1、介绍双向NAT的配置方法。配置双向NAT示例一配置双向NAT示例二11.5 配置目的NAT介绍目的NAT的配置方法。配置目的NAT示例11.6 调试NAT介绍调试NAT的方法。11.7 配置举例介绍各种NAT组网举例。私有网络一般使用私有地址。RFC1918为私有、内部的使用留出了三个IP地址块。具体如下: A类:10.0.0.010.255.255.255(10.0.0.0/8) B类:172.16.0.0172.31.255.255(172.16.0.0/12) C类:192.168.0.0192.168.255.255(192.168.0.0/16)上述三个范围内的IP地址不会在Inte
2、rnet上被分配,所以企业用户在企业内部网络使用上述三类地址,无需向ISP(Internet Service Provider)或注册中心申请。但是如果要访问外部Internet网络就要占用公网IP地址,随着Internet的广泛应用,许多国家公网IP地址日渐枯竭。网络地址转换NAT(Network Address Translation)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。NAT主要应用于以下情况: 多个私网用户使用一个公网IP地址访问外部网络,减缓可用IP地址空间枯竭的速度。 隐藏内部网络用户的私有IP地址,保护内部网络的安全性。NAT服务器拥有的公有IP地址数目要远
3、少于内部网络的主机数目,因为所有内部主机并不会同时访问外部网络。应根据网络高峰期可能访问外部网络的内部主机数目的统计值来确定公有IP地址数目。11.2.1 建立配置任务应用环境当需要隐藏USG3000内部网络用户的私有IP地址时,即可配置Outbound方向的NAT。前置任务在配置Outbound方向的NAT之前,需完成以下任务: 配置USG3000的工作模式(只能为路由模式) 配置接口IP地址 配置接口加入安全区域数据准备在配置Outbound方向的NAT之前,需准备以下数据。序号数据1ACL组号2ACL相关参数3NAT地址池编号4地址池起始地址和结束地址5(可选)VRRP备份组号配置过程要
4、完成Outbound方向的NAT的配置,需要按照以下过程配置。过程配置NAT地址池配置ACL和地址池或接口关联(可选)配置域间NAT ALG功能(可选)配置域内NAT ALG功能(可选)配置ESP报文的NAT ALG功能6检查配置结果11.2.2 配置NAT地址池地址池是一些连续的IP地址集合,当来自内部网络的报文通过地址转换到达外部网络时,将会选择地址池中的某个地址作为转换后的源地址。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令nat address-group group-number start-address end-address vrrp virt
5、ual-router-ID ,配置NAT地址池。当USG3000同时应用于双机热备组网时: 如果NAT地址池地址与VRRP备份组虚拟IP地址不在同一网段,则nat address-group命令中不必携带vrrp关键字。 如果NAT地址池地址与VRRP备份组的虚拟IP地址在同一网段,则nat address-group命令需要携带vrrp关键字,且virtual-router-ID为USG3000 NAT出接口对应的VRRP备份组的ID。-结束11.2.3 配置ACL和地址池或接口关联 执行命令acl number acl-number match-order config | auto ,创
6、建ACL,并进入相应视图。 步骤 3 执行命令rule rule-id permit | deny source source-address source-wildcard | address-set address-set-name | any | time-range time-name | logging *,配置基本ACL规则。或执行命令rule rule-id permit | deny protocol source source-address source-wildcard | address-set address-set-name | any | destination
7、destination-address destination-wildcard | address-set address-set-name | any | source-port operator port | range port1 port2 | port-set port-set-name | destination-port operator port | range port1 port2 | port-set port-set-name | icmp-type icmp-type icmp-code | icmp-message | precedence precedence
8、| tos tos | time-range time-name | logging *,配置高级ACL规则。 步骤 4 执行命令quit,退回系统视图。 步骤 5 执行命令firewall interzone zone-name1 zone-name2,进入域间视图。 步骤 6 执行命令nat outbound acl-number address-group group-number no-pat | interface interface-type interface-number ,配置ACL和地址池或接口关联。配置ACL和接口关联时,接口应该为安全区域级别较低侧的接口。当某地址池已经
9、和ACL关联进行地址转换时,不允许删除这个地址池。11.2.4 (可选)配置域间NAT ALG功能ALG(Application Level Gateway)是特定的应用协议的转换代理,主要功能是对报文应用层数据中所包含的IP地址和端口信息作NAT处理。USG3000检测报文应用层数据部分所包含的IP地址或端口信息,将这些信息根据具体需要作NAT转换,使外部网络主机收到的是转换后的IP地址,从而避免将内部网络的IP地址暴露给外部网络。 执行命令detect ftp | h323 | hwcc | ils | mgcp | mms | msn | netbios | pptp | qq | rt
