毕设快速入门 - 防火墙NAT技术、NAPT、NAT-Server、Easy-IP

最新推荐文章于 2024-05-29 09:04:59 发布
最新推荐文章于 2024-05-29 09:04:59 发布
阅读量839 收藏 3
点赞数 1
分类专栏: 华为eNSP 文章标签: tcp/ip 网络 网络协议 php 智能路由器 开发语言
彪哥.TOP
本文链接:https://blog.csdn.net/jbywapp/article/details/133892483
版权 
 

 
 
NAT的作用:NAT 技术是用来解决当今IP地址资源枯竭的一种技术
 
 
NAT分类:
NAPT(Network Address and Port Translation,网络地址和端口转换)
 
 
NAPT即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,
 属于多对多或多对一转换,可以节约公网IP地址,使用场景较多。

 出接口地址 (Easy-IP
 因其转换方式非常简单,所以也被称为Easy-IP、
 和NAPT一样,即转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址。

NAT Server
 静态一对一发布,主要用于内部服务器需要对Internet提供服务时使用。
 

 

 

 
 
如图所示:我们在防火墙上设置NAT,一般情况下,将内网(Trust)区域使用NAPT或者Easy-IP;服务器(DMZ)区域使用NAT-Server技术
 

 

 

 

 

开始配置:
 

在开始之前我们要给防火墙和外网路由器配置缺省路由:
 

FW1(下一跳为公网地址)
 

ip route-static 0.0.0.0 0.0.0.0 10.10.10.2
 

AR1(下一跳为公网地址)
 

ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
 

因为我们在防火墙上配置,所以还需要配置相应的区域(前面的课程有讲配置区域):
 

[FW1]firewall zone dmz
[FW1-zone-dmz]add int g 1/0/6
[FW1-zone-dmz]q
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g 1/0/0
[FW1-zone-untrust]q
[FW1]firewall zone trust 
[FW1-zone-trust]add int g 1/0/1
[FW1-zone-trust]q

 

 

NAPT配置(二选一)
 

 
 

   先配置策略,允许Trust(内网)区域访问Untrust(外网)区域 
 
 

 

[FW1]security-policy 
[FW1-policy-security]rule name NAPT	
[FW1-policy-security-rule-NAPT]source-zone trust 
[FW1-policy-security-rule-NAPT]destination-zone untrust 
[FW1-policy-security-rule-NAPT]action permit 
[FW1-policy-security-rule-NAPT]q
[FW1-policy-security]q
 

 
 
配置NAPT地址池(可以设置一个或者多个)
 

 

[FW1]nat address-group NAPT
[FW1-address-group-NAPT]section 0 10.10.10.1 
[FW1-address-group-NAPT]mode pat        #指定模式为pat模式
[FW1-address-group-NAPT]q

 

 
 
配置NAT策略
 

 

[FW1]nat-policy 	
[FW1-policy-nat]rule name NAPT
[FW1-policy-nat-rule-NAPT]source-zone trust
[FW1-policy-nat-rule-NAPT]destination-zone untrust 
[FW1-policy-nat-rule-NAPT]action source-nat address-group NAPT

 

 

Easy-IP配置(二选一)
 

 
 
一样配置策略,允许Trust(内网)区域访问Untrust(外网)区域
 

 

[FW1]security-policy 
[FW1-policy-security]rule name easy_ip	
[FW1-policy-security-rule-easy_ip]source-zone trust 
[FW1-policy-security-rule-easy_ip]destination-zone untrust 
[FW1-policy-security-rule-easy_ip]action permit 
[FW1-policy-security-rule-easy_ip]q
[FW1-policy-security]q
 

 
 
无需配置地址池,直接配置NAT策略
 

 

[FW1]nat-policy 
[FW1-policy-nat]rule name easy-ip
[FW1-policy-nat-rule-easy-ip]source-zone trust 
[FW1-policy-nat-rule-easy-ip]destination-zone untrust 
[FW1-policy-nat-rule-easy-ip]action source-nat easy-ip 

 

 

NAT-Server(仅用于服务器地址转换)
 

 
 
