防火墙 NAT 功能【实验名称】防火墙 NAT 功能。【实验目的】配置防火墙的静态 NAT、PAT 、LSNAT ，验证 NAT 功能配置【背景描述】你是公司的网络管理员，为了对外屏蔽公司内部网络的网络地址，同时也为了使公司内众多的计算机利用少数的几个公网 IP 地址访问外部网络，你决定在防火墙做网络地址转换(NAT)，现在需要在防火墙上做适当配置。本实验以 PAT 配置为示例，其他类型的 NAT 配置与此类似。【实现功能】对外屏蔽公司内部网络地址，提高网络安全性，并利用少数公有 IP 地址使公司员工都能访问外部网络。【实验设备】RG-WALL150 防火墙（1 台） 、路由器 R2624（1 台） 、PC（两台） 、直连线（2 条）【实验拓扑】PC防 火 墙路 由 器服 务 器192.68.10/24 (转 换 到 外 部 地 址20.12.3.1)210.0/2420.12.3.0/24.1.2.2.2.1.1F0F1F0F图 1【实验步骤】步骤 1. 在路由器上配置接口 IP 地址。Red-Giant(config)#interface fastEthernet 1/0Red-Giant(config-if)#ip address 202.102.13.2 255.255.255.0Red-Giant(config-if)#no shutdownRed-Giant(config-if)#exitRed-Giant(config)#interface fastEthernet 1/1Red-Giant(config-if)#ip address 210.0.0.2 255.255.255.0Red-Giant(config-if)#no shutdown步骤 2. 在防火墙上配置网卡。1、在主菜单中点选“系统”“网卡”命令。图 22、选择“网卡”后出现界面如图 91 所示。图 33、选择“给区域分配网卡” ，在其中内网和外网网卡。图 44、在图 93 所示的界面中给内外接口分配 IP 地址及掩码。图 5步骤 3. 在防火墙上设置规则。1、在主菜单中选择“策略 规则”命令。图 62、选“编辑 插入规则”命令。图 73、选择“确定 应用”命令。验证测试：验证 PC 可以访问防火墙的 F0 和 F1 端口。图 8步骤 4. 在防火墙上配置 PAT。在主菜单中选择 NAT，在出现的窗口中选择 “启用 NAT”，在 PAT 项下面选择“启用 PAT”，配置“网卡”为 eth1(既防火墙外部网口 )，配置“PAT 地址”为地址转换用的公网地址 202.102.13.1（此处用 eth1 地址） ，配置“Source 地址”为内部源地址 192.168.1.0/24，具体配置界面如图 97 所示。图 9配置缺省网关：图 10验证测试：验证 PC 可以访问服务器，但服务器不能访问 PC 机。图 11上面结果显示 PC 可以访问服务器，但服务器不能访问 PC 机。图 12上面结果显示服务器不能访问 PC 机，这是因为防火墙对内部网地址已经做了 PAT 地址转换。【注意事项】1、防火墙与 PC 机、路由器之间都用交叉线连接；2、在安装防火墙时须在字符配置方式先做一些初始配置，如设置管理员帐号和 IP；3、为了进入防火墙的图形化配置界面，须安装一个 Java 程序（j2re-1_4_0-win-i 或更高版本） ；4、配置 PAT 时用公网地址，可以是防火墙的外部接口地址，也可以是同一网段的其他地址。