精华内容
下载资源
问答
  • 三种常见NAT配置办法,私有网络地址转换共有网络地址的实验操作详情,一看就会,配有详细的拓扑同,结合实际生产环境,实在又实用
  • 主要为大家详细介绍了linux网络NAT配置方式,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
  • H3C NAT配置手册

    2017-12-20 14:18:02
    华三防火墙中关于NAT配置说明,配置命令及典型的配置案例
  • 网络地址转换NAT配置: NAT:Network Address Translation,网络地址转换,是一个Internet工程任务组(IETF)标准,允许一个整体机构以一个共用IP地址出现在Internet上,是一种把内部私有IP转换成合法网络IP地址的...
  • 山石防火墙目的NAT配置举例
  • 静态NAT配置

    2014-10-20 15:09:26
    学习思科网络技术,利于配置命令能力很好的学习
  • 思科路由器NAT配置详解s.pdf
  • CISCO_NAT配置命令

    2014-02-15 15:07:48
    CISCO_NAT配置命令
  • 端口复用NAT配置.doc

    2020-02-17 10:25:59
    共享上网是生活和工作中必备技术,那么遇到的网络地址端口转换该怎么配置呢?不要急!跟我来! NAT:英文全称Network Address Translation,中文名字网络地址转换。这是我们平时公司、家庭上网的时候基本都会用到一...
  • Cisco NAT 配置合集

    2013-09-18 00:49:48
    Cisco NAT 配置合集
  • NAT配置示例

    2018-01-07 00:01:46
    NAT配置示例NAT配置NAT配置示例NAT配置示例NAT配置示例NAT配置示例例
  • H3C_路由器NAT配置手册

    2015-10-12 14:48:00
    H3C_路由器nat配置手册,主要讲解NAT方面。
  • linux内核NAT配置介绍

    2014-08-19 10:10:12
    总结了nat规则的配置过滤规则,包含SNAT、DNAT的ip及端口过滤配置说明等,以及NAT规则的查看、删除命令等。
  • 网络地址转换NAT配置

    2012-12-26 14:16:51
    使用的计算机网络实验报告 关于网络地址转换NAT配置 与大家分享!
  • H3C防火墙F100-C-G2的NAT配置.pdf
  • 这是一份关于路由器静态NAT配置的实验报告-------实验。
  • NAT配置教程

    2015-05-18 17:26:28
    双网卡NAT配置
  • 华三 h3c NAT配置

    千次阅读 2020-12-23 15:11:10
    基本的端口什么的就不做阐述了,这里我在R1上做了默认路由,方便与外网互通,在没有配置地址转换之前,PCA、C是不能互通的。 重要的配置如下: [R1-acl-ipv4-basic-2000]rule 1 permit source 192.168.1.0 0.0.0....

     

    基本的端口什么的就不做阐述了,这里我在R1上做了默认路由,方便与外网互通,在没有配置地址转换之前,PCA、C是不能互通的。

    重要的配置如下:

    [R1-acl-ipv4-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255---定义允许地址转换的私网地址范围

    一:Basic Nat转换(一对一转换)

    [R1]nat address-group 1---地址转换池1

    [R1-address-group-1]address 100.1.1.10 100.1.1.20-----转换的地址范围,注意地址网段应该与端口地址网段一致,如果公网地址不一致的话,需要在R2上添加指向公网地址的静态路由

    [R1-GigabitEthernet0/1]nat outbound 2000 address-group 1 no-pat---在与公网相连的端口上进行地址转换 no-pat便是不进行端口转换,表示这是静态一对一转换

    此时PCA、PCB可以ping通server了,通过dis nat session可以查看地址转换的信息

     

    二:NAPT(一对多转换)

     

    要先删除Basic nat的配置

    [R1]undo nat address-group 1

    [R1]int g 0/1

    [R1-GigabitEthernet0/1]undo nat outbound 2000

    继续NAPT的配置

    继续使用配置的acl2000,确定私网转换的地址范围

    [R1]nat address-group 1

    [R1-address-group-1]address 100.1.1.10 100.1.1.10

    [R1]int g 0/1

    [R1-GigabitEthernet0/1]nat outbound 2000 address-group 1----没有带no-pat参数,表示这是端口转换,私网的公网地址都是同一个,是不过用来通信的端口不同。

     

