华为防火墙NAT转换

化为防火墙NAT转换

拓扑如 下

华为防火墙NAT转换_第1张图片
实现使用Easy-IP访问外网
Nat-server外网访问内部服务器ftp服务

1. 配置图中各借口和主机ip掩码都为24
2. 分区域

左边trust 右边untrust
3. 配置安全策略
4. 配置nat策略

nat-policy 编辑策略
rule name 111 名字
source-address 192.168.1.0 24
source-zone trust 配置源区域
destination-zone untrust 配置目的区域

华为防火墙NAT转换_第2张图片
action nat easy-ip

华为防火墙NAT转换_第3张图片
*这里使用的转换方式不用做黑洞路由
如果转换后的公网地址和外网接口不在一个网段要做。
注意这个转换方式路由器不要做路由
那样就会造成使用内网地址出去

路由器做默认路由找外网路由器接口
ip route-static 0.0.0.0 0.0.0.0 202.96.1.2
5. 使用内网主机ping 外网主机
发现不通,查看display cu
发现安全策略没有 action permit*
华为防火墙NAT转换_第4张图片
改回来即可
已经可以通信

华为防火墙NAT转换_第5张图片
防火墙查看会画表(缓存特别快,要再次通信,然后赶紧查看)
display firewall session table

华为防火墙NAT转换_第6张图片

(借)接打错了

6.配置NAT server
7.首先也是安全策略,名字一定不能和上面一样

华为防火墙NAT转换_第7张图片
少打了一条命令
service ftp 这部很重要
8.配置ftp应用层检 测(默认已经开启)

华为防火墙NAT转换_第8张图片
9.配置nat server
华为防火墙NAT转换_第9张图片
nat server nat protocol tcp global 202.96.1.100 21 inside 192.168.1.1
1 21
查看server-map表命令是
display firewall server-map

10.配置ftp
华为防火墙NAT转换_第10张图片
根目录随意写就行
11.验证ftp
外网客户端访问
华为防火墙NAT转换_第11张图片

内网再试一下能不能访问外网 我这里可以 实验完毕! 另外黑洞路由命令如下
Iip route-static nat 地址组地址 32 NULL 0
如果地址组中地址是多个 每个的要打一次

你可能感兴趣的:(三期,网络华为与H3C)