《配置地址池方式的NAPT和NAT Server举例》由会员分享,可在线阅读,更多相关《配置地址池方式的NAPT和NAT Server举例(8页珍藏版)》请在金锄头文库上搜索。
1、文档名称 文档密级2017-5-13 华为保密信息,未经授权禁止扩散 第 1 页 , 共 9 页1 配置地址池方式的 NAPT 和 NAT Server 举例(路由应用)本例给出一个常见的企业的 NAT场景的配置过程。这个企业在对外 Web服务和FTP服务的同时,还有部分员工需要通过 NAT访问 Internet。由于该企业公网IP资源较多,所以使用地址池方式来划定公网 IP范围。组网:Trust(192.168.1.0/24)-(1)usg(3)-untrust|Dmz(10.1.1.0/24;ftp的 ip是 10.1.1.2/24;web的是10.1.1.3/24)组网需求如 图 1所示
2、,某公司内部网络通过 USG与 Internet进行连接,将内网用户划分到 Trust区域,两台服务器划分到 DMZ区域,将 Internet划分到 Untrust区域。 需求 1该公司 Trust区域的 192.168.1.0/24网段的用户可以访问 Internet,该安全区域其它网段的用户不能访问。提供的访问外部网络的合法 IP地址范围为 1.1.1.31.1.1.6。由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。 需求 2提供 FTP和 Web服务器供外部网络用户访问。其中 FTP Server的内部IP地址为
3、10.1.1.2,端口号为缺省值 21,Web Server 的内部 IP地址为10.1.1.3,端口为 8080。两者对外公布的地址均为 1.1.1.2,对外使用的端口号均为缺省值,即 21和 80。图1 配置NAPT和内部服务器组网图 文档名称 文档密级2017-5-13 华为保密信息,未经授权禁止扩散 第 2 页 , 共 9 页项目 数据 备注(1) 接口号:GigabitEthernet 0/0/1IP地址:192.168.1.1/24安全区域:Trust-(2) 接口号:GigabitEthernet 0/0/2IP地址:10.1.1.1/24安全区域:DMZ-(3) 接口号:Gig
4、abitEthernet 0/0/3IP地址:1.1.1.1/24安全区域:Untrust-FTP Server IP地址:10.1.1.2/24 -Web Server IP地址:10.1.1.3/24 -操作步骤1. 配置各接口的 IP 地址,并将其加入安全区域。 2. system-view3. USG interface GigabitEthernet 0/0/14. USG-GigabitEthernet0/0/1 ip address 192.168.1.1 245. USG-GigabitEthernet0/0/1 quit6. USG interface GigabitEthe
5、rnet 0/0/27. USG-GigabitEthernet0/0/2 ip address 10.1.1.1 248. USG-GigabitEthernet0/0/2 quit9. USG interface GigabitEthernet 0/0/310. USG-GigabitEthernet0/0/3 ip address 1.1.1.1 2411. USG-GigabitEthernet0/0/3 quit12. USG firewall zone trust13. USG-zone-trust add interface GigabitEthernet 0/0/1文档名称 文
6、档密级2017-5-13 华为保密信息,未经授权禁止扩散 第 3 页 , 共 9 页14. USG-zone-trust quit15. USG firewall zone dmz16. USG-zone-dmz add interface GigabitEthernet 0/0/217. USG-zone-dmz quit18. USG firewall zone untrust19. USG-zone-untrust add interface GigabitEthernet 0/0/3USG-zone-untrust quit20. 对于 USG 系列,配置域间包过滤,以保证网络基本通信
7、正常。对于 USG BSR/HSR系列,不需要执行此步骤。使 192.168.1.0/24 网段用户可以访问 Untrust 区域,使Untrust 区域用户可以访问 DMZ 区域中的 10.1.1.2 和 10.1.1.3 两台服务器。 21. USG policy interzone trust untrust outbound22. USG-policy-interzone-trust-untrust-outbound policy 023. USG-policy-interzone-trust-untrust-outbound-0 policy source 192.168.1.0 0
8、.0.0.25524. USG-policy-interzone-trust-untrust-outbound-0 action permit25. USG-policy-interzone-trust-untrust-outbound-0 quit26. USG-policy-interzone-trust-untrust-outbound quit27. USG policy interzone dmz untrust inbound28. USG-policy-interzone-dmz-untrust-inbound policy 029. USG-policy-interzone-d