    Easy ip的配置

    如果没有公网地址池,需要公网接口动态的为私网分配IP地址的话,就需要配置Easy ip了

    老样子,先把之前做的ntpt配置先删掉,然后

    [R1-GigabitEthernet0/1]nat outbound 2000---不需要地址池,此时私网转换的公网地址就是0/1端口的公网地址

    使用display nat session verbose可以看到两个PC的公网地址都是0/1端口的地址

    -------上面的nat转换都只能保证私网可以访问公网,但是在这种情况下公网是不可以主动访问私网的,如果公网想要主动访问私网,需要配置NAT Server--------------

     

    Nat Server

    假如Server需要主动与PCA进行通信,此时的配置如下:

    [R1-GigabitEthernet0/1]nat server global 100.1.1.10 inside 192.168.1.1---为PCA绑定一个公网IP地址

    ----------还可以通过绑定公网IP为公网提供其他的服务(比如ftp等)

    nat server protocol xxxxx后面的自己去敲?去做吧-------------------

     

    注意:此时配置了nat server后,检验的不是用server去ping主机A的私网地址,即使你配置成功了依然是ping不通的,应该是去ping主机A的公网地址,即100.1.1.10,如果server能够piong通这个公网地址,就证明配置成功了。也可以通过检查nat转换的命令去查看。

     

    ---------------------------------------------------------------------------------------------------------------------------------

    如果NAT的公网地址不是公网端口的地址网段,需要根据情况在其他设备上做指向公网地址的静态路由

    基本的ip配置不再说了,直接上重点

    [R1-acl-ipv4-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255

    [R1]nat address-group 1

    [R1-address-group-1]address 100.3.1.1 100.3.1.10----此时的转换的公网地址不是 R1的100.1.1.0的地址,而是100.3.1.0网段的。现在先按照正常的nat配置来做,并在R1上面配置一条默认路由。

    [R1]ip route-static 0.0.0.0 0.0.0.0 100.1.1.2

    [R1]int g 0/1

    [R1-GigabitEthernet0/1]nat outbound 2000 address-group 1 no-pat

    如果是往常的话,此时私网的PC是可以ping通公网的PC,但是在这里不行,因为:R2回来的路由只能到达100.1.1.0的网段,100.3.1.0的不可达,所以要在R2上做一条指向公网地址的静态路由

    [R2]ip route-static 100.3.1.0 24 100.1.1.1

    这是就可以ping通了。

    ---------------------------------------------------------------------------------------------------------------------------------

     

     

     

     

    展开全文
  • FW-NAT配置.rar

    2020-01-16 15:51:47
    ENSP模拟常见的企业的NAT场景的配置过程。 这个企业在对外FTP服务的同时,还有部分员工需要通过NAT访问Internet。
  • 主要介绍了Linux 中LVS NAT 配置步骤的详解的相关资料,这里列出详细的实现步骤,需要的朋友可以参考下
  • ASA配nat配置实例

    2011-04-29 00:55:54
    asa讲述nat配置 195.21.1.0/24和11.11.11.0/24是本地网段,11.11.11.11假设为本地服务器 22.22.24.3为虚拟地址 13.1.0.0/24为外联公司网段(包括服务器) 无拓扑图
  • NE20NAT配置.pdf

    2021-09-30 18:04:56
    NE20NAT配置.pdf
  • NAT配置实验.pdf

    2021-09-30 18:04:36
    NAT配置实验.pdf
  • 华为eNSP:华为静态NAT,动态NAT配置实列

    千次阅读 多人点赞 2020-06-29 16:13:29
    华为eNSP:华为静态NAT,动态NAT配置实列拓扑图实验拓扑以及IP地址分配如下静态NAT(服务器地址转换)动态NAT代码展示交换机的代码路由器R1的代码路由器R2的代码配置展示交换机配置路由器R1配置路由器R2配置 ...

