netscreen 网络地址翻译 nat 方法总结和实验.doc

网络地址翻译方法总结和实验目录一、前言1二、源网络地址转换(NAT-Src)2一.不带DIP2二.带DIP4一). 1对1映射4二). 1对多映射7三). 多对1 映射9四). 多对多映射10三、Netscreen防火墙各种地址翻译方法的特点总结14四、地址翻译方法实验18.Netscreen防火墙的地址翻译实验环境18.Netscreen防火墙的策略地址翻译实验183.1由外向内的地址翻译183.2由内向外的地址翻译28.Netscreen防火墙的接口地址翻译实验334.1 MIP地址翻译334.2 VIP地址翻译36.将MIP和VIP用策略地址翻译替代实验395.1 MIP地址翻译的替代395.2 VIP地址翻译的替代43正文一、 前言Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现，包括：MIP、VIP和DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。 MIP MIP是“一对一”的双向地址翻译（转换）过程。通常的情况是：当你有若干个公网IP地址，又存在若干的对外提供网络服务的服务器（服务器使用私有IP地址），为了实现互联网用户访问这些服务器，可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。 VIP MIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而VIP是一个公网IP地址的不同端口（协议端口如：21、25、110等）与内部多个私有IP地址的不同服务端口的映射关系。通常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且，这些服务器是需要对外提供各种服务的。 DIP DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。解决这种局限性的办法就是DIP，在内部网络IP地址外出访问时，动态转换为一个连续的公网IP地址池中的IP地址。特别是在当你的网络出现双链路的时候，DIP的配置更是出色。二、 源网络地址转换(NAT-Src)Writer:wwiinngd为了保护内网或IP地址紧缺和另一些原因，需要把源IP地址转换为别一个地址，这就是源网络地址转换.目的：学习NETSCREEN 204 的NAT-Src配置NAT-Src有带DIP的和不带DIP的DIP(动态IP)池提供了可用的地址，使通过NETSCREEN 执行的NAT-Src策略后，从池中提取地址使用一.不带DIP图1WEBUI:1. Network Interfaces (List) ethernet1 Edit Zone Name: TrustIP Address/Netmask: /24Interface Mode: NATNetwork Interfaces (List) ethernet2 Edit Zone Name: UnTrustIP Address/Netmask: /24Interface Mode: Route2. 设置策略Policies (From: Trust， To: Untrust) New:Source Address: Address Book Entry: AnyDestination Address: Address Book Entry: AnyService: ANYAction: PermitLogging: ( 选择 )在CLI下面:set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip /24set interface ethernet2 routeset policy from trust to untrust Any Any ANY permit log设置二个区段再加一条策略就行，默认二个区是不通的(5GT除外)，从UnTrust 区来看，所有信息也是从NETSCREEN E2口出来的.我们可以从防火墙的日志中看到。图2图3二.带DIP1对1映射: 地址池只有一个IP，所以一台机映射一个IP1对多映射: 地址池只有多个IP，所以一台机从池中每次取一个IP映射多对1(一定要开PAT) 映射: 地址池只有一个IP，但通过PAT，最多可以支持64，500(65535-1023)台机，每台机用不同的端口多对多映射: 地址池有多个IP，也有多台机，可以从池中取IP映射，也可以指定那台机映射为那个IP一). 1对1映射图4只有一台机在Trust区连到UnTtust区，从UnTtust区来看，他是从DIP池分配的IP。WEBUI:1. 设置接口Network Interfaces (List) ethernet1 EditZone Name: TrustIP Address/Netmask: /24Interface Mode: NATNetwork Interfaces (List) ethernet2 Edit Zone Name: UnTrustIP Address/Netmask: /24Interface Mode: Route2. 设置DIP池Network Interfaces (List) ethernet2 Edit DIP New，ID: 5IP Address Range: Port Translation: ( 选择)In the same subnet as the interface IP or its secondary IPs: ( 选择 )# Port Translation就是PAT，选上后，每次用的端口也不同，但要是对端口有特殊要求的时候就不要选上。3. 设置IPHOSTObjects Addresses List New: Address Name: host1IP/Netmask: ( 选择 ), 64/32Zone: Trust4. 设置策略，且指定DIPPolicies (From: Trust, To: Untrust) New:Source Address: Address Book Entry: AnyDestination Address: Address Book Entry: AnyService: ANYAction: PermitLogging: ( 选择 ) Advanced:NAT:Source Translation: (选择 )(DIP on): 5 ( - )/X-late在CLI下面:set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip /24set interface ethernet2 routeset interface ethernet2 dip 5 set address trust host1 64/32set policy id 3 from Trust to Untrust host1 any ANY nat src dip-id 5 permit log从Trust区的64 PING到Untrust 是，我们可以从防火墙的日志中看到。