多出口下的源NAT配置实验

已于 2023-05-31 11:10:39 修改
阅读量340 收藏 3
点赞数
文章标签: 智能路由器 网络 运维
于 2023-05-26 21:43:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaheguosong/article/details/130894450
版权

image-20230526212204108

目标:PC1和PC2实现通信,FW1提供两个出口,ISP1和ISP2.

思路:FW1配置静态默认路由,出接口为G1/0/1和G1/0/2. 两个出口做基于地址池的NAT即可。

橙色区域做动态路由即可,这里是OSPF,忽略其合理性。

基础配置:

FW1:防火墙初始化后配置思路,基础配置包括:IP地址、路由和安全策略。

# IP地址

interface GigabitEthernet1/0/0
 ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
 ip address 198.51.100.1 255.255.255.252
#
interface GigabitEthernet1/0/2
 ip address 203.0.113.1 255.255.255.252

# 路由
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 198.51.100.2
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/2 203.0.113.2

# 安全区域
[FW1]display current-configuration configuration zone 
2023-05-26 13:29:56.620 

firewall zone trust
 add interface GigabitEthernet1/0/0

firewall zone name isp1 
 set priority 10
 add interface GigabitEthernet1/0/1
#
firewall zone name isp2 
 set priority 20
 add interface GigabitEthernet1/0/2

地址池配置:

#
nat address-group addgroup1 
 mode pat
 route enable
 section 0 198.51.100.10 198.51.100.12
#
nat address-group addgroup2 
 route enable
 mode pat
 section 0 203.0.113.10 203.0.113.12

NAT策略:

nat-policy
 rule name policy_nat1
  source-zone trust
  destination-zone isp1
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group addgroup1
 rule name policy_nat2
  source-zone trust
  destination-zone isp2
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group addgroup2

安全策略:

security-policy
 rule name policy1
  source-zone trust
  destination-zone isp1
  destination-zone isp2
  source-address 192.168.1.0 mask 255.255.255.0
  action permit

外部三台路由器配置:

# ISP1
# ## IP地址
#
interface GigabitEthernet0/0/0
 ip address 198.51.100.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 200.1.1.1 255.255.255.0 

# ## 路由
#
ospf 1 
 import-route static
 area 0.0.0.0 
  network 198.51.100.0 0.0.0.255 
  network 200.1.1.0 0.0.0.255 
#
ip route-static 198.51.100.10 255.255.255.255 GigabitEthernet0/0/0 198.51.100.1
ip route-static 198.51.100.11 255.255.255.255 GigabitEthernet0/0/0 198.51.100.1
ip route-static 198.51.100.12 255.255.255.255 GigabitEthernet0/0/0 198.51.100.1


# ISP2
# ## IP地址
interface GigabitEthernet0/0/0
 ip address 203.0.113.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 201.1.1.1 255.255.255.0 
 
# ## 路由
#
ospf 1 
 import-route static
 area 0.0.0.0 
  network 201.1.1.0 0.0.0.255 
  network 203.0.113.0 0.0.0.255 
#
ip route-static 203.0.113.10 255.255.255.255 GigabitEthernet0/0/0 203.0.113.1
ip route-static 203.0.113.11 255.255.255.255 GigabitEthernet0/0/0 203.0.113.1
ip route-static 203.0.113.12 255.255.255.255 GigabitEthernet0/0/0 203.0.113.1



# AR3
# ## IP地址
#
interface GigabitEthernet0/0/0
 ip address 200.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 202.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 201.1.1.2 255.255.255.0 

# ## 路由
#
ospf 1 
 area 0.0.0.0 
  network 200.1.1.0 0.0.0.255 
  network 201.1.1.0 0.0.0.255 
  network 202.1.1.0 0.0.0.255

此时PC1和PC2通信测试:

image-20230526213937407

防火墙前后接口抓包:

地址转换前:

image-20230526214100124

地址转换后:

image-20230526214123749

此实验遗留问题:

能否将两个出接口配置到一个相同的安全区域,如untrust,会不会又问题?

