华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)

华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)

组网需求

某工作室在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet，需要在FW上配置源NAT策略。由于需要上网的用户少且访问明确的目的Server，FW采用NAT No-PAT的地址转换方式，将匹配上NAT策略的私网地址进行一对一转换。工作室向ISP申请了6个IP地址（1.1.1.10～1.1.1.15）作为私网地址转换后的公网地址。

数据规划

配置思路

配置接口IP地址和安全区域，完成网络基本参数配置。配置安全策略，允许私网指定网段与Internet进行报文交互。配置NAT地址池，不开启端口转换。配置源NAT策略1，配置目的规则（目的IP或者安全区域）实现私网指定网段访问目的Server时自动进行源地址转换。配置源NAT策略2，配置目的规则（目的IP或者安全区域）实现私网指定网段访问非目的Server时不进行源地址转换。如果不精确配置不转换的流量，同一个用户（IP）命中NAT策略1后，进行NAT转换。继续访问非目的Server，也会进行NAT转换。在FW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。在私网主机上配置缺省网关，使私网主机访问Internet时，将流量发往FW。在Router上配置静态路由，使从Internet返回的流量可以被正常转发至FW。

eNSF拓扑

操作步骤

FW基本配置

[FW]interface GigabitEthernet1/0/1Info: Interface GigabitEthernet1/0/1 is not shutdown.[FW-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0 [FW-GigabitEthernet1/0/1]interface GigabitEthernet1/0/2[FW-GigabitEthernet1/0/2] ip address 1.1.1.1 255.255.255.0 [FW-GigabitEthernet1/0/2]firewall zone trust[FW-zone-trust] set priority 85[FW-zone-trust] add interface GigabitEthernet1/0/1[FW-zone-trust]firewall zone untrust[FW-zone-untrust] set priority 5[FW-zone-untrust] add interface GigabitEthernet1/0/2

配置安全策略，允许私网指定网段与Internet进行报文交互。

[FW]security-policy [FW-policy-security]rule name policy01[FW-policy-security-rule-policy01]source-zone trust [FW-policy-security-rule-policy01]destination-zone untrust [FW-policy-security-rule-policy01]source-address 10.1.1.0 24[FW-policy-security-rule-policy01]access-authentication[FW-policy-security-rule-policy01]action permit [FW-policy-security-rule-policy01]q[FW-policy-security]q

配置NAT地址池，不开启端口转换。

[FW]nat address-group addressgroup1[FW-address-group-addressgroup1]mode no-pat global //模式no-pat[FW-address-group-addressgroup1]section 0 1.1.1.10 1.1.1.15[FW-address-group-addressgroup1]route enable [FW-address-group-addressgroup1]quit

NAT NO-PAT有两种：

本地（Local）NO-PAT本地NO-PAT生成的Server-Map表中包含安全区域参数，只有此安全区域的Server可以访问内网Host。全局（Global）NO-PAT全局NO-PAT生成的Server-Map表中不包含安全区域参数，一旦建立，所有安全区域的Server都可以访问内网Host。

配置源NAT策略1，实现私网指定网段访问目的Server时自动进行源地址转换。​

[FW] nat-policy[FW-policy-nat] rule name policy_nat1[FW-policy-nat-rule-policy_nat1] source-zone trust[FW-policy-nat-rule-policy_nat1] destination-zone untrust[FW-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24[FW-policy-nat-rule-policy_nat1] destination-address 1.1.2.2 24[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1 [FW-policy-nat-rule-policy_nat1] quit[FW-policy-nat] quit

在FW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。

[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

测试结果

PC1 ping PC3

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。