搜档网
当前位置:搜档网 › 防火墙nat

防火墙nat

防火墙nat
防火墙nat

1、PAT

Object network inside-outside-all

subnet 0.0.0.0 0.0.0.0

nat (inside,outside) dynamic interface

原有的语法:

nat (inside) 1 0 0

global (outside) 1 interface

2、多公网地址

object network inside-outside-translate

Range 10.1.1.1 10.1.1.100

object network inside-outside-all

subnet 0.0.0.0 0.0.0.0

nat (inside,outside) static inside-outside-translate

原有的语法:

nat (inside) 1 0 0

global (outside) 1 10.1.1.1 10.1.1.100

3、static nat

object network server-static

host 10.1.1.1

object network inside-server

host 200.0.9.10

nat (inside,outside) static server-static

原有语法:

static (inside,outside) 10.1.1.1 200.0.9.10 netmask 255.255.255.255

4、静态端口映射

object network Static-Outside-Address

host 200.1.1.1

object network Static-Inside-Address

host 10.1.1.1

nat (Inside,Outside) static Static-Outside-Address service tcp telnet 23 or nat (Inside,Outside) static 200.1.1.1 service tcp telnet 23

原有的语法:

static (inside,outside) tcp 200.1.1.1 23 10.1.1.1 23 netmask 255.255.255.255

1、配置路由

route outside 0.0.0.0 0.0.0.0 112.x.17.10

route inside 192.168.60.0 255.255.255.0 192.168.199.2

2、配置pat

object network inside-outside-all

subnet 0.0.0.0 0.0.0.0

nat(inside,outside)dynamic interface

3、配置acl

access-list 101 extended permit ip any any

access-group 101 in interface outside

在配置之前必须了解的....

一. PIX 6.3之前的版本,防火墙比较土,只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是不能穿越防火墙的。PIX 7.0以后,可以通过关闭nat-control(PIX 7.0以后默认也是关闭的),使得流量不需要任何转换项也能正常的像路由器一样穿越防火墙。当然,如果开启nat-control,规则与6.3之前一样。

二. 在nat-control开启的情况下:

不同security level的端口之间通讯必须有nat rule匹配,否则不通。

same security level的端口之间不需要nat rule,但一旦配置了nat,所有流量都必须匹配nat rule。(需要配置same-security-level permit inter-interface,注意此时相同安全级别端口之间的通讯不受任何限制,包括ACL)

三. 很多人连路由和NAT都未分清楚就开始配置了,到头来就算能ping到,但却不知道什么原理。这是很悲剧的一件事。按着上面的例子,现在我们想R1通过ASA的nat访问R3,

要怎么做??注意了是通过NAT访问,而不是把ASA配置为路由器那样。特别强调一点,很多人用模拟器来模拟公网那个路由器,但却在模拟的公网路由器上加一条默认路由指向ASA,这是错误的。虽然那样可以让R1访问R3,但ASA不是用来路由的,是用来承载NAT 压力的?废话少说......

实验拓扑:

eg. R1----------inside------ASA-----outside----------R3

192.168.2.2 192.168.2.1 172.16.8.1 172.16.8.10

ASA配置

1. 配置outside接口放行的acl

access-list acl permit ip any any

access-group acl in interface outside

解析: 只配置IP,不配置其他任何设置, R1是可以ping通R3的,不过前提条件是要在ASA 的outside接口配置好放行的acl。为什么要配置ACL?不是说ASA已经变成路由器了么?你还要知道ping是双向通信的,但有R1向R3发送icmp request而R3不能向R1发送icmp reply,那样整个通信是不生效的。而ASA内部规定了低安全区域向高安全区域访问必须要配置相应的放行ACL。此时ASA就像路由器一样。

2. 配置nat

nat (inside) 1 0.0.0.0 0.0.0.0

globle (outside) 1 interface

解析:这两句话的意思是把inside区域的所有地址进行映射,映射为outside端口的那个公网IP地址。同时记得不要在outside的路由器上配置一条指向ASA的默认路由。这时在R1上ping 172.16.8.10是通的,说明NAT已经成功匹配,你可以在ASA上用debug icmp trace 查看。

