NAT No-PAT 只转换报文的IP 地址,不转换端口,需要上网的私网用户数量省,公网IP地址数量与同时上网
的最大私网用户数量基本相同,在NAT No-PAT的转换方式中,一上公网IP地址不能同时被
多个私网用户使用,其实并没有起到节省公网Ip地址的效果。
使用USG5500来做实验
FW1配置
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.0.1 255.255.255.0
dhcp select interface
dhcp server gateway-list 192.168.0.1
#
interface GigabitEthernet0/0/1
ip address 202.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 192.168.1.1 255.255.255.0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
#
firewall zone dmz
set priority 50
#
ip route-static 0.0.0.0 0.0.0.0 202.1.1.4//外网路由可达
ip route-static202.1.1.2 255.255.255.255 NULL0 ///配置黑洞路由,避免产生路由环路
ip route-static202.1.1.3 255.255.255.255 NULL0 //配置黑洞路由,避免产生路由环路
#
nat address-group 1 202.1.1.2 202.1.1.3//地址池中配置两个公网IP地址
policy interzone trust untrust outbound //安全策略
policy 1
action permit //动作为允许
policy source 192.168.1.0 0.0.0.255//匹配条件
#
nat-policy interzone trust untrust outbound //nat策略
policy 1
action source-nat //动作为进行源NAT转换
policy source 192.168.1.0 0.0.0.255//匹配条件
address-group 1 no-pat //引用NAT地址池并指定转换方式为No-PAT
AR1上接口上配置上ip地址
验证
display firewall session table
10:01:38 2017/08/13
Current Total Sessions : 1
http v*n:public -->public 192.168.1.3:2056[202.1.1.2:2056]-->210.1.1.2:80
————————————————————————————————————————————
display firewallserver-map
10:02:05 2017/08/13
server-map item(s)
------------------------------------------------------------------------------
No-Pat, 192.168.1.3[202.1.1.2] -> any,Zone: ---
Protocol: any(Appro:---), Left-Time: 00:11:36, Addr-Pool: 1
v*n: public ->public
No-Pat Reverse, any ->202.1.1.2[192.168.1.3], Zone: untrust
Protocol: any(Appro:---), Left-Time: --:--:--, Addr-Pool: ---
v*n: public ->public
正向server-map表的作用是保证特定私网用户访问Internet时,可以快速转换地址。
返向server-map表的作用保证internet用户主动访问私网用户的报文,命中server-map表,直接进行地址转换,