华为Web举例:私网用户通过三元组NAT访问Internet

Web举例:私网用户通过三元组NAT访问Internet

介绍私网用户通过三元组NAT访问Internet的配置举例。

组网需求

某公司在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。网络环境如图1所示,其中Router是ISP提供的接入网关。

同时,要求私网用户与Internet上的主机之间能进行P2P业务交流,如文件共享、语音通信、视频传输等,Internet上的主机也能主动访问私网用户。

图1 源NAT策略组网图

数据规划

项目

数据

说明

GigabitEthernet 1/0/1

IP地址:10.1.1.1/24

安全区域:Trust

私网主机需要将10.1.1.1配置为默认网关。

GigabitEthernet 1/0/2

IP地址:1.1.1.1/24

安全区域:Untrust

实际配置时需要按照ISP的要求进行配置。

允许访问Internet的私网网段

10.1.1.0/24

-

转换后的公网地址

1.1.1.10~1.1.1.15

Full-cone方式转换后的公网地址。

路由

FW缺省路由

目的地址:0.0.0.0

下一跳:1.1.1.254

为了使私网流量可以正常转发至ISP的路由器,可以在FW上配置去往Internet的缺省路由。

Router静态路由

目的地址:1.1.1.10~1.1.1.15

下一跳:1.1.1.1

由于转换后的公网地址不存在实际接口,通过路由协议无法直接发现,所以需要在Router上手工配置静态路由。通常需要联系ISP的网络管理员配置。

配置思路
  1. 配置接口IP地址和安全区域,完成网络基本参数配置。
  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。
  3. 配置NAT地址池。
  4. 配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
  5. 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
  6. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。
  7. 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。

操作步骤
  1. 配置FW的接口IP地址,并将接口加入安全区域。
    1. 配置接口GigabitEthernet 1/0/1的IP地址,并将接口加入安全区域。

      1. 选择“网络 > 接口”。

      2. 在“接口列表”中,单击接口GigabitEthernet 1/0/1所在行的

        ,按如下参数进行配置。

        安全区域

        trust

        IPv4

        IP地址

        10.1.1.1/24

      3. 单击“确定”。

    2. 配置接口GigabitEthernet 1/0/2的IP地址,并将接口加入安全区域。

      1. 在“接口列表”中,单击接口GigabitEthernet 1/0/2所在行的

        ,按如下参数进行配置。

        安全区域

        untrust

        IPv4

        IP地址

        1.1.1.1/24

      2. 单击“确定”。

  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。

    1. 选择“策略 > 安全策略 > 安全策略”。

    2. 在“安全策略列表”中,单击“新建”,选择“新建安全策略”,按如下参数配置安全策略。

      名称

      policy1

      源安全区域

      trust

      目的安全区域

      untrust

      源地址/地区

      10.1.1.0/24

      动作

      允许

    3. 单击“确定”。

  3. 配置NAT地址池和NAT策略。

    1. 选择“策略 > NAT策略 > NAT策略 > 源转换地址池”。

    2. 在“源转换地址池列表”中,单击“新建”,按如下参数配置NAT地址池。

    3. 单击“确定”。

    4. 选择“策略 > NAT策略 > NAT策略 > NAT策略”。

    5. 在“NAT策略列表”中,单击“新建”,按如下参数配置NAT策略。

    6. 单击“确定”。

  4. 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。

    1. 选择“网络 > 路由 > 静态路由”。

    2. 在“静态路由列表”中,单击“新建”,按如下参数配置缺省路由。

      协议类型

      IPv4

      目的地址/掩码

      0.0.0.0/0.0.0.0

      下一跳

      1.1.1.254

    3. 单击“确定”。

  5. 可选:开启端点无关过滤功能,缺省情况下,端点无关过滤功能为开启状态。如果没有开启该功能,还需要配置公网到私网的安全策略。

    [FW] firewall endpoint-independent filter enable

  6. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。具体配置过程略。
  7. 在Router上配置到NAT地址池地址(1.1.1.10~1.1.1.15)的静态路由,下一跳为1.1.1.1,使从Internet返回的流量可以被正常转发至FW。

