NAT
NAT產生背景:
- IPv4地址日漸枯竭
- IPv6技術不能立即大面積替換
- NAT技術主要應用是實現大量的私網地址對少量公網地址的轉換。保障通信在基礎上節約IP地址資源。
NAT類型
NAT有三種類型:
-
靜態 NAT ( Static NAT )( 一對一 )。將內部網絡的私有IP地址轉換爲公有IP地址,IP地址對是一對一的,是一直不變的。
-
動態地址 NAT ( Pooled NAT )(多對多)。將內部網絡的私有 IP 地址轉換爲公用 IP 地址時,IP 地址是不確定,隨機的。所有被授權訪問 Internet 的私有 IP 地址可隨機轉換爲任何指定合法的 IP 地址。也就是說,只要指定哪些內部地址可以進行轉換,以及用哪些合法地址作爲外部地址時,就可以進行動態 NAT 轉換。動態 NAT 是在路由器上配置一個外網 IP 地址池,當內部有計算機需要和外部通信時,就從地址池裏動態的取出一個外網 IP,並將他們的對應關係綁定到 NAT 表中,通信結束後,這個外網 IP 才被釋放,可供其他內部 IP 地址轉換使用,這個 DHCP 租約 IP 有相似之處。 當 ISP 提供的合法 IP 地址略少於網絡內部的計算機數量時。可以採用動態轉換的方式。
-
網絡地址端口轉換 NAPT(Network Address Port Translation)(Port-Level NAT)( 多對一 )。改變外出數據包的源端口並進行端口轉換,採用端口多路複用方式。內部網絡的所有主機均可共享一個合法外部 IP 地址實現對 Internet 的訪問,可以最大限度地節約 IP 地址資源。同時,也可以隱藏網絡內部的所有主機,有效避免來自 Internet 的攻擊。因此,目前網絡中應用最多的就是 PAT 規則。這是最常用的 NAT 技術,也是 IPv4 能夠維持到今天的最重要的原因之一,它提供了一種多對一的方式,對多個內網 IP 地址,邊界路由可以給他們分配一個外網 IP,利用這個外網 IP 的不同端口和外部進行通信。NAPT 與 動態NAT 不同,它將內部連接映射到外部網絡中的一個單獨的 IP 地址上,同時在該地址上加上一個由 NAT 設備選定的端口號。
NAPT 是使用最普遍的一種轉換方式,在 HomeGW 中也主要使用該方式。它又包含兩種轉換方式:SNAT和DNAT。
(1) 源NAT(Source NAT,SNAT):修改數據包的源地址。源NAT改變第一個數據包的來源地址,它永遠會在數據包發送到網絡之前完成,數據包僞裝就是一具SNAT的例子。
(2) 目的NAT(Destination NAT,DNAT):修改數據包的目的地址。Destination NAT剛好與SNAT相反,它是改變第一個數據懈的目的地地址,如平衡負載、端口轉發和透明代理就是屬於DNAT。
SNAT:
內部地址要訪問公網上的服務時(如web訪問),內部地址會主動發起連接,由路由器或者防火牆上的網關對內部地址做個地址轉換,將內部地址的私有IP轉換爲公網的公有IP,網關的這個地址轉換稱爲SNAT,主要用於內部共享IP訪問外部。
DNAT:
當內部需要提供對外服務時(如對外發布web網站),外部地址發起主動連接,由路由器或者防火牆上的網關接收這個連接,然後將連接轉換到內部,此過程是由帶有公網IP的網關替代內部服e79fa5e98193e78988e69d8331333366303236務來接收外部的連接,然後在內部做地址轉換,此轉換稱爲DNAT
NAT技術分類
源NAT(基於源地址轉換)
- 地址池方式
- 出接口地址池方式(Easy IP)
服務器映射
- 靜態映射(NAT server)
- 目的NAT
no-pat(動態NAT,實現多個一對一):只對源地址進程轉換,不轉換端口
源NAT
源NAT 地址池
NAT地址池是一些連續的IP地址集合,當來自私網的報文通過地址轉換到公網IP時,將會選擇地址池中的某個地址作爲轉換後的地址
- 創建NAT地址池的命令爲:
nat address-group address-group-name
section [ section-id | section-name ] start-address end-address
nat-mode { pat | no-pat } - 例:
[USG] nat address-group testgroup1
[USG-nat-address-group-testgroup1] section 1.1.1.10 1.1.1.15
[USG-nat-address-group-testgroup1] nat-mode pat
no-pat和pat
NAPT與NAT的區別在於,NAPT不僅轉換IP包中的IP地址,還對IP包中TCP和UDP的Port進行轉換。這使得多臺私有網主機利用1個NAT公共IP就可以同時和公共網進行通信。
- 不帶端口轉換的地址池方式,也叫動態NAT(no-pat),此種方式爲一對一的IP地址轉換,端口不進行轉換
192.168.1.1 ——》 155.133.87.1
192.168.1.2 ——》 155.133.87.2
192.168.1.3 ——》 155.133.87.3
192.168.1.4 ——》 丟棄