3. 配置默认路由

route outside 0.0.0.0 0.0.0.0 172.16.8.10

解析: NAT配置成功不代表R1就可以访问公网的所有地址,如果此时在R3上加一个lo 0接口,ip地址是3.3.3.3。那么R1 ping 3.3.3.3是不通的,为什么不通??因为ASA只告诉了R1通过nat可以到达172.16.8.10这一个地址,而没有告诉R1如何到达其他outside的地址。所以必须要在ASA上配置一条对外默认,route outside 0.0.0.0 0.0.0.0 172.16.8.10。这样R1的流量可以通过ASA路由出去,回包通过ASA的NAT回来,整个通讯就可以完整地建立起来。R3也永远只知道172.16.8.1这个地址在跟自己通信,而不知道inside区域的R1地址。

感觉自己说得很白了...............

华为防火墙NAT配置命令

私网用户通过NAPT方式访问Internet (备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。) 本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。组网需求 如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路 1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。 2.配置安全策略,允许私网指定网段访问Internet。 3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP 地址访问Internet。 4.配置黑洞路由,防止产生路由环路。

操作步骤 1.配置USG9000的接口IP地址,并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。 system-view [USG9000] interface GigabitEthernet 1/0/1 [USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24 [USG9000-GigabitEthernet1/0/1] quit # 配置接口GigabitEthernet 1/0/2的IP地址。 [USG9000] interface GigabitEthernet 1/0/2 [USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24 [USG9000-GigabitEthernet1/0/2] quit # 将接口GigabitEthernet 1/0/1加入Trust区域。 [USG9000] firewall zone trust [USG9000-zone-trust] add interface GigabitEthernet 1/0/1 [USG9000-zone-trust] quit # 将接口GigabitEthernet 1/0/2加入Untrust区域。 [USG9000] firewall zone untrust [USG9000-zone-untrust] add interface GigabitEthernet 1/0/2 [USG9000-zone-untrust] quit 2.配置安全策略,允许私网网段10.1.1.0/24的用户访问Internet。 3.[USG9000] policy interzone trust untrust outbound 4.[USG9000-policy-interzone-trust-untrust-outbound] policy 1 5.[USG9000-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.255 6.[USG9000-policy-interzone-trust-untrust-outbound-1] action permit 7.[USG9000-policy-interzone-trust-untrust-outbound-1] quit [USG9000-policy-interzone-trust-untrust-outbound] quit

ASA防火墙NAT转换方法

nat-control命令 在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是不能穿越防火墙的,但是到了7.0这个规则有了变化,不需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了!当你打上nat-control这个命令的时候,这个规则就改变得和 6.3时代一样必须要有转换项才能穿越防火墙了。7.0以后开始nat-control是默认关闭的,关闭的时候允许没有配置NA T规则的前提下和外部主机通信,相当于路由器一样,启用NA T开关后内外网就必须通过NA T转换才能通信 1、定义外口 interface Ethernet0/0 进入端口 nameif outside 定义端口为外口 security-level 0 定义安全等级为0 no shut 激活端口 ip address ×.×.×.× 255.255.255.248 设置IP 2、定义内口 interface Ethernet0/1 nameif inside 定义端口为内 security-level 100 定义端口安去昂等级为100 no shut ip address 192.168.1.1 255.255.255.0 3、定义内部NA T范围。 nat (inside) 1 0.0.0.0 0.0.0.0 任何IP都可以NA T,可以自由设置范围。 4、定义外网地址池 global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240 或 global (outside) 1 interface 当ISP只分配给一个IP是,直接使用分配给外口的IP地址。5、设置默认路由 route outside 0 0 218.17.148.14指定下一条为IPS指定的网关地址 查看NA T转换情况 show xlate 要想配置思科的防火墙得先了解这些命令: 常用命令有:nameif、interface、ip address、nat、global、route、static等。 global 指定公网地址范围:定义地址池。 Global命令的配置语法: global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中: (if_name):表示外网接口名称,一般为outside。

