2.NAT

4.安全与NAT策略-2

2.1 NAT的类型

  • 源NAT:用于内部用户上网
  • 目的NAT--用于私有网络中的服务器为公有网络提供服务

4.安全与NAT策略-2

2.2 源NAT的类型

  • 静态IP
    • 一对一固定转换(双向NAT:出去转源,进来转目的)
    • 源IP改变,源端口不变(10.0.0.1:1025--->202.100.1.1:1025)
  • 动态IP
    • 源IP一对一动态转换,端口不变
  • 动态IP/Port(DIPP)
    • 多个客户端使用同一个公网ip,但是源端口不同 (10.0.0.1:1025--->10.0.0.1:11025)
    • 转换后的地址可以是接口地址也可以是指定的IP

2.3 DIPP NAT OverSubscription

相同IP/Port映射可以被用于多个并发会话,前提是主机连接不同的目的地。意思是当不同的内部主机访问公网不同资源做NAT时,可以映射到相同IP的同一端口。

  • 设置
    【Device】-【Setup】-【Session】-【Session Settings】
    4.安全与NAT策略-2

2.4 LAB 6 Static IP转换

  • 实验目的:通过本实验可以掌握静态NAT的配置
  • 实验需求:DMZ Win2012(192.168.1.200)转换到Outside Win2012_NAT(202.100.1.200)
  • 实验过程:

    • 创建tag(可以通过TAG来对IP做分类)
      【Object】-【Tags】
      4.安全与NAT策略-2
    • 创建Object
      【Object】-【Addresses】
      4.安全与NAT策略-2
      4.安全与NAT策略-2
      4.安全与NAT策略-2
    • 创建NAT策略
      【Policy】-【NAT】

    4.安全与NAT策略-2

    4.安全与NAT策略-2

    4.安全与NAT策略-2
    说明:勾选Bi-directional时,启用双向NAT,当用户从outside访问200.1.100.200时,可以自动转换为DMZ的192.168.1.200.思科默认为双向NAT

    • 创建安全策略:
      DMZ---->Outside
      4.安全与NAT策略-2

      4.安全与NAT策略-2

      4.安全与NAT策略-2

      Outside--->DMZ
      4.安全与NAT策略-2
      4.安全与NAT策略-2

4.安全与NAT策略-2
说明:由于Check Security Policy在NAT Policy Apply之前,所以这里的目的地址是转换前的地址。
4.安全与NAT策略-2

  • 实验结论:

    • 当Win2012访问outside区域网络时,通过Monitor查看NAT流量。
    • 当通过outside区域网络访问DMZ Win2012时,通过Monitor查看NAT流量。

    2.5 LAB7 动态IP转换

  • 实验目的:通过本实验可以掌握动态NAT的配置
  • 实验需求:当inside-1区域的PC1去往internet时,转换为202.100.1.120-202.100.1.130
  • 实验过程:
    • 创建object
      4.安全与NAT策略-2
    • 创建NAT策略
      4.安全与NAT策略-2

4.安全与NAT策略-2

4.安全与NAT策略-2

4.安全与NAT策略-2
说明:这里我们选择none
4.安全与NAT策略-2

  • 实验结论:

    2.6 LAB8 DIPP

    • 实验目的:通过本实验可以掌握PA DIPP配置
    • 实验需求:当inside-1的10.1.2.0/24去往outside时,转换为PA1通往E0/2(outside)的接口IP
  • 实验过程:
    • 创建object
      4.安全与NAT策略-2
  • 创建NAT

4.安全与NAT策略-2

4.安全与NAT策略-2

4.安全与NAT策略-2

  • 实验结论:

    2.7 LAB9 目的NAT配置

  • 实验目的:通过本实验可以掌握PA DNAT配置
  • 实验需求:当访问PA1外部接口IP(202.100.1.10)的TCP/2323端口时,将会被转换到R1(10.1.1.1)的TCP/23号端口
  • 实验过程:

    • 创建Object
      【objects】-【Addresses】
      4.安全与NAT策略-2
      【objects】-【Services】
      4.安全与NAT策略-2

    • 创建DNAT策略
      4.安全与NAT策略-2
      4.安全与NAT策略-2
      4.安全与NAT策略-2
    • 创建安全策略
      4.安全与NAT策略-2
      4.安全与NAT策略-2
      4.安全与NAT策略-2
      4.安全与NAT策略-2
  • 实验结果:
    • 测试从GatewayRouter TELNET 202.100.1.10 2323进行测试