#yyds干货盘点#HCIE-Security Day8（3个实验理解双向NAT）

少年恃险若平地，独倚长剑凌清秋。这篇文章主要讲述#yyds干货盘点#HCIE-Security Day8：3个实验理解双向NAT相关的知识，希望能为你提供帮助。

目录

??外网用户访问内网服务器??
??私网用户访问内部服务器??
同时转换报文的源信息和目的信息，不是单独的功能，而是源NAT和目的NAT的组合，双向NAT是针对同一条流，在其经过防火墙时同时转换报文的源地址和目的地址。
主要用在两个场景
外网用户访问内网服务器
避免在内部服务器上设置网关，简化配置。
服务器可以有多个网卡，分别接入不同的网络，但是只能有一个网关。如果网关配置给了同一私网内的用户，那么就无法给联入公网的网卡配置网关。所以从公网到达私网服务器的报文，如果源地址依然是公网地址，那么在回包时服务器不知道回给谁，有网关的情况下一定会回给网关，但是没有网关就不知道回给谁，所以需要将公网来的数据包的源地址转换成私网同网段地址，服务器在回包时就会回给这个地址，这个地址本身是虚拟的，没有实际对应的设备，只是存在于fw的私网地址池中，那么服务器回包时，对于同网段地址，就可以通过arp请求去得到mac地址，这个arp请求的回应一定是fw，mac地址也是fw的私网侧接口mac地址，所以fw一定要和该内网服务器公网接口同网段。
具体过程

fw对匹配双向nat策略的报文进行地址转换
fw从目的nat地址池中选择一个私网ip替换报文目的地址，使用新的端口号替换报文的目的端口号。
判断是否满足安全策略
从源nat地址池中选择一个私网ip地址替换报文源地址，使用新的端口号替换报文源端口号，建立会话表，转发报文到私网
Fw收到私网回包后，查找会话表，还原源目ip地址和端口号，转发报文到公网。

实验一：公网用户通过双向NAT访问内部服务器（源NAT+静态目的NAT）
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务，需要在FW上配置目的NAT。除了公网接口的IP地址外，公司还向ISP申请了IP地址（1.1.10.10，1.1.10.11）作为内网服务器对外提供服务的地址。同时，为了简化内部服务器的回程路由配置，通过配置源NAT策略，使内部服务器缺省将回应报文发给FW。网络环境如图所示，其中Router是ISP提供的接入网关。

注意server都不配置网关
?
操作步骤
1、配置接口ip地址，划分安全区域
2、配置路由

ip route-static 1.1.2.0 255.255.255.0 1.1.1.254

3、配置安全策略

security-policy rule name 1 source-zone untrust destination-zone trust destination-address 10.2.0.0 mask 255.255.255.0 service ftp service http service icmp action permit

4、配置nat地址池

nat address-group 1 0 mode pat section 0 10.2.0.20 10.2.0.21

destination-nat address-group a 0 section 10.2.0.10 10.2.0.11

5、配置nat策略

nat-policy rule name 1 source-zone untrust destination-address range 1.1.10.10 1.1.10.11 service ftp service http service icmp action source-nat address-group 1 action destination-nat static address-to-address address-group a

验证和分析
在fw私网侧抓包
检查session table

< f1> dis fire session table 2022-02-10 12:44:35.600 Current Total Sessions : 1 icmp VPN: public --> public 1.1.2.1:256[10.2.0.21:2048] --> 1.1.10.10:2048[10.2.0.10:2048] 【#yyds干货盘点#HCIE-Security Day8（3个实验理解双向NAT）】

实验二：公网用户通过双向NAT访问内部服务器（源NAT+动态目的NAT）
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了防止大量外部用户集中访问某一个特定的服务器，需要在FW上配置动态目的NAT。除了公网接口的IP地址外，公司还向ISP申请了一个IP地址（1.1.10.10）作为内网服务器对外提供服务的地址。同时，为了简化内部服务器的回程路由配置，通过配置源NAT策略，使内部服务器缺省将回应报文发给FW。网络环境如图所示，其中Router是ISP提供的接入网关。
?
操作步骤
1、配置接口ip地址，划分安全区域
2、配置路由

ip route-static 1.1.2.0 255.255.255.0 1.1.1.254

3、配置安全策略

security-policy rule name 1 source-zone untrust destination-zone trust destination-address 10.2.0.0 mask 255.255.255.0 service ftp service http service icmp action permit

4、配置nat地址池

nat address-group 1 0 mode pat section 0 10.2.0.20 10.2.0.21

destination-nat address-group a 0 section 10.2.0.10 10.2.0.11

5、配置nat策略

nat-policy rule name 1 source-zone untrust destination-address 1.1.10.10 32 service ftp service http service icmp action source-nat address-group 1 action destination-nat address-group a