9、mz-untrust-inbound-0 policy destination 10.1.1.2 030. USG-policy-interzone-dmz-untrust-inbound-0 policy service service-set ftp 31. USG-policy-interzone-dmz-untrust-inbound-0 action permit32. USG-policy-interzone-dmz-untrust-inbound-0 quit33. USG-policy-interzone-dmz-untrust-inbound policy 134. USG-
10、policy-interzone-dmz-untrust-inbound-1 policy destination 10.1.1.3 035. USG-policy-interzone-dmz-untrust-inbound-1 policy service service-set http36. USG-policy-interzone-dmz-untrust-inbound-1 action permit37. USG-policy-interzone-dmz-untrust-inbound-1 quitUSG-policy-interzone-dmz-untrust-inbound qu
11、it38. 配置 NAPT,完成需求 1。 a. 创建 NAT 地址池。 USG nat address-group 1 1.1.1.3 1.1.1.6b. 创建 Trust 区域和 Untrust 区域之间的 NAT 策略,确定进行 NAT 转换的源地址范围,并且将其与 NAT 地址池 1 进行绑定。 c. USG nat-policy interzone trust untrust outbound文档名称 文档密级2017-5-13 华为保密信息,未经授权禁止扩散 第 4 页 , 共 9 页d. USG-nat-policy-interzone-trust-untrust-outboun
12、d policy 0e. USG-nat-policy-interzone-trust-untrust-outbound-0 policy source 192.168.1.0 0.0.0.255f. USG-nat-policy-interzone-trust-untrust-outbound-0 action source-natg. USG-nat-policy-interzone-trust-untrust-outbound-0 address-group 1 h. USG-nat-policy-interzone-trust-untrust-outbound-0 quitUSG-na
13、t-policy-interzone-trust-untrust-outbound quit39. 配置内部服务器,完成需求 2。 a. 创建两台内网服务器的公网 IP 与私网 IP 的映射关系。 b. USG nat server protocol tcp global 1.1.1.2 ftp inside 10.1.1.2 ftpUSG nat server protocol tcp global 1.1.1.2 www inside 10.1.1.3 8080c. 在 DMZ 和 Untrust 域间配置 NAT ALG,使服务器可以正常对外提供 FTP服务。 d. USG firewa
14、ll interzone dmz untruste. USG-interzone-dmz-untrust detect ftpUSG-interzone-dmz-untrust quit40. 在 USG 以及与 USG 相连的网络设备上正确配置路由协议,使外网设备可以正确生成达到内部服务器的路由信息,使设备上可以正确生成外网的路由信息。 操作结果 需求 1结果验证。1. 配置完成后,从内部网络的主机 192.168.1.2 Ping公网地址(如2.2.2.2),可以 Ping通。C:Documents and SettingsAdministratorping 2.2.2.2PING 2.2
15、.2.2: 56 data bytes, press CTRL_C to break Reply from 2.2.2.2: bytes=56 Sequence=1 ttl=254 time=20 ms Reply from 2.2.2.2: bytes=56 Sequence=2 ttl=254 time=10 ms Reply from 2.2.2.2: bytes=56 Sequence=3 ttl=254 time=10 ms Reply from 2.2.2.2: bytes=56 Sequence=4 ttl=254 time=10 ms Reply from 2.2.2.2: bytes=56 Sequence=5 ttl=254 time=10 ms - 2.2.2.2 ping statistics - 文档名称 文档密级2017-5-13 华为保密信息,未经授权禁止扩散 第 5 页 , 共 9 页5 packet(s) transmitted 5 packet(s) received
