私網使用者通過Smart NAT 訪問Internet
**
私網使用者通過Smart NAT 訪問Internet
**
組網需求
某公司在網路邊界處部署了FW作為安全閘道器。為了使私網中10.1.1.0/24網段的使用者可以正常訪問Internet,需要在FW上配置源NAT策略。除了公網介面的IP地址外,公司還向ISP申請了6個IP地址(1.1.1.10~1.1.1.15)作為私網地址轉換後的公網地址。網路環境如圖所示,其中Router是ISP提供的接入閘道器。
通常情況下,同一時刻需要訪問Internet的私網使用者數量很少,使用No-PAT方式即可;為了解決突發性私網使用者數量增多的情況,預留一個公網IP地址進行NAPT方式的地址轉換。
源NAT 策略組網圖
操作步驟
步驟1 配置介面IP地址和安全區域,完成網路基本引數配置。
配置介面GigabitEthernet 1/0/1的IP地址。
system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[FW-GigabitEthernet1/0/1] quit
配置介面GigabitEthernet 1/0/2的IP地址。
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/2] quit
將介面GigabitEthernet 1/0/1加入Trust區域。
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/1
[FW-zone-trust] quit
將介面GigabitEthernet 1/0/2加入Untrust區域。
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/2
[FW-zone-untrust] quit
步驟2 配置安全策略,允許私網指定網段與Internet進行報文互動。
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone trust
[FW-policy-security-rule-policy1] destination-zone untrust
[FW-policy-security-rule-policy1] source-address 10.1.1.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[FW-policy-security] quit
步驟3 配置NAT地址池。
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode no-pat local
[FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.14
[FW-address-group-addressgroup1] smart-nopat 1.1.1.15
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit
步驟4 配置源NAT策略,實現私網指定網段訪問Internet時自動進行源地址轉換。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone trust
[FW-policy-nat-rule-policy_nat1] destination-zone untrust
[FW-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24
[FW-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit
步驟5 在FW上配置預設路由,使私網流量可以正常轉發至ISP的路由器。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
步驟6 在私網主機上配置預設閘道器,使私網主機訪問Internet時,將流量發往FW。
步驟7 在Router上配置到NAT地址池地址(1.1.1.10~1.1.1.15)的靜態路由,下一跳為
1.1.1.1,使從Internet返回的流量可以被正常轉發至FW。
通常需要聯絡ISP的網路管理員來配置此靜態路由。
防火牆開啟ping功能,在不同介面輸入以下命令。
驗證:
Nat前
Nat後
相關文章
- 防火牆雙出口環境下私網使用者通過NAPT訪問Internet防火牆APT
- 透過網段隔離器實現NAT轉換與跨網段訪問
- 使用ssh隧道穿透NAT訪問內網主機穿透內網
- 【AWS】通過對等網路打通VPC訪問
- web應用私網公網訪問題Web
- 【PRODUCE】Oracle 通過儲存過程限制使用者訪問表資料Oracle儲存過程
- Raspberry遠端控制 —— 私網地址NAT到公網
- 【PRODUCE】Oracle 通過儲存過程限制使用者訪問表資料(二)Oracle儲存過程
- win10無internet訪問怎麼辦_win10無internet訪問許可權如何修復Win10訪問許可權
- 使用SAP雲平臺 + JNDI訪問Internet Service
- docker 中容器通過 API 互相訪問DockerAPI
- 網站訪問過程&HTML網站HTML
- win10電腦wifi無internet win10電腦無internet訪問Win10WiFi
- 樹莓派如何通過FAN-4G-HAT訪問網際網路樹莓派
- 你知道可以通過網址訪問的Servlet如何實現嗎?Servlet
- k8s通過Service訪問PodK8S
- Oracle 通過透明閘道器訪問mysqlOracleMySql
- 手把手教你通過Thrift訪問ApsaraDBforHBase
- vnc viewer透過外網訪問,vnc viewer透過外網訪問8個步驟VNCView
- 使用 grpcurl 通過命令列訪問 gRPC 服務RPC命令列
- Java通過SSLEngine與NIO實現HTTPS訪問JavaHTTP
- 其它語言通過HiveServer2訪問HiveHiveServer
- apache 通過ajp訪問tomcat多個站點ApacheTomcat
- 在Terminal中通過代理訪問GitHub(解決訪問GitHub速度慢的問題)Github
- 未識別的網路無internet訪問怎麼解決(win7、win10、win11通用)Win7Win10
- msmq在Internet上訪問的問題(只能傳送,不能接收)MQ
- 宿主機無法訪問VM中的linux(NAT模式)Linux模式
- postgres_fdw 無法通過域名 訪問外部表問題
- windows10中如何讓區域網內其他電腦通過IP訪問網站Windows網站
- 儲存過程訪問其他使用者的表的問題儲存過程
- Spring Boot通過@ConfigurationProperties訪問靜態資料 - reflectoringSpring Boot
- nginx 怎麼通過域名訪問8080埠(指定埠)Nginx
- 使用Laravel框架,怎麼通過訪問/xxxx/ooo.php也通過路由來使用Laravel框架PHP路由
- orbeon form 的架構簡介 - 如何訪問使用者通過 form 儲存的資料ORBORM架構
- 如何讓NAS可以透過網際網路訪問?
- 在 k8s 中通過 Ingress 配置域名訪問K8S
- kubernetes實戰篇之通過api-server訪問dashboardAPIServer
- [BUG反饋]新增模組無法通過URL訪問的問題