转换方式:
no-pat | 只转ip地址,不转端口 |
---|---|
NAPT | 即转ip也转端口 |
easy-ip | 即转ip也转端口,但转换后的ip地址只能为出接口ip地址 |
smart NAT | 预留一个公网ip进行NAPT转换方式,其余公网IP用no-pat |
三元组nat | 转换为固定的公网ip和端口,解决NAPT随机转换地址的问题 |
我们以NAPT为例,NAPT即同时转ip地址和端口,也可称为PAT,是一种应用最广泛的地址转换方式。
提示:这里描述项目中遇到的问题:
1.构建如下拓扑:
当pc访问server服务器时实现地址转换
2.如图完成接口配置及区域划分
trust——g1/0/0
dmz——g1/0/1
3.创建NAT地址池:
[FW1]nat address-group 1
提示:地址池名为1
[FW1-address-group-1] mode pat
提示:默认为pat方式,即同时转ip和端口NAPT方式。 若要配置no-pat 即为no-pat转换方式
[FW1-address-group-1] section 1 1.2.3.4 1.2.3.5
提示:进程id为1,添加了两个公网地址1.2.3.4和1.2.3.5
4.配置NAT策略:
nat-policy
rule name 1
source-zone trust
destination-zone dmz
source-address 192.168.1.0 mask 255.255.255.0
action source-nat address-group 1
提示:动作为源nat,采用地址池1方式
5.配置安全策略:
rule name pc_server
source-zone trust
destination-zone dmz
action permit
6.完成上述配置后,私网pc访问Server,在防火墙上查看会话表:
icmp VPN: public --> public 192.168.1.1:29300[1.2.3.4:2057] --> 1.1.1.5:2048
发现当192.168.1.1 ping1.1.1.5时,会转换为1.2.3.4:2057再去访问1.1.1.5:2048,完成NAPT地址转换。
提示:NAPT不会生成server-map表
含义: 将服务器私网地址转换成公网地址对外提供服务。
2.配置过程(1)拓扑图
(2)如图,完成接口配置及区域划分
g1/0/0——dmz
g1/0/1——untrust
(3)配置nat server
[FW1]nat server global 1.1.1.1 inside 10.1.1.2
(将私网地址10.1.1.2 映射成公网地址1.1.1.1,此配置默认nat server name为0,删除此命令时undo nat server name 0,可用dis nat server查看 )
提示:建议不要将防火墙公网接口IP地址(即1.1.1.254)作为nat server 的公网ip地址如果这么做请配置带有端口和协议的nat server,避免与nat server访问防火墙的 telnet,web等管理需求冲突。
按上述配置会将服务器的所有服务项目都发布到公网,一般nat server只将服务器上特定的服务项对公网发布,一般按如下配置:
[FW1]nat server protocol tcp global 1.1.1.1 123 inside 10.1.1.2 80
(将服务器80端口服务映射为123端口供公网用户访问)
(3)查看server-map表
nat server配置完成后会生成静态server-map表,并且这里的server-map表是静态的,不需要报文来触发,只有当nat server配置被删除时,对应的server-map才会被删除。
正向Server-map表项
“Nat Server, any -> 1.1.1.1:123[10.1.1.2:80]” 为正向Server-map 表项,记录着服务器私网地址端口和公网地址端口的映射关系。[]内为服务器私网地址和端口、外为服务器公网地址和端口。我们将表项翻译成文字就是:任意客户端(an向(->) 1.1.1.19980 发起访问时,报文的目的地址和端口都会被转换10.1.1.2:80.其作用是在公网用户访问服务器时对报文的目的地址做转换。
反向Server-map表项
“Nat Server Reverse, 10.1.1.2[1.1.1.1] -> any”为反向Server-map表项,其作用为当私网服务器主动访问公网时,可以直接使用这个表项将报文的源地址由私网地址转换为公网地址,而不用再单独为服务器配置源NAT策略。这就是防火墙NATServer做得非常贴心的地方了,一条命令同时打通了私网服务器和公网之间出入两个方向的地址转换通道。
(4)配置安全策略
配置安全策略时要注意,策略的目的地址应为服务器的私网地址,而不是服务器对外提供的映射地址。
[FW1-policy-security-rule-1]dis th
rule name 1
destination-address 10.1.1.2 mask 255.255.255.255
service http
action permit
(5)在服务器上开启http服务,外网用户访问1.1.1.1:123,查看结果:
(6)此时查看会话表:
完成配置。