1.NAT面板介绍

cp专题(6)-NAT介绍_cp专题 

ORIGINAL PACKET(原始数据包)

SOURCE

DESTINATION

SERVICE

TRANSLATED PACKET(转换后的数据包)

SOURCE

DESTINATION

SERVICE

       2.NAT的全局属性配置

cp专题(6)-NAT介绍_NAT介绍_02

Allow bi-directional NAT<允许双向NAT,支持NAT策略多重检测>

Translate destination on client side<客户端地址转换>

Automatic ARP configuration<自动配置Proxy ARP条目>

3.NAT配置的类型

自动配置(Hide NAT,Static NAT)

手动配置(Hide NAT,Static NAT,Port Translation)

------------------------------------------------------------------

自动配置中的Hide NAT

网络拓扑

cp专题(6)-NAT介绍_NAT介绍_03

Hide NAT就是常说的PAT,通过上面的拓扑图,可以通过自动配置实现Hide NAT,把Inside网络复用到外部接口(202.100.1.10)

实现步骤

cp专题(6)-NAT介绍_休闲_04

将内部网络直接转换成外部接口

测试

cp专题(6)-NAT介绍_cp专题_05

测试方法还可以通过SecurePlatform使用下面的两条命令进行监控

FW tab –t connections

FW monitor –m iIo0

-------------------------------------------------------------------------------------

自动配置中的Static NAT

cp专题(6)-NAT介绍_cp,cp专题_06

 

配置GW1静态转换Inside.Server(192.168.1.1)转换到202.100.1.101,并且放行Outside.××× telnet Inside.Server的流量

实现步骤

cp专题(6)-NAT介绍_cp专题_07

测试

cp专题(6)-NAT介绍_职场_08

可以看到cp放行的时候没有放行去往转换后地址的流量而是直接放行Outside.××× telnet Inside.Server的流量

-------------------------------------------------------------------------------------------------------------------------------------------

手动配置

自动配置是非常简单的而且不会出现任何关于Proxy ARP的问题,但是如果需要做一些特殊需求的转换,例如:端口转换,就需要使用手动配置,手动配置最大的问题就是Proxy ARP.

手动配置中的Hide NAT(物理口)

cp专题(6)-NAT介绍_职场_09

这种配置非常简单,就是把原始数据包源为Inside Pat 转换到GW的物理接口,因为是复用的物理接口所以不存在Proxy ARP问题

测试

cp专题(6)-NAT介绍_职场_10

--------------------------------------------------------------------------------------------------------------------------------------------------------

 

手动配置中的Hide NAT(非物理口)

cp专题(6)-NAT介绍_职场_11

测试

cp专题(6)-NAT介绍_休闲_12

我们从Outside能够收到ICMP的ECHO和show arp 202.100.1.102所体现出来的Incomplete,很容易明白这是Proxy ARP的问题。

相应的解决方法是修改系统文件(要进入系统的专家模式修改两个系统文件,红色为要添加的字段)

1) 修改/etc/rc.local

       #!/bin/sh

       #

       #This script will be executed *after* all the other init scripts.

       #You can put your own initialization stuff in here if you don't

       #want to do the full Sys V style init stuff.

       echo 1 &gt; /proc/sys/net/ipv4/conf/<外部接口>/proxy.arp

       route add –host <转换后地址> gateway <真实地址>

       arp –s <转换后地址> <外部接口MAC> pub

2)修改/etc/sysctl.conf

        net.ipv4.conf.all.proxy_arp=1

        net.ipv4.conf.default.proxy_arp=1

3)重启

配置截图

首先进入专家模式

cp专题(6)-NAT介绍_cp,cp专题_13

输入命令Vi /etc/rc.local

cp专题(6)-NAT介绍_cp专题_14

"ESC"+":wq!"

更改另一个配置文件

Vi /etc/sysctl.conf

cp专题(6)-NAT介绍_NAT介绍_15

重启系统

cp专题(6)-NAT介绍_cp专题_16

重启之后验证配置

cp专题(6)-NAT介绍_cp,cp专题_17

能够看到正确解析的MAC地址

cp专题(6)-NAT介绍_cp专题_18

与NOKIA结合的产品已经解决了上述问题

----------------------------------------------------------------------------------------------------------------------------------

手动配置中的静态NAT

 cp专题(6)-NAT介绍_休闲_19

NAT里面做一对(出入都要做)

cp专题(6)-NAT介绍_NAT介绍_20

放行相应的流量

------------------------------------------------------------------------------------------------------------------------------

手动配置中的端口转换

NAT界面和放行相应的流量

cp专题(6)-NAT介绍_职场_21

测试

cp专题(6)-NAT介绍_职场_22

cp专题(6)-NAT介绍_NAT介绍_23