私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)

1.需求

某工作室在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet，需要在FW上配置源NAT策略。由于需要上网的用户少且访问明确的目的Server，FW采用NAT No-PAT的地址转换方式，将匹配上NAT策略的私网地址进行一对一转换。工作室向ISP申请了6个IP地址（1.1.1.10～1.1.1.15）作为私网地址转换后的公网地址。

2.配置思路

1. 配置接口IP地址和安全区域，完成网络基本参数配置。
2. 配置安全策略，允许私网指定网段与Internet进行报文交互。
3. 配置NAT地址池，不开启端口转换。
4. 配置源NAT策略1，配置目的规则（目的IP或者安全区域）实现私网指定网段访问目的Server时自动进行源地址转换。
5. 配置源NAT策略2，配置目的规则（目的IP或者安全区域）实现私网指定网段访问非目的Server时不进行源地址转换。如果不精确配置不转换的流量，同一个用户（IP）命中NAT策略1后，进行NAT转换。继续访问非目的Server，也会进行NAT转换。
6. 在FW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。
7. 在私网主机上配置缺省网关，使私网主机访问Internet时，将流量发往FW。
8. 在Router上配置静态路由，使从Internet返回的流量可以被正常转发至FW。

3.操作步骤

1. 配置接口IP地址和安全区域，完成网络基本参数配置。

#配置接口GigabitEthernet 1/0/1的IP地址

#system-view

#interface GigabitEthernet 1/0/1

#ip address 10.1.1.1 24

#quit

#配置接口GigabitEthernet 1/0/2的IP地址。

#interface GigabitEthernet 1/0/1

#ip address 1.1.1.1 24

#quit

#将接口GigabitEthernet 1/0/1加入Trust区域。

#firewall zone trust

#add interface GigabitEthernet 1/0/1

#quit

2.配置安全策略，允许私网指定网段与Internet进行报文交互

#security-policy

#rule name policy1

#source-zone trust

#destination-zone untrust

#source-address 10.1.1.0 24

#action permit

#quit

#nat address-group addressgroup1

#mode no-pat global

#section 0 1.1.1.10 1.1.1.15

#route enable

#quit

4.配置源NAT策略1实现私网指定网段访问目的Server时自动进行源地址转换

#nat-policy

#rule name policy_nat1

#source-zone trust

#destination-zone untrust

#source-address 10.1.1.0 24

#destination-address 1.1.2.2 24

#action source-nat address-group addressgroup1  

#quit

5.配置源NAT策略2实现私网指定网段访问非目的Server时不进行源地址转换

#nat-policy

#rule name policy_nat2

#source-zone trust

#destination-zone untrust

#source-address 10.1.1.0 24

#destination-address any

#action no-nat  

#quit

6.在防火墙上配置默认路由

#ip route-static 0.0.0.0 0.0.0.0  1.1.1.254

7.在内网主机上配置网关，具体过程省略

8.在Router上配置到NAT地址池地址（1.1.1.10～1.1.1.15）的静态路由，下一跳为1.1.1.1，使从Internet返回的流量可以被正常转发至FW。
通常需要联系ISP的网络管理员来配置此静态路由。

#ip route-static 1.1.1.10 255.255.255.0 1.1.1.1

#ip route-static 1.1.1.11 255.255.255.0 1.1.1.1

#ip route-static 1.1.1.12 255.255.255.0 1.1.1.1

#ip route-static 1.1.1.13 255.255.255.0 1.1.1.1

#ip route-static 1.1.1.14 255.255.255.0 1.1.1.1

#ip route-static 1.1.1.15 255.255.255.0 1.1.1.1

4.结果验证