netscreen网络地址翻译nat方法总结和实验
Internet接入(NAT)实验报告
Internet接入(NAT)实验报告实验名称:Internet接入(NAT)实验实验目的:1. 了解网络地址转换(Network Address Translation,NAT)的概念和原理;2. 通过实验,掌握NAT的配置方法;3. 掌握使用NAT实现多个计算机共享一个公网IP地址。
实验环境:1. 一台具备多个网络接口的计算机;2. 路由器。
实验步骤:1. 配置计算机的网络接口,将其中一个接口连接到路由器的LAN口,将另一个接口连接到内部网络;2. 配置路由器的网络接口,将其中一个接口连接到计算机的LAN口,将另一个接口连接到公网;3. 配置计算机的网络接口的IP地址、子网掩码、网关;4. 配置路由器的网络接口的IP地址、子网掩码、网关;5. 启用计算机的NAT功能;6. 启用路由器的NAT功能;7. 在计算机上配置内部网络的计算机的IP地址、子网掩码、网关;8. 配置内部网络中的计算机的DNS服务器地址;9. 计算机连接到内部网络,并测试其能否通过NAT访问公网。
实验结果和分析:实验中,我们成功配置了计算机的网络接口,配置了路由器的网络接口,并启用了NAT功能。
内部网络的计算机能够通过NAT访问公网,实现了多个计算机共享一个公网IP地址的功能。
实验中可能遇到的问题及解决方案:1. 配置IP地址、子网掩码、网关时,需要确保各个设备的网段要一致,否则无法进行网络通信;2. 配置NAT功能时,需确保计算机和路由器的防火墙不会阻止NAT功能的正常运行;3. 测试过程中,需确保计算机和路由器的网络接口能够正常工作,否则可能导致无法访问公网。
实验总结:通过本次实验,我们学习了网络地址转换的概念和原理,并且实际配置了一台计算机和路由器的NAT功能,实现了多个计算机共享一个公网IP地址的功能。
这对于家庭或办公室内部网络中多台计算机需要共享一个公网IP地址的情况下非常有用,可以有效地提高网络资源的利用率。
华为ENSP实验指南】网络地址转换NAT技术原理和实验
华为ENSP实验指南】网络地址转换NAT技术原理和实验简介I P有公网与私网的区分,通常内网使用私网I P,I n t e r n e t使用公网I P地址,而使用私网地址的计算机访问公网时需要使用N A T技术。
网络地址转换(N e t w o r k A d d r e s s T r a n s l a t i o n,简称N A T),N A T分为静态N A T、动态N A T、网络地址端口转换。
网络拓扑静态NAT原理与配置静态N A T就是一个私网地址对应一个公网地址,它不能节约公网地址,在实际应用中一般很少采用这种方式,常见的就是服务器使用。
静态N A T1对1的主机通信,通常用于服务器R1<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sys AR1[AR1]inter g0/0/1[AR1-GigabitEthernet0/0/1]ip add 200.1.1.2 30[AR1-GigabitEthernet0/0/1]inter g0/0/0[AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24[AR1-GigabitEthernet0/0/0]inter g0/0/1[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ?inside Specify inside information of NAT[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ins[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 inside 192.168.1.10 [AR1-GigabitEthernet0/0/1]disp this[V200R003C00]#interface GigabitEthernet0/0/1ip address 200.1.1.2 255.255.255.252nat static global 117.29.161.242 inside 192.168.1.10 netmask 255.255.255.25 5#return[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.243 inside 192.168.1.20 R2<Huawei>u t m<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sys AR2[AR2]inter g0/0/0[AR2-GigabitEthernet0/0/0]ip add 200.1.1.1 30[AR2-GigabitEthernet0/0/0]quit[AR2]ip route-static 117.29.161.242 255.255.255.0 200.1.1.2P A T[AR1]inter g0/0/1[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.242 