yoyo鹿鳴
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
华为USG防火墙配置---案例三(2)(单墙负载多出口NAT上网)--基于带宽/权重负载
ZhouGuo520的博客
12-21 1905
案例三(1):用户多出口连接到电信DX和移动YD,防火墙出口互联设备。 电信提供的地址如下 ip:200.1.1.1-4/24,网关:200.1.1.5 带宽100M 移动提供的地址如下 ip:119.1.1.1-4/24,网关:119.1.1.5 带宽50M防火墙配置:健康j监测俩ISP连路, 局域网规划172.16.0.0/16,可以细化到单个C地址,交换机配置dhcp作为网关,默认路由指向防火墙即可。说明:防火墙与局域网互联配置 172.16.0.1/30(交换机配置默认路由指向这个地址) 交换..
防火墙配置NAT出口
qq_44757725的博客
11-13 4118
防火墙配置NAT出口 配置实例 某企业的网络拓扑如下 部门A:vlan11:192.168.11.1 /24 部门B:vlan12:192.168.12.1/24 两个部门均通过vlan10接入防火墙,从而访问外部网络。内部服务器开启了web服务以及ftp服务,外部客户端只能访问内部的web服务和ftp服务。防火墙有联通和电信两个出口。 设备配置 防火墙配置 interface Gigabit...
网络出口 NAT 配置实例
weixin_33910434的博客
04-12 544
NAT包括多种不同的类型,并可用于不同目的: 静态NAT:按照一一对应的方式将每个内部IP地址转换为一个外部IP地址,这种方式经常用于企业网的内部设备能够被外部网络访问。 动态NAT:将一个内部IP地址转换为一组外部IP地址(地址池)中的一个IP地址。 超载(Overloading)NAT:动态NAT的一种实现形式,利用不同的端口号将多个内部IP地址转换为一个外部IP地...
华为防火墙NAT配置及简介
l1981420354的博客
04-14 7264
华为防火墙NAT策略 一.NAT概述 NAT技术是用来解决当今IP地址资枯竭的一种技术,同时也是IPv4到IPv6的过渡技术。 二.华为防火墙NAT分类 1.NAT No-PAT:类似于Cisco的动态转换,只转换iP地址,不转换端口,属于多对多转换不能节约公网iP地址,实际情况下使用较少,主要适用于需要上网的用户较少.而公网地址又足够的场景下。 2.NAPT (网络地址和端口转换):类似于Cisco的PAT转换,NAPT既转换报文的地址,又转换端口。转换后的地址不能是外网接口iP地址属于多对多或多
防火墙nat以及双机热备
weixin_42902697的博客
09-13 555
当内网pc通过公网域名访问内网服务器时,ip不会被nat转换,所以服务器回包时会直接通过内网以内网ip回复,导致pc无法接受此包,无法正常与服务器通信。解决方案就是使用域内双向nat,将地址一并转换,这样回包就能原路返回。问题1:主防火墙挂掉后,VRRP会将流量转到备用防火墙,但是备用防火墙无法新建会话表,因为建立会话表需要首包,所以流量不能通过。问题2:当主防火墙一边的链路断了,虽然VRRP能够进行链路追踪,进行主备切换,但另一边的设备并不知情,仍会错误地转发流量。
eNSP实验9-1 NAT配置与应用
01-28
eNSP实验9-1 NAT配置与应用 本实验旨在掌握基本NAT配置方法,并了解NAT网络中的应用。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,用于解决IPv4地址空间不足的问题。 一、NAT...
实验:使用静态NAT对外发布公司官网.docx
11-12
实验使用静态NAT对外发布公司官网,在出口路由器配置NAT,使内部服务器映射到公网地址上。
出口NAT负载均衡和备份
04-03
这个是一个双出口NAT负载均衡和备份的实验文档,内含实验拓扑,以及完整的配置
大型无线网络实验环境-附配置文档及配置命令
08-19
涉及: 端口配置,端口聚合配置,MSTP配置, DHCP配置,VRRP配置,OSPF配置,无线AC配置,AP上线配置, WLAN业务配置,OSPF配置,出口路由器配置,接口配置, OSPF配置,NAT配置
大型无线网络实验环境-附配置文档及配置命令.rar
08-09
涉及: 端口配置,端口聚合配置,MSTP配置, DHCP配置,VRRP配置,OSPF配置,无线AC配置,AP上线配置, WLAN业务配置,OSPF配置,出口路由器配置,接口配置, OSPF配置,NAT配置
H3C配置NAT实验
NeverGUM的博客
02-22 1万+
