1.需求
某工作室在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。由于需要上网的用户少且访问明确的目的Server,FW采用NAT No-PAT的地址转换方式,将匹配上NAT策略的私网地址进行一对一转换。工作室向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。
2.配置思路
- 配置接口IP地址和安全区域,完成网络基本参数配置。
- 配置安全策略,允许私网指定网段与Internet进行报文交互。
- 配置NAT地址池,不开启端口转换。
- 配置源NAT策略1,配置目的规则(目的IP或者安全区域)实现私网指定网段访问目的Server时自动进行源地址转换。
- 配置源NAT策略2,配置目的规则(目的IP或者安全区域)实现私网指定网段访问非目的Server时不进行源地址转换。如果不精确配置不转换的流量,同一个用户(IP)命中NAT策略1后,进行NAT转换。继续访问非目的Server,也会进行NAT转换。
- 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
- 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。
- 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。
3.操作步骤
- 配置接口IP地址和安全区域,完成网络基本参数配置。
#配置接口GigabitEthernet 1/0/1的IP地址
#system-view
#interface GigabitEthernet 1/0/1
#ip address 10.1.1.1 24
#quit
#配置接口GigabitEthernet 1/0/2的IP地址。
#interface GigabitEthernet 1/0/1
#ip address 1.1.1.1 24
#quit
#将接口GigabitEthernet 1/0/1加入Trust区域。
#firewall zone trust
#add interface GigabitEthernet 1/0/1
#quit
2.配置安全策略,允许私网指定网段与Internet进行报文交互
#security-policy
#rule name policy1
#source-zone trust
#destination-zone untrust
#source-address 10.1.1.0 24
#action permit
#quit
3.配置NAT地址池,不开启端口转换
#nat address-group addressgroup1
#mode no-pat global
#section 0 1.1.1.10 1.1.1.15
#route enable
#quit
4.配置源NAT策略1实现私网指定网段访问目的Server时自动进行源地址转换
#nat-policy
#rule name policy_nat1
#source-zone trust
#destination-zone untrust
#source-address 10.1.1.0 24
#destination-address 1.1.2.2 24
#action source-nat address-group addressgroup1
#quit
5.配置源NAT策略2实现私网指定网段访问非目的Server时不进行源地址转换
#nat-policy
#rule name policy_nat2
#source-zone trust
#destination-zone untrust
#source-address 10.1.1.0 24
#destination-address any
#action no-nat
#quit
6.在防火墙上配置默认路由
#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
7.在内网主机上配置网关,具体过程省略
8.在Router上配置到NAT地址池地址(1.1.1.10~1.1.1.15)的静态路由,下一跳为1.1.1.1,使从Internet返回的流量可以被正常转发至FW。
通常需要联系ISP的网络管理员来配置此静态路由。
#ip route-static 1.1.1.10 255.255.255.0 1.1.1.1
#ip route-static 1.1.1.11 255.255.255.0 1.1.1.1
#ip route-static 1.1.1.12 255.255.255.0 1.1.1.1
#ip route-static 1.1.1.13 255.255.255.0 1.1.1.1
#ip route-static 1.1.1.14 255.255.255.0 1.1.1.1
#ip route-static 1.1.1.15 255.255.255.0 1.1.1.1