Quidway-Eudemon-NAT配置

精品文档 i欢迎下载欢迎下载 目目 录录 5 5 NATNAT 配置配置 5 15 1 5 1 简介 5 2 5 2 配置 NAT 5 2 5 2 1 建立配置任务 5 2 5 2 2 配置 NAT 5 3 5 2 3 检查配置结果 5 4 5 3 配置内部服务器 5 4 5 3 1 建立配置任务 5 4 5 3 2 配置内部服务器 5 5 5 3 3 检查配置效果 5 7 5 4 配置双向 NAT 5 7 5 4 1 建立配置任务 5 7 5 4 2 配置从低优先级安全区域到高优先级安全区域方向的 NAT 5 8 5 4 3 配置域内 NAT 5 9 5 4 4 检查配置结果 5 10 5 5 配置 GRE NAT 5 10 5 5 1 建立配置任务 5 10 5 5 2 配置 GRE NAT 5 11 5 5 3 检查配置结果 5 12 5 6 配置目的 NAT 5 12 5 6 1 建立配置任务 5 12 5 6 2 配置目的 NAT 5 13 5 7 配置 NAT 注意事项 5 13 5 8 配置举例 5 13 5 8 1 配置 NAT 和内部服务器举例 5 13 5 8 2 从低优先级安全区域到高优先级安全区域的 NAT 配置举例 5 17 5 8 3 域内 NAT 配置举例 5 19 5 8 4 GRE NAT 配置举例 5 21 5 8 5 目的 NAT 配置举例 5 28 精品文档 iii欢迎下载欢迎下载 插图目录插图目录 图 5 1 GRE NAT 网络拓扑图 5 11 图 5 2 NAT 配置组网图 5 14 图 5 3 从低优先级安全区域到高优先级安全区域的 NAT 配置组网图 5 17 图 5 4 域内 NAT 配置组网图 5 20 图 5 5 GRE NAT 配置组网图 5 22 图 5 6 目的 NAT 的配置组网图 5 28 精品文档 v欢迎下载欢迎下载 表格目录表格目录 表 5 1 检查 NAT 配置结果 5 4 表 5 2 检查内部服务器配置结果 5 7 表 5 3 检查双向 NAT 配置结果 5 10 表 5 4 检查 GRE NAT 配置结果 5 12 精品文档 1欢迎下载欢迎下载 5 NATNAT 配置配置 关于本章 本章描述内容如下表所示 标题内容 5 1 简介介绍私有地址的分类和 NAT 的功能 5 2 配置 NAT介绍 NAT 的配置方法 5 3 配置内部服务器介绍内部服务器的配置方法 5 4 配置双向 NAT介绍双向 NAT 的配置方法 5 5 配置 GRE NAT介绍 GRE NAT 的配置方法 5 6 配置目的 NAT介绍目的 NAT 的配置方法 5 7 配置 NAT 注意事项介绍配置 NAT 的注意事项 5 8 配置举例介绍 NAT 的组网举例 5 NAT 配置 Quidway Eudemon 300 500 1000 配置指南 安全防范分册 2华为技术有限公司文档版本 02 2007 12 15 5 1 简介 私有网络一般使用私有地址 RFC1918 为私有 内部的使用留出了三个 IP 地址块 具 体如下 A 类 10 0 0 0 10 255 255 255 10 0 0 0 8 B 类 172 16 0 0 172 31 255 255 172 16 0 0 12 C 类 192 168 0 0 192 168 255 255 192 168 0 0 16 企业用户使用上述三类地址前无需向 ISP 或注册中心申请 由于 IP 地址空间有限 随着 Internet 的广泛应用 许多国家公网 IP 地址日渐枯竭 NAT 是将 IP 数据报报头中的 IP 地址转换为另一个 IP 地址的过程 NAT 主要用于多个 私网用户使用一个公网 IP 地址访问外部网络的情况 从而减缓可用 IP 地址空间枯竭 的速度 NAT 服务器拥有的公有 IP 地址数目要远少于内部网络的主机数目 因为所有内部主机并不会同 时访问外部网络 应根据网络高峰期可能访问外部网络的内部主机数目的统计值来确定公有 IP 地址数目 5 2 配置 NAT 5 2 1 建立配置任务 应用环境 当需要隐藏防火墙内部网络用户的私有 IP 地址时 需要配置 NAT 前置任务 在配置 NAT 功能前 需完成以下任务 配置防火墙的工作模式 可选 创建 VPN 实例 可选 配置接口绑定 VPN 实例 可选 配置接口 IP 地址 可选 配置接口加入安全区域 配置地址集 可选 配置端口集 可选 精品文档 3欢迎下载欢迎下载 当接口属于 VPN 实例时 需要配置接口绑定该 VPN 实例 再配置接口 IP 地址 不能配置工作于透明模式下的接口的 IP 地址 数据准备 在配置 NAT 前 需要准备以下数据 ACL 组号 ACL 相关参数 NAT 地址池编号 地址池起始地址和结束地址 VRRP 备份组号 VPN 实例名 5 2 2 配置 NAT 配置 NAT 需要进行如下操作 步骤 1 执行命令 system viewsystem view 进入系统视图 步骤 2 执行命令 aclacl numbernumber acl number vpn instancevpn instance vpn instance name 创建 ACL 并进入相应视图 步骤 3 执行命令 rulerule rule id