inside 192.168.1.10[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.243 inside 192.168.1.20[AR1-GigabitEthernet0/0/1]disp this #检查一下配置是否删除[AR1-GigabitEthernet0/0/1]quit[AR1]nat address-group 1 117.29.161.242 117.29.161.242 #NAT地址池(我只配置了1个IP,如果有多个都可以加进去)[AR1]acl 2020 #创建基本ACL[AR1-acl-basic-2020]rule 5 permit source 192.168.1.0 0.0.0.255 #允许1.0网段获取[AR1-acl-basic-2020]inter g0/0/1#地址池和列表进行关联[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 ?no-pat Not use PAT<cr> Please press ENTER to execute command#到这一步如果直接回车,在华为默认启用PAT#PAT即对一个公网地址反复使用,通过端口号转换,#如果想用动态NAT,则需要在group 1后面加上no-pat#动态NAT无法节约公网IP,在地址池中选一个IP对应一个内网IP[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 #回车对地址池和列表进行关联,使用PAT功能使用P A T时,从主机p i n g200.1.1.1两台可同时使用,但从200.1.1.1p i n g117.29.161.242是不通的,因为很多主机拿了它作地址,不指定端口根本无法找到(P A T相当于天然防火墙,向外屏蔽了真实地址)动态NAT[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1 #取消PAT[Huawei-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 no-pat #使用动态NAT基于接口的PAT现实场景中,应用最为广泛的P A T,配置基于接口的P A T可以使用一个公网I P就可以让全公司的人上网[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1[Huawei-GigabitEthernet0/0/1]nat outbound 2020 #outbound 2020默认使用地址池的公网地址进行替换复用[Huawei-GigabitEthernet0/0/1]disp this[V200R003C00]#interface GigabitEthernet0/0/1ip address 200.1.1.2 255.255.255.252nat outbound 2020 #return。
网络地址转换协议NAT详解
网络地址转换协议NAT详解网络地址转换(Network Address Translation,NAT)是一种在计算机网络中向本地网络中的多个主机分配多个公共IP地址的技术。
NAT技术在IPv4网络中得到广泛应用,它的主要用途是使本地网络能够共享有限的公共IP地址。
NAT将私有IP地址转换为公共IP地址,使得内网中的多台计算机可以通过共享公共IP地址与公网进行通信。
NAT技术在路由器上实现,它会维护一个地址转换表,记录着内部主机与外部网络之间的映射关系。
NAT可以实现以下功能:1.IP地址转换:NAT通过将内网中的私有IP地址转换为合法的公共IP地址,实现内网与外网之间的通信。
2.IP地址共享:通过使用NAT,多个内部主机可以共享一个公共IP 地址,减少了公共IP地址的消耗。
3.安全性增强:NAT可以隐藏内网主机的真实IP地址,外部网络无法直接访问内网主机,从而提高了网络的安全性。
4.端口转换:NAT还可以实现端口转换,使得多个内网主机可以使用同一个公共IP地址与外部网络进行通信。
NAT的工作原理如下:1.内网主机向外网发送数据包时,数据包中的源IP地址会被NAT路由器替换为公共IP地址。
2.NAT路由器在转发数据包之前,将原始源IP地址和端口加入地址转换表,并为该连接分配一个公共IP地址和端口。
3.当外部主机回复数据包时,数据包中的目标IP地址是公共IP地址,NAT路由器会根据地址转换表将数据包转发给对应的内网主机。
4.NAT路由器会周期性地检查地址转换表中的转换规则是否过期,并删除不再活跃的连接。
尽管NAT在一定程度上解决了IPv4地址枯竭的问题,但也带来了一些问题和限制:1.限制了网络应用:由于NAT对于网络应用的支持不完全,一些对于特定端口或协议的网络应用可能无法正常工作。
2.不利于点对点连接:NAT增加了网络通信的复杂性,不利于建立点对点的连接。
3. 不支持IPSec:由于NAT会修改IP报文的源IP地址,导致与IPSec等加密协议不兼容。
计算机网络地址翻译(NAT)的原理及具体应用论文
计算机网络地址翻译(NAT)的原理及具体应用论文计算机网络地址翻译(NAT)的原理及具体应用论文网络地址翻译(NAT,Network Address Translation)是计算机网络技术中的一个重要技术。
