IPv4地址空間已於2011年元月分配完畢,公網地址資源有限,為了解決IP地址資源短缺的問題,NAT技術誕生。
NAT:網絡地址轉換
1、靜態NAT(一對一映射):用於路由器與防火牆,一對一綁定映射。
2、動態NAT(NAT地址池):基於NAT地址池來實現私有地址和共有地址的轉換。
3、NAPT(網絡地址端口轉換):允許多個內部地址映射到同一個共有地址不同端口。
4、esay-ip:允許多個內部地址映射到網關出接口地址上的不同端口。
5、NAT Server:將公網地址轉換為私網地址,由外部訪問內部。
組網需求:
某企業主要分為市場部和研發部兩個部門,組網如圖5-3所示,FW位於企業網出口,
該企業部署了兩條接入Internet的鏈路ISP-A、ISP-B。ISP-A上網速度快、網絡速度穩定
但市場部對網速要求比較高,通過鏈路ISP-A訪問Internet。
研發部對網速要求不高,通過鏈路ISP-B來訪問Internet,費用較高,ISP-B上網費用低廉,但是網速相對慢一些。
實驗拓撲:
實驗步驟:
1:運營商路由器的配置
(1)路由器1
<Huawei>undo terminal monitor
<Huawei>sys
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.10.1.2 24
[R1-GigabitEthernet0/0/0]quit
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0/1]quit
(2)路由器2
<Huawei>undo terminal mo
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.20.1.2 24
[R2-GigabitEthernet0/0/0]quit
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 200.1.1.1 24
[R2-GigabitEthernet0/0/1]quit
2:配置接口IP地址和安全區域,完成網絡基本參數配置。
<USG6000V1>undo terminal monitor
<USG6000V1>sys
[USG6000V1]sysname FW
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.10.1.1 255.255.255.0
[FW-GigabitEthernet1/0/2] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/3] ip address 10.1.2.1 255.255.255.0 sub
[FW-GigabitEthernet1/0/3] quit
[FW] interface GigabitEthernet 1/0/4
[FW-GigabitEthernet1/0/4] ip address 10.20.1.1 255.255.255.0
[FW-GigabitEthernet1/0/4] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-zone-untrust] add interface GigabitEthernet 1/0/4
[FW-zone-untrust] quit
3:設置防火牆的路由
[FW]ip route-static 100.1.1.0 24 10.10.1.2
[FW]ip route-static 200.1.1.0 24 10.20.1.2
2:配置Trust區域和Untrust區域之間的安全策略,允許企業內部用戶訪問外網資源。假設內部用戶網段為10.1.1.0/24和10.1.2.0/24。
[FW] security-policy
[FW-policy-security] rule name sec_1
[FW-policy-security-rule-policy_sec_trust_untrust] source-zone trust
[FW-policy-security-rule-policy_sec_trust_untrust] destination-zone untrust
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.1.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] source-address 10.1.2.0 24
[FW-policy-security-rule-policy_sec_trust_untrust] action permit
[FW-policy-security-rule-policy_sec_trust_untrust] quit
[FW-policy-security] quit
3:配置IP-Link功能,檢測鏈路狀態。
[FW] ip-link check enable
[FW] ip-link name pbr_1
[FW-iplink-pbr_1] destination 10.10.1.2 interface GigabitEthernet 1/0/2
[FW-iplink-pbr_1] quit
[FW] ip-link name pbr_2
[FW-iplink-pbr_2] destination 10.20.1.2 interface GigabitEthernet 1/0/4
[FW-iplink-pbr_2] quit
4:創建策略路由“pbr_1”和“pbr_2”,從Trust區域接收的屬於市場部的報文發送到下一
跳10.20.1.2,從Trust區域接收的屬於研發部的報文發送到下一跳10.10.1.2。
[FW] policy-based-route
[FW-policy-pbr] rule name pbr_1
[FW-policy-pbr-rule-pbr_1] description pbr_1
[FW-policy-pbr-rule-pbr_1] source-zone trust
[FW-policy-pbr-rule-pbr_1] source-address 10.1.1.0 24
[FW-policy-pbr-rule-pbr_1] track ip-link pbr_1
[FW-policy-pbr-rule-pbr_1] action pbr next-hop 10.10.1.2
[FW-policy-pbr-rule-pbr_1] quit
[FW-policy-pbr] rule name pbr_2
[FW-policy-pbr-rule-pbr_2] description pbr_2
[FW-policy-pbr-rule-pbr_2] source-zone trust
[FW-policy-pbr-rule-pbr_2] source-address 10.1.2.0 24
[FW-policy-pbr-rule-pbr_2] track ip-link pbr_2
[FW-policy-pbr-rule-pbr_2] action pbr next-hop 10.20.1.2
[FW-policy-pbr-rule-pbr_2] quit
[FW-policy-pbr] quit
5:NAT的設置
[FW]nat-policy
[FW-policy-nat]rule name nat_1
[FW-policy-nat-rule-nat_1]source-zone trust
[FW-policy-nat-rule-nat_1]destination-zone untrust
[FW-policy-nat-rule-nat_1]action nat easy-ip
[FW-policy-nat-rule-nat_1]quit
[FW-policy-nat]quit
6:最后測試內網到外網的連通性
抓包查看一下,此時可以看到源IP進行了轉換。
