华为Web举例:私网用户通过三元组NAT访问Internet

2024-03-05 17:12

本文主要是介绍华为Web举例:私网用户通过三元组NAT访问Internet,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Web举例:私网用户通过三元组NAT访问Internet

介绍私网用户通过三元组NAT访问Internet的配置举例。

组网需求

某公司在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。网络环境如图1所示,其中Router是ISP提供的接入网关。

同时,要求私网用户与Internet上的主机之间能进行P2P业务交流,如文件共享、语音通信、视频传输等,Internet上的主机也能主动访问私网用户。

图1 源NAT策略组网图

数据规划

项目

数据

说明

GigabitEthernet 1/0/1

IP地址:10.1.1.1/24

安全区域:Trust

私网主机需要将10.1.1.1配置为默认网关。

GigabitEthernet 1/0/2

IP地址:1.1.1.1/24

安全区域:Untrust

实际配置时需要按照ISP的要求进行配置。

允许访问Internet的私网网段

10.1.1.0/24

-

转换后的公网地址

1.1.1.10~1.1.1.15

Full-cone方式转换后的公网地址。

路由

FW缺省路由

目的地址:0.0.0.0

下一跳:1.1.1.254

为了使私网流量可以正常转发至ISP的路由器,可以在FW上配置去往Internet的缺省路由。

Router静态路由

目的地址:1.1.1.10~1.1.1.15

下一跳:1.1.1.1

由于转换后的公网地址不存在实际接口,通过路由协议无法直接发现,所以需要在Router上手工配置静态路由。通常需要联系ISP的网络管理员配置。

配置思路
  1. 配置接口IP地址和安全区域,完成网络基本参数配置。
  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。
  3. 配置NAT地址池。
  4. 配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
  5. 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
  6. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。
  7. 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。

操作步骤
  1. 配置FW的接口IP地址,并将接口加入安全区域。
    1. 配置接口GigabitEthernet 1/0/1的IP地址,并将接口加入安全区域。

      1. 选择“网络 > 接口”。

      2. 在“接口列表”中,单击接口GigabitEthernet 1/0/1所在行的

        ,按如下参数进行配置。

        安全区域

        trust

        IPv4

        IP地址

        10.1.1.1/24

      3. 单击“确定”。

    2. 配置接口GigabitEthernet 1/0/2的IP地址,并将接口加入安全区域。

      1. 在“接口列表”中,单击接口GigabitEthernet 1/0/2所在行的

        ,按如下参数进行配置。

        安全区域

        untrust

        IPv4

        IP地址

        1.1.1.1/24

      2. 单击“确定”。

  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。

    1. 选择“策略 > 安全策略 > 安全策略”。

    2. 在“安全策略列表”中,单击“新建”,选择“新建安全策略”,按如下参数配置安全策略。

      名称

      policy1

      源安全区域

      trust

      目的安全区域

      untrust

      源地址/地区

      10.1.1.0/24

      动作

      允许

    3. 单击“确定”。

  3. 配置NAT地址池和NAT策略。

    1. 选择“策略 > NAT策略 > NAT策略 > 源转换地址池”。

    2. 在“源转换地址池列表”中,单击“新建”,按如下参数配置NAT地址池。

    3. 单击“确定”。

    4. 选择“策略 > NAT策略 > NAT策略 > NAT策略”。

    5. 在“NAT策略列表”中,单击“新建”,按如下参数配置NAT策略。

    6. 单击“确定”。

  4. 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。

    1. 选择“网络 > 路由 > 静态路由”。

    2. 在“静态路由列表”中,单击“新建”,按如下参数配置缺省路由。

      协议类型

      IPv4

      目的地址/掩码

      0.0.0.0/0.0.0.0

      下一跳

      1.1.1.254

    3. 单击“确定”。

  5. 可选:开启端点无关过滤功能,缺省情况下,端点无关过滤功能为开启状态。如果没有开启该功能,还需要配置公网到私网的安全策略。

    [FW] firewall endpoint-independent filter enable

  6. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。具体配置过程略。
  7. 在Router上配置到NAT地址池地址(1.1.1.10~1.1.1.15)的静态路由,下一跳为1.1.1.1,使从Internet返回的流量可以被正常转发至FW。

