- NAPT原理:屬於“多對一的地址轉換”,在轉換過程中同時轉換報文的地址和端口。具體看下圖:
描述:私網可以是一個端口多個地址,在做NAPT地址轉換時,將多個私網地址和端口轉換為 一個公網地址和不同的公網端口,利用公網端口不一致,則一個公網地址可以多次重復使用。
- 實驗場景:ISP向企業提供了兩個公網IP地址(分別是:2.2.2.10、2.2.2.11)作為私網訪問Internet的唯一通道,要求在防火牆上做"源NAT策略"地址轉換。
- 實驗拓撲:
- 實驗步驟及命令:
-
配置接口IP地址並將接口加入相應安全區域
interface GigabitEthernet1/0/1 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/2 ip address 2.2.2.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/2
-
配置安全策略
security-policy rule name rule1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action permit
-
配置NAT地址池
nat address-group g1 section 0 2.2.2.10 2.2.2.11
-
配置源NAT策略
nat-policy rule name N1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action nat address-group g1
-
配置防火牆到外網路由器的缺省路由
ip route-static 0.0.0.0 0.0.0.0 2.2.2.254
-
配置路由黑洞(防火牆)
ip route-static 2.2.2.10 255.255.255.255 NULL0 ip route-static 2.2.2.11 255.255.255.255 NULL0
-
配置外網回來的靜態路由(路由器)
ip route-static 2.2.2.10 255.255.255.255 2.2.2.1 ip route-static 2.2.2.11 255.255.255.255 2.2.2.1