返回
华为防火墙nat配置命令

华为防火墙nat配置命令

ID:10021328

大小:55.00 KB

页数:4页

时间:2018-05-21

华为防火墙nat配置命令_第1页
华为防火墙nat配置命令_第2页
华为防火墙nat配置命令_第3页
华为防火墙nat配置命令_第4页
资源描述:

《华为防火墙nat配置命令》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、私网用户通过NAPT方式访问Internet(备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。)本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。组网需求如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21

2、~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。图1配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。2.配置安全策略,允许私网指定网段访问Internet。3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP地址访问Internet。4.配置黑洞路由,防止产生路由环路。操作步骤1.配置USG9000的接口IP地址,并将接口加入安全区域

3、。#配置接口GigabitEthernet1/0/1的IP地址。system-view[USG9000]interfaceGigabitEthernet1/0/1[USG9000-GigabitEthernet1/0/1]ipaddress10.1.1.1024[USG9000-GigabitEthernet1/0/1]quit#配置接口GigabitEthernet1/0/2的IP地址。[USG9000]interfaceGigabitEthernet1/0/2[USG9000-GigabitEtherne

4、t1/0/2]ipaddress202.169.1.124[USG9000-GigabitEthernet1/0/2]quit#将接口GigabitEthernet1/0/1加入Trust区域。[USG9000]firewallzonetrust[USG9000-zone-trust]addinterfaceGigabitEthernet1/0/1[USG9000-zone-trust]quit#将接口GigabitEthernet1/0/2加入Untrust区域。[USG9000]firewallzoneuntrust[US

5、G9000-zone-untrust]addinterfaceGigabitEthernet1/0/2[USG9000-zone-untrust]quit2.配置安全策略,允许私网网段10.1.1.0/24的用户访问Internet。3.[USG9000]policyinterzonetrustuntrustoutbound4.[USG9000-policy-interzone-trust-untrust-outbound]policy15.[USG9000-policy-interzone-trust-untrust-out

6、bound-1]policysource10.1.1.00.0.0.2556.[USG9000-policy-interzone-trust-untrust-outbound-1]actionpermit7.[USG9000-policy-interzone-trust-untrust-outbound-1]quit[USG9000-policy-interzone-trust-untrust-outbound]quit1.配置NAT地址池和NAT策略。#配置NAT地址池的模式为PAT,即采用NAPT功能复用公网IP地址,并指

7、定可用于NAT转换的公网IP地址。[USG9000]nataddress-group1[USG9000-address-group-1]modepat[USG9000-address-group-1]section202.169.1.21202.169.1.25[USG9000-address-group-1]quit(注;有些低版本的防火墙不能这样配置,配置应为:[USG9000]nataddress-group1起始地址结束地址[USG9000-address-group-1]quit)#配置NAT策略,限定只对源地址为1

8、0.1.1.0/24网段的流量进行NAT转换,并绑定NAT地址池1。[USG9000]nat-policyinterzonetrustuntrustoutbound[USG9000-nat-policy-interzone-trust-untrust-outbound]pol

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。