拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)
NAT部署分析分析:我们NAT需求有2个,一个是不过内网可以正常访问外网,另外一个则是对外提供WeB服务与fTP服务。其实这个都不是难点,当有时候,我们遇到一些需求,比如内网用户通过外网地址或者公网域名访问,内部的服务器,这一般在没有部署内部Dns服务器的时候才使用,如果内部有服务器了的话,就直接通过内部服务器进行解析了。
9.2.1 部署Source-NAT 【访问Internet】由于有2个ISP,我们必须部署到不同ISP的NAT,这样都可以进行NAT访问。
到电信ISP的NAT策略
[USG-GW]nat-policy interzone trust isp_dx outbound
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]easy-ip g0/0/1
说明:这里部署了电信的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。
到联通ISP的 NAT策略
[USG-GW]nat-policy interzone trust isp_lt outbound
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]easy-ip g0/0/2
说明:这里部署了联通的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。
说明:对于NAT Server实现其实非常好实现,当时需要注意一个地方,相同Zone的双出口与不同Zone的双出口配置不不太一样,这个在配置中会提到,另外这里还需要放行外网到内网的访问流量,也就是访问服务器的。
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 www inside 192.168.88.251 www
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 ftp inside 192.168.88.251 ftp
说明:该NAT转换则是为从电信来的访问202.100.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 www inside 192.168.88.251 www
[USG-GW] nat server 3 zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www
说明:说明:该NAT转换则是为从联通来的访问61.128.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。
对于相同Zone来说,它的区别与不同Zone非常小,除了Zone是同一个Zone外,另外就是在加一个参数为no-reverse,该意思的时候是,服务器不能主动访问外网,而是只能被动被接受访问,这是因为在相同Zone内,映射地址都是通过地址来区别的,一个内网地址不能同时通过2个IP地址转换出去,这样是实现不了的。所以只能被动接收访问,而不同Zone则不一样,它有Zone作为区分,所以可以识别到低是从哪个Zone转发。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www no-reverse
可以看到已经有映射了。测试结果等部署了路由技术后一起测试。
流量该怎么放行当部署了NAT Server后,还需要做的一件事就是,必须让外网的流量可以访问内网,必须允许,否则一样无法访问,我们这里需要允许的是两个ISP到Trust 192.168.88.251的fTP与WWW流量需要都放行了。
电信ISP到内网的流量放行
[USG-GW]policy interzone isp_dx trust inbound
[USG-GW-policy-interzone-trust-isp_dx-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]action permit
说明:这里允许了电信到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。
联通ISP到内网的流量
[USG-GW]policy interzone isp_lt trust inbound
[USG-GW-policy-interzone-trust-isp_lt-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]action permit
说明:这里允许了联通到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。
目前暂时无法测试,因为路由还没有部署。
本文首发于公众号:网络之路博客