4.安全与NAT策略-2
2.NAT
创新互联是一家专业提供西湖企业网站建设,专注与网站制作、网站设计、H5高端网站建设、小程序制作等业务。10年已为西湖众多企业、政府机构等服务。创新互联专业网络公司优惠进行中。
2.1 NAT的类型
- 源NAT:用于内部用户上网
- 目的NAT--用于私有网络中的服务器为公有网络提供服务
2.2 源NAT的类型
- 静态IP
- 一对一固定转换(双向NAT:出去转源,进来转目的)
- 源IP改变,源端口不变(10.0.0.1:1025--->202.100.1.1:1025)
- 动态IP
- 源IP一对一动态转换,端口不变
- 动态IP/Port(DIPP)
- 多个客户端使用同一个公网ip,但是源端口不同 (10.0.0.1:1025--->10.0.0.1:11025)
- 转换后的地址可以是接口地址也可以是指定的IP
2.3 DIPP NAT OverSubscription
相同IP/Port映射可以被用于多个并发会话,前提是主机连接不同的目的地。意思是当不同的内部主机访问公网不同资源做NAT时,可以映射到相同IP的同一端口。
- 设置
【Device】-【Setup】-【Session】-【Session Settings】
2.4 LAB 6 Static IP转换
- 实验目的:通过本实验可以掌握静态NAT的配置
- 实验需求:DMZ Win2012(192.168.1.200)转换到Outside Win2012_NAT(202.100.1.200)
实验过程:
- 创建tag(可以通过TAG来对IP做分类)
【Object】-【Tags】 - 创建Object
【Object】-【Addresses】
- 创建NAT策略
【Policy】-【NAT】
说明:勾选Bi-directional时,启用双向NAT,当用户从outside访问200.1.100.200时,可以自动转换为DMZ的192.168.1.200.思科默认为双向NAT创建安全策略:
DMZ---->OutsideOutside--->DMZ
- 创建tag(可以通过TAG来对IP做分类)
说明:由于Check Security Policy在NAT Policy Apply之前,所以这里的目的地址是转换前的地址。
实验结论:
- 当Win2012访问outside区域网络时,通过Monitor查看NAT流量。
- 当通过outside区域网络访问DMZ Win2012时,通过Monitor查看NAT流量。
2.5 LAB7 动态IP转换
- 实验目的:通过本实验可以掌握动态NAT的配置
- 实验需求:当inside-1区域的PC1去往internet时,转换为202.100.1.120-202.100.1.130
- 实验过程:
- 创建object
- 创建NAT策略
- 创建object
说明:这里我们选择none
实验结论:
2.6 LAB8 DIPP
- 实验目的:通过本实验可以掌握PA DIPP配置
- 实验需求:当inside-1的10.1.2.0/24去往outside时,转换为PA1通往E0/2(outside)的接口IP
- 实验过程:
- 创建object
- 创建object
- 创建NAT
实验结论:
2.7 LAB9 目的NAT配置
- 实验目的:通过本实验可以掌握PA DNAT配置
- 实验需求:当访问PA1外部接口IP(202.100.1.10)的TCP/2323端口时,将会被转换到R1(10.1.1.1)的TCP/23号端口
实验过程:
创建Object
【objects】-【Addresses】
【objects】-【Services】- 创建DNAT策略
- 创建安全策略
- 实验结果:
- 测试从GatewayRouter TELNET 202.100.1.10 2323进行测试
当前题目:4.安全与NAT策略-2
分享网址:http://azwzsj.com/article/ghjsos.html