14、华为 华三中小型企业网络架构搭建 【防火墙篇之NAT部署】 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

14、华为 华三中小型企业网络架构搭建 【防火墙篇之NAT部署】

实战系列说明

实战

实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

拓扑

实战

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

NAT部署分析

分析:我们NAT需求有2个,一个是不过内网可以正常访问外网,另外一个则是对外提供WeB服务与fTP服务。其实这个都不是难点,当有时候,我们遇到一些需求,比如内网用户通过外网地址或者公网域名访问,内部的服务器,这一般在没有部署内部Dns服务器的时候才使用,如果内部有服务器了的话,就直接通过内部服务器进行解析了。

9.2.1 部署Source-NAT 【访问Internet】

由于有2个ISP,我们必须部署到不同ISP的NAT,这样都可以进行NAT访问。

到电信ISP的NAT策略
[USG-GW]nat-policy interzone trust isp_dx outbound
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]easy-ip g0/0/1
说明:这里部署了电信的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。

到联通ISP的 NAT策略
[USG-GW]nat-policy interzone trust isp_lt outbound
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]easy-ip g0/0/2
说明:这里部署了联通的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。

9.2.2 部署NAT Server【提供给外网访问】

说明:对于NAT Server实现其实非常好实现,当时需要注意一个地方,相同Zone的双出口与不同Zone的双出口配置不不太一样,这个在配置中会提到,另外这里还需要放行外网到内网的访问流量,也就是访问服务器的。
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 www inside 192.168.88.251 www
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 ftp inside 192.168.88.251 ftp
说明:该NAT转换则是为从电信来的访问202.100.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。

[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 www inside 192.168.88.251 www
[USG-GW] nat server 3 zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www
说明:说明:该NAT转换则是为从联通来的访问61.128.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。

9.2.3 如果是相同Zone的配置,应该如何配置

对于相同Zone来说,它的区别与不同Zone非常小,除了Zone是同一个Zone外,另外就是在加一个参数为no-reverse,该意思的时候是,服务器不能主动访问外网,而是只能被动被接受访问,这是因为在相同Zone内,映射地址都是通过地址来区别的,一个内网地址不能同时通过2个IP地址转换出去,这样是实现不了的。所以只能被动接收访问,而不同Zone则不一样,它有Zone作为区分,所以可以识别到低是从哪个Zone转发。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www no-reverse

 image001.jpg

可以看到已经有映射了。测试结果等部署了路由技术后一起测试。

流量该怎么放行

当部署了NAT Server后,还需要做的一件事就是,必须让外网的流量可以访问内网,必须允许,否则一样无法访问,我们这里需要允许的是两个ISP到Trust 192.168.88.251的fTP与WWW流量需要都放行了。
电信ISP到内网的流量放行
[USG-GW]policy interzone isp_dx trust inbound
[USG-GW-policy-interzone-trust-isp_dx-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]action permit
说明:这里允许了电信到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。

联通ISP到内网的流量
[USG-GW]policy interzone isp_lt trust inbound
[USG-GW-policy-interzone-trust-isp_lt-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]action permit
说明:这里允许了联通到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。

测试结果

目前暂时无法测试,因为路由还没有部署。

关于博客资源下载说明

首先,感谢大家对网络之路博客的支持,本站所有资源都是开放下载,不做任何限制,资源都是上传在百度盘,分为两种类型:
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/头条号/百家号/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
想第一时间收到最新更新内容吗,那就赶紧关注公众号/头条/B站/百家号吧~~

学习最新实用技术

远程技术支持(设备调试)

远程技术调试与技术支持,点击查看详情

您使用的不是本站推荐览器浏览!(无法获取下载地址)请点击这里下载安装windows版!

原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (4)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址