私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)

示例图

一、实验目的

1.私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)

二、注意事项

1.安全策略：安全策略检验是否允许流量通过
2.NAT策略：NAT 策略检验是否对流量进行 NAT 转换
3.由于防火墙检验流量是否符合安全策略的操作，发生在检查 NAT 策略之前
  所以如果要针对源 IP 设置安全策略，则该 IP 应该是做源 NAT转换前的 IP
4.黑的路由：黑洞路由是一个让路由“有来无回”的路由，它的效果就是让设备丢弃命中
  该路由的报文。针对地址池中的公网 IP 必须配置黑洞路由，目的是防止产生路由环路
5.只对访问特定目的地址的用户IP地址，进行NAT No-PAT转换，别的不转换
6.安全策略，照样放行。NAT策略，指定源地址和目的地址

三、NAT No-PAT

1.“No-PAT”表示不进行端口转换,所以 NAT No-PAT 只转换 IP 地址,只能一个私网IP转化成一个公网IP

四、简单配置

FW1

sysname FW1
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 1.1.1.1 255.255.255.0
#
firewall zone local
 set priority 100
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
firewall zone dmz
 set priority 50
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#
nat address-group addressgroup1 0
 mode no-pat global
 route enable
 section 0 1.1.1.10 1.1.1.15
#
security-policy
 rule name policy1
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  action permit
#
nat-policy
 rule name policy_nat1
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  destination-address 1.1.2.2 mask 255.255.255.255
  action source-nat address-group addressgroup1
 rule name policy_nat2
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  action no-nat
#
return  

AR1

sysname AR1
#
interface GigabitEthernet0/0/0
 ip address 1.1.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 1.1.2.1 255.255.255.0 
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
#
return