华为Web举例:私网用户通过三元组NAT访问Internet

Web举例:私网用户通过三元组NAT访问Internet

介绍私网用户通过三元组NAT访问Internet的配置举例。

组网需求

某公司在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。网络环境如图1所示,其中Router是ISP提供的接入网关。

同时,要求私网用户与Internet上的主机之间能进行P2P业务交流,如文件共享、语音通信、视频传输等,Internet上的主机也能主动访问私网用户。

图1 源NAT策略组网图

数据规划

项目

数据

说明

GigabitEthernet 1/0/1

IP地址:10.1.1.1/24

安全区域:Trust

私网主机需要将10.1.1.1配置为默认网关。

GigabitEthernet 1/0/2

IP地址:1.1.1.1/24

安全区域:Untrust

实际配置时需要按照ISP的要求进行配置。

允许访问Internet的私网网段

10.1.1.0/24

-

转换后的公网地址

1.1.1.10~1.1.1.15

Full-cone方式转换后的公网地址。

路由

FW缺省路由

目的地址:0.0.0.0

下一跳:1.1.1.254

为了使私网流量可以正常转发至ISP的路由器,可以在FW上配置去往Internet的缺省路由。

Router静态路由

目的地址:1.1.1.10~1.1.1.15

下一跳:1.1.1.1

由于转换后的公网地址不存在实际接口,通过路由协议无法直接发现,所以需要在Router上手工配置静态路由。通常需要联系ISP的网络管理员配置。

配置思路
  1. 配置接口IP地址和安全区域,完成网络基本参数配置。
  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。
  3. 配置NAT地址池。
  4. 配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
  5. 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
  6. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。
  7. 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。

操作步骤
  1. 配置FW的接口IP地址,并将接口加入安全区域。
    1. 配置接口GigabitEthernet 1/0/1的IP地址,并将接口加入安全区域。

      1. 选择“网络 > 接口”。

      2. 在“接口列表”中,单击接口GigabitEthernet 1/0/1所在行的

        ,按如下参数进行配置。

        安全区域

        trust

        IPv4

        IP地址

        10.1.1.1/24

      3. 单击“确定”。

    2. 配置接口GigabitEthernet 1/0/2的IP地址,并将接口加入安全区域。

      1. 在“接口列表”中,单击接口GigabitEthernet 1/0/2所在行的

        ,按如下参数进行配置。

        安全区域

        untrust

        IPv4

        IP地址

        1.1.1.1/24

      2. 单击“确定”。

  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。

    1. 选择“策略 > 安全策略 > 安全策略”。

    2. 在“安全策略列表”中,单击“新建”,选择“新建安全策略”,按如下参数配置安全策略。

      名称

      policy1

      源安全区域

      trust

      目的安全区域

      untrust

      源地址/地区

      10.1.1.0/24

      动作

      允许

    3. 单击“确定”。

  3. 配置NAT地址池和NAT策略。

    1. 选择“策略 > NAT策略 > NAT策略 > 源转换地址池”。

    2. 在“源转换地址池列表”中,单击“新建”,按如下参数配置NAT地址池。

    3. 单击“确定”。

    4. 选择“策略 > NAT策略 > NAT策略 > NAT策略”。

    5. 在“NAT策略列表”中,单击“新建”,按如下参数配置NAT策略。

    6. 单击“确定”。

  4. 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。

    1. 选择“网络 > 路由 > 静态路由”。

    2. 在“静态路由列表”中,单击“新建”,按如下参数配置缺省路由。

      协议类型

      IPv4

      目的地址/掩码

      0.0.0.0/0.0.0.0

      下一跳

      1.1.1.254

    3. 单击“确定”。

  5. 可选:开启端点无关过滤功能,缺省情况下,端点无关过滤功能为开启状态。如果没有开启该功能,还需要配置公网到私网的安全策略。

    [FW] firewall endpoint-independent filter enable

  6. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。具体配置过程略。
  7. 在Router上配置到NAT地址池地址(1.1.1.10~1.1.1.15)的静态路由,下一跳为1.1.1.1,使从Internet返回的流量可以被正常转发至FW。

