实验:防火墙配置与NAT配置
实验:防火墙配置与NAT配置
一、实验目的
学习在路由器上配置包过滤防火墙和网络地址转换(NAT)
二、实验原理和内容
1、路由器的基本工作原理
2、配置路由器的方法和命令
3、防火墙的基本原理及配置
4、NAT的基本原理及配置
三、实验环境以及设备
2台路由器、1台交换机、4台Pc机、双绞线若干
四、实验步骤(操作方法及思考题)
{警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。}
1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别
将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP地址,以
及配置PC A 和B的缺省网关为202.0.0.1,PC C 的缺省网关为202.0.1.1,PC D 的缺省网关为202.0.2.1。
202.0.0.2/24
202.0.1.2/24
192.0.0.1/24192.0.0.2/24
202.0.0.1/24
202.0.1.1/24S0
S0
E0E0
202.0.0.3/24
202.0.2.2/24
E1
202.0.2.1/24AR18-12
AR28-11
交叉线
交叉线
A B
C
D
图 1
3、在两台路由器上都启动RIP ,目标是使所有PC 机之间能够ping 通。请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。(5分)
AR28-11
[Quidway]interface e0/0
[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1
[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial0/0
[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip
[Quidway-rip]network 0.0.0.0 AR18-12
[Router]interface e0
[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface s0
[Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router -Ethernet0]quit [Router]rip
[Router -rip]network all
4、在AR18和/或AR28上完成防火墙配置,使满足下述要求:
(1) 只有PC 机A 和B 、A 和C 、B 和D 之间能通信,其他PC 机彼此之
间都不能通信。(注:对于不能通信,要求只要能禁止其中一个方向就可以了。)
(2) 防火墙的ACL 列表只能作用于两台路由器的以太网接口上,即AR18
的E0、AR28的E0和E1,不允许在两台路由器的S0口上关联ACL 。 请将你所执行的配置命令写到实验报告中。(注:配置方法并不唯一,写出
其中任何一种即可)(15分)
AR28-11
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl number 3001 match-order auto
-----------阻止C、D通信
[Quidway-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.2.2 0 -----------阻止C、B通信
[Quidway-acl-adv-3001]rule deny ip source 202.0.1.2 0 destination 202.0.0.3 0 [Quidway-acl-adv-3001]int e0/0
[Quidway-Ethernet0/0]firewall packet-filter 3001 inbound
[Quidway-Ethernet0/0]shutdown
[Quidway-Ethernet0/0]undo shutdown
[Quidway-Ethernet0/0]quit
[Quidway]acl number 3002 match-order auto
-----------阻止D、A通信
[Quidway-acl-adv-3002]rule deny ip source 202.0.2.2 0 destination 202.0.0.2 0 [Quidway-acl-adv-3002]int e0/1
[Quidway-Ethernet0/1]firewall packet-filter 3002 inbound
[Quidway-Ethernet0/1]shutdown
[Quidway-Ethernet0/1]undo shutdown
[Quidway-Ethernet0/1]quit
本机为D
pingA 不通
pingB 通
pingC 不通
5、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别
将两台路由器的配置清空,以免前面实验留下的配置对下面的NAT配置实验产生影响。
6、请将图1中IP地址的配置改为图2,即我们将用IP 网段192.168.1.0/24作为
一个私网,AR18作为连接私网与公网的NAT路由器,AR28作为公网上的一个路由器。具体的,请按下述步骤完成NAT配置实验:
(1)配置AR18-12为NAT路由器,它将私有IP 网段192.168.1.0/24中的IP地址转换为接口S0的公网IP 地址192.0.0.1。请将所执行的配置命
令写到实验报告中。(10分)
[Quidway]acl 2000 match-order auto
[Quidway-acl-2000]rule permit source 192.168.1.0 0.0.0.255
