弓背霞明剑照霜,秋风走马出咸阳。这篇文章主要讲述华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)相关的知识,希望能为你提供帮助。
组网需求某工作室在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。由于需要上网的用户少且访问明确的目的Server,FW采用NAT No-PAT的地址转换方式,将匹配上NAT策略的私网地址进行一对一转换。工作室向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。
数据规划【华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)】
配置思路
eNSF拓扑
操作步骤[FW]interface GigabitEthernet1/0/1
Info: Interface GigabitEthernet1/0/1 is not shutdown.
[FW-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1]interface GigabitEthernet1/0/2
[FW-GigabitEthernet1/0/2] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/2]firewall zone trust
[FW-zone-trust] set priority 85
[FW-zone-trust] add interface GigabitEthernet1/0/1
[FW-zone-trust]firewall zone untrust
[FW-zone-untrust] set priority 5
[FW-zone-untrust] add interface GigabitEthernet1/0/2
[FW]security-policy
[FW-policy-security]rule name policy01
[FW-policy-security-rule-policy01]source-zone trust
[FW-policy-security-rule-policy01]destination-zone untrust
[FW-policy-security-rule-policy01]source-address 10.1.1.0 24
[FW-policy-security-rule-policy01]access-authentication
[FW-policy-security-rule-policy01]action permit
[FW-policy-security-rule-policy01]q
[FW-policy-security]q
[FW]nat address-group addressgroup1
[FW-address-group-addressgroup1]mode no-pat global//模式no-pat
[FW-address-group-addressgroup1]section 0 1.1.1.10 1.1.1.15
[FW-address-group-addressgroup1]route enable
[FW-address-group-addressgroup1]quit
NAT NO-PAT有两种:
本地NO-PAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host。
全局NO-PAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网Host。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone trust
[FW-policy-nat-rule-policy_nat1] destination-zone untrust
[FW-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24
[FW-policy-nat-rule-policy_nat1] destination-address 1.1.2.2 24
[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
测试结果PC1 ping PC3
推荐阅读
- win11系统vmware虚拟机报错“不支持嵌套虚拟化”问题解决方案汇总
- TRON节点验证交易的时间容忍度
- 编写WAF指纹探测与Sqlmap相结合
- 1┃音视频直播系统之浏览器中通过WebRTC访问摄像头
- Redis 慢查询
- 全连接网络基础1——MNIST数据集
- 简单的网络协议概述
- 使用easyPOI时碰到的几个问题(记录一下)
- IntelliJIDEA的常用设置的最详细图解说明(图文并茂)