華為防火墻NAT策略及配置詳解

人類(lèi)現(xiàn)在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的使用已經(jīng)擴(kuò)展到各個(gè)領(lǐng)域，而計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)者當(dāng)時(shí)無(wú)法想象互聯(lián)網(wǎng)能有今天這樣的規(guī)模。任何一個(gè)接入互聯(lián)網(wǎng)的計(jì)算機(jī)、手機(jī)以及智能電視，要想在互聯(lián)網(wǎng)中暢游，必須有一個(gè)合法的IP地址。而IP地址，曾經(jīng)以為足以容納全球的計(jì)算機(jī)，但是在今天看來(lái)，已經(jīng)嚴(yán)重枯竭。IPV6的出現(xiàn)就是為了解決地址不足的問(wèn)題，但在IPV6普及之前，需要有一個(gè)過(guò)渡技術(shù)——NAT。NAT的出現(xiàn)緩解了地址不足的問(wèn)題，它可以讓同一局域網(wǎng)內(nèi)60000多用戶可以同時(shí)使用一個(gè)合法IP地址訪問(wèn)互聯(lián)網(wǎng)。關(guān)于Cisco設(shè)備的NAT技術(shù)，不清楚的朋友本人推薦博文——網(wǎng)絡(luò)地址轉(zhuǎn)換——NAT技術(shù) 今天主要介紹華為設(shè)備的NAT技術(shù)。

博文大綱：
一、華為設(shè)備N(xiāo)AT的分類(lèi)；
二、如何解決源地址轉(zhuǎn)換場(chǎng)景下的環(huán)路和無(wú)效ARP問(wèn)題；
三、Server-map表的作用；
1.通過(guò)Server-map表來(lái)解決FTP數(shù)據(jù)傳輸?shù)膯?wèn)題；
2.Server-map表在NAT中的作用；
四、NAT對(duì)報(bào)文的處理流程；
五、各種常用的NAT的配置方法；
1.NAT NO-PAT配置方式；
2.NAPT配置方式；
3.Easy-IP配置方式；
4.NAT server配置方式；

一、華為設(shè)備N(xiāo)AT的分類(lèi)

在內(nèi)外網(wǎng)的邊界，流量有出、入兩個(gè)方向，所以NAT技術(shù)包含源地址轉(zhuǎn)換和目標(biāo)地址轉(zhuǎn)換兩類(lèi)。一般情況下，源地址轉(zhuǎn)換主要用于解決內(nèi)部局域網(wǎng)計(jì)算機(jī)訪問(wèn)Internet的場(chǎng)景；而目標(biāo)地址轉(zhuǎn)換主要是用于解決Internet用戶訪問(wèn)局域網(wǎng)服務(wù)器的場(chǎng)景，目標(biāo)地址轉(zhuǎn)換通常被稱為服務(wù)器地址映射。