防火墙透明模式做双向NAT案例

防火墙透明模式下做双向NAT典型配置 一、组网需求 如下图所示:某市银行通过外联路由器连接国税,地税等外联单位,通过骨干路由器连接银行骨干网。为了保证内网的安全,在外联单位和内网之间部署了一台USG防火墙,通过严格的规则限制内网和外联单位之间的互相访问。 具体需求如下: ●防火墙采用透明模式接入,不影响原有的网络结构和地址规划。G0/0/0连接内网核心交 换,TRUST区域,G0/0/1连接外联路由器,UNTRUST区域。 ●业务访问需求:外联单位只能够访问内网的业务前置机的特定端口。内网的业务前置机 和某些终端可以访问外联单位的业务主机。 ●对外联单位发布一个业务前置机的虚地址,对内网用户发布一个外联单位业务主机的虚 地址。 ●外联单位业务主机只允许固定的某个地址可以访问。 ●为了保证内网安全,不能在内网的核心三层交换机上配置到到外联单位的路由。 ●为了保证路由器性能,外联路由器只做路由转发,通过防火墙做NAT策略。 二、IP地址,NAT地址规划:

三、配置思路 配置USG的工作模式,并将接口加入相应安全区域。 配置域间防火墙策略。 配置Trust到Untrust的NA T Outbound. 配置Untrust到Trust的NA T Inbound. 配置NAT Server 四、操作步骤 1.配置USG5310的工作模式并将接口加入对应安全区域。 system-view [USG5310]firewall mode transparent 2.将接口加入安全区域 [USG5310]firewall zone trust [USG5310-zone-trust]add interface GigabitEthernet 0/0/0 [USG5310-zone-trust]quit [USG5310]firewall zone untrust [USG5310-zone-untrust]add interface GigabitEthernet 0/0/1 [USG5310-zone-untrust]quit

华为Eudemon防火墙NAT配置实例

[原创]华为Eudemon防火墙NAT配置实例Post By:2007-7-11 11:35:00 贴一下我公司里防火墙的配置,希望能够起到抛砖引玉的作用。具体外网IP和内网ARP绑定信息已经用“x”替代,请根据实际情况更换。“//”后面的部分是我导出配置后添加的注释。防火墙型号为华为Eudemon 200,E0/0/0口为外网接口,E0/0/1口为内网。另外此配置方法也完全适用于华为Secpath系列防火墙,略加改动也可适用于华为A R系列路由器。 ------------------------------------------传说中的分隔线------------------------------------------ # sysname Eudemon//设置主机名 # super password level 3 simple xxxxxxxx//Super密码为xxxxxxxx # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound//设置默认允许所有数据包通过 # 青岛IT社区提醒:本地交易眼见为实,当面验货!不要嫌麻烦!交易地点建议在人多地方,防止抢劫!

CiscoASA防火墙nat配置示例

ASA的NAT配置 1.nat-control命令解释 pix7.0版本前默认为nat-control,并且不可以更改 pix7.0版本后默认为no nat-control。可以类似路由器一样,直接走路由;如果启用nat-control,那就与pix7.0版本前同。 2.配置动态nat 把内部网段:172.16.25.0/24 转换成为一个外部的地址池 200.1.1.1-200.1.1.99 NAT配置命令 ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 (定义地址池) 注意:id必须匹配,并且大于1,这里先使用1 检测命令: ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置PAT 把内部网段:172.16.26.0/24 转换成为一个外部的一个地址:200.1.1.149 NAT配置命令 ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 2 200.1.1.149 (定义地址) ASA(config)# global (outside) 2 interface(或者直接转换为外网接口地址) 注意:id必须匹配,并且大于2,这里先使用2 4.配置static NAT 把内部网段:172.16.27.27/24 转换成为一个外部的一个地址:200.1.1.100 NAT配置命令 ASA(config)# static (inside,outside) 200.1.1.100 172.16.27.27 命令格式是内外对应的,红色的接口和红色的地址对应。 实际工作中的应用: static主要是为内部服务器提供服务,如:web、ftp、telnet、mail等等。 access-list WEB perminttcp any host 200.1.1.100 eq 80 access-list WEB in interface outside 应用ACL ASA(config)# static (inside,outside) tcp 200.1.1.100 80 172.16.27.27 80 ASA(config)# static (inside,outside) tcp interface 80 172.16.27.27 80 5.防止DOS攻击 防止外部对172.16.27.27/24 的攻击 ASA(config)# static (inside,outside) 200.1.1.100 172.16.27.27 tcp 100 1000 udp 1000 tcp 100 1000:表示正常tcp连接最大数量为100,半开连接最大的数量为1000。 udp 1000:表示正常udp连接最大的数量为1000,具体值设置为多少需要按工作中而定。 6.route配置 网关:200.1.1.254 LAN的网关:172.16.25.2/24

