源NAT

——————————————————————————————————————————————————

1.私网用户通过NAT No-PAT访问Internet

FW作为安全网关，使私网中192.168.1.0/24网段的用户可以正常访问Internet，需要在FW上配置源NAT策略。由于需要上网的用户少，采用NAT No-PAT的地址转换方式，将私网地址与公网地址一对一转换，向ISP申请了6个公网IP：210.1.1.10-15。

No-PAT也叫basic NAT，一对一地址转换，这种方式只转换IP不转换端口，而且并没有节约公网IP，所以实际中基本不常用。公网IP要大于私网用户，要不然等待公网地址释放后其他用户才可以访问。

1、配置接口IP和安全区域，完成基本参数。（二层接口）

FW：
vlan 1000
interface Vlanif1000ip address 192.168.1.254 255.255.255.0service-manage ping permitinterface GigabitEthernet1/0/1undo shutdownip address 210.1.1.1 255.255.255.0service-manage ping permitinterface GigabitEthernet1/0/2            portswitchundo shutdownport link-type accessport default vlan 1000
#
interface GigabitEthernet1/0/3portswitchundo shutdownport link-type accessport default vlan 1000firewall zone trustadd interface Vlanif1000
firewall zone untrustadd interface GigabitEthernet1/0/1

2、配置安全策略，允许指定网段与Internet进行报文交互

 rule name User_to_internetsource-zone trustdestination-zone untrustsource-address 192.168.1.0 24action permit

3、配置NAT地址池，不做端口转换

nat address-group internet 0mode no-pat globalroute enablesection 0 210.1.1.10 210.1.1.15

4、配置NAT策略，实现指定网段访问互联网

nat-policyrule name nat_internetsource-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0action source-nat address-group internet

5、配置缺省路由，私网流量可以正常转发ISP路由器

ip route-static 0.0.0.0 0.0.0.0 210.1.1.2

6、PC配置IP和网关。略

7、在互联网方向配置到NAT地址池210.1.1.10-15的静态路由，从Internet方向返回的流量可以正常被FW转发，通常要联系ISP网络管理员来配置此静态路由。（此实验Internet直连FW，配置网关即可。）

可以Ping通Internet服务器

配置完地址池会生成静态的server-map表项，正向和反向。

防火墙的会话表，地址被转换成功。

补充：

mode no-pat global：global参数：表示生成的server-map表项不包含安全区域参数，不受域间关系的限制。配置local参数：表示生成的server-map表项包含安全区域参数，受域间限制。

route enable：开启地址池的UNR路由，同黑洞路由作用相同。

如果需要访问明确的目的internet Server服务器，NAT策略的配置：

nat-policyrule name nat_internet_Sersource-zone trustdestination-zone untrustsource-address 192.168.1.0 24destination-address 210.1.1.2 24action source-nat address-group internetrule name nonat_internetsource-zone trustdestination-zone untrustsource-address 192.168.1.0 24destination-address anyaction no-nat  

——————————————————————————————————————————————————

Web

只列出重要步骤

1、配置安全策略

2、配置NAT地址池

3、配置NAT策略

——————————————————————————————————————————————————

2.私网用户通过NATP访问Internet

FW作为安全网关，为了使内部网段用户可以正常访问Internet，需要在FW上配置NAT策略，公司向ISP申请了210.1.1.5-210.1.1.10地址作为私网转换公网后的地址。

NATP属于多对一，多对多转换。转换方式IP+端口。现实中和Easy-IP一样，都应用非常广泛。

1、配置接口IP地址和安全区域

FW：
interface GigabitEthernet1/0/0ip address 192.168.254.1 255.255.255.30service-manage ping permit
#
interface GigabitEthernet1/0/1ip address 210.1.1.1 255.255.255.0service-manage ping permit
#
firewall zone trustadd interface GigabitEthernet1/0/0
firewall zone untrustadd interface GigabitEthernet1/0/1
#
ip route-static 192.168.0.0 16 192.168.254.2
ip route-static 0.0.0.0 0.0.0.0 210.1.1.2R1：
interface GigabitEthernet0/0/0ip address 210.1.1.2 255.255.255.0SW：
vlan rang 10,20,1000
!
interface vlan 1000ip add 192.168.254.2 30
interface VLAN 10ip address 192.168.10.254 255.255.255.0
interface VLAN 20ip address 192.168.20.254 255.255.255.0
!
interface GigabitEthernet 0/0switchport access vlan 1000
interface GigabitEthernet 0/1switchport access vlan 10
interface GigabitEthernet 0/2switchport access vlan 20
!
ip route 0.0.0.0 0.0.0.0 192.168.254.1

2、配置安全策略，允许指定网段与Internet进行报文交互

security-policyrule name NATP_INTERNETsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action permit

3、配置NAT地址池，开启允许端口地址转换，实现公网地址复用。

nat address-group GW mode patroute enablesection 210.1.1.5 210.1.1.10

4、配置NAT策略，实现源地址转换

 rule name napt_internetsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action source-nat address-group GW

NATP源地址转换后，不生成Server-map表。根据session表来识别，NATP也称为端口复用NAT，如果192.168.10.1和20.1共同使用210.1.1.9公网转换的话，以携带的端口号来区分。

如果需要限制私网转公网，公网每个IP的转换比例，如下：

nat address-group GW mode patroute enablesection 210.1.1.5 210.1.1.10srcip-car-num 256

srcip-car-num命令用来配置单个公网地址对应的私网地址最大数。

——————————————————————————————————————————————————
Web

1、配置NAT地址池

2、配置安全策略

3、配置NAT策略

——————————————————————————————————————————————————

3.私网用户通过Easy-IP访问Internet

公司向ISP申请了一个公网IP地址用户和ISP互联，为了让私网用户正常访问互联网，配置出接口地址方式的源NAT策略。私网用户直接借用FW公网接口IP来访问internet。