- 帶端口轉換的地址池方式(PAT,也叫NAPT,也叫靜態NAT),將不同的內部地址映射到同一公有地址的不同端口號上,實現多對一地址轉換。
192.168.1.1 ——》 155.133.87.1:7111
192.168.1.2 ——》 155.133.87.1:7112
192.168.1.3 ——》 155.133.87.1:7113
出接口地址方式(Easy IP)
出接口地址方式也稱爲Easy IP,即直接使用接口的公網地址作爲轉換後的地址,不需要配置NAT地址池。轉換時同時轉換地址和端口,即可實現多個私網地址共用外網接口的公網地址的需求。 (根據路由器上出接口的公網IP 地址實現與私網IP 地址之間的映射)
源NAT策略
源NAT配置案例
實驗:左邊的防火牆是5500,右邊的防火牆是6000
動態NAT
USG6000v
1.創建安全區域,接口劃分到安全區域
[fw2]firewall zone trust
[fw2-zone-trust]add int g1/0/0
[fw2-zone-trust]q
[fw2]firewall zone untrust
[fw2-zone-untrust]add int g1/0/1
[fw2-zone-untrust]q
[fw2]int g1/0/0
[fw2-GigabitEthernet1/0/0]ip add 10.1.1.254 24
[fw2-GigabitEthernet1/0/0]int g1/0/1
[fw2-GigabitEthernet1/0/1]ip add 110.1.1.2 24
2.創建地址池(這裏就創建一個地址)
[fw2]nat address-group one
[fw2-address-group-one]section 110.1.1.10 110.1.1.10
[fw2-address-group-one]mode no-pat global
3.源NAT策略
[fw2]nat-policy
[fw2-policy-nat]rule name nopat
[fw2-policy-nat-rule-nopat]source-zone trust
[fw2-policy-nat-rule-nopat]destination-zone untrust
[fw2-policy-nat-rule-nopat]action ?
nat Indicate the rule action NAT
no-nat Indicate the rule action NO-NAT
[fw2-policy-nat-rule-nopat]action nat address-group one
4.安全策略放行
[fw2]security-policy
[fw2-policy-security]rule name pc2_pc3_policy
[fw2-policy-security-rule-pc2_pc3_policy]source-zone trust
[fw2-policy-security-rule-pc2_pc3_policy]destination-zone untrust
[fw2-policy-security-rule-pc2_pc3_policy]source-address 10.1.1.1 32
[fw2-policy-security-rule-pc2_pc3_policy]destination-address 110.1.1.3 32
[fw2-policy-security-rule-pc2_pc3_policy]service icmp
[fw2-policy-security-rule-pc2_pc3_policy]action permit
- Ping測試,PC2 ping PC3,查看防火牆的會話表
![在這裏插入圖片描述]()
5500
1.創建安全區域,接口劃分到安全區域
[fw1]firewall zone trust
[fw1-zone-trust]add int g0/0/1
[fw1-zone-trust]q
[fw1]firewall zone untrust
[fw1-zone-untrust]add int g0/0/2
[fw1-zone-untrust]q
[fw1]int g0/0/1
[fw1-GigabitEthernet0/0/1]ip add 10.1.1.254 24
[fw1-GigabitEthernet0/0/1]int g0/0/2
[fw1-GigabitEthernet0/0/2]ip add 110.1.1.1 24
2.創建地址池(這裏就創建一個地址)
[fw1]nat address-group 1 110.1.1.11 110.1.1.11
3.源NAT策略
[fw1]nat-policy interzone trust untrust outbound
[fw1-nat-policy-interzone-trust-untrust-outbound]policy 0
[fw1-nat-policy-interzone-trust-untrust-outbound-0]policy source 10.1.1.0 0.0.0.
