华为防火墙目的NAT

目的NAT学习
qq3421609946

1.概述

目的NAT就是防火墙中数据包在转换时，转换的是目的IP地址，不是源IP地址。
在移动终端访问无线网络时，如果缺省WAP网关地址于所在地运营商的WAP网关地址不一致时，可以在终端于WAP网关中间部署一台设备，并配属署目的NAT功能，使设备自动将转发给错误WAP网关地址的报文自动转发给正确的WAP网关。

2.网络拓扑图

2.首先进行网络基础配置

AR1

interface GigabitEthernet0/0/0
 ip address 192.168.0.100 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

AR2

interface GigabitEthernet0/0/0
 ip address 1.1.1.2 255.255.255.0

FW1

interface GigabitEthernet0/0/0
 alias GE0/MGMT
 ip address 192.168.0.1 255.255.255.0
 dhcp select interface
 dhcp server gateway-list 192.168.0.1//g0/0/0口不用配置，默认即是这样。
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0

3.防火墙NAT配置

（1）首先将G0/0/1口加入untrust区域

firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/1

（2）配置策略，允许trust区域和untrust区域通信

policy interzone trust untrust outbound
 policy 1
  action permit

（3）通过easy-ip方式配置NAT

nat-policy interzone trust untrust outbound
 policy 1
  action source-nat
  easy-ip GigabitEthernet0/0/1

（4）配置目的NAT
先配置访问控制列表

acl number 3000
 rule 1 permit ip source 192.168.0.0 0.0.0.255 destination 2.2.2.2 0//这里2.2.2.2是模拟内网终端访问错误的地址。

在firewall zone trust配置目的NAT

firewall zone trust
 set priority 85
 destination-nat 3000 address 1.1.1.2//目的地址转换，匹配ACL3000的流量转换至目的地址1.1.1.2
 add interface GigabitEthernet0/0/0

4.验证

在AR1上进行验证，ping2.2.2.2成功，实际是访问的1.1.1.2