juniper srx防火墙-nat实际现网配置实例

juniper srx防火墙-nat实际现网配置实例 SRX的NAT配置与ScreenOS显著不同,为保证系统的灵活性,SRX把NAT配置从安全策略里剥离出来,单独成为一个层次:即在SRX JUNOS中安全策略只负责控制业务数据的转发与否,NAT策略只控制业务数据的源地址和端口的翻译规则,两者各自独立。 SRX的NAT配置分为源地址翻译(source NAT), 目标地址翻译(destination NAT)和静态地址翻译(static NAT)三种,其配置语法都类似,只是nat rule必须被放到rule-set里使用,任意两个zone或任意两个网络逻辑接口之间只允许有一个rule-set。 值得注意的是SRX不会自动为NAT规则生成proxy-arp配置,因此如果NAT地址翻译之后的地址跟出向接口地址不同但在同一网络内时,必须手工配置相应接口proxy-arp以代理相关IP地址的ARP查询回应,否则下一条设备会由于不能通过ARP得到NAT地址的MAC地址而不能构造完整的二层以太网帧头导致通信失败。 配置: set security nat source rule-set src-nat from zone trust set security nat source rule-set src-nat to zone untrust set security nat source rule-set src-nat rule src-1 match source-address 192.168.1.0/24 set security nat source rule-set src-nat rule src-1 then source-nat interface set security nat destination pool 10-26-105-172-p1812 address 10.26.105.172/32 set security nat destination pool 10-26-105-172-p1812 address port 1812 set security nat destination rule-set dst-nat from zone ggsn set security nat destination rule-set dst-nat rule 30 match destination-address 10.0.0.173/32 set security nat destination rule-set dst-nat rule 30 match destination-port 1645 set security nat destination rule-set dst-nat rule 30 then destination-nat pool 10-26-105-172-p1812 set security nat destination rule-set dst-nat rule 40 match destination-address 10.0.0.173/32 set security nat static rule-set static from zone cmnet set security nat static rule-set static rule static-10 match destination-address 211.137.59.27/32 set security nat static rule-set static rule static-10 then static-nat prefix 10.26.105.170/32 set security nat proxy-arp interface reth2.0 address 211.137.59.27/32 set security nat proxy-arp interface reth0.0 address 10.0.0.173/32

防火墙nat实验步骤

一:基本网络top搭建 配置动态nat,实现网段10.0.0.0进行地址转换后访问172.16.1.1 注意:Host1和Host2都要设置网管,其中Host2设置网管是为了后续的测试。1:r1路由器端口ip的配置 R1#configure terminal R1(config)#interface loop0 R1(config-if)#ip address 10.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#int loop1 R1(config-if)#ip address 10.2.2.2 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 10.3.3.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit

