源地址转换方式
1.**NAT NO-PAT(动态转换):**多对多转换,不转换端口,只转换源IP地址2.
NAPT(network and port translation ,网络地址和端口转换)类似pat:napt既转换报文源地址,又转换源端口。转换后的ip地址不能是外网接口ip地址(多对多或多对一)
3.**EASY-IP(出接口地址):**既转换源IP地址,又转换源端口,转换为外部接口地址,(多对多或多对一)
4.**三元组nat:**与源ip地址,源端口和协议类型有关的一种转换,将源ip地址,源端口转换为固定公网IP地址和端口,主要用于外部用户访问局域网用户的P2P应用
黑洞路由在配置nat时,常出现环路和无效ARP问题当互联网主动发起的数据包无法匹配防火墙中状态化信息时,ARP报文将在fw与R1之间传输引起环路,影响链路使用率,因此需要配置黑洞路由
NAT no-pat 当公网用户访问转换后地址时产生环路或产生ARP 报文 需要配置黑洞路由
napt 当公网用户访问转换后地址时产生环路或产生ARP 报文 需要配置黑洞路由
easy-ip 转换后的地址是外网接口地址,公网用户访问该地址被防火墙接收(策略允许)或丢弃(策略不允许),不产生环路
nat-server(粗泛) 当公网用户访问映射后地址时直接转发给内部服务器 不需要配置黑洞路由
nat-server(精细) 当公网用户访问映射后地址时产生环路后或产生ARP报文 需要配置黑洞路由
server-map表
解决FTP数据传输问题(服务器在与客户端进行三次握手时无法匹配之前的会话表,所以直接中断)
华为防火墙基于状态化转发数据包,针对首个数据包严格执行策略筛查,一旦被策略允许,将生成会话表,后续数据包以及返回的包能够匹配到会话表,将直接通过,不需要额外策略筛查
FTP主动模式工作流程(端口20:数据连接、21:数据控制)
1.客户端与服务器之间进行三次握手建立连接(客户端随机端口)
2.完成三次握手后主动模式下,客户端发送port指令,申明开放的数据端口为16354,并告知服务器确认以及响应
3.服务器主动以源端口20,发送到客户端16354端口的数据连接进行三次握手
4.客户端发出FTP命令,上传、下载、列出目录等(控制连接),服务器根据指令返回具体数据内容(数据连接)
server-map表与会话表区别
1.会话表记录连接信息与连接状态
2.sever-map表记录的是通过分析当前连接的报文后得到的信息,该信息可以解决接下来的数据流通过防火墙的问题
NAT 处理报文流程
1.首先检查报文是否匹配server-map中的条目
2.是否配置nat条目
3.检查是否存在路由条目
4.依次匹配安全策略中的规则
NAT No-PAT地址转换(不建议使用g0/0/0接口,该接口默认为管理接口又大量默认配置)一对一转换
sysint 接口
ip add IP地址
掩码undo shint
接口ip add IP地址 掩码
undo sh
quit
ip route-static 0.0.0.0 0.0.0.0 下一跳地址
配置安全策略
firewall zone trust
add int 接口
quit
firewall zone untrust
add int 接口
quit
security-policy
rule name 安全策略名称
source-zone trust
destination-zone untrust
source-address 内部IP地址段 掩码 //允许IP地址段
action permit //指定动作
quit
nat address-group nat转换名称
section 0 公网地址范围 //指定地址组的起始IP地址,结束IP地址(公网IP地址范围)
mode no-pat local
quit
配置nat策略
nat-policy
rule name nat策略名称
source-address 内部ip地址段 掩码
source-zone trust
destination-zone untrust
action nat address-group nat转换名称
quit
quit
配置路由黑洞
ip route-static 地址组中的所有ip null 0
return
NAPT地址转换(多地址端口复用)
int 接口
ip add IP地址 掩码
undo sh
int 接口
ip add IP地址 掩码
undo sh
quit
ip route-static 0.0.0.0 0.0.0.0 下一跳地址
配置安全策略
firewall zone trust
add int 接口
quit
firewall zone untrust
add int 接口
quit
security-policy
rule name 安全策略名称
source-zone turst
destination-zone unturst
source-address 内网IP地址段 掩码 //满足条件的数据包将依据地址组做
nat no-pat 方式的源地址转换
action permit
quit
quit
nat address-group nat转换名称
section 0 公网IP地址范围
mode pat
quit
配置NAT-policy
rule name nat策略名称
source-address 内部IP地址段 掩码
source-zone trust
destination-zone untrust
action nat address-group nat策略名称 //指定动作,满足条件的数据包将依据地址组做出接口方式转换
quit
配置黑洞路由
ip route-static nat地址组中的 所有ip 掩码 null 0
return
出接口地址(Easy-ip)转换(端口复用)
int 接口
ip add IP地址 掩码
undo sh
int 接口
ip add IP地址 掩码
undo sh
quit
ip route-static 0.0.0.0 0.0.0.0 下一跳地址
配置安全策略
firewall zone trust
add int 接口
quit
firewall zone untrust
add int 接口
quit
security-policy
rule name 安全策略名称
source-zone turst
destination-zone untrust
source-address 内网IP地址段 掩码 //满足条件的数据包将依据地址组做nat no-pat 方式的源地址转换action permit
quit
quit
配置nat策略
nat-policy
rule name nat策略名称
source-address 内网IP地址段 掩码
source-zone trust
destination-zone untrust //满足条件的数据包将依据地址做出接口转换
action nat easy-ip //配置出接口方式
quit
NAT server(用于内部服务器对外提供服务)配置ftp服务器对外提供服务
配置ftp服务器对外提供服务
sys
int 接口
ip add IP地址 掩码
undo sh
int 接口
ip add IP地址 掩码
undo sh
quit
ip route-static 0.0.0.0 0.0.0.0 外网接口下一跳地址
配置安全策略
firewall zone trust
add int 接口
quit
firewall zone untrust
add int 接口
quit
配置安全策略
security-policy
rule name 安全策略名称
source-zone trust
destination-zone untrust
destination-address 内网IP地址段 掩码
service ftp //配置协议为ftp协议
action permit
quit
quit
配置ftp应用层检测
firewall interzone trust untrust
detect ftp
quit
配置nat server
nat server natserver_ftp protocol tcp global 映射后IP地址 端口 inside 服务器IP地址 端口//不加协议或端口将会把任意协议及端口都转发到内部服务器上
配置nat server 时配置不同端口映射
nat server 策略名称 tcp global 映射后IP地址 端口(2121 ) inside 服务器ip 端口(21) /(no-reverse参数):只能互联网访问内部服务器,而内部服务器不能主动访问外网,映射后的地址与外接口地址不在同一网段时,需要在外部路由配置指向映射后IP地址的网段的静态路由