1.数据流量分析
1)10.6.65.0/24 访问工商网 172.16.12.235地址 – 不能直接访问,需要访问防火墙地址 – 并且进行NAT
2)数据经过防火墙时,源地址和目的地址必须同时转换
3)双向NAT (SNAT (PAT)/DNAT (一对一))
2.R2配置
1)配置路由
ip route-static 10.6.254.84 32 GigabitEthernet 0/0/2 10.6.254.82
ip route-static 10.6.254.85 32 GigabitEthernet 0/0/2 10.6.254.82
3.FW1配置
1)基本配置
interface GigabitEthernet1/0/0
ip address 10.6.254.82 255.255.255.252
service-manage all permit
firewall zone trust
add interface GigabitEthernet1/0/0
2)配置路由
ip route-static 10.6.65.0 24 GigabitEthernet1/0/0 10.6.254.81
ip route-static 172.16.12.235 32 GigabitEthernet1/0/0 10.6.254.81
3)配置NAT
(1)配置地址组
#创建源地址组
nat address-group ag11
mode pat
section 0 10.6.254.85 10.6.254.85
#创建目的地址组
destination-nat address-group ag01
section 172.16.12.235 172.16.12.235
(2)创建NAT策略
nat-policy
rule name 10_6_65_24_nat
source-zone trust
source-address 10.6.65.0 mask 255.255.255.0
destination-address 10.6.254.84 mask 255.255.255.255
action source-nat address-group ag11
action destination-nat address-group ag01
PC>ping 10.6.254.84 -c 1
4)PC1访问PC3抓包
ping 10.6.254.84 -c 1
From 10.6.254.84: bytes=32 seq=1 ttl=125 time=31 ms
第一步:
第二步:
第三步:
第四步:
5)查看会话表
icmp VPN: public --> public 10.6.65.1:5841[10.6.254.85:2053] --> 10.6.254.84:2048[172.16.12.235:2048]
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容