路由交换之防火墙的应用及双向nat转换

首先呢，我们要构建一个简单拓扑图，这个拓扑图是我用华为ensp搭建的，如果大家对路由交换方面感兴趣的话，可以自己下一个ensp照着我的文章把这个技术学一学做一做

首先给大家介绍一下这张拓扑图它是由一个华为的6000V防火墙以及华为的2200的三台路由器，一个服务器，还有一个http客户端构成的
我们将这个拓扑图分为trust区域以及untrust区域，trust就模拟我们的局域网，untrust区域就模拟成我们的外网，我们要实现的目标就是在局域网内部署ospf协议，然后做双向nat转换使外网的http客户端能够访问内部局域网的服务器。


第一步：先让我们配置一下防火墙的IP，设置区域并把不同的接口添加至不同的区域，然后在防火墙上写一个简单的安全策略，以便各路由器与防火墙的数据包能够通讯，和ospf协议部署

1.让我们进入防火墙的端口配置和各终端设备连接的接口IP（拓扑上我已经规划好网段）

2.让我们进入trust和untrust区域，然后划分不同的接口到不同的区域

3.让我们写一个安全策略，取名字为ospf，进入安全策略以后，写原区域为trust和local，目的区域也是一样的、执行的操作是允许的，这里要为大家解释一下，为什么原区域和目标区域是一样的，因为我们做ospf协议是在内网做的，而且只能在内网做，我们不可能把外网的路由器引进我们内网的里面吧，这样是不允许的

4.我们要进入ospf然后在area0里面通告我们之前配置的IP，除连接外网的3.3.3.0的网段以外

5.我们进入R1配置接口的IP，然后在ospf的area0里面通告我们配置的IP

6.配置R2的接口IP以及在ospf的area0、area1通告配置的IP

7.配置R3的接口IP以及在ospf的area1通告配置的IP（额，忘截图了，给大家手动输一下命令吧）

net 10.1.4.0 0.0.0.255
net 192.168.1.0 0.0.0.255 
8.配置服务器的IP以及http客户端IP以及服务

9.让我们在来写一个安全策略，取名为web 然后它原区域为untrust区域（因为们访问是通过http客户端访问的，http客户端是在外网，我们外网的区域为untrust，目的区域当然是trust区域啦，然我们要写目标地址为192.168.1.1也就是我们服务器的地址啦 允许所有操作）

10.我们要做一个nat映射，将我们内网服务器的IP地址192.168.1.1映射到我们边界防火墙的连接外网的接口的ip地址上也就是3.3.3.254 且将内部服务器的80端口转换为3.3.3.254的8080端口

11.当我们的http客户端去访问我们内网的服务器的时候它是访问失败的，那是为什么呢？让我们抓包看一下 

很简单，我们http的请求的数据包很明显就已经访问到了我们内部局域网的服务器，因为我们的nat转换将3.3.3254转换为了192.168.1.1 ，所以我们去用http客户端访问3.3.3.254:8080的时候就直接被转换成为了192.168.1.1：80 ，但是数据包为什么回不来呢？因为我们访问的时候做了nat，但是我们数据包返回的时候并没有路径返回到3.3.3.3 也就是路由表中没有3.3.3.3这条路由，所以我们要在做一个easynat，给它来一个反向的nat，让返回的数据包可以出去

12.写一个nat策略，然后策略和之前写的原目的区域和地址都一样，然后最后我们要写上启用easynat ，这样我们的内网的地址就转换为外网的啦

让我们访问一下，然后抓取一下数据包

数据包上很明显就显示了然后转换后的地址变成了10.1.2.254 ，这样我们的数据包一来一回就可以出去啦，就直接访问成功

如果说我们看数据包看的不清楚的话，我们可以查看一下防火墙的会话状态

这样我们就看的很清楚了，3.3.3.3的地址转换为了10.1.2.254 我们的3.3.3.3访问3.3.3.254:8080时也就是访问了192.168.1.1，然后我们数据包返回到10.1.2.254时同时也就转为为了3.3.3.3 然后我们才能够访问到咱们的内部服务器