通过分析NAT技术的原理,文章完整的介绍了NAT技术的各个方面,并以CISCO路由器为例,提出了具体应用。
随着Internet的膨胀式发展,其可用的公网IP地址越来越少,要想再申请到一个新的公网IP地址已是很不容易的事了。
NAT技术很方便的解决了这些问题。
NAT(Network Address Translation)网络地址翻译,指的是将一个内网私有IP地址转换成外网(公网)IP地址。
利用NAT 技术,公网IP地址可以对外代表一个或多个内部地址。
我们一般可以把NAT技术分为三种:静态NAT,动态NAT和NAPT,其中NAPT又可以称为PAT。
1、静态NAT静态NAT的工作原理很简单。
NAT将网络分为内部网络(inside)和外部网络(outside),内部网络指的是单位内部局域网,外部网络指的是公共网络,一般是指Internet。
静态NAT将内部本地私有IP地址与外部合法公网IP地址进行一对一的转换,且需要指定到底内部IP和哪个合法地址进行转换,即需要建立一张网络地址转换表;内部地址与全局地址一一对应,每当内部节点与外界通信时,内部私有IP地址就会转换为对应的公网IP 地址。
某学校内部局域网使用的IP网段是192.168.0.0/24,现在它们申请了一段公网IP:100.0.0.3——100.0.0.100/24。
静态NAT就是要求内部私有IP地址和公网IP地址是一一对应的'关系。
那么假设PC1有一个私有IP:192.168.0.3/24,当它需要访问Internet时,它先向路由器发出请求,路由器会根据静态NAT的设置,把私有IP(192.168.0.3)转换为公网IP(100.0.0.3),然后把数据包发送出去。
关于nat实训报告
千里之行,始于足下。
关于nat实训报告实训报告-NAT(Network Address Translation)网络地址转换一、实训背景和目的随着国内互联网的蓬勃发展,网络连接数的快速增长,IPv4地址资源日益紧缺。
而IPv6的部署和普及还需要一定的时间,因此需要通过一些手段来有效地利用有限的IPv4地址资源。
网络地址转换(NAT)就是一种常用的解决方案,通过将一组私有IP地址映射为公共IP地址,来实现多台设备共享公共IP地址的功能。
本次实训旨在通过搭建、配置和管理一个NAT网络,加深对NAT的理解和使用,掌握相关操作方法。
二、实训内容和步骤1. 理论知识学习在实训开始前,首先进行了相关理论知识的学习。
了解了NAT的基本概念和原理,包括IP地址的分类和划分、IPv4与IPv6的差异、私有IP地址和公共IP地址的作用等。
2. 环境准备搭建实验环境,需要一台拥有多网口的服务器和多台终端设备。
在这里选择了Ubuntu Server作为服务器操作系统,使用VirtualBox虚拟化软件创建多台虚拟机作为终端设备。
3. 配置网络连接通过虚拟网卡和网桥的设置,将服务器和终端设备连接到同一个网络中,保证它们可以相互通信。
第1页/共3页锲而不舍,金石可镂。
4. 配置NAT设备在服务器上安装配置iptables,将私有IP地址映射为公共IP地址。
根据需要,可以设置端口映射、IP过滤等规则,以实现更多的网络功能。
5. 测试NAT网络将终端设备配置为使用私有IP地址,然后通过服务器上的NAT设备访问互联网。
同时,可以测试不同终端设备之间的通信功能。
6. 管理NAT设备通过命令行工具或者图形界面工具,对NAT设备进行管理。
包括添加、修改和删除转换规则,查看转换状态和日志等。
7. 故障排除和优化如果出现网络故障或性能问题,需要进行排查和处理。
通过分析日志、查看错误信息等方法,找到问题所在,并尝试解决。
可以加深对NAT设备的理解和应用。
Juniper Netscreen NAT简单总结
Juniper Netscreen NAT简单总结1、源网络地址转换执行源网络地址转换(NAT-src) 时,安全设备将初始源IP 地址转换成不同的地址。
已转换地址可以来自动态IP (DIP) 池或安全设备的出口接口。
如果从DIP 池中提取已转换的地址,安全设备可以随机提取或提取明确的地址,也就是说,既可以从DIP 池中随机提取地址,也可以持续提取与初始源IP 地址有关的特定地址。
可以配置安全设备,在接口级或策略级应用NAT-src。
如果配置策略以应用NAT-src,且入口接口处于NAT 模式下,则基于策略的NAT-src 设置会覆盖基于接口的NAT。
基于策略的NAT-SRC优先级高于接口级的NAT-src。
2、目标网络地址转换基于策略的NAT-dst:MIP:MIP的地址转换双向执行,因此安全设备可以将到达MIP 地址的所有信息流中的目标 IP 地址转换成主机IP 地址,并将主机IP 地址发出的所有信息流中的源IP 地址转换成MIP 地址。
VIP:是从一个IP 地址到基于目标端口号的另一个IP 地址的映射。
在同一子网中定义为接口的单个IP 地址可以托管从若干服务( 使用不同的目标端口号标识) 到同样多主机的映射。
VIP 还支持端口映射。
与MIP 不同,VIP的地址转换将单向执行。
安全设备可以将到达VIP 地址的所有信息流中的目标IP地址转换成主机IP 地址。
