学习防火墙配置nat的Easy IP方式

最新推荐文章于 2024-06-24 20:01:09 发布
最新推荐文章于 2024-06-24 20:01:09 发布
阅读量5.1k 收藏 21
点赞数 1
分类专栏: 网络学习笔记 文章标签: linux 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50981675/article/details/120477169
版权
本文介绍了EasyIP的原理和配置方法,通过防火墙及路由器实现内网到外网的地址转换。首先展示了在防火墙上配置安全策略和网关地址,然后通过nat-policy设置EasyIP,实现了地址转换。接着,同样在路由器上配置EasyIP,利用acl和nat outbound规则,成功实现了内网到外网的地址转换。实验结果显示,地址转换在抓包中得到了验证。
摘要由CSDN通过智能技术生成

做个小实验供自己理解一下Easy-IP

Easy IP是一种利用出接口的公网IP地址作为NAT转换后的地址,同时转换地址和端口的地址转换方式。
对于接口是动态获取的场景,Easy IP也一样支持

通过防火墙实现nat装换

拓扑图
在这里插入图片描述
1、在这个拓扑图中我把192.168.1.0/24比作内网,172.16.1.0/24比作外网,使用防火墙将内网地址转换成外网地址,然后去访问PC2

防火墙必须将接口分配到安全区域内,并且配置数据包过滤才可让数据包通过,所以要先配置安全策略和网关地址

防火墙配置如下

<SRG>system-view 
20:19:06  2021/09/25
Enter system view, return user view with Ctrl+Z.
[SRG]interface GigabitEthernet 0/0/1
20:19:15  2021/09/25
[SRG-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[SRG-GigabitEthernet0/0/1]qu
[SRG]interface GigabitEthernet 0/0/2
20:19:34  2021/09/25
[SRG-GigabitEthernet0/0/2]ip address 172.16.1.254 24
[SRG-GigabitEthernet0/0/2]qu
[SRG]firewall zone trust 
[SRG-zone-trust]add interface GigabitEthernet 0/0/1
[SRG-zone-trust]qu
[SRG]firewall zone untrust 
20:20:55  2021/09/25
[SRG-zone-untrust]add interface GigabitEthernet 0/0/2
[SRG-zone-untrust]qu
[SRG]firewall packet-filter default permit interzone trust untrust direction out
bound 
20:22:01  2021/09/25
Warning:Setting the default packet filtering to permit poses security risks. You
 are advised to configure the security policy based on the actual data flows. Ar
e you sure you want to continue?[Y/N]y

这样使用PC1pingPC2就可以通,但是可以通过抓包观察到,地址没有转换
在这里插入图片描述

2、配置接口g0/0/2 将内网地址192.168.1.0/24使用Easy IP 方式转换成外网地址172.16.1.0/24

[SRG]nat-policy interzone trust untrust outbound 
20:23:03  2021/09/25
[SRG-nat-policy-interzone-trust-untrust-outbound]policy 1
[SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.0 0.0.0.255
[SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat 
[SRG-nat-policy-interzone-trust-untrust-outbound-1]easy-ip GigabitEthernet 0/0/2

这样在看抓包记录,可以观察到地址发生了转换,而且就是接口g0/0/2的地址
在这里插入图片描述

通过路由器实现nat装换

拓扑图
在这里插入图片描述
1、路由器配上网关就可以是两个PC之间通信
路由器配置如下

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 172.16.1.254 24
[Huawei-GigabitEthernet0/0/2]qu
[Huawei]

使用PC1pingPC2,抓包,
在这里插入图片描述
2、配置接口g0/0/2 将内网地址192.168.1.0/24使用Easy IP 方式转换成外网地址172.16.1.0/24

[Huawei]acl number 2000
[Huawei-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]quit
[Huawei]int	
[Huawei]interface g	
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]d th
[V200R003C00]
#
interface GigabitEthernet0/0/2
 ip address 172.16.1.254 255.255.255.0 
#
return