華為設(shè)備支持的源地址轉(zhuǎn)換方式有：

• NAT NO-PAT：類(lèi)似于Cisco的動(dòng)態(tài)轉(zhuǎn)換，只轉(zhuǎn)換源IP地址，不轉(zhuǎn)換端口，屬于多對(duì)多轉(zhuǎn)換，不能節(jié)約公網(wǎng)地址，實(shí)際情況下使用很少，主要適用于需要上網(wǎng)的用戶較少，且公網(wǎng)地址足夠的情況下；
• NAPT：類(lèi)似于Cisco的PAT轉(zhuǎn)換，NAPT既轉(zhuǎn)換報(bào)文的源地址，又轉(zhuǎn)換源端口。轉(zhuǎn)換后的地址不能是外網(wǎng)接口的IP地址，屬于多對(duì)多或多對(duì)一轉(zhuǎn)換，可以節(jié)約IP地址，使用場(chǎng)景較多，主要適用于內(nèi)部大量用戶需要上網(wǎng)，同時(shí)僅有少數(shù)幾個(gè)公網(wǎng)IP地址可用的場(chǎng)景下；
• 出接口地址：因其轉(zhuǎn)換方式非常簡(jiǎn)單，所以也稱為Easy-IP，和NAPT一樣，既轉(zhuǎn)換源IP地址，又轉(zhuǎn)換源端口。區(qū)別是出接口地址方式轉(zhuǎn)換后的地址只能是NAT設(shè)備外網(wǎng)接口所配置的IP地址，屬于多對(duì)一轉(zhuǎn)換，可以節(jié)約IP地址，主要適用于沒(méi)有額外的公網(wǎng)地址可用，內(nèi)部上網(wǎng)用戶非常多的場(chǎng)景下，直接通過(guò)外網(wǎng)接口本身的IP地址作為轉(zhuǎn)換目標(biāo)；
• Smart NAT（智能轉(zhuǎn)換）：通過(guò)預(yù)留一個(gè)公網(wǎng)地址進(jìn)行NAPT轉(zhuǎn)換，而其他的公網(wǎng)地址用來(lái)進(jìn)行NAT NO-PAT轉(zhuǎn)換。其主要用戶平時(shí)上網(wǎng)用戶比較少，而申請(qǐng)的公網(wǎng)地址基本可以滿足這些少量用戶進(jìn)行NAT NO_PAT轉(zhuǎn)換，但是偶爾會(huì)出現(xiàn)上網(wǎng)用戶倍增的情況；
• 三元組NAT：與源IP地址、源端口和協(xié)議類(lèi)型有關(guān)的一種轉(zhuǎn)換，將源IP地址和源端口轉(zhuǎn)換為固定公網(wǎng)IP地址和端口，能解決一些特殊應(yīng)用在普通NAT中無(wú)法實(shí)現(xiàn)的問(wèn)題。其主要用于外部用戶訪問(wèn)局域網(wǎng)用戶的一些P2P應(yīng)用。

本篇博文主要介紹前三種源地址轉(zhuǎn)換。

華為設(shè)備的目標(biāo)地址轉(zhuǎn)換技術(shù)主要是NAT Server，可以基于IP地址轉(zhuǎn)換，也可以基于“IP+端口+協(xié)議”進(jìn)行轉(zhuǎn)換。

二、如何解決源地址轉(zhuǎn)換場(chǎng)景下的環(huán)路和無(wú)效ARP問(wèn)題

在配置華為NAT轉(zhuǎn)換時(shí)，經(jīng)常會(huì)配置黑洞路由來(lái)解決路由環(huán)路和大量的無(wú)效ARP報(bào)文，關(guān)于其如何產(chǎn)生，大概就是，在有些NAT的轉(zhuǎn)換方式中，是為了解決內(nèi)網(wǎng)連接Internet，而映射出了一個(gè)公有IP，通過(guò)映射后的公網(wǎng)地址訪問(wèn)互聯(lián)網(wǎng)。那么，若此時(shí)有人通過(guò)internet來(lái)訪問(wèn)這個(gè)映射出來(lái)的公有IP，就會(huì)產(chǎn)生路由環(huán)路及大量無(wú)效的ARP報(bào)文。若要詳細(xì)說(shuō)起來(lái)，又是很麻煩，但是解決這兩個(gè)問(wèn)題很簡(jiǎn)單，就是配置黑洞路由（將internet主動(dòng)訪問(wèn)映射出來(lái)的地址的流量指定到空接口null 0）。這樣就不會(huì)形成路由環(huán)路和產(chǎn)生大量ARP報(bào)文的情況。

需要配置黑洞路由的幾種常見(jiàn)的NAT轉(zhuǎn)換方式，如圖：

• NAT Server（粗泛）：就是將一個(gè)內(nèi)網(wǎng)地址直接映射成公網(wǎng)地址；
• NAT Server（精細(xì)）：就是將一個(gè)內(nèi)網(wǎng)地址的端口映射成一個(gè)公網(wǎng)地址的端口；

