华为防火墙:五种NAT类型以及配置NAT策略。
NAT类型:
1. NAT NO-PAT
.将源IP地址映射到公网IP地址上。
.属于多对多的映射关系。
.不会节约公网IP地址,但会保护内网IP地址。
2. NAPT
. 将源IP地址和端口号映射到公网IP地址和端口号上。
.属于多对一的映射关系。
.外网IP地址必须独立。(不能被外网使用)
3. EASY-IP
. 将源IP地址和端口号映射到防火墙外网接口上的IP地址和端口号上。
.属于多对一的映射关系。
.节约公网IP地址。
4. 智能NAT
.NAT NO-PAT 和NAT相结合实现智能NAT。
.少数用户访问互联网使用。
.过多使用NAPT连接互联网。
5. NAT server
.将内网服务器发布到公网上。
如图所示:
实现的需求:
1.实现内网访问外网,外网不能访问内网。
2.使用nat策略控制出站流量。
3.将内网服务器发布到公网中。(以FTP为例)
对华为路由器进行简单配置:(这一步可做可不做)
Huawei:undo terminal monitor
Huaweisystem-view
[Huawei]sysname R1
[R1]user-interface console 0
[R1-ui-console0]idle-timeout 0
一.在R1上配置IP地址及静态路由。
1. 配置IP地址。
[R1]interface g 0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.200.1 24
[R1-GigabitEthernet0/0/1]undo shutdown
[R1]interface g 0/0/0
[R1-GigabitEthernet0/0/1]ip address 192.168.100.2 24
[R1-GigabitEthernet0/0/1]undo shutdown
2.配置路由条目。
[R1]ip route-static 192.168.10.0 24 192.168.100.1
二.在FW1上配置IP地址,默认路由,指定区域,安全策略。
1.配置IP地址。
[FW1]interface g 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.100.1 24
[FW1-GigabitEthernet1/0/1]undo shutdown
[FW1]interface g 1/0/0
[FW1-GigabitEthernet1/0/1]ip address 192.168.10.254 24
[FW1-GigabitEthernet1/0/1]undo shutdown
2.配置路由条目。
[FW1]ip route-static 0.0.0.0 0.0.0.0 192.168.100.2
3.将接口加入到指定区域。
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
4.配置安全策略。
[FW1]security-policy
[FW1-policy-security]rule name in_to_out
[FW1-policy-security-rule-in_to_out]source-zone trust
[FW1-policy-security-rule-in_to_out]destination-zone untrust
[FW1-policy-security-rule-in_to_out]action permit
三. 验证内网ping通外网。
四.配置NAT策略。(注:安全策略在这里没有重复配置。)
1.natnopat。
1)配置nat地址池。
[FW1]nat address-group natnopat
[FW1-address-group-natnopat]section 0 192.168.100.10 192.168.100.11
[FW1-address-group-natnopat]mode no-pat local
2)配置nat策略。
[FW1]nat-policy
[FW1-policy-nat]rule name natnopat
[FW1-policy-nat-rule-natnopat]source-zone trust
[FW1-policy-nat-rule-natnopat]destination-zone untrust
[FW1-policy-nat-rule-natnopat]action nat address-group natnopat
3)验证natnopat。(若转换后的IP地址为192.168.100.10或192.168.100.11,则验证成功。)
2.napt.
