ensp防火墙nat的简单配置

防火墙 nat配置

文章目录

  • 防火墙 nat配置
    • 实验环境
    • 实验思路
    • 具体步骤
      • 配置PC和服务器端
      • 端口ip设置
      • 配置安全策略
      • 配置NAT
      • 测试并抓包
    • 总结

实验环境

ensp防火墙nat的简单配置_第1张图片

实验思路

  • 设置PC和Server的IP与网关
  • 端口ip设置
  • 配置安全策略
  • 配置NAT
  • 测试连通性抓包

具体步骤

配置PC和服务器端

PC:

ensp防火墙nat的简单配置_第2张图片

server:

ensp防火墙nat的简单配置_第3张图片

端口ip设置

FW:

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip add 192.168.1.254 24

[FW1-GigabitEthernet1/0/0]int g1/0/1

[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24

[FW1]ip route-static 0.0.0.0 0 10.1.1.2

AR:

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 10.1.1.2 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 200.1.1.254 24

配置安全策略

[FW1]firewall zone trust

[FW1-zone-trust]add int g1/0/0

[FW1]firewall zone untrust

[FW1-zone-untrust]add int g1/0/1

[FW1]security-policy

[FW1-policy-security]rule name t_u

[FW1-policy-security-rule-t_u]source-zone trust

[FW1-policy-security-rule-t_u]destination-zone untrust

[FW1-policy-security-rule-t_u]action permit

配置NAT

[FW1]nat-policy

[FW1-policy-nat]rule name s

[FW1-policy-nat-rule-s]source-address 192.168.1.0 24

[FW1-policy-nat-rule-s]source-zone trust

[FW1-policy-nat-rule-s]destination-zone untrust

[FW1-policy-nat-rule-s]action source-nat easy-ip

测试并抓包

ensp防火墙nat的简单配置_第4张图片
ensp防火墙nat的简单配置_第5张图片

总结

NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网,防火墙技术再将内网和公网之间隔绝开来。使得公网不能访问内网,而内网可以访问公网,减少了风险。有时候把NAT和防火墙的概念混为一谈,其实NAT就是NAT,它负责IP地址影射。防火墙就是防火墙,它负责数据包的过滤。但也有时候NAT也会过滤数据包,为什么NAT会碰到问题呢?通过网上查找我发现,假设C向B发送数据的过程中,C的另外一个端口100,也想向B发送数据包,那么当这个包到达A的时候A如何处理呢?过还是不过呢?如果过了,那么从另外一个IP到达A的数据包是否也允许过呢?让这些包通过是危险的。所以NAT决定不让这些包通过,也就是说NAT有了包过滤功能。

你可能感兴趣的:(ensp防火墙nat的简单配置)