三、Server-map表的作用

1.通過(guò)Server-map表來(lái)解決FTP數(shù)據(jù)傳輸?shù)膯?wèn)題

華為的防火墻時(shí)基于狀態(tài)化轉(zhuǎn)發(fā)數(shù)據(jù)包，針對(duì)首個(gè)包嚴(yán)格執(zhí)行策略檢查，一旦被策略允許，將生成會(huì)話表，而同一個(gè)會(huì)話的后續(xù)包及返回報(bào)因?yàn)槟軌蚱ヅ鋾?huì)話表，將直接通過(guò)防火墻，不需要進(jìn)行額外的策略檢查，從而提高了轉(zhuǎn)發(fā)效率。但是在有些情況下，僅僅依懶會(huì)話表不能轉(zhuǎn)發(fā)某些特殊應(yīng)用的流量。例如：FTP服務(wù)，其在主動(dòng)模式下的工作流程圖，如下：

由此可以看出，當(dāng)客戶端要求主動(dòng)連接FTP服務(wù)器時(shí)，一點(diǎn)問(wèn)題都沒(méi)有；但是當(dāng)FTP服務(wù)器主動(dòng)發(fā)起請(qǐng)求時(shí)，就會(huì)發(fā)生FTP連接失敗的情況。華為防火墻就是通過(guò)Server-map表來(lái)解決類(lèi)似問(wèn)題的。Server-map表記錄應(yīng)用層的關(guān)鍵信息，包括目標(biāo)地址、目標(biāo)端口和協(xié)議烈性，和會(huì)話表類(lèi)似，匹配了Server-map表的數(shù)據(jù)流也可直接通過(guò)防火墻，如圖：

這樣就可以解決FTP服務(wù)器主動(dòng)發(fā)起請(qǐng)求時(shí)，就不會(huì)導(dǎo)致FTP服務(wù)連接失敗的情況。

Server-map表和會(huì)話表的區(qū)別：

• 會(huì)話表記錄的是連接信息，包括連接狀態(tài)；
• Server-map表記錄的不是當(dāng)前的連接信息，而是通過(guò)分析當(dāng)前連接的報(bào)文后得到的信息。該信息可以解決接下來(lái)的數(shù)據(jù)流通過(guò)防火墻的問(wèn)題?？梢詫erver-map表的作用理解為提前通過(guò)預(yù)判來(lái)解決將來(lái)可能發(fā)生的問(wèn)題；

2.Server-map表在NAT中的作用

Server-map表除了解決類(lèi)似FTP服務(wù)的問(wèn)題外，Server-map表也被應(yīng)用在NAT技術(shù)中。當(dāng)在防火墻上配置某些類(lèi)型的NAT后，在防火墻上會(huì)生成server-map表，默認(rèn)生成兩個(gè)server-map條目，分別是正向條目和反向條目（Reverse），如圖：

Server-map表在NAT中的作用是：

• 正向條目：攜帶端口信息，用來(lái)使Internet用戶訪問(wèn)內(nèi)網(wǎng)中的服務(wù)器時(shí)直接通過(guò)server-map表來(lái)進(jìn)行目標(biāo)地址轉(zhuǎn)換。
• 反向條目（Reverse）：不攜帶端口信息，且目標(biāo)地址是任意的，用來(lái)使服務(wù)器可以訪問(wèn)Internet；

小結(jié)：

• NAT NO-PAT方式生成的Server-map表示動(dòng)態(tài)的，這就意味著有流量通過(guò)才會(huì)自動(dòng)生成Server-map表；
• NAT Server所生成的Server-map表示靜態(tài)的，這意味著表項(xiàng)內(nèi)容是長(zhǎng)期存在的；
• 在NAPT和出接口地址方式的NAT中，不會(huì)生成Server-map表項(xiàng)；
• 注意，不是所有的NAT轉(zhuǎn)換方式都會(huì)生成Server-map表的；

四、NAT對(duì)報(bào)文的處理流程

防火墻接口從收到一個(gè)保溫到最終發(fā)送出去需要經(jīng)歷一系列的處理流程，而NAT只是其中一項(xiàng)任務(wù)。NAT的配置受到路由即安全策略的影響，所以了解NAT對(duì)報(bào)文的處理流程對(duì)配置NAT有非常大的幫助。NAT對(duì)報(bào)文的處理流程圖，如下：

