Easy IP（出接口公网IP地址作为NAT转换）

1、Easy IP。

        Easy IP是一种利用出接口的公网IP地址作为NAT转后的地址，同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景，Easy IP也一样支持。

        当FW的公网接口通过拨号方式动态获取公网地址时，如果只想使用这一个公网IP地址进行地址转换，此时不能在NAT地址池中配置固定的地址，因为公网IP地址是动态变化的。此时，可以使用Easy IP方式，即使出接口上获取的公网IP地址发生变化，FW也会按照新的公网IP地址来进行地址转换。

Easy IP工作原理：

2、当Host访问Web Server时，FW的处理过程如下：

1. FW收到Host发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过安全策略检查后继而查找NAT策略，发现需要对报文进行地址转换。

2. FW使用与Internet连接的接口的公网IP地址替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet。

3. FW收到Web Server响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，将报文的目的端口号替换为原始的端口号，然后将报文发送至Intranet。

        此方式下，由于地址转换的同时还进行端口的转换，可以实现多个私网用户共同使用一个公网IP地址上网，FW根据端口区分不同用户，所以可以支持同时上网的用户数量更多。

3、Easy IP实验。

实验拓扑：

1、FW1配置。

##基础IP地址配置
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.254 24 
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 1.1.1.1 24 
[FW1-GigabitEthernet1/0/2]q

##配置安全区域分别将g1/0/1加入trust区域、g1/0/2加入untrust区域
[FW1]firewall zone trust 
[FW1-zone-trust]add int g1/0/1
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/2

##配置默认路由访问公网
[FW1]ip route-static 0.0.0.0 0 1.1.1.254 

##配置安全策略
[FW1]security-policy
[FW1-policy-security]rule name policy1  //创建策略名为policy1
[FW1-policy-security-rule-policy1]source-zone trust  //设置源区域为trust
[FW1-policy-security-rule-policy1]destination-zone untrust  //设置目标区域为untrust
[FW1-policy-security-rule-policy1]source-address 10.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-policy1]action permit  //安全规则的动作，这里表示允许该规则流量的通过
 
##配置NAT策略
[FW1]nat-policy 
[FW1-policy-nat]rule name nat1
[FW1-policy-nat-rule-nat1]source-zone trust 
[FW1-policy-nat-rule-nat1]destination-zone untrust 
[FW1-policy-nat-rule-nat1]source-address 10.1.1.0 24
[FW1-policy-nat-rule-nat1]action source-nat easy-ip

2、R1配置。

##基础IP地址配置
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 1.1.1.254 24
[R1-GigabitEthernet0/0/0]int loo0
[R1-LoopBack0]ip add 172.16.1.1 32 
[R1-LoopBack0]q

3、实验结果。

在防火墙上查看会话表可以看到，内网的私网IP全部转换成出接口IP地址。

同时转换IP地址时也转换端口号

但server-map表不会记录信息