2:配置asa各个端口 ciscoasa> enable Password: ciscoasa# configure terminal ciscoasa(config)# interface ethernet 0/0 ciscoasa(config-if)# ip address 10.3.3.2 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# nameif inside ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# exit ciscoasa(config)# interface ethernet 0/1 ciscoasa(config-if)# ip address 172.16.1.2 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# nameif outside ciscoasa(config-if)# security-level 0 ciscoasa(config-if)# exit ciscoasa(config)# interface ethernet 0/2 ciscoasa(config-if)# ip address 192.168.100.2 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# exit ciscoasa(config)# 3:配置各个主机的ip地址 在R1上的loop0和loop1模拟两台主机PC1和PC2, 使用两个虚拟机PC3做dmz区域的主机,PC4做internet中的主机在PC3上部署web服务 4:配置r1的路由 R1(config)#ip route 0.0.0.0 0.0.0.0 10.3.3.2 5:配置asa的路由 ciscoasa(config)# route inside 0 0 10.3.3.1 6:允许ping报文

防火墙划分安全端口和配置域间NAT

实验十一防火墙划分安全端口和配置域间NAT 一、实验目的 1.根据网络规划为防火墙(USG)分配接口,并将接口加入相应的安全区域。 2.创建ACL,并配置ACL规则。 3.配置域间NAT和内部服务器。 二、组网需求 如图所示,某公司内部网络通过防火墙(USG)与Internet进行连接,网络环境描述如下: 1、内部用户属于Trust区域,通过接口GigabitEthernet 0/0/0与防火墙(USG)连接。 2、FTP和Web服务器属于DMZ区域,对外提供FTP和Web服务,通过接口GigabitEthernet 0/0/1 与USG连接。 3、防火墙(USG)的接口GigabitEthernet 5/0/0与Internet连接,属于Untrust区域。

配置NAT和内部服务器,完成以下需求: ?需求1 该公司Trust区域的192.168.0.0/24网段的用户可以访问Internet,提供的访问外部网络的合法IP地址范围为200.1.8.3~200.1.8.13。由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。 ?需求2 提供FTP和Web服务器供外部网络用户访问。Web Server的内部IP地址为192.168.1.200,端口为8080,其中FTP Server的内部IP地址为192.168.1.201。两者对外公布的地址均为 200.1.8.14,对外使用的端口号均为缺省值。 三、设备和数据准备 设备一台防火墙(USG2200)、两台交换机、主机3-4台、直通双绞线若干、交叉双绞线、翻转配线;为完成此配置例,需准备如下的数据: ?ACL相关参数。 ?统一安全网关各接口的IP地址。 ?FTP Server和Web Server的内部、以及提供给外部网络访问的IP地址和端口号。 四、操作步骤 1.完成USG的基本配置。 # 配置接口GigabitEthernet 0/0/0的IP地址。 system-view [USG] interface GigabitEthernet 0/0/0 [USG-GigabitEthernet 0/0/0] ip address 192.168.0.1 24 [USG-GigabitEthernet 0/0/0] quit # 配置接口GigabitEthernet 5/0/0的IP地址。 [USG] interface GigabitEthernet 5/0/0 [USG-GigabitEthernet 5/0/0] ip address 200.1.8.2 27 [USG-GigabitEthernet 5/0/0] quit

防火墙nat

1、PAT Object network inside-outside-all subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic interface 原有的语法: nat (inside) 1 0 0 global (outside) 1 interface 2、多公网地址 object network inside-outside-translate Range 10.1.1.1 10.1.1.100 object network inside-outside-all subnet 0.0.0.0 0.0.0.0 nat (inside,outside) static inside-outside-translate 原有的语法: nat (inside) 1 0 0 global (outside) 1 10.1.1.1 10.1.1.100 3、static nat object network server-static host 10.1.1.1 object network inside-server host 200.0.9.10 nat (inside,outside) static server-static 原有语法: static (inside,outside) 10.1.1.1 200.0.9.10 netmask 255.255.255.255 4、静态端口映射 object network Static-Outside-Address host 200.1.1.1 object network Static-Inside-Address host 10.1.1.1 nat (Inside,Outside) static Static-Outside-Address service tcp telnet 23 or nat (Inside,Outside) static 200.1.1.1 service tcp telnet 23 原有的语法: static (inside,outside) tcp 200.1.1.1 23 10.1.1.1 23 netmask 255.255.255.255

