NAPT(同时转换地址和端口)

1、NAPT。

        NAPT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。

NAPT工作原理:

NAPT(同时转换地址和端口)_第1张图片

2、当Host访问Web Server时,FW的处理过程如下:

  1. FW收到Host发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过安全策略检查后继而查找NAT策略,发现需要对报文进行地址转换。

  2. FW根据源IP Hash算法从NAT地址池中选择一个公网IP地址,替换报文的源IP地址,同时使用新的端口号替换报文的源端口号,并建立会话表,然后将报文发送至Internet。

  3. FW收到Web Server响应Host的报文后,通过查找会话表匹配到步骤2中建立的表项,将报文的目的地址替换为Host的IP地址,将报文的目的端口号替换为原始的端口号,然后将报文发送至Intranet。

        此方式下,由于地址转换的同时还进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,FW根据端口区分不同用户,所以可以支持同时上网的用户数量更多。此外,NAPT方式不会生成Server-map表,这一点也与NAT No-PAT方式不同。

3、NAPT实验。

实验拓扑:

NAPT(同时转换地址和端口)_第2张图片

1、FW1配置。


##基础IP地址配置
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.254 24 
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 1.1.1.1 24 
[FW1-GigabitEthernet1/0/2]q
 
##配置安全区域分别将g1/0/1加入trust区域、g1/0/2加入untrust区域
[FW1]firewall zone trust 
[FW1-zone-trust]add int g1/0/1
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/2
 
##配置默认路由访问公网
[FW1]ip route-static 0.0.0.0 0 1.1.1.254 
 
##配置安全策略
[FW1]security-policy
[FW1-policy-security]rule name policy1  //创建策略名为policy1
[FW1-policy-security-rule-policy1]source-zone trust  //设置源区域为trust
[FW1-policy-security-rule-policy1]destination-zone untrust  //设置目标区域为untrust
[FW1-policy-security-rule-policy1]source-address 10.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-policy1]action permit  //安全规则的动作,这里表示允许该规则流量的通过
 
##创建NAT地址池
[FW1]nat address-group bdqn
[FW1-address-group-bdqn]mode pat  //设置模式为pat,因为NAPT不包含server-map所以不用配置global
[FW1-address-group-bdqn]section 0 1.1.1.10 1.1.1.11  //地址池数量由1.1.1.10~1.1.1.11
[FW1-address-group-bdqn]route enable  //开启NAT路由
 
##配置NAT策略
[FW1]nat-policy 
[FW1-policy-nat]rule name nat1
[FW1-policy-nat-rule-nat1]source-zone trust 
[FW1-policy-nat-rule-nat1]destination-zone untrust 
[FW1-policy-nat-rule-nat1]source-address 10.1.1.0 24
[FW1-policy-nat-rule-nat1]action source-nat address-group bdqn

2、R1配置。


##基础IP地址配置
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 1.1.1.254 24
[R1-GigabitEthernet0/0/0]int loo0
[R1-LoopBack0]ip add 172.16.1.1 32 
[R1-LoopBack0]q

3、实验结果。

因为NAPT可以实现多个私网地址共用一个或多个公网地址的地址转换方式,所以即使地址池只有两个IP地址,【pc3】也可以进行IP地址转换。

同时转换IP地址时也转换端口号

NAPT(同时转换地址和端口)_第3张图片

因为NAPT不包含server-map表,所以server-map表为空

NAPT(同时转换地址和端口)_第4张图片

你可能感兴趣的:(网络(防火墙),网络)