多出口场景下的NAT

最新推荐文章于 2023-11-13 22:11:56 发布
最新推荐文章于 2023-11-13 22:11:56 发布
阅读量240 收藏 1
点赞数
文章标签: 服务器 java 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaheguosong/article/details/131050249
版权

源NAT

image-20230605140621385

# 
nat address-group addgroup1 0
 mode pat
 route enable
 section 0 198.51.100.10 198.51.100.11
 
# 
nat address-group addgroup2 1
 mode pat
 route enable
 section 0 203.0.113.10 203.0.113.11

nat策略:

 rule name policy_nat1
  source-zone trust
  destination-zone ISP1
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group addgroup1
# 
 rule name policy_nat2
  source-zone trust
  destination-zone ISP2
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group addgroup2

安全策略:

 rule name NAPT1
  source-zone trust
  destination-zone ISP1
  destination-zone ISP2
  source-address 192.168.1.0 mask 255.255.255.0
  action permit

notice: 不要把两个出口的安全区域全部划分到同一个名称的区域下,如果这样,nat-policy 永远会被执行第一条。如下所示:

nat-policy
 rule name policy_nat1
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group addgroup1
 rule name policy_nat2
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group addgroup2

image-20230605144431678

如果出接口就在相同的安全区域,nat-policy的配置,要用出接口来区分,不要使用zone来区分:

nat-policy
 rule name policy_nat1
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group addgroup1
# 
 rule name policy_nat2
  source-zone trust
  egress-interface GigabitEthernet1/0/2
  source-address 192.168.1.0 mask 255.255.255.0
  action source-nat address-group addgroup2

最后得到的会话表信息如下:

icmp  VPN: public --> public  192.168.1.2:15493[203.0.113.11:2066] --> 203.0.113.2:2048
icmp  VPN: public --> public  192.168.1.2:15237[203.0.113.11:2065] --> 203.0.113.2:2048
---------------------------------------------------------------------------------------------------------
icmp  VPN: public --> public  192.168.1.2:18565[198.51.100.11:2062] --> 202.1.1.1:2048
icmp  VPN: public --> public  192.168.1.2:17797[198.51.100.11:2059] --> 202.1.1.1:2048

目的NAT

配置NAT Server

image-20230605145032963

方法1: 配置NAT Server 带上 Zone 参数(两个出接口不在相同的安全区域)

 nat server 0 zone ISP1 protocol tcp global 198.51.100.10 9980 inside 192.168.10.1 www no-reverse unr-route 
 nat server 1 zone ISP2 protocol tcp global 203.0.113.10 9980 inside 192.168.10.1 www no-reverse unr-route

对应的安全策略:

#
 rule name Inter_dmz
  source-zone ISP1
  source-zone ISP2
  destination-zone dmz
  destination-address 192.168.10.1 mask 255.255.255.255
  service http
  action permit

方法2:两个出接口在相同安全区域,不必带 zone参数,但是要有 no-reverse

 nat server 0 protocol tcp global 198.51.100.10 9980 inside 192.168.10.1 www no-reverse
 nat server 1 protocol tcp global 203.0.113.10 9980 inside 192.168.10.1 www no-reverse

安全策略

#
 rule name Inter_dmz
  source-zone ISP1
  source-zone ISP2
  destination-zone dmz
  destination-address 192.168.10.1 mask 255.255.255.255
  service http
  action permit

配置源进源出:

interface GigabitEthernet1/0/1
 gateway 198.51.100.2
 redirect-reverse next-hop 198.51.100.2
interface GigabitEthernet1/0/2
 gateway 203.0.113.2
 redirect-reverse next-hop  203.0.113.2
yoyo鹿鳴
关注
NAT出口】路由器作为出口设备
weixin_46460114的博客
11-20 2597
之前使用ensp做策略路由发现不生效,以为做不了,借着一位仁兄的真实案例,发现策略路由确实可以做出效果。
pbr 多出口_PBR+多出口NAT+IP SLA
weixin_39636099的博客
12-24 664
PBR策咯路由(Policy-Based Routing)route-map的一种应用,基于策略的路由比传统的路由能力更强,使用更灵活,它使网络管理者不仅能够根据目的地址而且能够根据协议类型、报文大小、应用或IP源地址来选择转发路径。策略路由可以定义为通过多路由器的负载平衡或根据总流量在各线上进行报文转发的服务质量来定义策略路由策略路由主要对经过路由器的数据流进行分流和过滤以及感兴趣的数据流在讲P...
出口NAT配置
weixin_34221773的博客
11-19 521
出口NAT配置, 1.1.1.1网段访问4.4.4.4网段,默认走R2.如果走R2那条线路出现故障,则切换为走R3. 11.11.11.11网段访问4.4.4.4网段,默认走R3.如果走R3那条线路出现故障,则切换为走R2. 一.基本配置 R5 interface Loopback0 ip address 1.1.1.1...
出口的ISP NAT高级配置+route-map策略路由
weixin_33875564的博客
07-06 1631
本设计从简单到难,便于理解本次设计涉及到 NAT高级应用和route-map及其策略路由                                                   ---------------------------------------------------------------------------------------------------------...
出口下的源NAT配置实验
aaheguosong的博客
05-26 381
思路:FW1配置静态默认路由,出接口为G1/0/1和G1/0/2. 两个出口做基于地址池的NAT即可。能否将两个出接口配置到一个相同的安全区域,如untrust,会不会又问题?目标:PC1和PC2实现通信,FW1提供两个出口,ISP1和ISP2.橙色区域做动态路由即可,这里是OSPF,忽略其合理性。
出口NAT策略路由配置
04-10
出口NAT策略路由案例·已完成·GNS3 通过配置实现: 宿舍区访问互联网使用电信出口.教学区使用联通出口 任何一条链路故障,能够自动切换 宿舍区和教学区均使用路由器出口地址做PAT 配置思路: 基础拓扑搭建. 划分VLAN,配置access/trunk/SVI,IP 地址 配置内网路由(汇聚于核心跑OSPF) 规划外网路由与NAT 如何实现,让宿舍区192. 168.10.0走电信 如何实现,让教学区192. 168.20.0走联通 如何让走电信出口的,利用电信的NAT地址池/电信接口地址做PAT(为何要这样?因为如果你使用了电信的NAT地址从联通出去了,数据包可以回来吗?如果你访问的电信的地址,网通ISP没有这条目的地的路由就无法通信) 我的博文里有配置步骤可以参考http://t.csdn.cn/84TP3
华为USG6000防火墙nat / nat server 配置(多出口情况)
weixin_45102241的博客
09-03 2783
FW1-policy-security-rule-lyshark] destination-zone untrust // 目标安全区域(外部)[FW1-policy-security-rule-lyshark] destination-address any // 目标地址区域。[FW1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)[FW1] interface GigabitEthernet 1/0/2 // 选择外网接口。
USG防火墙在双线出口场景下部署主备NAT与ip-link联动技术指导.pdf
11-06
USG防火墙在双线出口场景下部署主备NAT与ip-link联动技术指导.pdf
第9招:多出口等价路由场景下DNS的一个问题
10-03
### 多出口等价路由场景下DNS的问题及解决方案 #### 一、背景介绍 在网络环境中,多出口等价路由是一种常见的网络设计模式,它能够帮助网络实现负载均衡、提高链路利用率并增加网络的可靠性。当一个网络拥有多个...
NAT网路出口构建
weixin_50339323的博客
05-23 1281