    拓扑图实验拓扑以及IP地址分配如下

    在这里插入图片描述

    静态NAT(服务器地址转换)

    • 静态NAT实现了私有地址和公有地址的一对一转换,一个公网地址对应一个私网地址

    动态NAT

    • 动态NAT基于地址池来实现私有地址和公有地址的转换,转换是随机的

    代码展示

    交换机的代码

    <Huawei>system-view 
    [Huawei]sysname SW1
    [SW1]vlan batch  10 20 30 40                                       ##创建VLAN
    [SW1]interface  GigabitEthernet 0/0/1                              ##进入线路
    [SW1-GigabitEthernet0/0/1]port link-type access                    ##定义他为access端口
    [SW1-GigabitEthernet0/0/1]port default vlan 10                     ##打标签
    [SW1]interface  GigabitEthernet 0/0/2
    [SW1-GigabitEthernet0/0/2]port link-type access
    [SW1-GigabitEthernet0/0/2]port default vlan 20
    [SW1]interface  GigabitEthernet 0/0/3
    [SW1-GigabitEthernet0/0/3]port link-type access
    [SW1-GigabitEthernet0/0/3]port default vlan 30
    [SW1]interface  GigabitEthernet 0/0/4
    [SW1-GigabitEthernet0/0/4]port link-type access
    [SW1-GigabitEthernet0/0/4]port default vlan 20
    [SW1]interface  GigabitEthernet 0/0/5
    [SW1-GigabitEthernet0/0/5]port link-type access
    [SW1-GigabitEthernet0/0/5]port default vlan 40
    [SW1]interface  GigabitEthernet 0/0/6
    [SW1-GigabitEthernet0/0/6]port link-type access
    [SW1-GigabitEthernet0/0/6]port default vlan 10
    [SW1]interface  Vlanif 10                                          ##进入VLAN
    [SW1-Vlanif10]ip address 192.168.10.1 24                           ##设置ip地址
    [SW1]interface  Vlanif 20
    [SW1-Vlanif10]ip address 192.168.20.1 24
    [SW1]interface  Vlanif 30
    [SW1-Vlanif10]ip address 192.168.30.1 24
    [SW1]interface  Vlanif 40
    [SW1-Vlanif10]ip address 11.0.0.2 24
    [SW1]ip route-static 0.0.0.0 0.0.0.0 11.0.0.1                      ##设置静态路由
    

    路由器R1的代码

    <Huawei>system-view 
    [Huawei]sysname R1
    [R1]]interface GigabitEthernet 0/0/0                               ##进入线路
    [R1-GigabitEthernet0/0/0]ip add 11.0.0.1 24                        ##设置ip地址
    [R1]]interface GigabitEthernet 0/0/0 
    [R1-GigabitEthernet0/0/1]ip add 12.0.0.1 24
    [R1]ip route-static 192.168.10.0 24 11.0.0.2                       ##设置静态路由
    [R1]ip route-static 192.168.20.0 24 11.0.0.2 
    [R1]ip route-static 192.168.30.0 24 11.0.0.2 
    [R1]ip route-static 0.0.0.0 0.0.0.0 12.0.0.2
    [R1]nat static global 8.8.8.8 inside 192.168.10.10                 ##静态nat设置
    [R1]]interface g 0/0/1                                       
    [R1-GigabitEthernet0/0/1]nat static enable                         ##开通nat服务
    [R1]nat address-group 1 212.0.0.100 212.0.0.200                    ##设置外网ip群
    [R1]acl 2000                                                       ##设置内网ip池名为2000
    [R1-acl-basic-2000]rule permit  source  192.168.20.0 0.0.0.255     ##设置地址池范围
    [R1-acl-basic-2000]rule permit source  11.0.0.0 0.0.0.255
    [R1-acl-basic-2000]int g 0/0/1
    [R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat  ##将内网地址池2000里面的ip转换成外网地址群里面address-group 1
    [R1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255
    [R1]int g 0/0/1
    [R1-GigabitEthernet0/0/1]nat outbound  3000
    [R1]int g 0/0/1
    [R1-GigabitEthernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www
    

    路由器R2的代码

    <Huawei>system-view 
    [Huawei]sysname R2
    [R2]interface GigabitEthernet 0/0/0
    [R2-GigabitEthernet0/0/0]ip add 12.0.0.2 24
    [R2]interface loo 0
    [R2-LoopBack0]ip add 114.114.114.114 32
    [R2]ip route-static 8.8.8.8 32 12.0.0.1
    [R2]ip route-static 212.0.0.0 24 12.0.0.1
    [R2]interface g 0/0/1
    [R2-GigabitEthernet0/0/1]ip add 13.0.0.1 24
    [R2]ip route-static 9.9.9.9 24 12.0.0.1
    