permitpermit denydeny sourcesource source address source wildcard anyany address setaddress set address set name time rangetime range time name logginglogging 配置基本 ACL 规则 或执行命令 rulerule rule id denydeny permitpermit protocol destinationdestination destination address destination wildcard anyany address setaddress set address set name destination portdestination port operator port1 port2 port setport set port set name precedenceprecedence precedence sourcesource source address source wildcard anyany address setaddress set address set name source portsource port operator port1 port2 port setport set port set name time rangetime range time name tostos tos icmp typeicmp type icmp type icmp code logginglogging 配置高级 ACL 规则 步骤 4 执行命令 quitquit 退回系统视图 步骤 5 执行命令 natnat address groupaddress group group name group number start address end address vrrpvrrp virtual router ID vpn instancevpn instance vpn instance name 配置 NAT 地址池 步骤 6 执行命令 firewallfirewall interzoneinterzone vpn instancevpn instance vpn instance name zone name1 zone name2 进入域间视图 步骤 7 执行命令 natnat outboundoutbound acl number address groupaddress group group name group number no patno pat 配置 ACL 和地址池关联 地址池是一些连续的 IP 地址集合 当来自内部网络的报文通过地址转换到达外部网络 时 将会选择地址池中的某个地址作为转换后的源地址 当某地址池已经和 ACL 关联进行地址转换时 不允许删除这个地址池 5 NAT 配置 Quidway Eudemon 300 500 1000 配置指南 安全防范分册 4华为技术有限公司文档版本 02 2007 12 15 当防火墙同时应用于双机热备组网时 如果 NAT 地址池地址与 VRRP 备份组虚拟 IP 地 址不在同一网段 则不必配置携带 vrrpvrrp 关键字的 natnat address groupaddress group 命令 如果 NAT 地址池地址与 VRRP 备份组的虚拟 IP 地址在同一网段 则需要配置相关命令 且 virtual router ID为防火墙 NAT 出接口对应的 VRRP 备份组的 ID 步骤 8 执行命令 detectdetect protocol 配置 NAT ALG Application Level Gateway 可选 结束结束 5 2 3 检查配置结果 检查 NAT 配置结果的相关操作如表 5 1 所示 表 5 1 检查NAT 配置结果 操作命令 查看地址池信息 displaydisplay natnat address groupaddress group vpn vpn instanceinstance vpn instance name publicpublic 查看所有 NAT 信息 displaydisplay natnat allall vpn instancevpn instance vpn instance name publicpublic 5 3 配置内部服务器 5 3 1 建立配置任务 应用环境 当需要对外部用户提供访问服务时 可以将服务器放置于 DMZ 安全区域 并配置防火 墙的内部服务器功能 前置任务 在配置内部服务器功能前 需完成以下任务 配置防火墙的工作模式 可选 创建 VPN 实例 可选 配置接口绑定 VPN 实例 可选 配置接口 IP 地址 可选 配置接口加入安全区域 精品文档 5欢迎下载欢迎下载 当接口属于 VPN 实例时 需要配置接口绑定该 VPN 实例 不能配置工作于透明模式下的接口的 IP 地址 数据准备 在配置内部服务器功能前 需要准备以下数据 提供给外部访问的 IP 地址 服务器在内部局域网的 IP 地址 VRRP 备份组号 VPN 实例名称 IP 协议承载的协议类型 提供给外部访问的一个端口 服务器提供的服务端口号 