华为防火墙源nat(NAT NO-PAT、NATP、easy-ip)实验

已于 2022-12-21 16:29:50 修改
阅读量3.8k 收藏 34
点赞数 2
分类专栏: 华为学习日记 文章标签: 华为 tcp/ip 网络 网络互联
于 2022-10-15 12:04:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ddfgxfgg/article/details/127332982
版权

 R1的配置

 sysname R1

 interface GigabitEthernet0/0/0
 ip address 1.1.1.2 255.255.255.0 

 interface GigabitEthernet0/0/1
 ip address 2.1.1.1 255.255.255.0

FW的配置(NAT NO-PAT)由于是一对一,同时不能上网只有pc1的nat会话表过期以后pc2才可以访问internet

可以手动清除map表

NAT no-pat配置


[FW]diagnose   //进入diagnose视图
    
[FW-diagnose]reset firewall server-map    //重置server-map表


interface GigabitEthernet1/0/0
 ip address 192.168.1.254 255.255.255.0
 service-manage ping permit     //允许设备ping此接口,可以用于测试下联链路通断
#
interface GigabitEthernet1/0/1
 ip address 1.1.1.1 255.255.255.0

#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/0     //将g1/0/0加入trust区域


firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1    //将g1/0/1加入untrust区域


#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2   //配置到达R1的接口的默认路由

#
nat address-group no-pat              //进入nat地质组 自定义name为no-pat
 mode no-pat global                    //使能全局模式为no-pat  即为不转换端口的nat
 section  1.1.1.100         //设置地址池为1.1.1.100 若地址池有多个则语法为x.x.x.x-x.x.x.x

#
nat-policy                             //配置nat策略
 rule name out                            //设置name为out的规则
  source-zone trust                        //配置匹配nat的源区域为trust
  destination-zone untrust                //配置目的区域为untrust
  source-address 192.168.1.0 mask 255.255.255.0   //配置需要转换地址的源地址;由于上网的目的地址不能确定,则不配置关于目的地址的配置
  action source-nat address-group no-pat   //使用源nat的nat地址组为开始设置的no-pat地址组
#
security-policy                    //配置安全策略原理同上
 rule name nat
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit


 

NATP 配置

[FW]nat-policy //进入nat策略配置视图内
    
[FW-policy-nat]rule name out  //进入策略out视图内

[FW-policy-nat-rule-out]undo action source-nat   //关闭策略使能


[FW]nat address-group no-pat  //进入nat地址组no-pat内


[FW-address-group-no-pat]mode pat   //更改模式为pat即为转换端口的nat
    
[FW]nat-policy    //回到nat策略组内
    
[FW-policy-nat]rule name out
    
[FW-policy-nat-rule-out]action source-nat address-group no-pat  //再次使能nat地址组no-pat

[FW]dis firewall session table    //查询会话表  源目端口发生改变
2022-10-15 03:52:32.900 
 Current Total Sessions : 5
 icmp  VPN: public --> public  192.168.1.2:31278[1.1.1.100:2062] --> 2.1.1.2:204
8
 icmp  VPN: public --> public  192.168.1.2:30766[1.1.1.100:2060] --> 2.1.1.2:204
8
 icmp  VPN: public --> public  192.168.1.2:30510[1.1.1.100:2059] --> 2.1.1.2:204
8
 icmp  VPN: public --> public  192.168.1.2:31022[1.1.1.100:2061] --> 2.1.1.2:204
8
 icmp  VPN: public --> public  192.168.1.2:30254[1.1.1.100:2058] --> 2.1.1.2:204
8
[FW]
 

