【域内双向NAT技术】

原创 已于 2025-04-23 16:39:21 修改 · 934 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#华为 #网络 #网络协议

于 2025-04-23 16:30:40 首次发布

域内双向NAT实验

实验相关技术

关于NAT技术的基本知识

实验拓扑图展示

在这里插入图片描述

基础实验配置

内网主机配置:
内网主机配置
外网主机配置:
在这里插入图片描述
在这里插入图片描述

服务器配置:
在这里插入图片描述

AR1 : 地址配置

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[AR1]quit
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 10.0.1.2 24
[AR1]quit

AR2 : 地址配置

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip address 10.0.1.3 24
[AR2]quit
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip address 1.1.1.2 24
[AR2]quit
[AR2]int g0/0/2
[AR2-GigabitEthernet0/0/1]ip address 2.2.2.124
[AR2]quit

让外网主机能顺利访问内网(做NAT Server)

在AR1上面做nat server,让服务器的私网ip映射到公网上面,使得外网主机可以访问内网服务器,而内网服务器不能主动访问外网主机。

在AR1上面做配置

[AR1-GigabitEthernet0/0/1]nat server global 10.0.1.1 inside 192.168.1.1

然后用分别用主机测试他的连通性:
在这里插入图片描述
在这里插入图片描述
发现并没有问题。

接下来查看抓包方面,在AR1的G0/0/1和G0/0/0口上面抓包
在这里插入图片描述

显示地址成功转换
在这里插入图片描述

让内网主机成功访问内网服务器。

当主机已内网服务器地址192.168.1.1访问发现可以ping通,但是以10.0.1.1的外网映射地址访问却是ping不通的。因为如果仅仅做了一个nat server的话。数据包的传播形式是这样的
内网主机通过nat server区内网服务器:
192.168.1.3->10.0.1.1,
192.168.1.3->192.168.1.1

回包形式:
192.168.1.1->192.168.1.3
当内网主机查看是发现回应的是192.168.1.3,并非是10.0.1.1,则无法建立连接,因此无法ping 通

PC>ping 10.0.1.1
Ping 10.0.1.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

所以需要在AR1路由器G0/0/0口和G0/0/0上面做个源nat转换和nat server
AR1配置命令如下:

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat server global 10.0.1.1 inside 192.168.1.1
[AR1-GigabitEthernet0/0/0]nat static global 10.0.1.7 inside 192.168.1.3

在这里插入图片描述

此时发现可以ping通,接下来进一步抓包分析(在AR1的G0/0/0口上面抓包)
在这里插入图片描述
发现坐了两次地址转化。此时数据包的来回路径是
内网主机通过nat server区内网服务器:
192.168.1.3->10.0.1.1,
10.0.1.7->192.168.1.1
回包形式:
192.168.1.1->10.0.1.7,
10.0.1.1->192.168.1.3

