华为USG地址池方式的NAPT和NAT Server配置案例
2016-03-01 19:26
316 查看
网络拓扑如下:
需求描述:
1.公司使用华为USG防火墙连接互联网,Trust区域192.168.1.0/24网段用户可正常上网,该区域其他网段禁止上网。USG出口IP:1.1.1.1/24 可用地址范围:1.1.1.1--1.1.1.10,需要使用NAPT功能进行地址复用,地址池:1.1.1.5--1.1.1.10。
2.FTP和Web服务器供外部网络用户访问,FTP服务器在VLAN 10,Web服务器在VLAN 20。其中FTP Server的IP地址为10.1.1.10,端口号为缺省值21,Web Server的IP地址为10.1.2.10,端口为80。两者对外公布的地址分别为1.1.1.2和1.1.1.3,对外使用的端口号均为缺省值,即21和80。
配置步骤:
1.交换机配置
[SW]vlan batch 10 20
[SW]interface Ethernet0/0/1
[SW]port link-type access
[SW]port default vlan 10
[SW]interface Ethernet0/0/2
[SW]port link-type access
[SW]port default vlan 20
[SW]interface GigabitEthernet0/0/1
[SW]port link-type trunk
[SW]port trunk allow-pass vlan 10 20
2.USG设备配置个接口的IP地址,并将其加入相应区域。
【USG】interface GigabitEthernet0/0/0.1
【USG】vlan-type dot1q 10
【USG】ip address 10.1.1.1 255.255.255.0
【USG】interface GigabitEthernet0/0/0.2
【USG】vlan-type dot1q 20 【USG】ip address 10.1.2.1 255.255.255.0 【USG】interface GigabitEthernet0/0/1 【USG】ip address 192.168.1.1 255.255.255.0 【USG】interface GigabitEthernet0/0/2
【USG】ip address 1.1.1.1 255.255.255.0
【USG】firewall zone trust
【USG】add interface GigabitEthernet0/0/1【USG】firewall zone untrust
【USG】add interface GigabitEthernet0/0/2
【USG】firewall zone dmz
【USG】add interface GigabitEthernet0/0/0
【USG】add interface GigabitEthernet0/0/0.1
【USG】add interface GigabitEthernet0/0/0.2
3.配置地址池NAPT地址转换。
【USG】nat address-group 10 1.1.1.5 1.1.1.10
【USG】nat-policy interzone trust untrust outbound
【USG】policy 1
【USG】action source-nat
【USG】policy source 192.168.1.0 0.0.0.255
【USG】address-group 10
4.配置区域间访问控制策略。
【USG】policy interzone trust untrust outbound
【USG】policy 0
【USG】policy source 192.168.1.0 0.0.0.255
【USG】action permit
【USG】policy interzone dmz untrust inbound
【USG】policy 0
【USG】policy destination 10.1.1.10 0
【USG】policy service service-set ftp
【USG】action permit
【USG】policy 1
【USG】policy destination 10.1.2.10 0
【USG】policy service service-set http
【USG】action permit
5.配置NAT Server对外发布服务器
nat server 0 protocol tcp global 1.1.1.2 ftp inside 10.1.1.10 ftp
nat server 1 protocol tcp global 1.1.1.3 www inside 10.1.2.10 www
firewall interzone dmz untrust
detect ftp
6.测试
a.在内部PC上ping 1.1.1.100,然后在USG上查看NAT转换,显示NAT转换正常。
b.在外部用户上测试访问FTP和Web服务器,USG上结果显示正常。
需求描述:
1.公司使用华为USG防火墙连接互联网,Trust区域192.168.1.0/24网段用户可正常上网,该区域其他网段禁止上网。USG出口IP:1.1.1.1/24 可用地址范围:1.1.1.1--1.1.1.10,需要使用NAPT功能进行地址复用,地址池:1.1.1.5--1.1.1.10。