图5我们再从Untrust区的的机上看图6而从Untrust区是连不到trust区与映射(虚拟)出来的IP的。二). 1对多映射从上面的说明看到，1对多的配置，其实就是在DIP池里设置多几个IP，没有什么特别不同的了。拓扑图与图4一样。只放上CLI的:set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip /24set interface ethernet2 routeset interface ethernet2 dip 5 set address trust host1 64/32set policy id 3 from Trust to Untrust host1 any ANY nat src dip-id 5 permit log这里只看结果，从防火墙的日志中看到。图7每个PING防火墙也分给他不同的地址，再从Untrust区的的机上看图8三). 多对1 映射图9当有多台机在Trust区连去Untrust区时，而 DIP池只有一个IP，这时就一定要选择PAT模式了。通过PAT，最多可以支持64，500台机(65535-1023)，每台机用不同的端口.如果你不选PAT模式，就同一时间只有一台机可以连到Untrust区。配置上1对1的一样，我们还是看结果吧。图10二台机同时PING，尽管从DIP池中分给的IP是一起，但它们获得的端口号.再从Untrust区的的机上看图11四). 多对多映射地址池有多个IP， trust区也有多台机，可以从池中取IP映射，也可以地址池IP与源地址一对一转换，从而使维护更方便，但必需是地址池IP大于或等于源地址，配置思想:先设置1.IP，接口，区段(这个每个设置也是一样的) 2.设置HOST的IP，再建一个组，把所有HOST加入去 3. 建一个策略，原端引用上面那个组WebUI1. 设置接口Network Interfaces (List) ethernet1 EditZone Name: TrustIP Address/Netmask: /24Interface Mode: NATNetwork Interfaces (List) ethernet2 Edit Zone Name: UnTrustIP Address/Netmask: /24Interface Mode: Route2. 设置DIP池Network Interfaces (List) ethernet2 Edit DIP New，ID: 5IP Shift: (选择 )From: # Trust最低的那个IPTo: 00In the same subnet as the interface IP or its secondary IPs: ( 选择 )3. 设置IPHOSTGROUPObjects Addresses List New: Address Name: host1IP/Netmask: ( 选择 ), /32Zone: TrustObjects Addresses List New: Address Name: host2IP/Netmask: ( 选择 ), 64/32Zone: TrustObjects Addresses Groups (Trust) New: Group Name: group1选择 host1, 并使用 按钮将地址从 Available Members 栏移到Group Members 栏中选择 host2, 并使用 (From: Trust, To: Untrust) New: Source Address: Address Book Entry: group1Destination Address: Address Book Entry: AnyService: ANYAction: PermitLogging: ( 选择 ) Advanced:NAT:Source Translation: (选择 )(DIP on): 5 ( - )/X-lateCLI:set interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 natset interface ethernet2 zone untrustset interface ethernet2 ip /24set interface ethernet2 routeset interface ethernet2 dip 5 shift-from 1 to set address trust host1 /32set address trust host2 64/32set group address trust group1 add host1set group address trust group1 add host2set policy from trust to untrust group1 any ANY nat src dip-id 5 permit log有一点要小心。,如果原的IP是和8，那你的DIP池，就要起码是192.168.2.A，(A79-4)。例子: 1.trust区的IP, 192.168.78，DIP池是00源IP 转换后IP - 64 - 65从防火墙的日志中看图13我们从Untrust区的的机上看图142.trust区的IP, 192.168.78，DIP池是源IP 转换后IP - 64 - 64防火墙的日志中看到图15我们从Untrust区的的机上看，没有看到没转换的源IP:64。当我们Trust区不连Untrust区时，而我们用CAIN等Sniffer工具来ARP扫描时，还可以看到从到8的IP全是防火墙的MAC地址。三、 Netscreen防火墙各种地址翻译方法的特点总结Netscreen防火墙的地址翻译主要包括五类：l NAT-srcl NAT-dstl Mapped IP (MIP)l Virtual IP (VIP)l Untrust口的源地址翻译这五类地址翻译可以从两个角度分类：一、 是源地址翻译还是目的地址翻译？l NAT-src和Untrust口的源地址翻译是源地址翻译。