华为防火墙NAT模拟环境配置详解（可跟做）

今天主要是做一个基于NAT技术的模拟环境，有关NAT工作原理及概念的大家可以参考博文请https://blog.51cto.com/14156658/2434477

环境如下：

需求如下：

• 内网客户端可以访问互联网服务器（ping通即可）
• 互联网客户端可以访问内网服务器（通过FTP访问）
• 内网服务器可以访问互联网服务器（ping通即可）

开始配置：

服务器及客户端配置如下：

防火墙配置如下：

[FW1]int g1/0/0    
[FW1-GigabitEthernet1/0/0]ip add 202.96.10.10 24        
[FW1-GigabitEthernet1/0/0]int g1/0/1          
[FW1-GigabitEthernet1/0/1]ip add 192.168.1.1 24         
[FW1-GigabitEthernet1/0/1]int g1/0/2           
[FW1-GigabitEthernet1/0/2]ip add 192.168.2.1 24        
[FW1-GigabitEthernet1/0/2]quit         

R1配置如下：（注释请参照以上注释）

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.96.10.20 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 202.96.20.10 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 202.96.30.10 24
[R1-GigabitEthernet0/0/2]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 202.96.10.10            

配置安全策略：

[FW1]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 202.96.10.20 
[FW1]firewall zone trust              
[FW1-zone-trust]add int g1/0/1            
[FW1-zone-trust]add int g 1/0/2            
[FW1-zone-trust]quit                 
[FW1]firewall zone untrust        
[FW1-zone-untrust]add int g1/0/0           
[FW1-zone-untrust]quit             
[FW1]security-policy                 
[FW1-policy-security]rule name 1             
[FW1-policy-security-rule-1]source-zone trust            
[FW1-policy-security-rule-1]destination-zone untrust        
[FW1-policy-security-rule-1]source-address 192.168.1.0 24       
[FW1-policy-security-rule-1]action permit             
[FW1-policy-security-rule-1]quit
[FW1-policy-security]quit
[FW1]nat address-group NAPT           
[FW1-address-group-NAPT]section 0 202.96.10.30 202.96.10.30     
[FW1-address-group-NAPT]mode pat           
[FW1-address-group-NAPT]quit 
[FW1]nat-policy           
[FW1-policy-nat]rule name pat             
[FW1-policy-nat-rule-pat]source-zone trust           
[FW1-policy-nat-rule-pat]destination-zone untrust   
[FW1-policy-nat-rule-pat]source-address 192.168.1.0 24     
[FW1-policy-nat-rule-pat]action nat address-group NAPT   
[FW1-policy-nat-rule-pat]quit
[FW1-policy-nat]quit

[FW1]security-policy             
[FW1-policy-security]rule name NATserver       
[FW1-policy-security-rule-NATserver]source-zone untrust           
[FW1-policy-security-rule-NATserver]destination-zone trust      
[FW1-policy-security-rule-NATserver]destination-address 192.168.2.0 24     
[FW1-policy-security-rule-NATserver]action permit        
[FW1-policy-security-rule-NATserver]quit
[FW1-policy-security]quit
[FW1]firewall interzone trust untrust            
[FW1-interzone-trust-untrust]detect ftp      
[FW1-interzone-trust-untrust]quit
[FW1]nat server ftp protocol tcp global 202.96.10.40 21 inside 192.168.2.2 21    
[FW1]security-policy          
[FW1-policy-security]rule name NAPT1    
[FW1-policy-security-rule-NAPT1]source-zone trust     
[FW1-policy-security-rule-NAPT1]destination-zone untrust     
[FW1-policy-security-rule-NAPT1]source-address 192.168.2.0 24   
[FW1-policy-security-rule-NAPT1]action permit    
[FW1-policy-security-rule-NAPT1]quit
[FW1-policy-security]quit
[FW1]nat address-group NAPT1      
[FW1-address-group-napt1]section 0 202.96.10.50 202.96.10.50   
[FW1-address-group-napt1]mode pat   
[FW1-address-group-napt1]quit    
[FW1]nat-policy     
[FW1-policy-nat]rule name pat1   
[FW1-policy-nat-rule-pat1]source-zone trust     
[FW1-policy-nat-rule-pat1]destination-zone untrust     
[FW1-policy-nat-rule-pat1]source-address 192.168.2.0 24   
[FW1-policy-nat-rule-pat1]action nat address-group NAPT1    
[FW1-policy-nat-rule-pat1]quit
[FW1-policy-nat]quit
[FW1]ip route-static 202.96.10.30 32 null 0     
[FW1]ip route-static 202.96.10.40 32 null 0      
[FW1]ip route-static 202.96.10.50 32 null 0    

经上述配置完成后可以按照需求开始一一验证了。

• 内网客户端可以访问互联网服务器（ping通即可）

• 互联网客户端可以访问内网服务器（通过FTP访问）

1） 内网服务器开启FTP

2）验证

• 内网服务器可以访问互联网服务器（ping通即可）

本博文到此结束，感谢阅读！