4.安全与NAT策略-2

2.NAT

2.1 NAT的类型

• 源NAT：用于内部用户上网
• 目的NAT--用于私有网络中的服务器为公有网络提供服务

2.2 源NAT的类型

• 静态IP
  • 一对一固定转换（双向NAT：出去转源，进来转目的）
  • 源IP改变，源端口不变（10.0.0.1:1025--->202.100.1.1:1025）
• 动态IP
  • 源IP一对一动态转换，端口不变
• 动态IP/Port（DIPP）
  • 多个客户端使用同一个公网ip，但是源端口不同 (10.0.0.1:1025--->10.0.0.1:11025)
  • 转换后的地址可以是接口地址也可以是指定的IP

2.3 DIPP NAT OverSubscription

相同IP/Port映射可以被用于多个并发会话，前提是主机连接不同的目的地。意思是当不同的内部主机访问公网不同资源做NAT时，可以映射到相同IP的同一端口。

• 设置
  【Device】-【Setup】-【Session】-【Session Settings】
  

2.4 LAB 6 Static IP转换

• 实验目的：通过本实验可以掌握静态NAT的配置
• 实验需求：DMZ Win2012（192.168.1.200）转换到Outside Win2012_NAT(202.100.1.200)

• 实验过程：

  • 创建tag（可以通过TAG来对IP做分类）
    【Object】-【Tags】
    
  • 创建Object
    【Object】-【Addresses】
    
    
    
  • 创建NAT策略
    【Policy】-【NAT】

  
  说明：勾选Bi-directional时，启用双向NAT，当用户从outside访问200.1.100.200时，可以自动转换为DMZ的192.168.1.200.思科默认为双向NAT

  • 创建安全策略：
    DMZ---->Outside
    

    Outside--->DMZ
    
    

说明：由于Check Security Policy在NAT Policy Apply之前，所以这里的目的地址是转换前的地址。

• 实验结论：

  • 当Win2012访问outside区域网络时，通过Monitor查看NAT流量。
  • 当通过outside区域网络访问DMZ Win2012时，通过Monitor查看NAT流量。

  2.5 LAB7 动态IP转换

• 实验目的：通过本实验可以掌握动态NAT的配置
• 实验需求：当inside-1区域的PC1去往internet时，转换为202.100.1.120-202.100.1.130
• 实验过程：
  • 创建object
    
  • 创建NAT策略
    

说明：这里我们选择none

• 实验结论：

  2.6 LAB8 DIPP

  • 实验目的：通过本实验可以掌握PA DIPP配置
  • 实验需求：当inside-1的10.1.2.0/24去往outside时，转换为PA1通往E0/2（outside）的接口IP
• 实验过程：
  • 创建object
    

• 创建NAT

• 实验结论：

  2.7 LAB9 目的NAT配置

• 实验目的：通过本实验可以掌握PA DNAT配置
• 实验需求：当访问PA1外部接口IP（202.100.1.10）的TCP/2323端口时，将会被转换到R1（10.1.1.1）的TCP/23号端口

• 实验过程：

  • 创建Object
    【objects】-【Addresses】
    
    【objects】-【Services】
    

  • 创建DNAT策略
    
    
    
  • 创建安全策略
    
    
    
    
• 实验结果：
  • 测试从GatewayRouter TELNET 202.100.1.10 2323进行测试