如何配置公司网络源地址转换？

学习目标

·理解SNAT的原理

·掌握SNAT的配置方法

任务引言

防火墙是防护内外网的屏障，通过SNAT(Source Network Address Translation，源地址转换)将内部IP数据包的源地址转换成外网地址，在实现正常通信之余，达到保护内网的作用。

知识引入

SNAT是在内网地址向外访问时，将发起访问的内网IP地址转换为指定的IP地址，这使得内网的多部主机通过一个有效的公网IP地址访问外部网络。

工作任务——公司网络源地址转换配置

【工作任务背景】

企业A总公司在设置防火墙后，要求位于企业防火墙后端的内部客户端拥有访问因特网的权限，因此需要在防火墙Edgefw上进行源地址转换配置，以保证内网对外网的正常通信。拓扑如图5－2－1所示。

图5－2－1　公司网络SNAT配置

【工作任务分析】

PC1和PC2分别模拟总公司内部客户端和Internet客户端，Server1和Server2分别模拟总公司内部服务器和Internet服务器。当配置成功后，PC1能ping通公共网络和访问公共网络中的Web资源。详细参数见表5－2－1和表5－2－2。

表5－2－1　网络设备信息

表5－2－2　PC信息

【任务实现】

1.根据所学知识，完成拓扑中网络设备的主机名、网络地址的设定。

2.在防火墙设备上设置必要的路由，实现网络拓扑通信。

3.在Edgefw上创建network－object，并启用NAT规则。

4.标记ICMP流量，允许ICMP reply数据包返回。(www.xing528.com)

5.在客户端PC1上测试Internet访问。如图5－2－2所示，使用“ping”工具进行连通性测试；如图5－2－3所示，使用浏览器进行Web页面浏览测试。

图5－2－2　Internet ping测试

图5－2－3　InternetW eb测试

6.在Edgefw上检查NAT转换状态。

问题探究

1.简述SNAT的应用。

2.简述默认路由与安全策略在配置SNAT时的作用。

知识拓展

object network可以包含主机、网络IP地址、IP范围或者完全限定根域名(FQDN)。

1.定义单个主机。

2.定义主机范围。

3.定义一个网段。

4.定义一个完全限定根域名。

项目拓展

利用SNAT配置知识，完成分公司到公网的地址转换。