[Quidway-acl-2000]rule deny source any
[Quidway-acl-2000]quit
[Quidway]nat address-group 192.0.0.1 192.0.0.1 pool1
[Quidway]int s0
[Quidway-Serial0] nat outbound 2000 address-group pool1
(2)我们在每一台PC上都安装了Web服务器IIS,它运行在TCP端口80。
请把PC A的Web服务映射到公网IP地址192.0.0.1和公网端口80,
把PC B的Web服务映射到公网IP地址192.0.0.1和公网端口8080,
并把所执行的配置命令写到实验报告中。(10分)
[Quidway-Serial0]nat server global 192.0.0.1 80 inside 192.168.1.2 80
tcp
[Quidway-Serial0]nat server global 192.0.0.1 8080 inside 192.168.1.3
80 tcp
[Quidway-Serial0]shutdown
[Quidway-Serial0]undo shutdown
(3) 我们在每一台PC 上都允许了远程桌面服务,该服务使用TCP 端口
3389。请把PC B 远程桌面服务映射到公网IP 地址192.0.0.1和公网端口3389,并把所执行的配置命令写到实验报告中。(10分)
[Quidway-Serial0]nat server global 192.0.0.1 3389 inside 192.168.1.3 3389 tcp [Quidway-Serial0]shutdown [Quidway-Serial0]undo shutdown
请在AR18上配置一条缺省静态路由,用于指定AR18的缺省网关为192.0.0.2。
[Quidway]ip route-static 0.0.0.0 0 192.0.0.2
注:路由相关配置只需上述一条命令即可,并不需要在AR18和AR28
上启动RIP 。不在AR18上启动RIP 的原因是私网IP 的路由信息不应该被广播到公网上;不在AR28上启动RIP 的原因是在本实验中公网环境中只用一台AR28路由器来模拟。
192.168.1.2/24
202.0.1.2/24
192.0.0.1/24192.0.0.2/24
192.168.1.1/24
202.0.1.1/24S0
S0
E0
E0
192.168.1.3/24
202.0.2.2/24
E1
202.0.2.1/24AR18-12
AR28-11
交叉线
交叉线
A B
C
D
图2
在上述步骤完成后,NAT 应该能够正常运转,下述现象应被观察到: (1) 在PC A 上执行:ping 202.0.2.2,结果为“通”。请将“通”的原因写到
实验报告中。(10分)
因为配置AR18-12为NAT路由器时规定所有私网地址都可访问公网,即rule permit source 192.168.1.0 0.0.0.255 ,所以位于私网中的PCA可以ping通公网地址202.0.2.2。
(2)在PC D上执行:ping 192.168.1.2,结果为“不通”。请将“不通”的原因写到实验报告中。(10分)
192.168.1.2是位于私网的地址,PCD是公网中的机器,私网运用NAT协议时,公网地址是无法直接访问私网ip的。
(3)在PC C上启动IE浏览“http://192.0.0.1”,可以下载PC A Web服务器上的网页,该网页大致内容为“网站正在建设中”。请将可以访问的原因写到实验报告中。(10分)
PCA的Web服务映射到公网IP地址192.0.0.1和公网端口80,PCC访问http://192.0.0.1时,访问http默认的端口号80,通过NAT地址表转换,相当于访问PCA的Web服务器
(4)在PC C上启动IE浏览“http://192.168.1.2”,不可以下载PC A Web服务器上的网页。请将不能访问的原因写到实验报告中。(10分)
192.168.1.2是私网地址,对公网不可见,所以PCC不能访问。
(5)在PC B和C上都启动Ethereal,捕获所有TCP的包。然后在PC C上启动IE浏览“http://192.0.0.1:8080”,将发现可以下载PC B Web服务器上的网页,该网页大致内容为“网站正在建设中”。请将用Ethereal观察到的TCP包的源和目的IP地址、源和目的端口号在私网和公网上的变化情况写到实验报告中,并据此解释NAT在上述HTTP访问过程中做了怎样的地址转换。(10分)
PCB
PCC
PCC
访问地址192.0.0.1的8080端口,发送目的地址是192.0.0.1,目的端口号是8080的数据包
接收源地址是192.0.0.1,源端口号是8080的数据包
NAT路由AR18-12
发现包的目的地址是192.0.0.1,目的端口号是8080,查找NAT地址转换表,将包的目的地址替换成192.168.1.3,目的端口号替换成80,然后
转发出去
发现包的源地址是192.168.1.3,源端口号是80,查找NAT地址转换表后,将包的源地址替换成192.0.0.1,源端口号替换成8080,然后转发出去
PCD
接收目的地址是192.168,.1.3,目的端口号是80的数据包
发送源地址是192.168.1.3,源端口号是80的数据包
(6)在PC D上使用“程序→附件→通讯→远程桌面连接”登录PC B,在登录对话框中请输入IP地址“192.0.0.1”。在提示用户名和密码时,请分别输入“administrator”和“admin,则可以登录PC B。仅验证此现象即可,不要求写实验报告。
做本实验时请注意:
(1)关闭PC机上的防火墙。
(2)同异步串口配置完成后,一定要执行“shutdown”和“undo shutdown”
命令,从而使之生效。
五、讨论、建议、质疑
路由器型号不同命令有微小差别,需自行查阅课件和指导手册
思科NAT配置实例
