- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
36-策略NAT典型配置舉例
本章節下載: 36-策略NAT典型配置舉例 (431.96 KB)
策略NAT典型配置舉例
本章包含如下內容:
· 簡介
· 配置前提
· 使用限製
本文檔介紹策略NAT功能的典型配置舉例。
策略NAT用於定義一個或多個NAT轉換規則,這些規則指定了報文匹配條件和轉換行為。策略NAT支持的報文匹配條件包括源安全域和目的安全域、源地址和目的地址以及服務,滿足所有已配置的匹配條件的報文將按指定行為轉換其地址信息。
存在三種策略NAT,不同策略NAT有不同的應用場景,具體如下:
· NAT44策略:用於IPv4網絡互通的NAT地址轉換。
· NAT64策略:用於IPv4與IPv6網絡互通的NAT地址轉換。
· NAT66策略:用於IPv6網絡互通的NAT地址轉換。
策略NAT包含三種轉換模式,不同轉換模式有不同的轉換行為,具體如下:
· 源地址轉換:NAT設備隻轉換報文的源IP地址和源端口。
· 目的地址轉換:NAT設備隻轉換報文的目的IP地址和目的端口。
· 雙重轉換:NAT設備既轉換報文的源IP地址和源端口,又轉換報文的目的IP地址和目的端口。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置與以下舉例中的配置不衝突。
本文檔假設您已了解策略NAT特性。
本特性不支持與接口NAT特性混用。
如圖-1所示,Host所在網絡的出口處部署了一台Device。現需要使用策略NAT源地址靜態轉換功能,將內網用戶地址轉換為固定的出口公網地址來訪問外網。具體需求如下:
內部網絡用戶10.110.10.8/24使用外網地址202.38.1.100訪問Internet中的地址為201.10.10.1/24的 Server。
圖-1 內網用戶通過靜態NAT地址訪問外網配置組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置接口的IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/2右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:202.38.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/1,配置如下。
· 選安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.110.10.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:201.10.10.1
· 掩碼長度:24
· 下一跳IP地址:202.38.1.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:Secpolicy
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:10.110.10.8
· 目的IPv4地址:201.10.10.1
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置策略NAT規則
# 選擇“策略 > 策略NAT”,進入策略NAT配置頁麵。
# 單擊<新建>按鈕,新建策略NAT規則,配置如下圖所示。
圖-2 新建策略NAT規則
# 單擊<確定>按鈕,完成策略NAT規則配置。
Host主機可以Ping通外部網絡的服務器地址。
C:\Users\abc>ping 201.10.10.1
正在 Ping 201.10.10.1 具有 32 字節的數據:
來自 201.10.10.1 的回複: 字節=32 時間<1ms TTL=253
來自 201.10.10.1 的回複: 字節=32 時間<1ms TTL=253
來自 201.10.10.1 的回複: 字節=32 時間<1ms TTL=253
來自 201.10.10.1 的回複: 字節=32 時間<1ms TTL=253
201.10.10.1 的 Ping 統計信息:
數據包: 已發送 = 4,已接收 = 4,丟失 = 0 (0% 丟失),
往返行程的估計時間(以毫秒為單位):
最短 = 0ms,最長 = 0ms,平均 = 0ms
如圖-3所示,公司內網使用的IP地址為192.168.1.0/24,並擁有202.38.1.1、202.38.1.2和202.38.1.3三個公網IP地址。通過配置策略NAT源地址動態轉換功能,使內部網絡中的主機可以訪問Internet中的Server。
圖-3 內網用戶通過動態NAT地址訪問外網配置組網圖
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置接口的IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/2右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:202.38.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/1,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:192.168.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:200.1.1.10
· 掩碼長度:24
· 下一跳IP地址:202.38.1.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:Secpolicy
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IPv4地址:192.168.1.10、192.168.1.11、192.168.1.12
· 目的IPv4地址:200.1.1.10
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
4. 配置NAT地址組
