携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第22天,点击查看活动详情
今天我们来讲解防火墙的NAT地址转换,本实验由两台测试PC和一台防火墙设备组成,这里我们实验USG6000系列的防火墙。则会个实验呢有以下几个步骤组成:首先我们还是先做一些基础配置,把各个接口的IP地址都配好,这里我们PC1的IP地址为192.16.1.11 24,PC2 配置为3.3.3.11 24然后g1/0/0为192.16.1.10 24,g1/0/1为3.3.3.1 24.
具体配置为:
inte G 1/0/0
ip address 192.16.1.10 255.255.255.0
q
inter G 1/0/1
ip add 3.3.3.1 255.255.255.0
quit
配置完IP之后我们创建安全区域,把接口都加到安全区域里面,Trust区域包含g1/0/0口,g1/0/1口加入Untrust区域。这里我们需要设定包过滤的范围,配置一个包过滤策略:security-policy rule name source_nat source-addresss 192.16.10.0 24 source-zone trust destination-zone untrust action permit
然后我们做关键的NAT地址池配置,公网的范围规定为3.3.3.3--3.3.3.6 。
nat add-group 1
section 3.3.3.3 3.3.3.6
完成之后我们还要配置NAT的policy,先进入:nat-policy,然后我们设置规则名字,最后把IP加入规则。
nat-policy
rule name source_nat
destination-address 3.3.3.10 24
source-address 192.16.1.0 24
source-zone trust
dest-zone untrust
action nat address-group 1
做到这里我们的配置就基本完成了,最后进行测试验证,我们用PC1测试与PC2 之间的联通性,用ping命令,成功后使用dis play firewall session table,查看NAT的转换情况如何,如果成功转换了IP,将源地址192.168.1.11转换成了NAT地址池中的3.3.3.5通信,说明我们配置成功。NAT地址转换时我们在配置基本网络中比较常用到的一种手段,好了,今天我们就介绍到这里了,明天继续讲解NAT技术的应用。