5 3 2 配置内部服务器 Eudemon 上同时配置 NAT 和内部服务器时 内部服务器优先级较高 首先起作用 配置内部服务器 需要进行如下操作 步骤 1 执行命令 system viewsystem view 进入系统视图 步骤 2 执行命令 natnat serverserver zonezone zone name globalglobal global address insideinside host address vrrpvrrp virtual router ID vpn instancevpn instance vpn instance name no no reversereverse 配置内部服务器 或执行命令 natnat serverserver zonezone zone name protocolprotocol protocol type globalglobal global address global port insideinside host address host port vrrpvrrp virtual router ID vpn instancevpn instance vpn instance name no reverseno reverse 配置 内部服务器 一个公有地址需要作为多个不同内部服务器的对外发布地址时 可以连续使用 natnat serverserver 命令进行配置 配置参数 zonezone 可以使该安全区域的用户通过指定 IP 地址访问内部服务器 多次配置 该命令 可以使不同安全区域的用户采用不同的 IP 地址访问同一内部服务器 当一个用户和内部服务器处于同一安全区域时 Eudemon 防火墙不支持该用户使用内部 服务器的公网地址访问该内部服务器 允许外部网络访问的内部服务器通常置于 Eudemon 防火墙的 DMZ 安全区域 不建议配 置允许这个安全区域中的设备主动向外发起连接 当防火墙同时应用于双机热备组网时 如果转换后的 NAT Server 地址与 VRRP 备份组 虚拟 IP 地址不在同一网段 则不必配置携带 vrrpvrrp 关键字的 natnat serverserver 命令 如果转 换后的 NAT Server 地址与 VRRP 备份组的虚拟 IP 地址在同一网段 则需要配置相关命 令 且virtual router ID为防火墙 NAT Server 出接口对应的 VRRP 备份组的 ID 步骤 3 执行命令 firewallfirewall interzoneinterzone vpn instancevpn instance vpn instance name zone name1 zone name2 进入域间视图 5 NAT 配置 Quidway Eudemon 300 500 1000 配置指南 安全防范分册 6华为技术有限公司文档版本 02 2007 12 15 步骤 4 执行命令 detectdetect protocol 配置 ASPF 功能 可选 当防火墙需要支持 FTP HTTP H 323 ILS HWCC MSN PPTP QQ RTSP 等协议的会 话时 需要在域间使能 ASPF 功能 结束结束 当需要对不同网段的外部用户进行监控时 可通过多次配置带 no reverseno reverse 参数的 natnat serverserver 命令 为一个内部服务器配置多个公网地址 此时 外部的不同网段用户可以 通过分别访问不同的公网地址来访问此内部服务器 通过查看服务器的对外 IP 地址 可获悉访问该服务器的用户 IP 地址的网段 从而达到分类监控的目的 以配置内部 IP 地址为 1 1 1 1 的服务器 其公网 IP 地址分别为 2 2 2 2 和 3 3 3 3 为例进行说明 Eudemon n na at t s se er rv ve er r p pr ro ot to oc co ol l t tc cp p g gl lo ob ba al l 2 2 2 2 2 2 2 2 f ft tp p i in ns si id de e 1 1 1 1 1 1 1 1 f ft tp p n no o r re ev ve er rs se e Eudemon n na at t s se er rv ve er r p pr ro ot to oc co ol l t tc cp p g gl lo ob ba al l 3 3 3 3 3 3 3 3 f ft tp p i in ns si id de e 1 1 1 1 1 1 1 1 f ft tp p n no o r re ev ve er rs se e 两次使用带 no reverseno reverse 参数的 natnat serverserver 命令 为该内部服务器配置两个外部 IP 地址 Eudemon n na at t a ad dd dr re es ss s g gr ro ou up p 0 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 Eudemon n na at t a ad dd dr re es ss s g gr ro ou up p 1 1 