CISCONAT配置 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用
路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤: (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入: Ip nat inside source static 内部本地地址内部合法地址(2)、指定连接网络的内部端口在端口设置状态下输入:ip nat inside (3)、指定连接外部网络的外部端口在端口设置状态下输入:
史上最详细H3C路由器NAT典型配置案例
H3C路由器NAT典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
There are 1 outbound static NAT mappings. IP-to-IP: Local IP : Global IP : Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes Total sessions found: 1 内网用户通过NAT地址访问外网(地址不重叠) 1. 组网需求
NAT配置实例
NAT 配置示例 本节提供了以下配置配置例子: 1、动态内部源地址转换示例 2、内部全局地址复用示例 3、重叠地址转换示例 4、tcp负载均衡示例 5、nat多个outside口负载均衡示例 (1)动态内部源地址转换示例 在以下配置中,本地全局地址从nat地址池net200中分配,该地址池定义了地址范围为 200.168.12.2 ̄200.168.12.100。只有内部源地址匹配访问列表1的数据包才会建立nat转换记录。 ! interface fastethernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside ! interface fastethernet 1/0
ip address 200.168.12.1 255.255.255.0 ip nat outside ! ip nat pool net200 200.168.12.2 200.168.12.100 netmask 255.255.255.0 ip nat inside source list 1 pool net200 ! access-list 1 permit 192.168.12.0 0.0.0.255 (2)内部全局地址复用示例 内部全局地址复用,其实就是napt。rgnos8.1以上版本的软件对于动态nat自动实现napt。在以下配置中,本地全局地址从nat地址池net200中分配,该地址池只定义200.168.12.200一个ip地址,但允许复用。只有内部源地址匹配访问列表1的数据包才会建立该类型nat转换记录。 ! interface fastethernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside
静态NAT配置实例与详解
静态NAT配置实例 NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。但在一个时间点上,同时访问外网的主机数量不会多于地址中的公有IP 地址数量。只有释放后才能被其它的内网主机重新获取分配。即:在一个时间点上是一对一的关系,在一个时间段上是一对多的关系。 端口多路复用是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation),采用端口多路复用方式。内部网络的所有主机均可共享一个(或多个地址池中的)合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。实现一对多的对应关系 【背景描述】 现假设某单位创建了PC1和 PC2,这两台PC机不但允许内部用户(IP 地址为 172.16.1.0/24 网段)能够相互访问,而且要求 Internet 上的外网用户也能够访问。为实现此功能,本单位向当地的ISP申请了一段公网的IP地址210.28.1.0/24(210.28.1.10和210.28.1.11)。通过静态NAT转换,当Internet 上的用户访问这两台PC时,实际访问的是210.28.1.10和210.28.1.11这两个公网的IP地址,但用户的访问数据被路由器R1(NAT)分别转换为172.16.1.10
三种NAT实现方式配置实例
NAT有3种实现方式,包括有静态NAT动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址;动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,选择相应的NAT技术类型。 一般我们实际工作中都使用复用NAT,即复用断口NAT,也叫PNAT. 所以掌握最后配置就可以了。 静态NAT 配置步骤: 首先,配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。 其次,定义静态建立IP 地址之间的静态映射。最后,指定其默认路由。 Router>en (进入特权模式) Router#config (进入全局配置模式) Configuring From terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R3 (命名为R3) R3(config)#no ip domain-lo (关闭域名查询,在实验环境中,敲入错误的命令, 它将进行域名查询,故关闭他) R3(config)#line c 0 (进入线路CONSOLE 接口0 下) R3(config-line)#logg syn (启用光标跟随,防止日志信息冲断命令显示的位置) R3(config-line)#exec-t 0 0 (防止超时,0 0 为永不超时) R3(config-line)#exit R3(config)#int e0 (进入以太网接口下) R3(config-if)#ip add 192.168.1.1 255.255.255.0(设置IP 地址) R3(config-if)#ip nat inside (设置为内部接口) R3(config-if)#no shut R3(config-if)#exit R3(config)#int ser1 (进入串口下) R3(config-if)#ip add 100.