【第22期】观点:IT 行业加班,到底有没有价值?

高端防火墙NAT典型配置举例

转载 2016年08月29日 21:46:23

关键词:NATPAT、私有地址、公有地址、地址池

  要:本文简单描述了高端多核防火墙NAT模块相关业务的特点,详细描述了NAT各特性的典型应用,并给出NAT基本的配置案例。

缩略语:

缩略语

英文全名

中文解释

NAT

Network Address Translator

网络地址转换

ALG

Application Level Gateway

应用层网关

ACL

Access Control List

访问控制列表

VPN

Virtual Private Network

虚拟专用网

PAT

Port Address Translation

端口地址转换

No-PAT

No-Port Address Translation

端口地址不转换


1、特性简介

(1) NAT(Network Address Translation,网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

(2) 在实际应用中,NAT主要用于实现私有网络访问外部网络的功能。通过使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度;同时给内部网络提供一种“隐私”保护,也可以按照用户的需要提供给外部网络一定的服务。

(3) SecPath高端防火墙基于多核CPU处理器,具有丰富的业务处理能力和很高的性能,可作为大型企业网络的安全网关。提供一对多、一对一、内部服务器等地址转换功能,同时支持VPN多实例和VLAN接口的地址转换。


2  特性使用

2.1  使用场合

l             用少量的公有IP地址代表多数的私有IP地址访问外部网络;

l             为内部网络提供一种“隐私”保护;

l             根据用户的需要提供给外部网络用户一定的内网服务。

2.2  配置指南

关于NAT功能业务的配置全部可以采用Web方式配置。其中NAT应用涉及的多实例的配置,多实例路由,多实例ACL等的配置只能在命令行配置。

2.2.1  NAT业务配置指南

在Web上共有以下几种NAT方式的配置:

l             Easy IP方式NAT

l             PAT方式NAT

l             no-PAT 方式NAT

l             NAT Static

l             NAT Server

2.3  注意事项

在典型配置中主要列举一下命令行的相关配置,Web配置根据具体实例再作说明。

3  支持的设备和版本

3.1 设备版本

H3C Comware Platform Software

Comware Software, Version 5.20, Beta 3105

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C SecPath F1000-E uptime is 0 week, 1 day, 15 hours, 44 minutes

 

 CPU type: RMI XLR732 1000MHz CPU

 1024M bytes DDR2 SDRAM Memory

 4M bytes Flash Memory

 PCB            Version:Ver.B

 Logic          Version:  1.0

 Basic BootWare  Version:  1.10

 Extend BootWare  Version:  1.16

3.2 支持的设备

 Secpath F1000-E

3.3 配置保存


每次配置完成后,注意进行配置的保存(终端及Web都需进行保存),选择“系统管理 > 配置维护 > 配置保存”,点击<确定>。

4  配置举例

4.1  典型组网

                                              图1 NAT典型组网

4.2  设备基本命令行配置

4.2.1  其他共同配置

(1) 接口模式:G0/0、G0/1、G0/2和G0/3均为三层接口:

Interface                      Physical   Protocol   IP Address

GigabitEthernet0/1             up         up           172.1.1.1

GigabitEthernet0/2             up         up           1.1.1.1

GigabitEthernet0/3             up         up           2.1.1.1

(2) 安全域(Web页面“系统管理 > 安全域管理”):

G0/0置于Management域(默认);

G0/1置于root设备Untrust域;

G0/2置于root设备Trust域;

G0/3置于root设备DMZ域。

(3) 配置ACL

[H3C]acl number2000                                                           

[H3C-acl-basic-2000]rule  permit 

4.3 业务典型配置举例

4.3.1 Easy IP方式NAT

1. 功能简述

地址转换时,利用访问控制列表控制哪些内部地址可以进行地址转换。并直接使用接口的公有IP地址作为转换后的源地址。

2. 典型配置步骤

策略管理 > 地址转换策略 > 地址转换 >新建 >选择接口(G0/1),输入acl号,地址转换方式选择Easy IP ,点击<确定>。

l             从PC2上访问PC3,执行ping、www、ftp、dns、telnet操作。

l             查看会话列表,可以看到验证结果。

3. 验证结果

l             ping、www、ftp、dns、telnet访问正常。

l             查看会话列表:

4. 注意事项

本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。

4.3.2 PAT方式NAT

1. 功能简述

防火墙使用地址池IP地址对数据报文进行地址转换,源端口改变。

2. 典型配置步骤

(1) 创建地址池

对象管理 > NAT地址池 > 地址池 > 新建 > 输入地址池索引、开始IP地址和结束IP地址,点击<确定> 。

(2)配置NAT PAT

策略管理 > 地址转换策略 > 地址转换 > 新建 > 选择接口(G0/1),输入acl号,输入地址池索引,地址转换方式选择PAT,点击<确定> 。

l             从PC2上访问PC3,执行ping、www、ftp、dns、telnet操作。

l             查看会话列表,可以看到验证结果。  

3. 验证结果

l             ping、www、ftp、dns、telnet访问正常。

l             查看会话列表:源端口改变。


4. 注意事项

本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。

4.3.3 no-PAT方式NAT

1. 功能简述

防火墙使用地址池IP地址对数据报文进行地址转换,源端口不变。

2. 典型配置步骤

(1) 创建地址池

对象管理 > NAT地址池 > 地址池 > 新建 > 输入地址池索引、开始IP地址和结束IP地址,点击<确定> 。

(2) 配置NAT PAT

策略管理 > 地址转换策略 > 地址转换 > 新建 > 选择接口(G0/1),输入acl号,输入地址池索引,地址转换方式选择no-PAT,点击<确定> 。

l             从PC2上访问PC3,执行ping、www、ftp、dns、telnet操作。

l             查看会话列表,可以看到验证结果。 

3. 验证结果

l             ping、www、ftp、dns、telnet访问正常。

l             查看会话列表:源端口不改变。

4. 注意事项

本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。

4.3.4 NAT Static

1. 功能简述

防火墙对数据报文进行双向一对一地址转换,源端口或目的端口不变。指定范围内的内部主机地址转换为指定的公网网段地址,转换过程中只对网段地址进行转换。

2. 典型配置步骤

(1) 配置一对一地址转换。

策略管理 > 地址转换策略 > 一对一地址转换 > 新建 > 输入内部IP地址和外部IP地址,点击<确定> 。

(2) 使能一对一地址转换

策略管理 > 地址转换策略 > 使能一对一地址转换 > 指定接口使能状态栏中使能(GE0/1)。

l             从PC2上访问PC3,执行ping、www、ftp、dns、telnet操作,

l             查看会话列表,可以看到验证结果。

(3) 创建Untrust域 > Trust域,Untrust域 > DMZ域的访问控制策略。

策略管理 > 访问控制策略 > 面向对象ACL。

l             从PC3上访问PC2,执行ping、www、ftp、dns、telnet操作。

l             查看会话列表,可以看到验证结果。

3. 验证结果

l             ping、www、ftp、dns、telnet访问正常。

l             查看会话列表:

l             ping、www、ftp、dns、telnet访问正常。

l             查看会话列表:目的地址转换为指定的内网地址,目的端口不变。

4. 注意事项

本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。

4.3.5 NAT Server

1. 功能简述

外部网络访问内部服务器功能。外部网络的用户访问内部服务器时,NAT将请求报文内的目的地址转换成内部服务器的私有地址。即防火墙对数据报文进行入方向地址转换,目的IP地址转换为指定地址,目的端口转换为指定端口。

2. 典型配置步骤

(1) 配置NAT Server。

策略管理 > 地址转换策略 > 内部服务器 > 新建 > 选择接口、 选择协议类型、输入外部IP地址、输入外部端口、 输入内部IP地址、输入内部端口,点击<确定> 。

(2) 配置NAT Server(指定VPN实例)――本例用到。

策略管理 > 地址转换策略 > 内部服务器 > 新建 > 选择接口、 选择VPN实例、选择协议类型、输入外部IP地址、输入外部端口、 输入内部IP地址、输入内部端口,点击<确定>。

(3) 创建Untrust域 > Trust域,Untrust域 > DMZ域的访问控制策略。

策略管理 > 访问控制策略 >面向对象ACL。

l             从PC3上访问PC2,执行ping、www、ftp、dns、telnet操作。

l             查看会话列表,可以看到验证结果。

3. 验证结果

l             ping、www、ftp、dns、telnet访问正常。

l             查看会话列表:

4. 注意事项

本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。

4.3.6  Vlan-interface上的NAT

1. 功能简述

本例以Easy IP 为例。其他的NAT 业务参照上面典型配置,仅需在配置时选择vlan-interface 3接口新建地址转换即可。

2. 典型配置步骤

(1) 接口模式:G0/0、G0/2、G0/3为三层接口;G0/1为二层access口,属于Vlan 3

interface GigabitEthernet0/1

 port link-mode bridge

 port access vlan 3

 combo enable copper

(2) 创建Vlan接口:interface Vlan-interface 3配置地址

 interface Vlan-interface3

 ip address 172.1.1.1 255.255.255.0

(3) 安全域:G0/0置于Management域;G0/1置于root设备Untrust域;Vlan-interface2置于root设备Untrust域;G0/3置于root设备DMZ域

