使用ensp模擬器中的防火牆（USG6000V）配置NAT（網頁版）

使用ensp模擬器中的防火牆（USG6000V）配置NAT（網頁版）
一、NAT介紹

NAT（Network Address Translation，網絡地址轉換）：
簡單來說就是將內部私有地址轉換成公網地址。在NAT中，涉及到內部本地地址、內部全局地址、外部本地地址、外部全局地址。它們的含義是：
內部本地地址：內網中設備所使用的 IP 地址，此地址通常是一個私有地址。
內部全局地址：公有地址，通常是 ISP 所提供的，由內網設備與外網設備通信時所使用到的。
外部本地地址：外網中設備所使用的地址，這個地址是在面向內網設備時所使用的，它不一定是一個公網地址。
外部全局地址：外網設備所使用的真正的地址，是公網地址。

NAT的分類：
根據轉化方式的不同，NAT可以分為三類：
源NAT：源地址轉化的NAT。如NO—PAT, NAPT, Easy_ip
目的NAT：將目的地址進行轉化的NAT。如NAT-Server
雙向NAT：即將源地址和目的地址都做NAT轉換。

NAT的優缺點：
優點：
1、減緩了可用的IP地址空間的枯竭。
2、隱藏了內部網絡的網絡結構，避免了來自外部的網絡攻擊。
缺點：
1、網絡監控的難度加大
2、限制了某些具體應用

NAT所面臨的問題：
1、NAT違反了IP地址結構模型的設計原則。因為IP地址結構模型的基礎是每個IP地址均標識了一個網絡的連接，而NAT使得有很多主機可能同時使用相同的地址。
2、NAT使得IP協議從面向無連接變成面向連接。NAT必須維護專用IP地址與公用IP地址以及端口號的映射關系。在TCP/IP協議體系中，如果一個路由器出現故障，不會影響到TCP協議的執行。而當存在NAT時，最初設計的TCP/IP協議過程將發生變化，Internet可能變得非常脆弱。
3、NAT違反了基本的網絡分層結構模型的設計原則。因為在傳統的網絡分層結構模型中，第N層是不能修改第N+1層的報頭內容的。NAT破壞了這種各層獨立的原則。
4、限制了某些應用的使用。如由於NAT的存在，使得P2P應用實現出現困難，因為P2P的文件共享與語音共享都是建立在IP協議的基礎上的。
5、NAT同時存在對高層協議和安全性的影響問題。

有人會問，既然NAT存在這么多的問題，那為什么還使用它呢？因為NAT的存在總體來說是“利大於弊”的，不能因為存在一些這樣那樣的問題就否決它。

下面開始講解防火牆配置NAT。（源NAT轉換）（網頁版）
二、NAT拓撲圖

在這里插入圖片描述
三、配置

1、將兩台電腦配置好ip地址、子網掩碼、網關。一台模擬公司內部的電腦（192.168.1.1/24）（屬於trust區域）。一台模擬公網上的電腦（23.1.1.1/24）（屬於untrust區域）。

2、路由器的配置：

[Huawei]sysname ar1
[ar1]interface GigabitEthernet 0/0/0
[ar1-GigabitEthernet0/0/0]ip address 12.1.1.2 255.255.255.0
[ar1-GigabitEthernet0/0/0]quit
[ar1]interface GigabitEthernet 0/0/1
[ar1-GigabitEthernet0/0/1]ip address 23.1.1.2 255.255.255.0
[ar1-GigabitEthernet0/0/1]quit
[ar1]quit
save

3、雲的配置：

（1）首先，防火牆默認只有GigabitEthernet0/0/0是受信任端口，所以雲必須和防火牆的GigabitEthernet0/0/0相連。
（2）防火牆的GigabitEthernet0/0/0端口默認地址是192.168.0.1，所以必須將雲的網卡地址設置為192.168.0.0/24網段，才能實現通過web連接防火牆。
在這里插入圖片描述
在這里插入圖片描述
在這里插入圖片描述
4、防火牆的配置

（1）USG6000V防火牆的默認帳號是admin，默認密碼是Admin@123。必須修改一下密碼。
（2）防火牆的各個端口默認是禁止任何操作的。如ping操作、telnet操作、ssh操作、http（s）操作。所以，需要把各個操作打開。
service-manage all permit
在這里插入圖片描述
[fw1]interface GigabitEthernet 0/0/0
[fw1-GigabitEthernet0/0/0]service-manage all permit
[fw1-GigabitEthernet0/0/0]quit
[fw1]interface GigabitEthernet 1/0/1
[fw1-GigabitEthernet1/0/1]service-manage all permit
[fw1-GigabitEthernet1/0/1]quit
[fw1]interface GigabitEthernet 1/0/0
[fw1-GigabitEthernet1/0/0]service-manage all permit
[fw1-GigabitEthernet1/0/0]quit
[fw1]quit
save

（3）打開瀏覽器，輸入192.168.0.1即可進入配置防火牆界面。

1）在網絡——接口中，配置各個接口的ip地址和所屬區域。
在這里插入圖片描述
在這里插入圖片描述
2）新建所需的各個地址段和ip地址池。
在這里插入圖片描述
在這里插入圖片描述
3）新建NAT策略。
在這里插入圖片描述
4）新建安全轉發策略。
在這里插入圖片描述
5）增加一條靜態路由。
在這里插入圖片描述
6）最后一定要記得保存！
最后一定要記得保存！
最后一定要記得保存！
四、驗證

1、內部電腦ping內部全局地址（12.1.1.1）
在這里插入圖片描述
2、內部電腦ping公網電腦
在這里插入圖片描述
3、公網電腦ping內部電腦**（ping不通是因為本次實驗做的是easy ip，即只做源地址轉換的NAT，所以外網根本就無法與內網通信）**
在這里插入圖片描述
4、在防火牆上查看NAT地址轉換的情況
在這里插入圖片描述

————————————————
版權聲明：本文為CSDN博主「西瓜~」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/weixin_43996007/article/details/103783340