14、华为华三中小型企业网络架构搭建【防火墙篇之NAT部署】 | 网络之路博客（公众号同名）（其他平台网络之路Blog）

实战系列说明

实战系列，每个星期一发送一到两篇，预计18篇左右，整理跟排版都需要时间，博主也只是业余时间写写技术文档，请大家见谅，大家觉得不错的话，可以推荐给朋友哦，博主会努力推出更好的系列文档的，点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方，欢迎大家留言指出，博主看到后会第一时间修改，谢谢大家的支持，更多技术文章尽在网络之路博客，http://ccieh3c.com。

拓扑

拓扑可以保存到本地，然后扩大查看，这样才能看的更清楚。（拖动到新窗口打开即可）

NAT部署分析

分析：我们NAT需求有2个，一个是不过内网可以正常访问外网，另外一个则是对外提供WeB服务与fTP服务。其实这个都不是难点，当有时候，我们遇到一些需求，比如内网用户通过外网地址或者公网域名访问，内部的服务器，这一般在没有部署内部Dns服务器的时候才使用，如果内部有服务器了的话，就直接通过内部服务器进行解析了。

9.2.1 部署Source-NAT 【访问Internet】

由于有2个ISP，我们必须部署到不同ISP的NAT，这样都可以进行NAT访问。

到电信ISP的NAT策略
[USG-GW]nat-policy interzone trust isp_dx outbound
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]easy-ip g0/0/1
说明：这里部署了电信的ISP NAT，匹配了192.168.0.0/16网段的执行Source-NAT，然后用出接口地址进行NAT转换，当然也可以调用地址池，但是一般情况下使用出接口进行转换足够了，其余的公网IP用于做地址映射。

到联通ISP的 NAT策略
[USG-GW]nat-policy interzone trust isp_lt outbound
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]easy-ip g0/0/2
说明：这里部署了联通的ISP NAT，匹配了192.168.0.0/16网段的执行Source-NAT，然后用出接口地址进行NAT转换，当然也可以调用地址池，但是一般情况下使用出接口进行转换足够了，其余的公网IP用于做地址映射。

9.2.2 部署NAT Server【提供给外网访问】

说明：对于NAT Server实现其实非常好实现，当时需要注意一个地方，相同Zone的双出口与不同Zone的双出口配置不不太一样，这个在配置中会提到，另外这里还需要放行外网到内网的访问流量，也就是访问服务器的。
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 www inside 192.168.88.251 www
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 ftp inside 192.168.88.251 ftp
说明：该NAT转换则是为从电信来的访问202.100.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。

[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 www inside 192.168.88.251 www
[USG-GW] nat server 3 zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www
说明：说明：该NAT转换则是为从联通来的访问61.128.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。

9.2.3 如果是相同Zone的配置，应该如何配置

对于相同Zone来说，它的区别与不同Zone非常小，除了Zone是同一个Zone外，另外就是在加一个参数为no-reverse，该意思的时候是，服务器不能主动访问外网，而是只能被动被接受访问，这是因为在相同Zone内，映射地址都是通过地址来区别的，一个内网地址不能同时通过2个IP地址转换出去，这样是实现不了的。所以只能被动接收访问，而不同Zone则不一样，它有Zone作为区分，所以可以识别到低是从哪个Zone转发。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www no-reverse

可以看到已经有映射了。测试结果等部署了路由技术后一起测试。

流量该怎么放行

当部署了NAT Server后，还需要做的一件事就是，必须让外网的流量可以访问内网，必须允许，否则一样无法访问，我们这里需要允许的是两个ISP到Trust 192.168.88.251的fTP与WWW流量需要都放行了。
电信ISP到内网的流量放行
[USG-GW]policy interzone isp_dx trust inbound
[USG-GW-policy-interzone-trust-isp_dx-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]action permit
说明：这里允许了电信到Trust的inbound流量，注意的是这里从ISP到Trust，匹配的是目的地址，所以这里定义目的地址为192.168.88.251，服务为fTP与hTTP放行。

联通ISP到内网的流量
[USG-GW]policy interzone isp_lt trust inbound
[USG-GW-policy-interzone-trust-isp_lt-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]action permit
说明：这里允许了联通到Trust的inbound流量，注意的是这里从ISP到Trust，匹配的是目的地址，所以这里定义目的地址为192.168.88.251，服务为fTP与hTTP放行。