路由器模拟防火墙进行双向NAT

拓扑图 拓扑描述 路由器R1 F1/0接口IP:12.12.12.12/24 Loopback0接口IP:1.1.1. 1/32 路由:ip route 0.0.0.0 0.0.0.0 12.12.12.21 路由器R2 F1/0接口IP:12.12.12.21/24 F1/1接口IP:23.23.23.23/24 Loopback0接口IP:2.2.2.2/32 路由: ip route 1.1.1.1 255.255.255.255 12.12.12.12 ip route 3.3.3.3 255.255.255.255 23.23.23.32

路由器R3 F1/0接口IP:23.23.23.32/24 Loopback0接口IP:3.3.3.3/32 路由:ip route 0.0.0.0 0.0.0.0 23.23.23.23 功能需求 1、1.1.1.1访问3.3.3.3时,将目的地址3.3.3.3翻译成33.33.33.33,同时将源地址1.1.1.1翻译成11.11.11.11。 2、3.3.3.3方位1.1.1.1时,将目的地址1.1.1.1翻译成11.11.11.11,同时将源地址3.3.3.3翻译成33.33.33.33。 3、所有地址转换在路由器R2上实现。 脚本分析 interface FastEthernet1/0 ip address 12.12.12.21 255.255.255.0 ip nat inside ip virtual-reassembly duplex full speed auto interface FastEthernet1/1 ip address 23.23.23.23 255.255.255.0 ip nat outside ip virtual-reassembly duplex full speed auto ip nat inside source static 1.1.1.1 11.11.11.11 ip nat outside source static 3.3.3.3 33.33.33.33 ip route 33.33.33.33 255.255.255.255 23.23.23.32//注意该路由必须添加,否则不通。

防火墙路由模式和NAT配置

应用场景: 在网络的边界,如出口区域,在内网和外网之间增加防火墙设备,采用路由模式对局域网的整网进行保护。路由模式一般不单独使用,一般会有以下功能的配合,如在内外网之间配置灵活的安全策略,或者是进行NAT内网地址转换。 功能原理: 简介 ?路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信 优点 ?能够支持三层网络设备的多种功能,NAT、动态路由、策略路由、VRRP等 ?能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担 缺点 ?不能转发IPv6和组播包 ?部署到已实施网络中需要重新改动原有地址和路由规划 一、组网要求 1、在网络出口位置部署防火墙卡,插在核心交换机的3号槽位,通过防火墙卡区分内外网, 外网接口有两个ISP出口; 2、在防火墙上做NAT配置,内网用户上外网使用私有地址段; 二、组网拓扑 三、配置要点 要点1,配置防火墙 ?创建互联的三层接口,并指定IP地址

?配置动态路由或静态路由 ?创建作为NAT Outside的VLAN接口并指定IP ?配置NAT转换关系 ?配置NAT日志 要点2,配置交换机 ?创建连接NAT Outside线路的VLAN并指定物理接口 ?创建互联到防火墙的三层接口 ?通过互联到防火墙的三层接口配置动态路由或静态路由 四、配置步骤 注意: 步骤一、将交换机按照客户的业务需要配置完成,并将防火墙卡和交换机联通,并对防火墙卡进行初始化配置。 1)配置防火墙模块与PC的连通性: 配置防火墙卡和交换机互联端口,可以用于防火墙的管理。 Firewall>enable ------>进入特权模式 Firewall#configure terminal ------>进入全局配置模式 Firewall(config)#interface vlan 4000 ------>进入vlan 4000接口 FW1(config-if-Vlan 4000)#ip address 10.0.0.1 255.255.255.252------>为vlan 4000接口上互联IP地址 Firewall(config-if)#exit ------>退回到全局配置模式 Firewall(config)#firewall default-policy-permit ------>10.3(4b5)系列版本的命令ip session acl-filter-default-permit ,10.3(4b6)命令变更为 firewall default-policy-permit 防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包,配置以下命令可修改为默认转发所有包 2)防火墙配置路由模式,交换机与防火墙联通配置。 交换机与防火墙卡是通过设备内部的两个万兆口互联,在插入防火墙模块后,交换机在FW所在槽位生成两个万兆端口,以下以防火墙卡接在核心交换机6槽。 在交换机上配置将交换机与防火墙互联的接口进行聚合,并设置为trunk模式,设定允许VLAN。以6槽位的一个防火墙卡为例: Ruijie>enable ------>进入特权模式 Ruijie#configure terminal ------>进入全局配置模式 Ruijie(config)#vlan 4094 ------>配置一个冗余的VLAN Ruijie(config)#interface range tenGigabitEthernet 6/1,6/2 ------>配置交换机于防火墙互联的万兆6/1,6/2端口 Ruijie(config-if-range)#port-group 2 ------>配置互联端口为聚合口,