easy-ip配置

[FW-policy-nat-rule-out]action source-nat easy-ip  //仅仅需要在nat策略内使能easy-ip即可

并且不需要配置nat地址组

li工
关注
  • 2
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NATNo-PAT)只转换地址、不转换端口
hey1616的博客
11-15 1271
NAT No-PAT实验
防火墙NAT策略 配置NAT NO-PATNATEasy-IP
Crazier_的博客
08-30 1万+
实验拓扑图: 实验步骤: 配置IP地址及安全策略实现全网互通 1.配置NAT NO-PAT 2.配置NAPT 3.配置Easy-IP 一. 配置IP地址 (1)pc1的IP (2)pc2的IP 3)pc3的IP (4)r1的IP [r1]interface GigabitEthernet0/0/0 [r1-GigabitEthernet0/0/0]ip address 192.168.10...
华为eNSP防火墙NAT地址转换之NAT-NOPAT
嘻嘻哥哥~的博客
02-21 4103
防火墙NAT地址转换 NAT-NOPAT(一对一) NAT No-PAT 只转换报文的IP 地址,不转换端口,需要上网的私网用户数量省,公网IP地址数量与同时上网的最大私网用户数量基本相同,在NAT No-PAT的转换方式中,一上公网IP地址不能同时被多个私网用户使用,其实并没有起到节省公网Ip地址的效果 配置IP地址 配置静态路由和默认路由 FW1: ip route-static 0.0.0.0 0.0.0.0 10.1.1.2 ip route-static 10.1.1.3 255.2
静态动态NAT、PAT、NAPT、EasyIp、NAT server
最新发布
2201_75549363的博客
06-07 466
2.安全防护:NAT之内的PC联机到Internet.上面时,他所显示的IP是NAT主机的公网IP,所以client端的PC就具有一定程度的安全了,外界在进行portscan (端口扫描)的时候,就侦测不到client端的PC。Translation),它实现一个公网地址和多个私网地址之间的映射,因此可以节约公网地址。内部网络向外部网络发送报文时,静态NAT将报文的IP地址替换为对应的公网地址:外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。
NAT————Easy IP
zj2059129607的博客
11-16 593
当FW的公网接口通过拨号方式动态获取公网地址时,如果只想使用这一个公网IP地址进行地址转换,此时不能在NAT地址池中配置固定的地址,因为公网IP地址是动态变化的。此时,可以使用Easy IP方式,即使出接口上获取的公网IP地址发生变化,FW也会按照新的公网IP地址来进行地址转换。查看会话表发现此方式下,私网IP都转换为出接口的公网IP地址1.1.1.1,由于地址转换的同时还进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,FW根据端口区分不同用户,所以可以支持同时上网的用户数量更多。
华为配置nat
yychentracy的博客
04-21 2584
不要忘记在R1上配置出去的静态默认路由R1上的出口地址转换,不要转换成和对端冲突的地址,第一次地址池范围包括了R2的接口地址,就转发不出去了顺便整理下,其余几种nat
100集华为HCIE安全培训视频教材整理 | NAT技术
COCO_gsta的博客
09-01 1780
学习视频来:《乾颐堂HCIP-HCIE-security安全 2019年录制》 地址转换 地址池:no_pat、napt、smart、三元组nat 非地址池(出接口):easy_ip 目标地址转换 目的NAT NAT-Server(会产生server-map) SLB 双向NAT地址和目标地址都转换) 域间 域内 NAT -- 网络地址转换 解决私网地址访问公网没有回包的问题 地址池:可以是一个,也可以是多个 每个地址池里面可以是一组地址,也可以是一个地
华为防火墙NO PAT,一对一的地址转换
不定期分享一些自己的学习笔记
10-16 1035
华为防火墙NO PAT,一对一的地址转换
防火墙基础基础篇:NAT转发功能之——Easy IP方式详解
qq_39241682的博客
05-27 1936
Easy IP 是一种简化版的动态NAPT(Network Address and Port Translation)技术。在Easy IP中,我们只使用一个公网IP地址,无需建立公有IP地址池。这个公网IP地址就是防火墙接口的IP地址。Easy IP的实现原理与NAPT相似,都是同时转换IP地址和传输层端口。区别在于Easy IP没有地址池的概念,而是直接使用接口地址作为NAT转换的公网地址。
华为防火墙配置上网(easy IP)
u011384200的博客
02-27 1364
dns server 192.168.31.1(地址) 或者dns server unnumbered interface GigabitEthernet0/0/1(端口)内网端口添加0/0/22口是办公接入,另外vlanif也需要添加。dns proxy enable(dns代理开启)dns resolve(开启动态域名解析功能)
学习防火墙配置nat的Easy IP方式
qq_50981675的博客
09-25 5030
做个小实验供自己理解一下Easy-IP Easy IP是一种利用出接口的公网IP地址作为NAT转换后的地址,同时转换地址和端口的地址转换方式。 对于接口是动态获取的场景,Easy IP也一样支持 通过防火墙实现nat装换 拓扑图 1、在这个拓扑图中我把192.168.1.0/24比作内网,172.16.1.0/24比作外网,使用防火墙将内网地址转换成外网地址,然后去访问PC2 防火墙必须将接口分配到安全区域内,并且配置数据包过滤才可让数据包通过,所以要先配置安全策略和网关地址 防火墙配置如下 <SR
