华为USG地址池方式的NAPT和NAT Server配置案例
网络拓扑如下:
需求描述:
1.公司使用华为USG防火墙连接互联网,Trust区域192.168.1.0/24网段用户可正常上网,该区域其他网段禁止上网。USG出口IP:1.1.1.1/24 可用地址范围:1.1.1.1--1.1.1.10,需要使用NAPT功能进行地址复用,地址池:1.1.1.5--1.1.1.10。
2.FTP和Web服务器供外部网络用户访问,FTP服务器在VLAN 10,Web服务器在VLAN 20。其中FTP Server的IP地址为10.1.1.10,端口号为缺省值21,Web Server的IP地址为10.1.2.10,端口为80。两者对外公布的地址分别为1.1.1.2和1.1.1.3,对外使用的端口号均为缺省值,即21和80。
配置步骤:
1.交换机配置
[SW]vlan batch 10 20
[SW]interface Ethernet0/0/1
[SW]port link-type access
[SW]port default vlan 10
[SW]interface Ethernet0/0/2
[SW]port link-type access
[SW]port default vlan 20
[SW]interface GigabitEthernet0/0/1
[SW]port link-type trunk
[SW]port trunk allow-pass vlan 10 20
2.USG设备配置个接口的IP地址,并将其加入相应区域。
【USG】interface GigabitEthernet0/0/0.1
【USG】vlan-type dot1q 10
【USG】ip address 10.1.1.1 255.255.255.0
【USG】interface GigabitEthernet0/0/0.2
【USG】vlan-type dot1q 20
【USG】ip address 10.1.2.1 255.255.255.0
【USG】interface GigabitEthernet0/0/1
【USG】ip address 192.168.1.1 255.255.255.0
【USG】interface GigabitEthernet0/0/2
【USG】ip address 1.1.1.1 255.255.255.0
【USG】firewall zone trust
【USG】add interface GigabitEthernet0/0/1
【USG】firewall zone untrust
【USG】add interface GigabitEthernet0/0/2
【USG】firewall zone dmz
【USG】add interface GigabitEthernet0/0/0
【USG】add interface GigabitEthernet0/0/0.1
【USG】add interface GigabitEthernet0/0/0.2
3.配置地址池NAPT地址转换。
【USG】nat address-group 10 1.1.1.5 1.1.1.10
【USG】nat-policy interzone trust untrust outbound
【USG】policy 1
【USG】action source-nat
【USG】policy source 192.168.1.0 0.0.0.255
【USG】address-group 10
4.配置区域间访问控制策略。
【USG】policy interzone trust untrust outbound
【USG】policy 0
【USG】policy source 192.168.1.0 0.0.0.255
【USG】action permit
【USG】policy interzone dmz untrust inbound
【USG】policy 0
【USG】policy destination 10.1.1.10 0
【USG】policy service service-set ftp
【USG】action permit
【USG】policy 1
【USG】policy destination 10.1.2.10 0
【USG】policy service service-set http
【USG】action permit
5.配置NAT Server对外发布服务器
nat server 0 protocol tcp global 1.1.1.2 ftp inside 10.1.1.10 ftp
nat server 1 protocol tcp global 1.1.1.3 www inside 10.1.2.10 www
firewall interzone dmz untrust
detect ftp
6.测试
a.在内部PC上ping 1.1.1.100,然后在USG上查看NAT转换,显示NAT转换正常。
b.在外部用户上测试访问FTP和Web服务器,USG上结果显示正常。
转载于:https://blog.51cto.com/34340/1746441
华为USG地址池方式的NAPT和NAT Server配置案例相关推荐
- IPv6进阶:IPv6 过渡技术之 NAT64(IPv6 节点主动访问 IPv4 节点-地址池方式)
实验拓扑 PC1是IPv4网络的一个节点,处于Trust安全域: PC2是IPv6网络的一个节点,处于Untrust安全域. 实验需求 完成防火墙IPv4.IPv6接口的配置,并将接口添加到相应的安全 ...
- 配置内网用户通过NAT地址池方式访问Internet外网
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.需求 二.拓扑 三.基本配置 四.配置NAT地址池 五.验证结果 前言 某企业的内网用户通过路由器和Interne ...
- 【案例分享】华为防火墙出接口方式的单服务器智能DNS配置
介绍出接口方式的单服务器智能DNS的配置举例. 组网需求 如图1所示,企业部署了一台ISP1服务器对外提供Web服务,域名为www.example.com.ISP1服务器的私网IP地址为10.1.1. ...
- 华为设备实现双出口访问外网nat 策略路由配置
使用ENSP模拟器实现 实验:双出口访问外网nat 策略路由配置 1.内网使用nat访问外网 2.访问联通流量默认走联通线路,电信流量默走电信线路 3.当线路出现故障时,可切换到另一个链路 4.来回路 ...
- 华为USG统一安全边界网关的设计、演示、经验鉴证实评-卷A
华为USG统一安全边界网关的设计.演示.经验鉴证实评-卷A 课程目标: 本课程卷A的核心目标是:对华为USG防火墙的入门规划.架构设计.和任何环境都可能用到的必配功能,及相关工作经验进行演示和描述 ...
- 华为防火墙USG6000通过WEB图形界面配置案例
华为防火墙USG6000:NAT和NAT Server配置案例 网络拓扑图 通过WEB方式登录到防火墙 登录成功 配置防火墙使内网用户通过PAT方式上网 配置防火墙使得外网用户能访问企业DMZ区域的F ...
- 华为路由器DHCP地址池的配置
华为路由器DHCP全局地址池的配置 DHCP有两种配置,一种是接口地址池,一种是全局地址池,上一期我写过接口地址池了,这次来看看全局地址池. 第一步:dhcp的配置 在配置DHCP之前一定一定要在全局 ...
- 华为pat地址转换,以及内网web服务器发布
实验名称:华为pat地址转换,以及内网web服务器发布 实验拓扑图: 3. 实验目的 : 1.使内网通过pat转化出去上外网 2.使用静态pat做端口映射,发布web服务器 3.配置交换机远程登录 4 ...
- NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例。
目录 NAT 技术原理: 静态NAT原理: 静态NAT(土豪用法): NAT转换示例: 静态NAT配置方法介绍: 1.方式一: 2.方式二: 静态NAT的配置实例: 动态NAT原理: 动态NAT转换示 ...
最新文章
- react+webpack项目常用的插件(plugins)
- 教程,使用YCSB测试MYSQL数据库,获取千万条测试后的数据
- iOS开发 - OC - block的详解 - 基础篇
- 在HTML中将垂直转换为平行,大物实验答案
- php 扩展apc 参数优化
- Google GSON入门
- Makefile之嵌套执行(9)
- 判断是否是微信浏览器JavaScript代码
- oracle 定时器时间分区_Oracle数据库之oracle按时间分区以及自动分区
- 关于COM的Reg-Free(免注册)技术简介及实例讲解。
- window.location.href如何多次请求_测试同学必会系列之如何进行幂等性的测试
- (转)根据两点经纬度计算距离
- 2020年20种最佳Android应用程序模板
- NC生成单据PK主键
- Perl-LWP文档
- 计算机专业论文谢辞,计算机专业论文致谢信.docx
- centos安装ghostscript+PHP扩展imagick
- 浅谈垃圾渗滤液处理设计要点
- 苏宁联盟接入php,苏宁api申请教程
- MLX90614红外温度计介绍