拓扑结构

1,VPN配置

采用web方式配置。

FW1配置

FW2配置

Vpn 协商策略

security-policyrule name untrust2local_vpnsource-zone untrustdestination-zone localsource-address 1.1.1.2 32destination-address 1.1.1.1 32service protocol udp destination-port 500service protocol udp source-port 500action permitrule name local2untrust_vpnsource-zone localdestination-zone untrustsource-address 1.1.1.1 32destination-address 1.1.1.2 32service protocol udp destination-port 500service protocol udp source-port 500action permit

Nat Server

一正一反,出入自如

[FW1]nat server web protocol tcp global 1.1.1.1 9980 inside 192.168.2.2 80

[FW1]display firewall server-map Current Total Server-map : 2Type: Nat Server,  ANY -> 1.1.1.1:9980[192.168.2.2:80],  Zone:---,  protocol:tcpVpn: public -> publicType: Nat Server Reverse,  192.168.2.2[1.1.1.1] -> ANY,  Zone:---,  protocol:tcpVpn: public -> public,  counter: 1

Nat Server, any -> 1.1.1.1:9980[10.1.1.2:80]为正向Server-map表项,其作用为入。在公网用户访问服务器时对报文的目的地址做转换。Nat Server Reverse, 10.1.1.2[1.1.1.1] -> any为反向Server-map表项,其作用为出。当私网服务器主动访问公网时,可以直接使用这个表项将报文的源地址由私网地址转换为公网地址,而不用再单独为服务器配置源NAT策略。这就是防火墙NAT Server做的非常贴心的地方了,一条命令同时打通了私网服务器和公网之间出入两个方向的地址转换通道。

先关闭默认安全策略,用互联网访问内网主机,查看会话表

tcp  VPN: public --> public  ID: c487f663b50b23061df5c21e60dZone: untrust --> trust  TTL: 00:20:00  Left: 00:19:45Interface: GigabitEthernet1/0/0  NextHop: 192.168.2.2  MAC: 000c-2924-9304<--packets: 1 bytes: 48 --> packets: 254 bytes: 10,1761.1.2.2:1047 --> 1.1.1.1:9980[192.168.2.2:80] PolicyName: default

配置untrust到trust的安全策略

rule name accesswebserversource-zone untrustdestination-zone trustdestination-address 192.168.2.2 32service protocol tcp destination-port 80action permit

外网主机可以访问内网服务器

内网主机访问internet,NAT策略

rule name internetsource-zone trustegress-interface GigabitEthernet1/0/1source-address 192.168.2.0 24action nat easy-ip

————————————————————————————

总部服务器还不能访问internet,还需要配置trust到untrust安全策略

先关闭默认安全策略,用内网主机访问外网web服务,查看会话表

http  VPN: public --> public  ID: c487f663b5125f028635c21e99dZone: trust --> untrust  TTL: 00:20:00  Left: 00:19:50Interface: GigabitEthernet1/0/1  NextHop: 1.1.1.2  MAC: 00e0-fc04-1b46<--packets: 1256 bytes: 50,624 --> packets: 8 bytes: 1,112192.168.2.2:53677[1.1.1.1:2049] --> 1.1.2.2:80 PolicyName: default

配置trust到untrust安全策略,只允许访问web服务。

 rule name trut2untrust                   source-zone trustdestination-zone untrustsource-address 192.168.2.0 24service httpaction permit

————————————————————————

服务器访问分部的web服务器

查看会话表

 esp  VPN: public --> public  ID: c487f663b4be750539b5c21ec47Zone: untrust --> local  TTL: 00:10:00  Left: 00:09:55Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 0000-0000-0000<--packets: 0 bytes: 0 --> packets: 1 bytes: 1241.1.1.2:0 --> 1.1.1.1:0 PolicyName: default

添加untrust 到local安全策略,允许esp报文通过

rule name untrust2localsource-zone untrustdestination-zone localsource-address 1.1.1.2 32destination-address 1.1.1.1 32action permit

[FW1]nat server web protocol tcp global 1.1.1.1 9980 inside 192.168.2.2 80 no-reverse 

[FW1]dis firewall session tableCurrent Total Sessions : 13http  VPN: public --> public  192.168.2.2:53521[1.1.1.1:53521] --> 10.0.0.2:80

强叔侃墙 NAT篇 NAT Server 三十二字真言(上篇)_实验一正一反,出入自如去反存正,自断出路相关推荐

  1. 【防火墙技术连载贴汇总】强叔侃墙系列

    https://forum.huawei.com/enterprise/zh/thread-331003.html [防火墙技术连载贴汇总]强叔侃墙系列 转载于:https://www.cnblogs ...