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 需要为不同的公网地址配置各自所属的不同的地址池 各地址池中的地址要求为其中 一个公网 IP 地址 Eudemon a ac cl l n nu um mb be er r 2 21 10 00 0 Eudemon acl basic 2100 r ru ul le e p pe er rm mi it t s so ou ur rc ce e 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 Eudemon f fi ir re ew wa al ll l i in nt te er rz zo on ne e t tr ru us st t u un nt tr ru us st t Eudemon interzone trust untrust n na at t o ou ut tb bo ou un nd d 2 21 10 00 0 a ad dd dr re es ss s g gr ro ou up p 0 0 Eudemon zone trust f fi ir re ew wa al ll l i in nt te er rz zo on ne e t tr ru us st t d dm mz z Eudemon interzone trust dmz n na at t o ou ut tb bo ou un nd d 2 21 10 00 0 a ad dd dr re es ss s g gr ro ou up p 1 1 当不允许内部服务器访问外部网络时 可以如上配置 Eudemon a ac cl l n nu um mb be er r 3 31 10 00 0 Eudemon acl adv 3100 r ru ul le e p pe er rm mi it t i ip p s so ou ur rc ce e 1 1 1 1 1 1 1 1 0 0 d de es st ti in na at ti io on n 2 20 0 0 0 0 0 0 0 0 0 2 25 55 5 2 25 55 5 2 25 55 5 Eudemon a ac cl l n nu um mb be er r 3 32 20 00 0 Eudemon acl adv 3200 r ru ul le e p pe er rm mi it t i ip p s so ou ur rc ce e 1 1 1 1 1 1 1 1 0 0 d de es st ti in na at ti io on n 3 30 0 0 0 0 0 0 0 0 0 2 25 55 5 2 25 55 5 2 25 55 5 Eudemon interzone trust untrust n na at t o ou ut tb bo ou un nd d 3 31 10 00 0 a ad dd dr re es ss s g gr ro ou up p 0 0 Eudemon interzone trust dmz n na at t o ou ut tb bo ou un nd d 3 32 20 00 0 a ad dd dr re es ss s g gr ro ou up p 1 1 允许内部服务器访问外部不同网段的用户群或不同的安全区域时 需要配置不同的 ACL 使该内部服务器通过不同的公网 IP 地址访问 内部服务器访问 20 0 0 0 网段时 匹配 ACL 3100 内部服务器的私网地址转换为地址 池 0 中的公网 IP 地址 2 2 2 2 内部服务器访问 30 0 0 0 网段时 匹配 ACL 3200 内部服务器的私网地址转换成地址池 1 中的公网 IP 地址 3 3 3 3 由此可以配置内部 服务器与用户群之间能相互访问 精品文档 7欢迎下载欢迎下载 5 NAT 配置 Quidway Eudemon 300 500 1000 配置指南 安全防范分册 8华为技术有限公司文档版本 02 2007 12 15 配置带 no reverse 的 nat server 时 当要求内部服务器访问外部网络时 需要配置 nat outbound 命令 nat outbound 命令引用的地址池需要为 nat server 的公网地址 否则反向 NAT 地址与正向访问的公网地址不一致 会导致业务不通 除此之外 还需要注意 用户只能通过访问他的对应的一个公网地址 达到访问内部服务器 的目的 如果不同安全区域的用户访问同一内部服务器 需要为内部服务器配置不同的公 网地址 并为各公网地址配置对应的地址池 内部服务器访问外部不同网段的用户群或不同的安全区域时 需要配置不同的 ACL 规则 使内部服务器通过不同的公网地址分别访问 5 3 3 检查配置效果 检查内部服务器配置结果的相关操作如表 5 2 所示 表 5 2 检查内部服务器配置结果 操作命令 查看内部服务器信息 displaydisplay natnat serverserver vpn instancevpn instance vpn instance name publicpublic 5 4 配置双向 NAT 5 4 