    通常需要联系ISP的网络管理员来配置此静态路由。

配置脚本
FW的配置脚本:#sysname FW
#
interface GigabitEthernet1/0/1undo shutdownip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2undo shutdownip address 1.1.1.1 255.255.255.0 
#
firewall zone trustset priority 85add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/2
#ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 
# 
nat address-group addressgroup1 0mode full-cone globalroute enablesection 0 1.1.1.10 1.1.1.15 
#  
security-policy   rule name policy1  source-zone trust destination-zone untrust source-address 10.1.1.0 24  action permit 
#  
nat-policy  rule name policy_nat1 source-zone trust destination-zone untrust  source-address 10.1.1.0 24   action source-nat address-group addressgroup1  
#                                          
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/722789.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

修改表中某个字段等于另一个字段减去 2 小时的 SQL

需求:将表中到达时间按照客户要求改为比赛时间的提前 N 小时,具体如下: 表结构 update contestSchedule SET mainRefereeArrivalTimeDATE_FORMAT(CONCAT(2024-03-04 ,gameTime)- INTERVAL 2 HOUR, %H:%i), assistantRefereeArrivalTimeDAT…

【Unity】UnityWebRequest time out 0 bytes received问题

关键词:UnityWebRequest、Http协议、Get请求、0 bytes received using Newtonsoft.Json; using System; using System.Collections; using System.Collections.Generic; using UnityEngine; using UnityEngine.Networking;public class MyWebRequest : MonoBehavi…

2024关于idea激活码报This license xxxx has been suspended

HOSTS文件中增加 0.0.0.0 www.jetbrains.com 0.0.0.0 account.jetbrains.com 然后

代码随想录 二叉树第五周

目录 235.二叉搜索树的最近公共祖先 701.二叉搜索树的插入操作 450.删除二叉搜索树中的节点 669.修建二叉搜索树 108.将有序数组转换为二叉搜索树 538.把二叉搜索树转换为累加树 235.二叉搜索树的最近公共祖先 235. 二叉搜索树的最近公共祖先 中等 给定一个二叉搜索树,…

浅谈MySQL 索引

MySQL 索引类型 1:主键索引 索引列中的值必须是唯一的,不允许有空值。 2:普通索引 MySQL中基本索引类型,没有什么限制,允许在定义索引的列中插入重复值和空值。 3:唯一索引 索引列中的值必须是唯一的&…

App前端开发跨平台框架比较:React Native、Flutter、Xamarin等

引言 移动应用开发领域的跨平台框架正在不断演进,为开发者提供更多选择。在本文中,我们将比较几个流行的跨平台框架:React Native、Flutter和Xamarin等。讨论它们的优缺点、适用场景以及开发体验。 第一部分 React Native: 优缺点、适用场景…

Spring MVC BeanNameUrlHandlerMapping原理解析

在Spring MVC框架中,路由机制是实现请求到处理器映射的核心。其中,BeanNameUrlHandlerMapping是Spring MVC提供的一种基于bean名称的URL映射策略。本文将详细解析BeanNameUrlHandlerMapping的工作原理、特点、使用场景以及配置和使用方法。 一、BeanNam…

uniapp实现单选框卡片选择器,支持微信小程序、H5等多端

采用uniapp-vue3实现的一款单选框卡片选择器&#xff0c;纯CSS实现样式和交互&#xff0c;提供丝滑的动画选中效果&#xff0c;支持不同主题配置&#xff0c;适配多端 可到插件市场下载尝试&#xff1a; https://ext.dcloud.net.cn/plugin?id16901 使用示例 示例代码 <te…

Linux操作系统项目上传Github代码仓库指南

文章目录 1 创建SSH key2.本地git的用户名和邮箱设置3.测试连接4.创建仓库5.终端项目上传 1 创建SSH key 1.登录github官网,点击个人头像,点击Settings,然后点击SSH and GPG keys,再点击New SSH key。 Title 可以随便取&#xff0c;但是 key 需要通过终端生成。 Linux终端执行…

运用Tensorflow进行目标检测

对象检测是一种计算机视觉技术&#xff0c;它使软件系统能够从给定的图像或视频中检测、定位并跟踪物体。对象检测的一个特殊属性是它能识别对象的类别&#xff08;如人、桌子、椅子等&#xff09;并在给定图像中指出其具体位置坐标。这个位置通常通过在物体周围绘制一个边界框…

