华为防火墙NAT控制详细介绍

时间  2019-11-05
标签 华为 防火墙 nat 控制 详细 介绍 繁體版
原文   原文链接

一。NAT分类
NAT No-pat:相似于Cisco的动态转换,只转化源IP地址,网络地址,不转化端口,属于多对多转换,不能节约公网IP地址,使用较少
NAPT:(网络地址和端口转换)相似与Cisco的PAT转换,NAPT即转换报文的源地址,又转换源端口,
出接口地址:(Easy-IP)转换方式简单,和NAPT同样,即转换源地址又转换源端口,属于多对一转换
Smart NAT(智能转换):经过预留一个公网地址进行NAPT转换
三元组NAT:与源IP地址,源du端口和协议类型有关的一种转换
二,黑洞路由
源地址转换场景下的环路和无效ARP问题
华为防火墙NAT控制详细介绍
华为防火墙NAT控制详细介绍
三,Server-map表
经过Server-map表解决FTP数据传输问题
华为防火墙NAT控制详细介绍
会话表记录的是链接信息,包括链接状态
华为防火墙NAT控制详细介绍
Server-map在NAT中的应用
华为防火墙NAT控制详细介绍
华为防火墙NAT控制详细介绍
正向条目携带端口信息,用来使外部用户访问202.96.1.10时直接经过Server-map表进行目标地址转换
反向条目不携带端口信息,且目标地址时任意的,用来使服务器能够访问互联网前提是必须是TCP协议,
四,NAT对报文的处理流程
华为防火墙NAT控制详细介绍
NAT配置(三种方法)
华为防火墙NAT控制详细介绍
(1)NAT No-pat
华为防火墙NAT控制详细介绍
走一条默认路由
配置安全策略
华为防火墙NAT控制详细介绍
配置NAT地址组,地址组中,地址对应的是公网IP
华为防火墙NAT控制详细介绍
配置NAT策略
华为防火墙NAT控制详细介绍
针对转换后的全局地址(NAT地址组中的地址)配置黑洞路由
华为防火墙NAT控制详细介绍
验证NAT配置,用PC1能够ping外网的PC2,能够查看会话表![]华为防火墙NAT控制详细介绍
三个红框表示为源地址,转化的地址,访问的地址
也能够查看Server-map表
华为防火墙NAT控制详细介绍
华为防火墙NAT控制详细介绍安全

(2)NAPT的配置
仍是上面的图,重作NAPT
配置IP
华为防火墙NAT控制详细介绍
华为防火墙NAT控制详细介绍
配置安全策略
华为防火墙NAT控制详细介绍
配置NAT地址组,地址组中对应的是公网IP
华为防火墙NAT控制详细介绍
配置NAT策略
华为防火墙NAT控制详细介绍
配置路由黑洞
华为防火墙NAT控制详细介绍
验证结果用PC1ping外网PC2
华为防火墙NAT控制详细介绍
华为防火墙NAT控制详细介绍
(3)出接口地址(Easy-IP)就是用R1路由器的g0/0/1的接口去访问PC2(从新配置)
配置IP
华为防火墙NAT控制详细介绍
华为防火墙NAT控制详细介绍
配置安全策略
华为防火墙NAT控制详细介绍
配置NAT策略
华为防火墙NAT控制详细介绍
验证能够发现,都是转换的R1路由器g0/0/1接口IP去访问的
华为防火墙NAT控制详细介绍
五,综合案例
要求:服务器

