检查站手动NAT配置是解决自动NAT弱点的一种非常有用的方法。对我来说,我总是按照不同的方式混合 场景,尽管有很多讨论,这在争执中更好 CPUG帖子。启动项目或网络时,请尽可能使用auto nat,然后在启动NAT时慢慢使用手动nat complexity components added.

这是手动NAT使用的最新情况。客户端需要使用10.9.30.53访问DMZ sftp服务器172.17.3.53。自动NAT应该能够在30秒的配置中解决它。不幸的是,sftp服务器172.17.3.53面临着多个检查点防火墙,它也必须被设置到另一个网段。因此,手动nat将是此处的唯一选择。

1.从全局属性启用手动NAT

2.创建手动NAT规则

3.将手动代理arp条目添加到 local.arp file
回声“ 10.9.30.53 AA:BB:CC:DD:EE”>>$ FWDIR / conf / local.arp
注意: AA:BB:CC:DD:EE是SPLAT防火墙10.9.30.42接口的mac地址。如果使用群集实施,则需要根据成员接口的mac地址修改所有群集成员的local.arp文件。

4.推送策略以启用NAT规则,并将此手动NAT记录合并到arp表中。

5.验证 fw ctl arp 命令

[CP-FW]#fw ctl arp
 (10.9.30.53) at AA:BB:CC:DD:EE

通过 约翰

发表评论