NAT處理報(bào)文的流程如下：
（1)防火墻收到報(bào)文后，首先檢查報(bào)文是否匹配Server-map中的條目，如果是，則根據(jù)表項(xiàng)轉(zhuǎn)換報(bào)文的目標(biāo)地址，然后進(jìn)行步驟（3）處理；否則進(jìn)行步驟（2）處理。
（2）查找是否存在目標(biāo)NAT的相關(guān)配置，如果是，并且符合NAT條件，則轉(zhuǎn)換目標(biāo)地址后進(jìn)行步驟（3）處理；否則直接進(jìn)行步驟（3）處理。
（3）根據(jù)報(bào)文的目標(biāo)地址查找路由表，如果存在目標(biāo)路由，則進(jìn)行步驟（4）處理；否則丟棄報(bào)文。
（4）依次匹配安全策略中的規(guī)則，如果策略允許報(bào)文通過(guò)，則進(jìn)行步驟（5）處理；否則丟棄報(bào)文。
（5）查找是否存在源NAT的相關(guān)配置及是否符合NAT條件，如果是，則轉(zhuǎn)換源地址后進(jìn)行步驟（6）處理；否則直接進(jìn)行步驟（6）處理。
（6）在發(fā)送報(bào)文之前創(chuàng)建會(huì)話，后續(xù)和返回的報(bào)文可以直接匹配會(huì)話表轉(zhuǎn)發(fā)。
（7）防火墻發(fā)送報(bào)文。

注意：因?yàn)榉阑饓μ幚韴?bào)文的順序是目標(biāo)地址轉(zhuǎn)換→安全策略→源地址轉(zhuǎn)換，所以在NAT環(huán)境中，安全策略的源地址應(yīng)該是源地址轉(zhuǎn)換之前的地址，目標(biāo)地址應(yīng)該是目標(biāo)地址轉(zhuǎn)換后的地址。

五、各種常用的NAT的配置方法

1.NAT NO-PAT配置方式

1）實(shí)驗(yàn)拓補(bǔ)

2）實(shí)驗(yàn)要求

PC1通過(guò)202.106.0.20~21地址與PC2實(shí)現(xiàn)通信！
建議：實(shí)驗(yàn)環(huán)境盡量不要使用防火墻的G0/0/0接口，該接口默認(rèn)是管理接口，并且由大量的默認(rèn)配置。

3）案例實(shí)施

（1）防火墻配置網(wǎng)絡(luò)參數(shù)及路由

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
[FW1-GigabitEthernet1/0/0]undo shutdown
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 202.106.0.1 24
[FW1-GigabitEthernet1/0/1]undo shutdown
Info: Interface GigabitEthernet1/0/1 is not shutdown.
[FW1-GigabitEthernet1/0/1]quit
[FW1]ip route-static 0.0.0.0 0.0.0.0 202.106.0.2

（2）防火墻配置安全策略

[FW1]firewall zone trust 
[FW1-zone-trust]add int g1/0/0
[FW1-zone-trust]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]quit                                      //將內(nèi)外網(wǎng)接口加入防火墻的指定區(qū)域
[FW1]security-policy                                          //配置安全策略
[FW1-policy-security]rule name sec_1              //配置規(guī)則并制定規(guī)則名為sec_1
[FW1-policy-security-rule-sec_1]source-zone trust 
[FW1-policy-security-rule-sec_1]destination-zone untrust 
[FW1-policy-security-rule-sec_1]source-address 192.168.1.0 24        //指定條件
[FW1-policy-security-rule-sec_1]action permit                                   //指定動(dòng)作
[FW1-policy-security-rule-sec_1]quit
[FW1-policy-security]quit
[FW1]

（3）配置NAT地址組

[FW1]nat address-group natgroup                                     //配置NAT地址組，指定名稱為natgroup
[FW1-address-group-natgroup]section 0 202.106.0.20 202.106.0.21
//通過(guò)section關(guān)鍵字指定地址組的起始地址和結(jié)束地址
[FW1-address-group-natgroup]mode no-pat local
//指定地址組的模式為no-pat。local關(guān)鍵字表示對(duì)本區(qū)域有效
[FW1-address-group-natgroup]quit
[FW1]