l NAT-dst和VIP是目的地址翻译。l MIP是双向地址翻译。二、 是基于策略的地址翻译还是基于接口的地址翻译？l NAT-src和NAT-dst是基于策略的地址翻译。l Untrust口的源地址翻译、MIP和VIP是基于接口的地址翻译。也就是说，NAT-src和NAT-dst是在制订的防火墙Policy的基础之上，即规定了源地址、目的地址、源端口、目的端口等之后，对符合这条策略的信息流进行NAT-src和NAT-dst方式的地址和端口翻译。而另外三种地址翻译都是和接口进行了绑定，而和Policy策略无关。因此，这几种地址翻译方法总结来说具有以下应用特点：l NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法，也就是说另外三种地址翻译方法可以完全翻译成具有相同效果的NAT-src和NAT-dst，反之则不行。l NAT-src和NAT-dst由于是基于Policy进行地址翻译，具有更好的信息流控制粒度。l NAT-src和NAT-dst可以在任意两个安全域（zone）之间进行设置。l NAT-src和NAT-dst可以在一条Policy中同时设置执行，对源和目的地址同时翻译，但是仅仅是单向的地址翻译。l 单向翻译可以提供更好的控制与安全性能。l Untrust口的源地址翻译只能在Untrust口实现。尽管可以将绑定到任意第 3 层区段的接口的操作模式定义为 NAT，但是，安全设备只对通过该接口传递到 Untrust 区段的信息流执行 NAT。对于通往 Untrust 区段之外的其它任意区段的信息流，ScreenOS 不执行 NAT。还要注意，ScreenOS 允许您将 Untrust 区段接口设置为 NAT 模式，但是这样做并不会激活任何 NAT 操作。l VIP只能在Untrust口实现。l MIP和VIP一般需要与所配置的接口处于同一网段，但是为 Untrust 区段中接口定义的 MIP 例外。该 MIP 可以在不同于 Untrust 区段接口IP 地址的子网中。但是，如果真是这样，就必须在外部路由器上添加一条路由，指向 Untrust 区段接口，以便内向信息流能到达 MIP。此外，必须在与 MIP 相关的防火墙上定义一个静态路由。另外这几种策略发生冲突重叠时具有以下规律：l 入口接口处于“路由”或 NAT 模式时，可以使用基于策略的 NAT-src。如果配置策略以应用 NAT-src，且入口接口处于 NAT 模式下，则基于策略的 NAT-src 设置会覆盖基于接口的 NAT。l 不支持同时将基于策略的 NAT-dst 与 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP，安全设备会在应用了基于策略的 NAT-dst 的任何信息流上应用MIP 或 VIP。换言之，如果安全设备偶然将 MIP 和 VIP 应用于同一信息流，则MIP 和 VIP 将禁用基于策略的 NAT-dst。l 应该避免将接口IP地址、MIP、VIP、DIP设置重复，否则会不可设置或引起冲突。通过实际调查，可以发现很多网管人员习惯于使用MIP、VIP和Untrust口的源地址翻译来进行地址翻译，这主要是因为：l 这三种地址翻译方法是目前大多数防火墙普遍采用的地址翻译方法，网管人员不需要学习就已经掌握。l 一对一的静态地址映射便于理解，也是目前大多数防火墙普遍采用的地址翻译方法。l 如果从其它防火墙迁移到Netscreen防火墙，这种配置迁移便于一对一的翻译。但是，以MIP为主的地址翻译也存在着一些问题：l MIP和VIP属于Global区段，这一点容易让一些网管人员在理解上产生偏差，而不能正确配置。l 从不同区段到达MIP需要配置两条策略，也容易产生配置错误。l 对于策略配置中何时使用MIP，何时使用服务器的真实IP，经常容易搞错。l 当涉及到多个安全区段都存在MIP时，并且这些MIP地址有可能引起各种地址段重合的现象时，配置更加复杂和难于理解，甚至无法实现。l 这些传统的地址翻译方法粒度太粗，可控性不强，不能实现最大程度的安全性和灵活性。l 一对一的地址映射在实践中无法满足企业用户复杂的网络需求，如实现一对多、多对一的翻译，实现源地址和目的地址的同时翻译，等等。因此，考虑到企业业务的实践，建议尽可能采用NAT-src和NAT-dst来实现业务需要，理由如下：l NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法。l NAT-src和NAT-dst由于是基于Policy进行地址翻译，具有更好的信息流控制粒度。l NAT-src和NAT-dst可以在任意两个安全域（zone）之间进行设置。另外三种地址翻译方法都有一些安全域限制，无法实现任意方向的地址翻译。l NAT-src和NAT-dst可以在一条Policy中同时设置执行，对源和目的地址同时翻译。l 单向翻译可以提供更好的控制与安全性能。如果需要双向翻译可以在反方向单独再定义一条策略。l 基于策略的NAT-src和NAT-dst容易理解和配置。l 可以更好地将地址翻译和策略管理结合起来，更加方便企业的日常策略维护工作。当然，另外三种翻译方法在实现从其它防火墙向Netscreen防火墙的策略迁移，适应不同管理员的配置习惯，适应特定的网络环境等方面具有自己的优点。以下将结合企业网络的常见需求来看看如何通过NAT-src和NAT-dst来实现地址翻译，并且如何取代其它三种地址翻译方法。四、 地址翻译方法实验. Netscreen防火墙的地址翻译实验环境为了帮助理解地址翻译的实践，以下各节配置均采用下图所示的实验环境：. Netscreen防火墙的策略地址翻译实验3.1 由外向内的地址翻译分以下几种情况（注意：其中需要在防火墙和路由器上添加路由的部分都省略，请自行添加路由）：一、合作伙伴服务器()需要访问企业服务器()，访问的映射地址是()，同时源地址()在Trust区域可以路由，不需要做源地址转换。配置如下：WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1)： 输入以下内容，然后单击Apply：Zone Name： TrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /24选择以下内容，然后单击 OK：Network Interfaces Edit ( 对于 ethernet3)： 输入以下内容，然后单击 OK：Zone Name： UntrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /242. 