    通常需要联系ISP的网络管理员来配置此静态路由。

配置脚本
FW的配置脚本:#sysname FW
#
interface GigabitEthernet1/0/1undo shutdownip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2undo shutdownip address 1.1.1.1 255.255.255.0 
#
firewall zone trustset priority 85add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/2
#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 
# 
nat address-group addressgroup1 0mode full-cone globalroute enablesection 0 1.1.1.10 1.1.1.15 
#  
security-policy   rule name policy1  source-zone trust destination-zone untrust source-address 10.1.1.0 24  action permit 
#  
nat-policy  rule name policy_nat1 source-zone trust destination-zone untrust  source-address 10.1.1.0 24   action source-nat address-group addressgroup1  
#                                          
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/269784.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Go 与 Rust:导航编程语言景观

在当今构建软件时,开发者在编程语言上有着丰富的选择。两种脱颖而出的语言是 Go 和 Rust - 都很强大但却截然不同。本文将从各种因素比较这两种语言,以帮助您确定哪种更适合您的需求。 我们将权衡它们在并发、安全性、速度、互操作性等方面的方法。我们将…

深度学习预测分析API:金融领域的Game Changer

🚀 引言 在这个AI遍地开花的时代,谁能成为金融领域的真正Game Changer?那必然是是深度学习预测分析API。如大脑般高效运转的系统不仅颠覆了传统操作,更是以无与伦比的速度和精度赋予了金融数据以全新的生命。 💼 广泛…

ARM系统控制和管理接口System Control and Management Interface

本文档描述了一个可扩展的独立于操作系统的软件接口,用于执行各种系统控制和管理任务,包括电源和性能管理。 本文档描述了系统控制和管理接口(SCMI),它是一组操作系统无关的软件接口,用于系统管理。SCMI 是…

Docker之自定义镜像上传阿里云

目录 一、制作jdk镜像 1. alpine Linux简介 2. 通过alpine进行制作镜像 1. 制作jdk2.0 2. 制作jdk3.0 二、镜像上传阿里云及下载 1. 前期准备 2. push (推) 镜像 一、制作jdk镜像 1. alpine Linux简介 Alpine Linux是一个轻量级的Linux发行版,专注于安全、…

硬盘删除的文件如何恢复?分享硬盘数据恢复方法

随着信息时代的飞速发展,硬盘作为我们储存数据的主要场所其重要性日益凸显。但硬盘数据的丢失或误删也成为了许多用户头疼的问题。当您发现重要的文件从硬盘中消失时不必过于焦虑。本文将为您介绍五种高效且原创的数据恢复策略,帮助您找回那些珍贵的文件…

PRewrite: Prompt Rewriting with Reinforcement Learning

PRewrite: Prompt Rewriting with Reinforcement Learning 基本信息 2024-01谷歌团队提交到arXiv 博客贡献人 徐宁 作者 Weize Kong,Spurthi Amba Hombaiah,Mingyang Zhang 摘要 工程化的启发式编写对于LLM(大型语言模型)应…

基于SSM的学科竞赛管理系统。Javaee项目。ssm项目。

演示视频: 基于SSM的学科竞赛管理系统。Javaee项目。ssm项目。 项目介绍: 采用M(model)V(view)C(controller)三层体系结构,通过Spring SpringMvcMybatisVueLayuiElemen…

持续更新 | 与您分享 Flutter 2024 年路线图

作者 / Michael Thomsen Flutter 是一个拥有繁荣社区的开源项目,我们致力于确保我们的计划公开透明,并将毫无隐瞒地分享从问题到设计规范的所有内容。我们了解到许多开发者对 Flutter 的功能路线图很感兴趣。我们往往会在一年中不断更改并调整这些计划&a…