ScreenOS 不支持同时将基于策略的NAT-dst 与MIP、VIP 配合使用。
如果您配置了MIP 或VIP,安全设备会在应用了基于策略的NAT-dst 的任何信息流上应用MIP 或VIP。
换言之,如果安全设备偶然将MIP 和VIP 应用于同一信息流,则MIP 和VIP 将禁用基于策略的NAT-dst。
感觉是MIP,VIP优先级高于基于策略的NAT-DST。
虽然MIP 和VIP 的地址转换机制是双向的,但基于策略的NAT-src 和NAT-dst 能够将入站和出站信息流的地址转换分开,以提供较好的控制与安全性能。
NAT技术的原理与实现
NAT技术的原理与实现网络地址转换(Network Address Translation,NAT)是一种常用的网络协议和技术,它允许多个设备共享一个公共IP地址。
NAT技术的原理和实现如下:一、NAT技术的原理:1.IP地址空间不足:IPv4协议中,IP地址空间有限而且几乎耗尽。
因此,为了解决IP地址短缺的问题,使用NAT技术将私有IP地址转换为公共IP地址,以便在有限的IPv4地址空间内提供互联网接入和通信。
2.私有IP地址范围:NAT技术使用了私有IP地址范围,其中包括10.0.0.0/8、172.16.0.0/12和192.168.0.0/16、这些私有IP地址可以被组织内部使用,但不能被直接路由到互联网上。
3.NAT表:NAT设备维护了一个NAT表,其中记录了私有IP地址和相应的公共IP地址的映射。
当内部设备向外部发送数据包时,NAT设备会将私有IP地址替换为公共IP地址,并在NAT表中记录该映射。
当外部数据包返回时,NAT设备会根据NAT表将数据包转发给相应的内部设备。
4.网络地址转换:NAT技术通过修改数据包的源IP地址和目的IP地址实现网络地址转换。
当内部设备发送数据包时,NAT设备会将源IP地址更改为公共IP地址,并将源端口号改为一个未使用的端口号。
当外部设备返回响应时,NAT设备根据端口号将数据包转发给相应的内部设备。
5.网络端口转换:NAT技术还可以实现网络端口转换,以支持多个设备同时使用相同的公共IP地址。
NAT设备将网络端口号从一个端口号映射到另一个端口号,以便多个设备可以与互联网进行通信。
二、NAT技术的实现:1.NAT设备:NAT功能通常由网络设备(如路由器、防火墙、交换机等)提供。
这些设备具有NAT功能,可以在私有网络和公共网络之间进行数据包转发和地址转换。
2.NAT配置:为了使用NAT技术,需要在NAT设备上进行相应的配置。
配置包括指定私有IP地址范围、定义NAT策略、配置NAT绑定、设置NAT表等。
使用网络地址转换(NAT)实现局域网访问互联网
使用网络地址转换(NAT)实现局域网访问互联网随着互联网的普及和发展,越来越多的人们接触到并使用互联网。
无论是家庭还是办公场所,都通常会建立一个局域网来连接多台设备。
然而,局域网内的设备想要访问互联网,则需要使用网络地址转换(NAT)来实现。
一、什么是网络地址转换(NAT)?网络地址转换(Network Address Translation,简称NAT)是一种将内部网络地址转换为外部网络地址的技术,通过这种技术可以实现内部网络设备与互联网的通信。
NAT主要用于将内部网络(局域网)中的私有IP地址转换成全球唯一的公共IP地址,以便在互联网上进行通信。
二、NAT的工作原理1. NAT的基本原理NAT的基本原理是通过路由器或防火墙设备来实现,它将局域网中的多台设备的私有IP地址转换为一个公共IP地址。
在通信过程中,当局域网中的设备发送请求到互联网上的某个服务器时,路由器会自动将该请求的源IP地址从私有IP地址转换为公共IP地址,然后将请求发送到目标服务器。
当目标服务器返回响应时,路由器再将响应的目标IP地址从公共IP地址转换为相应的私有IP地址,然后将响应发送到请求设备。
2. NAT的转换方式NAT的转换方式有两种:静态NAT和动态NAT。
- 静态NAT:静态NAT是指将局域网中的某个设备的私有IP地址与一个全局唯一的公共IP地址进行一对一的映射。
这种方式适合需要将某些设备一直映射到相同的公共IP地址的情况,如服务器等。
- 动态NAT:动态NAT是指将局域网中的多个设备的私有IP地址与一个或多个公共IP地址进行动态映射。
这种方式根据局域网中设备的需求,将可用的公共IP地址动态地分配给设备进行通信。
三、NAT的优势和应用场景1. 优势- 节约IP地址资源:使用NAT可以实现将多个设备共享一个公共IP地址,从而大大节约了IP地址资源的使用。
- 增加网络安全性:NAT作为一种边界设备,将私有网络地址隐藏在公网之后,减少了对内部网络的直接攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络地址翻译方法总结和实验一、前言................................................................................................... 错误!未定义书签。
二、源网络地址转换(NAT-Src) .............................................................. 错误!未定义书签。