策略管理 > 地址转换策略 > 地址转换 > 新建 > 选择接口(Vlan-interface3),输入acl号2000,地址转换方式选择EasyIP,点击<确定> 。

l             从PC2上访问PC3,执行ping、www、ftp、dns、telnet操作。

l             查看会话列表,可以看到验证结果。

3. 验证结果

l             ping、www、ftp、dns、telnet访问正常

l             查看会话列表:

4. 注意事项

本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。

4.3.7 关于多实例的NAT

1. 功能简述

本例以Easy IP 为例。

2. 典型配置步骤

NAT应用涉及的多实例配置:

(1) 用户可在命令行全局视图下完成多实例的基本配置,主要包括的内容。

l             多实例的配置;

l             接口绑定多实例;

l             多实例路由;

l             多实例ACL。

当前视图

配置命令

简单说明

[H3C]

ip vpn-instance vpn1

配置VPN-instance

[H3C-vpn-instance-vpn1]

route-distinguisher 111:1

[H3C-vpn-instance-vpn1]

vpn-target 111:1 export-extcommunity

[H3C-vpn-instance-vpn1]

vpn-target 111:1 import-extcommunity

[H3C-vpn-instance-vpn1]

quit

 

[H3C]

interface GigabitEthernet0/3

 

[H3C-GigabitEthernet0/3]

ip binding vpn-instance vpn1

配置接口绑定VPN实例

[H3C-GigabitEthernet0/3]

ip address  2.1.1.1 24 

配置地址

[H3C-GigabitEthernet0/3]

quit

 

[H3C]

acl number 2000

 

[H3C-acl-basic-2000]

rule  permit

添加ACL规则

[H3C-acl-basic-2000]

rule  permit  vpn-instance  vpn1

添加ACL允许多实例规则

[H3C]

ip route-static vpn-instance vpn1 0.0.0.0 0  172.1.1.2 public

配置VPN实例到公网路由

 

(2)策略管理 > 地址转换策略 > 地址转换 > 新建 > 选择接口(G0/1),输入acl号,地址转换方式选择Easy IP,点击<确定> 。

l             从PC2上访问PC3,执行ping、www、ftp、dns、telnet操作。

l             查看会话列表,可以看到验证结果。

3. 验证结果

l             ping、www、ftp、dns、telnet访问正常。

l             查看会话列表:

4. 注意事项

本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。其他的NAT 业务参照上面典型配置,仅需在配置时指定VPN 多实例。

l             NAT Static 新建一对一地址转换时指定VPN 多实例

l             NAT Server新建内部服务时指定VPN 多实例

5  相关资料

5.1  相关协议和标准

l             RFC1631

l             RFC1918

5.2  其它相关资料

《SecPath高端防火墙NAT对外测试手册》

《平台Web网管用户手册 NAT》

《平台Web网管用户手册 NAT》


举报

相关文章推荐

[转]NAT、防火墙的原理区别和分类

NAT、防火墙的原理区别和分类        1、NAT        NAT是Net Address Translation 的缩写,从名字也可以看出,它是负责网络地址转换的一个协议...

CentOS7下Firewall防火墙配置用法详解

centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。 FirewallD 提供...

程序员升职加薪指南!还缺一个“证”!

CSDN出品,立即查看!

linux配置防火墙详细步骤(iptables命令使用方法)

通过本教程操作,请确认您能使用linux本机。如果您使用的是ssh远程,而又不能直接操作本机,那么建议您慎重,慎重,再慎重! 通过iptables我们可以为我们的Linux服务器配置有动态的防火...

linux防火墙配置

1. vi /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Man...

锐捷RG-WALL60防火墙配置详解

http://xwnet.blog.51cto.com/233677/108956

Centos6.4下iptables防火墙配置

配置Cento6.4 iptables防火墙。 1. 查看防火墙状态 # service iptables status 或: # /etc/init.d/iptables status 说...

分析三种主流防火墙配置方案利弊

双宿主机网关(Dual Homed Gateway) 这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机(Bastion Host)。堡垒主...

Oracle与防火墙设置

Oracle与防火墙设置       要访问防火墙后的windows oracle数据库,仅仅通过简单的打开固定TCP端口的方式是不行的。       这个问题的根本原因是windows ...

华为USG防火墙基本配置

USG防火墙基本配置学习目的掌握登陆USG防火墙的方法掌握修改防火墙设备名的方法掌握对防火墙的时间、时区进行修改的方法掌握修改防火墙登陆标语信息的方法掌握修改防火墙登陆密码的方法掌握查看、保存和删除防...

华为内部的Web安全原则

Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策...
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)