一、配置Easy IP方式的源NAT
源NAT(Source NAT):用来使多个私网用户能够同时访问Internet,根据应用场景又具体分为出接口地址方式和地址池方式。
① 出接口地址方式(Easy IP):私网主机直接借用公网接口的IP地址访问Internet,特别适用于动态获取公网接口IP地址的场景。
② 地址池方式:采用地址池中的公网地址为私网用户进行地址转换,适合大量的私网用户访问Internet的场景。
(1)Easy-ip方式的源NAT
要求:
内网172.16.10.0/24网段的计算机,通过配置在防火墙G1/0/6接口上地址222.199.6.1连接Internet。
设置IP地址和区域
使用web网页配置防火墙
设置地址对象
配置nat策略
配置安全策略
测试
-
防火墙将私网主机的 ICMP 请求源地址转换为
222.199.6.1,源端口也做了映射 -
目标始终为
222.199.6.2(公网测试目标) -
Easy IP NAT 策略生效,防火墙正确将私网地址转换为公网接口地址进行访问。
-
源地址已经是转换后的
222.199.6.1,说明 NAT 在抓包前已完成 -
ICMP 请求与响应一一对应,通信正常
二、no-PAT地址池方式的源NAT配置
no-pat:当内部主机访问外部网络时,防火墙或路由器将数据包的源 IP 地址替换为指定的公网 IP 地址,但保留原始的源端口号 。每个私网 IP 通常会静态或动态地映射到一个独立的公网 IP(或公网 IP 池中的某个 IP),即 一对一映射。
(2)0no-PAT地址池方式
要求:
内网172.16.10.0/24网段的计算机,通过在防火墙上配地址池方式连接Internet。
地址池采用no-PAT,不带端口转换的方式,即"一对一"地址转换。
防火墙配置:
创建地址池
配置nat策略
配置安全策略
测试
PC1专用一个公网ip访问外网
源地址已经是转换后的公网 IP,验证了 NAT 已生效。
-
私网地址
172.16.10.11被转换为公网地址222.199.6.10。 -
端口号(ICMP identifier)在转换前后完全相同 (例如
20606保持不变)。 -
目标地址
222.199.6.2,目标端口2048(ICMP 的 identifier,在防火墙会话表中以端口形式呈现)。 -
多条会话对应不同的 ICMP identifier,说明 PC1 发起了多个 ping 请求,每个请求使用不同的 identifier,NAT 转换后 identifier 不变。
-
这是 No-PAT 的典型特征:只转换 IP 地址,不修改端口号(或 ICMP identifier)。每个私网
-
IP 会独占一个公网 IP(此处
222.199.6.10),多个会话通过不同的端口号进行区分。
PC2占用一个公网地址访问外网
PC3访问外网
因为公网IP池只有两个ip,且已经映射在PC1和PC2上所以PC3没法通过映射公网地址去访问外网
Easy IP 与 No-PAT 的对比
| 对比项 | Easy IP | No-PAT |
|---|---|---|
| 转换内容 | IP + 端口 | 仅 IP |
| 公网 IP 消耗 | 1 个 IP 供全体内网使用 | 每个会话/主机需独占公网 IP |
| 映射关系 | 多对一 | 一对一(或动态独占) |
| 配置复杂度 | 低(无需地址池) | 中(需配置地址池或静态映射) |
| 适用场景 | 普通上网、大量用户出口 | 服务器发布、审计要求高、协议对端口敏感 |
| 端口保留 | 不保留(通常重写端口) | 保留原始端口 |