实战系列说明
实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com。
拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)
NAT部署分析
分析:我们NAT需求有2个,一个是不过内网可以正常访问外网,另外一个则是对外提供WeB服务与fTP服务。其实这个都不是难点,当有时候,我们遇到一些需求,比如内网用户通过外网地址或者公网域名访问,内部的服务器,这一般在没有部署内部Dns服务器的时候才使用,如果内部有服务器了的话,就直接通过内部服务器进行解析了。
9.2.1 部署Source-NAT 【访问Internet】
由于有2个ISP,我们必须部署到不同ISP的NAT,这样都可以进行NAT访问。
[USG-GW]nat-policy interzone trust isp_dx outbound
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]easy-ip g0/0/1
说明:这里部署了电信的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。
到联通ISP的 NAT策略
[USG-GW]nat-policy interzone trust isp_lt outbound
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]easy-ip g0/0/2
说明:这里部署了联通的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。
9.2.2 部署NAT Server【提供给外网访问】
说明:对于NAT Server实现其实非常好实现,当时需要注意一个地方,相同Zone的双出口与不同Zone的双出口配置不不太一样,这个在配置中会提到,另外这里还需要放行外网到内网的访问流量,也就是访问服务器的。
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 www inside 192.168.88.251 www
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 ftp inside 192.168.88.251 ftp
说明:该NAT转换则是为从电信来的访问202.100.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 www inside 192.168.88.251 www
[USG-GW] nat server 3 zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www
说明:说明:该NAT转换则是为从联通来的访问61.128.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。
9.2.3 如果是相同Zone的配置,应该如何配置
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www no-reverse
可以看到已经有映射了。测试结果等部署了路由技术后一起测试。
流量该怎么放行
电信ISP到内网的流量放行
[USG-GW]policy interzone isp_dx trust inbound
[USG-GW-policy-interzone-trust-isp_dx-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]action permit
说明:这里允许了电信到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。
联通ISP到内网的流量
[USG-GW]policy interzone isp_lt trust inbound
[USG-GW-policy-interzone-trust-isp_lt-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]action permit
说明:这里允许了联通到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。
测试结果
目前暂时无法测试,因为路由还没有部署。
关于博客资源下载说明
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/头条号/百家号/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
