• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

H3C SecPath F5010內網如何訪問靜態映射公網ip地址

2024-11-28提問
  • 0關注
  • 0收藏,820瀏覽
聰明的呆子
聰明的呆子 一段
粉絲:0人 關注:0人

問題描述:

H3C SecPath F5010兩條wan口,其中一條出口有靜態nat映射,內網主機訪問映射的公網地址不能通訊,也ping不通所映射的公網地址,需要內網地址能夠通過映射的公網地址訪問到內部服務器

最佳答案

努力成為一個很哇塞的女孩
努力成為一個很哇塞的女孩 六段
粉絲:27人 關注:0人

內網接口開啟一下nat harping

配置案例:

內網用戶通過NAT地址互訪配置舉例

1. 組網需求

某P2P應用環境中,內網中的客戶端首先需要向外網服務器進行注冊,外網服務器會記錄客戶端的IP地址和端口號。如果內網的一個客戶端要訪問內網的另一個客戶端,首先需要向服務器獲取對方的IP地址和端口號。

需要實現如下功能:

·     內網客戶端可以向外網中的服務器注冊,且注冊為一個相同的外網地址。

·     內網客戶端能夠通過從服務器獲得的IP地址和端口進行互訪。

2. 組網圖

圖2-7 內網用戶通過NAT地址互訪配置組網圖

3. 配置思路

該需求為典型的P2P模式的NAT hairpin應用,具體配置思路如下。

·     內網中的客戶端需要向外網中的服務器注冊,因此需要進行源地址轉換,可以配置出方向動態地址轉換實現。

·     服務器記錄客戶端的IP地址和端口號,且該地址和端口號是NAT轉換後的。由於服務器記錄的客戶端IP地址和端口號需要供任意源地址訪問,因此客戶端地址的轉換關係必須不關心對端地址,這可以通過配置EIM模式的動態地址轉換實現。

4. 配置步驟

(1)     配置接口IP地址

# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 24

[Device-GigabitEthernet1/0/1] quit

請參考以上步驟配置其他接口的IP地址,具體配置步驟略。

(2)     將接口加入安全域

# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置靜態路由

本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。

# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達Server所在網絡的下一跳IP地址為202.38.1.1,實際使用中請以具體組網情況為準,具體配置步驟如下。

[Device] ip route-static 200.2.2.0 24 202.38.1.1

(4)     配置安全策略

# 配置名稱為trust-untrust的安全策略,保證Trust安全域內的Host可以訪問Untrust安全域內的Server,具體配置步驟如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-1-trust-untrust] destination-ip-host 200.2.2.2

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

# 配置名稱為trust-trust的安全策略,保證Trust安全域內的Host可以互訪,具體配置步驟如下。

[Device-security-policy-ip] rule name trust-trust

[Device-security-policy-ip-2-trust-trust] source-zone trust

[Device-security-policy-ip-2-trust-trust] destination-zone trust

[Device-security-policy-ip-2-trust-trust] source-ip-host 202.38.1.3

[Device-security-policy-ip-2-trust-trust] destination-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-2-trust-trust] action pass