1 建立配置任务 应用环境 双向 NAT 的应用环境如下 当低优先级安全区域的用户访问 NAT SERVER 的公网地址时 会对报文的目的地址 转换为服务器的私网地址 但服务器需要配置到该公网地址的路由 如果要避免 配置到公网地址的路由 则可以配置从低优先级安全区域到高优先级安全区域方 向的 NAT 即 inbound 方向的 NAT 同一个安全区域内的访问需要作 NAT 则需要配置域内 NAT 功能 前置任务 在配置双向 NAT 之前 需完成以下任务 精品文档 9欢迎下载欢迎下载 配置 NAT 绑定的 ACL 规则 配置需要使用的 NAT 地址池 配置防火墙的工作模式 可选 创建 VPN 实例 可选 配置接口绑定 VPN 实例 可选 配置接口 IP 地址 可选 配置接口加入安全区域 配置相关的 NAT SERVER 数据准备 在配置双向 NAT 的基本功能之前 需要准备以下数据 ACL 组号 ACL 相关参数 NAT 地址池编号 地址池起始地址和结束地址 VPN 实例名 5 4 2 配置从低优先级安全区域到高优先级安全区域方向的 NAT 配置从低优先级安全区域到高优先级安全区域方向的 NAT 需要进行如下操作 步骤 1 执行命令 system viewsystem view 进入系统视图 步骤 2 执行命令 aclacl numbernumber acl number vpn instancevpn instance vpn instance name 创建 ACL 并进入相应视图 步骤 3 执行命令 rulerule rule id permitpermit denydeny sourcesource source address source wildcard anyany address setaddress set address set name time rangetime range time name logginglogging 配置基本 ACL 规则 或执行命令 rulerule rule id denydeny permitpermit protocol destinationdestination destination address destination wildcard anyany address setaddress set address set name destination portdestination port operator port1 port2 port setport set port set name precedenceprecedence precedence sourcesource source address source wildcard anyany address setaddress set address set name source portsource port operator port1 port2 port setport set port set name time rangetime range time name tostos tos icmp typeicmp type icmp type icmp code logginglogging 配置高级 ACL 规则 步骤 4 执行命令 natnat address groupaddress group group name group number start address end address vrrpvrrp virtual router ID vpn instancevpn instance vpn instance name 配置 NAT 地址池 地址池是一些连续的 IP 地址集合 当某地址池已经和 ACL 关联进行地址转换时 不允 许删除这个地址池 当防火墙同时应用于双机热备组网时 如果 NAT 地址池地址与 VRRP 备份组虚拟 IP 地 址不在同一网段 则不必配置携带 vrrpvrrp 关键字的 natnat address groupaddress group 命令 如果 NAT 5 NAT 配置 Quidway Eudemon 300 500 1000 配置指南 安全防范分册 10华为技术有限公司文档版本 02 2007 12 15 地址池地址与 VRRP 备份组的虚拟 IP 地址在同一网段 则需要配置相关命令 且 virtual router ID为防火墙 NAT 出接口对应的 VRRP 备份组的 ID 步骤 5 执行命令 firewallfirewall interzoneinterzone vpn instancevpn instance vpn instance name zone name1 zone name2 进入域间视图 步骤 6 执行命令 natnat inboundinbound acl number address groupaddress group group name group number no patno pat 配置 ACL 和地址池关联 当来自外部网络的报文通过地址转换到达内部网络时 将会选择地址池中的某个地址 作为转换后的源地址 步骤 7 执行命令 detectdetect protocol 配置 ASPF 功能 当防火墙需要支持 