SecPath高端防火墙nat配置实例.doc

SecPath高端防火墙NAT配置举例SecPath高端防火墙NAT配置举例关键词：NAT、PAT、私有地址、公有地址、地址池摘 要：本文简单描述了高端多核防火墙NAT模块相关业务的特点，详细描述了NAT测试的基本方法和详细步骤各特性的典型应用，并给出NAT基本的配置案例。缩略语： 缩略语英文全名中文解释NATNetwork Address Translator网络地址转换AL ALGApplication Level Gateway应用层网关ACLAccess Control List访问控制列表VPNVirtual Private Network虚拟专用网PATPort Address Translation端口地址转换No-PATNo-Port Address Translation端口地址不转换Copyright 2007 杭州华三通信技术有限公司目 录1 介绍12 特性使用12.1 使用场合12.2 配置指南12.3 注意事项23 支持的设备和版本23.1 设备版本23.2 支持的设备23.3 配置保存34 配置举例34.1 典型组网34.2 设备基本命令行配置44.3 NAT业务典型配置举例45 相关资料175.1 相关协议和标准175.2 其它相关资料171 介绍12 特性使用指南12.1 使用场合12.2 配置指南12.3 注意事项23 支持的设备和版本23.1 设备版本23.2 支持的设备34 配置举例34.1 组网需求34.2 设备基本命令行配置34.3 NAT业务典型配置举例55 相关资料195.1 相关协议和标准195.2 其它相关资料191 介绍(1) NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。(2) 在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。通过使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度；同时给内部网络提供一种“隐私”保护，也可以按照用户的需要提供给外部网络一定的服务。(3) SecPath高端防火墙基于多核CPU处理器，具有丰富的业务处理能力和很高的性能，可作为大型企业网络的安全网关。提供一对多、一对一、内部服务器等地址转换功能，同时支持vpn多实例和vlan接口的地址转换。2 特性使用指南2.1 使用场合(1) 用少量的公有IP地址代表多数的私有IP地址访问外部网络；(2) 为内部网络提供一种“隐私”保护；(3) 根据用户的需要提供给外部网络用户一定的内网服务。2.2 配置指南关于NAT功能业务的配置全部可以采用WEBWeb方式配置。其中NAT应用涉及的多实例的配置，。多实例路由，多实例ACL等的配置只能在命令行配置。2.2.1 NAT业务配置指南配置NAT，需要在webWeb上共有配置以下几种NAT方式的配置内容：A. Easy IP方式NAT B. PAT方式NATC. no-PAT 方式NATD. NAT StaticE. NAT Server2.2.2 NAT应用涉及的多实例配置用户可在命令行全局视图下完成多实例的基本配置，主要包括的内容。(1) 多实例的配置；(2) 接口绑定多实例；(3) 多实例路由； (4) 多实例ACL；2.3 注意事项在典型配置中主要列举一下命令行的相关配置，WEBWeb配置根据具体实例再作说明。3 支持的设备和版本3.1 设备版本H3C Comware Platform SoftwareComware Software, Version 5.20, Beta 3104Comware Platform Software Version COMWAREV500R002B47D001H3C SecPath F1000-E Software Version V300R001B01D014Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Nov 23 2007 16:23:19, RELEASE SOFTWAREH3C SecPath F1000-E uptime is 0 week, 0 day, 0 hour, 16 minutes CPU type: RMI XLR732 1000MHz CPU 1024M bytes DDR2 SDRAM Memory 4M bytes Flash Memory PCB Version:Ver.B Logic Version: 1.0 Basic BootWare Version: 1.10 Extend BootWare Version: 1.16 H3C Comware Platform SoftwareComware Software, Version 5.20, Beta 3101Comware Platform Software Version COMWAREV500R002B42D001H3C F1000-E Software Version V300R001B01D010Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Aug 22 2007 11:02:27, RELEASE SOFTWAREH3C F1000-E uptime is 0 week, 0 day, 1 hour, 7 minutes CPU type: RMI XLR732 1000MHz CPU 1024M bytes DDR2 SDRAM Memory 4M bytes Flash Memory PCB Version:Ver.B Logic Version: 1.0 Basic BootWare Version: 1.08 Extend BootWare Version: 1.123.2 支持的设备 Secpath F1000-E3.3 配置保存每次配置完成后，注意进行配置的保存（终端及Web都需进行保存）系统管理-配置维护-进入配置保存页面，点击“确定”。