配置双向NAT举例(域内NAT和内部服务器)
组网需求
 

如图1所示,FTP服务器和PC均在USG5300统一安全网关的Trust安全区域,FTP服务器的IP地址为10.1.1.2,PC机的IP地址为10.1.1.5,二者通过交换机与统一安全网关相连。需求如下:

FTP服务器对外公布的地址为200.1.1.10,对外使用的端口号为21。

当PC访问FTP服务器的公网IP地址时,PC机的地址也进行地址转换。这样做的目的是保证PC机和FTP服务器交互的所有报文能够经过USG5300,并处理正确。


操作步骤
[USG5300] interface GigabitEthernet 0/0/0
[USG5300-GigabitEthernet0/0/0] ip address 10.1.1.1 24

[USG5300] firewall zone trust
[USG5300-zone-trust] add interface GigabitEthernet 0/0/0
[USG5300] nat server global 200.1.1.10 inside 10.1.1.2
[USG5300] nat address-group 1 200.1.1.20 200.1.1.50

[USG5300] nat-policy zone trust
[USG5300-nat-policy-zone-trust] policy 1
[USG5300-nat-policy-zone-trust-1] policy source 10.1.1.0 0.0.0.255
[USG5300-nat-policy-zone-trust-1] action source-nat
[USG5300-nat-policy-zone-trust-1] address-group 1
[USG5300-nat-policy-zone-trust-1] quit
[USG5300-nat-policy-zone-trust] quit

[USG5300-zone-trust] detect ftp
[USG5300-zone-trust] quit 



PC访问FTP服务器,通过查看USG5300的Session表来验证配置是否正确。 

[USG5300] display firewall session table verbose02:43:34  2008/08/13
Current total sessions : 1 
 FTP  ×××: public -> public                                                    
  Zone: local -> trust  TTL: 00:00:10  Left: 00:00:03                           
  Interface: G0/0/0  Nexthop: 10.1.1.2  MAC: 00-e0-4c-83-8c-e1                  
  <-- packets:10 bytes:626   --> packets:14 bytes:627                           
  10.1.1.2:2039[200.1.1.10:2039]-->10.1.1.33:12304[200.1.1.2:1864]  
              
对于域内NAT,是为了内网的用户能通过公网地址访问服务器,如果不做域内NAT,则服务器对内网访问的回应的目标地址则是内网的地址,其数据流不会经过USG,其数据连接也不成功。所以要在USG的安全区域内做域内NAT。使得内网用户通过公网访问服务器,其数据在USG上的目标地址转换为私网服务器地址,源地址转换为公网地址。(此地本人感觉源地址转换的地址池可以为任意,只要网段不冲突即可。)