防火墙虚拟系统NAT以及NAT server
实验topo:
实验目的:
- 熟悉虚拟系统原理
实验需求:
某云计算数据中心采用NGFW用于网关出口的安全防护,实际的要求如下:
- NGFW虽然只有一个公网接口,但是公网IP地址数量比较充足。通过在NGFW上配置服务器映射(NAT Server),客户可以通过独立的公网IP地址访问属于自己的服务器资源。企业A使用公网IP 200.1.1.11;企业B使用公网IP 200.1.1.12;企业C使用公网IP 200.1.1.13;
- 企业A/B的服务器不能主动访问外网,企业C的服务器需要主动访问外网;
- 由于规划问题,企业A /B服务器网段都为10.1.1.0/24,请临时想办法解决;
配置思路:
- 创建三个虚拟系统,并且分配单独的公网地址,写默认路由指向isp:
vsys name fir 1
assign interface GigabitEthernet1/0/6
assign global-ip 200.1.1.111 200.1.1.111 exclusive
vsys name sec 2
assign interface GigabitEthernet1/0/5
assign global-ip 200.1.1.122 200.1.1.122 exclusive
vsys name thi 3
assign interface GigabitEthernet1/0/4
assign global-ip 200.1.1.13 200.1.1.13 exclusive
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2 ---默认指向ISP的路由
- ,Fir配置接口加区域,Sec配置接口加区域,Thi配置接口加区域,配置默认指向public:
Fir: ---Sec和Thi的配置与上述类似,这里不赘述
interface GigabitEthernet1/0/6
ip address 10.1.1.1 255.255.255.0
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/6
firewall zone untrust
set priority 5
add interface Virtual-if1
ip route-static 0.0.0.0 0.0.0.0 public
- ISP配置接口模拟外网:
interface GigabitEthernet0/0/2
ip address 61.67.1.1 255.255.255.0
interface GigabitEthernet0/0/3
ip address 200.1.1.2 255.255.255.0
interface LoopBack1
ip address 8.8.8.8 255.255.255.255
- 我们先实现外网用户访问Fir的内网服务器,我们需要在Fir上配置Nat server 将内网服务器的IP地址给映射出来,映射为一个虚拟的公网地址:
IP地址: 10.1.1.3 --> 200.1.1.111 --> 200.1.1.11
Fir:
nat server fir 0 global 200.1.1.111 inside 10.1.1.3 no-reverse
- 在真墙上,将虚拟的公网地址转换成真正的公网地址:
Public:
nat server fir 1 global 200.1.1.11 inside 200.1.1.111 no-reverse
- 完成上述步骤后还不可以实现通信,因为在回程的时候,真正的公网地址找不到虚拟的公网地址,所以我们需要配置根墙到虚拟墙的回程路由:
Public:
ip route-static 200.1.1.111 32 vpn-instance fir
- 在根墙上写安全策略,方便起见,所有虚拟墙默认放行所有:
security-policy
rule name fir
source-zone untrust
destination-zone trust
action permit
rule name sec
source-zone untrust
destination-zone trust
action permit
rule name thi
source-zone trust
destination-zone untrust
action permit
- 我们再实现外网用户访问Sec的内网服务器,配置过程同Fir
IP地址: 10.1.1.2 --> 200.1.1.122 --> 200.1.1.12
Sec: ---将内网地址映射到虚拟公网地址
nat server fir 0 global 200.1.1.122 inside 10.1.1.2 no-reverse
Public: ---将虚拟公网地址映射到真正的公网地址
nat server fir 1 global 200.1.1.12 inside 200.1.1.122 no-reverse
ip route-static 200.1.1.122 32 vpn-instance Sec
- Thi访问外网,我们需要做的是nat转换,先写一个address-group放转换后的地址:
Thi:
nat address-group thi
section 0 200.1.1.13 200.1.1.13
- 写nat policy:
Thi:
nat-policy
rule name ww
source-zone trust
destination-zone untrust
action nat address-group thi
实验结果:
外网访问企业A:
[isp]ping 200.1.1.11
PING 200.1.1.11: 56 data bytes, press CTRL_C to break
Reply from 200.1.1.11: bytes=56 Sequence=1 ttl=253 time=40 ms
Reply from 200.1.1.11: bytes=56 Sequence=2 ttl=253 time=50 ms
Reply from 200.1.1.11: bytes=56 Sequence=3 ttl=253 time=20 ms
Reply from 200.1.1.11: bytes=56 Sequence=4 ttl=253 time=50 ms
Reply from 200.1.1.11: bytes=56 Sequence=5 ttl=253 time=20 ms
外网访问企业B:
[isp]ping 200.1.1.12
PING 200.1.1.12: 56 data bytes, press CTRL_C to break
Reply from 200.1.1.12: bytes=56 Sequence=1 ttl=253 time=30 ms
Reply from 200.1.1.12: bytes=56 Sequence=2 ttl=253 time=30 ms
Reply from 200.1.1.12: bytes=56 Sequence=3 ttl=253 time=40 ms
Reply from 200.1.1.12: bytes=56 Sequence=4 ttl=253 time=40 ms
Reply from 200.1.1.12: bytes=56 Sequence=5 ttl=253 time=50 ms
企业A访问外网: