NAT server+NAT inbound双向转换实验
1、根据拓扑连接网段,trust区域本实验没有用到,只用到了DMZ和UNtrust区域。
2、具体配置:
R2开启远程登录
user-interface v
user-interface vty 0 4
authentication-mode password
set authentication password cipher 666
ip route-static 200.1.1.0 24 192.168.2.254
R2]interface e0/0/0
ip add 192.168.2.1 24
防火墙基本配置
firewall zone untrust
add interface g0/0/2
firewall zone dmz
add interface g0/0/1
interface GigabitEthernet0/0/2
ip add 200.1.1.1 24
interface GigabitEthernet0/0/1
ip add 192.168.2.254 24
interface GigabitEthernet0/0/0
ip add 192.168.1.254 24
防火墙放行进到DMZ的telnet 流量
policy interzone dmz untrust inbound
policy 1
action permit
policy service service-set telnet
policy source any
policy destination 192.168.2.1 0
目的地址转换做NAT Server
nat server global 200.1.1.100 inside 192.168.2.1
先创建地址池
nat address-group 0 untodmz 192.168.2.100 192.168.2.100
源地址转换做NAT策略
nat-policy interzone dmz untrust inbound
policy 1
action source-nat
policy destination 192.168.2.1 0
address-group untodmz
做好源地址转换后,可以把DMZ的路由删除掉,因为做了源地址转换后,地址变成内网的地址,不需要配置路由,可以简化配置。
Undo ip route-static 200.1.1.0 24 192.168.2.254
在R1上telnet 200.1.1.100 到R2上
查看双向转换结果
display firewall session table
Current Total Sessions : 1
telnet×××:public --> public 200.1.1.2:49963-->200.1.1.100:23
我的课程首页http://edu.51cto.com/lecturer/1025688.html
加群学习讨论:32307012
页:
[1]