一:搭建实验环境,依照拓补图将所有接口配置如图所示的IP地址,并且在私网出口RTA路由器配置一条静态路由,指向公网路由器RTB。 二:实验拓补 三:配置完毕后在PC上面ping外网服务器的地址198.76.29.4,并不通 四:配置BasicNAT的过程 RTA <H3C>system-view [H3C]undo info-center en Informa...
计算机组成原理实验pc,计算机组成原理实验报告5- PC实验
weixin_29553791的博客
07-15 2357
计算机组成原理实验报告5- PC实验2.5 PC实验姓名:孙坚 学号:134173733 班级:13计算机 日期:2015.5.15一.实验要求:利用CPTH 实验仪上的K16..K23 开关做为DBUS 的数据,其它开关做为控制信号,实现程序计数器PC的写入及加1 功能。二.实验目的:1、了解模型机中程序计数器PC的工作原理及其控制方法。2、了解程序执行过程中...
防火墙的ISP选路
zljszn的博客
10-21 1342
2. 防火墙区域的划分(防火墙的g1/0/2接口是属于ISP1接口,所以需要自己新建一个区域然后添加接口,配置优先级,g1/0/3是属于ISP2接口,所以也需要新建一个区域把接口给添加进去,然后再配置优先级)让R1走ISP1的路径访问192.168.1.1,R2走ISP2的路径访问172.16.1.1。8. 抓包查看,去往isp1和isp2的流量分别从防火墙的g1/0/2和1/0/3接口出去了。下载的模板如下图所示,只需要在目的IP地址范围写ISP的地址即可,然后再导入进来即可。1. IP地址的配置略。
防火墙NAT
最新发布
2302_77035737的博客
01-27 642
-- 基于IP地址进行转换。我们之前接过的静态NAT,动态NAT,NAPT都属于NAT,都是针对IP地址进行转换的。NAT主要目的是为了保证内网用户可以访问公网。--- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器。--- 同时转换IP和目标IP地址。
华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
H3C V7 防火墙多WAN 链路负载均衡配置方法(命令行)
ice_bird的专栏
04-03 1万+
1配置需求及说明 1.1适用的产品系列 本案例适用于如F5080、F5060、F5030、F5000-M等F5000、F5000-X系列的防火墙。 1.2配置需求及实现的效果 某公司为达到业务流量快速转发和链路冗余需求申请了三条不同运营商的外网线路,需要实现如下需求: 1)要求内网用户访问目的地址为移动链路数据从移动链路转发、访问目的地址为联通链路数据从联通链路...
华三设备模拟配置校园网双出口(策略路由)
:Struggle.
09-05 4872
博文目录: 一、策略路由是什么? 二、配置H3C双出口 1、配置NAPT 2、配置NATserver将内网telnet功能发布到外网 3、配置Easy-IP 4、配置策略路由 一、策略路由是什么? 它与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由是在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变...
H3C防火墙配置出口地址
qq_52199242的博客
04-27 1308
防火墙多互联网出口配置
NAT出口路由器作为出口设备
weixin_46460114的博客
11-20 2504
之前使用ensp做策略路由发现不生效,以为做不了,借着一位仁兄的真实案例,发现策略路由确实可以做出效果。
华为usg防火墙pool nat配置实验
06-09
好的,我可以为你提供一些关于华为USG防火墙PoolNAT配置实验步骤。下面是具体步骤: 1. 首先,登录到华为USG防火墙的Web管理界面,并选择“配置向导”选项卡。 2. 在“配置向导”页面中,选择“网络配置”选项,并点击“NAT”选项。 3. 在“NAT”页面中,点击“pool NAT”选项,并选择“新建”按钮。 4. 在“新建pool NAT”页面中,输入一个名称,并选择需要进行NAT的接口。 5. 接下来,在“地址池”选项中,可以选择“手动添加”或者“导入地址池”进行地址池的配置。如果选择“手动添加”,则需要输入IP地址、掩码、网关等信息。 6. 在“使用NAT地址池的规则”选项中,可以选择访问和目的地址,以及协议类型等。 7. 最后,点击“完成”按钮保存配置。 以上就是关于华为USG防火墙PoolNAT配置实验步骤。希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值