華為防火墻目的NAT

目的NAT學(xué)習(xí)
qq3421609946

1.概述

目的NAT就是防火墻中數(shù)據(jù)包在轉(zhuǎn)換時(shí)，轉(zhuǎn)換的是目的IP地址，不是源IP地址。
在移動(dòng)終端訪問(wèn)無(wú)線網(wǎng)絡(luò)時(shí)，如果缺省WAP網(wǎng)關(guān)地址于所在地運(yùn)營(yíng)商的WAP網(wǎng)關(guān)地址不一致時(shí)，可以在終端于WAP網(wǎng)關(guān)中間部署一臺(tái)設(shè)備，并配屬署目的NAT功能，使設(shè)備自動(dòng)將轉(zhuǎn)發(fā)給錯(cuò)誤WAP網(wǎng)關(guān)地址的報(bào)文自動(dòng)轉(zhuǎn)發(fā)給正確的WAP網(wǎng)關(guān)。

2.網(wǎng)絡(luò)拓?fù)鋱D

2.首先進(jìn)行網(wǎng)絡(luò)基礎(chǔ)配置

AR1

interface GigabitEthernet0/0/0
 ip address 192.168.0.100 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

AR2

interface GigabitEthernet0/0/0
 ip address 1.1.1.2 255.255.255.0

FW1

interface GigabitEthernet0/0/0
 alias GE0/MGMT
 ip address 192.168.0.1 255.255.255.0
 dhcp select interface
 dhcp server gateway-list 192.168.0.1//g0/0/0口不用配置，默認(rèn)即是這樣。
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0

3.防火墻NAT配置

（1）首先將G0/0/1口加入untrust區(qū)域

firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/1

（2）配置策略，允許trust區(qū)域和untrust區(qū)域通信

policy interzone trust untrust outbound
 policy 1
  action permit

（3）通過(guò)easy-ip方式配置NAT

nat-policy interzone trust untrust outbound
 policy 1
  action source-nat
  easy-ip GigabitEthernet0/0/1

（4）配置目的NAT
先配置訪問(wèn)控制列表

acl number 3000
 rule 1 permit ip source 192.168.0.0 0.0.0.255 destination 2.2.2.2 0//這里2.2.2.2是模擬內(nèi)網(wǎng)終端訪問(wèn)錯(cuò)誤的地址。

在firewall zone trust配置目的NAT

firewall zone trust
 set priority 85
 destination-nat 3000 address 1.1.1.2//目的地址轉(zhuǎn)換，匹配ACL3000的流量轉(zhuǎn)換至目的地址1.1.1.2
 add interface GigabitEthernet0/0/0

4.驗(yàn)證

在AR1上進(jìn)行驗(yàn)證，ping2.2.2.2成功，實(shí)際是訪問(wèn)的1.1.1.2