华为防火墙NAT模拟环境配置详解(可跟做)

今天主要是做一个基于NAT技术的模拟环境,有关NAT工作原理及概念的大家可以参考博文请https://blog.51cto.com/14156658/2434477

环境如下:

需求如下:

  • 内网客户端可以访问互联网服务器(ping通即可)
  • 互联网客户端可以访问内网服务器(通过FTP访问)
  • 内网服务器可以访问互联网服务器(ping通即可)

开始配置:

服务器及客户端配置如下:

防火墙配置如下:

[FW1]int g1/0/0    <!--进入接口-->
[FW1-GigabitEthernet1/0/0]ip add 202.96.10.10 24        <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/0]int g1/0/1          <!--进入接口-->
[FW1-GigabitEthernet1/0/1]ip add 192.168.1.1 24         <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/1]int g1/0/2           <!--进入接口-->
[FW1-GigabitEthernet1/0/2]ip add 192.168.2.1 24        <!--接口配置IP地址 -->
[FW1-GigabitEthernet1/0/2]quit         <!--保存退出-->

R1配置如下:(注释请参照以上注释)

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.96.10.20 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 202.96.20.10 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 202.96.30.10 24
[R1-GigabitEthernet0/0/2]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 202.96.10.10            <!--配置去外网的默认路由-->

配置安全策略:

[FW1]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 202.96.10.20 <!--配置去外网的默认路由-->
[FW1]firewall zone trust              <!--进入trust区域-->
[FW1-zone-trust]add int g1/0/1            <!--接口加入区域-->
[FW1-zone-trust]add int g 1/0/2            <!--接口加入区域-->
[FW1-zone-trust]quit                 <!--保存退出-->
[FW1]firewall zone untrust        <!--进入untrust区域-->
[FW1-zone-untrust]add int g1/0/0           <!--接口加入区域-->
[FW1-zone-untrust]quit             <!--保存退出-->
[FW1]security-policy                 <!--配置安全策略-->
[FW1-policy-security]rule name 1             <!--策略名字为1-->
[FW1-policy-security-rule-1]source-zone trust            <!--定义源区域为trust-->
[FW1-policy-security-rule-1]destination-zone untrust        <!--定义目标区域为untrust区域-->
[FW1-policy-security-rule-1]source-address 192.168.1.0 24       <!--定义转换源网络-->
[FW1-policy-security-rule-1]action permit             <!--允许流量通过-->
[FW1-policy-security-rule-1]quit
[FW1-policy-security]quit
[FW1]nat address-group NAPT           <!--配置地址池名字为NAPT-->
[FW1-address-group-NAPT]section 0 202.96.10.30 202.96.10.30     <!--地址池范围-->
[FW1-address-group-NAPT]mode pat           <!--地址池为NAPT提供服务-->
[FW1-address-group-NAPT]quit
[FW1]nat-policy           <!--配置NAT策略-->
[FW1-policy-nat]rule name pat             <!--名字为pat-->
[FW1-policy-nat-rule-pat]source-zone trust           <!--定义转换源区域trust-->
[FW1-policy-nat-rule-pat]destination-zone untrust   <!--定义转换目标区域untrust-->
[FW1-policy-nat-rule-pat]source-address 192.168.1.0 24     <!--定义转换源网络-->
[FW1-policy-nat-rule-pat]action nat address-group NAPT   <!--定义的转换源和地址池建立映射关系-->
[FW1-policy-nat-rule-pat]quit
[FW1-policy-nat]quit
<!--以下配置和上面基本相同,在这里就不注释了,可以参照上面注释-->
[FW1]security-policy
[FW1-policy-security]rule name NATserver
[FW1-policy-security-rule-NATserver]source-zone untrust
[FW1-policy-security-rule-NATserver]destination-zone trust
[FW1-policy-security-rule-NATserver]destination-address 192.168.2.0 24
[FW1-policy-security-rule-NATserver]action permit
[FW1-policy-security-rule-NATserver]quit
[FW1-policy-security]quit
[FW1]firewall interzone trust untrust            <!--检测区域为trust和untrust区域-->
[FW1-interzone-trust-untrust]detect ftp      <!--检测ftp协议-->
[FW1-interzone-trust-untrust]quit
[FW1]nat server ftp protocol tcp global 202.96.10.40 21 inside 192.168.2.2 21    <!--配置FTP的NAT server-->
[FW1]security-policy
[FW1-policy-security]rule name NAPT1
[FW1-policy-security-rule-NAPT1]source-zone trust
[FW1-policy-security-rule-NAPT1]destination-zone untrust
[FW1-policy-security-rule-NAPT1]source-address 192.168.2.0 24
[FW1-policy-security-rule-NAPT1]action permit
[FW1-policy-security-rule-NAPT1]quit
[FW1-policy-security]quit
[FW1]nat address-group NAPT1
[FW1-address-group-napt1]section 0 202.96.10.50 202.96.10.50
[FW1-address-group-napt1]mode pat
[FW1-address-group-napt1]quit
[FW1]nat-policy
[FW1-policy-nat]rule name pat1
[FW1-policy-nat-rule-pat1]source-zone trust
[FW1-policy-nat-rule-pat1]destination-zone untrust
[FW1-policy-nat-rule-pat1]source-address 192.168.2.0 24
[FW1-policy-nat-rule-pat1]action nat address-group NAPT1
[FW1-policy-nat-rule-pat1]quit
[FW1-policy-nat]quit
[FW1]ip route-static 202.96.10.30 32 null 0     <!--配置路由黑洞-->
[FW1]ip route-static 202.96.10.40 32 null 0      <!--配置路由黑洞-->
[FW1]ip route-static 202.96.10.50 32 null 0    <!--配置路由黑洞-->

经上述配置完成后可以按照需求开始一一验证了。

  • 内网客户端可以访问互联网服务器(ping通即可)


  • 互联网客户端可以访问内网服务器(通过FTP访问)

1) 内网服务器开启FTP

2)验证

  • 内网服务器可以访问互联网服务器(ping通即可)


本博文到此结束,感谢阅读!

