华为防火墙NAT原理及配置

面临IP地址匮乏,短期方案:NAT(全称),长期方案:IPV6(下一代因特网)。

NAT原理

私网IP发往公网IP需要使用NAT,需要USG配置NAT协议。
华为防火墙NAT原理及配置_第1张图片
在这里插入图片描述

防火墙应用

NAT/PAT地址转换

华为防火墙NAT原理及配置_第2张图片
NAT
nat地址转换是基于ip进行转换,在以上网络中,一个私网ip需要对应一个公网ip,四个公网指定只能四个私网上网。

#
定义地址池
[USG2100]nat address-group 1 202.38.160.1 202.38.160.4
[USG2100]nat-porlicy interzone untrust trust outbound #出方向
[USG2100-nat-policy-interzone-untrust-inbound]policy 1 #定义策略1
action source-nat  #替换源ip
address-group 1 no-pat #不做端口映射(不使用pat)
#

PAT
为了解决此问题,需要使用pat,pat的转换基于端口号,通过不同端口号区分不同用户,通过此类映射,可以解决三个用户同时上网需求,只需要一个公网IP,实际应用中都是使用PAT技术。

PAT(port address translation )

策略NAT

华为防火墙NAT原理及配置_第3张图片
华为防火墙NAT原理及配置_第4张图片

NAT Server映射内部服务器

华为防火墙NAT原理及配置_第5张图片
在NAT/PAT中
华为防火墙NAT原理及配置_第6张图片
映射表是由内网用户访问时才会触发,服务器不会主动访问外部,一般只可能监听, 那么USG不会建立映射表,无映射表,外部用户无法进来。
为了解决此问题,需要使用NAT SERVER
在这里插入图片描述
将公网IP端口号与内网IP端口号进行绑定,通过此绑定,外网访问时,等于访问公网IP。

目的地址NAT

华为防火墙NAT原理及配置_第7张图片
手机基站->WAP网关,在城市中可能按区布置WAP网关(海沧、湖里…)WAP网关IP地址是不同的,在GGSN与GSR都需要配置WAP网关的地址。为了简化配置维护,防火墙左边的设备全部使用网关2.2.2.2的IP。在这种场景需要使用目的地址NAT,在USG上配置。

ensp实验
华为防火墙NAT原理及配置_第8张图片

#基本配置
system-view
inter g0/0/0
ip add 10.0.0.1 24
quit
inter g0/0/1
ip add 20.0.0.1 24
#配置安全区域
firewall zone trust 
add inter g0/0/0 
quit
firewall zone untrust
add inter g0/0/1
#配置策略
firewall packet-filter default permit interzone trust untrust #放行两个区域的流量(配置完会出现如下图,两个区域的流量都放行)
ping pc2抓G0/0/1的ping包,查看源ip与目标ip

华为防火墙NAT原理及配置_第9张图片

nat配置
nat address-group 1 20.0.0.1 20.0.0.1  #起始地址~截至地址,只有一个,所以相同。
nat-policy interzone untrust  trust outbound
policy 1
action source-nat 
address-group1 pat   #1个ip地址,no-pat或pat都可以
再抓ping包对比是否成功 

你可能感兴趣的:(路由交换,华为,网络)