[Huawei-GigabitEthernet0/0/2]nat outbound 2000 
[Huawei-GigabitEthernet0/0/2]qu

结果
在这里插入图片描述

月亮归我了
关注
专栏目录
华为防火墙nat(easy-ip)实验
weixin_72910567的博客
04-09 5356
实验目的是通过防火墙或路由器的NAT技术,实现内网和外网之间的通信,以及节省公网IP地址。实验环境是使用eNSP软件和VMware软件,搭建一个包含三层交换机、防火墙或路由器、内网PC和外网PC的拓扑图。实验步骤是配置三层交换机的接口、VLAN和路由,配置防火墙或路由器的接口、安全区域、安全策略和路由,配置NAT转换条目,使用easy-ip方式将内网地址转换为出接口地址,并指定ACL策略。实验结果是通过抓包工具观察到内网地址和端口被转换为出接口地址和端口,实现了内外网之间的通信。
ENSP防火墙IP级综合性简单实验配置
qq_53108686的博客
10-02 1789
ENSP防火墙IP级综合性简单实验配置
华为eNSP 实验:Easy-IP
最新发布
zhgjx_ywz的博客
06-24 1157
R1-GigabitEthernet0/0/0]nat outbound 2000 //此命令为配置Easy-IP,能够实现当ACL 2000的流量到达 G0/0/0接口时,使全部映射到此接口的不同端口号可以访问公网。[R1-GigabitEthernet0/0/0]quit //退出。[R1]interface g0/0/1 //进入接口 G0/0/1。[R1]interface g0/0/0 //进入接口 G0/0/0。[R1]interface g0/0/0 //进入接口 G0/0/0。
华为防火墙配置上网(easy IP
u011384200的博客
02-27 1523
dns server 192.168.31.1(地址) 或者dns server unnumbered interface GigabitEthernet0/0/1(端口)内网端口添加0/0/22口是办公接入,另外vlanif也需要添加。dns proxy enable(dns代理开启)dns resolve(开启动态域名解析功能)
网络实验】华为防火墙基础之安全策略以及easyIP和NAPT以及web管理的配置
Vector_seven的博客
08-19 4976
3.在设计拓扑图的时候,管理口思考了很久加入哪个区域,但是后来想可以不加入区域,任何人都访问不到这个区域来,没有安全策略。Untrust区域目前只有一台192.168.2.3的主机,我们配置安全策略使得ip范围在2.4-2.5。配置0/0/0为管理接口,用cloud1去桥接真机,配置web应用口,但是又没有直连0/0/0口。改变策略使得该ip可以通过,此时我们直接改网段的策略,使得2.0网段都可以通过。这一条是防火墙的管理接口的默认ip,我们改成和云桥接的ip同一网段的ip。此时去ping,失败。
防火墙知识
SonMessi的博客
07-20 736
防火墙知识
华为防火墙NAPT---Easy-IP-------NAT Server策略及配置
weixin_45986422的博客
04-27 4060
NAPT配置方式 pc1:ip----192.168.2.100 255.255.255.0 192.168.2.1 pc2:ip ----100.1.1.10 255.255.255.0 100.1.1.1 )实...
防火墙NAT策略 配置NAT NO-PAT、NATEasy-IP
Crazier_的博客
08-30 1万+
实验拓扑图: 实验步骤: 配置IP地址及安全策略实现全网互通 1.配置NAT NO-PAT 2.配置NAPT 3.配置Easy-IP 一. 配置IP地址 (1)pc1的IP (2)pc2的IP 3)pc3的IP (4)r1的IP [r1]interface GigabitEthernet0/0/0 [r1-GigabitEthernet0/0/0]ip address 192.168.10...
华为防火墙NAT学习
weixin_54111663的博客
03-21 1783
通过ASPF功能可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题。出接口地址(Easy-IP)因其转换方式非常简单,所以也称为Easy-IP,和NAPT一样,既转换源IP地址,又转换源端口,区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置IP地址,属于多对一转换,可以节约IP地址,主要适用于没有额外的公网地址可用,内部上网用户非常多的场景下,直接通过外网接口本身的IP地址作为转换目标。
华为防火墙配置Easy IP:在华为防火墙配置安全策略与NAT策略,使Client1能够访问Server1的Web服务。
彭淦淦的博客
04-28 2342
3.2 方案 搭建实验环境,如图-13所示。 图-13 3.3 步骤 实现此案例需要按照如下步骤进行。 1)配置接口,如图-14所示。 图-14 2)配置安全策略,如图-15所示。 图-15 3)配置NAT策略,如图-16所示。 图-16 4)测试可以访问并抓包,如图-17所示。 图-17 ...
静态NAT、动态NAT、静态NAPT(PAT)、EASY IP配置
铣钱铲锂镒镬
06-30 1400
基本配置 Router配置 [R-qi] [R-qi]int g0/0/0 [R-qi-GigabitEthernet0/0/0]ip ad 192.168.100.1 24 [R-qi-GigabitEthernet0/0/0]q [R-qi]int g0/0/1 [R-qi-GigabitEthernet0/0/1]ip ad 200.200.200.254 24 [R-qi-GigabitEthernet0/0/1]q [R-qi]ip route-static 0.0.0.0 0.0.0.0