    配置展示

    交换机配置

    SW1交换机一配置
    vlan batch 10 20 30 40
    interface Vlanif10
     ip address 192.168.10.1 255.255.255.0
    interface Vlanif20
     ip address 192.168.20.1 255.255.255.0
    interface Vlanif30
     ip address 192.168.30.1 255.255.255.0
    interface Vlanif40
     ip address 11.0.0.2 255.255.255.0
    interface MEth0/0/1
    interface GigabitEthernet0/0/1
     port link-type access
     port default vlan 10
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 20
    interface GigabitEthernet0/0/3
     port link-type access
     port default vlan 30
    interface GigabitEthernet0/0/4
     port link-type access
     port default vlan 20
    interface GigabitEthernet0/0/5
     port link-type access
     port default vlan 40
    interface GigabitEthernet0/0/6
     port link-type access
     port default vlan 10
    ip route-static 0.0.0.0 0.0.0.0 11.0.0.1
    

    路由器R1配置

    acl number 2000  
     rule 5 permit source 192.168.20.0 0.0.0.255 
     rule 10 permit source 11.0.0.0 0.0.0.255 
    acl number 3000  
     rule 5 permit ip source 192.168.30.0 0.0.0.255 
     nat address-group 1 212.0.0.100 212.0.0.200
     nat static global 8.8.8.8 inside 192.168.10.10 netmask 255.255.255.255
    interface GigabitEthernet0/0/0
     ip address 11.0.0.1 255.255.255.0 
    interface GigabitEthernet0/0/1
     ip address 12.0.0.1 255.255.255.0 
     nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www
     nat outbound 2000 address-group 1 no-pat
     nat outbound 3000
     nat static enable
    ip route-static 0.0.0.0 0.0.0.0 12.0.0.2
    ip route-static 192.168.10.0 255.255.255.0 11.0.0.2
    ip route-static 192.168.20.0 255.255.255.0 11.0.0.2
    ip route-static 192.168.30.0 255.255.255.0 11.0.0.2
    
    

    路由器R2配置

    interface GigabitEthernet0/0/0
     ip address 12.0.0.2 255.255.255.0 
    interface GigabitEthernet0/0/1
     ip address 13.0.0.1 255.255.255.0 
    ip address 114.114.114.114 255.255.255.255 
    ip route-static 8.8.8.8 255.255.255.255 12.0.0.1
    ip route-static 9.9.9.9 255.255.255.255 12.0.0.1
    ip route-static 212.0.0.0 255.255.255.0 12.0.0.1
    
    展开全文
  • 文章目录作业十七:IPSec的防火墙配置实验环境实验思路实验步骤规划并配置IP划分区域OSPF配置VPN配置安全策略配置检查连通性加入公网设备PC3后实验环境IP配置NAT配置配置安全策略检查连通性配置NAT检查连通性实验...

    作业十七:IPSec的防火墙配置

    实验环境

    在这里插入图片描述

    实验思路

    • 规划并配置IP
    • 划分区域
    • OSPF配置
    • VPN配置
    • 安全策略配置
    • 检查连通性
    • 加入公网设备PC3后实验环境
    • IP配置
    • NAT配置
    • 安全策略配置
    • 检查连通性
    • NAT配置
    • 检查连通性

    实验步骤

    规划并配置IP

    PC1:

    在这里插入图片描述

    PC2:

    在这里插入图片描述

    FW1:

    [FW1]int g1/0/1
    [FW1-GigabitEthernet1/0/1]ip add 192.168.1.254 24
    
    [FW1-GigabitEthernet1/0/1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]ip add 200.10.1.1 24
    

    R2:

    [R2]int g0/0/0
    [R2-GigabitEthernet0/0/0]ip add 200.10.1.2 24
    
    [R2-GigabitEthernet0/0/0]int g0/0/1
    [R2-GigabitEthernet0/0/1]ip add 200.10.2.2 24
    

    FW3:

    [FW3]int g1/0/1
    [FW3-GigabitEthernet1/0/1]ip add 200.10.2.3 24
    
    [FW3-GigabitEthernet1/0/1]int g1/0/0
    [FW3-GigabitEthernet1/0/0]ip add 172.16.1.254 24
    
    划分区域

    FW1:

    [FW1]firewall zone trust
    [FW1-zone-trust]add int g1/0/1
    
    [FW1-zone-trust]firewall zone untrust
    [FW1-zone-untrust]add int g1/0/2
    

    FW3:

    [FW3]firewall zone trust
    [FW3-zone-trust]add int g1/0/0
    
    [FW3-zone-trust]firewall  zone untrust
    [FW3-zone-untrust]add int g1/0/1
    
    OSPF配置

    FW1:

    [FW1]ospf
    [FW1-ospf-1]area 0
    [FW1-ospf-1-area-0.0.0.0]int g1/0/2
    [FW1-GigabitEthernet1/0/2]os e a 0
    

    R2:

    [R2]ospf
    [R2-ospf-1]area 0
    [R2-ospf-1-area-0.0.0.0]int g0/0/0
    [R2-GigabitEthernet0/0/0]os e a 0
    [R2-GigabitEthernet0/0/0]int g0/0/1
    [R2-GigabitEthernet0/0/1]os e a 0
    

    FW3:

    [FW3]ospf
    [FW3-ospf-1]area 0
    [FW3-ospf-1-area-0.0.0.0]int g1/0/1
    [FW3-GigabitEthernet1/0/1]os e a 0
    
    VPN配置

    FW1:

    //感兴趣流
    [FW1]acl 3000
    [FW1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 172.16
    .1.0 0.0.0.255
    
    //ike安全提议
    [FW1]ike proposal 1
    [FW1-ike-proposal-1]di th  //验证与加密算法使用默认配置如下
    2021-03-31 08:23:53.010 
    #
    ike proposal 1
     encryption-algorithm aes-256
     dh group14
     authentication-algorithm sha2-256
     authentication-method pre-share
     integrity-algorithm hmac-sha2-256
     prf hmac-sha2-256
    #
    
    //ike对等体
    [FW1]ike peer fw3 
    [FW1-ike-peer-fw3]pre-shared-key cipher huawei
    [FW1-ike-peer-fw3]ike-proposal 1
    [FW1-ike-peer-fw3]remote-address 200.10.2.3
    
    //ipsec安全提议
    [FW1]ipsec proposal 2
    [FW1-ipsec-proposal-2]di th  //验证与加密算法使用默认配置如下
    2021-03-31 08:30:25.450 
    #
    ipsec proposal 2
     esp authentication-algorithm sha2-256
     esp encryption-algorithm aes-256
    #
    
    //ipsec策略
    [FW1]ipsec policy runtime 10 isakmp
    [FW1-ipsec-policy-isakmp-runtime-10]security acl 3000
    [FW1-ipsec-policy-isakmp-runtime-10]ike-peer fw3	
    [FW1-ipsec-policy-isakmp-runtime-10]proposal 2
    
    //绑定接口
    [FW1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]ipsec policy runtime
    
    //静态配置
    [FW1]ip route-static 172.16.1.0 24 200.10.1.2
    

    FW3:

    //感兴趣流
    [FW1]acl 3000
    [FW1-acl-adv-3000]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
    
    //ike安全提议
    [FW3]ike proposal 1
    [FW3-ike-proposal-1]di th  //验证与加密算法使用默认配置如下
    2021-03-31 08:37:43.780 
    #
    ike proposal 1
     encryption-algorithm aes-256
     dh group14
     authentication-algorithm sha2-256
     authentication-method pre-share
     integrity-algorithm hmac-sha2-256
     prf hmac-sha2-256
    #
    
    //ike对等体
    [FW3]ike peer fw1
    [FW3-ike-peer-fw1]pre-shared-key cipher huawei
    [FW3-ike-peer-fw1]ike-proposal 1
    [FW3-ike-peer-fw1]remote-address 200.10.1.1
    
    //ipsec安全提议
    [FW3]ipsec proposal 2
    [FW3-ipsec-proposal-2]di th  //验证与加密算法使用默认配置如下
    2021-03-31 08:44:56.380 
    #
    ipsec proposal 2
     esp authentication-algorithm sha2-256
     esp encryption-algorithm aes-256
    #
    
    //ipsec策略
    [FW3]ipsec policy aaa 10 isakmp
    [FW3-ipsec-policy-isakmp-runtime-10]security acl 3000
    [FW3-ipsec-policy-isakmp-runtime-10]ike-peer fw1	
    [FW3-ipsec-policy-isakmp-runtime-10]proposal 2
    
    //绑定接口
    [FW3]int g1/0/1
    [FW3-GigabitEthernet1/0/1]ipsec policy aaa
    
    //静态配置
    [FW3]ip route-static 192.168.1.0 24 200.10.2.2
    
    安全策略配置

    FW1:

    [FW1]security-policy
    
    [FW1-policy-security]rule name t_u
    [FW1-policy-security-rule-t_u]source-zone trust
    [FW1-policy-security-rule-t_u]destination-zone untrust
    [FW1-policy-security-rule-t_u]source-address 192.168.1.0 24
    [FW1-policy-security-rule-t_u]destination-address 172.16.1.0 24
    [FW1-policy-security-rule-t_u]service icmp
    [FW1-policy-security-rule-t_u]action permit 
    
    [FW1-policy-security-rule-t_u]q
    [FW1-policy-security]rule name u_l
    [FW1-policy-security-rule-u_l]source-zone untrust
    [FW1-policy-security-rule-u_l]destination-zone local
    [FW1-policy-security-rule-u_l]source-address 200.10.2.3 32
    [FW1-policy-security-rule-u_l]destination-address 200.10.1.1 32
    [FW1-policy-security-rule-u_l]service esp
    [FW1-policy-security-rule-u_l]action permit 
    
    [FW1-policy-security-rule-u_l]q
    [FW1-policy-security]q
    [FW1]ip service-set isakmp type object 16
    [FW1-object-service-set-isakmp]service protocol udp source-port 500
    [FW1-object-service-set-isakmp]q
    [FW1]security-policy
    [FW1-policy-security]rule name isakmp
    [FW1-policy-security-rule-isakmp]source-zone local
    [FW1-policy-security-rule-isakmp]source-zone untrust
    [FW1-policy-security-rule-isakmp]destination-zone local
    [FW1-policy-security-rule-isakmp]destination-zone untrust
    [FW1-policy-security-rule-isakmp]source-address 200.10.2.3 32
    [FW1-policy-security-rule-isakmp]source-address 200.10.1.1 32
    [FW1-policy-security-rule-isakmp]destination-address 200.10.1.1 32
    [FW1-policy-security-rule-isakmp]destination-address 200.10.2.3 32
    [FW1-policy-security-rule-isakmp]service isakmp
    [FW1-policy-security-rule-isakmp]action permit 
    
    
    

    FW3:

    [FW3]security-policy
    
    [FW3-policy-security]rule name t_u
    [FW3-policy-security-rule-t_u]source-zone trust
    [FW3-policy-security-rule-t_u]source-zone untrust
    [FW3-policy-security-rule-t_u]destination-zone trust
    [FW3-policy-security-rule-t_u]destination-zone untrust
    [FW3-policy-security-rule-t_u]source-address 192.168.1.0 24
    [FW3-policy-security-rule-t_u]source-address 172.16.1.0 24
    [FW3-policy-security-rule-t_u]destination-address 172.16.1.0 24
    [FW3-policy-security-rule-t_u]destination-address 192.168.1.0 24
    [FW3-policy-security-rule-t_u]service icmp
    [FW3-policy-security-rule-t_u]action permit 
    
    [FW3-policy-security-rule-t_u]q
    [FW3-policy-security]rule name u_l
    [FW3-policy-security-rule-u_l]source-zone untrust
    [FW3-policy-security-rule-u_l]destination-zone local
    [FW3-policy-security-rule-u_l]source-address 200.10.1.1 32
    [FW3-policy-security-rule-u_l]destination-address 200.10.2.3 32
    [FW3-policy-security-rule-u_l]service esp
    [FW3-policy-security-rule-u_l]action permit 
    
    [FW3-policy-security-rule-u_l]q
    [FW3-policy-security]q
    [FW3]ip service-set isakmp type object 16
    [FW3-object-service-set-isakmp]service protocol udp source-port 500
    [FW3-object-service-set-isakmp]q
    [FW3-policy-security]rule name isakmp
    [FW3-policy-security-rule-isakmp]source-zone local
    [FW3-policy-security-rule-isakmp]source-zone untrust
    [FW3-policy-security-rule-isakmp]destination-zone local
    [FW3-policy-security-rule-isakmp]destination-zone untrust
    [FW3-policy-security-rule-isakmp]source-address 200.10.2.3 32
    [FW3-policy-security-rule-isakmp]source-address 200.10.1.1 32
    [FW3-policy-security-rule-isakmp]destination-address 200.10.1.1 32
    [FW3-policy-security-rule-isakmp]destination-address 200.10.2.3 32
    [FW3-policy-security-rule-isakmp]service isakmp
    [FW3-policy-security-rule-isakmp]action permit 
    
