防火牆的雙向nat

3.18.3  內網用戶通過NAT地址訪問外網配置舉例（地址重疊）

1. 組網需求

·     某公司內網網段地址為192.168.1.0/24，該網段與要訪問的外網Web服務器所在網段地址重疊。

·     該公司擁有202.38.1.2和202.38.1.3兩個外網IP地址。

·     需要實現，內網用戶可以通過域名訪問外網的Web服務器。

2. 組網圖

圖3-5 內網用戶通過NAT訪問外網配置組網圖（地址重疊）

‌

3. 配置思路

這是一個典型的雙向NAT應用，具體配置思路如下。

·     內網主機通過域名訪問外網Web服務器時，首先需要向外網的DNS服務器發起DNS查詢請求。由於外網DNS服務器回複給內網主機的DNS應答報文載荷中的攜帶的Web服務器地址與內網主機地址重疊，因此NAT設備需要將載荷中的Web服務器地址轉換為動態分配的一個NAT地址。動態地址分配可以通過入方向動態地址轉換實現，載荷中的地址轉換需要通過DNS ALG功能實現。

·     內網主機得到外網Web服務器的IP地址之後（該地址為臨時分配的NAT地址），通過該地址訪問外網Web服務器。由於內網主機的地址與外網Web服務器的真實地址重疊，因此也需要為其動態分配一個NAT地址，可以通過出方向動態地址轉換實現。

·     外網Web服務器對應的NAT地址在NAT設備上沒有路由，因此需要手工添加靜態路由，使得目的地址為外網服務器NAT地址的報文出接口為GigabitEthernet1/0/2。