探究java反射取值与方法取值性能对比

探究java反射取值与方法取值性能对比 由于我开发框架时&#xff0c;经常需要对象取值。常用的取值方式有&#xff1a; 反射取值方法调用取值 环境 同一台电脑&#xff1a; jdk 21.0.2 idea 2023.3.3 1. 测试代码&#xff08;常用&#xff09; 1.1 反射取值 public stat…

u-boot增加自定义命令

0、说明 本文基于U-Boot 2022.01-v2.07版本进行分析。 1、u-boot编译流程简要分析 2、u-boot启动流程简要分析 3、u-boot增加自定义命令 3.1、u-boot命令行实现简要分析 1&#xff09;cli_init命令行初始化 cli_init定义在common\cli.c中&#xff1a;void cli_init(void) {…

C++基础入门 --- 练习案例【1-10】

文章目录 C基础入门 --- 练习案例1.三只小猪称体重2.猜数字3.水仙花数4.敲桌子5.乘法口诀表6.五只小猪称体重7.数组元素逆置8.考试成绩统计9.冒泡排序10.结构体数组排序 C基础入门 — 练习案例 1.三只小猪称体重 说明&#xff1a;有三只小猪分别为A、B、C,分别输入三只小猪的…

【Web】浅浅地聊JDBC java.sql.Driver的SPI后门

目录 SPI定义 SPI核心方法和类 最简单的SPIdemo演示 回顾JCBC基本流程 为什么JDBC要有SPI JDBC java.sql.Driver后门利用与验证 SPI定义 SPI&#xff1a; Service Provider Interface 官方定义&#xff1a; 直译过来是服务提供者接口&#xff0c;学名为服务发现机制 它通…

acme.sh申请ssl免费证书

参考 https://blog.csdn.net/fyhju1/article/details/120452141 获取域名服务商AccessKey ID及AccessKey Secret https://help.aliyun.com/zh/ram/user-guide/create-an-accesskey-pair 安装ACME curl https://get.acme.sh | sh source ~/.bashrc如果使用root用户进行安装&…

如何在windows上像linux的ssh一样远程访问其它windows

主要分成两部分&#xff1a; 1. 如何远程执行指令 使用psexec&#xff0c;示例如下&#xff1a; PsExec64.exe \\远程计算机ip -u 用户名 -p 密码 -i cmd.exe 这样你就能连接到远程计算机上执行命令了&#xff0c;效果如下 2. 如何远程拷贝文件 分成两步&#xff1a; net…

【语法基础练习】1.变量、输入输出、表达式与顺序语句

&#x1f338;博主主页&#xff1a;釉色清风&#x1f338;文章专栏&#xff1a;算法练习&#x1f338;今日语录&#xff1a;You don’t know until you try. 文章简介&#xff1a;下面的题目是AcWing网站语法基础练习篇的第一小节&#xff0c;内容基础&#xff0c;难度&#xf…

计算机组成原理-累加器实验——沐雨先生

一、实验目的 1.理解累加器的概念和作用 2.连接运算器、存储器和累加器&#xff0c;熟悉计算机的数据通路 3.掌握使用微命令执行各种操作的方法。 二、实验要求 1.做好实验预习&#xff0c;读懂实验电路图&#xff0c;熟悉实验元器件的功能特性和使用方法。在实验之前设计…

list链表的创建,排序,插入, test ok

1. 链表的建立&#xff0c;打印 #define _CRT_SECURE_NO_WARNINGS #include <stdio.h> #include <stdlib.h> #include <stack> #include <iostream> #include <string.h> #include <string>using namespace std;struct node {int data;s…

Vue项目性能分析工具: vue-cli-plugin-webpack-bundle-analyzer

在优化项目的时候&#xff0c;每次打包后只知道包文件大&#xff0c;却不知道那个文件大&#xff0c;那个文件还有优化的空间&#xff0c;所以&#xff0c;推荐一款工具&#xff0c;只要在项目中安装配置一下&#xff0c;便可以一目了然的呈现出打包后资源所占的比例&#xff0…