USG防火墙NAT业务特性与配置.pptx

Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:40-47pt 副标题:26-30pt 字体颜色:反白 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:35-47pt 字体:黑体 副标题:24-28pt 字体颜色:反白 字体:细黑体 USG防火墙NAT业务 特性与配置 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. 前 言 随着因特网的快速发展，它所面临的两个最迫切的问题就是IP 地址的匮乏和路由规模的扩大。对此，长期的和短期的解决 方案都有所发展，那就是网络地址转换（NAT）和IPv6（下 一代因特网协议）技术。在IPv6技术尚在研究中且还未完全 取代现有的IPv4网络的情况下，短期解决方案NAT技术 对于缓解目前的地址缺乏问题显得尤为重要。 Page1 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. 培训目标 学完本课程后，您应该能： l描述NAT技术的原理 l描述USG防火墙的各种NAT特性 l描述USG防火墙各NAT特性的基本组网与配置 Page2 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. 目 录 NAT技术原理 USG防火墙NAT特性与配置 Page3 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. NAT基本原理 NAT（Network Address Translation，地址转换）是将IP 数据报报头中的IP地址转换为另一个IP地址的过程 Page4 PC Server Server PC USG Eth0/0/1 Eth0/0/0 TrustUntrust 数据报1 源： 目的： 数据报2 源： 目的： 数据报1 源： .目的： 数据报2 源： 目的： Internet Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. 目 录 NAT技术原理 USG防火墙NAT特性与配置 Page5 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. NAT/PAT地址转换 Page6 l定义地址池 USG2100nat address-group 1 l NAT地址转换 USG2100nat-policy interzone untrust trust inbound USG2100-nat-policy-interzone-trust-untrust-inboundpolicy 1 USG2100-nat-policy-interzone-trust-untrust-inbound-1action source-nat USG2100-nat-policy-interzone-trust-untrust-inbound-1address-group 1 no-pat l PAT地址转换 USG2100nat-policy interzone untrust trust inbound USG2100-nat-policy-interzone-trust-untrust-inboundpolicy 1 USG2100-nat-policy-interzone-trust-untrust-inbound-1action source-nat USG2100-nat-policy-interzone-trust-untrust-inbound-1address-group 1 内网用户 地址池最多支持 4096个地址 USG 内网Internet 地址池 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. 策略NAT Page7 l定义地址池 USG2100nat address-group 1 l 配置策略NAT USG2100nat-policy interzone trust untrust outbound USG2100-nat-policy-interzone-trust-untrust-outboundpolicy 1 USG2100-nat-policy-interzone-trust-untrust-outbound-1policy source 0 USG2100-nat-policy-interzone-trust-untrust-outbound-1 action source-nat USG2100-nat-policy-interzone-trust-untrust-outbound-1 address-group 1 PC2 PC1 USG 内网用户 内网Internet 设置控制PC1可以通过 NAT访问Internet，而 PC2则不行 /32 /32 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. NAT ALG功能 NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端 口信息进行转换。对于一些特殊协议，例如ICMP、FTP等 ，它们报文的数据部分可能包含IP地址或端口信息，这些 内容不能被NAT有效的转换，就可能导致问题。 例如，一个使用内部IP地址的FTP服务器可能在和外部网络 主机建立会话的过程中需要将自己的IP地址发送给对方。 而这个地址信息是放到IP报文的数据部分，NAT无法对它 进行转换。当外部网络主机接收了这个私有地址并使用它 ，这时FTP服务器将表现为不可达。 Page8 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. ASPF+NAT+ALG Page9 用户 USG防火墙 Nat outbound FTP server 0 三次握手 防火墙创建地址映射 Servermap表项 :20001 :22787 三次握手 Port 89,3 Port 78,33 200 Port Command OK RETR Sample.txt RETR Sample.txt 200 Port Command OK 150 Opening ASCII connection 150 Opening ASCII connection SYN dest :2001 检测Servermap表项，命中 后根据表项进行Nat转换 :22787 :20001 :22787 SYN dest :22787 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. Page10 映射内部服务器 配置NAT SERVER服务器 USG2100nat server protocol tcp global 41 ftp inside 00 ftp WEB 服务器 DMZ 01:80 FTP 服务器 00:21 41:21 S0:41 01 00 外网用户 USG 内网 Internet 内网用户 41:80 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. 双向NAT Page11 配置NAT SERVER服务器 USG2100nat server global 0 inside 0 USG2100nat server global 0 inside 0 trust untrust 192.168.1. 1 0 0 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. 域内NAT Page12 配置同一域内NAT USG nat address-group 1 1 1 USG nat-policy zone trust USG-nat-policy-zone-trust policy 0 USG-nat-policy-zone-trust-0 policy source 55 USG-nat-policy-zone-trust-0 action source-nat USG-nat-policy-zone-trust-0 address-group 1 防火墙配置了nat server global 0 inside 0 internet 0 客户端 服务器 0 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. Page13 为MPLS VPN 用户提供统一的 Internet 访问 NAT 多实例 VPN-2 MPLS CORE VPN-3 VPN-1 PE PE CE CE VPN-1 CE CE CE VPN-2 Internet 采用不同的VLAN子接 口对应不同VPN的方 式，防火墙和PE设备 连接 USG PE VPN3用户 VPN2用户 VPN1用户 USG上独立地保存三 份NAT表，可以承担 不同VPN用户的地址 转换服务 目的地址NAT 配置ACL过滤规则 USG2100 acl 3000 USG2100-acl-adv-3000 rule permit ip source 0 0 destination 55 配置需要作目的NAT的acl规则 USG2100 firewall zone trust USG2100-zone-trust destination-nat 3000 address 将0- 变换为 0- GGSNGSR USG WAP网关 Eth1/0/0 /24 Eth1/0/3 /24 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 英文标题:32-35pt 颜色: R153 G0 B0 内部使用字体 : FrutigerNext LT Medium 外部使用字体 : Arial 中文标题:30-32pt 颜色: R153 G0 B0 字体:黑体 英文正文:20-22pt 子目录 (2-5级) :18pt 颜色:黑色 内部使用字体 : FrutigerNext LT Regular 外部使用字体 : Arial 中文正文:18-20pt 子目录(2-5级):18pt 颜色:黑色 字体:细黑体 配色参考方案 ： 建议同一页面 内不超过四种 颜色，以下是 13组配色方案 ，同一页面内 只选择一组使 用。（仅供参 考） 客户或者合作 伙伴的标志放 在右上角. 问 题 NAT技术的优缺点有哪些？ Page15 Copyright 2012 Hua