防火墙NAT地址转换的四种应用实验与防火墙的双机热备实验

一、NAT实验

一、源地址转换

1、首先搭建NAT实验环境的拓扑：

这里需要配置各个设备的ip、掩码、网关；省略

2、登录防火墙设备并且为防火墙设备的0/0/0接口配置与虚拟网卡一个网段的ip，并且开启该接口的全部服务

[USG6000V1]int gi 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.159.100 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all  permit 

3、 然后在防火墙上进行区域划分并且为接口配置ip： 

GE1/0/2口为trust区域

GE1/0/0口是untrust1区域

4、下面制定NAT策略

 5、在安全策略中放行该策略的流量

 6、使用内网的PC尝试访问外网的PC：

 7、抓包查看：

 当内网的pcping外网的pc时使用的是nat1转换后的ip说明nat转换成功了！

二、目标地址转换（端口映射）

1、首先在trust区域中的服务器上上传资源并且开启WEB服务

 2、在防火墙上配置端口映射

 3、新建策略放行该流量

 4、在外网的client上尝试访问trust区域服务器上面的资源

 成功获取到了资源！

三、NAT的域间双向转换

1、在trust区域新增加个服务器：

 2、防火墙上新建NAT地址转换

 

需要建立源地址池：

目的转化地址：

 3、制定安全策略

 4、在内网的web服务器上上传资源并且开启服务

 5、在外部的client上尝试访问web4上传的资源

 成功访问！

6、尝试抓包查看：

四、NAT的域内双向转换

适用场景：当内网PC以公网形式访问内网服务器时

外网的server2做内网的web服务的DNS

1、设置DNS

 2、防火墙制定NAT策略

 

源地址池：

目标地址：

 3、制定安全策略

 

 4、在trust区域新增加一个client用于测试

5、尝试访问

6、抓包查看

二、双机热备实验

1、首先需要增加一台防火墙与原有的防火墙进行相连，连接后的拓扑：

2、为新的防火墙配置ip并且开启接口的所有功能：

[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.159.200 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit 

3、主防护墙配置

（1）首先为主备相连接的心跳线接口配置ip

 （2）配置双机热备

 （3）配置接口监控

 （4）配置虚拟ip地址

 注意：这里因为网关修改为了10.1.1.254和200.1.1.254所有其他同区域设备的网关均需要修改

这是主设备当前的双机热备状态：

保存主防火墙的配置

 4、备防火墙配置

（1）首先配置连接两个区域的接口ip

 

 （2）配置心跳线ip

 （3）双机热备

 （4）监控接口

 （5）虚拟ip地址

 

备防火墙的状态：

保存备防火墙的配置；

5、注意一定要写一条策略放行心跳线这个网段的流量

6、登录主防火墙进行同步：

点击详细->同步配置

7、登录备防火墙查看同步情况：

 

 8、关闭主服务器尝试使用内网PC访问外网PC

 成功访问！！！