255
[fw1-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
[fw1-nat-policy-interzone-trust-untrust-outbound-0]address-group 1 no-pat
4.安全策略放行
[fw1]policy interzone trust untrust outbound
[fw1-policy-interzone-trust-untrust-outbound]policy 0
[fw1-policy-interzone-trust-untrust-outbound-0]policy source 10.1.1.1 0
[fw1-policy-interzone-trust-untrust-outbound-0]policy destination 110.1.1.3 0
[fw1-policy-interzone-trust-untrust-outbound-0]policy service service-set icmp
[fw1-policy-interzone-trust-untrust-outbound-0]action permit
- Ping測試,PC1 ping PC3,查看防火牆的會話表
![在這裏插入圖片描述]()
兩種防火牆的比較
NAT ALG實現原理
NAT ALG(Application Level Gateway,應用級網關)是特定的應用協議的轉換代理,可以完成應用層數據中攜帶的地址及端口號信息的轉換
普通NAT實現了對UDP或TCP報文頭中的的IP地址及端口轉換功能,但對應用層數據載荷中的字段無能爲力, 在許多應用層協議中,比如多媒體協議(H.323、SIP等)、FTP、SQLNET等,TCP/UDP載荷中帶有地址或者端口信息,這些內容不能被NAT進行有效的轉換,就可能導致問題。而NAT ALG(Application Level Gateway,應用層網關)技術能對多通道協議進行應用層報文信息的解析和地址轉換,將載荷中需要進行地址轉換的IP地址和端口或者需特殊處理的字段進行相應的轉換和處理,從而保證應用層通信的正確性。
例如,FTP應用就由數據連接和控制連接共同完成,而且數據連接的建立動態地由控制連接中的載荷字段信息決定,這就需要ALG來完成載荷字段信息的轉換,以保證後續數據連接的正確建立。
將PORT報文進行了ALG處理,針對應用層的私有地址進行轉換,轉換成8.8.8.11。這樣服務器就得到公網地址。 服務器就與8.8.8.11進行連接。
NAT ALG配置案例
將前一個實驗的PC3換成Server1
Server1啓動FTP服務,驗證ALG技術。 ALG技術在USG 6000V是默認開啓detect ftp的
5500
policy interzone trust untrust outbound
policy 1
policy source 10.1.1.1 0
policy destination 110.1.1.3 0
policy service service-set ftp
action permit
firewall interzone trust untrust
detect ftp 開啓ASPF 和 NAT ALG。 這兩個的命令是共用的
6000
security-policy
rule name ftp_policcy
source-zone trust
destination untrust
source-address 10.1.1.1 32
destination-address 110.1.1.3 32
service ftp
action permit
左邊的客戶端主動模式登錄
服務器映射及目的NAT技術
- NAT No-PAT 多個一對一
- NAPT(PAT) 多對一
- easy IP
NAT Server 內部服務器
內部服務器(Nat Server)功能是使用一個公網地址來代表內部服務器對外地址。
在防火牆上,專門爲內部的服務器配置一個對外的公網地址來代表私網地址。對於外網用戶來說,防火牆上配置的外網地址就是服務器的地址。
基於NAT Server的配置
配置內部Web和FTP服務器。
[USG] nat server wwwserver protocol tcp global 202.169.10.1 80 inside 192.168.20.2 8080
[USG] nat server ftpserver protocol tcp global 202.169.10.1 ftp inside 192.168.20.3 ftp
❤NAT Server配置案例
需求:
- WEB服務器對外地址 202.1.1.10
- FTP服務器對外地址 202.1.1.11
- 所有客戶可訪問所有服務器
- 客戶端訪問外網使用EASY-IP方式轉換
左邊的防火牆是5500,右邊的防火牆是6000
左邊的防火牆 5500
1.創建安全區域,劃分接口,配置IP地址
創建安全區域
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/3
#
firewall zone dmz
set priority 50
add interface GigabitEthernet0/0/2
#
配置IP地址
interface GigabitEthernet0/0/1
ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.1.2.254 255.255.255.0
#
interface GigabitEthernet0/0/3
ip address 202.1.1.1 255.255.255.0
#
2.源NAT策略,創建easy ip
nat-policy interzone trust untrust outbound
policy 0
action source-nat
policy source 10.1.1.0 0.0.0.255
easy-ip GigabitEthernet0/0/3
3.安全策略放行
[fw2]policy interzone trust untrust outbound
[fw2-policy-interzone-trust-untrust-outbound]policy 0
[fw2-policy-interzone-trust-untrust-outbound-0]policy source 10.1.1.1 0
[fw2-policy-interzone-trust-untrust-outbound-0]policy destination 202.1.1.11 0
[fw2-policy-interzone-trust-untrust-outbound-0]policy service service-set ftp
[fw2-policy-interzone-trust-untrust-outbound-0]action permit
FTP,就要配置ASPF,NAT ALG啓動
[fw2]firewall interzone trust untrust
[fw2-interzone-trust-untrust]detect ftp
[fw2]policy interzone trust dmz outbound
[fw2-policy-interzone-trust-dmz-outbound]policy 0