实验:防火墙配置与NAT配置

实验:防火墙配置与NAT配置 一、实验目的 学习在路由器上配置包过滤防火墙和网络地址转换(NAT) 二、实验原理和内容 1、路由器的基本工作原理 2、配置路由器的方法和命令 3、防火墙的基本原理及配置 4、NAT的基本原理及配置 三、实验环境以及设备 2台路由器、1台交换机、4台Pc机、双绞线若干 四、实验步骤(操作方法及思考题) {警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。} 1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别 将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP地址,以 及配置PC A 和B的缺省网关为202.0.0.1,PC C 的缺省网关为202.0.1.1,PC D 的缺省网关为202.0.2.1。

202.0.0.2/24 202.0.1.2/24 192.0.0.1/24192.0.0.2/24 202.0.0.1/24 202.0.1.1/24S0 S0 E0E0 202.0.0.3/24 202.0.2.2/24 E1 202.0.2.1/24AR18-12 AR28-11 交叉线 交叉线 A B C D 图 1 3、在两台路由器上都启动RIP ,目标是使所有PC 机之间能够ping 通。请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。(5分) AR28-11 [Quidway]interface e0/0 [Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1 [Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial0/0 [Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip [Quidway-rip]network 0.0.0.0 AR18-12 [Router]interface e0 [Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface s0 [Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router -Ethernet0]quit [Router]rip [Router -rip]network all 4、在AR18和/或AR28上完成防火墙配置,使满足下述要求: (1) 只有PC 机A 和B 、A 和C 、B 和D 之间能通信,其他PC 机彼此之 间都不能通信。(注:对于不能通信,要求只要能禁止其中一个方向就可以了。) (2) 防火墙的ACL 列表只能作用于两台路由器的以太网接口上,即AR18 的E0、AR28的E0和E1,不允许在两台路由器的S0口上关联ACL 。 请将你所执行的配置命令写到实验报告中。(注:配置方法并不唯一,写出

实验7:防火墙配置与NAT配置 (2)

大连理工大学 本科实验报告 课程名称:网络工程实验学院(系):软件学院 专业:软件工程 班级: 090 学号: 200992 学生姓名: 2011年 7 月 11 日

大连理工大学实验报告 学院(系):软件学院专业:软件工程班级: 090 姓名:学号: 200992 组: 12 ___ 实验时间: 2011.7.11 实验室: C310 实验台: 12 指导教师签字:成绩: 实验七:防火墙配置与NAT配置 一、实验目的 学习在路由器上配置包过滤防火墙和网络地址转换(NAT) 二、实验原理和内容 1、路由器的基本工作原理 2、配置路由器的方法和命令 3、防火墙的基本原理及配置 4、NAT的基本原理及配置 三、实验环境以及设备 2台路由器、1台交换机、4台Pc机、双绞线若干 四、实验步骤(操作方法及思考题) {警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。} 1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命 令分别将两台路由器的配置清空,以免以前实验留下的配置对本 实验产生影响。 2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置 IP地址,以及配置PC A 和B的缺省网关为202.0.0.1,PC C 的缺