    检查连通性

    PC1 ping PC2:

    PC>ping 172.16.1.1
    
    Ping 172.16.1.1: 32 data bytes, Press Ctrl_C to break
    Request timeout!
    From 172.16.1.1: bytes=32 seq=2 ttl=126 time=15 ms
    From 172.16.1.1: bytes=32 seq=3 ttl=126 time=15 ms
    From 172.16.1.1: bytes=32 seq=4 ttl=126 time=15 ms
    From 172.16.1.1: bytes=32 seq=5 ttl=126 time=15 ms
    
    --- 172.16.1.1 ping statistics ---
      5 packet(s) transmitted
      4 packet(s) received
      20.00% packet loss
      round-trip min/avg/max = 0/15/15 ms
    

    对R2的g0/0/0抓包:

    在这里插入图片描述

    加入公网设备PC3后实验环境

    在这里插入图片描述

    IP配置

    PC3:

    在这里插入图片描述

    R2:

    [R2]int g0/0/2
    [R2-GigabitEthernet0/0/2]ip add 200.10.3.254 24
    
    NAT配置

    FW1:

    //配置地址池
    [FW1]nat address-group 1
    [FW1-address-group-1]section 200.10.1.10 200.10.1.10
    
    //配置NAT策略
    [FW1]nat-policy 
    [FW1-policy-nat-rule-no_nat]q
    [FW1-policy-nat]rule name t_u
    [FW1-policy-nat-rule-t_u]source-zone trust
    [FW1-policy-nat-rule-t_u]destination-zone untrust
    [FW1-policy-nat-rule-t_u]source-address 192.168.1.0 24
    [FW1-policy-nat-rule-t_u]action source-nat address-group 1
    
    配置安全策略

    FW1:

    //配置安全策略
    [FW1]security-policy
    [FW1-policy-security]rule name nat
    [FW1-policy-security-rule-nat]source-zone trust
    [FW1-policy-security-rule-nat]destination-zone untrust
    [FW1-policy-security-rule-nat]source-address 192.168.1.0 24
    [FW1-policy-security-rule-nat]service icmp
    [FW1-policy-security-rule-nat]action permit 
    
    //配置静态路由
    [FW1]ip route-static 0.0.0.0 0 200.10.1.2 
    
    检查连通性

    PC1 ping PC3

    PC>ping 200.10.3.3
    
    Ping 200.10.3.3: 32 data bytes, Press Ctrl_C to break
    Request timeout!
    From 200.10.3.3: bytes=32 seq=2 ttl=126 time=16 ms
    From 200.10.3.3: bytes=32 seq=3 ttl=126 time=16 ms
    From 200.10.3.3: bytes=32 seq=4 ttl=126 time=16 ms
    From 200.10.3.3: bytes=32 seq=5 ttl=126 time<1 ms
    
    --- 200.10.3.3 ping statistics ---
      5 packet(s) transmitted
      4 packet(s) received
      20.00% packet loss
      round-trip min/avg/max = 0/12/16 ms
    

    对R2的g0/0/0抓包

    在这里插入图片描述

    此时用PC1 ping PC2无法成功,因为NAT协议将封装后的包源地址改变为公网地址,路由表无法转发,因此需要禁止对源目地址为192.168.1.1和172.16.1.1的包实行NAT策略。

    配置NAT

    FW1:

    [FW1]nat-policy 
    [FW1-policy-nat]rule name no_nat
    [FW1-policy-nat-rule-no_nat]source-zone trust
    [FW1-policy-nat-rule-no_nat]destination-zone untrust
    [FW1-policy-nat-rule-no_nat]source-address 192.168.1.0 24
    [FW1-policy-nat-rule-no_nat]destination-address 172.16.1.0 24
    [FW1-policy-nat-rule-no_nat]action no-nat
    
    //将no_nat移到t_u之前
    [FW1-policy-nat]rule move no_nat before t_u
    
    检查连通性

    PC1 ping PC2

    PC>ping 172.16.1.1
    
    Ping 172.16.1.1: 32 data bytes, Press Ctrl_C to break
    Request timeout!
    From 172.16.1.1: bytes=32 seq=2 ttl=126 time=15 ms
    From 172.16.1.1: bytes=32 seq=3 ttl=126 time=15 ms
    From 172.16.1.1: bytes=32 seq=4 ttl=126 time=15 ms
    From 172.16.1.1: bytes=32 seq=5 ttl=126 time=15 ms
    
