#|华为USG6000V 内网通过NAT地址池访问公网 NAT|黑洞路由|防火墙|防火墙

一、组网需求 1、某公司在网络边界处部署了NGFW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet，需要在NGFW上配置源NAT策略。除了公网接口的IP地址外，公司还向ISP申请了6个IP地址（1.1.1.10～1.1.1.15）作为私网地址转换后的公网地址。网络环境如图1所示，其中Router是ISP提供的接入网关。
2、网络拓扑

文章图片

3、数据规划

文章图片

4、配置思路
配置接口IP地址和安全区域，完成网络基本参数配置。
配置安全策略，允许私网指定网段与Internet进行报文交互。
配置NAT地址池。
配置源NAT策略，实现私网指定网段访问Internet时自动进行源地址转换。
在NGFW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。
在NGFW上配置黑洞路由，避免NGFW与Router之间产生路由环路。
在私网主机上配置缺省网关，使私网主机访问Internet时，将流量发往NGFW。
在Router上配置静态路由，使从Internet返回的流量可以被正常转发至NGFW。
二、操作步骤 1、配置接口IP地址

system-view [USG6000V1]interface GigabitEthernet1/0/1 [USG6000V1-GigabitEthernet1/0/1]ip address10.1.1.1 24 [USG6000V1-GigabitEthernet1/0/1]service-manage ping permit [USG6000V1-GigabitEthernet1/0/1]q [USG6000V1]interface GigabitEthernet1/0/2 [USG6000V1-GigabitEthernet1/0/2]ip address1.1.1.1 24 [USG6000V1-GigabitEthernet1/0/2]service-manage ping permit [USG6000V1-GigabitEthernet1/0/2]q [USG6000V1-GigabitEthernet1/0/2]ip address1.1.1.1 24 [USG6000V1-GigabitEthernet1/0/2]service-manage ping permit [USG6000V1-GigabitEthernet1/0/2]q

【#|华为USG6000V 内网通过NAT地址池访问公网】2、接口加入相应安全区域

[USG6000V1]firewallzonetrust [USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/1 [USG6000V1-zone-trust]q [USG6000V1]firewall zoneuntrust [USG6000V1-zone-untrust]add interface GigabitEthernet1/0/2 [USG6000V1-zone-untrust]q

3、配置安全策略，允许内网指定网点与公网进行报文交互

[USG6000V1]security-policy [USG6000V1-policy-security]rule name trust_untrust [USG6000V1-policy-security-rule-trust_untrust]source-zonetrust [USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust [USG6000V1-policy-security-rule-trust_untrust]source-address10.1.1.0 24 [USG6000V1-policy-security-rule-trust_untrust]actionpermit [USG6000V1-policy-security-rule-trust_untrust]q [USG6000V1-policy-security]q

4、配置NAT地址池，并允许端口转换，实现公网地址复用

[USG6000V1]nat address-group address1 [USG6000V1-address-group-address1]section 0 1.1.1.10 1.1.1.15 [USG6000V1-address-group-address1]mode pat [USG6000V1-address-group-address1]q

5、配置源NAT策略，实现内网指定网段访问公网时自动进行源地址转换

[USG6000V1]nat-policy [USG6000V1-policy-nat]rule namepolicy_nat [USG6000V1-policy-nat-rule-policy_nat]source-address 10.1.1.0 24 [USG6000V1-policy-nat-rule-policy_nat]source-zonetrust [USG6000V1-policy-nat-rule-policy_nat]destination-zone untrust [USG6000V1-policy-nat-rule-policy_nat]actionnat address-group address1 [USG6000V1-policy-nat-rule-policy_nat]q [USG6000V1-policy-nat]q

6、在防火墙配置缺省路由，使内网流量可以正常发送至ISP路由器

[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

7、在防火墙上配置黑洞路由，避免防火墙域ISP的路由器之间产生环路

[USG6000V1]ip route-static 1.1.1.10 32 NULL 0 [USG6000V1]ip route-static 1.1.1.11 32 NULL0 [USG6000V1]ip route-static 1.1.1.12 32 NULL0 [USG6000V1]ip route-static 1.1.1.13 32 NULL0 [USG6000V1]ip route-static 1.1.1.14 32 NULL0 [USG6000V1]ip route-static 1.1.1.15 32 NULL0

8、ISP路由器上配置到NAT地址池(1.1.1.10~1.1.1.15)的静态路由，下一跳为1.1.1.1，使从公网返回的流量可以被正常转发至防火墙。需要ISP网络管理员配置此静态路由
三、查看防火墙验证

[USG6000V1]display firewall session table Current Total Sessions : 5 icmpVPN: public --> public10.1.1.10:17386[1.1.1.10:2056] --> 1.1.1.254:2048 icmpVPN: public --> public10.1.1.10:17130[1.1.1.10:2055] --> 1.1.1.254:2048 icmpVPN: public --> public10.1.1.10:16874[1.1.1.10:2054] --> 1.1.1.254:2048 icmpVPN: public --> public10.1.1.10:16618[1.1.1.10:2053] --> 1.1.1.254:2048 icmpVPN: public --> public10.1.1.10:17642[1.1.1.10:2057] --> 1.1.1.254:2048