[fw2-policy-interzone-trust-dmz-outbound-0]policy source 10.1.1.1 0
[fw2-policy-interzone-trust-dmz-outbound-0]policy destination 10.1.2.1 0
[fw2-policy-interzone-trust-dmz-outbound-0]policy service service-set http
[fw2-policy-interzone-trust-dmz-outbound-0]action permit
4.對外提供web服務,nat server
[fw2]nat server one protocol tcp global 202.1.1.10 inside 10.1.2.1 www
5.對端防火牆的放行,untrust到dmz的放行
[fw2]policy interzone untrust dmz inbound
[fw2-policy-interzone-dmz-untrust-inbound]policy 0
[fw2-policy-interzone-dmz-untrust-inbound-0]policy source 202.1.1.2 0
[fw2-policy-interzone-dmz-untrust-inbound-0]policy destination 10.1.2.1 0
[fw2-policy-interzone-dmz-untrust-inbound-0]policy service service-set http
[fw2-policy-interzone-dmz-untrust-inbound-0]action permit
爲什麼第五步,目標destination是10.1.2.1呢?而不是202.1.1.10?
因爲在做安全策略檢查之前,先要做服務器映射轉換,已經變爲私網地址了。 如圖所示可知道順序
右邊的防火牆 6000
1.創建安全區域,劃分接口,配置IP地址
創建安全區域
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/3
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2
#
配置IP地址
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 10.1.2.254 255.255.255.0
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 202.1.1.2 255.255.255.0
#
2.源NAT策略,創建easy ip
[fw1]nat-policy
[fw1-policy-nat]rule name easy_ip
[fw1-policy-nat-rule-easy_ip]source-zone trust
[fw1-policy-nat-rule-easy_ip]destination-zone untrust
[fw1-policy-nat-rule-easy_ip]source-address 10.1.1.0 24
[fw1-policy-nat-rule-easy_ip]action nat easy-ip
[fw1-policy-nat-rule-easy_ip]enable
Info: The policy is enabled successfully.
3.安全策略放行
[fw1]security-policy
[fw1-policy-security]rule name ftp_policy
[fw1-policy-security-rule-ftp_policy]source-zone trust
[fw1-policy-security-rule-ftp_policy]destination-zone dmz
[fw1-policy-security-rule-ftp_policy]source-address 10.1.1.1 32
[fw1-policy-security-rule-ftp_policy]destination-address 10.1.2.1 32
[fw1-policy-security-rule-ftp_policy]service ftp
[fw1-policy-security-rule-ftp_policy]action permit
[fw1-policy-security-rule-ftp_policy]q
[fw1-policy-security]rule name http_policy
[fw1-policy-security-rule-http_policy]source-zone trust
[fw1-policy-security-rule-http_policy]destination untrust
[fw1-policy-security-rule-http_policy]source-address 10.1.1.1 32
[fw1-policy-security-rule-http_policy]destination-address 202.1.1.10 32
[fw1-policy-security-rule-http_policy]service http
[fw1-policy-security-rule-http_policy]action permit
4.對外提供web服務,nat server
[fw1]nat server FTP protocol tcp global 202.1.1.11 ftp inside 10.1.2.1 ftp
5.對端防火牆的放行,untrust到dmz的放行
[fw1]security-policy
[fw1-policy-security]rule name ftp_policy
[fw1-policy-security-rule-ftp_policy]source-zone untrust
[fw1-policy-security-rule-ftp_policy]source-address 202.1.1.1 32
[fw1-policy-security-rule-ftp_policy]dis this
#
rule name ftp_policy
source-zone trust
source-zone untrust
destination-zone dmz
source-address 10.1.1.1 32
source-address 202.1.1.1 32
destination-address 10.1.2.1 32
service ftp
action permit
#
測試驗證
目的NAT
- 在系統視圖下,進入安全區域視圖,配置目的NAT
firewall zone [ name ] zone-name
destination-nat acl-number address ip-address [ port port-number - 舉例:
[USG] firewall zone trust
[USG-zone-trust] destination-nat 3333 address 202.1.1.2
補充:黑洞路由
黑洞路由爲了防止環路,那環路是怎麼在防火牆上產生的?
