您好,欢迎来到链接目录 - 您的网站目录之家!

当前位置:链接目录 » 站长资讯 » 产品资讯 » 文章详细 订阅RssFeed

14、华为 华三中小型企业网络架构搭建 【防火墙篇之NAT部署】

来源:本站原创 浏览:81次 时间:2022-11-01
拓扑

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

NAT部署分析

分析:我们NAT需求有2个,一个是不过内网可以正常访问外网,另外一个则是对外提供WeB服务与fTP服务。其实这个都不是难点,当有时候,我们遇到一些需求,比如内网用户通过外网地址或者公网域名访问,内部的服务器,这一般在没有部署内部Dns服务器的时候才使用,如果内部有服务器了的话,就直接通过内部服务器进行解析了。

9.2.1 部署Source-NAT 【访问Internet】

由于有2个ISP,我们必须部署到不同ISP的NAT,这样都可以进行NAT访问。

到电信ISP的NAT策略
[USG-GW]nat-policy interzone trust isp_dx outbound
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]easy-ip g0/0/1
说明:这里部署了电信的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。


到联通ISP的 NAT策略
[USG-GW]nat-policy interzone trust isp_lt outbound
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]easy-ip g0/0/2
说明:这里部署了联通的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。


9.2.2 部署NAT Server【提供给外网访问】

说明:对于NAT Server实现其实非常好实现,当时需要注意一个地方,相同Zone的双出口与不同Zone的双出口配置不不太一样,这个在配置中会提到,另外这里还需要放行外网到内网的访问流量,也就是访问服务器的。
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 www inside 192.168.88.251 www
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 ftp inside 192.168.88.251 ftp
说明:该NAT转换则是为从电信来的访问202.100.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。

[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 www inside 192.168.88.251 www
[USG-GW] nat server 3 zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www
说明:说明:该NAT转换则是为从联通来的访问61.128.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。

9.2.3 如果是相同Zone的配置,应该如何配置

对于相同Zone来说,它的区别与不同Zone非常小,除了Zone是同一个Zone外,另外就是在加一个参数为no-reverse,该意思的时候是,服务器不能主动访问外网,而是只能被动被接受访问,这是因为在相同Zone内,映射地址都是通过地址来区别的,一个内网地址不能同时通过2个IP地址转换出去,这样是实现不了的。所以只能被动接收访问,而不同Zone则不一样,它有Zone作为区分,所以可以识别到低是从哪个Zone转发。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www no-reverse


可以看到已经有映射了。测试结果等部署了路由技术后一起测试。

流量该怎么放行

当部署了NAT Server后,还需要做的一件事就是,必须让外网的流量可以访问内网,必须允许,否则一样无法访问,我们这里需要允许的是两个ISP到Trust 192.168.88.251的fTP与WWW流量需要都放行了。
电信ISP到内网的流量放行
[USG-GW]policy interzone isp_dx trust inbound
[USG-GW-policy-interzone-trust-isp_dx-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]action permit
说明:这里允许了电信到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。


联通ISP到内网的流量
[USG-GW]policy interzone isp_lt trust inbound
[USG-GW-policy-interzone-trust-isp_lt-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]action permit
说明:这里允许了联通到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。

测试结果

目前暂时无法测试,因为路由还没有部署。

本文首发于公众号:网络之路博客

推荐站点

  • 站长资源平台站长资源平台

    2898站长资源平台作为最全面的站长资源服务平台,致力于为广大站长和网站运营人员提供包含了友链交换、站长资讯、友情链接、网站交易、免费流量交换、站长工具、网站资源交换、软文投稿、软文推广等各个领域,是站长最好的选择

    www.2898.com
  • 落伍者落伍者

    落伍者创办于2001年,系国内历史最悠久的互联网创业者交流平台。

    https://www.im286.net
  • 域名交易平台域名交易平台

    域名交易平台立足于打造一个以域名交易为核心,域名拍卖、域名竞价、域名经纪中介交易为主要交易方式的域名买卖平台,并提供域名抢注、域名展示页等辅助工具及应用,并成功为CCTV、苏宁、微软、百度Baidu、新浪SINA、QIHU 360、腾讯QQ等多家企业买回域名。

    https://www.ename.com
  • 爱名网爱名网

    爱名网22.CN为顶级域名、商标、SSL证书、云计算的注册与中介交易服务提供商,提供域名注册、商标查询、https申请;商标域名中介交易与拍卖、云主机与SSL服务器证书申请的企业互联网+云计算服务门户。

    https://www.22.cn
  • A5创业网A5创业网

    A5创业网是面向互联网创业者的创业创新服务平台,提供全方位的创业资讯以及创业实战经验,推荐前沿创业项目。A5创业网全力支持创业者实现创业梦想。

    www.admin5.com