手把手教你用eNSP模拟器配置防火墙源NAT
Part1需求说明
配置PC1和PC2的IP地址
设置防火墙GE1/0/0和GE1/0/1的IP地址
将接口加入防火墙安全区域
配置域间包过滤策略
配置NAT地址池,公网地址范围2.2.2.2-2.2.2.5
配置NAT policy
验证结果,从PC1 ping PC2地址,使用display firewall session table命令查看NAT转换情况。
Part2配置过程
1配置PC1和PC2的IP地址
根据拓扑图,PC1配置如下IP地址、掩码、网关,配置完后记得点击应用:
根据拓扑图,PC2配置如下IP地址、掩码、网关,配置完后记得点击应用:
2设置防火墙GE1/0/0和GE1/0/1的IP地址
首次登陆,防火墙默认账号为admin
,密码为Admin@123
进行设置防火墙的接口IP地址:
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/0]ip binding vpn-instance default
[USG6000V1-GigabitEthernet1/0/0]qu
[USG6000V1]
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 2.2.2.1 24
[USG6000V1-GigabitEthernet0/0/0]qu
[USG6000V1]
3将接口加入防火墙安全区域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1-zone-trust]add interface GigabitEthernet 0/0/0
[USG6000V1-zone-trust]
4配置域间包过滤策略
配置策略如下:
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy-permit01
[USG6000V1-policy-security-rule-policy-permit01]source-address 192.168.1.0 24
[USG6000V1-policy-security-rule-policy-permit01]destination-address 2.2.2.0 24
[USG6000V1-policy-security-rule-policy-permit01]action permit
[USG6000V1-policy-security-rule-policy-permit01]quit
[USG6000V1-policy-security]quit
[USG6000V1]
5配置NAT地址池,公网地址范围2.2.2.2-2.2.2.5
[USG6000V1]nat address-group add-group01
[USG6000V1-address-group-add-group01]section 0 2.2.2.2 2.2.2.5
[USG6000V1-address-group-add-group01]mode pat
[USG6000V1-address-group-add-group01]qu
[USG6000V1]
6配置NAT policy
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name nat-policy01
[USG6000V1-policy-nat-rule-nat-policy01]source-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-nat-policy01]destination-address 2.2.2.0 24
[USG6000V1-policy-nat-rule-nat-policy01]action source-nat address-group add-group01
[USG6000V1-policy-nat-rule-nat-policy01]quit
[USG6000V1-policy-nat]quit
[USG6000V1]
7验证结果
从PC1 ping PC2地址,使用display firewall session table命令查看NAT转换情况。
上图,我们可以看到192.168.1.10这个源IP地址被替换成2.2.2.4这个IP了。
接下来,我们也可以在PC1和PC2接口上抓包,观察他们的源IP地址是否有变化:
通过上图,小白们应该能对NAT源地址转换有个更清晰的认识了吧!