一.不带DIP .............................................................................................. 错误!未定义书签。
二.带DIP .................................................................................................. 错误!未定义书签。
一). 1对1映射 ................................................................................ 错误!未定义书签。
二). 1对多映射 ............................................................................... 错误!未定义书签。
三).多对1 映射 ............................................................................ 错误!未定义书签。
四).多对多映射 ............................................................................. 错误!未定义书签。
三、Netscreen防火墙各种地址翻译方法的特点总结.......................... 错误!未定义书签。
四、地址翻译方法实验........................................................................... 错误!未定义书签。
1. Netscreen防火墙的地址翻译实验环境...................................... 错误!未定义书签。
2. Netscreen防火墙的策略地址翻译实验...................................... 错误!未定义书签。
3.1 由外向内的地址翻译........................................................... 错误!未定义书签。
3.2 由内向外的地址翻译........................................................... 错误!未定义书签。
3. Netscreen防火墙的接口地址翻译实验...................................... 错误!未定义书签。
4.1 MIP地址翻译.......................................................................... 错误!未定义书签。
4.2 VIP地址翻译 .......................................................................... 错误!未定义书签。
4. 将MIP和VIP用策略地址翻译替代实验 ................................. 错误!未定义书签。
5.1 MIP地址翻译的替代.............................................................. 错误!未定义书签。
5.2 VIP地址翻译的替代 .............................................................. 错误!未定义书签。
一、前言Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
MIPMIP是“一对一”的双向地址翻译(转换)过程。
通常的情况是:当你有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实现对服务器所提供服务进行访问控制。
VIPMIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP 是一个公网IP地址的不同端口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。
通常应用在只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服务的。
DIPDIP的应用一般是在内网对外网的访问方面。
当防火墙内网端口部署在NAT 模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。
解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一个连续的公网IP地址池中的IP地址。
特别是在当你的网络出现双链路的时候,DIP 的配置更是出色。
