華爲USG地址池方式的NAPT和NAT Server配置案例

原創 jiyanjun 2018-09-12 04:17

網絡拓撲如下:

wKioL1bVYPfDXQqlAABnDAXrIjQ488.png

需求描述:

    1.公司使用華爲USG防火牆連接互聯網,Trust區域192.168.1.0/24網段用戶可正常上網,該區域其他網段禁止上網。USG出口IP:1.1.1.1/24  可用地址範圍:1.1.1.1--1.1.1.10,需要使用NAPT功能進行地址複用,地址池:1.1.1.5--1.1.1.10。

    2.FTP和Web服務器供外部網絡用戶訪問,FTP服務器在VLAN 10,Web服務器在VLAN 20。其中FTP Server的IP地址爲10.1.1.10,端口號爲缺省值21,Web Server的IP地址爲10.1.2.10,端口爲80。兩者對外公佈的地址分別爲1.1.1.2和1.1.1.3,對外使用的端口號均爲缺省值,即21和80。


配置步驟:

1.交換機配置

[SW]vlan batch 10 20

[SW]interface Ethernet0/0/1

[SW]port link-type access

[SW]port default vlan 10

[SW]interface Ethernet0/0/2

[SW]port link-type access

[SW]port default vlan 20

[SW]interface GigabitEthernet0/0/1

[SW]port link-type trunk

[SW]port trunk allow-pass vlan 10 20


2.USG設備配置個接口的IP地址,並將其加入相應區域。

【USG】interface GigabitEthernet0/0/0.1

【USG】vlan-type dot1q 10

【USG】ip address 10.1.1.1 255.255.255.0

【USG】interface GigabitEthernet0/0/0.2             

【USG】vlan-type dot1q 20             

【USG】ip address 10.1.2.1 255.255.255.0             

【USG】interface GigabitEthernet0/0/1              

【USG】ip address 192.168.1.1 255.255.255.0             

【USG】interface GigabitEthernet0/0/2

【USG】ip address 1.1.1.1 255.255.255.0

【USG】firewall zone trust

【USG】add interface GigabitEthernet0/0/1

【USG】firewall zone untrust

【USG】add interface GigabitEthernet0/0/2

【USG】firewall zone dmz

【USG】add interface GigabitEthernet0/0/0

【USG】add interface GigabitEthernet0/0/0.1

【USG】add interface GigabitEthernet0/0/0.2

3.配置地址池NAPT地址轉換。

【USG】nat address-group 10 1.1.1.5 1.1.1.10

【USG】nat-policy interzone trust untrust outbound

【USG】policy 1

【USG】action source-nat

【USG】policy source 192.168.1.0 0.0.0.255

【USG】address-group 10

4.配置區域間訪問控制策略。

【USG】policy interzone trust untrust outbound

【USG】policy 0

【USG】policy source 192.168.1.0 0.0.0.255

【USG】action permit

【USG】policy interzone dmz untrust inbound

【USG】policy 0

【USG】policy destination 10.1.1.10 0

【USG】policy service service-set ftp

【USG】action permit

【USG】policy 1

【USG】policy destination 10.1.2.10 0

【USG】policy service service-set http

【USG】action permit

5.配置NAT Server對外發布服務器

nat server 0 protocol tcp global 1.1.1.2 ftp inside 10.1.1.10 ftp

nat server 1 protocol tcp global 1.1.1.3 www inside 10.1.2.10 www

firewall interzone dmz untrust

detect ftp

6.測試

 a.在內部PC上ping 1.1.1.100,然後在USG上查看NAT轉換,顯示NAT轉換正常。

wKiom1bVd9qiSd5AAAAi4DlIN_Y757.png


wKioL1bVeN2y45gXAABN-CnPE3s833.png  b.在外部用戶上測試訪問FTP和Web服務器,USG上結果顯示正常。

wKioL1bVes-CuZ0sAABCzngzfqw277.png


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

華爲設備---影響OSPF鄰居建立的因素

cutesk 2019-02-24 13:35:48

華爲3COM交換機防病毒策略

god9394 2019-02-24 13:04:19

華爲Mate X海報曝光:配8英寸向外摺疊屏幕 比三星更輕薄

2600cc 2019-02-23 13:53:55

華爲交換機端口限速設置

xiao7tyy 2019-02-23 13:33:26

華爲路由器與CISCO路由器的不同配置步驟

smallCrab2009 2019-02-23 13:10:25

[轉帖]華爲模擬器WVRP的使用Simware的使用

kongyou2010 2019-02-23 00:42:42

多區域ospf

夢無限 2019-02-23 00:32:36

NIP100   NIP100

zhouaolehons 2019-02-23 00:32:07

USG3040

zhouaolehons 2019-02-23 00:32:07

華爲 —小型企業多交換機多VLAN通信簡單實驗

海龍s 2019-02-23 00:30:48

網絡交換機設備簡單配置

wx5aeab4e36d097 2019-02-23 00:27:33

華爲交換機的VLAN劃分 和帶寬限速,華爲模擬器 10月,11月,的一起寫了

wx5aeab4e36d097 2019-02-23 00:27:22

通過telnet遠程管理華爲路由器

tilfy 2019-02-23 00:23:42

網絡分流器-華爲正式宣佈!國內首款7nm芯片即將橫空出世!

網絡分流器 2019-02-23 00:23:42

華爲的命令

零度智商 2019-02-23 00:23:02