04 HCIP NAT配置实验

admin

04 HCIPNAT配置实验

1. FTP两个通道
   
2. 1、控制通道，负责FTP相关指令的传递。
   
3. 2、数据通道，负责具体文件传输。
   
4. 
   
5. FTP的工作模式
   
6. 控制通道仅通过客户端发起。
   
7. 数据通道
   
8. 1、主动模式，由服务器发起。
   
9. 2、被动模式，由客户端发起。
   
10. 先配置FW的接口地址
    
11. [fw]interface gigabitethernet 1/0/0
    
12. [fw-GigabitEthernet1/0/0]ip address 10.1.1.1 24
    
13. [fw-GigabitEthernet1/0/0]service-manage ping permit
    
14. [fw-GigabitEthernet1/0/0]interface gigabitethernet 1/0/1
    
15. [fw-GigabitEthernet1/0/1]ip address 100.1.1.2 24
    
16. [fw-GigabitEthernet1/0/1]quit
    
17. 接口加入安全区域
    
18. [fw]firewall zone trust
    
19. [fw-zone-trust]add interface GigabitEthernet 1/0/0
    
20. [fw-zone-trust]quit
    
21. [fw]firewall zone untrust
    
22. [fw-zone-untrust]add interface gigabitethernet 1/0/1
    
23. [fw-zone-untrust]quit
    
24. 配置NAT地址池
    
25. [fw]nat address-group zurkj  //创建NAT地址池
    
26. [fw-address-group-zurkj]mode no-pat global  //配置模式为NO-PAT
    
27. [fw-address-group-zurkj]section 100.1.1.100 100.1.1.102   //地址范围
    
28. [fw-address-group-zurkj]quit
    
29. 配置NAT策略—NO-PAT模式（不转换端口，仅一对一转换地址）
    
30. [fw]nat-policy   //创建NAT策略
    
31. [fw-policy-nat]rule name zurkj  //命名
    
32. [fw-policy-nat-rule-zurkj]source-zone trust
    
33. [fw-policy-nat-rule-zurkj]source-address 10.1.1.0 24
    
34. [fw-policy-nat-rule-zurkj]destination-zone untrust
    
35. [fw-policy-nat-rule-zurkj]action source-nat address-group zurkj   //执行动作
    
36. [fw-policy-nat-rule-zurkj]quit
    
37. [fw-policy-nat]quit
    
38. 配置安全策略
    
39. [fw-policy-security]rule name t-u
    
40. [fw-policy-security-rule-t-u]source-zone trust
    
41. [fw-policy-security-rule-t-u]source-address 10.1.1.0 24
    
42. [fw-policy-security-rule-t-u]destination-zone untrust
    
43. [fw-policy-security-rule-t-u]action permit
    
44. [fw-policy-security-rule-t-u]quit
    
45. [fw-policy-security]quit
    
46. 配置默认路由
    
47. [fw]ip route-static 0.0.0.0 0.0.0.0 100.1.1.1
    
48. 查看会话
    
49. [fw1]display firewall server-map
    
50. [fw1]display firewall session table
    
51. [fw1]display firewall session table verbose
    
52. 
    
53. 改NAT地址池为PAT转换模式（对端口与地址同时进行转换）
    
54. [fw]nat-policy
    
55. [fw-policy-nat]rule name zurkj
    
56. [fw-policy-nat-rule-zurkj]undo action source-nat
    
57. [fw-policy-nat-rule-zurkj]quit
    
58. [fw-policy-nat]quit
    
59. [fw]nat address-group zurkj
    
60. [fw-address-group-zurkj]mode pat
    
61. [fw-address-group-zurkj]quit
    
62. [fw]nat-policy
    
63. [fw-policy-nat]rule name zurkj
    
64. [fw-policy-nat-rule-zurkj]action source-nat address-group zurkj
    
65. [fw-policy-nat-rule-zurkj]quit
    
66. [fw-policy-nat]quit
    
67. 清除会话表
    
68. [fw]diagnose   //诊断
    
69. [fw-diagnose]reset firewall server-map   //重置防火墙会话表
    
70. Warning:Reseting server-map table will affect the system's normal service.
    
71. Continue? [Y/N]:y
    
72. [fw-diagnose]quit
    
73. 
    
74. 改NAT为EASY IP转换模式
    
75. [FW-policy-nat-rule-zurkj]action source-nat easy-ip

复制代码

1. 配置黑洞路由
   
2. [FW]ip route-static 100.1.1.0 255.255.255.0 null 0  //配置静态路由 把访问地址池的地址下一跳指向无效
   
3. 第二种方法：
   
4. [FW]nat address-group zurkj
   
5. [FW-address-group-zurkj]route enable  //配置路由开启
   
6. 这样当外网用户Ping NAT地址池中的地址时流量将被丢弃。

复制代码