验证和分析

[f1]dis fire session table http VPN: public --> public 1.1.2.1:2057[10.2.0.21:2048] --> 1.1.10.10:80[10.2.0.10:80] ftp VPN: public --> public 1.1.2.1:2052[10.2.0.21:2049] +-> 1.1.10.10:21[10.2.0.10:21] ftp-data VPN: public --> public 1.1.2.1:2053[10.2.0.21:2053] --> 1.1.10.10:2049[10.2.0.10:2049] [f1]dis fire server-map 2022-02-11 02:54:52.550 Current Total Server-map : 1 Type: ASPF, 1.1.2.1[10.2.0.21] -> 1.1.10.10:2049[10.2.0.10:2049], Zone:--- Protocol: tcp(Appro: ftp-data), Left-Time:00:00:10 Vpn: public -> public

可以看到，即使只有一个公网地址，需要映射为多台内网服务器，只需要配置动态目的nat，就免去了配置静态目的nat时的端口映射动作。
私网用户访问内部服务器
私网用户与内部服务器处于同一安全区域同一网段，私网用户希望像外网用户一样，通过公网地址来访问内部服务器的场景。
私网用户希望通过域名访问私网服务器，但是dns服务器在公网，从dns解析并缓存到本地的域名和ip地址映射表一定是映射的公网地址，所以必须通过公网地址访问。
另一种情况是，出差员工或者异地办公的员工，并不在意是否在企业网络中的trust区域还是untrust区域，也不会在意在某个区域需要使用公网地址还是私网地址访问企业内网。只给一个地址让他们记住，进行访问就行了。
具体过程

fw对匹配双向nat策略的报文进行地址转换
fw从目的nat地址池中选择一个私网ip替换报文目的地址，使用新的端口号替换报文的目的端口号
判断是否满足安全策略
从源nat地址池中选择一个公网ip地址替换报文源地址，使用新的端口号替换报文源端口号，建立会话表，转发报文到私网。
Fw收到私网回包后，查找会话表，欢迎源目ip地址和端口号，转发报文到公网。

实验三：私网用户使用公网地址访问内部服务器（源NAT+静态目的NAT）
需求和拓扑
某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务，需要在FW上配置目的NAT。另外，和两台服务器同在一个安全区域，并且IP地址同在一个网段的PC D也需要访问这两台服务器。由于公司希望PC D可以使用公网地址访问内部服务器，因此还需要在FW上配置源NAT功能。
除了公网接口的IP地址外，公司还向ISP申请了两个公网IP地址，其中1.1.10.10作为内网服务器对外提供服务的地址，1.1.1.11作为PC D地址转换后的公网地址。网络环境如图所示，其中Router是ISP提供的接入网关。

操作步骤
1、配置接口ip地址，划分安全区域
2、配置安全策略

security-policy rule name 1 source-zone trust destination-zone trust destination-address 10.2.0.0 mask 255.255.255.0 service ftp service http service icmp action permit

3、配置nat地址池

nat address-group 1 0 mode pat section 0 1.1.1.11 1.1.1.11

destination-nat address-group a 0 section 10.2.0.10 10.2.0.11

5、配置nat策略

nat-policy rule name 1 source-zone trust source-address 10.2.0.12 mask 255.255.255.255 destination-address 1.1.10.10 mask 255.255.255.255 service protocol tcp destination-port 3000 to 3001 action source-nat address-group 1 action destination-nat static port-to-address address-group a 21

验证和分析

< f1> dis fire server-map 2022-02-10 13:49:17.190 Current Total Server-map : 2 Type: ASPF, 10.2.0.12[1.1.1.11] -> 1.1.10.10:2065[10.2.0.10:2065], Zone:--- Protocol: tcp(Appro: ftp-data), Left-Time:00:00:08 Vpn: public -> public Type: ASPF, 10.2.0.12[1.1.1.11] -> 1.1.10.10:2049[10.2.0.11:2049], Zone:--- Protocol: tcp(Appro: ftp-data), Left-Time:00:00:13 Vpn: public -> public < f1> dis fire session table 2022-02-10 13:49:18.220 Current Total Sessions : 4 ftp VPN: public --> public 10.2.0.12:2056[1.1.1.11:2049] +-> 1.1.10.10:3000[10.2.0.10:21] ftp VPN: public --> public 10.2.0.12:2060[1.1.1.11:2048] +-> 1.1.10.10:3001[10.2.0.11:21] ftp-data VPN: public --> public 10.2.0.12:2061[1.1.1.11:2061] --> 1.1.10.10:2049[10.2.0.11:2049] ftp-data VPN: public --> public 10.2.0.12:2059[1.1.1.11:2059] --> 1.1.10.10:2065[10.2.0.10:2065]