码迷,mamicode.com
首页 > 其他好文 > 详细

华为防火墙NAT控制详细介绍

时间:2019-10-28 22:36:47      阅读:405      评论:0      收藏:0      [点我收藏+]

标签:ip地址   目标地址   公网   方式   address   就是   源地址   name   eth   

一。NAT分类
NAT No-pat:类似于Cisco的动态转换,只转化源IP地址,网络地址,不转化端口,属于多对多转换,不能节约公网IP地址,使用较少
NAPT:(网络地址和端口转换)类似与Cisco的PAT转换,NAPT即转换报文的源地址,又转换源端口,
出接口地址:(Easy-IP)转换方式简单,和NAPT一样,即转换源地址又转换源端口,属于多对一转换
Smart NAT(智能转换):通过预留一个公网地址进行NAPT转换
三元组NAT:与源IP地址,源du端口和协议类型有关的一种转换
二,黑洞路由
源地址转换场景下的环路和无效ARP问题
技术图片
技术图片
三,Server-map表
通过Server-map表解决FTP数据传输问题
技术图片
会话表记录的是连接信息,包括连接状态
技术图片
Server-map在NAT中的应用
技术图片
技术图片
正向条目携带端口信息,用来使外部用户访问202.96.1.10时直接通过Server-map表进行目标地址转换
反向条目不携带端口信息,且目标地址时任意的,用来使服务器可以访问互联网前提是必须是TCP协议,
四,NAT对报文的处理流程
技术图片
NAT配置(三种方法)
技术图片
(1)NAT No-pat
技术图片
走一条默认路由
配置安全策略
技术图片
配置NAT地址组,地址组中,地址对应的是公网IP
技术图片
配置NAT策略
技术图片
针对转换后的全局地址(NAT地址组中的地址)配置黑洞路由
技术图片
验证NAT配置,用PC1可以ping外网的PC2,可以查看会话表![]技术图片
三个红框表示为源地址,转化的地址,访问的地址
也可以查看Server-map表
技术图片
技术图片

(2)NAPT的配置
还是上面的图,重做NAPT
配置IP
技术图片
技术图片
配置安全策略
技术图片
配置NAT地址组,地址组中对应的是公网IP
技术图片
配置NAT策略
技术图片
配置路由黑洞
技术图片
验证结果用PC1ping外网PC2
技术图片
技术图片
(3)出接口地址(Easy-IP)就是用R1路由器的g0/0/1的接口去访问PC2(重新配置)
配置IP
技术图片
技术图片
配置安全策略
技术图片
配置NAT策略
技术图片
验证可以发现,都是转换的R1路由器g0/0/1接口IP去访问的
技术图片
五,综合案例
要求:

