配置NAT解决内外网互通

防火墙NAT策略

1、 配置基本的网络参数及路由
2、 防火墙配置源地址转换
3、 防火墙配置目标地址转换
4、 防火墙配置安全策略及黑洞路由
5、 验证配置
一、配置基本的网络参数及路由
（1）配置IP地址

[FW1]interface GigabitEthernet 1/0/2	
[FW1-GigabitEthernet1/0/2]ip address 192.168.2.254 24
[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[FW1]interface GigabitEthernet 1/0/1	
[FW1-GigabitEthernet1/0/1]ip address 202.96.1.1 24

[R1]interface GigabitEthernet0/0/0	
[R1-GigabitEthernet0/0/0]ip address 202.96.1.2 24
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 202.96.2.1 24
[R1]interface GigabitEthernet0/0/2
[R1-GigabitEthernet0/0/2]ip address 202.96.3.1 24

（2）配置路由

[FW1]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 202.96.1.2
[R1]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/0 202.96.1.1

二、配置防火墙安全策略
（1）接口加入trust和untrust

[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/2
[FW1-zone-trust]add interface GigabitEthernet 1/0/1
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/0

（2）配置安全策略

[FW1]security-policy
[FW1-policy-security]rule name nat
[FW1-policy-security-rule-nat]source-zone untrust
[FW1-policy-security-rule-nat]destination-zone trust
[FW1-policy-security-rule-nat]destination-address 192.168.1.0 24
[FW1-policy-security-rule-nat]action permit

[FW1]security-policy
[FW1-policy-security]rule name server
[FW1-policy-security-rule-server]source-zone trust
[FW1-policy-security-rule-server]destination-zone untrust
[FW1-policy-security-rule-server]source-address 192.168.1.0 24
[FW1-policy-security-rule-server]source-address 192.168.2.0 24
[FW1-policy-security-rule-server]action permit

（3）配置应用层检查

[FW1]firewall interzone trust untrust
[FW1-interzone-trust-untrust]detect ftp

（4）配置FTP的NAT Server

[FW1]nat server ftp protocol tcp global 202.96.1.3 21 inside 192.168.1.10 21

三、配置黑洞路由

[FW1]ip route-static 202.96.1.3 32 NULL 0

四、验证
（1）内网客户端可以访问互联网服务器（ping）

(2)互联网客户端可以访问内网服务器（通过FTP访问），开启FTP


（3）内网服务器可以访问互联网服务器（ping）