防火墙技术基础篇:NAT转发之——Smart NATNo-PAT和NAPT结合)
qq_39241682的博客
05-28 563
Smart NAT,即智能网络地址转换,是一种基于传统NAT技术的创新方案。它通过引入更高级的网络管理和控制机制,实现了更加灵活、高效和安全的网络通信。Smart NAT不仅可以实现基本的IP地址转换,还可以根据网络环境和用户需求动态调整转发策略,从而实现更优的网络性能。
强叔侃墙_NAT_nopat示例
荆盼的博客
08-18 3648
NAT No-PAT 只转换报文的IP 地址,不转换端口,需要上网的私网用户数量省,公网IP地址数量与同时上网 的最大私网用户数量基本相同,在NAT No-PAT的转换方式中,一上公网IP地址不能同时被 多个私网用户使用,其实并没有起到节省公网Ip地址的效果。   使用USG5500来做实验 FW1配置   interface GigabitEthernet0/0/0  a...
【网络实验】华为防火墙基础之安全策略以及easyIP和NAPT以及web管理的配置
Vector_seven的博客
08-19 4841
3.在设计拓扑图的时候,管理口思考了很久加入哪个区域,但是后来想可以不加入区域,任何人都访问不到这个区域来,没有安全策略。Untrust区域目前只有一台192.168.2.3的主机,我们配置安全策略使得ip范围在2.4-2.5。配置0/0/0为管理接口,用cloud1去桥接真机,配置web应用口,但是又没有直连0/0/0口。改变策略使得该ip可以通过,此时我们直接改网段的策略,使得2.0网段都可以通过。这一条是防火墙的管理接口的默认ip,我们改成和云桥接的ip同一网段的ip。此时去ping,失败。
配置easy-ip
qq_73212565的博客
08-22 1万+
这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:内部主机较少、出接口通过拨号方式获得临时(或固定)公网IP地址以供内部主机访问Internet。可以帮助你轻松隐藏你的真实的IP,防止您的网上活动被监视或您的个人信息的被黑客窃取,其工作原理是:Easy IP。可以轻松隐藏真实的IP,防止网上活动被监视或个人信息的被黑客窃取。第二步:接着规划slw1的vlan为access接口和vlanif。第一步:添加各个pc和sever1的IP地址,子网掩码及网关。第六步:查看nat配置。
NAT中关于easy ip配置的一些问题
ICTbai的博客
02-19 1万+
                                       EASY ip的简单配置案例      一.拓扑图是上面配置的那个,右边为公网,左面为私网。首先先配置公网路由器IP以及PC的IP和网关。之后再运行OSPF,使得公网可以互通。R3配置:                                                                    ...
nat端口限制_Cisco ASA 防火墙 NAT - 基本概念
weixin_39838829的博客
12-03 731
Cisco 的 NAT 从来都是谜之难用,无论是 IOS 还是 ASA。在这里专门集中整理了一下 ASA NAT 的一些概念和基础配置案例,仅限于基础部分,实在是没有精力去深究。( ASA version 8.3 之前的 NAT 对于数据处理的流程完全不同,本文所有的内容均是基于 version 8.3 及以后的版本。)基本概念ASA 里面 NAT 的基本概念和其他的厂商类似,大致上分为:Stat...
HCIA-Nat(网络地址转换)+端口映射
MonsterKnight的博客
12-14 1109
当一个连接有很多设备的私网想要访问公网时,由于公网中的路由器没办法配置,导致私网中的流量能去却回不来的情况,公网路由器的路由表中只有边界路由器的IP地址,这时就需要net网络地址转换 — ip地址转换,在数据包经过路由器时,修改包中的或者目标ip地址(从私网进入公网修改,从公网进入私网修改目标);
H3C防火墙NAT类型及处理顺序
热门推荐
phoenixbleed的博客
04-19 1万+
H3C防火墙NAT处理顺序 本文主要适用于H3C V7版本防火墙,介绍了NAT的基本类型和执行顺序。相关内容很多援引H3C官方产品文档,NAT类型及相关说明以官方文档为准。 1 NAT类型及配置说明 H3C V7产品支持的NAT按照组网方式可分为以下几种: (1) 传统NAT 报文经过NAT设备时,在NAT接口上仅进行一次IP地址转换或一次目的IP地址转换。对于内网访问外网的报文,在出...
华为防火墙NAT分类(地址转换和目标地址转换)
studay_everday的博客
07-27 6458
地址转换方式 1.**NAT NO-PAT(动态转换):**多对多转换,不转换端口,只转换IP地址2. NAPT(network and port translation ,网络地址和端口转换)类似pat:napt既转换报文地址,又转换端口。转换后的ip地址不能是外网接口ip地址(多对多或多对一) 3.**EASY-IP(出接口地址):**既转换IP地址,又转换端口,转换为外部接口地址,(多对多或多对一) 4.**三元组nat:**与ip地址,端口和协议类型有关的一种转换,将ip地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

li工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值