FTP HTTP H 323 ILS HWCC MSN PPTP QQ RTSP 等协议的会 话时 需要在域间使能 ASPF 功能 步骤 7 为可选步骤 结束结束 5 4 3 配置域内 NAT 配置域内 NAT 需要进行如下操作 步骤 1 执行命令 system viewsystem view 进入系统视图 步骤 2 执行命令 aclacl numbernumber acl number vpn instancevpn instance vpn instance name 创建 ACL 并进入相应视图 步骤 3 执行命令 rulerule rule id permitpermit denydeny sourcesource source address source wildcard anyany address setaddress set address set name time rangetime range time name logginglogging 配置基本 ACL 规则 或执行命令 rulerule rule id denydeny permitpermit protocol destinationdestination destination address destination wildcard anyany address setaddress set address set name destination portdestination port operator port1 port2 port setport set port set name precedenceprecedence precedence sourcesource source address source wildcard anyany address setaddress set address set name source portsource port operator port1 port2 port setport set port set name time rangetime range time name tostos tos icmp typeicmp type icmp type icmp code logginglogging 配置高级 ACL 规则 步骤 4 执行命令 natnat address groupaddress group group name group number start address end address vrrpvrrp virtual router ID vpn instancevpn instance vpn instance name 配置 NAT 地址池 地址池是一些连续的 IP 地址集合 当某地址池已经和 ACL 关联进行地址转换时 不允 许删除这个地址池 当防火墙同时应用于双机热备组网时 如果 NAT 地址池地址与 VRRP 备份组虚拟 IP 地 址不在同一网段 则不必配置携带 vrrpvrrp 关键字的 natnat address groupaddress group 命令 如果 NAT 地址池地址与 VRRP 备份组的虚拟 IP 地址在同一网段 则需要配置相关命令 且 virtual router ID为防火墙 NAT 出接口对应的 VRRP 备份组的 ID 精品文档 11欢迎下载欢迎下载 步骤 5 执行命令 firewallfirewall vpn instancevpn instance vpn instance name zonezone zone name 进入域 视图 步骤 6 执行命令 natnat acl number address groupaddress group group number group name no patno pat 配置 ACL 和地址池关联 当来自内部网络的报文通过地址转换到达外部网络时 将会选择地址池中的某个地址 作为转换后的源地址 步骤 7 执行命令 detectdetect protocol 配置 ASPF 功能 步骤 7 为可选步骤 且防火墙在域视图上仅支持 detectdetect ftpftp 命令 结束结束 5 4 4 检查配置结果 检查双向 NAT 配置结果的相关操作如表 5 3 所示 表 5 3 检查双向NAT 配置结果 操作命令 查看域间 NAT 的配置 displaydisplay natnat interzoneinterzone vpn instancevpn instance vpn instance name publicpublic 查看域内 NAT 的配置 displaydisplay natnat zonezone vpn instancevpn instance vpn instance name publicpublic 执行命令 displaydisplay natnat interzoneinterzone 可以看到防火墙上域间 NAT 的配置信息 例如 d di is sp pl la ay y n na at t i in nt te er rz zo on ne e NAT information on interzone vpn interzone dmz