配置easy-ip
qq_73212565的博客
08-22 1万+
这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:内部主机较少、出接口通过拨号方式获得临时(或固定)公网IP地址以供内部主机访问Internet。可以帮助你轻松隐藏你的真实的IP,防止您的网上活动被监视或您的个人信息的被黑客窃取,其工作原理是:Easy IP。可以轻松隐藏真实的IP,防止网上活动被监视或个人信息的被黑客窃取。第二步:接着规划slw1的vlan为access接口和vlanif。第一步:添加各个pc和sever1的IP地址,子网掩码及网关。第六步:查看nat配置
基于防火墙Easy ***配置全过程
weixin_33973609的博客
07-24 443
实验目的:通过在网关ASA防火墙设备上做Easy×××,使得远端互联网上的一台客户机能够通过加密隧道来访问局域网的内部资源。实验拓扑图如下所示。R1是作为局域网内部的一台路由器,C1连接的是VMnet1网卡,使用的是windows7操作系统作为网络上的一台PC机。下面是具体配置步骤。R1上面的配置。只需要配置接口IP地址和一条默认路由即可。R1(config)#intfa...
防火墙基础基础篇:NAT转发功能之——Easy IP方式详解
qq_39241682的博客
05-27 2659
Easy IP 是一种简化版的动态NAPT(Network Address and Port Translation)技术。在Easy IP中,我们只使用一个公网IP地址,无需建立公有IP地址池。这个公网IP地址就是防火墙接口的IP地址。Easy IP的实现原理与NAPT相似,都是同时转换IP地址和传输层端口。区别在于Easy IP没有地址池的概念,而是直接使用接口地址作为NAT转换的公网地址。
ACT、NATNATPT和EASY-IP
rmh0713的博客
12-15 1596
②然后再进入出口路由器使用命令等待查看端口是多少,命令为display nat session all ,可以查看 出源ip是多选,经过nat后的源IP是多少,以及此次连接的端口。PC1PC2通过企业路由器后可以访问外网,运营商路由器不可操作,只能在企业的出口路由器做nat,使得PC1PC2通过出口路由器时转化为出口地址且端口号不一样来识别是谁发送的数据。②高级acl:3000-3999,可以根据数据包中的五元组(源IP地址,目的ip地址,源mac地址,目的mac地址,协议端口号)对数据包进行处理。
华为--NAT技术easy IP 原理配置or实验详解
热门推荐
BIGmustang的博客
06-10 4万+
文章目录前言.一:NAT的分类1.静态NAT2.动态NAT3.NAPT4.easy IP5.NAT的特性二:NAT实验配置详解2.1:实验环境2.2:实验拓扑图2.3实验步骤与配置2.4实验总结:如图所示,实验成功,通过NAT技术,确实可以实现私网和公网之间的通信,以及缓解IPV4地址短缺的问题 前言. 随着Internet的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本.上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IP
理论+实验:静态NAT、动态NATEasy IP-NAT(网络地址转换)技术
CSDN著名博主
06-29 2228
目录一、前言二、学习目标三、NAT应用场景四、静态NAT五、动态NAT六、Easy IP七、NAT服务器八、实验配置8.1 实验要求8.2 配置操作8.2 验证 一、前言 随着Internet的发展和网络应用的增多, IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段。 网络地址转换技术NAT (Network Address Tran
NAT————Easy IP
zj2059129607的博客
11-16 652
当FW的公网接口通过拨号方式动态获取公网地址时,如果只想使用这一个公网IP地址进行地址转换,此时不能在NAT地址池中配置固定的地址,因为公网IP地址是动态变化的。此时,可以使用Easy IP方式,即使出接口上获取的公网IP地址发生变化,FW也会按照新的公网IP地址来进行地址转换。查看会话表发现此方式下,私网IP都转换为出接口的公网IP地址1.1.1.1,由于地址转换的同时还进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,FW根据端口区分不同用户,所以可以支持同时上网的用户数量更多。
防火墙NAT配置
悦分享
11-15 2554
1. NAT简介网络地址转换(Network Address Translation)简称为NAT,是是将IP数据包包头中的IP地址转换为另一个IP地址。当IP数据包通过设备时,设备会把IP数据包的源IP地址和/或者目的IP地址进行转换。在实际应用中,NAT主要用于私有网络访问外部网络或外部网络访问私有网络的情况。NAT技术就是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术。要设置一个服务器防火墙,就要使用规则,每个规则指定在包中与什么匹配,以及对包执行什么操作。
防火墙nateasy-ip是什么意思
04-30
"easy-ip" 是一种网络地址转换 (NAT) 技术,用于在防火墙和公共网络之间转换私有 IP 地址和公共 IP 地址。在 easy-ip 中,防火墙将私有 IP 地址转换为公共 IP 地址,以便内部网络中的设备可以访问公共网络上的资源。这种转换通常是自动完成的,因此称为 "easy",意味着用户不需要进行任何手动配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值