防火墙上配置安全策略(允许untrust(外网)区域访问DMZ(服务器)区域的FTP、HTTP服务)
 

 

[FW1]security-policy
[FW1-policy-security]rule name untodmz	
[FW1-policy-security-rule-untodmz]source-zone untrust
[FW1-policy-security-rule-untodmz]destination-zone dmz 
[FW1-policy-security-rule-untodmz]service ftp
[FW1-policy-security-rule-untodmz]service http
[FW1-policy-security-rule-untodmz]action permit 
[FW1-policy-security-rule-untodmz]q
[FW1-policy-security]q

 

 
 
 配置NAT-Server策略,将服务器的ftp、http服务通过将内部IP192.168.2.2.转换成10.10.10.3,给外网访问!
 

 

[FW1]nat server ftp protocol tcp global 10.10.10.3 21 inside 192.168.2.2 21
[FW1]nat server http protocol tcp global 10.10.10.3 80 inside 192.168.2.2 80

 

 

 
 
 OK!就是这样,不是很难,然后如何查询NAT是否转换成功
 

 

dis firewall session table  


                

        

        

    




    

      

        

            

              
                
                  彪哥.TOP
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
【网络基础】NET Server配置详述

				
			

			

				

					xiaobai729的博客
				

				

					03-24
					
					9176
					
				

			

		

		

			
				
这是一篇对NAT Server服务的实例详细讲解,本人主要关注华为路由器交换机,每周更新2~3篇相关知识点

			
		

	



                

              
                



	

		

			

				
					
【网络实验】华为防火墙基础之安全策略以及easyIP和NAPT以及web管理的配置

				
			

			

				

					Vector_seven的博客
				

				

					08-19
					
					4626
					
				

			

		

		

			
				
3.在设计拓扑图的时候,管理口思考了很久加入哪个区域,但是后来想可以不加入区域,任何人都访问不到这个区域来,没有安全策略。Untrust区域目前只有一台192.168.2.3的主机,我们配置安全策略使得ip范围在2.4-2.5。配置0/0/0为管理接口,用cloud1去桥接真机,配置web应用口,但是又没有直连0/0/0口。改变策略使得该ip可以通过,此时我们直接改网段的策略,使得2.0网段都可以通过。这一条是防火墙的管理接口的默认ip,我们改成和云桥接的ip同一网段的ip。此时去ping,失败。

			
		

	



                


  
              

                


	

		

			

				
					
防火墙技术基础篇:基于Ensp配置防火墙NAT server(服务器映射)

					
最新发布

				
			

			

				

					qq_39241682的博客
				

				

					05-29
					
					1648
					
				

			

		

		

			
				
NAT(Network Address Translation,网络地址转换)是一种允许多个设备共享一个公共IP地址的技术NAT Server,也称为服务器映射,是NAT技术中的一种应用,主要用于将外部网络的访问请求映射到内部网络中的某个具体服务器上。这种技术广泛应用于需要将外网请求路由到内网特定服务器的场景,比如Web服务器、邮件服务器等。

			
		

	





	

		

			

				
					
华为eNSP:静态NAT、动态NAT、端口NAT的配置(NAPT)-网络地址转换

					
热门推荐

				
			

			

				

					qq_59718828的博客
				

				

					10-07
					
					2万+
					
				

			

		

		

			
				
华为eNSP:静态NAT、动态NAT、端口NAT的配置(NAPT),网络地址转换

			
		

	



		

			
		



	

		

			

				
					
NAPTNAT地址池、NAPTeasy-ipNAT-Server

				
			

			

				

					weixin_55932038的博客
				

				

					06-25
					
					3634
					
				

			

		

		

			
				
R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255   //定义acl。[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 29    //掩码是29。[R1-GigabitEthernet0/0/1]ip address  200.1.1.1 29   //掩码是29。[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 30   //掩码是30。

			
		

	





	

		

			

				
					
目的NAT————NAT Server

				
			

			

				

					zj2059129607的博客
				

				

					11-17
					
					511
					
				

			

		

		

			
				
