目的NAT转换,源进源出功能,外网访问内部服务器(双出口属于不同安全域)

最新推荐文章于 2025-03-24 19:06:43 发布
最新推荐文章于 2025-03-24 19:06:43 发布
阅读量5.2k 收藏 19
点赞数 1
分类专栏: 华为 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeAndroid2012/article/details/108293258
版权

介绍双出口环境下公网用户通过NAT策略访问内部服务器(双出口属于不同安全区域)的配置举例

网络拓扑如下
在这里插入图片描述

企业一共申请了1.1.1.1和1.1.10.10公网ISP1的公网IP2.2.2.2和2.2.20.10公网ISP2的公网IP地址;
1.1.1.1和2.2.2.2分别配置到防火墙的两个出口接口上;1.1.10.10和2.2.20.10 分别作为服务器的公网IP为外网用户提供访问服务。内部服务器的IP地址为:10.2.0.8
配置思路
配置接口IP地址和安全区域,完成网络基本参数配置。
配置安全策略,允许外部网络用户访问内部服务器。
配置NAT策略。
在GigabitEthernet 1/0/1和GigabitEthernet 1/0/7上配置源进源出功能和默认网关。
1、配置接口IP地址和安全区域
1-1、配置接口IP地址

[FW-GigabitEthernet 1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet 1/0/2] ip address 10.2.0.1 24
[FW-GigabitEthernet 1/0/7] ip address 2.2.2.2 24