一、技术背景 公网IP地址及私有IP地址 公网地址 公网地址是指可以在Internet上使用的地址。为保证整个Internet内的IP地址的唯一性,公网地址由IANA(Inetrnet Assigned Number Authority)这个国际组织进行分配。一台网络设备如需要使用公网地址,就必须向ISP(Internet Service Provider)或者注册中心申请 私有地址 为了满足一些实验、公司或者其他组织独立于Internet之外的私有网络需求,RFCA(Reque...
出口NAT策略路由案例
商务合作|种草文章|产品测评
04-09 3873
配置思路: 1.基础拓扑搭建. 2.划分VLAN,配置access/trunk/SVI,IP 地址 3.配置内网路由(汇聚于核心跑OSPF) 4.规划外网路由与NAT 一 如何实现,让宿舍区192. 168.10.0走电信 如何实现,让教学区192. 168.20.0走联通 access-list 10 permit 192.1 68.10.0 0.0.0.255 //匹配宿舍区 VLAN10流量 route-map fenliu permit 10 match ip address 10//宿舍区.
网络出口 NAT 配置实例
weixin_33910434的博客
04-12 554
NAT包括多种不同的类型,并可用于不同目的: 静态NAT:按照一一对应的方式将每个内部IP地址转换为一个外部IP地址,这种方式经常用于企业网的内部设备能够被外部网络访问。 动态NAT:将一个内部IP地址转换为一组外部IP地址(地址池)中的一个IP地址。 超载(Overloading)NAT:动态NAT的一种实现形式,利用不同的端口号将多个内部IP地址转换为一个外部IP地...
NAT地址转换,路由器作为出口设备,实现负载分担
❤️遇见我 的博客
09-04 1903
NAT地址转换,路由器作为出口设备,实现负载分担,实现路由策略
华为设备实现双出口访问外网nat 策略路由配置
cx的博客
05-19 7463
实验:双出口访问外网nat 策略路由配置 1、内网使用nat访问外网 2、访问联通流量默认走联通线路,电信流量默走电信线路 3、当线路出现故障时,可切换到另一个链路 4、来回路径一致 5、通过NQA技术检测网络状态,连通性 配置一个外网的DNS服务器做为NQA测试的路由 ip route-s 188.202.98.1 32 11.1.1.1 ip route-s 202.98.224.68 32 12.1.1.1 配置NQA监测网络连通 ===nqa nqa test-instance cucc lian
防火墙网络地址转换技术
zljszn的博客
10-13 4568
先来简单的阐述一下什么是源NAT地址的方式,第一种方式是不带端口号进行转换,就是需要配置一个公网地址池,私网地址转换的时候找公网地址池当中的其中一个没有在使用的公网地址转换即可,其实着也是一对一的关系,如果公网地址池当中的地址被转换完后其他的私网主机想出来上网就无法上网课,第二种方式就是带端口转换,就是也需要一个公网地址池,但是这个地址池里面只需要一个公网地址即可,内网的主机出来转换的时候就转换到这个公网地址的不同端口即可,端口的范围是0~65535,这样才能做到真正节约公网地址的目的。
《eNSP - NAT 实验》
君逍遥o
10-31 392
eNSP;NAT
华为防火墙NAT概述和基础配置
qq2353177176的博客
11-13 3686
华为防火墙NAT概述和基础配置
PBR+多出口NAT+IP SLA
weixin_34208185的博客
06-22 591
PBR策咯路由(Policy-Based Routing) route-map的一种应用,基于策略的路由比传统的路由能力更强,使用更灵活,它使网络管理者不仅能够根据目的地址而且能够根据协议类型、报文大小、应用或IP源地址来选择转发路径。策略路由可以定义为通过多路由器的负载平衡或根据总流量在各线上进行报文转发的服务质量来定义策略路由 策略路由主要对...
nat sever端口映射应用场景
最新发布
08-15
NAT (网络地址转换) 端口映射是一种技术,它常用于局域网内的设备访问互联网服务时隐藏其内部IP地址和端口。它的应用场景主要包括: 1. 家庭网络共享:当你在家中的路由器后面有一台游戏服务器、网站服务器或其他需要对外提供服务的应用时,可以设置端口映射,使得外网用户通过指定的公网IP地址和端口号访问到内部的服务。 2. 远程桌面:如使用RDP(远程桌面协议)连接家里的电脑时,通过配置NAT端口映射,允许外部设备通过特定的公网端口访问内网计算机的RDP服务。 3. 服务器托管:企业或个人租用虚拟主机或云服务器时,通常只能获得一个公网IP,这时通过NAT端口映射,可以将多个应用绑定到不同的内部端口,再通过该IP的单一出口对外提供服务。 4. 网络安全:有些情况下,内部网络希望只开放必要的服务端口给外部世界,通过NAT端口映射,可以限制攻击者直接扫描和访问未授权的服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值