华赛SG3000nat配置Word格式.docx
《华赛SG3000nat配置Word格式.docx》由会员分享,可在线阅读,更多相关《华赛SG3000nat配置Word格式.docx(32页珍藏版)》请在冰点文库上搜索。
介绍双向NAT的配置方法。
配置双向NAT示例一
配置双向NAT示例二
11.5配置目的NAT
介绍目的NAT的配置方法。
配置目的NAT示例
11.6调试NAT
介绍调试NAT的方法。
11.7配置举例
介绍各种NAT组网举例。
私有网络一般使用私有地址。
RFC1918为私有、内部的使用留出了三个IP地址块。
具体如下:
●
A类:
10.0.0.0~10.255.255.255(10.0.0.0/8)
B类:
172.16.0.0~172.31.255.255(172.16.0.0/12)
C类:
192.168.0.0~192.168.255.255(192.168.0.0/16)
上述三个范围内的IP地址不会在Internet上被分配,所以企业用户在企业内部网络使用上述三类地址,无需向ISP(InternetServiceProvider)或注册中心申请。
但是如果要访问外部Internet网络就要占用公网IP地址,随着Internet的广泛应用,许多国家公网IP地址日渐枯竭。
网络地址转换NAT(NetworkAddressTranslation)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。
NAT主要应用于以下情况:
多个私网用户使用一个公网IP地址访问外部网络,减缓可用IP地址空间枯竭的速度。
隐藏内部网络用户的私有IP地址,保护内部网络的安全性。
NAT服务器拥有的公有IP地址数目要远少于内部网络的主机数目,因为所有内部主机并不会同时访问外部网络。
应根据网络高峰期可能访问外部网络的内部主机数目的统计值来确定公有IP地址数目。
11.2.1建立配置任务
应用环境
当需要隐藏USG3000内部网络用户的私有IP地址时,即可配置Outbound方向的NAT。
前置任务
在配置Outbound方向的NAT之前,需完成以下任务:
配置USG3000的工作模式(只能为路由模式)
配置接口IP地址
配置接口加入安全区域
数据准备
在配置Outbound方向的NAT之前,需准备以下数据。
序号
数据
1
ACL组号
2
ACL相关参数
3
NAT地址池编号
4
地址池起始地址和结束地址
5
(可选)VRRP备份组号
配置过程
要完成Outbound方向的NAT的配置,需要按照以下过程配置。
过程
配置NAT地址池
配置ACL和地址池或接口关联
(可选)配置域间NATALG功能
(可选)配置域内NATALG功能
(可选)配置ESP报文的NATALG功能
6
检查配置结果
11.2.2配置NAT地址池
地址池是一些连续的IP地址集合,当来自内部网络的报文通过地址转换到达外部网络时,将会选择地址池中的某个地址作为转换后的源地址。
步骤1
执行命令system-view,进入系统视图。
步骤2
执行命令nataddress-groupgroup-numberstart-addressend-address[vrrpvirtual-router-ID],配置NAT地址池。
当USG3000同时应用于双机热备组网时:
如果NAT地址池地址与VRRP备份组虚拟IP地址不在同一网段,则nataddress-group命令中不必携带vrrp关键字。
如果NAT地址池地址与VRRP备份组的虚拟IP地址在同一网段,则nataddress-group命令需要携带vrrp关键字,且virtual-router-ID为USG3000NAT出接口对应的VRRP备份组的ID。
----结束
11.2.3配置ACL和地址池或接口关联
执行命令acl[number]acl-number[match-order{config|auto}],创建ACL,并进入相应视图。
步骤3
执行命令rule[rule-id]{permit|deny}[source{source-addresssource-wildcard|address-setaddress-set-name|any}|time-rangetime-name|logging]*,配置基本ACL规则。
或
执行命令rule[rule-id]{permit|deny}protocol[source{source-addresssource-wildcard|address-setaddress-set-name|any}|destination{destination-addressdestination-wildcard|address-setaddress-set-name|any}|source-port{operatorport|rangeport1port2|port-setport-set-name}|destination-port{operatorport|rangeport1port2|port-setport-set-name}|icmp-type{icmp-typeicmp-code|icmp-message}|precedenceprecedence|tostos|time-rangetime-name|logging]*,配置高级ACL规则。
步骤4
执行命令quit,退回系统视图。
步骤5
执行命令firewallinterzonezone-name1zone-name2,进入域间视图。
步骤6
执行命令natoutboundacl-number{address-groupgroup-number[no-pat]|interfaceinterface-typeinterface-number},配置ACL和地址池或接口关联。
配置ACL和接口关联时,接口应该为安全区域级别较低侧的接口。
当某地址池已经和ACL关联进行地址转换时,不允许删除这个地址池。
11.2.4(可选)配置域间NATALG功能
ALG(ApplicationLevelGateway)是特定的应用协议的转换代理,主要功能是对报文应用层数据中所包含的IP地址和端口信息作NAT处理。