蓝桥杯练习系统(算法训练)ALGO-986 藏匿的刺客

资源限制 内存限制:256.0MB C/C时间限制:1.0s Java时间限制:3.0s Python时间限制:5.0s 问题描述 强大的kAc建立了强大的帝国,但人民深受其学霸及23文化的压迫,于是勇敢的鹏决心反抗。   kAc帝国防…

alpine创建lnmp环境alpine安装nginx+php5.6+mysql

前言 制作lnmp环境,你可以在alpine基础镜像中安装相关的服务,也可以直接使用Dockerfile创建自己需要的环境镜像。 注意:提前确认自己的alpine版本,本次创建基于alpine3.6进行创建,官方在一些版本中删除了php5 1、拉取…

HTML实体字符列表,知识点详解

css盒模型 1,css盒模型基本概念? 2,标准模型和IE模型的区别:计算高度和宽度的不同,怎么不同,高度宽度是怎么计算的? 3,css如何设置这两种模型? 4,js如何设置…

EPSON RA8000CE (RTC模块)压电侠

RA8000CE是一个集成了32.768 kHz数字温度补偿晶体振荡器(DTCXO)的RTC模块。它包括各种功能,如具有闰年校正的秒到年时钟/日历,时间警报,唤醒计时器,时间更新中断,时钟输出和时间戳功能,可以在外部或内部事件…

selenium爬取房价收入比可视化

数据来源:聚合数据 from selenium import webdriver from bs4 import BeautifulSoup import csv from selenium import webdriver from fake_useragent import UserAgent import random import subprocess from selenium import webdriver from selenium.webdrive…

动态规划(算法竞赛、蓝桥杯)--状态压缩DP蒙德里安的梦想

1、B站视频链接&#xff1a;E31 状态压缩DP 蒙德里安的梦想_哔哩哔哩_bilibili #include <bits/stdc.h> using namespace std; const int N12,M1<<N; bool st[N];//st[i]存储合并列的状态i是否合法 long long f[N][M];//f[i][j]表示摆放第i列&#xff0c;状态为…

蓝桥杯前端Web赛道-新鲜的蔬菜

蓝桥杯前端Web赛道-新鲜的蔬菜 题目链接&#xff1a;1.新鲜的蔬菜 - 蓝桥云课 (lanqiao.cn) 题目要求如下&#xff1a; 其实很容易联想到使用flex布局&#xff0c;这是flex布局一种非常经典的骰子布局&#xff0c;推荐Flex 布局教程&#xff1a;实例篇 - 阮一峰的网络日志 (r…

毫秒生成的时间戳如何转化成东八区具体时间

假设现在有一个时间是1709101071419L 后端代码实现 Java代码&#xff08;东八区时间&#xff09; 在Java代码中&#xff0c;我们将时区从UTC调整为东八区&#xff08;UTC8&#xff09;&#xff1a; import java.time.Instant; import java.time.ZoneId; import java.time.Z…

最简单 导航栏 html css

dhl.html <!DOCTYPE html> <html><head><meta charset"utf-8"><title>导航栏</title><link type"text/css" rel"stylesheet" href"css/dhl.css"></head><div class"dhl&quo…

学习c语言:动态内存管理

一、为什么要有动态内存分配 我们已经掌握的内存开辟⽅式有&#xff1a; int val 20; //在栈空间上开辟四个字节 char arr[10] {0}; //在栈空间上开辟10个字节的连续空间 但是上述的开辟空间的⽅式有两个特点&#xff1a; • 空间开辟⼤⼩是固定的。 • 数组在申明的时候&…

CSS的行内样式与内联样式,面试必备

正文 1,原链接 1)创建对象有几种方法&#xff1f; 2)instanceof的原理&#xff1f; 2,类 1)类的声明&#xff1f; 2)生成实例&#xff1f;/ 声明一个类&#xff0c;怎么生成类的实例&#xff1f; 3&#xff0c;继承 1)call、apply的共同点与区别? 2)用javascript实现对象…

1.2_1 分层结构、协议、接口和服务

1.2_1 分层结构、协议、接口和服务 &#xff08;一&#xff09;为什么要分层&#xff1f; 主机A如果想要向主机B发送文件&#xff0c;则一定要经过中间的一些介质、链路。 发送文件前要完成的工作&#xff1a; 1.发起通信的计算机必须将数据通信的通路进行激活。 所谓的激活&a…