《网络搭建与应用赛项技能实训》实训21 网络地址转换NAT.pptxVIP

实训21 网络地址转换NAT目录c o n t e n t s实训目的0102背景描述实训原理03实训步骤0405赛点链接06易错分析0 1实训目的0 1 实训目的实训目的了解防火墙NAT工作原理、运行机制；熟练掌握防火墙NAT配置。0 2背景描述0 2 背景描述背景描述达通集团网络管理员计划在出口防火墙BJ-FW1800进行NAT配置，实现总部业务技术支持部、服务器管理部和分部SSID DTJT-Internet可以访问公网Internet，实现外网用户通过公网Internet可以访问达通集团官方网站。0 2 背景描述实训拓扑0 2 背景描述需求分析在出口防火墙BJ-FW1800进行SNAT配置，将总部业务技术支持部、服务器管理部私网IP转 换为公网IP 218.26.10.1，将分部私网DTJT-Internet转换为公网IP 218.26.10.2；进行DNAT配置，达通集团官方网站私网IP为192.168.50.100、公网访问IP为218.26.10.3，实现外网用户通过公网Internet进行访问。0 3实训原理0 3 实训原理网络地址转换（Network Address Translation）简称为NAT，是将IP 数据包包头中的IP 地址转换为另一个IP 地址的协议。当IP 数据包通过路由器或者设备时，路由器或者设备会把IP 数据包的源IP 地址和/或者目的IP 地址进行转换。在实际应用中，NAT 主要用于私有网络访问外部网 络或外部网络访问私有网络的情况。NAT 有以下优点： 第一，通过使用少量的公有IP地址代表多数的私有IP地址，缓解了可用IP地址空间枯竭的速度； 第二，NAT 可以隐藏私有网络，达到保护私有网络的目的0 4实训步骤0 4 实训步骤数据规划部门名称地址或网段公网地址技术支持部192.168.40.0/24218.26.10.1/24分部私网192.168.131.0/24218.26.10.2/24集团官方网站192.168.50.100/24218.26.10.3/250 4 实训步骤实训步骤DCFW-1800(config)# address addr1DCFW-1800(config-addr)# ip 192.168.40.0/24 DCFW-1800(config-addr)# exitDCFW-1800(config)# address addr2DCFW-1800(config-addr)# ip 192.168.131.0/24 DCFW-1800(config-addr)# exitDCFW-1800(config)# ip vrouter trust-vrDCFW-1800(config-vrouter)# snatrule id 1 from addr1 to any service any trans-to 218.26.10.1 mode dynamicportDCFW-1800(config-vrouter)# snatrule id 2 from addr2 to any service any trans-to 218.26.10.2mode dynamicportDCFW-1800(config-vrouter)# dnatrule id 1 from any to 218.26.10.3 service any trans-to 192.168.50.100DCFW-1800(config-vrouter)# exit0 5赛点链接0 5点链接2018年国安全策略配置第三题总部与分部统一通过ISP机房FW-2访问外网，配置PAT，实现总部行政与信息技术业务、 分部SSID FenZhiXX-Internet业务访问外网；0 6易错解析0 6 易错解析易错解析每一条SNAT 都有唯一一个ID号。流量进入设备时，设备对SNAT 规则进行顺序查找，然后 按照查找到的相匹配的第一条规则对流量的源IP 做NAT 转换。但是，ID 的大小顺序并不是规则匹配顺序。使用show snat命令列出的规则顺序才是规则匹配顺序。用户可以移动已有的SNAT 规则从而改变规则的排列顺序.THANKS