1-2、把接口加入对应的安全区域
将接口GigabitEthernet 1/0/2加入DMZ区域。

[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2

将接口GigabitEthernet 1/0/1加入Untrust1区域。

[FW] firewall zone name untrust1
[FW-zone-untrust1]
最低0.47元/天 解锁文章
口下的NAT server(电信、联通多口,NAT ALG)
网络之路Blog(其他平台同名)
09-09 1343
由于这里配置的是直接两条默认路由指向各自口,那么带来的问题就是防火墙会随机的选择一个接口发送去,有可能是电信、有可能是从联通,现的问题就在这,没办法保证用户从哪个接口来,在从哪个接口去,所以在UTM时代V2R3版本就已经推了一个功能,叫做,它的作用就是当接口启用该功能后,访问该接口的数据(包括映射),从这个接口入的,返回的时候依旧从这个接口去,它的优选级高于路由表。在之前学的基础上面加入了安全区域的绑定,这个时候就不在有什么提示了,在来看看server-map表。
NATNAT穿透()
热门推荐
ustcgy的专栏
06-08 3万+
5. NAT穿透5.1 转发     最可靠但又是最低效的点对点通信方法,莫过于将p2p网络通信看作一个C/S结构,通过服务器来转发信息.如下图,两个客户端A和B,均与服务器S初始化了一个TCP或UDP连接,服务器S具有公网固定IP地址,两个客户端分布在不同的私网中,这样,他们各自的NAT代理服务器将不允许他们行直连.                                    Server S                                          |        
14--目的NAT实战配置万字深度解析(建议大家多敲几遍熟悉流程)
最新发布
2302_77698668的博客
03-24 819
详细介绍了防火墙目的NAT的配置过程,模拟真实工作过程中的实操手册,满足你对知识的获取
网络故障排除—NAT-
limengshi138392的博客
05-28 876
网络故障排除—NAT-
华为防火墙基本原理工作方法总结(包含)
IT技术
11-07 2062
华为防火墙基本原理工作方法总结
CentOS7
weixin_30881367的博客
09-16 1146
echo 200 ct >> /etc/iproute2/rt_tablesecho 201 cu >> /etc/iproute2/rt_tables ip route add default via 172.16.100.1 table ctip route add default via 172.16.200.1 table cu ip rule a...
防火墙NAT实验,双机热备实验
qq_58187222的博客
04-14 1070
抓包测试:在这两个口行抓包,第一个图是经过GE1/0/1接口,IP地址还发生变化,第二个图是经过GE1/0/2接口,目标地址已经发生变化,变为dmz服务器本身的地址。抓包测试:在这两个口行抓包,第一个图是经过GE1/0/1接口,IP地址还发生变化,第二个图是经过GE1/0/2接口,目标地址已经发生变化,变为dmz服务器本身的地址。测试:FW1为主用,FW2为 备用,断开FW1的接口,两个防火墙就会行切换。抓包测试:trust区域中的设备访问内部服务器,IP地址的变化。NAT策略中建立服务器映射。
【自学安全防御】二、防火墙NAT智能选路综合实验
qq_63890458的博客
07-13 1195
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器9,多口环境基于带宽比例行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;10,分公司内部的客户端可以通过域名访问内部服务器,公网设备也可以通过域名访问到分公司内部服务器;11,游客区仅能通过移动链路访问互联网。
防火墙知识学习()
weixin_39664643的博客
10-28 3110
防火墙相关知识学习笔记
NATNAT Server 基础篇
weixin_34232744的博客
11-20 4576
学校或公司的私网通常会有一些服务器需要提供给公网用户访问。但网络部署时,服务器地址一般都会被配置成私网地址,这样服务器就不能直接使用自身的地址来提供服务了。那么,防火墙作为学校或企业的口网关时,是如何应对这个问题的呢?如果小伙伴们有读过强叔的NAT篇,聪明的你一定会想到,防火墙是不是也可以将服务器的私网地址通过NAT转换成公网地址来提供服务呢?Bingo!你的大方向已经对...
移动、联通、电信三网接入要求。-三层
Liu_yi_ming的博客
11-04 2409
联通、电信、移动,三网同时接入内网,要求
解决nat server问题
ducanwang的博客
05-07 786
客户双出口一边是运营商A,一边是运营商B,将内网服务器分别映射到运营商B和运营商A口。为了保证内部上网用户网速快,客户开启了运营商选路功能,运营商B的网站从运营商B去,运营商A的网站从运营商A去。然后写有两条等价默认路由分别指向两个外网口。现在发现运营商A的用户只能通过运营商A口的ip地址访问后台映射的服务器。运营商B的用户也只能通过访问运营商B接口来访问内部服务器
配置多个ip地址时ip的选择
bjxg--北极星光
11-27 6867
原文链接:http://zhangxugg-163-com.iteye.com/blog/1669810 如果一个主机绑定有多个 IP地址,那么在被动响应和主动发起连接两种方式中, IP 地址的选择机制肯定是有所差异的。   主机在接收外部数据包,并发送响应数据包时,响应地址显然就是客户端的目标地址,这是非常容易理解的,如客户端向主机的1.1.2.3:80 发起请
linux系统,多网卡配置,配置实践
lu07ya的博客
03-12 6733
linux系统,多网卡配置, 环境:eth1:网通 10.202.36.201/23 网关10.202.37.254 ip:10.202.36.201eth2:教育网 10.202.41.8/23 网关10.202.41.254 ip:10.202.41.8实现功能:从网通入的所有数据仍从网通口传。从教育网入的所有数据仍从教育网口传。实现方法:1.额外创建两个路由表cnc jy...
nginx机器配置
wyl9527的博客
02-04 414
echo "default via neiwangwangguan table neiwang" >/etc/sysconfig/network-scripts/route-bond0 echo "default via wangguan1 table lujiang" >/etc/sysconfig/network-scripts/route-eth0 echo "default via wangguan2 table wuwei" >/etc/sysconfig.
Linux与iproute2
weixin_34226706的博客
11-15 1451
最近在给客户做解决方案的时候遇到这么一个场景也给自己埋了个坑这里记录一下。 具体需求如下 现在客户国内服务器和国外的防火墙已经内网打通 客户在国内有台WEB服务器要通过国外的一台防火墙访问外网 需要从国外防火墙上能够回到国内的WEB服务器即能够通过防火墙访问到WEB服务的80端口 国内WEB服务器有自己的公网地址需要能够行管理 ...
liunx服务器双网卡配置
qq_42216071的博客
04-26 2839
多网卡配置
NAT server一分为二,
荆盼的博客
12-27 1700
拓扑图    第一种是将接入不同ISP的公网接口规划在不同的安全区域中,配置NAT Server时,带上zone参数,使同一个服务器不同安全区域发布不同的公网地址。 nat server web 0 zone untrust1 protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 www nat server web1 1 zone unt...
NAT网路口构建
weixin_50339323的博客
05-23 1348
一、技术背景 公网IP地址及私有IP地址 公网地址 公网地址是指可以在Internet上使用的地址。为保证整个Internet内的IP地址的唯一性,公网地址由IANA(Inetrnet Assigned Number Authority)这个国际组织行分配。一台网络设备如需要使用公网地址,就必须向ISP(Internet Service Provider)或者注册中心申请 私有地址 为了满足一些实验、公司或者其他组织独立于Internet之外的私有网络需求,RFCA(Reque...
华为模拟器的路由表
06-06
具体来说,的路由表记录了每个目的地址的最佳口接口和下一跳地址。在转发数据包时,模拟器会根据数据包的目的地址查找路由表,找到对应的口接口和下一跳地址,然后将数据包发送到对应的接口上。 需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dreamzhqw

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值