策略Policies (From： Untrust， To：Trust) New： 输入以下内容，然后单击 OK：Source Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Destination Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Service： HTTPAction： Permit Advanced： 输入以下内容，然后单击 Return，设置高级选项并返回基本配置页：NAT：Destination Translation： ( 选择)Translate to IP： ( 选择)， CLI1. Interfaceset interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip /24set interface ethernet1 route2. Address Listset address Trust /32 55set address Untrust /32 553. Policyset policy id 1 from Untrust to Trust /32 /32 HTTP nat dst ip permit save二、合作伙伴服务器()需要访问企业服务器()，访问的映射地址是()，同时源地址()在Trust区域不可路由，需要做源地址转换，将其转换为内部可以路由的地址()。配置如下：WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1)： 输入以下内容，然后单击Apply：Zone Name： TrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /24选择以下内容，然后单击 OK：Network Interfaces Edit ( 对于 ethernet3)： 输入以下内容，然后单击 OK：Zone Name： UntrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /242. DIPNetwork Interfaces Edit ( 对于 ethernet1) DIP New： 输入以下内容，然后单击 OK：ID： 6IP Address Range： ( 选择)， Port Translation： ( 清除)（假设合作伙伴服务器访问企业服务器需要特定源端口，基于此原因，必须禁用 DIP 池 6 的 PAT）In the same subnet as the extended IP： ( 选择)，/243. 策略Policies (From： Untrust， To：Trust) New： 输入以下内容，然后单击 OK：Source Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Destination Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Service： HTTPAction： Permit Advanced： 输入以下内容，然后单击 Return，设置高级选项并返回基本配置页：NAT：Source Translation： ( 选择)DIP on： ( 选择)， 6 ( )/fix-portDestination Translation： ( 选择)Translate to IP： ( 选择)， CLI1. Interfaceset interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip /24set interface ethernet1 route2.DIPset interface ethernet1 ext ip dip 6 fix-port3. Address Listset address Trust /32 55set address Untrust /32 554. Policyset policy id 1 from Untrust to Trust /32 /32 HTTP nat src dip-id 6 dst ip permit save三、合作伙伴服务器()和()需要访问企业服务器()，访问的映射地址分别是()和()，同时源地址()和()在Trust区域不可路由，将两个源地址都翻译成防火墙E1口地址。配置如下：WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1)： 输入以下内容，然后单击Apply：Zone Name： TrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /24选择以下内容，然后单击 OK：Network Interfaces Edit ( 对于 ethernet3)： 输入以下内容，然后单击 OK：Zone Name： UntrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /242. 策略Policies (From： Untrust， To：Trust) New： 输入以下内容，然后单击 OK：Source Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Destination Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Service： HTTPAction： Permit Advanced： 输入以下内容，然后单击 Return，设置高级选项并返回基本配置页：NAT：Source Translation： ( 选择)DIP on： ( 选择)， None (Use Egress Interface IP)Destination Translation： ( 选择)Translate to IP： ( 选择)， Policies (From： Untrust， To：Trust) New： 输入以下内容，然后单击 OK：Source Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Destination Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Service： HTTPAction： Permit Advanced： 输入以下内容，然后单击 Return，设置高级选项并返回基本配置页：NAT：Source