4 配置举例4.1 典型组网需求图1 NAT典型组网4.2 设备基本命令行配置4.2.1 命令行多实例配置：当前视图配置命令简单说明H3Cip vpn-instance vpn1配置VPN-instanceH3C-vpn-instance-vpn1route-distinguisher 111:1H3C-vpn-instance-vpn1vpn-target 111:1 export-extcommunityH3C-vpn-instance-vpn1vpn-target 111:1 import-extcommunityH3C-vpn-instance-vpn1quitH3Cinterface GigabitEthernet0/3H3C-GigabitEthernet0/3ip binding vpn-instance vpn1配置接口绑定VPN实例H3C-GigabitEthernet0/3ip address 24 配置地址H3C-GigabitEthernet0/3quitH3Cacl number 2000H3C-acl-basic-2000rule permit 添加ACL规则H3C-acl-basic-2000rule permit vpn-instance vpn1添加ACL允许多实例规则H3Cip route-static vpn-instance vpn1 0 public配置VPN实例到公网路由4.2.2 其他共同配置：A. 接口模式：G0/0、G0/1、G0/2和G0/3均为三层接口:Interface Physical Protocol IP AddressGigabitEthernet0/1 up up GigabitEthernet0/2 up up GigabitEthernet0/3 up up B. 安全域（webWeb页面“系统管理”-“安全域管理”）：G0/0置于Management域（默认）；G0/1置于root设备Untrust域；G0/2置于root设备Trust域；G0/3置于root设备DMZ域C. 配置ACLH3Cacl number 2000 H3C-acl-basic-2000rule permit 4.3 NAT业务典型配置举例4.3.1 Easy IP方式NAT(1) 功能简述测试地址转换时，利用访问控制列表控制哪些内部地址可以进行地址转换。并直接使用接口的公有IP地址作为转换后的源地址。(2) 测试典型配置步骤A. 策略管理-地址转换策略-地址转换-新建-选择接口（G0/1），输入acl号，地址转换方式选择Easy IP-确定B. 从PC2上访问PC3，执行ping、www、ftp、dns、telnet操作， C. 查看会话列表，可以看到结果察看debug信息，可以看到结果B。D. 查看会话列表，可以看到结果C。(3) 验证结果A. ping、www、ftp、dns、telnet访问正常B. 打开调试命令： debugging nat event/ packet GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP( : 21 - : 1027) -( : 21 - : 2590)*Aug 29 14:37:35:307 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP( : 2590 - : 21) -( : 1027 - : 21)*Aug 29 14:37:42:277 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP( : 23 - : 1026) -( : 23 - : 2588)*Aug 29 14:37:42:277 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP( : 2588 - : 23) -( : 1026 - : 23) C. 查看会话列表：(4) 注意事项 本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。(5) 故障排除4.3.2 PAT方式NAT(1) 功能简述测试防火墙使用地址池IP地址对数据报文进行地址转换，源端口改变。(2) 测试步骤典型配置步骤A. 创建地址池对象管理-NAT地址池-地址池-新建-输入地址池索引、开始IP地址和结束IP地址-确定B. 配置NAT PAT策略管理-地址转换策略-地址转换-新建-选择接口（G0/1），输入acl号，输入地址池索引，地址转换方式选择PAT-确定E. 从PC2上访问PC3，执行ping、www、ftp、dns、telnet操作， F. 查看会话列表，可以看到结果察看debug信息，可以看到结果B。G. 查看会话列表，可以看到结果C。 (3) 验证结果A. ping、www、ftp、dns、telnet访问正常B. 打开调试命令： debugging nat event/ packet *Aug 29 14:57:03:509 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP( : 21 - : 1032) -( : 21 - : 2698)*Aug 29 14:57:03:509 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP( : 2698 - : 21) -( : 1032 - : 21)*Aug 29 14:57:05:14 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP( : 23 - : 1027) -( : 23 - : 2691)*Aug 29 14:57:05:14 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP( : 2691 - : 23) -( : 1027 - : 23) C. 