因爲有NAT地址池,用戶在global側發起訪問內網主機,防火牆一般沒有做反向NAT inbound地址池,因此找不到NAT會話,沒法通過NAT會話找到內網主機IP和對應這個IP的路由,就不能轉發報文到內部主機,那防火牆只好通過自己的默認路由往global轉發,而globa的路由是是指向路由器的,這樣就是一個環路。爲了避免global側初始發起的訪問內部主機的報文形成環路,將NAT group的地址做一條黑洞路由,這樣globa側的訪問帶來的環路就解決了。
NO-PAT 配置黑洞路由
第一種情況:如果地址池地址和出接口不在同一段,會發現環路
解決方案: 必須配置黑洞路由
ip route-static 1.1.1.2 255.255.255.255 NULL0
第二種情況:如果地址池地址和出接口在同一個網段,不會發生環路,但會多一個ARP請求
解決方案:建議配置黑洞路由
NAPT 配置黑洞路由
兩種情況:
第一種情況:地址池地址與出接口在不同網段,會形成環路
解決方案:配置路由黑洞
ip route-static 1.1.1.2 255.255.255.255 NULL0
第二種情況:地址池地址與出接口在同一個網段,不會形成環路,但會多一個ARP請求
解決方案:建議配置黑洞路由
easy-ip 不用配置黑洞路由
Nat-server 配置黑洞路由
分情況:
粗礦的NAT-Server:可以匹配會話表。
nat server nat_server 0 global 1.1.1.1 inside 10.1.1.1 -------不需要黑洞路由
精確的NAT-Server :只能匹配tcp:80端口。其他不能匹配。所以有環。
nat server nat_server 0 protocol tcp global 1.1.1.1 80 inside 10.1.1.1 80 ------需要黑洞路由
不同的網段(公網地址與出接口在不同的網段)一定要配置黑洞路由,相同的網段呢(公網地址與出接口在同一網段)建議配置黑洞路由
解決方案:
ip route-static 1.1.1.1 255.255.255.255 NULL0 (不同段的)
ip route-static 202.100.1.200 255.255.255.255 NULL0(同一個段的)
————————————————
版權聲明:本小節黑洞路由內容爲CSDN博主「曹世宏的博客」的原創文章
————————————————
雙向NAT
雙向NAT應用場景的通信雙方訪問對方的時候目的地址都不是真實的地址,而是NAT轉換後的地址。 一般來說,內網屬於高優先級區域,外網屬於低優先級區域。當低優先級安全區域的外網用戶訪問內部服務器的公網地址時,會將報文的目的地址轉換爲內部服務器的私網地址,但內部服務器需要配置到該公網地址的路由。
如果要避免配置到公網地址的路由,則可以配置從低優先級安全區域到高優先級安全區域方向的NAT。同一個安全區域內的訪問需要作NAT,則需要配置域內NAT功能。
域間雙向NAT(NAT Server + 源NAT)
爲了簡化配置服務器至公網的路由,可在NAT Server基礎上,增加源NAT配置。
當配置NAT Server時,服務器需要配置到公網地址的路由纔可正常發送迴應報文。如果要簡化配置,避免配置到公網地址的路由,則可以對外網用戶的源IP地址也進行轉換,轉換後的源IP地址與服務器的私網地址在同一網段。這樣內部服務器會缺省將回應報文發給網關,即設備本身,由設備來轉發迴應報文。
域內雙向NAT
防火牆將用戶的請求報文的目的地址轉換成FTP服務器的內網IP地址,源地址轉換成用戶對外公佈的IP地址。
防火牆將FTP服務器迴應報文的源地址轉換成對外公佈的地址,目的地址轉換成用戶的內網IP地址。
-
若需要地址轉換的雙方都在同一個安全域內,那麼就涉及到了域內NAT的情況。當FTP服務器和用戶均在Trust區域,用戶訪問FTP服務器的對外的公網IP地址,這樣用戶與FTP服務器之間所有的交互報文都要經過防火牆。這時需要同時配置內部服務器和域內NAT。
-
域內NAT是指當內網用戶和服務器部署在同一安全區域的情況下,仍然希望內網用戶只能通過訪問服務器的公網地址的場景。在實現域內NAT過程中,既要將訪問內部服務器的報文的目的地址由公網地址轉換爲私網地址,又需要將源地址由私網地址轉換爲公網地址。
用戶訪問公網,公網在轉爲私網服務器地址
6000
在上面基礎上
security-policy
rule name ftp_policy
destination-address 202.1.1.11 32
❤NAT應用場景——NAT雙出口
NAT 雙出口實例配置思路:
劃分安全區域 ——》 設置域間安全策略 ——》 配置靜態路由 ——》 配置源NAT策略 ——》 配置NAT Server策略
1.劃分安全區域,配置IP
