《HC120119002 USG防火墙NAT业务特性与配置----纯技术篇》由会员分享,可在线阅读,更多相关《HC120119002 USG防火墙NAT业务特性与配置----纯技术篇(18页珍藏版)》请在金锄头文库上搜索。
1、USG防火墙NAT业务特性与配置,前 言,随着因特网的快速发展,它所面临的两个最迫切的问题就是IP地址的匮乏和路由规模的扩大。对此,长期的和短期的解决方案都有所发展,那就是网络地址转换(NAT)和IPv6(下一代因特网协议)技术。在IPv6技术尚在研究中且还未完全取代现有的IPv4网络的情况下,短期解决方案NAT技术对于缓解目前的地址缺乏问题显得尤为重要,Page1,培训目标,学完本课程后,您应该能: 描述NAT技术的原理 描述USG防火墙的各种NAT特性 描述USG防火墙各NAT特性的基本组网与配置,Page2,目 录,NAT技术原理 USG防火墙NAT特性与配置,Page3,NAT基本原理
2、,NAT(Network Address Translation,地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程,Page4,PC,202.130.10.3,Server,202.120.10.2,Server,192.168.1.2,PC,192.168.1.3,USG,Eth0/0/1,202.169.10.1,Eth0/0/0,192.168.1.1,Trust,Untrust,数据报1,源:192.168.1.3,目的:202.120.10.2,数据报2,源:202.120.10.2,目的:202.169.10.1,数据报1,源:202.169.10.1,目的:20
3、2.120.10.2,数据报2,源:202.120.10.2,目的:192.168.1.3,Internet,目 录,NAT技术原理 USG防火墙NAT特性与配置,Page5,NAT/PAT地址转换,Page6,定义地址池 USG2100nat address-group 1 202.38.160.1 202.38.160.4 NAT地址转换 USG2100nat-policy interzone untrust trust inbound USG2100-nat-policy-interzone-trust-untrust-inboundpolicy 1 USG2100-nat-policy
4、-interzone-trust-untrust-inbound-1action source-nat USG2100-nat-policy-interzone-trust-untrust-inbound-1address-group 1 no-pat PAT地址转换 USG2100nat-policy interzone untrust trust inbound USG2100-nat-policy-interzone-trust-untrust-inboundpolicy 1 USG2100-nat-policy-interzone-trust-untrust-inbound-1acti
5、on source-nat USG2100-nat-policy-interzone-trust-untrust-inbound-1address-group 1,内网用户,地址池最多支持 4096个地址,USG,内网,Internet,地址池 202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4,策略NAT,Page7,定义地址池 USG2100nat address-group 1 202.38.160.1 202.38.160.4 配置策略NAT USG2100nat-policy interzone trust untrust outb
6、ound USG2100-nat-policy-interzone-trust-untrust-outboundpolicy 1 USG2100-nat-policy-interzone-trust-untrust-outbound-1policy source 10.1.1.1 0 USG2100-nat-policy-interzone-trust-untrust-outbound-1 action source-nat USG2100-nat-policy-interzone-trust-untrust-outbound-1 address-group 1,PC2,PC1,USG,内网用
7、户,内网,Internet,设置控制PC1可以通过NAT访问Internet,而PC2则不行,10.1.1.1/32,10.1.1.2/32,NAT ALG功能,NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议,例如ICMP、FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些内容不能被NAT有效的转换,就可能导致问题。 例如,一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分,NAT无法对它进行转换。当外部网络主机接收了这个私有地址并使用它,这时F
8、TP服务器将表现为不可达,Page8,ASPF+NAT+ALG,Page9,用户 192.168.0.1,USG防火墙 Nat outbound 202.1.0.1,FTP server 19.49.10.10,三次握手,防火墙创建地址映射Servermap表项 202.1.0.1:20001 192.168.0.1:22787,三次握手,Port 192.168.0.1 89,3,Port 202.1.0.1 78,33,200 Port Command OK,RETR Sample.txt,RETR Sample.txt,200 Port Command OK,150 Opening AS
9、CII connection,150 Opening ASCII connection,SYN dest 202.1.0.1:2001,检测Servermap表项,命中后根据表项进行Nat转换,192.168.0.1:22787,202.1.0.1:20001 192.168.0.1:22787,SYN dest 192.168.0.1:22787,Page10,映射内部服务器,配置NAT SERVER服务器 USG2100nat server protocol tcp global 202.110.1.241 ftp inside 10.100.5.100 ftp,WEB 服务器,DMZ,1
10、0.110.5.101:80,FTP 服务器,10.110.5.100:21,202.110.1.241:21,S0:202.110.1.241,10.110.5.101,10.110.5.100,外网用户,USG,内网,Internet,内网用户,202.110.1.241:80,双向NAT,Page11,配置NAT SERVER服务器 USG2100nat server global 192.168.1.20 inside 202.1.1.10 USG2100nat server global 202.1.1.20 inside 192.168.1.10,192.168.1.1,192.1
11、68.1.10,202.1.1.1,202.1.1.10,域内NAT,Page12,配置同一域内NAT USG nat address-group 1 202.1.1.11 202.1.1.11 USG nat-policy zone trust USG-nat-policy-zone-trust policy 0 USG-nat-policy-zone-trust-0 policy source 192.168.1.0 0.0.0.255 USG-nat-policy-zone-trust-0 action source-nat USG-nat-policy-zone-trust-0 add
12、ress-group 1,防火墙配置了nat server global 202.1.1.10 inside 192.168.1.20,192.168.1.10,客户端,服务器,192.168.1.20,192.168.1.1,202.1.1.1,Page13,为MPLS VPN 用户提供统一的 Internet 访问,NAT 多实例,VPN-2,MPLS CORE,VPN-3,VPN-1,PE,PE,CE,CE,VPN-1,CE,CE,CE,VPN-2,Internet,采用不同的VLAN子接口对应不同VPN的方式,防火墙和PE设备连接,USG,PE,VPN3用户,VPN2用户,VPN1用户
13、,USG上独立地保存三份NAT表,可以承担不同VPN用户的地址转换服务,目的地址NAT,配置ACL过滤规则 USG2100 acl 3000 USG2100-acl-adv-3000 rule permit ip source 10.1.1.10 0 destination 2.2.2.0 0.0.0.255 配置需要作目的NAT的acl规则 USG2100 firewall zone trust USG2100-zone-trust destination-nat 3000 address 200.200.200.3 将10.1.1.10- 2.2.2.0 变换为 10.1.1.10- 200.200.200.3,Page15,问 题,NAT技术的优缺点有哪些,Page16