  1. 财务主机经过no-pat访问internet(使用100.2.2.10-11)
  2. 学术部主机经过napt访问internet(使用100.2.2.12)
  3. 公司其它部门经过g1/0/0访问internet
  4. 配置natserver发布dmz中的服务器(使用100.2.2.9)
    华为防火墙NAT控制详细介绍
    1、财务主机经过no-pat访问internet
    1.配置网络参数及路由
    [USG6000V1] int g1/0/2
    [USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
    [USG6000V1-GigabitEthernet1/0/2] undo sh
    Info: Interface GigabitEthernet1/0/2 is not shutdown.
    [USG6000V1-GigabitEthernet1/0/2] quit
    [USG6000V1] int g1/0/0
    [USG6000V1-GigabitEthernet1/0/0] ip add 100.1.1.2 30
    [USG6000V1-GigabitEthernet1/0/0] undo sh
    [USG6000V1-GigabitEthernet1/0/0] quit
    [USG6000V1] i proute-static 0.0.0.0 0.0.0.0 100.1.1.1
    2.配置安全策略
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/2
    [USG6000V1-zone-trust] quit
    [USG6000V1] firewall zone untrust
    [USG6000V1-zone-untrust] add int g1/0/0
    [USG6000V1-zone-untrust] quit
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_1
    [USG6000V1-policy-security-rule-sec_1] source-address 192.168.1.0 24
    [USG6000V1-policy-security-rule-sec_1] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_1] action permit
    3.配置nat地址组,地址池中的地址对应的是公网地址
    [USG6000V1-policy-security] quit
    [USG6000V1] nat address-group natgroup
    [USG6000V1-address-group-natgroup] section 0 100.2.2.10 100.2.2.11
    [USG6000V1-address-group-natgroup] mode no-pat local
    [USG6000V1-address-group-natgroup]
    4.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy
    [USG6000V1-policy-nat-rule-natpolicy] source-address 192.168.1.0 24
    [USG6000V1-policy-nat-rule-natpolicy] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy] action nat address-group natgroup
    [USG6000V1-policy-nat-rule-natpolicy] quit
    [USG6000V1-policy-nat] quit
    5.针对转换后的全局地址配置黑洞路由
    [USG6000V1] ip route-static 100.2.2.10 32 null 0
    [USG6000V1] ip route-static 100.2.2.11 32 null 0
    6.配置r1(isp)
    <Huawei>sys
    Enter system view, return user view with Ctrl+Z.
    [Huawei] sysname r1
    [r1] undo info ena
    [r1] int g0/0/0
    [r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
    [r1-GigabitEthernet0/0/0] int g0/0/1
    [r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
    [r1-GigabitEthernet0/0/1] undo sh
    [r1-GigabitEthernet0/0/1] quit
    [r1] ip route-static 100.2.2.8 29 100.1.1.2
    7.测试:从财务客户机上访问internet服务器
    华为防火墙NAT控制详细介绍
    2、学术部主机经过napt访问internet(使用100.2.2.12)
    1.配置网络参数
    [USG6000V1] int g1/0/3
    [USG6000V1-GigabitEthernet1/0/3] ip add 192.168.2.1 24
    [USG6000V1-GigabitEthernet1/0/3] quit
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/3
    [USG6000V1-zone-trust]q uit
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security-rule-sec_2] source-address 192.168.2.0 24
    [USG6000V1-policy-security-rule-sec_2] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_2] action permit
    [USG6000V1-policy-security-rule-sec_2] quit
    3.配置nat地址组
    [USG6000V1] nat address-group natgroup_2.0
    [USG6000V1-address-group-natgroup_2.0] section 0 100.2.2.12 100.2.2.12
    [USG6000V1-address-group-natgroup_2.0] mode pat
    [USG6000V1-address-group-natgroup_2.0] quit
    4.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] source-address 192.168.2.0 24
    [USG6000V1-policy-nat-rule-natpolicy_2.0] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy_2.0] action nat address-group natgroup_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] quit
    [USG6000V1-policy-nat] quit
    5.针对转换后的全局地址,配置黑洞路由
    [USG6000V1] ip route-static 100.2.2.12 32 null 0
    6.验证nat配置
    .华为防火墙NAT控制详细介绍
    3、出接口地址(easy-ip)使公司其它部门经过g1/0/0访问internet

    1.配置网络参数
    [USG6000V1] int g1/0/4
    [USG6000V1-GigabitEthernet1/0/4] ip add 192.168.3.1 24
    [USG6000V1-GigabitEthernet1/0/4] quit
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/4
    [USG6000V1-zone-trust]
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_3
    [USG6000V1-policy-security-rule-sec_3] source-address 192.168.3.0 24
    [USG6000V1-policy-security-rule-sec_3] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_3] action permit
    [USG6000V1-policy-security-rule-sec_3] quit
    [USG6000V1-policy-security] quit
    3.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy_3.0
    [USG6000V1-policy-nat-rule-natpolicy_3.0] source-address 192.168.3.0 24
    [USG6000V1-policy-nat-rule-natpolicy_3.0] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
    [USG6000V1-policy-nat-rule-natpolicy_3.0] quit
    [USG6000V1-policy-nat] quit
    4.验证easy-ip
    1)ping测试
    华为防火墙NAT控制详细介绍
    4、配置natserver发布dmz中的服务器(使用100.2.2.9)
    1.配置网络参数
    [USG6000V1-GigabitEthernet1/0/0] int g1/0/1
    [USG6000V1-GigabitEthernet1/0/1] ip add 192.168.0.1 24
    [USG6000V1-GigabitEthernet1/0/1] quit
    [USG6000V1] firewall zone dmz
    [USG6000V1-zone-dmz] add int g1/0/1
    [USG6000V1-zone-dmz] quit
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_4
    [USG6000V1-policy-security-rule-sec_4] source-zone untrust
    [USG6000V1-policy-security-rule-sec_4] destination-address 192.168.0.0 24
    [USG6000V1-policy-security-rule-sec_4] action permit
    [USG6000V1-policy-security] quit
    3.配置ftp应用层检测(此步骤能够省略,默认已经开启)
    [USG6000V1] firewall inter trust untrust
    [USG6000V1-interzone-trust-untrust] detect ftp
    [USG6000V1-interzone-trust-untrust] quit
    4.配置nat server
    [USG6000V1] nat server natserver global 100.2.2.9 inside 192.168.0.2
    5.配置黑洞路由
    [USG6000V1] ip route-static 100.2.2.9 32 null 0
    6.验证
    1)在互联网主机上访问dmz中的服务器
    华为防火墙NAT控制详细介绍
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程