hc120119002 usg防火墙nat业务特性与配置

1、NAT业务特USG性与配置Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.前言随着因特网的快速发展，它所面临的两个最迫切的问题就是IP地址的匮乏和路由规模的扩大。对此，长期的和短期的解决方案都有所发展，那就是网络地址转换（NAT）和IPv6（下一代因特网协议）技术。在IPv6技术尚在研究中且还未完全取代现有的IPv4网络的情况下，短期解决方案NAT技术对于缓解目前的地址缺乏问题显得尤为重要。Copyright 2012 Huawei Technologies Co., Ltd. All

2、 rights reserved.Page1培训目标学完本课程后，您应该能： 描述NAT技术的原理 描述USG 描述USG的各种NAT特性各NAT特性的基本组网与配置Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page2目录NAT技术原理NAT特性与配置USGCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page3NAT基本原理Server PC USGTrustUntrust E

3、th0/0/1 Eth0/0/0 InternetServer PC NAT（Network Address Translation，地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page4数据报2源 ： 目的：数据报2源 ： 目的：数据报1源 ：202.169.

4、10.1 目的：数据报1源：目的：目录NAT技术原理NAT特性与配置USGCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page5NAT/PAT地址转换地址池最多支持4096个地址内网Internet地址池USG内网用户Page6Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.定义地址池20

5、USG2100nat address-group 1 NAT地址转换USG2100nat-policy interzone untrust trust inbound USG2100-nat-policy-interzone-trust-untrust-inboundpolicy 1USG2100-nat-policy-interzone-trust-untrust-inbound-1action source-natUSG2100-nat-policy-interzone-trust-untrust-inbound-1a

6、ddress-group 1 no-pat PAT地址转换USG2100nat-policy interzone untrust trust inbound USG2100-nat-policy-interzone-trust-untrust-inboundpolicy 1USG2100-nat-policy-interzone-trust-untrust-inbound-1action source-nat USG2100-nat-policy-interzone-trust-untrust-inbound-1address-group 1策略NAT/32PC1内网Inter

7、net/32PC2内网用户USG设置控制PC1可以通过NAT访问Internet，而PC2 则不行Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page7定义地址池USG2100nat address-group 1 配置策略NATUSG2100nat-policy interzone trust untrust outbound USG2100-nat-policy-interzone-trust-untrust-outboundpolicy

8、 1USG2100-nat-policy-interzone-trust-untrust-outbound-1policy source 0 USG2100-nat-policy-interzone-trust-untrust-outbound-1 action source-nat USG2100-nat-policy-interzone-trust-untrust-outbound-1 address-group 1NAT ALG功能NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如ICMP、FTP等，它们报文的数据部分

9、可能包含IP地址或端口信息，这些内容不能被NAT有效的转换，就可能导致问题。例如，一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分，NAT无法对它进行转换。当外部网络主机接收了这个私有地址并使用它，这时FTP服务器将表现为不可达。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page8ASPF+NAT+ALG创建地址映射Servermap表项:20001:22787三次握手三次握手

10、Port 78,33200 Port Command OKPort 89,3200 Port Command OKRETR Sample.txtRETR Sample.txt150 Opening ASCII connection150 Opening ASCII connectionSYN dest :2001SYN dest :22787:20001:22787:22787FTP server0检测Servermap表项，命中

11、后根据表项进行Nat转换USGNat outbound 用户Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page9映射内部服务器Internet外网用户内网USG00:21内网用户01:80DMZWEB 服务器01FTP 服务器00Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page10配置NAT SERV

12、ER服务器USG2100nat server protocol tcp global 41 ftp inside 00 ftp双向NAT trustuntrust00Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page11配置NAT SERVER服务器USG2100nat server global 0 inside 0USG2100nat serv

13、er global 0 inside 0域内NAT0客户端internet服务器0配置了nat server global 0 inside 0Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.Page12配置同一域内NATUSG nat address-group 1 1 1USG nat-policy zone t

14、rustUSG-nat-policy-zone-trust policy 0USG-nat-policy-zone-trust-0 policy source 55 USG-nat-policy-zone-trust-0 action source-natUSG-nat-policy-zone-trust-0 address-group 1NAT 多实例USG上独立地保存三份NAT表，可以承担不同VPN用户的地址转换服务VPN-1VPN1用户CEVPN-2CEPEInternetMPLS COREPEUSG采用不同的VLAN子接口对应不同VPN的方式CEP

15、EVPN-3CECEVPN-1，接和PE设备连VPN3用户VPN-2VPN2用户为MPLS VPN 用户提供统一的Internet 访问Page13Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved.目的地址NATEth1/0/3 /24Eth1/0/0 /24USGWAP 网关GGSNGSR配置ACL过滤规则USG2100 acl 3000USG2100-acl-adv-3000 rule permit ip source 0 0 destination 55配置需要作目的NAT的acl规则USG2100 firewall zone trustUSG2100-zone-trust destination-nat 3000