组网需求

公司通过SA 系列安全网关将网络划分为三个域：Trust 域、DMZ 域和Untrust域。员工工作网段处于Trust 域，分配私网地址10.1.1.0/24，并且具有最高安全级别；WWW 服务器和FTP 服务器处于DMZ 域，分配私网地址10.1.2.0/24，并且能够被内部员工和外部用户访问；外部网络处于Untrust 域。下图为该示例的组网图：

现有以下两个需求：

需求1：要求公司Trust 域的10.1.1.0/24 网段用户可以访问Internet，而该域其它网段的PC 机不能访问Internet。提供的访问外部网络的合法IP
地址范围从202.1.1.3 到202.1.1.5。由于公网地址不多，需要使用NAT功能进行地址复用。

需求2：提供两个内部服务器供外部网络用户访问，其中，FTP 服务器的内部IP 地址为10.1.2.2，端口为21，WWW 服务器的内部IP 地址为10.1.2.3，端口为80；对外映射的IP 地址为202.1.1.6。

配置步骤

第一步：将安全网关各接口分配安全域并配置IP 地址。
hostname# configure
hostname(config)# interface ethernet0/1
hostname(config-if-eth0/1)# zone trust 
hostname(config-if-eth0/1)# ip address 10.1.1.1/24 （0/1接口配置为trust接口，ip地址为10.1.1.1/24）
hostname(config-if-eth0/1)# exit
hostname(config)# interface ethernet0/2
hostname(config-if-eth0/2)# zone untrust
hostname(config-if-eth0/2)# ip address 202.1.1.2/29
hostname(config-if-eth0/2)# exit
hostname(config)# interface ethernet0/3
hostname(config-if-eth0/3)# zone dmz
hostname(config-if-eth0/3)# ip address 10.1.1.1/24
hostname(config-if-eth0/3)# exit
hostname(config)#

第二步：配置地址条目。
hostname(config)# address addr1
hostname(config-addr)# ip 10.1.1.1/24   （定义名为addr1的地址簿的ip地址为10.1.1.1/24）
hostname(config-addr)# exit
hostname(config)# address addr2
hostname(config-addr)# range 202.1.1.3 202.1.1.5
hostname(config-addr)# exit
hostname(config)# address test1
hostname(config-addr)# ip 202.1.1.6/32
hostname(config-addr)# exit
hostname(config)# address test2
hostname(config-addr)# ip 10.1.2.2/32
hostname(config-addr)# exit
hostname(config)# address test3
hostname(config-addr)# ip 10.1.2.3/32
hostname(config-addr)# exit

第三步：配置安全策略规则。
hostname(config)# policy from trust to untrust
hostname(config-policy)# rule from addr1 to any service any permit  （允许addr1地址的ip访问外部网络）
Rule id 1 is created.
hostname(config-policy)# exit
hostname(config)# policy from trust to dmz
hostname(config-policy)# rule from any to any service any permit    （允许内部地址的ip访问DMZ网段）
Rule id 2 is created.
hostname(config-policy)# exit
hostname(config)# policy from untrust to dmz
hostname(config-policy)# rule from any to any service http permit   （允许外网的ip访问DMZ的http服务）
Rule id 3 is created.
hostname(config-policy)# rule from any to any service ftp permit   （允许外网的ip访问DMZ的htp服务）
Rule id 4 is created.
hostname(config-policy)# exit

第四步：配置NAT 规则。
hostname(config)# nat
hostname(config-nat)# snatrule from addr1 to any eif ehternet0/2  （定义源nat）
trans-to address-book addr2 mode dynamicport sticky
rule id=1
hostname(config-nat)# dnatrule from any to test1 service ftp  （定义21端口的目的NAT）
trans-to test2 port 21
rule id=2
hostname(config-nat)# dnatrule from any to test1 service http   （定义80端口的目的NAT）
trans-to test3 port 80
rule id=3
hostname(config-nat)# exit

以上就是Hillstone sa一个简单的nat配置实例，是通过命令模式配置的，当然也可以通过web界面进行配置，效果是一样的。

原创文章如转载，请注明：
转载自醉生梦死的博客
原文地址：http://www.liusuping.com/post/hillstone-sa-nat-shili.html