untrust acl 3000 addr group 1 dir in type pat Total 1 items 执行命令 displaydisplay natnat zonezone 可以看到防火墙上域内 NAT 的配置信息 例如 d di is sp pl la ay y n na at t z zo on ne e NAT infomation on zone vpn zone trust acl 3000 addr group 1 type pat Total 1 items on the zone 5 NAT 配置 Quidway Eudemon 300 500 1000 配置指南 安全防范分册 12华为技术有限公司文档版本 02 2007 12 15 5 5 配置 GRE NAT 5 5 1 建立配置任务 应用环境 当网络拓扑结构图如图 5 4 所示 为防止由于物理链路断开导致的业务中断时 即可 配置 GRE NAT 功能 图 5 4 GRE NAT 网络拓扑图 VLAN Eudemon B Eudemon C Eudemon A Eudemon 1000 配置该特性后 物理链路状态变为 down 后 防火墙可以利用另一条链路继续通信 前置任务 在配置 GRE NAT 前 需完成以下任务 配置防火墙的工作模式 可选 创建 VPN 实例 可选 配置接口绑定 VPN 实例 可选 配置接口 IP 地址 可选 配置接口加入安全区域 当接口属于 VPN 实例时 需要配置接口绑定该 VPN 实例 不能配置工作于透明模式下的接口的 IP 地址 数据准备 在配置 GRE NAT 前 需要准备以下数据 公有 IP 地址 服务器内部 IP 地址 5 5 2 配置 GRE NAT 配置 GRE NAT 需要进行如下操作 精品文档 13欢迎下载欢迎下载 步骤 1 执行命令 system viewsystem view 进入系统视图 步骤 2 执行命令 natnat serverserver zonezone zone name globalglobal global address insideinside host address vrrpvrrp virtual router ID vpn instancevpn instance vpn instance name no no reversereverse 配置内部服务器 其中 global address 与 host address 分别为图 5 4 中 GRE 隧道 Eudemon B Eudemon C 端的 IP 地址 结束结束 5 5 3 检查配置结果 检查 GRE NAT 配置结果的相关操作如表 5 4 所示 表 5 4 检查GRE NAT 配置结果 操作命令 查看内部服务器信息 displaydisplay natnat serverserver vpn instancevpn instance vpn instance name publicpublic 5 6 配置目的 NAT 5 6 1 建立配置任务 应用环境 目前 大量移动终端用户直接从国外购买手机使用 这些手机出厂时 设置的 WAP Wireless Application Protocol 网关地址与本国 WAP 网关地址不符 且无法 自行修改 导致用户不能移动上网 如果无线网络中 WAP 网关与用户之间部署了 Eudemon 防火墙 则可以在防火墙上配置 目的 NAT 功能 使这部分移动终端用户能够正常获取网络资源 前置任务 在配置目的 NAT 前 需完成以下任务 配置防火墙的工作模式 可选 创建 VPN 实例 可选 配置接口绑定 VPN 实例 可选 配置接口 IP 地址 可选 配置接口加入安全区域 配置 ACL 过滤规则 5 NAT 配置 Quidway Eudemon 300 500 1000 配置指南 安全防范分册 14华为技术有限公司文档版本 02 2007 12 15 当接口属于 VPN 实例时 需要配置接口绑定该 VPN 实例 不能配置工作于透明模式下的接口的 IP 地址 数据准备 在配置目的 NAT 前 需要准备以下数据 接口的 IP 地址 接口 IP 所属的安全区域 ACL 相关参数 WAP 网关的 IP 地址 VPN 实例名 5 6 2 配置目的 NAT 配置目的 NAT 需要进行如下操作 步骤 1 执行命令 system viewsystem view 进入系统视图 步骤 2 执行命令 firewallfirewall zonezone vpn instancevpn instance vpn instance name zone name 进入安 全区域视图 对于 VPN 实例的配置 需要在 VPN 实例的安全区域视图下配置 步骤 3 执行命令 destination natdestination nat acl number addressaddress ip address portport port number 配置目的 NAT 的 ACL 规则 其中 端口号的配置可选 如果不配置端口号则不进行端口号的转换 此处的 ACL 应该严格配置 避免非 WAP 业务数据流被 destination natdestination nat 命令引用 否 则 会导致非 WAP 业务中断 结束结束 