华为Web举例:私网用户通过三元组NAT访问Internet

2024-03-05 17:12

本文主要是介绍华为Web举例:私网用户通过三元组NAT访问Internet,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Web举例:私网用户通过三元组NAT访问Internet

介绍私网用户通过三元组NAT访问Internet的配置举例。

组网需求

某公司在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。网络环境如图1所示,其中Router是ISP提供的接入网关。

同时,要求私网用户与Internet上的主机之间能进行P2P业务交流,如文件共享、语音通信、视频传输等,Internet上的主机也能主动访问私网用户。

图1 源NAT策略组网图

数据规划

项目

数据

说明

GigabitEthernet 1/0/1

IP地址:10.1.1.1/24

安全区域:Trust

私网主机需要将10.1.1.1配置为默认网关。

GigabitEthernet 1/0/2

IP地址:1.1.1.1/24

安全区域:Untrust

实际配置时需要按照ISP的要求进行配置。

允许访问Internet的私网网段

10.1.1.0/24

-

转换后的公网地址

1.1.1.10~1.1.1.15

Full-cone方式转换后的公网地址。

路由

FW缺省路由

目的地址:0.0.0.0

下一跳:1.1.1.254

为了使私网流量可以正常转发至ISP的路由器,可以在FW上配置去往Internet的缺省路由。

Router静态路由

目的地址:1.1.1.10~1.1.1.15

下一跳:1.1.1.1

由于转换后的公网地址不存在实际接口,通过路由协议无法直接发现,所以需要在Router上手工配置静态路由。通常需要联系ISP的网络管理员配置。

配置思路
  1. 配置接口IP地址和安全区域,完成网络基本参数配置。
  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。
  3. 配置NAT地址池。
  4. 配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
  5. 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
  6. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。
  7. 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。

操作步骤
  1. 配置FW的接口IP地址,并将接口加入安全区域。
    1. 配置接口GigabitEthernet 1/0/1的IP地址,并将接口加入安全区域。

      1. 选择“网络 > 接口”。

      2. 在“接口列表”中,单击接口GigabitEthernet 1/0/1所在行的

        ,按如下参数进行配置。

        安全区域

        trust

        IPv4

        IP地址

        10.1.1.1/24

      3. 单击“确定”。

    2. 配置接口GigabitEthernet 1/0/2的IP地址,并将接口加入安全区域。

      1. 在“接口列表”中,单击接口GigabitEthernet 1/0/2所在行的

        ,按如下参数进行配置。

        安全区域

        untrust

        IPv4

        IP地址

        1.1.1.1/24

      2. 单击“确定”。

  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。

    1. 选择“策略 > 安全策略 > 安全策略”。

    2. 在“安全策略列表”中,单击“新建”,选择“新建安全策略”,按如下参数配置安全策略。

      名称

      policy1

      源安全区域

      trust

      目的安全区域

      untrust

      源地址/地区

      10.1.1.0/24

      动作

      允许

    3. 单击“确定”。

  3. 配置NAT地址池和NAT策略。

    1. 选择“策略 > NAT策略 > NAT策略 > 源转换地址池”。

    2. 在“源转换地址池列表”中,单击“新建”,按如下参数配置NAT地址池。

    3. 单击“确定”。

    4. 选择“策略 > NAT策略 > NAT策略 > NAT策略”。

    5. 在“NAT策略列表”中,单击“新建”,按如下参数配置NAT策略。

    6. 单击“确定”。

  4. 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。

    1. 选择“网络 > 路由 > 静态路由”。

    2. 在“静态路由列表”中,单击“新建”,按如下参数配置缺省路由。

      协议类型

      IPv4

      目的地址/掩码

      0.0.0.0/0.0.0.0

      下一跳

      1.1.1.254

    3. 单击“确定”。

  5. 可选:开启端点无关过滤功能,缺省情况下,端点无关过滤功能为开启状态。如果没有开启该功能,还需要配置公网到私网的安全策略。

    [FW] firewall endpoint-independent filter enable

  6. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。具体配置过程略。
  7. 在Router上配置到NAT地址池地址(1.1.1.10~1.1.1.15)的静态路由,下一跳为1.1.1.1,使从Internet返回的流量可以被正常转发至FW。

