实验拓扑

1. Cloud1 模拟 PC，绑定物理机虚拟网卡实现物理机接入网络，IP 地址为 192.168.10.3
2. Server1 提供 Http 服务，使用默认端口 80，IP 地址为 192.168.10.2
3. FW1 的 GE1/0/1 口作为内网侧，IP 地址为 192.168.10.1
4. FW2 的 GE1/0/0 口作为外网侧，IP 地址为 192.168.30.1。原先规划 IP 为 192.168.20.1，后发现与公司网络地址冲突。

实验目的

Cloud1 通过 Server1 映射到外网的地址 192.168.30.1:8080 来访问 Server1 的 Http 服务

实验步骤

Cloud1 配置

1. 绑定物理机虚拟网卡实现物理机接入网络，IP 地址为 192.168.10.3

Server1 配置

1. 配置服务器地址，子网掩码以及网关等相关信息
2. 配置并开启服务器 Http 服务

防火墙配置

防火墙初始配置

1. 防火墙第一次进入会要求修改密码，需要按要求修改默认密码。华为防火墙默认账号密码为 admin/Admin@123
2. 配置管理口地址，这里用 GE1/0/1 做管理口，需要开启 https 管理方式并将管理口加入 trust 安全域才能通过 Web 界面进行访问
3. 完成上述配置之后就可以通过物理机 Web 界面的管理方式对防火墙进行后续配置了

防火墙接口配置

1. 将 GE1/0/0 的 IP 地址配置成 192.168.30.1/24 并配置安全域为 untrust
2. 将 GE1/0/1 的 IP 地址配置成 192.168.10.1/24 并配置安全域为 trust，GE1/0/1 口作为管理口开启 https、ping、ssh 三种管理方式

地址对象配置

1. 配置内网 IP 地址对象的 IP 地址范围 192.168.10.0/24

安全策略配置

1. 配置安全策略允许 trust 安全域的内网 IP 地址进行任意访问

服务器地址映射

1. 将内网服务器 80 端口映射到防火墙出口的 8080 端口

配置 NAT 策略

1. 配置 NAT 策略将所有经防火墙转发的内网 IP 流量做源地址转换

结果验证

配置 NAT 策略的情况下

通过外网 IP 地址 192.168.30.1 的 8080 端口可以打开相关页面，在交换机 LSW1 的 GE0/0/2 口抓包结果如下，可以看到源地址是 192.168.10.1 也就是防火墙的内网侧接口地址。

在交换机 LSW1 的 GE0/0/3 口抓包结果如下，可以看到 Could1 发给防火墙 FW1 是有回包的。

未配置 NAT 策略的情况下

通过外网 IP 地址 192.168.30.1 的 8080 端口无法打开相关页面，在交换机 LSW1 的 GE0/0/2 口抓包结果如下，可以看到目的地址被做了转换，但源端口依然是 192.168.10.3

在交换机 LSW1 的 GE0/0/3 口抓包结果如下，可以看到只有 Could1 发给 FW1 的包，但是没有 FW1 回给 Could1 的包。同时，抓取源地址是 192.168.10.2 的数据包可以看到相关内容。

总结与收获

通过 arp 表排查发现网络地址冲突。

对相关理论有一个实践性验证。