原文地址:https://blog.51cto.com/14156658/2436695

时间: 2024-11-07 09:58:08

华为防火墙NAT模拟环境配置详解(可跟做)的相关文章

华为防火墙NAT策略及配置详解

人类现在对计算机网络的使用已经扩展到各个领域,而计算机网络的设计者当时无法想象互联网能有今天这样的规模.任何一个接入互联网的计算机.手机以及智能电视,要想在互联网中畅游,必须有一个合法的IP地址.而IP地址,曾经以为足以容纳全球的计算机,但是在今天看来,已经严重枯竭.IPV6的出现就是为了解决地址不足的问题,但在IPV6普及之前,需要有一个过渡技术--NAT.NAT的出现缓解了地址不足的问题,它可以让同一局域网内60000多用户可以同时使用一个合法IP地址访问互联网.关于Cisco设备的NAT技

模拟华为设备企业网络环境配置详解(可跟做)

博文目录一.拓扑图如下:1.需求分析 :2.开始配置:3.验证: 一.拓扑图如下: 1.需求分析 : 1)PC1和PC2可以ping通dmz区域的172.16.1.100服务器(web服务器)2)PC1和PC2可以ping通202.16.3.1,需要使用Easy-IP NAT3)202.96.2.1主机使用http协议访问dmz发布到untrust区域服务器的IP地址202.96.1.50 2.开始配置: 内网PC机配置IP地址及网关 SW1配置如下: [S1]vlan batch 10 30

Nginx+Tomcat的服务器端环境配置详解

这篇文章主要介绍了Nginx+Tomcat的服务器端环境配置详解,包括Nginx与Tomcat的监控开启方法,需要的朋友可以参考下 Nginx+tomcat是目前主流的Javaweb架构,如何让nginx+tomcat同时工作呢,也可以说如何使用nginx来反向代理tomcat后端均衡呢?直接安装配置如下: 1.Java JDK安装: #下载相应的jdk软件包,然后解压安装,我这里包名称为:jdk-7u25-Linux-x64.tar.gz ? 1 tar -xzf jdk-7u25-linux

华为防火墙的NAT介绍及配置详解

博文大纲:一.华为防火墙NAT的六个分类:二.解决NAT转换时的环路及无效ARP:三.server-map表的作用:四.NAT对报文的处理流程:五.各种常用NAT的配置方法: 一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转

Kinect学习笔记之三Kinect开发环境配置详解

0.前言: 首先说一下我的开发环境,Visual Studio是2013的,系统是win8的64位版本,SDK是Kinect for windows SDK 1.8版本.虽然前一篇博文费了半天劲,翻译了2.0SDK的新特性,但我还是决定要回退一个版本. 其实我之前一直在用2.0的SDK在调试Kinect,但无奈实验室提供的Kinect是for Windows 1.0版本的,而且Kinect从1.8之后就好像是一个分水岭,就比如win8和win7有很大的差别,2.0版的Kinect和SDK都是相较

JAVA环境配置详解

步骤: 一下载安装JDK(注意版本) 二配置环境变量 JAVA_HOME:JDK的安装路径 CLASSPATH:.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\tools.jar PATH:.;%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin JAVA环境配置总结: JDK:一般有bin,include,jre,lib 一.环境变量: 在系统环境变量中添加D:\JDK\bin和D:\JDK\jre\bin 新建系统变量CLASSPATH值为:.(在cmd

关于scala环境配置详解

首先从官网下载适合自身电脑配置的scala安装包.scala下载官网网址:http://www.scala-lang.org/download/ 同时scala还有自己集成好的IDE,例如eclipse, IDEA. http://scala-ide.org/download/sdk.html 按照系统默认,安装scala,安装路径可以自行设置.安装好scala后,系统会自动提示,单击finish,完成安装. 按照系统默认,安装scala,安装路径可以自行设置.安装好scala后,系统会自动提示

华为 三层交换机VLAN间路由配置详解

实验拓扑 实验需求 1.C1与C3属于VLAN10,C2与C4属于VLAN20,在SW1上创建VLAN100做上行VLAN 2.在SW1上终结所有VLAN 3.在所有VLAN成员使用DHCP获取IP 4.全网互通 IP规划 VLAN10 :192.168.10.0/24 VLAN20 :192.168.20.0/24 VLAN100:192.168.100.10/24 R1 G0/0/0:192.168.100.1/24 SW1配置: <SW1>system-view            

windows下mpi编程环境配置详解(非常详细)

如果成功了,请您顶一下!!!!!谢谢!!!! 下载地址 下载链接 http://www-unix.mcs.anl.gov/mpi/mpich/downloads/mpich2-1.0.5p2-win32-ia32.msi 这里是Windows MPI 最终下载页面的地址,但是不一定一直是 https://www.microsoft.com/en-us/download/details.aspx?id=49926 项目的属性 VC++目录 -包含目录 引用目录 C/C++–预处理器-预处理定义 添