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ip nat outside (设置为外部接口) R3(config-if)#exit R3(config)#ip nat inside source static 191.168.1.1 100.0.0.(1 设置静态转换,其中ip nat inside source 为NAT 转换关键字,这里是静态,故为STATIC ) R3(config)#ip classless R3(config)#ip route 0.0.0.0 0.0.0.0 sO这里是出口或者下一跳地址) R3(config)#exit 动态NAT 配置步骤: 首先,配置各需要转换的接口的IP,设置内外网IP等。其次,定义动态地址转换池列表再次,配置ACL 列表,需要转换的内网IP 地址(或者网段)。最后,设置转换后的出口地址段及MASK (多IP 可以多分流,减轻转换后的负担)
思科NAT配置实例
CISCONAT配置 一、NAT简介NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境:情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置:设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。
设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤:(1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:Ip nat inside source static 内部本地地址内部合法地址 (2)、指定连接网络的内部端口在端口设置状态下输入:
三种NAT实现方式配置实例
NAT有3种实现方式,包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址;动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,选择相应的NAT技术类型。 一般我们实际工作中都使用复用NAT,即复用断口NAT,也叫PNAT. 所以掌握最后配置就可以了。 静态NAT配置步骤: 首先,配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。 其次,定义静态建立IP地址之间的静态映射。 最后,指定其默认路由。 Router>en(进入特权模式) Router#config (进入全局配置模式) Configuring From terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R3(命名为R3) R3(config)#no ip domain-lo(关闭域名查询,在实验环境中,敲入错误的命令,它将进行域名查询,故关闭他) R3(config)#line c 0(进入线路CONSOLE接口0下) R3(config-line)#logg syn(启用光标跟随,防止日志信息冲断命令显示的位置)R3(config-line)#exec-t 0 0(防止超时,0 0为永不超时) R3(config-line)#exit R3(config)#int e0(进入以太网接口下) R3(config-if)#ip add 192.168.1.1 255.255.255.0(设置IP地址) R3(config-if)#ip nat inside(设置为内部接口) R3(config-if)#no shut R3(config-if)#exit R3(config)#int ser1 (进入串口下) R3(config-if)#ip add 100.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ip nat outside(设置为外部接口) R3(config-if)#exit R3(config)#ip nat inside source static 191.168.1.1 100.0.0.1(设置静态转换,其中ip nat inside source为NAT转换关键字,这里是静态,故为STATIC)R3(config)#ip classless R3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址) R3(config)#exit
NAT多实例的配置案例
1 简介 本文档介绍使用NAT多实例的配置案例。 2 配置前提 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解NAT多实例的特性。 3 配置举例 3.1 组网需求 如图1所示,一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网络使用的网段地址网址为10.110.0.0/16。10.110.10.0/24网段的用户属于私网VPN1,加入安全域Trust1;10.110.11.0/24网段的用户属于私网VPN2,加入安全域Trust2;公网的用户属于VPN3,加入安全域Untrust。需要实现如下功能: ? ???????????? 内部网络中10.110.10.0/24网段的LAN 1用户允许任意时间访问公网。 ? ???????????? 内部网络中10.110.11.0/24网段的LAN 2用户只允许周末时间访问公网。 ? ???????????? 公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP 服务。 图1 跨VPN转发典型配置组网图 3.2 配置思路