二、源网络地址转换(NAT-Src)Writer:wwiinngd为了保护内网或IP地址紧缺和另一些原因,需要把源IP地址转换为别一个地址,这就是源网络地址转换.目的:学习NETSCREEN 204 的NAT-Src配置NA T-Src有带DIP的和不带DIP的DIP(动态IP)池提供了可用的地址,使通过NETSCREEN 执行的NAT-Src策略后,从池中提取地址使用一.不带DIPUntrust区图1WEBUI:work > Interfaces (List) > ethernet1 > EditZone Name: TrustIP Address/Netmask:Interface Mode: NATNetwork > Interfaces (List) > ethernet2 > EditZone Name: UnTrustIP Address/Netmask:Interface Mode: Route2.设置策略Policies > (From: Trust,To: Untrust) New::Source Address:Address Book Entry: AnyDestination Address:Address Book Entry: AnyService: ANYAction: PermitLogging: ( 选择)在CLI下面:set interface ethernet1 zone trustset interface ethernet1 ipset interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ipset interface ethernet2 routeset policy from trust to untrust Any Any ANY permit log设置二个区段再加一条策略就行,默认二个区是不通的(5GT除外),从UnTrust 区来看,所有信息也是从NETSCREEN E2口出来的.我们可以从防火墙的日志中看到。
图2图3二.带DIP1对1映射: 地址池只有一个IP ,所以一台机映射一个IP1对多映射: 地址池只有多个IP ,所以一台机从池中每次取一个IP 映射多对1(一定要开PAT) 映射: 地址池只有一个IP ,但通过PAT ,最多可以支持64,500(65535-1023)台机,每台机用不同的端口多对多映射: 地址池有多个IP ,也有多台机,可以从池中取IP 映射,也可以指定那台机映射为那个IP一). 1对1映射192.168.1.1/24ethernet1192.168.2.1/24ethernet2NetScreenTrust 区Untrust 区192.168.2.5/24192.168.1.164/24虚拟SwitchSwitchDIP 池图4只有一台机在Trust区连到UnTtust区,从UnTtust区来看,他是从DIP池分配的IP。
WEBUI:1.设置接口Network > Interfaces (List) > ethernet1 > EditZone Name: TrustIP Address/Netmask:Interface Mode: NATNetwork > Interfaces (List) > ethernet2 > EditZone Name: UnTrustIP Address/Netmask:Interface Mode: Route2.设置DIP池Network > Interfaces (List) > ethernet2 > Edit > DIP > New,ID: 5IP Address Range: ~Port Translation: ( 选择)In the same subnet as the interface IP or its secondary IPs: ( 选择)# Port Translation就是PAT,选上后,每次用的端口也不同,但要是对端口有特殊要求的时候就不要选上。
3.设置IP>>HOSTObjects > Addresses > List > New:Address Name: host1IP/Netmask: ( 选择),Zone: Trust4.设置策略,且指定DIPPolicies > (From: Trust, To: Untrust) New::Source Address: Address Book Entry: AnyDestination Address: Address Book Entry: AnyService: ANYAction: PermitLogging: ( 选择)> Advanced:NAT:Source Translation: (选择)(DIP on): 5 ( -在CLI下面:set interface ethernet1 zone trustset interface ethernet1 ipset interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ipset interface ethernet2 routeset interface ethernet2 dip 5set address trust host1set policy id 3 from Trust to Untrust host1 any ANY nat src dip-id 5 permit log 从Trust区的PING到Untrust ,我们可以从防火墙的日志中看到。