（4）配置NAT策略

[FW1]nat-policy                                //配置NAT策略
[FW1-policy-nat]rule name natpolicy
//配置名稱為natpolicy的NAT規(guī)則
[FW1-policy-nat-rule-natpolicy]source-zone trust 
[FW1-policy-nat-rule-natpolicy]source-address 192.168.1.0 24
[FW1-policy-nat-rule-natpolicy]destination-zone untrust                                //指定條件
[FW1-policy-nat-rule-natpolicy]action nat address-group natgroup
//指定動(dòng)作，滿足條件的數(shù)據(jù)包將依據(jù)地址組做NAT NO-PAT方式的源地址轉(zhuǎn)換
[FW1-policy-nat-rule-natpolicy]quit
[FW1-policy-nat]quit
[FW1]   

注意：NAT策略不同于安全策略，安全策略是針對(duì)經(jīng)過(guò)的數(shù)據(jù)流做規(guī)則檢查：匹配的數(shù)據(jù)包或者轉(zhuǎn)發(fā)，或者丟棄，安全策略決定了流量能否通過(guò)防火墻；而NAT策略對(duì)經(jīng)過(guò)的數(shù)據(jù)流做規(guī)則檢查，匹配的數(shù)據(jù)包或者做地址轉(zhuǎn)換，或者不做地址轉(zhuǎn)換，NAT策略決定了哪些流量需要NAT轉(zhuǎn)換。

（5）針對(duì)轉(zhuǎn)換后的全局地址配置黑洞路由

[FW1]ip route-static 202.106.0.20 32 null 0
[FW1]ip route-static 202.106.0.21 32 null 0

（6）配置路由器IP地址及路由

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 202.106.0.2 24
[AR1-GigabitEthernet0/0/0]undo shutdown 
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 100.1.1.1 24
[AR1-GigabitEthernet0/0/1]undo shutdown
[AR1-GigabitEthernet0/0/1]quit
[AR1]ip route-static 202.106.0.0 24 202.106.0.1

（7）自行配置PC的IP地址、網(wǎng)關(guān)，驗(yàn)證NAT的配置

PC進(jìn)行驗(yàn)證：

防火墻進(jìn)行驗(yàn)證：

[FW1]display firewall session table 
//查看防火墻的會(huì)話表
 Current Total Sessions : 3
 icmp  : public --> public  192.168.1.2:13610[202.106.0.20:13610] --> 100.1.1
.2:2048
 icmp  : public --> public  192.168.1.2:13354[202.106.0.20:13354] --> 100.1.1
.2:2048
 icmp  : public --> public  192.168.1.2:13098[202.106.0.20:13098] --> 100.1.1
.2:2048
//由此可以看出，內(nèi)部地址192.168.1.2在經(jīng)過(guò)防火墻之后更換為202.106.0.20地址進(jìn)行通信
[FW1]display firewall server-map 
//查看防火墻Server-map表
 Current Total Server-map : 2
 Type: No-Pat Reverse, ANY -> 202.106.0.20[192.168.1.2],  Zone: untrust 
 Protocol: ANY, TTL:---, Left-Time:---,  Pool: 0, Section: 0
 : public

 Type: No-Pat,  192.168.1.2[202.106.0.20] -> ANY,  Zone: untrust 
 Protocol: ANY, TTL:360, Left-Time:360,  Pool: 0, Section: 0
 : public
//可以看出192.168.1.1.2與202.106.0.20形成映射關(guān)系

2.NAPT配置方式

實(shí)驗(yàn)拓補(bǔ)與NAT NO-PAT一樣?。ㄔ贜AT NO-PAT基礎(chǔ)上也可），為了初學(xué)者可以看懂，本人就重新部署網(wǎng)絡(luò)設(shè)備了！

