.路由器不转发私有 IP 地址 二.NAT 网络地址转换 三.NAT 转换表 一.路由器不转发私有 IP 地址 私有 IP 地址 : 只适用于在内部网络中使用 , 在互联网上使用私有 IP ...
- ACL访问控制表与NAT网络地址转换
一.ACL的作用 用来对数据包做访问控制(丢弃或者放行) 结合其他协议,用来匹配范围 (一)acl工作原理 当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理. ...
最新文章
- 一文看懂中国MEMS传感器产业链
- Java学习笔记--StringTokenizer的使用
- 【百度联盟峰会】李彦宏详解AI时代思维方式,算法驱动的降维攻击
- 我的2015:创业年终总结
- Groove 线上办公室
- 启动与停止mysql服务的命令
- Java基础之PDF文件的合并
- 关于智能推荐的几点思考
- 统计1到2021中6的个数
- shiro框架的使用
- 拓端tecdat|用R语言制作交互式图表和地图
- Word VBA-表格操作汇总
- ImageOptim-无损图片压缩Mac版
- python 等差素数数列
- 东方财富:公司总经理陶涛辞任 其实将担任总经理职务
- 计算机win2000如何连接wifi,台式电脑windows7怎么连接wifi
- AS3实现经典算法(一) 斐波纳契数列
- C++ opengl 漫反射和镜面反射参数
- 面试官谈游戏开发入行--选择
- ps Adobe 存储为 Web 所用格式