Easy-IP：以出接口IP来转换，多对一，应用非常广泛。节约IP。不生成server-map表，Easy-IP方式不需要配置路由黑洞。

1、配置接口IP地址和安全区域（等同上例，略）

2、配置安全策略，允许指定网段与Internet进行报文交互（等同上例，略）

3、配置NAT策略

 rule name easy_natsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action source-nat easy-ip

以出接口的公网地址端口来区分。

——————————————————————————————————————————————————
Web

其余都一样，就NAT策略不同

——————————————————————————————————————————————————

4.私网用户通过三元组NAT访问Internet

公司向ISP申请了6个地址，210.1.1.5-210.1.1.10，通过源NAT策略访问Internet，要求私网用户与Internet上主机之间能进行P2P业务交流，如文件共享、语音视频等，Intetnet上主机也能主动访问私网用户。

回顾下，三元组NAT，同时转换IP和端口，多对一，多对多，能和P2P、语音视频等多通道协议能很好的互存。

当PC访问互联网时，如果采用五元组方式进行地址转换，外部设备无法通过转换后的地址和端口主动访问内部PC。
三元组的特点：1、端口不能复用，保证内部PC对外呈现的一致性，端口不会动态变化。2、支持外部设备通过转换后的地址和端口主动访问内部PC，防火墙没配置相关策略，也允许报文通过。

产生的server-map表：
正向：保证内部PC转换后的地址和端口不变。
反向：允许外部设备主动访问内部PC。

1、配置接口IP地址和安全区域（等同上例，略）

2、配置安全策略，允许指定网段与Internet进行报文交互（等同上例，略）

3、配置NAT地址池，开启允许端口地址转换，实现公网地址复用。

nat address-group GW 0mode full-cone globalroute enablesection 0 210.1.1.5 210.1.1.10

4、配置NAT策略。

nat-policyrule name policy_natsource-zone trustdestination-zone trustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action source-nat address-group GW

配置完成后，生成了2对Server-map表，内网主机进行NAT地址转换生成MAP表，IP和端口在老化时间内保持不变。

我们在地址池配置了full-cone global参数，Full Cone也叫全圆锥：内网主机进行NAT转换后的地址和端口在一段时间内保持不变，不会因为目的地址不同而不同。global参数在域间不受安全策略控制。

三组元NAT的两个特点，通过在NAT地址池配置full-cone global参数实现满足第一条。

第二点是关于外部到内部安全策略检查，默认情况下，防火墙开启端点无关过滤功能。

firewall endpoint-independent filter enable

endpoint-independent filter enable：开启后，报文只要命中Server-map就可以通过防火墙，不受安全策略控制。

还有防火墙对多通道协议的支持，通过ASPF保证系统对多通道协议中临时协商的端口正常进行报文过滤和NAT。

——————————————————————————————————————————————————
Web

安全策略、NAT策略和上面都一致。

——————————————————————————————————————————————————

5.双出口环境下私网用户通过NAPT访问Internet

某企业在网络边界处部署了FW作为安全网关，并分别从运营商ISP1和ISP2处购买了宽带上网服务，实现内部网络接入Internet的需求。研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet，要求去往特定目的地址的流量必须经由相应的运营商来转发。当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免业务中断。

1、配置接口IP地址和安全区域

#
interface GigabitEthernet1/0/0ip address 210.1.1.1 255.255.255.0
interface GigabitEthernet1/0/1ip address 110.1.1.1 255.255.255.0
interface GigabitEthernet1/0/2ip address 192.168.10.254 255.255.255.0          
interface GigabitEthernet1/0/3ip address 192.168.20.254 255.255.255.0
#
firewall zone trustadd interface GigabitEthernet1/0/2add interface GigabitEthernet1/0/3
#
firewall zone name IPS1set priority 10add interface GigabitEthernet1/0/1
firewall zone name IPS2set priority 20add interface GigabitEthernet1/0/0
#
ip route-static 0.0.0.0 0.0.0.0 110.1.1.2
ip route-static 0.0.0.0 0.0.0.0 210.1.1.2ISP1-AR
interface GigabitEthernet0/0/0ip address 110.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1ip address 61.134.1.1 255.255.255.0ISP2-AR
interface GigabitEthernet0/0/0ip address 210.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1ip address 61.134.1.2 255.255.255.0USER
C:\Users\user>route ADD 0.0.0.0 MASK 255.255.255.0 61.134.1.1
C:\Users\user>route ADD 0.0.0.0 MASK 255.255.255.0 61.134.1.2

2、配置NAT地址池

ip address-set shengchan type object      address 0 192.168.10.0 mask 24
ip address-set shichang type objectaddress 0 192.168.20.0 mask 24
#
nat address-group ISP1_POOLmode patroute enablesection 0 110.1.1.5 110.1.1.10
nat address-group ISP2_POOLmode patroute enablesection 0 210.1.1.5 210.1.1.10

3、配置安全策略

security-policyrule name ISP1_INTERsource-zone trustdestination-zone IPS1source-address address-set shengchanaction permitrule name ISP2_INTERsource-zone trustdestination-zone IPS2source-address address-set shichangaction permit

4、配置NAT策略

nat-policyrule name ISP1_NETsource-zone trustdestination-zone IPS1source-address address-set shengchanaction source-nat address-group ISP1_POOLrule name ISP2_NETsource-zone trustdestination-zone IPS2source-address address-set shichangaction source-nat address-group ISP2_POOL

5、去往目的地的明细路由，还需要运营商获取ISP所属网段信息。此外，还可以使用ISP选路快速导入ISP路由，提高配置效率。ISP路由在后续ISP选路中会详细介绍。