为了使内网主机能够访问公网,需要在出接口上配置NAT转换,并使对应的地址池和公网VPN实例相关联。 3.3 使用版本 本文档基于U200-S R5135版本进行配置和验证。 3.4 配置步骤 3.4.1 通过Web方式配置 (1)创建VPN实例 目前设备仅支持通过命令行方式创建VPN实例,配置方法请参见“3.4.2 (1)创建VPN 实例”。 (2)接口绑定VPN实例并加入安全域 # 接口绑定VPN实例。目前设备仅支持通过命令行方式配置接口绑定VPN实例,配置方法请参见“3.4.2 (2)接口绑定VPN实例”。 # 新建安全域Trust1。在左侧导航栏中选择“设备管理> 安全域”,进入下图2所示的安全域显示页面。 图2 安全域显示页面 # 单击<新建>按钮,新建一个安全域。 图3 安全域新建页面 # 点击<确定>按钮完成操作。 # 同理新建安全域Trust2,完成配置后安全域页面显示如图4所示。 图4 安全域新建后的显示页面
华为nat配置实例
窗体顶端 NAT 【Router】 华为路由器单臂路由配置实例 组网描述: PC---------------------3050C-------------------------AR28-31-------------------------INTERNET 组网实现: 3050C上划分多个VLAN,在AR28-31上终结VLAN信息,下面的所有VLAN中的PC都可以上公
网,所有的PC机都通过AR28-31分配IP地址和DNS [AR28-31]dis cu # sysname Quidway # FTP server enable # nat address-group 0 222.222.222.2 222.222.222.10用于上公网的地址池# radius scheme system # domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp local-user huawei telnet用户,用于远程管理 password simple huawei service-type telnet level 3 # dhcp server ip-pool 10为VLAN10分配IP地址network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 100.100.100.100 # dhcp server ip-pool 20为VLAN20分配IP地址network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.1 dns-list 100.100.100.100 # dhcp server ip-pool 30为VLAN30分配IP地址network 192.168.30.0 mask 255.255.255.0 gateway-list 192.168.30.1 dns-list 100.100.100.100 # dhcp server ip-pool 40为VLAN40分配IP地址network 192.168.40.0 mask 255.255.255.0 gateway-list 192.168.40.1 dns-list 100.100.100.100 # interface Aux0 async mode flow # interface Ethernet1/0用于与交换机的管理IP互通 ip address 192.168.100.1 255.255.255.0 firewall packet-filter 3000 inbound # interface Ethernet1/0.1终结交换机上的VLAN10 tcp mss 1024 ip address 192.168.10.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 10 # interface Ethernet1/0.2终结交换机上的VLAN20
华为NAT配置案例
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
[史上最详细]H3C路由器NAT典型配置案例
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
配置NAT Outbound示例
配置NAT Outbound示例 组网需求 如图1所示,某公司A区的网络通过AR200-S的地址转换功能访问广域网。使用公网地址池中的地址(202.169.10.100~202.169.10.200)采用一对一的方式替换A区内部的主机地址(网段为192.168.20.0/24),访问广域网。 B区的网络通过AR200-S的地址转换功能访问广域网。结合B区的公网IP地址比较少的情况,使用公网地址池(202.169.10.80~202.169.10.83)采用IP地址和端口的替换方式替换B区内部的主机地址(网段为10.0.0.0/24),访问广域网。 其中AR200-S上接口Ethernet2/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24。 图1 配置NAT Outbound组网图 配置思路 采用如下思路配置NAT Outbound: 1.配置接口IP地址。 2.配置缺省路由。 3.在WAN侧接口下配置NAT Outbound,实现内部主机访问外网服务功能。 操作步骤
1.在AR200-S上配置接口IP地址。 2.
