拓扑图
设备选型
内网用户选择PC型终端
FW1设备选择USG6000型防火墙
ISP设备选择Router型路由器
组网需求
某公司在网络边界处部署了华为UGG6000-FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略(本案例采用NAPT)。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址,其中Router是ISP提供的接入网关,使用ISP设备的LoopBack 0接口模拟特定Internet资源。
配置思路
1.配置FW设备的接口IP地址和安全区域、ISP路由器设备接口IP并完成终端设备网络基本参数配置。
2.配置安全策略,允许私网指定网段与Internet进行报文交互。
3.配置NAT地址池,配置时开启允许端口转换,以实现公网地址复用。
4.配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
5.在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
6.在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。
操作步骤
1.终端设备网络参数配置,FW设备初始化配置(接口IP+Zone),ISP路由器设备初始化配置
内网用户:
FW1:
sysname Fw
#
undo info-center enable
#
interface GigabitEthernet1/0/1
ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
add interface GigabitEthernet1/0/2
ISP:
sysname ISP
#
undo info-center enable
#
interface Ethernet0/0/0
ip address 1.1.1.254 255.255.255.0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.0
2.配置安全策略,允许内网用户可以访问外网特定资源(本案例采用ISP设备的环回接口模拟)
FW1:
security-policy
rule name t2u
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
destination-address 2.2.2.2 mask 255.255.255.255
action permit
3.配置NAT地址池,配置时开启允许端口转换,以实现公网地址的复用
FW1:
nat address-group 1 //创建用于转换私有地址的公有地址池
mode pat //开启公有地址池的端口转换模式
section 1.1.1.10 1.1.1.15 //根据业务要求配置公有地址池区间
4.配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换
FW1:
nat-policy //进入NAT策略配置视图
rule name t2u //创建NAT规则
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
action source-nat address-group 1 //调用上一步创建的NAT地址池
5.在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器
FW1:
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
6.在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW
ISP :
ip route-static 10.1.1.0 255.255.255.0 1.1.1.1
结果验证
1.内网用户访问外网特定资源连通性
2.分别在FW连接内网用户和连接ISP设备的接口上抓包,查看地址转换效果