Translation： ( 选择)DIP on： ( 选择)， None (Use Egress Interface IP)Destination Translation： ( 选择)Translate to IP： ( 选择)， CLI1. Interfaceset interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip /24set interface ethernet1 route2. Address Listset address Trust /32 55set address Trust /32 55set address Untrust /32 55set address Untrust /32 553. Policyset policy id 1 from Untrust to Trust /32 /32 HTTP nat src dst ip permit set policy id 2 from Untrust to Trust /32 /32 HTTP nat src dst ip permit save四、合作伙伴服务器()需要访问企业服务器()，访问的映射地址是()，端口是80，而企业服务器()的实际端口是8080，同时源地址()在Trust区域可以路由，不需要做源地址转换。配置如下：WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1)： 输入以下内容，然后单击Apply：Zone Name： TrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /24选择以下内容，然后单击 OK：Network Interfaces Edit ( 对于 ethernet3)： 输入以下内容，然后单击 OK：Zone Name： UntrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /242. 策略Policies (From： Untrust， To：Trust) New： 输入以下内容，然后单击 OK：Source Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Destination Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Service： HTTPAction： Permit Advanced： 输入以下内容，然后单击 Return，设置高级选项并返回基本配置页：NAT：Destination Translation： ( 选择)Translate to IP： ( 选择)， Map to Port：( 选择)， 8080CLI1. Interfaceset interface ethernet1 zone trustset interface ethernet1 ip /24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip /24set interface ethernet1 route2. Address Listset address Trust /32 55set address Untrust /32 553. Policyset policy id 1 from Untrust to Trust /32 /32 HTTP nat dst ip port 8080 permit save四、设置步骤总结如下：1. 定义端口地址。2. 如果需要对外网的服务器做源地址转换的话，要在Trust口定义DIP。 3. 定义地址对象：可以将策略中用到的源和目的地址均定义为地址对象，这样可以为其取一个便于记忆的名称，方便管理，定义对象时要将该对象放到正确的安全域当中，有时还需要在防火墙和路由器上做路由。4. 定义Policy：从Untrust到Trust，源是公网服务器地址，目的是“定义的地址对象”，选择服务端口。5. 目的地址转换：将策略中的“目的地址对象”转换到真实服务器地址，选择是否做端口转换。（IP地址可以实现一对一、多对一、一对多、多对多的转换，端口也可以基于源地址和源端口的组合实现特定的转换）6. 源地址转换（如果Trust区段没有外网IP地址的路由的话）：选择DIP地址池。3.2 由内向外的地址翻译分以下几种情况（注意：其中需要在防火墙和路由器上添加路由的部分都省略，请自行添加路由）：一、企业服务器()需要访问合作伙伴服务器()，访问的目标地址()在企业内网是可以路由，不需要做地址翻译，源地址()在外网是不可以路由的，需要做源地址转换，翻译成可以路由的DIP()配置如下：WebUI1. 接口Network Interfaces Edit ( 对于 ethernet1)： 输入以下内容，然后单击Apply：Zone Name： TrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /24选择以下内容，然后单击 OK：Network Interfaces Edit ( 对于 ethernet3)： 输入以下内容，然后单击 OK：Zone Name： UntrustStatic IP： ( 出现时选择此选项)IP Address/Netmask： /242. DIPNetwork Interfaces Edit ( 对于 ethernet3) DIP New： 输入以下内容，然后单击 OK：ID： 5IP Address Range： ( 选择)， Port Translation： ( 清除)（假设企业服务器访问合作伙伴服务器需要特定源端口，基于此原因，必须禁用 DIP 池 5 的 PAT）In the same subnet as the extended IP： ( 选择)，/243. 策略Policies (From： Trust， To：Untrust) New： 输入以下内容，然后单击 OK：Source Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Destination Address：Address Book Entry： ( 选择)， /32(假设我们先前定义了此地址对象)Service： TelnetAction： Permit Advanced： 输入以下内容，然后单击 Return，设置高级选项并返回基本配置页：NAT：Source Translation： ( 选择)DIP on： ( 选择)， 5 ( )/fix-po