华为NAT配置案例
华为NAT 配置案例模拟 202.106.1.2 GE(W1 ~ AR1230-AR1 192.168.1.1 GE WOrt) Ethernet GOA EtherrietW2 图表1模拟拓扑图 (公网) 静态一对一: AR1# in terface GigabitEthernetO/O/1 ip address 202.106.1.2 255.255.255.0 n at static global 202.1.1.1 in side 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试: Ethernet (O1 700KS A'l&tiern et am 202.106 1.1 'CT 另阴 AR122Q-AR2 thernetMlfl :hernet 0X3J1 PC-PC1 PC-PC2 AR1220-AR3 192.168.1,2 192.138.1.3 192.168.1.4 1、在华为设备上部署静态 NAT 技术,实现公司员工(私网)访问 in ternet
查看静态转换表 [AR1]display nat static Static Nat In formati on: In terface : GigabitEthernetO/O/1 Global IP/Port : 202.1.1.1/---- In side IP/Port : 192.168.1.2/---- Protocol :—— VPN in sta nee-name :---- Acl nu mber :—— Netmask : 255.255.255.255 Description :---- Total : 1 [AR1] 在没有做静态NAT 条目的PC2上不能访问公网,可以得出结论:静态NAT 是静 态一对一的关系 2、在华为设备上部署动态 NAT 技术,实现公司员工(私网)访问in ternet (公网) 动态NAT [AR1] nat address-group 1 202.1.1.1 202.1.1.1 (定义一个地址池存放一个可 用公网地址 202.1.1.1 ) [AR1]dis cu | begin acl acl number 2000 (定义转换的源 IP ) Ping .302.106.1*1: R"=?tjLJpst t imp out ! rrnre 202,1D€ B 1,1: Fr om 2 02.106 ?1】工:: Froai 202?10'C -. 1.. 1; From 202,. 106.1.1: PC” FOpxncj 202.10€-1-1 Peeping 202.106.1.1 基 5tES 串口 S d R t (3 ) k r FI n .^m. 11 tL K H 5 (s) 匚匸匚civcd 0*00% pachbt lc-33 rowid-t rip min/a ?/ma x = 31/4 &/ &2 ms Ping 2 02 ?10肓?1?工:32 data bytes r Presa Ctrl^C : to brest Frocn 1 F 168 ?1? 2; Dcntinnti 口口 hoDt unrc achsid cytes=32 byte 3=3 2 t:yt'es=32 匕¥七 C ;3=22 2 3 4 5 萨尸二 E e u ttl=254 ttl=254 ttl=254 tine —47 ms tiirie=62 ns ti3ie =31 ia3 ti3ne~31 ZUH ---- 202.10b. 1 ? 3_ pia-qr mta/tx ■曰七HCS ----------- 5 p=LCket ( S ) tZTBTlLHITlittZed 4 packet (s) received 2Q ? 00% packet: l oss round-trip min/avg/max = 0/42/€2 ms
NAT 典型配置举例
NAT典型配置举例 关键词:NAT、ALG、PAT、No-PAT 摘要:本文描述了H3C S12500 NAT特性的产品基础、典型配置方法和注意点。缩略语:
目录 1特性简介 (4) 1.1 NAT和NAPT (4) 1.2源NAT/NAPT和目的NAT/NAPT (4) 1.3动态NAT/NAPT和静态NAT/NAPT (4) 1.4内网和外网 (4) 1.5内网地址和外网地址 (5) 1.6 EASY IP (5) 1.7 NAT ALG处理 (5) 1.8内部服务器 (5) 1.9静态NAT和内部服务器区别 (6) 2应用场合 (6) 2.1支持企业网中少量用户上网 (6) 3注意事项 (6) 4基础配置举例 (6) 4.1 NAPT方式/NOPAT方式/EASYIP方式配置举例 (6) 4.1.1组网需求 (6) 4.1.2配置思路 (7) 4.1.3使用版本 (7) 4.1.4配置步骤 (7) 4.1.5验证结果 (9) 4.2静态地址转换配置举例 (9) 4.2.1组网需求 (9) 4.2.2配置思路 (9) 4.2.3使用版本 (9) 4.2.4配置步骤 (9) 4.2.5验证结果 (10) 4.3 NAT连接限制配置举例 (11) 4.3.1组网需求 (11) 4.3.2配置思路 (11) 4.3.3使用版本 (11) 4.3.4配置步骤 (11)