10、sp | sip | sqlnet | user-define ,在域间启用NAT ALG功能。当执行detect ftp | h323 | hwcc | ils | mgcp | mms | msn | pptp | qq | rtsp | sip | sqlnet | user-define 时,也同时在域间应用ASPF策略。DNS和ICMP协议的域间NAT ALG功能一直处于启用状态,无需配置。11.2.5 (可选)配置域内NAT ALG功能 执行命令firewall zone zone-name,进入安全区域视图。 执行命令detect ftp,在域内启用FTP协议的NAT ALG功能
11、,同时应用ASPF策略。目前只有FTP协议支持域内NAT ALG功能和ASPF策略。11.2.6 (可选)配置ESP报文的NAT ALG功能 执行命令firewall session esp check,为ESP报文建立会话,并启用ESP报文的NAT ALG功能。11.2.7 检查配置结果可以在所有视图下执行以下命令检查配置结果。操作命令查看地址池信息display nat address-group查看所有NAT信息display nat all查看域间NAT信息display nat interzone11.3.1 建立配置任务当需要对外部用户提供访问服务时,可以将服务器放置于DMZ安全区
12、域,并配置USG3000的内部服务器功能,隐藏其私网IP地址。不建议配置允许DMZ安全区域中的服务器主动向外发起连接。在配置内部服务器之前,需完成以下任务:在配置内部服务器之前,需准备以下数据。内部服务器提供给外部访问的IP地址内部服务器在内部网络的真实IP地址IP协议承载的协议类型内部服务器提供给外部访问的端口号内部服务器提供的服务端口号要完成内部服务器的配置,需要按照以下过程配置。配置内部服务器11.3.2 配置内部服务器当针对同一私网IP地址配置了Outbound方向的NAT和内部服务器两个功能时,USG3000将优先根据内部服务器功能的配置进行地址转换。 执行命令nat server
13、zone zone-name global global-address inside host-address vrrp virtual-router-ID,配置内部服务器。执行命令nat server zone zone-name protocol protocol-type global global-address global-port1 global-port2 inside host-address1 host-address2 host-port vrrp virtual-router-ID,配置内部服务器。 配置nat server protocol命令时,global-po
14、rt和host-port只要有一个定义了any,则另一个要么不定义,要么是any。 当USG3000同时应用于双机热备组网时,如果转换后的NAT Server地址与VRRP备份组虚拟IP地址不在同一网段,则nat server命令不必携带vrrp关键字;如果转换后的NAT Server地址与VRRP备份组的虚拟IP地址在同一网段,则nat server命令需要携带vrrp关键字,且virtual-router-ID为USG3000的NAT Server出接口对应的VRRP备份组的ID。 当需要对处于多个网段的外部用户提供访问服务时,通过zone参数结合安全区域配置内部服务器可以为一个内部服务器
15、配置多个公网地址。通过配置USG3000的不同级别的安全区域对应不同网段的外部网络,并根据不同安全区域配置同一个内部服务器对外的不同的公网地址,使处于不同网段的外部网络访问同一个内部服务器时,可以访问对应配置的公网地址,实现不同网段的外部网络直接访问内部服务器的功能。 根据具体情况选择11.2.4 、11.2.5 或11.2.6 章节的内容执行。11.3.3 检查配置结果在所有视图下执行以下命令检查配置结果。查看内部服务器信息display nat server11.4.1 建立配置任务USG3000不但支持配置隐藏高安全区域中用户或被访问服务器的私有IP地址的NAT,即Outbound方向的
16、NAT,还支持配置隐藏低安全区域或同一安全区域中访问用户的IP地址: 当位于低安全区域的网络用户访问高安全区域的服务器时,若需要隐藏低安全区域用户的IP地址,可配置Inbound方向的NAT。 当网络用户访问同一安全区域内的服务器时,若需要隐藏其IP地址,可配置域内NAT。同时配置了内部服务器和Inbound方向的NAT,或同时配置了内部服务器和域内NAT,都可以称为双向NAT。在配置双向NAT之前,需完成以下任务:在配置双向NAT之前,需准备以下数据。在配置双向NAT任务中,配置过程2和3是并列关系,根据需要选择配置即可。配置Inbound方向的NAT配置域内NAT11.4.2 配置内部服务
17、器具体配置过程请参见“11.3 配置内部服务器”。11.4.3 配置Inbound方向的NAT 步骤 7 执行命令nat inbound acl-number address-group group-number no-pat | interface interface-type interface-number ,配置ACL和地址池或接口关联。当来自外部网络的报文通过地址转换到达内部网络时,将会选择地址池中的某个地址作为转换后的源地址。增加ACL和接口关联时,接口应该为安全区域级别较高侧的接口。 步骤 8 执行命令detect ftp,在域间启用FTP协议的NAT ALG功能,同时应用ASPF策略。 步骤 9目前Inbound NAT只支持FTP协议的NAT ALG功能。11.4.4 配置域内NAT
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 