5 7 配置 NAT 注意事项 请参见 2 ACL 配置 2 3 配置 ACL 的注意事项 中的描述 5 8 配置举例 5 8 1 配置 NAT 和内部服务器举例 组网需求 如图 5 6 所示 一个公司不同用途的网络属于 Eudemon 防火墙不同安全级别的安全区 域 对应关系为 精品文档 15欢迎下载欢迎下载 员工工作网络处于 Trust 安全区域 所在的网段为 10 110 0 0 16 WWW Server 和 FTP Server 处于 DMZ 安全区域 所在的网段为 192 168 20 0 24 能够为内部员工和外部用户访问 外部网络处于 Untrust 安全区域 需求如下 需求 1 要求该公司 Trust 安全区域的 10 110 10 0 24 网段用户可以访问 Internet 该安 全区域其它网段的用户不能访问 提供的访问外部网络的合法 IP 地址范围为 202 169 10 2 202 169 10 6 由于公有地址不多 需要使用 NAPT Network Address Port Translation 功能进行地址复用 需求 2 提供两个内部服务器供外部网络用户访问 WWW Server 的内部 IP 地址为 192 168 20 2 24 端口为 8080 FTP Server 的内部 IP 地址为 192 168 20 3 24 两者对外公布的地址均为 202 169 10 1 对外使用的端口号均 为缺省值 NAT 配置案例的组网图如图 5 6 所示 图 5 6 NAT 配置组网图 PC WWW Server 192 168 20 2 24 内部PC Eudemon Eth1 0 1 202 169 10 1 16 Eth1 0 0 10 110 10 1 16 TrustUntrust 内部PC FTP Server 192 168 20 3 24 DMZ Eth1 0 2 192 168 20 1 24 Internet 配置步骤 配置 NAT 和内部服务器 需要进行如下操作 步骤 1 完成防火墙基本配置 进入系统视图 s sy ys st te em m v vi ie ew w 进入 Ethernet 1 0 0 视图 Eudemon i in nt te er rf fa ac ce e E Et th he er rn ne et t 1 1 0 0 0 0 5 NAT 配置 Quidway Eudemon 300 500 1000 配置指南 安全防范分册 16华为技术有限公司文档版本 02 2007 12 15 配置 Ethernet 1 0 0 的 IP 地址 Eudemon Ethernet1 0 0 i ip p a ad dd dr re es ss s 1 10 0 1 11 10 0 1 10 0 1 1 1 16 6 退回系统视图 Eudemon Ethernet1 0 0 q qu ui it t 进入 Ethernet 1 0 1 视图 Eudemon i in nt te er rf fa ac ce e E Et th he er rn ne et t 1 1 0 0 1 1 配置 Ethernet 1 0 1 的 IP 地址 Eudemon Ethernet1 0 1 i ip p a ad dd dr re es ss s 2 20 02 2 1 16 69 9 1 10 0 1 1 1 16 6 退回系统视图 Eudemon Ethernet1 0 1 q qu ui it t 进入 Ethernet 1 0 2 视图 Eudemon i in nt te er rf fa ac ce e E Et th he er rn ne et t 1 1 0 0 2 2 配置 Ethernet 1 0 2 的 IP 地址 Eudemon Ethernet1 0 2 i ip p a ad dd dr re es ss s 1 19 92 2 1 16 68 8 2 20 0 1 1 2 24 4 退回系统视图 Eudemon Ethernet1 0 2 q qu ui it t 进入 Trust 安全区域视图 Eudemon f fi ir re ew wa al ll l z zo on ne e t tr ru us st t 配置 Ethernet 1 0 0 加入 Trust 安全区域 Eudemon zone trust a ad dd d i in nt te er rf fa ac ce e E Et th he er rn ne et t 1 1 0 0 0 0 退回系统视图 Eudemon zone trust q qu ui it t 进入 Untrust 安全区域视图 Eudemon f fi ir re ew wa al ll l z zo on ne e u un nt tr ru us st t 配置 Ethernet 1 0 1 加入 Untrust 安全区域 Eudemon zone untrust a ad dd d i in nt te er rf fa ac ce e E Et th he er rn ne et t 1 1 0 0 1 1 退回系统视图 Eudemon zone untrust q qu ui it t 进入 DMZ 安