NAT典型配置举例 4.3.5验证结果 (12) 4.4 ALG配置举例 (12) 4.4.1组网需求 (12) 4.4.2配置思路 (13) 4.4.3使用版本 (13) 4.4.4配置步骤 (13) 4.4.5验证结果 (13) 4.5 NAT SERVER配置举例 (14) 4.5.1组网需求 (14) 4.5.2配置思路 (14) 4.5.3使用版本 (14) 4.5.4配置步骤 (14) 4.5.5验证结果 (15) 4.6 NAT日志配置举例 (15) 4.6.1组网需求 (15) 4.6.2配置思路 (16) 4.6.3使用版本 (16) 4.6.4配置步骤 (16) 4.6.5验证结果 (17) 5典型应用配置举例 (17) 5.1私网访问公网典型配置举例 (17) 5.1.1组网需求 (17) 5.1.2配置思路 (18) 5.1.3使用版本 (18) 5.1.4配置步骤 (18) 5.1.5验证结果 (19) 6相关协议和标准 (19) 7其它相关资料 (19)
CiscoASA防火墙nat配置示例
ASA的NAT配置 命令解释 版本前默认为nat-control,并且不可以更改 版本后默认为no nat-control。可以类似路由器一样,直接走路由;如果启用nat-control,那就与版本前同。 2.配置动态nat 把内部网段:/24 转换成为一个外部的地址池 - NAT配置命令 ASA(config)# nat (inside) 1 (定义源网段) ASA(config)# global (outside) 1 - (定义地址池) 注意:id必须匹配,并且大于1,这里先使用1 检测命令: ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置PAT 把内部网段:/24 转换成为一个外部的一个地址: NAT配置命令 ASA(config)# nat (inside) 2 (定义源网段) ASA(config)# global (outside) 2 (定义地址) ASA(config)# global (outside) 2 interface(或者直接转换为外网接口地址) 注意:id必须匹配,并且大于2,这里先使用2 4.配置static NAT 把内部网段:/24 转换成为一个外部的一个地址: NAT配置命令 ASA(config)# static (inside,outside) 命令格式是内外对应的,红色的接口和红色的地址对应。 实际工作中的应用: static主要是为内部服务器提供服务,如:web、ftp、telnet、mail等等。 access-list WEB permint tcp any host eq 80 access-list WEB in interface outside 应用ACL ASA(config)# static (inside,outside) tcp 80 80 ASA(config)# static (inside,outside) tcp interface 80 80 5.防止DOS攻击 防止外部对/24 的攻击 ASA(config)# static (inside,outside) tcp 100 1000 udp 1000 tcp 100 1000:表示正常tcp连接最大数量为100,半开连接最大的数量为1000。 udp 1000:表示正常udp连接最大的数量为1000,具体值设置为多少需要按工作中而定。 配置
华为路由器nat配置案例
华为路由器nat配置案例 拓扑图 nat地址池配置 acl number 2000 rule 5 permit source 192.168.2.0 0.0.0.255 nat address-group 1 192.168.4.1 192.168.4.10 # interface GigabitEthernet0/0/0 ip address 192.168.4.30 255.255.255.0 nat server protocol tcp global 192.168.4.11 8080 inside 192.168.2.10 www nat outbound 2000 address-group 1 # interface GigabitEthernet0/0/1 ip address 192.168.2.254 255.255.255.0 ip route-static 0.0.0.0 0.0.0.0 192.168.4.100 通过本机访问
nat easyIP配置 acl number 2000 rule 5 permit source 192.168.2.0 0.0.0.255 nat address-group 1 192.168.4.1 192.168.4.10 # interface GigabitEthernet0/0/0 ip address 192.168.4.30 255.255.255.0 nat server protocol tcp global current-interface 8080 inside 192.168.2.10 www nat outbound 2000 # interface GigabitEthernet0/0/1 ip address 192.168.2.254 255.255.255.0 ip route-static 0.0.0.0 0.0.0.0 192.168.4.100 通过本机访问
- NAT的3种实现方式配置示范
- 配置NAT_Server双出口举例讲解
- H3C路由器NAT配置实例
- 史上最详细H3C路由器NAT典型配置案例
- NAT的3种实现方式配置示范
- NAT配置
- [史上最详细]H3C路由器NAT典型配置案例
- NAT DNS mapping典型配置举例
- 华为NAT配置案例
- 思科交换机NAT配置介绍及实例
- 思科交换机NAT配置介绍及实例
- CiscoASA防火墙nat配置示例
- 静态NAT配置实例与详解
- NAT配置实例
- 动态NAT配置实例与详解
- 思科NAT配置实例
- 三种NAT实现方式配置实例
- 史上最详细H3C路由器NAT典型配置案例
- 思科NAT配置实例
- 史上最详细H3C路由器NAT典型配置案例