配置域内双向NAT_第1张图片

如图所示,FTP服务器和PC均在USG5300统一安全网关的Trust安全区域,FTP服务器的IP地址为10.1.1.2,PC机的IP地址为10.1.1.5,二者通过交换机与统一安全网关相连。


网络需求

FTP服务器对外公布的地址为200.1.1.10,对外使用的端口号为21。

当PC访问FTP服务器的公网IP地址时,PC机的地址也进行地址转换。这样做的目的是保证PC机和FTP服务器交互的所有报文能够经过USG5300,并处理正确。


操作步骤

[USG5300] interface GigabitEthernet 0/0/0

[USG5300-GigabitEthernet0/0/0] ip address 10.1.1.1 24


[USG5300] firewall zone trust

[USG5300-zone-trust] add interface GigabitEthernet 0/0/0

[USG5300] nat server global 200.1.1.10 inside 10.1.1.2

[USG5300] nat address-group 1 200.1.1.20 200.1.1.50


[USG5300] nat-policy zone trust

[USG5300-nat-policy-zone-trust] policy 1

[USG5300-nat-policy-zone-trust-1] policy source 10.1.1.0 0.0.0.255

[USG5300-nat-policy-zone-trust-1] action source-nat

[USG5300-nat-policy-zone-trust-1]address-group 1

[USG5300-nat-policy-zone-trust-1] quit

[USG5300-nat-policy-zone-trust] quit


[USG5300-zone-trust] detect ftp

[USG5300-zone-trust] quit 


PC访问FTP服务器,通过查看USG5300的Session表来验证配置是否正确。 


[USG5300] display firewall session table verbose02:43:34  2008/08/13

Current total sessions : 1 

 FTP  ×××: public -> public                                                    

  Zone: local -> trust  TTL: 00:00:10  Left: 00:00:03                           

  Interface: G0/0/0  Nexthop: 10.1.1.2  MAC: 00-e0-4c-83-8c-e1                  

  <-- packets:10 bytes:626   --> packets:14 bytes:627                           

  10.1.1.2:2039[200.1.1.10:2039]-->10.1.1.33:12304[200.1.1.2:1864]  

              

对于域内NAT,是为了内网的用户能通过公网地址访问服务器,如果不做域内NAT,则服务器对内网访问的回应的目标地址则是内网的地址,其数据流不会经过USG,其数据连接也不成功。所以要在USG的安全区域内做域内NAT。使得内网用户通过公网访问服务器,其数据在USG上的目标地址转换为私网服务器地址,源地址转换为公网地址。