华为防火墙NAT配置命令.doc_第1页
华为防火墙NAT配置命令.doc_第2页
华为防火墙NAT配置命令.doc_第3页
华为防火墙NAT配置命令.doc_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

私网用户通过NAPT方式访问Internet(备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。)本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。组网需求如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路1. 完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。2. 配置安全策略,允许私网指定网段访问Internet。3. 配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP地址访问Internet。4. 配置黑洞路由,防止产生路由环路。操作步骤1. 配置USG9000的接口IP地址,并将接口加入安全区域。# 配置接口GigabitEthernet 1/0/1的IP地址。 system-viewUSG9000 interface GigabitEthernet 1/0/1USG9000-GigabitEthernet1/0/1 ip address 10.1.1.10 24USG9000-GigabitEthernet1/0/1 quit# 配置接口GigabitEthernet 1/0/2的IP地址。USG9000 interface GigabitEthernet 1/0/2USG9000-GigabitEthernet1/0/2 ip address 202.169.1.1 24USG9000-GigabitEthernet1/0/2 quit# 将接口GigabitEthernet 1/0/1加入Trust区域。USG9000 firewall zone trustUSG9000-zone-trust add interface GigabitEthernet 1/0/1USG9000-zone-trust quit# 将接口GigabitEthernet 1/0/2加入Untrust区域。USG9000 firewall zone untrustUSG9000-zone-untrust add interface GigabitEthernet 1/0/2USG9000-zone-untrust quit2. 配置安全策略,允许私网网段10.1.1.0/24的用户访问Internet。3. USG9000 policy interzone trust untrust outbound4. USG9000-policy-interzone-trust-untrust-outbound policy 15. USG9000-policy-interzone-trust-untrust-outbound-1 policy source 10.1.1.0 0.0.0.2556. USG9000-policy-interzone-trust-untrust-outbound-1 action permit7. USG9000-policy-interzone-trust-untrust-outbound-1 quitUSG9000-policy-interzone-trust-untrust-outbound quit8. 配置NAT地址池和NAT策略。# 配置NAT地址池的模式为PAT,即采用NAPT功能复用公网IP地址,并指定可用于NAT转换的公网IP地址。USG9000 nat address-group 1USG9000-address-group-1 mode patUSG9000-address-group-1 section 202.169.1.21 202.169.1.25USG9000-address-group-1 quit(注;有些低版本的防火墙不能这样配置,配置应为:USG9000 nat address-group 1 起始地址 结束地址USG9000-address-group-1quit)# 配置NAT策略,限定只对源地址为10.1.1.0/24网段的流量进行NAT转换,并绑定NAT地址池1。USG9000 nat-policy interzone trust untrust outboundUSG9000-nat-policy-interzone-trust-untrust-outbound policy 1USG9000-nat-policy-interzone-trust-untrust-outbound-1 policy source 10.1.1.0 0.0.0.255USG9000-nat-policy-interzone-trust-untrust-outbound-1 action source-natUSG9000-nat-policy-interzone-trust-untrust-outbound-1 address-group 1USG9000-nat-policy-interzone-trust-untrust-outbound-1 quitUSG9000-nat-policy-interzone-trust-untrust-outbound quit9. 配置黑洞路由,即指定地址池中的公网IP地址的下一跳为NULL0接口,以防止产生路由环路。10. USG9000 ip route-static 202.169.1.21 32 NULL 011. USG9000 ip route-static 202.169.1.22 32 NULL 012. USG9000 ip route-static 202.169.1.23 32 NULL 013. USG9000 ip route-static 202.169.1.24 32 NULL 0USG9000 ip

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论