华为Web举例：私网用户通过三元组NAT访问Internet

本文主要是介绍华为Web举例：私网用户通过三元组NAT访问Internet，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

Web举例：私网用户通过三元组NAT访问Internet

介绍私网用户通过三元组NAT访问Internet的配置举例。

组网需求

某公司在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet，需要在FW上配置源NAT策略。除了公网接口的IP地址外，公司还向ISP申请了6个IP地址（1.1.1.10～1.1.1.15）作为私网地址转换后的公网地址。网络环境如图1所示，其中Router是ISP提供的接入网关。

同时，要求私网用户与Internet上的主机之间能进行P2P业务交流，如文件共享、语音通信、视频传输等，Internet上的主机也能主动访问私网用户。

图1 源NAT策略组网图

数据规划

项目		数据	说明
GigabitEthernet 1/0/1		IP地址：10.1.1.1/24 安全区域：Trust	私网主机需要将10.1.1.1配置为默认网关。
GigabitEthernet 1/0/2		IP地址：1.1.1.1/24 安全区域：Untrust	实际配置时需要按照ISP的要求进行配置。
允许访问Internet的私网网段		10.1.1.0/24	-
转换后的公网地址		1.1.1.10～1.1.1.15	Full-cone方式转换后的公网地址。
路由	FW缺省路由	目的地址：0.0.0.0 下一跳：1.1.1.254	为了使私网流量可以正常转发至ISP的路由器，可以在FW上配置去往Internet的缺省路由。
路由	Router静态路由	目的地址：1.1.1.10～1.1.1.15 下一跳：1.1.1.1	由于转换后的公网地址不存在实际接口，通过路由协议无法直接发现，所以需要在Router上手工配置静态路由。通常需要联系ISP的网络管理员配置。

配置思路

配置接口IP地址和安全区域，完成网络基本参数配置。
配置安全策略，允许私网指定网段与Internet进行报文交互。
配置NAT地址池。
配置源NAT策略，实现私网指定网段访问Internet时自动进行源地址转换。
在FW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。
在私网主机上配置缺省网关，使私网主机访问Internet时，将流量发往FW。
在Router上配置静态路由，使从Internet返回的流量可以被正常转发至FW。

操作步骤

配置FW的接口IP地址，并将接口加入安全区域。
1. 配置接口GigabitEthernet 1/0/1的IP地址，并将接口加入安全区域。
  1. 选择“网络 > 接口”。
  2. 在“接口列表”中，单击接口GigabitEthernet 1/0/1所在行的
    
    ，按如下参数进行配置。
    
    安全区域
    
    trust
    
    IPv4
    
    IP地址
    
    10.1.1.1/24
  3. 单击“确定”。
2. 配置接口GigabitEthernet 1/0/2的IP地址，并将接口加入安全区域。
  1. 在“接口列表”中，单击接口GigabitEthernet 1/0/2所在行的
    
    ，按如下参数进行配置。
    
    安全区域
    
    untrust
    
    IPv4
    
    IP地址
    
    1.1.1.1/24
  2. 单击“确定”。
配置安全策略，允许私网指定网段与Internet进行报文交互。
1. 选择“策略 > 安全策略 > 安全策略”。
2. 在“安全策略列表”中，单击“新建”，选择“新建安全策略”，按如下参数配置安全策略。
  
  名称
  
  policy1
  
  源安全区域
  
  trust
  
  目的安全区域
  
  untrust
  
  源地址/地区
  
  10.1.1.0/24
  
  动作
  
  允许
3. 单击“确定”。
配置NAT地址池和NAT策略。
1. 选择“策略 > NAT策略 > NAT策略 > 源转换地址池”。
2. 在“源转换地址池列表”中，单击“新建”，按如下参数配置NAT地址池。
3. 单击“确定”。
4. 选择“策略 > NAT策略 > NAT策略 > NAT策略”。
5. 在“NAT策略列表”中，单击“新建”，按如下参数配置NAT策略。
6. 单击“确定”。
在FW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。
1. 选择“网络 > 路由 > 静态路由”。
2. 在“静态路由列表”中，单击“新建”，按如下参数配置缺省路由。
  
  协议类型
  
  IPv4
  
  目的地址/掩码
  
  0.0.0.0/0.0.0.0
  
  下一跳
  
  1.1.1.254
3. 单击“确定”。
可选：开启端点无关过滤功能，缺省情况下，端点无关过滤功能为开启状态。如果没有开启该功能，还需要配置公网到私网的安全策略。
```
[FW] firewall endpoint-independent filter enable
```
在私网主机上配置缺省网关，使私网主机访问Internet时，将流量发往FW。具体配置过程略。
在Router上配置到NAT地址池地址（1.1.1.10～1.1.1.15）的静态路由，下一跳为1.1.1.1，使从Internet返回的流量可以被正常转发至FW。

通常需要联系ISP的网络管理员来配置此静态路由。

安全区域	trust
IPv4
IP地址	10.1.1.1/24

安全区域	untrust
IPv4
IP地址	1.1.1.1/24

名称	policy1
源安全区域	trust
目的安全区域	untrust
源地址/地区	10.1.1.0/24
动作	允许

协议类型	IPv4
目的地址/掩码	0.0.0.0/0.0.0.0
下一跳	1.1.1.254

配置脚本

FW的配置脚本：#sysname FW
#
interface GigabitEthernet1/0/1undo shutdownip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2undo shutdownip address 1.1.1.1 255.255.255.0 
#
firewall zone trustset priority 85add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/2
#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 
# 
nat address-group addressgroup1 0mode full-cone globalroute enablesection 0 1.1.1.10 1.1.1.15 
#  
security-policy   rule name policy1  source-zone trust destination-zone untrust source-address 10.1.1.0 24  action permit 
#  
nat-policy  rule name policy_nat1 source-zone trust destination-zone untrust  source-address 10.1.1.0 24   action source-nat address-group addressgroup1  
#                                          
return

这篇关于华为Web举例：私网用户通过三元组NAT访问Internet的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！