3.10 防火墙双向NAT(域内)

图片[1]-3.10 防火墙双向NAT(域内)-大赛人网

1.数据流量分析

1)10.6.65.0/24 访问工商网 172.16.12.235地址 – 不能直接访问,需要访问防火墙地址 – 并且进行NAT
2)数据经过防火墙时,源地址和目的地址必须同时转换
3)双向NAT (SNAT (PAT)/DNAT (一对一))

2.R2配置

1)配置路由
ip route-static 10.6.254.84 32 GigabitEthernet 0/0/2 10.6.254.82
ip route-static 10.6.254.85 32 GigabitEthernet 0/0/2 10.6.254.82

3.FW1配置

1)基本配置
interface GigabitEthernet1/0/0
 ip address 10.6.254.82 255.255.255.252
service-manage all permit

firewall zone trust
 add interface GigabitEthernet1/0/0

2)配置路由
ip route-static 10.6.65.0 24 GigabitEthernet1/0/0 10.6.254.81
ip route-static 172.16.12.235 32 GigabitEthernet1/0/0 10.6.254.81

3)配置NAT
(1)配置地址组
#创建源地址组
nat address-group ag11 
 mode pat
 section 0 10.6.254.85 10.6.254.85
#创建目的地址组
destination-nat address-group ag01 
 section 172.16.12.235 172.16.12.235

(2)创建NAT策略
nat-policy
 rule name 10_6_65_24_nat
  source-zone trust
  source-address 10.6.65.0 mask 255.255.255.0
  destination-address 10.6.254.84 mask 255.255.255.255
  action source-nat address-group ag11
  action destination-nat address-group ag01
PC>ping 10.6.254.84 -c 1
4)PC1访问PC3抓包
ping 10.6.254.84 -c 1
From 10.6.254.84: bytes=32 seq=1 ttl=125 time=31 ms
图片[2]-3.10 防火墙双向NAT(域内)-大赛人网

第一步:

图片[3]-3.10 防火墙双向NAT(域内)-大赛人网

第二步:

图片[4]-3.10 防火墙双向NAT(域内)-大赛人网

第三步:

图片[5]-3.10 防火墙双向NAT(域内)-大赛人网

第四步:

图片[6]-3.10 防火墙双向NAT(域内)-大赛人网

5)查看会话表

icmp  VPN: public --> public  10.6.65.1:5841[10.6.254.85:2053] --> 10.6.254.84:2048[172.16.12.235:2048]
© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

    请登录后查看评论内容