0
点赞
收藏
分享

微信扫一扫

华为防火墙:私网用户通过NAPT访问Internet(不限制私网与公网IP地址比例)

简介:

某公司在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。网络环境如​​下图​​所示,其中Router是ISP提供的接入网关。

华为防火墙:私网用户通过NAPT访问Internet(不限制私网与公网IP地址比例)_缺省路由数据规划:

项目

数据

说明

GigabitEthernet 1/0/1

IP地址:10.1.1.1/24

安全区域:Trust

私网主机需要将10.1.1.1配置为默认网关。

GigabitEthernet 1/0/2

IP地址:1.1.1.1/24

安全区域:Untrust

实际配置时需要按照ISP的要求进行配置。

允许访问Internet的私网网段

10.1.1.0/24


转换后的公网地址

1.1.1.10~1.1.1.15

由于私网地址比公网地址多,无法做到地址一一映射,所以需要开启允许端口转换,通过端口转换实现公网地址复用。

路由         FW缺省路由

             

              Router静态路由

目的地址:0.0.0.0

下一跳:1.1.1.254

为了使私网流量可以正常转发至ISP的路由器,可以在FW上配置去往Internet的缺省路由。

目的地址:1.1.1.10~1.1.1.15

下一跳:1.1.1.1

由于转换后的公网地址不存在实际接口,通过路由协议无法直接发现,所以需要在Router上手工配置静态路由。通常需要联系ISP的网络管理员配置。

操作步骤:

   1.配置接口IP地址和安全区域,完成网络基本参数配置。

        1.1配置接口GigabitEthernet 1/0/1的IP地址。

<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet 1/0/1] ip address 10.1.1.1 24
[FW-GigabitEthernet 1/0/1] quit

华为防火墙:私网用户通过NAPT访问Internet(不限制私网与公网IP地址比例)_缺省路由_02

 1.2配置接口GigabitEthernet 1/0/2的IP地址。

[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet 1/0/2] ip address 1.1.1.1 24
[FW-GigabitEthernet 1/0/2] quit

华为防火墙:私网用户通过NAPT访问Internet(不限制私网与公网IP地址比例)_ip地址_03

        1.3将接口GigabitEthernet 1/0/1加入Trust区域。

[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/1
[FW-zone-trust] quit

华为防火墙:私网用户通过NAPT访问Internet(不限制私网与公网IP地址比例)_静态路由_04

        1.4将接口GigabitEthernet 1/0/2加入Untrust区域。

[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-zone-untrust] quit

华为防火墙:私网用户通过NAPT访问Internet(不限制私网与公网IP地址比例)_静态路由_05

2.配置安全策略,允许私网指定网段与Internet进行报文交互。

[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone trust
[FW-policy-security-rule-policy1] destination-zone untrust
[FW-policy-security-rule-policy1] source-address 10.1.1.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[FW-policy-security] quit

华为防火墙:私网用户通过NAPT访问Internet(不限制私网与公网IP地址比例)_静态路由_06

3.配置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用。

[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.15
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit

4.配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。

[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone trust
[FW-policy-nat-rule-policy_nat1] destination-zone untrust
[FW-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24
[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit

5.在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。

[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

6.在Router上配置到NAT地址池地址(1.1.1.10~1.1.1.15)的静态路由,下一跳为1.1.1.1,使从Internet返回的流量可以被正常转发至FW。


举报

相关推荐

0 条评论