創建安全區域。 爲ISP1和ISP2分別創建一個安全區域。
[USG6000V1]firewall zone name ISP1
[USG6000V1-zone-ISP1]set priority 10
[USG6000V1]firewall zone name ISP2
[USG6000V1-zone-ISP2]set priority 20
配置各接口的IP地址,並將其加入相應的安全區域。
[USG6000V1]firewall zone ISP1
[USG6000V1-zone-ISP1]add int g1/0/1
[USG6000V1-zone-ISP1]q
[USG6000V1]firewall zone ISP2
[USG6000V1-zone-ISP2]add int g1/0/2
[USG6000V1-zone-ISP2]q
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.254 24
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 1.1.1.1 24
[USG6000V1-GigabitEthernet1/0/1]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 2.2.2.1 24
R1:
interface GigabitEthernet0/0/0
ip address 100.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 1.1.1.2 255.255.255.0
R2:
interface GigabitEthernet0/0/0
ip address 101.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 2.2.2.2 255.255.255.0
#
靜態路由
[USG6000V1]ip route-static 100.1.1.0 24 1.1.1.2
[USG6000V1]ip route-static 101.1.1.0 24 2.2.2.2
2.fw1配置靜態路由,保證路由可達 。
ip route-static 100.1.1.0 255.255.255.01.1.1.2
ip route-static 101.1.1.0 255.255.255.02.2.2.2
3.配置NAT SERVER,創建內網服務器的公網IP與私網IP的映射關係
nat server ispl zone ispl protocol tcp global 1.1.1.10 ftp inside 10.1.1.2 ftp
nat server isp2 zone isp2 protocol tcp global 2.2.2.10 ftp inside 10.1.1.2 ftp
4.放行FTP流量,配置域間安全轉發策略。開啓ISP1和ISP2區域到內網方向策略。
security-policy
rule name ftp_policy
source-zone ISP1
source-zone ISP2
destination-zone trust
source-address 100.1.1.1 32
source-address 101.1.1.1 32
destination-address 10.1.1.2 32
service ftp
action permit
5.配置內網到外網的nat,配置源NAT策略
nat-policy
rule name easyip1
source-zone trust
destination-zone ISP1
egress-interface GigabitEthernet1/0/1
source-address 10.1.1.1 32
action nat easy-ip
rule name easyip2
source-zone trust
#destination-zone ISP2
egress-interface GigabitEthernet1/0/2
source-address 10.1.1.1 32
action nat easy-ip
6.放行icmp流量
security-policy
rule name icmp_policy
source-zone trust
destination-zone ISP1
destination-zone ISP2
source-address 10.1.1.1 32
destination-address 100.1.1.1 32
destination-address 101.1.1.1 32
service icmp
action permit
#