当通过global IP地址配置nat server后,再通过基于接口地址的方式配置nat server,当被借用的接口的地址与global IP地址相同时,二者冲突,基于接口方式的nat server不生效。当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置nat server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。外部网络的用户访问内部服务器时,nat将请求报文的目的地址转换成内部服务器的私有地址。将接口加入防火墙区域。

			
		

	





	

		

			

				
					
静态NAT,动态NATNAPT(实验配置+原理讲解)

				
			

			

				

					weixin_69884785的博客
				

				

					09-27
					
					2808
					
				

			

		

		

			
				
静态NAT,动态NATNAPT(实验配置+原理讲解)

			
		

	





	

		

			

				
					
跟着实验学NAT Server配置

				
			

			

				

					Yearningforwood的博客
				

				

					04-19
					
					2658
					
				

			

		

		

			
				
基于目的IP的NAT Server配置,通过实验学习NAT配置

			
		

	





	

		

			

				
					
九、常用网络协议与应用-静态NAT、动态NATNAPT、Easy ip NATNAT server【基于华为ensp】

				
			

			

				

					05-04
				

			

		

		

			
				
本篇文章将深入探讨几种常见的NAT类型,包括静态NAT、动态NATNAPT、Easy IP NAT以及NAT Server,并结合华为的ENSPI(Enterprise Network Simulation Platform - Interactive)进行实践操作。  1. 静态NAT:静态NAT...

			
		

	





	

		

			

				
					
网络技术第6章 网络安全技术 - NAT.pptx

				
			

			

				

					11-01
				

			

		

		

			
				
5. **Easy IP**:这是一种简化版的NAPT,只需要一个公有IP地址,即路由器连接公网的出口IP地址。Easy IP会根据需要动态分配端口号,同样能隐藏内部网络细节。  配置NAT通常涉及定义内部和外部网络接口、创建地址池...

			
		

	





	

		

			

				
					
NAT网络技术白皮书.docx

				
			

			

				

					10-12
				

			

		

		

			
				
NAT(Network Address Translation)网络技术是互联网通信中的关键组成部分,其主要目的是解决IPv4地址枯竭的问题,通过将私有IP地址与公共IP地址之间的映射,使得内部网络中的设备可以访问外部网络,同时对外隐藏了...

			
		

	





	

		

			

				
					
s8500路由交换机操作手册(V2.00)7-4L3+NAT配置[参考].pdf

				
			

			

				

					10-20
				

			

		

		

			
				
1.2.4 **Easy IP**:Easy IP是一种简化的NAT配置方式,用于单臂路由场景,方便快速启用NAT功能。  1.2.5 **特殊协议支持**:NAT不仅要处理TCP和UDP协议,还要对其他如ICMP、GRE等协议进行地址和/或端口转换。  1.2.6...

			
		

	





	

		

			

				
					
华为ICT必学网络拓扑及配置、数据通信课程必学网络拓扑配置、所有协议为单独配置、文件为单独文件

				
			

			

				

					10-08
				

			

		

		

			
				
学习华为HCIA 必会网络拓扑配置,其中包含具体协议有静态路由,单臂路由、三层交换、链路聚合、防火墙以及防火墙地址转换与双机热备、OSPF、VLAN、WALN、ACL、FTP、DHCP、DHCP中继、NATNAPT、BGP、Easy-ip等协议...

			
		

	





	

		

			

				
					
华为eNSP配置静态NAPT

				
			

			

				

					嘻嘻哥哥~的博客
				

				

					02-18
					
					4685
					
				

			

		

		

			
				
静态NAPT


端口映射,允许访问外网服务器网站




基本配置:
R1:
int gi0/0/0                         #进入接口gi0/0/0中
ip add 192.168.10.1 24              #配置IP地址和子网掩码
quit                                #退出接口配置模式
​
R2:
int gi0/0/0                         #进入接口gi0/0/0中
ip add 192.168.