1)配置nat地址池。
[FW1]nat address-group napt
[FW1-address-group-napt]section 0 192.168.100.10 192.168.100.10
[FW1-address-group-napt]mode pat
2)配置nat策略。
[FW1]nat-policy
[FW1-policy-nat]rule name napt
[FW1-policy-nat-rule-napt]source-zone trust
[FW1-policy-nat-rule-napt]destination-zone untrust
[FW1-policy-nat-rule-napt]action nat address-group napt
3)验证napt。(若转换后的IP地址均为192.168.100.10,则验证成功。)
3.ease_nat。
1)配置nat策略。
[FW1]nat-policy
[FW1-policy-nat]rule name napt
[FW1-policy-nat-rule-napt]source-zone trust
[FW1-policy-nat-rule-napt]destination-zone untrust
[FW1-policy-nat-rule-ease_nat]action nat easy-ip
3)验证napt。(若转换后的IP地址均为接口IP:192.168.100.1,则验证成功。)
五.nat server。(注:双向通信,注意内网到外网是否有安全策略,否则只能登陆无法查看内容。)
1)模拟FTP服务器。
2)配置安全策略。(允许外网访问内网)
[FW1]security-policy
[FW1-policy-security]rule name out_to_in
[FW1-policy-security-rule-out_to_in]source-address 192.168.10.3 32
[FW1-policy-security-rule-out_to_in]destination-zone dmz
[FW1-policy-security-rule-out_to_in]service ftp
[FW1-policy-security-rule-out_to_in]action permit
3)将内网ftp映射到公网IP地址。
[FW1]nat server ftp protocol tcp global 192.168.100.10 2121 inside 192.168.10.3 21
4)验证是否是否成功。
华为防火墙:五种NAT类型以及配置NAT策略。相关推荐
- 学习ActiveMQ(五):activemq的五种消息类型和三种监听器类型
一.前面我们一直发送的是字符串类型,其实activemq一共支持五种消息类型: 1.String消息类型:发送者:消费者: 1.String消息类型:发送者:消费者: 1.String消息类型:发送者 ...
- 【Redis】五种存储类型及其底层数据结构
Redis(Remote Dictionary Service远程字典服务) 参考: 图解redis五种数据结构底层实现(动图哦) Redis(1)--5种基本数据结构 目录 1. Redis的五种存 ...
- redis的五种存储类型的具体用法
一.String 类型操作 string是redis最基本的类型,而且string类型是二进制安全的.意思是redis的string可以包含任何数据.比如jpg图片或者序列化的对象 $redis-&g ...
- Redis_17_Redis服务器中的数据库(五种基本类型底层存放)
文章目录 一.前言 二.RedisObject对象 2.1 RedisObject对象 2.2 类型type 2.3 编码encoding 2.4 sds 三.字符串对象string 3.1 int编 ...
- 短视频开头如何才能吸引人?五种开头类型分享,帮你抓住观众眼球
短视频开头如何才能吸引人?五种开头类型分享,帮你抓住观众眼球 对于一则短视频来说,开头就吸引人,才能让观众有兴趣看下去,获得更多的播放量.那么,短视频开头究竟要怎么做才能吸引人呢?今天我们就来分享五种 ...
- 华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT
一.组网需求 1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常. (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/2 ...
- P2P内网穿透之Nat类型介绍及Nat类型检测16种NAT组合穿透操作指南整理
目录 根据RFC 3489规定 Nat共分以下类型: 第一部分: NAT类型介绍 Full Cone NAT: Restricted Cone NAT: Port Restricted Cone NA ...
- OSPF NBMA网络的五种基本类型
实验拓扑: 实验步骤: 配置FR帧中继: FR(config)#frame-relay switching FR(config)#in FR(config)#interface s1/2 FR(con ...
- 华为防火墙VRRP双机热备的配置
双机热备 概念 一.华为双机热备的两种模式 二.相关术语 三.配置 概念 双机热备特指基于高可用系统中的两台服务器的热备(或高可用),因两机高可用在国内使用较多,故得名双机热备,双机高可用按工作中的切 ...
最新文章
- cuda10安装_Win10安装GPU版本的Tensorflow 2.1
- ckeditor+ckfinder+syntaxhighlighter编辑器
- Hello Views之Spinner(yaozq翻译,仅供参考)
- 基于相关性分析系统性能瓶颈
- Java工作笔记-使用CXF接入及创建WebService
- QT 信号与槽 QT简单加法器的实现
- Linux系统下select的使用方式
- mybatis3文档
- Spark编程Tips
- 简单的网站项目开发流程 .
- pcie总线频率和带宽_从1.0到6.0的飞跃之路,PCIe总线技术发展解析
- 金蝶k3服务器系统要求,金蝶K3服务器安装及其相关要求[精选].doc
- 自动化运维平台-OpManager
- 线程启动、结束,创建线程多法、join,detach
- recovery模式是什么意思?recovery模式怎么刷机?
- 二层交换机与三层交换机交换原理
- java bidi_Java Bidi類代碼示例
- ubuntu 16.04上radvd起不来
- 残疾人竞赛计算机程序,第五届全国残疾人职业技能竞赛竞赛标准计算机程序.doc...
- VMware ESxi 7.0定时关机