05-FIREWALL之NAT配置举例
本章节下载 (103.23 KB)
Firewall之NAT配置举例
NAT(Network Address Translation,网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度。
软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)
硬件版本:LSB1FW8DB0、LSB2FW8DB0
Firewall在缺省默认情况下不转发任何报文,需要执行命令firewall packet-filter default permit使其默认转发;
用户通过Firewall的地址转换功能连接到Internet。公司内部对外提供WWW和FTP服务。其中,内部FTP服务器地址为192.168.2.3/24,内部WWW服务器地址为192.168.2.2/24,并且希望可以对外提供统一的服务器的IP地址。内部192.168.3.0/24网段可以访问Internet,其它网段的PC机则不能访问Internet。外部的PC可以访问内部的服务器。公司具有202.115.1.1至 202.115.1.10十个合法的IP地址。选用202.115.1.1作为公司对外的IP地址。
图4-1 Firewall之NAT组网图
# 添加内网VLAN 2和VLAN 3,外网VLAN 200,SecBlade互连VLAN 50。
[S9500] vlan 2
[S9500-vlan2] port E2/1/1
[S9500] vlan 3
[S9500-vlan3] port E2/1/2
[S9500] vlan 200
[S9500-vlan200] port E3/1/1
[S9500] vlan 50
# 配置内网VLAN接口地址。
[S9500] interface vlan-interface 2
[S9500-Vlan-interface2] ip address 192.168.2.1 24
[S9500] interface vlan-interface 3
[S9500-Vlan-interface3] ip address 192.168.3.1 24
[S9500] interface vlan-interface 50
[S9500-Vlan-interface50] ip address 50.1.1.1 24
# 配置默认路由,发往外网的报文下一跳指定为SecBlade防火墙。
[S9500] ip route-static 0.0.0.0 0 50.1.1.2
# 配置SecBlade module,设置VLAN 200为security-vlan。
[S9500] secblade module test
[S9500-secblade-test] secblade-interface vlan-interface 50
[S9500-secblade-test] security-vlan 200
[S9500-secblade-test] map to slot 4
# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。
<S9500> secblade slot 4
user:SecBlade
password:SecBlade
# 配置SecBlade互连子接口VLAN 50和外网子接口VLAN 200,把互连子接口加入trust区域,外网子接口加入untrunst区域。
[SecBlade_FW] interface GigabitEthernet 0/0.50
[SecBlade_FW -GigabitEthernet0/0.50] vlan-type dot1q vid 50
[SecBlade_FW -GigabitEthernet0/0.50] ip address 50.1.1.2 24
[SecBlade_FW] interface g0/0.200
[SecBlade_FW -GigabitEthernet0/0.200] vlan-type dot1q vid 200
[SecBlade_FW -GigabitEthernet0/0.200] ip address 202.115.1.1 24
[SecBlade_FW] firewall zone trust
[SecBlade_FW -zone-trust] add interface GigabitEthernet 0/0.50
[SecBlade_FW] firewall zone untrust
[SecBlade_FW -zone-untrust] add interface GigabitEthernet 0/0.200
# 配置路由,外网路由下一跳为路由器,内网路由下一跳为S9500。
[SecBlade_FW] ip route-static 0.0.0.0 0 202.115.1.2
[SecBlade_FW] ip route-static 192.168.2.0 24 50.1.1.1
[SecBlade_FW] ip route-static 192.168.3.0 24 50.1.1.1
# SecBlade视图下配置NAT地址池。
[SecBlade_FW] nat address-group 1 202.115.1.2 202.115.1.10
# SecBlade视图下配置ACL规则,指定可以通过NAT访问的内网用户,在接口绑定NAT。
[SecBlade_FW] acl number 2001
[SecBlade_FW -acl-basic-2001] rule permit source 192.168.2.0 0.0.0.255
[SecBlade_FW -acl-basic-2001] rule permit source 192.168.3.0 0.0.0.255
[SecBlade_FW -acl-basic-2001] rule deny source any
[SecBlade_FW] interface GigabitEthernet 0/0.200
[SecBlade_FW -GigabitEthernet0/0.200] nat outbound 2001 address-group 1
# 设置内部服务器,给外网用户提供服务。
[SecBlade_FW -GigabitEthernet0/0.200] nat server protocol tcp global 202.115.1.1 inside 192.168.2.3 ftp
[SecBlade_FW -GigabitEthernet0/0.200] nat server protocol tcp global 202.115.1.1 inside 192.168.2.2 www
#
vlan 2
#
vlan 3
#
vlan 50
#
vlan 200
#
interface vlan-interface 2
ip address 192.168.2.1 24
#
interface vlan-interface 3
ip address 192.168.3.1 24
#
interface vlan-interface 50
ip address 50.1.1.1 24
#
interface Ethernet2/1/1
port access vlan 2
#
interface Ethernet2/1/2
port access vlan 3
#
interface Ethernet3/1/1
port access vlan 200
#
ip route-static 0.0.0.0 0 50.1.1.2 preference 60
#
secblade module test
secblade-interface vlan-interface 50
security-vlan 200
map to slot 2
# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。
secblade slot 4
user:SecBlade
password:SecBlade
system
# 配置子接口以及区域。
interface GigabitEthernet 0/0.50
vlan-type dot1q vid 50
ip address 50.1.1.2 24
quit
interface g0/0.200
vlan-type dot1q vid 200
ip address 202.115.1.1 24
quit
firewall zone trust
add interface GigabitEthernet 0/0.50
quit
firewall zone untrust
add interface GigabitEthernet 0/0.200
quit
# 配置路由。
ip route-static 0.0.0.0 0 202.115.1.2
ip route-static 192.168.2.0 24 50.1.1.1
ip route-static 192.168.3.0 24 50.1.1.1
# 配置地址池和访问控制列表。
nat address-group 1 202.115.1.2 202.115.1.10
acl number 2001
rule permit source 192.168.2.0 0.0.0.255
rule permit source 192.168.3.0 0.0.0.255
rule deny source any
quit
interface GigabitEthernet 0/0.200
nat outbound 2001 address-group 1
# 设置内部服务器。
interface GigabitEthernet 0/0.200
nat server protocol tcp global 202.115.1.1 inside 192.168.2.3 ftp
nat server protocol tcp global 202.115.1.1 inside 192.168.2.2 www
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!