1）實(shí)驗(yàn)要求

PC1通過(guò)202.106.0.100地址與PC2實(shí)現(xiàn)通信！

2）案例實(shí)施

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 202.106.0.1 24
[FW1-GigabitEthernet1/0/1]q
[FW1]ip route-static 0.0.0.0 0.0.0.0 202.106.0.2
//配置防火墻網(wǎng)絡(luò)參數(shù)及路由
[FW1]firewall zone trust 
[FW1-zone-trust]add int g1/0/0
[FW1-zone-trust]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]quit
[FW1]security-policy 
[FW1-policy-security]rule name sec_2
[FW1-policy-security-rule-sec_2]source-zone trust 
[FW1-policy-security-rule-sec_2]source-address 192.168.1.0 24
[FW1-policy-security-rule-sec_2]destination-zone untrust 
[FW1-policy-security-rule-sec_2]action permit 
[FW1-policy-security-rule-sec_2]quit
[FW1-policy-security]quit
//配置防火墻安全策略
[FW1]nat address-group natgroup1
[FW1-address-group-natgroup1]section 0 202.106.0.100 202.106.0.100
[FW1-address-group-natgroup1]mode pat
//指定地址組的模式為pat，即NAPT模式
[FW1-address-group-natgroup1]quit
//配置NAT地址組
[FW1]nat-policy 
[FW1-policy-nat]rule name natpolicy1
[FW1-policy-nat-rule-natpolicy1]source-address 192.168.1.0 24
[FW1-policy-nat-rule-natpolicy1]source-zone trust 
[FW1-policy-nat-rule-natpolicy1]destination-zone untrust 
[FW1-policy-nat-rule-natpolicy1]action nat address-group natgroup1
//指定動(dòng)作，滿足條件的數(shù)據(jù)包將依據(jù)地址組做NAPT方式轉(zhuǎn)換
[FW1-policy-nat-rule-natpolicy1]quit
[FW1-policy-nat]quit
//配置防火墻NAT策略
[FW1]ip route-static 202.106.0.100 32 null 0
//配置黑洞路由
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.106.0.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 202.106.0.0 24 202.106.0.1
//配置路由器的IP地址及路由

PC1進(jìn)行驗(yàn)證：

防火墻進(jìn)行驗(yàn)證：

[FW1]display firewall session table                   //查看防火墻會(huì)話表
 Current Total Sessions : 2
 icmp  : public --> public  192.168.1.2:12082[202.106.0.100:2058] --> 100.1.1
.2:2048
 icmp  : public --> public  192.168.1.2:12338[202.106.0.100:2059] --> 100.1.1
.2:2048
[FW1]display firewall server-map                   //查看防火墻的Server-map
 Current Total Server-map : 0
 //NAPT方式進(jìn)行NAT地址轉(zhuǎn)換時(shí)，并不會(huì)生成Server-map表

3.Easy-IP配置方式

實(shí)驗(yàn)拓補(bǔ)與NAT NO-PAT一樣?。ㄔ贜APT基礎(chǔ)上也可），為了初學(xué)者可以看懂，本人就重新部署網(wǎng)絡(luò)設(shè)備了！

1）實(shí)驗(yàn)需求

PC1通過(guò)防火墻接口地址與PC2實(shí)現(xiàn)通信！

2）案例實(shí)施

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 202.106.0.1 24
[FW1-GigabitEthernet1/0/1]q
[FW1]ip route-static 0.0.0.0 0.0.0.0 202.106.0.2
//配置防火墻網(wǎng)絡(luò)參數(shù)及路由
[FW1]firewall zone trust 
[FW1-zone-trust]add int g1/0/0
[FW1-zone-trust]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]quit
[FW1]security-policy 
[FW1-policy-security]rule name sec_3
[FW1-policy-security-rule-sec_2]source-zone trust 
[FW1-policy-security-rule-sec_2]source-address 192.168.1.0 24
[FW1-policy-security-rule-sec_2]destination-zone untrust 
[FW1-policy-security-rule-sec_2]action permit 
[FW1-policy-security-rule-sec_2]quit
[FW1-policy-security]quit
//配置防火墻安全策略
[FW1]nat-policy 
[FW1-policy-nat]rule name natpolicy2
[FW1-policy-nat-rule-natpolicy2]source-address 192.168.1.0 24
[FW1-policy-nat-rule-natpolicy2]source-zone trust 
[FW1-policy-nat-rule-natpolicy2]destination-zone untrust 
[FW1-policy-nat-rule-natpolicy2]action nat easy-ip 
//配置滿足條件的數(shù)據(jù)包根據(jù)地址組做出接口方式轉(zhuǎn)換
[FW1-policy-nat-rule-natpolicy2]quit
[FW1-policy-nat]quit
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.106.0.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 202.106.0.0 24 202.106.0.1
//配置路由器的IP地址及路由

