USG2160配置双向NAT案例

发布时间:  2014-07-30 浏览次数:  472 下载次数:  0
问题描述
客户希望实现双向NAT,即内网用户访问外网设备时,源目地址均要配置转换。
告警信息
处理过程
通过在实验室设备测试,配置如下:
nat address-group 2 bb 30.0.0.11 30.0.0.20
nat server 0 zone trust global 40.0.0.20 inside 20.0.0.20 no-reverse

nat-policy interzone trust untrust outbound
policy 2                                
  action source-nat
  policy source 10.0.0.0 0.0.0.255
  policy destination 20.0.0.0 0.0.0.255
  address-group bb no-pat

查询会话如下:
  <USG2100>display firewall session table verbose
15:16:13  2014/06/16
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:15
  Interface: GigabitEthernet0/0/1  NextHop: 20.0.0.1  MAC: 00-00-5e-00-01-04
  <--packets:1 bytes:60   -->packets:1 bytes:60
  10.0.0.2:1[30.0.0.11:1]-->40.0.0.20:2048[20.0.0.20:2048]
根因
客户需求在金融领域应用较多,USG防火墙没有直接的双向NAT配置,实现有一定难度。
客户组网如下:
      SW1-------USG1-------专网------------USG2------Server

SW1----USG1:10.0.0.0
USG1--USG2:20.0.0.0
Server映射在USG2上
客户需求如下:
      客户内网访问USG2对端服务器时,访问40.0.0.0(用户访问网段)转换为20.0.0.0,源地址转换成30.0.0。
数据转换前:
       源10.0.0.0--------->目的40.0.0.0
数据转换后:
       源30.0.0.0---------->目的20.0.0.0
客户的目的是通过使用双向NAT的方式,避免专网上有过多的路由,同时保护客户端的服务器两个网段。
建议与总结
针对这种特征场景,配置时注意数据包处理流程即可。

END