查看会话列表：源端口改变。(4) 注意事项 本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。(5) 故障排除4.3.3 no-PAT 方式NAT(1) 功能简述测试防火墙使用地址池IP地址对数据报文进行地址转换，源端口不变。(2) 测试步骤典型配置步骤A. 创建地址池对象管理-NAT地址池-地址池-新建-输入地址池索引、开始IP地址和结束IP地址-确定B. 配置NAT PAT策略管理-地址转换策略-地址转换-新建-选择接口（G0/1），输入acl号，输入地址池索引，地址转换方式选择no-PAT-确定C. 从PC2上访问PC3，执行ping、www、ftp、dns、telnet操作， D. 查看会话列表，可以看到结果察看debug信息，可以看到结果B。E. 查看会话列表，可以看到结果C。 (3) 验证结果A. ping、www、ftp、dns、telnet访问正常B. 打开调试命令： debugging nat event/ packet *Aug 29 15:04:57:384 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP( : 21 - 1: 2780) -( : 21 - : 2780)*Aug 29 15:04:57:553 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP( : 2780 - : 21) -( 1: 2780 - : 21)*Aug 29 15:05:04:769 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP( : 23 - 1: 2754) -( : 23 - : 2754)*Aug 29 15:05:04:769 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP( : 2754 - : 23) -( 1: 2754 - : 23) C. 查看会话列表：源端口不改变。(4) 注意事项 本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5) 故障排除4.3.4 NAT Static(1) 功能简述测试防火墙对数据报文进行双向一对一地址转换，源端口或目的端口不变。指定范围内的内部主机地址转换为指定的公网网段地址，转换过程中只对网段地址进行转换。(2) 测试步骤典型配置步骤A. 配置一对一地址转换。策略管理-地址转换策略-一对一地址转换-新建-输入内部IP地址和外部IP地址-确定B. 配置一对一地址转换（指定VPN实例）-本例用到策略管理-地址转换策略-一对一地址转换-新建-选择VPN实例、输入内部IP地址和外部IP地址-确定C. 使能一对一地址转换策略管理-地址转换策略-使能一对一地址转换-指定接口使能状态栏中去使能/使能（GE0/1）D. 从PC2上访问PC3，执行ping、www、ftp、dns、telnet操作， E. 查看会话列表，可以看到结果察看debug信息，可以看到结果B。F. 查看会话列表，可以看到结果C。G. 创建Untrust域-Trust域，Untrust域-DMZ域的访问控制策略策略管理-访问控制策略-面向对象ACLH. 从PC3上访问PC2，执行ping、www、ftp、dns、telnet操作， I. 查看会话列表，可以看到结果察看debug信息，可以看到结果ED。J. 查看会话列表，可以看到结果F。(3) 验证结果A. ping、www、ftp、dns、telnet访问正常B. 打开调试命令： debugging nat event/ packet *Aug 29 15:19:28:70 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP is to NAT static( : 21 - 0: 2831) -( : 21 - : 2831)*Aug 29 15:19:28:289 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP is from NAT static( : 2831 - : 21) -( 0: 2831 - : 21)*Aug 29 15:19:30:239 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP is from NAT static( : 2833 - : 23) -( 0: 2833 - : 23)*Aug 29 15:19:30:239 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP is to NAT static( : 23 - 0: 2833) -( : 23 - : 2833) C. 查看会话列表： D. ping、www、ftp、dns、telnet访问正常E. 打开调试命令： debugging nat event/ packet Aug 29 15:33:59:317 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP is to NAT static( : 1029 - 0: 21) -( : 1029 - : 21)*Aug 29 15:33:59:317 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP is from NAT static( : 21 - : 1029) -( 0: 21 - : 1029)*Aug 29 15:34:02:889 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : ICMP is to NAT static( : - - 0: - ) -( : - - : - )*Aug 29 15:34:02:889 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : ICMP is from NAT static( : - - : - ) -( 0: - - : - ) F. 