USG3000检测报文应用层数据部分所包含的IP地址或端口信息,将这些信息根据具体需要作NAT转换,使外部网络主机收到的是转换后的IP地址,从而避免将内部网络的IP地址暴露给外部网络。
执行命令detect{ftp|h323|hwcc|ils|mgcp|mms|msn|netbios|pptp|qq|rtsp|sip|sqlnet|user-define},在域间启用NATALG功能。
当执行detect{ftp|h323|hwcc|ils|mgcp|mms|msn|pptp|qq|rtsp|sip|sqlnet|user-define}时,也同时在域间应用ASPF策略。
DNS和ICMP协议的域间NATALG功能一直处于启用状态,无需配置。
11.2.5(可选)配置域内NATALG功能
执行命令firewallzonezone-name,进入安全区域视图。
执行命令detectftp,在域内启用FTP协议的NATALG功能,同时应用ASPF策略。
目前只有FTP协议支持域内NATALG功能和ASPF策略。
11.2.6(可选)配置ESP报文的NATALG功能
执行命令firewallsessionespcheck,为ESP报文建立会话,并启用ESP报文的NATALG功能。
11.2.7检查配置结果
可以在所有视图下执行以下命令检查配置结果。
操作
命令
查看地址池信息
displaynataddress-group
查看所有NAT信息
displaynatall
查看域间NAT信息
displaynatinterzone
11.3.1建立配置任务
当需要对外部用户提供访问服务时,可以将服务器放置于DMZ安全区域,并配置USG3000的内部服务器功能,隐藏其私网IP地址。
不建议配置允许DMZ安全区域中的服务器主动向外发起连接。
在配置内部服务器之前,需完成以下任务:
在配置内部服务器之前,需准备以下数据。
内部服务器提供给外部访问的IP地址
内部服务器在内部网络的真实IP地址
IP协议承载的协议类型
内部服务器提供给外部访问的端口号
内部服务器提供的服务端口号
要完成内部服务器的配置,需要按照以下过程配置。
配置内部服务器
11.3.2配置内部服务器
当针对同一私网IP地址配置了Outbound方向的NAT和内部服务器两个功能时,USG3000将优先根据内部服务器功能的配置进行地址转换。
执行命令natserver[zonezone-name]globalglobal-addressinsidehost-address[vrrpvirtual-router-ID],配置内部服务器。
执行命令natserver[zonezone-name]protocolprotocol-typeglobalglobal-address[global-port1[global-port2]]insidehost-address1[host-address2][host-port][vrrpvirtual-router-ID],配置内部服务器。
配置natserverprotocol命令时,global-port和host-port只要有一个定义了any,则另一个要么不定义,要么是any。
当USG3000同时应用于双机热备组网时,如果转换后的NATServer地址与VRRP备份组虚拟IP地址不在同一网段,则natserver命令不必携带vrrp关键字;
如果转换后的NATServer地址与VRRP备份组的虚拟IP地址在同一网段,则natserver命令需要携带vrrp关键字,且virtual-router-ID为USG3000的NATServer出接口对应的VRRP备份组的ID。
当需要对处于多个网段的外部用户提供访问服务时,通过zone参数结合安全区域配置内部服务器可以为一个内部服务器配置多个公网地址。
通过配置USG3000的不同级别的安全区域对应不同网段的外部网络,并根据不同安全区域配置同一个内部服务器对外的不同的公网地址,使处于不同网段的外部网络访问同一个内部服务器时,可以访问对应配置的公网地址,实现不同网段的外部网络直接访问内部服务器的功能。
根据具体情况选择11.2.4、11.2.5或11.2.6章节的内容执行。
11.3.3检查配置结果
在所有视图下执行以下命令检查配置结果。
查看内部服务器信息
displaynatserver
11.4.1建立配置任务
USG3000不但支持配置隐藏高安全区域中用户或被访问服务器的私有IP地址的NAT,即Outbound方向的NAT,还支持配置隐藏低安全区域或同一安全区域中访问用户的IP地址:
当位于低安全区域的网络用户访问高安全区域的服务器时,若需要隐藏低安全区域用户的IP地址,可配置Inbound方向的NAT。
当网络用户访问同一安全区域内的服务器时,若需要隐藏其IP地址,可配置域内NAT。
同时配置了内部服务器和Inbound方向的NAT,或同时配置了内部服务器和域内NAT,都可以称为双向NAT。
在配置双向NAT之前,需完成以下任务:
在配置双向NAT之前,需准备以下数据。
在配置双向NAT任务中,配置过程2和3是并列关系,根据需要选择配置即可。
配置Inbound方向的NAT
配置域内NAT
11.4.2配置内部服务器
具体配置过程请参见“11.3配置内部服务器”。
11.4.3配置Inbound方向的NAT
步骤7
执行命令natinboundacl-number{address-groupgroup-number[no-pat]|interfaceinterface-typeinterface-number},配置ACL和地址池或接口关联。
当来自外部网络的报文通过地址转换到达内部网络时,将会选择地址池中的某个地址作为转换后的源地址。
增加ACL和接口关联时,接口应该为安全区域级别较高侧的接口。
步骤8
执行命令detectftp,在域间启用FTP协议的NATALG功能,同时应用ASPF策略。
步骤9
目前InboundNAT只支持FTP协议的NATALG功能。
11.4.4配置域内NAT