  2. 强叔侃墙_第5章_GRE L2TP

    说到L2TP VPN 必须先将镜头切到互联网发展初期,那个时代个人用户和企业用户大都通过电话线上网,当然企业分支机构和出差用户一般也通过"电话网络[学名PSTN/ISDN]"来接入 ...

  3. 强叔侃墙_NAT_nopat示例

    NAT No-PAT 只转换报文的IP 地址,不转换端口,需要上网的私网用户数量省,公网IP地址数量与同时上网 的最大私网用户数量基本相同,在NAT No-PAT的转换方式中,一上公网IP地址不能同时 ...

  4. Portal: 强叔侃墙

    http://blog.csdn.net/nanfeng1686/article/details/45742679

  5. Exchange server 2013(十二)IRM故障排除

    Exchange server 2013 (十二)IRM故障排除 我们做完exchange 2013和IRM集成后,具体做法请参考第十章,顺利使用一段时间,后面由于服务器迁移的原因,就把exchang ...

  6. 安卓修改电池容量教程_图吧小白教程 篇三十二:手机拆换原装电池教程——替换寿命将届的原厂电池,提升手机续航...

    图吧小白教程 篇三十二:手机拆换原装电池教程--替换寿命将届的原厂电池,提升手机续航 2019-12-05 13:01:04 1点赞 20收藏 1评论 你是AMD Yes党?还是intel和NVIDI ...

  7. 程序员编程艺术第三十二~三十三章:最小操作数,木块砌墙问题

    第三十二~三十三章:最小操作数,木块砌墙问题 作者:July.caopengcs.红色标记.致谢:fuwutu.demo. 时间:二零一三年八月十二日 题记 再过一两月,便又到了每年的九月十月校招高峰 ...

  8. 【Visual C++】游戏开发笔记三十二 浅墨DirectX提高班之一 DirectX大局观认知篇

    本系列文章由zhmxy555(毛星云)编写,转载请注明出处. 文章链接:  http://blog.csdn.net/zhmxy555/article/details/8172615 作者:毛星云(浅 ...

  9. PhotoShop算法实现高级篇-剪纸艺术滤镜(三十二)

    PhotoShop算法实现高级篇-剪纸艺术滤镜(三十二) kezunhai@gmail.com http://blog.csdn.net/kezunhai 剪纸是中国古代乃至今日的传统艺术,它的团简单 ...

最新文章

  1. php网课资源百度云盘_安全中国PHP网站开发工程师就业指导班 35课 附课件、源码,全套视频教程学习资料通过百度云网盘下载...
  2. 虚拟中央处理器新星软机公司即将被收购
  3. iOS9系统下SEGV_ACCERR问题的解决方案
  4. oracle中做数据字典,oracle中数据字典是干嘛用的啊
  5. Fiori Error message Exception raised without specific error
  6. php static method,php 类方法用static::hello(); 等同于 $this-hello();吗?
  7. Android自动伸展动画,android – 如何实现平滑的展开/折叠动画
  8. P5175 数列(矩阵快速幂)
  9. (JAVA)StringBuffer类
  10. python 数组和列表的区别
  11. 企业级数据库新型研发模式——数据管理DMS实践
  12. 你还不了解Redis的发布/订阅功能与Redis的Stream吗
  13. 谷歌AI:根据视频生成深度图,效果堪比激光雷达
  14. 免除抠图困扰,专供PNG图片素材网站你知道么?
  15. 编译安装postfix+sasl+mysql+dovecot+extmail构建完成的邮件系统(一)
  16. C# 读取txt文本数据
  17. postman压力测试
  18. 英特尔老款CPU支持虚拟化对照表(转)
  19. RocketMQ-顺序消息Demo及实现原理分析
  20. 技术控 | 自然语言技术在文智趋势分析产品上的应用

热门文章

  1. python打印2020某月的日历_教你用Python打印2020年日历
  2. 第七章-数据分析-数据透视表的应用
  3. 最新uboot的Kbuild系统 3 .config的生成
  4. python读取usb数据_PyUSB:从USB设备读取
  5. USB-WIFI RTL8188CU模块驱动
  6. 访问和更新Orkut数据
  7. 封神了,华为天才少年自制硬萌机器人,再次刷屏网络
  8. Re:萌娘百科上的黑幕实现
  9. 精通移动App测试实战:技术、工具和案例
  10. 青春三部曲(《且听风吟》,《一九七三年的弹子球》,《寻羊冒险记》)--[日]村上春树...