查看会话列表：目的地址转换为指定的内网地址，目的端口不变(4) 注意事项 本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。(5) 故障排除本用例测试完成后，清除本测试项中防火墙所做的配置，以防对以后的测试产生影响。故障排除注意面向对象ACL 中指定VPN 多实例4.3.5 NAT Server(1) 功能简述测试外部网络访问内部服务器功能。外部网络的用户访问内部服务器时，NAT将请求报文内的目的地址转换成内部服务器的私有地址。即防火墙对数据报文进行入方向地址转换，目的IP地址转换为指定地址，目的端口转换为指定端口。(2) 测试步骤典型配置步骤A. 配置NAT Server。策略管理-地址转换策略-内部服务器-新建-选择接口、 选择协议类型、输入外部IP地址、输入外部端口、 输入内部IP地址、输入内部端口-确定B. 配置NAT Server（指定VPN实例）本例用到策略管理-地址转换策略-内部服务器-新建-选择接口、 选择VPN实例、选择协议类型、输入外部IP地址、输入外部端口、 输入内部IP地址、输入内部端口-确定C. 创建Untrust域-Trust域，Untrust域-DMZ域的访问控制策略策略管理-访问控制策略-面向对象ACLD. 从PC3上访问PC2，执行ping、www、ftp、dns、telnet操作， E. 查看会话列表，可以看到结果察看debug信息，可以看到结果B。F. 查看会话列表，可以看到结果C。(3) 验证结果A. ping、www、ftp、dns、telnet访问正常B. 打开调试命令： debugging nat event/ packet*Aug 29 17:27:53:831 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : ICMP is to NAT server( : - - 0: - ) -( : - - : - )*Aug 29 17:27:53:831 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : ICMP is from NAT server( : - - : - ) -( 0: - - : - ) *Aug 29 17:29:37:573 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-in:)to VPN : 1, Pro : TCP is to NAT server( : 1034 - 1: 21) -( : 1034 - : 21)*Aug 29 17:29:37:573 2007 H3C DPNAT/7/debug:(GigabitEthernet0/1-out:)from VPN : 1, Pro : TCP is from NAT server( : 21 - : 1034) -( 1: 21 - : 1034) C. 查看会话列表： (4) 注意事项 本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。 (5) 故障排除注意面向对象ACL 中指定VPN 多实例4.3.6 Vlan-interface上的NAT(1) 功能简述本例以Easy IP 为例。其他的NAT 业务参照上面测试用例典型配置，仅需在配置测试时选择vlan-interface 3接口新建地址转换即可。(2) 测试步骤典型配置步骤接口模式：G0/0、G0/2、G0/3为三层接口；G0/1为二层access口，属于Vlan 3interface GigabitEthernet0/1 port link-mode bridge port access vlan 3 combo enable copper创建Vlan接口：interface Vlan-interface 3配置地址 interface Vlan-interface3 ip address 安全域：G0/0置于Management域；G0/1置于root设备Untrust域；Vlan-interface 2置于root设备Untrust域；G0/3置于root设备DMZ域A. 策略管理-地址转换策略-地址转换-新建-选择接口（Vlan-interface3），输入acl号2000，地址转换方式选择Easy IP-确定B. 从PC2上访问PC3，执行ping、www、ftp、dns、telnet操作， C. 查看会话列表，可以看到结果察看debug信息，可以看到结果BD. 查看会话列表，可以看到结果C。(3) 验证结果A. ping、www、ftp、dns、telnet访问正常B. 打开调试命令： debugging nat event/ packet Vlan-interface3-in:)to VPN : 1, Pro : TCP( : 21 - : 1027) -( : 21 - : 2590)*Aug 29 14:37:35:307 2007 H3C DPNAT/7/debug:(Vlan-interface3-out:)from VPN : 1, Pro : TCP( : 2590 - : 21) -( : 1027 - : 21)*Aug 29 14:37:42:277 2007 H3C DPNAT/7/debug:(Vlan-interface3-in:)to VPN : 1, Pro : TCP( : 23 - : 1026) -( : 23 - : 2588)*Aug 29 14:37:42:277 2007 H3C DPNAT/7/debug:(Vlan-interface3-out:)from VPN : 1, Pro : TCP( : 2