2.FTP和Web服务器供外部网络用户访问,FTP服务器在VLAN 10,Web服务器在VLAN 20。其中FTP Server的IP地址为10.1.1.10,端口号为缺省值21,Web Server的IP地址为10.1.2.10,端口为80。两者对外公布的地址分别为1.1.1.2和1.1.1.3,对外使用的端口号均为缺省值,即21和80。
配置步骤:
1.交换机配置
[SW]vlan batch 10 20
[SW]interface Ethernet0/0/1
[SW]port link-type access
[SW]port default vlan 10
[SW]interface Ethernet0/0/2
[SW]port link-type access
[SW]port default vlan 20
[SW]interface GigabitEthernet0/0/1
[SW]port link-type trunk
[SW]port trunk allow-pass vlan 10 20
2.USG设备配置个接口的IP地址,并将其加入相应区域。
【USG】interface GigabitEthernet0/0/0.1
【USG】vlan-type dot1q 10
【USG】ip address 10.1.1.1 255.255.255.0
【USG】interface GigabitEthernet0/0/0.2
【USG】vlan-type dot1q 20 【USG】ip address 10.1.2.1 255.255.255.0 【USG】interface GigabitEthernet0/0/1 【USG】ip address 192.168.1.1 255.255.255.0 【USG】interface GigabitEthernet0/0/2
【USG】ip address 1.1.1.1 255.255.255.0
【USG】firewall zone trust
【USG】add interface GigabitEthernet0/0/1【USG】firewall zone untrust
【USG】add interface GigabitEthernet0/0/2
【USG】firewall zone dmz
【USG】add interface GigabitEthernet0/0/0
【USG】add interface GigabitEthernet0/0/0.1
【USG】add interface GigabitEthernet0/0/0.2
3.配置地址池NAPT地址转换。
【USG】nat address-group 10 1.1.1.5 1.1.1.10
【USG】nat-policy interzone trust untrust outbound
【USG】policy 1
【USG】action source-nat
【USG】policy source 192.168.1.0 0.0.0.255
【USG】address-group 10
4.配置区域间访问控制策略。
【USG】policy interzone trust untrust outbound
【USG】policy 0
【USG】policy source 192.168.1.0 0.0.0.255
【USG】action permit
【USG】policy interzone dmz untrust inbound
【USG】policy 0
【USG】policy destination 10.1.1.10 0
【USG】policy service service-set ftp
【USG】action permit
【USG】policy 1
【USG】policy destination 10.1.2.10 0
【USG】policy service service-set http
【USG】action permit
5.配置NAT Server对外发布服务器
nat server 0 protocol tcp global 1.1.1.2 ftp inside 10.1.1.10 ftp
nat server 1 protocol tcp global 1.1.1.3 www inside 10.1.2.10 www
firewall interzone dmz untrust
detect ftp
6.测试
a.在内部PC上ping 1.1.1.100,然后在USG上查看NAT转换,显示NAT转换正常。
b.在外部用户上测试访问FTP和Web服务器,USG上结果显示正常。
相关文章推荐
- 华为路由器密码恢复
- 华为交换机的后缀详解
- 华为手机真机调试设置
- SE100101系统概述
- 华为防火墙配置演示 Quidway SecPath
- 华为防火墙地址转换
- 华为(VRRP-OSPF-STP-SNMP链路聚合)
- S9300做VRRP的配置
- 配置负载分担VRRP
- 华为9306(9300系列)在不删除配置的情况下恢复密码
- 思科和华为交换机常用命令对比学习
- 华为网络技术培训笔记之常用网络工具(一)
- 华为网络技术培训笔记之常用网络工具(二)
- 华为1821路由器qos car+nat+dhcp+vlan配置心得
- 华为交换机-端口由trunk改为access
- 《BT5入门到精通》全动画光盘教程第一时间免费赠送,附赠BT5中文指南V0.9教程.
- 华为工程师70小时戈壁求生的生命笔记
- 华为00e0-fc09-bcf9
- 该死的00e0-fc09-bcf9;该死的华为!
- 华为:Access、Hybrid和Trunk三种模式的理解