    通常需要联系ISP的网络管理员来配置此静态路由。

配置脚本
FW的配置脚本:#sysname FW
#
interface GigabitEthernet1/0/1undo shutdownip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2undo shutdownip address 1.1.1.1 255.255.255.0 
#
firewall zone trustset priority 85add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/2
#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 
# 
nat address-group addressgroup1 0mode full-cone globalroute enablesection 0 1.1.1.10 1.1.1.15 
#  
security-policy   rule name policy1  source-zone trust destination-zone untrust source-address 10.1.1.0 24  action permit 
#  
nat-policy  rule name policy_nat1 source-zone trust destination-zone untrust  source-address 10.1.1.0 24   action source-nat address-group addressgroup1  
#                                          
return

这篇关于华为Web举例:私网用户通过三元组NAT访问Internet的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/777227

相关文章

Java中Switch Case多个条件处理方法举例

《Java中SwitchCase多个条件处理方法举例》Java中switch语句用于根据变量值执行不同代码块,适用于多个条件的处理,:本文主要介绍Java中SwitchCase多个条件处理的相... 目录前言基本语法处理多个条件示例1:合并相同代码的多个case示例2:通过字符串合并多个case进阶用法使用

Mysql用户授权(GRANT)语法及示例解读

《Mysql用户授权(GRANT)语法及示例解读》:本文主要介绍Mysql用户授权(GRANT)语法及示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录mysql用户授权(GRANT)语法授予用户权限语法GRANT语句中的<权限类型>的使用WITH GRANT

售价599元起! 华为路由器X1/Pro发布 配置与区别一览

《售价599元起!华为路由器X1/Pro发布配置与区别一览》华为路由器X1/Pro发布,有朋友留言问华为路由X1和X1Pro怎么选择,关于这个问题,本期图文将对这二款路由器做了期参数对比,大家看... 华为路由 X1 系列已经正式发布并开启预售,将在 4 月 25 日 10:08 正式开售,两款产品分别为华

Python中局部变量和全局变量举例详解

《Python中局部变量和全局变量举例详解》:本文主要介绍如何通过一个简单的Python代码示例来解释命名空间和作用域的概念,它详细说明了内置名称、全局名称、局部名称以及它们之间的查找顺序,文中通... 目录引入例子拆解源码运行结果如下图代码解析 python3命名空间和作用域命名空间命名空间查找顺序命名空

Java中使用Hutool进行AES加密解密的方法举例

《Java中使用Hutool进行AES加密解密的方法举例》AES是一种对称加密,所谓对称加密就是加密与解密使用的秘钥是一个,下面:本文主要介绍Java中使用Hutool进行AES加密解密的相关资料... 目录前言一、Hutool简介与引入1.1 Hutool简介1.2 引入Hutool二、AES加密解密基础

C语言函数递归实际应用举例详解

《C语言函数递归实际应用举例详解》程序调用自身的编程技巧称为递归,递归做为一种算法在程序设计语言中广泛应用,:本文主要介绍C语言函数递归实际应用举例的相关资料,文中通过代码介绍的非常详细,需要的朋... 目录前言一、递归的概念与思想二、递归的限制条件 三、递归的实际应用举例(一)求 n 的阶乘(二)顺序打印

Linux系统配置NAT网络模式的详细步骤(附图文)

《Linux系统配置NAT网络模式的详细步骤(附图文)》本文详细指导如何在VMware环境下配置NAT网络模式,包括设置主机和虚拟机的IP地址、网关,以及针对Linux和Windows系统的具体步骤,... 目录一、配置NAT网络模式二、设置虚拟机交换机网关2.1 打开虚拟机2.2 管理员授权2.3 设置子

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

java中反射(Reflection)机制举例详解

《java中反射(Reflection)机制举例详解》Java中的反射机制是指Java程序在运行期间可以获取到一个对象的全部信息,:本文主要介绍java中反射(Reflection)机制的相关资料... 目录一、什么是反射?二、反射的用途三、获取Class对象四、Class类型的对象使用场景1五、Class

一文教你如何将maven项目转成web项目

《一文教你如何将maven项目转成web项目》在软件开发过程中,有时我们需要将一个普通的Maven项目转换为Web项目,以便能够部署到Web容器中运行,本文将详细介绍如何通过简单的步骤完成这一转换过程... 目录准备工作步骤一:修改​​pom.XML​​1.1 添加​​packaging​​标签1.2 添加