			
		

	





	

		

			

				
					
四、防火墙-NAT Server

				
			

			

				

					u012451051的博客
				

				

					11-24
					
					1196
					
				

			

		

		

			
				
第一条,反向表,将报文源地址192.168.10.2转换为110.1.1.1,第二条,反向表,将源地址192.168.10.2,转换为210.1.1.1,如果同时下发后,防火墙既可以将报文源地址由192.168.10.2转换为110.1.1.1,又可以将源地址192.168.10.2,转换为210.1.1.1,于是,防护墙凌乱了。例如:ISP1网络中的公网用户如果通过防火墙发布了ISP2的公网地址来访问私网服务器,或者ISP1的公网用户访问服务器后,从ISP2回包的,基本就属于绕路了。

			
		

	





	

		

			

				
					
防火墙防火墙NAT Server的配置

				
			

			

				

					2301_76769041的博客
				

				

					08-31
					
					2317
					
				

			

		

		

			
				
介绍公网用户通过NAT Server访问内部服务器的配置举例。

			
		

	





	

		

			

				
					
目的NAT:公网用户通过 NAT Server 访问内部服务器

				
			

			

				

					GUOJUNWEI11的博客
				

				

					11-16
					
					1547
					
				

			

		

		

			
				
当外网用户访问内网服务器时,NAT Server通过事先配置好的“公网IP地址+端口号”与“私网IP地址+端口号”之间的映射关系,将服务器的“公网IP地址+端口号”根据映射关系替换成对应的“私网IP地址+端口号”。配置转换表项:在路由器上配置NAT Server的转换表项,记录内网服务器的私网IP地址和端口号与对应的公网IP地址和端口号之间的映射关系。源地址替换:路由器根据响应报文的源IP地址和端口号查找转换表项,并使用转换表项中的公网IP地址和端口号替换响应报文中的源IP地址和端口号。

			
		

	





	

		

			

				
					
NAT网络地址转换(私网公网地址、静态NAT、动态NATNAPT、Easy IP、NAT Server)】-20211215、20211216

				
			

			

				

					AZK707的博客
				

				

					01-30
					
					5098
					
				

			

		

		

			
				
一、NAT产生背景

1.产生背景



2.私网地址、公网地址

整个世界一共2^32次方,42亿多个,全球70多亿人,并且随着现代化,很多人的终端设备、智能设备增多,导致了ip地址的缺乏;并且,美国只给了我们中国一亿多个地址,而我国现14亿人口,所以ip严重不足。

私网IP地址,既可以一定上缓解ip的不足,在私网里,ip地址可以随意使用。

公网地址,在需要访问公网时,运用网络地址转换NAT技术,可以实现。

公网的地址是世界唯一存在的,而私网地址,在不同的私网区域内,是可以重复...

			
		

	





	

		

			

				
					
华为防火墙通过napt访问外网

				
			

			

				

					weixin_58368471的博客
				

				

					07-01
					
					1165
					
				

			

		

		

			
				
企业网络使用napt方式访问外网

			
		

	





	

		

			

				
					
napt、esay-ip、nat有什么区别

				
			

			

				

					05-03
				

			

		

		

			
				
NAPT(Network Address Port Translation)、ESAY-IP(Easy IP)和NAT(Network Address Translation)都是网络地址转换技术,它们的作用都是将内部网络的私有IP地址转换为公网IP地址,以实现内部网络和公网之间的通信。

但是它们之间有一些区别:

1. NAPTNAPT是一种基于端口的地址转换技术,它可以将多个内部网络的主机共享一个公网IP地址。当内部网络的主机访问公网时,NAPT会将源IP地址和源端口号都进行转换,以区分不同的内部主机。

2. ESAY-IP:ESAY-IP是Cisco公司开发的一种NAT技术,它可以将多个内部网络的主机共享一个公网IP地址,但是它不同于NAPT的是,它可以将源IP地址和目的IP地址都进行转换,以实现更灵活的网络地址转换策略。

3. NATNAT是最基本的地址转换技术,它可以将内部网络的私有IP地址转换为公网IP地址,以实现内部网络和公网之间的通信。但是它只能将源IP地址进行转换,不能进行端口号转换。

总之,NAPT、ESAY-IP和NAT都是网络地址转换技术,但是它们的具体实现方式和应用场景有所不同。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值