    --- 172.16.1.1 ping statistics ---
      5 packet(s) transmitted
      4 packet(s) received
      20.00% packet loss
      round-trip min/avg/max = 0/15/15 ms
    

    PC1 ping PC3

    PC>ping 200.10.3.3
    
    Ping 200.10.3.3: 32 data bytes, Press Ctrl_C to break
    Request timeout!
    From 200.10.3.3: bytes=32 seq=2 ttl=126 time=16 ms
    From 200.10.3.3: bytes=32 seq=3 ttl=126 time=16 ms
    From 200.10.3.3: bytes=32 seq=4 ttl=126 time=16 ms
    From 200.10.3.3: bytes=32 seq=5 ttl=126 time=31 ms
    
    --- 200.10.3.3 ping statistics ---
      5 packet(s) transmitted
      4 packet(s) received
      20.00% packet loss
      round-trip min/avg/max = 0/19/31 ms
    

    实验总结

    ​ 本次实验学习了IPSec的防火墙配置方法。相较于路由器而言,防火墙则需要多出的步骤就是划分区域和配置安全策略。配置安全策略需要多配置一个isakmp策略用于让封装VPN的包来回传递。若要让私网的主机访问公网的主机需要进行地地址转换,配置NAT,注意策略的顺序,策略匹配从前往后,先匹配的要放在前面。

    展开全文
  • huawei路由器NAT配置

    2020-12-20 15:07:10
    这里写自定义目录标题配置静态路由动态NAT HCIA课堂笔记 NAT 配置静态路由 ip route-static 0.0.0.0 0.0.0.0 12.1.2.2 NAT映射: [ARl-GigabitEthernet0/0/1]nat static global 122.1.2.1 inside 192.168.1.1 将122...

    这里写自定义目录标题


    HCIA课堂笔记
    NAT

    配置静态路由

    ip route-static 0.0.0.0 0.0.0.0 12.1.2.2
    

    NAT映射:

    [ARl-GigabitEthernet0/0/1]nat static global 122.1.2.1 inside 192.168.1.1
    将122映射为192
    

    看当前路由

    [AR2]dis cur | in ip route
    

    动态NAT

    创建IP池:

    [AR1]nat address-group 1 122.1.2.11 122.1.2.13
    

    允许转换:

    [AR1]ac1 2000
    [AR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
    

    在OSPF中宣告是要bai加反掩码的0.0.0.255转换为二进制的00000000 00000000 00000000 11111111,0表示精确匹配,1表示任意100个匹配。

    除此之外不允许:

    [ARl-acl-basic-2000]rule deny
    

    允许ACL(访问控制列表) 2000中的规则:

    [AR1-GigabitEthernet0/0/1]nat outbound 2000
    [AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
    

    no-pat:即No-PAT(No-Port Address Translation,非端口地址转换)

    采用端口转换:

    [AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
    

    查看NAT表项:

    [ARl]dis nat session all
    
    展开全文
  • NAT配置实验

    千次阅读 2019-12-14 00:50:38
    NAT配置 router1为至少有一个有效的外部全球IP的NAT路由器,PC1想与外界通信时就在NAT路由上将自己的本地地址转化为全球IP地址。 以图片为例(IP地址,静态路由已配好),只需在路由器中...
  • 防火墙的nat配置

    千次阅读 2021-02-28 20:44:11
    1.防火墙源nat配置 配置相应安全区域 [FW1]firewall zone trust [FW1-zone-trust]add interface g1/0/1 [FW1]firewall zone untrust [FW1-zone-untrust]add interface g1/0/4 [FW1]firewall zone dmz [FW1-zone-dmz]...
  • ENSP配置 实例九 动态Nat配置

    千次阅读 2020-06-19 12:03:31
    ENSP配置 实例九 动态Nat配置 动态nat配置 sy [Huawei]sy R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 200.0.12.1...
  • 路由器的NAT配置

    千次阅读 2019-10-11 19:51:02
    因为公网ip的数量有限,要联网的计算机很多,所以要用nat技术进行地址转换。...三、NAT配置 R0 的配置 Router(config)#ip route 192.168.2.0 255.255.255.0 12.1.1.2 Router(config)#access-list 1 perm...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 125,420
精华内容 50,168
关键字:

nat配置