    通常需要联系ISP的网络管理员来配置此静态路由。

配置脚本
FW的配置脚本:#sysname FW
#
interface GigabitEthernet1/0/1undo shutdownip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2undo shutdownip address 1.1.1.1 255.255.255.0 
#
firewall zone trustset priority 85add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/2
#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 
# 
nat address-group addressgroup1 0mode full-cone globalroute enablesection 0 1.1.1.10 1.1.1.15 
#  
security-policy   rule name policy1  source-zone trust destination-zone untrust source-address 10.1.1.0 24  action permit 
#  
nat-policy  rule name policy_nat1 source-zone trust destination-zone untrust  source-address 10.1.1.0 24   action source-nat address-group addressgroup1  
#                                          
return

这篇关于华为Web举例:私网用户通过三元组NAT访问Internet的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/777227

相关文章

java中反射(Reflection)机制举例详解

《java中反射(Reflection)机制举例详解》Java中的反射机制是指Java程序在运行期间可以获取到一个对象的全部信息,:本文主要介绍java中反射(Reflection)机制的相关资料... 目录一、什么是反射?二、反射的用途三、获取Class对象四、Class类型的对象使用场景1五、Class

一文教你如何将maven项目转成web项目

《一文教你如何将maven项目转成web项目》在软件开发过程中,有时我们需要将一个普通的Maven项目转换为Web项目,以便能够部署到Web容器中运行,本文将详细介绍如何通过简单的步骤完成这一转换过程... 目录准备工作步骤一:修改​​pom.XML​​1.1 添加​​packaging​​标签1.2 添加

Java常用注解扩展对比举例详解

《Java常用注解扩展对比举例详解》:本文主要介绍Java常用注解扩展对比的相关资料,提供了丰富的代码示例,并总结了最佳实践建议,帮助开发者更好地理解和应用这些注解,需要的朋友可以参考下... 目录一、@Controller 与 @RestController 对比二、使用 @Data 与 不使用 @Dat

mysql删除无用用户的方法实现

《mysql删除无用用户的方法实现》本文主要介绍了mysql删除无用用户的方法实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 1、删除不用的账户(1) 查看当前已存在账户mysql> select user,host,pa

使用Dify访问mysql数据库详细代码示例

《使用Dify访问mysql数据库详细代码示例》:本文主要介绍使用Dify访问mysql数据库的相关资料,并详细讲解了如何在本地搭建数据库访问服务,使用ngrok暴露到公网,并创建知识库、数据库访... 1、在本地搭建数据库访问的服务,并使用ngrok暴露到公网。#sql_tools.pyfrom

Javascript访问Promise对象返回值的操作方法

《Javascript访问Promise对象返回值的操作方法》这篇文章介绍了如何在JavaScript中使用Promise对象来处理异步操作,通过使用fetch()方法和Promise对象,我们可以从... 目录在Javascript中,什么是Promise1- then() 链式操作2- 在之后的代码中使

web网络安全之跨站脚本攻击(XSS)详解

《web网络安全之跨站脚本攻击(XSS)详解》:本文主要介绍web网络安全之跨站脚本攻击(XSS)的相关资料,跨站脚本攻击XSS是一种常见的Web安全漏洞,攻击者通过注入恶意脚本诱使用户执行,可能... 目录前言XSS 的类型1. 存储型 XSS(Stored XSS)示例:危害:2. 反射型 XSS(Re

如何使用Docker部署FTP和Nginx并通过HTTP访问FTP里的文件

《如何使用Docker部署FTP和Nginx并通过HTTP访问FTP里的文件》本文介绍了如何使用Docker部署FTP服务器和Nginx,并通过HTTP访问FTP中的文件,通过将FTP数据目录挂载到N... 目录docker部署FTP和Nginx并通过HTTP访问FTP里的文件1. 部署 FTP 服务器 (

Java中ArrayList和LinkedList有什么区别举例详解

《Java中ArrayList和LinkedList有什么区别举例详解》:本文主要介绍Java中ArrayList和LinkedList区别的相关资料,包括数据结构特性、核心操作性能、内存与GC影... 目录一、底层数据结构二、核心操作性能对比三、内存与 GC 影响四、扩容机制五、线程安全与并发方案六、工程

定价129元!支持双频 Wi-Fi 5的华为AX1路由器发布

《定价129元!支持双频Wi-Fi5的华为AX1路由器发布》华为上周推出了其最新的入门级Wi-Fi5路由器——华为路由AX1,建议零售价129元,这款路由器配置如何?详细请看下文介... 华为 Wi-Fi 5 路由 AX1 已正式开售,新品支持双频 1200 兆、配有四个千兆网口、提供可视化智能诊断功能,建