  1. 财务主机通过no-pat访问internet(使用100.2.2.10-11)
  2. 学术部主机通过napt访问internet(使用100.2.2.12)
  3. 公司其它部门通过g1/0/0访问internet
  4. 配置natserver发布dmz中的服务器(使用100.2.2.9)
    技术图片
    一、财务主机通过no-pat访问internet
    1.配置网络参数及路由
    [USG6000V1] int g1/0/2
    [USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
    [USG6000V1-GigabitEthernet1/0/2] undo sh
    Info: Interface GigabitEthernet1/0/2 is not shutdown.
    [USG6000V1-GigabitEthernet1/0/2] quit
    [USG6000V1] int g1/0/0
    [USG6000V1-GigabitEthernet1/0/0] ip add 100.1.1.2 30
    [USG6000V1-GigabitEthernet1/0/0] undo sh
    [USG6000V1-GigabitEthernet1/0/0] quit
    [USG6000V1] i proute-static 0.0.0.0 0.0.0.0 100.1.1.1
    2.配置安全策略
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/2
    [USG6000V1-zone-trust] quit
    [USG6000V1] firewall zone untrust
    [USG6000V1-zone-untrust] add int g1/0/0
    [USG6000V1-zone-untrust] quit
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_1
    [USG6000V1-policy-security-rule-sec_1] source-address 192.168.1.0 24
    [USG6000V1-policy-security-rule-sec_1] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_1] action permit
    3.配置nat地址组,地址池中的地址对应的是公网地址
    [USG6000V1-policy-security] quit
    [USG6000V1] nat address-group natgroup
    [USG6000V1-address-group-natgroup] section 0 100.2.2.10 100.2.2.11
    [USG6000V1-address-group-natgroup] mode no-pat local
    [USG6000V1-address-group-natgroup]
    4.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy
    [USG6000V1-policy-nat-rule-natpolicy] source-address 192.168.1.0 24
    [USG6000V1-policy-nat-rule-natpolicy] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy] action nat address-group natgroup
    [USG6000V1-policy-nat-rule-natpolicy] quit
    [USG6000V1-policy-nat] quit
    5.针对转换后的全局地址配置黑洞路由
    [USG6000V1] ip route-static 100.2.2.10 32 null 0
    [USG6000V1] ip route-static 100.2.2.11 32 null 0
    6.配置r1(isp)
    <Huawei>sys
    Enter system view, return user view with Ctrl+Z.
    [Huawei] sysname r1
    [r1] undo info ena
    [r1] int g0/0/0
    [r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
    [r1-GigabitEthernet0/0/0] int g0/0/1
    [r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
    [r1-GigabitEthernet0/0/1] undo sh
    [r1-GigabitEthernet0/0/1] quit
    [r1] ip route-static 100.2.2.8 29 100.1.1.2
    7.测试:从财务客户机上访问internet服务器
    技术图片
    二、学术部主机通过napt访问internet(使用100.2.2.12)
    1.配置网络参数
    [USG6000V1] int g1/0/3
    [USG6000V1-GigabitEthernet1/0/3] ip add 192.168.2.1 24
    [USG6000V1-GigabitEthernet1/0/3] quit
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/3
    [USG6000V1-zone-trust]q uit
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security-rule-sec_2] source-address 192.168.2.0 24
    [USG6000V1-policy-security-rule-sec_2] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_2] action permit
    [USG6000V1-policy-security-rule-sec_2] quit
    3.配置nat地址组
    [USG6000V1] nat address-group natgroup_2.0
    [USG6000V1-address-group-natgroup_2.0] section 0 100.2.2.12 100.2.2.12
    [USG6000V1-address-group-natgroup_2.0] mode pat
    [USG6000V1-address-group-natgroup_2.0] quit
    4.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] source-address 192.168.2.0 24
    [USG6000V1-policy-nat-rule-natpolicy_2.0] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy_2.0] action nat address-group natgroup_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] quit
    [USG6000V1-policy-nat] quit
    5.针对转换后的全局地址,配置黑洞路由
    [USG6000V1] ip route-static 100.2.2.12 32 null 0
    6.验证nat配置
    .技术图片
    三、出接口地址(easy-ip)使公司其它部门通过g1/0/0访问internet

    1.配置网络参数
    [USG6000V1] int g1/0/4
    [USG6000V1-GigabitEthernet1/0/4] ip add 192.168.3.1 24
    [USG6000V1-GigabitEthernet1/0/4] quit
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/4
    [USG6000V1-zone-trust]
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_3
    [USG6000V1-policy-security-rule-sec_3] source-address 192.168.3.0 24
    [USG6000V1-policy-security-rule-sec_3] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_3] action permit
    [USG6000V1-policy-security-rule-sec_3] quit
    [USG6000V1-policy-security] quit
    3.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy_3.0
    [USG6000V1-policy-nat-rule-natpolicy_3.0] source-address 192.168.3.0 24
    [USG6000V1-policy-nat-rule-natpolicy_3.0] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
    [USG6000V1-policy-nat-rule-natpolicy_3.0] quit
    [USG6000V1-policy-nat] quit
    4.验证easy-ip
    1)ping测试
    技术图片
    四、配置natserver发布dmz中的服务器(使用100.2.2.9)
    1.配置网络参数
    [USG6000V1-GigabitEthernet1/0/0] int g1/0/1
    [USG6000V1-GigabitEthernet1/0/1] ip add 192.168.0.1 24
    [USG6000V1-GigabitEthernet1/0/1] quit
    [USG6000V1] firewall zone dmz
    [USG6000V1-zone-dmz] add int g1/0/1
    [USG6000V1-zone-dmz] quit
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_4
    [USG6000V1-policy-security-rule-sec_4] source-zone untrust
    [USG6000V1-policy-security-rule-sec_4] destination-address 192.168.0.0 24
    [USG6000V1-policy-security-rule-sec_4] action permit
    [USG6000V1-policy-security] quit
    3.配置ftp应用层检测(此步骤可以省略,默认已经开启)
    [USG6000V1] firewall inter trust untrust
    [USG6000V1-interzone-trust-untrust] detect ftp
    [USG6000V1-interzone-trust-untrust] quit
    4.配置nat server
    [USG6000V1] nat server natserver global 100.2.2.9 inside 192.168.0.2
    5.配置黑洞路由
    [USG6000V1] ip route-static 100.2.2.9 32 null 0
    6.验证
    1)在互联网主机上访问dmz中的服务器
    技术图片

华为防火墙NAT控制详细介绍

标签:ip地址   目标地址   公网   方式   address   就是   源地址   name   eth   

原文地址:https://blog.51cto.com/14400213/2446085
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!