感谢各位观看

南塘九曲
关注
网络——域内双向NAT技术
Jay
04-18 1718
到达网关时,网关发现目的地址是10.1.12.100(AR1的G0/0/1同网段地址),于是想要将该数据包从G0/0/1发出,不过G0/0/1接口上配置了NAT Server,发现转换后的地址是AR1的G0/0/0网段地址,那么该HTTP请求又从G0/0/0接口发回,G0/0/0接口上并没有配置NAT Server进行转换。我们查看域内Client1能否正常访问内部的HTTP Server服务器。**备注:**可以通过抓包发现,AR1的G0/0/1出接口并无数据包,而G0/0/0的接口存在TCP无回应。
安全防御(二)--- 防火墙域间双向NAT域内双向NAT、基于VRRP的双机热备
weixin_58299245的博客
09-13 5358
防火墙域间双向NAT域内双向NAT、基于VRRP的双机热备
网络安全学习笔记——第十五天 域内NAT、域间NAT技术及配置实验
m0_53800207的博客
08-12 3451
双向NAT技术 双向NAT两种应用场景: ○ NAT Server+源NAT(又称作域间双向NAT) 为了简化配置服务器至公网的路由,可在NAT Server基础上,增加源NAT配置。好处就是,服务器不需要配网关。 ○域内NAT 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址;防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。 NAT典型应用场景配置举例 ○源应用(内网访问外网) ○ NAT ..
防火墙实验二——实现域间、域内双向NAT、双机热备实验
lml_0916的博客
09-12 1425
这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的。这里的目的端口转换填写的是80;然后备用防火墙(FW2)变成了主用装态。添加一个新的防火墙和一个hub。同样还是在刚刚的界面;它的撞他已经改位是备用状态。对于源转换地址池的配置。
华赛USG 域内NAT
weixin_33782386的博客
07-26 292
配置双向NAT举例(域内NAT和内部服务器) 组网需求 如图1所示,FTP服务器和PC均在USG5300统一安全网关的Trust安全区域,FTP服务器的IP地址为10.1.1.2,PC机的IP地址为10.1.1.5,二者通过交换机与统一安全网关相连。需求如下: FTP服务器对外公布的地址为200.1.1.10,对外使用的端口号为21。 ...
域内双向NAT技术
奋斗Zalvin_JE(奋斗Zhy)的个人博客
07-09 4269
域内双向NAT 实验目的 企业内部有需要想要将内网的HTTP Server中WEB服务映射到公网地址10.1.12.100的80端口上,一般该需求只需要我们部署NAT Server,就可以使得其他网络内的客户端通过公网地址10.1.12.100访问内网HTTP 服务器的目的。 此时如果我们内网客户端也想要通过该公网地址去访问HTTP Server,那么会出现错误导致无法访问。将HTTP Server的私网地址直接透露出来,也不利于保障WEB服务器的安全性。 本实验通过部署域内双向NAT,使得内网地址能够通过
NAT、server nat域内双向NAT、域间双向NAT,以及双机热备实验,练习IPS配置实验。
xiaooxiangg的博客
03-21 1057
lsw1]ip route-static 0.0.0.0 0 10.1.2.254 防火墙的虚网关。然后ping100.1.1.2抓包发现地址进行了地址转换。做同步,在防火墙之间连一根线,把两条接口配成一个网段。配置好防火墙地址,然后用网页登录两个防火墙。配置虚拟IP和第一个防火墙配置方法一样。写一条trust到untrust的策略。写untrust 到dmz 的策略。如图先配置好各个设备IP地址。LSW2配置配法LSW1的一样。trust区加一个服务器。还原后主备切换回为原来。
NAT,域间双向NAT域内双向NAT,双机热备思维导图及试验
weixin_71008408的博客
07-26 456
NAT中server2先不管先配置pc,server,及防火墙端口上的ipPC1 IP10.1.1.3/24 网关10.1.1.1/24server3 IP10.1.1.2/24 网关10.1.1.1/24PC2 IP200.1.1.2/24 网关200.1.1.1/24Client IP200.1.1.3/24 网关200.1.1.1/24。
【防火墙域内双向NAT技术
最新发布
2302_79794013的博客
04-26 985
防火墙域内双向NAT技术
NAT、server nat域内双向nat、域间双向nat配置
weixin_64311421的博客
03-27 1200
对于防火墙来说,我们需要考虑转换和放行。NAT策略只是转换了,防火墙不放行,所以还需要做个放行策略。最后可以在LSW1上接个路由器,用路由器ping 100.1.1.3。在分别在g1/0/1、g1/0/0、g1/0/2上添加IP地址和安全区域。在浏览器上输入刚添加的IP地址,进入华为防火墙图形化界面。然后在WF1上配置0/0/0接口IP地址并开启服务。先做nat策略(trust双转)开启DMZ区域的http服务器。新建一个名称为du的NAT策略。访问服务器,发现外网可以访问。转包可以看见,转换成功。
配置域内NAT举例
03-06
配置域内NAT举例,让你一看就会的配置实例
防火墙域间双向NAT域内双向NAT与双机热备实验
m0_68498873的博客
08-08 1701
USG6000V1-GigabitEthernet1/0/1]service-manage all permit 保存主防火墙配置。
华为路由器域内NAT配置
热门推荐
vbaspdelphi的专栏
08-28 1万+
场景加入我们有一台路由器,简单的一个192.168.0/24的内网,一个出口地址做了NAT,然后我们增加了一个feature,端口映射,而且是一大批端口映射,此时,我们从外部访问NAT的映射服务当然没有问题,但是当从内部通过公网映射调用的时候就有问题了,会被RST,就是重置。这个时候,我们就要用到域内NAT了。方案1公网口(g0/0/1)acl number 2999 rule 5 perm
华为安全-防火墙-双向NAT
w2685797168的博客
11-12 4218
在一些特殊的场景,可以将源NAT与SERVER NAT同时使用,以实现特殊的通讯,这就是本文介绍的双向NAT双向NAT根据作用的ZONE不一样,可以分为域间双向NAT域内双向NAT
域内NAT、域间NAT技术及配置实验4.51
kanxingxingdemao的博客
02-02 1693
NAT server + 源NAT 又叫域间双向NAT ,作用就是服务器不用配置网关了。没有其他作用。 用在服务器server3 和客户机client2 在同一个trust zone里,外网用户unstrust zone 访问内网http服务器server3 ,在server nat 和安全策略都设定下可以正常访问,内网访问http服务器server3 时通过dns请求知道服务器的地址,知道了目的地址时10.1.12.254 ,然后防火墙发数据发送给server3 ,但server3 发现clie.
USG防火墙 配置域内NATNAT Server双出口
11-27 9052
企业内网用户和对外发布的FTP服务器放在同一个安全区域;企业采用双上行接入Internet(固定IP方式)。本举例介绍配置域内NAT+NAT Server双出口,实现内部用户和Internet用户均通过外网地址访问FTP服务器。 组网需求 某公司网络如下: ·        采用双接口接入Internet。      ·        上行接口均采用固定IP方式,IP地址通过向ISP申请获
五、双向NAT
u012451051的博客
11-24 4265
NAT地址池中的地址配置成和私网服务器在同一网段,当私网服务器回应公网用户的访问请求时,发现自己的地址和目的地址在同一网段,此时私网服务器就不会去查找路由,而是发送ARP广播报文询问目的地址对应的MAC。答案是肯定不会影响,但是配置了有它本身的好处。在配置源NAT策略时,destination-address:由于先进行NAT Server转换,再进行源NAT转换,所以此处的目的地址是NAT Server转换后的地址,即服务器的私网地址。这里配置的源NAT,虽然叫源NAT,考虑的时候是反着来的。
安全HCIP之双向NAT
XiaoHG_CSDN的博客
10-08 1030
双向NAT 双向NATNATserver + 源NAT,即转换源也转换目标; 域间双向NAT转换 域间双向NAT:服务器回包(网关); 为了简化配置服务器至公网的路由,可在NAT Server基础上,增加NAT Inbound配置; 域内双向NAT 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址; 防火墙将FTP服务器回应的报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址; ...
域内NAT、域间NAT技术及配置实验4.5
kanxingxingdemao的博客
02-02 290
作用就是服务器不用配网关了。!
域内双向nat配置命令
11-29
在OpenWrt中,设置域内双向NAT的常用命令可能包括以下几个步骤: 1. 打开SSH登录到路由器: ``` ssh root@your_router_ip ``` 2. 切换到` luci`目录: ``` cd /etc/config/ ``` 3. 查看或编辑`nat`配置文件(例如...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值