省网关为 202.0.1.1,PC D 的缺省网关为 202.0.2.1。 图 1 3、在两台路由器上都启动RIP,目标是使所有PC机之间能够ping 通。请将为达到此目标而在两台路由器上执行的启动RIP的命令 写到实验报告中。(5分) 答: [Quidway]rip [Quidway-rip]network all 4、在AR18和/或AR28上完成防火墙配置,使满足下述要求: (1)只有PC机A和B、A和C、B和D之间能通信,其他PC机彼此之间都不能通信。(注:对于不能通信,要求只要 能禁止其中一个方向就可以了。) (2)防火墙的ACL列表只能作用于两台路由器的以太网接口上,即AR18的E0、AR28的E0和E1,不允许在两台路由 器的S0口上关联ACL。 请将你所执行的配置命令写到实验报告中。(注:配置方法并不唯一,写出其中任何一种即可)(15分) 答: [Quidway] firewall enable [Quidway] firewall default permit [Quidway acl number 3001 match-order auto [Quidway-acl-adv-3001] rule deny ip source any destination any [Quidway-acl-adv-3001] rule permit ip source 202.0.1.2 destination 202.0.0.2 [Quidway-acl-adv-3001] rule permit ip source 202.0.2.1 destination 202.0.0.3 5、请在用户视图下使用“reset saved-configuration”命令和“reboot”命 令分别将两台路由器的配置清空,以免前面实验留下的配置对下 面的NAT配置实验产生影响。 6、请将图1中IP地址的配置改为图2,即我们将用IP 网段 192.168.1.0/24作为一个私网,AR18作为连接私网与公网的NAT 路由器,AR28作为公网上的一个路由器。具体的,请按下述步 骤完成NAT配置实验: (1)配置AR18-12为NAT路由器,它将私有IP 网段192.168.1.0/24中的IP地址转换为接口S0的公网IP 地址 192.0.0.1。请将所执行的配置命令写到实验报告中。 (10分) 答: [Quidway]nat address-group 192.0.0.1 192.0.0.1 pool1

PIX防火墙NAT设置

1.普通NAT: nat(inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 192.168.0.20-192.160.0.254 netmask 255.255.255.0 如果第一上网的地址是10.1.1.1,那么其转化为192.168.0.20 第二个上网的地址是10.1.1.100,那么转化为192.168.0.21 如果外网地址耗尽,就不能上网了。这叫做动态的转化。 nat(inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 202.100.1.100 目的端口号从1024到65535个。可以有65535-1024个会话 清掉原来的nat clear config nat clear config global clear xlate 没有多余地址,只有物理接口的地址,甚至物理接口的地址还是dhcp或者pppoe来的。fw(config)#nat (inside) 1 10.0.0.0 255.255.0.0 fw(config)#global (outside) 1 interface 这样在网管show user时,虽不知道是哪个网段telnet上来的。但是最少知道是内部的。 2. 用ID来区分同是inside到outside的不同网段的地址转换 nat(inside) 1 10.0.0.0 255.255.255.0 nat(inside) 2 10.2.0.0 255.255.255.0 global (outside) 1 192.168.0.3-192.168.0.16 netmask 255.255.255.0 global(outside) 2 192.168.0.17-192.168.0.32 netmask 255.255.255.0 nat (inside) 1 10.0.1.0 255.255.255.0 nat (inside) 2 10.0.2.0 255.255.255.0 global (outside) 1 192.168.0.8 netmask 255.255.255.255 global (outside) 2 192.168.0.9 netmask 255.255.255.255 3. 三接口nat(3个NA T只用了4句话) nat (inside) 1 10.0.0.0 255.255.255.0 nat(dmz) 1 172.16.0.0 255.255.255.0 global (outside) 1 192.168.0.20-192.168.0.254 netmast 255.255.255.0 global (dmz) 1 172.16.0.20-172.16.0.254 netmast 255.255.255.0 4.backing up PAT fw1(config)#nat (inside) 1 10.0.0.0 255.255.255.0 fw1(config)#global (outside) 1 192.168.0.8 netmast 255.255.255.255 fw1(config)#global (outside) 1 192.168.0.9 netmast 255.255.255.255 先用地址8,后用地址9

相关主题