# 選擇“對象 > 對象組 > NAT地址組”。
# 單擊<新建>按鈕,新建NAT地址組,參數配置如下圖所示。
圖-4 新建地址組
# 單擊<確定>按鈕,完成NAT地址組配置。
5. 配置策略NAT規則
# 選擇“策略 > 策略NAT,進入策略NAT配置頁麵。
# 單擊<新建>按鈕,新建策略NAT規則,參數配置如下圖所示。
圖-5 新建策略NAT規則
# 單擊<確定>按鈕,完成策略NAT規則配置。
Host主機可以Ping通外部網絡的服務器地址。
C:\Users\abc>ping 200.1.1.10
正在 Ping 200.1.1.10 具有 32 字節的數據:
來自 200.1.1.10 的回複: 字節=32 時間<1ms TTL=253
來自 200.1.1.10 的回複: 字節=32 時間<1ms TTL=253
來自 200.1.1.10 的回複: 字節=32 時間<1ms TTL=253
來自 200.1.1.10 的回複: 字節=32 時間<1ms TTL=253
200.1.1.10 的 Ping 統計信息:
數據包: 已發送 = 4,已接收 = 4,丟失 = 0 (0% 丟失),
往返行程的估計時間(以毫秒為單位):
最短 = 0ms,最長 = 0ms,平均 = 0ms
如圖-6所示,公司內部部署了四台服務器,分別對外提供Web、FTP和SMTP服務。公司內部網絡為10.110.10.0/24,並擁有202.38.1.1、202.38.1.2和202.38.1.3三個公網IP地址。選用202.38.1.1作為公司對外提供服務的IP地址,其中Web服務器1對外采用80端口,Web服務器2對外采用8080端口,FTP服務器對外采用21端口,SMTP服務器對外采用25端口。通過配置策略NAT目的地址轉換功能,外網主機可以利用公網地址訪問公司內部的服務器。
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置接口的IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/2右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:202.38.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/1,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.110.10.10/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:Secpolicy
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 目的IPv4地址:10.110.10.1、10.110.10.2、10.110.10.3、10.110.10.4
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
3. 配置策略NAT規則(以Web Server 1為例)
# 選擇“策略 > 策略NAT”,進入策略NAT配置界麵。
# 單擊<新建>按鈕,新建策略NAT規則,參數配置如下圖所示。
圖-7 新建策略NAT規則
# 單擊<確定>按鈕,完成策略NAT規則配置。
Host主機可以經由地址202.38.1.1訪問內部網絡的Web服務器。
如圖-8所示,公司有一台對外提供Web服務的Web Server,其地址為10.110.10.2/24,另有一台DNS服務器,IP地址為10.110.10.3/24,用於解析Web服務器的域名。公司擁有兩個公網IP地址:202.38.1.2和202.38.1.3。通過配置策略NAT雙重轉換功能,可以實現外網主機通過域名訪問內網的Web服務器。
本舉例是在F1000-AI-55的R8860版本上進行配置和驗證的。
1. 配置接口的IP地址和安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/2右側的<編輯>按鈕,配置如下。
· 安全域:Untrust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:20.2.2.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/1,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼:10.110.10.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 配置安全策略
# 選擇“策略 > 安全策略> 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:Secpolicy
· 源安全域:Untrust
· 目的安全域:Trust
· 類型:IPv4
· 動作:允許
· 目的IPv4地址:10.110.10.2、10.110.10.3、10.110.10.4
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
3. 配置NAT地址組
# 選擇“對象 > 對象組 > NAT地址組”。
# 單擊<新建>按鈕,新建NAT地址組,參數配置如下圖所示。
圖-9 新建地址組
# 單擊<確定>按鈕,完成NAT地址組配置。
4. 配置策略NAT規則
# 選擇“策略 > 策略NAT”,進入策略NAT配置界麵。
# 單擊<新建>按鈕,新建策略NAT規則1,允許外網主機使用地址202.38.1.2訪問內網DNS服務器,參數配置如下圖所示。
圖-10 新建策略NAT規則1
# 單擊<確定>按鈕,完成策略NAT規則1配置。
# 單擊<新建>按鈕,新建策略NAT規則2,允許使用地址組1中的地址對DNS應答報文載荷中的內網地址進行轉換,並在轉換過程中不使用端口信息,以及允許反向地址轉換,參數配置如下圖所示。
圖-11 新建策略NAT規則2
# 單擊<確定>按鈕,完成策略NAT規則2配置。
Host主機可以使用域名訪問內部網絡的Web服務器。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
