宛先NAT学習
1.概要
送信先NATファイアウォールが変換は、宛先IPアドレスで、パケット変換され、送信元IPアドレスではありません。
移動端末が無線ネットワークにアクセスする際に、運転席のデフォルトのWAPゲートウェイアドレスWAPゲートウェイアドレスの不整合が、端末装置の一部、及び部署に割り当てられ、宛先NAT機能のWAPゲートウェイ配備の途中であってもよい場合、デバイスは自動的に転送されます自動的に正しいWAPゲートウェイに転送されたエラーメッセージWAPゲートウェイアドレス。
2.ネットワークトポロジ
まずネットワークの基盤を構成します
AR1
interface GigabitEthernet0/0/0
ip address 192.168.0.100 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
AR2
interface GigabitEthernet0/0/0
ip address 1.1.1.2 255.255.255.0
FW1
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.0.1 255.255.255.0
dhcp select interface
dhcp server gateway-list 192.168.0.1//g0/0/0口不用配置,默认即是这样。
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
3.ファイアウォールNAT設定
混合物(1)まずG0 / 0/1のUntrustエリア入口
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
(2)ポリシーを設定し、信頼ゾーンエリア通信のUntrustを可能にします
policy interzone trust untrust outbound
policy 1
action permit
(3)簡単-IP経由でNATを設定します
nat-policy interzone trust untrust outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/1
(4)目的NATの設定
アクセス制御リストを設定するには
acl number 3000
rule 1 permit ip source 192.168.0.0 0.0.0.255 destination 2.2.2.2 0//这里2.2.2.2是模拟内网终端访问错误的地址。
送信先NATファイアウォールゾーンの信頼設定で
firewall zone trust
set priority 85
destination-nat 3000 address 1.1.1.2//目的地址转换,匹配ACL3000的流量转换至目的地址1.1.1.2
add interface GigabitEthernet0/0/0
4.確認してください
検証ではAR1、ping2.2.2.2成功は、実際には1.1.1.2にアクセス