[Device-security-policy-ip-2-trust-trust] quit

[Device-security-policy-ip] quit

(5)     配置NAT功能

# 配置地址對象組obj1,僅允許對192.168.1.0/24網段的用戶報文進行地址轉換。

[Device] object-group ip address obj1

[Device-obj-grp-ip-obj1] network subnet 192.168.1.0 24

[Device-obj-grp-ip-obj1] quit

# 配置全局NAT規則,通過Easy IP方式對內網訪問外網的報文進行源地址轉換,因為多個內部主機共用一個外網地址,因此需要配置為PAT方式,即轉換過程中使用端口信息。

[Device] nat global-policy

[Device-nat-global-policy] rule name rule1

[Device-nat-global-policy-rule-rule1] source-zone trust

[Device-nat-global-policy-rule-rule1] destination-zone untrust

[Device-nat-global-policy-rule-rule1] source-ip obj1

[Device-nat-global-policy-rule-rule1] action snat easy-ip

[Device-nat-global-policy-rule-rule1] quit

[Device-nat-global-policy] quit

# 配置ACL 2000,允許對內部網絡中192.168.1.0/24網段的報文進行地址轉換。

[Device] acl basic 2000

[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-basic-2000] quit

# 配置PAT方式下的地址轉換模式為EIM,即隻要是來自相同源地址和源端口號的且匹配ACL 2000的報文,不論其目的地址是否相同,通過PAT轉換後,其源地址和源端口號都被轉換為同一個外部地址和端口號。

[Device] nat mapping-behavior endpoint-independent acl 2000

5. 驗證配置

# 以上配置完成後,Host A、Host B和Host C 分別向外網服務器注冊之後,它們之間可以相互訪問。通過查看如下顯示信息,可以驗證以上配置成功。

[Device] display nat all

NAT global-policy information:

  Totally 2 NAT global-policy rules.

  Rule name: rule1

    Type                  : nat

    SrcIP object group    : obj1

    Source-zone name      : trust

    Destination-zone name : untrust

  SNAT action:

      Easy-IP

      Reversible: N

      Port-preserved: N

    NAT counting : 0

    Config status: Active

 

NAT logging:

  Log enable          : Disabled

  Flow-begin          : Disabled

  Flow-end            : Disabled

  Flow-active         : Disabled

  Port-block-assign   : Disabled

  Port-block-withdraw : Disabled

  Alarm               : Disabled

  NO-PAT IP usage     : Disabled

 

NAT mapping behavior:

  Mapping mode : Endpoint-Independent

  ACL          : 2000

  Config status: Active

 

NAT ALG:

  DNS        : Enabled

  FTP        : Enabled

  H323       : Disabled

  ICMP-ERROR : Enabled

  ILS        : Disabled

  MGCP       : Disabled

  NBT        : Disabled

  PPTP       : Enabled

  RTSP       : Enabled

  RSH        : Disabled

  SCCP       : Disabled

  SIP        : Disabled

  SQLNET     : Disabled

  TFTP       : Disabled

  XDMCP      : Disabled

 

Static NAT load balancing:     Disabled

 

NAT link-switch recreate-session: Disabled

 

NAT configuration-for-new-connection: Disabled

 

NAT global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp : Disabled

 

NAT gratuitous-arp: Enabled

# 通過以下顯示命令,可以看到Client A訪問Client B時生成NAT會話信息。

[Device] display nat session verbose

Slot 1:

Initiator:

  Source      IP/port: 192.168.1.3/44929

  Destination IP/port: 202.38.1.3/1

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet1/0/1

  Source security zone: Trust

Responder:

  Source      IP/port: 192.168.1.2/69

  Destination IP/port: 202.38.1.3/1024

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet1/0/1

  Source security zone: Trust

State: UDP_READY

Application: TFTP

Rule ID: -/-/-

Rule name:

Start time: 2012-08-15 15:53:36  TTL: 46s

Initiator->Responder:            1 packets         56 bytes

Responder->Initiator:            1 packets         72 bytes

 

Total sessions found: 1


1 個回答
按時間 按讚數
已采納
無名之輩
無名之輩 九段
粉絲:109人 關注:0人

您好,防火牆的內網接口配置下nat hairpin

參考命令

int g1/0/1

nat hairpin enable

感謝!

聰明的呆子 發表時間:2024-11-28 更多>>

感謝!

聰明的呆子 發表時間:2024-11-28

編輯答案

你正在編輯答案

如果你要對問題或其他回答進行點評或詢問,請使用評論功能。

分享擴散:

提出建議

    +
網站相關
關於我們
服務條款
隱私政策
幫助中心
經驗與權限
積分規則
聯係我們
聯係我們
建議反饋
常用鏈接
標杆的神器下載
關注我們
H3C官網
BOB登陆 服務公眾號
安仔遠程運維服務
BOB登陆 商城
內容許可
除特別說明外,用戶內容均可采用知識共享署名-相同方式共享3.0中國大陸許可協議進行許可

Copyright©2025BOB登陆 集團保留一切權利 當前呈現版本 NO.1

本圖標版權歸BOB登陆 集團所有,僅限本社區使用,切勿用做商業目的,違者必究

浙ICP備09064986號-1   浙公網安備 33010802004416號

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作

舉報

×

侵犯我的權益 >
對根叔社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明