PC1進(jìn)行驗(yàn)證：

防火墻進(jìn)行驗(yàn)證：

[FW1]display firewall session table                   //查看防火墻會(huì)話表
 Current Total Sessions : 2
 icmp  : public --> public  192.168.1.2:12082[202.106.0.1:2073] --> 100.1.1
.2:2048
 icmp  : public --> public  192.168.1.2:12338[202.106.0.1:2074] --> 100.1.1
.2:2048
[FW1]display firewall server-map                   //查看防火墻的Server-map
 Current Total Server-map : 0
 /Easy-IP方式進(jìn)行NAT地址轉(zhuǎn)換時(shí)，并不會(huì)生成Server-map表

4.NAT Server配置方式

1）實(shí)驗(yàn)拓補(bǔ)

2）實(shí)驗(yàn)需求

互聯(lián)網(wǎng)用戶通過(guò)202.106.0.20訪問(wèn)DMZ區(qū)域中的FTP服務(wù)器。

3）案例實(shí)施

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 202.106.0.1 24
[FW1-GigabitEthernet1/0/1]quit
[FW1]ip route-static 0.0.0.0 0.0.0.0 202.106.0.2
//配置防火墻網(wǎng)絡(luò)參數(shù)及路由
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/0
[FW1-zone-dmz]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]quit
//將防火墻接口加入相應(yīng)的區(qū)域中
[FW1]security-policy 
[FW1-policy-security]rule name sec_4
[FW1-policy-security-rule-sec_4]source-zone untrust 
[FW1-policy-security-rule-sec_4]destination-zone dmz
[FW1-policy-security-rule-sec_4]destination-address 192.168.1.0 24
[FW1-policy-security-rule-sec_4]service ftp
//配置條件為ftp協(xié)議，這屬于精細(xì)NAT-server；如果是粗泛NAT-server，這步可以省略
[FW1-policy-security-rule-sec_4]action permit
[FW1-policy-security-rule-sec_4]quit
[FW1-policy-security]quit
//防火墻配置安全策略
[FW1]firewall interzone dmz untrust 
[FW1-interzone-dmz-untrust]detect ftp
[FW1-interzone-dmz-untrust]quit
//.配置FTP應(yīng)用層檢測(cè)，默認(rèn)已經(jīng)開(kāi)啟，可以省略
[FW1]nat server natserver_ftp protocol tcp global 202.106.0.20 21 inside 192.168.1.2 21
//配置NAT server，natserver_ftp為策略名稱，global后為全局地址和端口
<內(nèi)部地址的端口轉(zhuǎn)化為外部不同的端口>
<也可添加no-reverse參數(shù)，表示不再產(chǎn)生server-map表內(nèi)容>
<也可以不配置端口信息>
[FW1]ip route-static 202.106.0.20 32 null 0
<配置黑洞路由>
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.106.0.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 202.106.0.20 24 202.106.0.1
//配置路由器接口地址及路由

驗(yàn)證效果：

[FW1]display firewall session table 
 Current Total Sessions : 1
 ftp  : public --> public  100.1.1.2:49160 +-> 202.106.0.20:21[192.168.1.2:21]
[FW1]display firewall server-map 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 202.106.0.20:21[192.168.1.2:21],  Zone:---,  protocol
:tcp
 : public -> public
Type: Nat Server Reverse,  192.168.1.2[202.106.0.20] -> ANY,  Zone:---,  protocol:tcp
 : public -> public,  counter: 1

自行進(jìn)行驗(yàn)證！從防火墻的會(huì)話表中，可以看出效果！

———————— 本文至此結(jié)束，感謝閱讀 ————————